信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)比較分析

信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)：中國的實(shí)踐與美國的經(jīng)驗(yàn)孫強(qiáng)孟秀轉(zhuǎn)

[摘要]建立信息化建設(shè)的第三方監(jiān)督對保證信息化建設(shè)的效益最大化至關(guān)重要。本文通過信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計(jì)的概念、產(chǎn)生動因等進(jìn)行比較，分析我國信息系統(tǒng)監(jiān)理面臨的新問題、新要求，并介紹美國信息系統(tǒng)審計(jì)的實(shí)踐經(jīng)驗(yàn)，在此基礎(chǔ)上提出對我國信息系統(tǒng)監(jiān)理事業(yè)進(jìn)展的若干建議。[關(guān)鍵詞]信息系統(tǒng)信息系統(tǒng)監(jiān)理信息系統(tǒng)審計(jì)比較獨(dú)立性引言“信息化帶動工業(yè)化”是我國長期的重要進(jìn)展戰(zhàn)略，江澤民同志在十六大的報(bào)告中指出：“實(shí)現(xiàn)工業(yè)化仍然是我國現(xiàn)代化進(jìn)程中艱巨的歷史性任務(wù)。信息化是我國加快實(shí)現(xiàn)工業(yè)化和現(xiàn)代化的必定選擇。堅(jiān)持以信息化帶動工業(yè)化，以工業(yè)化促進(jìn)信息化，走出一條科技含量高、經(jīng)濟(jì)效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢得到充分發(fā)揮的新型工業(yè)化路子。”這段論述表現(xiàn)了我們黨對信息化建設(shè)的高度重視，也指明信息化帶出一條新型工業(yè)化路子的光明前景。目前，各地區(qū)、各部門都在認(rèn)真貫徹十六大精神，十分重視推進(jìn)信息化工作，我國信息化建設(shè)差不多進(jìn)入新的時(shí)期，我國信息化事業(yè)已進(jìn)展到一個(gè)新的時(shí)期。各級政府正在積極推進(jìn)“電子政務(wù)”，許多都市及企業(yè)也已著手整合與升級其信息化應(yīng)用系統(tǒng)。能夠可能，全國將有更多、更大的信息系統(tǒng)建設(shè)項(xiàng)目展開。然而，在信息化推進(jìn)過程中，存在不同程度上的一些問題，要緊表現(xiàn)在規(guī)劃制訂不夠科學(xué)，項(xiàng)目治理不夠嚴(yán)格，監(jiān)理機(jī)制不夠健全，系統(tǒng)運(yùn)行效益不夠明顯。致使相當(dāng)一部分信息化項(xiàng)目失敗或未能實(shí)現(xiàn)預(yù)期目標(biāo)，白費(fèi)了大量資源。究其根源要緊緣故之一是信息化建設(shè)第三方監(jiān)管機(jī)制的缺失和標(biāo)準(zhǔn)的不健全。國內(nèi)外的實(shí)踐表明：信息化是有風(fēng)險(xiǎn)的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險(xiǎn)也就越大。英國Kalido于英國時(shí)刻2001年12月12日公布了有關(guān)企業(yè)信息治理的調(diào)查結(jié)果。調(diào)查顯示，96％的企業(yè)關(guān)于本公司的信息治理系統(tǒng)感到不滿。關(guān)于目前正在使用的信息系統(tǒng)，認(rèn)為"所制作的報(bào)告缺乏一貫性"或者是"核對信息花費(fèi)了太多時(shí)刻"的企業(yè)約占70％。特不引人深思的是該調(diào)查是由美國Harte-Hanks以全球500強(qiáng)企業(yè)以及財(cái)寶1000企業(yè)中的171家公司為對象通過問卷方式實(shí)施的。調(diào)查對象中，40％以上的企業(yè)年交易額超過20億美元。其他要緊調(diào)查結(jié)果如下∶回答目前的信息系統(tǒng)不能靈活因應(yīng)變化的企業(yè)約占60％；關(guān)于數(shù)據(jù)的精度表示擔(dān)心的企業(yè)約占60％；60％以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合打算。這充分講明，信息系統(tǒng)的建設(shè)項(xiàng)目較之傳統(tǒng)工業(yè)工程項(xiàng)目成功率更低，風(fēng)險(xiǎn)也更加突出。中央領(lǐng)導(dǎo)同志在國家信息化領(lǐng)導(dǎo)小組第一次會議中特不強(qiáng)調(diào)：信息化建設(shè)一定要講求效益，不能搞花架子。因此建立并逐步完善我國信息系統(tǒng)審計(jì)制度是健康、有序地推進(jìn)信息化和落實(shí)領(lǐng)導(dǎo)小組會議精神的一項(xiàng)重要措施。目前，在國內(nèi)的信息化項(xiàng)目工程建設(shè)中，絕大多數(shù)用戶（業(yè)主）無法組織隊(duì)伍對信息系統(tǒng)建設(shè)進(jìn)行專業(yè)化治理，難以勝任從可行性分析、規(guī)劃設(shè)計(jì)、招標(biāo)、方案評審到工程監(jiān)理和工程驗(yàn)收全過程的治理與組織協(xié)調(diào)工作，建設(shè)方和承建方在信息建設(shè)過程中存在嚴(yán)峻的信息不對稱問題。這表現(xiàn)為借助外援進(jìn)行工程治理咨詢的案例越來越多，一些省市的行業(yè)主管部門也開始在信息系統(tǒng)建設(shè)中推行由監(jiān)理進(jìn)行工程質(zhì)量治理的做法。然而，監(jiān)理介入信息系統(tǒng)在我國還處于一個(gè)探究的過程中。我國加入WTO后，鑒于我國IT服務(wù)業(yè)以后巨大的增長空間，國際知名咨詢顧問公司、專業(yè)技術(shù)服務(wù)提供商等紛紛搶灘我國市場。在信息系統(tǒng)第三方鑒證業(yè)務(wù)方面，他們提供符合國際標(biāo)準(zhǔn)的信息系統(tǒng)審計(jì)服務(wù)。因此當(dāng)前監(jiān)理事業(yè)的進(jìn)展面臨新的形勢，監(jiān)理工作外部環(huán)境發(fā)生了深刻變化，勢將對我國監(jiān)理企業(yè)形成嚴(yán)峻沖擊，本土監(jiān)理企業(yè)面臨前所未有的嚴(yán)峻挑戰(zhàn)。監(jiān)理事業(yè)往何處去？這是擺在每一個(gè)監(jiān)理人面前的重大課題。每一個(gè)監(jiān)理企業(yè)必須以進(jìn)展的眼光、動態(tài)的觀點(diǎn)、創(chuàng)新的思想和創(chuàng)新的理論正確認(rèn)識和推斷當(dāng)前的監(jiān)理形勢，增強(qiáng)危機(jī)感和緊迫感，迎接新的挑戰(zhàn)。信息系統(tǒng)監(jiān)理信息系統(tǒng)監(jiān)理概念依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位托付，依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督治理。信息系統(tǒng)監(jiān)理產(chǎn)生動因及其進(jìn)展1、信息系統(tǒng)監(jiān)理產(chǎn)生動因分析監(jiān)理工作、監(jiān)理企業(yè)是我國在打算經(jīng)濟(jì)向市場經(jīng)濟(jì)轉(zhuǎn)變的過程中在建設(shè)領(lǐng)域中應(yīng)運(yùn)而生的，并取得了有目共睹的顯著成效，直接促進(jìn)了工程監(jiān)理業(yè)的繁榮進(jìn)展，這也導(dǎo)致在通信業(yè)工程建設(shè)、信息系統(tǒng)建設(shè)等方面監(jiān)理的出現(xiàn)。因此，回憶建設(shè)工程監(jiān)理的進(jìn)展，將有助于對信息系統(tǒng)監(jiān)理的認(rèn)識。1988年7月建設(shè)部公布了《關(guān)于開展建設(shè)監(jiān)理工作的通知》，隨后又于1988年11月印發(fā)了《關(guān)于開展建設(shè)監(jiān)理試點(diǎn)問題的若干意見》，使得試點(diǎn)工作有章可循。1989年，依照初步試點(diǎn)取得的經(jīng)驗(yàn)，建設(shè)部制定了《建設(shè)監(jiān)理試行規(guī)定》，這是我國第一個(gè)比較完備的關(guān)于工程建設(shè)監(jiān)理的法規(guī)文件，勾畫出具有我國特色的工程建設(shè)監(jiān)理制度的初步框架。1991年又分不制定頒發(fā)了《建設(shè)監(jiān)理單位資質(zhì)治理試行方法》和《監(jiān)理工程師資格考試及注冊試行方法》，建設(shè)監(jiān)理法規(guī)制度進(jìn)一步配套完善。1993年，上海市開始了工程設(shè)備監(jiān)理制度的試點(diǎn)工作。1998年，國務(wù)院機(jī)構(gòu)改革后給予了國家質(zhì)量技術(shù)監(jiān)督局“協(xié)調(diào)建立設(shè)備工程監(jiān)理制度”的職能要求，隨后，國家質(zhì)量技術(shù)監(jiān)督局?jǐn)M定了《協(xié)調(diào)建立設(shè)備工程監(jiān)理制度的方案》，在國家進(jìn)展打算委員會的指導(dǎo)和具體參與下，會同國務(wù)院有關(guān)部門，在國內(nèi)有關(guān)技術(shù)及咨詢機(jī)構(gòu)的關(guān)心、支持下,完成了設(shè)備監(jiān)理制度中有關(guān)規(guī)章的起草工作。此間，世界銀行、國家開發(fā)銀行等亦曾規(guī)定，其貸款的有關(guān)項(xiàng)目要有監(jiān)理公司監(jiān)理，并作為申請貸款的項(xiàng)目單位獲得貸款的差不多條件。由此開始推行建設(shè)工程監(jiān)理制度，監(jiān)理事業(yè)得到持續(xù)快速進(jìn)展，從而積存了一定經(jīng)驗(yàn)，取得了積極成效。進(jìn)展至今建立了一套比較完整的監(jiān)理法規(guī)體系，組成了一支規(guī)模較大的監(jiān)理隊(duì)伍，監(jiān)理出一批優(yōu)良的工程項(xiàng)目，監(jiān)理工作在工程建設(shè)中發(fā)揮了重要作用，得到了各級領(lǐng)導(dǎo)的支持，得到了社會的普遍認(rèn)可，正逐步向規(guī)范化、制度化、科學(xué)化方向邁進(jìn)。但同時(shí)我國工程監(jiān)理事業(yè)通過十多年的進(jìn)展，盡管取得了一定成績，但也存在許多問題。如：監(jiān)理人員整體素養(yǎng)不高、監(jiān)理工作缺位、監(jiān)理取費(fèi)普遍較低、監(jiān)理市場競爭機(jī)制不健全、監(jiān)理企業(yè)缺乏自我積存和進(jìn)展能力、監(jiān)理責(zé)任不明確、監(jiān)理工作缺乏系統(tǒng)的理論研究、宣傳工作滯后等問題比較突出。2、信息系統(tǒng)監(jiān)理的進(jìn)展目前信息系統(tǒng)工程的現(xiàn)狀類似于二十世紀(jì)八十年代往常建筑工程的狀態(tài)。自1988年建設(shè)部頒布《關(guān)于開展建設(shè)監(jiān)理工作的通知》以后，特不是1996年建設(shè)監(jiān)理全面推行后，建筑工程的質(zhì)量普遍提高，業(yè)主和承建商之間的糾紛普遍減少，凡是出問題的工程，監(jiān)理也有問題。因此，要求參考建筑工程的治理方法對信息工程實(shí)施監(jiān)理的呼聲日益高漲，這既是信息工程用戶（業(yè)主）的愿望，也是系統(tǒng)集成商的愿望，信息工程市場呼喚“第三方”—信息系統(tǒng)工程監(jiān)理的出現(xiàn)。早在1995年，原電子工業(yè)部就出臺了《電子工程建設(shè)監(jiān)理規(guī)定（試行）》。1996年，深圳市成立了全國第一家信息工程質(zhì)量監(jiān)督機(jī)構(gòu)—信息工程質(zhì)量監(jiān)督檢驗(yàn)總站。1998年，西安協(xié)同軟件股份有限公司經(jīng)西安技術(shù)監(jiān)督局和西安市科委批準(zhǔn)，獲得“計(jì)算機(jī)治理信息系統(tǒng)工程監(jiān)理”資質(zhì)認(rèn)證，成為國內(nèi)第一家獲此資格的公司。1999年6月，深圳市政府在國內(nèi)領(lǐng)先出臺了包括實(shí)施信息工程監(jiān)理?xiàng)l款在內(nèi)的《深圳市信息工程治理方法》，并要求首屆我國國際高新技術(shù)成果交易會信息網(wǎng)絡(luò)工程實(shí)施監(jiān)理。2000年7月，深圳市信息化建設(shè)委員會辦公室制訂了《深圳市信息工程建設(shè)治理方法實(shí)施意見》，要求“市、區(qū)、鎮(zhèn)人民政府及其所屬部門使用財(cái)政性資金（包括預(yù)算內(nèi)資金、預(yù)算外資金、事業(yè)收入等），投資規(guī)模在100萬元以上的信息工程建設(shè)項(xiàng)目必須遵照本實(shí)施意見進(jìn)行立項(xiàng)、招投標(biāo)、監(jiān)理、質(zhì)量監(jiān)督、驗(yàn)收”。2002年7月，北京市信息化工作辦公室制定了《北京市信息系統(tǒng)工程監(jiān)理治理方法（試行）》，要求“本市推行信息系統(tǒng)工程監(jiān)理制度，建設(shè)單位應(yīng)當(dāng)通過協(xié)議或者招標(biāo)的方式優(yōu)先選擇具有相應(yīng)資質(zhì)等級的信息系統(tǒng)工程監(jiān)理單位承擔(dān)監(jiān)理業(yè)務(wù)。各級財(cái)政全部補(bǔ)助或者部分補(bǔ)助以及為社會提供公共服務(wù)的重大信息化工程項(xiàng)目必須通過招標(biāo)的方式選擇信息系統(tǒng)工程監(jiān)理單位，實(shí)行強(qiáng)制監(jiān)理?！?002年11月，國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局公布《設(shè)備監(jiān)理單位資格治理方法》，在該治理方法的21類設(shè)備工程專業(yè)中，涉及信息工程的共有三類，即信息網(wǎng)絡(luò)系統(tǒng)、信息資源開發(fā)系統(tǒng)和信息應(yīng)用系統(tǒng)。最近，在國家信息辦和國家標(biāo)準(zhǔn)治理委員會直接領(lǐng)導(dǎo)下，信息化系統(tǒng)監(jiān)理規(guī)范化項(xiàng)目正在加緊制定中，同時(shí)是作為電子政務(wù)標(biāo)準(zhǔn)化項(xiàng)目的一個(gè)子項(xiàng)目而提出的?？赡茉诮衲昴甑?，監(jiān)理規(guī)范就要完成，通過試用和修改后，將上升為國家標(biāo)準(zhǔn)。2002年12月，信息產(chǎn)業(yè)部在廣泛征求意見和開展試點(diǎn)工作的基礎(chǔ)上，正式頒布《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，這標(biāo)志著我國信息工程監(jiān)理開始邁向科學(xué)化、專業(yè)化和規(guī)范化，也預(yù)示著在我國立即出現(xiàn)一個(gè)新的中介服務(wù)行業(yè)，將專門快涌現(xiàn)一批監(jiān)理機(jī)構(gòu)和執(zhí)業(yè)人員，從此信息系統(tǒng)工程監(jiān)理工程師也將逐步成為國民經(jīng)濟(jì)和社會信息化的“警察”。但我國的信息系統(tǒng)工程監(jiān)理目前僅僅是處在起步時(shí)期，事實(shí)上依照對國內(nèi)信息化應(yīng)用程度較高的行業(yè)部門（如銀行、證券、保險(xiǎn)、氣象、社保、旅游等）和部分大型企業(yè)（如華北制藥、哈爾濱軸承集團(tuán)、哈爾濱飛機(jī)制造企業(yè)、躍進(jìn)汽車集團(tuán)、我國石化等）30個(gè)樣本作為調(diào)查對象的調(diào)查結(jié)果顯示，關(guān)于大多數(shù)企業(yè)來講，項(xiàng)目監(jiān)理是個(gè)新概念。只有30%的被調(diào)查者表示在某些信息化項(xiàng)目中使用過監(jiān)理服務(wù)。在70%未使用過項(xiàng)目監(jiān)理的被調(diào)查者中，5%表示聽講過，95%表示明白建筑工程有監(jiān)理，但在IT信息化項(xiàng)目中引入監(jiān)理依舊第一次聽講。圖1監(jiān)理服務(wù)內(nèi)容重要程度（引自胡敏《市場呼喚項(xiàng)目監(jiān)理》）目前，我國還沒有一套完善的IT項(xiàng)目監(jiān)理制度，相應(yīng)的監(jiān)理法規(guī)、監(jiān)理內(nèi)容、收費(fèi)標(biāo)準(zhǔn)等也都沒有制定。特不是收費(fèi)標(biāo)準(zhǔn)問題，大多數(shù)用戶采納協(xié)商解決。以北京城域網(wǎng)項(xiàng)目的監(jiān)理費(fèi)為例，其采納了建筑行業(yè)的監(jiān)理服務(wù)收費(fèi)標(biāo)準(zhǔn)（2%-10%），支付的服務(wù)費(fèi)占整個(gè)項(xiàng)目資金支出的2%。寬敞用戶也反映，項(xiàng)目監(jiān)理的標(biāo)準(zhǔn)如何才能做到公正、科學(xué)，項(xiàng)目監(jiān)理的工作流程是否也應(yīng)該規(guī)范，如何界定和權(quán)衡監(jiān)理公司、用戶、IT廠商三方利益？監(jiān)理過程中出了問題，該如何辦？，這一系列問題都需要不斷探究。原北京市信息中心主任華平瀾表示，只有使監(jiān)理更加規(guī)范化，才能更好地推進(jìn)監(jiān)理工作，才能使信息系統(tǒng)的建設(shè)更加順利。事實(shí)上，與建筑等其他進(jìn)展專門成熟的行業(yè)的監(jiān)理相比，對IT項(xiàng)目的監(jiān)理要難得多。同時(shí)由于信息技術(shù)是一個(gè)新興技術(shù)，它本身還在不斷進(jìn)展和完善，因此，即使制定出的監(jiān)理的內(nèi)容和標(biāo)準(zhǔn)也不能僵化，需要不斷地變更和完善。信息系統(tǒng)監(jiān)理的差不多理論信息系統(tǒng)監(jiān)理的中心任務(wù)是科學(xué)地規(guī)劃和操縱工程項(xiàng)目的投資、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的差不多方法是目標(biāo)規(guī)劃、動態(tài)操縱、組織協(xié)調(diào)和合同治理；監(jiān)理工作貫穿規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)收的全過程。信息工程監(jiān)理正是通過投資操縱、進(jìn)度操縱、質(zhì)量操縱以及合同治理和信息治理來對工程項(xiàng)目進(jìn)行監(jiān)督和治理，保證工程的順利進(jìn)行和工程質(zhì)量。1、成本操縱成本操縱的任務(wù)，要緊是在建設(shè)前期進(jìn)行可行性研究，協(xié)助建設(shè)單位正確地進(jìn)行投資決策；在設(shè)計(jì)時(shí)期對設(shè)計(jì)方案、設(shè)計(jì)標(biāo)準(zhǔn)、總概（預(yù)）算進(jìn)行審查；在建設(shè)預(yù)備時(shí)期協(xié)助確定標(biāo)底和合同造價(jià)；在實(shí)施時(shí)期審核設(shè)計(jì)變更，核實(shí)已完成的工程量，進(jìn)行工程進(jìn)度款簽證和索賠操縱；在工程竣工時(shí)期審核工程結(jié)算。2、進(jìn)度操縱進(jìn)度操縱首先要在建設(shè)前期通過周密分析研究確定合理的工期目標(biāo)，并在實(shí)施前將工期要求納入承包合同；在建設(shè)實(shí)施期通過運(yùn)籌學(xué)、網(wǎng)絡(luò)打算技術(shù)等科學(xué)手段，審查、修改實(shí)施組織設(shè)計(jì)和進(jìn)度打算，做好協(xié)調(diào)與監(jiān)督，排除干擾，使單項(xiàng)工程及其分時(shí)期目標(biāo)工期逐步實(shí)現(xiàn)，最終保證項(xiàng)目建設(shè)總工期的實(shí)現(xiàn)。3、質(zhì)量操縱質(zhì)量操縱要貫穿在項(xiàng)目建設(shè)從可行性研究、設(shè)計(jì)、建設(shè)預(yù)備、實(shí)施、竣工、啟用及用后維護(hù)的全過程。要緊包括組織設(shè)計(jì)方案評比，進(jìn)行設(shè)計(jì)方案磋商及圖紙審核，操縱設(shè)計(jì)變更；在施工前通過審查承建單位資質(zhì)等；在施工中通過多種操縱手段檢查監(jiān)督標(biāo)準(zhǔn)、規(guī)范的貫徹；以及通過時(shí)期驗(yàn)收和竣工驗(yàn)收把好質(zhì)量關(guān)等。3、合同治理合同治理是進(jìn)行投資操縱、工期操縱和質(zhì)量操縱的手段。因?yàn)楹贤潜O(jiān)理單位站在公正立場采取各種操縱、協(xié)調(diào)與監(jiān)督措施，履行糾紛調(diào)解職責(zé)的依據(jù)，也是實(shí)施三大目標(biāo)操縱的動身點(diǎn)和歸宿。4、信息治理信息治理包括投資操縱治理、設(shè)備操縱治理、實(shí)施治理及軟件治理。5、協(xié)調(diào)協(xié)調(diào)貫穿在整個(gè)信息系統(tǒng)工程從設(shè)計(jì)到實(shí)施再到驗(yàn)收的全過程。要緊采納現(xiàn)場和會議方式進(jìn)行協(xié)調(diào)?？傊?，三控兩管一協(xié)調(diào)，構(gòu)成了監(jiān)理工作的要緊內(nèi)容。為完滿地完成監(jiān)理差不多任務(wù)，監(jiān)理單位首先要協(xié)助建設(shè)單位確定合理、優(yōu)化的三大目標(biāo)，同時(shí)要充分可能項(xiàng)目實(shí)施過程中可能遇到的風(fēng)險(xiǎn)，進(jìn)行細(xì)致的風(fēng)險(xiǎn)分析與評估，研究防止和排除干擾的措施以及風(fēng)險(xiǎn)補(bǔ)救對策。使三大目標(biāo)及事實(shí)上現(xiàn)過程建立在合理水平和科學(xué)預(yù)測基礎(chǔ)之上。其次要將既定目標(biāo)準(zhǔn)確、完整、具體地體現(xiàn)在合同條款中，絕不能有模糊、籠統(tǒng)和有漏洞的表述。最后才是在信息工程建設(shè)實(shí)施中進(jìn)行主動的、不間斷的、動態(tài)的跟蹤和糾偏治理。圖2監(jiān)理內(nèi)容示意圖信息系統(tǒng)監(jiān)理的要緊業(yè)務(wù)和依據(jù)1、信息系統(tǒng)監(jiān)理的要緊業(yè)務(wù)信息系統(tǒng)監(jiān)理的要緊業(yè)務(wù)范圍有信息網(wǎng)絡(luò)系統(tǒng)、信息資源系統(tǒng)、信息應(yīng)用系統(tǒng)的新建、升級、改造工程。依照國內(nèi)信息系統(tǒng)監(jiān)理的實(shí)踐，其涵蓋計(jì)算機(jī)工程、網(wǎng)絡(luò)工程、通信工程、結(jié)構(gòu)化布線工程、智能大廈工程、軟件工程、系統(tǒng)集成工程以及有關(guān)計(jì)算機(jī)和信息化建設(shè)的工程及項(xiàng)目。其業(yè)務(wù)內(nèi)容具體如下：關(guān)心建設(shè)單位做好項(xiàng)目需求分析，協(xié)助建設(shè)單位選擇合適的承建單位；審定承建單位的開工報(bào)告、系統(tǒng)實(shí)施方案、施工進(jìn)度打算；對項(xiàng)目實(shí)施的各個(gè)時(shí)期進(jìn)行有效的監(jiān)督和操縱，關(guān)心建設(shè)單位操縱工程進(jìn)度、投資和質(zhì)量；審查和處理工程變更；參與工程質(zhì)量和其他事故調(diào)查；調(diào)解建設(shè)單位與承包單位的合同爭議，處理索賠、審批工程延期；組織進(jìn)行竣工驗(yàn)收測試。組織建設(shè)單位和承建單位完成工程移交。2、信息系統(tǒng)監(jiān)理的依據(jù)信息系統(tǒng)監(jiān)理的依據(jù)如下：國務(wù)院頒發(fā)的《質(zhì)量振興綱要》；現(xiàn)行國家、各省、市、自治區(qū)的有關(guān)法律、法規(guī)、規(guī)定；國際、國內(nèi)IT行業(yè)質(zhì)量標(biāo)準(zhǔn)規(guī)范；建設(shè)單位和承建單位的合同；今后還有國家標(biāo)準(zhǔn)，例如《信息化工程監(jiān)理規(guī)范》等。信息系統(tǒng)監(jiān)理的程序組建監(jiān)理機(jī)構(gòu)組建監(jiān)理機(jī)構(gòu)編制監(jiān)理打算編制監(jiān)理細(xì)則實(shí)施監(jiān)理參與驗(yàn)收并簽署監(jiān)理意見提交監(jiān)理檔案資料完成監(jiān)理圖3信息系統(tǒng)監(jiān)理的程序信息系統(tǒng)工程監(jiān)理的特點(diǎn)是全過程監(jiān)理，要緊包括四個(gè)時(shí)期的監(jiān)理工作：招投標(biāo)時(shí)期、設(shè)計(jì)時(shí)期、實(shí)施時(shí)期、驗(yàn)收時(shí)期。監(jiān)理的目標(biāo)、方法和程序都體現(xiàn)在這四個(gè)時(shí)期的監(jiān)理工作中。信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)概念信息系統(tǒng)審計(jì)是全部審計(jì)過程的一個(gè)部分，信息系統(tǒng)審計(jì)（ISaudit）目前還沒有固定通用的定義，美國信息系統(tǒng)審計(jì)的權(quán)威專家RonWeber將它定義為“收集并評估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到愛護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”。信息系統(tǒng)審計(jì)的目的是評估并提供反饋、保證及建議。其關(guān)注之處可被分為如下三類：可用性——商業(yè)高度依靠的信息系統(tǒng)能否在任何需要的時(shí)刻提供服務(wù)？信息系統(tǒng)是否被完好愛護(hù)以應(yīng)對各種的損失和災(zāi)難？保密性——系統(tǒng)保存的信息是否僅對需要這些信息的人員開放，而不對其他任何人開放？完整性——信息系統(tǒng)提供的信息是否始終保持正確、可信、及時(shí)？能否防止未授權(quán)的對系統(tǒng)數(shù)據(jù)和軟件的修改？信息系統(tǒng)審計(jì)產(chǎn)生動因及其進(jìn)展1、信息系統(tǒng)審計(jì)產(chǎn)生動因分析關(guān)于信息系統(tǒng)審計(jì)的產(chǎn)生動因，目前國際上存在兩種觀點(diǎn)：一種觀點(diǎn)認(rèn)為是從會計(jì)審計(jì)進(jìn)展到計(jì)算機(jī)審計(jì)再進(jìn)展到信息系統(tǒng)審計(jì)（計(jì)算機(jī)審計(jì)的范圍擴(kuò)展，最后涵蓋整個(gè)信息系統(tǒng)）演變過來的；另外一種認(rèn)為由于信息系統(tǒng)尤其是大型信息系統(tǒng)的建設(shè)是一項(xiàng)龐大的系統(tǒng)工程，它投資大、周期長、高技術(shù)、高風(fēng)險(xiǎn)，在系統(tǒng)的建設(shè)過程中，對工程進(jìn)行嚴(yán)格、規(guī)范的治理和操縱至關(guān)重要。而正是由于信息系統(tǒng)工程所具有的這些特點(diǎn)，建設(shè)單位往往由于技術(shù)力量有限，無力對項(xiàng)目的技術(shù)、設(shè)備、進(jìn)度、質(zhì)量和風(fēng)險(xiǎn)進(jìn)行操縱，無法保證項(xiàng)目的實(shí)施成功。因此需要有第三方進(jìn)行獨(dú)立審計(jì)。2、信息系統(tǒng)審計(jì)在國際上的進(jìn)展信息系統(tǒng)審計(jì)的進(jìn)展是伴隨著信息技術(shù)的進(jìn)展而進(jìn)展的。在數(shù)據(jù)處理電算化的初期，由于人們對計(jì)算機(jī)在數(shù)據(jù)處理中的應(yīng)用所產(chǎn)生的阻礙沒有足夠的認(rèn)識，認(rèn)為計(jì)算機(jī)處理數(shù)據(jù)準(zhǔn)確可靠，可不能出現(xiàn)錯(cuò)弊，因而專門少對數(shù)據(jù)處理系統(tǒng)進(jìn)行審計(jì)，要緊是對計(jì)算機(jī)打印出的一部分資料進(jìn)行傳統(tǒng)的手工審計(jì)。隨著計(jì)算機(jī)在數(shù)據(jù)處理系統(tǒng)中應(yīng)用的逐步擴(kuò)大，利用計(jì)算機(jī)犯罪的案件不斷出現(xiàn)，使審計(jì)人員認(rèn)識到要應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)對電子數(shù)據(jù)處理系統(tǒng)本身進(jìn)行審計(jì)，即EDI審計(jì)。同時(shí)隨著社會經(jīng)濟(jì)的進(jìn)展，審計(jì)對象、范圍越來越大，審計(jì)業(yè)務(wù)也越來越復(fù)雜，利用傳統(tǒng)的手工方法已不能及時(shí)完成審計(jì)任務(wù)，必須應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）進(jìn)行審計(jì)。八十年代、九十年代信息技術(shù)的進(jìn)一步進(jìn)展與普及，使得企業(yè)越來越依靠信息及產(chǎn)生信息的信息系統(tǒng)。人們開始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及事實(shí)上現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)審計(jì)才出現(xiàn)。隨著電子商務(wù)的全球普及，信息系統(tǒng)的審計(jì)對象、范圍及內(nèi)容將逐漸擴(kuò)大，采納的技術(shù)也將日益復(fù)雜。到目前為止，信息系統(tǒng)審計(jì)在全球來看，依舊一個(gè)新的業(yè)務(wù)，從美國五大會計(jì)師事務(wù)所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計(jì)師12名到近百名，1995年已有500名，到2000年時(shí)，信息系統(tǒng)審計(jì)師正以40%——50%的速度增加，講明信息系統(tǒng)審計(jì)正逐漸受到重視。美國在計(jì)算機(jī)進(jìn)入有用時(shí)期時(shí)就開始提出系統(tǒng)審計(jì)（SYSTEMAUDIT），從成立電子數(shù)據(jù)處理審計(jì)協(xié)會（EDPAA后更名為ISACA）以來，從事系統(tǒng)審計(jì)活動已有三十多年歷史，成為信息系統(tǒng)審計(jì)的要緊推動者，在全球建有一百多個(gè)分會，推出了一系列信息系統(tǒng)審計(jì)準(zhǔn)則、職業(yè)道德準(zhǔn)則等規(guī)范性文件，并開展了大量的理論研究，IT操縱的開放式標(biāo)準(zhǔn)COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。3、信息系統(tǒng)審計(jì)在國內(nèi)的進(jìn)展目前國內(nèi)有學(xué)者提出計(jì)算機(jī)審計(jì)，電算化審計(jì)，但差不多上停留在對會計(jì)信息系統(tǒng)的審計(jì)上，延伸手工會計(jì)信息系統(tǒng)審計(jì)，尚未全面探討信息時(shí)代給審計(jì)業(yè)務(wù)帶來的深刻變化。以我國在1999年頒布了獨(dú)立審計(jì)準(zhǔn)則第20號——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)為例，其更多關(guān)注的是會計(jì)信息系統(tǒng)。在信息時(shí)代，面對加入WTO后全球一體化市場，我國IT服務(wù)業(yè)面臨巨大的挑戰(zhàn)，開展信息系統(tǒng)審計(jì)業(yè)務(wù)不失為推動我國IT服務(wù)業(yè)進(jìn)展的一次絕佳機(jī)會。信息系統(tǒng)審計(jì)的理論基礎(chǔ)信息系統(tǒng)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡單擴(kuò)展，信息技術(shù)不單阻礙傳統(tǒng)審計(jì)人員執(zhí)行鑒證業(yè)務(wù)的能力，更重要的是公司和信息系統(tǒng)治理者都認(rèn)識到信息資產(chǎn)是組織最有價(jià)值的資產(chǎn)，和傳統(tǒng)資產(chǎn)一樣需要操縱，組織同時(shí)需要審計(jì)人員提供對信息資產(chǎn)操縱的評價(jià)。因此信息系統(tǒng)審計(jì)是一門邊緣性學(xué)科，跨越多學(xué)科領(lǐng)域。如圖3所示，信息系統(tǒng)審計(jì)是建立在四個(gè)理論基礎(chǔ)之上的：傳統(tǒng)審計(jì)理論。傳統(tǒng)審計(jì)理論為信息系統(tǒng)審計(jì)提供了豐富的內(nèi)部操縱理論與實(shí)踐經(jīng)驗(yàn)，以保證所有交易數(shù)據(jù)都被正確處理。同時(shí)收集并評價(jià)證據(jù)的方法論也在信息系統(tǒng)審計(jì)中廣泛應(yīng)用，最為重要的是傳統(tǒng)審計(jì)給信息系統(tǒng)審計(jì)帶來的操縱哲學(xué)，即用慎重的眼光審視信息系統(tǒng)在愛護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。信息系統(tǒng)治理理論。信息系統(tǒng)治理理論是一門關(guān)于如何更好地治理信息系統(tǒng)的開發(fā)與運(yùn)行過程的理論，它的進(jìn)展提高了系統(tǒng)愛護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。行為科學(xué)理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié)，信息系統(tǒng)有時(shí)會因?yàn)槿说膯栴}而失敗，比如對系統(tǒng)不滿的用戶有意破壞系統(tǒng)及其操縱。因此審計(jì)人員必須了解哪些行為因素可能導(dǎo)致系統(tǒng)失敗。這方面行為科學(xué)特不是組織學(xué)理論解釋了組織中產(chǎn)生的“人的問題”。計(jì)算機(jī)科學(xué)。計(jì)算機(jī)科學(xué)本身的進(jìn)展也在關(guān)注如何愛護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)。然而技術(shù)是一把雙刃劍，計(jì)算機(jī)科學(xué)的進(jìn)展能夠使審計(jì)人員降低對系統(tǒng)組件可靠性的關(guān)注，信息技術(shù)的進(jìn)步也可能啟發(fā)犯罪，例如一個(gè)重要的問題是信息技術(shù)在會計(jì)制度中的應(yīng)用是否給罪犯提供了較多緩沖時(shí)刻？假如是，那么今天網(wǎng)絡(luò)犯罪產(chǎn)生的社會威脅較以往任何時(shí)候都要大。圖3：IS審計(jì)的理論基礎(chǔ)圖3：IS審計(jì)的理論基礎(chǔ)IS審計(jì)傳統(tǒng)審計(jì)信息系統(tǒng)治理計(jì)算機(jī)科學(xué)行為科學(xué)信息系統(tǒng)審計(jì)的差不多業(yè)務(wù)和依據(jù)1、信息系統(tǒng)審計(jì)的差不多業(yè)務(wù)信息系統(tǒng)審計(jì)業(yè)務(wù)將隨著信息技術(shù)的進(jìn)展而進(jìn)展，為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容，目前其差不多業(yè)務(wù)如下：系統(tǒng)開發(fā)審計(jì)，包括開發(fā)過程的審計(jì)、開發(fā)方法的審計(jì)，為IT規(guī)劃指導(dǎo)委員會及變革操縱委員會提供咨詢服務(wù)；要緊數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計(jì)，包括財(cái)務(wù)系統(tǒng)和非財(cái)務(wù)系統(tǒng)的應(yīng)用審計(jì)；支持其他審計(jì)人員的工作，為財(cái)務(wù)審計(jì)人員與經(jīng)營審計(jì)人員提供技術(shù)支持和培訓(xùn)；為組織提供增值服務(wù)，為治理信息系統(tǒng)人員提供技術(shù)、操縱與安全指導(dǎo)；推動風(fēng)險(xiǎn)自評估程序的執(zhí)行；軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計(jì)；災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)打算審計(jì)；對系統(tǒng)運(yùn)營效能、投資回報(bào)率及應(yīng)用開發(fā)測試審計(jì)；系統(tǒng)的安全審計(jì)；網(wǎng)站的信譽(yù)審計(jì)；全面操縱審計(jì)等。一個(gè)信息系統(tǒng)不等同于一臺計(jì)算機(jī)。今天的信息系統(tǒng)是復(fù)雜的，由多個(gè)部分組成以做出商業(yè)解決方案。只有各個(gè)組成部分通過了評估，判定安全，才能保證整個(gè)信息系統(tǒng)的正常工作。對一個(gè)信息系統(tǒng)審計(jì)的要緊組成部分分成以下幾類：信息系統(tǒng)的治理、規(guī)劃與組織——評價(jià)信息系統(tǒng)的治理、打算與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)——評價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的治理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo).資產(chǎn)的愛護(hù)——對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評價(jià)，確保其能支持組織愛護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)打算——這些打算是在發(fā)生災(zāi)難時(shí)，能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對這種打算的建立和維護(hù)流程需要進(jìn)行評價(jià)。應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)——對應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采納的方法和流程進(jìn)行評價(jià)，以確保其滿足組織的業(yè)務(wù)目標(biāo)。業(yè)務(wù)流程評價(jià)與風(fēng)險(xiǎn)治理——評估業(yè)務(wù)系統(tǒng)與處理流程，確保依照組織的業(yè)務(wù)目標(biāo)對相應(yīng)風(fēng)險(xiǎn)實(shí)施治理。2、信息系統(tǒng)審計(jì)的依據(jù) 信息系統(tǒng)審計(jì)師須了解規(guī)劃、執(zhí)行及完成審計(jì)工作的步驟與技術(shù)，并盡量遵守國際信息系統(tǒng)審計(jì)與操縱協(xié)會的一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則、操縱目標(biāo)和其他法律與規(guī)定。一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則——包括職業(yè)準(zhǔn)則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準(zhǔn)則可歸類為：審計(jì)規(guī)章、獨(dú)立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計(jì)工作的執(zhí)行、報(bào)告、期后審計(jì)。ISACA公告是信息系統(tǒng)審計(jì)與操縱協(xié)會對信息系統(tǒng)審計(jì)一般準(zhǔn)則所做的講明。ISACA職業(yè)道德及規(guī)范提供針對協(xié)會會員或信息系統(tǒng)審計(jì)認(rèn)證（CISA）持有者有關(guān)職業(yè)上及個(gè)人的指導(dǎo)規(guī)范。信息系統(tǒng)的操縱目標(biāo)——信息系統(tǒng)審計(jì)與操縱協(xié)會在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被國際上公認(rèn)是最先進(jìn)、最權(quán)威的安全與信息技術(shù)治理和操縱的標(biāo)準(zhǔn)，目前差不多更新至第三版。它在商業(yè)風(fēng)險(xiǎn)、操縱需要和技術(shù)問題之間架起了一座橋梁，以滿足治理的多方面需要。面向業(yè)務(wù)是COBIT的主題。它不僅設(shè)計(jì)用于用戶和審計(jì)師，而且更重要的是可用于全面指導(dǎo)治理者與業(yè)務(wù)過程的所有者。商業(yè)實(shí)踐中越來越多的包含了對業(yè)務(wù)過程所有者的全面授權(quán)，因此他們承擔(dān)著業(yè)務(wù)過程所有方面的全部責(zé)任。特不的是，這其中包含著要提供足夠的操縱。Cobit框架為業(yè)務(wù)過程所有者提供了一個(gè)工具，以方便他們承擔(dān)責(zé)任。其框架包括四大部分：架構(gòu)、操縱目標(biāo)、審計(jì)指南及執(zhí)行概要。COBIT架構(gòu)著重各項(xiàng)處理的高層次操縱，操縱目標(biāo)則著重于各項(xiàng)IT處理或?qū)υ摷軜?gòu)所包括的34項(xiàng)IT處理的特定詳細(xì)操縱目標(biāo)，每一項(xiàng)IT處理都有5至25個(gè)詳細(xì)操縱目標(biāo)，操縱目標(biāo)使整體架構(gòu)和詳細(xì)操縱目標(biāo)緊密對應(yīng)，相互一致。詳細(xì)操縱目標(biāo)有18種要緊來源，涵蓋現(xiàn)行的及法定有關(guān)IT的國際性準(zhǔn)則與規(guī)定。這包括對各項(xiàng)IT工作所建置的操縱程序擬達(dá)到的預(yù)期結(jié)果或目標(biāo)的敘述，以提供全球所有的產(chǎn)業(yè)有關(guān)IT操縱的明確方針及實(shí)際最佳的應(yīng)用。其他法律及規(guī)定。每個(gè)組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè)，都需要遵守政府或外部對與電腦系統(tǒng)運(yùn)作、操縱，及電腦、程序、信息的使用情況等有關(guān)的規(guī)定或要求，關(guān)于一向受嚴(yán)格管制的行業(yè)，尤其要注意遵守。以國際性銀行為例，若因不良備份及復(fù)原程序而無法提供適當(dāng)?shù)姆?wù)水準(zhǔn)，其公司及職員將受嚴(yán)峻處罰。此外，由于對EDP及信息系統(tǒng)的依靠性加重，許多國家極力建立更多有關(guān)信息系統(tǒng)審計(jì)的規(guī)定。這些規(guī)定內(nèi)容是關(guān)于建置、組織、責(zé)任與財(cái)務(wù)及業(yè)務(wù)操作審計(jì)功能的關(guān)聯(lián)性。有關(guān)的治理階層人員必須考慮與組織目標(biāo)、打算及與信息服務(wù)部門/職能/工作的責(zé)任及工作等有關(guān)的外部規(guī)定或要求。信息系統(tǒng)審計(jì)流程開始審計(jì)工作的預(yù)備包括收集背景信息，可能完成審計(jì)需要的資源和技巧。包括合理進(jìn)行人員分工。與負(fù)責(zé)的高級經(jīng)理進(jìn)行一次正式的開始審計(jì)會議，最后決定范圍，理解特不關(guān)注之處，假如有的話，制定日程，解釋審計(jì)方法。如此的會議有高級經(jīng)理的參與，使人們互相認(rèn)識，闡明問題強(qiáng)調(diào)商業(yè)關(guān)注點(diǎn)，使得審計(jì)工作得以順利進(jìn)行。類似的，在審計(jì)完成后，也召開一次正式會議，向高級經(jīng)理交流審計(jì)結(jié)果，提出改進(jìn)建議。這將確保進(jìn)一步的理解，增加審計(jì)建議的接納程度。也給了被審計(jì)者一個(gè)機(jī)會來表達(dá)他們對提出問題的觀點(diǎn)。會議之后書寫報(bào)告，能夠大大增加審計(jì)的效果。開始開始審計(jì)工作預(yù)備工作了解內(nèi)部操縱結(jié)構(gòu)評價(jià)操縱風(fēng)險(xiǎn)是否信賴內(nèi)部操縱？是否仍可信賴內(nèi)部操縱？內(nèi)部操縱測試評價(jià)操縱風(fēng)險(xiǎn)是否提高內(nèi)部操縱的信賴程度？擴(kuò)大實(shí)質(zhì)性測試有限的實(shí)質(zhì)性測試形成審計(jì)意見出具審計(jì)報(bào)告是否是是否結(jié)束否基于風(fēng)險(xiǎn)的審計(jì)方法專門多組織意識到技術(shù)能帶來的潛在好處。然而，成功的組織還能夠理解和治理好與采納新技術(shù)相關(guān)的專門多風(fēng)險(xiǎn)。因此，審計(jì)從基于操縱（Control-Based）演變?yōu)榛陲L(fēng)險(xiǎn)（Risk-Based）的方法,其內(nèi)涵包括企業(yè)風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)治理、風(fēng)險(xiǎn)溝通。每個(gè)組織使用許多信息系統(tǒng)。對不同功能和活動有不同的應(yīng)用軟件，在不同的地理區(qū)域可能有眾多的計(jì)算機(jī)配置。審計(jì)者面臨的問題是審計(jì)什么，什么時(shí)候及審計(jì)頻率。其答案是接納基于風(fēng)險(xiǎn)的方法。信息系統(tǒng)有著與生俱來的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)用不同方式?jīng)_擊信息系統(tǒng)。對繁忙的零售超市，信息系統(tǒng)哪怕一個(gè)小時(shí)的不可用都會對營業(yè)系統(tǒng)造成嚴(yán)峻阻礙。未授權(quán)的修改可能造成對在線銀行系統(tǒng)的欺詐及潛在損失。系統(tǒng)運(yùn)行的技術(shù)環(huán)境也可能阻礙系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)?；陲L(fēng)險(xiǎn)方法來進(jìn)行審計(jì)的步驟是：編制組織使用的信息系統(tǒng)清單并對其進(jìn)行分類。決定哪些系統(tǒng)阻礙關(guān)鍵功能和資產(chǎn)。評估哪些風(fēng)險(xiǎn)阻礙這些系統(tǒng)及對商業(yè)運(yùn)做的沖擊。在上述評估的基礎(chǔ)上對系統(tǒng)分級，決定審計(jì)優(yōu)先值，資源，進(jìn)度和頻率。審計(jì)者能夠制定年度審計(jì)打算，排列出一年之中要進(jìn)行的審計(jì)項(xiàng)目。信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)之對比分析從前面兩部分的介紹可知，信息系統(tǒng)審計(jì)在國際上差不多體系化、標(biāo)準(zhǔn)化、程序化，而我國信息系統(tǒng)監(jiān)理僅有最差不多的輪廓，積存了一些經(jīng)驗(yàn)，但尚沒有形成完整的方法論。因此，目前只能從概念、進(jìn)展動因等方面做較為寬泛的對比。只是，對比國際通用體系，可為我國進(jìn)展信息系統(tǒng)監(jiān)管體系以及制定相應(yīng)的治理制度或?qū)嵤┘?xì)則提供借鑒。信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)之對比，可歸納出以下特點(diǎn)：兩者性質(zhì)相同，差不多上第三方監(jiān)督，但對獨(dú)立性的要求有差不。兩者差不多上立足在第三方的立場，公平對待托付方與被監(jiān)督方，并要求確保公正性、公平性，以《北京市信息系統(tǒng)工程監(jiān)理治理方法》為例，其第十四條是“信息系統(tǒng)工程監(jiān)理單位應(yīng)當(dāng)客觀、公平、公正地執(zhí)行監(jiān)理任務(wù)”，然而對這一行業(yè)賴以存在并得以進(jìn)展的信條和靈魂——獨(dú)立性沒做明確要求。而信息系統(tǒng)審計(jì)對第三方的超然獨(dú)立要求極其嚴(yán)格，也因此在保證客觀、公正上更有可操作性?？陀^公正應(yīng)當(dāng)是每個(gè)信息系統(tǒng)審計(jì)師和監(jiān)理工程師職業(yè)道德方面追求的最高目標(biāo)，然而人們專門難衡量其在執(zhí)行業(yè)務(wù)時(shí)是否差不多達(dá)到了客觀公正，假如只作精神上的要求，那么準(zhǔn)則和要求將變成牧師的布道，職業(yè)人員專門難執(zhí)行，社會公眾專門難觀看，因此信息系統(tǒng)審計(jì)準(zhǔn)則中有關(guān)于審計(jì)師獨(dú)立性的要求。有關(guān)獨(dú)立性問題的系統(tǒng)研究當(dāng)首推羅伯特.K.莫茨（R.K.Mautz）和侯賽因.A.夏拉夫（H.A.sharaf）1961年出版的《審計(jì)哲學(xué)》（ThephilosophyofAuditing）。其中對獨(dú)立性的討論包含了兩個(gè)方面：執(zhí)業(yè)者的獨(dú)立性(Practitioner-independence)和職業(yè)的獨(dú)立性（Profession-independence）。前者包括審計(jì)打算的獨(dú)立性、審計(jì)過程的獨(dú)立性和審計(jì)報(bào)告的獨(dú)立性；后者則是指社會公眾對注冊會計(jì)師行業(yè)的一種印象。曾任美國注冊會計(jì)師協(xié)會職業(yè)道德委員會主席的托馬斯.G.希金斯（ThomasGHiggins）在1962年對獨(dú)立性的概念又進(jìn)行了進(jìn)一步的提升與概括，他認(rèn)為：“注冊會計(jì)師必須擁有的獨(dú)立性，實(shí)際上有兩種，實(shí)質(zhì)上的獨(dú)立性和形式上的獨(dú)立性”。所謂形式上的獨(dú)立性，是指注冊會計(jì)師必須與被審查企業(yè)或個(gè)人沒有任何專門的利益關(guān)系，如不得擁有被審查企業(yè)股權(quán)或擔(dān)任其高級職務(wù)，不能是企業(yè)的要緊貸款人、資產(chǎn)受托人或與治理當(dāng)局有親屬關(guān)系，等等。否則，就會阻礙注冊會計(jì)師公正地執(zhí)行業(yè)務(wù)。形式上的獨(dú)立性又可進(jìn)一步分為組織上的獨(dú)立性、經(jīng)濟(jì)上的獨(dú)立性與人員上的獨(dú)立性三種。所謂實(shí)質(zhì)上的獨(dú)立性，又稱為精神獨(dú)立性，即認(rèn)為獨(dú)立性是一種精神狀態(tài)、一種自信心以及在推斷時(shí)不依靠和屈從于外界的壓力和阻礙。它要求注冊會計(jì)師在執(zhí)業(yè)過程中嚴(yán)格保持超然性，不能主觀袒護(hù)任何一方當(dāng)事人，尤其不應(yīng)使自己的結(jié)論依附或屈從于持反對意見利益集團(tuán)或人士的阻礙和壓力。由上可知，實(shí)質(zhì)上的獨(dú)立性是無形的，通常是難以觀看和度量的，而形式上的獨(dú)立性則是有形的和能夠觀看的。社會公眾通常是透過注冊會計(jì)師形式上的獨(dú)立性來推測事實(shí)上質(zhì)上的獨(dú)立性。因此，從那個(gè)意義上來講，形式上的獨(dú)立性是實(shí)質(zhì)上的獨(dú)立性的載體和重要前提。由此可見，形式上獨(dú)立專門重要，因?yàn)樗鼘ｉT好界定，便于準(zhǔn)則規(guī)范，在現(xiàn)實(shí)環(huán)境中有專門好的可執(zhí)行性。因此我們認(rèn)為，信息系統(tǒng)監(jiān)理行業(yè)假如不能在獨(dú)立性的制度建設(shè)上取得重大突破，整個(gè)行業(yè)的社會信任度大打折扣，而誠信和道德水準(zhǔn)的提升對制度缺陷的修正也會專門難在實(shí)質(zhì)上取得成效。信息系統(tǒng)監(jiān)理行業(yè)進(jìn)展中所面臨的各種問題都專門重要，但圍繞信息系統(tǒng)監(jiān)理職業(yè)獨(dú)立性的建設(shè)可能是各項(xiàng)工作中的重中之重。（本文對注冊會計(jì)師的討論同樣適用于信息系統(tǒng)審計(jì)師）。國外信息系統(tǒng)審計(jì)差不多進(jìn)展為較完善的行業(yè)監(jiān)督體系。目前國內(nèi)信息系統(tǒng)審計(jì)剛剛起步，而信息工程監(jiān)理還不夠規(guī)范。國家缺乏相應(yīng)的法律、法規(guī)和標(biāo)準(zhǔn)，至今還沒有有效的治理手段，在托付方和被托付方之間也沒有一種協(xié)調(diào)的機(jī)制來建立兩者之間的信任。同時(shí)我國行業(yè)不規(guī)范的責(zé)任往往被輕易地歸咎于政府監(jiān)管的不力；同樣輕易得到的結(jié)論，是因此要“加強(qiáng)監(jiān)管機(jī)構(gòu)的權(quán)力和范圍”。美國的會計(jì)行業(yè)規(guī)范不是這么一種邏輯。在規(guī)范行業(yè)行為中，政府監(jiān)管是一個(gè)重要的輔助措施；而真正起決定性作用的，是市場中的制衡力量，以及為這些制衡力量切實(shí)發(fā)揮作用而形成的各種正式或非正式的制度安排。美國注冊會計(jì)師行業(yè)的治理機(jī)制——行業(yè)自我治理和外部約束向結(jié)合發(fā)揮了重要作用。行業(yè)自我治理是通過行業(yè)組織、準(zhǔn)則和規(guī)則、監(jiān)督來實(shí)現(xiàn)的，行業(yè)外部約束通過政府組織、準(zhǔn)則和規(guī)則、監(jiān)督和實(shí)施來實(shí)現(xiàn)。如美國國會和SEC監(jiān)管下的行業(yè)自律。外部監(jiān)管以加強(qiáng)管制的可能性來對行業(yè)施加約束。而較強(qiáng)的行政管制，將在專門大程度上限制會計(jì)行業(yè)自主進(jìn)展的權(quán)利和業(yè)務(wù)拓展空間，損害所有從業(yè)者的利益，因此行業(yè)總體上需要以行業(yè)自律來換取行業(yè)自我管制。假如行業(yè)不能自律，公眾要求國會加強(qiáng)行政管制的壓力使得這種可能性現(xiàn)實(shí)存在。兩者業(yè)務(wù)范圍和目的均有所差不。信息系統(tǒng)工程監(jiān)理和信息系統(tǒng)審計(jì)差不多上對質(zhì)量操縱的再操縱，但兩者業(yè)務(wù)范圍和目的均有所差不。1、兩者業(yè)務(wù)范圍差不信息系統(tǒng)工程監(jiān)理是指具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，同意建設(shè)單位的托付，依據(jù)國家和本市有關(guān)規(guī)定、信息系統(tǒng)工程建設(shè)標(biāo)準(zhǔn)和工程承建、監(jiān)理合同，對信息系統(tǒng)工程的質(zhì)量、進(jìn)度和投資方面實(shí)施監(jiān)督。目前要緊應(yīng)用在信息化工程建設(shè)時(shí)期。信息系統(tǒng)審計(jì)是一個(gè)獵取并評價(jià)證據(jù)，以推斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。它是立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動過程都在審計(jì)師的業(yè)務(wù)之內(nèi)。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如信息系統(tǒng)安全審計(jì)、網(wǎng)譽(yù)審計(jì)、PKI/CA審計(jì)、電子簽名審計(jì)業(yè)務(wù)等。2、兩者目的差不信息系統(tǒng)工程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進(jìn)度和投資額滿足建設(shè)要求。監(jiān)理活動隨著工程的完成而結(jié)束。信息系統(tǒng)審計(jì)的目的是合理保證信息系統(tǒng)能夠愛護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其核心是信息系統(tǒng)的效率、效果。不僅包括對建設(shè)過程的審計(jì)，更重要的是對信息系統(tǒng)的運(yùn)營審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否愛護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。只要信息系統(tǒng)在運(yùn)行，審計(jì)活動一直存在。另外，信息系統(tǒng)工程監(jiān)理的過程是可見的，即對項(xiàng)目成本、進(jìn)度和質(zhì)量與目標(biāo)出現(xiàn)的偏差是可見的，及時(shí)糾正也方便。但信息系統(tǒng)審計(jì)對信息系統(tǒng)的安全性、可靠性與有效性的認(rèn)定具有不可見性，這也正是信息系統(tǒng)比工程項(xiàng)目復(fù)雜的要緊緣故。信息系統(tǒng)建設(shè)完畢，這僅僅是信息化的開始，大量的問題將出現(xiàn)在信息系統(tǒng)運(yùn)維時(shí)期，因此，從那個(gè)角度而言，信息系統(tǒng)審計(jì)是保證信息系統(tǒng)質(zhì)量的行之有效的方法。信息系統(tǒng)審計(jì)與方法研究具有科學(xué)化、規(guī)范化、智能化和系統(tǒng)化的特點(diǎn)。所謂科學(xué)化，是指現(xiàn)代審計(jì)技術(shù)與方法的研究，差不多超越了傳統(tǒng)的經(jīng)驗(yàn)論，特不強(qiáng)調(diào)把科學(xué)手段和經(jīng)驗(yàn)總結(jié)相結(jié)合。比較典型的例子確實(shí)是分析性復(fù)核技術(shù)的進(jìn)展。所謂分析性復(fù)核，事實(shí)上質(zhì)確實(shí)是將審計(jì)人員掌握的一些客觀規(guī)律總結(jié)出來，測算出被審計(jì)事項(xiàng)的合理預(yù)期值，再與被審計(jì)事項(xiàng)的實(shí)際值相比較，進(jìn)一步評估差異的合理性之后，確定是否還需要對被審計(jì)事項(xiàng)進(jìn)行詳細(xì)測試。這一個(gè)過程，實(shí)際上被許多審計(jì)人員不自覺地運(yùn)用了多年，但通過公式和比率等形式總結(jié)出來，主動指導(dǎo)審計(jì)人員的實(shí)踐，卻是最近２０年來審計(jì)技術(shù)與方法研究的一大突出特點(diǎn)?？茖W(xué)化的另一個(gè)表現(xiàn)確實(shí)是數(shù)學(xué)和統(tǒng)計(jì)學(xué)技術(shù)在審計(jì)中的運(yùn)用日益廣泛，抽樣統(tǒng)計(jì)技術(shù)的全面推廣確實(shí)是例證。所謂規(guī)范化，是指審計(jì)機(jī)構(gòu)將審計(jì)程序設(shè)計(jì)與審計(jì)技術(shù)方法的運(yùn)用有機(jī)結(jié)合，規(guī)范和引導(dǎo)審計(jì)人員運(yùn)用適當(dāng)?shù)膶徲?jì)技術(shù)和方法。以往，審計(jì)人員在運(yùn)用審計(jì)技術(shù)和方法的過程中容易有較大的隨意性，用與不用，在什么時(shí)候用，如何使用，都沒有規(guī)范和約束，導(dǎo)致整個(gè)審計(jì)機(jī)構(gòu)的標(biāo)準(zhǔn)不統(tǒng)一，質(zhì)量沒有保證。隨著程序?qū)蚴綄徲?jì)軟件平臺的開發(fā)和廣泛運(yùn)用，越來越多的審計(jì)機(jī)構(gòu)開始把審計(jì)技術(shù)與方法融入到規(guī)范的審計(jì)程序之中，要求并指導(dǎo)審計(jì)人員合理運(yùn)用審計(jì)技術(shù)。所謂智能化，強(qiáng)調(diào)的確實(shí)是將歷史經(jīng)驗(yàn)總結(jié)、科學(xué)規(guī)律推導(dǎo)和審計(jì)人員的專業(yè)推斷結(jié)合起來，指導(dǎo)審計(jì)人員得出合理的審計(jì)結(jié)論。在審計(jì)過程中，數(shù)學(xué)、統(tǒng)計(jì)學(xué)的分析結(jié)果，都不能完全替代審計(jì)人員的專業(yè)推斷，因?yàn)樵谄淅玫臄?shù)學(xué)公式中，仍然有許多變量需要審計(jì)人員主觀確定。在這種情況下，越來越多的審計(jì)機(jī)構(gòu)，傾向于在審計(jì)軟件中為審計(jì)人員的決策提供參考。目前，許多審計(jì)機(jī)構(gòu)不惜花巨資，邀請審計(jì)領(lǐng)域的專家，分析在各種情況下常見的審計(jì)策略或方法以及對不同審計(jì)結(jié)果的推斷標(biāo)準(zhǔn)。因此，對審計(jì)而言，智能化永久差不多上一個(gè)相對的概念，電腦和機(jī)器永久不能替代審計(jì)人員的決策，但提供決策輔助和參考意見，確實(shí)特不必要。所謂系統(tǒng)化，是指審計(jì)戰(zhàn)略（策略）和審計(jì)技術(shù)方法的全面協(xié)調(diào)。審計(jì)戰(zhàn)略（策略）解決的是要審什么、想達(dá)到什么目的，審計(jì)技術(shù)和方法解決的是如何審和如何達(dá)到目的，這兩者的協(xié)調(diào)是審計(jì)技術(shù)與方法的研究成果得以全面運(yùn)用的關(guān)鍵。回憶最近２０多年來審計(jì)技術(shù)與方法的研究歷程，能夠清晰地發(fā)覺，審計(jì)技術(shù)的研究和運(yùn)用完全是在風(fēng)險(xiǎn)基礎(chǔ)審計(jì)理論指導(dǎo)下的開拓和進(jìn)展，而脫離理論指導(dǎo)的實(shí)踐經(jīng)驗(yàn)總結(jié)相對越來越少。這一點(diǎn)給我們的啟發(fā)在于，審計(jì)技術(shù)與方法的研究，不能超越差不多審計(jì)理論和審計(jì)目標(biāo)的研究，也不能脫離審計(jì)戰(zhàn)略和審計(jì)目標(biāo)的總體要求。信息系統(tǒng)審計(jì)具有較完善的職業(yè)教育和認(rèn)證體系。國際信息系統(tǒng)審計(jì)與操縱協(xié)會ISACA（InformationSystemAuditandControlAssociation）是唯一有權(quán)授予國際信息系統(tǒng)審計(jì)師資格的跨國界、跨行業(yè)專業(yè)機(jī)構(gòu)，該協(xié)會成立于1969年，總部在美國的芝加哥。目前在世界上100多個(gè)國家設(shè)有160多個(gè)分會，現(xiàn)有會員兩萬多人。注冊信息系統(tǒng)審計(jì)師CISA（CertifiedInformationSystemAuditor）資格由ISACA授予，是信息系統(tǒng)審計(jì)領(lǐng)域的唯