信息系统开发与实施审计学科评审会.ppt

第四章信息系统开发与实施审计 信息系统开发是一项成本高又耗时的工作 为更好地开发应用系统 以满足企业战略需要 必须有一个良好的控制环境 包括合适的系统开发方法 开发过程 如可行性研究 分析 设计 测试 实施等过程 此外 还包括项目管理 软件开发过程改进等 也需要进行控制 ISA通过审查系统开发 获取与实施过程 并对此进行评估 提出改进意见 从而确保系统能满足企业的经营目标 标准并实现其效益 第一节信息系统开发与实施评价对信息系统开发与实施进行控制与审计目的 1 避免投资风险 实现投资利益最大化 2 减少软件商业风险 满足业务需求 3 避免软件时效风险 为了达到上述控制与审计目的 ISA通过参与系统开发与实施过程 收集有关证据 评价 1 信息化项目的方针 程序 2 系统开发技术和方法的选择 3 系统各阶段的目标 4 系统开发 实施过程的控制 5 系统项目的组织控制 如 项目发起人 项目指导委员会 6 系统项目管理的有效性 通过评价 IS审计师采取向有关领导提出建议 为系统项目组提供咨询和建议等方式 确保信息系统项目开发 实施目标的实现 第二节信息系统开发方法简介一 开发的原因1 系统的业务需求 2 解决现有业务过程的问题 3 用新技术代替旧技术 4 当前技术存在问题 要开发一个系统涉及 系统的开发方法 主要的系统开发方法 生命周期法 面向对象法 原型法 基于组件的开发 快速开发法 软件包开发 逆向工程 软系统方法论 基于Web应用开发 等 二 生命周期法 SDLC SDLC法采用瀑布式技术 是基于系统的 顺序的软件方法 开始于可行性研究 经过需求分析 设计 选择 开发 配置 实施 维护等阶段 特点 每个阶段有明确的目标和活动 清晰的责任 预期的结果和完成时间 优点 提供摸板 规定了需求定义 设计 编程等方法缺点 1 实际过程中的一些意外事件 造成很难遵守顺序流程 且经常反复 2 要求十分明确的用户需求 并充分预见可能发生的变化 条件苛刻 3 项目生命周期的后期才能看到工作成果 要求客户有足够的耐心 4 在开发项目结束前 用户需求可能已经发生变化 从IS审计师角度 该方法的优点 1 在生命周期的每个阶段 都有规范的步骤和指南 2 可以审查所有系统开发项目阶段 计划目标的遵循情况 3 可以评估整个生命周期开发的方法和技术 4 可以评估开发过程中的关键控制点 审查其控制的有效性 三 原型法原型法 亦称作启发式或者演化式开发方法 用户首先提出开发需求 开发人员识别和归纳用户要求 以此构造原型 然后和用户一起评价 修改原型 直到用户满意为止 特点 它通过对原型的不断修改完善而逐渐控制错误 减少风险 采用快速开发工具 提高开发效率和时间 支持第四代技术的开发工具 数据库查询的非过程化语言 报告生成器 数据操纵语言 屏幕交互和定义工具 高级图形能力和配置管理工具 等优点 1 遵循认识规律 采用循序渐进的过程开发和认识系统 2 便于用户和系统分析人员的交流沟通 3 充分利用最新工具软件 减少系统开发时间和费用 提高效率 缺点 1 缺少系统开发的全面控制机制 2 缺少文档 变更控制变得更加复杂 3 很难构造适宜的原型 以供用户评价 4 大型系统不宜采用此法 从IS审计师角度 对此方法应认识到 1 缺少相应评价规范 标准的弱点 2 对系统控制 风险评价的复杂 困难 3 给组织带来省时 节约的效益 四 面向对象的方法 OOM 面向对象方法接近人们认识现实世界的一般方法 便于开发人员利用面向对象法的基本概念去描述复杂问题 对象的特点 封装性 继承性 多态性面向对象的软件开发包括 OOA OOD OOP OOT特点 它是一个逐步细化的过程 可以把一个系统的开发分成若干个小范围进行 优点 1 采用特定的软件工具 直接完成从对象客体的描述到软件结构之间的转换 2 解决了客观世界描述工具与软件结构不一致问题 缩短开发周期 3 实现软件复用 降低软件系统复杂性 提高开发效率 4 封装性简化了系统开发过程 5 多态性使系统对环境的适应性增强 缺点 1 需要一定的软件工具支持 2 不适宜于大型复杂系统 从IS审计师角度 应重点把握 1 系统对象的确定和描述环节 以及采取的控制措施 2 对象之间的消息传递方式及控制机制 3 访问系统资源的控制机制和安全机制 4 网络与分布设计 五 基于组件的方法该方法是OOM的拓展 用于OOM的实现环节 它通过预定义的接口集成可执行的软件包 从而完成一定的功能任务 基于组件的类型主要有 1 过程内客户端组件 如浏览器 2 独立客户端组件 如office 3 独立服务器组件 如DCOM RMI 4 过程内服务器组件 如MTS EJB 特点 通过基于组件开发技术 使不同程序对象能够相互通信 集成使用 中间件 优点 1 减少开发时间 2 改善质量 3 能够从商家买到可证实的 经过测试的软件 4 允许开发商更加关注业务功能 5 加强模块性 6 提高重用性 7 减少开发成本 8 支持多用户开发环境 9 允许在构造和购买的选择之间进行协调 10 便于系统重构 缺点 保持组件架构稳定性复杂以及由此带来项目工期风险 从IS审计师角度 应重点把握 1 系统需求的有效定义 2 组件架构和稳定的风险评估分析 3 组件开发过程的管理控制 4 组件的可靠性 安全性 六 快速应用开发法 RAD RAD是一种方法论 通过一系列已经证明的应用开发技术 采用清楚定义的方法论 快速开发具有战略性的信息系统 减少开发成本和提高维护质量 这些技术包括使用 小型 良好培训的开发团队 演化原型法 集成工具 支持模型 原型 组件重用 中央库存 交互的需求和设计工作组 严格的开发时间限制 特点 支持单独系统的开发和实施 但不支持整个企业信息需求或者某个主要业务领域的信息需求的规划与分析 通过对系统开发设立严格的时间框架 采用重用组件 提供一种快速开发系统的思路 从IS审计师角度 应重点把握 1 各过程阶段的控制目标 2 业务需求的有效定义 3 时间管理控制机制 4 安装阶段的充分控制 七 利用软件包开发方法利用软件包实现组织的信息系统已经成为一种可行的开发策略 软件包 是预先编制好的 能完成一定功能的 供出售或出租的成套软件系统 特点 软件包已经完成系统开发过程 以此来开发信息系统 能有效缩短开发时间 以及降低相关费用 优点 1 缩短开发时间 2 可以得到较好的维护 3 能减轻组织内部对系统开发的阻力 缺点 1 功能较为简单 2 难以满足特殊需求 3 实施费用随客户化工作量增大而急剧上升 从IS审计师角度 应重点把握 1 软件包的功能 2 软件包提供的模型选择 3 软件的客户化能力及提供的接口 4 成本费用控制 八 逆向工程法软件的逆向工程 指分析已有的程序 寻求比源代码更高级的抽象表现形式 逆向工程采取如下方式 1 将对象和可执行文件拆编成源代码 用它来分析程序 2 采用逆向工程作为墨盒 采用测试数据揭示它的功能 特点 能够实现快速开发并降低SDLC的时间从IS审计师角度 应重点把握 1 软件许可协议是否包括限制软件逆向工程的声明 2 反编译器的功能是否满足逆向工程需要 3 逆向工程过程控制 4 成本费用控制 九 基于Web应用开发方法基于Web应用开发方法是利用Web服务应用技术构建企业的基于互联网的分布式应用系统的方法 特点 1 应用的分布式 2 应用到应用的交互性 3 平台无关性 从IS审计师角度 应重点把握 1 系统可靠性 安全性的控制措施 2 系统安全技术的运用 3 系统的服务响应 第三节信息系统开发和实施过程审计信息系统开发与实施过程审计贯穿于从可行性研究 需求分析 软件获取 设计 编程 测试 实施的全过程 一 IS审计师在系统开发过程中的职责 任务 1 赢得用户信息系统专家的支持与合作 2 审查用户需求 3 审查人工控制与应用控制 4 进行方法与技术方面的评估 适当性 标准性 5 审计是否应用适当项目管理工具 6 判断主要风险 选择适当控制方法 7 与项目组人员交流 了解有关情况 提出相关建议 8 采用审查文档 观察 走访等对各阶段实施监控 9 审查开发与实施的有关标准 规范及其过程执行 10 审查各阶段有关团队 人员的项目执行及完成情况 存在问题 11 审查各阶段系统目标的偏离 提出进一步控制措施和意见 12 在每个开发阶段 进行设计走查并在每次走查之后提出书面建议 13 在下一阶段开始前 保证建议被采纳 14 每个阶段结束后进行项目审查 15 审查测试计划 16 评估实施准备 17 参与安装后审计 18 通过实施评估 测试等 分析判断系统实施后控制的有效性 完整性和安全性 19 向管理层提交发现 20 保持独立性 二 风险评估在信息系统开发与实施过程审计中 IS审计师首先必须完成对开发与实施过程的风险分析 以便确定审计重点 信息系统开发与实施过程的主要风险体现在 1 系统开发缺少战略方向 2 系统开发缺少开发标准 3 缺少正规开发目标 4 组织的环境差 5 资源不可用 6 项目复杂性 7 没有经验的员工 8 缺少终端用户的参与 9 缺少管理层的参与 风险的级别根据应用的复杂性 重要决策的依赖程度 应用时间 使用者的数量等因素综合确定 三 审计计划IS审计师在了解相关情况的基础上 首先要制定审计计划审计计划包括 长期计划 短期计划 审计计划的主要内容包括 1 理解阐述系统目标 过程 技术 2 进行风险分析 3 进行内部控制审查 4 确定审计的范围和目标 5 审计的方法和策略 四 审计实施IS审计师在审计计划的基础上 通过审查现有标准与流程 进行控制环境分析 评估标准与开发实施过程的完整性及效率性 还要初步调查并识别组织战略以及管理与控制开发的责任 1 可行性研究阶段该阶段 IS审计师的主要任务包括 1 审查该阶段产生文档的合理性 2 判断是否所有的成本效益都是真实的 3 识别并判断系统需求的必要程度 4 判断是否能通过现有的系统来解决 若不能 则评估替代方案的合理性 5 判断所选解决方案的可行性 通过参与可行性阶段的审计 确保所开发系统是可行的 且符合开发条件要求 2 需求定义阶段该阶段 IS审计师的主要任务包括 1 获取详细的需求文档 通过和相关用户部门面谈确认其正确性 2 确定项目组的关键成员是否能够代表所有业务部门 3 判断项目的发起和成本是否都已经得到适当的授权批准 4 审查系统的概念设计 判断是否符合用户需求 5 审查概念设计说明 确保适当的控制机制已有清楚的定义 6 审查向供应商发送的涵盖项目所有范围及用户需求的招标书 7 审查系统业务和数据流程的符合性及关键控制点 8 确定此应用程序是否适合嵌入式的审计方法 通过该阶段审计 确保系统需求定义的全面性 完整性以及相关控制的有效落实 确保所定义的系统符合用户需求 3 软件获取过程阶段 选择购买方式情况下 该阶段 IS审计师的主要任务包括 1 分析可行性研究文件 判断购买方案的决策是否适当 2 审查招标书文件要求 保证它涵盖了用户的需求 3 判断发送给供应商的招标书文件中 是否对供应商的选择具有倾向性 4 在与供应商签定合同之前 审查合同 并确定没有遗漏 5 保证合同在签定之前由法律顾问审查过 4 详细设计和编码阶段 选择自行设计情况下 该阶段 IS审计师的主要任务包括 1 审查系统流程图是否符合总体设计 2 确认所有的变更均事先与相关的用户讨论并获得其认可 这些变更均经适当的批准 3 审查系统所有的输入 处理 输出控制是否适当 4 审查系统关键用户是否理解系统如何操作 并定出他们在对屏幕格式及输出报告上参与设计的等级 5 评估审计轨迹是否能够充分跟踪系统事务处理 6 确认关键计算及处理程序的正确性 7 确认系统能够识别错误的数据并能够适当处理 8 审查本阶段所开发程序的质保结果 9 审查编程规范的一致性 10 审查系统可能的控制漏洞 11 证实所有对程序错误所提出的修改建议已被执行 所建议的审计轨迹或嵌入式审计模块已嵌入适当的程序中 通过该阶段审计 确保系统与需求定义的一致性 确保系统控制的全面性和有效性 确保系统软件的品质 确保系统符合用户需求 5 测试阶段该阶段 IS审计师的主要任务包括 1 检查用户参与测试的证据 如测试用例的开发 2 检查错误报告 判断报告对错误资料的识别及解释能力 3 审查周期性作业处理 如月末 年末报告 4 询问终端用户 了解是否理解新方法 步骤和操作指令 5 审查并行测试结果的正确性 6 审查系统和终端用户文档 判断其完整性与正确性 7 进行访问测试 判断系统安全措施是否按设计要求有效执行 8 检查单元测试和系统测试计划 判断计划是否完整 是否已包含内部控制测试 9 审查记录的使用过程以及错误报告 10 IS审计师需要向管理层合理保证 所有开发组与用户都已详细测试过系统 系统测试是开发周期中的一个十分重要的部分 IS审计师通过该部分的审计 确保系统在开发中遗留问题 错误得到纠正 从而保证系统的成功和以后可靠运行 6 安装阶段该阶段 IS审计师的主要任务包括 1 在安装前 已取得适当的移交文件 2 审查用来为系统排程的程序及用来执行日常作业排程的参数 3 审查所有系统 判断其完整性及所有最近在测试阶段所做的更新均能够反应在文档中 4 在系统投入日常作业前确认所有数据的转换 保证其准确性和完整性 IS审计师通过该部分的审计 确保系统在安装后系统中所有问题 错误得到纠正 从而保证系统投入运行后能安全 可靠 准确和有效的运行 7 安装后审计安装后审计是对系统实际运行状况的集中分析和评价 该阶段IS审计师的主要任务包括 1 确定系统的目标和需求是否已经达到 2 确定可行性研究中的成本收益是否已经衡量 分析并报道给管理层 3 审查已执行的程序变更需求 评估系统变更的类型 4 审查系统中各种资源的利用率 5 审查系统内部控制机制 确定它们在按设计要求运作 6 审查操作人员的错误日志 决定系统是否存在固有的操作或者资源问题 7 审查输人及输出的余额并进行报告 证实系统准确地处理了数据 8 指出系统改进和扩展的方向 IS审计师通过定期或不定期地实施安装后审计 对系统日常运行状况进行分析 评价 确保系统能保持对业务目标的支持 确保及时发现存在的问题并得到及时解决 确保系统的成本效益目标 8 项目管理审计IS审计师应当审查以下项目管理活动的充分性 1 项目指导委员会的监督级别 2 项目中采用的风险管理方法 3 项目成本管理 4 项目计划管理的流程 5 向管理层汇报的流程 6 变更控制的流程 7 利益相关者参与管理 8 审查各阶段文档的充分完整性 包括 目标定义文档 相关成果 项目进度表 成本预测分析 等 IS审计师通过对项目管理实施审计 为系统项目组织提出建议 确保系统开发项目的有效管理和控制 确保系统项目保质 保量的完成 并符合成本效益原则 在审计中 IS审计师还需做好 1 沟通 IS审计师需要与开发商和用户建立一个开放的交流渠道 保证及时 可靠的获取审计证据 2 建议 IS审计师应就发现的问题及时提出改进建议 保证问题和症状得到尽可能的控制和解决 五 审计报告IS审计师在系统开发完成时 应提交阶段性的审计报告 报告应重点关注以下内容 1 项目计划 成本收益分析 需求定义的充分性 可行性研究 需求分析阶段 2 设计控制的充分性以及设计的可审计性 设计阶段 3 测试策略的充分性以及测试目标的完整性 测试阶段 4 系统及用户组件准备的充分性 安装阶段 5 系统的有效性及效率 是否满足初始的系统原则 安装后阶段 第四节信息系统开发过程的相关标准简介为了对系统开发过程实施控制和审计 保证系统开发质量 IS审计可参照相关标准