2008년 05월 24일

프로젝트 감사(COBIT Based)

1. 프로젝트 통제에 대한 설명

- 운영계획에 따라 수행해야 할 프로젝트를 식별하고 이러한 프로젝트들간의 우선 순위를 결정하는 조직 :

이 조직은 이러한 작업 이외에도 건실한 프로젝트 관리 기술을 채택하여, 수행하는 모든 프로젝트에 이를 적용하는지를 전산감사인이 평가 

 

2. 프로젝트 관리에 대한 감사 목적

- 전산감사인은 프로젝트 관리에 대한 감사를 통하여 아래와 같은 항목들이 효율적이고 효과적으로 이루어지는지를 평가하고 보고하여야 한다

 

. 프로젝트 관리 프레임워크

. 프로젝트 착수시 사용자 부서의 참여

. 프로젝트 팀 구성원 및 책임

. 프로젝트의 정의

. 프로젝트의 승인

. 프로젝트 단계별 승인

. 프로젝트 종합 계획

. 시스템 품질 보증 계획

. 품질 보증 방법에 대한 계획 수립

. 공식적인 프로젝트 위험 관리

. 테스트 계획

. 훈련계획

. 구축후 검토 계획

 

 

3. 상황의 이해

- 프로젝트 관리에 대한 감사 실시를 위하여 전산감사인은 아래와 같은 관련자와 면담 및 자료를 확인할 수 있다

 

. 면담

- 품질 관리자

- 프로젝트 품질 관리자 / 조정자

- 프로젝트 소유자 / 후원자

- 프로젝트팀 리더

- 품질 보증 조정자

- 보안 담당 책임자

- IT 기획 / 운영위원회 위원

- IT 부서 관리자

 

. 입수

- 프로젝트 관리 프레임워크에 관한 정책 및 절차

- 프로젝트 관리 방법론에 관한 정책 및 절차

- 품질 보증 계획에 관한 정책 및 절차

- 품질 보증 방법론에 관한 정책 및 절차

- 소프트웨어 프로젝트 종합 계획

- 소프트웨어 품질 보증 계획

- 프로젝트 진행현황 보고서

- 기획/운영위원회의 현황 보고서 및 회의록

- 프로젝트 품질에 관한 보고서

 

 

4. 통제의 평가

- 전산감사인은 다음과 같은 사항들의 존재/ 수행여부를 판단하여야 한다

 

. 프로젝트 관리 프레임워크가 다음과 같은 특성을 보유하고 있는가

 

1) 프로젝트 관리의 범위와 경계를 정의

2) 요청된 프로젝트들이 승인된 운영계획과 일관성이 있는지를 검토하고 이 계획에 따라 프로젝트들의 우선 순위를 결정

3) 채택해서 모든 수행 프로젝트에 적용할 프로젝트 관리 방법론을 정의 : 여기에는 다음과 같은 사항들이 포함되어야 함

 

- 프로젝트 계획 수립

- 인력 충원

- 책임 및 권한의 할당

- 작업 분할

- 시간과 자원에 대한 예산 수립

- 마일스톤(milestone)

- 체크포인트(checkpoint)

- 승인

 

4) 완전하고 최신의 것

5) 프로젝트로 인해서 영향을 받는 사용자 부서(소유자 / 후원자)의 관리자들을 개발,구현,수정 프로젝트의 정의와 승인시에 참여하도록 함

6) 인력을 프로젝트에 할당하는 기준을 명시

7) 프로젝트 팀원들의 책임과 권한을 정의

8) 프로젝트의 실제적인 작업이 시작되기 전에 프로젝트의 성격과 범위를 명확하게 서면으로 정의

9) 프로젝트의 성격과 범위를 명확하게 기술하는 프로젝트 정의서를 제공

10) 다음과 같은 이유를 포함하여 프로젝트를 수행해야 하는 이유를 포함

 

- 해결해야 할 문제 혹은 개선되어야 할 프로세스에 대한 설명

- 프로젝트의 필요성에 대한 설명(조직이 조직의 목적을 달성할 수 있는 능력을 제고하는 측면에서의 필요성)

- 기존 시스템의 취약점 분석

- 운영의 경제성 혹은 효율성을 향상시킬 수 있는 기회

- 프로젝트를 통해서 충족시킬 수 있는 내부 통제 및 보안상의 필요성

 

11) 프로젝트의 타당성 분석을 실시하고, 검토하고, 고위 경영진이 승인하는 방법을 제시 :

 

여기에는 다음과 같은 사항들이 포함

 

- 프로젝트의 환경 : 하드웨어, 소프트웨어, 통신

- 프로젝트의 범위 : 1단계 및 향후 구현 과정에 포함될 내용과 배제될 내용

- 프로젝트의 제약조건 : 단기적으로 향상시킬 수 있는 가능성이 있더라도, 프로젝트 기간 동안에 그대로 유지할 사항

- 프로젝트의 후원자 혹은 소유자 / 후원자들이 실현할 수 있는 효과와 비용

 

12) 개발 프로세스의 각 단계(즉 타당성 분석,요구사항 정의,시스템 설계 등)가 프로젝트의 다음 단계(즉 프로그래밍, 시스템 테스트, 거래 테스트, 병렬 테스트 등)로 넘어가기 전에 승인되는 방법을 제시

13) 각 프로젝트에 대해서 소프트웨어 프로젝트 종합계획이 수립되도록 하고, 프로젝트가 진행되는 도안 지속적으로 통제가 유지될 수 있는 방법, 프로젝트의 일정(마일스톤), 예산 등을 명시

14) 소프트웨어 프로젝트 종합계획의 표준을 준수하거나, 이러한 표준이 없는 경우, 절절한 표준을 사용

15) 각 프로젝트에 대해서 소프트웨어 품질 보증 계획이 수립되도록 하고, 이 계획이 소프트웨어 프로젝트 종합계획에 통합되도록 하고, 모든 관련 인력의 공식적인 검토와 합의를 구하도록 함

16) 공식적인 프로젝트 위험 관리 프로그램이 프로젝트에 연관된 위험을 줄이거나 없앨 수 있는 방법을 제시

17) 모든 개발,구축,수정 프로젝트에 대해서 테스트 계획을 수립

18) 모든 개발,구축,수정 프로젝트에 대해서 소유자 / 후원자 및 IT인력을 훈련시키기 위한 적절한 계획을 수립

 

. 예산 대비 실제 프로젝트 마일스톤과 비용이 모니터링되고, 프로젝트의 모든 주요 단계

(즉 소프트웨어 구매, 하드웨어 구매, 프로그래밍 외주, 네트워크 개선 등)마다 고위 경영진에게 보고되고 있는가

. 예정 일정 및 비용을 초과한 프로젝트 마일스톤과 비용은 필히 해당 경영자의 승인을 받도록 하고 있는가

. 소프트웨어 품질 보증 계획이 조직의 소프트웨어 품질 보증 계획의 표준을 준수하거나 이러한 표준이 없는 경우 적절한 표준을 사용하고 있는가

. 소프트웨어 품지 보증 계획의 보증 작업을 통해서 신규 혹은 수정 시스템의 인가를 지원하고 있고 내부 통제와 보안 기능들이 요구사항을 충족하는지의 여부를 보증하고 있는가

. 모든 프로젝트의 소유자 / 후원자들은 소프트웨어 프로젝트 종합계획과 소프트웨어 품질 보증 계획에 의견을 제시하였고 최종 계획에 동의하였는가

. 구축 후 검토 프로세스는 신규 혹은 수정 시스템들이 계획된 효과를 제공할 수 있도록 하기 위한 프로젝트 관리 프레임워크의 핵심적인 부분인가

 

 

5. 준수여부의 평가

- 전산감사자인은 다음과 같은 사항을 테스트하여야 함

 

1) 프로젝트 관리 방법론 및 모든 요구사항들이 일관성있게 준수되었는가

2) 프로젝트 관리 방법론이 프로젝트에 참여하고 있는 모든 관련 인력에게 전파되었는가

3) 프로젝트의 성격 및 범위에 대한 성문화된 정의가 표준 양식을 준수하고 있는가

4) 프로젝트 정의 및 승인 과정에 소유자 / 후원자들의 참여 성격 및 정도, 그리고 프로젝트 관리 프레임워크가 제시하고 있는 소유자 / 후원자들의 예상 참여도가 준수되고 있는가

5) 프로젝트에 인력의 할당 및 프로젝트 팀원들의 책임과 권한과 정의가 준수되고 있는가

6) 프로젝트의 성격과 범위에 대해서 명확하게 성문화된 정의가 존재하고 이러한 정의가 프로젝트의 실제적인 작업이 시작되기 이전에 정의되었는가

7) 관련 타당성 조사가 실시되고 승인을 받았는가

8) 개발 프로젝트의 모든 단계에서 적절한 소유자 / 후원자 및 IT 관리자의 승인을 받고 있는가

9) 프로젝트이 각 단계가 완료되고 있고, 소프트웨어 프로젝트 종합계획에 명시된 적절한 승인이 이루어지고 있는가

10) 소프트에어 프로젝트 종합계획과 소프트웨어 품질보증 계획이 프로젝트 관리 프레임워크에 따라 수립되고 승인되었는가

11) 소프트웨어 프로젝트 종합계획과 소프트웨어 품질보증 계획이 충분히 세부적이고 구체적인가

12) 식별된 의무적인 활동 / 보고서가 실제로 수행 / 작성되었는가(, 운영위원회,프로젝트 회의 등이 정해진 주기대로 개최되었는가, 회의록이 작성되어 관련자들에게 배포되었는가, 보고서가 작성되어 관련자들에게 배포되었는가)

13) 프로젝트 관리 프레임워크에 따라 테스트 계획이 수립되고 승인되었으며 충분히 세부적이고 구체적인가

14) 테스트계획에 식별되어 있는 의무적인 활동 / 보고서가 실제로 수행 / 작성되었는가, 프로젝트에 사용된 인가 기준이 존재하고 인가 기준은 다음과 같은 특성을 보유하고 있는가

 

- 목표 및 성과지표로부터 도출

- 합의된 정량적인 요구사항으로부터 도출

- 내부 통제 및 보안 요구사항을 충복

- 공식적인 성공 / 실패 프로세스를 정의

- 근본적인 “무엇을” 이라는 문제와 임의적인 “어떻게”라는 문제와 연관

- 주어진 시간 내에 객관적으로 실연해 보이는 것이 가능

- 설계 문서의 요구사항을 그대로 사용하지 않음

 

15) 프로젝트에 수반되는 위험을 파악하고 제거하거나 적어도 최소화하기 위한 프로젝트 위험 관리 프로그램을 사용하였는가

16) 테스트 계획이 준수되었고, 테스트 검토서가 소유자 / 후원자, 프로그래밍 및 품질 보증 부서에 의해서 작성되었고 최종 승인 프로세스가 준수되었는가

17) 프로젝트로 인해서 영향을 받는 소유자 / 후원자, IT 인력들의 훈련을 위한 성문화된 계획서가 작성되었고 계획서에는 훈련 활동을 완료하는데 필요한 충분한 시간을 허용하였고 이러한 계획이 프로젝트에 사용되었는가

18) 프로젝트에서 구축후 검토계획이 준수되고 수행되었는가

by 더홍 | 2008/05/24 08:44 | IS Audit | 트랙백 | 덧글(0)

트랙백 주소 : http://thehong.egloos.com/tb/1726641
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]

:         :

:

비공개 덧글

◀ 이전 페이지          다음 페이지 ▶