4.1 系统开发生命周期法(系统、规范、严密)/(快速)原型法(不断修改直至满意，缺点，不系统，不正规)

　　4.2 系统开发的主要活动：系统分析——系统设计——系统编程——测试——转换——系统维护系统分析：要解决问题的分析/用户分析和系统可行性分析/系统分析员是信息系统和其他业务部门联系桥梁——能力计划——《系统需求分析规格书》系统设计：逻辑设计/物理设计——《系统设计规格书》系统编程：将设计规格书转化成计算机软件代码的过程——《软件程序代码》在软件需求与设计阶段审计师关注点：需求阶段安全需求是否完备，能否保证信息系统机密、完整、可用，是否有足够的审计踪迹/审计设计阶段检查安全需求是否有足够的控制已集成到系统定义和测试计划中，连续性在线审计功能是否集成到系统中/在系统设计阶段的基线上是否建立变动控制/检查相关文档是否齐全测试：模块测试/系统测试/验收测试转换：平行转换/直接转换/试点转换/分阶段的转换策略

　　4.3 内部审计师对信息系统开发的参与参与方式：连续参与开发/在系统开发结束时参与/在系统实施后参与连续参与的好处：最大限度地降低系统重新设计的成本

　　4.4 系统维护与变动的控制：程序变动控制：经管理层批准/经全面测试并保存文档/必须留下何人、何时、何事的线索修改软件的风险：使用未经审查、测试的修改软件，使被处理信息的可靠性减弱

　　4.5 最终用户开发的风险系统分析功能被忽略/难集成/系统内产生专用信息系统/缺乏标准和文档，使用和维护都依赖开发者/缺乏监督，失去数据一致性

　　4.6 降低最终用户开发的风险：成立信息中心/集中系统开发专家对用户进行培训/提个开发工具与指导，协助建立质量标准/信息中心直接参与系统分析与设计/对终端用户开发的审计(确定终端用户开发的程序——对应用程序进行风险排序——对控制情况进行文件处理与测试)

　　4.7 软件许可问题：使用盗版软件的危害(违法/易感染病毒)/防止使用非法软件的方法(建立制度/版权法教育/定期鉴别/专人保管安装盘)/非法软件的发现(比较采购记录与可执行文件/比较序列号)