林 杰（博士生導(dǎo)師），黃 妍

基于生命周期法的信息系統(tǒng)開(kāi)發(fā)過(guò)程管理審計(jì)

林 杰（博士生導(dǎo)師），黃 妍

采用生命周期法進(jìn)行信息系統(tǒng)開(kāi)發(fā)在降低開(kāi)發(fā)過(guò)程復(fù)雜性的同時(shí)，由于其線(xiàn)性特點(diǎn)使得風(fēng)險(xiǎn)影響程度加劇，因此對(duì)系統(tǒng)開(kāi)發(fā)過(guò)程管理提出了挑戰(zhàn)。為了及時(shí)覺(jué)察開(kāi)發(fā)過(guò)程中的潛在問(wèn)題，規(guī)范開(kāi)發(fā)過(guò)程管理流程，在對(duì)生命周期各個(gè)階段的具體內(nèi)容和特點(diǎn)進(jìn)行深入研究的基礎(chǔ)上，劃分審計(jì)六階段并基于各個(gè)階段管控情況提出關(guān)鍵審計(jì)節(jié)點(diǎn)，列出主要的審計(jì)內(nèi)容，試圖在此基礎(chǔ)上指導(dǎo)信息系統(tǒng)審計(jì)師展開(kāi)全面審計(jì)，從而形成較為完整的信息系統(tǒng)開(kāi)發(fā)過(guò)程管理審計(jì)框架。

信息系統(tǒng)審計(jì)；信息系統(tǒng)開(kāi)發(fā)過(guò)程管理；生命周期法；風(fēng)險(xiǎn)審計(jì)與控制

一、引言

隨著近年來(lái)信息產(chǎn)業(yè)的快速發(fā)展，軟件項(xiàng)目規(guī)模和所涉及的領(lǐng)域不斷擴(kuò)大，相關(guān)公司對(duì)軟件開(kāi)發(fā)投入的成本也日益增加，但是往往效果不盡人意。Standish Group近4年的調(diào)查數(shù)據(jù)顯示，信息系統(tǒng)開(kāi)發(fā)項(xiàng)目失敗率在20%左右，風(fēng)險(xiǎn)項(xiàng)目的占比均超過(guò)50%。在分析和總結(jié)研究項(xiàng)目失敗的原因中發(fā)現(xiàn)，信息系統(tǒng)開(kāi)發(fā)失敗大多是疏于對(duì)開(kāi)發(fā)過(guò)程中各階段工作的合理規(guī)劃和有效監(jiān)督。因此，引入對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程管理的審計(jì)顯得尤為必要。

信息系統(tǒng)開(kāi)發(fā)過(guò)程管理審計(jì)是由獨(dú)立的審計(jì)組織開(kāi)展的，對(duì)于信息系統(tǒng)開(kāi)發(fā)過(guò)程管理中各階段各步驟的正規(guī)且值得信任的評(píng)估，屬于信息系統(tǒng)審計(jì)的一部分。20世紀(jì)60年代，信息系統(tǒng)審計(jì)的理念在美國(guó)最先提出，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)審計(jì)越來(lái)越受到重視，尤其是2001年美國(guó)安然和安達(dá)信事件，直接導(dǎo)致了2002年薩班斯—奧克斯利法案的誕生，這一法案為信息系統(tǒng)審計(jì)提供了法律依據(jù)（劉松林，2009）。多年來(lái)，發(fā)達(dá)國(guó)家已在信息系統(tǒng)審計(jì)領(lǐng)域做了大量的理論研究和實(shí)際工作。國(guó)際組織ISACA（信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）已經(jīng)制定了國(guó)際通用的信息技術(shù)審計(jì)標(biāo)準(zhǔn)——COBIT，建立了信息系統(tǒng)的控制體系。審計(jì)人員依據(jù)這個(gè)控制體系，對(duì)信息系統(tǒng)的管理、運(yùn)行和應(yīng)用情況進(jìn)行審計(jì)。

盡管COBIT已經(jīng)成為國(guó)際上對(duì)信息和信息資源進(jìn)行控制的事實(shí)標(biāo)準(zhǔn)，但COBIT忽略了系統(tǒng)分析與系統(tǒng)設(shè)計(jì)兩個(gè)關(guān)鍵階段，忽略了信息系統(tǒng)開(kāi)發(fā)與運(yùn)行過(guò)程中的一些技術(shù)管理問(wèn)題。本文在參考國(guó)內(nèi)外信息系統(tǒng)審計(jì)相關(guān)理論的基礎(chǔ)上，著重研究采用生命周期法的信息系統(tǒng)開(kāi)發(fā)過(guò)程管理的審計(jì)，結(jié)合生命周期各階段的內(nèi)容和特點(diǎn)，提出關(guān)鍵的審計(jì)要點(diǎn)，以便有效監(jiān)督系統(tǒng)開(kāi)發(fā)過(guò)程的管理和執(zhí)行情況，確認(rèn)風(fēng)險(xiǎn)項(xiàng)和問(wèn)題項(xiàng)，有針對(duì)性地指導(dǎo)開(kāi)發(fā)團(tuán)隊(duì)及時(shí)調(diào)整和改善，以提高項(xiàng)目管理能力。

二、信息系統(tǒng)開(kāi)發(fā)過(guò)程管理審計(jì)的必要性

信息技術(shù)的興起和企業(yè)對(duì)核心競(jìng)爭(zhēng)力的追求推動(dòng)了信息技術(shù)在數(shù)據(jù)處理、存儲(chǔ)和交換等方面的廣泛應(yīng)用，信息系統(tǒng)已經(jīng)滲透到社會(huì)生活的方方面面。根據(jù)Gartner的統(tǒng)計(jì)，中國(guó)近幾年在IT方面的支出保持著增長(zhǎng)趨勢(shì)，從2014年起年均復(fù)合增長(zhǎng)率為3.3%。作為IT支出一部分的企業(yè)軟件支出也在2016年保持著良好的增長(zhǎng)態(tài)勢(shì)。據(jù)統(tǒng)計(jì)，2016年中國(guó)企業(yè)管理軟件市場(chǎng)規(guī)模超過(guò)200億元，預(yù)測(cè)這一數(shù)字將逐年增長(zhǎng)。如此大規(guī)模的信息化建設(shè)，一旦缺乏審計(jì)，缺乏對(duì)項(xiàng)目管理的有效制約，將不可避免地出現(xiàn)項(xiàng)目失敗或風(fēng)險(xiǎn)爆發(fā)的問(wèn)題。

通過(guò)對(duì)風(fēng)險(xiǎn)項(xiàng)目的分析統(tǒng)計(jì)，本文總結(jié)出信息系統(tǒng)開(kāi)發(fā)失敗集中表現(xiàn)在以下幾個(gè)方面：①無(wú)法滿(mǎn)足用戶(hù)實(shí)際業(yè)務(wù)需求，導(dǎo)致在交付后實(shí)際使用較少，用戶(hù)仍依賴(lài)于之前的工作方式和工具，甚至有些系統(tǒng)因此被廢棄；②系統(tǒng)程序存在漏洞，嚴(yán)重者為系統(tǒng)數(shù)據(jù)不準(zhǔn)確、不完整，影響業(yè)務(wù)流程，輕者為用戶(hù)操作體驗(yàn)不佳，誤操作頻繁，導(dǎo)致系統(tǒng)運(yùn)維成本太高；③項(xiàng)目管理不到位，項(xiàng)目成本超過(guò)預(yù)算并嚴(yán)重拖期，開(kāi)發(fā)過(guò)程中甚至出現(xiàn)局部大面積返工重來(lái)的情況；④系統(tǒng)框架結(jié)構(gòu)及功能設(shè)計(jì)禁錮在之前的業(yè)務(wù)流程和組織結(jié)構(gòu)中，沒(méi)有對(duì)現(xiàn)行管理方法是否適應(yīng)新時(shí)代信息化管理要求進(jìn)行專(zhuān)業(yè)分析，導(dǎo)致信息系統(tǒng)的價(jià)值不能真正得到體現(xiàn)，甚至局限了組織今后的發(fā)展。

因此，在信息系統(tǒng)開(kāi)發(fā)風(fēng)險(xiǎn)客觀(guān)存在的情況下，在信息系統(tǒng)建設(shè)過(guò)程中對(duì)其進(jìn)行風(fēng)險(xiǎn)審計(jì)和控制就顯得尤為重要。信息系統(tǒng)審計(jì)師在對(duì)內(nèi)部控制實(shí)施評(píng)估和管理方面具有極強(qiáng)的業(yè)務(wù)能力和項(xiàng)目經(jīng)驗(yàn)，他們的任務(wù)就是要識(shí)別在原有信息系統(tǒng)開(kāi)發(fā)流程中的主要控制，評(píng)價(jià)這些主要控制被削弱或消失后對(duì)企業(yè)的影響，從而確保信息化建設(shè)項(xiàng)目的效益。

三、信息系統(tǒng)開(kāi)發(fā)的生命周期法

信息系統(tǒng)主要的開(kāi)發(fā)方法包括生命周期法、原型法、企業(yè)系統(tǒng)規(guī)劃方法、戰(zhàn)略數(shù)據(jù)規(guī)劃方法、信息工程方法和面向?qū)ο蠓椒ǖ?。其中生命周期法是目前研究和?yīng)用最為成熟的信息系統(tǒng)開(kāi)發(fā)方法。生命周期法從時(shí)間角度把信息系統(tǒng)的開(kāi)發(fā)過(guò)程分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行與維護(hù)共五個(gè)階段，各個(gè)階段都有各自相對(duì)獨(dú)立的目標(biāo)和任務(wù)，從而降低了系統(tǒng)開(kāi)發(fā)的復(fù)雜性。

根據(jù)生命周期的五個(gè)階段劃分，信息系統(tǒng)開(kāi)發(fā)過(guò)程管理審計(jì)在分別對(duì)這五個(gè)階段進(jìn)行審計(jì)的基礎(chǔ)上展開(kāi)，包括系統(tǒng)規(guī)劃階段審計(jì)、系統(tǒng)分析階段審計(jì)、系統(tǒng)設(shè)計(jì)階段審計(jì)、系統(tǒng)測(cè)試階段審計(jì)和系統(tǒng)運(yùn)行與維護(hù)階段審計(jì)，同時(shí)增加了審計(jì)活動(dòng)特有的，其系統(tǒng)開(kāi)發(fā)團(tuán)隊(duì)對(duì)審計(jì)結(jié)果處理情況的后續(xù)監(jiān)督階段審計(jì)。上述共計(jì)六個(gè)階段的審計(jì)，涵蓋信息系統(tǒng)開(kāi)發(fā)的全過(guò)程，每個(gè)階段的審計(jì)都基于該階段目前的進(jìn)展情況，同時(shí)審計(jì)的結(jié)果將被考慮到下一個(gè)階段的計(jì)劃安排中，即將每個(gè)階段的審計(jì)結(jié)論及時(shí)反饋給項(xiàng)目組，給予項(xiàng)目組改善和修正的指導(dǎo)，必要時(shí)對(duì)下一個(gè)階段的計(jì)劃安排做出適當(dāng)調(diào)整，這樣在審計(jì)人員與項(xiàng)目組成員的高度配合和良好合作的基礎(chǔ)上，就可以形成良性循環(huán)，將風(fēng)險(xiǎn)項(xiàng)在相應(yīng)階段消化掉。

這六個(gè)階段審計(jì)著重于評(píng)估開(kāi)發(fā)團(tuán)隊(duì)的項(xiàng)目管理能力，包括用戶(hù)的參與度以及用戶(hù)需求滿(mǎn)足情況、預(yù)算和項(xiàng)目進(jìn)度跟蹤機(jī)制是否存在且有效、系統(tǒng)測(cè)試是否涵蓋所有的系統(tǒng)需求、項(xiàng)目相關(guān)文檔是否有跟蹤修正流程、是否存在有效的用戶(hù)培訓(xùn)等。從而找出開(kāi)發(fā)過(guò)程中制度和流程控制方面的不合規(guī)之處，并監(jiān)督項(xiàng)目開(kāi)發(fā)團(tuán)隊(duì)及時(shí)做出調(diào)整，從而降低系統(tǒng)陷入重新規(guī)劃和設(shè)計(jì)甚至宣告項(xiàng)目失敗的風(fēng)險(xiǎn)。其最終形成的審計(jì)報(bào)告同時(shí)又是保證企業(yè)持續(xù)發(fā)展和組織自我學(xué)習(xí)的工具，可以有效推進(jìn)組織未來(lái)的系統(tǒng)開(kāi)發(fā)管理方式，提高其項(xiàng)目管理水平，以確保企業(yè)系統(tǒng)開(kāi)發(fā)項(xiàng)目持續(xù)成功。

四、信息系統(tǒng)開(kāi)發(fā)過(guò)程管理審計(jì)的主要內(nèi)容

1.系統(tǒng)規(guī)劃階段審計(jì)。系統(tǒng)規(guī)劃階段是整個(gè)系統(tǒng)開(kāi)發(fā)的起點(diǎn)，在這一階段，將由決策者、管理者和開(kāi)發(fā)者共同參與制定系統(tǒng)的總體規(guī)劃，以確保目標(biāo)系統(tǒng)的科學(xué)性、經(jīng)濟(jì)性和適用性。系統(tǒng)規(guī)劃階段審計(jì)應(yīng)圍繞本階段生成的信息系統(tǒng)發(fā)展戰(zhàn)略、總體結(jié)構(gòu)方案、可行性分析報(bào)告、項(xiàng)目開(kāi)發(fā)計(jì)劃等文檔展開(kāi)，通過(guò)文檔生成過(guò)程以及內(nèi)容評(píng)估：①信息系統(tǒng)總體規(guī)劃是否服從于企業(yè)戰(zhàn)略；②是否從企業(yè)的長(zhǎng)遠(yuǎn)利益和需求出發(fā)；③可行性分析報(bào)告是否從技術(shù)、經(jīng)濟(jì)、組織環(huán)境等多方面系統(tǒng)完整地調(diào)研；④項(xiàng)目成員職責(zé)分配是否明確合理等。這些報(bào)告在整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程中具有全局性和方向性，同時(shí)也是后期審計(jì)的重要標(biāo)準(zhǔn)?；谝陨纤狞c(diǎn)，總結(jié)了系統(tǒng)規(guī)劃階段審計(jì)的幾個(gè)關(guān)鍵節(jié)點(diǎn)，并給出每個(gè)步驟的審計(jì)要點(diǎn)，如表1所示。

2.系統(tǒng)分析階段審計(jì)。系統(tǒng)分析階段主要包括需求分析、概念設(shè)計(jì)和邏輯設(shè)計(jì)三部分，需求分析是開(kāi)發(fā)過(guò)程中關(guān)鍵性的一步，它是在建立一個(gè)新的或改變一個(gè)現(xiàn)存的系統(tǒng)，初期描寫(xiě)新系統(tǒng)的目的、范圍、定義和功能時(shí)所要做的所有工作，包括了解用戶(hù)業(yè)務(wù)環(huán)境、系統(tǒng)需求、業(yè)務(wù)流程和數(shù)據(jù)流向，在獲取用戶(hù)需求后進(jìn)行需求開(kāi)發(fā)，并完成概念設(shè)計(jì)和邏輯設(shè)計(jì)（薛華成，2010）。這一階段的審計(jì)將圍繞這些流程中生成的文檔和圖表，以及獲取文檔圖表素材的過(guò)程展開(kāi)。

需求分析階段分為需求采集和分析兩個(gè)模塊。由于開(kāi)發(fā)系統(tǒng)規(guī)模大小不同，所需要編寫(xiě)的文檔也有所差異。一般來(lái)說(shuō)，通過(guò)調(diào)研，將采集到的用戶(hù)需求編寫(xiě)成用戶(hù)需求說(shuō)明書(shū)，待用戶(hù)簽字確認(rèn)后，進(jìn)入需求分析模塊。審計(jì)重點(diǎn)在于是否基于用戶(hù)提出的業(yè)務(wù)需求展開(kāi)細(xì)節(jié)，并就細(xì)節(jié)與用戶(hù)溝通，達(dá)成共識(shí)；是否用專(zhuān)業(yè)的邏輯思維將業(yè)務(wù)需求抽象到系統(tǒng)和組織中；系統(tǒng)是否擺脫了對(duì)組織機(jī)構(gòu)的依從性，當(dāng)信息系統(tǒng)拘泥于以前的組織結(jié)構(gòu)和流程時(shí)，往往導(dǎo)致系統(tǒng)不能發(fā)揮其真正的作用，這樣帶給企業(yè)的價(jià)值有限，甚至禁錮了企業(yè)管理方式和組織流程優(yōu)化。在需求分析報(bào)告編寫(xiě)好后，需要編寫(xiě)需求規(guī)格說(shuō)明書(shū)，它是站在開(kāi)發(fā)人員的角度，指導(dǎo)開(kāi)發(fā)人員完成設(shè)計(jì)與開(kāi)發(fā)的技術(shù)性文檔。

表1 系統(tǒng)規(guī)劃階段審計(jì)節(jié)點(diǎn)及其要點(diǎn)

在充分的需求分析后進(jìn)入概念設(shè)計(jì)，繪制E-R圖來(lái)描述現(xiàn)實(shí)世界的概念模型，邏輯設(shè)計(jì)階段生成業(yè)務(wù)流程圖和數(shù)據(jù)流程圖，其中業(yè)務(wù)流程圖描述系統(tǒng)內(nèi)各單位、人員之間的業(yè)務(wù)關(guān)系、作業(yè)順序，而數(shù)據(jù)流程圖反映出信息在系統(tǒng)中流動(dòng)、處理和存儲(chǔ)的情況。這三張圖是后續(xù)詳細(xì)設(shè)計(jì)和編碼工作的源頭，其準(zhǔn)確性對(duì)系統(tǒng)成敗有很大影響，審計(jì)過(guò)程中應(yīng)評(píng)估是否就圖表內(nèi)容和邏輯與用戶(hù)進(jìn)行溝通，圖表是否建立在充分的需求分析基礎(chǔ)之上，是否完整表達(dá)了業(yè)務(wù)流程和數(shù)據(jù)流向等。這一階段的關(guān)鍵審計(jì)節(jié)點(diǎn)及其要點(diǎn)如表2所示。

表2 系統(tǒng)分析階段審計(jì)節(jié)點(diǎn)及其要點(diǎn)

3.系統(tǒng)設(shè)計(jì)階段審計(jì)。系統(tǒng)設(shè)計(jì)是在系統(tǒng)分析階段所確立的系統(tǒng)邏輯模型、功能要求的基礎(chǔ)上，建立新系統(tǒng)的物理模型，這一階段分為總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)兩個(gè)步驟?？傮w設(shè)計(jì)解決軟件系統(tǒng)的模塊劃分和模塊的層次結(jié)構(gòu)設(shè)計(jì)；詳細(xì)設(shè)計(jì)是系統(tǒng)功能實(shí)現(xiàn)的基礎(chǔ)，它解決每個(gè)模塊的控制流程、內(nèi)部算法、數(shù)據(jù)庫(kù)設(shè)計(jì)和代碼設(shè)計(jì)等具體細(xì)節(jié)的設(shè)計(jì)。

系統(tǒng)設(shè)計(jì)工作的好壞，將最終決定系統(tǒng)的質(zhì)量，因此，這部分審計(jì)工作要細(xì)致到位，重點(diǎn)包括：用戶(hù)需求是否都包含在內(nèi)，這是評(píng)估系統(tǒng)最基本的要求，同時(shí)在設(shè)計(jì)階段應(yīng)保持與用戶(hù)的不斷交流與溝通，因?yàn)殡S著不斷地深入了解系統(tǒng)，此階段用戶(hù)需求仍然可能有變更；代碼設(shè)計(jì)要符合規(guī)范，包括代碼編寫(xiě)規(guī)范、命名規(guī)范和注釋規(guī)范，要注重效率性、可復(fù)用性；實(shí)現(xiàn)的系統(tǒng)應(yīng)該便于理解、修改和擴(kuò)充，隨著用戶(hù)企業(yè)的不斷發(fā)展，對(duì)系統(tǒng)的業(yè)務(wù)很可能有進(jìn)一步的變更，因此，模塊、代碼及數(shù)據(jù)庫(kù)等設(shè)計(jì)要便于日后的修改；權(quán)限控制是否準(zhǔn)確到位，組織中不同層次不同職能的人員的分工在系統(tǒng)中是通過(guò)權(quán)限分配得以實(shí)現(xiàn)的，因此這部分將影響企業(yè)業(yè)務(wù)活動(dòng)的開(kāi)展。此階段的關(guān)鍵審計(jì)節(jié)點(diǎn)及其要點(diǎn)如表3所示。

4.系統(tǒng)測(cè)試階段審計(jì)。系統(tǒng)測(cè)試是針對(duì)整個(gè)產(chǎn)品系統(tǒng)進(jìn)行的測(cè)試，目的是驗(yàn)證系統(tǒng)是否滿(mǎn)足需求規(guī)格的定義。系統(tǒng)測(cè)試階段的審計(jì)圍繞測(cè)試方案與計(jì)劃、測(cè)試用例、測(cè)試說(shuō)明書(shū)和測(cè)試報(bào)告展開(kāi)，測(cè)試負(fù)責(zé)人根據(jù)需求分析報(bào)告、總體設(shè)計(jì)說(shuō)明書(shū)和詳細(xì)設(shè)計(jì)說(shuō)明書(shū)編寫(xiě)測(cè)試方案和計(jì)劃，審計(jì)重點(diǎn)在于方案的合規(guī)性、測(cè)試內(nèi)容是否完整、接受標(biāo)準(zhǔn)是否清晰。測(cè)試用例是將測(cè)試具體量化的方法之一，同時(shí)也是設(shè)計(jì)和制定測(cè)試過(guò)程的基礎(chǔ)，因此是審計(jì)的重要參考標(biāo)準(zhǔn)。測(cè)試說(shuō)明書(shū)詳細(xì)記錄了測(cè)試過(guò)程、預(yù)期結(jié)果和實(shí)際結(jié)果，測(cè)試報(bào)告綜合了整個(gè)測(cè)試項(xiàng)目的情況，對(duì)這兩份文檔的審計(jì)應(yīng)該更注重真實(shí)性，并且審核是否具有有效的測(cè)試跟蹤機(jī)制來(lái)確保測(cè)試中發(fā)現(xiàn)的問(wèn)題得到及時(shí)更正。此階段的關(guān)鍵審計(jì)節(jié)點(diǎn)及其要點(diǎn)如表4所示。

5.系統(tǒng)運(yùn)行與維護(hù)階段審計(jì)。系統(tǒng)運(yùn)行維護(hù)階段包括三個(gè)方面：①系統(tǒng)上線(xiàn)過(guò)渡階段，包括對(duì)用戶(hù)進(jìn)行培訓(xùn)，審計(jì)主要圍繞上線(xiàn)計(jì)劃和實(shí)施、培訓(xùn)計(jì)劃和實(shí)施進(jìn)行；②系統(tǒng)的日常維護(hù)，審核相關(guān)制度規(guī)范以及實(shí)際落實(shí)情況；③系統(tǒng)功能改進(jìn)和擴(kuò)充，審計(jì)重點(diǎn)在于針對(duì)功能擴(kuò)充是否有明確的流程管理。針對(duì)這三方面，關(guān)鍵的審計(jì)節(jié)點(diǎn)及其要點(diǎn)如表5所示。

6.后續(xù)監(jiān)督階段審計(jì)。后續(xù)監(jiān)督階段審計(jì)是指在審計(jì)結(jié)果反饋給項(xiàng)目開(kāi)發(fā)團(tuán)隊(duì)后，該團(tuán)隊(duì)是否重視審計(jì)結(jié)果，并對(duì)審計(jì)報(bào)告中的問(wèn)題進(jìn)行及時(shí)處理，是否建立有效的學(xué)習(xí)機(jī)制，針對(duì)本次審計(jì)結(jié)果進(jìn)行總結(jié)，只有當(dāng)被審計(jì)團(tuán)隊(duì)正視審計(jì)結(jié)果并從中反省學(xué)習(xí)，才能達(dá)到審計(jì)的真正目的，才能盡量避免本次系統(tǒng)建設(shè)過(guò)程中出現(xiàn)的問(wèn)題再次出現(xiàn)，從而持續(xù)提高系統(tǒng)開(kāi)發(fā)成功率。這一階段的關(guān)鍵審計(jì)節(jié)點(diǎn)及其要點(diǎn)如表6所示。

表3 系統(tǒng)設(shè)計(jì)階段審計(jì)節(jié)點(diǎn)及其要點(diǎn)

五、結(jié)論

信息系統(tǒng)開(kāi)發(fā)過(guò)程的復(fù)雜性使得過(guò)程管理的審計(jì)內(nèi)容和指標(biāo)也具有較高的復(fù)雜性，因此只有分清生命周期各個(gè)階段審計(jì)的主要和次要部分，抓住重點(diǎn)，明確審計(jì)目標(biāo)，展開(kāi)全面審計(jì)，才能充分發(fā)揮審計(jì)的作用。本文在生命周期各個(gè)階段的要求和特點(diǎn)的基礎(chǔ)上，針對(duì)系統(tǒng)開(kāi)發(fā)過(guò)程管理的系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)測(cè)試和系統(tǒng)運(yùn)行與維護(hù)五階段分別指出具體的審計(jì)要點(diǎn)，同時(shí)指出應(yīng)對(duì)審計(jì)結(jié)果反饋進(jìn)行跟蹤調(diào)查的具體內(nèi)容。對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程管理全程審計(jì)，可以及時(shí)察覺(jué)系統(tǒng)開(kāi)發(fā)過(guò)程中的不足和潛在問(wèn)題，使其得到解決以保證系統(tǒng)滿(mǎn)足用戶(hù)需求，業(yè)務(wù)流程優(yōu)化符合組織發(fā)展要求并給項(xiàng)目調(diào)整和改善以時(shí)間緊迫性和資源上的指導(dǎo)等。此外，審計(jì)過(guò)程中，審計(jì)人員與開(kāi)發(fā)團(tuán)隊(duì)的關(guān)系也十分重要，只有建立在雙方充分溝通和交流的基礎(chǔ)上，系統(tǒng)開(kāi)發(fā)和審計(jì)才可以達(dá)到效果、效率和經(jīng)濟(jì)性的有效統(tǒng)一。

表4 系統(tǒng)測(cè)試階段審計(jì)節(jié)點(diǎn)及其要點(diǎn)

表5 系統(tǒng)運(yùn)行與維護(hù)階段審計(jì)節(jié)點(diǎn)及其要點(diǎn)

表6 后續(xù)監(jiān)督階段審計(jì)節(jié)點(diǎn)及其要點(diǎn)

劉松林．軟件研發(fā)項(xiàng)目管理的審計(jì)研究［D］．北京：北京郵電大學(xué)，2009．

吳炎太，林斌，孫燁．基于生命周期的信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理研究［J］．審計(jì)研究，2009（6）．

Chris Davis， Mike Schiller， Kevin Wheeler.IT Auditing Using Controls to Protect Information Assets［M］．New York：McGraw -Hill Osborne Media，2006．

薛華成．管理信息系統(tǒng)［M］．北京：清華大學(xué)出版社，2010．

胡克瑾．IT審計(jì)［M］．北京：電子工業(yè)出版社，2004．

F239.4；TP391

A

1004-0994（2017）35-0097-5

國(guó)家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：71672128，71071114）；國(guó)家科技支撐計(jì)劃課題（項(xiàng)目編號(hào)：2011BAC10B08）；教育部社科支撐項(xiàng)目（項(xiàng)目編號(hào)：11YJC630216）；上海市重點(diǎn)學(xué)科建設(shè)項(xiàng)目（項(xiàng)目編號(hào)：B310）

作者單位：同濟(jì)大學(xué)經(jīng)濟(jì)與管理學(xué)院，上海200092