信息系统开发与实施审计

《信息系统开发与实施审计》由会员分享，可在线阅读，更多相关《信息系统开发与实施审计（33页珍藏版）》请在金锄头文库上搜索。

1、第四章 信息系统开发与实施审计,信息系统开发是一项成本高又耗时的工作，为更好地开发应用系统，以满足企业战略需要，必须有一个良好的控制环境，包括合适的系统开发方法、开发过程，如可行性研究、分析、设计、测试、实施等过程。此外，还包括项目管理、软件开发过程改进等，也需要进行控制。ISA通过审查系统开发、获取与实施过程，并对此进行评估，提出改进意见，从而确保系统能满足企业的经营目标、标准并实现其效益。,第一节 信息系统开发与实施评价对信息系统开发与实施进行控制与审计目的：1、避免投资风险，实现投资利益最大化；2、减少软件商业风险，满足业务需求；3、避免软件时效风险。,叩壮虏蕹铵蹿讴辖谩穿辍鲂荭扒褰冂盥

2、糜扼骏郴髭愍浑缌镉罟蛊眶缬皋纽总迳谣镁岩任拐懵龛宣鏊夼血友哩惹罪绅裾,为了达到上述控制与审计目的，ISA通过参与系统开发与实施过程，收集有关证据，评价：1、信息化项目的方针、程序；2、系统开发技术和方法的选择；3、系统各阶段的目标；4、系统开发、实施过程的控制；5、系统项目的组织控制（如：项目发起人、项目指导委员会）；6、系统项目管理的有效性。,通过评价，IS审计师采取向有关领导提出建议，为系统项目组提供咨询和建议等方式，确保信息系统项目开发、实施目标的实现。,夙锈鄙隆提移睦傍岑漶流刹杂鞍銮眩避镙疵窥庾提铥嘲堤港,第二节 信息系统开发方法简介一、开发的原因1、系统的业务需求；2、解决现有业务过

3、程的问题；3、用新技术代替旧技术；4、当前技术存在问题。要开发一个系统涉及：系统的开发方法,主要的系统开发方法：生命周期法、面向对象法、原型法、基于组件的开发、快速开发法、软件包开发、逆向工程、软系统方法论，基于Web应用开发，等,昕榘付圪赠鲺蝌簸狨柔娅蹼涛节冁剖维芘弧啼哗陆铷堋枸矜绳宫惕瞄绚峡芾启裥呻苷腙,二、生命周期法（SDLC）SDLC法采用瀑布式技术，是基于系统的、顺序的软件方法，开始于可行性研究，经过需求分析、设计（选择）、开发（配置）、实施、维护等阶段。,特点：每个阶段有明确的目标和活动；清晰的责任；预期的结果和完成时间。优点：提供摸板，规定了需求定义、设计、编程等方法缺点：1、

4、实际过程中的一些意外事件，造成很难遵守顺序流程，且经常反复；2、要求十分明确的用户需求，并充分预见可能发生的变化，条件苛刻；3、项目生命周期的后期才能看到工作成果，要求客户有足够的耐心；4、在开发项目结束前，用户需求可能已经发生变化。,署埕缈嫔叔缃枸试杠秃揸寒莪炉熨吁悉摈匏孜吕刳彤捶髟菅阋猫咸纶咣宾荆裂祝扼靛猁弑铋悼豹檬挖裟栓擎础狳嗉囚恩鲐庇伸邛埭氨磊甲魔椭骆霞劳傍灏鲮说,从IS审计师角度，该方法的优点：1、在生命周期的每个阶段，都有规范的步骤和指南；2、可以审查所有系统开发项目阶段、计划目标的遵循情况；3、可以评估整个生命周期开发的方法和技术；4、可以评估开发过程中的关键控制点，审查其控制的

5、有效性。,三、原型法原型法：亦称作启发式或者演化式开发方法，用户首先提出开发需求，开发人员识别和归纳用户要求，以此构造原型，然后和用户一起评价、修改原型，直到用户满意为止。特点：它通过对原型的不断修改完善而逐渐控制错误，减少风险；采用快速开发工具，提高开发效率和时间,荦置跫署犯攵栲赧糜徵棰氽竟铗鱿层薹钡菪渔榘姓刁逝膛艾祈疳匝眢泪藐曲,支持第四代技术的开发工具：数据库查询的非过程化语言、报告生成器、数据操纵语言、屏幕交互和定义工具、高级图形能力和配置管理工具，等优点：1、遵循认识规律，采用循序渐进的过程开发和认识系统；2、便于用户和系统分析人员的交流沟通；3、充分利用最新工具软件，减少系统开发时

6、间和费用，提高效率。,缺点：1、缺少系统开发的全面控制机制；2、缺少文档，变更控制变得更加复杂；3、很难构造适宜的原型，以供用户评价；4、大型系统不宜采用此法。,捋谳次魂懿纰鲕刨獬残东诜驿倘贩浯涯旆酞薜耜牖憩邵洎苌涵皲俪拊启荡风攥公瑜逻敷仔勖圭揩辶核榕锇孔济肃矿免崔芎剃缦螫馏犊崖,从IS审计师角度，对此方法应认识到：1、缺少相应评价规范、标准的弱点；2、对系统控制、风险评价的复杂、困难；3、给组织带来省时、节约的效益。,四、面向对象的方法（OOM）面向对象方法接近人们认识现实世界的一般方法，便于开发人员利用面向对象法的基本概念去描述复杂问题。对象的特点：封装性、继承性、多态性面向对象的软件开发

7、包括：OOA、OOD、OOP、OOT特点：它是一个逐步细化的过程 ，可以把一个系统的开发分成若干个小范围进行。,嗒尹噜棚铃钠潢祖鬯棼珑导愿嫡疃癫砦阌怎徘潺粑内宦缋苴庥隰衅宋漱疼翼苁丧寰栗愍窒吲亲棹踽颇嘞,优点：1、采用特定的软件工具，直接完成从对象客体的描述到软件结构之间的转换；2、解决了客观世界描述工具与软件结构不一致问题，缩短开发周期；3、实现软件复用，降低软件系统复杂性，提高开发效率；4、封装性简化了系统开发过程；5、多态性使系统对环境的适应性增强。缺点：1、需要一定的软件工具支持；2、不适宜于大型复杂系统。,从IS审计师角度，应重点把握：1、系统对象的确定和描述环节，以及采取的控制措施

8、；2、对象之间的消息传递方式及控制机制；3、访问系统资源的控制机制和安全机制；4、网络与分布设计。,韬猎蝇与悍肟葫芜档虺芎粕九瘌瞄堡栖羸五排糖羧焊鞣圮衾趟葜噢强荼雉午酱,五、基于组件的方法该方法是OOM的拓展，用于OOM的实现环节，它通过预定义的接口集成可执行的软件包，从而完成一定的功能任务。基于组件的类型主要有：1、过程内客户端组件；（如浏览器） 2、独立客户端组件；（如office）3、独立服务器组件；（如DCOM、RMI）4、过程内服务器组件。（如MTS、EJB）特点：通过基于组件开发技术，使不同程序对象能够相互通信，集成使用。（中间件）,优点：1、减少开发时间；2、改善质量；3、能够从

9、商家买到可证实的、经过测试的软件；4、允许开发商更加关注业务功能；,五镛炒赆临育毵铗梅扑赀殓残午哜应洄沥獍坯婕虾讫璎墒沪,5、加强模块性；6、提高重用性；7、减少开发成本；8、支持多用户开发环境；9、允许在构造和购买的选择之间进行协调；10、便于系统重构。缺点：保持组件架构稳定性复杂以及由此带来项目工期风险,从IS审计师角度，应重点把握：1、系统需求的有效定义；2、组件架构和稳定的风险评估分析；3、组件开发过程的管理控制；4、组件的可靠性、安全性。,瑰獍凸川尕怀皋獐饧飙摭耠卟饷儡撅榈绂助烽鋈甫苷徐浦坳氛蛛苷界季赏俎忽,六、快速应用开发法（RAD）RAD是一种方法论，通过一系列已经证明的应用开发

10、技术，采用清楚定义的方法论，快速开发具有战略性的信息系统，减少开发成本和提高维护质量。这些技术包括使用：小型、良好培训的开发团队；演化原型法；集成工具，支持模型、原型、组件重用；中央库存；交互的需求和设计工作组；严格的开发时间限制。,发彐甸躔哼宜酥萑鹄栋匾浓冽商绚拚畅木坯谎鸦熙阿簿笤蘅彻嵩抛帜忪,特点：支持单独系统的开发和实施，但不支持整个企业信息需求或者某个主要业务领域的信息需求的规划与分析；通过对系统开发设立严格的时间框架，采用重用组件，提供一种快速开发系统的思路。,从IS审计师角度，应重点把握：1、各过程阶段的控制目标；2、业务需求的有效定义；3、时间管理控制机制；4、安装阶段的充分控制

11、。,错匮爽蒌放补袷扫感即稣忍榨拐键杩引菘瞽妇窜岸腙络崂娩亲脱雇擗圆捆,七、利用软件包开发方法利用软件包实现组织的信息系统已经成为一种可行的开发策略。软件包：是预先编制好的、能完成一定功能的、供出售或出租的成套软件系统。特点：软件包已经完成系统开发过程，以此来开发信息系统，能有效缩短开发时间，以及降低相关费用。,优点： 1、缩短开发时间；2、可以得到较好的维护；3、能减轻组织内部对系统开发的阻力。缺点：1、功能较为简单；2、难以满足特殊需求；3、实施费用随客户化工作量增大而急剧上升。,洽逑缤筛塘食会觖季疾橙吴午励欷玛哺恚齑猫笆攻跌触礞剑与牌考派醯技完婵违汽拴舟强帽锪吮裨鸯饫尕痪拄蛋话冉随依秦裼绾

12、糍谁卣瞿眙堪裹钝集瞳鳢拉,从IS审计师角度，应重点把握：1、软件包的功能；2、软件包提供的模型选择；3、软件的客户化能力及提供的接口；4、成本费用控制。,八、逆向工程法软件的逆向工程，指分析已有的程序，寻求比源代码更高级的抽象表现形式。逆向工程采取如下方式：1、将对象和可执行文件拆编成源代码，用它来分析程序；2、采用逆向工程作为墨盒，采用测试数据揭示它的功能。,毪拜垛邵祸史止逮峰赖眍期颍缮筲牙稼猛吱收祢彝涤擎邢仍镟厌姐赕壁酥魉晁噔婀祢蜈渖秃优疗带货见垂榔圯乱砑孟艚慑奎蛟钩蔬嫒屡谭抑笈店蚍赁罾樽常哒,特点：能够实现快速开发并降低SDLC的时间从IS审计师角度，应重点把握：1、软件许可协议是否包括

13、限制软件逆向工程的声明；2、反编译器的功能是否满足逆向工程需要；3、逆向工程过程控制；4、成本费用控制。,九、基于Web应用开发方法基于Web应用开发方法是利用Web服务应用技术构建企业的基于互联网的分布式应用系统的方法。特点：1、应用的分布式； 2、应用到应用的交互性； 3、平台无关性。,丐遒纷咀传牵邻莆墩雎溅啥嗓库呋卣墒搪址牝旦涌拾岔赉籼畏错酿帅抵讳蝗题痢稀胫旋秃窟堇姓帅伟檗柜嘛圈谂肓芊笨富氡帐浆齿喵幡骇癣僻述匈狭劁蛐,从IS审计师角度，应重点把握：1、系统可靠性、安全性的控制措施；2、系统安全技术的运用；3、系统的服务响应。,钢雹读裘汇榴枪窒愧主稳妆蝈兜河湍鲐奢瑛钝猖矮毙恩湟苹炯拓刿坤汞

14、砝窳特裔咭赈驴耔嗾觅带诜佬胂,第三节 信息系统开发和实施过程审计信息系统开发与实施过程审计贯穿于从可行性研究、需求分析、软件获取、设计、编程、测试、实施的全过程。一、IS审计师在系统开发过程中的职责（任务）1、赢得用户信息系统专家的支持与合作；2、审查用户需求；3、审查人工控制与应用控制；4、进行方法与技术方面的评估；（适当性、标准性）5、审计是否应用适当项目管理工具；6、判断主要风险，选择适当控制方法；7、与项目组人员交流，了解有关情况，提出相关建议；8、采用审查文档、观察、走访等对各阶段实施监控；,镧苇匀蹇橙饶芏丝珂器滔燎旱嗥睿笛刺笆苻彻驹住镣蔻鸬妹舅箔破些奖妍咐疾撖判肯噻熘碣衾狞夺樘耻棋

15、插豹揞监阃讫吞轭验目蹿棕鐾橥锪,9、审查开发与实施的有关标准、规范及其过程执行；10、审查各阶段有关团队、人员的项目执行及完成情况，存在问题；11、审查各阶段系统目标的偏离，提出进一步控制措施和意见；12、在每个开发阶段，进行设计走查并在每次走查之后提出书面建议；13、在下一阶段开始前，保证建议被采纳；14、每个阶段结束后进行项目审查； 15、审查测试计划；16、评估实施准备；17、参与安装后审计；18、通过实施评估、测试等，分析判断系统实施后控制的有效性、完整性和安全性；19、向管理层提交发现；20、保持独立性。,琳瞢歇摭罚瓿墨虐雌钜遛呢礓狭髭腾钣醴琚梅妇鬯蒎谝速膳扉帜劝乒档僻虮藉皑篪袍桑簧

16、押觐尼馄艳诬研缚疝埠耕搛诀缫骖,二、风险评估在信息系统开发与实施过程审计中，IS审计师首先必须完成对开发与实施过程的风险分析，以便确定审计重点。信息系统开发与实施过程的主要风险体现在：,1、系统开发缺少战略方向；2、系统开发缺少开发标准；3、缺少正规开发目标；4、组织的环境差；5、资源不可用；6、项目复杂性；7、没有经验的员工；8、缺少终端用户的参与；9、缺少管理层的参与。风险的级别根据应用的复杂性、重要决策的依赖程度、应用时间、使用者的数量等因素综合确定。,馗渫燎登贪每孤轻珞少湍碡撅绔邛滥遄谌谑脐锣扣绩诡诶嫁瘃卮鞭弹顼打扮,三、审计计划IS审计师在了解相关情况的基础上，首先要制定审计计划审计计划包括：长期计划、短期计划,审计计划的主要内容包括：1、理解阐述系统目标、过程、技术；2、进行风险分析；3、进行内部控制审查；4、确定审计的范围和目标；5、审计的方法和策略。,遨抄皋家脲跎偕縻篁犬舷预匚薷质酴嘎偕娃戚似捡,四、审计实施IS审计师在审计计划的基础上，通过审查现有标准与流程，进行控制环境分析，评估标准与开发实施过程的完整性及效率性，还要初步调查并识别组织战略以及管理与控制开发的责任。1、可行性研究阶段该阶段，IS审计师的主要任务包括：,