IT服务外包工作的标准流程？

计划阶段是整个审计过程的起点。其主要工作包括：

（1）了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。

了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。

（2）初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、 *** 作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。

通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。

（3）识别重要性

为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。

（4）编制审计计划

经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。

总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。

具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。 做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：

（1）对信息系统计划开发阶段的审计

对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。

信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。

系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:

分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。

设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。

编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。

测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。

（2）对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确 *** 作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。

处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。

数据库审计是保障数据库正确行使了其职能，如对数据 *** 作的有效性和发生异常 *** 作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。

输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有： *** 作顺序是否标准化，作业进度是否有优先级， *** 作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。

维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:

整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。

复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。

评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。

软件设计思路和方法的一般过程，包括设计软件的功能和实现的算法和方法、软件的总体结构设计和模块设计、编程和调试、程序联调和测试以及编写、提交程序。

第一步：需求调研分析

第二步：概要设计

第三步：详细设计

第四步：编码

第五步：测试

第六步：软件交付准备

第七步：验收

当前，软件的趋势是朝着更大更复杂的系统发展。这部分地是因为计算机的处理能力每年都在增大，导致用户对它的期望更多。同时，这种趋势也受到为交流各种信息（从纯文本到格式化文本到图像到图表再到多媒体）而不断扩大互联网的使用的影响。在产品版本的不断升级过程中，我们了解到产品是如何被改进的，因此我们对越来越复杂的软件的胃口也就越来越大。我们需要更符合我们的需要的软件，但是，这种需要反过来又使得软件越来越复杂。总之，我们需要更多。

希望软件运行得越来越快捷。推向市场的时间是另一个重要的推动因素。

然而，要达到这个目的是困难的。我们对强大、复杂软件的需要与软件开发的当前状况并不一致。今天，大多数人还在使用25年前使用的旧方法来开发软件。这就是症结所在。除非我们革新我们的方法，否则，我们无法达到开发当前所需的复杂软件的目标。

我们可以把这个软件问题归结为软件开发人员面临的将一个大型软件项目的众多线索综合在一起的困难。软件开发界需要一种受控的工作方式。它需要一个过程来集成软件开发的许多方面。它需要一种通用方法，该方法能：

提供应如何对整个开发团队的开发活动进行组织的指导；

综合指导单个开发人员和开发团队；

规定开发成果是什么；

提供监控和衡量一个项目中的产品和活动的标准。

一个定义良好且管理良好的过程是区别成效卓著的项目和不成功项目之间的重要指标。昌平IT培训发现“统一软件开发过程”正是我们在软件开发上面临的难题的解决之道。

企业IT外包服务流程分为两个阶段：

一． 第一阶段为“设备调研”，在这个阶段，IT工程师会对公司的网络设备、计算机设备、外围设备、软件使用情况进行详细的调研和记录。 这个过程有助于工程师未来上门排除故障时缩短所需要的服务时间，具体工作如下：

11 建立全面设备档案，包括设备编号、购买时间、保修期限、使用人、详细硬件配置和软件配置；

12 根据设备硬件配置，建立每台设备的驱动程序库；

13 建立网络维护文档，包括网络结构图、网络设备（交换机、路由器和服务器）的具体配置调试说明等；

14 建立软件使用手册，包括 *** 作系统、常用软件的安装流程，特殊软件的建立过程和维护说明等；

15 建立标签体系，与设备编号一一对应，避免由于使用人的变更造成管理上的混乱；

16 登记特殊设备，并建立相关FAQ文档；

17 建立网络管理系统，通过指定网络管理软件，建立网络运行状况的直观图象显示；

18根据计算机具体硬件配置建立 *** 作系统备份库，若为兼容机并具体硬件型号较杂，应建立起相同配置机型较多的系统备份库，以及一些重要机器的系统备份库。（如财务，人事，主管，经理等）；

19统计出公司软件需求列表及版权情况，建立起公司所有常用软件的备份库并实施到局域网中方便安装，更新。

二．第二阶段为“方案制定”。这个阶段很容易被广大公司所忽视。很多企业搭建了基础网络后，虽然已经可以使用最基本的网络应用服务，例如：文件共享、宽带访问共享、打印机共享等，但是由于不重视网络安全、数据备份、权限管理、良好的 *** 作规范，引起IT设备故障及网络故障频频发生，严重影响到工作效率。问题产生的原因主要是网络管理人员不专业，对网络架构缺乏大局观。所以频繁陷入解决故障的事后处理中，不能做到对故障发生的事先防范。在这个阶段，外包公司会根据企业的业务需要和设备状况量身定。

随着互联网的不断发展，我们在进行服务器开发组织架构上通常会采用分布式架构方法来进行设计。今天，我们就一起来了解一下，微服务架构都有哪些特点。

InfoQ:你近的QConSanFrancisco提出的一个关键前提是，组织如果要从单体大型应用转变为基于微服务的体系结构就得要打破它们的庞大的整体流程。你能再进一步解释一下吗

RafaelSchloming:对于转变为微服务本身，人们实际上并不怎么关心，他们真正关心的是提升特性的完成速度。为了提升特征的完成速度就必需做出改变，而微服务只是这种改变所产生的一个附属物罢了。

对于组织来说非常常见的一种情况是，当他们发展到一个临界点，增加再多的人也不会提升特性的完成速度。当这种情况发生时，通常是因为组织用于产出特性的结构和/或过程成为了瓶颈，而不是人员的数量。

当一个组织遇到这种障碍，开始调查为什么这些特性似乎花费的时间远远超出了合理的资源，答案往往是，每个特性都需要太多不同团队的协调。

这会发生在两个不同的维度上。你的人员可以按职能划分为团队：产品与开发、质保与运维。你的人员也可以按组件划分:例如，前端与领域模型、搜索索引和消息通知。当单个特性需要跨多个不同的团队进行协调时，交付特性的控制因素是不同团队之间的沟通速度和效率。像这样组织结构的组织实际上是被一个庞大的整体过程所阻碍的，这个过程要求每个特性(在某种程度上)要有许多许多的组织来理解它。

InfoQ:那么如何解决这个问题呢

Schloming:为了把很多人用在一个问题上，你需要把他们分成团队，因为人们不能在非常大的群体中有效地沟通。你这么做的时候，其实就是在做出一系列的权衡。你所营造的是每支团队内部具有高保真的沟通和协调，而团队之间是低保真和相对较差的协调。

为改进一个组织内的特性完成速度，您可以将你的人组织成独立的、跨职能的、自给自足的特性团队，可以从头到尾自主掌控一个完整的特性。这将以两种方式提高特性的完成速度。先，由于不同的职能(产品、开发、质保和运维)都圈定于一个特性内，你就可以自定义该特性区域的流程了，例如，IT培训分享对于一个没有人正在使用的新特性，你的流程就不需要优先考虑其稳定性了。其次，由于该特性所需的所有组件都由同一个团队拥有，因此，要想赶紧推出一个特性，就可以进行更快速有效的沟通和协调。

以上就是关于IT审计的审计流程全部的内容，包括:IT审计的审计流程、昌平IT培训分享软件开发流程、IT服务外包工作的标准流程等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！