IT项目管理从理论到实践.docx

1、IT项目管理从理论到实践第十三章 IT项目监理与审计本章知识要点 IT项目监理与审计是信息技术发展的必然产物； 随着组织对信息系统依赖度越来越高，IT项目工程监理与审计将在企业IT治理起到更重要的作用。 学习完本章后，应当掌握如下知识：（1）IT项目工程监理与审计的重要性。（2）信息系统工程监理资质和IT审计资质。（3）IT项目工程监理的定位、范围、依据和内容。（4）IT项目监理实施的4个阶段。（5）信息系统审计的分类与流程。（6）基于COBIT的IT项目审计。（7）IT项目工程监理与审计的区别。13.1 信息系统工程监理 信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业

2、主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。 从项目监理公司的角度来看，信息系统工程监理的工作职责是完成用户方的委托，对IT项目建设实施进行监督管理。 监督管理的主要任务包括： 协助甲方组织IT项目的招标、评标活动； 协助甲方与中标单位签订IT项目的开发合同； 根据甲方的授权，监督并管理开发合同的履行； 根据监理合同的要求，为甲方提供技术服务； 监理合同终止后，向甲方提交监理工作报告。13.1.1 信息系统工程监理概述1）我国信息系统工程监理的发展 项目的成功需要一个站在公正立场上的第三方机构对工程实施的过程进行质量把关和管理协调。 我国

3、信息工程监理开始迈向科学化、专业化和规范化 。 信息系统工程监理工程师将逐步成为国民经济和社会信息化的指导者和执法人。2)信息系统工程监理的资质管理 国家重大信息化工程实行招标制和工程监理制，工程监理承担单位必须具有相关资质 。 监理单位资质等级划分从综合条件、业绩、监理能力和人才实力四个方面进行区分 。3） IT项目工程监理的相关知识 目标：加强沟通，保证项目的关键技术指标在项目实施过程中处于受控状态。 定位 ：依据国家有关法律法规、技术标准和IT项目工程监理合同，对IT项目工程项目实施监督管理，以保证IT项目工程的顺利实施，达到预定的目标。 范围 ：监理单位应根据建设单位的意愿来商定监理范

4、围和业务内容 。 依据 ：国家的政策、法律法规、技术标准、行业规范以及合同的法律法规。13.1.2 IT项目监理的主要内容 四控制：质量、进度、成本和变更控制； 三管理：合同管理、信息管理和安全管理； 一协调：协调相关单位及人员间的工作关系。13.1.3 IT项目监理的实施 IT项目工程监理从承接监理业务、签订委托监理合同开始，到竣工验收、出具监理报告结束。 包括准备阶段、立项阶段、实施阶段和验收阶段。 13.2 IT项目审计 IT项目审计是指对IT项目的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程； IT项目审计是客观获取、评价与IT项目相关事项，并对组织已建

5、立的控制标准与风险程度进行评估，将最终结果向使用者进行公布的过程。13.2.1 IT审计概述 信息技术及其运行环境方面不断的变化、企业对信息技术的依赖性不断增强，都对IT相关风险的管理提出了更高的要求。 外部的法律环境也要求更加严格地控制信息。 与IT相关联的风险管理，正在作为企业治理的一个关键部分而加以理解，怎样合理的评价IT风险成为IT项目领域的新课题；IT审计在这种环境中应运而生。1）IT审计的重要意义 信息时代竞争的加剧、信息流的电子传播方式等使市场对及时和相关信息的需求越来越多，现有财务报告模式的局限性日渐突出。 今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投

6、资决策，商业信息的在线和实时披露是不可扭转的必然趋势。 信息时代的财务报告模式将会是以企业的业绩评估为基础，在线的、实时的信息披露。 在新经济环境中，要求信息系统审计师能够以在线、实时的信息为基础提供鉴证，通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。 信息化投资占企业整体投资的比例越来越大，企业中越来越多的业务流程都建立在IT系统之上；管理业务就是管理IT，两者不可割裂。 当人们开始更多的关注IT项目的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的IT项目风险评估与审计才开始出现。 随着电子商务的全球普及，IT项目的审计对象、范围及内容将逐渐

7、扩大，采用的技术也将日益复杂。2） IT审计资质认证 信息系统审计师（CISA）是指一批专家级的人士； CISA既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉业务运营管理的核心要义； CISA能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。 拥有CISA资格证书是持证人专业能力的展示，并成为专业程度的衡量基础。 随着对信息系统审计、控制与安全专业人士需求量的增长，CISA已成为全球范围内个人与公司机构不可或缺的认证。 CISA资格证书代表持证人以卓越的能力服务于公司并致力于信息系统审计、控制与安全领域。 注册信息系统审计师资格考试包

8、括信息系统审计流程和信息系统相关知识两大方面内容： 信息系统的管理、计划与组织 信息技术基础设施与操作实务 信息资产的保护 灾难恢复与业务持续计划 应用系统开发、获得、实施与维护 业务处理流程评价与风险管理3） 信息系统审计的分类 信息系统战略规划与组织审计 技术基础平台审计 信息资产保护审计 持续性管理与灾难恢复审计 IT项目审计13.2.2 信息系统审计的流程1）企业信息系统策略和流程分析信息系统策略及流程分析 2） 建立基于风险的审计评估表基于风险的审计评估表3） 确定审计的技术和步骤审计测试方法一览表 4）形成审计底稿和审计报告的初稿审计底稿模板5）审计发现的解决和跟进 当审计完成并发

9、现一些风险隐患后，应对发现的问题进行反馈； 反馈的对象包括：流程的操作人员、高层管理人员和企业的审计委员会。 提出建议，在与企业沟通探讨后对解决方案进行确认，并跟踪解决的效果。13.2.3 基于COBIT的IT项目审计 信息及其相关技术控制目标(COBIT) 是一个IT治理的模型，是进行IT审计的重要依据。 COBIT在上世纪90年代早期由IT治理协会（ISACA）提出，目前已成为国际上公认的IT管理与控制框架。 COBIT已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。 COBIT提供了一个全面的涉及公司层面和整体运营的控制框架。 它通

10、过寻求支撑业务目标或需求，获取需要由IT过程来管理的IT资源联合应用的结果信息，以逐步接近理想的IT控制。 COBIT提供了一个全面的涉及公司层面和整体运营的控制框架。 它通过寻求支撑业务目标或需求，寻求需要由IT过程来管理的IT相关资源联合应用的结果的信息，逐步接近理想的IT控制。 在审计过程中，通常把IT项目建设分为：可行性研究和立项阶段、项目规划阶段、实质性开发阶段、验收维护阶段。 项目的安全管理与有效沟通是贯穿在整个项目的建设过程中的。 4个阶段、2个管理在项目建设中的34个IT过程是否符合企业预定目标，成为项目成功的关键。 审计人员在项目审计的过程中应该进行全面分析和综合评估。13.

11、2.4 IT项目工程监理与IT项目审计的区别 实施范围的区别 目的与目标的区别 服务对象的不同 持续时间的不同 采用的技术与方法的区别 小结 IT项目监理与审计是信息技术发展的产物，随着组织对信息系统依赖度越来越高，IT项目工程监理与审计将在企业IT治理起到更重要的作用。 IT项目工程监理是指依法设立且具备相应资质的IT项目监理单位，受业主委托，依据法律法规、技术标准和工程监理合同，对IT工程项目实施的监督管理。 IT项目工程监理是组织外包于独立第三方的管理业务，其工作职能包括规划与组织、协调与沟通、控制、监督与评价4个方面 。IT项目监理分为准备阶段、立项阶段、实施阶段和验收阶段4个阶段。

12、信息系统审计是客观获取、评价与信息系统相关事项，并对企业已建立的控制标准与风险程度进行评估,并将最终结果向使用着进行公布的过程。 信息系统审计的流程包括企业信息系统策略和流程分析、建立基于风险的审计评估表、确定审计的技术和步骤、形成审计报告初稿和审计发现的解决和跟进5个步骤。 信息系统的审计分为信息系统战略规划与组织审计、技术基础平台审计、信息资产保护审计、持续性管理和灾难恢复审计和IT项目审计。 COBIT是一个IT治理的模型，是进行IT审计的重要依据，它通过寻求支撑业务目标或需求的信息，获取需要由IT过程来管理的相关资源联合应用的结果信息，以逐步接近理想的IT控制。 第十四章 规范项目配置

13、管理 学习完本章后，应当掌握如下知识：（1）项目配置管理的重要性。（2）软件配置项包括哪些内容。（3）配置管理活动的内容和过程。（4）配置管理组织的构成。（5）配置管理工具的使用。（6）配置管理和软件重用之间的联系。（7）IT项目文档的管理。14.1 项目配置管理概述 计算机软件的发展经历了程序设计阶段、软件系统阶段和软件工程阶段，软件的复杂性日益增大。 在这一过程中，配置的概念逐渐引入软件领域，人们越来越重视软件配置的管理工作。 不懂软件项目的配置管理，就不懂软件开发管理。 不对软件项目进行配置管理，就不可能有效得进行软件项目开发管理。14.1.1 项目配置管理的重要性 随着软件项目团队人员

14、的增加，软件版本的变化，开发时间的紧迫，以及多平台开发环境的采用，软件开发面临越来越多的问题，其中包括： 对当前多种产品的开发和维护 保证产品版本的精确 重建先前发布的产品 加强开发政策的统一 对特殊版本需求的处理 这些问题在实际开发中表现为： 项目组成员沟通困难 软件重用率低下 开发人员各自为政 代码冗余度高 文档不健全 这些问题造成的后果是： 数据丢失 开发周期漫长 产品可靠性差 质量低劣 软件维护困难 用户抱怨使用不便 项目风险不断增加 随着软件系统的日益复杂化和用户需求、软件更新的频繁化，配置管理逐渐成为软件生命周期中的重要控制过程。 一个好的配置管理过程能覆盖软件开发和维护的各个方面

15、，同时对软件开过程的宏观管理也有重要的支持作用。 良好的配置管理能使软件开发过程有更好的可预测性，使软件系统具有可重复性，使用户和主管部门对软件质量和开发小组有更强的信心。 在质量体系的诸多支持活动中，配置管理处在中心位置，它有机地把其它支持活动结合起来，有力地保证了质量体系的实施。 从软件企业的发展战略来说，建立企业的知识库及经验库，把个人的知识和经验转变为企业的知识和经验，这对于提高工作效率，缩短产品周期，加强企业的竞争力具有至关重要的作用。14.1.2 项目配置管理基本概念 软件配置是说明软件组成的一种术语。与计算机配置中选择的部件都是现成的产品不同的是，组成软件的部件通常都是需要进行开

16、发的。 软件配置是指开发过程中，构成软件产品的各种文档、程序及其数据的优化组合。 优化组合中的每一个元素称为配置中的一个配置项,也可以把软件配置项定义为软件中可以独立进行开发的一个实体，该实体包括：程序、数据及其相应的文档和说明。 软件配置管理（SCM）是指对软件生存期内各阶段的文档、实体和最终产品的演化和变更进行管理； 软件配置管理还包括对变更的标识、控制和发布的管理。 通过软件配置管理，使设计变更管理制度化，以提高开发效率、减少错误，保证产品的质量。 14.2 项目配置管理项 配置管理中涉及到配置项、里程碑、基线、受控库、基线库、产品库等基本概念； 理解这些概念，弄清楚它们在配置管理流程中

17、的作用对项目配置管理的实施尤为重要。14.2.1 软件配置项 凡是纳入配置管理范畴的工作成果统称为配置项。 配置项逻辑上组成软件系统的各组成部分，一般是可以单独进行设计、实施和测试的。 一个纯软件的配置项通常也称之为软件配置项，如表14-1所示。 软件项目配置项主要有两大类： 属于产品组成部分的工作成果，例如需求文档、设计文档、源代码、测试用例等； 项目管理组织在管理项目过程中产生的项目管理文档。这些文档虽然不是产品的组成部分，但是值得保存。14.2.2 基线 基线是已经通过了正式复审的规格说明或中间产品，它可以作为进一步开发的基础，并且只有通过正式的变化控制过程才能改变它。 基线就是通过了正

18、式复审的软件配置项。14.2.3 其他配置管理项 里程碑：即通常所说的软件开发过程中的“阶段”，如果说它们之间有区别的话，那么“阶段”强调的是过程，而“里程碑”则强调过程的终点和终点的标识。 开发库：开发库存放开发过程中按照要求生成的各种技术文档、源程序、可执行代码和使用的数据，为开发人员的活动提供支持。 软件受控库：又称作软件配置库，是指在软件生命周期的某一阶段结束时，存放作为阶段产品而释放的、与软件开发工作有关的计算机可读信息和人工可读信息的库。 基线库：基线库是软件受控库中一些特别重要的库，如：需求（基线）库和产品（基线）库。基线库包括通过评审的各类基线，各类变更申请的记录和统计数据。

19、产品库：是某一基线的静态拷贝，基线库进入发布阶段形成产品库。产品库是存放软件最终产品（即：产品基线）的库，基于它的重要性，对它的修改将受到特别的控制。产品基线是最初批准的产品配置标识。14.3 项目配置管理基本活动 软件配置管理的对象是软件研发活动中的全部开发资产。 软件配置管理的基本活动包括： 制定项目的配置计划 对配置项进行标识 对配置项进行版本控制 对配置项进行变更控制 定期进行配置审计 向相关人员报告配置的状态。14.4 项目配置管理组织 要使配置管理活动在信息系统的开发和维护中得到贯彻执行，首先要了解项目配置管理组织的构成，还要明确配置管理活动的人员、职责、权限。 特别要强调对项目配

20、置管理员这个重要角色的素质要求。配置管理过程的主要参与人员如下： 项目经理 配置经理 配置控制委员会（CCB） 配置管理员（CMO） 开发人员14.5 项目配置管理工具 软件配置管理是一项十分繁琐的工作，同时又和整个软件的开发活动紧密地联系在一起； 配置管理工作更强调工具的支持，缺乏良好的配置管理工具，要做好配置管理的实施会非常困难。 为使软件开发始终处于受控之中，需要建立一套体现软件工程特点的配置管理体系，并依据体系要求选用软件配置管理工具来进行管理。14.6 软件复用与构件配置管理 随着软件规模的不断扩大，人们对软件生产效率和软件质量的要求越来越高； 长期以来，研究人员一直致力于提高软件生

21、产率和软件质量； 软件复用是解决此问题的有效途径，而项目配置管理能更好的提高软件复用效率。14.7 IT项目文档管理 项目文档既是产品形成与项目管理过程的见证，也是提高项目管理质量的有效手段。 在IT项目的实施过程中，文档资料的整理和归档是IT项目管理的一项重要工作，是项目成果的组成部分。 没有完整文档的IT项目是有缺陷的，也是没有生命力的！14.7.1 IT项目文档与文档管理 项目文档是指一些记录的数据和数据媒体，它具有固定不变的形式，可被人和计算机阅读。 IT项目的文档主要涉及到技术文档、程序控制文档和管理制度文档等。 文档管理要做到及时、真实、符合标准。 及时：文档制作要及时，归档要及时

22、； 真实：文档中的数据必须是真实有效的； 标准：文档的格式和填写必须规范。 要管理好IT项目文档，需要在如下几个方面做出努力。 对文档进行分类和索引； 对文档的变更过程进行管理； 对文档的版本进行标识与管理； 制定文档编写的风格与格式； 规定技术文档的模版； 提供文档的查询与检索功能； 对文档进行归档、组卷处理。 14.7.2 IT项目文档分类14.7.3 IT项目的主要文档 为了管理好项目文档，写出高质量的文档，IT企业需要制订一些标准的文档模版，通过目标的使用，既可以避免遗漏关键内容、提高编写效率，也可以提供软件管理的能力。 IT项目中需要的主要项目文档包括： 需求说明书。 技术规划书 概

23、要设计说明书 数据库设计说明书 详细设计说明书 系统指南14.7.4 控制程序类与质量记录类文档管理 IT项目管理工作需要有一个针对计划的控制程序，项目中的计划文档由该控制程序进行规范。 控制程序的目的是为了保证公司内项目能够有计划、按步骤地实施，资源能得到合理的分配和有效的利用。 控制程序类包括： 项目计划编写要求 项目的阶段划分 项目的组织和管理 项目的资源分配 项目的进度安排 项目计划的审核和批准 项目计划的修改 质量记录控制程序则主要是针对质量记录进行控制和管理，提供产品质量符合要求和质量体系有效运行的证据。 项目的质量是由大量的项目计划文档、项目技术文档、项目控制文档以及项目过程记录

24、文档来表现和保证的。 这些文档之间存在着各种各样的关联，它们之间的关联包括质量改进过程文档关联、产生支持过程文档关联和开发生产过程文档关联。小结 软件配置管理覆盖了整个软件的开发过程，贯穿于整个软件生命周期，它为软件开发提供了一套管理办法和活动原则。 版本管理提高了开发人员的工作效率，而变更控制则提高了整个开发团队的工作效率，两者的紧密结合，使软件开发项目的质量管理过程规范而有效。 良好的配置管理能使软件开发过程有更好的可预测性，使软件系统具有可重复性，使用户和主管部门对软件质量和开发小组有更强的信心。 项目配置管理涉及到配置项、里程碑、基线、受控库、基线库、产品库等。 项目配置管理基本活动包

25、括制定项目配置计划、配置项标识、配置项版本控制、配置项变更控制、配置审计、报告配置的状态。 项目配置管理组织主要由项目经理、配置经理、配置管理委员会、配置管理员和开发人员构成。 软件复用是解决软件规模的不断扩大而引起的现实可行的途径，项目配置管理能更好的提升软件复用的效率。 项目文档既是项目管理过程的见证，也是提高项目管理质量的有效手段。文档管理要做到及时、真实、符合标准。第十五章 IT系统运营与服务 学习完本章后，应当掌握如下知识：（1）IT系统运营与服务管理的重要性。（2）ITIL产生的背景和整体架构。（3）服务台的特点与用途。（4）IT服务支持管理5大流程。（5）IT服务提供管理5大流程

26、。15.1 基于ITIL的IT服务管理 IT在企业受到越来越多的重视。一方面,企业不断投资购建各种硬件、系统软件和网络； 另一方面不断开发实施ERP、CRM、决策支持和知识管理等应用系统。 但是，经过长期的投资和建设，许多企业发现IT并没有达到他们所期望的效果。 人们已经认识到，IT运营管理并不是一个单纯的技术问题，而是一种以服务为中心、以流程为基础、以客户满意和服务品质为核心的管理体系； 它需要使用通用性、客观性和实用性的IT管理方法，使IT资源发挥最大效能，并协助企业IT部门由传统的操作导向升级为服务导向。15.1.1 从运营到服务 对于企业而言，发展基于信息技术的新型服务方式将成为企业新

27、的经济增长点。 一个产品的设计制造可能要5到10年，而实际使用可能是25至50年，所以对于产品而言，大量的时间需要为它提供服务支持。 所以在软件产品设计制造中要贯彻一个观念,就是要进行面向服务的软件设计制造，而且我们很多的利润会在后续服务里面获得。 信息资源的深度开发和信息技术的广泛应用，是提高经营管理、决策效率，降低产品与服务成本、提高企业流程的运行效率、提高企业核心竞争力的有效手段。 企业的成败取决于市场与客户，为取得市场竞争优势，“以客户为中心，以市场为导向”的服务理念已成为企业经营决策的指导方针。 信息资源管理模式从运营到服务的转变对信息系统的管理提出了更高的要求，ITIL应运而生。1

28、5.1.2 ITIL概述 信息技术基础架构库（ ITIL ）是英国国家计算机和电信局于80 年代中期开发的一套针对 IT 行业的服务管理标准库，它成为政府IT部门的最佳实践指南。 目前ITIL已成为IT行业服务管理的理论基础和IT管理标准体系。 当前，IT外包风潮的兴起和塞班斯法案等外界监管使CIO更加重视IT运行的流程框架； 建立成熟的框架可以为信息系统带来一致性、可测量性、精确度和稳定性，最终实现服务质量的提高和较好的商业回报。 15.1.3 ITIL整体架构 ITIL努力在业务与技术之间，通过服务管理建立一个IT服务管理实施的平台，使IT的运营与服务的水平达到业务的要求。 ITIL整体构

29、架下的IT服务管理（ITSM）是一套以流程为导向、以客户为中心、提高企业IT“服务提供”和“服务支持”能力及水平的规范的管理方法。 15.1.4 ITIL认证 ITIL认证体系由国际上四大权威机构联合运作，以保证证书的专业性、开放性、权威性和实用性。 四大运作机构： 英国政府商务部（OGC） IT服务管理论坛（itSMF） 国际信息科学考试协会（EXIN） 信息系统考试委员会（ISEB） ITIL认证体系分为三个层次： 基础认证：全称为“信息系统运营与服务管理基础认证”，是对IIIL入门者的核心基础认证。 应用认证：全称为“信息系统运营与服务管理实施认证” ，是对ITIL实施者的专业技术认证。

30、 管理认证：全称为信息系统运营与服务管理基础经理人认证，是对ITIL经理人的经营管理认证。 15.2 服务台 服务台（Service Desk）是ITIL提供的一项管理职能。服务台可以理解为系统应用部门和服务流程的“前台”； 对用户而言，服务台是“应答机”。 在碰到任何问题或疑问时，只需联系服务台的工作人员，再由服务台的工作人员指导和协调下一步的处理工作。 通过服务台的建立，可以： 建立与最终用户之间的联系； 保障高质量的技术支持来满足业务目标； 帮助确认信息技术服务的成本； 增加用户的对信息技术服务的理解和满意度； 协助确认业务机会等。15.2.1 服务台的智能 服务台是服务管理的核心，事故管理、问题管理、配置管理、变更管理和发布管理都需要通过服务台进行实施。并具体承担一下工作职能。 跟踪用户的事故请求，并将其提交给后台支持，当事