第一篇:信息系統監理打印1(2014)[最終版]
監理基礎
●質量計劃編制包括:(1)綜合合同中或標準中的相關條款,形成本項目的質量標準;(2)確認在項目的實施過程中達到項目質量標準的主要方法及組織落實;(3)必要時可供采取的糾正措施。
●質量范圍:系統功能和特色,界面和輸出,系統性能、可靠性,系統可維護性等。
●識別風險的工具:流程圖(或稱魚刺圖)和訪談等。●應對風險的三項基本措施:規避、接受和減輕。風險應對計劃:包括:風險管理計劃、應急計劃和應急儲備 ●風險控制包括:隨時追蹤風險己經、正在和將要發生的變化;預測和判斷風險的應對是否會引起更新的風險發生;對用于風險管理的資源配置進行調整;調整風險應對計劃;采取臨時緊急應變措施等。
●監理服務質量的控制方式按時間可分為預防性控制、監督性控制、補償性控制。
●詳細作業指導書是描述程序文件中某個具體過程、事物形成的技術性細節的文件,可按照程序文件的要求,結合監理單位的實際情況編制。
●監理工作的風險類別:行為責任(多做、少做、做錯)、工作技能(未發現本應發現的)、技術資源(現有資源無法保證所有問題及時全面發現)、管理風險(明確的管理目標、合理的組織機構、細致的職責分工、有效的約束機制)
質量控制
●質量控制原則:與監督緊密結合、過程控制、全面控信息應用系統監理
●軟件配置管理項質量要求:正確性、完備性和可追蹤性。
●軟件配置管理規程:(1)各級、各庫中所管的軟件實體的清單。(2)保證安全性、可靠性、保密性、正確性、完備性、一致性和可追蹤性的具體措施。(3)入庫控制辦法和審批手續。(4)出庫條件及其必備的手續。(5)變更控制辦法和審批手續。
●可行分析關注:經濟、技術、系統生存環境可行性,評價各種可選方案。●需分工作內容:1.審核項目計劃2.審核軟件質量管理體系3.審核軟件質量保證體系4.審核軟件配置管理體系5.評審需求說明書6.審核軟件分包合同7.評審概要設計說明書8.評審詳細設計說明書9.評審測試計劃10.評審軟件編碼規范11.工程設計階段的投資控制
●需分成果:1)項目開發計劃2)軟件需求說明書3)軟件質量保證計劃;4)軟件配置管理計劃;5)軟件(初步)確認測試計劃:6)用戶使用說明書初稿。●軟件測試的分類
軟件測試有靜態測試、單元測試、集成測試、確認測試和系統測試組成。●編碼階段進入條件:1.軟詳設說明已通過評審;2.軟詳設說明己進入配置管理受控庫;3.所有須編碼的軟件單元,都已建立了相應的模塊開發卷宗。●單元測試進入條件
1、完成所有單元編碼;
2、軟件單元無錯通過編譯;
3、信息網絡系統監理
●立項評審原則:簡單靈活完整可靠經濟。可靠是評定工程質量主要指標之一。
●準備階段對承建方資質的評審:1.企業資質;2.質量管理體系;3.相關項目的實施經驗;4.公司實力(資本、技術、企業發展、核心領導層背景及穩定度等)
●審核設備采購職責:(1)審承的設采計劃和清單;(2)工程材料、硬件設備、系統軟件的質量、到貨時間的審核;(3)訂貨、進貨確認;(4)組織到貨驗收;(5)設備移交審核;(6)實施階段的質量、進度監理和驗收;(7)針對項目特點和承專業分工實施專業監理(8)外購硬軟件監理的主要工作。●網絡邏輯設計方案的內容可能包括以下內容:(1)網間傳輸協議的選擇;(2)路由協議的選擇和設計;(3)網絡地址的分配;(4)子網的劃分及配置;(5)虛擬網的劃分及配置;(6)路由器參數的確定;(7)交換機參數的確定;(8)網絡管理系統參數的確定:(9)其他網絡設備、網絡鏈路的參數配置。●設計階段質控:審查乙提交的總體設計方案,應:滿足甲需求、質量,工期,造價目標、規范,標準、合理可行、可操作、體系結構,開發平臺,開發工具,安全方案選擇要充分論證、材料設備性價比。
●開工前監理:審核實施方案、組織計劃、進度計劃、工程實施人員及承建方資質。●實施監理:1.審承施工組織設計方案2.參加施工方技術交底會3.材料報驗4.材料選型5.材料到貨驗收6.驗到貨的附屬文件(合格證、保修卡、廠家檢驗報告、到貨清單、授權、進口報關單)時間方面
●監應于監合同簽后10日內將監理項目部的組織形式、人員構成及對總監理工程師的任命書書面通知建設單位。
●索賠約定時間全28天。變更14天提出
●不可抗力持續發生,乙應每7天向丙報告損害。不可抗力結束14天內,乙應向丙提交清理費用報告等。
●電子政務項目甲應于7月底和次年1月底前,向項目審批、財政報告上半年和全年建設進度和概預算執行情況。●采購法:7日質疑,7日答復,15日內投訴,30日內處理,處理暫停30日內。
法律方面
●55號令:項目審批部門對電子政務項目的項目建議書、可行性研究報告、初步設計方案和投資概算的批復文件是項目建設的主要依據。
●55號令:專業甲級資質的工程咨詢機構編制項目可行性研究報告
●著作權法:署名權、修改權、保護作品完整權(永遠保護),發表權、使用權
和獲取報酬權(終生及死后50年)。
●政府采購法:邀請招標方式采購前提:1)特殊,有限范圍供應;2)公招費用占比過大。競談前提:1)招標沒投標或沒合格的或重招失敗;2)復雜特殊,不確定規格要求;3)時間緊急;4)不能事先計算總價。單一來源:1)唯一供應;2)不可預見的緊急情況;3)保證原采購項目一致性或者服務配套,添金不超原10%。
制。
●質量控制特點:首先要控制人、變更(需求不完整不明晰)、定位故障困難、可視性差(要測試)、改錯代價大、質量糾紛認定難度大、理想色彩、優秀承建單位是最關鍵因素。
●質量體系的結構是由領導責任、質量責任和權限、組織結構、資源和人員以及工作程序五方面組成。
●查承建質量:質量計劃、專職質量管理機構、業務標準化,流程程序化、配必要的資源條件、靈敏的質量信息反饋系統。
●質量控制點的意義:便于總目標的分解;易于分析各種干擾條件的影響;利于監理和承建監測分項控制目標;利于糾偏;對上層級質量提供保證.●控制點的設置原則:突出重點;易于糾偏;利于三方共同質量控制;保持靈活性和動態性.●影響質量因素:進度、投資、人、技術、管理。人最重要。
進度控制
●進度控制意義:盡快發揮投資效益;維持管理秩序;提高經效益;降低投資風險
●進度控制基本措施:組織、技術、合同、信息管理。●影響進度因素:工程質量、設計變更、資源投入、資金、相關單位、風險、管理水平。
●甘特圖:進度控制對比。不能表實際較計劃偏移程度,需要香蕉輔助。不能確定關鍵作業、工期延長等,需要網絡圖。
安全管理
●信息系統安全體系應當由技術體系、組織結構體系和管理體系共同構建。
●技術體系:一類是物理安全技術包括機房安全和設施安全,另一類是系統安全技術包括平臺安全、數據安全、通信安全、應用安全和運行安全。●等保:1級(自保級),2級(系統審計),3級(安全標記保護級),4級(結構化保護級),5級(訪問驗證保護級)
投資控制
●投控原則:投資最優化;全面成本控制;動態控制;目標管理;責、權、利相結合.●投資控制失效原因:思想、組織、技術、方法、手段。●成本估算的工具和方法:類比估計(早期的成本估計,實質上類同于先前項目,估計人有經驗);參數建模(COCOMO模型,精確量化);累加估計(從下向上,上向下-類似項目);計算化工具。●投資成本控制方法:預測和控制(1)費用變更控制系統。(2)成本績效度量。(3)附加計劃。(4)計算工具。
●竣工結算的意義:1.可正確分析成本效果;2.可分析工程建設計劃和設計預算實際執行情況;3.可分析總結項目成本使用中的經驗和教訓;4.為修訂預界定額提供依據資料。
●竣工結算監理審核重點:成本計劃執行情況、各項費用支出合理、報廢損失核銷損失真實性、賬目,統計資料準確完整、竣工說明書全面系統。
●技術經濟分析的步驟:確定目標、調查研究、擬定各種可行方案、方案評價。
合同管理
●合同管理的原則:事前預控原則(按合同規定如期提供實施現場,使其能如期開工、正常實施、連續實施,不要違約造成索賠條件)、實時糾偏原則、充分協商原則和公正處理原則。
●合同變更的條件:自愿協商、不可抗力、合同約定期限內未履行、變更損失(免責除外)由責任方賠償。●反索賠情況:1.工期延誤,2.實施缺陷,3.對指定分包人的付款,4.業主合理終止合同or承建不正當放棄工程。
溝通協調
●協調方法:監理會議和報告
變更控制
●成本變更控制主要方法:偏差控制;成本分析表;進度一成本同步控制(橫道圖網絡圖。●復工管理:甲原因“監理通知單”;乙原因 “復工報審表”
●變更控制基本原則:快速響應、三方確認、明確目標、防止擴大化、三方有權、效果評估、及時公布、沖擊最小方案。
●變更程序:了解變化、接收申請、初審、分析、確定方法、監控實施、效果評估。
●變更評估前提:確定變更范圍及難度、確定變更內容的工作量、確定變更的單價or總價。總監簽“項目部分暫停令”情況:應乙要求,需要暫停實施、項目質量問題必須停工、必須暫停的緊急事件。
●給予項目延期的受理:非承建單位的責任使項目不能按原定工期開工;項目量變化和設計變更;國家和地區有關部門正式發布的不可抗力事件;建設單位同意工期相應順延的其他情況。
●隱蔽管道槽道:最大管徑:一般25mm,特殊32mm(建筑物底層和天花板不限制)。管徑利用率%:直線50-60,彎曲40-50。管徑截面積利用率%:絞合線20-25,平等線25-30。
完成代碼審查等靜態測試;
4、所有軟件單元納入軟件開發的配置受控庫。
●單元測試工作內容:
軟件單元的功能測試;
2、軟件單元的接口測試;
3、軟件單元的重要執行路徑測試;
4、軟件單元的局部數據結構測試;
5、軟件單元的語句覆蓋和分支覆蓋測試;
6、軟件單元的錯誤處理能力;
7、軟件單元的資源占用、運行時間、響應時間等測試。
●集成測試進入條件:(1)被集成的軟件單元無錯通過編譯;(2)通過代碼審查;(3)通過單元動態測試并達測試要求;(4)己置于軟件開發單位的配置管理受控庫;(5)已具備集成測試計劃要求的軟件組裝測試和測試工具。●集成測試的主要內容
1、在把各個模塊連接起來的時候,穿越模塊接口的數據是否會丟失;
2、一個模塊的功能是否會對另一個模塊的功能產生不利的影響;
3、各個子功能組合起來,能否達到預期要求的父功能;
4、全局數據結構是否有問題;
5、單個模塊的錯誤是否會導致數據庫錯誤。
●集成測試階段成果:(1)集成軟件測試報告;(2)軟件使用說明;(3)所有軟件問題報告單和軟件修改報告單;(4)與軟件修改報告單一致的、經過修改的全部源代碼。
●確認測試進入條件:(1)軟件完成了集成測試;(2)軟件可運行;(3)所有軟件代碼都在配置管理控制下;(4)已經具備了合同規定的軟件確認測試環境。
●確認測試階段成果:(1)軟件確認測試分析報告,含所有的軟件確認測試結果;(2)所有軟件問題報告單和軟件修改報告單;(3)與軟件修改報告單相一致的,經過修改和回歸測試的全部源程序代碼;(4)經過修改的軟件產品使用說明。
●系統測試進入條件:(1)完成并通過軟確測試;(2)所有軟件產品都在配置管理控制下;(3)己經具備了軟件系統測試環境。
●系統測試成果:(1)系統測試報告,包括測試記錄和結果分析;(2)軟件問題報告和軟件變更報告;(3)回歸測試的測試記錄。
●軟件測試監理的方法:(1)定期審測試的工程活動和進度。(2)按需跟蹤、審查和評估。(3)對測試活動和產品評審和(或)審核,并報告結果。
●軟件提交驗收前提:(1)已通過計算機軟件確認測試評審;(2)已通過系統測試評審;(3)合同或合同附件規定的各類文檔齊全;(4)軟件產品已置于配置管理之下;(5)合同或合同附件規定的其他驗收條件。●軟件驗收的依據 1合同及合同附件;
2、有關技術說明文件;
3、適用標準。●驗收的過程:
1、提出驗收申請;
2、制定驗收計劃;
3、成立驗收委員會;
4、進行驗收測試和配置審計;
5、進行驗收評審;
6、形成驗收報告;
7、移交產品。
●系統移交的監理措施:(1)審查承建單位的項目資料清單。(2)協助業主和承建單位交接項目資料。(3)確保軟件文檔和軟件的一致性。(4)開發軟件做好備份,保管在安全地方,文件材料歸檔。
●系統保障期的監理措施:(1)督導承建單位按“合同”規定及時進行系統保障,抽查系統保障的執行情況。(2)對項目業主方提出的質量問題進行記錄。(3)督促承建單位進行修復和維護。(4)對承建單位進行修復的內容進行確認。
●軟件生命周期6階段文檔:
1、可行性與計劃研究階段:可行性分析報告、開發計劃等文檔
2、需求分析階段:需求規格說明書、數據要求說明、初步的用戶手冊
3、設計階段:結構設計說明、詳細設計說明、測試設計初稿
4、實現階段:進度日報、周報、月報;用戶手冊與操作手冊;測試計劃
5、測試階段:項目開發總結報告前五個階段,開發集體要按月編寫開發進度月報。
6、運行與維護階段:維護記錄 ●承建做代碼測試的工作程序:1.編寫測試用例2.獲得測試數據(包括錯誤數據、非法數據、超界數據)3.確定測試順序4.協調測試資源5.編寫測試腳本6.回歸測試7.編寫測試報告 ●案例(中間件未買便開發如何處理):1.開監理專題會,請專家進行論證。2.若需要購買,下監理通知單,通知承建方盡快購買中間件。3.跟蹤承建方購買及安裝使用中間件情況。4.寫監理報告。5.若不需要購買,督促承建方提出項目變更申請。6.變更申請經三方確認同意后,核減相關費用。7.寫監理報告。●軟件編碼要遵循的一般原則
1、遵循開發流程,在設計的指導下進行代碼編寫;
2、代碼的編寫以實現設計的功能和性能為目標,要求正確完成設計要求的功能,達到設計的性能;
3、程序具有良好的程序結構,提高程序的封裝性,減低程序的耦合程度;
4、程序可讀性強,易于理解;
5、軟件方便調試和測試,可測試性好;
6、軟件易于使用和維護;
7、軟件具有良好的修改性、擴充性;
8、軟件可重用性強/移植性好;
9、軟件占用資源少,以低代價完成任務;
10、軟件在不降低程序的可讀性的情況下,盡量提高代碼的執行效率。
●主機系統測試點:1.機箱是否損壞2.內存、硬盤能否●政府采購法:詢價前提:貨物規格、標準統一、現貨正常運行3.顯示器是否正常顯示4.系統加電是否正常貨源充足且價格變化幅度小。詢價程序:成立詢價小組,工作
確定被詢價的供應商名單,詢價,確定成交供應商。
●安裝軟件注意點:1.軟件系統與主機系統是否匹配2.信息管理
軟否正常安裝3.軟功能是否能夠實現4.軟件資料是否●信息管理目的:提供項目建設決策所需信息;為監理齊全
決策提供依據;索賠依據。應注意文檔、版本、標準統●驗收階段前提條件:(1)按方案全部建成,滿足使用要一。
求:(2)各分項工程初驗合格;(3)各技術文檔和驗收資料完●引導信息包括實施方案、實施組織設計、各種技術經備,符合同;(4)符信息安全要求;(5)外購的OS、DB、中件、濟措施,以及設計變更通知、技術標準和規程等。
應軟和tools符合知識產權相關要求;(6)各設備經加電試●辨識信息:指導認識性能、特征和效果,如軟件環境、運行,狀態正常;(7)經過用戶同意。
硬件環境、設備等的出廠證明書,技術合格證書,試驗●驗收前監理工作:1.是否符合工程設計和合同約定的檢驗報告,中間產品和最終產品的檢查驗收簽證等。各項內容;2.技術文檔和工程實施管理資料是否完備;3.●需分析、技術方案屬引導和辨識信息。
工程設計的主要設備、材料進場和檢驗報告是否完備;4.●監理文檔:總控、實施、回復、內部。竣工總結為實各單項工程的設、施、工程監理等單位分別簽署的質量施類文檔非總控類(合同、方案、計劃、細則)合格文件是否完備;5.承的售后服務和培訓計劃是否完●工程監理驗收報告的主體應該是驗收測試結論與分備
析,包含: 1)工程竣工準備工作綜述,2)驗收測試方案●驗收階段監理審核內容:(1)系統整體功能、性能;(2)與規范,3)測試結果與分析,4)驗收測試結論。
主要設備(或子系統)的功能、性能;(3)承建方提交文檔的●工程監理總結報告:1.工程概況2.監理工作概況3.工程種類和內容;(4)系統設、開、施、測各階段涉及的工具和質量綜述4.工程進度綜述5.管理協調綜述6.監理總評價。設備都具合法知識產權;(5)承建方的質量保證和售后服●監對文檔工作責任:建立制度、文檔計劃、質量規程、務體系;(6)承建方采取必要的管理和工程措施,以方便系文檔標準、自覺編制、不斷檢查。
統的擴容和升級。7)評審承建方(或第三方測試機構)的●保存10年的:開工令、進度、延長、變人審核、各類量化測試手段和流程
報告、測試試運行方案、監理通知建議、紀要、備忘、●網絡系統過程控制監理方法:評估、仿真、旁站、抽聯系單。
測、性能測試。
計算機基礎
●網絡系統測驗工具Network Vantage、Application Expert ●幀中繼:光纖傳輸,通信線路誤碼率低,不進行差錯檢V8.5、SmartBits 6000B、Webcheck V5.0、MicroMapper、測和糾正,只分組轉發。
DSP-4000、OptiFiber ●云計算特征:資源配置動態化、需求服務自動化、以●安防系統構成:1.入侵報警系統2.視頻安全防范監控系網絡為中心、服務可計量化、資源的池化和透明化。統3.出入口控制系統4.防爆安全監察系統5.機房管理系●物聯網特征:互聯網特征、識別與通信、智能化。構統
成:感知層、網絡層和應用層。
6.由這些系統為子系統組合或集成的子系統或網絡。●條形碼優點:輸入速快、可靠性高、采集信息量大、●設計階段監理內容:
1、收集設計技術經濟資料;
2、靈活應用、易于制作、成本低。特性:唯一性、永久性、進行技術經濟、優化設計;
3、設計文件評審;
4、主要無含義。
設備、材料選型;
5、審核主要設備、材料清單;
6、審●PDS工程:設備安裝、布放線纜、纜線端接。
核系統設計方案及其他詳細設計文件;
7、組織設計文件●主機安裝測試注意:機箱、內存硬盤、顯示器、加電的報批;
8、知識產權保護監督;
9、審核信息安全保障措工作。軟件注意:與主機匹配、正常安裝、功能實現、施;
10、分析工程建設周期總目標;11督促調整、更改;資料齊全。
12、審核設備/材料清單和采購計劃,并檢查、敦促其執●災難恢復站點類型:熱站(hot site,快速,重復投資,行。
貴)、冷站(cold site,只用于基礎物理環境)、溫站(warm ●機房監理重點:1.審查工程實施組織方案尤其質保措site,部分設備)
施;2.控制資質,持證上崗;3.貫徹《建筑智能化系統工●螺旋模型四個方面活動:計劃、風險分析、實施、評程實施及驗收規范》;4.落實隨裝隨測,保質加快進度。估。
●隱蔽工程:金屬線槽、管道、管內穿線。
●軟件外審:于軟件內審后,提前10天申請。成立評審●網絡設備tcpoip檢測技術指標:吞吐量;包丟失;延組織。審查組成員:軟件專家,相對穩定。
時;背靠背性能。
●靜態分析主要對程序進行控制流分析、數據流分析、標準
接口分析和表達式分析等。靜態分析一般由計算機輔助●機房:UPS電源:電壓+-5%、頻率+-1%、失真<5%,24完成如Purify,Macabe等。
小時。機房消防系統:鹵代烷滅火系統。探測器和噴嘴。●黑盒測試著重于驗證軟件功能和性能的正確性,包括電纜訂貨量=n條布線所需總長*1.1+6n 功能測試、性能測試、邊界測試、余量測試和強度測試雙絞線用線箱數=總長/305+1 等。
●設計階段機房設備的布置:(1)分區布置分為主機區、●軟件維護類型:糾錯性維護(設計。程序。數據。文存儲器區、數據輸入區、數據輸出區、通信區和監控制檔)適應性維護(影響規則、硬件配置變、數據格式或調度區等;(2)通道與設備間的距離:搬運通道1.5m;文件結構變、支持環境變)完善性維護(擴增功能、改面對面1.2,背對背1m機柜側面(或不用面)距墻不應小性能、便維護)
于0.5m,維修時1.2;五排超6m機柜超15m加出口●靜態圖包括用例圖、類圖、對象圖、組件圖和配置圖,1m/0.8m。
動態圖包括序列圖、狀態圖、協作圖和活動圖。
●機房配電及防雷接地系統:供電系統應采用雙回路供●雙絞線指標:衰減、近段串擾、回波損耗、ACR、直流電,并選擇三相五線制供電,機房的設備供電和空調供環路電阻、傳播時延。
電應分為兩個獨立回路。接地系統應滿足《電子計算機●光釬指標:波長窗口、衰減、多模光纖最小光學模式機房設計規范》(GB50174-93)的規定。
帶寬。
●機房接地四種方式:交流工作接地《=4歐,安全《=4●軟件質量:功能性(適合、準確、互用、依從、安全)歐,直流,防雷接地。宜共用一組接地裝置,其接地電可靠(成熟、容錯、易恢復)可用(易理解、學、操作)阻按其中最小值確定。電子計算機系統的接地應采取單效率(時間資源)可維(易分析、可修改、穩定、可測點接地并采取等電位措施。
試)可移(適應、易安裝、一致、可替換)
●綜合布線工作區:信息模塊的需求量一般為m=n+n×●光纜測試:連通性;端到端的損耗;收發功率測試;3%
損耗衰減測試。
●機房>0.5μm 的塵粒數應少于18000粒,靜電電位不應大于1KV,主操作員噪聲值應小于65dB(A),無線干擾不大于126dB,磁場干擾不大于800A/m,振動加速度不大于500mm/s2,機房凈高不小于2.6m。
●軟件文檔編制指南 GB/T 8567—2006●軟件生存周期過程 GB/T 8566—2001
●軟件產品評價和質量特征GB/T 16260 ●軟件維護指南 GB/T 14079--1993
●計算機軟件可靠性和可維護性管理 GB/T 14394-2008(評審-概念階段、需求評審、設計評審、測試評審、安裝和驗收評審、軟件和用戶手冊評審)
●軟件文檔管理指南 GB/T 16680(文檔分開發、產品和管理,質量分4級)
●軟件需求說明編制指南 GB/T 9385-1998(適用客戶和開發者,SRS應包含具體需求,不應包含成本、進度、報表、開發方法、質保、標準、驗收)
●計算機軟件質量保證計劃GB/T 12504-1990(文檔質量:完備性、正確性、可追蹤信、規范性)●質量管理體系基礎和術語 GB/T 19000 ●綜合布線系統工程設計規范CECS72.97 ●電子計算機機房設計規范 GB 50174
●電子計算機機房施工及驗收規范 SJ/T30003—93
第二篇:信息系統監理(完整)DOC
信息系統監理(A)
選擇題(20)
2010下半年軟考信息系統監理師考試試題(上午)
39、關于監理人員的權利和義務中,不正確的是(C)A 監理人員應根據監理合同獨立執行工程監理任務 B 監理人員應保守承建單位的技術秘密和商業秘密 C 監理人員必須滿足建設單位的要求和指令
D 監理人員不得同時從事與被監理項目相關的技術和業務活動 40、屬于項目分析設計階段監理工作的內容是(B)A 審查承建單位的資質 B 審核項目需求規格說明書 C 檢查軟件測試的工作進度 D 編寫項目監理總結報告
41、根據工業和信息化部計算機信息系統集成資質認證工作辦公室發布的規定,自2011年1月1日起,申請信息工程監理部臨時資質的單位,取得的監理工程師資格人數應不少于(B)人 A 10
B 15
C 20
D 30
42、監理單位和承建單位按照下列(C)的方式開展工作
A 監理單位和承建單位均按監理合同和工程建設合同開展監理或建設監理 B 監理單位按工程建設合同開展監理工作,承建單位按監理合同接受監理 C 監理單位按監理合同開展監理工作,承建單位按工程建設合同接受監理
D 監理單位按監理合同開展監理工作,承建單位按監理合同和工程建設合同接受監理
44、監理大綱應在(B)階段編制
A 監理合同簽訂
B 監理招投標
C 監理實施
D 監理總結
45、監理單位把(B)提供給承建單位,能起到工作聯系單或通知書的作用 A 監理總結
B 監理細則
C 監理規劃
D 監理大綱
48、在工程設計階段,不屬于監理審核內容的是(C)A 需求范圍
B 系統構架
C 測試用例
D 業務流程
49、一般來說,設計階段需要由(B)對各設計實施方案進行審核。A 專家
B 監理工程師
C 總監理工程師
D 監理代表
53、某機房改造工程,由于業主單位原因,導致增容的不間斷電源系統沒有使用房間而遲遲不能就位,項目總體進度已在延期,一下說法正確的是(C)A 因屬于非承建單位導致的進度延期,所以監理單位應審核同意承建單位工期順眼的申請
B 監理單位應召集業主單位、承建單位召開專題討論會,要求承建單位就房間問題提供解決方案
C 就此進度延期的問題監理單位向業主單位提交專題報告,建議其盡快解決房間問題
D 如果承建單位就該進度延期提出索賠要求,監理單位應駁回該索賠申請
54、下列費用中不屬于工程前期費用的是(A)。
A 監理費
B 可行性分析、論證費
C 造價評估費
D 招投標費
58、監理在評價變更合理(D)
A 變更是否會影響工作范圍、成本、質量、進度 B 性能是否有保證,對選用設備的影響
C 變更是否影響項目的投資回報率和凈現值 D 變更是否可以平衡各方利益
59、監理在監控變更實施的過程中,發現如繼續按照變更后的方案實施,將可能造成更大的損失。這種情況下,監理單位首先應該(D)A 組織專家對變更做進一步的論證,確定變更風險 B 建議建設單位組織召開專題討論會,評估變更方案
C 通知承建單位廢除變更后的方案,按照原有方案繼續實施 D 通知承建單位暫停實施工作,等待進一步監理指令
60、某信息系統項目總包單位A將機房的空調工程分包給B單位,單位工程師經過勘察現場,提出變更冷媒管路由的新方案。以下關于該方案變更的描述,正確的是(C)
A 變更申請由B單位提出
B 由于B單位負責安裝維護,因此變更無需經過審核 C 變更需要通過A單位辦理
D 由于B單位工程師專業性更強,因此監理單位不必再次勘察與評審
61、某網絡系統項目按總價合同方式約定訂購3000米高規格銅纜,由于建設單位的原因,工期暫停半個月,待回復建工后,承建單位以近期銅價上漲為理由,要求建設單位賠償購買電纜增加的費用,并要求適當延長工期。一下說法正確的是(D)
A 索賠是挽回成本損失的重要手段,因此建設單位應該賠償承建單位采購電纜增加的費用
B 監理單位應保護承建單位的合法利益,因此應該支持承建單位的索賠要求 C 索賠是合同雙方利益的體現,因此承建單位要求增加采購費用是風險費用的轉移,可以使項目造價更趨于合理
D 銅價上漲是承建單位應承擔的項目風險,不應該要求賠償費用
67、某信息系統工程由于承建單位原因,導致實施進度嚴重超期,監理單位準備就此問題召集業主單位、承建單位召開專題會議協商解決,此時給承建單位發出(C)最合適的。
A 監理通知單
B 專題監理報告
C 監理工作聯系單
D 停工令 2012上半年信息系統監理師(上午)試題及答案
32、以下關于監理資料整理、歸檔的描述,不正確的是(A)A 監理資料應在監理工作結束后統一整理歸檔
B 監理檔案的編制及保存應符合國家法律法規和標準規范的要求 C 監理資料的管理應由總監工程師負責,并指定專人具體實施 D 監理資料應按時整理、真實完整、分類有序
33、監理方在編制工程驗收監理報告時,應重點說明(C)A 工程竣工準備工作綜述 B 驗收測試方案與規范 C 驗收測試結論與分析 D 項目監理工作總結
34、(C)不屬于工程監理驗收報告必須包括的內容 A 工程竣工的準備工作綜述 B 驗收測試方案與規范 C 監理工作流程 D 驗收測試結論
39、工程監理單位不按照委托監理合同的約定履行監理義務,對應當監督檢查的項目不檢查或者不按照規定檢查,給建設單位造成損失的,應當(C)A 被處以罰款
B 吊銷其資格證書
C 承擔相應的賠償責任 D 承擔連帶賠償責任
40、下列不屬于違約變更的是(C)
A 因業主方未按時提供項目建設所需要材料所導致的進度延期 B 因前置機房建設任務未竣工而導致的裝修延期 C 因地震引起的設備延遲到貨而導致的進度延期
D 因承建方指派項目經理經驗不足而導致的進度延期
46、當信息工程項目實施過程中出現進度超度的情況時,監理工程師(B)A 應該感到高興,因為工程可以提前完成
B 需分析進度超前對后續工作產生的影響,并同承建單位協商,合理地調整進度方案
C 督促其余多個平行的承建單位加快進度,以便工程早日完工 D 不必干預
48、監理單位應在信息化建設工程實施完成以后參加單位組織的工程驗收,簽署(D)意見。
A 業主
B 總監理工程師
C 承建單位
D 監理單位
49、以下關于質量控制點設置原則的敘述,不正確的是(C)A 質量控制點應突出重點 B 質量控制點應易于糾偏
C質量控制點應避免干擾,不能該表 D 質量控制點應利于三方的質量控制
51、以下對監理規劃理解不正確的是(D)
A 總監理工程師對監理機構的監理規劃和它在工程監理過程中的實施效果進行檢查
B 監理規劃是對監理委托合同的簽訂雙方責、權、利的進一步細化,具有合同效力
C 監理規劃的依據包括建設單位與承建單位簽訂的合同
D 監理規劃應對所有監理項目中的關鍵點和實施難點設置“質量控制點”
52、監理單位為獲得監理任務而編制的文件是(A)A 監理大綱
B 監理規劃
C 監理細化
D 監理合同
53、監理合同是監理單位開展工作的依據之一,以下關于監理合同的說法不正確的是(D)
A 監理合同規定了監理工作的成果
B 監理合同規定了主要監理設備由監理單位提供 C 監理合同規定了監理工作的范圍
D監理合同規定了由承建單位支付監理費用
54、某信息系統建設項目,由于承建單位項目經歷突然離職,造成項目進度延期,并導致監理合同約定的實施周期延長,針對上述情況,(D)的做法是妥當的。
A 監理單位向承建單位索賠,挽回建立損失 B 承建單位要求追加實施費用 C 建設單位立即終止建設合同 D 監理單位要求追加監理費用
55、通過質量認證的企業年審時若質量體系不符合認證要求,認證機構可采取的警告措施是(C)
A 企業通報
B 監督檢查
C 認證暫停
D 認證注銷
57、由承建單位采購的設備,采購前要向(B)提交設備采購方案,經審查同意后,方可實施。
A 總監理工程師
B 監理工程師
C 總工程師
D設備安裝工程師
58、總包單位依法將建設工程分包時,分包工程發生的質量問題應(B)A 由總包單位負責
B 由總包單位負責,分包單位承擔連帶責任 C 由分包單位負責
D 由總包單位、分包單位、監理單位共同負責 60、項目質量管理由(A)、質量控制和質量保證三方面構成。A 質量計劃
B 質量體系
C 質量方針
D 質量措施 簡答題:
1、什么是信息系統工程監理? 答:信息系統工程監理是指在政府工商部門注冊的且具有信息工程監理資質的單位,受建設單位委托,依據國家有關法律法規、技術標準和信息系統工程監理合同,對信息系統工程項目實施的監督管理。
2、簡述監理實現協調的主要方法?
答:協調工作分為監理內部和外部兩部分。?項目監理部內部協調: 內部監理人員的工作,既有專業的分工負責又有協作配合。這種協調工作由項目總監理工程師進行。
(1)建立定期的內部工作協調會議;
(2)建立內部各專業監理工作的協調工作程序(即各專業監理工作之間相互關系的流程圖);
(3)建立各專業監理工作之間相互配合的制度和規定,如隱檢簽認的回簽制度。?項目監理部的外部協調
(1)建立現場各有關單位參加的總協調例會;
(2)計劃調度的協調,要審查和優化施工總承包到位提出的施工網絡計劃,計劃的分解落實,人工投入、物資材料供應、機械設備的配置等等;
(3)施工安裝組織設計的協調,要審核和優化施工安裝組織設計方案,組織設計方案的落實,分段施工作業流水的配合,各專業施工安裝的穿插和協調配合,施工作業的交叉和銜接;
(4)費用控制方面的協調,合計方法、原則的統一,計劃標準的統一;
(5)合同管理的協調,總承包合同的變更和補充,合同糾紛的調解,按合同的規定進行具體的劃項,主要設備、材料的采購和分叉等等;
(6)設計方面的協調,設計圖紙的會審;施工圖紙供應的計劃、設計的變更、施工洽商、設計優化;
(7)業主直接分包的施工安裝與總承包單位之間的配合與協調;(8)工程質量的驗收標準和檢驗方法;質量問題的處理協調;(9)工程階段驗收的組織協調;
(10)工程竣工的初驗的組織與協調。
3、簡述監理實現質量控制的主要手段 答:(1)現場監理。監理人員在承建單位施工期間,用全部或大部分時間在施工現場,對承建單位的各項工程活動進行跟蹤監理;
(2)測量。工程中的測量貫穿整個施工監理的全過程。在施工過程中也常采用測量手段進行施工控制;對已完成的工程,也要采取測量手段。在整個監理過程中始終離不開測量手段;
(3)試驗。在信息工程質量監理中,對任何項目或項目中的任何部分的質量評估,以判斷是否達到標準,其唯一的依據就是試驗數據。單純采用經驗的方法,或僅依據目測、感覺,對信息工程質量的任何評價都是不允許的。
(4)嚴格執行監理程序。只要堅持監理程序,就能控制承建單位的施工程序,這對保證信息工程質量是非常必要的。
(5)指令性文件。采取指令性文件,對承建單位的施工質量進行管理,而承建單位要嚴格履行和堅持監理工程師對任何事項發出的指示。在質量管理中,監理工程師應當充分利用指令性文件對承建單位進行質量控制;
(6)利用支付控制手段。質量監理是以計量支付為保障手段的,承建單位的任何工程款項的支付,均需由監理工程師開具支付證明。它是保證信息工程質量的根本措施,也是監理工程師在質量監理中的有力手段。
4、簡述監理實現進度控制的主要措施
答:進度控制的措施包括組織措施、技術措施、合同措施、經濟措施和信息管理措施等。
?組織措施主要有:
(1)落實項目監理班子中進度控制部門的人員,具體控制任務和管理職責分工;(2)進行項目分解,如按項目結構分、按項目進展階段分、按合同結構分,并建立編碼體系;
(3)確定進度協工作制度,包括協調會議舉行的時間、協調會議的參加人員等等;
(4)對影響進度目標實現的干擾和風險因素進行分析。風險分析要有依據,主要是根據許多統計資料的積累,對各種因素影響進度的概率及進度拖延的損失值進行計算和預測,并應考慮有關項目審批項目對進度的影響等等; ?技術措施是采用它以加快施工進度;
?合同措施主要有分段發包、提前施工,以及各合同的合同期與進度計劃的協調等等;
④經濟措施是采用它以保障資金供應;
⑤信息管理措施主要是通過計劃進度與實際進度的動態比較,定期地向建設單位提供比較報告;
對于進度工作,應明確一個基本思想:計劃不變是相對的,而變是絕對的;平衡是相對的,不平衡是絕對的。要針對變化采取對策,定期地、經常地調整進度計劃。
5、業主單位合同違約的原因有哪些? 答:(1)可確認建設單位違約:
建設單位不按時支付項目預付款;
建設單位不按合同約定支付項目款,導致實施無法進行;
建設單位無正當理由不支付項目竣工結算款;
建設單位不履行合同義務或不按合同約定履行業務的其他情況;
(2)建設單位違約包括以下集中情況:
●違反信息系統工程合同設計部分的責任:
未按合同規定的時間提供有關的文件、資料及工作條件等,應承擔由此造成的承建單位設計提供的損失;
由于改變計劃或提供的資料不準確,而造成的設計返工或增加工作量,應按實際工作量增加設計費用。
●違反信息工程合同實施不分的責任:
未按實際合同規定的時間和要求提供實施場地、實施條件、技術資料、設備、資金等,除將項目日期順延外,還應償付承建單位而因此造成停工、窩工的實際損失等;
項目中途停工停建、緩建,應采取措施彌補或減少損失或減少損失;
驗收或撥付項目費超過期限,應償付逾期違約金。
第三篇:信息系統監理工程師
信息系統監理工程師
信息系統監理:簡單的一句話解釋“在信息化建設中為了減弱信息不對稱而引入的第三方獨立組織或者機構”。
信息系統工程項目是為了以信息技術手段極大地提高特定業務的效率而建設信息系統的工程項目。信息系統工程監理則是專門以信息系統工程項目為對象的工程監理,其有別于其它行業監理的全部特征,完全是由信息系統工程的獨特性所決定的。
由于信息系統工程項目在全部實施過程中不斷出現的自我調整和重新優化,項目各方的責任、權利和利益因此隨之需要調整和重新劃分。這也就為監理方確定了在信息系統工程項目中的更具特色的角色定位,同時也注定了信息系統工程監理必須承擔起超出一般監理職責范圍的工作。
為了有效地開展監理工作,在切入信息系統工程監理時,作為監理方,必須清醒地知道監理方的定位,定位的內涵涉及監理方的角色定位和功能定位。認清監理方的角色定位,在于明確監理方在項目監理機制中的地位;認清監理方的功能定位,在于讓監理方知道根據信息系統工程監理規范,更明確自己應做哪些工作。
一、監理方的角色定位
1.監理機制中的各方關系
信息系統工程監理通常直接面對甲方和承建方,在雙方之間形成一種系統的工作關系。監理方與上游供應商的關系雖然在法律上是間接的,但有時也需要直接面對,成為工作關系的一部分。如圖一所示。乙方、丙方最終是為甲方服務的。對于政府信息化工程來說,因涉及面廣,單一政府部門能力有限,尤其是技術性管理能力不足。甲方往往是業務主管部門或信息化主管部門,甚至有時信息化主管部門直接扮演工程指揮者或協調者的角色。乙方即即工程的建設方,則可能組織結構復雜些,尤其是一些大型的政府信息化工程,往往會涉及分包商。這時,丙方即監理方將在業務主管部門或信息化主管部門的指揮和協調下進行監理工作。
2.監理方的角色
2.1 工作職責
監理方的職責是監督承建方在預算范圍內按時保質滿足業主要求,其職責的側重點在監督、報告和建議。而承建方的工作職責是針對業主的業務需求,提出并實現解決方案,其職責側重點在設計、開發和實現。
2.2 工作成果體現
監理方工作的推進主要可以通過規范的文檔機制體現出來。各級文檔包括:
1)監理工作計劃
2)項目周期性報告(周報、月報)
3)項目的專題報告(建議、評估意見)
4)監理通知
5)監理指令
6)工程支付簽認單
7)項目備忘錄
8)項目結束總結報告
9)其它(會議紀要、工作規范、說明文件)。等等。
3.監理的對象內容
就機構對象而言,監理對象自然主要是承建方以及信息系統建設所涉及的各參與方。當監理方受政府信息化主管部門委托時,項目的用戶方也屬于監理對象。就內容而言,監理既應涵蓋技術開發層面,又要針對項目管理,兩方面相輔相成,缺一不可。通常監理方傾向于關注承建中的技術開發情況,忽略對項目管理方面的監督和管理。經驗表明,如果項目管理不配套,監理方對承建方技術開發領域的建議和要求就不能保證得以實現,從而不能實現對項目的控制。監理方可以對某一方案提出事前否決,然而否決之后怎么辦呢?由此可見,監理方對技術開發和項目管理的關注應該是并重的。當然,監理方并不能代替甲乙方進行項目管理。
3.1 與甲方的關系處理
由于是甲方(往往就是業主)請監理公司來做監理,因此它是監理公司的上帝。監理公司應時刻牢記自己是在給甲方提供監理服務,所有工作的出發點都應是甲方的利益以及項目的成功。
與甲方的關系必須緊密而友善,這是監理工作能夠正常開展的前提。但同時,必須注意到一個事實:甲方的某個或某些業務人員的觀點并不一定代表甲方的利益,這也正是“明智的甲方高層領導會要求監理方對甲方行為也進行監理”的道理所在。所以,監理方與甲方的關系尤其是私人關系又必須有所超脫,在遇到具體問題監理方必須要保證公正、公平,要有自己的看法與原則。
3.2 與乙方即承建方的關系處理
信息系統工程監理的本質都是一種管理工作。管理對象的配合是所有管理工作成功的必備要素。如果沒有承建方的配合,監理工作將很難開展起來。
但是這樣就涉及到了一個尺度的把握,關系既要密切又要有所超脫。很顯然,要做到既讓甲方感覺到監理的價值又讓承建方感覺監理不僅不是添亂而且能幫助解決實際問題,即兩邊都能認同監理的價值又能保證項目順利的進行是一件很困難的事情。但它也可能比較簡單地得以實現,那就是充分領會并遵守監理領域里的“守法、誠信、公正、科學”的八字原則。
3.3 技術問題的監理介入方法
由于在一個具體項目中,監理方不可能配備與承建方同樣多的人手,所以工作中就必須有所側重,有所為有所不為,可以概括成一句話:抓大放小。尤其在技術問題上,監理方通常不適合在具體細節上與承建方糾纏。
比如一個應用系統的開發,監理方應該做的是:
檢查承建方的開發管理規范與質量控制體系是否符合要求
確保承建方依照這些規范和體系進行開發
對成果進行驗收測試,而不是去與承建方的系統分析員討論數據庫表的字段設置或者與程序員探討一段代碼應如何編寫。
3.4 分包商的關系協調策略
在一個大型信息系統工程項目的建設中,承建方可能有多個,比如硬件提供商、軟件開發商、系統集成商等,或者存有一定的層次結構如總包商、分包商等。對于前者,監理方工作的難度要增大不少,關系與利益的協調工作就更加凸顯其重要。
對于后者,監理方應切記不要輕易越權管理,對分包商的監督與管理應當由總包商來負責,監理方對項目的監督管理工作的接口是總包商,一般不涉及分包商,除非有明確約定。
因而,通過上述討論,對監理方的角色定位應是:獨立于甲方和乙方(即承建方)的第三方,但是站在甲方的立場上。監理方受甲方的領導,它不直接對工程行使決定權。
二、監理的功能定位
作為甲方,在確定監理機構的同時,對監理機構的定位也必須明確。這對監理機構正確處理與甲方和乙方即承建方的關系至為關鍵。通過上述討論,已初步明確了監理方的角色定位。那么,監理方在日常工作中又應如何定位呢?
其實,監理過程本質上是一種信息交互的過程,其目的是將問題發現在早期階段。一個信息系統的建設往往是一種涉及多種學科、多種技術的復雜的系統,因而,監理過程也是一種團隊工作,為了使信息系統工程能真正地達到信息建設目標,必須通過團隊努力使這些學科與技術協調一致地工作。
在信息系統建設過程中,作為監理方,主要應通過發揮監督、控制、協調和建議等方面的作用,確保項目實現質量、進度和成本三個方面的控制目標,作為甲方授權的代表,監理方是甲方的助手,輔助甲方來對項目進行控制和管理。所以,監理的功能定位應是:發現并預警問題,推動問題的解決。
因而,監理方應在信息系統建設的每個階段,應根據其科學的工作方法和監理經驗安排各種監理活動,監督系統建設的各個階段實施過程的狀況。監理方的日常工作是監理方在項目執行過程中最主要的監理活動。通過這些日常的監理活動及時發現系統建設中存在的問題,并加以分析研究。通過監理交流機制及時向甲方匯報,同時提出監理方對上述問題的評估意見和解決方法的建議,使甲方能及時了解實際建設狀況,對建設中出現的問題能有客觀的認識,并能采取相應的應對措施。監理方還應在甲方授權的情況下直接向用戶方和(或)承建方提出合理化建議。
第四篇:信息系統監理驗收文檔
驗收文檔準備要求 建設方:
? 《XXX系統試運行使用報告》或《用戶使用報告》; ? 招標書、合同文件、投標書、工程變更文件、協議、備忘錄 ? 項目初期文件; 測試方:
《XXX系統測試報告》 開發方:(軟件部分)? 項目開發計劃:
? 系統軟件到貨驗收報告: ? 系統軟件安裝報告 ? 應用系統配置詳細清單: ? 應用系統安裝手冊: ? 應用系統使用手冊: ? 系統需求規格說明書: ? 概要設計說明書/總體設計 ? 應用系統實施方案; ? 詳細設計說明書
? 應用系統測試計劃 ? 應用系統測試用例: ? 應用系統測試報告
? 應用系統操作手冊: ? 應用系統維護手冊:
? 相關培訓文檔:(系統培訓手冊和培訓記錄等)(硬件部分)? 項目詳細設計方案 ? 項目實施方案 ? 項目系統運行維護方案 ? 培訓方案 ? 網絡拓撲圖
? 設備連接圖(跳線架連接表、設備連接對照表等)? 存儲拓撲圖
? 機柜分布圖(分為網絡設備和服務器)? 系統安裝維護手冊 ? 系統參數配置手冊 ? 設備和軟件明細表 ? 設備到貨驗收報告 ? 設備安裝調試報告 ? 測試大綱及方案
? 測試記錄(自檢報告、包含加電測試)? 測試報告(三方測試、包含加電測試)? 工程變更單 ? 初步驗收報告
? 系統驗收報告
監理方:
? 監理工作報告;
? 驗收情況監理意見 或 監理評估報告 ? 監理規劃和監理細則 驗收會議文件:
? 工程驗收報告(開發方準備)提供單位:工程驗收組 ? 工程建設工作報告 提供單位:開發商 ? 監理工作報告 提供單位:監理公司 ? 用戶使用報告 提供單位 : 建設單位 ? 系統測試報告
提供單位:工程測試小組或第三測方測試單位 ? 資料審查和培訓審查報告 提供單位:工程文檔驗收小組 ? 驗收會議議程
提供單位:工程驗收小組
第五篇:信息系統監理與信息系統審計
信息系統監理與信息系統審計
[摘要]建立信息化建設的第三方監督對保證信息化建設的效益最大化至關重要。本文通過信息系統監理和信息系統審計的概念、產生動因等進行比較,分析我國信息系統監理面臨的新問題、新要求,并介紹美國信息系統審計的實踐經驗,在此基礎上提出對我國信息系統監理事業發展的若干建議。
[關鍵詞]信息系統信息系統監理信息系統審計比較獨立性
引言
“信息化帶動工業化”是我國長期的重要發展戰略,江澤民同志在十六大的報告中指出:“實現工業化仍然是我國現代化進程中艱巨的歷史性任務。信息化是我國加快實現工業化和現代化的必然選擇。堅持以信息化帶動工業化,以工業化促進信息化,走出一條科技含量高、經濟效益好、資源消耗低、環境污染少、人力資源優勢得到充分發揮的新型工業化路子。”這段論述表現了我們黨對信息化建設的高度重視,也指明信息化帶出一條新型工業化路子的光明前景。
目前,各地區、各部門都在認真貫徹十六大精神,十分重視推進信息化工作,我國信息化建設已經進入新的階段,我國信息化事業已發展到一個新的階段。各級政府正在積極推進“電子政務”,許多城市及企業也已著手整合與升級其信息化應用系統。可以預計,全國將有更多、更大的信息系統建設項目展開。但是,在信息化推進過程中,存在不同程度上的一些問題,主要表現在規劃制訂不夠科學,項目管理不夠嚴格,監理機制不夠健全,系統運行效益不夠明顯。致使相當一部分信息化項目失敗或未能實現預期目標,浪費了大量資源。究其根源主要原因之一是信息化建設第三方監管機制的缺失和標準的不健全。
國內外的實踐表明:信息化是有風險的,信息系統規模越大,功能越復雜,風險也就越大。英國Kalido于英國時間2001年12月12日公布了有關企業信息管理的調查結果。調查顯示,96%的企業對于本公司的信息管理系統感到不滿。關于目前正在使用的信息系統,認為“所制作的報告缺乏一貫性”或者是“核對信息花費了太多時間”的企業約占70%。特別引人深思的是該調查是由美國HarteHanks以全球500強企業以及財富1000企業中的171家公司為對象通過問卷方式實施的。調查對象中,40%以上的企業年交易額超過20億美元。其他主要調查結果如下∶回答目前的信息系統不能靈活因應變化的企業約占60%;對于數據的精度表示擔心的企業約占60%;60%以上的企業正在策劃有關數據及信息的整合計劃。這充分說明,信息系統的建設項目較之傳統工業工程項目成功率更低,風險也更加突出。
中央領導同志在國家信息化領導小組第一次會議中特別強調:信息化建設一定要講求效益,不能搞花架子。因此建立并逐步完善我國信息系統審計制度是健康、有序地推進信息化和落實領導小組會議精神的一項重要措施。
目前,在國內的信息化項目工程建設中,絕大多數用戶(業主)無法組織隊伍對信息系統建設進行專業化管理,難以勝任從可行性分析、規劃設計、招標、方案評審到工程監理和工程驗收全過程的管理與組織協調工作,建設方和承建方在信息建設過程中存在嚴重的信息不對稱問題。這表現為借助外援進行工程管理咨詢的案例越來越多,一些省市的行業主管部門也開始在信息系統建設中推行由監理進行工程質量管理的做法。但是,監理介 入信息系統在我國還處于一個探索的過程中。
我國加入WTO后,鑒于我國IT服務業未來巨大的增長空間,國際知名咨詢顧問公司、專業技術服務提供商等紛紛搶灘我國市場。在信息系統第三方鑒證業務方面,他們提供符合國際標準的信息系統審計服務。因此當前監理事業的發展面臨新的形勢,監理工作外部環境發生了深刻變化,勢將對我國監理企業形成嚴重沖擊,本土監理企業面臨前所未有的嚴峻挑戰。監理事業往何處去?這是擺在每一個監理人面前的重大課題。每一個監理企業必須以發展的眼光、動態的觀點、創新的思想和創新的理論正確認識和判斷當前的監理形勢,增強危機感和緊迫感,迎接新的挑戰。
信息系統監理
信息系統監理概念
依據信息產業部《信息系統工程監理暫行規定》,信息系統工程監理是指依法設立且具備相應資質的信息系統工程監理單位,受業主單位委托,依據國家有關法律法規、技術標準和信息系統工程監理合同,對信息系統工程項目實施的監督管理。
信息系統監理產生動因及其發展
1、信息系統監理產生動因分析
監理工作、監理企業是我國在計劃經濟向市場經濟轉變的過程中在建設領域中應運而生的,并取得了有目共睹的顯著成效,直接促進了工程監理業的繁榮發展,這也導致在通信業工程建設、信息系統建設等方面監理的出現。因此,回顧建設工程監理的發展,將有助于對信息系統監理的認識。
1988年7月建設部發布了《關于開展建設監理工作的通知》,隨后又于1988年11月印發了《關于開展建設監理試點問題的若干意見》,使得試點工作有章可循。1989年,根據初步試點取得的經驗,建設部制定了《建設監理試行規定》,這是我國第一個比較完備的關于工程建設監理的法規文件,勾畫出具有我國特色的工程建設監理制度的初步框架。1991年又分別制定頒發了《建設監理單位資質管理試行辦法》和《監理工程師資格考試及注冊試行辦法》,建設監理法規制度進一步配套完善。1993年,上海市開始了工程設備監理制度的試點工作。1998年,國務院機構改革后賦予了國家質量技術監督局“協調建立設備工程監理制度”的職能要求,隨后,國家質量技術監督局擬定了《協調建立設備工程監理制度的方案》,在國家發展計劃委員會的指導和具體參與下,會同國務院有關部門,在國內有關技術及咨詢機構的幫助、支持下,完成了設備監理制度中有關規章的起草工作。此間,世界銀行、國家開發銀行等亦曾規定,其貸款的有關項目要有監理公司監理,并作為申請貸款的項目單位獲得貸款的基本條件。由此開始推行建設工程監理制度,監理事業得到持續快速發展,從而積累了一定經驗,取得了積極成效。發展至今建立了一套比較完整的監理法規體系,組成了一支規模較大的監理隊伍,監理出一批優良的工程項目,監理工作在工程建設中發揮了重要作用,得到了各級領導的支持,得到了社會的普遍認可,正逐步向規范化、制度化、科學化方向邁進
但同時我國工程監理事業經過十多年的發展,雖然取得了一定成績,但也存在不少問題。如:監理人員整體素質不高、監理工作缺位、監理取費普遍較低、監理市場競爭機制不健全、監理企業缺乏自我積累和發展能力、監理責任不明確、監理工作缺乏系統的理論研究、宣傳工作滯后等問題比較突出。
2、信息系統監理的發展
目前信息系統工程的現狀類似于二十世紀八十年代以前建筑工程的狀態。自1988年建設部頒布《關于開展建設監理工作的通知》以后,特別是1996年建設監理全面推行后,建筑工程的質量普遍提高,業主和承建商之間的糾紛普遍減少,凡是出問題的工程,監理也有問題。因此,要求參考建筑工程的管理辦法對信息工程實施監理的呼聲日益高漲,這既是信息工程用戶(業主)的愿望,也是系統集成商的愿望,信息工程市場呼喚“第三方”—信息系統工程監理的出現。
早在1995年,原電子工業部就出臺了《電子工程建設監理規定(試行)》。1996年,深圳市成立了全國第一家信息工程質量監督機構—信息工程質量監督檢驗總站。1998年,西安協同軟件股份有限公司經西安技術監督局和西安市科委批準,獲得“計算機管理信息系統工程監理”資質認證,成為國內第一家獲此資格的公司。1999年6月,深圳市政府在國內率先出臺了包括實施信息工程監理條款在內的《深圳市信息工程管理辦法》,并要求首屆我國國際高新技術成果交易會信息網絡工程實施監理。2000年7月,深圳市信息化建設委員會辦公室制訂了《深圳市信息工程建設管理辦法實施意見》,要求“市、區、鎮人民政府及其所屬部門使用財政性資金(包括預算內資金、預算外資金、事業收入等),投資規模在100萬元以上的信息工程建設項目必須遵照本實施意見進行立項、招投標、監理、質量監督、驗收”。2002年7月,北京市信息化工作辦公室制定了《北京市信息系統工程監理管理辦法(試行)》,要求“本市推行信息系統工程監理制度,建設單位應當通過協議或者招標的方式優先選擇具有相應資質等級的信息系統工程監理單位承擔監理業務。各級財政全部補助或者部分補助以及為社會提供公共服務的重大信息化工程項目必須通過招標的方式選擇信息系統工程監理單位,實行強制監理。”2002年11月,國家質量監督檢驗檢疫總局公布《設備監理單位資格管理辦法》,在該管理辦法的21類設備工程專業中,涉及信息工程的共有三類,即信息網絡系統、信息資源開發系統和信息應用系統。最近,在國家信息辦和國家標準管理委員會直接領導下,信息化系統監理規范化項目正在加緊制定中,并且是作為電子政務標準化項目的一個子項目而提出的。預計在今年年底,監理規范就要完成,經過試用和修改后,將上升為國家標準。2002年12月,信息產業部在廣泛征求意見和開展試點工作的基礎上,正式頒布《信息系統工程監理暫行規定》,這標志著我國信息工程監理開始邁向科學化、專業化和規范化,也預示著在我國即將出現一個新的中介服務行業,將很快涌現一批監理機構和執業人員,從此信息系統工程監理工程師也將逐步成為國民經濟和社會信息化的“警察”。
但我國的信息系統工程監理目前僅僅是處在起步階段,事實上根據對國內信息化應用程度較高的行業部門(如銀行、證券、保險、氣象、社保、旅游等)和部分大型企業(如華北制藥、哈爾濱軸承集團、哈爾濱飛機制造企業、躍進汽車集團、我國石化等)30個樣本作為調查對象的調查結果顯示,對于大多數企業來說,項目監理是個新概念。只有30%的被調查者表示在某些信息化項目中使用過監理服務。在70%未使用過項目監理的被調查者中,5%表示聽說過,95%表示知道建筑工程有監理,但在IT信息化項目中引入監理還是第一次聽說。
圖1監理服務內容重要程度(引自胡敏《市場呼喚項目監理》)
目前,我國還沒有一套完善的IT項目監理制度,相應的監理法規、監理內容、收費標準等也都沒有制定。特別是收費標準問題,大多數用戶采用協商解決。以北京城域網項目的監理費為例,其采用了建筑行業的監理服務收費標準(2%10%),支付的服務費占整個項目資金支出的2%。廣大用戶也反映,項目監理的標準如何才能做到公正、科學,項目監理的工作流程是否也應該規范,如何界定和權衡監理公司、用戶、IT廠商三方利益?監理過程中出了問題,該怎么辦?,這一系列問題都需要不斷探索。原北京市信息中心主任華平瀾表示,只有使監理更加規范化,才能更好地推進監理工作,才能使信息系統的建設更加順利。事實上,與建筑等其他發展很成熟的行業的監理相比,對IT項目的監理要難得多。并且由于信息技術是一個新興技術,它本身還在不斷發展和完善,因此,即使制定出的監理的內容和標準也不能僵化,需要不斷地變更和完善。
信息系統監理的基本理論
信息系統監理的中心任務是科學地規劃和控制工程項目的投資、進度和質量三大目標;監理的基本方法是目標規劃、動態控制、組織協調和合同管理;監理工作貫穿規劃、設計、實施和驗收的全過程。信息工程監理正是通過投資控制、進度控制、質量控制以及合同管理和信息管理來對工程項目進行監督和管理,保證工程的順利進行和工程質量。
1、成本控制
成本控制的任務,主要是在建設前期進行可行性研究,協助建設單位正確地進行投資決策;在設計階段對設計方案、設計標準、總概(預)算進行審查;在建設準備階段協助確定標底和合同造價;在實施階段審核設計變更,核實已完成的工程量,進行工程進度款簽證和索賠控制;在工程竣工階段審核工程結算。
2、進度控制
進度控制首先要在建設前期通過周密分析研究確定合理的工期目標,并在實施前將工期要求納入承包合同;在建設實施期通過運籌學、網絡計劃技術等科學手段,審查、修改實施組織設計和進度計劃,做好協調與監督,排除干擾,使單項工程及其分階段目標工期逐步實
現,最終保證項目建設總工期的實現。
3、質量控制
質量控制要貫穿在項目建設從可行性研究、設計、建設準備、實施、竣工、啟用及用后維護的全過程。主要包括組織設計方案評比,進行設計方案磋商及圖紙審核,控制設計變更;在施工前通過審查承建單位資質等;在施工中通過多種控制手段檢查監督標準、規范的貫徹;以及通過階段驗收和竣工驗收把好質量關等。
3、合同管理
合同管理是進行投資控制、工期控制和質量控制的手段。因為合同是監理單位站在公正立場采取各種控制、協調與監督措施,履行糾紛調解職責的依據,也是實施三大目標控制的出發點和歸宿。
4、信息管理
信息管理包括投資控制管理、設備控制管理、實施管理及軟件管理。
5、協調
協調貫穿在整個信息系統工程從設計到實施再到驗收的全過程。主要采用現場和會議方式進行協調。
總之,三控兩管一協調,構成了監理工作的主要內容。為完滿地完成監理基本任務,監理單位首先要協助建設單位確定合理、優化的三大目標,同時要充分估計項目實施過程中可能遇到的風險,進行細致的風險分析與評估,研究防止和排除干擾的措施以及風險補救對策。使三大目標及其實現過程建立在合理水平和科學預測基礎之上。其次要將既定目標準確、完整、具體地體現在合同條款中,絕不能有含糊、籠統和有漏洞的表述。最后才是在信息工程建設實施中進行主動的、不間斷的、動態的跟蹤和糾偏管理。
信息系統監理的主要業務和依據
1、信息系統監理的主要業務
信息系統監理的主要業務范圍有信息網絡系統、信息資源系統、信息應用系統的新建、升級、改造工程。根據國內信息系統監理的實踐,其涵蓋計算機工程、網絡工程、通信工程、結構化布線工程、智能大廈工程、軟件工程、系統集成工程以及有關計算機和信息化建設的工程及項目。其業務內容具體如下:
幫助建設單位做好項目需求分析,協助建設單位選擇合適的承建單位;
審定承建單位的開工報告、系統實施方案、施工進度計劃;
對項目實施的各個階段進行有效的監督和控制,幫助建設單位控制工程進度、投資和質量;
審查和處理工程變更;
參與工程質量和其他事故調查;
調解建設單位與承包單位的合同爭議,處理索賠、審批工程延期;
組織進行竣工驗收測試。
組織建設單位和承建單位完成工程移交。
2、信息系統監理的依據
信息系統監理的依據如下:
國務院頒發的《質量振興綱要》;
現行國家、各省、市、自治區的有關法律、法規、規定;
國際、國內IT行業質量標準規范;
建設單位和承建單位的合同;
將來還有國家標準,例如《信息化工程監理規范》等。
信息系統監理的程序
圖3信息系統監理的程序
信息系統工程監理的特點是全過程監理,主要包括四個階段的監理工作:招投標階段、設計階段、實施階段、驗收階段。監理的目標、方法和程序都體現在這四個階段的監理工作中。
信息系統審計
信息系統審計概念
信息系統審計是全部審計過程的一個部分,信息系統審計(ISaudit)目前還沒有固定通用的定義,美國信息系統審計的權威專家RonWeber將它定義為“收集并評估證據以決定一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟的使用資源”。
信息系統審計的目的是評估并提供反饋、保證及建議。其關注之處可被分為如下三類:
可用性——商業高度依賴的信息系統能否在任何需要的時刻提供服務?信息系統是否被完好保護以應對各種的損失和災難?
保密性——系統保存的信息是否僅對需要這些信息的人員開放,而不對其他任何人開放?
完整性——信息系統提供的信息是否始終保持正確、可信、及時?能否防止未授權的對系統數據和軟件的修改?
信息系統審計產生動因及其發展
1、信息系統審計產生動因分析
關于信息系統審計的產生動因,目前國際上存在兩種觀點:一種觀點認為是從會計審計發展到計算機審計再發展到信息系統審計(計算機審計的范圍擴展,最后涵蓋整個信息系統)演變過來的;另外一種認為由于信息系統尤其是大型信息系統的建設是一項龐大的系統工程,它投資大、周期長、高技術、高風險,在系統的建設過程中,對工程進行嚴格、規范的管理和控制至關重要。而正是由于信息系統工程所具有的這些特點,建設單位往往由于技術力量有限,無力對項目的技術、設備、進度、質量和風險進行控制,無法保證項目的實施成功。所以需要有第三方進行獨立審計。
2、信息系統審計在國際上的發展
信息系統審計的發展是伴隨著信息技術的發展而發展的。在數據處理電算化的初期,由于人們對計算機在數據處理中的應用所產生的影響沒有足夠的認識,認為計算機處理數據準確可靠,不會出現錯弊,因而很少對數據處理系統進行審計,主要是對計算機打印出的一部分資料進行傳統的手工審計。隨著計算機在數據處理系統中應用的逐步擴大,利用計算機犯罪的案件不斷出現,使審計人員認識到要應用計算機輔助審計技術對電子數據處理系統本身進行審計,即EDI審計。同時隨著社會經濟的發展,審計對象、范圍越來越大,審計業務也越來越復雜,利用傳統的手工方法已不能及時完成審計任務,必須應用計算機輔助審計技術(CAATs)進行審計。八十年代、九十年代信息技術的進一步發展與普及,使得企業越來越依賴信息及產生信息的信息系統。人們開始更多的關注信息系統的安全性、保密性、完整性及其實現企業目標的效率、效果,真正意義的信息系統審計才出現。隨著電子商務的全球普及,信息系統的審計對象、范圍及內容將逐漸擴大,采用的技術也將日益復雜。到目前為止,信息系統審計在全球來看,還是一個新的業務,從美國五大會計師事務所的數據看1990年擁有信息系統審計師12名到近百名,1995年已有500名,到2000年時,信息系統審計師正以40%——50%的速度增加,說明信息系統審計正逐漸受到重視。
美國在計算機進入實用階段時就開始提出系統審計(SYSTEMAUDIT),從成立電子數據處理審計協會(EDPAA后更名為ISACA)以來,從事系統審計活動已有三十多年歷史,成為信息系統審計的主要推動者,在全球建有一百多個分會,推出了一系列信息系統審計準則、職業道德準則等規范性文件,并開展了大量的理論研究,IT控制的開放式標準COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系統審計在國內的發展
目前國內有學者提出計算機審計,電算化審計,但基本上停留在對會計信息系統的審計上,延伸手工會計信息系統審計,尚未全面探討信息時代給審計業務帶來的深刻變化。以我國在1999年頒布了獨立審計準則第20號——計算機信息系統環境下的審計為例,其更多關注的是會計信息系統。在信息時代,面對加入WTO后全球一體化市場,我國IT服務業面臨巨大的挑戰,開展信息系統審計業務不失為推動我國IT服務業發展的一次絕佳機會。
信息系統審計的理論基礎
信息系統審計不僅僅是傳統審計業務的簡單擴展,信息技術不單影響傳統審計人員執行鑒證業務的能力,更重要的是公司和信息系統管理者都認識到信息資產是組織最有價值的資產,和傳統資產一樣需要控制,組織同時需要審計人員提供對信息資產控制的評價。因此信息系統審計是一門邊緣性學科,跨越多學科領域。
如圖3所示,信息系統審計是建立在四個理論基礎之上的:
傳統審計理論。傳統審計理論為信息系統審計提供了豐富的內部控制理論與實踐經驗,以保證所有交易數據都被正確處理。同時收集并評價證據的方法論也在信息系統審計中廣泛應用,最為重要的是傳統審計給信息系統審計帶來的控制哲學,即用謹慎的眼光審視信息系統在保護資產安全、保證信息完整,并能有效地實現企業目標的能力。
信息系統管理理論。信息系統管理理論是一門關于如何更好地管理信息系統的開發與運行過程的理論,它的發展提高了系統保護資產安全、保證信息完整,并能有效地實現企業目標的能力。
行為科學理論。人是信息系統安全最薄弱的環節,信息系統有時會因為人的問題而失敗,比如對系統不滿的用戶故意破壞系統及其控制。因此審計人員必須了解哪些行為因素可能導致系統失敗。這方面行為科學特別是組織學理論解釋了組織中產生的“人的問題”。
計算機科學。計算機科學本身的發展也在關注如何保護資產安全、保證信息完整,并能有效地實現企業目標。但是技術是一把雙刃劍,計算機科學的發展可以使審計人員降低對系統組件可靠性的關注,信息技術的進步也可能啟發犯罪,例如一個重要的問題是信息技術在會計制度中的應用是否給罪犯提供了較多緩沖時間?如果是,那么今天網絡犯罪產生的社會威脅較以往任何時候都要大。
圖4 :IS審計的理論基礎
信息系統審計的基本業務和依據
1、信息系統審計的基本業務
信息系統審計業務將隨著信息技術的發展而發展,為滿足信息使用者不斷變化的需要而增加新的服務內容,目前其基本業務如下:
系統開發審計,包括開發過程的審計、開發方法的審計,為IT規劃指導委員會及變革控制委員會提供咨詢服務;
主要數據中心、網絡、通訊設施的結構審計,包括財務系統和非財務系統的應用審計;
支持其他審計人員的工作,為財務審計人員與經營審計人員提供技術支持和培訓;
為組織提供增值服務,為管理信息系統人員提供技術、控制與安全指導;推動風險自評估程序的執行;
軟件及硬件供應商及外包服務商提供的方案、產品及服務質量是否與合同相符審計;
災難恢復和業務持續計劃審計;
對系統運營效能、投資回報率及應用開發測試審計;
系統的安全審計;
網站的信譽審計;
全面控制審計等。
一個信息系統不等同于一臺計算機。今天的信息系統是復雜的,由多個部分組成以做出商業解決方案。只有各個組成部分通過了評估,判定安全,才能保證整個信息系統的正常工作。對一個信息系統審計的主要組成部分分成以下幾類:
信息系統的管理、規劃與組織——評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。
信息系統技術基礎設施與操作實務——評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標.資產的保護——對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
災難恢復與業務持續計劃——這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
應用系統開發、獲得、實施與維護——對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業務目標。
業務流程評價與風險管理——評估業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。
2、信息系統審計的依據
信息系統審計師須了解規劃、執行及完成審計工作的步驟與技術,并盡量遵守國際信息系統審計與控制協會的一般公認信息系統審計準則、控制目標和其他法律與規定。
一般公認信息系統審計準則——包括職業準則、ISACA公告和職業道德規范。職業準則可歸類為:審計規章、獨立性、職業道德及規范、專業能力、規劃、審計工作的執行、報告、期后審計。ISACA公告是信息系統審計與控制協會對信息系統審計一般準則所做的說明。ISACA職業道德及規范提供針對協會會員或信息系統審計認證(CISA)持有者有關職業上及個人的指導規范。
信息系統的控制目標——信息系統審計與控制協會在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被國際上公認是最先進、最權威的安全與信息技術管理和控制的標準,目前已經更新至第三版。它在商業風險、控制需要和技術問題之間架起了一座橋梁,以滿足管理的多方面需要。面向業務是COBIT的主題。它不僅設計用于用戶和審計師,而且更重要的是可用于全面指導管理者與業務過程的所有者。商業實踐中越來越多的包含了對業務過程所有者的全面授權,因此他們承擔著業務過程所有方面的全部責任。特別的是,這其中包含著要提供足夠的控制。Cobit框架為業務過程所有者提供了一個工具,以方便他們承擔責任。其框架包括四大部分:架構、控制目標、審計指南及執行概要。COBIT架構著重各項處理的高層次控制,控制目標則著重于各項IT處理或對該架構所包括的34項IT處理的特定詳細控制目標,每一項IT處理都有5至25個詳細控制目標,控制目標使整體架構和詳細控制目標密切對應,相互一致。詳細控制目標有18種主要來源,涵蓋現行的及法定有關IT的國際性準則與規定。這包括對各項IT工作所建置的控制程序擬達到的預期結果或目標的敘述,以提供全球所有的產業有關IT控制的明確方針及實際最佳的應用。
其他法律及規定。每個組織不論規模大小或屬于何種產業,都需要遵守政府或外部對與電腦系統運作、控制,及電腦、程序、信息的使用情況等有關的規定或要求,對于一向受嚴格管制的行業,尤其要注意遵守。以國際性銀行為例,若因不良備份及復原程序而無法提供適當的服務水準,其公司及員工將受嚴重處罰。此外,由于對EDP及信息系統的依賴性加重,許多國家極力建立更多有關信息系統審計的規定。這些規定內容是關于建置、組織、責任與財務及業務操作審計功能的關聯性。有關的管理階層人員必須考慮與組織目標、計劃及與信息服務部門/職能/工作的責任及工作等有關的外部規定或要求。
信息系統審計流程
開始審計工作的準備包括收集背景信息,估計完成審計需要的資源和技巧。包括合理進行人員分工。與負責的高級經理舉行一次正式的開始審計會議,最后決定范圍,理解特別關注之處,如果有的話,制定日程,解釋審計方法。這樣的會議有高級經理的參與,使人們互相認識,闡明問題強調商業關注點,使得審計工作得以順利進行。類似的,在審計完成后,也召開一次正式會議,向高級經理交流審計結果,提出改進建議。這將確保進一步的理解,增加審計建議的接納程度。也給了被審計者一個機會來表達他們對提出問題的觀點。會議之后書寫報告,可以大大增加審計的效果。
開始審計工作預備工作了解內部控制結構評價控制風險是否信賴內部控制?是否仍可信賴內部控制?內部控制測試評價控制風險是否提高內部控制的信賴程度?擴大實質性測試有限的實質性測試形成審計意見出具審計報告是否是是否結束否
基于風險的審計方法
很多組織意識到技術能帶來的潛在好處。然而,成功的組織還能夠理解和管理好與采用新技術相關的很多風險。因此,審計從基于控制(ControlBased)演變為基于風險(RiskBased)的方法,其內涵包括企業風險、確定風險、風險評估、風險管理、風險溝通。
每個組織使用許多信息系統。對不同功能和活動有不同的應用軟件,在不同的地理區域可能有眾多的計算機配置。審計者面臨的問題是審計什么,什么時候及審計頻率。其答案是接納基于風險的方法。信息系統有著與生俱來的風險,這些風險用不同方式沖擊信息系統。對繁忙的零售超市,信息系統哪怕一個小時的不可用都會對營業系統造成嚴重影響。未授權的修改可能造成對在線銀行系統的欺詐及潛在損失。系統運行的技術環境也可能影響系統的運行風險。
基于風險方法來進行審計的步驟是:
編制組織使用的信息系統清單并對其進行分類。
決定哪些系統影響關鍵功能和資產。
評估哪些風險影響這些系統及對商業運做的沖擊。
在上述評估的基礎上對系統分級,決定審計優先值,資源,進度和頻率。審計者可以制定審計計劃,羅列出一年之中要進行的審計項目。
信息系統監理與信息系統審計之對比分析
從前面兩部分的介紹可知,信息系統審計在國際上已經體系化、標準化、程序化,而 我國信息系統監理僅有最基本的輪廓,積累了一些經驗,但尚沒有形成完整的方法論。因此,目前只能從概念、發展動因等方面做較為寬泛的對比。不過,對比國際通用體系,可為我國發展信息系統監管體系以及制定相應的管理制度或實施細則提供借鑒。
信息系統監理與信息系統審計之對比,可歸納出以下特點:
兩者性質相同,都是第三方監督,但對獨立性的要求有差別。
兩者都是立足在第三方的立場,公平對待委托方與被監督方,并要求確保公正性、公平性,以《北京市信息系統工程監理管理辦法》為例,其第十四條是“信息系統工程監理單位應當客觀、公平、公正地執行監理任務”,但是對這一行業賴以存在并得以發展的信條和靈魂——獨立性沒做明確要求。而信息系統審計對第三方的超然獨立要求極其嚴格,也因此在保證客觀、公正上更有可操作性。
客觀公正應當是每個信息系統審計師和監理工程師職業道德方面追求的最高目標,但是人們很難衡量其在執行業務時是否已經達到了客觀公正,如果只作精神上的要求,那么準則和要求將變成牧師的布道,職業人員很難執行,社會公眾很難觀察,所以信息系統審計準則中有關于審計師獨立性的要求。有關獨立性問題的系統研究當首推羅伯特.K.莫茨(R.K.Mautz)和侯賽因.A.夏拉夫(H.A.sharaf)1961年出版的《審計哲學》(ThephilosophyofAuditing)。其中對獨立性的討論包含了兩個方面:執業者的獨立性(Practitionerindependence)和職業的獨立性(Professionindependence)。前者包括審計計劃的獨立性、審計過程的獨立性和審計報告的獨立性;后者則是指社會公眾對注冊會計師行業的一種印象。曾任美國注冊會計師協會職業道德委員會主席的托馬斯.G.希金斯(ThomasGHiggins)在1962年對獨立性的概念又進行了進一步的提升與概括,他認為:“注冊會計師必須擁有的獨立性,實際上有兩種,實質上的獨立性和形式上的獨立性”。所謂形式上的獨立性,是指注冊會計師必須與被審查企業或個人沒有任何特殊的利益關系,如不得擁有被審查企業股權或擔任其高級職務,不能是企業的主要貸款人、資產受托人或與管理當局有親屬關系,等等。否則,就會影響注冊會計師公正地執行業務。形式上的獨立性又可進一步分為組織上的獨立性、經濟上的獨立性與人員上的獨立性三種。所謂實質上的獨立性,又稱為精神獨立性,即認為獨立性是一種精神狀態、一種自信心以及在判斷時不依賴和屈從于外界的壓力和影響。它要求注冊會計師在執業過程中嚴格保持超然性,不能主觀袒護任何一方當事人,尤其不應使自己的結論依附或屈從于持反對意見利益集團或人士的影響和壓力。由上可知,實質上的獨立性是無形的,通常是難以觀察和度量的,而形式上的獨立性則是有形的和可以觀察的。社會公眾通常是透過注冊會計師形式上的獨立性來推測其實質上的獨立性。因此,從這個意義上來說,形式上的獨立性是實質上的獨立性的載體和重要前提。由此可見,形式上獨立很重要,因為它很好界定,便于準則規范,在現實環境中有很好的可執行性。因此我們認為,信息系統監理行業如果不能在獨立性的制度建設上取得重大突破,整個行業的社會信任度大打折扣,而誠信和道德水準的提升對制度缺陷的修正也會很難在實質上取得成效。信息系統監理行業發展中所面臨的各種問題都很重要,但圍繞信息系統監理職業獨立性的建設可能是各項工作中的重中之重。(本文對注冊會計師的討論同樣適用于信息系統審計師)。
國外信息系統審計已經發展為較完善的行業監督體系。
目前國內信息系統審計剛剛起步,而信息工程監理還不夠規范。國家缺乏相應的法律、法規和標準,至今還沒有有效的管理手段,在委托方和被委托方之間也沒有一種協調的機制來建立兩者之間的信任。并且我國行業不規范的責任往往被輕易地歸咎于政府監管的不力;同樣輕易得到的結論,是因此要“加強監管機構的權力和范圍”。美國的會計行業規范不是這么一種邏輯。在規范行業行為中,政府監管是一個重要的輔助措施;而真正起決定性作用的,是市場中的制衡力量,以及為這些制衡力量切實發揮作用而形成的各種正式 或非正式的制度安排。
美國注冊會計師行業的管理機制——行業自我管理和外部約束向結合發揮了重要作用。行業自我管理是通過行業組織、準則和規則、監督來實現的,行業外部約束通過政府組織、準則和規則、監督和實施來實現。如美國國會和SEC監管下的行業自律。外部監管以加強管制的可能性來對行業施加約束。而較強的行政管制,將在很大程度上限制會計行業自主發展的權利和業務拓展空間,損害所有從業者的利益,因此行業總體上需要以行業自律來換取行業自我管制。如果行業不能自律,公眾要求國會加強行政管制的壓力使得這種可能性現實存在。
兩者業務范圍和目的均有所差別。
信息系統工程監理和信息系統審計都是對質量控制的再控制,但兩者業務范圍和目的均有所差別。
1、兩者業務范圍差別
信息系統工程監理是指具有信息系統工程監理資質的單位,接受建設單位的委托,依據國家和本市有關規定、信息系統工程建設標準和工程承建、監理合同,對信息系統工程的質量、進度和投資方面實施監督。目前主要應用在信息化工程建設階段。
信息系統審計是一個獲取并評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標,為有效的實現組織戰略目標而采取的一切活動過程都在審計師的業務之內。其業務范圍包括與信息系統有關的所有領域,例如信息系統安全審計、網譽審計、PKI/CA審計、電子簽名審計業務等。
2、兩者目的差別
信息系統工程監理的目的是保證工程建設質量、進度和投資額滿足建設要求。監理活動隨著工程的完成而結束。信息系統審計的目的是合理保證信息系統能夠保護資產的安全、數據的完整、系統有效地實現組織目標并有效率的利用組織資源,其核心是信息系統的效率、效果。不僅包括對建設過程的審計,更重要的是對信息系統的運營審計,向公眾出具審計報告,鑒證信息系統能否保護企業資產安全,其產生、傳遞的信息是否完整,整個系統是否有效地實現組織目標并有效率的利用組織資源。只要信息系統在運行,審計活動一直存在。
另外,信息系統工程監理的過程是可見的,即對項目成本、進度和質量與目標出現的偏差是可見的,及時糾正也方便。但信息系統審計對信息系統的安全性、可靠性與有效性的認定具有不可見性,這也正是信息系統比工程項目復雜的主要原因。信息系統建設完畢,這僅僅是信息化的開始,大量的問題將出現在信息系統運維階段,因此,從這個角度而言,信息系統審計是保證信息系統質量的行之有效的方法。
信息系統審計與方法研究具有科學化、規范化、智能化和系統化的特點。
所謂科學化,是指現代審計技術與方法的研究,已經超越了傳統的經驗論,非常強調把科學手段和經驗總結相結合。比較典型的例子就是分析性復核技術的發展。所謂分析性復核,其實質就是將審計人員掌握的一些客觀規律總結出來,測算出被審計事項的合理預期值,再與被審計事項的實際值相比較,進一步評估差異的合理性之后,確定是否還需要對被審計事項進行詳細測試。這一個過程,實際上被許多審計人員不自覺地運用了多年,但通過公式和比率等形式總結出來,主動指導審計人員的實踐,卻是最近20年來審計技術與方法研究的一大突出特點。科學化的另一個表現就是數學和統計學技術在審計中的運用日益廣泛,抽樣統計技術的全面推廣就是例證。
所謂規范化,是指審計機構將審計程序設計與審計技術方法的運用有機結合,規范和引導審計人員運用適當的審計技術和方法。以往,審計人員在運用審計技術和方法的過程中容易有較大的隨意性,用與不用,在什么時候用,如何使用,都沒有規范和約束,導致整個審計機構的標準不統一,質量沒有保證。隨著程序導向式審計軟件平臺的開發和廣泛運用,越來越多的審計機構開始把審計技術與方法融入到規范的審計程序之中,要求并指導審計人員合理運用審計技術。
所謂智能化,強調的就是將歷史經驗總結、科學規律推導和審計人員的專業判斷結合起來,指導審計人員得出合理的審計結論。在審計過程中,數學、統計學的分析結果,都不能完全替代審計人員的專業判斷,因為在其利用的數學公式中,仍然有許多變量需要審計人員主觀確定。在這種情況下,越來越多的審計機構,傾向于在審計軟件中為審計人員的決策提供參考。目前,許多審計機構不惜花巨資,邀請審計領域的專家,分析在各種情況下常見的審計策略或方法以及對不同審計結果的判斷標準。當然,對審計而言,智能化永遠都是一個相對的概念,電腦和機器永遠不能替代審計人員的決策,但提供決策輔助和參考意見,確實非常必要。
所謂系統化,是指審計戰略(策略)和審計技術方法的全面協調。審計戰略(策略)解決的是要審什么、想達到什么目的,審計技術和方法解決的是怎么審和怎么達到目的,這兩者的協調是審計技術與方法的研究成果得以全面運用的關鍵。回顧最近20多年來審計技術與方法的研究歷程,可以清晰地發現,審計技術的研究和運用完全是在風險基礎審計理論指導下的開拓和發展,而脫離理論指導的實踐經驗總結相對越來越少。這一點給我們的啟示在于,審計技術與方法的研究,不能超越基本審計理論和審計目標的研究,也不能脫離審計戰略和審計目標的總體要求。
信息系統審計具有較完善的職業教育和認證體系。
國際信息
系
統
審
計
與
控
制
協
會
ISACA(InformationSystemAuditandControlAssociation)是唯一有權授予國際信息系統審計師資格的跨國界、跨行業專業機構,該協會成立于1969年,總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會,現有會員兩萬多人。注冊信息系統審計師CISA(CertifiedInformationSystemAuditor)資格由ISACA授予,是信息系統審計領域的唯一職業資格,受到全世界的廣泛認可。由于信息技術的國際性,國際信息系統審計師資格在世界任何一個國家的使用都不會受到任何制約。自1978年以來,國際信息系統審計師CISA認證已經成為在信息系統審計、控制與安全專業領域中取得成績的標準,并得到了全世界的公認。在世界各地,每年都要舉行一次認證考試和若干次后續教育,目前在我國香港、臺灣、北京、上海、廣州、深圳設有考點。經過認證的信息系統審計師最擅長鑒別信息系統的有效性,最安全和最穩定的系統不一定是最有效的系統,而效率不高的系統就會消耗企業大量的資源,信息系統審計師的優勢就是對財經管理和信息技術融會貫通,為企業信息系統的改造提供建議。
鑒于信息安全市場的高速增長,最近國際信息系統審計與控制協會又迅速推出了信息安全管理師認證CISM,以配合市場對安全人才的巨大需求。
對信息系統監理的建議
目前,我國的信息系統監理業巨大的發展空間吸引著越來越多的國際咨詢公司和專業服務提供商搶灘我國市場。據不完全統計,目前在我國的海外咨詢足有百余家。隨著摩立特集團(我國)公司日前在北京成立,國際上最著名的咨詢公司如麥肯錫、科爾尼、埃森哲、BCG、PWC、羅蘭貝格、德勤等皆已在我國登陸,給國內的咨詢包括監理機構帶來了巨大的壓力,其豐富的案例庫、數據庫、知識庫,數十甚至百年創下的品牌,短時期內本土咨詢業與其的差距依然較大。
面對機遇和挑戰,如何借鑒國際上先進的經驗,推動我國信息系統監理的健康發展,避免其他中介服務行業曾走過的彎路,我們在廣泛的理論分析和實證研究的基礎上提出如下具體建議:
建立健全的管理體制與法律法規體系,盡快形成統一、規范、競爭、有序的信息系統工程監理服務市場。
各級信息化主管部門,在規范政府管理職能的同時(政府部門要避免管的過多、過細,應過多關注整個監理市場的宏觀管理和調控),注重加強行業自律管理,避免其他中介服務行業曾出現過的多種問題。例如,個別人憑借權利強行包攬監理業務,采取高回扣等不正當手段,以及為獨攬業務,不惜損害其他方和當事人的權益等。
鑒于信息系統工程監理具有專業性強和風險大的特點,建議把執業隊伍的業務素質和職業道德素質的提高作為一項重要工作常抓不懈,使信息系統工程監理工程師真正成為國民經濟和社會信息化的“警察”。
盡快建立信息系統工程監理的標準和執業規范。
推動信息系統工程監理工業的分化整合,探索信息系統工程監理公司擴大規模的方式和途徑。在我國加入WTO的新形勢下,面對國際IT服務咨詢業巨頭的競爭,我國信息系統工程監理行業剛起步,監理公司如何脫穎而出、迅速成長,參與國內甚至國際信息系統中介服務市場的競爭,將是重中之重的工作。
開展信息系統工程監理公司內部管理機制研究。努力提高信息系統工程監理行業的監理質量。
執業程序要統一。“四大”發展到今天這樣的規模,執業程序的統一是其基石。這些程序歷經多年的經驗積累而形成,并針對新出現的問題隨時加以完善。從某種意義上將,客戶對“四大”的統一的執業程序的認同,超過了對其名稱品牌的認同。
培訓統一。為保證執業程序的統一,首先要做到培訓統一。信息系統監理工程師在開始執業前要經過嚴格的培訓,定期培訓當然更不可少。建議信息系統監理公司設立專門的培訓部門,并將每年收入相當大的比重用于培訓。另外,嚴格、規范的培訓也是監理公司能夠吸引眾多高素質從業人員的一個重要因素。
人事管理在一定范圍內統一。建議將監理工程師的級別進行細分,并且不要出現一個地方的人員比另外一個地方同一級別的人員水平明顯高的情況。這種管理方式,對于監理機構來說非常重要。
總之,我國信息系統監理事業發展幾年來,雖然取得了一定成績,但在思想認識、理論研究、管理體制、法規建設及實際操作中仍存在諸多問題,監理企業面臨前所未有的嚴峻挑戰。但是機遇與挑戰同在,我國本土的咨詢和監理企業最了解我國的國情環境。我們要充分利用這一優勢,發揮自身的能動力量,積極參與競爭,加強與國際同行的合作交流,借鑒國際咨詢機構和專業服務提供商的經驗、知識、規則乃至在實施過程中的具體方法,把我國的信息系統監理事業做穩、做實、做大,做出我國的監理和咨詢品牌。
![下載信息系統監理打印1(2014)[最終版]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 