石永

[关键词]信息化    项目    五阶段    管理审计

信

一、基于ITSS“五阶段”的审计框架

（一）ITSS的“五阶段”

ITSS（信息技术服务标准）由国家信息技术服务标准工作组在工业和信息化部、国家标准化管理委员会共同指导下研究制定，既是我国IT服务行业最佳实践的总结，也是IT服务研发、供应、推广和应用等成果的结晶。ITSS原理如图1所示。

ITSS组成要素包括人员、流程、技术和资源;ITSS生命周期由规划设计、部署实施、服务运营、持续改进、监督管理五个阶段组成。

（二）基于ITSS“五阶段”的审计框架

结合ITSS原理，从信息化项目管理审计角度出发，提出“五阶段”的审计框架（如图2所示）。基于IT服务生命周期的审计思维，信息化项目管理审计应从信息技术服务标准的视角开展，确保审计开展的全面性和专业性。“五阶段”信息化项目管理审计组成要素包括组织能力、规划设计、部署实施、服务运营、监督管理，既考虑了ITSS中IT服务生命周期，又兼顾了IT服务组成要素。

“五阶段”审计框架由ITSS产生，依托ITSS连贯的逻辑体系，改变了信息化项目审计在不同阶段不连贯、相互遗漏的风险，将信息化项目的审计分布在IT服务不同阶段的不同过程，有机整合为一个井然有序、良性循环的整体，使IT审计的质量得以不断改进和提升。

二、基于“五阶段”的信息化项目管理审计

（一）组织能力

关注信息化项目规章制度建立健全情况，如是否覆盖整个信息化项目建设过程;关注信息化项目机制的建立以及整个生命周期指导、协调和监督责任划分与落实情况，分析评价管理运行模式，评价组织管理的适当性和规范性;关注信息化建设是否具有近期与远景规划，避免盲目建设、建设生命周期短、重复度较高，造成不必要的资源浪费;关注信息系统建设是否缺乏统一规划，造成信息化项目建设杂而乱，难以统一管理，不能满足数据集中管理以及大数据发展的需求。

此外，应关注质量管理体系的建立是否符合科学经济、安全可靠、开放稳定的基本原则;项目建设各阶段衔接是否紧密，信息沟通与相互配合是否有效;项目投产前是否明确管理使用和运行维护责任部门，明确项目立项、技术方案确定、重大变更等重要事项决策程序;项目的人员配置、职责分工是否明确，是否具备信息化项目管理的知识、经验和技能要求，对项目实施过程中的质量、过程、资源和技术是否都能清楚地掌握，管理人员是否为参加过信息化项目的专业人才。

（二）规划设计

信息化项目立项：立项流程要规范可行，项目管理部门、承建部门、需求部门分工明确，沟通与协商机制运行通畅。

信息化项目可行性：应对建设目标和可衡量的业务功能等规范性进行评审。

信息化项目建设目标：应明确、合理，经过规范、专业、系统的规划和设计，满足相关业务发展的需要，形成最终的总体技术、建设实施方案。

信息化项目建设的安全性：项目建设需求和设计环节应结合业务，采用安全技术标准和建立安全控制体系对项目的物理安全、信息安全进行规划和设计。

项目应用技术：应具有一定前瞻性、扩充性和先进性，设计兼顾持续升级改造计划。

此外，项目规划设计应考虑知识产权保护、保密协议、项目安全目标、业务连续性目标和系统安全保护等级设定;项目批准立项之后关注启动不及时现象，超过一定的期限应重新开展立项评估工作，及时制订项目实施方案，一般包括技术方案、进度方案、应急方案、资源管理、项目预算等，检查实施方案审核流程的规范性、项目可行性分析的充分性、预算核定以及项目立项审批的合理性。

（三）部署实施

项目部署实施应遵循相应的建设指导规范，如机房建设规范指导、软件开发规范和信息系统建设安全指引等，形成必要的技术文档和实施资料。

项目部署进度：根据项目计划和采购时间及早提交采购需求，采购的软硬件到货后组织验收，留存验收文档，在此期间关注项目采购的风险、采购的决策和执行程序是否公开、透明，检查采购合同是否有效履行，是否存在未按期交付和未满足系统需求的情况。

项目测试：常见的测试包括功能测试、性能测试、安全测试、信息安全等级保护测试、数据安全性测试、用户测试等;分析信息化项目引入第三方测试的必要性，以及第三方测试的资格是否符合项目保密要求，建立第三方测试规范。

项目变更：是指项目因制度、政策、标准、技术要求、业务需求等变化，导致项目功能、技术架构和方案、实施计划等与项目任务或立项计划不一致，出现暂停、终止等情况。应根据涉及的资金、时间、技术等要素的调整情况划分变更的重要程度，根据不同程度的变更以及轻重缓急建立相应的变更流程。项目的变更次数超过两次或一个适度阈值，应进行变更评估，确保项目的进度、资金与预定任务符合预期。变更结束后要对变更进行绩效管理，加强项目变更风险的防控。

（四）服务运营

项目的上线运行应建立审核流程，程序源代码及其相关技术文档形成最终版，试运行通过方可投产应用。项目的验收工作一般分为阶段性验收和总体性验收，其中阶段性验收分布在硬件的到货验收、需求分析、设计开发、信息安全、试运行等项目开展过程中的重要节点;总体性验收包含项目总体目标的实现情况、预算支出情况以及阶段性验收情况等。参与项目验收的人员应熟悉项目任务，掌握项目的建设管理情况，根据验收结论及问题答复情况编制项目验收报告。

信息化项目档案是记录和反映项目建设、项目管理以及运行维护等过程中形成的以纸张、磁盘、光盘、磁带、实物等形式存在的具有保存价值的文字、图表、声像等历史记录，是项目后期升级、风险管理和故障追溯的重要史料。项目档案的收集整理工作应与项目建设同步进行，防止项目结束后突击补充资料。档案的管理应统一分类，资料齐全，归档及时，整齐有序，查阅方便，严防丢失和泄密，确保档案的完整、准确、安全、保密和有效利用。档案借阅应履行借阅审批手续，填写借阅登记簿。

（五）监督管理

项目监督管理需关注项目建设的效益性、重复投资和重复建设情况、新建项目功能是否类似或具有可替代性。项目建设各阶段工作是否在计划时间内完成且达到预定建设目标，项目进度、成本和质量控制措施是否得到有效控制与实施且达到预期效果。

项目的资金拨付情况：应与项目进度相匹配，项目进行过程中针对项目的监管情况，如建立月报或者季度报送机制，报送的情况不限于项目进展情况、采购进度、资金拨付、项目预估风险或者已发生风险和资源的准备等，不定期组织开展项目绩效评审。项目运行一段时间后，应组织项目相关部门进行项目使用、运行后评估，形成最终的评估报告。

项目建设外包的经济性、有效性和风险管理：分析公开招投标流程，综合评价项目承建单位的市场信誉、资质条件、财务状况、技术服务能力、业务经验等;关注外包合同签订的规范性、准确性和有效性，评估是否满足技术和服务外包合同的基本要求，监督合同履行情况，指出外包项目面临的风险。

数据安全：应加强数据收集、存储、传输、处理过程的管理，防范数据泄露、被篡改与不当使用的风险，保障数据安全。信息化项目中的数据安全管理应遵循分级分类、确保安全、统一标准、充分利用、责任明确等原则。

基于以上“五阶段”的信息化项目审计框架，以风险为导向，贯穿信息化项目的整个生命周期，为大数据、人工智能时代的信息化基础建设服务，为信息战略规划发展保驾护航。

（作者单位：中国人民银行乌鲁木齐中心支行，邮政编码：830001，电子邮箱：517512182@qq.com）