摘要:软件外包成为信息系统及集成开发的主要手段之一, 其过程产生的风险已进入IT审计实践与研究的视野, 本文对IT审计及软件外包开展IT审计进行了详细的论述, 分别探讨了实施模式、内容以及意义, 旨在提高软件开发的质量, 为外包软件的质量提供一个新的思路。
关键词:IT审计,软件外包
1.基本概念和背景
外包指组织动态地配置自身和其他组织的功能和服务, 从而使成本下降, 提高运行效率, 使自身的作用充分发挥出来, 提高了核心竞争力, 可以针对环境的变化进行改变的管理模式。随着全球化的深入, 外包的管理模式在越来越多的领域开始应用。但是, 应用最为广泛的还是软件外包。最早由印度发展而来的软件外包, 指的就是将软件的生产到销售的其中一个环节, 由第三方担任。软件外包模式, 能够有效减少软件开发的时间, 减少开发成本, 是目前非常有效的一种手段, 在很多软件公司中都有应用。软件外包的优势比较多, 但是很多组织应用外包的方式, 不是单纯的减少开发成本, 最终夺得目的是为了消除人力资源的制约, 不需要招聘新的员工就可以开展大型项目。外包根据实际的内容, 朱亚奥分为三种类型, 分别是:软件产品开发外包、软件专业服务外包、IT关联服务外包。软件与普通的产品还有一定的差异, 属于一种逻辑产品, 特点就是高度弹性、不可测量性以及不可见性。所以, 想要有效控制软件的外包风险质量存在很大的难度, 不论属于哪一种外包方式, 软件在外包的环节中, 必然存在一定的风险。
软件外包风险原因有很多影响因素, 因为存在信息不对称大的情况, 委托人处于非常不利的位置。软件发包方与软件承包方之间的关系比较复杂, 软件承包方对发包方的具体情况不是特别了解, 对于信息无法及时掌握。而软件发包方对软件的开发过程不清晰, 导致项目存在很大的风险。为了使软件外包风险得到有效防范, 使外包项目质量得以提高, 就需要在实施软件外包的时候, 应用IT审计制度, 开展全过程的跟踪审计。基于这一情况, 本文就针对软件开发的外包形式进行研究, 对应IT审计模式和审计内容展开多角度的论述。
2.软件外包IT审计
IT审计就是信息系统审计, 也称IT监查, 是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行全方位的评估和检查, 可以审计对象提出针对性的问题活动。”在开发软件项目的时候, 应用IT审计最终的目的, 主要是为了对整个开发过程进行有效的控制。主要涵盖的内容有项目质量、项目进度以及项目成本, 如果软件在开发的过程中出现问题, 可以第一时间发现, 从而采取针对性的措施进行处理, 确保整个开发过程的高效性和透明性。
对于软件外包实施IT审计, 审计对象主要是外包软件, 包括了发包、开发以及后期的运行维护整个流程。为了确保外包软件的质量, 就需要应用IT审计制度, 从软件发包开始, 一直到设计后期的维护, 对整个外包软件流程进行全过程监管。软件外包IT审计内容主要涵盖了以下几方面。
2.1发包方审计。
对发包方的项目管理机制是否完善进行审计, 社差技术人员及技术实力, 是否具有良好的品牌度和信誉度。并且, 对于发包软件的产品需求要进行全方面的分析, 详细进行记录。
2.2 承包方审计。
主要是针对承包方是否具有发包方要求的设计技术及人才开展审计工作, 检查软件开发的管理是否满足实际的使用要求。并且, 在业界的信誉是否良好。
2.3 发包流程审计。
该过程主要是检查审计的合作计划和过程, 是否完整、详细, 签订的合作协议是否规范。还有就是在开展软件开发的过程中, 发包方是否根据要求进行跟踪, 陈述承包方的工作流程、条件、条款。承包商是否参与技术交流和评审, 根据规范要求是否选择正式评审里程碑, 对软件的完成结果进行评价。
2.4 管理、规划与组织审计。
主要对软件的管理、计划与组织策略、程序、标准以及政策进行审计。采用的标准是以软件计划为准, 对软件开发的过程进行跟踪, 主要涵盖了软件开发设计、规划以及整个实施过程。比照CMM (CapabilityMaturityModel) 和ISO9000标准, 及时更正出现的一些问题, 尽可能降低软件开发中出现的问题。审计发包方对文档化的规划需要进行验收, 对承包商的能力进行评价。
2.5 操作实务审计。
主要就是针对审计评价承包方, 在实施和管理操作基础设施和技术上的效率及有效性, 对软件目标的顺利实现给予充分支持。
2.6 资产保护审计。
主要就是评价审计信息技术基础、环境以及逻辑的安全性, 保证发包方的信息资产安全得到保障, 避免信息资产被恶意损坏、修改及上使用, 从而造成巨大的损失。
2.7 灾难恢复。
就是在审计出现灾害的时候, 可以确保发包方的业务顺利开展下去, 并简历里完善的流程评价。
2.8 软件实施与维护审计。
该过程主要是开展审计的方式, 维护和实施应用软件的流程, 对整个处理流程进行评估, 保证组织的业务目标有完善的风险管理。
现阶段, 对于IT项目的监控, 最为常见的方式就是项目管理。无论是项目管理还是IT审计, 都是由第三方监管软件的质量。但是, IT项目管理的目标是工程项目, 只是针对软件开发环节, 也就是针对质量、进度以及成本。而完成项目之后项目管理就彻底结束, 在整个软件中占据一多半的生命周期, 却没有实施维护监管工作。从实际运行上就可以发现, 在开发软件的时候测试工作无法全部测试出来软件开发过程中存在的漏洞, 而这些漏洞必然会对软件的安全运行造成非常大的影响。外包的软件因为承包方或是发包方的因素, 软件中的漏洞可能比较多, 如果没有全程监控软件的运行情况, 或是没有足够重视软件后期的维护, 必然会加大软件外包的风险。而在开展软件外包的时候应用IT审计工作, 不但可以全程跟踪软件的整个开发环节, 而且还可以实时监控软件的运行维护环境, 从根本上确保了软件外包的质量, 尽可能降低了软件风险。
印度的软件组织在国际上占据非常重要的地位, 为了对一些发达国家的软件外包业务承接过来, 花费了海量的资源, 对于ISO9000认证和CMM认证非常重要。目前, 我国的软件公司虽然规模大部分比较小, 而且资金状况堪忧, 对于CMM等认证费用物理承担。但是, 软件外包这一巨大的利润也吸引了很多人的目光, 为了得到外包项目, 就可以在对软件项目承包的使时候应用IT审计制度。在开展IT审计的时候, 充分利用CMM模型思想, 通过专业的IT审计人员对外包项目进行规范, 确保其开发、计划等整个实施的质量和进度, 全程蒋后续的运行维护。关于软件外包管理方面的问题, 已经在CMM第二级和CMM2中的KPA上有非常明确的规定, 提出对软件开发子合同和业务进行有效组织。CMM模型对软件子合同管理目标进行了明确的规定, 提出在落实的时候必须要达到一定的能力, 并对合同管理活动进行了明确的定义。但是, CMM模型当中只是提出了要达到何种目标、如何去做, 但是没有具体的指导。基于这一情况, 我们在开展软件外包的时候应用IT审计活动时, 可以将CMM模型的实践经验借鉴过来, 对CMM的软件合同管理充分结合起来, 从管理着手, 将其视为能将其他软件开发过程从公司内部部分延伸到公司外部的管理理念、规范、技术。软件发包方通过应用IT审计, 就能够对整个业务分包的过程进行全程的管理和控制工作。
3.实施软件外包IT审计
3.1 获取IT审计证据。
软件外包IT审计证据主要大的获得方式为数据抽样、问卷调查以及查询文档。随着计算机技术的进步, 信息系统也变得越来越复杂, 这就导致系统输入、输出之间的关系越发薄弱, 处理数据的痕迹非常少。所以, IT审计人员一定要对系统的功能模块有充分的了解, 这样才能使数据资料的准确性得到保障, 不但单纯依靠输入输出审计结果作为结论, 需要开展全过程的跟踪审计工作。
IT审计目标主要是为了使外包软件的有效性、可靠性以及安全性得到提升。审计人员在评价审计证据的时候, 一定要对控制需求充分考虑, 也就是对收集的审计证据是否满足控制目标进行全方位的评估。如果控制点不清, 就要审计人员按照自己的实践经验进行准确的判断。实际在开展的时候, 对系统控制的适当程度, 主要是依靠控制矩阵进行衡量。其次, 审计人员一定要对重叠性控制和补偿性控制考虑到位。补偿性控制就是指某系统机制的不断健全, 可以补偿其他存在缺陷的控制机制。而重叠性控制指的是, 某系统有两种完善的控制机制, 所以, 一定要加强重视控制的效果和相关性。但是, 就算控制机制再完善, 软件也可能会发生意外, 这就需要审计人员对控制目标的相关性进行评估控制, 确保测试程序顺利执行。通常情况下, IT审计人员首先要落实补偿性审计, 在对控制缺陷进行上报。另外, IT审计人员还需要收集审计证据, 对控制目标是否能够实现进行准确的判断。实际在开展审计工作的时候, IT审计人员经常使用的是信息系统效果评价模型和工程可靠性模型。
3.2 IT审计实施模式。
首先, 咨询式监理。咨询式监理就是只对用户方的问题进行解答, 一般情况下, 问题就组织信息化过程中会出现, 就好比是方案咨询或是业务咨询。该方式最为显着的优势就是费用少, 监理方的责任较轻, 但对于用户方的要求比较高, 需要有较强的技术力量和准确把握信息化的能力。其次, 里程碑式监理。该方式就是划分信息系统为不同的阶段, 在每个阶段的尾部会设置里程碑。在到来的时候就会通知监理方进行测试。通常来说, 该方式相比较咨询式建立要花费更多的资金, 监理方也需要承担更多的责任。确定了里程碑之后需要乙方参与或是开发方的参与, 不然就有可能因为里程碑的确立差别, 出现互相扯皮的情况。
3.3 全程式监理。
该方式相比较前两种来说更加复杂, 不仅需要审查里程碑, 还需要安排专业的技术人员进行全过程的跟踪。对开发系统中产生的信息进行收集, 对开发的效果和开发质量进行实时的评估。所以说, 该方式的费用是最高的, 监理方也有全程监管的职责。一般情况下都是应用在技术力量较弱、对开发不是特别了解的用户方应用。
上述的三种方法各有各的优势, 也各有各的缺陷。相比较项目监理来说, IT审计存在很大的差异性, 项目监理完成开发之后就完成了全部工作, 但是IT审计在整个生命周期中都占据很重要的地位。所以说, 如果采用单独的咨询模式存在很大的弊端。而应用里程碑监理, 可以对软件出现的错误及时发现处理, 但由于软件产品的特殊性, 只能对一两个里程碑进行测试及审查, 对存在的漏洞无法及时发现, 进而存在很大的风险。在开始实施IT审计工作的过程中, 首先需要做的就是想审计负责人咨询相关的事物, 由负责人安排专业小组到现场进行全过程的管理、控制以及监督。如果项目在开展过程中出现问题, 第一时间提出改进意见。在开展审计工作的时候, 由小组成员进行指导, 及时汇报审计结果。
总结
综上所述, 本文主要是针对软件项目中的外包进行了多角度的论述, 并对软件部分功能模块进行分析。因为开发软件具有非常突出的特性, 比如:不容易测量结果、认为因素突出、柔性强以及风险大等等, 导致在管理软件外包的时候存在很多的难题。这就需要对分包方的开发进度及质量加强控制的力度, 通过不断的实践探索, 为软件外包的顺利实施提供重要支持。
参考文献
[1] 邓春梅.论计算机辅助审计与IT审计的差异[J].重庆大学学报, 2004 (6)
[2]胡克瑾.IT审计[M].北京:电子工业出版社, 2002
[3]中华人民共和国国家统计局.2011中国统计年鉴[M].北京:中国统计出版社, 2012 (189)
[4]杨明.电信组织信息技术审计的实践与思考[J].通信技术, 2010 (43)
[5]李丹.信息系统及控制审计的现状与发展[J].中国审计, 2003 (1)
