信息系統(tǒng)審計(jì)南京審計(jì)學(xué)院cha.ppt

第五章 信息系統(tǒng)運(yùn)營(yíng)與維護(hù)審計(jì),由于信息系統(tǒng)在企業(yè)中的重要性與日俱增增，且信息系統(tǒng)規(guī)模日益增 大，運(yùn)營(yíng)日趨復(fù)雜，因此在系統(tǒng)投入正常運(yùn)行后，如何保證信息系統(tǒng)的正 常運(yùn)營(yíng)與維護(hù)，并實(shí)施有效管理與控制，對(duì)企業(yè)的經(jīng)營(yíng)戰(zhàn)略和業(yè)務(wù)目標(biāo)的 實(shí)現(xiàn)致關(guān)重要。 從ISA角度，IS審計(jì)師通過審查系統(tǒng)運(yùn)營(yíng)與維護(hù)的安全性、有效性、效 益性等，并對(duì)此進(jìn)行評(píng)估，提出改進(jìn)意見，從而確保系統(tǒng)能滿足企業(yè)的業(yè)務(wù) 目標(biāo)需求并實(shí)現(xiàn)其效益。,信息系統(tǒng)在日常運(yùn)行過程中管理與維護(hù)內(nèi)容主要涉及： 1、信息系統(tǒng)運(yùn)營(yíng)的管理； 2、信息系統(tǒng)變更管理； 3、軟件配置管理； 4、項(xiàng)目管理；等。,第一節(jié) 信息系統(tǒng)運(yùn)營(yíng)管理 一、信息系統(tǒng)操作的管理 職能要求： 1、信息系統(tǒng)管理者有責(zé)任確保系統(tǒng)資源的可用性； 2、信息系統(tǒng)管理者有責(zé)任依據(jù)整體業(yè)務(wù)策略，建立所有操作必須 遵循的標(biāo)準(zhǔn)程序。,信息部門操作員的工作主要包括： 1、不正常中斷后重新啟動(dòng)應(yīng)用系統(tǒng)； 2、及時(shí)備份計(jì)算機(jī)文件； 3、監(jiān)控信息處理設(shè)備未授權(quán)訪問； 4、監(jiān)督IT部門與業(yè)務(wù)部門的管理層工作計(jì)劃的遵守情況； 5、參與災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃； 6、受限制地訪問計(jì)算機(jī)應(yīng)用軟件、數(shù)據(jù)及公用程序。,要做好信息系統(tǒng)的操作管理，主要應(yīng)采取的管理控制措施包括： 1、值班工作的詳細(xì)計(jì)劃； 2、監(jiān)控操作過程，以確保遵循標(biāo)準(zhǔn)； 3、審核在系統(tǒng)關(guān)機(jī)與軟硬件重新啟動(dòng)期間的控制臺(tái)日志； 4、審核每日操作員日志； 5、確保信息系統(tǒng)在微小或嚴(yán)重的系統(tǒng)故障時(shí)都能及時(shí)復(fù)原； 6、監(jiān)控系統(tǒng)績(jī)效及資源使用，最大化利用計(jì)算機(jī)資源； 7、監(jiān)控設(shè)備環(huán)境安全及變更，以保證設(shè)備在適宜的狀態(tài)中工作,IS審計(jì)師通過對(duì)操作管理控制的評(píng)價(jià)，從而保證計(jì)算機(jī)操作遵守相應(yīng)的 規(guī)程、系統(tǒng)的故障能夠得到及時(shí)排除和恢復(fù)，從而保證系統(tǒng)可靠、有效的運(yùn) 行并滿足企業(yè)的業(yè)務(wù)需求。,2、服務(wù)水平管理 信息化部門是為企業(yè)各業(yè)務(wù)單位提供服務(wù)的部門，為了能更好地提供 服務(wù)，以支持企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)，有必要對(duì)其服務(wù)的狀況進(jìn)行監(jiān)督控制。,為了實(shí)現(xiàn)有效的監(jiān)督控制，通過運(yùn)用各種工具記錄有關(guān)情況，以衡量 服務(wù)的正確性、完整性、及時(shí)性及對(duì)系統(tǒng)處理結(jié)果的適當(dāng)分發(fā)。這些工具 主要有： 1、系統(tǒng)異常報(bào)告； 2、操作員問題報(bào)告； 3、輸出、分發(fā)報(bào)告； 4、控制臺(tái)日志； 5、操作員工作安排記錄。,3、問題處理程序 企業(yè)中的信息系統(tǒng)一旦出現(xiàn)異常，將會(huì)給企業(yè)的業(yè)務(wù)運(yùn)作帶來影響， 甚至損失，因此在對(duì)異常狀況的檢查、記錄、控制、解決及報(bào)告時(shí)，由于 軟硬件及其相互關(guān)系相當(dāng)復(fù)雜，應(yīng)設(shè)計(jì)一套機(jī)制以檢查及記錄任何異?，F(xiàn) 象。為此： 1、應(yīng)建立錯(cuò)誤日志；（包括：程序錯(cuò)誤、系統(tǒng)錯(cuò)誤、操作錯(cuò)誤、通信 錯(cuò)誤、硬件錯(cuò)誤） 2、適當(dāng)?shù)膯栴}上報(bào)程序； 3、問題解決程序方案。,IS審計(jì)師通過審查了解有關(guān)錯(cuò)誤日志記錄的及時(shí)、完整性，問題處理的 責(zé)則劃分，問題處理程序的適當(dāng)性，以及追蹤實(shí)際處理情況，等。以審查和 確認(rèn)問題處理程序措施的有效性，并針存在的問題提出改進(jìn)建議。,4、支持/服務(wù)臺(tái) 為了保證企業(yè)信息系統(tǒng)的正常運(yùn)營(yíng)，作為信息技術(shù)人員必須及時(shí)提供 技術(shù)保障支持并協(xié)助解決系統(tǒng)問題。此外，信息技術(shù)支持人員還有責(zé)任做 好系統(tǒng)有關(guān)的技術(shù)方面的服務(wù)和管理。 技術(shù)支持功能主要包括：,1、找出計(jì)算機(jī)問題并采取適當(dāng)?shù)母恼胧?2、按規(guī)定提出問題報(bào)告，并確定問題及時(shí)解決； 3、回答有關(guān)特定系統(tǒng)的查詢； 4、基于組織需求和計(jì)算機(jī)配置，設(shè)計(jì)并執(zhí)行軟件變更，以提高系統(tǒng) 效率； 5、為遠(yuǎn)程通信提供技術(shù)支持； 6、控制和維護(hù)供應(yīng)商和系統(tǒng)軟件的變更實(shí)施。,服務(wù)臺(tái)功能主要包括： 1、立案并記錄用戶提出的包括硬、軟件的各項(xiàng)問題； 2、根據(jù)優(yōu)先順序?qū)栴}向上匯報(bào)； 3、追蹤尚未解決的軟、硬件問題； 4、將已解決的問題歸檔并通知相應(yīng)的負(fù)責(zé)人。,IS審計(jì)師通過對(duì)該方面地審計(jì)評(píng)價(jià)，以促使信息技術(shù)部門能夠?yàn)橄到y(tǒng) 提供有效地技術(shù)支持和服務(wù)。,第二節(jié) 信息系統(tǒng)變更管理 變更的原因：IT環(huán)境或業(yè)務(wù)環(huán)境發(fā)生變化；信息的敏感性與或重要 性分類標(biāo)準(zhǔn)發(fā)生變化；來自審計(jì)的要求；由于缺乏控制而發(fā)生的入侵和 病毒事件等。 為了對(duì)系統(tǒng)變更進(jìn)行有效控制，避免其帶來的負(fù)面影響，應(yīng)當(dāng)建立一 個(gè)標(biāo)準(zhǔn)流程來實(shí)施和記錄變更，保證變更過程等得到適當(dāng)?shù)氖跈?quán)與管理層 的批準(zhǔn)，并對(duì)變更進(jìn)行測(cè)試。 對(duì)系統(tǒng)變更的管理控制措施主要包括：,1、變更請(qǐng)求需要從適當(dāng)?shù)淖罱K用戶和系統(tǒng)管理層獲得授權(quán)（如變更控 制小組、配置控制委員會(huì)等）； 2、用戶需要采用正式書面申請(qǐng)信函，向系統(tǒng)管理層表達(dá)變更申請(qǐng)； 3、變更申請(qǐng)表的格式、內(nèi)容應(yīng)該保證行動(dòng)的所有變化都考慮在內(nèi)，并 為每個(gè)申請(qǐng)指定一個(gè)唯一的控制人員，將變化申請(qǐng)信息錄入計(jì)算機(jī) 系統(tǒng)；,4、變更程序需要遵循與全面系統(tǒng)開發(fā)項(xiàng)目同樣的過程，保證新功能滿 足需求且不影響其他模塊的功能； 5、用戶對(duì)系統(tǒng)測(cè)試結(jié)果和文檔的充分性表示滿意后，需要得到用戶管 理層的批準(zhǔn)； 6、所有變更請(qǐng)求和相關(guān)信息作為系統(tǒng)的永久文檔由用戶維護(hù)人員保留； 7、當(dāng)變更程序的程序員也是系統(tǒng)的操作者時(shí)，必須遵循變更管理步驟， 且管理層還要安裝自動(dòng)變更控制軟件，防止未經(jīng)授權(quán)的程序變更； 8、在緊急變更的情況下，要能夠使系統(tǒng)問題得到及時(shí)解決或緊急修補(bǔ)， 以保證系統(tǒng)的完整性； 9、為保證有效利用維護(hù)系統(tǒng)，所有相關(guān)文檔都需要及時(shí)更新。,變更程序需要遵循與全面系統(tǒng)開發(fā)項(xiàng)目同樣的驗(yàn)證和測(cè)試過程，保證 新功能滿足需求。除此之外，假如風(fēng)險(xiǎn)分析認(rèn)為必要，需要進(jìn)行額外測(cè) 試以保證： 1、已存在的功能沒有被變更破壞； 2、系統(tǒng)性能沒有被破壞； 3、沒有產(chǎn)生不安全的風(fēng)險(xiǎn)。,對(duì)于緊急變更管理需關(guān)注： 1、制定合適的緊急變更的處理流程； 2、對(duì)獲得特殊的登錄ID號(hào)的緊急變更處理授權(quán)人員的監(jiān)督控制； 3、制定緊急變更事后跟蹤程序。,將變更移植到生產(chǎn)環(huán)境需關(guān)注： 1、對(duì)系統(tǒng)要進(jìn)行授權(quán)訪問控制 ；（如使用OS安全功能和安全軟件包） 2、數(shù)據(jù)文件轉(zhuǎn)換的控制； 3、對(duì)員工使用修改后的軟件提供培訓(xùn)支持； 4、修改后的系統(tǒng)用戶提供支持 ； 5、風(fēng)險(xiǎn)發(fā)生的錯(cuò)誤恢復(fù)措施。,變更風(fēng)險(xiǎn)（非授權(quán)變更）的防范： 1、程序員訪問了生產(chǎn)庫(kù)； 2、負(fù)責(zé)應(yīng)用的用戶不知道變化；,3、變化需求表格和流程沒有正式建立； 4、管理層沒有在變化表格上簽字同意開始更新； 5、用戶沒有在變化更新前在變更表格上簽字同意； 6、沒有合適的編程人員審查變化的源代碼； 7、管理層沒有在變更表格上簽字批準(zhǔn)將代碼更新到生產(chǎn)環(huán)境； 8、程序員為了個(gè)人利益添加額外程序代碼 ； 9、軟件供應(yīng)商進(jìn)行的修改沒有被測(cè)試，或供應(yīng)商被允許直接將修改 更新到生產(chǎn)環(huán)境。,在評(píng)估程序變更審計(jì)中，IS審計(jì)師需要審查是否有適當(dāng)?shù)目刂颇軌虮?護(hù)產(chǎn)品應(yīng)用程序和系統(tǒng)的有效運(yùn)行，以防止未經(jīng)授權(quán)的變更。 為此，IS審計(jì)師應(yīng)重點(diǎn)關(guān)注和審查： 1、是否有限制對(duì)程序庫(kù)的訪問控制措施； 2、變更申請(qǐng)是否有規(guī)范的報(bào)批流程并文檔化； 3、變更潛在影響的評(píng)估； 4、變更是否經(jīng)過用戶和項(xiàng)目管理人員的審核和批準(zhǔn)； 5、變更涉及的各個(gè)方面均已經(jīng)過控制/操作人員測(cè)試、審核及批準(zhǔn)； 6、緊急變更控制及恢復(fù)措施的有效性； 7、對(duì)用戶進(jìn)行了培訓(xùn)，使用戶能適應(yīng)新系統(tǒng)； 8、變更工作準(zhǔn)備、排程和操作說明已建立； 9、如需進(jìn)行數(shù)據(jù)文件轉(zhuǎn)換時(shí)，轉(zhuǎn)換過程應(yīng)完整并正確，且經(jīng)過用戶 管理人員審核及批準(zhǔn)。,第三節(jié) 軟件配置管理（SCM） 為了克服對(duì)程序維護(hù)難于控制問題，許多組織實(shí)施了軟件配置管理系 統(tǒng)。通過為系統(tǒng)中的程序、文檔和數(shù)據(jù)建立配置項(xiàng)，并賦予相應(yīng)的配置號(hào)， 通過軟件配置管理系統(tǒng)進(jìn)行管理，使任何維護(hù)請(qǐng)求必須正式記錄并且由變 更控制委員會(huì)（例如配置控制委員會(huì)）批準(zhǔn)。從而實(shí)施有效的控制。,通常將配置項(xiàng)移入受控環(huán)境被稱作“載入”（check in）。當(dāng)需要更改 時(shí)，配置項(xiàng)要由配置管理者“載出”（check out）。 為了使配置管理起作用，需要制定配置管理計(jì)劃和操作程序。計(jì)劃不 僅僅局限于開發(fā)的軟件，還應(yīng)該包括所有的系統(tǒng)文檔、測(cè)試計(jì)劃和步驟。 作為軟件配置管理任務(wù)的一部分，維護(hù)人員要執(zhí)行以下任務(wù):,1、建立配置管理計(jì)劃 ； 2、將代碼和相關(guān)文檔基線化 ； 3、分析并報(bào)告配置控制的結(jié)果 ； 4、建立配置狀態(tài)信息報(bào)告 ； 5、建立發(fā)布流程 ； 6、執(zhí)行配置控制活動(dòng)，例如識(shí)別和記錄請(qǐng)求 ； 7、更新配置狀態(tài)數(shù)據(jù)庫(kù)。,在許多情況下，需要商業(yè)軟件產(chǎn)品來進(jìn)行配置管理。配置管理工具通過 將下列活動(dòng)自動(dòng)化來支持變更管理和發(fā)布管理： 1、識(shí)別受變更請(qǐng)求影響的配置項(xiàng)并幫助評(píng)估影響； 2、記錄受到變更影響的配置項(xiàng)； 3、根據(jù)授權(quán)記錄實(shí)施變更； 4、當(dāng)實(shí)施授權(quán)變更和發(fā)布時(shí)登記配置項(xiàng)發(fā)生的變化； 5、記錄與發(fā)布相關(guān)的基線，以便能夠在變更失敗時(shí)按照已知的結(jié)果進(jìn) 行恢復(fù)。,為了保證有效的實(shí)施配置管理，從而確保系統(tǒng)安全可靠的運(yùn)行，必 須通過采取一些與變更相關(guān)管理控制措施，包括： 實(shí)施軟件發(fā)布管理； 使用程序庫(kù)控制軟件； 保證執(zhí)行碼與源代碼的完整性； 進(jìn)行源代碼比較。,一、軟件發(fā)布管理： 軟件發(fā)布管理就是軟件可以讓用戶使用的過程，發(fā)布用來描述授權(quán)變 更集合。發(fā)布通常包括大量問題修改和服務(wù)改進(jìn)，發(fā)布包括新的或修改的 軟件，發(fā)布通常被劃分為： 1、重要發(fā)布：通常包括重要的變化或增加了新功能。 ； 2、小版本發(fā)布：升級(jí)，通常包含小的改進(jìn)和補(bǔ)丁 ； 3、緊急軟件補(bǔ)丁：通常包括對(duì)一些已知問題的修改 。,應(yīng)該定義發(fā)布管理的主要角色和責(zé)任，以確保每個(gè)人都了解他們的角 和權(quán)限級(jí)別，了解涉及到該過程的其他人。組織應(yīng)該根據(jù)系統(tǒng)的規(guī)模和特 性、發(fā)布版本的數(shù)量和頻率、用戶的特殊需求來制定最有合適的方法。所 有的發(fā)布版本都有唯一的識(shí)別號(hào)，可以在配置管理中使用。,計(jì)劃發(fā)布包括： 1、一致同意發(fā)布的內(nèi)容； 2、同意根據(jù)時(shí)間、地點(diǎn)、業(yè)務(wù)部門和客戶劃分階段 ； 3、建立高層發(fā)布進(jìn)度 ； 4、計(jì)劃資源水平 ； 5、同意角色和責(zé)任 ； 6、建立備用計(jì)劃 ； 7、為發(fā)布的版本建立質(zhì)量計(jì)劃 ； 8、計(jì)劃支持部門和用戶的接受度 。,二、程序庫(kù)控制軟件： 程序庫(kù)控制軟件來隔離測(cè)試庫(kù)和日常作業(yè)程序庫(kù)。主要目的是確保所有 程序變更都是經(jīng)過授權(quán)的。 1、防止程序員訪問產(chǎn)品源代碼和對(duì)象庫(kù)； 2、防止整批的程序更新動(dòng)作； 3、要求程序員把要替換的源代碼交給控制人員或操作員，來更新目標(biāo) 代碼程序庫(kù)或進(jìn)行測(cè)試； 4、要求控制人員或操作員在完成測(cè)試后要更新目標(biāo)代碼程序庫(kù)的版本 編號(hào)； 5、對(duì)源代碼做只讀訪問控制； 6、要求程序命名要采用惟一的標(biāo)識(shí)方式以將測(cè)試版和正式版區(qū)別開來； 7、在作業(yè)控制語言中加入篩選控制，以避免因誤用程序名稱而讓正常 作業(yè)執(zhí)行了測(cè)試程序； 8、一旦錯(cuò)誤發(fā)生時(shí)可以將修改恢復(fù) 。,三、執(zhí)行碼及源代碼的完整性： 每個(gè)日常作業(yè)的執(zhí)行代碼模塊應(yīng)該有一相對(duì)應(yīng)的原始代碼模塊。只要有 源代碼模塊移人日常作業(yè)源代碼庫(kù)，就自動(dòng)創(chuàng)建一個(gè)可執(zhí)行代碼的模塊移入 到日常作業(yè)程序庫(kù)。 控制可執(zhí)行碼與源代碼的完整性能保證錯(cuò)誤版本的程序不會(huì)被執(zhí)行。從 而把在變更控制流程中因職責(zé)劃分不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)盡量降低。 通?？刹捎脦?kù)管理軟件產(chǎn)品可以實(shí)現(xiàn)這項(xiàng)功能 。,四、源代碼比較： 源代碼比較是追蹤源程序代碼變化的有效易用的方法。 IS審計(jì)師可通過運(yùn)行源代碼比較軟件或手工審查源代碼變更，來追蹤控 制版本的源代碼和目前版本的源代碼之間的區(qū)別，打印所有增、刪及更改的 清單。從而可以逐一審查有關(guān)這些變動(dòng)的需 求申請(qǐng)、批準(zhǔn)及程序測(cè)試后的授 權(quán)文件。從而確保變更得到有效控制。,第四節(jié) 項(xiàng)目管理 項(xiàng)目管理的目標(biāo) : 保證任務(wù)能夠充分執(zhí)行，資源有效利用，系統(tǒng)質(zhì)量能 夠保證，項(xiàng)目按時(shí)按目標(biāo)完成，避免項(xiàng)目風(fēng)險(xiǎn)。 項(xiàng)目管理要求 : 明確任務(wù)，跟蹤進(jìn)展情況，定期審查項(xiàng)目提交情況，保 證項(xiàng)目的如期完成。 項(xiàng)目管理知識(shí)和實(shí)踐包括: 發(fā)起、計(jì)劃、執(zhí)行和結(jié)束。 成功的項(xiàng)目管理的共同特點(diǎn)：基于風(fēng)險(xiǎn)的管理流程和迭代。 項(xiàng)目管理所涉及的整體內(nèi)容，一般包括：總體項(xiàng)目管理、項(xiàng)目管理技術(shù)、 人員管理、文檔管理，等,一、總體項(xiàng)目管理 1、項(xiàng)目發(fā)起 必須明確：一個(gè)項(xiàng)目的發(fā)起應(yīng)經(jīng)過授權(quán)批準(zhǔn)。項(xiàng)目章程中應(yīng)明確 項(xiàng)目的目標(biāo)、項(xiàng)目的相關(guān)利益者、項(xiàng)目管理者和發(fā)起人。 被批準(zhǔn)后標(biāo)志著項(xiàng)目得到授權(quán)可以開始。 IS審計(jì)師應(yīng)重點(diǎn)審查項(xiàng)目發(fā)起的合規(guī)性以及得到授權(quán)批準(zhǔn)。,2、項(xiàng)目計(jì)劃 軟件開發(fā)或維護(hù)項(xiàng)目必須進(jìn)行計(jì)劃和控制。項(xiàng)目管理者需要決定： （1）需要執(zhí)行的任務(wù)； （2）每個(gè)任務(wù)要多長(zhǎng)時(shí)間； （3）任務(wù)執(zhí)行的次序； （4）存在什么資源來執(zhí)行任務(wù)； （5）每項(xiàng)任務(wù)的成本和資金來源。 IS審計(jì)師應(yīng)重點(diǎn)審查項(xiàng)目計(jì)劃的全面性、合理性及效益性。,3、軟件規(guī)模評(píng)估 軟件規(guī)模評(píng)估是決定應(yīng)用軟件相對(duì)的物理規(guī)模的方法。 軟件規(guī)模作為輸入，導(dǎo)出成本、進(jìn)度、質(zhì)量矩陣的估計(jì)，用于指導(dǎo) 資源分配、估計(jì)開發(fā)時(shí)間和資源、比較需要的資源和已有的資源。 IS審計(jì)師應(yīng)掌握軟件規(guī)模評(píng)估的方法，以便對(duì)項(xiàng)目的進(jìn)度、所需資源 及資源分配情況進(jìn)行評(píng)價(jià)和審計(jì)。 方法：A、源代碼行數(shù)(SLOC：Source Line of Code)的單點(diǎn)估計(jì)方法 ； 局限：對(duì)于復(fù)雜系統(tǒng)不太適用 B、功能點(diǎn)(Function Point)分析技術(shù)；,功能點(diǎn)(Function Point)：首先通過完成一個(gè)表來決定一個(gè)特殊的輸入、 輸出等是否是簡(jiǎn)單、普遍適用的或是復(fù)雜的。共定義了5個(gè)功能點(diǎn)： （1）用戶輸入數(shù)：對(duì)每個(gè)用戶提供面向應(yīng)用的數(shù)據(jù)輸入進(jìn)行計(jì)數(shù)； （2）用戶輸出數(shù)：對(duì)每個(gè)用戶提供面向應(yīng)用的數(shù)據(jù)輸出進(jìn)行計(jì)數(shù)； （3）用戶請(qǐng)求數(shù)：對(duì)以聯(lián)機(jī)輸入和輸出形式存在的每個(gè)請(qǐng)求進(jìn)行 計(jì)數(shù)；,（4）文件數(shù)：對(duì)每個(gè)邏輯主控文檔進(jìn)行計(jì)數(shù)； （5）外部接口數(shù)：對(duì)系統(tǒng)與其他系統(tǒng)的所有傳輸信息的機(jī)讀接口 (如磁帶或磁盤的數(shù)據(jù)文件)進(jìn)行計(jì)數(shù)。 建立“計(jì)算功能點(diǎn)矩陣”：（參見教材） 計(jì)算功能點(diǎn)總數(shù)：根據(jù)一定算法，考慮影響復(fù)雜性的相關(guān)因素計(jì)算得出 根據(jù)功能點(diǎn)總數(shù)計(jì)算衡量：成本、進(jìn)度、生產(chǎn)力、質(zhì)量，等,4、工作量（成本預(yù)算） 系統(tǒng)開發(fā)計(jì)劃應(yīng)該根據(jù)評(píng)估每個(gè)任務(wù)所需要的工作量進(jìn)行分析。每個(gè)任 務(wù)消耗人力和機(jī)器時(shí)間。每個(gè)任務(wù)的評(píng)估包括下列因素： （1）不同類型人員的小時(shí)數(shù)（系統(tǒng)分析員、程序員、員工）； （2）機(jī)器小時(shí)數(shù)（主要指計(jì)算機(jī)時(shí)間、復(fù)制設(shè)備、辦公設(shè)備、通信設(shè) 備）； （3）其他外部成本，諸如:第三方軟件、工具的許可權(quán)、咨詢費(fèi)、培訓(xùn) 費(fèi)、認(rèn)證成本、居住成本等（當(dāng)項(xiàng)目需要額外的地方）；,5、軟件成本評(píng)估 成本評(píng)估是正確定義項(xiàng)目范圍的必要步驟。在系統(tǒng)開發(fā)的每個(gè)階段都有 估計(jì)項(xiàng)目成本的自動(dòng)化技術(shù)。為了使用這些技術(shù)，系統(tǒng)通常劃分為主要的因 數(shù)，建立一組成本動(dòng)因。動(dòng)因包括：,在根據(jù)任務(wù)建立了預(yù)期工作量后，可以分兩步來做成本預(yù)算： （1）通過匯總每個(gè)階段任務(wù)的預(yù)期工作量或階段性的對(duì)人和機(jī)器工 作量的評(píng)估； （2）利用適當(dāng)?shù)男r(shí)生產(chǎn)率將工作量合計(jì)值計(jì)算成小時(shí)制，以得到階 段性開發(fā)費(fèi)用。,（1）源代碼語言； （2）執(zhí)行時(shí)間約束； （3）主要存儲(chǔ)約束； （4）數(shù)據(jù)存儲(chǔ)約束；（5）計(jì)算機(jī)訪問； （6）用于開發(fā)的目標(biāo)機(jī)器； （7） 安全環(huán)境； （8）員工經(jīng)驗(yàn)。 一旦所有驅(qū)動(dòng)因素被定義，程序?qū)⑦M(jìn)行系統(tǒng)和整個(gè)項(xiàng)目的成本估計(jì)。,IS審計(jì)師通過掌握工作量（成本預(yù)算）、軟件成本評(píng)估方法，以便對(duì) 項(xiàng)目成本實(shí)施有效的評(píng)價(jià)和審計(jì)。 6、結(jié)束項(xiàng)目管理 項(xiàng)目結(jié)束時(shí)新的或修改的系統(tǒng)交付給用戶或系統(tǒng)支持人員。結(jié)束時(shí)， 可能還有些小問題需要解決，還要指定解決問題的負(fù)責(zé)人。還要確認(rèn)以 下工作： （1）項(xiàng)目的資助人應(yīng)該對(duì)系統(tǒng)表示滿意； （2）項(xiàng)目成果的所有權(quán)需要指定； （3）文檔要?dú)w檔并轉(zhuǎn)給需要的人。 IS審計(jì)師應(yīng)重點(diǎn)關(guān)注項(xiàng)目的條件是否具備、項(xiàng)目的目標(biāo)是否實(shí)現(xiàn)以及 項(xiàng)目的完成質(zhì)量，另外，在這個(gè)階段還要對(duì)項(xiàng)目組、開發(fā)組、用戶和其他利 益相關(guān)者進(jìn)行調(diào)查，獲得可以學(xué)習(xí)的經(jīng)驗(yàn)和教訓(xùn)，向有關(guān)方提出建議，以便 運(yùn)用到將來的項(xiàng)目中去。,二、項(xiàng)目管理技術(shù) 在項(xiàng)目管理中制定進(jìn)度計(jì)劃的技術(shù)工具主要有： 1、甘特圖 （GATT） 也稱橫道圖，是一種最直觀的進(jìn)度計(jì)劃方法。 它通過平面坐標(biāo)顯示每個(gè)活動(dòng)：開始、結(jié)束時(shí)間；哪些活動(dòng)可以同 時(shí)進(jìn)行、哪些活動(dòng)要順序進(jìn)行；反映資源分配情況；顯示項(xiàng)目的進(jìn)度； 反映項(xiàng)目提前了還是推遲了。,2、項(xiàng)目評(píng)審技術(shù)（PERT） 項(xiàng)目評(píng)審技術(shù)是系統(tǒng)開發(fā)中常用的一種先進(jìn)的工程計(jì)劃活動(dòng)，它把 工程計(jì)劃的各項(xiàng)活動(dòng)，它們之間的聯(lián)系和約束（各活動(dòng)之間在物理上、 工程上和邏輯上的制約）經(jīng)過組合分解，使工期最短，統(tǒng)籌安排，構(gòu)成 一個(gè)有機(jī)的整體，用網(wǎng)絡(luò)模型形象地反映出來，力求在資源約束條件下， 使工期最短。 為了確定活動(dòng)的結(jié)束時(shí)間，對(duì)每個(gè)活動(dòng)估計(jì)了三個(gè)時(shí)間：第一個(gè)是 樂觀估計(jì)（假設(shè)所有事情都很順利），第二個(gè)是最可能估計(jì)，第三個(gè)是 悲觀估計(jì)。使用下面的公式計(jì)算PERT圖上每個(gè)活動(dòng)時(shí)間估計(jì)： 樂觀+悲觀+4*最可能估計(jì)/6 PERT圖示例：,PERT網(wǎng)絡(luò)圖 PERT計(jì)劃評(píng)審技術(shù),3、關(guān)鍵路徑法（CPM） 也稱為關(guān)鍵路徑分析（CPA），其工作原理是：為每個(gè)最小任務(wù)單位 計(jì)算工期、定義最早開始和結(jié)束日期、最遲開始和結(jié)束日期、按照活動(dòng) 的關(guān)系形成順序的網(wǎng)絡(luò)邏輯圖，找出必須的最長(zhǎng)路徑，即為關(guān)鍵路徑。 計(jì)算方法： （1）計(jì)算兩節(jié)點(diǎn)間的關(guān)鍵路徑： A、如兩節(jié)點(diǎn)間只有一個(gè)工作項(xiàng)目任務(wù)，則此路線即為關(guān)鍵路徑； B、如兩節(jié)點(diǎn)間有多個(gè)工作項(xiàng)目任務(wù)，則所需最長(zhǎng)時(shí)間的路線即為 關(guān)鍵路徑； （2）將各節(jié)點(diǎn)間的關(guān)鍵路徑相連，即可計(jì)算出整個(gè)項(xiàng)目的關(guān)鍵路徑； 示例：如前圖,4、時(shí)間盒（Timebox）管理