為何內部審計就要關注軟件開發流程和軟件開發項目管理

11字體；大中小】印】

本章的重要內容

?為何內部審計師要關注軟件開發流程和軟件開發項目管理

?軟件流程能力成熟度模型

?內部審計師與軟件流程能力成岫度模型

?信息系統項目管理

?項目管理與內部審計人員

為何內部審計師要關注軟件開發流程和軟件開發項目管理

?軟件質量影響組織業務正常有效運行.

?內部審計師作為企業治理和完整內部控制框架的?種必要構成部分，對于企業軟件開發流程?管理控制也具有監仰、征詢職能。

軟件質量屬性

?軟件的質埔屬性

-功能性

-可把性

-易用性

-效率

-可維護性

-可移植性

內部審計師在軟件開發流程管理中的職責

為何內部審計斷要關注軟件開發流程和軟件不獨項目管理

［字體:大中小】印】

本章的里要內容

?為何內部審計師要關注軟件開發流程和軟件開發項目管理

?軟件流程能力成熟度模型

?內部審計師與軟件流程能力成熟位模型

?信息系統項目管理

?項目管理與內部審計人員

為何內部審計師要關注軟件開發洸程和軟件開發項目管理

?軟件般敢影響組織業務正常有效運行.

?內部審計加作為企業治理和完替內部控制框架的種必要構成部分，對于企業軟件開發流程?管理控制也具有監咨、征詢職髡。

軟件偵量屬性

?秋件的質值屬性

-功能性

-可掂性

-易用性

-效率

-可維護性

-可移植性

內部審計師在軟件開發流程管理中的職責

軟件流程能力成熟度模型CMM

$1［字體：大中小】［|fp］

一、什么是CMM

?CapabilityMaturityModel

-企業軟件流程的能力、成熟度模型

一是用來確定一種企業的軟件流程的成熟程度

以及指明怎樣提高該成熟度啊參照模組。

二、CMM的基本概念

?組織(organization)，管理軟件項目，能對項目進行評估和流程改善的實體，如政府機關、企業、服務部門等，

?項目(project).由組織承擔的，并需要組織中各部門通力合作完畢的指定產品的開發和維護任務.任何一種項目都波及經費、

成本和進度計劃。這里的產品包括硬件、收件或其他構件。

?軟件流程(softwareprocess)。軟件開發人員為開發和維護軟件及有關產品所實行的一系列環節?這些環節波及措施、工具

以及人的組織和行為。軟件產品的楨眾取決于軟件開發和維護流程的城奴，與其他產品的開發流程同樣，軟件流程也必須進行嚴格管

理，由丁只有嚴格管理才能保證效益和質量，

?組織的原則軟件流程(organization'sstandardsoftwareprocess),組織內部使用的軟件流程，它描述軟件流程要素和要

素之間的關系，用它可以建立某一詳細項目的軟件流程。

?軟件開發組織的軟件流程能力是軟件開發組織可以承接軟件項目的重要根據,成熟的軟件開發組織十分重視提高自身的軟件流

程能力，組織的領導者注意調動各層次、各類型人員的積極性和發明性，注意提高員工素質和技能，注意培百和發揚企業文化，在軟

件開發流程中，大家可以團結協作.可以將人、軟件開發方略和措施、軟件工具和環境有機地結合起來,使得軟件開發和維護的夠個

流程是系統的、完整的、?致的和規范的,軟件開發組織的軟件流程是動態的，是逐漸成熟和演化儕J。

?項目的軟件流程(project'sdefinedsoftwureprocess).按照項目時特點和規定.對組織時鼻則軟件流程進行剪裁和描述，

包括有關的軟件即則、規程、工具和措施，

三、為何需要CMM

?軟件企W啊口的，獲得利澗

-建立友保障產品的信譽

?產品自身的品質

?產品滿足需求的程度

?產從的工期規定

-產品的成本

?產1a的質盤+生產流程的質n

?軟件企業啊重要問題

-產品自身：不能滿足顧客的需求：貸敢癥以滿足預定規定，bug過多

流程方面：成本和工期不可測；成功叫軟件開發經緊依極于個人而不可反笈

?何題癥結：流程向不規范(不成熟)

?美國國防部指定卡內基-梅隆大學的軟件工程研究所(SEI：SoftwareEngineeringInstitute)在1987年研究了一套流慳規

施——CMM

四、CMM概述

?為企業的發展規定流程成熟級別，分為5級(Version1.0)：

-初始級(Initial)：一般企業皆具有

-可反復級(Repeatable)：成功經驗可以反復

-定義級(Defined)：一叁先整的企業流■程，人負自覺理守《培訓)

-管理級(Managed)：流程&產品可度量和控制

-優化線(Optiaizing)：流程持續改善

?從無序到有序、從特殊到一般、從定性管理到定量管理、最終到達動態優化

持續改善的流程5,,…

可預測的型焦在渣陞改善

經過訓練的

可傕淵的渲管理史更

流程可以停價

.卻打孤

一致的力

產潦程版修

展介的L程管理

可以取復以前成功

的經驗___________

1.初始被1

項H管理

無法H測,幾乎沒

能力成熟度級別的提高

?軟件流程或軟件開發組織按照CMM模型認真評估并找出優勢和差距后，通過有針對性的自身建設，可以提高能力成熟度等級,

逐層提高叫基時和波及的重要建設內容如圖

L5優化級

---->

-----過程變更管理

L4已省理汲

定量的過程管理

L31定義級

綜合軟件管理

2可重旦級

軟件項目跟蹤和監督

L1創始級

QIM各級別特性描述

C刪

組織行動項目中的行動軟件開發能力

級別

缺乏合理管理：無效的現創、被動交付服出現危機時項1：1領導一般放棄既定的無法預測軟件開發成果：沒有穩

1級

務規定：缺乏合理啊協網開發管理定的軟件開發流程

可預測項目投入：可跟蹤開發成本、監有相對穩定的規劃，追蹤；項目

既定的軟件開發政策與流程：項目管理流

2級督和質量,確認開發中碰到的問題；項可以依計劃進行，可有效控制

程制度化，以往經驗可反曳

目控制與實行與項目原則規定一致

項目可以根據組織開發流程剪裁,定義軟件開發能力原則化并一貫執

開發流程被記錄；與項目管理整合：各關

3級項目開發流程「管理人員明琬項目技術行；軟件質量、進度、成本都得

犍流程域有持續支持，包括培訓方案

進程到控制

開發能力可以預期：也許開發流

為軟件產品和開發流程設定域量目的；組項目開發流程帶來的產品差異控制在

程和質砥在可依化內葩圍內變

1級織測評方案中包括芥項II內生產能力和軟可接受的他國：首埋良好

動，超過范困時可以采用糾正措

件質量邯J測評：組織提供量化的評價根據

施

持續改善：面對新技術新流程進行成本能力持續得到改善：采用創新技

項目中分析缺陷并確定其原因;項目組

5級效益分析：開發實務中的創新在組織內可術和措施

評價開發流程,防止出現類似缺陷

以推廣

CMM的能力成熟度級別及關鍵流程域

?CMM的能力成熟度級別及關鍵流程域如表所示.

CMN的能力成熟度共分5級：口初始級、L2可反復線、L3已定義級、L4已管理級和L5優化級。由于初始級L1處在無序工作

狀態?無系統的規范，故在衣中咻去?L2以上包括若干大謎流程域，

表14-14CMM的能力成熟度級別關犍流程域

成熟度等級關犍流程域

需求管理軟件項目計劃項目加蹤和監管

L2可反復級

分包協議管埋軟件質量保證軟件配置管理

組積線流程焦點組織級流程定義培訓大養

L3已定義級

集成軟件管理軟件產品工程組向協調同行評審

L4已管理級定量的流程管理軟件質量管理

L5優化級缺陷的預技術更新管理流程更改管理

五、CMM的五個級別：1級

?Level1：初始級開發流程不存電或無法識別

網的五個級別:2級

?Level2；可反亞如

-Milestone可見，按計劃開發

2級軟件組織的特性和改善規定

體現現定活動關鍵流程區域

明確明求建立淅求基線湎求管理

建立項目計劃估算項目規模、工作量、成本.資源；建立項目計

軟件項目計劃

*i劃、估算、過程、風險文檔。

CM2級：建立基本啊項13管理

度量項目進展，及時采用糾正措施；險證產品和活軟件項目跟蹤與監控

規范和工作機制跟蹤項目進度

動與否符合需求.軟件質量保證

對產品進行管對產品、變更、問題進行識別卻控制：選擇合適的軟件配置管理

理和控制承包商，管理其開發活動。軟件轉包協議管理

2徽關雄流程域

?需求管理流程：建立客戶的軟件項目需求，并使項目開發人員與客戶對軟件寄求產生一致的理解，這一點很重要,由丁?它是軟

件項目管理和開發的基礎，在諸多場所還需要軟件需求工程的支持.

?軟件項目計劃：制定實行軟件工程與管理軟件項目的工作計劃。重要工作包括：明確任務，怙舔軟件產品的規模、所㈱資碌和

約束條件，估儀存在的風險以及產生項目計劃文檔等.軟件項目計劃是管理軟件項H必需的文獻和工具.

內部審計師審核應關注的內容

?保證組織具有合適的評估措施井對計劃和跟蹤所有信息系統工程的義獻存檔。

?組織必須具有一定的評估環節用于記錄與更大工程有關的責任與行為.

?工程開發流程中所有受到影響的團體都應當提交有關工程的承諾書。

?「程il劃應當遵照確定好的并獲得同意向企業工程計劃條例.

?企業應當育?定的度R措旅來即蹤所有工程計劃行為的狀態.

?應當即時跟蹤所有工程成本和工程進度，并比較工程計劃估計值和實際發生自。

?假如實際成果與項目計劃發生加大差異，組織應當實行一定的措施進行修正。

?組織應當定期跟蹤工程各個階段啊迸度和實際花費,并比較計劃進度和預算。

?高層管理者應當定期檢查項目理蹤的狀態并適時進行調整.

2級關鍵流程域

?軟件跟蹤與監控：根據軟件開發計劃管理軟件項目.隨時常握軟件項H啊實際開發流程.按照項H計劃對軟件開發的進度和階

段產品進行跟蹤和評審，當軟件項目的執行狀況與軟件項目計劃發生較大偏差時，管理機構必須采用有效的控制措施，必要時可根據

項目的實際完畢狀況和成果修訂項目計劃.

?軟件所依保證：史核并申il軟件產A和軟件開發行為，以保證其遵照合適的程存和原則，對發現的同的應采用必要措施，開申

軟件產品和活動，檢查它們與否與應用予以處理.

?軟件配置管理：保證軟件項目生成的產品在軟件牛.命周期中的完整性：在給定期間點上確定軟件配置（如工作產品及其闡明）.

系統地控制軟件配置的變化并在整個軟件生命周期中維護配M的完整性和可跟蹤性.

?軟件將包協議管埋：根據商業及盟、流程能力和技術等原因選擇島質量R勺軟件承接方來承接軟件項目的部分了項目。制定了項

目承接方的工作任務和項目計劃文檔，它是主承接方跟蹤檢查和監譽子項目流程和產品的根據.

QIM的五個線別：3級

?Level3：定義級

-每個階段的內部活動可見

-原則流程和項目定義流程裁剪

3級軟件組織的特性和改善規定

體現規定活動關犍流程區域

建立原在組織內明確軟件流程改善工作職責：報據最隹開發實踐.建立.組組織流程焦點組織流

則開發織叫原則軟件流程及流程數據陣：建立軟件開發活動驚則；通過裁程定義軟件產品工程

流程購原則軟件流程，確定項目的開發流程.集成軟件管理

CUM3級：促使組織內

培育團

部所有軟件流程活動組間辦調

體精神使所有人贊同項目儒求和承諾：增長團體組員『J技隨和知識.

原則化培訓大綱

減少繞

盡早識別缺陷并迅速消除缺陷同行評審

陷

3級關鍵流程域

?組織流程焦點：不停提高對組織軟件工程和項目軟件流程的認識和理解.國絳流程定義和流程波善目內及時采用措施，協刑、

評估、開發和維護流程改善活動。

?組織流程定義：流程定義的關鋌實踐活動包括：描述軟件生命周期、制定流程剪裁準則和指南、建立組織線的軟件流程數據庫

及有關文檔庫、確定定量流程管理踞要的數據、形成穩定的準則支持組織制定各項規章制度等。

?軟件產品工程：按照軟件工程?流.程的定義，有效地開發出稔定的軟件工作產品。軟件工作產品指描述軟件流程的文檔、計劃、

規程，計算機程序和數據等，其中的一部分或所有將交付客戶或最終顧客.重要活創是描述軟件項目的技術活動，如需求分析、設計、

編碼和測試,為軟件工作產品建立文檔.并保持它們的可跟蹤性和一致性。

?集成軟件管理：集成化軟件管理#-J基礎是.12的需求管理、軟件項目計劃、軟件項目跟蹤和監出3個關鍵流程.滿足集成化軟

件管理的組織應可以按照組織嚴格定義的流程來計劃和管理種軟件項目

?組間協調：軟件流程工作量大.參與的人員多、史雜程度高.軟件產品時效性強.必須有嚴格的分工和親密的協作.軟件工程

小組應尤其注意系統海求、；則試等方面的問翹，積極與有關小組協調，由于只有合作攻關才能使項目更好、更有效地滿足客戶福求。

?培訓大綱：通過培訓?提高組織組員個人的知識水平和技能?以便更好地、更有效地完畢工作任務。培訓內容應針對組織.項

目和個人的實際需要.根據培訓需求制定培訓大綱，包括培訓計劃、內容'資料、設備、方式和評價等，

?同行評審：同行專家評審是一種有效啊、重要的工程措施，評審方式有檢查、構造走查等。評審可以加深對軟件工作產品的理

解，可以盡早地、有效地排除軟件產品的缺陷.

CMM的五個級別：1級

?Level4管理級

-流程可度預測值與成果之閏啊偏差可控

4級軟件組織的特性和改善規定

體現規定活動關鍵流程區域

為改善軟件過程建立度量日的；建立數星化過程管理

建立質fit目的

軟件產品偵量目的.軟件質量管理

CMMI級：為了跟蹤和控制軟件開發質量,要時

對項目進展遂行數量化過程管理軟

開發過程和產品進行分析對軟件過程啊性能進行度道；對產晶

鼠化管理件質就管理

質量進行度量

4級關鍵流程域

-定量向流程管理(quanlituli\，eprocessnuinagement>.定價地控制項目1向軟件流程可以到達的實際成果.從而得到一種蝕定

B'L可定量預測的流程。

-軟件質量管理(softwarequalitymanagement?軟件質量管理以產品為中心，目的是定量地評價軟件產品內質量,實現詳細

的質炭目的,滿足客戶和L終吸客的靠山.關健實踐活動內容包括：定義軟件產品的質名目向,制定軟件偵同計劃，監督、兩整枚件

質量計劃、軟件工作產品、開發活動及目的等。

CMM的五個級別:5級

?Level5優化級

-流程動態調整、新技術的柔用

5徽軟件組織的特性和改善規定

體現規定活動關鍵流程區域

識別和消除產生缺陷的原因：持續改善質量、生產率和開發缺陷防止流程變更

優化性能

CMM5級：過程改善活動己經制周期模型，管理

度化采用新技

識別、改善和使用新技術技術變更管理

術

5級關鍵流程域

?缺陷的防止(defectprevention).分析軟件項目的缺陷，確定原因，并采用對應措施防止他們再次發生。

缺陷防止措施常常波及軟件流程的定義、管理和技術的進步等。

?技術更新管理(technologychangemanagement).選擇、評價和確定新技術,如工具、措施和流程，并將有效的技術引入到

軟件開發組織，以便改善軟件質量、提高軟件生產率、縮短軟件產品的開發周期,技術更新管理能有效地改善軟件流程。

?流程變更管理(processchangemanugement)■為提高軟件質能和軟件生產率?縮短軟件產品的開發周期,必須不停改善組織

中使用的軟件流程，流程更改管理應在上級管理部門的主持下，積極積極IL系統地對組織的原則軟件流程和項目定義的軟件流程或行

改善和創新。

?綜上所述，自然會得出這樣的紀論：組織的成熟度級別越高，其軟件升發能力越強，產品質fit越好，效率越高，成本越低.

內部審計師與軟件流程能力成熟度模型

$【字體I大中小】":印］

SEI/CNI制定了項目的軟件流程0W評估措夠該措他也可以用于組織的軟件能力成熟度評價。基于CMM的評怙措質分6個環節:

①成立評估小組,小組由軟件工程和管理工作經驗豐富的專家構成,小組組員應接受過CMM基本概念和評估措施的專門培訓.

②制定成熟度問卷調查表.參評年位的代衣認爽填寫成熟度問卷調杳表.并回答方美問afl.

③評估小組分析調查問卷.

④評估小組現場訪問、召開座談會、審核流程文檔，判斷關譙流程域的實踐活動與否到達預定目的，并將結論記入文檔。

⑤整頓調查成果、撰期調查匯報，指明軟件流程的強項和弱項。

⑥繪制軟件關鍵流程域剖面圖，顯示與否到達關滋漉程域的目的，并向有關部門提交評估的結論性意見.

信息系統項目管理

1［字體:大中小】［ffp］

一、項目概述——定義

?項目是為了發明一種唯一的產品或提供一種唯一的服務而進行的臨時性的努力.

二、項目概述

項目的特性

1.有明確的目的

2.項目之間的活動具有有關性

3.限定的周期

4.有獨特性

5.資源成本叫約束性

6.項目的不確定性

項目與平常運作的區別

口項目是一次性的.平常運作是反復進行啊.

□項FI是以目的為導向的，平常運作是通過效率和有效性體現的，

口項目是通過項目經理及其團體工作完畢的，而平常運作是職能式的線性管理；

口項目存在大量的變更管理，而平常運作則基本保持連貫性的.

項目舉例

?開發新產品或服務：

?開發一種新系統;

?采購并實行一種系統：

?實行新業務流程：

?建筑物的布線：

?建造一座橋梁：

?奧運會的信息系統工程；

1T項目的問題及原因

三、項目管理的定義

?項目管理：

在項目活動中運用知識、技能、工具和技術以到達項目的目的和規定。

?項目管理的能力和水平將構成新經濟時代向個人和組織的關鍵競爭力：

?大量投資饕通過項目求實現；

?IT項目的投資金額越來越大：

?IT對企業關斑業務協助增無，并帶動業芬的發展：

項目生命周期

?將項目的全過程，分解為幾種獷段,這些階段的總和，稱為項目的生命周期

?項日生命周期定義了項目的開始和結束

?項目的階段的劃分重要是根據一項或幾項交付件的完畢

?項目生命周期的使用，可以以便項目羥理對項目進行管理和控制

項目的生命周期的特點

?唄日可以分為多種階段

-啟動、計劃階段

-中間執行階段

-收尾階段

?價一種階段完畢后應有里程碑

?開始時風畸和不確定原因多，伴隨項目的進展不確定原因減少；

?工作量在各階段不一樣

?伴隨項mm,項目變更和直正錯誤所需要花費的成本伴隨項目的推進而急增:

項目各階段的工作■示意圖

項目管理的活動及流程

項目管理活動包括：

?啟動<Initialing)

明確項目或階段的開始.并承諾執行：

?計劃(Planning)

制定和維護可執行的計劃：

,執行(Executing)

協調組織人員和其他資源執行項E計劃：

,控制(Controlling)

通過監控項目進理.并在必要時不用時的的行動.以保證到達項目的目的:

,結束(Closing)

項目或階段的正規蛤收，以產生一種有序的結束。

項目管理國際原則

?項目管理知識(基于美國PMIir-JPMB0K)

-以知識為主，流程為輔

-回答：項目管理是什么？

?項目管理流程(基于英國OGC的PRINCE2>

-以流程為主,知識為輔

-EI答：怎樣進行項目管理？

項目管理9大領域(PMBOK)

?RCIMFW?BKHV?CflBftTW

????JI

???電工???6???*?“

—?■■■■

>?<*?????《>?

0?*a*r?

?*mm

■”■■■■I

w

m”??***■

?”，????4?*A???

?人?????#