石永

[關(guān)鍵詞]信息化 ? ?項(xiàng)目 ? ?五階段 ? ?管理審計(jì)

信

一、基于ITSS“五階段”的審計(jì)框架

（一）ITSS的“五階段”

ITSS（信息技術(shù)服務(wù)標(biāo)準(zhǔn)）由國(guó)家信息技術(shù)服務(wù)標(biāo)準(zhǔn)工作組在工業(yè)和信息化部、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)共同指導(dǎo)下研究制定，既是我國(guó)IT服務(wù)行業(yè)最佳實(shí)踐的總結(jié)，也是IT服務(wù)研發(fā)、供應(yīng)、推廣和應(yīng)用等成果的結(jié)晶。ITSS原理如圖1所示。

ITSS組成要素包括人員、流程、技術(shù)和資源;ITSS生命周期由規(guī)劃設(shè)計(jì)、部署實(shí)施、服務(wù)運(yùn)營(yíng)、持續(xù)改進(jìn)、監(jiān)督管理五個(gè)階段組成。

（二）基于ITSS“五階段”的審計(jì)框架

結(jié)合ITSS原理，從信息化項(xiàng)目管理審計(jì)角度出發(fā)，提出“五階段”的審計(jì)框架（如圖2所示）?；贗T服務(wù)生命周期的審計(jì)思維，信息化項(xiàng)目管理審計(jì)應(yīng)從信息技術(shù)服務(wù)標(biāo)準(zhǔn)的視角開展，確保審計(jì)開展的全面性和專業(yè)性?！拔咫A段”信息化項(xiàng)目管理審計(jì)組成要素包括組織能力、規(guī)劃設(shè)計(jì)、部署實(shí)施、服務(wù)運(yùn)營(yíng)、監(jiān)督管理，既考慮了ITSS中IT服務(wù)生命周期，又兼顧了IT服務(wù)組成要素。

“五階段”審計(jì)框架由ITSS產(chǎn)生，依托ITSS連貫的邏輯體系，改變了信息化項(xiàng)目審計(jì)在不同階段不連貫、相互遺漏的風(fēng)險(xiǎn)，將信息化項(xiàng)目的審計(jì)分布在IT服務(wù)不同階段的不同過程，有機(jī)整合為一個(gè)井然有序、良性循環(huán)的整體，使IT審計(jì)的質(zhì)量得以不斷改進(jìn)和提升。

二、基于“五階段”的信息化項(xiàng)目管理審計(jì)

（一）組織能力

關(guān)注信息化項(xiàng)目規(guī)章制度建立健全情況，如是否覆蓋整個(gè)信息化項(xiàng)目建設(shè)過程;關(guān)注信息化項(xiàng)目機(jī)制的建立以及整個(gè)生命周期指導(dǎo)、協(xié)調(diào)和監(jiān)督責(zé)任劃分與落實(shí)情況，分析評(píng)價(jià)管理運(yùn)行模式，評(píng)價(jià)組織管理的適當(dāng)性和規(guī)范性;關(guān)注信息化建設(shè)是否具有近期與遠(yuǎn)景規(guī)劃，避免盲目建設(shè)、建設(shè)生命周期短、重復(fù)度較高，造成不必要的資源浪費(fèi);關(guān)注信息系統(tǒng)建設(shè)是否缺乏統(tǒng)一規(guī)劃，造成信息化項(xiàng)目建設(shè)雜而亂，難以統(tǒng)一管理，不能滿足數(shù)據(jù)集中管理以及大數(shù)據(jù)發(fā)展的需求。

此外，應(yīng)關(guān)注質(zhì)量管理體系的建立是否符合科學(xué)經(jīng)濟(jì)、安全可靠、開放穩(wěn)定的基本原則;項(xiàng)目建設(shè)各階段銜接是否緊密，信息溝通與相互配合是否有效;項(xiàng)目投產(chǎn)前是否明確管理使用和運(yùn)行維護(hù)責(zé)任部門，明確項(xiàng)目立項(xiàng)、技術(shù)方案確定、重大變更等重要事項(xiàng)決策程序;項(xiàng)目的人員配置、職責(zé)分工是否明確，是否具備信息化項(xiàng)目管理的知識(shí)、經(jīng)驗(yàn)和技能要求，對(duì)項(xiàng)目實(shí)施過程中的質(zhì)量、過程、資源和技術(shù)是否都能清楚地掌握，管理人員是否為參加過信息化項(xiàng)目的專業(yè)人才。

（二）規(guī)劃設(shè)計(jì)

信息化項(xiàng)目立項(xiàng)：立項(xiàng)流程要規(guī)范可行，項(xiàng)目管理部門、承建部門、需求部門分工明確，溝通與協(xié)商機(jī)制運(yùn)行通暢。

信息化項(xiàng)目可行性：應(yīng)對(duì)建設(shè)目標(biāo)和可衡量的業(yè)務(wù)功能等規(guī)范性進(jìn)行評(píng)審。

信息化項(xiàng)目建設(shè)目標(biāo)：應(yīng)明確、合理，經(jīng)過規(guī)范、專業(yè)、系統(tǒng)的規(guī)劃和設(shè)計(jì)，滿足相關(guān)業(yè)務(wù)發(fā)展的需要，形成最終的總體技術(shù)、建設(shè)實(shí)施方案。

信息化項(xiàng)目建設(shè)的安全性：項(xiàng)目建設(shè)需求和設(shè)計(jì)環(huán)節(jié)應(yīng)結(jié)合業(yè)務(wù)，采用安全技術(shù)標(biāo)準(zhǔn)和建立安全控制體系對(duì)項(xiàng)目的物理安全、信息安全進(jìn)行規(guī)劃和設(shè)計(jì)。

項(xiàng)目應(yīng)用技術(shù)：應(yīng)具有一定前瞻性、擴(kuò)充性和先進(jìn)性，設(shè)計(jì)兼顧持續(xù)升級(jí)改造計(jì)劃。

此外，項(xiàng)目規(guī)劃設(shè)計(jì)應(yīng)考慮知識(shí)產(chǎn)權(quán)保護(hù)、保密協(xié)議、項(xiàng)目安全目標(biāo)、業(yè)務(wù)連續(xù)性目標(biāo)和系統(tǒng)安全保護(hù)等級(jí)設(shè)定;項(xiàng)目批準(zhǔn)立項(xiàng)之后關(guān)注啟動(dòng)不及時(shí)現(xiàn)象，超過一定的期限應(yīng)重新開展立項(xiàng)評(píng)估工作，及時(shí)制訂項(xiàng)目實(shí)施方案，一般包括技術(shù)方案、進(jìn)度方案、應(yīng)急方案、資源管理、項(xiàng)目預(yù)算等，檢查實(shí)施方案審核流程的規(guī)范性、項(xiàng)目可行性分析的充分性、預(yù)算核定以及項(xiàng)目立項(xiàng)審批的合理性。

（三）部署實(shí)施

項(xiàng)目部署實(shí)施應(yīng)遵循相應(yīng)的建設(shè)指導(dǎo)規(guī)范，如機(jī)房建設(shè)規(guī)范指導(dǎo)、軟件開發(fā)規(guī)范和信息系統(tǒng)建設(shè)安全指引等，形成必要的技術(shù)文檔和實(shí)施資料。

項(xiàng)目部署進(jìn)度：根據(jù)項(xiàng)目計(jì)劃和采購(gòu)時(shí)間及早提交采購(gòu)需求，采購(gòu)的軟硬件到貨后組織驗(yàn)收，留存驗(yàn)收文檔，在此期間關(guān)注項(xiàng)目采購(gòu)的風(fēng)險(xiǎn)、采購(gòu)的決策和執(zhí)行程序是否公開、透明，檢查采購(gòu)合同是否有效履行，是否存在未按期交付和未滿足系統(tǒng)需求的情況。

項(xiàng)目測(cè)試：常見的測(cè)試包括功能測(cè)試、性能測(cè)試、安全測(cè)試、信息安全等級(jí)保護(hù)測(cè)試、數(shù)據(jù)安全性測(cè)試、用戶測(cè)試等;分析信息化項(xiàng)目引入第三方測(cè)試的必要性，以及第三方測(cè)試的資格是否符合項(xiàng)目保密要求，建立第三方測(cè)試規(guī)范。

項(xiàng)目變更：是指項(xiàng)目因制度、政策、標(biāo)準(zhǔn)、技術(shù)要求、業(yè)務(wù)需求等變化，導(dǎo)致項(xiàng)目功能、技術(shù)架構(gòu)和方案、實(shí)施計(jì)劃等與項(xiàng)目任務(wù)或立項(xiàng)計(jì)劃不一致，出現(xiàn)暫停、終止等情況。應(yīng)根據(jù)涉及的資金、時(shí)間、技術(shù)等要素的調(diào)整情況劃分變更的重要程度，根據(jù)不同程度的變更以及輕重緩急建立相應(yīng)的變更流程。項(xiàng)目的變更次數(shù)超過兩次或一個(gè)適度閾值，應(yīng)進(jìn)行變更評(píng)估，確保項(xiàng)目的進(jìn)度、資金與預(yù)定任務(wù)符合預(yù)期。變更結(jié)束后要對(duì)變更進(jìn)行績(jī)效管理，加強(qiáng)項(xiàng)目變更風(fēng)險(xiǎn)的防控。

（四）服務(wù)運(yùn)營(yíng)

項(xiàng)目的上線運(yùn)行應(yīng)建立審核流程，程序源代碼及其相關(guān)技術(shù)文檔形成最終版，試運(yùn)行通過方可投產(chǎn)應(yīng)用。項(xiàng)目的驗(yàn)收工作一般分為階段性驗(yàn)收和總體性驗(yàn)收，其中階段性驗(yàn)收分布在硬件的到貨驗(yàn)收、需求分析、設(shè)計(jì)開發(fā)、信息安全、試運(yùn)行等項(xiàng)目開展過程中的重要節(jié)點(diǎn);總體性驗(yàn)收包含項(xiàng)目總體目標(biāo)的實(shí)現(xiàn)情況、預(yù)算支出情況以及階段性驗(yàn)收情況等。參與項(xiàng)目驗(yàn)收的人員應(yīng)熟悉項(xiàng)目任務(wù)，掌握項(xiàng)目的建設(shè)管理情況，根據(jù)驗(yàn)收結(jié)論及問題答復(fù)情況編制項(xiàng)目驗(yàn)收?qǐng)?bào)告。

信息化項(xiàng)目檔案是記錄和反映項(xiàng)目建設(shè)、項(xiàng)目管理以及運(yùn)行維護(hù)等過程中形成的以紙張、磁盤、光盤、磁帶、實(shí)物等形式存在的具有保存價(jià)值的文字、圖表、聲像等歷史記錄，是項(xiàng)目后期升級(jí)、風(fēng)險(xiǎn)管理和故障追溯的重要史料。項(xiàng)目檔案的收集整理工作應(yīng)與項(xiàng)目建設(shè)同步進(jìn)行，防止項(xiàng)目結(jié)束后突擊補(bǔ)充資料。檔案的管理應(yīng)統(tǒng)一分類，資料齊全，歸檔及時(shí)，整齊有序，查閱方便，嚴(yán)防丟失和泄密，確保檔案的完整、準(zhǔn)確、安全、保密和有效利用。檔案借閱應(yīng)履行借閱審批手續(xù)，填寫借閱登記簿。

（五）監(jiān)督管理

項(xiàng)目監(jiān)督管理需關(guān)注項(xiàng)目建設(shè)的效益性、重復(fù)投資和重復(fù)建設(shè)情況、新建項(xiàng)目功能是否類似或具有可替代性。項(xiàng)目建設(shè)各階段工作是否在計(jì)劃時(shí)間內(nèi)完成且達(dá)到預(yù)定建設(shè)目標(biāo)，項(xiàng)目進(jìn)度、成本和質(zhì)量控制措施是否得到有效控制與實(shí)施且達(dá)到預(yù)期效果。

項(xiàng)目的資金撥付情況：應(yīng)與項(xiàng)目進(jìn)度相匹配，項(xiàng)目進(jìn)行過程中針對(duì)項(xiàng)目的監(jiān)管情況，如建立月報(bào)或者季度報(bào)送機(jī)制，報(bào)送的情況不限于項(xiàng)目進(jìn)展情況、采購(gòu)進(jìn)度、資金撥付、項(xiàng)目預(yù)估風(fēng)險(xiǎn)或者已發(fā)生風(fēng)險(xiǎn)和資源的準(zhǔn)備等，不定期組織開展項(xiàng)目績(jī)效評(píng)審。項(xiàng)目運(yùn)行一段時(shí)間后，應(yīng)組織項(xiàng)目相關(guān)部門進(jìn)行項(xiàng)目使用、運(yùn)行后評(píng)估，形成最終的評(píng)估報(bào)告。

項(xiàng)目建設(shè)外包的經(jīng)濟(jì)性、有效性和風(fēng)險(xiǎn)管理：分析公開招投標(biāo)流程，綜合評(píng)價(jià)項(xiàng)目承建單位的市場(chǎng)信譽(yù)、資質(zhì)條件、財(cái)務(wù)狀況、技術(shù)服務(wù)能力、業(yè)務(wù)經(jīng)驗(yàn)等;關(guān)注外包合同簽訂的規(guī)范性、準(zhǔn)確性和有效性，評(píng)估是否滿足技術(shù)和服務(wù)外包合同的基本要求，監(jiān)督合同履行情況，指出外包項(xiàng)目面臨的風(fēng)險(xiǎn)。

數(shù)據(jù)安全：應(yīng)加強(qiáng)數(shù)據(jù)收集、存儲(chǔ)、傳輸、處理過程的管理，防范數(shù)據(jù)泄露、被篡改與不當(dāng)使用的風(fēng)險(xiǎn)，保障數(shù)據(jù)安全。信息化項(xiàng)目中的數(shù)據(jù)安全管理應(yīng)遵循分級(jí)分類、確保安全、統(tǒng)一標(biāo)準(zhǔn)、充分利用、責(zé)任明確等原則。

基于以上“五階段”的信息化項(xiàng)目審計(jì)框架，以風(fēng)險(xiǎn)為導(dǎo)向，貫穿信息化項(xiàng)目的整個(gè)生命周期，為大數(shù)據(jù)、人工智能時(shí)代的信息化基礎(chǔ)建設(shè)服務(wù)，為信息戰(zhàn)略規(guī)劃發(fā)展保駕護(hù)航。

（作者單位：中國(guó)人民銀行烏魯木齊中心支行，郵政編碼：830001，電子郵箱：517512182@qq.com）