信息系统一般控制审计.pdf

信息系统一般控制审计

一、应用系统开发、测试与上线审计

A.应用系统开发审计

（一）业务概述

组织的信息系统开发根据方式不同，通常包括自主开发、

外委开发、或者二者兼有的开发方式。组织在进行信息系统

开发时，应当根据自身技术力量、资金状况、发展目标等实

际情况，选择适合自身的开发方式和合作伙伴。

应用系统开发工作包括需求分析、架构设计、软件实现、

系统测试、用户测试、系统试运行、系统验收、系统上线、

数据迁移和产品维护等内容。

（二）审计目标和内容

审计目标：通过规范开发程序，提高信息系统开发的可

控性、安全性、可靠性和经济性，揭示信息系统开发环节存

在的风险及问题，提出完善信息系统开发控制的审计意见和

建议，实现组织目标。

审计内容：开发组织机构设置、资源配置情况。开发过

程中与业务部门的沟通情况。系统开发全过程的需求分析、

架构设计、软件实现、系统测试、用户测试、系统试运行、

系统验收、系统上线和数据迁移、产品维护等内容的质量、

安全管理情况。

（三）常见问题和风险

组织自主开发方式下的应用系统主要存在以下常见问

题及风险：

1.组织未成立专门的开发建设项目组，可能导致信息系

统开发建设责任制未落实的风险。

2.信息系统开发工作缺乏必要支持。组织内部无专业技

术人员或是缺乏必要的财务支持，导致开发失败的风险。

3.信息系统开发过程没有业务部门人员参与，未定期与

业务部门共同审核信息系统的开发建设情况，未及时发现系

统不能满足业务的需要，可能导致与业务需求不相符的风险。

4.组织未制定合理的项目生命周期管理方案和符合质量

管理标准的质量控制体系，不能有效控制开发质量；开发过

程中未进行必要的安全控制，未对源代码进行有效管理和严

格审查可能导致的风险。

5.项目需求说明书阐述业务范围及内容不清晰，未能结

合需求制定出最优化的技术设计方案的风险。开发环境、测

试环境和生产环境未分离，网络未有效隔离，设备未独立于

生产系统，开发人员直接接触生产系统，直接使用未经批准

并脱敏的生产数据，导致泄密或造成生产系统受损的风险。

6.在开发过程中未根据用户提出的业务需求，制定信息

系统变更程序相关制度或变更程序不合理，导致与承建方或

第三方产生合同法律纠纷或费用超支、工期延误的风险。

7.信息系统开发工作完成后，未及时进行交付导致系统

无法发挥作用的风险，未加强信息系统项目开发设计、源代

码、技术使用、运行维护说明书、用户手册等文档管理和文

档版本控制导致的开发效率低、不经济的风险。

8.数据继承和迁移：组织在对信息系统升级变更时，未

对历史数据的继承和迁移给予足够的重视。未对数据结构进

行合理规划，未对数据进行兼容性分析，导致因兼容性不够

而造成的历史数据无法使用和继承的风险。

除常见风险外，外委开发项目还应关注下列风险与问题：

1.组织的信息管理部门对外委项目开发未进行有效的管

理与控制，导致信息系统开发计划与实际运行不符，信息系

统项目无法按时完工的风险。

2.组织未及时与外部受托单位沟通项目开发阶段的计划

执行情况，导致实施内容与建设目标偏离，造成开发工作无

法满足组织需求的开发风险。

3.组织未对外包开发的技术人员加强管理，离职的开发

人员未签订保密协议而造成泄密的风险。未对外包开发的开

发方进行充分调研分析，不能保证系统可靠性的风险。

（四）审计的主要方法和程序

自主开发项目的主要审计方法和程序：

1.调阅项目相关的制度、流程、指引和开发建设文档，

查看是否有专门的项目组织机构，是否分配相应职责。

2.查看项目开发进度报告是否包括计划的重大变更、关

键人员或供应商的变更以及主要费用支出情况，检查组织是

否建立了质量检测和风险评估机制等。

3.检查组织的信息系统需求和技术架构评估文档，查看

系统需求与业务目标是否保持一致；检查需求详细说明书，

项目进度及详细的软件开发计划。

4.询问系统开发小组负责人，了解组织是否建立了系统

开发质量控制体系以及质量控制检查和监督记录。

5.检查系统开发环境、测试环境和运行环境是否分离，

网络是否有效隔离，设备是否独立于生产系统，开发人员是

否不得接触生产系统，开