軟件外包IT審計主要內(nèi)容與實施,審計論文

軟件外包IT審計主要內(nèi)容與實施,審計論文內(nèi)容摘要：軟件外包成為信息系統(tǒng)及集成開發(fā)的主要手段之一,其經(jīng)過產(chǎn)生的風(fēng)險已進入IT審計實踐與研究的視野,本文對IT審計及軟件外包開展IT審計進行了具體的闡述,分別討論了施行形式、內(nèi)容以及意義,旨在提高軟件開發(fā)的質(zhì)量,為外包軟件的質(zhì)量提供一個新的思路。本文關(guān)鍵詞語：IT審計;軟件外包;1.基本概念和背景外包指組織動態(tài)地配置本身和其他組織的功能和服務(wù),進而使成本下降,提高運行效率,使本身的作用充分發(fā)揮出來,提高了核心競爭力,能夠針對環(huán)境的變化進行改變的管理形式。隨著全球化的深切進入,外包的管理形式在越來越多的領(lǐng)域開場應(yīng)用。但是,應(yīng)用最為廣泛的還是軟件外包。最早由印度發(fā)展而來的軟件外包,指的就是將軟件的生產(chǎn)到銷售的華而不實一個環(huán)節(jié),由第三方擔(dān)任。軟件外包形式,能夠有效減少軟件開發(fā)的時間,減少開發(fā)成本,是當(dāng)前非常有效的一種手段,在很多軟件公司中都有應(yīng)用。軟件外包的優(yōu)勢比擬多,但是很多組織應(yīng)用外包的方式,不是單純的減少開發(fā)成本,最終奪得目的是為了消除人力資源的制約,不需要招聘新的員工就能夠開展大型項目。外包根據(jù)實際的內(nèi)容,朱亞奧分為三種類型,分別是:軟件產(chǎn)品開發(fā)外包、軟件專業(yè)服務(wù)外包、IT關(guān)聯(lián)服務(wù)外包。軟件與普通的產(chǎn)品還有一定的差異,屬于一種邏輯產(chǎn)品,特點就是高度彈性、不可測量性以及不可見性。所以,想要有效控制軟件的外包風(fēng)險質(zhì)量存在很大的難度,不管屬于哪一種外包方式,軟件在外包的環(huán)節(jié)中,必然存在一定的風(fēng)險。軟件外包風(fēng)險原因有很多影響因素,由于存在信息不對稱大的情況,委托人處于非常不利的位置。軟件發(fā)包方與軟件承包方之間的關(guān)系比擬復(fù)雜,軟件承包方對發(fā)包方的詳細情況不是十分了解,對于信息無法及時把握。而軟件發(fā)包方對軟件的開發(fā)經(jīng)過不清楚明晰,導(dǎo)致項目存在很大的風(fēng)險。為了使軟件外包風(fēng)險得到有效防備,使外包項目質(zhì)量得以提高,就需要在施行軟件外包的時候,應(yīng)用IT審計制度,開展全經(jīng)過的跟蹤審計?；谶@一情況,本文就針對軟件開發(fā)的外包形式進行研究,對應(yīng)IT審計形式和審計內(nèi)容展開多角度的闡述。2.軟件外包IT審計IT審計就是信息系統(tǒng)審計,也稱IT監(jiān)查,是獨立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方-IT審計師采用客觀的標準對信息系統(tǒng)的策劃、開發(fā)、使用維護等相關(guān)活動和產(chǎn)物進行全方位的評估和檢查,能夠?qū)徲媽ο筇岢鲠槍π缘膯栴}活動。在開發(fā)軟件項目的時候,應(yīng)用IT審計最終的目的,主要是為了對整個開發(fā)經(jīng)過進行有效的控制。主要涵蓋的內(nèi)容有項目質(zhì)量、項目進度以及項目成本,假如軟件在開發(fā)的經(jīng)過中出現(xiàn)問題,能夠第一時間發(fā)現(xiàn),進而采取針對性的措施進行處理,確保整個開發(fā)經(jīng)過的高效性和透明性。對于軟件外包施行IT審計,審計對象主要是外包軟件,包括了發(fā)包、開發(fā)以及后期的運行維護整個流程。為了確保外包軟件的質(zhì)量,就需要應(yīng)用IT審計制度,從軟件發(fā)包開場,一直到設(shè)計后期的維護,對整個外包軟件流程進行全經(jīng)過監(jiān)管。軟件外包IT審計內(nèi)容主要涵蓋了下面幾方面。2.1發(fā)包方審計。對發(fā)包方的項目管理機制能否完善進行審計,社差技術(shù)人員及技術(shù)實力,能否具有良好的品牌度和信譽度。并且,對于發(fā)包軟件的產(chǎn)品需求要進行全方面的分析,具體進行記錄。2.2承包方審計。主要是針對承包方能否具有發(fā)包方要求的設(shè)計技術(shù)及人才開展審計工作,檢查軟件開發(fā)的管理能否知足實際的使用要求。并且,在業(yè)界的信譽能否良好。2.3發(fā)包流程審計。該經(jīng)過主要是檢查審計的合作計劃和經(jīng)過,能否完好、具體,簽訂的合作協(xié)議能否規(guī)范。還有就是在開展軟件開發(fā)的經(jīng)過中,發(fā)包方能否根據(jù)要求進行跟蹤,陳述承包方的工作流程、條件、條款。承包商能否介入技術(shù)溝通和評審,根據(jù)規(guī)范要求能否選擇正式評審里程碑,對軟件的完成結(jié)果進行評價。2.4管理、規(guī)劃與組織審計。主要對軟件的管理、計劃與組織策略、程序、標準以及政策進行審計。采用的標準是以軟件計劃為準,對軟件開發(fā)的經(jīng)過進行跟蹤,主要涵蓋了軟件開發(fā)設(shè)計、規(guī)劃以及整個施行經(jīng)過。比照CMM(CapabilityMaturityModel)和ISO9000標準,及時更正出現(xiàn)的一些問題,盡可能降低軟件開發(fā)中出現(xiàn)的問題。審計發(fā)包方對文檔化的規(guī)劃需要進行驗收,對承包商的能力進行評價。2.5操作實務(wù)審計。主要就是針對審計評價承包方,在施行和管理操作基礎(chǔ)設(shè)施和技術(shù)上的效率及有效性,對軟件目的的順利實現(xiàn)給予充分支持。2.6資產(chǎn)保衛(wèi)審計。主要就是評價審計信息技術(shù)基礎(chǔ)、環(huán)境以及邏輯的安全性,保證發(fā)包方的信息資產(chǎn)安全得到保障,避免信息資產(chǎn)被惡意損壞、修改及上使用,進而造成宏大的損失。2.7災(zāi)難恢復(fù)。就是在審計出現(xiàn)災(zāi)禍的時候,能夠確保發(fā)包方的業(yè)務(wù)順利開展下去,并簡歷里完善的流程評價。2.8軟件施行與維護審計。該經(jīng)過主要是開展審計的方式,維護和施行應(yīng)用軟件的流程,對整個處理流程進行評估,保證組織的業(yè)務(wù)目的有完善的風(fēng)險管理?，F(xiàn)前階段,對于IT項目的監(jiān)控,最為常見的方式就是項目管理。無論是項目管理還是IT審計,都是由第三方監(jiān)管軟件的質(zhì)量。但是,IT項目管理的目的是工程項目,只是針對軟件開發(fā)環(huán)節(jié),也就是針對質(zhì)量、進度以及成本。而完成項目之后項目管理就徹底結(jié)束,在整個軟件中占據(jù)一多半的生命周期,卻沒有施行維護監(jiān)管工作。從實際運行上就能夠發(fā)現(xiàn),在開發(fā)軟件的時候測試工作無法全部測試出來軟件開發(fā)經(jīng)過中存在的漏洞,而這些漏洞必然會對軟件的安全運行造成非常大的影響。外包的軟件由于承包方或是發(fā)包方的因素,軟件中的漏洞可能比擬多,假如沒有全程監(jiān)控軟件的運行情況,或是沒有足夠重視軟件后期的維護,必然會加大軟件外包的風(fēng)險。而在開展軟件外包的時候應(yīng)用IT審計工作,不但能夠全程跟蹤軟件的整個開發(fā)環(huán)節(jié),而且還能夠?qū)崟r監(jiān)控軟件的運行維護環(huán)境,從根本上確保了軟件外包的質(zhì)量,盡可能降低了軟件風(fēng)險。印度的軟件組織在國際上占據(jù)非常重要的地位,為了對一些發(fā)達國家的軟件外包業(yè)務(wù)承接過來,花費了海量的資源,對于ISO9000認證和CMM認證非常重要。當(dāng)前,我們國家的軟件公司固然規(guī)模大部分比擬小,而且資金狀況堪憂,對于CMM等認證費用物理承當(dāng)。但是,軟件外包這一宏大的利潤也吸引了很多人的目光,為了得到外包項目,就能夠在對軟件項目承包的使時候應(yīng)用IT審計制度。在開展IT審計的時候,充分利用CMM模型思想,通過專業(yè)的IT審計人員對外包項目進行規(guī)范,確保其開發(fā)、計劃等整個施行的質(zhì)量和進度,全程蔣后續(xù)的運行維護。關(guān)于軟件外包管理方面存在的問題,已經(jīng)在CMM第二級和CMM2中的KPA上有非常明確的規(guī)定,提出對軟件開發(fā)子合同和業(yè)務(wù)進行有效組織。CMM模型對軟件子合同管理目的進行了明確的規(guī)定,提出在落實的時候必需要到達一定的能力,并對合同管理活動進行了明確的定義。但是,CMM模型當(dāng)中只是提出了要到達何種目的、怎樣去做,但是沒有詳細的指導(dǎo)。基于這一情況,我們在開展軟件外包的時候應(yīng)用IT審計活動時,能夠?qū)MM模型的實踐經(jīng)歷體驗借鑒過來,對CMM的軟件合同管理充分結(jié)合起來,從管理著手,將其視為能將其他軟件開發(fā)經(jīng)過從公司內(nèi)部部分延伸到公司外部的管理理念、規(guī)范、技術(shù)。軟件發(fā)包方通過應(yīng)用IT審計,就能夠?qū)φ麄€業(yè)務(wù)分包的經(jīng)過進行全程的管理和控制工作。3.施行軟件外包IT審計3.1獲取IT審計證據(jù)。軟件外包IT審計證據(jù)主要大的獲得方式為數(shù)據(jù)抽樣、問卷調(diào)查以及查詢文檔。隨著計算機技術(shù)的進步,信息系統(tǒng)也變得越來越復(fù)雜,這就導(dǎo)致系統(tǒng)輸入、輸出之間的關(guān)系越發(fā)薄弱,處理數(shù)據(jù)的痕跡非常少。所以,IT審計人員一定要對系統(tǒng)的功能模塊有充分的了解,這樣才能使數(shù)據(jù)資料的準確性得到保障,不但單純依靠輸入輸出審計結(jié)果作為結(jié)論,需要開展全經(jīng)過的跟蹤審計工作。IT審計目的主要是為了使外包軟件的有效性、可靠性以及安全性得到提升。審計人員在評價審計證據(jù)的時候,一定要對控制需求充分考慮,也就是對收集的審計證據(jù)能否知足控制目的進行全方位的評估。假如控制點不清,就要審計人員根據(jù)自個的實踐經(jīng)歷體驗進行準確的判定。實際在開展的時候,對系統(tǒng)控制的適當(dāng)程度,主要是依靠控制矩陣進行衡量。其次,審計人員一定要對重疊性控制和補償性控制考慮到位。補償性控制就是指某系統(tǒng)機制的不斷健全,能夠補償其他存在缺陷的控制機制。而重疊性控制指的是,某系統(tǒng)有兩種完善的控制機制,所以,一定要加強重視控制的效果和相關(guān)性。但是,就算控制機制再完善,軟件可以能會發(fā)生意外,這就需要審計人員對控制目的的相關(guān)性進行評估控制,確保測試程序順利執(zhí)行。通常情況下,IT審計人員首先要落實補償性審計,在對控制缺陷進行上報。另外,IT審計人員還需要收集審計證據(jù),對控制目的能否能夠?qū)崿F(xiàn)進行準確的判定。實際在開展審計工作的時候,IT審計人員經(jīng)常使用的是信息系統(tǒng)效果評價模型和工程可靠性模型。3.2IT審計施行形式。首先,咨詢式監(jiān)理。咨詢式監(jiān)理就是只對用戶方的問題進行解答,一般情況下,問題就組織信息化經(jīng)過中會出現(xiàn),就好比是方案咨詢或是業(yè)務(wù)咨詢。該方式最為顯著的優(yōu)勢就是費用少,監(jiān)理方的責(zé)任較輕,但對于用戶方的要求比擬高,需要有較強的技術(shù)氣力和準確把握信息化的能力。其次,里程碑式監(jiān)理。該方式就是劃分信息系統(tǒng)為不同的階段,在每個階段的尾部會設(shè)置里程碑。在到來的時候就會通知監(jiān)理方進行測試。通常來講,該方式相比擬咨詢式建立要花費更多的資金,監(jiān)理方也需要承當(dāng)更多的責(zé)任。確定了里程碑之后需要乙方介入或是開發(fā)方的介入,不然就有可能由于里程碑確實立差異不同,出現(xiàn)相互扯皮的情況。3.3全程式監(jiān)理。該方式相比擬前兩種來講愈加復(fù)雜,不僅需要審查里程碑,還需要布置專業(yè)的技術(shù)人員進行全經(jīng)過的跟蹤。對開發(fā)系統(tǒng)中產(chǎn)生的信息進行收集,對開發(fā)的效果和開發(fā)質(zhì)量進行實時的評估。所以講,該方式的費用是最高的,監(jiān)理方也有全程監(jiān)管的職責(zé)。一般情況下都是應(yīng)用在技術(shù)氣力較弱、對開發(fā)不是十分了解的用戶方應(yīng)用。上述的三種方式方法各有各的優(yōu)勢,也各有各的缺陷。相比擬項目監(jiān)理來講,IT審計存在很大的差異性,項目監(jiān)理完成開發(fā)之后就完成了全部工作,但是IT審計在整個生命周期中都占據(jù)很重要的地位。所以講,假如采用單獨的咨詢形式存在很大的弊端。而應(yīng)用里程碑監(jiān)理,能夠?qū)浖霈F(xiàn)的錯誤及時發(fā)現(xiàn)處理,但由于軟件產(chǎn)品的特殊性,只能對一兩個里程碑進行測試及審查,對存在的漏洞無法及時發(fā)現(xiàn),進而存在很大的風(fēng)險。在開場施行IT審計工作的經(jīng)過中,首先需要做的就是想審計負責(zé)人咨詢相關(guān)的事物,由負責(zé)人布置專業(yè)小組到現(xiàn)場進行全經(jīng)過的管理、控制以及監(jiān)督。假如項目在開展經(jīng)過中出現(xiàn)問題,第一時間提出改良意見。在開展審計工作的時候,由小組成員進行指導(dǎo),及時匯報審計結(jié)果。4.總結(jié)綜上所述,本文主要是針對軟件項目中的外包進行了多角度的闡述,并對軟件部分功能模塊進行分析。由于開發(fā)軟件具有非常突出的特性,比方:不容易測量結(jié)果、以為因素突出、柔性強以及風(fēng)險大等等,導(dǎo)致在管理軟件外包的時候存在很多的難題。這就需要對分包方的開發(fā)進度及質(zhì)量加強控制的力度,通過不斷的實踐