信息系統監理與信息系統審計之對比分析
從前面兩部分的介紹可知,信息系統審計在國際上已經體系化、標準化、程序化,而我國信息系統監理僅有最基本的輪廓,積累了一些經驗,但尚沒有形成完整的方法論。因此,目前只能從概念、發展動因等方面做較為寬泛的對比。不過,對比國際通用體系,可為我國發展信息系統監管體系以及制定相應的管理制度或實施細則提供借鑒。
信息系統監理與信息系統審計之對比,可歸納出以下特點:
兩者性質相同,都是第三方監督,但對獨立性的要求有差別。
兩者都是立足在第三方的立場,公平對待委托方與被監督方,并要求確保公正性、公平性,以《北京市信息系統工程監理管理辦法》為例,其第十四條是“信息系統工程監理單位應當客觀、公平、公正地執行監理任務”,但是對這一行業賴以存在并得以發展的信條和靈魂——獨立性沒做明確要求。而信息系統審計對第三方的超然獨立要求極其嚴格,也因此在保證客觀、公正上更有可操作性。
客觀公正應當是每個信息系統審計師和監理工程師職業道德方面追求的最高目標,但是人們很難衡量其在執行業務時是否已經達到了客觀公正,如果只作精神上的要求,那么準則和要求將變成牧師的布道,職業人員很難執行,社會公眾很難觀察,所以信息系統審計準則中有關于審計師獨立性的要求。有關獨立性問題的系統研究當首推羅伯特.K.莫茨(R.K.Mautz)和侯賽因.A.夏拉夫(H.A.sharaf)1961年出版的《審計哲學》(ThephilosophyofAuditing)。
其中對獨立性的討論包含了兩個方面:執業者的獨立性(Practitionerindependence)和職業的獨立性(Professionindependence)。前者包括審計計劃的獨立性、審計過程的獨立性和審計報告的獨立性;后者則是指社會公眾對注冊會計師行業的一種印象。曾任美國注冊會計師協會職業道德委員會主席的托馬斯.G.希金斯(ThomasGHiggins)在1962年對獨立性的概念又進行了進一步的提升與概括,他認為:“注冊會計師必須擁有的獨立性,實際上有兩種,實質上的獨立性和形式上的獨立性”。
所謂形式上的獨立性,是指注冊會計師必須與被審查企業或個人沒有任何特殊的利益關系,如不得擁有被審查企業股權或擔任其高級職務,不能是企業的主要貸款人、資產受托人或與管理當局有親屬關系,等等。否則,就會影響注冊會計師公正地執行業務。
形式上的獨立性又可進一步分為組織上的獨立性、經濟上的獨立性與人員上的獨立性三種。
所謂實質上的獨立性,又稱為精神獨立性,即認為獨立性是一種精神狀態、一種自信心以及在判斷時不依賴和屈從于外界的壓力和影響。它要求注冊會計師在執業過程中嚴格保持超然性,不能主觀袒護任何一方當事人,尤其不應使自己的結論依附或屈從于持反對意見利益集團或人士的影響和壓力。
由上可知,實質上的獨立性是無形的,通常是難以觀察和度量的,而形式上的獨立性則是有形的和可以觀察的。社會公眾通常是透過注冊會計師形式上的獨立性來推測其實質上的獨立性。因此,從這個意義上來說,形式上的獨立性是實質上的獨立性的載體和重要前提。
由此可見,形式上獨立很重要,因為它很好界定,便于準則規范,在現實環境中有很好的可執行性。因此我們認為,信息系統監理行業如果不能在獨立性的制度建設上取得重大突破,整個行業的社會信任度大打折扣,而誠信和道德水準的提升對制度缺陷的修正也會很難在實質上取得成效。信息系統監理行業發展中所面臨的各種問題都很重要,但圍繞信息系統監理職業獨立性的建設可能是各項工作中的重中之重。(本文對注冊會計師的討論同樣適用于信息系統審計師)。
國外信息系統審計已經發展為較完善的行業監督體系。
目前國內信息系統審計剛剛起步,而信息工程監理還不夠規范。國家缺乏相應的法律、法規和標準,至今還沒有有效的管理手段,在委托方和被委托方之間也沒有一種協調的機制來建立兩者之間的信任。并且我國行業不規范的責任往往被輕易地歸咎于政府監管的不力;同樣輕易得到的結論,是因此要“加強監管機構的權力和范圍”。美國的會計行業規范不是這么一種邏輯。在規范行業行為中,政府監管是一個重要的輔助措施;而真正起決定性作用的,是市場中的制衡力量,以及為這些制衡力量切實發揮作用而形成的各種正式或非正式的制度安排。
美國注冊會計師行業的管理機制——行業自我管理和外部約束向結合發揮了重要作用。行業自我管理是通過行業組織、準則和規則、監督來實現的,行業外部約束通過政府組織、準則和規則、監督和實施來實現。如美國國會和SEC監管下的行業自律。外部監管以加強管制的可能性來對行業施加約束。而較強的行政管制,將在很大程度上限制會計行業自主發展的權利和業務拓展空間,損害所有從業者的利益,因此行業總體上需要以行業自律來換取行業自我管制。如果行業不能自律,公眾要求國會加強行政管制的壓力使得這種可能性現實存在。
兩者業務范圍和目的均有所差別。
信息系統工程監理和信息系統審計都是對質量控制的再控制,但兩者業務范圍和目的均有所差別。
1、兩者業務范圍差別
信息系統工程監理是指具有信息系統工程監理資質的單位,接受建設單位的委托,依據國家和本市有關規定、信息系統工程建設標準和工程承建、監理合同,對信息系統工程的質量、進度和投資方面實施監督。目前主要應用在信息化工程建設階段。
信息系統審計是一個獲取并評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標,為有效的實現組織戰略目標而采取的一切活動過程都在審計師的業務之內。其業務范圍包括與信息系統有關的所有領域,例如信息系統安全審計、網譽審計、PKI/CA審計、電子簽名審計業務等。
2、兩者目的差別
信息系統工程監理的目的是保證工程建設質量、進度和投資額滿足建設要求。監理活動隨著工程的完成而結束。信息系統審計的目的是合理保證信息系統能夠保護資產的安全、數據的完整、系統有效地實現組織目標并有效率的利用組織資源,其核心是信息系統的效率、效果。不僅包括對建設過程的審計,更重要的是對信息系統的運營審計,向公眾出具審計報告,鑒證信息系統能否保護企業資產安全,其產生、傳遞的信息是否完整,整個系統是否有效地實現組織目標并有效率的利用組織資源。只要信息系統在運行,審計活動一直存在。
另外,信息系統工程監理的過程是可見的,即對項目成本、進度和質量與目標出現的偏差是可見的,及時糾正也方便。但信息系統審計對信息系統的安全性、可靠性與有效性的認定具有不可見性,這也正是信息系統比工程項目復雜的主要原因。信息系統建設完畢,這僅僅是信息化的開始,大量的問題將出現在信息系統運維階段,因此,從這個角度而言,信息系統審計是保證信息系統質量的行之有效的方法。
信息系統審計與方法研究具有科學化、規范化、智能化和系統化的特點。
所謂科學化,是指現代審計技術與方法的研究,已經超越了傳統的經驗論,非常強調把科學手段和經驗總結相結合。比較典型的例子就是分析性復核技術的發展。所謂分析性復核,其實質就是將審計人員掌握的一些客觀規律總結出來,測算出被審計事項的合理預期值,再與被審計事項的實際值相比較,進一步評估差異的合理性之后,確定是否還需要對被審計事項進行詳細測試。這一個過程,實際上被許多審計人員不自覺地運用了多年,但通過公式和比率等形式總結出來,主動指導審計人員的實踐,卻是最近20年來審計技術與方法研究的一大突出特點。科學化的另一個表現就是數學和統計學技術在審計中的運用日益廣泛,抽樣統計技術的全面推廣就是例證。
所謂規范化,是指審計機構將審計程序設計與審計技術方法的運用有機結合,規范和引導審計人員運用適當的審計技術和方法。以往,審計人員在運用審計技術和方法的過程中容易有較大的隨意性,用與不用,在什么時候用,如何使用,都沒有規范和約束,導致整個審計機構的標準不統一,質量沒有保證。隨著程序導向式審計軟件平臺的開發和廣泛運用,越來越多的審計機構開始把審計技術與方法融入到規范的審計程序之中,要求并指導審計人員合理運用審計技術。
所謂智能化,強調的就是將歷史經驗總結、科學規律推導和審計人員的專業判斷結合起來,指導審計人員得出合理的審計結論。在審計過程中,數學、統計學的分析結果,都不能完全替代審計人員的專業判斷,因為在其利用的數學公式中,仍然有許多變量需要審計人員主觀確定。在這種情況下,越來越多的審計機構,傾向于在審計軟件中為審計人員的決策提供參考。目前,許多審計機構不惜花巨資,邀請審計領域的專家,分析在各種情況下常見的審計策略或方法以及對不同審計結果的判斷標準。當然,對審計而言,智能化永遠都是一個相對的概念,電腦和機器永遠不能替代審計人員的決策,但提供決策輔助和參考意見,確實非常必要。
所謂系統化,是指審計戰略(策略)和審計技術方法的全面協調。審計戰略(策略)解決的是要審什么、想達到什么目的,審計技術和方法解決的是怎么審和怎么達到目的,這兩者的協調是審計技術與方法的研究成果得以全面運用的關鍵。回顧最近20多年來審計技術與方法的研究歷程,可以清晰地發現,審計技術的研究和運用完全是在風險基礎審計理論指導下的開拓和發展,而脫離理論指導的實踐經驗總結相對越來越少。這一點給我們的啟示在于,審計技術與方法的研究,不能超越基本審計理論和審計目標的研究,也不能脫離審計戰略和審計目標的總體要求。
信息系統審計具有較完善的職業教育和認證體系。
國際信息系統審計與控制協會ISAC(InformationSystemAuditandControlAssociation)是唯一有權授予國際信息系統審計師資格的跨國界、跨行業專業機構,該協會成立于1969年,總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會,現有會員兩萬多人。注冊信息系統審計師CISA(CertifiedInformationSystemAuditor)資格由ISACA授予,是信息系統審計領域的唯一職業資格,受到全世界的廣泛認可。由于信息技術的國際性,國際信息系統審計師資格在世界任何一個國家的使用都不會受到任何制約。自1978年以來,國際信息系統審計師CISA認證已經成為在信息系統審計、控制與安全專業領域中取得成績的標準,并得到了全世界的公認。在世界各地,每年都要舉行一次認證考試和若干次后續教育,目前在我國香港、臺灣、北京、上海、廣州、深圳設有考點。經過認證的信息系統審計師最擅長鑒別信息系統的有效性,最安全和最穩定的系統不一定是最有效的系統,而效率不高的系統就會消耗企業大量的資源,信息系統審計師的優勢就是對財經管理和信息技術融會貫通,為企業信息系統的改造提供建議。
鑒于信息安全市場的高速增長,最近國際信息系統審計與控制協會又迅速推出了信息安全管理師認證CISM,以配合市場對安全人才的巨大需求。
五、對信息系統監理的建議
目前,我國的信息系統監理業巨大的發展空間吸引著越來越多的國際咨詢公司和專業服務提供商搶灘我國市場。據不完全統計,目前在我國的海外咨詢足有百余家。隨著摩立特集團(我國)公司日前在北京成立,國際上最著名的咨詢公司如麥肯錫、科爾尼、埃森哲、BCG、PWC、羅蘭貝格、德勤等皆已在我國登陸,給國內的咨詢包括監理機構帶來了巨大的壓力,其豐富的案例庫、數據庫、知識庫,數十甚至百年創下的品牌,短時期內本土咨詢業與其的差距依然較大。
面對機遇和挑戰,如何借鑒國際上先進的經驗,推動我國信息系統監理的健康發展,避免其他中介服務行業曾走過的彎路,我們在廣泛的理論分析和實證研究的基礎上提出如下具體建議:
建立健全的管理體制與法律法規體系,盡快形成統一、規范、競爭、有序的信息系統工程監理服務市場。
各級信息化主管部門,在規范政府管理職能的同時(政府部門要避免管的過多、過細,應過多關注整個監理市場的宏觀管理和調控),注重加強行業自律管理,避免其他中介服務行業曾出現過的多種問題。例如,個別人憑借權利強行包攬監理業務,采取高回扣等不正當手段,以及為獨攬業務,不惜損害其他方和當事人的權益等。
鑒于信息系統工程監理具有專業性強和風險大的特點,建議把執業隊伍的業務素質和職業道德素質的提高作為一項重要工作常抓不懈,使信息系統工程監理工程師真正成為國民經濟和社會信息化的“警察”。
盡快建立信息系統工程監理的標準和執業規范。
推動信息系統工程監理工業的分化整合,探索信息系統工程監理公司擴大規模的方式和途徑。在我國加入WTO的新形勢下,面對國際IT服務咨詢業巨頭的競爭,我國信息系統工程監理行業剛起步,監理公司如何脫穎而出、迅速成長,參與國內甚至國際信息系統中介服務市場的競爭,將是重中之重的工作。
開展信息系統工程監理公司內部管理機制研究。努力提高信息系統工程監理行業的監理質量。
執業程序要統一。“四大”發展到今天這樣的規模,執業程序的統一是其基石。這些程序歷經多年的經驗積累而形成,并針對新出現的問題隨時加以完善。從某種意義上將,客戶對“四大”的統一的執業程序的認同,超過了對其名稱品牌的認同。
培訓統一。為保證執業程序的統一,首先要做到培訓統一。信息系統監理工程師在開始執業前要經過嚴格的培訓,定期培訓當然更不可少。建議信息系統監理公司設立專門的培訓部門,并將每年收入相當大的比重用于培訓。另外,嚴格、規范的培訓也是監理公司能夠吸引眾多高素質從業人員的一個重要因素。
人事管理在一定范圍內統一。建議將監理工程師的級別進行細分,并且不要出現一個地方的人員比另外一個地方同一級別的人員水平明顯高的情況。這種管理方式,對于監理機構來說非常重要。
總之,我國信息系統監理事業發展幾年來,雖然取得了一定成績,但在思想認識、理論研究、管理體制、法規建設及實際操作中仍存在諸多問題,監理企業面臨前所未有的嚴峻挑戰。但是機遇與挑戰同在,我國本土的咨詢和監理企業最了解我國的國情環境。我們要充分利用這一優勢,發揮自身的能動力量,積極參與競爭,加強與國際同行的合作交流,借鑒國際咨詢機構和專業服務提供商的經驗、知識、規則乃至在實施過程中的具體方法,把我國的信息系統監理事業做穩、做實、做大,做出我國的監理和咨詢品牌。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:信息系統監理與信息系統審計的對比分析4
相關文章
