信息系统与基础设施的计划、获取、开发及维护的生命周期管理,是信息系统能为组织业务目标提供服务的基础,同时也是一项成本高而又耗时的工作。本文就信息系统审计师(Information System审计师,即IS审计师)在系统获取、开发和实施中的职责履行进行探讨。 信息系统开发生命周期方法介绍 信息系统开发生命周期法(SDLC)被称为瀑布式开发技术,是系统、顺序式的软件开发方法,从可行性研究开始,通过可行性研究、需求定义、设计或选择、开发或配置、实施和实施后评审六个阶段逐步发展。这一系列的步骤或阶段都有着预定义的目标和活动,并建立了相应的责任、预期的结果和完成目标的期限。 可行性研究,指在当前组织内部和外部的具体条件下,系统开发工作具备的资源和条件,包括确定最佳解决方案及时间表,研究技术、经济方面的可行性,测算开发新系统和解决问题的适宜成本,考察解决方案是否符合业务战略目标等。需求定义,指描述系统应该做的、用户如何与系统交互、系统运行的条件与系统应当满足的信息标准。主要包括识别并咨询相关方以明确其预期,分析需求,明确系统边界和系统与外在环境的交互方法,将用户需求转换为系统需求等。设计或选择,是指用户在自行开发软件或购买现成软件时采取的不同的软件获取策略。软件的获取取决于开发与购买的成本比较、通用软件的可用性、开发与获取两种方式的实施时间差异等因素。开发或配置,指用户在自行开发软件或购买现成软件时,采取的不同的软件开发使用策略。开发包括所有的单元测试与系统测试,也包括用户接受测试以及涉及的迭代工作;配置主要是指对软件包中的参数进行配置或控制某些功能的开关。实施是完成新系统的测试并将其投入实际运行当中,主要包括制定所需的支持结构、建立支持功能、进行终端用户培训、数据转换、认证和认可等。实施后评审,指验证系统是否达到了设计与开发的要求,必要的控制措施是否已内置到系统当中。其中主要包括评估系统的充分性、系统存在的缺陷及改进计划等。 IS审计师在系统开发中的职责履行 IS审计师要评估SDLC每个阶段的风险,确认系统已经建立起适当的控制机制,并且避免过高的控制成本。审查SDLC过程时,IS审计师需要获取不同阶段的文档,参加项目会议,在系统开发阶段为项目组提供建议。同时,IS审计师也要评估团队在制定期限内交付关键产品的能力。总体来讲,各个阶段下IS审计师的职责都有所侧重。 可行性研究阶段,IS审计师要审查该阶段产生文档的可行性;判断是否所有的成本收益都是真实的;识别并判断系统需求的必要程度;判断是否能够通过现有的系统解决问题;判断所选择方案的可行性。 需求定义阶段,IS审计师的主要工作包括:确认需求文档的正确性;确定项目组关键成员是否能够代表所有的业务部门;判断项目的发起和成本是否都得到授权批准;审查系统的概念设计说明;审查验收测试规范;确定应用程序是否适合嵌入式审计方法。 软件获取过程中,IS审计师应当审查可研文件,判断购买方案的决策是否适当;审查征求建议书文件的要求,保证其涵盖了用户的需求;审查邀标文件,判断其对供应商的选择是否具有倾向性;在与供应商签订合同前,审查、认同并确定没有遗漏合同条款;保证合同在签订前由法律顾问审查过。 详细设计与开发阶段,IS审计师应当审查系统流程图是否符合总体设计;审查系统中所设计的输入、处理及输出控制是否适当;审核系统关键用户是否理解系统如何操作;评估审计轨迹是否能够充分跟踪系统事务处理;确认关键计算及处理程序的正确性;审查本阶段所开发程序的质保结果等。 测试阶段时,IS审计师的主要任务有:检查用户参与测试的证据;检查错误报告,判断报告对错误资料的识别及解释能力;审查周期性作业处理;审查系统和终端用户文档,判断其完整性与正确性;审查并行测试结果的正确性;进行访问测试,判断系统安全措施是否按照设计要求有效执行;检查单元测试和系统测试计划,判断计划是否完整,是否包含内部控制测试;审查记录的使用过程和错误报告等。 实施阶段,IS审计师必须确认审查用来为系统排程的程序,以及用来执行日常作业排程的参数;审查所有系统文档,判断其完整性并确保所有在测试阶段所做的更新均能够反映在文档当中;在系统投入日常作业前,确认所有数据的转换,保证其准确性和完整性等。 实施后评审,IS审计师应当确定系统的目标和需求已经达到;确定已经衡量可研报告中的成本收益,分析并报告给管理层;审查已执行的程序变更需求,评估系统变更的类型;审查系统内件的控制机制,确定它们已按照设计要求运作;审查操作人员的错误日志,决定系统是否存在固有的操作或资源问题;审查输入、输出的余额并进行报告,证实系统准确地处理数据。