軟體研發項目管理的審計研究

http://www.mypm.net/articles/show_article_content.asp?articleID=14980&pageNO=1

http://blog.vsharing.com/itgov/A884471.html

　　企業營運及管理越來越依賴于資訊技術，同時監管機構對企業風險管理的要求也越來越明确，對包括軟體研發項目管理在内的資訊系統規劃、建設及運作進行審計成為檢驗企業風險管理充分性與有效性的重要手段。是以我選擇軟體研發項目管理的審計過程和方法作為碩士論文的研究對象，并在2009年3月14日順利通過答辯。本論文在對軟體研發項目風險管理和資訊系統審計方法進行理論研究的基礎上，重點對軟體研發項目管理的審計過程及方法進行了深入的研究。  training.mypm.net

項目管理論壇

　　首先，在COSO全面風險管理模型的基礎上提出了軟體研發風險管理架構，對軟體研發項目管理審計的過程進行了明确，并按照軟體研發項目管理過程的六個階段（項目啟動、需求分析、軟體設計、編碼及測試、試運作及釋出、項目收尾）給出了軟體研發項目管理的風險控制矩陣，明确了各階段的控制目标、風險描述、最佳控制實踐及相應的測試方法，為對軟體研發項目管理過程進行評價提供了基礎。  

項目管理論壇

　　接着，本論文又給出了軟體研發項目管理水準的定量評價模型，該評價模型從軟體研發項目管理過程及管理結果（項目進度、項目成本和項目品質目标的實作程度）兩個方面對軟體研發項目管理情況進行整體評價，按照評價得分情況将軟體研發項目管理水準分為五個等級。  training.mypm.net

　　最後，本文通過案例研究的方式對軟體研發項目管理審計流程、方法和評價模型的科學性和實用性進行了實證。  blog.mypm.net

blog.mypm.net

1、項目啟動

    軟體研發項目管理的審計作為一個審計項目其項目啟動的過程與傳統的審計項目類似。在資訊系統審計項目的啟動階段主要是對審計對象、審計範圍進行确定并據此制定審計計劃、組成審計團隊。

    資訊系統審計項目或者是作為内部控制審計項目的子項目或者是作為某次專項審計而出現。在确定進行資訊系統審計後，首先任命審計項目負責人，審計項目負責人應熟悉審計方法論，對審計标準、審計活動的組織十分了解，同時具有較強的項目管理能力。由于審計對象本身的專業性比較強，不少組織将自己的資訊系統審計項目外包，在這種情況下，審計項目負責人需要與外包機關簽訂審計協定，對審計項目的相關内容進行規範。

    在審計項目啟動階段，最重要的是确定審計目标，審計目标或者是為了滿足監管要求，或者是為了提高被審計機關的資訊系統風險管控水準。審計項目負責人需要與審計發起者共同協商确定審計目标。軟體研發項目管理的審計目标一般是為了發現軟體研發管理過程中存在的問題，對軟體研發項目風險管理中存在的薄弱環節提出改進意見和建議，以加強對軟體研發項目的管理，從根本上保證軟體研發項目的成功。

    審計範圍需要根據審計目标結合被審計對象的實際情況确定。軟體研發項目管理是一個完整的過程，實際審計過程中既可以對軟體研發項目管理的全過程進行審計，也可以選擇組織認為問題比較嚴重的某幾個環節進行審計。同時軟體研發項目管理展現在具體的軟體研發項目中，為了能對組織的軟體研發項目管理狀況有一個整體的印象，需要對多個軟體研發項目的管理過程進行審計。是以對軟體研發項目管理進行審計，既可以針對單個軟體研發項目進行，也可以對企業軟體研發項目管理的整體情況進行評價。

    根據确定的審計目标和審計範圍，資訊系統審計項目負責人需要制定審計計劃，編制審計方案，準備審計工具等。資訊系統項目審計計劃包括審計進度計劃、人員組織計劃等，審計進度計劃應合理設定審計項目的裡程碑，如審計項目啟動、初步調研、現場審計、審計分析、審計報告編制等，根據審計發起人确定的最終項目完成時間或者審計内容合理安排各階段的進度；審計組人員主要包括審計項目負責人、審計師、項目管理專家、資深軟體研發工程師、文檔管理者等，需要根據相關人員的時間安排合理确定人員調配計劃，必要時還可能外聘相關專業人員參加。

    在确定了審計目标、審計範圍，制定了審計計劃和審計方案之後，應組織召開審計項目啟動會議，除了審計項目組人員之外，還應邀請被審計機關負責人參加項目啟動會議。在資訊系統審計項目啟動會議上，審計項目負責人應對審計目标、審計範圍、審計計劃進行介紹，為了保證審計的效果，對審計方案應有選擇地向被審計機關介紹。審計項目啟動會議的目的是為了統一審計組人員的認識，同時得到被審計機關的支援。

2、資訊調研

    對軟體研發項目管理進行審計，需要對被審計機關軟體研發項目管理的現狀進行調研，重點了解被審計機關項目的組織情況、項目管理的過程、項目管理内容以及項目管理的有關制度、流程，收集軟體研發項目管理相關的過程文檔。資訊調研的目的是為了在熟悉被審計機關軟體研發項目管理現狀的基礎上，為編制風險控制矩陣，制定控制測試計劃提供素材。為了提高工作效率，使被審計機關更好地配合審計項目的工作，審計項目組應拟定“需被審計機關提供的文檔資料清單”。

   對軟體研發項目管理的主要調研内容如下：

1）、被審計機關項目治理架構；

2）、被審計機關項目管理的組織架構及職能分工；

3）、被審計機關頒布的有關項目管理的制度、流程、指南等；

4）、被審計機關軟體研發項目管理的過程及存在的問題；

5）、被審計機關軟體研發項目風險管理的過程及存在的問題；

6）、被審計機關三年内完成或正在進行的軟體研發項目清單；

7）、上述軟體研發項目的項目立項、需求分析、設計、編碼、測試及投産等階段相關的技術文檔和項目管理文檔；

8）、以往軟體研發項目管理審計的審計底稿；

9）、三年内的與軟體研發項目管理相關的外部審計與内部審計報告；

10）、…..

3、控制矩陣編制

    在這個階段，審計項目組首先應對軟體研發項目管理每個階段的控制目标進行明确，這些控制目标一般是根據風險管理控制措施對保證項目目标達成的角度來确定的。軟體研發項目每個階段的風險管理控制目标一般都是固定的，必要時應根據被審計機關軟體研發項目管理的實際情況進行修訂。對應軟體研發項目各個階段的管理控制目标，審計項目組應根據項目管理的最佳實踐，結合監管部門的有關要求，明确每個階段的最佳風險控制措施。

    對收集到的被審計機關軟體研發項目管理相關資料的基礎上，結合現場訪談調研的結果，對應軟體研發的各個階段列出被審計機關現有的風險管理控制措施。按照控制目标、最佳控制實踐，對被審計機關現有軟體研發項目管理的控制措施進行差距分析，明确被審計機關軟體研發項目管理過程的風險大小，對風險比較大的控制措施應作為下一階段控制測試的重點。

    對軟體研發項目管理控制目标、最佳控制措施、現有控制措施以及軟體研發項目風險管理控制的差距以風險控制矩陣的形式記錄。

4、控制測試及分析

    對風險控制的審計主要是從控制措施的充分性和有效性進行分析，進而确定被審計機關軟體研發項目管理的狀況。所謂控制措施的充分性主要是指組織根據軟體研發項目管理過程風險分析的結果，确定了軟體研發項目管理的風險管理政策，并在此基礎據上制定了合适的軟體研發項目管理流程、制度。如果這些管理制度、流程能夠有效落實，那麼組織的軟體發研發項目管理将能夠滿足有關要求，保證軟體研發項目目标的實作。

    對于軟體研發項目管理過程控制措施的充分性，審計人員利用自己的知識、經驗通過分析就可以得出結論。對于軟體研發項目管理過程控制措施的有效性驗證則需要通過控制測試來實作。在風險控制矩陣中，按照軟體研發項目的不同階段分别列出了現有項目管理過程存在風險的對應控制措施，審計人員需要根據不同控制措施的實際情況，制定控制測試方案，來檢查這些控制措施是否在實際的軟體研發項目管理過程中得到了有效落實。

5、審計報告及建議

    在完成對被審計機關軟體研發項目管理過程的控制測試及分析後，需要将審計發現、審計結論及建議等有關内容按照規範的格式形成審計報告。在最後審閱審計工作底稿的基礎上，審計項目負責人召開審計小組的内部會議，對記錄的審計發現、結論和建議進行充分的讨論，評估發現問題的重要性并決定是否予以報告。

   對軟體研發項目管理的審計結論既可以在定性分析的基礎上給出，也可以進行定量分析後給出。定性分析主要由審計項目組按照軟體研發項目管理的不同階段，對控制測試的結果進行分析，進而形成對被審計機關軟體研發項目管理的整體印象。定量分析主要是通過對軟體研發項目各階段以及每個階段的主要控制目标進行指派，然後進行權重彙總，然後根據總體得分情況确定被審計機關軟體研發項目管理的等級水準。在實際的審計項目中，對小型的審計項目一般采用定性分析的方式，對比較複雜的審計項目一般采用定量分析和定性分析相結合的方式。

    審計建議的基礎是審計人員在對被審計機關軟體研發項目管理審計中的發現和結論，它們要求采取措施糾正存在的問題或改進操作。對于軟體研發項目管理的審計來說，審計人員應為被審計機關提出軟體研發項目管理的改進建議，改進建議應符合被審計機關的實際情況，具有一定的可操作性。

    通常，正式的最終書面審計報告應該包括背景介紹，審查範圍，意見或評價，發現的問題、建議和結論，被審查者的評論等幾個方面的内容。審計報告要在現場審計實施完成後及時予以編寫，并在文法、風格和技術上給予恰當的考慮，達到客觀，簡潔、及時并富有建設性的标準。

6、後續監督

    在内部審計實務中，作為完整審計過程的一個階段，後續監督意味對報告中反映的問題進行跟蹤檢查，确認管理層針對已報告的審計發現和建議所采取的行動是否适當、有效和及時的過程。《内部審計專業實務标準》指出，内部審計人員應該進行後續跟蹤，以确定對已報告的審計發現是否采取了恰當的糾正措施：确定糾正的措施是否已經實施并正在取得預期的效果，或者是确定企業管理當局(或董事會審計委員會)是否對已報告的發現已經承擔了不采取糾正的風險。