信息系統(tǒng)審計(南京審計學(xué)院)chap4
,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,NANJING,AUDIT,UNIVERSITY,第四章 信息系統(tǒng)開發(fā)與實施審計,信息系統(tǒng)開發(fā)是一項成本高又耗時的工作,為更好地開發(fā)應(yīng)用系統(tǒng)�,以,滿足企業(yè)戰(zhàn)略需要���,必須有一個良好的控制環(huán)境,包括合適的系統(tǒng)開發(fā)方,法��、開發(fā)過程�����,如可行性研究��、分析�、設(shè)計���、測試�、實施等過程����。此外,還,包括項目管理���、軟件開發(fā)過程改進等�,也需要進行控制�����。,ISA,通過審查系統(tǒng)開發(fā)、獲取與實施過程�����,并對此進行評估�,提出改進,意見,從而確保系統(tǒng)能滿足企業(yè)的經(jīng)營目標��、標準并實現(xiàn)其效益�。,第一節(jié) 信息系統(tǒng)開發(fā)與實施評價,對信息系統(tǒng)開發(fā)與實施進行控制與審計目的:,1,、,避免投資風(fēng)險���,實現(xiàn)投資利益最大化�;,2,�、,減少軟件商業(yè)風(fēng)險,滿足業(yè)務(wù)需求���;,3,���、,避免軟件時效風(fēng)險。,為了達到上述控制與審計目的,,ISA,通過參與系統(tǒng)開發(fā)與實施過程��,收,集有關(guān)證據(jù)��,評價:,1,����、,信息化項目的方針、程序��;,2,��、,系統(tǒng)開發(fā)技術(shù)和方法的選擇���;,3,�����、,系統(tǒng)各階段的目標;,4,�����、,系統(tǒng)開發(fā)�、實施過程的控制;,5,�����、,系統(tǒng)項目的組織控制(如:項目發(fā)起人、項目指導(dǎo)委員會)����;,6,、,系統(tǒng)項目管理的有效性�����。,通過評價��,,IS,審計師采取向有關(guān)領(lǐng)導(dǎo)提出建議����,為系統(tǒng)項目組提供咨詢,和建議等方式,確保信息系統(tǒng)項目開發(fā)�、實施目標的實現(xiàn)。,第二節(jié) 信息系統(tǒng)開發(fā)方法簡介,一����、開發(fā)的原因,1,、,系統(tǒng)的業(yè)務(wù)需求��;,2,、,解決現(xiàn)有業(yè)務(wù)過程的問題�����;,3,�、,用新技術(shù)代替舊技術(shù);,4,���、,當前技術(shù)存在問題�。,要開發(fā)一個系統(tǒng)涉及:,系統(tǒng)的開發(fā)方法,主要的系統(tǒng)開發(fā)方法:,生命周期法�、面向?qū)ο蠓ā⒃头?���、基于組件的,開發(fā)、快速開發(fā)法���、軟件包開發(fā)�����、逆向工程、軟,系統(tǒng)方法論����,基于,Web,應(yīng)用開發(fā)�,等,二��、生命周期法(,SDLC,),SDLC,法采用瀑布式技術(shù)����,,是基于系統(tǒng)的、順序的軟件方法��,開始于,可行性研究����,經(jīng)過需求分析、設(shè)計(選擇)���、開發(fā)(配置)�����、實施���、維護,等階段。,特點:,每個階段有明確的目標和活動�����;清晰的責(zé)任;預(yù)期的結(jié)果和完成,時間�。,優(yōu)點:,提供摸板,規(guī)定了需求定義����、設(shè)計、編程等方法,缺點:,1,�、,實際過程中的一些意外事件,造成很難遵守順序流程����,且經(jīng)常反復(fù);,2,���、,要求十分明確的用戶需求�����,并充分預(yù)見可能發(fā)生的變化����,條件苛刻�����;,3,�、,項目生命周期的后期才能看到工作成果,要求客戶有足夠的耐心�;,4,、,在開發(fā)項目結(jié)束前��,用戶需求可能已經(jīng)發(fā)生變化���。,從,IS,審計師角度��,該方法的優(yōu)點:,1,�����、,在生命周期的每個階段�,都有規(guī)范的步驟和指南�����;,2,��、,可以審查所有系統(tǒng)開發(fā)項目階段��、計劃目標的遵循情況;,3,�、,可以評估整個生命周期開發(fā)的方法和技術(shù);,4,����、,可以評估開發(fā)過程中的關(guān)鍵控制點,審查其控制的有效性�����。,三��、原型法,原型法:亦稱作啟發(fā)式或者演化式開發(fā)方法�,,用戶首先提出開發(fā),需求,開發(fā)人員識別和歸納用戶要求����,以此構(gòu)造原型,然后和用戶一,起評價��、修改原型�����,直到用戶滿意為止�����。,特點:,它通過對原型的不斷修改完善而逐漸控制錯誤,減少風(fēng)險���;,采用快速開發(fā)工具,提高開發(fā)效率和時間,支持第四代技術(shù)的開發(fā)工具:,數(shù)據(jù)庫查詢的非過程化語言�、報告生成器、數(shù)據(jù)操縱語言���、屏幕,交互和定義工具��、高級圖形能力和配置管理工具���,等,優(yōu)點:,1,、,遵循認識規(guī)律��,采用循序漸進的過程開發(fā)和認識系統(tǒng)��;,2,���、,便于用戶和系統(tǒng)分析人員的交流溝通���;,3,�、,充分利用最新工具軟件�,減少系統(tǒng)開發(fā)時間和費用,提高效率��。,缺點:,1,�����、,缺少系統(tǒng)開發(fā)的全面控制機制��;,2,��、,缺少文檔��,變更控制變得更加復(fù)雜��;,3,��、,很難構(gòu)造適宜的原型����,以供用戶評價;,4,����、,大型系統(tǒng)不宜采用此法�。,從,IS,審計師角度�����,對此方法應(yīng)認識到:,1,�����、,缺少相應(yīng)評價規(guī)范��、標準的弱點�����;,2,�、,對系統(tǒng)控制����、風(fēng)險評價的復(fù)雜、困難��;,3,�、,給組織帶來省時、節(jié)約的效益。,四����、面向?qū)ο蟮姆椒ǎ?OOM,),面向?qū)ο蠓椒?接近人們認識現(xiàn)實世界的一般方法,便于開發(fā)人員利,用面向?qū)ο蠓ǖ幕靖拍钊ッ枋鰪?fù)雜問題�����。,對象的特點:,封裝性����、繼承性、多態(tài)性,面向?qū)ο蟮能浖_發(fā)包括:,OOA,��、,OOD,����、,OOP,、,OOT,特點:,它是一個逐步細化的過程����,可以把一個系統(tǒng)的開發(fā)分成若干個小,范圍進行。,優(yōu)點:,1,����、,采用特定的軟件工具,直接完成從對象客體的描述到軟件結(jié)構(gòu)之間,的轉(zhuǎn)換;,2,�、,解決了客觀世界描述工具與軟件結(jié)構(gòu)不一致問題,縮短開發(fā)周期�����;,3,����、,實現(xiàn)軟件復(fù)用,降低軟件系統(tǒng)復(fù)雜性����,提高開發(fā)效率��;,4,�、,封裝性簡化了系統(tǒng)開發(fā)過程;,5,���、,多態(tài)性使系統(tǒng)對環(huán)境的適應(yīng)性增強���。,缺點:,1,、,需要一定的軟件工具支持����;,2,��、,不適宜于大型復(fù)雜系統(tǒng)�����。,從,IS,審計師角度�,應(yīng)重點把握:,1,�����、,系統(tǒng)對象的確定和描述環(huán)節(jié)����,以及采取的控制措施;,2,���、,對象之間的消息傳遞方式及控制機制����;,3,�、,訪問系統(tǒng)資源的控制機制和安全機制;,4,����、,網(wǎng)絡(luò)與分布設(shè)計�����。,五�、基于組件的方法,該方法是,OOM,的拓展�,,用于,OOM,的實現(xiàn)環(huán)節(jié),它通過預(yù)定義的接口,集成可執(zhí)行的軟件包����,從而完成一定的功能任務(wù)。,基于組件的類型主要有:,1,���、,過程內(nèi)客戶端組件�;(如瀏覽器),2,�、,獨立客戶端組件�;(如,office,),3,、,獨立服務(wù)器組件�;(如,DCOM,、,RMI,),4,�����、,過程內(nèi)服務(wù)器組件。(如,MTS,����、,EJB,),特點:,通過基于組件開發(fā)技術(shù),使不同程序?qū)ο竽軌蛳嗷ネㄐ?����,集成使用?(中間件),優(yōu)點:,1,���、,減少開發(fā)時間�����;,2,�、,改善質(zhì)量�;,3,、,能夠從商家買到可證實的��、經(jīng)過測試的軟件�����;,4,����、,允許開發(fā)商更加關(guān)注業(yè)務(wù)功能�����;,5,��、,加強模塊性�;,6,����、,提高重用性;,7,����、,減少開發(fā)成本;,8,���、,支持多用戶開發(fā)環(huán)境��;,9,、,允許在構(gòu)造和購買的選擇之間進行協(xié)調(diào)���;,10,����、,便于系統(tǒng)重構(gòu)。,缺點:,保持組件架構(gòu)穩(wěn)定性復(fù)雜以及由此帶來項目工期風(fēng)險,從,IS,審計師角度�,應(yīng)重點把握:,1,、,系統(tǒng)需求的有效定義��;,2,����、,組件架構(gòu)和穩(wěn)定的風(fēng)險評估分析;,3,�、,組件開發(fā)過程的管理控制;,4,����、,組件的可靠性、安全性�����。,六����、快速應(yīng)用開發(fā)法(,RAD,),RAD,是一種方法論,,通過一系列已經(jīng)證明的應(yīng)用開發(fā)技術(shù)�,采用清,楚定義的方法論��,快速開發(fā)具有戰(zhàn)略性的信息系統(tǒng)�,減少開發(fā)成本和提高,維護質(zhì)量����。,這些技術(shù)包括使用:,小型、良好培訓(xùn)的開發(fā)團隊�����;,演化原型法�����;,集成工具�����,支持模型�����、原型���、組件重用�����;,中央庫存����;,交互的需求和設(shè)計工作組����;,嚴格的開發(fā)時間限制。,特點:,支持單獨系統(tǒng)的開發(fā)和實施�����,但不支持整個企業(yè)信息需求或者某個主,要業(yè)務(wù)領(lǐng)域的信息需求的規(guī)劃與分析����;,通過對系統(tǒng)開發(fā)設(shè)立嚴格的時間框架,采用重用組件����,提供一種快速,開發(fā)系統(tǒng)的思路。,從,IS,審計師角度�,應(yīng)重點把握:,1,、,各過程階段的控制目標;,2,���、,業(yè)務(wù)需求的有效定義��;,3,����、,時間管理控制機制�;,4,、,安裝階段的充分控制�����。,七�、利用軟件包開發(fā)方法,利用軟件包實現(xiàn)組織的信息系統(tǒng)已經(jīng)成為一種可行的開發(fā)策略。,軟件包:,是預(yù)先編制好的����、能完成一定功能的、供出售或出租的成套,軟件系統(tǒng)����。,特點:,軟件包已經(jīng)完成系統(tǒng)開發(fā)過程,以此來開發(fā)信息系統(tǒng)����,能有效縮,短開發(fā)時間�����,以及降低相關(guān)費用。,優(yōu)點:,1,����、,縮短開發(fā)時間;,2,�����、,可以得到較好的維護���;,3,���、,能減輕組織內(nèi)部對系統(tǒng)開發(fā)的阻力。,缺點:,1,�、,功能較為簡單;,2,��、,難以滿足特殊需求�;,3,、,實施費用隨客戶化工作量增大而急劇上升。,從,IS,審計師角度��,應(yīng)重點把握:,1,���、,軟件包的功能��;,2,����、,軟件包提供的模型選擇��;,3,��、,軟件的客戶化能力及提供的接口�����;,4,����、,成本費用控制。,八���、逆向工程法,軟件的逆向工程�����,,指分析已有的程序�,尋求比源代碼更高級的抽象表,現(xiàn)形式。,逆向工程采取如下方式:,1,��、,將對象和可執(zhí)行文件拆編成源代碼�,用它來分析程序;,2,���、,采用逆向工程作為墨盒,采用測試數(shù)據(jù)揭示它的功能��。,特點:,能夠?qū)崿F(xiàn)快速開發(fā)并降低,SDLC,的時間,從,IS,審計師角度���,應(yīng)重點把握:,1,����、,軟件許可協(xié)議是否包括限制軟件逆向工程的聲明�;,2,、,反編譯器的功能是否滿足逆向工程需要���;,3,�����、,逆向工程過程控制���;,4,����、,成本費用控制�����。,九����、基于,Web,應(yīng)用開發(fā)方法,基于,Web,應(yīng)用開發(fā)方法,是利用,Web,服務(wù)應(yīng)用技術(shù)構(gòu)建企業(yè)的基于互聯(lián)網(wǎng),的分布式應(yīng)用系統(tǒng)的方法。,特點:,1,���、,應(yīng)用的分布式�����;,2,����、,應(yīng)用到應(yīng)用的交互性;,3,��、,平臺無關(guān)性��。,從,IS,審計師角度�,應(yīng)重點把握:,1,、,系統(tǒng)可靠性��、安全性的控制措施�;,2,、,系統(tǒng)安全技術(shù)的運用��;,3,����、,系統(tǒng)的服務(wù)響應(yīng)�����。,第三節(jié) 信息系統(tǒng)開發(fā)和實施過程審計,信息系統(tǒng)開發(fā)與實施過程審計貫穿于從可行性研究�����、需求分析�、軟件,獲取��、設(shè)計���、編程、測試����、實施的全過程。,一�����、,IS,審計師在系統(tǒng)開發(fā)過程中的職責(zé)(任務(wù)),1,���、,贏得用戶信息系統(tǒng)專家的支持與合作���;,2,、,審查用戶需求�����;,3,�����、,審查人工控制與應(yīng)用控制;,4,�����、,進行方法與技術(shù)方面的評估���;(適當性����、標準性),5,����、,審計是否應(yīng)用適當項目管理工具;,6,�����、,判斷主要風(fēng)險�,選擇適當控制方法����;,7,、,與項目組人員交流�����,了解有關(guān)情況,提出相關(guān)建議����;,8,、,采用審查文檔����、觀察、走訪等對各階段實施監(jiān)控��;,9,���、,審查開發(fā)與實施的有關(guān)標準����、規(guī)范及其過程執(zhí)行�����;,10,����、,審查各階段有關(guān)團隊�����、人員的項目執(zhí)行及完成情況��,存在問題���;,11,、,審查各階段系統(tǒng)目標的偏離�,提出進一步控制措施和意見;,12,��、,在每個開發(fā)階段�����,進行設(shè)計走查并在每次走查之后提出書面建議��;,13,���、,在下一階段開始前�,保證建議被采納����;,14,、,每個階段結(jié)束后進行項目審查����;,15,、,審查測試計劃�����;,16,���、,評估實施準備�����;,17,��、,參與安裝后審計�;,18,���、,通過實施評估��、測試等����,分析判斷系統(tǒng)實施后控制的有效性、,完整性和安全性�;,19,、,向管理層提交發(fā)現(xiàn)����;,20,、,保持獨立性�。,二、風(fēng)險評估,在信息系統(tǒng)開發(fā)與實施過程審計中�,,IS,審計師首先必須完成對開發(fā),與實施過程的風(fēng)險分析,以便確定審計重點�。,信息系統(tǒng)開發(fā)與實施過程的主要風(fēng)險體現(xiàn)在:,1,、,系統(tǒng)開發(fā)缺少戰(zhàn)略方向�����;,2,�����、,系統(tǒng)開發(fā)缺少開發(fā)標準�;,3,、,缺少正規(guī)開發(fā)目標�����;,4,�����、,組織的環(huán)境差��;,5,����、,資源不可用;,6,�����、,項目復(fù)雜性��;,7,��、,沒有經(jīng)驗的員工�����;,8,�����、,缺少終端用戶的參與;,9,��、,缺少管理層的參與���。,風(fēng)險的級別根據(jù)應(yīng)用的復(fù)雜性�、重要決策的依賴程度���、應(yīng)用時間�、使用,者的數(shù)量等因素綜合確定����。,三、審計計劃,IS,審計師在了解相關(guān)情況的基礎(chǔ)上���,首先要制定審計計劃,審計計劃包括:,長期計劃�、短期計劃,審計計劃的主要內(nèi)容包括:,1,�����、,理解闡述系統(tǒng)目標���、過程���、技術(shù)�;,2,��、,進行風(fēng)險分析�;,3,���、,進行內(nèi)部控制審查�����;,4,���、,確定審計的范圍和目標;,5,�、,審計的方法和策略。,四��、審計實施,IS,審計師在審計計劃的基礎(chǔ)上��,通過審查現(xiàn)有標準與流程�����,進行控制,環(huán)境分析,評估標準與開發(fā)實施過程的完整性及效率性�����,還要初步調(diào)查并,識別組織戰(zhàn)略以及管理與控制開發(fā)的責(zé)任����。,1,、可行性研究階段,該階段���,,IS,審計師的主要任務(wù)包括:,(,1,),審查該階段產(chǎn)生文檔的合理性���;,(,2,),判斷是否所有的成本效益都是真實的;,(,3,),識別并判斷系統(tǒng)需求的必要程度����;,(,4,),判斷是否能通過現(xiàn)有的系統(tǒng)來解決。若不能����,則評估替代方案,的合理性;,(,5,),判斷所選解決方案的可行性。,通過參與可行性階段的審計����,確保所開發(fā)系統(tǒng)是可行的,且符合開發(fā),條件要求�����。,2,��、需求定義階段,該階段����,,IS,審計師的主要任務(wù)包括:,(,1,),獲取詳細的需求文檔�,通過和相關(guān)用戶部門面談確認其正確性;,(,2,),確定項目組的關(guān)鍵成員是否能夠代表所有業(yè)務(wù)部門�����;,(,3,),判斷項目的發(fā)起和成本是否都已經(jīng)得到適當?shù)氖跈?quán)批準�����;,(,4,),審
個人主頁