1、第四章 信息系統(tǒng)開發(fā)與實施審計 信息系統(tǒng)開發(fā)是一項本錢高又耗時的任務，為更好地開發(fā)運用系統(tǒng)，以 滿足企業(yè)戰(zhàn)略需求，必需有一個良好的控制環(huán)境，包括適宜的系統(tǒng)開發(fā)方 法、開發(fā)過程，如可行性研討、分析、設計、測試、實施等過程。此外，還 包括工程管理、軟件開發(fā)過程改良等，也需求進展控制。 ISA經(jīng)過審查系統(tǒng)開發(fā)、獲取與實施過程，并對此進展評價，提出改良 意見，從而確保系統(tǒng)能滿足企業(yè)的運營目的、規(guī)范并實現(xiàn)其效益。 第一節(jié) 信息系統(tǒng)開發(fā)與實施評價 對信息系統(tǒng)開發(fā)與實施進展控制與審計目的： 1、防止投資風險，實現(xiàn)投資利益最大化； 2、減少軟件商業(yè)風險，滿足業(yè)務需求； 3、防止軟件時效風險。. 為了到達上述控

2、制與審計目的，ISA經(jīng)過參與系統(tǒng)開發(fā)與實施過程，收 集有關證據(jù)，評價： 1、信息化工程的方針、程序； 2、系統(tǒng)開發(fā)技術和方法的選擇； 3、系統(tǒng)各階段的目的； 4、系統(tǒng)開發(fā)、實施過程的控制； 5、系統(tǒng)工程的組織控制如：工程發(fā)起人、工程指點委員會； 6、系統(tǒng)工程管理的有效性。 經(jīng)過評價，IS審計師采取向有關指點提出建議，為系統(tǒng)工程組提供咨詢 和建議等方式，確保信息系統(tǒng)工程開發(fā)、實施目的的實現(xiàn)。 . 第二節(jié) 信息系統(tǒng)開發(fā)方法簡介 一、開發(fā)的緣由 1、系統(tǒng)的業(yè)務需求； 2、處理現(xiàn)有業(yè)務過程的問題； 3、用新技術替代舊技術； 4、當前技術存在問題。 要開發(fā)一個系統(tǒng)涉及：系統(tǒng)的開發(fā)方法 主要的系統(tǒng)開發(fā)方法

3、：生命周期法、面向對象法、原型法、基于組件的 開發(fā)、快速開發(fā)法、軟件包開發(fā)、逆向工程、軟 系統(tǒng)方法論，基于Web運用開發(fā)，等 . 二、生命周期法SDLC SDLC法采用瀑布式技術，是基于系統(tǒng)的、順序的軟件方法，開場于 可行性研討，經(jīng)過需求分析、設計選擇、開發(fā)配置、實施、維護 等階段。 特點：每個階段有明確的目的和活動；明晰的責任；預期的結果和完成 時間。 優(yōu)點：提供摸板，規(guī)定了需求定義、設計、編程等方法 缺陷： 1、 實踐過程中的一些不測事件，呵斥很難遵守順序流程，且經(jīng)常反復； 2、要求十清楚確的用戶需求，并充分預見能夠發(fā)生的變化，條件苛刻； 3、工程生命周期的后期才干看到任務成果，要求客戶有

4、足夠的耐心； 4、在開發(fā)工程終了前，用戶需求能夠曾經(jīng)發(fā)生變化。 . 從IS審計師角度，該方法的優(yōu)點： 1、在生命周期的每個階段，都有規(guī)范的步驟和指南； 2、可以審查一切系統(tǒng)開發(fā)工程階段、方案目的的遵照情況； 3、可以評價整個生命周期開發(fā)的方法和技術； 4、可以評價開發(fā)過程中的關鍵控制點，審查其控制的有效性。 三、原型法 原型法：亦稱作啟發(fā)式或者演化式開發(fā)方法，用戶首先提出開發(fā) 需求，開發(fā)人員識別和歸納用戶要求，以此構造原型，然后和用戶一 起評價、修正原型，直到用戶稱心為止。 特點：它經(jīng)過對原型的不斷修正完善而逐漸控制錯誤，減少風險； 采用快速開發(fā)工具，提高開發(fā)效率和時間 . 支持第四代技術的開

5、發(fā)工具： 數(shù)據(jù)庫查詢的非過程化言語、報告生成器、數(shù)據(jù)支配言語、屏幕 交互和定義工具、高級圖形才干和配置管理工具，等 優(yōu)點： 1、遵照認識規(guī)律，采用循序漸進的過程開發(fā)和認識系統(tǒng)； 2、便于用戶和系統(tǒng)分析人員的交流溝通； 3、充分利用最新工具軟件，減少系統(tǒng)開發(fā)時間和費用，提高效率。 缺陷： 1、短少系統(tǒng)開發(fā)的全面控制機制； 2、短少文檔，變卦控制變得更加復雜； 3、很難構造適宜的原型，以供用戶評價； 4、大型系統(tǒng)不宜采用此法。. 從IS審計師角度，對此方法應認識到： 1、短少相應評價規(guī)范、規(guī)范的弱點； 2、對系統(tǒng)控制、風險評價的復雜、困難； 3、給組織帶來省時、節(jié)約的效益。 四、面向對象的方法OO

6、M 面向對象方法接近人們認識現(xiàn)實世界的普通方法，便于開發(fā)人員利 用面向對象法的根本概念去描畫復雜問題。 對象的特點：封裝性、承繼性、多態(tài)性 面向對象的軟件開發(fā)包括：OOA、OOD、OOP、OOT 特點：它是一個逐漸細化的過程 ，可以把一個系統(tǒng)的開發(fā)分成假設干個小 范圍進展。 . 優(yōu)點： 1、采用特定的軟件工具，直接完成從對象客體的描畫到軟件構造之間 的轉換； 2、處理了客觀世界描畫工具與軟件構造不一致問題，縮短開發(fā)周期； 3、實現(xiàn)軟件復用，降低軟件系統(tǒng)復雜性，提高開發(fā)效率； 4、封裝性簡化了系統(tǒng)開發(fā)過程； 5、多態(tài)性使系統(tǒng)對環(huán)境的順應性加強。 缺陷： 1、需求一定的軟件工具支持； 2、不適宜于

7、大型復雜系統(tǒng)。 從IS審計師角度，應重點把握： 1、系統(tǒng)對象確實定和描畫環(huán)節(jié)，以及采取的控制措施； 2、對象之間的音訊傳送方式及控制機制； 3、訪問系統(tǒng)資源的控制機制和平安機制； 4、網(wǎng)絡與分布設計。. 五、基于組件的方法 該方法是OOM的拓展，用于OOM的實現(xiàn)環(huán)節(jié)，它經(jīng)過預定義的接口 集成可執(zhí)行的軟件包，從而完成一定的功能義務。 基于組件的類型主要有： 1、過程內客戶端組件；如閱讀器 2、獨立客戶端組件；如office 3、獨立效力器組件；如DCOM、RMI 4、過程內效力器組件。如MTS、EJB 特點：經(jīng)過基于組件開發(fā)技術，使不同程序對象可以相互通訊，集成運用。 中間件 優(yōu)點： 1、減少開

8、發(fā)時間； 2、改善質量； 3、可以從商家買到可證明的、經(jīng)過測試的軟件； 4、允許開發(fā)商更加關注業(yè)務功能； . 5、加強模塊性； 6、提高重用性； 7、減少開發(fā)本錢； 8、支持多用戶開發(fā)環(huán)境； 9、允許在構造和購買的選擇之間進展協(xié)調； 10、便于系統(tǒng)重構。 缺陷：堅持組件架構穩(wěn)定性復雜以及由此帶來工程工期風險 從IS審計師角度，應重點把握： 1、系統(tǒng)需求的有效定義； 2、組件架構和穩(wěn)定的風險評價分析； 3、組件開發(fā)過程的管理控制； 4、組件的可靠性、平安性。. 六、快速運用開發(fā)法RAD RAD是一種方法論，經(jīng)過一系列曾經(jīng)證明的運用開發(fā)技術，采用清 楚定義的方法論，快速開發(fā)具有戰(zhàn)略性的信息系統(tǒng)，減

9、少開發(fā)本錢和提高 維護質量。 這些技術包括運用： 小型、良好培訓的開發(fā)團隊； 演化原型法； 集成工具，支持模型、原型、組件重用； 中央庫存； 交互的需求和設計任務組； 嚴厲的開發(fā)時間限制。 . 特點： 支持單獨系統(tǒng)的開發(fā)和實施，但不支持整個企業(yè)信息需求或者某個主 要業(yè)務領域的信息需求的規(guī)劃與分析； 經(jīng)過對系統(tǒng)開發(fā)設立嚴厲的時間框架，采用重用組件，提供一種快速 開發(fā)系統(tǒng)的思緒。 從IS審計師角度，應重點把握： 1、各過程階段的控制目的； 2、業(yè)務需求的有效定義； 3、時間管理控制機制； 4、安裝階段的充分控制。. 七、利用軟件包開發(fā)方法 利用軟件包實現(xiàn)組織的信息系統(tǒng)曾經(jīng)成為一種可行的開發(fā)戰(zhàn)略。

10、軟件包：是預先編制好的、能完成一定功能的、供出賣或出租的成套 軟件系統(tǒng)。 特點：軟件包曾經(jīng)完成系統(tǒng)開發(fā)過程，以此來開發(fā)信息系統(tǒng)，能有效縮 短開發(fā)時間，以及降低相關費用。 優(yōu)點： 1、縮短開發(fā)時間； 2、可以得到較好的維護； 3、能減輕組織內部對系統(tǒng)開發(fā)的阻力。 缺陷：1、功能較為簡單； 2、難以滿足特殊需求； 3、實施費用隨客戶化任務量增大而急劇上升。 . 從IS審計師角度，應重點把握： 1、軟件包的功能； 2、軟件包提供的模型選擇； 3、軟件的客戶化才干及提供的接口； 4、本錢費用控制。 八、逆向工程法 軟件的逆向工程，指分析已有的程序，尋求比源代碼更高級的籠統(tǒng)表 現(xiàn)方式。逆向工程采取如下方

11、式： 1、將對象和可執(zhí)行文件拆編成源代碼，用它來分析程序； 2、采用逆向工程作為墨盒，采用測試數(shù)據(jù)提示它的功能。 . 特點：可以實現(xiàn)快速開發(fā)并降低SDLC的時間 從IS審計師角度，應重點把握： 1、軟件答應協(xié)議能否包括限制軟件逆向工程的聲明； 2、反編譯器的功能能否滿足逆向工程需求； 3、逆向工程過程控制； 4、本錢費用控制。 九、基于Web運用開發(fā)方法 基于Web運用開發(fā)方法是利用Web效力運用技術構建企業(yè)的基于互聯(lián)網(wǎng) 的分布式運用系統(tǒng)的方法。 特點： 1、運用的分布式； 2、運用到運用的交互性； 3、平臺無關性。 . 從IS審計師角度，應重點把握： 1、系統(tǒng)可靠性、平安性的控制措施； 2、

12、系統(tǒng)平安技術的運用； 3、系統(tǒng)的效力呼應。. 第三節(jié) 信息系統(tǒng)開發(fā)和實施過程審計 信息系統(tǒng)開發(fā)與實施過程審計貫穿于從可行性研討、需求分析、軟件 獲取、設計、編程、測試、實施的全過程。 一、IS審計師在系統(tǒng)開發(fā)過程中的職責義務 1、博得用戶信息系統(tǒng)專家的支持與協(xié)作； 2、審查用戶需求； 3、審查人工控制與運用控制； 4、進展方法與技術方面的評價；適當性、規(guī)范性 5、審計能否運用適當工程管理工具； 6、判別主要風險，選擇適當控制方法； 7、與工程組人員交流，了解有關情況，提出相關建議； 8、采用審查文檔、察看、走訪等對各階段實施監(jiān)控； . 9、審查開發(fā)與實施的有關規(guī)范、規(guī)范及其過程執(zhí)行； 10、審

13、查各階段有關團隊、人員的工程執(zhí)行及完成情況，存在問題； 11、審查各階段系統(tǒng)目的的偏離，提出進一步控制措施和意見； 12、在每個開發(fā)階段，進展設計走查并在每次走查之后提出書面建議； 13、在下一階段開場前，保證建議被采用； 14、每個階段終了后進展工程審查； 15、審查測試方案； 16、評價實施預備； 17、參與安裝后審計； 18、經(jīng)過實施評價、測試等，分析判別系統(tǒng)實施后控制的有效性、 完好性和平安性； 19、向管理層提交發(fā)現(xiàn)； 20、堅持獨立性。 . 二、風險評價 在信息系統(tǒng)開發(fā)與實施過程審計中，IS審計師首先必需完成對開發(fā) 與實施過程的風險分析，以便確定審計重點。 信息系統(tǒng)開發(fā)與實施過程的

14、主要風險表達在： 1、系統(tǒng)開發(fā)短少戰(zhàn)略方向； 2、系統(tǒng)開發(fā)短少開發(fā)規(guī)范； 3、短少正規(guī)開發(fā)目的； 4、組織的環(huán)境差； 5、資源不可用； 6、工程復雜性； 7、沒有閱歷的員工； 8、短少終端用戶的參與； 9、短少管理層的參與。 風險的級別根據(jù)運用的復雜性、重要決策的依賴程度、運用時間、運用 者的數(shù)量等要素綜合確定。. 三、審計方案 IS審計師在了解相關情況的根底上，首先要制定審計方案 審計方案包括：長期方案、短期方案 審計方案的主要內容包括： 1、了解論述系統(tǒng)目的、過程、技術； 2、進展風險分析； 3、進展內部控制審查； 4、確定審計的范圍和目的； 5、審計的方法和戰(zhàn)略。. 四、審計實施 IS審

15、計師在審計方案的根底上，經(jīng)過審查現(xiàn)有規(guī)范與流程，進展控制 環(huán)境分析，評價規(guī)范與開發(fā)實施過程的完好性及效率性，還要初步伐查并 識別組織戰(zhàn)略以及管理與控制開發(fā)的責任。 1、可行性研討階段 該階段，IS審計師的主要義務包括： 1審查該階段產生文檔的合理性； 2判別能否一切的本錢效益都是真實的； 3識別并判別系統(tǒng)需求的必要程度； 4判別能否能經(jīng)過現(xiàn)有的系統(tǒng)來處理。假設不能，那么評價替代方案 的合理性； 5判別所選處理方案的可行性。 經(jīng)過參與可行性階段的審計，確保所開發(fā)系統(tǒng)是可行的，且符合開發(fā) 條件要求。. 2、需求定義階段 該階段，IS審計師的主要義務包括： 1獲取詳細的需求文檔，經(jīng)過和相關用戶部門面

16、談確認其正確性； 2確定工程組的關鍵成員能否可以代表一切業(yè)務部門； 3判別工程的發(fā)起和本錢能否都曾經(jīng)得到適當?shù)氖跈嗤猓?4審查系統(tǒng)的概念設計，判別能否符合用戶需求； 5審查概念設計闡明，確保適當?shù)目刂茩C制已有清楚的定義； 6審查向供應商發(fā)送的涵蓋工程一切范圍及用戶需求的招標書； 7審查系統(tǒng)業(yè)務和數(shù)據(jù)流程的符合性及關鍵控制點； 8確定此運用程序能否適宜嵌入式的審計方法。 經(jīng)過該階段審計，確保系統(tǒng)需求定義的全面性、完好性以及相關控制 的有效落實，確保所定義的系統(tǒng)符合用戶需求。 . 3、軟件獲取過程階段(選擇購買方式情況下 該階段，IS審計師的主要義務包括： 1分析可行性研討文件，判別購買方案的決

17、策能否適當； 2審查招標書文件要求，保證它涵蓋了用戶的需求； 3判別發(fā)送給供應商的招標書文件中，能否對供應商的選擇具有 傾向性； 4在與供應商簽定合同之前，審查合同，并確定沒有脫漏； 5保證合同在簽定之前由法律顧問審查過。 4、詳細設計和編碼階段(選擇自行設計情況下 該階段，IS審計師的主要義務包括： 1審查系統(tǒng)流程圖能否符合總體設計； 2確認一切的變卦均事先與相關的用戶討論并獲得其認可，這些 變卦均經(jīng)適當?shù)耐猓?3審查系統(tǒng)一切的輸入、處置、輸出控制能否適當； . 4審查系統(tǒng)關鍵用戶能否了解系統(tǒng)如何操作，并定出他們在對屏 幕格式及輸出報告上參與設計的等級； 5評價審計軌跡能否可以充分跟蹤系統(tǒng)

18、事務處置； 6確認關鍵計算及處置程序的正確性； 7確認系統(tǒng)可以識別錯誤的數(shù)據(jù)并可以適當處置； 8審查本階段所開發(fā)程序的質保結果； 9審查編程規(guī)范的一致性； 10審查系統(tǒng)能夠的控制破綻； 11證明一切對程序錯誤所提出的修正建議已被執(zhí)行，所建議的審 計軌跡或嵌入式審計模塊已嵌入適當?shù)某绦蛑小?經(jīng)過該階段審計，確保系統(tǒng)與需求定義的一致性，確保系統(tǒng)控制的全 面性和有效性，確保系統(tǒng)軟件的質量，確保系統(tǒng)符合用戶需求。 . 5、測試階段 該階段，IS審計師的主要義務包括： 1檢查用戶參與測試的證據(jù)，如測試用例的開發(fā)； 2檢查錯誤報告，判別報告對錯誤資料的識別及解釋才干； 3審查周期性作業(yè)處置，如月末、年末報

19、告； 4訊問終端用戶，了解能否了解新方法、步驟和操作指令； 5審查并行測試結果的正確性； 6審查系統(tǒng)和終端用戶文檔，判別其完好性與正確性； 7進展訪問測試，判別系統(tǒng)平安措施能否按設計要求有效執(zhí)行； 8檢查單元測試和系統(tǒng)測試方案，判別方案能否完好，能否已 包含內部控制測試； 9審查記錄的運用過程以及錯誤報告； 10IS審計師需求向管理層合理保證，一切開發(fā)組與用戶都已詳 細測試過系統(tǒng)。 系統(tǒng)測試是開發(fā)周期中的一個非常重要的部分。IS審計師經(jīng)過該部分 的審計，確保系統(tǒng)在開發(fā)中遺留問題、錯誤得到糾正，從而保證系統(tǒng)的 勝利和以后可靠運轉。 . 6、安裝階段 該階段，IS審計師的主要義務包括： 1在安裝前

20、，已獲得適當?shù)囊平晃募?2審查用來為系統(tǒng)排程的程序及用來執(zhí)行日常作業(yè)排程的參數(shù)； 3審查一切系統(tǒng)，判別其完好性及一切最近在測試階段所做的更 新均可以反響在文檔中； 4在系統(tǒng)投入日常作業(yè)前確認一切數(shù)據(jù)的轉換，保證其準確性和 完好性。 IS審計師經(jīng)過該部分的審計，確保系統(tǒng)在安裝后系統(tǒng)中一切問題、錯 誤得到糾正，從而保證系統(tǒng)投入運轉后能平安、可靠、準確和有效的運轉。. 7、安裝后審計 安裝后審計是對系統(tǒng)實踐運轉情況的集中分析和評價，該階段IS審計 師的主要義務包括： 1確定系統(tǒng)的目的和需求能否曾經(jīng)到達； 2確定可行性研討中的本錢收益能否曾經(jīng)衡量、分析并報道給管 理層； 3審查已執(zhí)行的程序變卦需求，

21、評價系統(tǒng)變卦的類型； 4審查系統(tǒng)中各種資源的利用率； 5審查系統(tǒng)內部控制機制，確定它們在按設計要求運作； 6審查操作人員的錯誤日志，決議系統(tǒng)能否存在固有的操作或者 資源問題； 7審查輸人及輸出的余額并進展報告，證明系統(tǒng)準確地處置了數(shù)據(jù)； 8指出系統(tǒng)改良和擴展的方向。 IS審計師經(jīng)過定期或不定期地實施安裝后審計，對系統(tǒng)日常運轉情況進 行分析、評價，確保系統(tǒng)能堅持對業(yè)務目的的支持，確保及時發(fā)現(xiàn)存在的問 題并得到及時處理，確保系統(tǒng)的本錢效益目的。. 8、工程管理審計 IS審計師該當審查以下工程管理活動的充分性： 1工程指點委員會的監(jiān)視級別； 2工程中采用的風險管理方法； 3工程本錢管理； 4工程方案

22、管理的流程； 5向管理層匯報的流程； 6變卦控制的流程； 7利益相關者參與管理； 8審查各階段文檔的充分完好性。包括：目的定義文檔、相關 成果、工程進度表、本錢預測分析，等 IS審計師經(jīng)過對工程管理實施審計，為系統(tǒng)工程組織提出建議，確保系 統(tǒng)開發(fā)工程的有效管理和控制，確保系統(tǒng)工程保質、保量的完成，并符合 本錢效益原那么。. 在審計中，IS審計師還需做好： 1、溝通。IS審計師需求與開發(fā)商和用戶建立一個開放的交流渠道， 保證及時、可靠的獲取審計證據(jù)。 2、建議。IS審計師應就發(fā)現(xiàn)的問題及時提出改良建議，保證問題和 病癥得到盡能夠的控制和處理。 五、審計報告 IS審計師在系統(tǒng)開發(fā)完成時，應提交階段性的審計報告。報告應重點關 注以下內容： 1、工程方案、本錢收益分析、需求定義的充分性；可行性研討、需 求分析階段 2、設計控制的充分性以及設計的可審計性；設計階段 3、測試戰(zhàn)略的充分性以及測試目的的完好性；測試階段 4、系統(tǒng)及用戶組件預備的充分性；安裝階段 5、系統(tǒng)的有效性及效率，能否滿足初始的系統(tǒng)原那么。安裝后階段. 第四節(jié) 信息系統(tǒng)開發(fā)過程的相關規(guī)范簡介 為了對系統(tǒng)開發(fā)過程實施控制和審計，保證系統(tǒng)開發(fā)質量，IS審計 可參照相關規(guī)