第一篇:信息系統監理與信息系統審計
信息系統監理與信息系統審計
[摘要]建立信息化建設的第三方監督對保證信息化建設的效益最大化至關重要。本文通過信息系統監理和信息系統審計的概念、產生動因等進行比較,分析我國信息系統監理面臨的新問題、新要求,并介紹美國信息系統審計的實踐經驗,在此基礎上提出對我國信息系統監理事業發展的若干建議。
[關鍵詞]信息系統信息系統監理信息系統審計比較獨立性
引言
“信息化帶動工業化”是我國長期的重要發展戰略,江澤民同志在十六大的報告中指出:“實現工業化仍然是我國現代化進程中艱巨的歷史性任務。信息化是我國加快實現工業化和現代化的必然選擇。堅持以信息化帶動工業化,以工業化促進信息化,走出一條科技含量高、經濟效益好、資源消耗低、環境污染少、人力資源優勢得到充分發揮的新型工業化路子。”這段論述表現了我們黨對信息化建設的高度重視,也指明信息化帶出一條新型工業化路子的光明前景。
目前,各地區、各部門都在認真貫徹十六大精神,十分重視推進信息化工作,我國信息化建設已經進入新的階段,我國信息化事業已發展到一個新的階段。各級政府正在積極推進“電子政務”,許多城市及企業也已著手整合與升級其信息化應用系統。可以預計,全國將有更多、更大的信息系統建設項目展開。但是,在信息化推進過程中,存在不同程度上的一些問題,主要表現在規劃制訂不夠科學,項目管理不夠嚴格,監理機制不夠健全,系統運行效益不夠明顯。致使相當一部分信息化項目失敗或未能實現預期目標,浪費了大量資源。究其根源主要原因之一是信息化建設第三方監管機制的缺失和標準的不健全。
國內外的實踐表明:信息化是有風險的,信息系統規模越大,功能越復雜,風險也就越大。英國Kalido于英國時間2001年12月12日公布了有關企業信息管理的調查結果。調查顯示,96%的企業對于本公司的信息管理系統感到不滿。關于目前正在使用的信息系統,認為“所制作的報告缺乏一貫性”或者是“核對信息花費了太多時間”的企業約占70%。特別引人深思的是該調查是由美國HarteHanks以全球500強企業以及財富1000企業中的171家公司為對象通過問卷方式實施的。調查對象中,40%以上的企業年交易額超過20億美元。其他主要調查結果如下∶回答目前的信息系統不能靈活因應變化的企業約占60%;對于數據的精度表示擔心的企業約占60%;60%以上的企業正在策劃有關數據及信息的整合計劃。這充分說明,信息系統的建設項目較之傳統工業工程項目成功率更低,風險也更加突出。
中央領導同志在國家信息化領導小組第一次會議中特別強調:信息化建設一定要講求效益,不能搞花架子。因此建立并逐步完善我國信息系統審計制度是健康、有序地推進信息化和落實領導小組會議精神的一項重要措施。
目前,在國內的信息化項目工程建設中,絕大多數用戶(業主)無法組織隊伍對信息系統建設進行專業化管理,難以勝任從可行性分析、規劃設計、招標、方案評審到工程監理和工程驗收全過程的管理與組織協調工作,建設方和承建方在信息建設過程中存在嚴重的信息不對稱問題。這表現為借助外援進行工程管理咨詢的案例越來越多,一些省市的行業主管部門也開始在信息系統建設中推行由監理進行工程質量管理的做法。但是,監理介 入信息系統在我國還處于一個探索的過程中。
我國加入WTO后,鑒于我國IT服務業未來巨大的增長空間,國際知名咨詢顧問公司、專業技術服務提供商等紛紛搶灘我國市場。在信息系統第三方鑒證業務方面,他們提供符合國際標準的信息系統審計服務。因此當前監理事業的發展面臨新的形勢,監理工作外部環境發生了深刻變化,勢將對我國監理企業形成嚴重沖擊,本土監理企業面臨前所未有的嚴峻挑戰。監理事業往何處去?這是擺在每一個監理人面前的重大課題。每一個監理企業必須以發展的眼光、動態的觀點、創新的思想和創新的理論正確認識和判斷當前的監理形勢,增強危機感和緊迫感,迎接新的挑戰。
信息系統監理
信息系統監理概念
依據信息產業部《信息系統工程監理暫行規定》,信息系統工程監理是指依法設立且具備相應資質的信息系統工程監理單位,受業主單位委托,依據國家有關法律法規、技術標準和信息系統工程監理合同,對信息系統工程項目實施的監督管理。
信息系統監理產生動因及其發展
1、信息系統監理產生動因分析
監理工作、監理企業是我國在計劃經濟向市場經濟轉變的過程中在建設領域中應運而生的,并取得了有目共睹的顯著成效,直接促進了工程監理業的繁榮發展,這也導致在通信業工程建設、信息系統建設等方面監理的出現。因此,回顧建設工程監理的發展,將有助于對信息系統監理的認識。
1988年7月建設部發布了《關于開展建設監理工作的通知》,隨后又于1988年11月印發了《關于開展建設監理試點問題的若干意見》,使得試點工作有章可循。1989年,根據初步試點取得的經驗,建設部制定了《建設監理試行規定》,這是我國第一個比較完備的關于工程建設監理的法規文件,勾畫出具有我國特色的工程建設監理制度的初步框架。1991年又分別制定頒發了《建設監理單位資質管理試行辦法》和《監理工程師資格考試及注冊試行辦法》,建設監理法規制度進一步配套完善。1993年,上海市開始了工程設備監理制度的試點工作。1998年,國務院機構改革后賦予了國家質量技術監督局“協調建立設備工程監理制度”的職能要求,隨后,國家質量技術監督局擬定了《協調建立設備工程監理制度的方案》,在國家發展計劃委員會的指導和具體參與下,會同國務院有關部門,在國內有關技術及咨詢機構的幫助、支持下,完成了設備監理制度中有關規章的起草工作。此間,世界銀行、國家開發銀行等亦曾規定,其貸款的有關項目要有監理公司監理,并作為申請貸款的項目單位獲得貸款的基本條件。由此開始推行建設工程監理制度,監理事業得到持續快速發展,從而積累了一定經驗,取得了積極成效。發展至今建立了一套比較完整的監理法規體系,組成了一支規模較大的監理隊伍,監理出一批優良的工程項目,監理工作在工程建設中發揮了重要作用,得到了各級領導的支持,得到了社會的普遍認可,正逐步向規范化、制度化、科學化方向邁進
但同時我國工程監理事業經過十多年的發展,雖然取得了一定成績,但也存在不少問題。如:監理人員整體素質不高、監理工作缺位、監理取費普遍較低、監理市場競爭機制不健全、監理企業缺乏自我積累和發展能力、監理責任不明確、監理工作缺乏系統的理論研究、宣傳工作滯后等問題比較突出。
2、信息系統監理的發展
目前信息系統工程的現狀類似于二十世紀八十年代以前建筑工程的狀態。自1988年建設部頒布《關于開展建設監理工作的通知》以后,特別是1996年建設監理全面推行后,建筑工程的質量普遍提高,業主和承建商之間的糾紛普遍減少,凡是出問題的工程,監理也有問題。因此,要求參考建筑工程的管理辦法對信息工程實施監理的呼聲日益高漲,這既是信息工程用戶(業主)的愿望,也是系統集成商的愿望,信息工程市場呼喚“第三方”—信息系統工程監理的出現。
早在1995年,原電子工業部就出臺了《電子工程建設監理規定(試行)》。1996年,深圳市成立了全國第一家信息工程質量監督機構—信息工程質量監督檢驗總站。1998年,西安協同軟件股份有限公司經西安技術監督局和西安市科委批準,獲得“計算機管理信息系統工程監理”資質認證,成為國內第一家獲此資格的公司。1999年6月,深圳市政府在國內率先出臺了包括實施信息工程監理條款在內的《深圳市信息工程管理辦法》,并要求首屆我國國際高新技術成果交易會信息網絡工程實施監理。2000年7月,深圳市信息化建設委員會辦公室制訂了《深圳市信息工程建設管理辦法實施意見》,要求“市、區、鎮人民政府及其所屬部門使用財政性資金(包括預算內資金、預算外資金、事業收入等),投資規模在100萬元以上的信息工程建設項目必須遵照本實施意見進行立項、招投標、監理、質量監督、驗收”。2002年7月,北京市信息化工作辦公室制定了《北京市信息系統工程監理管理辦法(試行)》,要求“本市推行信息系統工程監理制度,建設單位應當通過協議或者招標的方式優先選擇具有相應資質等級的信息系統工程監理單位承擔監理業務。各級財政全部補助或者部分補助以及為社會提供公共服務的重大信息化工程項目必須通過招標的方式選擇信息系統工程監理單位,實行強制監理。”2002年11月,國家質量監督檢驗檢疫總局公布《設備監理單位資格管理辦法》,在該管理辦法的21類設備工程專業中,涉及信息工程的共有三類,即信息網絡系統、信息資源開發系統和信息應用系統。最近,在國家信息辦和國家標準管理委員會直接領導下,信息化系統監理規范化項目正在加緊制定中,并且是作為電子政務標準化項目的一個子項目而提出的。預計在今年年底,監理規范就要完成,經過試用和修改后,將上升為國家標準。2002年12月,信息產業部在廣泛征求意見和開展試點工作的基礎上,正式頒布《信息系統工程監理暫行規定》,這標志著我國信息工程監理開始邁向科學化、專業化和規范化,也預示著在我國即將出現一個新的中介服務行業,將很快涌現一批監理機構和執業人員,從此信息系統工程監理工程師也將逐步成為國民經濟和社會信息化的“警察”。
但我國的信息系統工程監理目前僅僅是處在起步階段,事實上根據對國內信息化應用程度較高的行業部門(如銀行、證券、保險、氣象、社保、旅游等)和部分大型企業(如華北制藥、哈爾濱軸承集團、哈爾濱飛機制造企業、躍進汽車集團、我國石化等)30個樣本作為調查對象的調查結果顯示,對于大多數企業來說,項目監理是個新概念。只有30%的被調查者表示在某些信息化項目中使用過監理服務。在70%未使用過項目監理的被調查者中,5%表示聽說過,95%表示知道建筑工程有監理,但在IT信息化項目中引入監理還是第一次聽說。
圖1監理服務內容重要程度(引自胡敏《市場呼喚項目監理》)
目前,我國還沒有一套完善的IT項目監理制度,相應的監理法規、監理內容、收費標準等也都沒有制定。特別是收費標準問題,大多數用戶采用協商解決。以北京城域網項目的監理費為例,其采用了建筑行業的監理服務收費標準(2%10%),支付的服務費占整個項目資金支出的2%。廣大用戶也反映,項目監理的標準如何才能做到公正、科學,項目監理的工作流程是否也應該規范,如何界定和權衡監理公司、用戶、IT廠商三方利益?監理過程中出了問題,該怎么辦?,這一系列問題都需要不斷探索。原北京市信息中心主任華平瀾表示,只有使監理更加規范化,才能更好地推進監理工作,才能使信息系統的建設更加順利。事實上,與建筑等其他發展很成熟的行業的監理相比,對IT項目的監理要難得多。并且由于信息技術是一個新興技術,它本身還在不斷發展和完善,因此,即使制定出的監理的內容和標準也不能僵化,需要不斷地變更和完善。
信息系統監理的基本理論
信息系統監理的中心任務是科學地規劃和控制工程項目的投資、進度和質量三大目標;監理的基本方法是目標規劃、動態控制、組織協調和合同管理;監理工作貫穿規劃、設計、實施和驗收的全過程。信息工程監理正是通過投資控制、進度控制、質量控制以及合同管理和信息管理來對工程項目進行監督和管理,保證工程的順利進行和工程質量。
1、成本控制
成本控制的任務,主要是在建設前期進行可行性研究,協助建設單位正確地進行投資決策;在設計階段對設計方案、設計標準、總概(預)算進行審查;在建設準備階段協助確定標底和合同造價;在實施階段審核設計變更,核實已完成的工程量,進行工程進度款簽證和索賠控制;在工程竣工階段審核工程結算。
2、進度控制
進度控制首先要在建設前期通過周密分析研究確定合理的工期目標,并在實施前將工期要求納入承包合同;在建設實施期通過運籌學、網絡計劃技術等科學手段,審查、修改實施組織設計和進度計劃,做好協調與監督,排除干擾,使單項工程及其分階段目標工期逐步實
現,最終保證項目建設總工期的實現。
3、質量控制
質量控制要貫穿在項目建設從可行性研究、設計、建設準備、實施、竣工、啟用及用后維護的全過程。主要包括組織設計方案評比,進行設計方案磋商及圖紙審核,控制設計變更;在施工前通過審查承建單位資質等;在施工中通過多種控制手段檢查監督標準、規范的貫徹;以及通過階段驗收和竣工驗收把好質量關等。
3、合同管理
合同管理是進行投資控制、工期控制和質量控制的手段。因為合同是監理單位站在公正立場采取各種控制、協調與監督措施,履行糾紛調解職責的依據,也是實施三大目標控制的出發點和歸宿。
4、信息管理
信息管理包括投資控制管理、設備控制管理、實施管理及軟件管理。
5、協調
協調貫穿在整個信息系統工程從設計到實施再到驗收的全過程。主要采用現場和會議方式進行協調。
總之,三控兩管一協調,構成了監理工作的主要內容。為完滿地完成監理基本任務,監理單位首先要協助建設單位確定合理、優化的三大目標,同時要充分估計項目實施過程中可能遇到的風險,進行細致的風險分析與評估,研究防止和排除干擾的措施以及風險補救對策。使三大目標及其實現過程建立在合理水平和科學預測基礎之上。其次要將既定目標準確、完整、具體地體現在合同條款中,絕不能有含糊、籠統和有漏洞的表述。最后才是在信息工程建設實施中進行主動的、不間斷的、動態的跟蹤和糾偏管理。
信息系統監理的主要業務和依據
1、信息系統監理的主要業務
信息系統監理的主要業務范圍有信息網絡系統、信息資源系統、信息應用系統的新建、升級、改造工程。根據國內信息系統監理的實踐,其涵蓋計算機工程、網絡工程、通信工程、結構化布線工程、智能大廈工程、軟件工程、系統集成工程以及有關計算機和信息化建設的工程及項目。其業務內容具體如下:
幫助建設單位做好項目需求分析,協助建設單位選擇合適的承建單位;
審定承建單位的開工報告、系統實施方案、施工進度計劃;
對項目實施的各個階段進行有效的監督和控制,幫助建設單位控制工程進度、投資和質量;
審查和處理工程變更;
參與工程質量和其他事故調查;
調解建設單位與承包單位的合同爭議,處理索賠、審批工程延期;
組織進行竣工驗收測試。
組織建設單位和承建單位完成工程移交。
2、信息系統監理的依據
信息系統監理的依據如下:
國務院頒發的《質量振興綱要》;
現行國家、各省、市、自治區的有關法律、法規、規定;
國際、國內IT行業質量標準規范;
建設單位和承建單位的合同;
將來還有國家標準,例如《信息化工程監理規范》等。
信息系統監理的程序
圖3信息系統監理的程序
信息系統工程監理的特點是全過程監理,主要包括四個階段的監理工作:招投標階段、設計階段、實施階段、驗收階段。監理的目標、方法和程序都體現在這四個階段的監理工作中。
信息系統審計
信息系統審計概念
信息系統審計是全部審計過程的一個部分,信息系統審計(ISaudit)目前還沒有固定通用的定義,美國信息系統審計的權威專家RonWeber將它定義為“收集并評估證據以決定一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟的使用資源”。
信息系統審計的目的是評估并提供反饋、保證及建議。其關注之處可被分為如下三類:
可用性——商業高度依賴的信息系統能否在任何需要的時刻提供服務?信息系統是否被完好保護以應對各種的損失和災難?
保密性——系統保存的信息是否僅對需要這些信息的人員開放,而不對其他任何人開放?
完整性——信息系統提供的信息是否始終保持正確、可信、及時?能否防止未授權的對系統數據和軟件的修改?
信息系統審計產生動因及其發展
1、信息系統審計產生動因分析
關于信息系統審計的產生動因,目前國際上存在兩種觀點:一種觀點認為是從會計審計發展到計算機審計再發展到信息系統審計(計算機審計的范圍擴展,最后涵蓋整個信息系統)演變過來的;另外一種認為由于信息系統尤其是大型信息系統的建設是一項龐大的系統工程,它投資大、周期長、高技術、高風險,在系統的建設過程中,對工程進行嚴格、規范的管理和控制至關重要。而正是由于信息系統工程所具有的這些特點,建設單位往往由于技術力量有限,無力對項目的技術、設備、進度、質量和風險進行控制,無法保證項目的實施成功。所以需要有第三方進行獨立審計。
2、信息系統審計在國際上的發展
信息系統審計的發展是伴隨著信息技術的發展而發展的。在數據處理電算化的初期,由于人們對計算機在數據處理中的應用所產生的影響沒有足夠的認識,認為計算機處理數據準確可靠,不會出現錯弊,因而很少對數據處理系統進行審計,主要是對計算機打印出的一部分資料進行傳統的手工審計。隨著計算機在數據處理系統中應用的逐步擴大,利用計算機犯罪的案件不斷出現,使審計人員認識到要應用計算機輔助審計技術對電子數據處理系統本身進行審計,即EDI審計。同時隨著社會經濟的發展,審計對象、范圍越來越大,審計業務也越來越復雜,利用傳統的手工方法已不能及時完成審計任務,必須應用計算機輔助審計技術(CAATs)進行審計。八十年代、九十年代信息技術的進一步發展與普及,使得企業越來越依賴信息及產生信息的信息系統。人們開始更多的關注信息系統的安全性、保密性、完整性及其實現企業目標的效率、效果,真正意義的信息系統審計才出現。隨著電子商務的全球普及,信息系統的審計對象、范圍及內容將逐漸擴大,采用的技術也將日益復雜。到目前為止,信息系統審計在全球來看,還是一個新的業務,從美國五大會計師事務所的數據看1990年擁有信息系統審計師12名到近百名,1995年已有500名,到2000年時,信息系統審計師正以40%——50%的速度增加,說明信息系統審計正逐漸受到重視。
美國在計算機進入實用階段時就開始提出系統審計(SYSTEMAUDIT),從成立電子數據處理審計協會(EDPAA后更名為ISACA)以來,從事系統審計活動已有三十多年歷史,成為信息系統審計的主要推動者,在全球建有一百多個分會,推出了一系列信息系統審計準則、職業道德準則等規范性文件,并開展了大量的理論研究,IT控制的開放式標準COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系統審計在國內的發展
目前國內有學者提出計算機審計,電算化審計,但基本上停留在對會計信息系統的審計上,延伸手工會計信息系統審計,尚未全面探討信息時代給審計業務帶來的深刻變化。以我國在1999年頒布了獨立審計準則第20號——計算機信息系統環境下的審計為例,其更多關注的是會計信息系統。在信息時代,面對加入WTO后全球一體化市場,我國IT服務業面臨巨大的挑戰,開展信息系統審計業務不失為推動我國IT服務業發展的一次絕佳機會。
信息系統審計的理論基礎
信息系統審計不僅僅是傳統審計業務的簡單擴展,信息技術不單影響傳統審計人員執行鑒證業務的能力,更重要的是公司和信息系統管理者都認識到信息資產是組織最有價值的資產,和傳統資產一樣需要控制,組織同時需要審計人員提供對信息資產控制的評價。因此信息系統審計是一門邊緣性學科,跨越多學科領域。
如圖3所示,信息系統審計是建立在四個理論基礎之上的:
傳統審計理論。傳統審計理論為信息系統審計提供了豐富的內部控制理論與實踐經驗,以保證所有交易數據都被正確處理。同時收集并評價證據的方法論也在信息系統審計中廣泛應用,最為重要的是傳統審計給信息系統審計帶來的控制哲學,即用謹慎的眼光審視信息系統在保護資產安全、保證信息完整,并能有效地實現企業目標的能力。
信息系統管理理論。信息系統管理理論是一門關于如何更好地管理信息系統的開發與運行過程的理論,它的發展提高了系統保護資產安全、保證信息完整,并能有效地實現企業目標的能力。
行為科學理論。人是信息系統安全最薄弱的環節,信息系統有時會因為人的問題而失敗,比如對系統不滿的用戶故意破壞系統及其控制。因此審計人員必須了解哪些行為因素可能導致系統失敗。這方面行為科學特別是組織學理論解釋了組織中產生的“人的問題”。
計算機科學。計算機科學本身的發展也在關注如何保護資產安全、保證信息完整,并能有效地實現企業目標。但是技術是一把雙刃劍,計算機科學的發展可以使審計人員降低對系統組件可靠性的關注,信息技術的進步也可能啟發犯罪,例如一個重要的問題是信息技術在會計制度中的應用是否給罪犯提供了較多緩沖時間?如果是,那么今天網絡犯罪產生的社會威脅較以往任何時候都要大。
圖4 :IS審計的理論基礎
信息系統審計的基本業務和依據
1、信息系統審計的基本業務
信息系統審計業務將隨著信息技術的發展而發展,為滿足信息使用者不斷變化的需要而增加新的服務內容,目前其基本業務如下:
系統開發審計,包括開發過程的審計、開發方法的審計,為IT規劃指導委員會及變革控制委員會提供咨詢服務;
主要數據中心、網絡、通訊設施的結構審計,包括財務系統和非財務系統的應用審計;
支持其他審計人員的工作,為財務審計人員與經營審計人員提供技術支持和培訓;
為組織提供增值服務,為管理信息系統人員提供技術、控制與安全指導;推動風險自評估程序的執行;
軟件及硬件供應商及外包服務商提供的方案、產品及服務質量是否與合同相符審計;
災難恢復和業務持續計劃審計;
對系統運營效能、投資回報率及應用開發測試審計;
系統的安全審計;
網站的信譽審計;
全面控制審計等。
一個信息系統不等同于一臺計算機。今天的信息系統是復雜的,由多個部分組成以做出商業解決方案。只有各個組成部分通過了評估,判定安全,才能保證整個信息系統的正常工作。對一個信息系統審計的主要組成部分分成以下幾類:
信息系統的管理、規劃與組織——評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。
信息系統技術基礎設施與操作實務——評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標.資產的保護——對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
災難恢復與業務持續計劃——這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
應用系統開發、獲得、實施與維護——對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業務目標。
業務流程評價與風險管理——評估業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。
2、信息系統審計的依據
信息系統審計師須了解規劃、執行及完成審計工作的步驟與技術,并盡量遵守國際信息系統審計與控制協會的一般公認信息系統審計準則、控制目標和其他法律與規定。
一般公認信息系統審計準則——包括職業準則、ISACA公告和職業道德規范。職業準則可歸類為:審計規章、獨立性、職業道德及規范、專業能力、規劃、審計工作的執行、報告、期后審計。ISACA公告是信息系統審計與控制協會對信息系統審計一般準則所做的說明。ISACA職業道德及規范提供針對協會會員或信息系統審計認證(CISA)持有者有關職業上及個人的指導規范。
信息系統的控制目標——信息系統審計與控制協會在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被國際上公認是最先進、最權威的安全與信息技術管理和控制的標準,目前已經更新至第三版。它在商業風險、控制需要和技術問題之間架起了一座橋梁,以滿足管理的多方面需要。面向業務是COBIT的主題。它不僅設計用于用戶和審計師,而且更重要的是可用于全面指導管理者與業務過程的所有者。商業實踐中越來越多的包含了對業務過程所有者的全面授權,因此他們承擔著業務過程所有方面的全部責任。特別的是,這其中包含著要提供足夠的控制。Cobit框架為業務過程所有者提供了一個工具,以方便他們承擔責任。其框架包括四大部分:架構、控制目標、審計指南及執行概要。COBIT架構著重各項處理的高層次控制,控制目標則著重于各項IT處理或對該架構所包括的34項IT處理的特定詳細控制目標,每一項IT處理都有5至25個詳細控制目標,控制目標使整體架構和詳細控制目標密切對應,相互一致。詳細控制目標有18種主要來源,涵蓋現行的及法定有關IT的國際性準則與規定。這包括對各項IT工作所建置的控制程序擬達到的預期結果或目標的敘述,以提供全球所有的產業有關IT控制的明確方針及實際最佳的應用。
其他法律及規定。每個組織不論規模大小或屬于何種產業,都需要遵守政府或外部對與電腦系統運作、控制,及電腦、程序、信息的使用情況等有關的規定或要求,對于一向受嚴格管制的行業,尤其要注意遵守。以國際性銀行為例,若因不良備份及復原程序而無法提供適當的服務水準,其公司及員工將受嚴重處罰。此外,由于對EDP及信息系統的依賴性加重,許多國家極力建立更多有關信息系統審計的規定。這些規定內容是關于建置、組織、責任與財務及業務操作審計功能的關聯性。有關的管理階層人員必須考慮與組織目標、計劃及與信息服務部門/職能/工作的責任及工作等有關的外部規定或要求。
信息系統審計流程
開始審計工作的準備包括收集背景信息,估計完成審計需要的資源和技巧。包括合理進行人員分工。與負責的高級經理舉行一次正式的開始審計會議,最后決定范圍,理解特別關注之處,如果有的話,制定日程,解釋審計方法。這樣的會議有高級經理的參與,使人們互相認識,闡明問題強調商業關注點,使得審計工作得以順利進行。類似的,在審計完成后,也召開一次正式會議,向高級經理交流審計結果,提出改進建議。這將確保進一步的理解,增加審計建議的接納程度。也給了被審計者一個機會來表達他們對提出問題的觀點。會議之后書寫報告,可以大大增加審計的效果。
開始審計工作預備工作了解內部控制結構評價控制風險是否信賴內部控制?是否仍可信賴內部控制?內部控制測試評價控制風險是否提高內部控制的信賴程度?擴大實質性測試有限的實質性測試形成審計意見出具審計報告是否是是否結束否
基于風險的審計方法
很多組織意識到技術能帶來的潛在好處。然而,成功的組織還能夠理解和管理好與采用新技術相關的很多風險。因此,審計從基于控制(ControlBased)演變為基于風險(RiskBased)的方法,其內涵包括企業風險、確定風險、風險評估、風險管理、風險溝通。
每個組織使用許多信息系統。對不同功能和活動有不同的應用軟件,在不同的地理區域可能有眾多的計算機配置。審計者面臨的問題是審計什么,什么時候及審計頻率。其答案是接納基于風險的方法。信息系統有著與生俱來的風險,這些風險用不同方式沖擊信息系統。對繁忙的零售超市,信息系統哪怕一個小時的不可用都會對營業系統造成嚴重影響。未授權的修改可能造成對在線銀行系統的欺詐及潛在損失。系統運行的技術環境也可能影響系統的運行風險。
基于風險方法來進行審計的步驟是:
編制組織使用的信息系統清單并對其進行分類。
決定哪些系統影響關鍵功能和資產。
評估哪些風險影響這些系統及對商業運做的沖擊。
在上述評估的基礎上對系統分級,決定審計優先值,資源,進度和頻率。審計者可以制定年度審計計劃,羅列出一年之中要進行的審計項目。
信息系統監理與信息系統審計之對比分析
從前面兩部分的介紹可知,信息系統審計在國際上已經體系化、標準化、程序化,而 我國信息系統監理僅有最基本的輪廓,積累了一些經驗,但尚沒有形成完整的方法論。因此,目前只能從概念、發展動因等方面做較為寬泛的對比。不過,對比國際通用體系,可為我國發展信息系統監管體系以及制定相應的管理制度或實施細則提供借鑒。
信息系統監理與信息系統審計之對比,可歸納出以下特點:
兩者性質相同,都是第三方監督,但對獨立性的要求有差別。
兩者都是立足在第三方的立場,公平對待委托方與被監督方,并要求確保公正性、公平性,以《北京市信息系統工程監理管理辦法》為例,其第十四條是“信息系統工程監理單位應當客觀、公平、公正地執行監理任務”,但是對這一行業賴以存在并得以發展的信條和靈魂——獨立性沒做明確要求。而信息系統審計對第三方的超然獨立要求極其嚴格,也因此在保證客觀、公正上更有可操作性。
客觀公正應當是每個信息系統審計師和監理工程師職業道德方面追求的最高目標,但是人們很難衡量其在執行業務時是否已經達到了客觀公正,如果只作精神上的要求,那么準則和要求將變成牧師的布道,職業人員很難執行,社會公眾很難觀察,所以信息系統審計準則中有關于審計師獨立性的要求。有關獨立性問題的系統研究當首推羅伯特.K.莫茨(R.K.Mautz)和侯賽因.A.夏拉夫(H.A.sharaf)1961年出版的《審計哲學》(ThephilosophyofAuditing)。其中對獨立性的討論包含了兩個方面:執業者的獨立性(Practitionerindependence)和職業的獨立性(Professionindependence)。前者包括審計計劃的獨立性、審計過程的獨立性和審計報告的獨立性;后者則是指社會公眾對注冊會計師行業的一種印象。曾任美國注冊會計師協會職業道德委員會主席的托馬斯.G.希金斯(ThomasGHiggins)在1962年對獨立性的概念又進行了進一步的提升與概括,他認為:“注冊會計師必須擁有的獨立性,實際上有兩種,實質上的獨立性和形式上的獨立性”。所謂形式上的獨立性,是指注冊會計師必須與被審查企業或個人沒有任何特殊的利益關系,如不得擁有被審查企業股權或擔任其高級職務,不能是企業的主要貸款人、資產受托人或與管理當局有親屬關系,等等。否則,就會影響注冊會計師公正地執行業務。形式上的獨立性又可進一步分為組織上的獨立性、經濟上的獨立性與人員上的獨立性三種。所謂實質上的獨立性,又稱為精神獨立性,即認為獨立性是一種精神狀態、一種自信心以及在判斷時不依賴和屈從于外界的壓力和影響。它要求注冊會計師在執業過程中嚴格保持超然性,不能主觀袒護任何一方當事人,尤其不應使自己的結論依附或屈從于持反對意見利益集團或人士的影響和壓力。由上可知,實質上的獨立性是無形的,通常是難以觀察和度量的,而形式上的獨立性則是有形的和可以觀察的。社會公眾通常是透過注冊會計師形式上的獨立性來推測其實質上的獨立性。因此,從這個意義上來說,形式上的獨立性是實質上的獨立性的載體和重要前提。由此可見,形式上獨立很重要,因為它很好界定,便于準則規范,在現實環境中有很好的可執行性。因此我們認為,信息系統監理行業如果不能在獨立性的制度建設上取得重大突破,整個行業的社會信任度大打折扣,而誠信和道德水準的提升對制度缺陷的修正也會很難在實質上取得成效。信息系統監理行業發展中所面臨的各種問題都很重要,但圍繞信息系統監理職業獨立性的建設可能是各項工作中的重中之重。(本文對注冊會計師的討論同樣適用于信息系統審計師)。
國外信息系統審計已經發展為較完善的行業監督體系。
目前國內信息系統審計剛剛起步,而信息工程監理還不夠規范。國家缺乏相應的法律、法規和標準,至今還沒有有效的管理手段,在委托方和被委托方之間也沒有一種協調的機制來建立兩者之間的信任。并且我國行業不規范的責任往往被輕易地歸咎于政府監管的不力;同樣輕易得到的結論,是因此要“加強監管機構的權力和范圍”。美國的會計行業規范不是這么一種邏輯。在規范行業行為中,政府監管是一個重要的輔助措施;而真正起決定性作用的,是市場中的制衡力量,以及為這些制衡力量切實發揮作用而形成的各種正式 或非正式的制度安排。
美國注冊會計師行業的管理機制——行業自我管理和外部約束向結合發揮了重要作用。行業自我管理是通過行業組織、準則和規則、監督來實現的,行業外部約束通過政府組織、準則和規則、監督和實施來實現。如美國國會和SEC監管下的行業自律。外部監管以加強管制的可能性來對行業施加約束。而較強的行政管制,將在很大程度上限制會計行業自主發展的權利和業務拓展空間,損害所有從業者的利益,因此行業總體上需要以行業自律來換取行業自我管制。如果行業不能自律,公眾要求國會加強行政管制的壓力使得這種可能性現實存在。
兩者業務范圍和目的均有所差別。
信息系統工程監理和信息系統審計都是對質量控制的再控制,但兩者業務范圍和目的均有所差別。
1、兩者業務范圍差別
信息系統工程監理是指具有信息系統工程監理資質的單位,接受建設單位的委托,依據國家和本市有關規定、信息系統工程建設標準和工程承建、監理合同,對信息系統工程的質量、進度和投資方面實施監督。目前主要應用在信息化工程建設階段。
信息系統審計是一個獲取并評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標,為有效的實現組織戰略目標而采取的一切活動過程都在審計師的業務之內。其業務范圍包括與信息系統有關的所有領域,例如信息系統安全審計、網譽審計、PKI/CA審計、電子簽名審計業務等。
2、兩者目的差別
信息系統工程監理的目的是保證工程建設質量、進度和投資額滿足建設要求。監理活動隨著工程的完成而結束。信息系統審計的目的是合理保證信息系統能夠保護資產的安全、數據的完整、系統有效地實現組織目標并有效率的利用組織資源,其核心是信息系統的效率、效果。不僅包括對建設過程的審計,更重要的是對信息系統的運營審計,向公眾出具審計報告,鑒證信息系統能否保護企業資產安全,其產生、傳遞的信息是否完整,整個系統是否有效地實現組織目標并有效率的利用組織資源。只要信息系統在運行,審計活動一直存在。
另外,信息系統工程監理的過程是可見的,即對項目成本、進度和質量與目標出現的偏差是可見的,及時糾正也方便。但信息系統審計對信息系統的安全性、可靠性與有效性的認定具有不可見性,這也正是信息系統比工程項目復雜的主要原因。信息系統建設完畢,這僅僅是信息化的開始,大量的問題將出現在信息系統運維階段,因此,從這個角度而言,信息系統審計是保證信息系統質量的行之有效的方法。
信息系統審計與方法研究具有科學化、規范化、智能化和系統化的特點。
所謂科學化,是指現代審計技術與方法的研究,已經超越了傳統的經驗論,非常強調把科學手段和經驗總結相結合。比較典型的例子就是分析性復核技術的發展。所謂分析性復核,其實質就是將審計人員掌握的一些客觀規律總結出來,測算出被審計事項的合理預期值,再與被審計事項的實際值相比較,進一步評估差異的合理性之后,確定是否還需要對被審計事項進行詳細測試。這一個過程,實際上被許多審計人員不自覺地運用了多年,但通過公式和比率等形式總結出來,主動指導審計人員的實踐,卻是最近20年來審計技術與方法研究的一大突出特點。科學化的另一個表現就是數學和統計學技術在審計中的運用日益廣泛,抽樣統計技術的全面推廣就是例證。
所謂規范化,是指審計機構將審計程序設計與審計技術方法的運用有機結合,規范和引導審計人員運用適當的審計技術和方法。以往,審計人員在運用審計技術和方法的過程中容易有較大的隨意性,用與不用,在什么時候用,如何使用,都沒有規范和約束,導致整個審計機構的標準不統一,質量沒有保證。隨著程序導向式審計軟件平臺的開發和廣泛運用,越來越多的審計機構開始把審計技術與方法融入到規范的審計程序之中,要求并指導審計人員合理運用審計技術。
所謂智能化,強調的就是將歷史經驗總結、科學規律推導和審計人員的專業判斷結合起來,指導審計人員得出合理的審計結論。在審計過程中,數學、統計學的分析結果,都不能完全替代審計人員的專業判斷,因為在其利用的數學公式中,仍然有許多變量需要審計人員主觀確定。在這種情況下,越來越多的審計機構,傾向于在審計軟件中為審計人員的決策提供參考。目前,許多審計機構不惜花巨資,邀請審計領域的專家,分析在各種情況下常見的審計策略或方法以及對不同審計結果的判斷標準。當然,對審計而言,智能化永遠都是一個相對的概念,電腦和機器永遠不能替代審計人員的決策,但提供決策輔助和參考意見,確實非常必要。
所謂系統化,是指審計戰略(策略)和審計技術方法的全面協調。審計戰略(策略)解決的是要審什么、想達到什么目的,審計技術和方法解決的是怎么審和怎么達到目的,這兩者的協調是審計技術與方法的研究成果得以全面運用的關鍵。回顧最近20多年來審計技術與方法的研究歷程,可以清晰地發現,審計技術的研究和運用完全是在風險基礎審計理論指導下的開拓和發展,而脫離理論指導的實踐經驗總結相對越來越少。這一點給我們的啟示在于,審計技術與方法的研究,不能超越基本審計理論和審計目標的研究,也不能脫離審計戰略和審計目標的總體要求。
信息系統審計具有較完善的職業教育和認證體系。
國際信息
系
統
審
計
與
控
制
協
會
ISACA(InformationSystemAuditandControlAssociation)是唯一有權授予國際信息系統審計師資格的跨國界、跨行業專業機構,該協會成立于1969年,總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會,現有會員兩萬多人。注冊信息系統審計師CISA(CertifiedInformationSystemAuditor)資格由ISACA授予,是信息系統審計領域的唯一職業資格,受到全世界的廣泛認可。由于信息技術的國際性,國際信息系統審計師資格在世界任何一個國家的使用都不會受到任何制約。自1978年以來,國際信息系統審計師CISA認證已經成為在信息系統審計、控制與安全專業領域中取得成績的標準,并得到了全世界的公認。在世界各地,每年都要舉行一次認證考試和若干次后續教育,目前在我國香港、臺灣、北京、上海、廣州、深圳設有考點。經過認證的信息系統審計師最擅長鑒別信息系統的有效性,最安全和最穩定的系統不一定是最有效的系統,而效率不高的系統就會消耗企業大量的資源,信息系統審計師的優勢就是對財經管理和信息技術融會貫通,為企業信息系統的改造提供建議。
鑒于信息安全市場的高速增長,最近國際信息系統審計與控制協會又迅速推出了信息安全管理師認證CISM,以配合市場對安全人才的巨大需求。
對信息系統監理的建議
目前,我國的信息系統監理業巨大的發展空間吸引著越來越多的國際咨詢公司和專業服務提供商搶灘我國市場。據不完全統計,目前在我國的海外咨詢足有百余家。隨著摩立特集團(我國)公司日前在北京成立,國際上最著名的咨詢公司如麥肯錫、科爾尼、埃森哲、BCG、PWC、羅蘭貝格、德勤等皆已在我國登陸,給國內的咨詢包括監理機構帶來了巨大的壓力,其豐富的案例庫、數據庫、知識庫,數十甚至百年創下的品牌,短時期內本土咨詢業與其的差距依然較大。
面對機遇和挑戰,如何借鑒國際上先進的經驗,推動我國信息系統監理的健康發展,避免其他中介服務行業曾走過的彎路,我們在廣泛的理論分析和實證研究的基礎上提出如下具體建議:
建立健全的管理體制與法律法規體系,盡快形成統一、規范、競爭、有序的信息系統工程監理服務市場。
各級信息化主管部門,在規范政府管理職能的同時(政府部門要避免管的過多、過細,應過多關注整個監理市場的宏觀管理和調控),注重加強行業自律管理,避免其他中介服務行業曾出現過的多種問題。例如,個別人憑借權利強行包攬監理業務,采取高回扣等不正當手段,以及為獨攬業務,不惜損害其他方和當事人的權益等。
鑒于信息系統工程監理具有專業性強和風險大的特點,建議把執業隊伍的業務素質和職業道德素質的提高作為一項重要工作常抓不懈,使信息系統工程監理工程師真正成為國民經濟和社會信息化的“警察”。
盡快建立信息系統工程監理的標準和執業規范。
推動信息系統工程監理工業的分化整合,探索信息系統工程監理公司擴大規模的方式和途徑。在我國加入WTO的新形勢下,面對國際IT服務咨詢業巨頭的競爭,我國信息系統工程監理行業剛起步,監理公司如何脫穎而出、迅速成長,參與國內甚至國際信息系統中介服務市場的競爭,將是重中之重的工作。
開展信息系統工程監理公司內部管理機制研究。努力提高信息系統工程監理行業的監理質量。
執業程序要統一。“四大”發展到今天這樣的規模,執業程序的統一是其基石。這些程序歷經多年的經驗積累而形成,并針對新出現的問題隨時加以完善。從某種意義上將,客戶對“四大”的統一的執業程序的認同,超過了對其名稱品牌的認同。
培訓統一。為保證執業程序的統一,首先要做到培訓統一。信息系統監理工程師在開始執業前要經過嚴格的培訓,定期培訓當然更不可少。建議信息系統監理公司設立專門的培訓部門,并將每年收入相當大的比重用于培訓。另外,嚴格、規范的培訓也是監理公司能夠吸引眾多高素質從業人員的一個重要因素。
人事管理在一定范圍內統一。建議將監理工程師的級別進行細分,并且不要出現一個地方的人員比另外一個地方同一級別的人員水平明顯高的情況。這種管理方式,對于監理機構來說非常重要。
總之,我國信息系統監理事業發展幾年來,雖然取得了一定成績,但在思想認識、理論研究、管理體制、法規建設及實際操作中仍存在諸多問題,監理企業面臨前所未有的嚴峻挑戰。但是機遇與挑戰同在,我國本土的咨詢和監理企業最了解我國的國情環境。我們要充分利用這一優勢,發揮自身的能動力量,積極參與競爭,加強與國際同行的合作交流,借鑒國際咨詢機構和專業服務提供商的經驗、知識、規則乃至在實施過程中的具體方法,把我國的信息系統監理事業做穩、做實、做大,做出我國的監理和咨詢品牌。
第二篇:信息系統監理與信息系統審計
特約撰稿人:孫強孟秀轉
[摘要]建立信息化建設的第三方監督對保證信息化建設的效益最大化至關重要。本文通過信息系統監理和信息系統審計的概念、產生動因等進行比較,分析我國信息系統監理面臨的新問題、新要求,并介紹美國信息系統審計的實踐經驗,在此基礎上提出對我國信息系統監理事業發展的若干建議。
[關鍵詞]信息系統信息系統監理信息系統審計比較獨立性
引言
“信息化帶動工業化”是我國長期的重要發展戰略,江澤民同志在十六大的報告中指出:“實現工業化仍然是我國現代化進程中艱巨的歷史性任務。信息化是我國加快實現工業化和現代化的必然選擇。堅持以信息化帶動工業化,以工業化促進信息化,走出一條科技含量高、經濟效益好、資源消耗低、環境污染少、人力資源優勢得到充分發揮的新型工業化路子。”這段論述表現了我們黨對信息化建設的高度重視,也指明信息化帶出一條新型工業化路子的光明前景。
目前,各地區、各部門都在認真貫徹十六大精神,十分重視推進信息化工作,我國信息化建設已經進入新的階段,我國信息化事業已發展到一個新的階段。各級政府正在積極推進“電子政務”,許多城市及企業也已著手整合與升級其信息化應用系統。可以預計,全國將有更多、更大的信息系統建設項目展開。但是,在信息化推進過程中,存在不同程度上的一些問題,主要表現在規劃制訂不夠科學,項目管理不夠嚴格,監理機制不夠健全,系統運行效益不夠明顯。致使相當一部分信息化項目失敗或未能實現預期目標,浪費了大量資源。究其根源主要原因之一是信息化建設第三方監管機制的缺失和標準的不健全。
國內外的實踐表明:信息化是有風險的,信息系統規模越大,功能越復雜,風險也就越大。英國Kalido于英國時間2001年12月12日公布了有關企業信息管理的調查結果。調查顯示,96%的企業對于本公司的信息管理系統感到不滿。關于目前正在使用的信息系統,認為所制作的報告缺乏一貫性或者是核對信息花費了太多時間的企業約占70%。特別引人深思的是該調查是由美國HarteHanks以全球500強企業以及財富1000企業中的171家公司為對象通過問卷方式實施的。調查對象中,40%以上的企業年交易額超過20億美元。其他主要調查結果如下∶回答目前的信息系統不能靈活因應變化的企業約占60%;對于數據的精度表示擔心的企業約占60%;60%以上的企業正在策劃有關數據及信息的整合計劃。這充分說明,信息系統的建設項目較之傳統工業工程項目成功率更低,風險也更加突出。
中央領導同志在國家信息化領導小組第一次會議中特別強調:信息化建設一定要講求效益,不能搞花架子。因此建立并逐步完善我國信息系統審計制度是健康、有序地推進信息化和落實領導小組會議精神的一項重要措施。
目前,在國內的信息化項目工程建設中,絕大多數用戶(業主)無法組織隊伍對信息系統建設進行專業化管理,難以勝任從可行性分析、規劃設計、招標、方案評審到工程監理和工程驗收全過程的管理與組織協調工作,建設方和承建方在信息建設過程中存在嚴重的信息不對稱問題。這表現為借助外援進行工程管理咨詢的案例越來越多,一些省市的行業主管部門也開始在信息系統建設中推行由監理進行工程質量管理的做法。但是,監理介入信息系統在我國還處于一個探索的過程中。
我國加入WTO后,鑒于我國IT服務業未來巨大的增長空間,國際知名咨詢顧問公司、專業技術服務提供商等紛紛搶灘我國市場。在信息系統第三方鑒證業務方面,他們提供符合國際標準的信息系統審計服務。因此當前監理事業的發展面臨新的形勢,監理工作外部環境發生了深刻變化,勢將對我國監理企業形成嚴重沖擊,本土監理企業面臨前所未有的嚴峻挑戰。監理事業往何處去?這是擺在每一個監理人面前的重大課題。每一個監理企業必須以發展的眼光、動態的觀點、創新的思想和創新的理論正確認識和判斷當前的監理形勢,增強危機感和緊迫感,迎接新的挑戰。
信息系統監理
信息系統監理概念
依據信息產業部《信息系統工程監理暫行規定》,信息系統工程監理是指依法設立且具備相應資質的信息系統工程監理單位,受業主單位委托,依據國家有關法律法規、技術標準和信息系統工程監理合同,對信息系統工程項目實施的監督管理。
信息系統監理產生動因及其發展
1、信息系統監理產生動因分析
監理工作、監理企業是我國在計劃經濟向市場經濟轉變的過程中在建設領域中應運而生的,并取得了有目共睹的顯著成效,直接促進了工程監理業的繁榮發展,這也導致在通信業工程建設、信息系統建設等方面監理的出現。因此,回顧建設工程監理的發展,將有助于對信息系統監理的認識。
1988年7月建設部發布了《關于開展建設監理工作的通知》,隨后又于1988年11月印發了《關于開展建設監理試點問題的若干意見》,使得試點工作有章可循。1989年,根據初步試點取得的經驗,建設部制定了《建設監理試行規定》,這是我國第一個比較完備的關于工程建設監理的法規文件,勾畫出具有我國特色的工程建設監理制度的初步框架。1991年又分別制定頒發了《建設監理單位資質管理試行辦法》和《監理工程師資格考試及注冊試行辦法》,建設監理法規制度進一步配套完善。1993年,上海市開始了工程設備監理制度的試點工作。1998年,國務院機構改革后賦予了國家質量技術監督局“協調建立設備工程監理制度”的職能要求,隨后,國家質量技術監督局擬定了《協調建立設備工程監理制度的方案》,在國家發展計劃委員會的指導和具體參與下,會同國務院有關部門,在國內有關技術及咨詢機構的幫助、支持下,完成了設備監理制度中有關規章的起草工作。此間,世界銀行、國家開發銀行等亦曾規定,其貸款的有關項目要有監理公司監理,并作為申請貸款的項目單位獲得貸款的基本條件。由此開始推行建設工程監理制度,監理事業得到持續快速發展,從而積累了一定經驗,取得了積極成效。發展至今建立了一套比較完整的監理法規體系,組成了一支規模較大的監理隊伍,監理出一批優良的工程項目,監理工作在工程建設中發揮了重要作用,得到了各級領導的支持,得到了社會的普遍認可,正逐步向規范化、制度化、科學化方向邁進。
但同時我國工程監理事業經過十多年的發展,雖然取得了一定成績,但也存在不少問題。如:監理人員整體素質不高、監理工作缺位、監理取費普遍較低、監理市場競爭機制不健全、監理企業缺乏自我積累和發展能力、監理責任不明確、監理工作缺乏系統的理論研究、宣傳工作滯后等問題比較突出。
2、信息系統監理的發展
目前信息系統工程的現狀類似于二十世紀八十年代以前建筑工程的狀態。自1988年建設部頒布《關于開展建設監理工作的通知》以后,特別是1996年建設監理全面推行后,建筑工程的質量普遍提高,業主和承建商之間的糾紛普遍減少,凡是出問題的工程,監理也有問題。因此,要求參考建筑工程的管理辦法對信息工程實施監理的呼聲日益高漲,這既是信息工程用戶(業主)的愿望,也是系統集成商的愿望,信息工程市場呼喚“第三方”—信息系統工程監理的出現。
但我國的信息系統工程監理目前僅僅是處在起步階段,事實上根據對國內信息化應用程度較高的行業部門(如銀行、證券、保險、氣象、社保、旅游等)和部分大型企業(如華北制藥、哈爾濱軸承集團、哈爾濱飛機制造企業、躍進汽車集團、我國石化等)30個樣本作為調查對象的調查結果顯示,對于大多數企業來說,項目監理是個新概念。只有30的被調查者表示在某些信息化項目中使用過監理服務。在70未使用過項目監理的被調查者中,5表示聽說過,95表示知道建筑工程有監理,但在IT信息化項目中引入監理還是第一次聽說。
圖1監理服務內容重要程度(引自胡敏《市場呼喚項目監理》)
信息系統監理的基本理論
信息系統監理的中心任務是科學地規劃和控制工程項目的投資、進度和質量三大目標;監理的基本方法是目標規劃、動態控制、組織協調和合同管理;監理工作貫穿規劃、設計、實施和驗收的全過程。信息工程監理正是通過投資控制、進度控制、質量控制以及合同管理和信息管理來對工程項目進行監督和管理,保證工程的順利進行和工程質量。
1、成本控制
成本控制的任務,主要是在建設前期進行可行性研究,協助建設單位正確地進行投資決策;在設計階段對設計方案、設計標準、總概(預)算進行審查;在建設準備階段協助確定標底和合同造價;在實施階段審核設計變更,核實已完成的工程量,進行工程進度款簽證和索賠控制;在工程竣工階段審核工程結算。
2、進度控制
3、質量控制
質量控制要貫穿在項目建設從可行性研究、設計、建設準備、實施、竣工、啟用及用后維護的全過程。主要包括組織設計方案評比,進行設計方案磋商及圖紙審核,控制設計變更;在施工前通過審查承建單位資質等;在施工中通過多種控制手段檢查監督標準、規范的貫徹;以及通過階段驗收和竣工驗收把好質量關等。
3、合同管理
合同管理是進行投資控制、工期控制和質量控制的手段。因為合同是監理單位站在公正立場采取各種控制、協調與監督措施,履行糾紛調解職責的依據,也是實施三大目標控制的出發點和歸宿。
4、信息管理
信息管理包括投資控制管理、設備控制管理、實施管理及軟件管理。
5、協調
協調貫穿在整個信息系統工程從設計到實施再到驗收的全過程。主要采用現場和會議方式進行協調。
總之,三控兩管一協調,構成了監理工作的主要內容。為完滿地完成監理基本任務,監理單位首先要協助建設單位確定合理、優化的三大目標,同時要充分估計項目實施過程中可能遇到的風險,進行細致的風險分析與評估,研究防止和排除干擾的措施以及風險補救對策。使三大目標及其實現過程建立在合理水平和科學預測基礎之上。其次要將既定目標準確、完整、具體地體現在合同條款中,絕不能有含糊、籠統和有漏洞的表述。最后才是在信息工程建設實施中進行主動的、不間斷的、動態的跟蹤和糾偏管理。圖2監理內容示意圖:
第三篇:信息系統審計
1、信息系統審計的概念,內容,流程?
答:(1)概念信息系統審計是指根據公認的標準和指導規范,對信息系統從規劃、實施到運行維護各個環節進行審查評價,對信息系統及其業務的完整性、有效性、效率性、安全性等進行監測、評估和控制的過程,以確定預定的業務目標得以實現,斌提出一系列改進建議的管理活動。
(2)內容:主要包括內部控制系統審計、系統開發審計、應用程序審計、數據文件審計等。a.內部控制系統審計。信息系統的內部控制系統由兩個子系統構成:一是一般控制系統,它是系統運行環境方面的控制,為應用程序的正常運行提供外圍保障。另一子系統是應用控制系統,它是針對具體的應用系統和程序而設置的各種控制措施。
b.系統開發審計。是指對信息系統開發過程所進行的審計,這是一種事前審計。
c.應用程序審計。其決定了數據處理的合規性、正確性。對應用程序的審計,可以對程序直接進行審查,也可以通過數據在程序上的運行進行間接測試。
d.數據文件審計。在信息系統中,各種憑證、賬簿及報表中的數據均以數據文件的形式存儲在硬盤或軟盤等存儲介質中,對數據文件進行審計,可以將該文件打印出來進行檢查,也可以在計算機內直接進行審查。
(3)流程:主要的分為準備階段、實施階段、終結階段。
a.準備階段:
1、明確審計任務。
2、組成信息系統審計小組。
3、了解被審計系統的基本情況。
4、制定信息系統審計方案;
b.實施方案:
1、對被審計系統的內部控制制度進行健全性調查和符合性測試。
2、對帳表單證或數據文件的實質性審查;
c.終結階段:
1、整理歸納審計資料。
2、撰寫審計報告。
3、發出審計結論和決定。
4、審計資料的歸檔和管理。
2、常見的IT治理標準有哪些,各自的作用是什么?
答:常見的IT治理標準有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技術基礎構架庫,一套被廣泛承認的用于有效IT服務管理的時間準則。1980年以來,英國政府商務辦公室為解決“IT服務質量不佳”的問題,逐步提出和完善了一整套對IT服務的質量進行評估的方法體系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相關技術的控制目標。它是由信息系統審計與控制協會,于1996年推出的用于IT審計的知識體系。作為IT治理的核心模型,其包括34個信息技術過程控制,并歸集為IT規劃和組織、系統獲得和實施、交付與支持以及信息系統運行性能監控4個領域。目前COBIT是國際上公認的IT管理與控制標準。
(3)BS 7799(ISO/IEC17799):國際信息安全管理標準體系。該標準包括信息系統安全管理和安全認證兩大部分,是參照英國國家標準BS 7799而來的。它是一個詳細的安全標準,包括安全內容的所有準則,由10個獨立的部分組成,每一節都覆蓋了不同的主題和區域。該體系主要解決企業的信息安全管理上的問題,為企業提供了一個完整的管理框架,不斷改進信息安全管理水平,使機構或企業的信息安全以最小代價達到需要的水準。
(4)PRINCE2(Projects In Controlled Environments)是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段,以便高效地控制資源的使用和在整個項目周期執行常規的監督流程。PRINCE2的視野并不僅僅限于對具體項目的管理,還覆蓋了在組織范圍對項目的管理。
3、常見的信息系統開發方法,對其中的一到兩種展開說明?
答:常見的信息系統開發方法有軟件開發生命周期法、原型法、面向對象法、計算機輔助開發方法、基于組件的開發方法、基于Web應用開發方法。以下對軟件開發生命周期法進行
說明。
軟件開發生命周期法(Software Development Life Cycle,SDLC)是系統分析員和系統開發者常用的軟件開發方法。軟件開發生命周期法能夠生產高質量的軟件,滿足業務和用戶的需求,在開發進度和成本控制下進行軟件開發生產,是一種有效保證成本,提高效益的軟件開發方法。通過應用傳統的SDLC方法,已經成功開發出了大量的業務應用系統。其各個階段及其基本內容如下:
1、第一階段——可行性研究。確定實施系統在提高生產效率或未來降低成本方面的戰略利
益,確定和量化新系統可以節約的成本,評價新系統的成本回收期。
2、第二階段——需求定義。一是定義需要解決的問題,二是定義所需的解決方案及方案應
當具有的功能和質量要求。該階段還要確定是采用定制開發的方法還是供應商提供的軟件包。
3、第三階段A——系統設計(當決定自行開發軟件時)。以需求定義為基礎,建立一個系
統基線和子系統的規格說明,以描述系統功能如何實現,各個部分之間接口如何定義,系統如何使用已選擇的硬件、軟件和網絡設施等。
4、第三階段B——系統獲取(當決定購買現成軟件包時)。以需求定義為基礎,向軟件供
應商發出請求建議書(RFP)。商品軟件的選擇要從多方面進行考慮。
5、第四階段A——系統開發(當決定自行開發軟件時)。使用系統設計說明書來設計編程
和實現系統過程。在這個階段,要進行各個層次的測試,以驗證和確認開發的系統。
6、第四階段B——系統配置(當決定購買現成軟件包時)。如果決定選用商品化的軟件包
時,需要按照企業的需求進行系統客戶化工作,對系統進行剪裁。這種剪裁最好是通過配置系統參數來實現,而不是通過修改程序源代碼。
7、第五階段——系統實施。這個階段是在最終用戶驗收測試完成、用戶簽署正式文件后進
行。系統還需要通過一些認證和鑒定過程,來評價應用系統的有效性。
8、第六階段——實施后維護。隨著一個新系統或徹底修改的系統的成功實施,應當建立正
式的程序來評估系統的充分性和評價成本效益或投資回報。這樣可為后續的系統開發項目管理提供改進意見。
當一個項目的需求穩定、定義準確時,生命周期法使用起來最有效,改方法適用于在開發工作的早期建立總體的系統構架。
4、IT服務管理的定義,包括哪些內容?
答:(1)IT服務管理(IT Service Management,ITSM)有以下兩種使用比較廣泛的定義:
1、IT服務管理是一種以流程為導向、以客戶為中心的方法。它通過整合IT服務于企業業
務,提高了企業的IT服務提供和服務支持的能力和水平。
2、IT服務管理是一套通過SLA(服務級別協議)來保證IT服務質量的協同流程。它融合了系統管理、網絡管理、系統開發管理等管理活動以及變更管理、資產管理、問題管理等許多流程理論和實踐。
(2)ITIL主題框架包括6個主要模塊,即服務管理、業務管理、ICT(信息與通信技術)基礎設施管理、貫穿業務和IT基礎設施的應用管理、IT服務管理實施規劃和集中的安全管理。
08信息2班0804100229徐怡
第四篇:信息系統監理(完整)DOC
信息系統監理(A)
選擇題(20)
2010下半年軟考信息系統監理師考試試題(上午)
39、關于監理人員的權利和義務中,不正確的是(C)A 監理人員應根據監理合同獨立執行工程監理任務 B 監理人員應保守承建單位的技術秘密和商業秘密 C 監理人員必須滿足建設單位的要求和指令
D 監理人員不得同時從事與被監理項目相關的技術和業務活動 40、屬于項目分析設計階段監理工作的內容是(B)A 審查承建單位的資質 B 審核項目需求規格說明書 C 檢查軟件測試的工作進度 D 編寫項目監理總結報告
41、根據工業和信息化部計算機信息系統集成資質認證工作辦公室發布的規定,自2011年1月1日起,申請信息工程監理部臨時資質的單位,取得的監理工程師資格人數應不少于(B)人 A 10
B 15
C 20
D 30
42、監理單位和承建單位按照下列(C)的方式開展工作
A 監理單位和承建單位均按監理合同和工程建設合同開展監理或建設監理 B 監理單位按工程建設合同開展監理工作,承建單位按監理合同接受監理 C 監理單位按監理合同開展監理工作,承建單位按工程建設合同接受監理
D 監理單位按監理合同開展監理工作,承建單位按監理合同和工程建設合同接受監理
44、監理大綱應在(B)階段編制
A 監理合同簽訂
B 監理招投標
C 監理實施
D 監理總結
45、監理單位把(B)提供給承建單位,能起到工作聯系單或通知書的作用 A 監理總結
B 監理細則
C 監理規劃
D 監理大綱
48、在工程設計階段,不屬于監理審核內容的是(C)A 需求范圍
B 系統構架
C 測試用例
D 業務流程
49、一般來說,設計階段需要由(B)對各設計實施方案進行審核。A 專家
B 監理工程師
C 總監理工程師
D 監理代表
53、某機房改造工程,由于業主單位原因,導致增容的不間斷電源系統沒有使用房間而遲遲不能就位,項目總體進度已在延期,一下說法正確的是(C)A 因屬于非承建單位導致的進度延期,所以監理單位應審核同意承建單位工期順眼的申請
B 監理單位應召集業主單位、承建單位召開專題討論會,要求承建單位就房間問題提供解決方案
C 就此進度延期的問題監理單位向業主單位提交專題報告,建議其盡快解決房間問題
D 如果承建單位就該進度延期提出索賠要求,監理單位應駁回該索賠申請
54、下列費用中不屬于工程前期費用的是(A)。
A 監理費
B 可行性分析、論證費
C 造價評估費
D 招投標費
58、監理在評價變更合理(D)
A 變更是否會影響工作范圍、成本、質量、進度 B 性能是否有保證,對選用設備的影響
C 變更是否影響項目的投資回報率和凈現值 D 變更是否可以平衡各方利益
59、監理在監控變更實施的過程中,發現如繼續按照變更后的方案實施,將可能造成更大的損失。這種情況下,監理單位首先應該(D)A 組織專家對變更做進一步的論證,確定變更風險 B 建議建設單位組織召開專題討論會,評估變更方案
C 通知承建單位廢除變更后的方案,按照原有方案繼續實施 D 通知承建單位暫停實施工作,等待進一步監理指令
60、某信息系統項目總包單位A將機房的空調工程分包給B單位,單位工程師經過勘察現場,提出變更冷媒管路由的新方案。以下關于該方案變更的描述,正確的是(C)
A 變更申請由B單位提出
B 由于B單位負責安裝維護,因此變更無需經過審核 C 變更需要通過A單位辦理
D 由于B單位工程師專業性更強,因此監理單位不必再次勘察與評審
61、某網絡系統項目按總價合同方式約定訂購3000米高規格銅纜,由于建設單位的原因,工期暫停半個月,待回復建工后,承建單位以近期銅價上漲為理由,要求建設單位賠償購買電纜增加的費用,并要求適當延長工期。一下說法正確的是(D)
A 索賠是挽回成本損失的重要手段,因此建設單位應該賠償承建單位采購電纜增加的費用
B 監理單位應保護承建單位的合法利益,因此應該支持承建單位的索賠要求 C 索賠是合同雙方利益的體現,因此承建單位要求增加采購費用是風險費用的轉移,可以使項目造價更趨于合理
D 銅價上漲是承建單位應承擔的項目風險,不應該要求賠償費用
67、某信息系統工程由于承建單位原因,導致實施進度嚴重超期,監理單位準備就此問題召集業主單位、承建單位召開專題會議協商解決,此時給承建單位發出(C)最合適的。
A 監理通知單
B 專題監理報告
C 監理工作聯系單
D 停工令 2012上半年信息系統監理師(上午)試題及答案
32、以下關于監理資料整理、歸檔的描述,不正確的是(A)A 監理資料應在監理工作結束后統一整理歸檔
B 監理檔案的編制及保存應符合國家法律法規和標準規范的要求 C 監理資料的管理應由總監工程師負責,并指定專人具體實施 D 監理資料應按時整理、真實完整、分類有序
33、監理方在編制工程驗收監理報告時,應重點說明(C)A 工程竣工準備工作綜述 B 驗收測試方案與規范 C 驗收測試結論與分析 D 項目監理工作總結
34、(C)不屬于工程監理驗收報告必須包括的內容 A 工程竣工的準備工作綜述 B 驗收測試方案與規范 C 監理工作流程 D 驗收測試結論
39、工程監理單位不按照委托監理合同的約定履行監理義務,對應當監督檢查的項目不檢查或者不按照規定檢查,給建設單位造成損失的,應當(C)A 被處以罰款
B 吊銷其資格證書
C 承擔相應的賠償責任 D 承擔連帶賠償責任
40、下列不屬于違約變更的是(C)
A 因業主方未按時提供項目建設所需要材料所導致的進度延期 B 因前置機房建設任務未竣工而導致的裝修延期 C 因地震引起的設備延遲到貨而導致的進度延期
D 因承建方指派項目經理經驗不足而導致的進度延期
46、當信息工程項目實施過程中出現進度超度的情況時,監理工程師(B)A 應該感到高興,因為工程可以提前完成
B 需分析進度超前對后續工作產生的影響,并同承建單位協商,合理地調整進度方案
C 督促其余多個平行的承建單位加快進度,以便工程早日完工 D 不必干預
48、監理單位應在信息化建設工程實施完成以后參加單位組織的工程驗收,簽署(D)意見。
A 業主
B 總監理工程師
C 承建單位
D 監理單位
49、以下關于質量控制點設置原則的敘述,不正確的是(C)A 質量控制點應突出重點 B 質量控制點應易于糾偏
C質量控制點應避免干擾,不能該表 D 質量控制點應利于三方的質量控制
51、以下對監理規劃理解不正確的是(D)
A 總監理工程師對監理機構的監理規劃和它在工程監理過程中的實施效果進行檢查
B 監理規劃是對監理委托合同的簽訂雙方責、權、利的進一步細化,具有合同效力
C 監理規劃的依據包括建設單位與承建單位簽訂的合同
D 監理規劃應對所有監理項目中的關鍵點和實施難點設置“質量控制點”
52、監理單位為獲得監理任務而編制的文件是(A)A 監理大綱
B 監理規劃
C 監理細化
D 監理合同
53、監理合同是監理單位開展工作的依據之一,以下關于監理合同的說法不正確的是(D)
A 監理合同規定了監理工作的成果
B 監理合同規定了主要監理設備由監理單位提供 C 監理合同規定了監理工作的范圍
D監理合同規定了由承建單位支付監理費用
54、某信息系統建設項目,由于承建單位項目經歷突然離職,造成項目進度延期,并導致監理合同約定的實施周期延長,針對上述情況,(D)的做法是妥當的。
A 監理單位向承建單位索賠,挽回建立損失 B 承建單位要求追加實施費用 C 建設單位立即終止建設合同 D 監理單位要求追加監理費用
55、通過質量認證的企業年審時若質量體系不符合認證要求,認證機構可采取的警告措施是(C)
A 企業通報
B 監督檢查
C 認證暫停
D 認證注銷
57、由承建單位采購的設備,采購前要向(B)提交設備采購方案,經審查同意后,方可實施。
A 總監理工程師
B 監理工程師
C 總工程師
D設備安裝工程師
58、總包單位依法將建設工程分包時,分包工程發生的質量問題應(B)A 由總包單位負責
B 由總包單位負責,分包單位承擔連帶責任 C 由分包單位負責
D 由總包單位、分包單位、監理單位共同負責 60、項目質量管理由(A)、質量控制和質量保證三方面構成。A 質量計劃
B 質量體系
C 質量方針
D 質量措施 簡答題:
1、什么是信息系統工程監理? 答:信息系統工程監理是指在政府工商部門注冊的且具有信息工程監理資質的單位,受建設單位委托,依據國家有關法律法規、技術標準和信息系統工程監理合同,對信息系統工程項目實施的監督管理。
2、簡述監理實現協調的主要方法?
答:協調工作分為監理內部和外部兩部分。?項目監理部內部協調: 內部監理人員的工作,既有專業的分工負責又有協作配合。這種協調工作由項目總監理工程師進行。
(1)建立定期的內部工作協調會議;
(2)建立內部各專業監理工作的協調工作程序(即各專業監理工作之間相互關系的流程圖);
(3)建立各專業監理工作之間相互配合的制度和規定,如隱檢簽認的回簽制度。?項目監理部的外部協調
(1)建立現場各有關單位參加的總協調例會;
(2)計劃調度的協調,要審查和優化施工總承包到位提出的施工網絡計劃,計劃的分解落實,人工投入、物資材料供應、機械設備的配置等等;
(3)施工安裝組織設計的協調,要審核和優化施工安裝組織設計方案,組織設計方案的落實,分段施工作業流水的配合,各專業施工安裝的穿插和協調配合,施工作業的交叉和銜接;
(4)費用控制方面的協調,合計方法、原則的統一,計劃標準的統一;
(5)合同管理的協調,總承包合同的變更和補充,合同糾紛的調解,按合同的規定進行具體的劃項,主要設備、材料的采購和分叉等等;
(6)設計方面的協調,設計圖紙的會審;施工圖紙供應的計劃、設計的變更、施工洽商、設計優化;
(7)業主直接分包的施工安裝與總承包單位之間的配合與協調;(8)工程質量的驗收標準和檢驗方法;質量問題的處理協調;(9)工程階段驗收的組織協調;
(10)工程竣工的初驗的組織與協調。
3、簡述監理實現質量控制的主要手段 答:(1)現場監理。監理人員在承建單位施工期間,用全部或大部分時間在施工現場,對承建單位的各項工程活動進行跟蹤監理;
(2)測量。工程中的測量貫穿整個施工監理的全過程。在施工過程中也常采用測量手段進行施工控制;對已完成的工程,也要采取測量手段。在整個監理過程中始終離不開測量手段;
(3)試驗。在信息工程質量監理中,對任何項目或項目中的任何部分的質量評估,以判斷是否達到標準,其唯一的依據就是試驗數據。單純采用經驗的方法,或僅依據目測、感覺,對信息工程質量的任何評價都是不允許的。
(4)嚴格執行監理程序。只要堅持監理程序,就能控制承建單位的施工程序,這對保證信息工程質量是非常必要的。
(5)指令性文件。采取指令性文件,對承建單位的施工質量進行管理,而承建單位要嚴格履行和堅持監理工程師對任何事項發出的指示。在質量管理中,監理工程師應當充分利用指令性文件對承建單位進行質量控制;
(6)利用支付控制手段。質量監理是以計量支付為保障手段的,承建單位的任何工程款項的支付,均需由監理工程師開具支付證明。它是保證信息工程質量的根本措施,也是監理工程師在質量監理中的有力手段。
4、簡述監理實現進度控制的主要措施
答:進度控制的措施包括組織措施、技術措施、合同措施、經濟措施和信息管理措施等。
?組織措施主要有:
(1)落實項目監理班子中進度控制部門的人員,具體控制任務和管理職責分工;(2)進行項目分解,如按項目結構分、按項目進展階段分、按合同結構分,并建立編碼體系;
(3)確定進度協工作制度,包括協調會議舉行的時間、協調會議的參加人員等等;
(4)對影響進度目標實現的干擾和風險因素進行分析。風險分析要有依據,主要是根據許多統計資料的積累,對各種因素影響進度的概率及進度拖延的損失值進行計算和預測,并應考慮有關項目審批項目對進度的影響等等; ?技術措施是采用它以加快施工進度;
?合同措施主要有分段發包、提前施工,以及各合同的合同期與進度計劃的協調等等;
④經濟措施是采用它以保障資金供應;
⑤信息管理措施主要是通過計劃進度與實際進度的動態比較,定期地向建設單位提供比較報告;
對于進度工作,應明確一個基本思想:計劃不變是相對的,而變是絕對的;平衡是相對的,不平衡是絕對的。要針對變化采取對策,定期地、經常地調整進度計劃。
5、業主單位合同違約的原因有哪些? 答:(1)可確認建設單位違約:
建設單位不按時支付項目預付款;
建設單位不按合同約定支付項目款,導致實施無法進行;
建設單位無正當理由不支付項目竣工結算款;
建設單位不履行合同義務或不按合同約定履行業務的其他情況;
(2)建設單位違約包括以下集中情況:
●違反信息系統工程合同設計部分的責任:
未按合同規定的時間提供有關的文件、資料及工作條件等,應承擔由此造成的承建單位設計提供的損失;
由于改變計劃或提供的資料不準確,而造成的設計返工或增加工作量,應按實際工作量增加設計費用。
●違反信息工程合同實施不分的責任:
未按實際合同規定的時間和要求提供實施場地、實施條件、技術資料、設備、資金等,除將項目日期順延外,還應償付承建單位而因此造成停工、窩工的實際損失等;
項目中途停工停建、緩建,應采取措施彌補或減少損失或減少損失;
驗收或撥付項目費超過期限,應償付逾期違約金。
第五篇:信息系統審計重點
信息系統審計
電子計算機在數據處理的發展過程可分為三個階段:數據的單項處理階段、數據的綜合處理階段、數據的系統處理階段。
數據處理電算化以后,對傳統的審計產生了巨大的影響,主要表現在:
1、對審計線索的影響~~~~
2、對審計方法和技術的影響~~~~~~
3、對審計人員的影響~~~~~
4、對審計準則的影響~~~~~~ 信息系統審計的定義:信息系統審計是根據公認的標準和指導規范,對信息系統從規劃、實施到運行維護各個環節進行審查評價,對信息系統及其業務應用的完整性、有效性、效率性、安全性等進行檢測、評估和控制的過程,以確認預訂的業務目標得以實現,并提出一系列改進建議的管理活動。
信息系統的主體:有勝任能力的信息系統獨立審計機構或人員 信息系統審計的對象:被審計的信息系統
信息系統審計工作的核心:客觀地收集和評估證據
信息系統審計的目的是評估并提供反饋、保證及建議。關注之處被分為三類:可用性、保密性、完整性。
信息系統審計的特點:審計范圍的廣泛性、審計線索的隱蔽性、易逝性、審計取證的動態性、審計技術的復雜性。(真是為一道簡答題。在P6,詳細看一下各段內容,概括下再答題)信息系統審計目標:
1、保護資產的完整性
2、保證數據的準確性
3、提高系統的有效性
4、提高系統的效率性
5、保證信息系統的合規性與合法性
信息系統的主要內容:內部控制系統審計(分為一般控制系統、應用控制系統,對信息系統的內部控制系統進行審計的目的是在內部控制審計的基礎上對信息系統的處理結果進行審計、加強內部控制,完善內部控制系統)系統開發審計(信息系統開發審計是對信息系統開發過程進行的審計,審計目的一是要檢查開發的方法、程序是否科學,是否含有恰當的控制;二是要檢查開發過程中產生的系統文檔資料是否規范。)應用程序審計(審查應用程序有兩個目的,意識測試應用控制系統的符合性,二是通過檢查程序運算和邏輯的正確性達到實質性測試目的)數據文件審計(審計目的一是對數據文件進行實質性測試,二是通過數據文件的審計,測試一般控制或應用控制的符合性,但主要是為了實質性測試)(這是道簡答題,在P8各個小概括下)
信息系統審計的基本方法:繞過信息系統審計、通過信息系統審計 信息系統審計的步驟(大題P11):
準備階段:明確審計任務,組成信息系統審計小組,了解被審計系統的基本情況,指定信息系統審計方案,發出審計通知書 實施階段:對被審計系統的內部控制制度進行健全性調查和符合性測試,對賬表單證或數據文件的實質性審查
終結階段:整理歸納審計資料,撰寫審計報告,發出審計結論和決定,審計資料的歸檔和管理
國際信息系統審計準則:由信息系統審計與控制協會(ISACA)頒布和實施的。ISACA是國際上唯一的信息系統審計專業組織,通過制定和頒布信息系統審計標準、指南和程序來規范審計師的工作,它由三個層次構成: 審計標準(審計標準是整個信息系統準則體系的總綱,是制定審計指南和作業程序的基礎和依據)審計指南(審計指南為審計標準的應用提供了指引,信息系統審計師在審計過程中應考慮如何應用指南以實現審計標準的要求,在應用過程中靈活運用專業判斷并糾正任何偏離準則的行為)
作業程序(作業程序提供了信息系統審計師在審計過程中可能遇到的審計程序的示例)信息系統審計師應具備的素質(大題P18-19)
應具備的理論知識:傳統審計理論、信息系統管理理論、計算機科學、行為科學理論
應具有的實踐技能:參加過不同類別的工作培訓、參與專業的機構或廠商組織的研討會,動態掌握信息技術的新發展對審計實踐的影響、具有理解信息處理活動的各種技術、理解并熟悉操作環境,評估內部控制的有效性、理解現有與未來系統的技術復雜性,以及它們對各級操作與決策的影響、能使用技術的方法去識別系統的完整性、要參與評估與使用信息技術相關的有效性、效率、風險等、能夠提供審計集成服務并為審計員工提供指導,與財務審計師一起對公司財務狀況做出說明、具備系統開發方法論、安全控制設計、實施后評估等、掌握網絡相關的安全實踐、信息安全服務、災難恢復與業務持續計劃、異步傳輸模式等通信技術。IT治理定義:德勒定義:IT治理是一個含義廣泛的概念,包括信息系統、技術、通信、商業、所有利益相關者、合法性和其他問題。其主要任務是保持IT與業務目標一致,推動業務發展,促使收益最大化,合理利用IT資源,IT相關風險的適當管理。
IT治理必須與企業戰略目標一致,IT對于企業非常關鍵,也是戰略規劃的組成,影響戰略競爭;IT治理和其他治理主體一樣,是管理執行人員和利益相關者的責任(以董事會為代表);IT治理保護利益相關者的權益,使風險透明化,指導和控制IT投資、機遇、利益、風險;IT治理包括管理層、組織結構、過程,以確保IT維護和拓展組織戰略目標;應該合理利用企業的信息資源,有效的集成與協調;確保IT及時按照目標交付,有合適的功能和期望的收益,是一個一致性和價值傳遞的基本構建模塊,有明確的期望值和衡量手段;引導IT戰略平衡系統的投資,支持企業,變革企業,或者創建一個信息基礎架構,保證業務增長,并在一個新的領域競爭。
IT治理和IT管理的關系:IT管理是在既定的IT治理模式下,管理層為實現公司的目標二采取的行動,IT治理規定了整個企業IT運作的基本框架,IT管理則是在這個既定的框架下駕馭企業奔向目標。缺乏良好IT治理模式的公司,即使有很好的IT管理體系,就想一座地基不牢固的大廈;同時,沒有公司IT管理體系的流暢,單純的治理模式也只能是一個美好的藍圖,而缺乏實際的內容。
公司治理和IT治理:公司治理,驅動和調整IT治理。同時,IT能夠提供關鍵的輸入,形成戰略計劃的一個重要組成部分,即IT影響企業的戰略競爭機遇。IT治理標準:ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始級、可重復級、已定義級、已管理級、已優化級(主要內容及其作用在P47-48)
信息系統內部控制:是一個單位在信息系統環境下,為了保證業務活動的有效進行,保護資產的安全與完整,防止、發現、糾正錯誤與舞弊、確保信息系統提供信息的真實、合法、完整,而制定和實施的一系列政策與程序措施。凡是與信息系統的建立、運作維護、管理和業務處理有關的部門、人員和活動,都屬于信息系統內部控制的對象,可分為一般控制和應用控制。
信息系統一般控制是應用于一個單位信息系統全部或較大范圍的內部控制,其基本目標為保證數據安全、保護計算機應用程序、防止系統被非法侵入、保證在意外中斷情況下的繼續運行等。
信息系統應用控制是用于對具體應用系統的控制,一個應用系統一般由多個相關計算機程序組成,有些應用系統可能是復雜的綜合系統,牽涉到多個計算機程序和組織單元,與此相對應,應用控制包括包含在計算機編碼中的日常控制及與用戶活動相關的政策和流程。良好的一般控制是應用控制的基礎,可以為應用控制的有效性提供有力的保障,某些應用控制的有效性取決于計算機整體環境控制的有效性。當計算機整體環境控制薄弱時,應用控制就無法真正提供合理保障。如果一般控制審計結果很差,應用控制審計結果很差,應用控制審計就沒有進行的必要。
審計邏輯訪問安全策略:知所必需原則
審查離職員工的訪問控制:請辭、聘用合同期滿和非自愿離職 數據庫加密:一般采用公開密鑰加密方法 系統訪問控制及其審計:系統訪問就是利用計算機資源達到一定目的的能力,對計算機化的信息資源的訪問可以基于邏輯方式,也可以基于物理方式。物理訪問控制可以限制人員進出敏感區域。對計算機信息的物理訪問與邏輯訪問應當建立在“知所必需”的基礎上,按照最小授權原則和職責分離原則來分配系統訪問權限,并把這些訪問規則與訪問授權通過正式書面文件記錄下來,作為信息安全的重要文件加以妥善管理。身份識別與驗證(簡答題P65-66):邏輯訪問控制中的身份識別與驗證是一種提供用戶身份證明的過程,在這個過程中,用戶向系統提交有效的身份證明,系統驗證這個身份證明后向用戶授予訪問系統的能力。可分為三類:“只有你知道的事情”“只有你擁有的東西”“只有你具有的特征” 例子:賬號與口令、令牌設備、生物測定技術與行為測定技術。邏輯訪問授權:一般情況下邏輯訪問控制基于最小授權原則,支隊因工作需要訪問信息系統的人員進行必要的授權。當用戶在組織變換工作角色時,在賦予他們新訪問權限時,一般沒有及時取消舊的訪問權限,這就會產生訪問控制上的風險。所以當員工職位有變動時,信息系統審計師就要及時審核訪問控制列表是否做了有效變更。災難恢復控制及其審計:信息系統的災難恢復和業務持續計劃是組織中總的業務持續計劃和災難恢復計劃的重要組成部分。恢復策略與恢復類型:熱站、溫站、冷站、冗余信息處理設施、移動站點、組織間互惠協議。BCP中多個計劃文件:業務持續性計劃(BCP)、業務恢復計劃(BRP)、連續作業計劃(COOP)連續支持計劃、IT應急計劃、危機通信計劃、事件響應事件、災難恢復計劃(DRP)、場所緊急計劃(OEP)
異地備份:完全備份、增量備份、差分備份
災難恢復與業務持續計劃的審計:主要任務是理解與評價組織的業務連續性策略,及其組織業務目標的符合性;參考相應的標準和法律法規,評估該計劃的充分性和時效性;審核信息系統及終端用戶對計劃所做的測試的結果,驗證計劃的有效性;審核異地存儲設施機器內容、安全和環境控制,以評估異地存儲站點的適當性;通過審核應急措施、員工培訓、測試結果,評估信息系統及其終端用戶在緊急情況下的有效反應能力;確認組織對業務持續性計劃的維護措施存在并有效。
應用控制概念:應用控制是為適應各種數據處理的特殊控制要求,保證數據處理完整、準確地完成而建立的內部控制。應用控制涉及各種類型的業務,每種業務及其數據處理尤其特殊流程的要求,這決定了具體的應用控制的設計需結合具體的業務。單另一方面。由于數據處理過程一般都是由輸入、處理和輸出三個階段構成,從這一共性出發,可將應用控制劃分為輸入控制、處理控制和輸出控制。應用控制也是由手工控制和程序化控制構成,但以程序化控制為主。
軟件維護的種類:糾錯行為化、適應性維護、完善性維護、預防性維護 服務管理:面向IT基礎設施管理的服務支持、面向業務管理的服務提供
IT服務提供流程主要面對付費的機構和個人客戶,負責為客戶提供高質量、低成本的IT服務。任務:根據組織的業務需求,對服務能力、持續性、可用性等服務級別目標進行規劃和設計,同時還必須考慮到這些服務目標所需要耗費的成本。主要包括服務水平管理、IT服務財務管理、能力管理、IT服務持續性管理和可用性管理5個服務管理流程。
IT服務的服務支持主要面向終端用戶,負責確保IT服務的穩定性與靈活性,用于確保終端用戶得到適當的服務,以支持組織的業務功能。服務支持流程包括體現服務接觸和溝通的服務臺職能和5個運作層次的流程,即配置管理、事務管理、問題管理、變更管理、發布管理。應用程序審計的內容:
審查程序控制是否健全有效:程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。
審查程序的合法性P168 簡單論述
審查程序編碼的正確性:目標和任務不明確、系統設計差錯、程序設計說明書錯誤、程序語法或邏輯錯誤
審查程序的有效性:在具體編寫程序前應簡化算術表達式及邏輯表達式、細心的分析多層嵌套循環,以確定能否把一些語句或表達式轉移到循環體制外、盡量避免采用多維數組、盡量避免采用指針及復雜的表、采用“快”的算法;不要把不同的數據類型混在一起;只要可能就采用整形數的算法運算和布爾表達式。應用程序審計方法:對應用程序進行審計,往往是計算機輔助審計方法與手工審計方法的結合。
檢測數據法:是指審計人員把一批預先設計好的監測數據,利用被審程序加以處理,并把處理的結果與預期的結果作比較,以確定被審程序的控制與處理功能是否恰當、有效的一種方法。
平行模擬法:是指審計人員自己或請計算機專業人員編寫的具有和被審計程序相同處理和控制的模擬程序,用這種程序處理當期的實際數據,并以處理的結果與被審計程序的處理結果進行比較,以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法:是指被審計信息系統的設計和開發階段,在被審的應用程序中嵌入為執行特定的審計功能而設計的程序段,這些程序段可以用來收集審計人員感興趣的資料,并且建立一個審計控制文件,用來存儲這些資料,審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。
程序追蹤法:是一種對給定的業務,跟蹤被審程序處理步驟的審查技術。一般可由追蹤軟件來完成,也可利用某些高級語言或數據庫管理系統中的跟蹤指令被審查程序的處理。
點擊咨詢 