一、信息系統工程監理與IT審計的基本內容
在信息系統工程建設過程中,存在著一些不規范的情況。如項目可行性論證不充分;用戶需求不全面、不準確;用戶要求一變再變、工程進度一拖再拖;甲乙雙方的合同書條文不規范,缺乏可執行性,或存在二義性;缺少對工程實施過程關鍵點的監理;缺乏合理的系統評測驗收方案;等等。
為了促進信息系統工程的良性發展,一些第三方機構借鑒傳統建設工程的咨詢、評估及監理經驗,探索了信息系統工程監理的路子。近年來,為加強對這些信息系統工程的管理、提高審計業務的水平,我國借鑒國外經驗,還引入了IT審計的方法和理念。本文從多個方面對信息系統工程監理與IT審計進行比較和分析,理清對兩者的理解,更好地發揮它們在各自領域的優勢。
1 信息系統工程監理與IT審計的基本定義
關于信息系統工程監理定義,在《信息系統工程監理暫行規定》(信部信(2002)570號)、國家標準《信息化工程監理規范第一部分總則》(GB/T19668.1—2005)中都有較完善、確切的描述。
《信息系統工程監理暫行規定》中的定義:是指依法設立且具備相應資質的信息系統工程監理單位,受業主單位委托,依據國家有關法律法規、標準規范和信息系統工程監理合同,對信息系統工程項目實施的監督管理。
《信息化工程監理規范第一部分總則》(GB/T19668.1—2005)中,對信息系統工程監理的定義沒有做特別的說明,但說明了它的基本內涵。該規分組成,即監理支撐要素、監理階段、監理內容、監理對象和信息安全”,“參考模型表明,信息化工程的監理工作建立在監理支撐要素的基礎上,在監理工作的各階段結合各項監理內容,對監理對象進行監督和理順,以保證信息化工程的建設達到預期的目標”,“監理機構在監理合同約定的范圍內,依據監理規劃和監理細則,結合監理對象的特點實施質量控制、進度控制、投資控制、合同管理、信息管理和協調,實現監理目標”。
日本通產省1996年對IT審計定義為:為了信息系統的安全、可靠與有效,由獨立于審計對象的IT審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向IT審計對象的最高領導,提出問題與建議的一連串的活動。
另外,國際信息系統審計領域的權威專家Ron-Weder將它定義為:收集并評估證據以判斷一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟地使用資源。
2 信息系統工程監理與IT審計的主要內容
信息系統工程監理業務內容一般包括項目的質量控制、進度控制、投資控制、變更控制、信息安全管理、知識產權管理,合同管理管理、信息管理,對項目的組織協調。根據我國信息系統工程監理實踐,信息系統工程監理首要任務要確定質量、進度和投資額等建設目標,然后在項目實施過程中跟蹤糾偏,有以下幾個方面內容:
(1)質量控制主要是通過質量控制點在監理各個階段進行控制。如招投標及準備階段的主要質量控制點:項目建議書的審查、可行性研究報告的審查、承建單位技術資質的審核、承建單位提供的各類設計實施方案的審查;設計階段的質量控制點:主要是項目總體方案的質量控制,包括工程總體技術方案、承包商提交的《項目計劃》、工程質量保證計劃和項目質量控制體系、工程進度計劃等;實施階段的質量控制點:督促承建單位完善工序控制、協助業主對嚴重質量隱患和質量問題進行處理、工程款支付簽署質量認證等;驗收階段的質量控制點:驗收資料準備、驗收程序、驗收內容等。
(2)進度目標控制是通過一系列手段,運用運籌學、網絡計劃等措施,使工程項目建設工期控制在項目計劃工期以內。
(3)投資目標控制通過組織、技術、經濟合同措施,分析項目實際投資不超過項目計劃投資,主要是通過核實設備價格、審核修改設計和設計變更等手段加以控制。
(4)變更控制通過建立一個完整的變更控制系統,對變更進行有效的風險預測分析和有效監管。通常的變更有:需求變更、成本變更、合同變更等。
(5)信息安全管理主要是通過對信息系統方案設計進行審核、對設備選型進行把關和在實施過程中嚴格進行工程質量控制等措施,確保信息系統工程符合業主對信息安全的要求和國家相關信息安全規范。
(6)知識產權保護控制貫穿于整個項目的全過程,包括工程方案設計、設備選型、設備采購、軟件開發等,信息系統工程監理工程師應按照國家有關知識產權保護的規定嚴格要求信息系統工程建設各方遵照執行。
(7)合同管理是手段,它是進行目標控制的有效工具。因此,合同管理必然是貫穿于監理活動的始終。
(8)信息管理包括文檔管理在內也是做好監理的一項有效的工具,它是實現控制目標的基本前提。
(9)項目的組織協調是建設項目的一項重要內容,內容包括:人際關系、組織關系、資源供求、信息交換等方面。
IT審計業務內容包括計算機資源管理審計、硬件軟件等獲取審計、系統軟件審計、程序審計、數據完整性審計、系統生命周期審計、應用系統開發審計、系統維護審計、操作審計、安全審計等。根據國外IT審計實踐資料及國內相關著作文獻,IT審計有以下幾個方面內容:
(1)信息系統的管理、規劃與組織:評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。
(2)信息技術基礎設施與操作實務:評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。
(3)資產的保護:對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
(4)災難恢復與業務持續計劃:這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
(5)應用系統開發、獲得、實施與維護:對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業務目標。
(6)業務流程評價與風險管理:評估業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。
二、信息系統工程監理與IT審計的關系及比較
通過對信息系統工程監理與IT審計的基本內容進行研究,下面將從兩者的相似性、不同點以及兩者的聯系和發展對其進行分析。
1 信息系統工程監理與IT審計的相似性
由于信息系統工程具有投資大、高技術、高風險的特點,對信息系統進行嚴格規范的控制至關重要,信息系統工程監理和IT審計作為兩種信息系統工程監管手段,二者都具有下列的特點:二者都是以管理為核心,以法律法規為保障,以技術為支撐,并以第三方的客觀立場,目的都是為了提高信息系統工程安全和質量,降低信息化建設投資風險。
2 信息系統工程監理與IT審計的不同點
從信息系統工程監理和IT審計的定義和工作內容,我們可以看出二者的區別。區別主要反映在目標、作用、覆蓋生命周期、與信息系統相關方的關系、使命的側重點及不同點,并由此派生出的實施效果、控制手段、最終工作成果不同點。
(1)從管理定位分析,信息系統工程監理采取的是對工程項目進行管理,管理對象是信息系統工程的集成企業和設備供應商。而IT審計是對信息系統進行檢查評價,沒有管理對象,只有審計對象。
(2)從管理特點分析,信息系統工程監理是受業主單位委托,按照監理合同要求,協助業主單位監督檢查信息系統工程項目實施;要解決的是在信息系統工程項目實施過程中的質量、進度和投資額等是否滿足建設要求;重點是對實施過程的管理。IT審計是向IT審計對象的最高領導提出問題和建議;要解決的是信息系統有關的資產保護問題、數據完整性問題、系統有效性問題、系統效率問題;重點是對實施效果的評價。
(3)從管理效果分析,信息系統工程監理一般應用于信息系統工程項目的實施階段,并隨著信息系統工程項目實施的結束而結束;項目監理過程是可見的,即對項目成本、進度及質量的事前、事中、事后進行全過程控制;質量控制手段包括評審、旁站、抽查等;最終工作成果是經過驗收的可以投入使用的信息系統。IT審計可以出現在信息系統生命周期的各個階段,但IT審計的有效行為更適用于信息系統工程的運行使用過程中;對信息系統的安全性、可靠性與有效性的認定具有不可見性;IT審計的方法通常包括面談法、問卷調查法、系統評審會等;最終工作成果主要是系統投入使用后的審計報告或信息系統生命周期每個階段的審計報告。
(4)從管理目的分析,信息系統工程監理的目的是保證工程建設質量、進度和投資滿足建設要求。監理活動隨著工程的完成而結束。IT審計的目的是合理保證信息系統能夠保護資產的安全、數據的·完整、有效地實現組織目標并有效地利用組織資源,其核心是信息系統的效率、效果。不僅包括對建設過程的審計,還包括對信息系統的運營審計,向公眾出具審計報告,鑒證信息系統能否保護企業資產安全,其產生、傳遞的信息是否完整,整個系統是否有效地實現組織目標并有效地利用組織資源。只要信息系統在運行,審計活動可能一直存在。
3 信息系統工程監理與IT審計的聯系
信息系統工程監理是借鑒國際上的先進做法和國內有關部門的經驗,合我國實際,建立了一套有中國特色的“信息系統工程監理制度”,已開展的監理單位資質和監理工程師資格的管理工作正在逐步完善。關于IT審計,在國際上是由國際信息系統審計與控制協會(ISsAcA)管理,有一套正在逐步完善的國際通用的標準規范,在我國正在開展實踐和研究。二者的具體內涵和技術含量等方面都有明顯的不同,二者不可相互替代,是兩個行業,但它們又有著緊密的聯系。
(1)從規范化信息系統工程建設的管理來看,兩者的控制各有側重,缺一不可;
(2)IT審計是信息系統工程監理的延伸,監理大量信息系統工程建設的數據積累,為IT審計工作的開展打下了基礎,同時IT審計標準,也為信息系統工程監理工作提供了部分量化的參考指標。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:信息系統工程監理與IT審計有何異同?
相關文章
