信息系统开发与实施审计

NANJINGAUDITUNIVERSITY第四章信息系统开发与实施审计信息系统开发是一项成本高又耗时的工作，为更好地开发应用系统，以满足企业战略需要，必须有一个良好的控制环境，包括合适的系统开发方法、开发过程，如可行性研究、分析、设计、测试、实施等过程。此外，还包括项目管理、软件开发过程改进等，也需要进行控制。ISA通过审查系统开发、获取与实施过程，并对此进行评估，提出改进意见，从而确保系统能满足企业的经营目标、标准并实现其效益。第一节信息系统开发与实施评价对信息系统开发与实施进行控制与审计目的：1、避免投资风险，实现投资利益最大化；2、减少软件商业风险，满足业务需求；3、避免软件时效风险。NANJINGAUDITUNIVERSITY为了达到上述控制与审计目的，ISA通过参与系统开发与实施过程，收集有关证据，评价：1、信息化项目的方针、程序；2、系统开发技术和方法的选择；3、系统各阶段的目标；4、系统开发、实施过程的控制；5、系统项目的组织控制（如：项目发起人、项目指导委员会）；6、系统项目管理的有效性。通过评价，IS审计师采取向有关领导提出建议，为系统项目组提供咨询和建议等方式，确保信息系统项目开发、实施目标的实现。NANJINGAUDITUNIVERSITY第二节信息系统开发方法简介一、开发的原因1、系统的业务需求；2、解决现有业务过程的问题；3、用新技术代替旧技术；4、当前技术存在问题。要开发一个系统涉及：系统的开发方法主要的系统开发方法：生命周期法、面向对象法、原型法、基于组件的开发、快速开发法、软件包开发、逆向工程、软系统方法论，基于Web应用开发，等NANJINGAUDITUNIVERSITY二、生命周期法（SDLC）SDLC法采用瀑布式技术，是基于系统的、顺序的软件方法，开始于可行性研究，经过需求分析、设计（选择）、开发（配置）、实施、维护等阶段。特点：每个阶段有明确的目标和活动；清晰的责任；预期的结果和完成时间。优点：提供摸板，规定了需求定义、设计、编程等方法缺点：1、实际过程中的一些意外事件，造成很难遵守顺序流程，且经常反复；2、要求十分明确的用户需求，并充分预见可能发生的变化，条件苛刻；3、项目生命周期的后期才能看到工作成果，要求客户有足够的耐心；4、在开发项目结束前，用户需求可能已经发生变化。NANJINGAUDITUNIVERSITY从IS审计师角度，该方法的优点：1、在生命周期的每个阶段，都有规范的步骤和指南；2、可以审查所有系统开发项目阶段、计划目标的遵循情况；3、可以评估整个生命周期开发的方法和技术；4、可以评估开发过程中的关键控制点，审查其控制的有效性。三、原型法原型法：亦称作启发式或者演化式开发方法，用户首先提出开发需求，开发人员识别和归纳用户要求，以此构造原型，然后和用户一起评价、修改原型，直到用户满意为止。特点：它通过对原型的不断修改完善而逐渐控制错误，减少风险；采用快速开发工具，提高开发效率和时间NANJINGAUDITUNIVERSITY支持第四代技术的开发工具：数据库查询的非过程化语言、报告生成器、数据操纵语言、屏幕交互和定义工具、高级图形能力和配置管理工具，等优点：1、遵循认识规律，采用循序渐进的过程开发和认识系统；2、便于用户和系统分析人员的交流沟通；3、充分利用最新工具软件，减少系统开发时间和费用，提高效率。缺点：1、缺少系统开发的全面控制机制；2、缺少文档，变更控制变得更加复杂；3、很难构造适宜的原型，以供用户评价；4、大型系统不宜采用此法。NANJINGAUDITUNIVERSITY从IS审计师角度，对此方法应认识到：1、缺少相应评价规范、标准的弱点；2、对系统控制、风险评价的复杂、困难；3、给组织带来省时、节约的效益。四、面向对象的方法（OOM）面向对象方法接近人们认识现实世界的一般方法，便于开发人员利用面向对象法的基本概念去描述复杂问题。对象的特点：封装性、继承性、多态性面向对象的软件开发包括：OOA、OOD、OOP、OOT特点：它是一个逐步细化的过程，可以把一个系统的开发分成若干个小范围进行。NANJINGAUDITUNIVERSITY优点：1、采用特定的软件工具，直接完成从对象客体的描述到软件结构之间的转换；2、解决了客观世界描述工具与软件结构不一致问题，缩短开发周期；3、实现软件复用，降低软件系统复杂性，提高开发效率；4、封装性简化了系统开发过程；5、多态性使系统对环境的适应性增强。缺点：1、需要一定的软件工具支持；2、不适宜于大型复杂系统。从IS审计师角度，应重点把握：1、系统对象的确定和描述环节，以及采取的控制措施；2、对象之间的消息传递方式及控制机制；3、访问系统资源的控制机制和安全机制；4、网络与分布设计。NANJINGAUDITUNIVERSITY五、基于组件的方法该方法是OOM的拓展，用于OOM的实现环节，它通过预定义的接口集成可执行的软件包，从而完成一定的功能任务。基于组件的类型主要有：1、过程内客户端组件；（如浏览器）2、独立客户端组件；（如office）3、独立服务器组件；（如DCOM、RMI）4、过程内服务器组件。（如MTS、EJB）特点：通过基于组件开发技术，使不同程序对象能够相互通信，集成使用。（中间件）优点：1、减少开发时间；2、改善质量；3、能够从商家买到可证实的、经过测试的软件；4、允许开发商更加关注业务功能；NANJINGAUDITUNIVERSITY5、加强模块性；6、提高重用性；7、减少开发成本；8、支持多用户开发环境；9、允许在构造和购买的选择之间进行协调；10、便于系统重构。缺点：保持组件架构稳定性复杂以及由此带来项目工期风险从IS审计师角度，应重点把握：1、系统需求的有效定义；2、组件架构和稳定的风险评估分析；3、组件开发过程的管理控制；4、组件的可靠性、安全性。NANJINGAUDITUNIVERSITY六、快速应用开发法（RAD）RAD是一种方法论，通过一系列已经证明的应用开发技术，采用清楚定义的方法论，快速开发具有战略性的信息系统，减少开发成本和提高维护质量。这些技术包括使用：小型、良好培训的开发团队；演化原型法；集成工具，支持模型、原型、组件重用；中央库存；交互的需求和设计工作组；严格的开发时间限制。NANJINGAUDITUNIVERSITY特点：支持单独系统的开发和实施，但不支持整个企业信息需求或者某个主要业务领域的信息需求的规划与分析；通过对系统开发设立严格的时间框架，采用重用组件，提供一种快速开发系统的思路。从IS审计师角度，应重点把握：1、各过程阶段的控制目标；2、业务需求的有效定义；3、时间管理控制机制；4、安装阶段的充分控制。NANJINGAUDITUNIVERSITY七、利用软件包开发方法利用软件包实现组织的信息系统已经成为一种可行的开发策略。软件包：是预先编制好的、能完成一定功能的、供出售或出租的成套软件系统。特点：软件包已经完成系统开发过程，以此来开发信息系统，能有效缩短开发时间，以及降低相关费用。优点：1、缩短开发时间；2、可以得到较好的维护；3、能减轻组织内部对系统开发的阻力。缺点：1、功能较为简单；2、难以满足特殊需求；3、实施费用随客户化工作量增大而急剧上升。NANJINGAUDITUNIVERSITY从IS审计师角度，应重点把握：1、软件包的功能；2、软件包提供的模型选择；3、软件的客户化能力及提供的接口；4、成本费用控制。八、逆向工程法软件的逆向工程，指分析已有的程序，寻求比源代码更高级的抽象表现形式。逆向工程采取如下方式：1、将对象和可执行文件拆编成源代码，用它来分析程序；2、采用逆向工程作为墨盒，采用测试数据揭示它的功能。NANJINGAUDITUNIVERSITY特点：能够实现快速开发并降低SDLC的时间从IS审计师角度，应重点把握：1、软件许可协议是否包括限制软件逆向工程的声明；2、反编译器的功能是否满足逆向工程需要；3、逆向工程过程控制；4、成本费用控制。九、基于Web应用开发方法基于Web应用开发方法是利用Web服务应用技术构建企业的基于互联网的分布式应用系统的方法。特点：1、应用的分布式；2、应用到应用的交互性；3、平台无关性。NANJINGAUDITUNIVERSITY从IS审计师角度，应重点把握：1、系统可靠性、安全性的控制措施；2、系统安全技术的运用；3、系统的服务响应。NANJINGAUDITUNIVERSITY第三节信息系统开发和实施过程审计信息系统开发与实施过程审计贯穿于从可行性研究、需求分析、软件获取、设计、编程、测试、实施的全过程。一、IS审计师在系统开发过程中的职责（任务）1、赢得用户信息系统专家的支持与合作；2、审查用户需求；3、审查人工控制与应用控制；4、进行方法与技术方面的评估；（适当性、标准性）5、审计是否应用适当项目管理工具；6、判断主要风险，选择适当控制方法；7、与项目组人员交流，了解有关情况，提出相关建议；8、采用审查文档、观察、走访等对各阶段实施监控；NANJINGAUDITUNIVERSITY9、审查开发与实施的有关标准、规范及其过程执行；10、审查各阶段有关团队、人员的项目执行及完成情况，存在问题；11、审查各阶段系统目标的偏离，提出进一步控制措施和意见；12、在每个开发阶段，进行设计走查并在每次走查之后提出书面建议；13、在下一阶段开始前，保证建议被采纳；14、每个阶段结束后进行项目审查；15、审查测试计划；16、评估实施准备；17、参与安装后审计；18、通过实施评估、测试等，分析判断系统实施后控制的有效性、完整性和安全性；19、向管理层提交发现；20、保持独立性。NANJINGAUDITUNIVERSITY二、风险评估在信息系统开发与实施过程审计中，IS审计师首先必须完成对开发与实施过程的风险分析，以便确定审计重点。信息系统开发与实施过程的主要风险体现在：1、系统开发缺少战略方向；2、系统开发缺少开发标准；3、缺少正规开发目标；4、组织的环境差；5、资源不可用；6、项目复杂性；7、没有经验的员工；8、缺少终端用户的参与；9、缺少管理层的参与。风险的级别根据应用的复杂性、重要决策的依赖程度、应用时间、使用者的数量等因素综合确定。NANJINGAUDITUNIVERSITY三、审计计划IS审计师在了解相关情况的基础上，首先要制定审计计划审计计划包括：长期计划、短期计划审计计划的主要内容包括：1、理解阐述系统目标、过程、技术；2、进行风险分析；3、进行内部控制审查；4、确定审计的范围和目标；5、审计的方法和策略。NANJINGAUDITUNIVERSITY四、审计实施IS审计师在审计计划的基础上，通过审查现有标准与流程，进行控制环境分析，评估标准与开发实施过程的完整性及效率性，还要初步调查并识别组织战略以及管理与控制开发的责任。1、可行性研究阶段该阶段，IS审计师的主要任务包括：（1）审查该阶段产生文档的合理性；（2）判断是否所有的成本效益都是真实的；（3）识别并判断系统需求的必要程度；（4）判断是否能通过现有的系统来解决。若不能，则评估替代方案的合理性；（5）判断所选解决方案的可行性。通过参与可行性阶段的审计，确保所开发系统是可行的，且符合开发条件要求。NANJINGAUDITUNIVERSITY2、需求定义阶段该阶段，IS审计师的主要任务包括：（1）获取详细的需求文档，通过和相关用户部门面谈确认其正确性；（2）确定项目组的关键成员是否能够代表所有业务部门；（3）判断项目的发起和成本是否都已经得到适当的授权批准；（4）审查系统的概念设计，判断是否符合用户需求；（5）审查概念设计说明，确保适当的控制机制已有清楚的定义；（6）审查向供应商发送的涵盖项目所有范围及用户需求的招标书；（7）审查系统业务和数据流程的符合性及关键控制点；（8）确定此应用程序是否适合嵌入式的审计方法。通过该阶段审计，确保系统需求定义的全面性、完整性以及相关控制的有效落实，确保所定义的系统符合用户需求。NANJINGAUDITUNIVERSITY