浅谈软件外包的IT审计

2008年12月 第16卷 第4期 山西经济管理干部学院学报 JOURNAL OF SHANXI ECONOMICMANAGEMENT I NSTITUTE Dec. 2008 Vol . 16 No. 4 浅谈软件外包的IT审计 石季辉 1, 2 (1. 上海财经大学信息管理与工程学院,上海200433; 2.山西经济管理干部学院,山西 太原200439) 【 摘 要 】 软件外包逐渐成为信息系统开发的主要手段之一,其产生的风险逐渐进入了IT审计实践、 研 究的视野。文章就对软件外包实施IT审计的意义、 内容和实施模式进行分析,以提高软件开 发的质量,为提高外包软件的质量提供一个思路。 【 关键词 】 软件外包; IT审计 【 中图分类号 】F239. 621 【 文献标识码 】A 【 文章编号 】1008 - 9101(2008) 04 - 0074 - 03 1 基本背景 “ 外包 ” 这一现代企业管理模式已在众多领域 得到应用,其中应用最普遍的主要是软件。软件外 包是指把软件生产、 销售和维护的某个或某些环节 交由其他公司来完成。由于其能有效降低软件开发 成本和缩短软件开发时间,许多软件公司在软件产 品生命周期的各个阶段中都有可能采用外包方式。 软件外包有很多优点,除了能有效降低开发成本外, 还能解除企业内部人力资源的限制,使得企业不用 扩大员工规模就可以接手大型项目。按照外包内容 的不同,软件外包可大体分为软件产品或技术服务 ( soft ware product 二是将业务流程中 与IT相关的风险控制在可接受范围内;三是确保信 息和信息系统的安全。对软件项目开发过程进行 IT审计是为了控制整个开发的过程,使软件开发过 程中出现的偏差迅速显现,从而及时纠正,使整个开 发过程透明、 高效。对软件运行过程中进行IT审计 收稿日期: 2008 - 09 - 30 作者简介:石季辉(1980 - ) ,男,山西临汾人,上海财经大学在读硕士研究生,现工作于山西经济管理干部学院,助教,研究方 向:Web数据挖掘与知识发现。 47 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. 是为了保证软件提供的信息的可用性、 保密性和完 整性,从而达到控制软件的安全性、 可靠性与有效 性,延长软件生命周期的目的。 对软件外包的审计涵盖了软件发包、 软件开发 和软件运行维护的全部过程。从软件产品开发类型 的角度来看,目前软件外包的主要是重写核心系统、 重新设计系统、 维护老系统、 数据清洗和软件升级 等。由于外包软件的开发实施工作由企业外部资源 进行,为了保证外包软件的质量,企业有必要在外包 过程中引入IT审计,从软件的发包开始,到软件规 划、 分析、 设计、 编程、 测试、 运行、 维护等的生命周期 实施审计,其审计内容主要包括以下八个方面: 2. 1 对发包方的审计 检查发包方是否具有完善的项目管理体制,是 否具有足够的技术实力和优秀的技术人员;是否具 有良好的信誉度;是否能够清晰正确地分析发包软 件的产品需求。 2. 2 承包方的审计 审计承包方是否具有发包方要求的技术实力和 人才,软件开发管理是否正规,是否具有良好的业界 信誉等。 2. 3 发包流程审计 审计发包方与承包方是否具有完整、 详细的外 包合作过程与计划;合作协议是否规范;发包方是否 依据计划跟踪承包方的软件开发过程,并按照文档 化的规范,对承包方的工作陈述、 子合同条款、 条件 以及其他约定进行更改;发包方和承包方双方的管 理者是否定期一起执行定期的状态或协调评审;承 包商是否参与定期技术评审和交流;按照文档化的 规范在所选择的里程碑处进行正式评审,评价承包 商的软件工程完成情况与结果。 2. 4 软件开发管理、 规划与组织的审计 审计软件的管理、 计划与组织方面的策略、 政 策、 标准、 程序和相关实务;以软件开发计划为标准, 跟踪软件开发过程,包括软件开发的规划、 分析、 设 计和实施过程,对出现的问题及时更正;尽量减小软 件开发错误的“ 水波效应 ”;审计发包方是否按照文 档化的规范进行验收测试,定期评价承包商的能力。 2. 5 软件技术基础设施与操作实务审计 审计评价承包方在技术与操作基础设施的管理 和实施方面的有效性及其效率,以确保其充分支持 软件的目标。 2. 6 资产的保护审计 对逻辑、 环境与信息技术基础设施的安全性进 行评价审计,确保发包方能保护信息资产,防止信息 资产在未经授权的情况下被使用、 披露、 修改、 损坏 或丢失,造成不必要的、 意想不到的损失。 2. 7 灾难恢复与业务持续计划审计 审计在发生灾难时,能够使发包方的业务持续 进行,并对这种计划的建立和维护流程进行评价。 2. 8 软件实施与维护及业务流程评价与风险管理 审计 对开发的软件实施与维护方面所采用的方法和 流程进行审计,评估业务系统与处理流程,确保根据 组织的业务目标对相应风险实施管理。 从上述八个方面可以看到, IT审计涵盖的范围 远超过项目管理,将占软件生命周期三分之二的软 件运行维护阶段的质量也纳入了审计监控,在这个 意义上,软件开发过程中的测试工作漏掉的bug所 产生的软件运行风险也变的可控。对于外包的软件 这种风险显然要大于自我开发。所以,软件外包过 程引入IT审计在制度上保证了外包软件的质量,避 免了外包所产生的风险。 3 软件外包IT审计的实施 3. 1 IT审计证据的获取 IT审计的进行首先需要取得证据,软件外包的 IT审计也不例外,都是通过查询文档、 问卷调查、 数 据抽样等方式获得。由于技术的进步和信息系统逐 渐的庞大复杂,系统的输入输出之间的对应关系从 外部越来越难以确定,系统处理数据产生的痕迹也 越来越难以发掘。所以, IT审计人员对系统的功能 与模块必须了如指掌才能获得精确可靠的数据资 料,而不能仅通过对输入输出审计就做出结论,即需 要对软件外包过程进行跟踪审计。 对软件外包进行IT审计的主要目的是提高外 包软件的安全性、 可靠性和有效性,所以在对审计证 据进行评价,首先,要考虑的问题是控制需求,即收 集的审计证据是否满足事先制定的控制需求和控制 目标,如果控制点不清,就需要审计人员根据经验做 出判断;其次,要考虑补偿性控制和重叠性控制,补 偿性控制指某个系统的健全机制对其他有缺陷的控 制机制形成补偿,而重叠性控制则是指系统同时拥 有两套健全的控制;第三,重视控制的相关性和效 果,即便拥有完备的控制机制,软件开发和运行过程 仍有可能出现意外情况,因此, IT审计人员必须执 行测试程序并评估控制与目标之间的相关性。一般 情况下先审计补偿性控制,再报告控制缺陷,此外, 还需要使用一定模型并根据经验收集审计证据,以 57 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. 判断审计计划中的控制目标是否得到实现,常见的 有工程可靠性模型、 贝叶斯模型和信息系统效果评 价模型等。 3. 2 软件外包IT审计的实施模式 软件外包中IT审计的主体来源于外部,是独立 于发包方和承包方的“ 第三方 ” 审计主体。IT审计 工作包括审计准备活动和正式的审计活动,审计准 备活动包括收集背景信息、 估计完成审计需要的资 源和技术等,详细包括:合理进行人员分工,与发包 方和承包方项目负责人举行审计会议,确定审计范 围,制定日程,解释审计方法,阐明问题,强调审计的 关注点等,以促进审计工作的顺利进行。在IT审计 实施的过程中,“ 第三方 ” 审计人员应自始至终秉持 独立、 客观的态度对照审计目标进行审计工作,针对 出现的问题提出改进方案。在审计过程中采用什么 样的模式保障IT审计工作公平有效的实施,是推行 IT审计制度的首要问题。IT审计虽然在国外已经 有了较充分的研究,但在国内的研究才刚刚得到重 视,相应的符合中国特色的实施模式的研究成果还 很少,目前主要是借鉴IT工程项目监理的应用模 式,根据项目监理内容和深入程度的不同,有以下三 种方式。 3. 2. 1 咨询式。对用户方就企业信息化过程中提 出的问题进行解答,其性质类似于业务咨询或方案 咨询。这种方式费用最少,监理方的责任最轻,适合 于对信息化有较好的把握、 技术力量较强的用户方 采用。 3. 2. 2 里程碑式。将信息系统的建设划分为若干 个阶段,在每一个阶段结尾都设置一个里程碑,在里 程碑到来时通知监理方进行审查或测试。这种方式 相比咨询式,监理方也要承担一定的责任。里程碑的 确定需要开发方的同时参与,否则在风险出现的时候 会因为对里程碑界定的不同而产生争议甚至纠纷。 3. 2. 3 全程式。顾名思义,这是一种复杂的全程监 理方式,不但要求对系统建设过程中的里程碑进行 审查,还派出专门人员全程跟踪以收集系统开发过 程中的各种信息,动态评估开发方的开发质量和效 果。由于这种方式对系统建设的监理最深入,所以 监理方的责任也最大。 上述三种方式各有弊端,因为外包软件的IT审 计与项目监理不同,项目监理在产品正式交付使用 以后就结束了,而IT审计在软件外包的整个过程中 都存在,所以,咨询模式不符合软件外包IT审计的 要求;里程碑监理所采用的对软件开发过程的审查 和测试,在一定程度上能及时发现软件错误,但是信 息系统的瑕疵只有在长期的使用过程中才能完全发 现,仅对一两个里程碑式的审查和测试是不能发现 其中全部的错误的,这与信息系统的规模大小也成 正比关系,所以里程碑式的模式也不符合IT审计的 要求,另一方面,由于双方信息的不对称,也会由于 交流不充分而造成不必要的错误。因此,软件外包 IT审计应采用综合模式。审计工作的实施始于项 目发包方向审计负责人咨询,在充分咨询并与承包 方沟通后,请IT审计负责人派IT审计小组深入承 包方工作现场,对项目进行全过程的实时监督、 控制 和管理,对项目出现的问题及时提出改进的意见,审 计小组在审计过程中接受专业审计小组的指导,并 及时地向IT审计负责人报告审计结果。 4 总结 本文仅试图对软件外包的IT审计做一个浅显 的讨论。软件项目中的子项目外包或者部分功能模 块的外包是另一个研究的重点,由于软件开发的风 险大、 柔性强、 人为因素突出、 结果不容易测量等特 点使外包软件项目的审计也变得十分复杂,尤其是 部分功能模块的分包,涉及多方合作开发,审计复杂 度更高,所以,如何控制发包方的开发进度和质量等 关键因素,仍需要更深入的研究。 参考文献: 1 Anna Carlin and Frederick Gallegos .ITAudit: A Critical Business ProcessJ . IT SYSTEMS PERSPECTI VES July 2007. 2 Pathak, Jagdish.Infor mation Technology AuditingM . 2005, XI V ISBN: 978 - 3 - 540 - 22155 - 5. 3 邓少灵.企业IT审计的框架J .中国审计, 2002 (1). 4 王建平.国际软件外包( GSO)分析 J .软件世