在数字化时代,如果我们不能适应数字化转型,我们将失去审计资格。这绝非危言耸听,而是时代赋予审计人员的严峻考题。当信息系统成为组织运营的核心,审计人员若仍停留在传统模式,便会在数字化浪潮中迷失方向。
这篇文章正是为迷茫中的审计人量身打造的“解题秘籍”。它从信息系统开发的全流程出发,直击自主开发与外委开发中的痛点,将复杂的技术问题转化为清晰的审计要点。这不仅是一篇文章,更是一份在信息系统开发建设审计中的“作战地图”,让普通审计化身审计尖兵,更好守护好组织的数字化资产。
习近平总书记曾指出“当今时代,数字技术作为世界科技革命和产业变革的先导力量,日益融入经济社会发展各领域全过程,深刻改变着生产方式、生活方式和社会治理方式”。基于总书记的指示和各单位的实际需要,信息系统建设迅猛发展,有效促进了组织生产经营管理的提升。与此同时,信息系统建设和应用过程中存在的一些问题和潜在风险也不容忽视。
由于信息系统设计复杂、技术特殊、难以量化,对多数审计人员而言是一大难题,使得审计人员望而生畏、不敢触碰。但由于信息系统建设投入大,投入使用后又关乎组织的生产经营管理,基于全覆盖的要求,又必须进行审计。
为了帮助大家更好地开展信息系统开发审计,现推出《信息系统建设是为了追求时髦吗-基于3205号内部审计实务指南信息系统审计》系列短文,今天我们先谈一谈《信息系统开发建设审计》。
一、 信息系统开发是什么?
01
信息系统开发是什么?
信息系统系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。
02
开发方式有哪些?
信息系统开发通常包括自主开发、外委开发或者二者兼有的开发方式。组织在进行信息系统开发时,应当根据自身技术力量、资金状况、发展目标等实际情况,选择适合自身的开发方式和合作伙伴。
二、信息系统开发为什么要审计?
01
存在的问题和面临的风险
组织自主开发方式下的应用系统主要存在以下常见问题及风险:
(1)组织保障不到位。未成立专门的开发建设项目领导组织,可能导致信息系统开发建设责任制未落实的风险。
(2)开发条件欠缺。信息系统开发工作缺乏必要支持。包括专业技术人员缺乏、没有必要的资金支持,导致开发失败的风险。
(3)部门协同不顺畅。信息系统开发过程没有业务部门人员参与,未定期与业务部门共同审核信息系统的开发建设情况,未及时发现系统不能满足业务的需要,可能导致与业务需求不相符的风险。
(4)缺少制度约束。组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系,不能有效控制开发质量;开发过程中未进行必要的安全控制,未对源代码进行有效管理和严格审查可能导致的风险。
(5)开发环境不合规。开发环境、测试环境和生产环境未分离,网络未有效隔离,设备未独立于生产系统,开发人员直接接触生产系统,直接使用未经批准并脱敏的生产数据,导致泄密或造成生产系统受损的风险。
(6)开发需求不清晰。项目需求说明书阐述业务范围及内容不清晰,未能结合需求制定出最优化的技术设计方案。在开发过程中未根据用户提出的业务需求,制定信息系统变更程序相关制度或变更程序不合理,导致与承建方或第三方产生合同法律纠纷或费用超支、工期延误的风险。
(7)开发文档和知识交付不及时。未加强信息系统项目开发设计、源代码、技术使用、运行维护说明书、用户手册等文档管理和文档版本控制导致的开发效率低、不经济的风险。
(8)数据继承和迁移存在隐患。组织在对信息系统升级变更时,未对历史数据的继承和迁移给予足够的重视。未对数据结构进行合理规划,未对数据进行兼容性分析,导致因兼容性不够而造成的历史数据无法使用和继承的风险。
除常见风险外,外委开发项目还应关注下列风险与问题:
(1)信息管理部门或业务部门对外委项目开发未进行有效的管理与控制,导致信息系统开发计划与实际运行不符,信息系统项目无法按时完工的风险。
(2)组织未及时与外部受托单位沟通项目开发阶段的计划执行情况,导致实施内容与建设目标偏离,造成开发工作无法满足组织需求的开发风险。
(3)组织未对外包开发的技术人员加强管理,离职的开发人员未签订保密协议而造成泄密的风险。未对外包开发的开发方进行充分调研分析,不能保证系统可靠性的风险。
02
明确审计目标
通过审计,促进所在组织提高信息系统开发的可控性、安全性、可靠性和经济性,揭示信息系统开发环节存在的风险及问题,提出完善信息系统开发控制的审计意见和建议,实现组织信息化建设的目标。
三、信息系统审什么、怎么审?
01
审计内容
开发组织机构设置、资源配置情况;开发过程中与业务部门的沟通协同情况;系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移;产品维护等内容的质量、安全管理情况。
02
审计的主要方法和程序
自主开发项目的主要审计方法和程序:
(1)调阅项目相关的制度、流程、指引和开发建设文档,查看是否有专门的项目组织机构,是否分配相应职责。
(2)查看项目开发进度报告是否包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况,检查组织是否建立了质量检测和风险评估机制等。
(3)检查组织的信息系统需求和技术架构评估文档,查看系统需求与业务目标是否保持一致;检查需求详细说明书,项目进度及详细的软件开发计划。
(4)询问系统开发小组负责人,了解组织是否建立了系统开发质量控制体系以及质量控制检查和监督记录。
(5)检查系统开发环境、测试环境和运行环境是否分离,网络是否有效隔离,设备是否独立于生产系统,开发人员是否不得接触生产系统,开发过程中是否使用了生产数据,使用的生产数据是否得到管理层的批准并经过脱敏或相关限制。
(6)检查系统开发过程中,是否进行了安全控制,是否对源代码进行了有效管理和严格检查,系统所有入口是否都经过安全规则的控制,并在系统开发文档中全部注明。
(7)检查是否制定了组织信息系统开发文档管理规范、制度,查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册,风险评估报告等项目文档管理是否符合规范,是否进行了文档的版本控制;检查组织是否有系统开发过程的检查记录,是否对系统完整性、恶意代码和后门程序进行了防范。
除常用检查程序外,外委开发项目还应采取以下审计方法和程序:
(1)检查外委项目的系统开发中组织信息管理部门与外部受托方的协调与沟通的记录,检查组织根据信息系统要求及时调整开发进度与考核的书面资料,是否存在系统开发偏离开发目标的问题,是否存在项目开发计划与进度不匹配的问题。
(2)检查外委项目关键技术人员的管理制度及保密协议,是否存在开发人员频繁调整影响开发进度,是否存在离职未签订保密协议造成泄密的情况。
(3)获取项目组关于业务需求变更的处理资料,检查是否根据项目需求及时变更项目开发程序,且该变更是否经过适当的授权与审批。
虽然多数审计人员并非IT专家,但面对信息系统开发中的痛点和难点,《中国内部审计3205号实务指南一信息系统审计》已提供了宝贵的指导。通过学习和应用该指南,不仅能更好地理解和处理信息系统审计,还能探索云安全、数据安全等新兴领域,共同推动组织信息化建设的进步。让我们一起深入学习和探索,迎接新时代的审计挑战吧!
