軟件外包IT審計(jì)主要內(nèi)容與實(shí)施,審計(jì)論文

軟件外包IT審計(jì)主要內(nèi)容與實(shí)施,審計(jì)論文內(nèi)容摘要：軟件外包成為信息系統(tǒng)及集成開(kāi)發(fā)的主要手段之一,其經(jīng)過(guò)產(chǎn)生的風(fēng)險(xiǎn)已進(jìn)入IT審計(jì)實(shí)踐與研究的視野,本文對(duì)IT審計(jì)及軟件外包開(kāi)展IT審計(jì)進(jìn)行了具體的闡述,分別討論了施行形式、內(nèi)容以及意義,旨在提高軟件開(kāi)發(fā)的質(zhì)量,為外包軟件的質(zhì)量提供一個(gè)新的思路。本文關(guān)鍵詞語(yǔ)：IT審計(jì);軟件外包;1.基本概念和背景外包指組織動(dòng)態(tài)地配置本身和其他組織的功能和服務(wù),進(jìn)而使成本下降,提高運(yùn)行效率,使本身的作用充分發(fā)揮出來(lái),提高了核心競(jìng)爭(zhēng)力,能夠針對(duì)環(huán)境的變化進(jìn)行改變的管理形式。隨著全球化的深切進(jìn)入,外包的管理形式在越來(lái)越多的領(lǐng)域開(kāi)場(chǎng)應(yīng)用。但是,應(yīng)用最為廣泛的還是軟件外包。最早由印度發(fā)展而來(lái)的軟件外包,指的就是將軟件的生產(chǎn)到銷售的華而不實(shí)一個(gè)環(huán)節(jié),由第三方擔(dān)任。軟件外包形式,能夠有效減少軟件開(kāi)發(fā)的時(shí)間,減少開(kāi)發(fā)成本,是當(dāng)前非常有效的一種手段,在很多軟件公司中都有應(yīng)用。軟件外包的優(yōu)勢(shì)比擬多,但是很多組織應(yīng)用外包的方式,不是單純的減少開(kāi)發(fā)成本,最終奪得目的是為了消除人力資源的制約,不需要招聘新的員工就能夠開(kāi)展大型項(xiàng)目。外包根據(jù)實(shí)際的內(nèi)容,朱亞奧分為三種類型,分別是:軟件產(chǎn)品開(kāi)發(fā)外包、軟件專業(yè)服務(wù)外包、IT關(guān)聯(lián)服務(wù)外包。軟件與普通的產(chǎn)品還有一定的差異,屬于一種邏輯產(chǎn)品,特點(diǎn)就是高度彈性、不可測(cè)量性以及不可見(jiàn)性。所以,想要有效控制軟件的外包風(fēng)險(xiǎn)質(zhì)量存在很大的難度,不管屬于哪一種外包方式,軟件在外包的環(huán)節(jié)中,必然存在一定的風(fēng)險(xiǎn)。軟件外包風(fēng)險(xiǎn)原因有很多影響因素,由于存在信息不對(duì)稱大的情況,委托人處于非常不利的位置。軟件發(fā)包方與軟件承包方之間的關(guān)系比擬復(fù)雜,軟件承包方對(duì)發(fā)包方的詳細(xì)情況不是十分了解,對(duì)于信息無(wú)法及時(shí)把握。而軟件發(fā)包方對(duì)軟件的開(kāi)發(fā)經(jīng)過(guò)不清楚明晰,導(dǎo)致項(xiàng)目存在很大的風(fēng)險(xiǎn)。為了使軟件外包風(fēng)險(xiǎn)得到有效防備,使外包項(xiàng)目質(zhì)量得以提高,就需要在施行軟件外包的時(shí)候,應(yīng)用IT審計(jì)制度,開(kāi)展全經(jīng)過(guò)的跟蹤審計(jì)。基于這一情況,本文就針對(duì)軟件開(kāi)發(fā)的外包形式進(jìn)行研究,對(duì)應(yīng)IT審計(jì)形式和審計(jì)內(nèi)容展開(kāi)多角度的闡述。2.軟件外包IT審計(jì)IT審計(jì)就是信息系統(tǒng)審計(jì),也稱IT監(jiān)查,是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開(kāi)發(fā)、使用人員的第三方-IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的策劃、開(kāi)發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行全方位的評(píng)估和檢查,能夠?qū)徲?jì)對(duì)象提出針對(duì)性的問(wèn)題活動(dòng)。在開(kāi)發(fā)軟件項(xiàng)目的時(shí)候,應(yīng)用IT審計(jì)最終的目的,主要是為了對(duì)整個(gè)開(kāi)發(fā)經(jīng)過(guò)進(jìn)行有效的控制。主要涵蓋的內(nèi)容有項(xiàng)目質(zhì)量、項(xiàng)目進(jìn)度以及項(xiàng)目成本,假如軟件在開(kāi)發(fā)的經(jīng)過(guò)中出現(xiàn)問(wèn)題,能夠第一時(shí)間發(fā)現(xiàn),進(jìn)而采取針對(duì)性的措施進(jìn)行處理,確保整個(gè)開(kāi)發(fā)經(jīng)過(guò)的高效性和透明性。對(duì)于軟件外包施行IT審計(jì),審計(jì)對(duì)象主要是外包軟件,包括了發(fā)包、開(kāi)發(fā)以及后期的運(yùn)行維護(hù)整個(gè)流程。為了確保外包軟件的質(zhì)量,就需要應(yīng)用IT審計(jì)制度,從軟件發(fā)包開(kāi)場(chǎng),一直到設(shè)計(jì)后期的維護(hù),對(duì)整個(gè)外包軟件流程進(jìn)行全經(jīng)過(guò)監(jiān)管。軟件外包IT審計(jì)內(nèi)容主要涵蓋了下面幾方面。2.1發(fā)包方審計(jì)。對(duì)發(fā)包方的項(xiàng)目管理機(jī)制能否完善進(jìn)行審計(jì),社差技術(shù)人員及技術(shù)實(shí)力,能否具有良好的品牌度和信譽(yù)度。并且,對(duì)于發(fā)包軟件的產(chǎn)品需求要進(jìn)行全方面的分析,具體進(jìn)行記錄。2.2承包方審計(jì)。主要是針對(duì)承包方能否具有發(fā)包方要求的設(shè)計(jì)技術(shù)及人才開(kāi)展審計(jì)工作,檢查軟件開(kāi)發(fā)的管理能否知足實(shí)際的使用要求。并且,在業(yè)界的信譽(yù)能否良好。2.3發(fā)包流程審計(jì)。該經(jīng)過(guò)主要是檢查審計(jì)的合作計(jì)劃和經(jīng)過(guò),能否完好、具體,簽訂的合作協(xié)議能否規(guī)范。還有就是在開(kāi)展軟件開(kāi)發(fā)的經(jīng)過(guò)中,發(fā)包方能否根據(jù)要求進(jìn)行跟蹤,陳述承包方的工作流程、條件、條款。承包商能否介入技術(shù)溝通和評(píng)審,根據(jù)規(guī)范要求能否選擇正式評(píng)審里程碑,對(duì)軟件的完成結(jié)果進(jìn)行評(píng)價(jià)。2.4管理、規(guī)劃與組織審計(jì)。主要對(duì)軟件的管理、計(jì)劃與組織策略、程序、標(biāo)準(zhǔn)以及政策進(jìn)行審計(jì)。采用的標(biāo)準(zhǔn)是以軟件計(jì)劃為準(zhǔn),對(duì)軟件開(kāi)發(fā)的經(jīng)過(guò)進(jìn)行跟蹤,主要涵蓋了軟件開(kāi)發(fā)設(shè)計(jì)、規(guī)劃以及整個(gè)施行經(jīng)過(guò)。比照CMM(CapabilityMaturityModel)和ISO9000標(biāo)準(zhǔn),及時(shí)更正出現(xiàn)的一些問(wèn)題,盡可能降低軟件開(kāi)發(fā)中出現(xiàn)的問(wèn)題。審計(jì)發(fā)包方對(duì)文檔化的規(guī)劃需要進(jìn)行驗(yàn)收,對(duì)承包商的能力進(jìn)行評(píng)價(jià)。2.5操作實(shí)務(wù)審計(jì)。主要就是針對(duì)審計(jì)評(píng)價(jià)承包方,在施行和管理操作基礎(chǔ)設(shè)施和技術(shù)上的效率及有效性,對(duì)軟件目的的順利實(shí)現(xiàn)給予充分支持。2.6資產(chǎn)保衛(wèi)審計(jì)。主要就是評(píng)價(jià)審計(jì)信息技術(shù)基礎(chǔ)、環(huán)境以及邏輯的安全性,保證發(fā)包方的信息資產(chǎn)安全得到保障,避免信息資產(chǎn)被惡意損壞、修改及上使用,進(jìn)而造成宏大的損失。2.7災(zāi)難恢復(fù)。就是在審計(jì)出現(xiàn)災(zāi)禍的時(shí)候,能夠確保發(fā)包方的業(yè)務(wù)順利開(kāi)展下去,并簡(jiǎn)歷里完善的流程評(píng)價(jià)。2.8軟件施行與維護(hù)審計(jì)。該經(jīng)過(guò)主要是開(kāi)展審計(jì)的方式,維護(hù)和施行應(yīng)用軟件的流程,對(duì)整個(gè)處理流程進(jìn)行評(píng)估,保證組織的業(yè)務(wù)目的有完善的風(fēng)險(xiǎn)管理?，F(xiàn)前階段,對(duì)于IT項(xiàng)目的監(jiān)控,最為常見(jiàn)的方式就是項(xiàng)目管理。無(wú)論是項(xiàng)目管理還是IT審計(jì),都是由第三方監(jiān)管軟件的質(zhì)量。但是,IT項(xiàng)目管理的目的是工程項(xiàng)目,只是針對(duì)軟件開(kāi)發(fā)環(huán)節(jié),也就是針對(duì)質(zhì)量、進(jìn)度以及成本。而完成項(xiàng)目之后項(xiàng)目管理就徹底結(jié)束,在整個(gè)軟件中占據(jù)一多半的生命周期,卻沒(méi)有施行維護(hù)監(jiān)管工作。從實(shí)際運(yùn)行上就能夠發(fā)現(xiàn),在開(kāi)發(fā)軟件的時(shí)候測(cè)試工作無(wú)法全部測(cè)試出來(lái)軟件開(kāi)發(fā)經(jīng)過(guò)中存在的漏洞,而這些漏洞必然會(huì)對(duì)軟件的安全運(yùn)行造成非常大的影響。外包的軟件由于承包方或是發(fā)包方的因素,軟件中的漏洞可能比擬多,假如沒(méi)有全程監(jiān)控軟件的運(yùn)行情況,或是沒(méi)有足夠重視軟件后期的維護(hù),必然會(huì)加大軟件外包的風(fēng)險(xiǎn)。而在開(kāi)展軟件外包的時(shí)候應(yīng)用IT審計(jì)工作,不但能夠全程跟蹤軟件的整個(gè)開(kāi)發(fā)環(huán)節(jié),而且還能夠?qū)崟r(shí)監(jiān)控軟件的運(yùn)行維護(hù)環(huán)境,從根本上確保了軟件外包的質(zhì)量,盡可能降低了軟件風(fēng)險(xiǎn)。印度的軟件組織在國(guó)際上占據(jù)非常重要的地位,為了對(duì)一些發(fā)達(dá)國(guó)家的軟件外包業(yè)務(wù)承接過(guò)來(lái),花費(fèi)了海量的資源,對(duì)于ISO9000認(rèn)證和CMM認(rèn)證非常重要。當(dāng)前,我們國(guó)家的軟件公司固然規(guī)模大部分比擬小,而且資金狀況堪憂,對(duì)于CMM等認(rèn)證費(fèi)用物理承當(dāng)。但是,軟件外包這一宏大的利潤(rùn)也吸引了很多人的目光,為了得到外包項(xiàng)目,就能夠在對(duì)軟件項(xiàng)目承包的使時(shí)候應(yīng)用IT審計(jì)制度。在開(kāi)展IT審計(jì)的時(shí)候,充分利用CMM模型思想,通過(guò)專業(yè)的IT審計(jì)人員對(duì)外包項(xiàng)目進(jìn)行規(guī)范,確保其開(kāi)發(fā)、計(jì)劃等整個(gè)施行的質(zhì)量和進(jìn)度,全程蔣后續(xù)的運(yùn)行維護(hù)。關(guān)于軟件外包管理方面存在的問(wèn)題,已經(jīng)在CMM第二級(jí)和CMM2中的KPA上有非常明確的規(guī)定,提出對(duì)軟件開(kāi)發(fā)子合同和業(yè)務(wù)進(jìn)行有效組織。CMM模型對(duì)軟件子合同管理目的進(jìn)行了明確的規(guī)定,提出在落實(shí)的時(shí)候必需要到達(dá)一定的能力,并對(duì)合同管理活動(dòng)進(jìn)行了明確的定義。但是,CMM模型當(dāng)中只是提出了要到達(dá)何種目的、怎樣去做,但是沒(méi)有詳細(xì)的指導(dǎo)?；谶@一情況,我們?cè)陂_(kāi)展軟件外包的時(shí)候應(yīng)用IT審計(jì)活動(dòng)時(shí),能夠?qū)MM模型的實(shí)踐經(jīng)歷體驗(yàn)借鑒過(guò)來(lái),對(duì)CMM的軟件合同管理充分結(jié)合起來(lái),從管理著手,將其視為能將其他軟件開(kāi)發(fā)經(jīng)過(guò)從公司內(nèi)部部分延伸到公司外部的管理理念、規(guī)范、技術(shù)。軟件發(fā)包方通過(guò)應(yīng)用IT審計(jì),就能夠?qū)φ麄€(gè)業(yè)務(wù)分包的經(jīng)過(guò)進(jìn)行全程的管理和控制工作。3.施行軟件外包IT審計(jì)3.1獲取IT審計(jì)證據(jù)。軟件外包IT審計(jì)證據(jù)主要大的獲得方式為數(shù)據(jù)抽樣、問(wèn)卷調(diào)查以及查詢文檔。隨著計(jì)算機(jī)技術(shù)的進(jìn)步,信息系統(tǒng)也變得越來(lái)越復(fù)雜,這就導(dǎo)致系統(tǒng)輸入、輸出之間的關(guān)系越發(fā)薄弱,處理數(shù)據(jù)的痕跡非常少。所以,IT審計(jì)人員一定要對(duì)系統(tǒng)的功能模塊有充分的了解,這樣才能使數(shù)據(jù)資料的準(zhǔn)確性得到保障,不但單純依靠輸入輸出審計(jì)結(jié)果作為結(jié)論,需要開(kāi)展全經(jīng)過(guò)的跟蹤審計(jì)工作。IT審計(jì)目的主要是為了使外包軟件的有效性、可靠性以及安全性得到提升。審計(jì)人員在評(píng)價(jià)審計(jì)證據(jù)的時(shí)候,一定要對(duì)控制需求充分考慮,也就是對(duì)收集的審計(jì)證據(jù)能否知足控制目的進(jìn)行全方位的評(píng)估。假如控制點(diǎn)不清,就要審計(jì)人員根據(jù)自個(gè)的實(shí)踐經(jīng)歷體驗(yàn)進(jìn)行準(zhǔn)確的判定。實(shí)際在開(kāi)展的時(shí)候,對(duì)系統(tǒng)控制的適當(dāng)程度,主要是依靠控制矩陣進(jìn)行衡量。其次,審計(jì)人員一定要對(duì)重疊性控制和補(bǔ)償性控制考慮到位。補(bǔ)償性控制就是指某系統(tǒng)機(jī)制的不斷健全,能夠補(bǔ)償其他存在缺陷的控制機(jī)制。而重疊性控制指的是,某系統(tǒng)有兩種完善的控制機(jī)制,所以,一定要加強(qiáng)重視控制的效果和相關(guān)性。但是,就算控制機(jī)制再完善,軟件可以能會(huì)發(fā)生意外,這就需要審計(jì)人員對(duì)控制目的的相關(guān)性進(jìn)行評(píng)估控制,確保測(cè)試程序順利執(zhí)行。通常情況下,IT審計(jì)人員首先要落實(shí)補(bǔ)償性審計(jì),在對(duì)控制缺陷進(jìn)行上報(bào)。另外,IT審計(jì)人員還需要收集審計(jì)證據(jù),對(duì)控制目的能否能夠?qū)崿F(xiàn)進(jìn)行準(zhǔn)確的判定。實(shí)際在開(kāi)展審計(jì)工作的時(shí)候,IT審計(jì)人員經(jīng)常使用的是信息系統(tǒng)效果評(píng)價(jià)模型和工程可靠性模型。3.2IT審計(jì)施行形式。首先,咨詢式監(jiān)理。咨詢式監(jiān)理就是只對(duì)用戶方的問(wèn)題進(jìn)行解答,一般情況下,問(wèn)題就組織信息化經(jīng)過(guò)中會(huì)出現(xiàn),就好比是方案咨詢或是業(yè)務(wù)咨詢。該方式最為顯著的優(yōu)勢(shì)就是費(fèi)用少,監(jiān)理方的責(zé)任較輕,但對(duì)于用戶方的要求比擬高,需要有較強(qiáng)的技術(shù)氣力和準(zhǔn)確把握信息化的能力。其次,里程碑式監(jiān)理。該方式就是劃分信息系統(tǒng)為不同的階段,在每個(gè)階段的尾部會(huì)設(shè)置里程碑。在到來(lái)的時(shí)候就會(huì)通知監(jiān)理方進(jìn)行測(cè)試。通常來(lái)講,該方式相比擬咨詢式建立要花費(fèi)更多的資金,監(jiān)理方也需要承當(dāng)更多的責(zé)任。確定了里程碑之后需要乙方介入或是開(kāi)發(fā)方的介入,不然就有可能由于里程碑確實(shí)立差異不同,出現(xiàn)相互扯皮的情況。3.3全程式監(jiān)理。該方式相比擬前兩種來(lái)講愈加復(fù)雜,不僅需要審查里程碑,還需要布置專業(yè)的技術(shù)人員進(jìn)行全經(jīng)過(guò)的跟蹤。對(duì)開(kāi)發(fā)系統(tǒng)中產(chǎn)生的信息進(jìn)行收集,對(duì)開(kāi)發(fā)的效果和開(kāi)發(fā)質(zhì)量進(jìn)行實(shí)時(shí)的評(píng)估。所以講,該方式的費(fèi)用是最高的,監(jiān)理方也有全程監(jiān)管的職責(zé)。一般情況下都是應(yīng)用在技術(shù)氣力較弱、對(duì)開(kāi)發(fā)不是十分了解的用戶方應(yīng)用。上述的三種方式方法各有各的優(yōu)勢(shì),也各有各的缺陷。相比擬項(xiàng)目監(jiān)理來(lái)講,IT審計(jì)存在很大的差異性,項(xiàng)目監(jiān)理完成開(kāi)發(fā)之后就完成了全部工作,但是IT審計(jì)在整個(gè)生命周期中都占據(jù)很重要的地位。所以講,假如采用單獨(dú)的咨詢形式存在很大的弊端。而應(yīng)用里程碑監(jiān)理,能夠?qū)浖霈F(xiàn)的錯(cuò)誤及時(shí)發(fā)現(xiàn)處理,但由于軟件產(chǎn)品的特殊性,只能對(duì)一兩個(gè)里程碑進(jìn)行測(cè)試及審查,對(duì)存在的漏洞無(wú)法及時(shí)發(fā)現(xiàn),進(jìn)而存在很大的風(fēng)險(xiǎn)。在開(kāi)場(chǎng)施行IT審計(jì)工作的經(jīng)過(guò)中,首先需要做的就是想審計(jì)負(fù)責(zé)人咨詢相關(guān)的事物,由負(fù)責(zé)人布置專業(yè)小組到現(xiàn)場(chǎng)進(jìn)行全經(jīng)過(guò)的管理、控制以及監(jiān)督。假如項(xiàng)目在開(kāi)展經(jīng)過(guò)中出現(xiàn)問(wèn)題,第一時(shí)間提出改良意見(jiàn)。在開(kāi)展審計(jì)工作的時(shí)候,由小組成員進(jìn)行指導(dǎo),及時(shí)匯報(bào)審計(jì)結(jié)果。4.總結(jié)綜上所述,本文主要是針對(duì)軟件項(xiàng)目中的外包進(jìn)行了多角度的闡述,并對(duì)軟件部分功能模塊進(jìn)行分析。由于開(kāi)發(fā)軟件具有非常突出的特性,比方:不容易測(cè)量結(jié)果、以為因素突出、柔性強(qiáng)以及風(fēng)險(xiǎn)大等等,導(dǎo)致在管理軟件外包的時(shí)候存在很多的難題。這就需要對(duì)分包方的開(kāi)發(fā)進(jìn)度及質(zhì)量加強(qiáng)控制的力度,通過(guò)不斷的實(shí)踐