项目管理之三大审计

项目管理中有三大审计工具，分别是质量审计，风险审计，采购审计。另外还有三个审计相关概念：配置审计、IT审计和安全审计，将这六个审计概念一起在此介绍。
（1）风险审计
风险审计是控制风险的工具，分布在监控过程组。检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及评估风险管理过程的有效性,是一种审计类型。项目经理要确保按项目风险管理计划所规定的频率实施风险审计。既可以在日常的项目审查会中进行风险审计，也可单独召开风险审计会议。在实施审计前，要明确定义审计的格式和目标。风险报告可以收录风险审计给出的关于风险管理过程有效性的的结论。
（2）采购审计
采购审计是结束采购的工具，分布在结束过程组。采购审计是指对从规划采购管理过程到控制采购过程的所有采购过程进行结构化审查。其目的是找出采购准备或管理方面的成功经验与失败教训，供本项目其他采购或执行组织内其他项目的采购借鉴。从细节上来说，采购审计可以分为采购决策审计、采购计划审计、采购方式审计、供应商选择审计、采购协议审计、采购结算审计和其他审计。
（3）质量审计
质量审计是实施质量保证工作的工具，分布在执行过程组。质量审计是用来确定项目活动是否遵循了组织和项目的政策、过程与程序的一种结构化的、独立的过程。
（4）配置审计（配置审核）
配置审计的任务是验证配置项对配置标识的一致性。配置审计的实施是为了确保项目配置管理的有效性，体现配置管理的最根本要求，不允许出现任何混乱现象。
（5）信息系统审计
信息系统审计（IT审计，软件审计）是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导层，提出问题与建议的一连串的活动。IT审计所关注的内容是对组织整个信息系统的可靠性、安全性进行了解和评价，是一项通过审查与评价信息系统的规划、分析、设计、实现、运行和维护等一系列活动，以确定信息系统运行是否安全、可靠、有效，信息系统得出的数据是否可靠、准确，以及数据是否能有效存储的过程。
（6）信息安全审计
安全审计是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。安全审计机制应作为C2及以上安全级别的计算机系统必须具备的安全机制。安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。
（7）软件工程术语中审计概念
根据《软件工程术语 GB/T 11457-2006》中第2.105条规定，审计（审核，audit）有两种含义：
a)为评估工作产品或工作产品集是否符合软件需求、规格说明、基线、标准、过程、指令、代码以及合同和特殊要求而进行的一种独立的检查，包括；功能配置审核、物理配置审核和代码审核。
b)通过调查研究确定己制定的过程、指令，规格说明、代码和标准或其他的合同及特殊要求是否恰当和被遵守，以及其实现是否有效而进行的活动。

对应教程：
《系统集成项目管理工程师教程(第二版)》 15.2.6配置审计

历年真题

32.1 [高级2018下12]《信息技术软件工程术语》（GB/T 11457-2006）规定了软件工程领域的术语。其中（）指的是为评估是否符合软件需求、规格说明、基线、标准、过程、指令、代码以及合同和特殊要求而进行的一种独立的检查。

A.验收测试
B.审计
C.鉴定
D.走查

参考答案：B
根据《软件工程术语 GB/T 11457-2006》中第2.105条规定，审计（审核，audit）有两种含义：
a)为评估工作产品或工作产品集是否符合软件需求、规格说明、基线、标准、过程、指令、代码以及合同和特殊要求而进行的一种独立的检查，包括；功能配置审核、物理配置审核和代码审核。
b)通过调查研究确定己制定的过程、指令，规格说明、代码和标准或其他的合同及特殊要求是否恰当和被遵守，以及其实现是否有效而进行的活动。

32.2 [高级2017上18]安全审计（security audit）是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法，安全审计的主要作用不包括（）。

A.对潜在的攻击者起到震慑或警告作用
B.对已发生的系统破坏行为提供有效的追究证据
C.通过提供日志，帮助系统管理员发现入侵行为或潜在漏洞
D.通过性能测试，帮助系统管理员发现性能缺陷或不足

参考答案：D
安全审计系统，主要有以下作用：
对潜在的攻击者起到震慑或警告作用。
对于已经发生的系统破坏行为提供有效的追纠证据。
为系统安全管理员提供有何时何地的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进的地方。

32.3 [高级2017上10]（）的目的是提供软件产品和过程对于可应用的规则、标准、指南、计划和流程的遵从性的独立评价。

A.软件审计
B.软件质量保证
C.软件过程管理
D.软件走查

参考答案：A
软件审计（信息系统审计）的目的是提供软件产品和过程对于可应用的规则、标准、指南、计划和流程的遵从性的独立评价。审计是正式组织的活动，识别违例情况，并产生一个报告，采取更正性行动。

32.4 [中级2017上60]编写配置管理计划，识别配置项的工作是（ ）的职责

A.配置管理员
B.项目经理
C.项目配置管委员会
D.产品经理

参考答案：A
配置管理员
CMO根据配置管理计划执行各项管理任务，定期向CCB提交报告，并列席CCB例会，其具体工作职责如下：
（1）配置管理工具的日常管理与维护。
（2）提交配置管理计划。
（3）各配置项的管理与维护。
（4）执行版本控制和变更控制方案。
（5）完成配置审计并提交报告。
（6）对开发人员进行相关的培训。
（7）识别开发过程中存在的问题并制定解决方案。