信息系统审计 第四章 信息系统开发与实施审计.pdf

第四章 信息系统开发与实施审计 NANJING AUDIT UNIVERSITY 信息系统开发是一项成本高又耗时的工作，为更好地开发应用系统，以 满足企业战略需要，必须有一个良好的控制环境，包括合适的系统开发方 法、开发过程，如可行性研究、分析、设计、测试、实施等过程。此外，还 包括项目管理、软件开发过程改进等，也需要进行控制。 ISA通过审查系统开发、获取与实施过程，并对此进行评估，提出改进 意见，从而确保系统能满足企业的经营目标、标准并实现其效益。 第一节信息系统开发与实施评价 对信息系统开发与实施进行控制与审计目的： 1、避免投资风险，实现投资利益最大化； 2、减少软件商业风险，满足业务需求； 3 、避免软件时效风险。 NANJING AUDIT UNIVERSITY 为了达到上述控制与审计目的，ISA通过参与系统开发与实施过程，收 集有关证据，评价： 1、信息化项目的方针、程序； 2、系统开发技术和方法的选择； 3 、系统各阶段的目标； 4、系统开发、实施过程的控制； 5、系统项目的组织控制（如：项目发起人、项目指导委员会）； 6、系统项目管理的有效性。 通过评价，IS审计师采取向有关领导提出建议，为系统项目组提供咨询 和建议等方式，确保信息系统项目开发、实施目标的实现。 NANJING AUDIT UNIVERSITY 第二节信息系统开发方法简介 一、开发的原因 1、系统的业务需求； 2、解决现有业务过程的问题； 3 、用新技术代替旧技术； 4、当前技术存在问题。 要开发一个系统涉及：系统的开发方法 主要的系统开发方法：生命周期法、面向对象法、原型法、基于组件的 开发、快速开发法、软件包开发、逆向工程、软 系统方法论，基于Web应用开发，等 NANJING AUDIT UNIVERSITY 二、生命周期法（SDLC） SDLC法采用瀑布式技术，是基于系统的、顺序的软件方法，开始于 可行性研究，经过需求分析、设计（选择）、开发（配置）、实施、维护 等阶段。 特点：每个阶段有明确的目标和活动；清晰的责任；预期的结果和完成 时间。 优点：提供摸板，规定了需求定义、设计、编程等方法 缺点： 1、实际过程中的一些意外事件，造成很难遵守顺序流程，且经常反复； 2、要求十分明确的用户需求，并充分预见可能发生的变化，条件苛刻； 3 、项目生命周期的后期才能看到工作成果，要求客户有足够的耐心； 4、在开发项目结束前，用户需求可能已经发生变化。 NANJING AUDIT UNIVERSITY 从IS审计师角度，该方法的优点： 1、在生命周期的每个阶段，都有规范的步骤和指南； 2、可以审查所有系统开发项目阶段、计划目标的遵循情况； 3 、可以评估整个生命周期开发的方法和技术； 4、可以评估开发过程中的关键控制点，审查其控制的有效性。 三、原型法 原型法：亦称作启发式或者演化式开发方法，用户首先提出开发 需求，开发人员识别和归纳用户要求，以此构造原型，然后和用户一 起评价、修改原型，直到用户满意为止。 特点：它通过对原型的不断修改完善而逐渐控制错误，减少风险； 采用快速开发工具，提高开发效率和时间