信息系統(tǒng)審計(jì)與信息系統(tǒng)工程監(jiān)理

信息系統(tǒng)審計(jì)與信息系統(tǒng)工程監(jiān)理

所謂信息系統(tǒng)審計(jì)（又稱IS審計(jì)）是指，審計(jì)人員接受委托或授權(quán)，收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整并最有效率地完成組織目標(biāo)的活動(dòng)過(guò)程。它既包括信息系統(tǒng)外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。

信息系統(tǒng)工程監(jiān)理，依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。

信息系統(tǒng)審計(jì)與信息系統(tǒng)工程監(jiān)理都可以服務(wù)于信息化建設(shè)、降低信息化投資風(fēng)險(xiǎn)。國(guó)外沒(méi)有信息系統(tǒng)工程監(jiān)理的概念，在我國(guó)這一概念的提出是借鑒了工程建設(shè)監(jiān)理，而信息系統(tǒng)審計(jì)是21世紀(jì)初從國(guó)外介紹到國(guó)內(nèi)的。

IS審計(jì)與工程監(jiān)理的發(fā)展

◆信息系統(tǒng)審計(jì)

信息系統(tǒng)審計(jì)最早稱為計(jì)算機(jī)審計(jì)，是隨著計(jì)算機(jī)在財(cái)務(wù)會(huì)計(jì)領(lǐng)域的應(yīng)用而產(chǎn)生的，作為傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的一種輔助工具，對(duì)客戶的電子化會(huì)計(jì)數(shù)據(jù)進(jìn)行處理和分析，為財(cái)務(wù)報(bào)表審計(jì)人員提供服務(wù)。

隨著計(jì)算機(jī)技術(shù)應(yīng)用范圍的不斷擴(kuò)展，計(jì)算機(jī)對(duì)被審計(jì)單位各個(gè)業(yè)務(wù)環(huán)節(jié)的影響越來(lái)越大，計(jì)算機(jī)審計(jì)所關(guān)注的內(nèi)容也從單純的對(duì)電子的處理，延伸到對(duì)計(jì)算機(jī)系統(tǒng)的可靠性、安全性進(jìn)行了解和評(píng)價(jià)。信息技術(shù)的爆炸性發(fā)展改變了經(jīng)濟(jì)、社會(huì)、文化的結(jié)構(gòu)和運(yùn)行方式，電子商務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)證券、電子政府等相繼出現(xiàn)，信息資源的作用得到充分發(fā)揮。人們的生活、工作越來(lái)越依賴信息技術(shù)。利用信息技術(shù)攻擊對(duì)手信息系統(tǒng)，竊取機(jī)密，借助網(wǎng)絡(luò)非法占有財(cái)富，特別是數(shù)字化財(cái)富等現(xiàn)象也日益增多，擾亂了國(guó)家正常的經(jīng)濟(jì)秩序。這讓人們更加關(guān)注網(wǎng)絡(luò)所傳遞信息的安全、完整、真實(shí)，關(guān)注產(chǎn)生、處理、傳遞信息的系統(tǒng)本身的安全、可靠、有效，關(guān)注企業(yè)如何評(píng)估其面臨的風(fēng)險(xiǎn)，并如何采取措施預(yù)防和監(jiān)控。

由于技術(shù)的限制等原因，信息的使用者不能自己驗(yàn)證信息的質(zhì)量，因此急需有獨(dú)立的第三方出面對(duì)信息的保密性（Confidentiality）、完整性(Integrity)、交易行為的不可否認(rèn)性（Non——Repudiation）、交易對(duì)手的身份驗(yàn)證（UserAuthentication）、系統(tǒng)的安全有效等做出鑒證，以合理保護(hù)信息使用者的利益。同時(shí)，企業(yè)在信息化過(guò)程中也急需專業(yè)人士提供有效控制信息系統(tǒng)風(fēng)險(xiǎn)，提高信息化效益的服務(wù)。真正意義上的信息系統(tǒng)審計(jì)應(yīng)運(yùn)而生。

如今的信息系統(tǒng)審計(jì)的業(yè)務(wù)已經(jīng)超出了為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)的范圍，在很多大型會(huì)計(jì)公司內(nèi)部，信息系統(tǒng)審計(jì)部門(mén)已經(jīng)成為一個(gè)獨(dú)立的對(duì)外提供多種服務(wù)的部門(mén)。

◆信息系統(tǒng)工程監(jiān)理

20世紀(jì)90年以來(lái)，從中央到地方，從政府到企業(yè)，紛紛投入了大量的資金從事信息工程建設(shè)和信息系統(tǒng)的建設(shè)，但這其中真正按進(jìn)度、質(zhì)量要求、投資預(yù)算完成，且用戶（業(yè)主）滿意的，只占極少數(shù)，不足20%。即便是一些搞得比較好的工程項(xiàng)目，也或多或少地存在一些問(wèn)題。這些問(wèn)題嚴(yán)重地影響了信息系統(tǒng)工程項(xiàng)目的質(zhì)量和進(jìn)度，不僅損害了合同簽約雙方（建設(shè)單位和承建單位）的利益，還給國(guó)家和社會(huì)造成了許多不應(yīng)有的損失。

為保障信息系統(tǒng)工程簽約雙方的利益，確保國(guó)家信息化建設(shè)和信息產(chǎn)業(yè)更加健康、有序地發(fā)展，“信息系統(tǒng)工程監(jiān)理”就應(yīng)運(yùn)而生了。

信息產(chǎn)業(yè)部從2002年起相繼發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》、《信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法》和《信息系統(tǒng)工程監(jiān)理工程師資格管理辦法》。以上規(guī)定和管理辦法明確指出了監(jiān)理范圍和監(jiān)理內(nèi)容，監(jiān)理單位和監(jiān)理工程師的權(quán)利與義務(wù)，監(jiān)理單位資質(zhì)申請(qǐng)、評(píng)審和審批的管理辦法，監(jiān)理工程師資格取得的管理辦法等。IS審計(jì)與工程監(jiān)理的區(qū)別

從兩者的概念以及國(guó)內(nèi)外的實(shí)踐總結(jié)來(lái)看，信息系統(tǒng)審計(jì)與信息系統(tǒng)工程監(jiān)理之間的主要區(qū)別體現(xiàn)在作用、服務(wù)對(duì)象、工作主題和方法等幾個(gè)方面。

◆作用不同

與財(cái)務(wù)報(bào)表審計(jì)相類似，信息系統(tǒng)審計(jì)的作用也包括：

第一，鑒證作用。信息系統(tǒng)審計(jì)的鑒證作用是指通過(guò)審計(jì)，合理地保證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性、可靠性及政策遵循的一貫性。信息系統(tǒng)審計(jì)師以其獨(dú)立的身份，對(duì)被審計(jì)單位的信息系統(tǒng)及其輸出的信息進(jìn)行審計(jì)，查出各種錯(cuò)誤與舞弊，是維護(hù)電子商務(wù)時(shí)代正常經(jīng)濟(jì)秩序必不可少的重要手段。

第二，促進(jìn)作用。促進(jìn)價(jià)值體現(xiàn)在兩個(gè)方面，一是指信息系統(tǒng)審計(jì)可以促進(jìn)被審計(jì)單位更有效地融入到社會(huì)經(jīng)濟(jì)生活中；二是指審計(jì)可以促進(jìn)被審計(jì)單位改進(jìn)內(nèi)部控制，加強(qiáng)管理，提高信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率、效果。

從第一個(gè)方面來(lái)看，信息系統(tǒng)審計(jì)師在完成審計(jì)后，出具審計(jì)證明，即審計(jì)報(bào)告，以證明被審計(jì)單位信息的真實(shí)、完整、可靠。審計(jì)師的證明可以增強(qiáng)人們對(duì)其信息的信任程度。

隨著網(wǎng)絡(luò)技術(shù)的普及，商業(yè)信息的在線和實(shí)時(shí)披露都是不可扭轉(zhuǎn)的必然趨勢(shì)。信息系統(tǒng)審計(jì)師能夠以在線、實(shí)時(shí)的信息為基礎(chǔ)提供鑒證，對(duì)使用信息的所有相關(guān)體而言是具有巨大價(jià)值的。

從第二個(gè)方面來(lái)看，信息系統(tǒng)審計(jì)在審計(jì)過(guò)程中發(fā)現(xiàn)的控制缺陷或漏洞，可通過(guò)審計(jì)報(bào)告、管理建議書(shū)等形式報(bào)告給委托人或被審計(jì)單位管理當(dāng)局，并提出解決問(wèn)題的建議，從而促進(jìn)被審計(jì)單位提高管理水平，提高經(jīng)濟(jì)效益。

第三，咨詢作用。信息技術(shù)的發(fā)展為組織的管理變革提供了技術(shù)手段，組織扁平化、工作豐富化等管理變革都要通過(guò)信息技術(shù)來(lái)實(shí)現(xiàn)。信息化已是大勢(shì)所趨，但是，信息化建設(shè)是有風(fēng)險(xiǎn)的。為減少信息化風(fēng)險(xiǎn)，信息系統(tǒng)審計(jì)師可憑借其專門(mén)知識(shí)和實(shí)踐經(jīng)驗(yàn)，受托或主動(dòng)服務(wù)于被審計(jì)單位的管理者或其業(yè)務(wù)人員，在企業(yè)信息化過(guò)程中，幫助企業(yè)健全內(nèi)部控制制度，進(jìn)行系統(tǒng)診斷；根據(jù)企業(yè)需要，確定信息化的目標(biāo)和內(nèi)容，選擇合適的軟件產(chǎn)品；幫助企業(yè)調(diào)整現(xiàn)有的管理架構(gòu)和流程或修改軟件產(chǎn)品，使其更好地滿足管理的需求。

與信息系統(tǒng)審計(jì)不同，信息系統(tǒng)工程監(jiān)理的作用主要包括：

第一，監(jiān)督控制作用。信息系統(tǒng)工程監(jiān)理可以幫助業(yè)主單位更合理地保證工程的質(zhì)量、進(jìn)度、投資，并合理、客觀地處理好它們之間的關(guān)系。在項(xiàng)目建設(shè)全過(guò)程中，監(jiān)理單位依據(jù)國(guó)家有關(guān)法律和相關(guān)技術(shù)標(biāo)準(zhǔn)，遵循守法、公平、公正、獨(dú)立的原則，對(duì)信息系統(tǒng)建設(shè)的過(guò)程進(jìn)行監(jiān)督和控制，在確保質(zhì)量、安全和有效性的前提下，合理地安排進(jìn)度和投資。

第二，合理地協(xié)調(diào)業(yè)主單位和建設(shè)單位之間的關(guān)系，這是監(jiān)理的一項(xiàng)主要工作。在信息系統(tǒng)工程建設(shè)中，很多時(shí)候業(yè)主單位和承建單位在許多問(wèn)題上存在爭(zhēng)議，業(yè)主單位和承建單位都希望由第三方在工程的立項(xiàng)、設(shè)計(jì)、實(shí)施、驗(yàn)收、維護(hù)等的各個(gè)階段的效果都給予公正、恰當(dāng)、權(quán)威的評(píng)價(jià)，這就需要監(jiān)理單位來(lái)協(xié)調(diào)和保障這些工作的順利進(jìn)行。另外還需要協(xié)調(diào)系統(tǒng)內(nèi)部關(guān)系以及系統(tǒng)外部關(guān)系中的非合同因素等，保證項(xiàng)目順利實(shí)施。

◆業(yè)務(wù)范圍和目的不同

首先，信息系統(tǒng)工程監(jiān)理是具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，接受建設(shè)單位的委托，依據(jù)國(guó)家和本市有關(guān)規(guī)定、信息系統(tǒng)工程建設(shè)標(biāo)準(zhǔn)和工程承建、監(jiān)理合同，對(duì)信息系統(tǒng)工程的質(zhì)量、進(jìn)度和投資方面實(shí)施監(jiān)督。主要應(yīng)用在信息化工程建設(shè)階段。

信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。它立足于組織的戰(zhàn)略目標(biāo)，為有效地實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取一切有效活動(dòng)。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域。

其次，信息系統(tǒng)工程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進(jìn)度和投資額滿足建設(shè)要求。監(jiān)理活動(dòng)隨著工程的完成而結(jié)束。監(jiān)理關(guān)注的是項(xiàng)目建設(shè)的質(zhì)量、成本和進(jìn)度。

信息系統(tǒng)審計(jì)的目的是合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其關(guān)注的核心是資產(chǎn)保護(hù)與信息系統(tǒng)的效率、效果。不僅包括對(duì)建設(shè)過(guò)程的審計(jì)，更重要的是對(duì)信息系統(tǒng)的運(yùn)營(yíng)審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。只要信息系統(tǒng)在運(yùn)行，審計(jì)活動(dòng)一直存在。

此外，信息系統(tǒng)工程監(jiān)理的過(guò)程是可見(jiàn)的，即對(duì)項(xiàng)目成本、進(jìn)度和質(zhì)量與目標(biāo)出現(xiàn)的偏差是可見(jiàn)的，及時(shí)糾正也方便。但信息系統(tǒng)審計(jì)對(duì)信息系統(tǒng)的安全性、可靠性與有效性的認(rèn)定具有不可見(jiàn)性，這也正是信息系統(tǒng)比工程項(xiàng)目復(fù)雜的主要原因。信息系統(tǒng)建設(shè)完畢，這僅僅是信息化的開(kāi)始，我國(guó)信息化建設(shè)中若干失敗的案例，并不是信息系統(tǒng)沒(méi)有建設(shè)好，往往是在運(yùn)營(yíng)維護(hù)時(shí)期出了問(wèn)題。因此，從這個(gè)角度而言，信息系統(tǒng)審計(jì)是保證信息系統(tǒng)質(zhì)量的行之有效的方法。

◆服務(wù)對(duì)象不同

從審計(jì)定義我們可以知道審計(jì)鑒證服務(wù)是鑒證人、信息使用者和信息提供者的三方合約，即由鑒證人接受委托或授權(quán)，對(duì)信息提供者進(jìn)行審計(jì)，并就其提供的信息質(zhì)量向信息使用人提供鑒證報(bào)告。因此審計(jì)服務(wù)的對(duì)象是所有的信息使用者，包括被審計(jì)單位的股東、債權(quán)人、管理當(dāng)局、政府機(jī)構(gòu)和一般社會(huì)公眾。其關(guān)系圖如1所示。

圖1信息系統(tǒng)審計(jì)服務(wù)關(guān)系圖

監(jiān)理服務(wù)于建設(shè)合同的雙方。建設(shè)單位與承建單位簽署建設(shè)合同后，兩者之間的關(guān)系是等價(jià)交換關(guān)系，即承建單位要按時(shí)交付既定質(zhì)量等級(jí)的工程、開(kāi)發(fā)實(shí)物，建設(shè)單位要按時(shí)支付等價(jià)的工程款。監(jiān)理單位接受建設(shè)單位委托后，作為工程承包合同的洽商者，它所執(zhí)行的原則是使工程承包合同成為“平等條約”，作為工程承包合同管理和工程款支付的簽認(rèn)者，它所執(zhí)行的原則是等價(jià)交換。因此，監(jiān)理單位是為雙方的利益服務(wù)的，而不僅僅為委托方——建設(shè)單位服務(wù)。其關(guān)系圖如2所示。

圖2信息系統(tǒng)工程監(jiān)理服務(wù)關(guān)系圖

◆工作主體不同

信息系統(tǒng)審計(jì)主體包括內(nèi)部審計(jì)主體與外部審計(jì)主體。當(dāng)審計(jì)人員是被審計(jì)單位的組成部分時(shí)，稱為內(nèi)部審計(jì)，其職責(zé)主要是搜集證據(jù)，判斷系統(tǒng)的有效性以及利用資源的效率。當(dāng)審計(jì)人員獨(dú)立于被審計(jì)單位時(shí)，稱為外部審計(jì)，其職責(zé)重要是關(guān)注被審計(jì)單位信息資產(chǎn)的安全、真實(shí)、完整。而監(jiān)理主體只能獨(dú)立于建設(shè)單位和承建單位，作為外部獨(dú)立的第三方參與項(xiàng)目建設(shè)。

◆方法不同

審計(jì)的方法主要是搜集證據(jù)的方法，包括檢查、觀察、分析性復(fù)合、查詢及函證等方法，并利用統(tǒng)計(jì)技術(shù)、計(jì)算機(jī)技術(shù)完成證據(jù)的搜集與評(píng)價(jià)。監(jiān)理主要是利用項(xiàng)目管理技術(shù)，包括成本核算控制、網(wǎng)絡(luò)圖及質(zhì)量控制方法等實(shí)施對(duì)工程項(xiàng)目的“三控兩管一協(xié)調(diào)”。

加強(qiáng)信息系統(tǒng)審計(jì)乃當(dāng)務(wù)之急

從以上的比較，筆者認(rèn)為：

第一，信息系統(tǒng)審計(jì)的作用是無(wú)可替代的，信息化過(guò)程只有監(jiān)理是不夠的，必須開(kāi)展審計(jì)，這是信息時(shí)代的需求。

電子商務(wù)以及傳統(tǒng)價(jià)值鏈向以客戶為中心的價(jià)值鏈的轉(zhuǎn)變改變了審計(jì)師所從事的傳統(tǒng)鑒證業(yè)務(wù)。供應(yīng)鏈管理中的各種過(guò)程和步驟——如庫(kù)存需求計(jì)劃、購(gòu)貨定單、銷售定單、運(yùn)貨通知和現(xiàn)金支出等，通過(guò)信息系統(tǒng)被電子化處理時(shí)，審查交易數(shù)據(jù)和評(píng)估其完整性及可靠性，對(duì)交易數(shù)據(jù)進(jìn)行實(shí)時(shí)控制成為必要。當(dāng)企業(yè)開(kāi)始與新的貿(mào)易伙伴（而不是以前的貿(mào)易伙伴）交換數(shù)據(jù)并進(jìn)行交易時(shí)，貿(mào)易伙伴及其交易處理系統(tǒng)的可靠性必須得到評(píng)估。審計(jì)師可能還需要評(píng)價(jià)客戶的交易伙伴的可靠性和誠(chéng)信度。此外，從事電子商務(wù)的公司必須將其內(nèi)部控制擴(kuò)展到交易處理系統(tǒng)的各個(gè)方面，因?yàn)樵撓到y(tǒng)與包括貿(mào)易伙伴在內(nèi)的其他系統(tǒng)有著密切的聯(lián)系。電子商務(wù)系統(tǒng)的內(nèi)部控制評(píng)估和風(fēng)險(xiǎn)管理也離不開(kāi)信息系統(tǒng)審計(jì)。所有這些都不是信息系統(tǒng)工程監(jiān)理所能完成的。

第二，在我國(guó)積極開(kāi)展信息系統(tǒng)審計(jì)。

首先，我們要加大信息系統(tǒng)審計(jì)的宣傳，讓人們了解什么是信息系統(tǒng)審計(jì)，為什么要進(jìn)行信息系統(tǒng)審計(jì)。

其次，要大力培養(yǎng)信息系統(tǒng)審計(jì)師。開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)，有兩支力量可以挖掘：一是傳統(tǒng)的審計(jì)師。注冊(cè)會(huì)計(jì)師在執(zhí)行傳統(tǒng)的財(cái)務(wù)報(bào)表鑒證業(yè)務(wù)方面具有長(zhǎng)久不衰的聲譽(yù)和經(jīng)驗(yàn)。在提供信息系統(tǒng)及電子數(shù)據(jù)質(zhì)量的鑒證與咨詢服務(wù)方面，會(huì)計(jì)師事務(wù)所面臨競(jìng)爭(zhēng)，為使市場(chǎng)信服他是執(zhí)行這種業(yè)務(wù)的最佳候選人，會(huì)計(jì)師還需要：學(xué)習(xí)提高技術(shù)能力；繼續(xù)維護(hù)他們現(xiàn)有的作為獨(dú)立的、被信任的第三方的角色；必須將信息技術(shù)、網(wǎng)絡(luò)技術(shù)技能融入傳統(tǒng)的鑒證業(yè)務(wù)；必須拓展在系統(tǒng)可靠性、風(fēng)險(xiǎn)確認(rèn)和影響分析，以及網(wǎng)站認(rèn)證方面的業(yè)務(wù)。二是從事信息化咨詢的IT技術(shù)人員。在電子商務(wù)時(shí)代，交易大部分是由系統(tǒng)自動(dòng)完成的，人的參與較少，審計(jì)軌跡存在較少，在這種條件下，審計(jì)必須穿過(guò)信息系統(tǒng)進(jìn)行。IT技術(shù)人員具備了相應(yīng)的技術(shù)技能