https://www.alibaba33.com/
Programinės įrangos audito metodai

Programinės įrangos audito metodai

Autorius: Ričardas Šmaižys
Ričardas Šmaižys
2016-10-24
IT

Neretai sistemų kūrėjai ir užsakovai nesupranta, kad reikalinga nuolatinė programinės įrangos (angl. PĮ) patikra. Įmonės BlueBridge duomenimis (remiantis  Ernst & Young, Compliance without Tiers šaltiniu) tik 1% perskaito licencijavimo sutartis prieš pasirašydami jas, o net 100% jas pasirašo. Į klausimą, kas atsakingas už PĮ valdymą organizacijoje buvo atsakyta taip: 40% vykdantieji direktoriai (angl. CEO), 40% IT skyrius, 20% – atsakymas nežinau.

Programinės įrangos auditas tapo aktualus 1980-1990 metais, kai programų kūrėjai ir leidėjai (angl. publishers) pastebėjo, kad pirkėjai naudoja daugiau programinės įrangos sąsajų ar vartotojų nei numato įsigytos licencijos ar suteikti įgaliojimai. Tačiau norint apsisaugoti nuo netinkamo leidėjų elgesių ar galimo teisių pažeidimų, ar informacijos netinkamo panaudojimo komerciniai vienetai apribojo atlikti auditą savo sistemose leidėjams. Nuo šių laikų ir atsirado problemų, kurias tenka spręsti lygi šių dienų, t.y. kaip tinkamai atlikti auditą, kaip audituoti sistemą taip, kad būtų gaunami geriausi, objektyvūs ir visas šalis atitinkantys rezultatai, kuris aiškiai ir tiksliai aptartų ar aprašytų esamą programinės įrangos situaciją ar naudojimą.

Pagal  „IEEE Standard Glossary of Software Engineering Terminology“ standartą auditas apibrėžiamas kaip nepriklausomas tyrimas produkto ar produktų rinkinio siekiant patikrinti atitikimą specifikacijai, standartams, sudarytiems kontraktams (angl. contractual agreements) ir kt. kriterijus. Iš kitos pusės standartas „IEEE Standard for Software Reviews“ apibrėžia auditą, kaip vertinimo atitikį programinės įrangos ir jos procesų atitikimui reguliavimas (angl. regulations), standartams, planams, procedūroms. Šiuo atveju procesai yra neatsiejami nuo paties audito tinkamo atlikimo siekiant nustatyti, ar sistema ir jos procesai atitinka jai būtinus standartus, specifikaciją ir keliamus reikalavimus.

Programinės įrangos auditas retai kuo skiriasi nuo kitose srityse atliekamų auditų ir yra atliekamas dažniausiai dėl:

  • Pasiektų apčiuopiamų rezultatų ir būtinybės atlikti auditą audito kompanijos
  • Trečiosios ar išorinės (angl. external) šalys prašo atlikti auditą tam tikrų dalių vertinimui artėjant terminui ar jam suėjus
  • Vidinė įmonės politika siekiant suvaldyti savo procesus

Programinės įrangos auditas atliekamas:

  • Įmonės, kliento ar organizacijos užsakančios auditą
  • Audituojančios komandos
  • Audituojamos įmonės ar objekto, kuris yra audituojamas

Įmonė ar klientas suteikia leidimą atlikti auditą bei nubrėžia aiškias audito ribas (angl. scope), audituojanti šalis atlieka visapusiškai teisingą ir tinkamą auditą su visais savo turimais ar įmanomais resursais. Audito metu dažniausiai būna paskiriamas ir vienas audito lyderis, kuri neturi būti veikiamas pašalinių, kad galėtų atlikti tinkamus ir objektyvius sprendimus. Audito lyderis atsakingas už:

  • Komandos dydį
  • Audito apimtį ir jos apibrėžimą
  • Surinkti informaciją apie audituojamą įmonę
  • Darbų paskirstymą komandos nariams
  • Audituojamos įmonės informavimą apie būtinus resursus ir reikiamą surinkti informaciją
  • Užtikrinti audito veiksmus, procedūras ir procesus
  • Atlikti ir aprašyti rezultatus

Žinoma, audituojanti įmonė turi specializuotis ar bent jau turėti patirties ir turėti žinių audituojamoje srityje, komandos nariai turi pagelbėti audito vadovui tinkamai atlikti pareigas, suteikti visą informaciją bei atlikti būtiną analizę, paieškas ir pateikti išvadas.

Audituojama šalis yra atsakinga už:

  • Tinkamas įsitraukimas į audito procesą
  • Pateikti visą būtiną ir reikiamą informaciją
  • Pateikti atsakymus ir pastabas į audito išvadas
  • Įgyvendinti trūkumus aprašytus audito įmonės

Programinės įrangos auditų tipai ir rūšys

Auditas yra plati sąvoka apimanti praktiškai visas programinės įrangos dalis: standartus, kokybę, aplinkas, pačią programinę įrangą ir kt., tačiau dažniausiai patys metodai yra daugmaž vienodi nepaisant tam tikrų skirtumų audituojant skirtingą programinę įrangą. Skirtumai matomi pačiose auditavimo technikose, tiksluose bei našumo standartuose.

Šiame darbe aptariami šie auditų tipai:

  • Programinės įrangos piratavimo auditas
  • Saugumo auditas
  • Informacinių sistemų auditas
  • ISO9001:2000 PĮ auditas
  • CMMI-DEV įvertinimas
  • Automatiniai auditai

Programinės įrangos piratavimo auditas

Audito tikslas: Patikrinti ar naudojama programinė įranga įmonėje yra įsigyta legaliai

Audito procesas: PĮ įmonėje tikrinimas

Audito klientas: Įmonė, kurią reikia patikrinti nuo piratavimo

Auditorius: pati įmonė (vidiniai resursai) ar IT įmonė

Kas audituojama?  Kompiuterinės sistemos, kurios gali turėti piratinės PĮ

Audito metu siūloma:

  1. Surinkti įrodymus apie įsigytą programinę įrangą: užsakymų kvitus, sąskaitas-faktūras, čekius, originalias licencijas ar jų sertifikatus. Surinkti įrodymai surikiuojami ir sudėliojami pagal lengviausiai patikrintinus arba labiausiai įtikinamus įrodymus. Geriausias įrodymas – originali licencija.
  2. Patikrinti įdiegtą (angl. installed) programinę įrangę: sistemiškai patikrinti kiekvieną stalinį, nešiojamą kompiuterį, serverio programinę įrangą, namų kompiuterius (esant reikalui). Šie veiksmai turi būti atlikti prieš kitą žingsnį. Būtina patikrinti ne tik pačią PĮ buvimą, bet ir jų versijas.
  3. Suderinti ir sutikrinti turimą įrangą su turimomis licencijomis. Būtina patikrinti ir atsižvelgti į produktų pavadinimų, versijų numerios, licencijų tipus (pavyzdžiui, asmeninė, komercinė ar kt.), serijos numerius (angl. serial numbers). Pagrindinis šio žingsnio tikslas: atrasti programinę įrangą, kuriai trūksta pirkimo dokumentų, licencijų ar įrodymų, kad buvo įsigyta.

Auditas tampas sudėtingas tuomet, kai įmonė yra didelė, todėl patartina kaupti informaciją apie pirkimus iš anksto.

Saugumo auditas

Audito tikslas: Patikrinti sistemos veikimą iš saugumo perspektyvos

Audito procesas: Kokybės standartas; ISO/IEC 27001:2005  standartas

Audito klientas: Įmonė, kuri nori tęsti tam tikros PĮ naudojimą

Auditorius: ISO/IEC 270001:2005 sertifikuota įmonė

Kas audituojama?  Sistemos prieiga (angl. Access-controler); atitikimas; atestavimas; saugumo nuostatos; personalas; fizinė aplinka; sistemos kūrimo procesas;

Saugumo auditas aptaria konkrečius žingsnius papunkčiui, ką turi daryti įmonė, kad jos programinė įranga ir duomenys būtų saugūs. Taip pat būtina atsižvelgti į tai, kad saugumo klausimas nėra sprendžiamas vieną kartą, o yra bendras ir tęstinis procesas, kuris gali kisti ir kinta laikui bėgant. Kitaip tariant, vieną kartą išsprendus saugumo problemas negarantuojama, kad ateityje jų nepasitaikys.

Saugumo audito žingsniai:

  1. Atsarginės duomenų kopijos (angl. backups).Sistemos atstatymas esant reikalui yra venas svarbiausių dalykų PĮ gyvavimo cikle. Atliekant atsargines kopijas būtina atsižvelgti į tai, kokią informaciją reiktų saugot, kiek dažnai reiktų atlikti duomenų kopijas, kur parankiausia atlikti atsargines kopijas, ar bus įmanoma atstatyti laiku PĮ gedimo atveju, kur bus laikomi atsarginių kopijų duomenys.
  2. Antivirusinė PĮ. Rinkoje yra daugybė įvairaus pobūdžio programinės įrangos nuo virusų. Patartina atkreipt dėmesį į tai ar antivirusinė turi naujausius naujinimus (angl. upates), ar antivirusinė plačiai naudojama, t.y. gali apsaugot nuo USB raktų virusų, interneto virusų, el. pašto ir kt.
  3. Ugniasienė (angl. firewall). Turbūt bene pagrindinis dalykas ypač biuruose. Ugniasienė būtina apsaugoti savo vietinį tinklą, besijungiant prie trečiųjų šalių tinklų, pagrindinis tikslas uždrausti galimybę trečiosioms šalims prisijungti prie vidinių sistemų. Programinė ir fizinė įranga dažniausiai neatsiejama ir būna pateikiama kartu gamintojų.
  4. Leidimai naudotis sistema (angl. Access-control). Leidimų naudojimas plačiai paplitęs ir mažesniuose, ir didesnėse sistemose, kai žmonėms apribojamos teisės prie tam tikros informacijos, kuri jiems nebūtina, ar jiems nereikia jos žinotis. Galima realizuoti per skirtingus autentifikavimo būdus, profilius, leidimų ribojimą ir kt.

Paties verslo sprendimai ir logika turi būti neatsiejama nuo IT kalbant apie saugumo klausimus. Siekiant aukštų saugumo standartų patartina turėti ir atitikti Kokybės standartą ar SO 17799 (BS 7799) standartus. Pastarasis suskirstytas į dešimt esminių dalių:

  • Verslo procesų tęstinumas ir planavimas
  • Sistemos leidimai naudotis sistema
  • Sistemos tobulinimas ir priežiūra
  • Fizinė aplinka
  • Atitiktis
  • Personalinis saugumas
  • Įmonės saugumas
  • Kompiuterinės ir operacinės sistemos valdymas
  • Vertingų dalykų (angl. asset) klasifikavimas ir kontrolė
  • Saugumo nuostatos (angl. policy)

Sertifikavimo išlaikymas apibrėžia įmonės saugumo nuostatas, sistemas ir kt. būtinus aspektus. Išsilaikius sertifikatą ir turinį jį numatomi periodiniai tikrinimai, ar organizacija/įmonė ir toliau laikosi aprašytų specifikacijų bei procesų.

Informacinių sistemų auditas

Audito tikslas: Patikrinti ar naudojama programinė įranga naudoja resursus efektyviai, išlaiko duomenų integralumą, apsaugo svarbius dalykus, atitinka organizacijos keliamus tikslus

Audito procesas: Sąrašas pasitikrinimui; Įtrauktas į ITIL ir CObIT procesus.

Audito klientas: Įmonė, siekianti įvertinti savo IS

Auditorius: sertifikuoti arba tiesiog audito specialistai

Kas audituojama?  Įmonės informacinės sistemos

Informacinės sistemos neatsiejamos kiekvienos įmonės dalis, kai kurios sistemos yra ypač svarbios, todėl jų sutrikimai ar neatitikimas specifikacijai, įmonių užsibrėžtiems tikslams gali turėti didelės įtakos ar nuostolių, pavyzdžiui, bankinės sistemos, lėktuvų sistemos ir kt.

Pati audito apimtis (angl. scope) šiuo atveju turėtų būti konkrečiai apibrėžta, dokumentuota, aprašyta ir stebima. Galima pasitelkt papildomus būtinus įrankius, kurie galbūt nėra standartiniai tai įmonei ar jos informacinei sistemai. Taip pat būtina pabrėžti, jog jokia informacija audito metu negali būti pakeista ar pažeistas jos vientisumas, integralumas.

Audito vadovas turi atsižvelgti į šiuos pagrindinius punktus:

  • Visas auditas turi būti atliktas tik gavus leidimą, prieigą prie duomenų
  • Pasikonsultuoti su teisininkais visais teisiniai klausimais
  • Pasitikrinti su buhalterija, kiek ilgai išsaugoma finansinė informacija
  • Užtikrinti informacijos saugumą ir panaudojamumą
  • Užtikrinti, kad įrodymai priimtini teismui
  • Apibrėžti periodinius tikrinimus
  • Užtikrinti, kad audituojama sistema tinkamai kontroliuojama ir neprieinama pašaliniams

ISO9001:2000 PĮ auditas

Audito tikslas: Patikrinti atitikimą tiekimo, kūrimo, operacijų, valdymo ISO 9001:2000 standartui

Audito procesas: ISO 9001:2000 naudojant ISO/IEC 90003:2004 standartą.

Audito klientas: Įmonė siekianti gauti arba turinį ISO 9001:2000 standartą

Auditorius: specialius sertifikuotas auditorius

Kas audituojama?  Tiekimo, kūrimo, operacijų, valdymo procesai įmonėje.

ISO 9001:2000 standartas reikalauja nuolatinių įmonės vidinių auditų, kas numatyta laiko intervalą siekiant patikrinti, ar įmonė vis dar atitinka standarto keliamus reikalavimus. Įmonė turi užtikrinti, kad įvykdomi visi procesai siekiant gauti suplanuotus rezultatus.

Pagrinde minėtas standartas aptaria šiuos esminius dalykus: programinės įrangos valdymą, kūrimą, priežiūrą apsaugą ir kontrolę.

ISO 9001:2000 standarto tikrinimui turi būti ISO 19011 atitiktis apibrėžtos čia:

  • Reikalavimai auditoriams: nepriklausomumas ir gebėjimas tinkamai atlikti auditus. Turi būti praėję specialius mokymus ir turėt patirties.
  • Reikalavimai auditavimui: apibrėžiama, kaip turi būti planuojamas, atliekamas ir įrašomas procesas, kokie įrodymai turi būti surenkami audito metu ir kokie įrašai ar įrodymai turi būti išsaugoti po audito jį atlikus.

Siekiant atlikti ISO 9001:2000 standarto viduje, būtina atsižvelgti į tam tikrus dalykus.

Pirmiausia auditorius turi būti praėjęs specialius mokymus ir kursus, kurie turi būti pripažįstami audituojančių kompanijų ar bendrijų. Žinoma, auditą galima atlikti ir be tokio asmens, tačiau tuomet suteikiamos nereikalingos prielaidos neužtikrintumui.

Minėtas auditorius turi kiekvieną mėnesį skirti tam tikrą laiko kiekį siekdamas užtikrinti standarto laikymosi ir savo praktikos tęstinumo, žinių gilinimo, tai būtina sėkmingam įmonės standarto palaikymui.

Antra, rašytinis standartas, kuriuo vadovaujasi visas auditas yra būtinas. Visi auditoriai turi turėti dokumentą, kuriuo remiasi atlikdami patį auditą. ISO 9001:2000 atveju tai yra pačios įmonės pasirengtas dokumentas apibrėžiantis procedūras, instrukcijas ir kokybę.

Trečia, turi būti suformuota konkrečiai, kas bus audituojama. Patartina pradžioje surinkt tinkamą informacijos kiekį, kad auditas būtų atliekamas tinkamai ir neskubėti atlikti paties audito, kai nėra pakankamai duomenų. Intervalas laiko, kas kiek turi būti atliekamas auditas yra pačios įmonės reikalas, tačiau patartina tai daryti kas keletą savaičių ir neilgiau 6 mėnesių intervalais.

CMMI-DEV įvertinimas

Audito tikslas: Patikrinti brandumą organizacijos kūrimosi

Audito procesas: Standartinis CMMI įvertinimo metodas

Audito klientas: Rėmėjas besiplečiančios organizacijos

Auditorius: specialus patvirtintas lyders

Kas audituojama?  Konkretūs projektų artefektai (svarbiausi dalykai), įmonės procesai kartu su interviu.

Šis vertinimo metodas iš keleto anksčiau buvusių programinės įrangos vertinimo ir vidinių procesų vertinimo. Metodas remiasi įvairiais vertinimais ir tyrimais siekiant išsiaiškinti ir įvertinti silpnybes ir pranašumus procesų. Vertinimas atliekamas siekiant patobulinti esamus procesus.

Atestavimas (angl. assesment) padeda įmonei nustatyti tobulėjimą ir tobulėjimo kryptį, vertinimas (angl. evaluation) padeda apsispręsti ateities verslo planams ir stebėsenai.

Metodas susideda iš keleto etapų, kurie aptarti toliau.

Pirmasis etapas. Pasiruošimas vertinimui. Išrašomi konkretūs planavimo, pasiruošimo, vykdymo ir ataskaitų rengimo procesai, rezultatai. Analizės metu renkam duomenys apie planą ir užduotis vertinimui, analizuojami reikalavimai, paruošiama komanda, atliekamas pats vertinimas, analizuojami uždaviniai, jie dokumentuojami ir patikrinami, atestuojami bei viskas apibendrinama į vieną bendrą ataskaitą. Analizės metu nustatomi ir įvertinami išsikeltų tikslų atitikimas, nustatomi pranašumai ir trūkumai.

Antrasis etapas – atliekamas pagrindinis vertinimas. Remiamasi pirmo etapo surinkta informacija, nustatomi vykstantys procesai, jie vertinami kiekvienas atskirai. Etapo metu surenkami ir sukuriam nauji tikslai ir uždaviniai bei pateikiamas vertinimas juos įgyvendinti, nustatomas procesų brandumas ir panaudojimas.

Trečias etapas – rezultatų paruošimas. Pateikiami ir apibendrinami visi gaut gauti rezultatai. Rezultatai ir pats vertinimas yra slapti ir neviešinami. Eigoje nustatoma, kurią informacijos dalį iš pirmo ir antro etapo galima viešinti bendrų šalių sutarimu.

Etapai analizuoja kiekvieną projektą atskirai, todėl būtina apibrėžti ir aprašyti kiekvieno projekto auditą atskirai. Projekto auditus atlieka programinės įrangos kokybės užtikrinimo atstovas, t.y. žmogus užtikrinantis projekto kokybę. Projekto kokybė neretai užtikrinama jau aprašytu anksčiau ISO 9001:2000 standartu.

Vertinimo metu vertinami ir patys procesai ir jų rezultatai. Proceso vertinimo metu analizuojama: kaip projekto procesai apibrėžia projekto planą,  ar yra numatytos direktyvos apibrėžiančios projekto planą, ar projektas laikosi numatytų ir aprašytų direktyvų bei ar pats planas atitinka bendrus įmonės nuostatus.

Analizuojant proceso produktus yra užduodami klausimai: ar jau yra šablonas, kuriuo būtų galima vadovautis? ar minimas šablonas patikimas? ar darbo rezultatai tenkina? Pavyzdžiui, jeigu vertinant kokybę yra vertinimas programos kodas, tikrinama ar ji atitinka bendrus įmonės kodo standartus, stilių ir kt. panašius dalykus.

Išankstinis direktyvų ir vertinimo numatymas sutaupo laiko projekto eigoje keičiant jo uždavinius iš naujo juos patvirtinant ar peržiūrint.

Bet kuriuo atveju auditorius turi laikytis įmonės standartų ir prisiderinti prie jų, nesvarbu ar naudojamas ISO 9001:2000 ar kitas. Vertinant turi būti prisiderinama prie įmonės jau naudojamų standartų, o neprimetami savi.

Automatiniai auditai

Auditas yra pakankami sudėtingas darbas, kuriam reikia ir nagrinėjimo, ir dokumentavimo ir visokių kitų administracinių priemonių. Siekiant optimizuoti darbą ir padaryti efektyvesnį naudojami įvairūs įrankiai, kurie palengvina auditoriaus darbą ir automatizuoja tam tikrus procesus.

Audito tikslas: Atlikti auditą automatiniais įrankiais besinaudojant

Audito procesas: Taisyklėmis apibrėžto proceso įvykdymas automatiškai

Audito klientas: Dažniausiai finansinės institucijos

Auditorius: sukurtas įrankis: programa ar valdiklis (angl. bot)

Kas audituojama?  Nuolatinis automatinis audituojamas objektas, pavyzdžiui, finansinės sistemos. Sistema esanti kompiuterinėje terpėje.

Automatinių auditų metu siekiamas neperstojamo audito procesą inicijuoti ir palaikyti, žinoma, be žmonių pagalbos tai nėra visiškai įmanoma, tačiau nuolat veikianti programa ar suveikianti nuo tam tikrų procesų, tarkime, pinigų perlaida padeda efektyviai ir greitai rasti neatitikimus, bandymus kenktis, neteisėta veiklą ar pan.

Automatiniai audito įrankiai kuriami iš anksto apibrėžtų taisyklių principu, kur informacija ar procesas, veiksmas yra sutikrinimas su iš anksto apibrėžtomis taisyklėmis ir testuojama, ar visos sąlygos tenkinamos, ar nėra neatitikimų tarp duomenų validumo, neišeinam iš sistemos veikimo, logikos, teisės aktų ar taisyklių rėžių.

Automatiniai auditai naudojami realaus laiko itin svarbiose sistemose: telekomunikacijų, bankų, finansų srityse, kur žmogus neturi galimybių sutikrinti greitai visų įmanomų vykstančių transakcijų, pasikeitimų ir įvykstančių veiksmų.

Pasirengimas programinės įrangos auditui

Prieš atliekant bet kokį sistemos ar programinės įrangos auditą reikia įsitikinti, ar tas auditas suteiks naudingų ir vertingų žinių, kurių negalima gauti kitais būdais arba jos nėra žinomos. „IEEE Standard for Software Reviews“ audito standartas nurodo, kad auditas turi būti atliekamas tik jeigu jis patvirtintas tai turinčių teisę atstovų, konkretūs audito uždaviniai yra suformuoti, būtinos auditui informacijos įvestis yra turimos.

Prieš atliekant auditą būtina ir patartina atsakyti į šiuos klausimus:

  • Kokia yra audito apimtis?
  • Kokius tikslus auditas turi pasiekti?
  • Ar audituojamas visas projektas ar tik dalis sistemos?
  • Kas yra atsakingas už audito patvirtinimą?
  • Kokia informacija, įvestys reikalingos prieš jį atliekant?

Taip pat būtina apsibrėžti audituojamus produktus ar programinę įrangą, kriterijus pagal kuriuos bus vertinama, įvertinimus, tarkime, „priimtinas“, „reikia tobulinimo“ ir pan. Kartu pakartina ir paanalizuoti ar gauti informaciją apie prieš tai atliktus auditus ir jų rezultatus.

Susirinkus visą būtiną informaciją ir pasiruošus reikia peržvelgti numatomą audito planą, ISO 19001:2002 standartas apibrėžia tokį audito planą:

  • Audito apimtis ir uždaviniai
  • Paskirstyti asmenis uždaviniams tirti ar audituoti
  • Nustatyti būtinus dokumentus (kokybės užtikrinimo, standartus, kodo standartus ir pan.)
  • Nustatoma audito kalba
  • Nustatoma audito data ir laikas, vieta
  • Numatomi, kokie įmonės vienetai bus audituojami
  • Pagrindinių terminų numatymas
  • Konfidencialumo reikalavimų nustatymas
  • Audito rezultatų pateikimas iki numatytos datos

Audito planas turi būti patvirtintas tiek užsakovo, tiek vykdytojo. O audituojančios komandos lyderis turi parengti sąrašą pagal kurį bus atliekamas procesas ir vertinimas. Tam gali būti panaudotos ir interviu formos, ir raštiški klausimynai ir kt. įvairios priemonės padedančios siekti užsibrėžtų audito tikslų ar gauti reikiamą informaciją ir rezultatus.

Programinės įrangos audito atlikimas

Pats audito procesas (žingsnis po pasiruošimo) apima konkrečius veiksmus atliekamus informacijos surinkimui, panaudojimui, analizavimui ir interpretavimui. Auditas gali būti atliekamas pateikiant klausimus formų būdu, atliekant interviu, stebint darbo procesą, analizuojant darbo procesą, tikrinant įrašus, stebint operacijas ir surenkant informaciją iš skirtingų šaltinių. Iš audituojamos įmonės ar objektų siekiama gauti tikslius, konkrečius atsakymus ir informaciją galutinei audito ataskaitai.

Audito proceso metu atliekami susitikimai, kurių metu nusprendžiamos datos, atlikimo terminai, visi komandos nariai supažindinami su procesu ir numatomi pagrindiniai uždaviniai, tendencijos reikalingos galutiniai ataskaitai.

Atlikimas skirstomas į tris lygius:

  1. Verifikavimas produkto egzistavimo, kiek iki galo baigtas yra analizuojamas produktas
  2. Verifikavimas minimalaus egzistuojančio turinio. Analizuojama ir aptariama minimalus pateiktas duomenų rinkinys.
  3. Verifikuojama logika ir racionalumas.

Audito metu neišvengiamas bendravimas su audituojama įmone ir jos darbuotojais, todėl patariama klausytis atidžiai, paisyti savo ir pašnekovo kūno kalbos, bendraujant pradėti nuo atvirų klausimų iš tolo prieinant prie konkrečių su problema ar audituojama sistema susijusių klausimų ar formuluočių. Audito metu patariama nekaltinti, neužduoti vertinančių ar smerkiančių klausimų dėl klaidų ar sistemos veikimo.

Audito rezultatai

Atliktus auditą audituojama įmonė ar projektas turi aiškiai suvokti ir suprasti jiems pateiktus duomenis, t.y. konkrečias problemas, išanalizuotą situaciją, atrastus neatitikimus ir pastebėjimus.

Audito ataskaita turėtų įtraukti šias temas:

  • Audito apibendrinimą
  • Audito skaičių
  • Audituojamos įmonės informaciją ir veiklą
  • Audito atlikimo datą
  • Audito apimtį (angl. scope)
  • Pavyzdines praktikas, jei tokios įmanomos
  • Reikalavimus ir patarimus, jei įmanoma
  • Pastebėjimus, jei įmanoma
  • Apklaustus ir dalyvavusius įmonės atstovus
  • Peržiūrėtų dokumentų sąrašą
  • Būtinus parašus

Audituojama įmonė po audito turėtų sudaryti klaidų ištaisymo planą, nustatyti dėl ko jos atsirado ar įvyko, nustatyti veiksmų planą, kad klaidos ar neatitikimai nebepasikartotų ateityje, apibrėžti išmoktas pamokas ir klaidas bei nurodyti atliktus veiksmus siekiant patobulinti situaciją.

Auditoriai neatsiejamai turi padėti audituojamai įmonei ir pateikti savo rekomendacijas dėl jų taikomų problemų ar klaidų sprendimo būdų, nustatyti ir pateikti netinkamus būdus ar praktikas, nustatyti ir informuoti atliekamų veiksmų teisingumą ir naudą, patvirtinti klaidų ištaisymui numatytus procesus, darbo praktikas ir kt.

Esant reikalui auditas gali būti kartojamas siekiant įsitikinti, ar tikrai visos problemos, klaidos ir neatitikimai buvo išspręsti.

Audito pabaigoje yra aiškiai nubrėžiama, kada auditas baigėsi ir perduodama visa reikalinga dokumentacija.

————-

Auditas yra svarbus kokybės ir kt. metrikų projektams ir programų įrangai užtikrinti neatsiejamas nuo saugumo, kokybės, procesų tobulinimo, pačios programinės įrangos tęstinumo ir darbo efektyvumo.

Auditai apima saugumo, proceso brandumo, vertinimo bei automatinių taisyklių panaudojimą ir padeda įmonėms suvaldyti savo programinės įrangos kūrimo ir valdymo, palaikymo ir kokybės užtikrinimo procesus.

Audito problemai yra sukurta nemažai standartų, pavyzdžiui, ISO 9001:2000 standartas, CMMI vertinimo modelis. Standartai ir modeliai apibrėžia, kaip auditas turi būti atliktas, kas turi būti atlikta prieš atliekant jį, kas turi būti saugojama po audito ir konkretūs veiksmai audito metu.

Visuomet rekomenduojama atlikti vidinį auditą prieš kreipiantis į trečiąsias šalis, o šis darbas turi padėti suvokti pagrindinius audito metodus, ko jiems reikia, kokie dažniausiai užduodami klausimai.

Kokią problemą galime padėti Jums išspręsti?

  • Sekite mus: