从软件工程的视角来进行信息系统审计的实践.docVIP

　　从软件工程的视角来进行信息系统审计的实践 　　软件工程是一门研究用工程化方法构建和维护有效、实用和高质量的软件的学科，下面是小编搜集整理的软件工程视角下的信息系统审计探究的论文范文，供大家阅读查看。 　　前言 　　在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中，对每个行业都带来了革命性的变革。为适应这种变革，企业、单位、政府机构等都投入了大量的人力、物力资源构建复杂的信息系统来提高工作效率，完善工作管理。企业构建的是MIS、ERP、CRM等系统，主要追求的是经济效益，政府等机构和组织构建的是电子政务系统(G2B、G2C)，主要追求的是社会效益。 　　对于这些信息系统是否能实现业务、管理的需求，真实的反应整个业务、管理过程，并能够适应各种需求的变化，最终实现所要追求的经济和社会效益，需要对信息系统生命周期中的某些或者全部过程进行评介，即通过信息系统审计的过程，对信息系统的真实、合法、有效进行审计和评价。 　　软件工程正是构建这些复杂信息系统的工程理论基础。因此从软件工程的视角来进行信息系统审计的实践有着必要性和必然性。 　　1软件工程和信息系统审计的介绍 　　软件工程是一门研究用工程化方法构建和维护有效、实用和高质量的软件的学科，它着重研究和应用如何以系统性的、规范化的、可定量的过程化方法去开发和维护软件，以及如何把经过时间考验而证明正确的管理技术和当前能够得到的最好的技术方法结合起来。软件工程包括需求分析、设计、实现、测试和维护等过程。 　　信息系统审计(InformationSystemsAudit，ISA)是一个过程，在此过程中审计人员搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障(国际信息系统审计协会ISACA的标准定义)。 　　信息系统审计的目标更加注重于从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价，以确定其是否能够有效可靠地达到组织的战略目标，并为改善和健全组织对信息系统的控制提出建议。 　　2软件工程对信息系统审计的助力 　　1)两者研究的内容高度重合。信息系统审计主要有6方面的内容，包括信息系统审计程序;IT治理(信息技术治理);系统和基础建设生命周期管理;IT服务的交付与支持;信息资产的保护;灾难恢复和业务连续性计划。 　　软件工程研究的内容涵盖软件的技术方法、软件工程管理，具体为在定义、开发、运行和维护三个阶段中的技术管理、工程管理各阶段的工程质量实现。软件工程研究的内容包含在信息系统审计内容中重要的后4项。 　　2)两者的目标有一致性。信息系统审计的目标是通过对信息系统的审查，评价系统的真实性、合法性、有效性，发现信息系统在使用和管理过程中存在的问题，确定是否存在漏洞和缺陷，有无非法和错误的处理和控制的薄弱环节，客观评价系统的现状，促进被审计单位进一步加强信息系统管理，完善信息系统功能，保证和完善各项流程，防范利用计算机系统进行欺诈与舞弊，并提出具有建设性的建议。 　　软件工程的目标是在给定成本、进度的前提下，开发出具有适用性、有效性、可修改性、可靠性、可理解性、可维护性、可重用性、可移植性、可追踪性、可互操作性和满足用户需求的软件产品，尽量减少软件在运行过程中的漏洞和缺陷。追求这些目标有助于提高软件产品的质量和开发效率，减少维护的困难，提高信息系统的效益。两者的目标具有一定的一致性。 　　3)软件工程定义的标准、规范为信息系统审计部分审计事项的评介提供了参考。 　　软件工程过程主要包括开发过程、动作过程、维护过程，在这些过程中都有着明确的规则、规范、要求以及需要达到的质量标准。在信息系统审计过程，通过材料和证据的收集，可以参考软件工程的标准，对审计事项发表审计评价。 　　如对信息系统的工程管理质量发表评价时可参考软件工程软件管理的理论(如ISO9000质量体系、CMM能力成熟度模型等)。 　　4)软件工程为信息系统审计提供了审计方法和手段。在信息系统审计过程中，需要收集材料和数据，进行符合性和实质性审计测试。这一过程需要有一定的审计方法和技术手段，而软件工程正好可以提供。 　　如对信息系统所运行的业务流程进行真实性、完整性的符合性测试，可通过审计技术文档，重构软件工程需求分析阶段的实体关系图、数据流图、数据字典的方法进行。如对信息系统所运行的业务流程进行真实性、完整性的实质性测试，可通过使用软件工程软件测试阶段的各种测试方法(如静态、动态测试，白盒、黑盒测试、并行模拟等)进行。 　　3审计项目实践 　　在2013年对《XX物流监管系统》进行信息系统审计过