信息系統(tǒng)開(kāi)發(fā)與實(shí)施審計(jì)-學(xué)科評(píng)審會(huì)ppt課件

1、第四章 信息系統(tǒng)開(kāi)發(fā)與實(shí)施審計(jì) 信息系統(tǒng)開(kāi)發(fā)是一項(xiàng)本錢高又耗時(shí)的任務(wù)，為更好地開(kāi)發(fā)運(yùn)用系統(tǒng)，以 滿足企業(yè)戰(zhàn)略需求，必需有一個(gè)良好的控制環(huán)境，包括適宜的系統(tǒng)開(kāi)發(fā)方 法、開(kāi)發(fā)過(guò)程，如可行性研討、分析、設(shè)計(jì)、測(cè)試、實(shí)施等過(guò)程。此外，還 包括工程管理、軟件開(kāi)發(fā)過(guò)程改良等，也需求進(jìn)展控制。 ISA經(jīng)過(guò)審查系統(tǒng)開(kāi)發(fā)、獲取與實(shí)施過(guò)程，并對(duì)此進(jìn)展評(píng)價(jià)，提出改良 意見(jiàn)，從而確保系統(tǒng)能滿足企業(yè)的運(yùn)營(yíng)目的、規(guī)范并實(shí)現(xiàn)其效益。 第一節(jié) 信息系統(tǒng)開(kāi)發(fā)與實(shí)施評(píng)價(jià) 對(duì)信息系統(tǒng)開(kāi)發(fā)與實(shí)施進(jìn)展控制與審計(jì)目的： 1、防止投資風(fēng)險(xiǎn)，實(shí)現(xiàn)投資利益最大化； 2、減少軟件商業(yè)風(fēng)險(xiǎn)，滿足業(yè)務(wù)需求； 3、防止軟件時(shí)效風(fēng)險(xiǎn)。. 為了到達(dá)上述控

2、制與審計(jì)目的，ISA經(jīng)過(guò)參與系統(tǒng)開(kāi)發(fā)與實(shí)施過(guò)程，收 集有關(guān)證據(jù)，評(píng)價(jià)： 1、信息化工程的方針、程序； 2、系統(tǒng)開(kāi)發(fā)技術(shù)和方法的選擇； 3、系統(tǒng)各階段的目的； 4、系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程的控制； 5、系統(tǒng)工程的組織控制如：工程發(fā)起人、工程指點(diǎn)委員會(huì)； 6、系統(tǒng)工程管理的有效性。 經(jīng)過(guò)評(píng)價(jià)，IS審計(jì)師采取向有關(guān)指點(diǎn)提出建議，為系統(tǒng)工程組提供咨詢 和建議等方式，確保信息系統(tǒng)工程開(kāi)發(fā)、實(shí)施目的的實(shí)現(xiàn)。 . 第二節(jié) 信息系統(tǒng)開(kāi)發(fā)方法簡(jiǎn)介 一、開(kāi)發(fā)的緣由 1、系統(tǒng)的業(yè)務(wù)需求； 2、處理現(xiàn)有業(yè)務(wù)過(guò)程的問(wèn)題； 3、用新技術(shù)替代舊技術(shù)； 4、當(dāng)前技術(shù)存在問(wèn)題。 要開(kāi)發(fā)一個(gè)系統(tǒng)涉及：系統(tǒng)的開(kāi)發(fā)方法 主要的系統(tǒng)開(kāi)發(fā)方法

3、：生命周期法、面向?qū)ο蠓ā⒃头?、基于組件的 開(kāi)發(fā)、快速開(kāi)發(fā)法、軟件包開(kāi)發(fā)、逆向工程、軟 系統(tǒng)方法論，基于Web運(yùn)用開(kāi)發(fā)，等 . 二、生命周期法SDLC SDLC法采用瀑布式技術(shù)，是基于系統(tǒng)的、順序的軟件方法，開(kāi)場(chǎng)于 可行性研討，經(jīng)過(guò)需求分析、設(shè)計(jì)選擇、開(kāi)發(fā)配置、實(shí)施、維護(hù) 等階段。 特點(diǎn)：每個(gè)階段有明確的目的和活動(dòng)；明晰的責(zé)任；預(yù)期的結(jié)果和完成 時(shí)間。 優(yōu)點(diǎn)：提供摸板，規(guī)定了需求定義、設(shè)計(jì)、編程等方法 缺陷： 1、 實(shí)踐過(guò)程中的一些不測(cè)事件，呵斥很難遵守順序流程，且經(jīng)常反復(fù)； 2、要求十清楚確的用戶需求，并充分預(yù)見(jiàn)能夠發(fā)生的變化，條件苛刻； 3、工程生命周期的后期才干看到任務(wù)成果，要求客戶有

4、足夠的耐心； 4、在開(kāi)發(fā)工程終了前，用戶需求能夠曾經(jīng)發(fā)生變化。 . 從IS審計(jì)師角度，該方法的優(yōu)點(diǎn)： 1、在生命周期的每個(gè)階段，都有規(guī)范的步驟和指南； 2、可以審查一切系統(tǒng)開(kāi)發(fā)工程階段、方案目的的遵照情況； 3、可以評(píng)價(jià)整個(gè)生命周期開(kāi)發(fā)的方法和技術(shù)； 4、可以評(píng)價(jià)開(kāi)發(fā)過(guò)程中的關(guān)鍵控制點(diǎn)，審查其控制的有效性。 三、原型法 原型法：亦稱作啟發(fā)式或者演化式開(kāi)發(fā)方法，用戶首先提出開(kāi)發(fā) 需求，開(kāi)發(fā)人員識(shí)別和歸納用戶要求，以此構(gòu)造原型，然后和用戶一 起評(píng)價(jià)、修正原型，直到用戶稱心為止。 特點(diǎn)：它經(jīng)過(guò)對(duì)原型的不斷修正完善而逐漸控制錯(cuò)誤，減少風(fēng)險(xiǎn)； 采用快速開(kāi)發(fā)工具，提高開(kāi)發(fā)效率和時(shí)間 . 支持第四代技術(shù)的開(kāi)

5、發(fā)工具： 數(shù)據(jù)庫(kù)查詢的非過(guò)程化言語(yǔ)、報(bào)告生成器、數(shù)據(jù)支配言語(yǔ)、屏幕 交互和定義工具、高級(jí)圖形才干和配置管理工具，等 優(yōu)點(diǎn)： 1、遵照認(rèn)識(shí)規(guī)律，采用循序漸進(jìn)的過(guò)程開(kāi)發(fā)和認(rèn)識(shí)系統(tǒng)； 2、便于用戶和系統(tǒng)分析人員的交流溝通； 3、充分利用最新工具軟件，減少系統(tǒng)開(kāi)發(fā)時(shí)間和費(fèi)用，提高效率。 缺陷： 1、短少系統(tǒng)開(kāi)發(fā)的全面控制機(jī)制； 2、短少文檔，變卦控制變得更加復(fù)雜； 3、很難構(gòu)造適宜的原型，以供用戶評(píng)價(jià)； 4、大型系統(tǒng)不宜采用此法。. 從IS審計(jì)師角度，對(duì)此方法應(yīng)認(rèn)識(shí)到： 1、短少相應(yīng)評(píng)價(jià)規(guī)范、規(guī)范的弱點(diǎn)； 2、對(duì)系統(tǒng)控制、風(fēng)險(xiǎn)評(píng)價(jià)的復(fù)雜、困難； 3、給組織帶來(lái)省時(shí)、節(jié)約的效益。 四、面向?qū)ο蟮姆椒∣O

6、M 面向?qū)ο蠓椒ń咏藗冋J(rèn)識(shí)現(xiàn)實(shí)世界的普通方法，便于開(kāi)發(fā)人員利 用面向?qū)ο蠓ǖ母靖拍钊ッ璁?huà)復(fù)雜問(wèn)題。 對(duì)象的特點(diǎn)：封裝性、承繼性、多態(tài)性 面向?qū)ο蟮能浖_(kāi)發(fā)包括：OOA、OOD、OOP、OOT 特點(diǎn)：它是一個(gè)逐漸細(xì)化的過(guò)程 ，可以把一個(gè)系統(tǒng)的開(kāi)發(fā)分成假設(shè)干個(gè)小 范圍進(jìn)展。 . 優(yōu)點(diǎn)： 1、采用特定的軟件工具，直接完成從對(duì)象客體的描畫(huà)到軟件構(gòu)造之間 的轉(zhuǎn)換； 2、處理了客觀世界描畫(huà)工具與軟件構(gòu)造不一致問(wèn)題，縮短開(kāi)發(fā)周期； 3、實(shí)現(xiàn)軟件復(fù)用，降低軟件系統(tǒng)復(fù)雜性，提高開(kāi)發(fā)效率； 4、封裝性簡(jiǎn)化了系統(tǒng)開(kāi)發(fā)過(guò)程； 5、多態(tài)性使系統(tǒng)對(duì)環(huán)境的順應(yīng)性加強(qiáng)。 缺陷： 1、需求一定的軟件工具支持； 2、不適宜于

7、大型復(fù)雜系統(tǒng)。 從IS審計(jì)師角度，應(yīng)重點(diǎn)把握： 1、系統(tǒng)對(duì)象確實(shí)定和描畫(huà)環(huán)節(jié)，以及采取的控制措施； 2、對(duì)象之間的音訊傳送方式及控制機(jī)制； 3、訪問(wèn)系統(tǒng)資源的控制機(jī)制和平安機(jī)制； 4、網(wǎng)絡(luò)與分布設(shè)計(jì)。. 五、基于組件的方法 該方法是OOM的拓展，用于OOM的實(shí)現(xiàn)環(huán)節(jié)，它經(jīng)過(guò)預(yù)定義的接口 集成可執(zhí)行的軟件包，從而完成一定的功能義務(wù)。 基于組件的類型主要有： 1、過(guò)程內(nèi)客戶端組件；如閱讀器 2、獨(dú)立客戶端組件；如office 3、獨(dú)立效力器組件；如DCOM、RMI 4、過(guò)程內(nèi)效力器組件。如MTS、EJB 特點(diǎn)：經(jīng)過(guò)基于組件開(kāi)發(fā)技術(shù)，使不同程序?qū)ο罂梢韵嗷ネㄓ?，集成運(yùn)用。 中間件 優(yōu)點(diǎn)： 1、減少開(kāi)

8、發(fā)時(shí)間； 2、改善質(zhì)量； 3、可以從商家買到可證明的、經(jīng)過(guò)測(cè)試的軟件； 4、允許開(kāi)發(fā)商更加關(guān)注業(yè)務(wù)功能； . 5、加強(qiáng)模塊性； 6、提高重用性； 7、減少開(kāi)發(fā)本錢； 8、支持多用戶開(kāi)發(fā)環(huán)境； 9、允許在構(gòu)造和購(gòu)買的選擇之間進(jìn)展協(xié)調(diào)； 10、便于系統(tǒng)重構(gòu)。 缺陷：堅(jiān)持組件架構(gòu)穩(wěn)定性復(fù)雜以及由此帶來(lái)工程工期風(fēng)險(xiǎn) 從IS審計(jì)師角度，應(yīng)重點(diǎn)把握： 1、系統(tǒng)需求的有效定義； 2、組件架構(gòu)和穩(wěn)定的風(fēng)險(xiǎn)評(píng)價(jià)分析； 3、組件開(kāi)發(fā)過(guò)程的管理控制； 4、組件的可靠性、平安性。. 六、快速運(yùn)用開(kāi)發(fā)法RAD RAD是一種方法論，經(jīng)過(guò)一系列曾經(jīng)證明的運(yùn)用開(kāi)發(fā)技術(shù)，采用清 楚定義的方法論，快速開(kāi)發(fā)具有戰(zhàn)略性的信息系統(tǒng)，減

9、少開(kāi)發(fā)本錢和提高 維護(hù)質(zhì)量。 這些技術(shù)包括運(yùn)用： 小型、良好培訓(xùn)的開(kāi)發(fā)團(tuán)隊(duì)； 演化原型法； 集成工具，支持模型、原型、組件重用； 中央庫(kù)存； 交互的需求和設(shè)計(jì)任務(wù)組； 嚴(yán)厲的開(kāi)發(fā)時(shí)間限制。 . 特點(diǎn)： 支持單獨(dú)系統(tǒng)的開(kāi)發(fā)和實(shí)施，但不支持整個(gè)企業(yè)信息需求或者某個(gè)主 要業(yè)務(wù)領(lǐng)域的信息需求的規(guī)劃與分析； 經(jīng)過(guò)對(duì)系統(tǒng)開(kāi)發(fā)設(shè)立嚴(yán)厲的時(shí)間框架，采用重用組件，提供一種快速 開(kāi)發(fā)系統(tǒng)的思緒。 從IS審計(jì)師角度，應(yīng)重點(diǎn)把握： 1、各過(guò)程階段的控制目的； 2、業(yè)務(wù)需求的有效定義； 3、時(shí)間管理控制機(jī)制； 4、安裝階段的充分控制。. 七、利用軟件包開(kāi)發(fā)方法 利用軟件包實(shí)現(xiàn)組織的信息系統(tǒng)曾經(jīng)成為一種可行的開(kāi)發(fā)戰(zhàn)略。

10、軟件包：是預(yù)先編制好的、能完成一定功能的、供出賣或出租的成套 軟件系統(tǒng)。 特點(diǎn)：軟件包曾經(jīng)完成系統(tǒng)開(kāi)發(fā)過(guò)程，以此來(lái)開(kāi)發(fā)信息系統(tǒng)，能有效縮 短開(kāi)發(fā)時(shí)間，以及降低相關(guān)費(fèi)用。 優(yōu)點(diǎn)： 1、縮短開(kāi)發(fā)時(shí)間； 2、可以得到較好的維護(hù)； 3、能減輕組織內(nèi)部對(duì)系統(tǒng)開(kāi)發(fā)的阻力。 缺陷：1、功能較為簡(jiǎn)單； 2、難以滿足特殊需求； 3、實(shí)施費(fèi)用隨客戶化任務(wù)量增大而急劇上升。 . 從IS審計(jì)師角度，應(yīng)重點(diǎn)把握： 1、軟件包的功能； 2、軟件包提供的模型選擇； 3、軟件的客戶化才干及提供的接口； 4、本錢費(fèi)用控制。 八、逆向工程法 軟件的逆向工程，指分析已有的程序，尋求比源代碼更高級(jí)的籠統(tǒng)表 現(xiàn)方式。逆向工程采取如下方

11、式： 1、將對(duì)象和可執(zhí)行文件拆編成源代碼，用它來(lái)分析程序； 2、采用逆向工程作為墨盒，采用測(cè)試數(shù)據(jù)提示它的功能。 . 特點(diǎn)：可以實(shí)現(xiàn)快速開(kāi)發(fā)并降低SDLC的時(shí)間 從IS審計(jì)師角度，應(yīng)重點(diǎn)把握： 1、軟件答應(yīng)協(xié)議能否包括限制軟件逆向工程的聲明； 2、反編譯器的功能能否滿足逆向工程需求； 3、逆向工程過(guò)程控制； 4、本錢費(fèi)用控制。 九、基于Web運(yùn)用開(kāi)發(fā)方法 基于Web運(yùn)用開(kāi)發(fā)方法是利用Web效力運(yùn)用技術(shù)構(gòu)建企業(yè)的基于互聯(lián)網(wǎng) 的分布式運(yùn)用系統(tǒng)的方法。 特點(diǎn)： 1、運(yùn)用的分布式； 2、運(yùn)用到運(yùn)用的交互性； 3、平臺(tái)無(wú)關(guān)性。 . 從IS審計(jì)師角度，應(yīng)重點(diǎn)把握： 1、系統(tǒng)可靠性、平安性的控制措施； 2、

12、系統(tǒng)平安技術(shù)的運(yùn)用； 3、系統(tǒng)的效力呼應(yīng)。. 第三節(jié) 信息系統(tǒng)開(kāi)發(fā)和實(shí)施過(guò)程審計(jì) 信息系統(tǒng)開(kāi)發(fā)與實(shí)施過(guò)程審計(jì)貫穿于從可行性研討、需求分析、軟件 獲取、設(shè)計(jì)、編程、測(cè)試、實(shí)施的全過(guò)程。 一、IS審計(jì)師在系統(tǒng)開(kāi)發(fā)過(guò)程中的職責(zé)義務(wù) 1、博得用戶信息系統(tǒng)專家的支持與協(xié)作； 2、審查用戶需求； 3、審查人工控制與運(yùn)用控制； 4、進(jìn)展方法與技術(shù)方面的評(píng)價(jià)；適當(dāng)性、規(guī)范性 5、審計(jì)能否運(yùn)用適當(dāng)工程管理工具； 6、判別主要風(fēng)險(xiǎn)，選擇適當(dāng)控制方法； 7、與工程組人員交流，了解有關(guān)情況，提出相關(guān)建議； 8、采用審查文檔、察看、走訪等對(duì)各階段實(shí)施監(jiān)控； . 9、審查開(kāi)發(fā)與實(shí)施的有關(guān)規(guī)范、規(guī)范及其過(guò)程執(zhí)行； 10、審

13、查各階段有關(guān)團(tuán)隊(duì)、人員的工程執(zhí)行及完成情況，存在問(wèn)題； 11、審查各階段系統(tǒng)目的的偏離，提出進(jìn)一步控制措施和意見(jiàn)； 12、在每個(gè)開(kāi)發(fā)階段，進(jìn)展設(shè)計(jì)走查并在每次走查之后提出書(shū)面建議； 13、在下一階段開(kāi)場(chǎng)前，保證建議被采用； 14、每個(gè)階段終了后進(jìn)展工程審查； 15、審查測(cè)試方案； 16、評(píng)價(jià)實(shí)施預(yù)備； 17、參與安裝后審計(jì)； 18、經(jīng)過(guò)實(shí)施評(píng)價(jià)、測(cè)試等，分析判別系統(tǒng)實(shí)施后控制的有效性、 完好性和平安性； 19、向管理層提交發(fā)現(xiàn)； 20、堅(jiān)持獨(dú)立性。 . 二、風(fēng)險(xiǎn)評(píng)價(jià) 在信息系統(tǒng)開(kāi)發(fā)與實(shí)施過(guò)程審計(jì)中，IS審計(jì)師首先必需完成對(duì)開(kāi)發(fā) 與實(shí)施過(guò)程的風(fēng)險(xiǎn)分析，以便確定審計(jì)重點(diǎn)。 信息系統(tǒng)開(kāi)發(fā)與實(shí)施過(guò)程的

14、主要風(fēng)險(xiǎn)表達(dá)在： 1、系統(tǒng)開(kāi)發(fā)短少戰(zhàn)略方向； 2、系統(tǒng)開(kāi)發(fā)短少開(kāi)發(fā)規(guī)范； 3、短少正規(guī)開(kāi)發(fā)目的； 4、組織的環(huán)境差； 5、資源不可用； 6、工程復(fù)雜性； 7、沒(méi)有閱歷的員工； 8、短少終端用戶的參與； 9、短少管理層的參與。 風(fēng)險(xiǎn)的級(jí)別根據(jù)運(yùn)用的復(fù)雜性、重要決策的依賴程度、運(yùn)用時(shí)間、運(yùn)用 者的數(shù)量等要素綜合確定。. 三、審計(jì)方案 IS審計(jì)師在了解相關(guān)情況的根底上，首先要制定審計(jì)方案 審計(jì)方案包括：長(zhǎng)期方案、短期方案 審計(jì)方案的主要內(nèi)容包括： 1、了解論述系統(tǒng)目的、過(guò)程、技術(shù)； 2、進(jìn)展風(fēng)險(xiǎn)分析； 3、進(jìn)展內(nèi)部控制審查； 4、確定審計(jì)的范圍和目的； 5、審計(jì)的方法和戰(zhàn)略。. 四、審計(jì)實(shí)施 IS審

15、計(jì)師在審計(jì)方案的根底上，經(jīng)過(guò)審查現(xiàn)有規(guī)范與流程，進(jìn)展控制 環(huán)境分析，評(píng)價(jià)規(guī)范與開(kāi)發(fā)實(shí)施過(guò)程的完好性及效率性，還要初步伐查并 識(shí)別組織戰(zhàn)略以及管理與控制開(kāi)發(fā)的責(zé)任。 1、可行性研討階段 該階段，IS審計(jì)師的主要義務(wù)包括： 1審查該階段產(chǎn)生文檔的合理性； 2判別能否一切的本錢效益都是真實(shí)的； 3識(shí)別并判別系統(tǒng)需求的必要程度； 4判別能否能經(jīng)過(guò)現(xiàn)有的系統(tǒng)來(lái)處理。假設(shè)不能，那么評(píng)價(jià)替代方案 的合理性； 5判別所選處理方案的可行性。 經(jīng)過(guò)參與可行性階段的審計(jì)，確保所開(kāi)發(fā)系統(tǒng)是可行的，且符合開(kāi)發(fā) 條件要求。. 2、需求定義階段 該階段，IS審計(jì)師的主要義務(wù)包括： 1獲取詳細(xì)的需求文檔，經(jīng)過(guò)和相關(guān)用戶部門面

16、談確認(rèn)其正確性； 2確定工程組的關(guān)鍵成員能否可以代表一切業(yè)務(wù)部門； 3判別工程的發(fā)起和本錢能否都曾經(jīng)得到適當(dāng)?shù)氖跈?quán)同意； 4審查系統(tǒng)的概念設(shè)計(jì)，判別能否符合用戶需求； 5審查概念設(shè)計(jì)闡明，確保適當(dāng)?shù)目刂茩C(jī)制已有清楚的定義； 6審查向供應(yīng)商發(fā)送的涵蓋工程一切范圍及用戶需求的招標(biāo)書(shū)； 7審查系統(tǒng)業(yè)務(wù)和數(shù)據(jù)流程的符合性及關(guān)鍵控制點(diǎn)； 8確定此運(yùn)用程序能否適宜嵌入式的審計(jì)方法。 經(jīng)過(guò)該階段審計(jì)，確保系統(tǒng)需求定義的全面性、完好性以及相關(guān)控制 的有效落實(shí)，確保所定義的系統(tǒng)符合用戶需求。 . 3、軟件獲取過(guò)程階段(選擇購(gòu)買方式情況下 該階段，IS審計(jì)師的主要義務(wù)包括： 1分析可行性研討文件，判別購(gòu)買方案的決

17、策能否適當(dāng)； 2審查招標(biāo)書(shū)文件要求，保證它涵蓋了用戶的需求； 3判別發(fā)送給供應(yīng)商的招標(biāo)書(shū)文件中，能否對(duì)供應(yīng)商的選擇具有 傾向性； 4在與供應(yīng)商簽定合同之前，審查合同，并確定沒(méi)有脫漏； 5保證合同在簽定之前由法律顧問(wèn)審查過(guò)。 4、詳細(xì)設(shè)計(jì)和編碼階段(選擇自行設(shè)計(jì)情況下 該階段，IS審計(jì)師的主要義務(wù)包括： 1審查系統(tǒng)流程圖能否符合總體設(shè)計(jì)； 2確認(rèn)一切的變卦均事先與相關(guān)的用戶討論并獲得其認(rèn)可，這些 變卦均經(jīng)適當(dāng)?shù)耐猓?3審查系統(tǒng)一切的輸入、處置、輸出控制能否適當(dāng)； . 4審查系統(tǒng)關(guān)鍵用戶能否了解系統(tǒng)如何操作，并定出他們?cè)趯?duì)屏 幕格式及輸出報(bào)告上參與設(shè)計(jì)的等級(jí)； 5評(píng)價(jià)審計(jì)軌跡能否可以充分跟蹤系統(tǒng)

18、事務(wù)處置； 6確認(rèn)關(guān)鍵計(jì)算及處置程序的正確性； 7確認(rèn)系統(tǒng)可以識(shí)別錯(cuò)誤的數(shù)據(jù)并可以適當(dāng)處置； 8審查本階段所開(kāi)發(fā)程序的質(zhì)保結(jié)果； 9審查編程規(guī)范的一致性； 10審查系統(tǒng)能夠的控制破綻； 11證明一切對(duì)程序錯(cuò)誤所提出的修正建議已被執(zhí)行，所建議的審 計(jì)軌跡或嵌入式審計(jì)模塊已嵌入適當(dāng)?shù)某绦蛑小?經(jīng)過(guò)該階段審計(jì)，確保系統(tǒng)與需求定義的一致性，確保系統(tǒng)控制的全 面性和有效性，確保系統(tǒng)軟件的質(zhì)量，確保系統(tǒng)符合用戶需求。 . 5、測(cè)試階段 該階段，IS審計(jì)師的主要義務(wù)包括： 1檢查用戶參與測(cè)試的證據(jù)，如測(cè)試用例的開(kāi)發(fā)； 2檢查錯(cuò)誤報(bào)告，判別報(bào)告對(duì)錯(cuò)誤資料的識(shí)別及解釋才干； 3審查周期性作業(yè)處置，如月末、年末報(bào)

19、告； 4訊問(wèn)終端用戶，了解能否了解新方法、步驟和操作指令； 5審查并行測(cè)試結(jié)果的正確性； 6審查系統(tǒng)和終端用戶文檔，判別其完好性與正確性； 7進(jìn)展訪問(wèn)測(cè)試，判別系統(tǒng)平安措施能否按設(shè)計(jì)要求有效執(zhí)行； 8檢查單元測(cè)試和系統(tǒng)測(cè)試方案，判別方案能否完好，能否已 包含內(nèi)部控制測(cè)試； 9審查記錄的運(yùn)用過(guò)程以及錯(cuò)誤報(bào)告； 10IS審計(jì)師需求向管理層合理保證，一切開(kāi)發(fā)組與用戶都已詳 細(xì)測(cè)試過(guò)系統(tǒng)。 系統(tǒng)測(cè)試是開(kāi)發(fā)周期中的一個(gè)非常重要的部分。IS審計(jì)師經(jīng)過(guò)該部分 的審計(jì)，確保系統(tǒng)在開(kāi)發(fā)中遺留問(wèn)題、錯(cuò)誤得到糾正，從而保證系統(tǒng)的 勝利和以后可靠運(yùn)轉(zhuǎn)。 . 6、安裝階段 該階段，IS審計(jì)師的主要義務(wù)包括： 1在安裝前

20、，已獲得適當(dāng)?shù)囊平晃募?2審查用來(lái)為系統(tǒng)排程的程序及用來(lái)執(zhí)行日常作業(yè)排程的參數(shù)； 3審查一切系統(tǒng)，判別其完好性及一切最近在測(cè)試階段所做的更 新均可以反響在文檔中； 4在系統(tǒng)投入日常作業(yè)前確認(rèn)一切數(shù)據(jù)的轉(zhuǎn)換，保證其準(zhǔn)確性和 完好性。 IS審計(jì)師經(jīng)過(guò)該部分的審計(jì)，確保系統(tǒng)在安裝后系統(tǒng)中一切問(wèn)題、錯(cuò) 誤得到糾正，從而保證系統(tǒng)投入運(yùn)轉(zhuǎn)后能平安、可靠、準(zhǔn)確和有效的運(yùn)轉(zhuǎn)。. 7、安裝后審計(jì) 安裝后審計(jì)是對(duì)系統(tǒng)實(shí)踐運(yùn)轉(zhuǎn)情況的集中分析和評(píng)價(jià)，該階段IS審計(jì) 師的主要義務(wù)包括： 1確定系統(tǒng)的目的和需求能否曾經(jīng)到達(dá)； 2確定可行性研討中的本錢收益能否曾經(jīng)衡量、分析并報(bào)道給管 理層； 3審查已執(zhí)行的程序變卦需求，

21、評(píng)價(jià)系統(tǒng)變卦的類型； 4審查系統(tǒng)中各種資源的利用率； 5審查系統(tǒng)內(nèi)部控制機(jī)制，確定它們?cè)诎丛O(shè)計(jì)要求運(yùn)作； 6審查操作人員的錯(cuò)誤日志，決議系統(tǒng)能否存在固有的操作或者 資源問(wèn)題； 7審查輸人及輸出的余額并進(jìn)展報(bào)告，證明系統(tǒng)準(zhǔn)確地處置了數(shù)據(jù)； 8指出系統(tǒng)改良和擴(kuò)展的方向。 IS審計(jì)師經(jīng)過(guò)定期或不定期地實(shí)施安裝后審計(jì)，對(duì)系統(tǒng)日常運(yùn)轉(zhuǎn)情況進(jìn) 行分析、評(píng)價(jià)，確保系統(tǒng)能堅(jiān)持對(duì)業(yè)務(wù)目的的支持，確保及時(shí)發(fā)現(xiàn)存在的問(wèn) 題并得到及時(shí)處理，確保系統(tǒng)的本錢效益目的。. 8、工程管理審計(jì) IS審計(jì)師該當(dāng)審查以下工程管理活動(dòng)的充分性： 1工程指點(diǎn)委員會(huì)的監(jiān)視級(jí)別； 2工程中采用的風(fēng)險(xiǎn)管理方法； 3工程本錢管理； 4工程方案

22、管理的流程； 5向管理層匯報(bào)的流程； 6變卦控制的流程； 7利益相關(guān)者參與管理； 8審查各階段文檔的充分完好性。包括：目的定義文檔、相關(guān) 成果、工程進(jìn)度表、本錢預(yù)測(cè)分析，等 IS審計(jì)師經(jīng)過(guò)對(duì)工程管理實(shí)施審計(jì)，為系統(tǒng)工程組織提出建議，確保系 統(tǒng)開(kāi)發(fā)工程的有效管理和控制，確保系統(tǒng)工程保質(zhì)、保量的完成，并符合 本錢效益原那么。. 在審計(jì)中，IS審計(jì)師還需做好： 1、溝通。IS審計(jì)師需求與開(kāi)發(fā)商和用戶建立一個(gè)開(kāi)放的交流渠道， 保證及時(shí)、可靠的獲取審計(jì)證據(jù)。 2、建議。IS審計(jì)師應(yīng)就發(fā)現(xiàn)的問(wèn)題及時(shí)提出改良建議，保證問(wèn)題和 病癥得到盡能夠的控制和處理。 五、審計(jì)報(bào)告 IS審計(jì)師在系統(tǒng)開(kāi)發(fā)完成時(shí)，應(yīng)提交階段性的審計(jì)報(bào)告。報(bào)告應(yīng)重點(diǎn)關(guān) 注以下內(nèi)容： 1、工程方案、本錢收益分析、需求定義的充分性；可行性研討、需 求分析階段 2、設(shè)計(jì)控制的充分性以及設(shè)計(jì)的可審計(jì)性；設(shè)計(jì)階段 3、測(cè)試戰(zhàn)略的充分性以及測(cè)試目的的完好性；測(cè)試階段 4、系統(tǒng)及用戶組件預(yù)備的充分性；安裝階段 5、系統(tǒng)的有效性及效率，能否滿足初始的系統(tǒng)原那么。安裝后階段. 第四節(jié) 信息系統(tǒng)開(kāi)發(fā)過(guò)程的相關(guān)規(guī)范簡(jiǎn)介 為了對(duì)系統(tǒng)開(kāi)發(fā)過(guò)程實(shí)施控制和審計(jì)，保證系統(tǒng)開(kāi)發(fā)質(zhì)量，IS審計(jì) 可參照相關(guān)規(guī)