基于“五階段”的信息化項目管理審計

石永

[關鍵詞]信息化 ? ?項目 ? ?五階段 ? ?管理審計

信

一、基于ITSS“五階段”的審計框架

（一）ITSS的“五階段”

ITSS（信息技術服務標準）由國家信息技術服務標準工作組在工業和信息化部、國家標準化管理委員會共同指導下研究制定，既是我國IT服務行業最佳實踐的總結，也是IT服務研發、供應、推廣和應用等成果的結晶。ITSS原理如圖1所示。

ITSS組成要素包括人員、流程、技術和資源;ITSS生命周期由規劃設計、部署實施、服務運營、持續改進、監督管理五個階段組成。

（二）基于ITSS“五階段”的審計框架

結合ITSS原理，從信息化項目管理審計角度出發，提出“五階段”的審計框架（如圖2所示）。基于IT服務生命周期的審計思維，信息化項目管理審計應從信息技術服務標準的視角開展，確保審計開展的全面性和專業性。“五階段”信息化項目管理審計組成要素包括組織能力、規劃設計、部署實施、服務運營、監督管理，既考慮了ITSS中IT服務生命周期，又兼顧了IT服務組成要素。

“五階段”審計框架由ITSS產生，依托ITSS連貫的邏輯體系，改變了信息化項目審計在不同階段不連貫、相互遺漏的風險，將信息化項目的審計分布在IT服務不同階段的不同過程，有機整合為一個井然有序、良性循環的整體，使IT審計的質量得以不斷改進和提升。

二、基于“五階段”的信息化項目管理審計

（一）組織能力

關注信息化項目規章制度建立健全情況，如是否覆蓋整個信息化項目建設過程;關注信息化項目機制的建立以及整個生命周期指導、協調和監督責任劃分與落實情況，分析評價管理運行模式，評價組織管理的適當性和規范性;關注信息化建設是否具有近期與遠景規劃，避免盲目建設、建設生命周期短、重復度較高，造成不必要的資源浪費;關注信息系統建設是否缺乏統一規劃，造成信息化項目建設雜而亂，難以統一管理，不能滿足數據集中管理以及大數據發展的需求。

此外，應關注質量管理體系的建立是否符合科學經濟、安全可靠、開放穩定的基本原則;項目建設各階段銜接是否緊密，信息溝通與相互配合是否有效;項目投產前是否明確管理使用和運行維護責任部門，明確項目立項、技術方案確定、重大變更等重要事項決策程序;項目的人員配置、職責分工是否明確，是否具備信息化項目管理的知識、經驗和技能要求，對項目實施過程中的質量、過程、資源和技術是否都能清楚地掌握，管理人員是否為參加過信息化項目的專業人才。

（二）規劃設計

信息化項目立項：立項流程要規范可行，項目管理部門、承建部門、需求部門分工明確，溝通與協商機制運行通暢。

信息化項目可行性：應對建設目標和可衡量的業務功能等規范性進行評審。

信息化項目建設目標：應明確、合理，經過規范、專業、系統的規劃和設計，滿足相關業務發展的需要，形成最終的總體技術、建設實施方案。

信息化項目建設的安全性：項目建設需求和設計環節應結合業務，采用安全技術標準和建立安全控制體系對項目的物理安全、信息安全進行規劃和設計。

項目應用技術：應具有一定前瞻性、擴充性和先進性，設計兼顧持續升級改造計劃。

此外，項目規劃設計應考慮知識產權保護、保密協議、項目安全目標、業務連續性目標和系統安全保護等級設定;項目批準立項之后關注啟動不及時現象，超過一定的期限應重新開展立項評估工作，及時制訂項目實施方案，一般包括技術方案、進度方案、應急方案、資源管理、項目預算等，檢查實施方案審核流程的規范性、項目可行性分析的充分性、預算核定以及項目立項審批的合理性。

（三）部署實施

項目部署實施應遵循相應的建設指導規范，如機房建設規范指導、軟件開發規范和信息系統建設安全指引等，形成必要的技術文檔和實施資料。

項目部署進度：根據項目計劃和采購時間及早提交采購需求，采購的軟硬件到貨后組織驗收，留存驗收文檔，在此期間關注項目采購的風險、采購的決策和執行程序是否公開、透明，檢查采購合同是否有效履行，是否存在未按期交付和未滿足系統需求的情況。

項目測試：常見的測試包括功能測試、性能測試、安全測試、信息安全等級保護測試、數據安全性測試、用戶測試等;分析信息化項目引入第三方測試的必要性，以及第三方測試的資格是否符合項目保密要求，建立第三方測試規范。

項目變更：是指項目因制度、政策、標準、技術要求、業務需求等變化，導致項目功能、技術架構和方案、實施計劃等與項目任務或立項計劃不一致，出現暫停、終止等情況。應根據涉及的資金、時間、技術等要素的調整情況劃分變更的重要程度，根據不同程度的變更以及輕重緩急建立相應的變更流程。項目的變更次數超過兩次或一個適度閾值，應進行變更評估，確保項目的進度、資金與預定任務符合預期。變更結束后要對變更進行績效管理，加強項目變更風險的防控。

（四）服務運營

項目的上線運行應建立審核流程，程序源代碼及其相關技術文檔形成最終版，試運行通過方可投產應用。項目的驗收工作一般分為階段性驗收和總體性驗收，其中階段性驗收分布在硬件的到貨驗收、需求分析、設計開發、信息安全、試運行等項目開展過程中的重要節點;總體性驗收包含項目總體目標的實現情況、預算支出情況以及階段性驗收情況等。參與項目驗收的人員應熟悉項目任務，掌握項目的建設管理情況，根據驗收結論及問題答復情況編制項目驗收報告。

信息化項目檔案是記錄和反映項目建設、項目管理以及運行維護等過程中形成的以紙張、磁盤、光盤、磁帶、實物等形式存在的具有保存價值的文字、圖表、聲像等歷史記錄，是項目后期升級、風險管理和故障追溯的重要史料。項目檔案的收集整理工作應與項目建設同步進行，防止項目結束后突擊補充資料。檔案的管理應統一分類，資料齊全，歸檔及時，整齊有序，查閱方便，嚴防丟失和泄密，確保檔案的完整、準確、安全、保密和有效利用。檔案借閱應履行借閱審批手續，填寫借閱登記簿。

（五）監督管理

項目監督管理需關注項目建設的效益性、重復投資和重復建設情況、新建項目功能是否類似或具有可替代性。項目建設各階段工作是否在計劃時間內完成且達到預定建設目標，項目進度、成本和質量控制措施是否得到有效控制與實施且達到預期效果。

項目的資金撥付情況：應與項目進度相匹配，項目進行過程中針對項目的監管情況，如建立月報或者季度報送機制，報送的情況不限于項目進展情況、采購進度、資金撥付、項目預估風險或者已發生風險和資源的準備等，不定期組織開展項目績效評審。項目運行一段時間后，應組織項目相關部門進行項目使用、運行后評估，形成最終的評估報告。

項目建設外包的經濟性、有效性和風險管理：分析公開招投標流程，綜合評價項目承建單位的市場信譽、資質條件、財務狀況、技術服務能力、業務經驗等;關注外包合同簽訂的規范性、準確性和有效性，評估是否滿足技術和服務外包合同的基本要求，監督合同履行情況，指出外包項目面臨的風險。

數據安全：應加強數據收集、存儲、傳輸、處理過程的管理，防范數據泄露、被篡改與不當使用的風險，保障數據安全。信息化項目中的數據安全管理應遵循分級分類、確保安全、統一標準、充分利用、責任明確等原則。

基于以上“五階段”的信息化項目審計框架，以風險為導向，貫穿信息化項目的整個生命周期，為大數據、人工智能時代的信息化基礎建設服務，為信息戰略規劃發展保駕護航。

（作者單位：中國人民銀行烏魯木齊中心支行，郵政編碼：830001，電子郵箱：517512182@qq.com）