《信息系统审计南京审计学院chap4》由会员分享,可在线阅读,更多相关《信息系统审计南京审计学院chap4(33页珍藏版)》请在金锄头文库上搜索。
1、NANJING AUDIT UNIVERSITY第四章第四章 信息系统开发与实施审计信息系统开发与实施审计 信息系统开发是一项成本高又耗时的工作,为更好地开发应用系统,以信息系统开发是一项成本高又耗时的工作,为更好地开发应用系统,以 满足企业战略需要,必须有一个良好的控制环境,包括合适的系统开发方满足企业战略需要,必须有一个良好的控制环境,包括合适的系统开发方 法、开发过程,如可行性研究、分析、设计、测试、实施等过程。此外,还法、开发过程,如可行性研究、分析、设计、测试、实施等过程。此外,还 包括项目管理、软件开发过程改进等,也需要进行控制。包括项目管理、软件开发过程改进等,也需要进行控制。
2、ISA通过审查系统开发、获取与实施过程,并对此进行评估,提出改进通过审查系统开发、获取与实施过程,并对此进行评估,提出改进 意见,从而确保系统能满足企业的经营目标、标准并实现其效益。意见,从而确保系统能满足企业的经营目标、标准并实现其效益。 第一节第一节 信息系统开发与实施评价信息系统开发与实施评价 对信息系统开发与实施进行控制与审计目的:对信息系统开发与实施进行控制与审计目的: 1、避免投资风险,实现投资利益最大化;避免投资风险,实现投资利益最大化; 2、减少软件商业风险,满足业务需求;减少软件商业风险,满足业务需求; 3、避免软件时效风险。避免软件时效风险。倘倘育育奴奴逮逮蚊蚊开开泡泡址址
3、荷荷办办冻冻煮煮巳巳炉炉魂魂苯苯暇暇海海澳澳酣酣便便僚僚莱莱剥剥经经纵纵丢丢秆秆漫漫极极牲牲听听信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 为了达到上述控制与审计目的,为了达到上述控制与审计目的,ISA通过参与系统开发与实施过程,收通过参与系统开发与实施过程,收 集有关证据,评价:集有关证据,评价: 1、信息化项目的方针、程序;信息化项目的方针、程序; 2、系统开发技术和方法的选择;系统开发技术和方法的选择; 3、系统各阶段的目标;系统各阶段的目标; 4、系统开发、实施过程
4、的控制;系统开发、实施过程的控制; 5、系统项目的组织控制(如:项目发起人、项目指导委员会);系统项目的组织控制(如:项目发起人、项目指导委员会); 6、系统项目管理的有效性。系统项目管理的有效性。 通过评价,通过评价,IS审计师采取向有关领导提出建议,为系统项目组提供咨询审计师采取向有关领导提出建议,为系统项目组提供咨询 和建议等方式,确保信息系统项目开发、实施目标的实现。和建议等方式,确保信息系统项目开发、实施目标的实现。 僵僵嫉嫉盔盔阁阁恩恩嗡嗡握握梦梦劳劳席席辛辛滇滇寸寸脾脾帛帛力力资资簿簿与与壬壬元元母母界界析析念念吮吮氛氛服服哲哲窜窜看看孝孝信信息息系系统统审审计计南南京京审审计计
5、学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 第二节第二节 信息系统开发方法简介信息系统开发方法简介 一、开发的原因一、开发的原因 1、系统的业务需求;系统的业务需求; 2、解决现有业务过程的问题;解决现有业务过程的问题; 3、用新技术代替旧技术;用新技术代替旧技术; 4、当前技术存在问题。当前技术存在问题。 要开发一个系统涉及:要开发一个系统涉及:系统的开发方法系统的开发方法 主要的系统开发方法:主要的系统开发方法:生命周期法、面向对象法、原型法、基于组件的生命周期法、面向对象法、原型法、基于组件的 开发、快速开
6、发法、软件包开发、逆向工程、软开发、快速开发法、软件包开发、逆向工程、软 系统方法论,基于系统方法论,基于Web应用开发,等应用开发,等 娩娩录录寞寞芹芹伊伊广广阳阳韭韭宗宗梅梅鹿鹿沂沂沪沪靖靖它它层层幌幌乌乌继继烂烂龚龚拣拣纪纪鼎鼎昏昏涉涉讨讨贫贫尧尧笆笆狭狭蒸蒸信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 二、生命周期法(二、生命周期法(SDLC) SDLC法采用瀑布式技术,法采用瀑布式技术,是基于系统的、顺序的软件方法,开始于是基于系统的、顺序的软件方法,开始于 可行性
7、研究,经过需求分析、设计(选择)、开发(配置)、实施、维护可行性研究,经过需求分析、设计(选择)、开发(配置)、实施、维护 等阶段。等阶段。 特点:特点:每个阶段有明确的目标和活动;清晰的责任;预期的结果和完成每个阶段有明确的目标和活动;清晰的责任;预期的结果和完成 时间。时间。 优点:优点:提供摸板,规定了需求定义、设计、编程等方法提供摸板,规定了需求定义、设计、编程等方法 缺点:缺点: 1、 实际过程中的一些意外事件,造成很难遵守顺序流程,且经常反复;实际过程中的一些意外事件,造成很难遵守顺序流程,且经常反复; 2、要求十分明确的用户需求,并充分预见可能发生的变化,条件苛刻;要求十分明确的
8、用户需求,并充分预见可能发生的变化,条件苛刻; 3、项目生命周期的后期才能看到工作成果,要求客户有足够的耐心;项目生命周期的后期才能看到工作成果,要求客户有足够的耐心; 4、在开发项目结束前,用户需求可能已经发生变化。在开发项目结束前,用户需求可能已经发生变化。 挥挥懒懒垫垫惨惨弓弓澳澳眨眨错错越越嘱嘱骄骄颁颁沼沼渭渭蔓蔓企企瞪瞪脐脐察察沼沼太太闹闹票票伙伙映映盼盼浚浚泣泣赔赔镭镭卒卒澈澈信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 从从IS审计师角度,该方法的优点:审计师角
9、度,该方法的优点: 1、在生命周期的每个阶段,都有规范的步骤和指南;在生命周期的每个阶段,都有规范的步骤和指南; 2、可以审查所有系统开发项目阶段、计划目标的遵循情况;可以审查所有系统开发项目阶段、计划目标的遵循情况; 3、可以评估整个生命周期开发的方法和技术;可以评估整个生命周期开发的方法和技术; 4、可以评估开发过程中的关键控制点,审查其控制的有效性。可以评估开发过程中的关键控制点,审查其控制的有效性。 三、原型法三、原型法 原型法:亦称作启发式或者演化式开发方法,原型法:亦称作启发式或者演化式开发方法,用户首先提出开发用户首先提出开发 需求,开发人员识别和归纳用户要求,以此构造原型,然后
10、和用户一需求,开发人员识别和归纳用户要求,以此构造原型,然后和用户一 起评价、修改原型,直到用户满意为止。起评价、修改原型,直到用户满意为止。 特点:特点:它通过对原型的不断修改完善而逐渐控制错误,减少风险;它通过对原型的不断修改完善而逐渐控制错误,减少风险; 采用快速开发工具,提高开发效率和时间采用快速开发工具,提高开发效率和时间 骗骗剐剐吕吕为为渴渴傅傅猩猩惰惰瑚瑚抗抗扩扩墨墨幼幼好好览览批批倍倍叭叭贞贞菊菊辽辽带带辛辛丢丢跑跑涧涧绢绢彝彝森森甚甚撑撑摔摔信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AU
11、DIT UNIVERSITY 支持第四代技术的开发工具:支持第四代技术的开发工具: 数据库查询的非过程化语言、报告生成器、数据操纵语言、屏幕数据库查询的非过程化语言、报告生成器、数据操纵语言、屏幕 交互和定义工具、高级图形能力和配置管理工具,等交互和定义工具、高级图形能力和配置管理工具,等 优点:优点: 1、遵循认识规律,采用循序渐进的过程开发和认识系统;遵循认识规律,采用循序渐进的过程开发和认识系统; 2、便于用户和系统分析人员的交流沟通;便于用户和系统分析人员的交流沟通; 3、充分利用最新工具软件,减少系统开发时间和费用,提高效率。充分利用最新工具软件,减少系统开发时间和费用,提高效率。
12、缺点:缺点: 1、缺少系统开发的全面控制机制;缺少系统开发的全面控制机制; 2、缺少文档,变更控制变得更加复杂;缺少文档,变更控制变得更加复杂; 3、很难构造适宜的原型,以供用户评价;很难构造适宜的原型,以供用户评价; 4、大型系统不宜采用此法。大型系统不宜采用此法。痈痈纷纷梨梨烟烟骑骑玄玄子子挥挥蜡蜡验验姿姿堑堑坑坑享享短短楼楼艇艇敝敝蹲蹲岁岁畜畜囊囊榜榜忙忙雪雪螟螟气气鼻鼻墅墅隔隔闸闸缉缉信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 从从IS审计师角度,对此方法应认识到:
13、审计师角度,对此方法应认识到: 1、缺少相应评价规范、标准的弱点;缺少相应评价规范、标准的弱点; 2、对系统控制、风险评价的复杂、困难;对系统控制、风险评价的复杂、困难; 3、给组织带来省时、节约的效益。给组织带来省时、节约的效益。 四、面向对象的方法(四、面向对象的方法(OOM) 面向对象方法面向对象方法接近人们认识现实世界的一般方法,便于开发人员利接近人们认识现实世界的一般方法,便于开发人员利 用面向对象法的基本概念去描述复杂问题。用面向对象法的基本概念去描述复杂问题。 对象的特点:对象的特点:封装性、继承性、多态性封装性、继承性、多态性 面向对象的软件开发包括:面向对象的软件开发包括:O
14、OA、OOD、OOP、OOT 特点:特点:它是一个逐步细化的过程它是一个逐步细化的过程 ,可以把一个系统的开发分成若干个小,可以把一个系统的开发分成若干个小 范围进行。范围进行。 鹃鹃瑚瑚配配撅撅楼楼脂脂抓抓秆秆辨辨枝枝仔仔渺渺佰佰哟哟侩侩央央魄魄抖抖茸茸努努娃娃滦滦昨昨鳞鳞吾吾掖掖哺哺达达凰凰吁吁邪邪锣锣信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 优点:优点: 1、采用特定的软件工具,直接完成从对象客体的描述到软件结构之间采用特定的软件工具,直接完成从对象客体的描述到软件
15、结构之间 的转换;的转换; 2、解决了客观世界描述工具与软件结构不一致问题,缩短开发周期;解决了客观世界描述工具与软件结构不一致问题,缩短开发周期; 3、实现软件复用,降低软件系统复杂性,提高开发效率;实现软件复用,降低软件系统复杂性,提高开发效率; 4、封装性简化了系统开发过程;封装性简化了系统开发过程; 5、多态性使系统对环境的适应性增强。多态性使系统对环境的适应性增强。 缺点:缺点: 1、需要一定的软件工具支持;需要一定的软件工具支持; 2、不适宜于大型复杂系统。不适宜于大型复杂系统。 从从IS审计师角度,应重点把握:审计师角度,应重点把握: 1、系统对象的确定和描述环节,以及采取的控制
16、措施;系统对象的确定和描述环节,以及采取的控制措施; 2、对象之间的消息传递方式及控制机制;对象之间的消息传递方式及控制机制; 3、访问系统资源的控制机制和安全机制;访问系统资源的控制机制和安全机制; 4、网络与分布设计。网络与分布设计。赴赴浦浦育育运运葛葛嚼嚼猖猖歇歇坊坊箩箩折折途途伎伎织织僳僳颊颊冯冯混混掘掘烷烷掀掀壮壮蚤蚤位位呻呻逃逃涕涕拓拓粮粮褐褐拌拌呜呜信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 五、基于组件的方法五、基于组件的方法 该方法是该方法是OOM的拓展,
17、的拓展,用于用于OOM的实现环节,它通过预定义的接口的实现环节,它通过预定义的接口 集成可执行的软件包,从而完成一定的功能任务。集成可执行的软件包,从而完成一定的功能任务。 基于组件的类型主要有:基于组件的类型主要有: 1、过程内客户端组件;(如浏览器)过程内客户端组件;(如浏览器) 2、独立客户端组件;(如独立客户端组件;(如office) 3、独立服务器组件;(如独立服务器组件;(如DCOM、RMI) 4、过程内服务器组件。(如过程内服务器组件。(如MTS、EJB) 特点:特点:通过基于组件开发技术,使不同程序对象能够相互通信,集成使用。通过基于组件开发技术,使不同程序对象能够相互通信,集
18、成使用。 (中间件)(中间件) 优点:优点: 1、减少开发时间;减少开发时间; 2、改善质量;改善质量; 3、能够从商家买到可证实的、经过测试的软件;能够从商家买到可证实的、经过测试的软件; 4、允许开发商更加关注业务功能;允许开发商更加关注业务功能; 抨抨祷祷挞挞途途培培栽栽梢梢恳恳七七聂聂蚤蚤焉焉层层惊惊劝劝廷廷惹惹谁谁晌晌勤勤逼逼驻驻冶冶嘱嘱益益桌桌贵贵碎碎珍珍羹羹奢奢棠棠信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 5、加强模块性;加强模块性; 6、提高重用性;提高重
19、用性; 7、减少开发成本;减少开发成本; 8、支持多用户开发环境;支持多用户开发环境; 9、允许在构造和购买的选择之间进行协调;允许在构造和购买的选择之间进行协调; 10、便于系统重构。便于系统重构。 缺点:缺点:保持组件架构稳定性复杂以及由此带来项目工期风险保持组件架构稳定性复杂以及由此带来项目工期风险 从从IS审计师角度,应重点把握:审计师角度,应重点把握: 1、系统需求的有效定义;系统需求的有效定义; 2、组件架构和稳定的风险评估分析;组件架构和稳定的风险评估分析; 3、组件开发过程的管理控制;组件开发过程的管理控制; 4、组件的可靠性、安全性。组件的可靠性、安全性。蒸蒸盏盏夜夜莹莹出出
20、研研戊戊企企屯屯跪跪杜杜捂捂亡亡各各贺贺制制粟粟贷贷烘烘藏藏姻姻豪豪卑卑赚赚道道罕罕鲤鲤赣赣床床鸣鸣颤颤邢邢信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 六、快速应用开发法(六、快速应用开发法(RAD) RAD是一种方法论,是一种方法论,通过一系列已经证明的应用开发技术,采用清通过一系列已经证明的应用开发技术,采用清 楚定义的方法论,快速开发具有战略性的信息系统,减少开发成本和提高楚定义的方法论,快速开发具有战略性的信息系统,减少开发成本和提高 维护质量。维护质量。 这些技术
21、包括使用:这些技术包括使用: 小型、良好培训的开发团队;小型、良好培训的开发团队; 演化原型法;演化原型法; 集成工具,支持模型、原型、组件重用;集成工具,支持模型、原型、组件重用; 中央库存;中央库存; 交互的需求和设计工作组;交互的需求和设计工作组; 严格的开发时间限制。严格的开发时间限制。 账账邪邪藤藤伞伞擂擂案案词词讨讨渊渊削削诫诫纂纂恐恐薛薛韩韩朋朋抽抽控控斤斤猎猎谈谈捂捂邀邀类类闽闽褒褒孵孵懂懂慢慢苇苇沃沃徒徒信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 特点:特
22、点: 支持单独系统的开发和实施,但不支持整个企业信息需求或者某个主支持单独系统的开发和实施,但不支持整个企业信息需求或者某个主 要业务领域的信息需求的规划与分析;要业务领域的信息需求的规划与分析; 通过对系统开发设立严格的时间框架,采用重用组件,提供一种快速通过对系统开发设立严格的时间框架,采用重用组件,提供一种快速 开发系统的思路。开发系统的思路。 从从IS审计师角度,应重点把握:审计师角度,应重点把握: 1、各过程阶段的控制目标;各过程阶段的控制目标; 2、业务需求的有效定义;业务需求的有效定义; 3、时间管理控制机制;时间管理控制机制; 4、安装阶段的充分控制。安装阶段的充分控制。淡淡读
23、读鲍鲍辅辅啥啥辅辅备备笆笆蛋蛋屏屏秤秤顺顺雀雀德德布布檄檄奶奶茹茹惜惜擅擅所所禁禁栓栓闯闯拙拙渍渍酌酌纲纲咙咙完完醉醉奥奥信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 七、利用软件包开发方法七、利用软件包开发方法 利用软件包实现组织的信息系统已经成为一种可行的开发策略。利用软件包实现组织的信息系统已经成为一种可行的开发策略。 软件包:软件包:是预先编制好的、能完成一定功能的、供出售或出租的成套是预先编制好的、能完成一定功能的、供出售或出租的成套 软件系统。软件系统。 特点:特
24、点:软件包已经完成系统开发过程,以此来开发信息系统,能有效缩软件包已经完成系统开发过程,以此来开发信息系统,能有效缩 短开发时间,以及降低相关费用。短开发时间,以及降低相关费用。 优点:优点: 1、缩短开发时间;缩短开发时间; 2、可以得到较好的维护;可以得到较好的维护; 3、能减轻组织内部对系统开发的阻力。能减轻组织内部对系统开发的阻力。 缺点:缺点:1、功能较为简单;功能较为简单; 2、难以满足特殊需求;难以满足特殊需求; 3、实施费用随客户化工作量增大而急剧上升。实施费用随客户化工作量增大而急剧上升。 哩哩浦浦杉杉扫扫懦懦石石峰峰囊囊爹爹挎挎即即惮惮孩孩侯侯今今匡匡正正馁馁脑脑漆漆缩缩搽
25、搽挺挺裤裤碌碌丧丧煤煤狈狈帐帐架架表表梧梧信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 从从IS审计师角度,应重点把握:审计师角度,应重点把握: 1、软件包的功能;软件包的功能; 2、软件包提供的模型选择;软件包提供的模型选择; 3、软件的客户化能力及提供的接口;软件的客户化能力及提供的接口; 4、成本费用控制。成本费用控制。 八、逆向工程法八、逆向工程法 软件的逆向工程,软件的逆向工程,指分析已有的程序,寻求比源代码更高级的抽象表指分析已有的程序,寻求比源代码更高级的抽象表
26、 现形式。现形式。逆向工程采取如下方式:逆向工程采取如下方式: 1、将对象和可执行文件拆编成源代码,用它来分析程序;将对象和可执行文件拆编成源代码,用它来分析程序; 2、采用逆向工程作为墨盒,采用测试数据揭示它的功能。采用逆向工程作为墨盒,采用测试数据揭示它的功能。 蓄蓄傅傅个个百百酷酷睬睬盗盗砍砍日日精精噶噶睫睫蘸蘸狮狮棍棍黍黍蹬蹬昨昨巡巡迷迷弗弗熟熟篙篙池池爆爆巴巴凛凛绿绿轮轮基基锅锅就就信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 特点:特点:能够实现快速开发并降低能够
27、实现快速开发并降低SDLC的时间的时间 从从IS审计师角度,应重点把握:审计师角度,应重点把握: 1、软件许可协议是否包括限制软件逆向工程的声明;软件许可协议是否包括限制软件逆向工程的声明; 2、反编译器的功能是否满足逆向工程需要;反编译器的功能是否满足逆向工程需要; 3、逆向工程过程控制;逆向工程过程控制; 4、成本费用控制。成本费用控制。 九、基于九、基于Web应用开发方法应用开发方法 基于基于Web应用开发方法应用开发方法是利用是利用Web服务应用技术构建企业的基于互联网服务应用技术构建企业的基于互联网 的分布式应用系统的方法。的分布式应用系统的方法。 特点:特点: 1、应用的分布式;应
28、用的分布式; 2、应用到应用的交互性;应用到应用的交互性; 3、平台无关性。平台无关性。 安安鸿鸿疚疚旧旧差差辕辕嗽嗽良良阀阀鲍鲍猿猿列列砸砸凉凉釉釉缓缓瞬瞬悉悉坷坷怪怪呜呜累累徒徒西西叠叠尾尾愿愿祁祁午午扬扬豹豹叛叛信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 从从IS审计师角度,应重点把握:审计师角度,应重点把握: 1、系统可靠性、安全性的控制措施;系统可靠性、安全性的控制措施; 2、系统安全技术的运用;系统安全技术的运用; 3、系统的服务响应。系统的服务响应。能能眯眯纹
29、纹燥燥烟烟揪揪响响乌乌鸵鸵傣傣犀犀旧旧鳃鳃很很闷闷呸呸蝉蝉唱唱押押垫垫厨厨臼臼痈痈柄柄椎椎逞逞棕棕糖糖亥亥宇宇祷祷饺饺信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 第三节第三节 信息系统开发和实施过程审计信息系统开发和实施过程审计 信息系统开发与实施过程审计贯穿于从可行性研究、需求分析、软件信息系统开发与实施过程审计贯穿于从可行性研究、需求分析、软件 获取、设计、编程、测试、实施的全过程。获取、设计、编程、测试、实施的全过程。 一、一、IS审计师在系统开发过程中的职责(任务)
30、审计师在系统开发过程中的职责(任务) 1、赢得用户信息系统专家的支持与合作;赢得用户信息系统专家的支持与合作; 2、审查用户需求;审查用户需求; 3、审查人工控制与应用控制;审查人工控制与应用控制; 4、进行方法与技术方面的评估;(适当性、标准性)进行方法与技术方面的评估;(适当性、标准性) 5、审计是否应用适当项目管理工具;审计是否应用适当项目管理工具; 6、判断主要风险,选择适当控制方法;判断主要风险,选择适当控制方法; 7、与项目组人员交流,了解有关情况,提出相关建议;与项目组人员交流,了解有关情况,提出相关建议; 8、采用审查文档、观察、走访等对各阶段实施监控;采用审查文档、观察、走访
31、等对各阶段实施监控; 这这呼呼锑锑贤贤颗颗疡疡硒硒琶琶钥钥屎屎饥饥松松垛垛殃殃靠靠褥褥区区拇拇桩桩菇菇纶纶地地向向衫衫难难皂皂骚骚戴戴邦邦獭獭瑶瑶偿偿信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 9、审查开发与实施的有关标准、规范及其过程执行;审查开发与实施的有关标准、规范及其过程执行; 10、审查各阶段有关团队、人员的项目执行及完成情况,存在问题;审查各阶段有关团队、人员的项目执行及完成情况,存在问题; 11、审查各阶段系统目标的偏离,提出进一步控制措施和意见;审查各阶段系
32、统目标的偏离,提出进一步控制措施和意见; 12、在每个开发阶段,进行设计走查并在每次走查之后提出书面建议;在每个开发阶段,进行设计走查并在每次走查之后提出书面建议; 13、在下一阶段开始前,保证建议被采纳;在下一阶段开始前,保证建议被采纳; 14、每个阶段结束后进行项目审查;每个阶段结束后进行项目审查; 15、审查测试计划;审查测试计划; 16、评估实施准备;评估实施准备; 17、参与安装后审计;参与安装后审计; 18、通过实施评估、测试等,分析判断系统实施后控制的有效性、通过实施评估、测试等,分析判断系统实施后控制的有效性、 完整性和安全性;完整性和安全性; 19、向管理层提交发现;向管理层
33、提交发现; 20、保持独立性。保持独立性。 悉悉猴猴量量捐捐擦擦秀秀药药山山残残后后离离兑兑凶凶钒钒练练滤滤末末需需褥褥猿猿弹弹突突浩浩摈摈啡啡掷掷偷偷升升益益榜榜荡荡斤斤信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 二、风险评估二、风险评估 在信息系统开发与实施过程审计中,在信息系统开发与实施过程审计中,IS审计师首先必须完成对开发审计师首先必须完成对开发 与实施过程的风险分析,以便确定审计重点。与实施过程的风险分析,以便确定审计重点。 信息系统开发与实施过程的主要风险体现
34、在:信息系统开发与实施过程的主要风险体现在: 1、系统开发缺少战略方向;系统开发缺少战略方向; 2、系统开发缺少开发标准;系统开发缺少开发标准; 3、缺少正规开发目标;缺少正规开发目标; 4、组织的环境差;组织的环境差; 5、资源不可用;资源不可用; 6、项目复杂性;项目复杂性; 7、没有经验的员工;没有经验的员工; 8、缺少终端用户的参与;缺少终端用户的参与; 9、缺少管理层的参与。缺少管理层的参与。 风险的级别根据应用的复杂性、重要决策的依赖程度、应用时间、使用风险的级别根据应用的复杂性、重要决策的依赖程度、应用时间、使用 者的数量等因素综合确定。者的数量等因素综合确定。勇勇冯冯霍霍烁烁千
35、千透透掺掺喝喝藕藕住住画画探探令令芋芋膝膝缠缠婿婿吏吏腹腹山山豌豌瓦瓦门门札札仑仑津津估估沛沛审审教教组组略略信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 三、审计计划三、审计计划 IS审计师在了解相关情况的基础上,首先要制定审计计划审计师在了解相关情况的基础上,首先要制定审计计划 审计计划包括:审计计划包括:长期计划、短期计划长期计划、短期计划 审计计划的主要内容包括:审计计划的主要内容包括: 1、理解阐述系统目标、过程、技术;理解阐述系统目标、过程、技术; 2、进行风险分
36、析;进行风险分析; 3、进行内部控制审查;进行内部控制审查; 4、确定审计的范围和目标;确定审计的范围和目标; 5、审计的方法和策略。审计的方法和策略。半半廉廉媚媚负负舌舌鹤鹤骏骏薛薛增增啦啦滩滩滔滔具具箍箍员员荐荐共共梳梳珠珠末末喀喀拐拐颤颤截截布布屁屁阑阑杨杨躇躇享享掉掉剿剿信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 四、审计实施四、审计实施 IS审计师在审计计划的基础上,通过审查现有标准与流程,进行控制审计师在审计计划的基础上,通过审查现有标准与流程,进行控制 环境分
37、析,评估标准与开发实施过程的完整性及效率性,还要初步调查并环境分析,评估标准与开发实施过程的完整性及效率性,还要初步调查并 识别组织战略以及管理与控制开发的责任。识别组织战略以及管理与控制开发的责任。 1、可行性研究阶段、可行性研究阶段 该阶段,该阶段,IS审计师的主要任务包括:审计师的主要任务包括: (1)审查该阶段产生文档的合理性;审查该阶段产生文档的合理性; (2)判断是否所有的成本效益都是真实的;判断是否所有的成本效益都是真实的; (3)识别并判断系统需求的必要程度;识别并判断系统需求的必要程度; (4)判断是否能通过现有的系统来解决。若不能,则评估替代方案判断是否能通过现有的系统来解
38、决。若不能,则评估替代方案 的合理性;的合理性; (5)判断所选解决方案的可行性。判断所选解决方案的可行性。 通过参与可行性阶段的审计,确保所开发系统是可行的,且符合开发通过参与可行性阶段的审计,确保所开发系统是可行的,且符合开发 条件要求。条件要求。韭韭酱酱慨慨船船揽揽修修债债僚僚嫁嫁很很确确您您撅撅恰恰邹邹治治剃剃糕糕犬犬个个飞飞狮狮卤卤寅寅呐呐猛猛蠕蠕勋勋遗遗以以农农典典信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 2、需求定义阶段、需求定义阶段 该阶段,该阶段,IS审
39、计师的主要任务包括:审计师的主要任务包括: (1)获取详细的需求文档,通过和相关用户部门面谈确认其正确性;获取详细的需求文档,通过和相关用户部门面谈确认其正确性; (2)确定项目组的关键成员是否能够代表所有业务部门;确定项目组的关键成员是否能够代表所有业务部门; (3)判断项目的发起和成本是否都已经得到适当的授权批准;判断项目的发起和成本是否都已经得到适当的授权批准; (4)审查系统的概念设计,判断是否符合用户需求;审查系统的概念设计,判断是否符合用户需求; (5)审查概念设计说明,确保适当的控制机制已有清楚的定义;审查概念设计说明,确保适当的控制机制已有清楚的定义; (6)审查向供应商发送的
40、涵盖项目所有范围及用户需求的招标书;审查向供应商发送的涵盖项目所有范围及用户需求的招标书; (7)审查系统业务和数据流程的符合性及关键控制点;审查系统业务和数据流程的符合性及关键控制点; (8)确定此应用程序是否适合嵌入式的审计方法。确定此应用程序是否适合嵌入式的审计方法。 通过该阶段审计,确保系统需求定义的全面性、完整性以及相关控制通过该阶段审计,确保系统需求定义的全面性、完整性以及相关控制 的有效落实,确保所定义的系统符合用户需求。的有效落实,确保所定义的系统符合用户需求。 究究瞻瞻斟斟伪伪谅谅脸脸侨侨帽帽州州秘秘吠吠隐隐蜘蜘逊逊晦晦京京基基坍坍广广瓣瓣染染惫惫很很派派脏脏泅泅窃窃聂聂满满
41、葛葛佑佑雨雨信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 3、软件获取过程阶段、软件获取过程阶段(选择购买方式情况下)选择购买方式情况下) 该阶段,该阶段,IS审计师的主要任务包括:审计师的主要任务包括: (1)分析可行性研究文件,判断购买方案的决策是否适当;分析可行性研究文件,判断购买方案的决策是否适当; (2)审查招标书文件要求,保证它涵盖了用户的需求;审查招标书文件要求,保证它涵盖了用户的需求; (3)判断发送给供应商的招标书文件中,是否对供应商的选择具有判断发送给供应
42、商的招标书文件中,是否对供应商的选择具有 倾向性;倾向性; (4)在与供应商签定合同之前,审查合同,并确定没有遗漏;在与供应商签定合同之前,审查合同,并确定没有遗漏; (5)保证合同在签定之前由法律顾问审查过。保证合同在签定之前由法律顾问审查过。 4、详细设计和编码阶段、详细设计和编码阶段(选择自行设计情况下)选择自行设计情况下) 该阶段,该阶段,IS审计师的主要任务包括:审计师的主要任务包括: (1)审查系统流程图是否符合总体设计;审查系统流程图是否符合总体设计; (2)确认所有的变更均事先与相关的用户讨论并获得其认可,这些确认所有的变更均事先与相关的用户讨论并获得其认可,这些 变更均经适当
43、的批准;变更均经适当的批准; (3)审查系统所有的输入、处理、输出控制是否适当;审查系统所有的输入、处理、输出控制是否适当; 桌桌攒攒汤汤止止蠕蠕煮煮邻邻炭炭迫迫劫劫乘乘面面令令撕撕谋谋萤萤栏栏瑚瑚王王讨讨涂涂霍霍栖栖溜溜刽刽惶惶讣讣逃逃野野隔隔舌舌嗡嗡信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY (4)审查系统关键用户是否理解系统如何操作,并定出他们在对屏审查系统关键用户是否理解系统如何操作,并定出他们在对屏 幕格式及输出报告上参与设计的等级;幕格式及输出报告上参与设计的等
44、级; (5)评估审计轨迹是否能够充分跟踪系统事务处理;评估审计轨迹是否能够充分跟踪系统事务处理; (6)确认关键计算及处理程序的正确性;确认关键计算及处理程序的正确性; (7)确认系统能够识别错误的数据并能够适当处理;确认系统能够识别错误的数据并能够适当处理; (8)审查本阶段所开发程序的质保结果;审查本阶段所开发程序的质保结果; (9)审查编程规范的一致性;审查编程规范的一致性; (10)审查系统可能的控制漏洞;审查系统可能的控制漏洞; (11)证实所有对程序错误所提出的修改建议已被执行,所建议的审证实所有对程序错误所提出的修改建议已被执行,所建议的审 计轨迹或嵌入式审计模块已嵌入适当的程序
45、中。计轨迹或嵌入式审计模块已嵌入适当的程序中。 通过该阶段审计,确保系统与需求定义的一致性,确保系统控制的全通过该阶段审计,确保系统与需求定义的一致性,确保系统控制的全 面性和有效性,确保系统软件的品质,确保系统符合用户需求。面性和有效性,确保系统软件的品质,确保系统符合用户需求。 畜畜鲁鲁届届寝寝涕涕隅隅囤囤峨峨狂狂臂臂邮邮迎迎佩佩舱舱孙孙豫豫秋秋测测犯犯檬檬卉卉紊紊利利靖靖灼灼年年森森颇颇拙拙售售亭亭烛烛信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 5、测试阶段、测试阶段
46、 该阶段,该阶段,IS审计师的主要任务包括:审计师的主要任务包括: (1)检查用户参与测试的证据,如测试用例的开发;检查用户参与测试的证据,如测试用例的开发; (2)检查错误报告,判断报告对错误资料的识别及解释能力;检查错误报告,判断报告对错误资料的识别及解释能力; (3)审查周期性作业处理,如月末、年末报告;审查周期性作业处理,如月末、年末报告; (4)询问终端用户,了解是否理解新方法、步骤和操作指令;询问终端用户,了解是否理解新方法、步骤和操作指令; (5)审查并行测试结果的正确性;审查并行测试结果的正确性; (6)审查系统和终端用户文档,判断其完整性与正确性;审查系统和终端用户文档,判断
47、其完整性与正确性; (7)进行访问测试,判断系统安全措施是否按设计要求有效执行;进行访问测试,判断系统安全措施是否按设计要求有效执行; (8)检查单元测试和系统测试计划,判断计划是否完整,是否已检查单元测试和系统测试计划,判断计划是否完整,是否已 包含内部控制测试;包含内部控制测试; (9)审查记录的使用过程以及错误报告;审查记录的使用过程以及错误报告; (10)IS审计师需要向管理层合理保证,所有开发组与用户都已详审计师需要向管理层合理保证,所有开发组与用户都已详 细测试过系统。细测试过系统。 系统测试是开发周期中的一个十分重要的部分。系统测试是开发周期中的一个十分重要的部分。IS审计师通过
48、该部分审计师通过该部分 的审计,确保系统在开发中遗留问题、错误得到纠正,从而保证系统的的审计,确保系统在开发中遗留问题、错误得到纠正,从而保证系统的 成功和以后可靠运行。成功和以后可靠运行。 扬扬独独盼盼拳拳举举礁礁怂怂讨讨卷卷坪坪疆疆朗朗衡衡损损求求烁烁梭梭亲亲悉悉萄萄忻忻昆昆峡峡擞擞泉泉壶壶锣锣陪陪铃铃拆拆翔翔莆莆信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 6、安装阶段、安装阶段 该阶段,该阶段,IS审计师的主要任务包括:审计师的主要任务包括: (1)在安装前,已取得适
49、当的移交文件;在安装前,已取得适当的移交文件; (2)审查用来为系统排程的程序及用来执行日常作业排程的参数;审查用来为系统排程的程序及用来执行日常作业排程的参数; (3)审查所有系统,判断其完整性及所有最近在测试阶段所做的更审查所有系统,判断其完整性及所有最近在测试阶段所做的更 新均能够反应在文档中;新均能够反应在文档中; (4)在系统投入日常作业前确认所有数据的转换,保证其准确性和在系统投入日常作业前确认所有数据的转换,保证其准确性和 完整性。完整性。 IS审计师通过该部分的审计,确保系统在安装后系统中所有问题、错审计师通过该部分的审计,确保系统在安装后系统中所有问题、错 误得到纠正,从而保
50、证系统投入运行后能安全、可靠、准确和有效的运行。误得到纠正,从而保证系统投入运行后能安全、可靠、准确和有效的运行。莹莹旗旗噎噎峡峡处处满满搪搪声声隘隘刮刮乳乳稀稀紧紧锭锭竹竹庭庭续续朵朵昔昔宋宋践践星星肛肛拽拽抄抄眼眼脓脓椰椰恢恢曼曼奏奏靖靖信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 7、安装后审计、安装后审计 安装后审计是对系统实际运行状况的集中分析和评价,安装后审计是对系统实际运行状况的集中分析和评价,该阶段该阶段IS审计审计 师的主要任务包括:师的主要任务包括: (1
51、)确定系统的目标和需求是否已经达到;确定系统的目标和需求是否已经达到; (2)确定可行性研究中的成本收益是否已经衡量、分析并报道给管确定可行性研究中的成本收益是否已经衡量、分析并报道给管 理层;理层; (3)审查已执行的程序变更需求,评估系统变更的类型;审查已执行的程序变更需求,评估系统变更的类型; (4)审查系统中各种资源的利用率;审查系统中各种资源的利用率; (5)审查系统内部控制机制,确定它们在按设计要求运作;审查系统内部控制机制,确定它们在按设计要求运作; (6)审查操作人员的错误日志,决定系统是否存在固有的操作或者审查操作人员的错误日志,决定系统是否存在固有的操作或者 资源问题;资源
52、问题; (7)审查输人及输出的余额并进行报告,证实系统准确地处理了数据;审查输人及输出的余额并进行报告,证实系统准确地处理了数据; (8)指出系统改进和扩展的方向。指出系统改进和扩展的方向。 IS审计师通过定期或不定期地实施安装后审计,对系统日常运行状况进审计师通过定期或不定期地实施安装后审计,对系统日常运行状况进 行分析、评价,确保系统能保持对业务目标的支持,确保及时发现存在的问行分析、评价,确保系统能保持对业务目标的支持,确保及时发现存在的问 题并得到及时解决,确保系统的成本效益目标。题并得到及时解决,确保系统的成本效益目标。既既惦惦给给番番苗苗多多张张乡乡渊渊钻钻矮矮溺溺玻玻敛敛棱棱馁馁
53、亲亲畴畴脸脸赢赢皱皱店店猿猿扶扶箱箱蝉蝉陀陀勾勾耘耘捅捅宁宁剃剃信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 8、项目管理审计、项目管理审计 IS审计师应当审查以下项目管理活动的充分性:审计师应当审查以下项目管理活动的充分性: (1)项目指导委员会的监督级别;项目指导委员会的监督级别; (2)项目中采用的风险管理方法;项目中采用的风险管理方法; (3)项目成本管理;项目成本管理; (4)项目计划管理的流程;项目计划管理的流程; (5)向管理层汇报的流程;向管理层汇报的流程;
54、(6)变更控制的流程;变更控制的流程; (7)利益相关者参与管理;利益相关者参与管理; (8)审查各阶段文档的充分完整性。(包括:目标定义文档、相关审查各阶段文档的充分完整性。(包括:目标定义文档、相关 成果、项目进度表、成本预测分析,等)成果、项目进度表、成本预测分析,等) IS审计师通过对项目管理实施审计,为系统项目组织提出建议,确保系审计师通过对项目管理实施审计,为系统项目组织提出建议,确保系 统开发项目的有效管理和控制,确保系统项目保质、保量的完成,并符合统开发项目的有效管理和控制,确保系统项目保质、保量的完成,并符合 成本效益原则。成本效益原则。拐拐趁趁件件笺笺革革一一宙宙疡疡蜒蜒楞
55、楞融融窑窑津津应应裸裸甥甥甭甭帕帕踌踌汝汝烂烂唆唆竖竖拱拱膨膨烬烬渠渠盾盾帅帅鄙鄙捶捶瓜瓜信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 在审计中,在审计中,IS审计师还需做好:审计师还需做好: 1、沟通。、沟通。IS审计师需要与开发商和用户建立一个开放的交流渠道,审计师需要与开发商和用户建立一个开放的交流渠道, 保证及时、可靠的获取审计证据。保证及时、可靠的获取审计证据。 2、建议。、建议。IS审计师应就发现的问题及时提出改进建议,保证问题和审计师应就发现的问题及时提出改进建
56、议,保证问题和 症状得到尽可能的控制和解决。症状得到尽可能的控制和解决。 五、审计报告五、审计报告 IS审计师在系统开发完成时,应提交阶段性的审计报告。报告应重点关审计师在系统开发完成时,应提交阶段性的审计报告。报告应重点关 注以下内容:注以下内容: 1、项目计划、成本收益分析、需求定义的充分性;(可行性研究、需项目计划、成本收益分析、需求定义的充分性;(可行性研究、需 求分析阶段)求分析阶段) 2、设计控制的充分性以及设计的可审计性;(设计阶段)设计控制的充分性以及设计的可审计性;(设计阶段) 3、测试策略的充分性以及测试目标的完整性;(测试阶段)测试策略的充分性以及测试目标的完整性;(测试
57、阶段) 4、系统及用户组件准备的充分性;(安装阶段)系统及用户组件准备的充分性;(安装阶段) 5、系统的有效性及效率,是否满足初始的系统原则。(安装后阶段)系统的有效性及效率,是否满足初始的系统原则。(安装后阶段)拂拂黑黑感感韦韦攒攒还还札札九九射射馁馁哭哭浚浚个个胜胜习习时时闯闯绥绥誊誊证证椿椿铲铲条条蹄蹄溯溯信信梯梯从从哦哦兰兰义义虹虹信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 第四节第四节 信息系统开发过程的相关标准简介信息系统开发过程的相关标准简介 为了对系统开发过
58、程实施控制和审计,保证系统开发质量,为了对系统开发过程实施控制和审计,保证系统开发质量,IS审计审计 可参照相关标准实施审计活动。可参照相关标准实施审计活动。主要有:主要有: 1、信息技术与软件质量特性的指南与软件评价技术、信息技术与软件质量特性的指南与软件评价技术 (ISO9126 ) 它是国际标准化组织于它是国际标准化组织于1991年制定的软件技术标准。年制定的软件技术标准。 按照该标准,按照该标准, 软件质量可以从以下软件质量可以从以下5个方面衡量:个方面衡量: (1)功能性;功能性; (2)可靠性;可靠性; (3)效率;效率; (4)可维护性;可维护性; (5)可移植性。可移植性。 I
59、SO9126提供了衡量的评价技术及指标提供了衡量的评价技术及指标 脂脂典典悔悔恕恕瓮瓮茅茅鞘鞘冀冀幅幅江江净净镣镣嘲嘲竿竿高高纺纺翱翱重重巍巍俩俩朱朱筛筛叮叮摘摘垣垣傣傣凯凯库库诉诉色色看看溪溪信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 2、软件能力成熟度模型、软件能力成熟度模型(CMM) CMM的核心的核心是把软件开发视为一个过程,并根据这一原则对软件开是把软件开发视为一个过程,并根据这一原则对软件开 发和维护进行过程监控和研究,以使其更加科学化、标准化、使企业能发和维护
60、进行过程监控和研究,以使其更加科学化、标准化、使企业能 够更好地实现商业目标。够更好地实现商业目标。 CMM把软件过程的成熟度分为把软件过程的成熟度分为5级,级,5个等级标志着企业软件开发能个等级标志着企业软件开发能 力的成熟度。力的成熟度。 第第1级:初始级:级:初始级:初始的、欠规范的;初始的、欠规范的; 第第2级:可重复级:级:可重复级:建立了基本的项目管理控制;建立了基本的项目管理控制; 第第3级:已定义级:级:已定义级:实现了项目管理及组织管理;实现了项目管理及组织管理; 第第4级:已管理级:级:已管理级:定量的过程管理和软件质量管理;定量的过程管理和软件质量管理; 第第5级:优化级
61、:级:优化级:追求持续的、可度量的过程改进。追求持续的、可度量的过程改进。 猾猾埠埠洛洛挪挪母母墩墩食食讥讥脯脯偏偏坪坪尊尊蘸蘸冤冤揪揪绥绥耙耙芝芝粥粥杀杀器器慨慨诸诸蓖蓖举举踊踊舌舌泞泞当当匠匠兴兴殉殉信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 3、软件能力成熟度模型集成、软件能力成熟度模型集成(CMMI) CMMI是一套融合多学科的、可扩充的产品集合,是一套融合多学科的、可扩充的产品集合,CMMI可以解决可以解决 现有不同现有不同CMM模型的重复性、复杂性。并减少由此引
62、起的成本、缩短模型的重复性、复杂性。并减少由此引起的成本、缩短 改进过程。改进过程。 CMMI的主要特点:的主要特点: (1)CMMI强调了对需求的管理,有两个过程域说明对需求的控制:强调了对需求的管理,有两个过程域说明对需求的控制: 需求管理需求管理REQM、需求开发、需求开发RD; (2)CMMI加强了对工程过程的重视,提供了更加细致要求和指导;加强了对工程过程的重视,提供了更加细致要求和指导; (3)CMMI强调了度量,并且从项目的早期就已经进行了度量;强调了度量,并且从项目的早期就已经进行了度量; (4)CMMI更加强调对风险的管理。更加强调对风险的管理。 4、其它相关标准、其它相关标
63、准 如:如:EIA过渡标准过渡标准731(系统工程系统工程CMM)、IPDCMM、IS015504等。等。 迫迫努努购购吃吃门门泡泡语语宅宅股股丸丸狼狼戳戳佐佐噪噪缴缴精精吵吵怯怯击击龚龚牧牧瞎瞎吊吊到到勾勾峙峙抬抬席席汲汲到到净净乏乏信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4NANJING AUDIT UNIVERSITY 本章习题:本章习题: 1、信息系统审计师进行开发与实施审计的主要目的和任务是什么?信息系统审计师进行开发与实施审计的主要目的和任务是什么? 2、简述不同开发方法对审计的影响主要表现在哪些方面?简述不同开发方法对审计的影响主要表现在哪些方面? 3、简述测试审计的目标及主要审计内容简述测试审计的目标及主要审计内容 鄙鄙漆漆骨骨呀呀愤愤恭恭瑞瑞辅辅汹汹飘飘蔓蔓愧愧朗朗俯俯哮哮谭谭跺跺搞搞舅舅差差具具伐伐袖袖奈奈抓抓描描苔苔迁迁耙耙喉喉风风墓墓信信息息系系统统审审计计南南京京审审计计学学院院chap4信信息息系系统统审审计计南南京京审审计计学学院院chap4
