信息系统运营与维护审计.ppt

NANJING AUDIT UNIVERSITY信息系统运营与维护审计信息系统运营与维护审计           由于信息系统在企业中的重要性与日俱增增，且信息系统规模日益增由于信息系统在企业中的重要性与日俱增增，且信息系统规模日益增   大，运营日趋复杂，因此在系统投入正常运行后，如何保证信息系统的正大，运营日趋复杂，因此在系统投入正常运行后，如何保证信息系统的正   常运营与维护，并实施有效管理与控制，对企业的经营战略和业务目标的常运营与维护，并实施有效管理与控制，对企业的经营战略和业务目标的   实现致关重要实现致关重要           从从ISA角度，角度，IS审计师通过审查系统运营与维护的安全性、有效性、效审计师通过审查系统运营与维护的安全性、有效性、效  益性等，并对此进行评估，提出改进意见，从而确保系统能满足企业的业务益性等，并对此进行评估，提出改进意见，从而确保系统能满足企业的业务  目标需求并实现其效益目标需求并实现其效益          信息系统在日常运行过程中管理与维护内容主要涉及：信息系统在日常运行过程中管理与维护内容主要涉及：           1、、信息系统运营的管理；信息系统运营的管理；           2、、信息系统变更管理；信息系统变更管理；           3、、软件配置管理；软件配置管理；           4、、项目管理；等。

项目管理；等           NANJING AUDIT UNIVERSITY   第一节第一节  信息系统运营管理信息系统运营管理          一、信息系统操作的管理一、信息系统操作的管理              职能要求：职能要求：                  1、、信息系统管理者有责任确保系统资源的可用性；信息系统管理者有责任确保系统资源的可用性；                  2、、信息系统管理者有责任依据整体业务策略，建立所有操作必须信息系统管理者有责任依据整体业务策略，建立所有操作必须                        遵循的标准程序遵循的标准程序                                                 信息部门信息部门操作员的工作主要包括：操作员的工作主要包括：                       1、、不正常中断后重新启动应用系统；不正常中断后重新启动应用系统；                       2、、及时备份计算机文件；及时备份计算机文件；                       3、、监控信息处理设备未授权访问；监控信息处理设备未授权访问；                       4、、监督监督IT部门与业务部门的管理层工作计划的遵守情况；部门与业务部门的管理层工作计划的遵守情况；                       5、、参与灾难恢复与业务持续计划；参与灾难恢复与业务持续计划；                       6、、受限制地访问计算机应用软件、数据及公用程序。

受限制地访问计算机应用软件、数据及公用程序NANJING AUDIT UNIVERSITY         要做好信息系统的操作管理，主要应采取的要做好信息系统的操作管理，主要应采取的管理控制措施包括：管理控制措施包括：                  1、、值班工作的详细计划；值班工作的详细计划；                  2、、监控操作过程，以确保遵循标准；监控操作过程，以确保遵循标准；                  3、、审核在系统关机与软硬件重新启动期间的控制台日志；审核在系统关机与软硬件重新启动期间的控制台日志；                  4、、审核每日操作员日志；审核每日操作员日志；                  5、、确保信息系统在微小或严重的系统故障时都能及时复原；确保信息系统在微小或严重的系统故障时都能及时复原；                  6、、监控系统绩效及资源使用，最大化利用计算机资源；监控系统绩效及资源使用，最大化利用计算机资源；                  7、、监控设备环境安全及变更，以保证设备在适宜的状态中工作监控设备环境安全及变更，以保证设备在适宜的状态中工作           IS审计师审计师通过对操作管理控制的评价，从而保证计算机操作遵守相应的通过对操作管理控制的评价，从而保证计算机操作遵守相应的   规程、系统的故障能够得到及时排除和恢复，从而保证系统可靠、有效的运规程、系统的故障能够得到及时排除和恢复，从而保证系统可靠、有效的运   行并满足企业的业务需求。

行并满足企业的业务需求        NANJING AUDIT UNIVERSITY     2、服务水平管理、服务水平管理           信息化部门是为企业各业务单位提供服务的部门，为了能更好地提供信息化部门是为企业各业务单位提供服务的部门，为了能更好地提供     服务，以支持企业业务目标的实现，有必要对其服务的状况进行监督控制服务，以支持企业业务目标的实现，有必要对其服务的状况进行监督控制                               IS审计师审计师通过检查有关文档、询问、进行实地测试等方式检查和评价有通过检查有关文档、询问、进行实地测试等方式检查和评价有    关问题处理情况、提供服务情况等确保信息化部门能够及时、高效地提供服关问题处理情况、提供服务情况等确保信息化部门能够及时、高效地提供服    务，以保证系统支持企业业务目标的实现务，以保证系统支持企业业务目标的实现           为了实现有效的监督控制，通过运用各种工具记录有关情况，以衡量为了实现有效的监督控制，通过运用各种工具记录有关情况，以衡量     服务的正确性、完整性、及时性及对系统处理结果的适当分发。

服务的正确性、完整性、及时性及对系统处理结果的适当分发这些工具这些工具     主要有：主要有：            1、、系统异常报告；系统异常报告；            2、、操作员问题报告；操作员问题报告；            3、、输出、分发报告；输出、分发报告；            4、、控制台日志；控制台日志；            5、、操作员工作安排记录操作员工作安排记录            NANJING AUDIT UNIVERSITY     3、问题处理程序、问题处理程序           企业中的信息系统一旦出现异常，将会给企业中的信息系统一旦出现异常，将会给企业的业务运作带来影响，企业的业务运作带来影响，     甚至损失，因此在对异常状况的检查、记录、控制、解决及报告时，由于甚至损失，因此在对异常状况的检查、记录、控制、解决及报告时，由于     软硬件及其相互关系相当复杂，应设计一套机制以检查及记录任何异常现软硬件及其相互关系相当复杂，应设计一套机制以检查及记录任何异常现     象为此：象为此：            1、、应建立错误日志；（包括：程序错误、系统错误、操作错误、通信应建立错误日志；（包括：程序错误、系统错误、操作错误、通信                                                                  错误、硬件错误）错误、硬件错误）            2、、适当的问题上报程序；适当的问题上报程序；            3、、问题解决程序方案。

问题解决程序方案                        IS审计师通过审计师通过审查了解有关错误日志记录的及时、完整性，问题处理的审查了解有关错误日志记录的及时、完整性，问题处理的    责则划分，问题处理程序的适当性，以及追踪实际处理情况，等以审查和责则划分，问题处理程序的适当性，以及追踪实际处理情况，等以审查和    确认问题处理程序措施的有效性，并针存在的问题提出改进建议确认问题处理程序措施的有效性，并针存在的问题提出改进建议NANJING AUDIT UNIVERSITY     4、支持、支持/服务台服务台             为了保证企业信息系统的正常运营，作为信息技术人员必须及时提供为了保证企业信息系统的正常运营，作为信息技术人员必须及时提供     技术保障支持并协助解决系统问题此外，信息技术支持人员还有责任做技术保障支持并协助解决系统问题此外，信息技术支持人员还有责任做     好系统有关的技术方面的服务和管理好系统有关的技术方面的服务和管理             技术支持功能主要包括：技术支持功能主要包括：                          1、、找出计算机问题并采取适当的改正措施；找出计算机问题并采取适当的改正措施；              2、、按规定提出问题报告，并确定问题及时解决；按规定提出问题报告，并确定问题及时解决；              3、、回答有关特定系统的查询；回答有关特定系统的查询；              4、、基于组织需求和计算机配置，设计并执行软件变更，以提高系统基于组织需求和计算机配置，设计并执行软件变更，以提高系统                     效率；效率；              5、、为远程通信提供技术支持；为远程通信提供技术支持；              6、、控制和维护供应商和系统软件的变更实施。

控制和维护供应商和系统软件的变更实施            NANJING AUDIT UNIVERSITY            服务台功能主要包括：服务台功能主要包括：              1、、立案并记录用户提出的包括硬、软件的各项问题；立案并记录用户提出的包括硬、软件的各项问题；              2、、根据优先顺序将问题向上汇报；根据优先顺序将问题向上汇报；              3、、追踪尚未解决的软、硬件问题；追踪尚未解决的软、硬件问题；              4、、将已解决的问题归档并通知相应的负责人将已解决的问题归档并通知相应的负责人           IS审计师审计师通过对该方面地审计评价，以促使信息技术部门能够为系统通过对该方面地审计评价，以促使信息技术部门能够为系统   提供有效地技术支持和服务提供有效地技术支持和服务NANJING AUDIT UNIVERSITY   第二节第二节  信息系统变更管理信息系统变更管理               变更的原因：变更的原因：IT环境或业务环境发生变化；信息的敏感性与或重要环境或业务环境发生变化；信息的敏感性与或重要        性分类标准发生变化；来自审计的要求；由于缺乏控制而发生的入侵和性分类标准发生变化；来自审计的要求；由于缺乏控制而发生的入侵和        病毒事件等。

病毒事件等               为了对系统变更进行有效控制，避免其带来的负面影响，应当建立一为了对系统变更进行有效控制，避免其带来的负面影响，应当建立一       个标准流程来实施和记录变更，保证变更过程等得到适当的授权与管理层个标准流程来实施和记录变更，保证变更过程等得到适当的授权与管理层       的批准，并对变更进行测试的批准，并对变更进行测试               对系统变更的管理控制措施主要包括：对系统变更的管理控制措施主要包括：                              1、、变更请求需要从适当的最终用户和系统管理层获得授权（如变更控变更请求需要从适当的最终用户和系统管理层获得授权（如变更控                     制小组、配置控制委员会等）；制小组、配置控制委员会等）；               2、、用户需要采用正式书面申请信函，向系统管理层表达变更申请；用户需要采用正式书面申请信函，向系统管理层表达变更申请；               3、、变更申请表的格式、内容应该保证行动的所有变化都考虑在内，并变更申请表的格式、内容应该保证行动的所有变化都考虑在内，并                    为每个申请指定一个唯一的控制人员，将变化申请信息录入计算机为每个申请指定一个唯一的控制人员，将变化申请信息录入计算机                    系统；系统；               NANJING AUDIT UNIVERSITY               4、、变更程序需要遵循与全面系统开发项目同样的过程，保证新功能满变更程序需要遵循与全面系统开发项目同样的过程，保证新功能满                     足需求且不影响其他模块的功能；足需求且不影响其他模块的功能；               5、、用户对系统测试结果和文档的充分性表示满意后，需要得到用户管用户对系统测试结果和文档的充分性表示满意后，需要得到用户管                     理层的批准；理层的批准；               6、、所有变更请求和相关信息作为系统的永久文档由用户维护人员保留；所有变更请求和相关信息作为系统的永久文档由用户维护人员保留；               7、、当变更程序的程序员也是系统的操作者时，必须遵循变更管理步骤，当变更程序的程序员也是系统的操作者时，必须遵循变更管理步骤，                     且管理层还要安装自动变更控制软件，防止未经授权的程序变更；且管理层还要安装自动变更控制软件，防止未经授权的程序变更；               8、、在紧急变更的情况下，要能够使系统问题得到及时解决或紧急修补，在紧急变更的情况下，要能够使系统问题得到及时解决或紧急修补，                     以保证系统的完整性；以保证系统的完整性；               9、、为保证有效利用维护系统，所有相关文档都需要及时更新。

为保证有效利用维护系统，所有相关文档都需要及时更新                    变更程序需要遵循与全面系统开发项目同样的验证和测试过程，保证变更程序需要遵循与全面系统开发项目同样的验证和测试过程，保证  新功能满足需求除此之外，假如风险分析认为必要，新功能满足需求除此之外，假如风险分析认为必要，需要进行额外测需要进行额外测  试以保证：试以保证：               1、、已存在的功能没有被变更破坏；已存在的功能没有被变更破坏；  2、、系统性能没有被破坏；系统性能没有被破坏；               3、、没有产生不安全的风险没有产生不安全的风险        NANJING AUDIT UNIVERSITY       对于紧急变更管理需关注：对于紧急变更管理需关注：               1、、制定合适的紧急变更的处理流程；制定合适的紧急变更的处理流程；               2、、对获得特殊的登录对获得特殊的登录ID号的紧急变更处理授权人员的监督控制；号的紧急变更处理授权人员的监督控制；                3、、制定紧急变更事后跟踪程序。

制定紧急变更事后跟踪程序              将变更移植到生产环境需关注：将变更移植到生产环境需关注：               1、、对系统要进行授权访问控制对系统要进行授权访问控制 ；（如使用；（如使用OS安全功能和安全软件包）安全功能和安全软件包）                2、、数据文件转换的控制；数据文件转换的控制；               3、、对员工使用修改后的软件提供培训支持；对员工使用修改后的软件提供培训支持；               4、、修改后的系统用户提供支持修改后的系统用户提供支持 ；；               5、、风险发生的错误恢复措施风险发生的错误恢复措施                     变更风险（非授权变更）的防范：变更风险（非授权变更）的防范：               1、、程序员访问了生产库；程序员访问了生产库；                2、、负责应用的用户不知道变化；负责应用的用户不知道变化；                NANJING AUDIT UNIVERSITY               3、、变化需求表格和流程没有正式建立；变化需求表格和流程没有正式建立；                4、、管理层没有在变化表格上签字同意开始更新；管理层没有在变化表格上签字同意开始更新；               5、、用户没有在变化更新前在变更表格上签字同意；用户没有在变化更新前在变更表格上签字同意；                6、、没有合适的编程人员审查变化的源代码；没有合适的编程人员审查变化的源代码；                7、、管理层没有在变更表格上签字批准将代码更新到生产环境；管理层没有在变更表格上签字批准将代码更新到生产环境；                8、、程序员为了个人利益添加额外程序代码程序员为了个人利益添加额外程序代码 ；；               9、、软件供应商进行的修改没有被测试，或供应商被允许直接将修改软件供应商进行的修改没有被测试，或供应商被允许直接将修改                     更新到生产环境。

更新到生产环境      NANJING AUDIT UNIVERSITY                在评估程序变更审计中，在评估程序变更审计中，IS审计师需要审查是否有适当的控制能够保审计师需要审查是否有适当的控制能够保        护产品应用程序和系统的有效运行，以防止未经授权的变更护产品应用程序和系统的有效运行，以防止未经授权的变更                为此，为此，IS审计师应重点关注和审查：审计师应重点关注和审查：               1、、是否有限制对程序库的访问控制措施；是否有限制对程序库的访问控制措施；               2、、变更申请是否有规范的报批流程并文档化；变更申请是否有规范的报批流程并文档化；               3、、变更潜在影响的评估；变更潜在影响的评估；               4、、变更是否经过用户和项目管理人员的审核和批准；变更是否经过用户和项目管理人员的审核和批准；               5、、变更涉及的各个方面均已经过控制变更涉及的各个方面均已经过控制/操作人员测试、审核及批准；操作人员测试、审核及批准；               6、、紧急变更控制及恢复措施的有效性；紧急变更控制及恢复措施的有效性；               7、、对用户进行了培训，使用户能适应新系统；对用户进行了培训，使用户能适应新系统；               8、、变更工作准备、排程和操作说明已建立；变更工作准备、排程和操作说明已建立；               9、、如需进行数据文件转换时，转换过程应完整并正确，且经过用户如需进行数据文件转换时，转换过程应完整并正确，且经过用户                     管理人员审核及批准。

管理人员审核及批准NANJING AUDIT UNIVERSITY   第三节第三节  软件配置管理（软件配置管理（SCM））             为了克服对程序维护难于控制问题，许多组织实施了软件配置管理系为了克服对程序维护难于控制问题，许多组织实施了软件配置管理系     统通过为系统中的程序、文档和数据建立统通过为系统中的程序、文档和数据建立配置项配置项，并赋予相应的，并赋予相应的配置号配置号，，     通过软件配置管理系统进行管理，使任何维护请求必须正式记录并且由变通过软件配置管理系统进行管理，使任何维护请求必须正式记录并且由变     更控制委员会（例如配置控制委员会）批准从而实施有效的控制更控制委员会（例如配置控制委员会）批准从而实施有效的控制                          通常将配置项移入受控环境被称作通常将配置项移入受控环境被称作“载入载入”（（check in）当需要更改当需要更改     时，配置项要由配置管理者时，配置项要由配置管理者“载出载出”（（check out）             为了使配置管理起作用，需要制定配置管理计划和操作程序。

计划不为了使配置管理起作用，需要制定配置管理计划和操作程序计划不     仅仅局限于开发的软件，还应该包括所有的系统文档、测试计划和步骤仅仅局限于开发的软件，还应该包括所有的系统文档、测试计划和步骤     作为软件配置管理任务的一部分，作为软件配置管理任务的一部分，维护人员要执行以下任务维护人员要执行以下任务:NANJING AUDIT UNIVERSITY            1、、建立配置管理计划建立配置管理计划 ；；            2、、将代码和相关文档基线化将代码和相关文档基线化 ；；            3、、分析并报告配置控制的结果分析并报告配置控制的结果 ；；            4、、建立配置状态信息报告建立配置状态信息报告 ；；            5、、建立发布流程建立发布流程 ；；            6、、执行配置控制活动，例如识别和记录请求执行配置控制活动，例如识别和记录请求 ；；            7、、更新配置状态数据库更新配置状态数据库                  在许多情况下，需要商业软件产品来进行配置管理配置管理工具通过在许多情况下，需要商业软件产品来进行配置管理。

配置管理工具通过   将下列活动自动化来支持变更管理和发布管理：将下列活动自动化来支持变更管理和发布管理：            1、、识别受变更请求影响的配置项并帮助评估影响；识别受变更请求影响的配置项并帮助评估影响；            2、、记录受到变更影响的配置项；记录受到变更影响的配置项；            3、、根据授权记录实施变更；根据授权记录实施变更；            4、、当实施授权变更和发布时登记配置项发生的变化；当实施授权变更和发布时登记配置项发生的变化；            5、、记录与发布相关的基线，以便能够在变更失败时按照已知的结果进记录与发布相关的基线，以便能够在变更失败时按照已知的结果进                  行恢复 NANJING AUDIT UNIVERSITY             为了保证有效的实施配置管理，从而确保系统安全可靠的运行，必为了保证有效的实施配置管理，从而确保系统安全可靠的运行，必     须通过采取一些与变更相关管理控制措施，须通过采取一些与变更相关管理控制措施，包括：包括：             实施实施软件发布管理软件发布管理；；             使用使用程序库控制软件程序库控制软件；；             保证保证执行码与源代码的完整性执行码与源代码的完整性；；             进行进行源代码比较源代码比较。

                                 一、软件发布管理：一、软件发布管理：             软件发布管理就是软件可以让用户使用的过程，发布用来描述授权变软件发布管理就是软件可以让用户使用的过程，发布用来描述授权变     更集合发布通常包括大量问题修改和服务改进，发布包括新的或修改的更集合发布通常包括大量问题修改和服务改进，发布包括新的或修改的     软件，发布通常被划分为：软件，发布通常被划分为：                           1、、重要发布：通常包括重要的变化或增加了新功能重要发布：通常包括重要的变化或增加了新功能 ；；              2、、小版本发布：升级，通常包含小的改进和补丁小版本发布：升级，通常包含小的改进和补丁 ；；              3、、紧急软件补丁：通常包括对一些已知问题的修改紧急软件补丁：通常包括对一些已知问题的修改              NANJING AUDIT UNIVERSITY             应该定义发布管理的主要角色和责任，以确保每个人都了解他们的角应该定义发布管理的主要角色和责任，以确保每个人都了解他们的角     和权限级别，了解涉及到该过程的其他人。

组织应该根据系统的规模和特和权限级别，了解涉及到该过程的其他人组织应该根据系统的规模和特     性、发布版本的数量和频率、用户的特殊需求来制定最有合适的方法所性、发布版本的数量和频率、用户的特殊需求来制定最有合适的方法所     有的发布版本都有唯一的识别号，可以在配置管理中使用有的发布版本都有唯一的识别号，可以在配置管理中使用                  计划发布包括：计划发布包括：              1、、一致同意发布的内容；一致同意发布的内容；             2、、同意根据时间、地点、业务部门和客户划分阶段同意根据时间、地点、业务部门和客户划分阶段 ；；                          3、、建立高层发布进度建立高层发布进度 ；；             4、、计划资源水平计划资源水平 ；；             5、、同意角色和责任同意角色和责任 ；；             6、、建立备用计划建立备用计划 ；；             7、、为发布的版本建立质量计划为发布的版本建立质量计划 ；；             8、、计划支持部门和用户的接受度计划支持部门和用户的接受度 。

    NANJING AUDIT UNIVERSITY    二、程序库控制软件：二、程序库控制软件：             程序库控制软件来隔离测试库和日常作业程序库主要目的是确保所有程序库控制软件来隔离测试库和日常作业程序库主要目的是确保所有    程序变更都是经过授权的程序变更都是经过授权的            1、、防止程序员访问产品源代码和对象库；防止程序员访问产品源代码和对象库；             2、、防止整批的程序更新动作；防止整批的程序更新动作；             3、、要求程序员把要替换的源代码交给控制人员或操作员，来更新目标要求程序员把要替换的源代码交给控制人员或操作员，来更新目标                  代码程序库或进行测试；代码程序库或进行测试；           4、、要求控制人员或操作员在完成测试后要更新目标代码程序库的版本要求控制人员或操作员在完成测试后要更新目标代码程序库的版本                  编号；编号；            5、、对源代码做只读访问控制；对源代码做只读访问控制；            6、、要求程序命名要采用惟一的标识方式以将测试版和正式版区别开来；要求程序命名要采用惟一的标识方式以将测试版和正式版区别开来；             7、、在作业控制语言中加入筛选控制，以避免因误用程序名称而让正常在作业控制语言中加入筛选控制，以避免因误用程序名称而让正常                  作业执行了测试程序；作业执行了测试程序；             8、、一旦错误发生时可以将修改恢复一旦错误发生时可以将修改恢复 。

               NANJING AUDIT UNIVERSITY   三、执行码及源代码的完整性：三、执行码及源代码的完整性：           每个日常作业的执行代码模块应该有一相对应的原始代码模块只要有每个日常作业的执行代码模块应该有一相对应的原始代码模块只要有   源代码模块移人日常作业源代码库，就自动创建一个可执行代码的模块移入源代码模块移人日常作业源代码库，就自动创建一个可执行代码的模块移入   到日常作业程序库到日常作业程序库            控制可执行码与源代码的完整性能保证错误版本的程序不会被执行从控制可执行码与源代码的完整性能保证错误版本的程序不会被执行从   而把在变更控制流程中因职责划分不当所产生的风险尽量降低而把在变更控制流程中因职责划分不当所产生的风险尽量降低           通常可通常可采用库管理软件产品可以实现这项功能采用库管理软件产品可以实现这项功能            四、源代码比较：四、源代码比较：           源代码比较是追踪源程序代码变化的有效易用的方法源代码比较是追踪源程序代码变化的有效易用的方法           IS审计师可通过运行审计师可通过运行源代码比较软件或手工审查源代码变更源代码比较软件或手工审查源代码变更，来追踪控，来追踪控   制版本的源代码和目前版本的源代码之间的区别，打印所有增、删及更改的制版本的源代码和目前版本的源代码之间的区别，打印所有增、删及更改的   清单。

从而可以逐一审查有关这些变动的需清单从而可以逐一审查有关这些变动的需 求申请、批准及程序测试后的授求申请、批准及程序测试后的授   权文件从而确保变更得到有效控制从而确保变更得到有效控制NANJING AUDIT UNIVERSITY   第四节第四节  项目管理项目管理            项目管理的目标项目管理的目标 :  保证任务能够充分执行，资源有效利用，系统质量能保证任务能够充分执行，资源有效利用，系统质量能    够保证，项目按时按目标完成，避免项目风险够保证，项目按时按目标完成，避免项目风险            项目管理要求项目管理要求 : 明确任务，跟踪进展情况，定期审查项目提交情况，保明确任务，跟踪进展情况，定期审查项目提交情况，保    证项目的如期完成证项目的如期完成            项目管理知识和实践包括项目管理知识和实践包括: 发起、计划、执行和结束发起、计划、执行和结束            成功的项目管理的共同特点：成功的项目管理的共同特点：基于风险的管理流程和迭代基于风险的管理流程和迭代            项目管理所涉及的整体内容，一般包括：项目管理所涉及的整体内容，一般包括：总体项目管理、项目管理技术、总体项目管理、项目管理技术、    人员管理、文档管理，等人员管理、文档管理，等            NANJING AUDIT UNIVERSITY               一、总体项目管理一、总体项目管理            1、项目发起、项目发起                   必须明确：必须明确：一个项目的发起应经过授权批准。

项目章程中应明确一个项目的发起应经过授权批准项目章程中应明确                          项目的目标、项目的相关利益者、项目管理者和发起人项目的目标、项目的相关利益者、项目管理者和发起人                  被批准后标志着项目得到授权可以开始被批准后标志着项目得到授权可以开始                 IS审计师应审计师应重点审查项目发起的合规性以及得到授权批准重点审查项目发起的合规性以及得到授权批准                        2、项目计划、项目计划                    软件开发或维护项目必须进行计划和控制软件开发或维护项目必须进行计划和控制项目管理者需要决定：项目管理者需要决定：                 （（1））需要执行的任务；需要执行的任务；                 （（2））每个任务要多长时间；每个任务要多长时间；                 （（3））任务执行的次序；任务执行的次序；                 （（4））存在什么资源来执行任务；存在什么资源来执行任务；                 （（5））每项任务的成本和资金来源。

每项任务的成本和资金来源                 IS审计师应审计师应重点审查项目计划的全面性、合理性及效益性重点审查项目计划的全面性、合理性及效益性      NANJING AUDIT UNIVERSITY         3、软件规模评估、软件规模评估            软件规模评估是决定应用软件相对的物理规模的方法软件规模评估是决定应用软件相对的物理规模的方法            软件规模作为输入，导出成本、进度、质量矩阵的估计，用于指导软件规模作为输入，导出成本、进度、质量矩阵的估计，用于指导      资源分配、估计开发时间和资源、比较需要的资源和已有的资源资源分配、估计开发时间和资源、比较需要的资源和已有的资源            IS审计师应审计师应掌握软件规模评估的方法，以便对项目的进度、所需资源掌握软件规模评估的方法，以便对项目的进度、所需资源      及资源分配情况进行评价和审计及资源分配情况进行评价和审计            方法：方法：A、、源代码行数源代码行数(SLOC：：Source Line of Code)的单点估计方法的单点估计方法 ；；                               局限：对于复杂系统不太适用局限：对于复杂系统不太适用                          B、、功能点功能点(Function Point)分析技术；分析技术；           功能点功能点(Function Point)：：首先通过完成一个表来决定一个特殊的输入、首先通过完成一个表来决定一个特殊的输入、           输出等是否是简单、普遍适用的或是复杂的。

输出等是否是简单、普遍适用的或是复杂的共定义了共定义了5个功能点：个功能点：             （（1）用户输入数：）用户输入数：对每个用户提供面向应用的数据输入进行计数；对每个用户提供面向应用的数据输入进行计数；             （（2）用户输出数：）用户输出数：对每个用户提供面向应用的数据输出进行计数；对每个用户提供面向应用的数据输出进行计数；             （（3）用户请求数：）用户请求数：对以联机输入和输出形式存在的每个请求进行对以联机输入和输出形式存在的每个请求进行                                               计数；计数；             NANJING AUDIT UNIVERSITY             （（4）文件数：）文件数：对每个逻辑主控文档进行计数；对每个逻辑主控文档进行计数；             （（5）外部接口数：）外部接口数：对系统与其他系统的所有传输信息的机读接口对系统与其他系统的所有传输信息的机读接口                                               (如磁带或磁盘的数据文件如磁带或磁盘的数据文件)进行计数。

进行计数       建立建立“计算功能点矩阵计算功能点矩阵”：：（参见教材）（参见教材）       计算功能点总数：计算功能点总数：根据一定算法，考虑影响复杂性的相关因素计算得出根据一定算法，考虑影响复杂性的相关因素计算得出       根据功能点总数计算衡量：根据功能点总数计算衡量：成本、进度、生产力、质量，等成本、进度、生产力、质量，等    4、工作量（成本预算）、工作量（成本预算）          系统开发计划应该根据评估每个任务所需要的工作量进行分析每个任系统开发计划应该根据评估每个任务所需要的工作量进行分析每个任   务消耗人力和机器时间务消耗人力和机器时间每个任务的评估包括下列因素：每个任务的评估包括下列因素：       （（1））不同类型人员的小时数（系统分析员、程序员、员工）；不同类型人员的小时数（系统分析员、程序员、员工）；       （（2））机器小时数（主要指计算机时间、复制设备、办公设备、通信设机器小时数（主要指计算机时间、复制设备、办公设备、通信设                 备）；备）；       （（3））其他外部成本，诸如其他外部成本，诸如:第三方软件、工具的许可权、咨询费、培训第三方软件、工具的许可权、咨询费、培训                 费、认证成本、居住成本等（当项目需要额外的地方）；费、认证成本、居住成本等（当项目需要额外的地方）；       NANJING AUDIT UNIVERSITY 5、软件成本评估、软件成本评估        成本评估是正确定义项目范围的必要步骤。

在系统开发的每个阶段都有成本评估是正确定义项目范围的必要步骤在系统开发的每个阶段都有估计项目成本的自动化技术为了使用这些技术，系统通常划分为主要的因估计项目成本的自动化技术为了使用这些技术，系统通常划分为主要的因数，建立一组成本动因数，建立一组成本动因动因包括：动因包括：               在根据任务建立了预期工作量后，在根据任务建立了预期工作量后，可以分两步来做成本预算：可以分两步来做成本预算：       （（1））通过汇总每个阶段任务的预期工作量或阶段性的对人和机器工通过汇总每个阶段任务的预期工作量或阶段性的对人和机器工                 作量的评估；作量的评估；       （（2））利用适当的小时生产率将工作量合计值计算成小时制，以得到阶利用适当的小时生产率将工作量合计值计算成小时制，以得到阶                 段性开发费用段性开发费用      （（1））源代码语言；源代码语言；    （（2））执行时间约束；执行时间约束；  （（3））主要存储约束；主要存储约束；       （（4））数据存储约束；数据存储约束；（（5））计算机访问；计算机访问；      （（6））用于开发的目标机器；用于开发的目标机器；     （（7）） 安全环境；安全环境；       （（8））员工经验。

员工经验        一旦所有驱动因素被定义，程序将进行系统和整个项目的成本估计一旦所有驱动因素被定义，程序将进行系统和整个项目的成本估计      NANJING AUDIT UNIVERSITY            IS审计师通过审计师通过掌握工作量（成本预算）、软件成本评估方法，以便对掌握工作量（成本预算）、软件成本评估方法，以便对     项目成本实施有效的评价和审计项目成本实施有效的评价和审计 6、、结束项目管理结束项目管理 项目结束时新的或修改的系统交付给用户或系统支持人员结束时，项目结束时新的或修改的系统交付给用户或系统支持人员结束时， 可能还有些小问题需要解决，还要指定解决问题的负责人可能还有些小问题需要解决，还要指定解决问题的负责人还要确认以还要确认以 下工作：下工作： （（1 1））项目的资助人应该对系统表示满意；项目的资助人应该对系统表示满意； （（2 2））项目成果的所有权需要指定；项目成果的所有权需要指定； （（3 3））文档要归档并转给需要的人文档要归档并转给需要的人 IS IS审计师应重点关注审计师应重点关注项目的条件是否具备、项目的目标是否实现以及项目的条件是否具备、项目的目标是否实现以及 项目的完成质量，另外，在这个阶段还要对项目组、开发组、用户和其他利项目的完成质量，另外，在这个阶段还要对项目组、开发组、用户和其他利 益相关者进行调查，获得可以学习的经验和教训，向有关方提出建议，以便益相关者进行调查，获得可以学习的经验和教训，向有关方提出建议，以便 运用到将来的项目中去。

运用到将来的项目中去 NANJING AUDIT UNIVERSITY     二、项目管理技术二、项目管理技术             在项目管理中制定进度计划的技术工具主要有：在项目管理中制定进度计划的技术工具主要有：            1、甘特图、甘特图 （（GATT））                  也称横道图，也称横道图，是一种最直观的进度计划方法是一种最直观的进度计划方法                   它通过平面坐标显示每个活动：开始、结束时间；哪些活动可以同它通过平面坐标显示每个活动：开始、结束时间；哪些活动可以同            时进行、哪些活动要顺序进行；反映资源分配情况；显示项目的进度；时进行、哪些活动要顺序进行；反映资源分配情况；显示项目的进度；            反映项目提前了还是推迟了反映项目提前了还是推迟了                                   甘特图（甘特图（GATT））（也可用表格的形式表示（也可用表格的形式表示)NANJING AUDIT UNIVERSITY            2、、项目评审技术（项目评审技术（PERT）） 项目评审技术是系统开发中常用的一种先进的工程计划活动，它把项目评审技术是系统开发中常用的一种先进的工程计划活动，它把 工程计划的各项活动，它们之间的联系和约束（各活动之间在物理上、工程计划的各项活动，它们之间的联系和约束（各活动之间在物理上、 工程上和逻辑上的制约）经过组合分解，使工期最短，统筹安排，构成工程上和逻辑上的制约）经过组合分解，使工期最短，统筹安排，构成 一个有机的整体，用网络模型形象地反映出来，力求在资源约束条件下，一个有机的整体，用网络模型形象地反映出来，力求在资源约束条件下， 使工期最短。

使工期最短 为了确定活了确定活动的的结束束时间，，对每个活每个活动估估计了了三个三个时间：：第一个是第一个是 乐观估估计（假（假设所有事情都很所有事情都很顺利），利），第二个是第二个是最可能估最可能估计，，第三个是第三个是 悲悲观估估计使用下面的公式使用下面的公式计算算PERTPERT图上每个活上每个活动时间估估计：： 乐观+ +悲悲观+4*+4*最可能估最可能估计/6/6 PERTPERT图示例：示例：NANJING AUDIT UNIVERSITYPERT网络图网络图PERT—计划评审技术计划评审技术NANJING AUDIT UNIVERSITY            3、、关键路径法（关键路径法（CPM）） 也称为关键路径分析（也称为关键路径分析（CPACPA），其工作原理是：），其工作原理是：为每个最小任务单位为每个最小任务单位 计算工期、定义最早开始和结束日期、最迟开始和结束日期、按照活动计算工期、定义最早开始和结束日期、最迟开始和结束日期、按照活动 的关系形成顺序的网络逻辑图，找出必须的最长路径，即为关键路径。

的关系形成顺序的网络逻辑图，找出必须的最长路径，即为关键路径 计算方法：计算方法： （（1 1））计算两节点间的关键路径：计算两节点间的关键路径： A A、、如两节点间只有一个工作项目任务，则此路线即为关键路径；如两节点间只有一个工作项目任务，则此路线即为关键路径； B B、、如两节点间有多个工作项目任务，则所需最长时间的路线即为如两节点间有多个工作项目任务，则所需最长时间的路线即为 关键路径；关键路径； （（2 2））将各节点间的关键路径相连，即可计算出整个项目的关键路径；将各节点间的关键路径相连，即可计算出整个项目的关键路径； 示例：如前图示例：如前图           NANJING AUDIT UNIVERSITY          4、、时间盒（时间盒（TimeboxTimebox）管理）管理 是一个新是一个新兴的的项目管理技目管理技术，它是在一个相，它是在一个相对短的、短的、绝对的和不的和不许 变更的更的时间内以及有限的内以及有限的资源的情况下，定源的情况下，定义和部署和部署软件。

件 应用用这项技技术时，在，在软件件质量和在量和在时间盒内完成所盒内完成所规定的工作之定的工作之间 需要达成平衡需要达成平衡项目管理目管理层在定在定义需求范需求范围方面有一定的方面有一定的弹性 非常适用于原型法或快速非常适用于原型法或快速应用开用开发项目，不适合目，不适合传统的的SDLCSDLC方法 该方法不允方法不允许项目成本超支以及目成本超支以及进度拖延的情况度拖延的情况发生 ISIS审计师应审计师应掌握这些项目进度计划工具，以便对项目进度的合理性进行掌握这些项目进度计划工具，以便对项目进度的合理性进行 评价和审计，向有关方提出合理的项目进度建议评价和审计，向有关方提出合理的项目进度建议 NANJING AUDIT UNIVERSITY   第五节第五节   系统变更流程和迁移程序的审计系统变更流程和迁移程序的审计           系统进入持续开发和维护阶段后该阶段一直持续系统被取代或者不再系统进入持续开发和维护阶段后该阶段一直持续系统被取代或者不再 继续之前。

在此阶段，继续之前在此阶段，信息系统审计师的主要工作包括：信息系统审计师的主要工作包括： 1 1、、当用户提出系统变更需求时，应有授权、优先排序及跟踪的机制；当用户提出系统变更需求时，应有授权、优先排序及跟踪的机制； 2 2、、在日常工作手册中，是否明确指出紧急变更程序；在日常工作手册中，是否明确指出紧急变更程序； 3 3、、变更控制程序是否同时为用户及项目开发组所认可；变更控制程序是否同时为用户及项目开发组所认可； 4 4、、变更控制日志是否确认所记录的变更都已完成；变更控制日志是否确认所记录的变更都已完成； 5 5、、评估对产品源代码和可执行代码模块的安全访问限制是否充分；评估对产品源代码和可执行代码模块的安全访问限制是否充分； 6 6、、评估组织在处理紧急情况下的程序变更的流程是否合理；评估组织在处理紧急情况下的程序变更的流程是否合理； 7 7、、评估对使用紧急情况下登录的安全访问控制是否充分；评估对使用紧急情况下登录的安全访问控制是否充分； 8 8、、评估变更需求被记录在适当的申请文件中；评估变更需求被记录在适当的申请文件中； 9 9、、确认现存文件均已反映变更后的系统环境；确认现存文件均已反映变更后的系统环境； 10 10、、评估系统变更的测试程序的适当性；评估系统变更的测试程序的适当性； NANJING AUDIT UNIVERSITY 11 11、、复核测试计划与测试结果等适当证据，确认该测试程序是依据复核测试计划与测试结果等适当证据，确认该测试程序是依据 组织相关标准而定的；组织相关标准而定的； 12 12、、复核保证源代码与可执行码完整性的程序；复核保证源代码与可执行码完整性的程序； 13 13、、复核产品可执行模块，证实有且只有惟一与源代码对应的最新复核产品可执行模块，证实有且只有惟一与源代码对应的最新 版本；版本； 14 14、、复核整个变革管理流程在时间成本、效率方面、用户满意度上是复核整个变革管理流程在时间成本、效率方面、用户满意度上是 否有需改善之处。

否有需改善之处            NANJING AUDIT UNIVERSITY    本章习题：本章习题：        1、、简述简述IS审计师对系统日常运营管理审计的主要内容审计师对系统日常运营管理审计的主要内容        2、、系统维护的类型主要有哪些？对系统变更审计的主要目的是什么？系统维护的类型主要有哪些？对系统变更审计的主要目的是什么？        3、、简述简述IS审计师对审计师对系统变更流程和迁移程序审计的主要工作内容系统变更流程和迁移程序审计的主要工作内容 。