信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)比較分析(共15).doc

1、信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)：中國(guó)的實(shí)踐與美國(guó)的經(jīng)驗(yàn)孫強(qiáng) 孟秀轉(zhuǎn)摘要 建立信息化建設(shè)的第三方監(jiān)督對(duì)保證信息化建設(shè)的效益最大化至關(guān)重要。本文通過(guò)信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計(jì)的概念、產(chǎn)生動(dòng)因等進(jìn)行比較，分析我國(guó)信息系統(tǒng)監(jiān)理面臨的新問(wèn)題、新要求，并介紹美國(guó)信息系統(tǒng)審計(jì)的實(shí)踐經(jīng)驗(yàn)，在此基礎(chǔ)上提出對(duì)我國(guó)信息系統(tǒng)監(jiān)理事業(yè)發(fā)展的若干建議。關(guān)鍵詞 信息系統(tǒng)信息系統(tǒng)監(jiān)理 信息系統(tǒng)審計(jì) 比較 獨(dú)立性一、 引言“信息化帶動(dòng)工業(yè)化”是我國(guó)長(zhǎng)期的重要發(fā)展戰(zhàn)略，江澤民同志在十六大的報(bào)告中指出：“實(shí)現(xiàn)工業(yè)化仍然是我國(guó)現(xiàn)代化進(jìn)程中艱巨的歷史性任務(wù)。信息化是我國(guó)加快實(shí)現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇。堅(jiān)持以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)

2、信息化，走出一條科技含量高、經(jīng)濟(jì)效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢(shì)得到充分發(fā)揮的新型工業(yè)化路子?！边@段論述表現(xiàn)了我們黨對(duì)信息化建設(shè)的高度重視，也指明信息化帶出一條新型工業(yè)化路子的光明前景。目前，各地區(qū)、各部門(mén)都在認(rèn)真貫徹十六大精神，十分重視推進(jìn)信息化工作，我國(guó)信息化建設(shè)已經(jīng)進(jìn)入新的階段，我國(guó)信息化事業(yè)已發(fā)展到一個(gè)新的階段。各級(jí)政府正在積極推進(jìn)“電子政務(wù)”，許多城市及企業(yè)也已著手整合與升級(jí)其信息化應(yīng)用系統(tǒng)。可以預(yù)計(jì)，全國(guó)將有更多、更大的信息系統(tǒng)建設(shè)項(xiàng)目展開(kāi)。但是，在信息化推進(jìn)過(guò)程中，存在不同程度上的一些問(wèn)題，主要表現(xiàn)在規(guī)劃制訂不夠科學(xué)，項(xiàng)目管理不夠嚴(yán)格，監(jiān)理機(jī)制不夠健全，系統(tǒng)運(yùn)行效益不

3、夠明顯。致使相當(dāng)一部分信息化項(xiàng)目失敗或未能實(shí)現(xiàn)預(yù)期目標(biāo)，浪費(fèi)了大量資源。究其根源主要原因之一是信息化建設(shè)第三方監(jiān)管機(jī)制的缺失和標(biāo)準(zhǔn)的不健全。國(guó)內(nèi)外的實(shí)踐表明：信息化是有風(fēng)險(xiǎn)的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險(xiǎn)也就越大。英國(guó)Kalido于英國(guó)時(shí)間2001年12月12日公布了有關(guān)企業(yè)信息管理的調(diào)查結(jié)果。調(diào)查顯示，96的企業(yè)對(duì)于本公司的信息管理系統(tǒng)感到不滿(mǎn)。關(guān)于目前正在使用的信息系統(tǒng)，認(rèn)為"所制作的報(bào)告缺乏一貫性"或者是"核對(duì)信息花費(fèi)了太多時(shí)間"的企業(yè)約占70。特別引人深思的是該調(diào)查是由美國(guó)Harte-Hanks以全球500強(qiáng)企業(yè)以及財(cái)富1000企業(yè)中的17

4、1家公司為對(duì)象通過(guò)問(wèn)卷方式實(shí)施的。調(diào)查對(duì)象中，40以上的企業(yè)年交易額超過(guò)20億美元。其他主要調(diào)查結(jié)果如下回答目前的信息系統(tǒng)不能靈活因應(yīng)變化的企業(yè)約占60；對(duì)于數(shù)據(jù)的精度表示擔(dān)心的企業(yè)約占60；60以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合計(jì)劃。這充分說(shuō)明，信息系統(tǒng)的建設(shè)項(xiàng)目較之傳統(tǒng)工業(yè)工程項(xiàng)目成功率更低，風(fēng)險(xiǎn)也更加突出。中央領(lǐng)導(dǎo)同志在國(guó)家信息化領(lǐng)導(dǎo)小組第一次會(huì)議中特別強(qiáng)調(diào)：信息化建設(shè)一定要講求效益，不能搞花架子。因此建立并逐步完善我國(guó)信息系統(tǒng)審計(jì)制度是健康、有序地推進(jìn)信息化和落實(shí)領(lǐng)導(dǎo)小組會(huì)議精神的一項(xiàng)重要措施。目前，在國(guó)內(nèi)的信息化項(xiàng)目工程建設(shè)中，絕大多數(shù)用戶(hù)（業(yè)主）無(wú)法組織隊(duì)伍對(duì)信息系統(tǒng)建設(shè)進(jìn)行專(zhuān)

5、業(yè)化管理，難以勝任從可行性分析、規(guī)劃設(shè)計(jì)、招標(biāo)、方案評(píng)審到工程監(jiān)理和工程驗(yàn)收全過(guò)程的管理與組織協(xié)調(diào)工作，建設(shè)方和承建方在信息建設(shè)過(guò)程中存在嚴(yán)重的信息不對(duì)稱(chēng)問(wèn)題。這表現(xiàn)為借助外援進(jìn)行工程管理咨詢(xún)的案例越來(lái)越多，一些省市的行業(yè)主管部門(mén)也開(kāi)始在信息系統(tǒng)建設(shè)中推行由監(jiān)理進(jìn)行工程質(zhì)量管理的做法。但是，監(jiān)理介入信息系統(tǒng)在我國(guó)還處于一個(gè)探索的過(guò)程中。我國(guó)加入WTO后，鑒于我國(guó)IT服務(wù)業(yè)未來(lái)巨大的增長(zhǎng)空間，國(guó)際知名咨詢(xún)顧問(wèn)公司、專(zhuān)業(yè)技術(shù)服務(wù)提供商等紛紛搶灘我國(guó)市場(chǎng)。在信息系統(tǒng)第三方鑒證業(yè)務(wù)方面，他們提供符合國(guó)際標(biāo)準(zhǔn)的信息系統(tǒng)審計(jì)服務(wù)。因此當(dāng)前監(jiān)理事業(yè)的發(fā)展面臨新的形勢(shì)，監(jiān)理工作外部環(huán)境發(fā)生了深刻變化，勢(shì)將對(duì)我

6、國(guó)監(jiān)理企業(yè)形成嚴(yán)重沖擊，本土監(jiān)理企業(yè)面臨前所未有的嚴(yán)峻挑戰(zhàn)。監(jiān)理事業(yè)往何處去？這是擺在每一個(gè)監(jiān)理人面前的重大課題。每一個(gè)監(jiān)理企業(yè)必須以發(fā)展的眼光、動(dòng)態(tài)的觀點(diǎn)、創(chuàng)新的思想和創(chuàng)新的理論正確認(rèn)識(shí)和判斷當(dāng)前的監(jiān)理形勢(shì)，增強(qiáng)危機(jī)感和緊迫感，迎接新的挑戰(zhàn)。二、 信息系統(tǒng)監(jiān)理（一） 信息系統(tǒng)監(jiān)理概念依據(jù)信息產(chǎn)業(yè)部信息系統(tǒng)工程監(jiān)理暫行規(guī)定，信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。（二） 信息系統(tǒng)監(jiān)理產(chǎn)生動(dòng)因及其發(fā)展1、信息系統(tǒng)監(jiān)理產(chǎn)生動(dòng)因分析監(jiān)理工作、監(jiān)理企業(yè)是我國(guó)在計(jì)劃經(jīng)濟(jì)向市場(chǎng)

7、經(jīng)濟(jì)轉(zhuǎn)變的過(guò)程中在建設(shè)領(lǐng)域中應(yīng)運(yùn)而生的，并取得了有目共睹的顯著成效，直接促進(jìn)了工程監(jiān)理業(yè)的繁榮發(fā)展，這也導(dǎo)致在通信業(yè)工程建設(shè)、信息系統(tǒng)建設(shè)等方面監(jiān)理的出現(xiàn)。因此，回顧建設(shè)工程監(jiān)理的發(fā)展，將有助于對(duì)信息系統(tǒng)監(jiān)理的認(rèn)識(shí)。1988年7月建設(shè)部發(fā)布了關(guān)于開(kāi)展建設(shè)監(jiān)理工作的通知，隨后又于1988年11月印發(fā)了關(guān)于開(kāi)展建設(shè)監(jiān)理試點(diǎn)問(wèn)題的若干意見(jiàn)，使得試點(diǎn)工作有章可循。1989年，根據(jù)初步試點(diǎn)取得的經(jīng)驗(yàn)，建設(shè)部制定了建設(shè)監(jiān)理試行規(guī)定，這是我國(guó)第一個(gè)比較完備的關(guān)于工程建設(shè)監(jiān)理的法規(guī)文件，勾畫(huà)出具有我國(guó)特色的工程建設(shè)監(jiān)理制度的初步框架。1991年又分別制定頒發(fā)了建設(shè)監(jiān)理單位資質(zhì)管理試行辦法和監(jiān)理工程師資格考試及

8、注冊(cè)試行辦法，建設(shè)監(jiān)理法規(guī)制度進(jìn)一步配套完善。1993年，上海市開(kāi)始了工程設(shè)備監(jiān)理制度的試點(diǎn)工作。1998年，國(guó)務(wù)院機(jī)構(gòu)改革后賦予了國(guó)家質(zhì)量技術(shù)監(jiān)督局“協(xié)調(diào)建立設(shè)備工程監(jiān)理制度”的職能要求，隨后，國(guó)家質(zhì)量技術(shù)監(jiān)督局?jǐn)M定了協(xié)調(diào)建立設(shè)備工程監(jiān)理制度的方案，在國(guó)家發(fā)展計(jì)劃委員會(huì)的指導(dǎo)和具體參與下，會(huì)同國(guó)務(wù)院有關(guān)部門(mén)，在國(guó)內(nèi)有關(guān)技術(shù)及咨詢(xún)機(jī)構(gòu)的幫助、支持下,完成了設(shè)備監(jiān)理制度中有關(guān)規(guī)章的起草工作。此間，世界銀行、國(guó)家開(kāi)發(fā)銀行等亦曾規(guī)定，其貸款的有關(guān)項(xiàng)目要有監(jiān)理公司監(jiān)理，并作為申請(qǐng)貸款的項(xiàng)目單位獲得貸款的基本條件。由此開(kāi)始推行建設(shè)工程監(jiān)理制度，監(jiān)理事業(yè)得到持續(xù)快速發(fā)展，從而積累了一定經(jīng)驗(yàn)，取得了積極成效

9、。發(fā)展至今建立了一套比較完整的監(jiān)理法規(guī)體系，組成了一支規(guī)模較大的監(jiān)理隊(duì)伍，監(jiān)理出一批優(yōu)良的工程項(xiàng)目，監(jiān)理工作在工程建設(shè)中發(fā)揮了重要作用，得到了各級(jí)領(lǐng)導(dǎo)的支持，得到了社會(huì)的普遍認(rèn)可，正逐步向規(guī)范化、制度化、科學(xué)化方向邁進(jìn)。但同時(shí)我國(guó)工程監(jiān)理事業(yè)經(jīng)過(guò)十多年的發(fā)展，雖然取得了一定成績(jī)，但也存在不少問(wèn)題。如：監(jiān)理人員整體素質(zhì)不高、監(jiān)理工作缺位、監(jiān)理取費(fèi)普遍較低、監(jiān)理市場(chǎng)競(jìng)爭(zhēng)機(jī)制不健全、監(jiān)理企業(yè)缺乏自我積累和發(fā)展能力、監(jiān)理責(zé)任不明確、監(jiān)理工作缺乏系統(tǒng)的理論研究、宣傳工作滯后等問(wèn)題比較突出。2、信息系統(tǒng)監(jiān)理的發(fā)展目前信息系統(tǒng)工程的現(xiàn)狀類(lèi)似于二十世紀(jì)八十年代以前建筑工程的狀態(tài)。自1988年建設(shè)部頒布關(guān)于開(kāi)展

10、建設(shè)監(jiān)理工作的通知以后，特別是1996年建設(shè)監(jiān)理全面推行后，建筑工程的質(zhì)量普遍提高，業(yè)主和承建商之間的糾紛普遍減少，凡是出問(wèn)題的工程，監(jiān)理也有問(wèn)題。因此，要求參考建筑工程的管理辦法對(duì)信息工程實(shí)施監(jiān)理的呼聲日益高漲，這既是信息工程用戶(hù)（業(yè)主）的愿望，也是系統(tǒng)集成商的愿望，信息工程市場(chǎng)呼喚“第三方”信息系統(tǒng)工程監(jiān)理的出現(xiàn)。早在1995年，原電子工業(yè)部就出臺(tái)了電子工程建設(shè)監(jiān)理規(guī)定（試行）。1996年，深圳市成立了全國(guó)第一家信息工程質(zhì)量監(jiān)督機(jī)構(gòu)信息工程質(zhì)量監(jiān)督檢驗(yàn)總站。1998年，西安協(xié)同軟件股份有限公司經(jīng)西安技術(shù)監(jiān)督局和西安市科委批準(zhǔn)，獲得“計(jì)算機(jī)管理信息系統(tǒng)工程監(jiān)理”資質(zhì)認(rèn)證，成為國(guó)內(nèi)第一家獲此資

11、格的公司。1999年6月，深圳市政府在國(guó)內(nèi)率先出臺(tái)了包括實(shí)施信息工程監(jiān)理?xiàng)l款在內(nèi)的深圳市信息工程管理辦法，并要求首屆我國(guó)國(guó)際高新技術(shù)成果交易會(huì)信息網(wǎng)絡(luò)工程實(shí)施監(jiān)理。2000年7月，深圳市信息化建設(shè)委員會(huì)辦公室制訂了深圳市信息工程建設(shè)管理辦法實(shí)施意見(jiàn)，要求“市、區(qū)、鎮(zhèn)人民政府及其所屬部門(mén)使用財(cái)政性資金（包括預(yù)算內(nèi)資金、預(yù)算外資金、事業(yè)收入等），投資規(guī)模在100萬(wàn)元以上的信息工程建設(shè)項(xiàng)目必須遵照本實(shí)施意見(jiàn)進(jìn)行立項(xiàng)、招投標(biāo)、監(jiān)理、質(zhì)量監(jiān)督、驗(yàn)收”。2002年7月，北京市信息化工作辦公室制定了北京市信息系統(tǒng)工程監(jiān)理管理辦法（試行），要求“本市推行信息系統(tǒng)工程監(jiān)理制度，建設(shè)單位應(yīng)當(dāng)通過(guò)協(xié)議或者招標(biāo)的方式

12、優(yōu)先選擇具有相應(yīng)資質(zhì)等級(jí)的信息系統(tǒng)工程監(jiān)理單位承擔(dān)監(jiān)理業(yè)務(wù)。各級(jí)財(cái)政全部補(bǔ)助或者部分補(bǔ)助以及為社會(huì)提供公共服務(wù)的重大信息化工程項(xiàng)目必須通過(guò)招標(biāo)的方式選擇信息系統(tǒng)工程監(jiān)理單位，實(shí)行強(qiáng)制監(jiān)理?！?2002年11月，國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局公布設(shè)備監(jiān)理單位資格管理辦法，在該管理辦法的21類(lèi)設(shè)備工程專(zhuān)業(yè)中，涉及信息工程的共有三類(lèi)，即信息網(wǎng)絡(luò)系統(tǒng)、信息資源開(kāi)發(fā)系統(tǒng)和信息應(yīng)用系統(tǒng)。最近，在國(guó)家信息辦和國(guó)家標(biāo)準(zhǔn)管理委員會(huì)直接領(lǐng)導(dǎo)下，信息化系統(tǒng)監(jiān)理規(guī)范化項(xiàng)目正在加緊制定中，并且是作為電子政務(wù)標(biāo)準(zhǔn)化項(xiàng)目的一個(gè)子項(xiàng)目而提出的。預(yù)計(jì)在今年年底，監(jiān)理規(guī)范就要完成，經(jīng)過(guò)試用和修改后，將上升為國(guó)家標(biāo)準(zhǔn)。 2002年12月

13、，信息產(chǎn)業(yè)部在廣泛征求意見(jiàn)和開(kāi)展試點(diǎn)工作的基礎(chǔ)上，正式頒布信息系統(tǒng)工程監(jiān)理暫行規(guī)定，這標(biāo)志著我國(guó)信息工程監(jiān)理開(kāi)始邁向科學(xué)化、專(zhuān)業(yè)化和規(guī)范化，也預(yù)示著在我國(guó)即將出現(xiàn)一個(gè)新的中介服務(wù)行業(yè)，將很快涌現(xiàn)一批監(jiān)理機(jī)構(gòu)和執(zhí)業(yè)人員，從此信息系統(tǒng)工程監(jiān)理工程師也將逐步成為國(guó)民經(jīng)濟(jì)和社會(huì)信息化的“警察”。但我國(guó)的信息系統(tǒng)工程監(jiān)理目前僅僅是處在起步階段，事實(shí)上根據(jù)對(duì)國(guó)內(nèi)信息化應(yīng)用程度較高的行業(yè)部門(mén)（如銀行、證券、保險(xiǎn)、氣象、社保、旅游等）和部分大型企業(yè)（如華北制藥、哈爾濱軸承集團(tuán)、哈爾濱飛機(jī)制造企業(yè)、躍進(jìn)汽車(chē)集團(tuán)、我國(guó)石化等）30個(gè)樣本作為調(diào)查對(duì)象的調(diào)查結(jié)果顯示，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，項(xiàng)目監(jiān)理是個(gè)新概念。只有30%

14、的被調(diào)查者表示在某些信息化項(xiàng)目中使用過(guò)監(jiān)理服務(wù)。在70%未使用過(guò)項(xiàng)目監(jiān)理的被調(diào)查者中，5%表示聽(tīng)說(shuō)過(guò)，95%表示知道建筑工程有監(jiān)理，但在IT信息化項(xiàng)目中引入監(jiān)理還是第一次聽(tīng)說(shuō)。圖1 監(jiān)理服務(wù)內(nèi)容重要程度（引自胡敏市場(chǎng)呼喚項(xiàng)目監(jiān)理）目前，我國(guó)還沒(méi)有一套完善的IT項(xiàng)目監(jiān)理制度，相應(yīng)的監(jiān)理法規(guī)、監(jiān)理內(nèi)容、收費(fèi)標(biāo)準(zhǔn)等也都沒(méi)有制定。特別是收費(fèi)標(biāo)準(zhǔn)問(wèn)題，大多數(shù)用戶(hù)采用協(xié)商解決。以北京城域網(wǎng)項(xiàng)目的監(jiān)理費(fèi)為例，其采用了建筑行業(yè)的監(jiān)理服務(wù)收費(fèi)標(biāo)準(zhǔn)（2%-10%），支付的服務(wù)費(fèi)占整個(gè)項(xiàng)目資金支出的2%。廣大用戶(hù)也反映，項(xiàng)目監(jiān)理的標(biāo)準(zhǔn)如何才能做到公正、科學(xué)，項(xiàng)目監(jiān)理的工作流程是否也應(yīng)該規(guī)范，如何界定和權(quán)衡監(jiān)理公司、

15、用戶(hù)、IT廠商三方利益？監(jiān)理過(guò)程中出了問(wèn)題，該怎么辦？，這一系列問(wèn)題都需要不斷探索。原北京市信息中心主任華平瀾表示，只有使監(jiān)理更加規(guī)范化，才能更好地推進(jìn)監(jiān)理工作，才能使信息系統(tǒng)的建設(shè)更加順利。事實(shí)上，與建筑等其他發(fā)展很成熟的行業(yè)的監(jiān)理相比，對(duì)IT項(xiàng)目的監(jiān)理要難得多。并且由于信息技術(shù)是一個(gè)新興技術(shù)，它本身還在不斷發(fā)展和完善，因此，即使制定出的監(jiān)理的內(nèi)容和標(biāo)準(zhǔn)也不能僵化，需要不斷地變更和完善。（三） 信息系統(tǒng)監(jiān)理的基本理論信息系統(tǒng)監(jiān)理的中心任務(wù)是科學(xué)地規(guī)劃和控制工程項(xiàng)目的投資、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的基本方法是目標(biāo)規(guī)劃、動(dòng)態(tài)控制、組織協(xié)調(diào)和合同管理；監(jiān)理工作貫穿規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)收的全過(guò)程。信

16、息工程監(jiān)理正是通過(guò)投資控制、進(jìn)度控制、質(zhì)量控制以及合同管理和信息管理來(lái)對(duì)工程項(xiàng)目進(jìn)行監(jiān)督和管理，保證工程的順利進(jìn)行和工程質(zhì)量。1、成本控制成本控制的任務(wù)，主要是在建設(shè)前期進(jìn)行可行性研究，協(xié)助建設(shè)單位正確地進(jìn)行投資決策；在設(shè)計(jì)階段對(duì)設(shè)計(jì)方案、設(shè)計(jì)標(biāo)準(zhǔn)、總概（預(yù)）算進(jìn)行審查；在建設(shè)準(zhǔn)備階段協(xié)助確定標(biāo)底和合同造價(jià)；在實(shí)施階段審核設(shè)計(jì)變更，核實(shí)已完成的工程量，進(jìn)行工程進(jìn)度款簽證和索賠控制；在工程竣工階段審核工程結(jié)算。2、進(jìn)度控制進(jìn)度控制首先要在建設(shè)前期通過(guò)周密分析研究確定合理的工期目標(biāo)，并在實(shí)施前將工期要求納入承包合同；在建設(shè)實(shí)施期通過(guò)運(yùn)籌學(xué)、網(wǎng)絡(luò)計(jì)劃技術(shù)等科學(xué)手段，審查、修改實(shí)施組織設(shè)計(jì)和進(jìn)度計(jì)劃，

17、做好協(xié)調(diào)與監(jiān)督，排除干擾，使單項(xiàng)工程及其分階段目標(biāo)工期逐步實(shí)現(xiàn)，最終保證項(xiàng)目建設(shè)總工期的實(shí)現(xiàn)。3、質(zhì)量控制質(zhì)量控制要貫穿在項(xiàng)目建設(shè)從可行性研究、設(shè)計(jì)、建設(shè)準(zhǔn)備、實(shí)施、竣工、啟用及用后維護(hù)的全過(guò)程。主要包括組織設(shè)計(jì)方案評(píng)比，進(jìn)行設(shè)計(jì)方案磋商及圖紙審核，控制設(shè)計(jì)變更；在施工前通過(guò)審查承建單位資質(zhì)等；在施工中通過(guò)多種控制手段檢查監(jiān)督標(biāo)準(zhǔn)、規(guī)范的貫徹；以及通過(guò)階段驗(yàn)收和竣工驗(yàn)收把好質(zhì)量關(guān)等。3、合同管理合同管理是進(jìn)行投資控制、工期控制和質(zhì)量控制的手段。因?yàn)楹贤潜O(jiān)理單位站在公正立場(chǎng)采取各種控制、協(xié)調(diào)與監(jiān)督措施，履行糾紛調(diào)解職責(zé)的依據(jù)，也是實(shí)施三大目標(biāo)控制的出發(fā)點(diǎn)和歸宿。4、信息管理信息管理包括投資控制

18、管理、設(shè)備控制管理、實(shí)施管理及軟件管理。5、協(xié)調(diào)協(xié)調(diào)貫穿在整個(gè)信息系統(tǒng)工程從設(shè)計(jì)到實(shí)施再到驗(yàn)收的全過(guò)程。主要采用現(xiàn)場(chǎng)和會(huì)議方式進(jìn)行協(xié)調(diào)?？傊貎晒芤粎f(xié)調(diào)，構(gòu)成了監(jiān)理工作的主要內(nèi)容。為完滿(mǎn)地完成監(jiān)理基本任務(wù)，監(jiān)理單位首先要協(xié)助建設(shè)單位確定合理、優(yōu)化的三大目標(biāo)，同時(shí)要充分估計(jì)項(xiàng)目實(shí)施過(guò)程中可能遇到的風(fēng)險(xiǎn)，進(jìn)行細(xì)致的風(fēng)險(xiǎn)分析與評(píng)估，研究防止和排除干擾的措施以及風(fēng)險(xiǎn)補(bǔ)救對(duì)策。使三大目標(biāo)及其實(shí)現(xiàn)過(guò)程建立在合理水平和科學(xué)預(yù)測(cè)基礎(chǔ)之上。其次要將既定目標(biāo)準(zhǔn)確、完整、具體地體現(xiàn)在合同條款中，絕不能有含糊、籠統(tǒng)和有漏洞的表述。最后才是在信息工程建設(shè)實(shí)施中進(jìn)行主動(dòng)的、不間斷的、動(dòng)態(tài)的跟蹤和糾偏管理。圖2監(jiān)理內(nèi)容

19、示意圖（四） 信息系統(tǒng)監(jiān)理的主要業(yè)務(wù)和依據(jù)1、信息系統(tǒng)監(jiān)理的主要業(yè)務(wù)信息系統(tǒng)監(jiān)理的主要業(yè)務(wù)范圍有信息網(wǎng)絡(luò)系統(tǒng)、信息資源系統(tǒng)、信息應(yīng)用系統(tǒng)的新建、升級(jí)、改造工程。根據(jù)國(guó)內(nèi)信息系統(tǒng)監(jiān)理的實(shí)踐，其涵蓋計(jì)算機(jī)工程、網(wǎng)絡(luò)工程、通信工程、結(jié)構(gòu)化布線工程、智能大廈工程、軟件工程、系統(tǒng)集成工程以及有關(guān)計(jì)算機(jī)和信息化建設(shè)的工程及項(xiàng)目。其業(yè)務(wù)內(nèi)容具體如下：Ø 幫助建設(shè)單位做好項(xiàng)目需求分析，協(xié)助建設(shè)單位選擇合適的承建單位；Ø 審定承建單位的開(kāi)工報(bào)告、系統(tǒng)實(shí)施方案、施工進(jìn)度計(jì)劃；Ø 對(duì)項(xiàng)目實(shí)施的各個(gè)階段進(jìn)行有效的監(jiān)督和控制，幫助建設(shè)單位控制工程進(jìn)度、投資和質(zhì)量；Ø 審查和處理工

20、程變更；Ø 參與工程質(zhì)量和其他事故調(diào)查；Ø 調(diào)解建設(shè)單位與承包單位的合同爭(zhēng)議，處理索賠、審批工程延期；Ø 組織進(jìn)行竣工驗(yàn)收測(cè)試。Ø 組織建設(shè)單位和承建單位完成工程移交。2、信息系統(tǒng)監(jiān)理的依據(jù)信息系統(tǒng)監(jiān)理的依據(jù)如下：Ø 國(guó)務(wù)院頒發(fā)的質(zhì)量振興綱要；Ø 現(xiàn)行國(guó)家、各省、市、自治區(qū)的有關(guān)法律、法規(guī)、規(guī)定；Ø 國(guó)際、國(guó)內(nèi)IT行業(yè)質(zhì)量標(biāo)準(zhǔn)規(guī)范；Ø 建設(shè)單位和承建單位的合同；Ø 將來(lái)還有國(guó)家標(biāo)準(zhǔn)，例如信息化工程監(jiān)理規(guī)范等。（五） 信息系統(tǒng)監(jiān)理的程序組建監(jiān)理機(jī)構(gòu)編制監(jiān)理計(jì)劃編制監(jiān)理細(xì)則實(shí)施監(jiān)理參與驗(yàn)收并簽署監(jiān)理意見(jiàn)提交監(jiān)

21、理檔案資料完成監(jiān)理圖3 信息系統(tǒng)監(jiān)理的程序信息系統(tǒng)工程監(jiān)理的特點(diǎn)是全過(guò)程監(jiān)理，主要包括四個(gè)階段的監(jiān)理工作：招投標(biāo)階段、設(shè)計(jì)階段、實(shí)施階段、驗(yàn)收階段。監(jiān)理的目標(biāo)、方法和程序都體現(xiàn)在這四個(gè)階段的監(jiān)理工作中。三、 信息系統(tǒng)審計(jì)（一） 信息系統(tǒng)審計(jì)概念信息系統(tǒng)審計(jì)是全部審計(jì)過(guò)程的一個(gè)部分，信息系統(tǒng)審計(jì)（IS audit）目前還沒(méi)有固定通用的定義，美國(guó)信息系統(tǒng)審計(jì)的權(quán)威專(zhuān)家Ron Weber將它定義為“收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”。信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。其關(guān)注之處可被分為如下三類(lèi)：

22、6; 可用性商業(yè)高度依賴(lài)的信息系統(tǒng)能否在任何需要的時(shí)刻提供服務(wù)？信息系統(tǒng)是否被完好保護(hù)以應(yīng)對(duì)各種的損失和災(zāi)難？Ø 保密性系統(tǒng)保存的信息是否僅對(duì)需要這些信息的人員開(kāi)放，而不對(duì)其他任何人開(kāi)放？Ø 完整性信息系統(tǒng)提供的信息是否始終保持正確、可信、及時(shí)？能否防止未授權(quán)的對(duì)系統(tǒng)數(shù)據(jù)和軟件的修改？（二） 信息系統(tǒng)審計(jì)產(chǎn)生動(dòng)因及其發(fā)展1、信息系統(tǒng)審計(jì)產(chǎn)生動(dòng)因分析關(guān)于信息系統(tǒng)審計(jì)的產(chǎn)生動(dòng)因，目前國(guó)際上存在兩種觀點(diǎn)：一種觀點(diǎn)認(rèn)為是從會(huì)計(jì)審計(jì)發(fā)展到計(jì)算機(jī)審計(jì)再發(fā)展到信息系統(tǒng)審計(jì)（計(jì)算機(jī)審計(jì)的范圍擴(kuò)展，最后涵蓋整個(gè)信息系統(tǒng)）演變過(guò)來(lái)的；另外一種認(rèn)為由于信息系統(tǒng)尤其是大型信息系統(tǒng)的建設(shè)是一項(xiàng)龐大的

23、系統(tǒng)工程，它投資大、周期長(zhǎng)、高技術(shù)、高風(fēng)險(xiǎn)，在系統(tǒng)的建設(shè)過(guò)程中，對(duì)工程進(jìn)行嚴(yán)格、規(guī)范的管理和控制至關(guān)重要。而正是由于信息系統(tǒng)工程所具有的這些特點(diǎn)，建設(shè)單位往往由于技術(shù)力量有限，無(wú)力對(duì)項(xiàng)目的技術(shù)、設(shè)備、進(jìn)度、質(zhì)量和風(fēng)險(xiǎn)進(jìn)行控制，無(wú)法保證項(xiàng)目的實(shí)施成功。所以需要有第三方進(jìn)行獨(dú)立審計(jì)。2、信息系統(tǒng)審計(jì)在國(guó)際上的發(fā)展信息系統(tǒng)審計(jì)的發(fā)展是伴隨著信息技術(shù)的發(fā)展而發(fā)展的。在數(shù)據(jù)處理電算化的初期，由于人們對(duì)計(jì)算機(jī)在數(shù)據(jù)處理中的應(yīng)用所產(chǎn)生的影響沒(méi)有足夠的認(rèn)識(shí)，認(rèn)為計(jì)算機(jī)處理數(shù)據(jù)準(zhǔn)確可靠，不會(huì)出現(xiàn)錯(cuò)弊，因而很少對(duì)數(shù)據(jù)處理系統(tǒng)進(jìn)行審計(jì)，主要是對(duì)計(jì)算機(jī)打印出的一部分資料進(jìn)行傳統(tǒng)的手工審計(jì)。隨著計(jì)算機(jī)在數(shù)據(jù)處理系統(tǒng)中應(yīng)

24、用的逐步擴(kuò)大，利用計(jì)算機(jī)犯罪的案件不斷出現(xiàn)，使審計(jì)人員認(rèn)識(shí)到要應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)對(duì)電子數(shù)據(jù)處理系統(tǒng)本身進(jìn)行審計(jì)，即EDI審計(jì)。同時(shí)隨著社會(huì)經(jīng)濟(jì)的發(fā)展，審計(jì)對(duì)象、范圍越來(lái)越大，審計(jì)業(yè)務(wù)也越來(lái)越復(fù)雜，利用傳統(tǒng)的手工方法已不能及時(shí)完成審計(jì)任務(wù)，必須應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）進(jìn)行審計(jì)。八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及，使得企業(yè)越來(lái)越依賴(lài)信息及產(chǎn)生信息的信息系統(tǒng)。人們開(kāi)始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)審計(jì)才出現(xiàn)。隨著電子商務(wù)的全球普及，信息系統(tǒng)的審計(jì)對(duì)象、范圍及內(nèi)容將逐漸擴(kuò)大，采用的技術(shù)也將日益復(fù)雜。到目前為止，信息系

25、統(tǒng)審計(jì)在全球來(lái)看，還是一個(gè)新的業(yè)務(wù)，從美國(guó)五大會(huì)計(jì)師事務(wù)所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計(jì)師12名到近百名，1995年已有500名，到2000年時(shí)，信息系統(tǒng)審計(jì)師正以40%50%的速度增加，說(shuō)明信息系統(tǒng)審計(jì)正逐漸受到重視。美國(guó)在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí)就開(kāi)始提出系統(tǒng)審計(jì)（SYSTEM AUDIT），從成立電子數(shù)據(jù)處理審計(jì)協(xié)會(huì)（EDPAA后更名為ISACA）以來(lái)，從事系統(tǒng)審計(jì)活動(dòng)已有三十多年歷史，成為信息系統(tǒng)審計(jì)的主要推動(dòng)者，在全球建有一百多個(gè)分會(huì)，推出了一系列信息系統(tǒng)審計(jì)準(zhǔn)則、職業(yè)道德準(zhǔn)則等規(guī)范性文件，并開(kāi)展了大量的理論研究，IT控制的開(kāi)放式標(biāo)準(zhǔn)COBIT（Control Objectives

26、for Information and Related Technology ）已出版了第三版。3、信息系統(tǒng)審計(jì)在國(guó)內(nèi)的發(fā)展目前國(guó)內(nèi)有學(xué)者提出計(jì)算機(jī)審計(jì)，電算化審計(jì)，但基本上停留在對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)上，延伸手工會(huì)計(jì)信息系統(tǒng)審計(jì)，尚未全面探討信息時(shí)代給審計(jì)業(yè)務(wù)帶來(lái)的深刻變化。以我國(guó)在1999年頒布了獨(dú)立審計(jì)準(zhǔn)則第20號(hào)計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)為例，其更多關(guān)注的是會(huì)計(jì)信息系統(tǒng)。在信息時(shí)代，面對(duì)加入WTO后全球一體化市場(chǎng)，我國(guó)IT服務(wù)業(yè)面臨巨大的挑戰(zhàn)，開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)不失為推動(dòng)我國(guó)IT服務(wù)業(yè)發(fā)展的一次絕佳機(jī)會(huì)。（三） 信息系統(tǒng)審計(jì)的理論基礎(chǔ)信息系統(tǒng)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡(jiǎn)單擴(kuò)展，信息技術(shù)

27、不單影響傳統(tǒng)審計(jì)人員執(zhí)行鑒證業(yè)務(wù)的能力，更重要的是公司和信息系統(tǒng)管理者都認(rèn)識(shí)到信息資產(chǎn)是組織最有價(jià)值的資產(chǎn)，和傳統(tǒng)資產(chǎn)一樣需要控制，組織同時(shí)需要審計(jì)人員提供對(duì)信息資產(chǎn)控制的評(píng)價(jià)。因此信息系統(tǒng)審計(jì)是一門(mén)邊緣性學(xué)科，跨越多學(xué)科領(lǐng)域。如圖3所示，信息系統(tǒng)審計(jì)是建立在四個(gè)理論基礎(chǔ)之上的：Ø 傳統(tǒng)審計(jì)理論。傳統(tǒng)審計(jì)理論為信息系統(tǒng)審計(jì)提供了豐富的內(nèi)部控制理論與實(shí)踐經(jīng)驗(yàn)，以保證所有交易數(shù)據(jù)都被正確處理。同時(shí)收集并評(píng)價(jià)證據(jù)的方法論也在信息系統(tǒng)審計(jì)中廣泛應(yīng)用，最為重要的是傳統(tǒng)審計(jì)給信息系統(tǒng)審計(jì)帶來(lái)的控制哲學(xué)，即用謹(jǐn)慎的眼光審視信息系統(tǒng)在保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。

28、6; 信息系統(tǒng)管理理論。信息系統(tǒng)管理理論是一門(mén)關(guān)于如何更好地管理信息系統(tǒng)的開(kāi)發(fā)與運(yùn)行過(guò)程的理論，它的發(fā)展提高了系統(tǒng)保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。Ø 行為科學(xué)理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié)，信息系統(tǒng)有時(shí)會(huì)因?yàn)槿说膯?wèn)題而失敗，比如對(duì)系統(tǒng)不滿(mǎn)的用戶(hù)故意破壞系統(tǒng)及其控制。因此審計(jì)人員必須了解哪些行為因素可能導(dǎo)致系統(tǒng)失敗。這方面行為科學(xué)特別是組織學(xué)理論解釋了組織中產(chǎn)生的“人的問(wèn)題”。Ø 計(jì)算機(jī)科學(xué)。計(jì)算機(jī)科學(xué)本身的發(fā)展也在關(guān)注如何保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)。但是技術(shù)是一把雙刃劍，計(jì)算機(jī)科學(xué)的發(fā)展可以使審計(jì)人員降低對(duì)系統(tǒng)組件可靠性

29、的關(guān)注，信息技術(shù)的進(jìn)步也可能啟發(fā)犯罪，例如一個(gè)重要的問(wèn)題是信息技術(shù)在會(huì)計(jì)制度中的應(yīng)用是否給罪犯提供了較多緩沖時(shí)間？如果是，那么今天網(wǎng)絡(luò)犯罪產(chǎn)生的社會(huì)威脅較以往任何時(shí)候都要大。圖3 ：IS審計(jì)的理論基礎(chǔ)IS審計(jì)傳統(tǒng)審計(jì)信息系統(tǒng)管理計(jì)算機(jī)科學(xué)行為科學(xué)（四） 信息系統(tǒng)審計(jì)的基本業(yè)務(wù)和依據(jù)1、信息系統(tǒng)審計(jì)的基本業(yè)務(wù)信息系統(tǒng)審計(jì)業(yè)務(wù)將隨著信息技術(shù)的發(fā)展而發(fā)展，為滿(mǎn)足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容，目前其基本業(yè)務(wù)如下：Ø 系統(tǒng)開(kāi)發(fā)審計(jì)，包括開(kāi)發(fā)過(guò)程的審計(jì)、開(kāi)發(fā)方法的審計(jì)，為IT規(guī)劃指導(dǎo)委員會(huì)及變革控制委員會(huì)提供咨詢(xún)服務(wù)；Ø 主要數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計(jì)，包括財(cái)務(wù)系

30、統(tǒng)和非財(cái)務(wù)系統(tǒng)的應(yīng)用審計(jì)；Ø 支持其他審計(jì)人員的工作，為財(cái)務(wù)審計(jì)人員與經(jīng)營(yíng)審計(jì)人員提供技術(shù)支持和培訓(xùn)；Ø 為組織提供增值服務(wù)，為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導(dǎo)；推動(dòng)風(fēng)險(xiǎn)自評(píng)估程序的執(zhí)行；Ø 軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計(jì)；Ø 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃審計(jì)；Ø 對(duì)系統(tǒng)運(yùn)營(yíng)效能、投資回報(bào)率及應(yīng)用開(kāi)發(fā)測(cè)試審計(jì)；Ø 系統(tǒng)的安全審計(jì)；Ø 網(wǎng)站的信譽(yù)審計(jì)；Ø 全面控制審計(jì)等。一個(gè)信息系統(tǒng)不等同于一臺(tái)計(jì)算機(jī)。今天的信息系統(tǒng)是復(fù)雜的，由多個(gè)部分組成以做出商業(yè)解決方案。只有各個(gè)組成部

31、分通過(guò)了評(píng)估，判定安全，才能保證整個(gè)信息系統(tǒng)的正常工作。對(duì)一個(gè)信息系統(tǒng)審計(jì)的主要組成部分分成以下幾類(lèi)：Ø 信息系統(tǒng)的管理、規(guī)劃與組織評(píng)價(jià)信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。Ø 信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)評(píng)價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo).Ø 資產(chǎn)的保護(hù)對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其能支持組織保護(hù)信息資產(chǎn)的需要, 防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。Ø 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃這些計(jì)劃是在發(fā)生災(zāi)難時(shí)，能夠使組織持續(xù)進(jìn)行業(yè)

32、務(wù),對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。Ø 應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿(mǎn)足組織的業(yè)務(wù)目標(biāo)。Ø 業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理評(píng)估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。2、信息系統(tǒng)審計(jì)的依據(jù)信息系統(tǒng)審計(jì)師須了解規(guī)劃、執(zhí)行及完成審計(jì)工作的步驟與技術(shù)，并盡量遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則、控制目標(biāo)和其他法律與規(guī)定。Ø 一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則包括職業(yè)準(zhǔn)則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準(zhǔn)則可歸類(lèi)為：審計(jì)規(guī)章、獨(dú)立性、職業(yè)道德及規(guī)范、專(zhuān)業(yè)能力、規(guī)

33、劃、審計(jì)工作的執(zhí)行、報(bào)告、期后審計(jì)。ISACA公告是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)對(duì)信息系統(tǒng)審計(jì)一般準(zhǔn)則所做的說(shuō)明。ISACA職業(yè)道德及規(guī)范提供針對(duì)協(xié)會(huì)會(huì)員或信息系統(tǒng)審計(jì)認(rèn)證（CISA）持有者有關(guān)職業(yè)上及個(gè)人的指導(dǎo)規(guī)范。Ø 信息系統(tǒng)的控制目標(biāo)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年公布的COBIT（Control Objectives for Information and related Technology）被國(guó)際上公認(rèn)是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，以滿(mǎn)足管理的多方面需要。面向業(yè)務(wù)是COBIT的主題。

34、它不僅設(shè)計(jì)用于用戶(hù)和審計(jì)師，而且更重要的是可用于全面指導(dǎo)管理者與業(yè)務(wù)過(guò)程的所有者。商業(yè)實(shí)踐中越來(lái)越多的包含了對(duì)業(yè)務(wù)過(guò)程所有者的全面授權(quán)，因此他們承擔(dān)著業(yè)務(wù)過(guò)程所有方面的全部責(zé)任。特別的是，這其中包含著要提供足夠的控制。Cobit 框架為業(yè)務(wù)過(guò)程所有者提供了一個(gè)工具，以方便他們承擔(dān)責(zé)任。其框架包括四大部分：架構(gòu)、控制目標(biāo)、審計(jì)指南及執(zhí)行概要。COBIT架構(gòu)著重各項(xiàng)處理的高層次控制，控制目標(biāo)則著重于各項(xiàng)IT處理或?qū)υ摷軜?gòu)所包括的34項(xiàng)IT處理的特定詳細(xì)控制目標(biāo)，每一項(xiàng)IT處理都有5至25個(gè)詳細(xì)控制目標(biāo)，控制目標(biāo)使整體架構(gòu)和詳細(xì)控制目標(biāo)密切對(duì)應(yīng)，相互一致。詳細(xì)控制目標(biāo)有18種主要來(lái)源，涵蓋現(xiàn)行的及法

35、定有關(guān)IT的國(guó)際性準(zhǔn)則與規(guī)定。這包括對(duì)各項(xiàng)IT工作所建置的控制程序擬達(dá)到的預(yù)期結(jié)果或目標(biāo)的敘述，以提供全球所有的產(chǎn)業(yè)有關(guān)IT控制的明確方針及實(shí)際最佳的應(yīng)用。Ø 其他法律及規(guī)定。每個(gè)組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè)，都需要遵守政府或外部對(duì)與電腦系統(tǒng)運(yùn)作、控制，及電腦、程序、信息的使用情況等有關(guān)的規(guī)定或要求，對(duì)于一向受?chē)?yán)格管制的行業(yè)，尤其要注意遵守。以國(guó)際性銀行為例，若因不良備份及復(fù)原程序而無(wú)法提供適當(dāng)?shù)姆?wù)水準(zhǔn)，其公司及員工將受?chē)?yán)重處罰。此外，由于對(duì)EDP及信息系統(tǒng)的依賴(lài)性加重，許多國(guó)家極力建立更多有關(guān)信息系統(tǒng)審計(jì)的規(guī)定。這些規(guī)定內(nèi)容是關(guān)于建置、組織、責(zé)任與財(cái)務(wù)及業(yè)務(wù)操作審計(jì)功能的關(guān)聯(lián)性

36、。有關(guān)的管理階層人員必須考慮與組織目標(biāo)、計(jì)劃及與信息服務(wù)部門(mén)/職能/工作的責(zé)任及工作等有關(guān)的外部規(guī)定或要求。（五） 信息系統(tǒng)審計(jì)流程開(kāi)始審計(jì)工作的準(zhǔn)備包括收集背景信息，估計(jì)完成審計(jì)需要的資源和技巧。包括合理進(jìn)行人員分工。與負(fù)責(zé)的高級(jí)經(jīng)理舉行一次正式的開(kāi)始審計(jì)會(huì)議，最后決定范圍，理解特別關(guān)注之處，如果有的話(huà)，制定日程，解釋審計(jì)方法。這樣的會(huì)議有高級(jí)經(jīng)理的參與，使人們互相認(rèn)識(shí)，闡明問(wèn)題強(qiáng)調(diào)商業(yè)關(guān)注點(diǎn)，使得審計(jì)工作得以順利進(jìn)行。類(lèi)似的，在審計(jì)完成后，也召開(kāi)一次正式會(huì)議，向高級(jí)經(jīng)理交流審計(jì)結(jié)果，提出改進(jìn)建議。這將確保進(jìn)一步的理解，增加審計(jì)建議的接納程度。也給了被審計(jì)者一個(gè)機(jī)會(huì)來(lái)表達(dá)他們對(duì)提出問(wèn)題的觀點(diǎn)

37、。會(huì)議之后書(shū)寫(xiě)報(bào)告，可以大大增加審計(jì)的效果。開(kāi)始審計(jì)工作預(yù)備工作了解內(nèi)部控制結(jié)構(gòu)評(píng)價(jià)控制風(fēng)險(xiǎn)是否信賴(lài)內(nèi)部控制？是否仍可信賴(lài)內(nèi)部控制？?jī)?nèi)部控制測(cè)試評(píng)價(jià)控制風(fēng)險(xiǎn)是否提高內(nèi)部控制的信賴(lài)程度？擴(kuò)大實(shí)質(zhì)性測(cè)試有限的實(shí)質(zhì)性測(cè)試形成審計(jì)意見(jiàn)出具審計(jì)報(bào)告是否是是否結(jié)束否（六） 基于風(fēng)險(xiǎn)的審計(jì)方法很多組織意識(shí)到技術(shù)能帶來(lái)的潛在好處。然而，成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險(xiǎn)。因此，審計(jì)從基于控制（Control-Based）演變?yōu)榛陲L(fēng)險(xiǎn)（Risk-Based）的方法,其內(nèi)涵包括企業(yè)風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)溝通。每個(gè)組織使用許多信息系統(tǒng)。對(duì)不同功能和活動(dòng)有不同的應(yīng)用軟件，在不同

38、的地理區(qū)域可能有眾多的計(jì)算機(jī)配置。審計(jì)者面臨的問(wèn)題是審計(jì)什么，什么時(shí)候及審計(jì)頻率。其答案是接納基于風(fēng)險(xiǎn)的方法。信息系統(tǒng)有著與生俱來(lái)的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)用不同方式?jīng)_擊信息系統(tǒng)。對(duì)繁忙的零售超市，信息系統(tǒng)哪怕一個(gè)小時(shí)的不可用都會(huì)對(duì)營(yíng)業(yè)系統(tǒng)造成嚴(yán)重影響。未授權(quán)的修改可能造成對(duì)在線銀行系統(tǒng)的欺詐及潛在損失。系統(tǒng)運(yùn)行的技術(shù)環(huán)境也可能影響系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)?；陲L(fēng)險(xiǎn)方法來(lái)進(jìn)行審計(jì)的步驟是：Ø 編制組織使用的信息系統(tǒng)清單并對(duì)其進(jìn)行分類(lèi)。Ø 決定哪些系統(tǒng)影響關(guān)鍵功能和資產(chǎn)。Ø 評(píng)估哪些風(fēng)險(xiǎn)影響這些系統(tǒng)及對(duì)商業(yè)運(yùn)做的沖擊。Ø 在上述評(píng)估的基礎(chǔ)上對(duì)系統(tǒng)分級(jí)，決定審計(jì)優(yōu)先值，資源，進(jìn)

39、度和頻率。審計(jì)者可以制定年度審計(jì)計(jì)劃，羅列出一年之中要進(jìn)行的審計(jì)項(xiàng)目。四、 信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)之對(duì)比分析從前面兩部分的介紹可知，信息系統(tǒng)審計(jì)在國(guó)際上已經(jīng)體系化、標(biāo)準(zhǔn)化、程序化，而我國(guó)信息系統(tǒng)監(jiān)理僅有最基本的輪廓，積累了一些經(jīng)驗(yàn)，但尚沒(méi)有形成完整的方法論。因此，目前只能從概念、發(fā)展動(dòng)因等方面做較為寬泛的對(duì)比。不過(guò)，對(duì)比國(guó)際通用體系，可為我國(guó)發(fā)展信息系統(tǒng)監(jiān)管體系以及制定相應(yīng)的管理制度或?qū)嵤┘?xì)則提供借鑒。信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)之對(duì)比，可歸納出以下特點(diǎn)：（一） 兩者性質(zhì)相同，都是第三方監(jiān)督，但對(duì)獨(dú)立性的要求有差別。兩者都是立足在第三方的立場(chǎng)，公平對(duì)待委托方與被監(jiān)督方，并要求確保公正性、公平

40、性，以北京市信息系統(tǒng)工程監(jiān)理管理辦法為例，其第十四條是“信息系統(tǒng)工程監(jiān)理單位應(yīng)當(dāng)客觀、公平、公正地執(zhí)行監(jiān)理任務(wù)”，但是對(duì)這一行業(yè)賴(lài)以存在并得以發(fā)展的信條和靈魂獨(dú)立性沒(méi)做明確要求。而信息系統(tǒng)審計(jì)對(duì)第三方的超然獨(dú)立要求極其嚴(yán)格，也因此在保證客觀、公正上更有可操作性。客觀公正應(yīng)當(dāng)是每個(gè)信息系統(tǒng)審計(jì)師和監(jiān)理工程師職業(yè)道德方面追求的最高目標(biāo)，但是人們很難衡量其在執(zhí)行業(yè)務(wù)時(shí)是否已經(jīng)達(dá)到了客觀公正，如果只作精神上的要求，那么準(zhǔn)則和要求將變成牧師的布道，職業(yè)人員很難執(zhí)行，社會(huì)公眾很難觀察，所以信息系統(tǒng)審計(jì)準(zhǔn)則中有關(guān)于審計(jì)師獨(dú)立性的要求。有關(guān)獨(dú)立性問(wèn)題的系統(tǒng)研究當(dāng)首推羅伯特.K.莫茨（R.K.Mautz）和侯賽

41、因.A.夏拉夫（H.A.sharaf）1961年出版的審計(jì)哲學(xué)（The philosophy of Auditing）。其中對(duì)獨(dú)立性的討論包含了兩個(gè)方面：執(zhí)業(yè)者的獨(dú)立性(Practitioner-independence)和職業(yè)的獨(dú)立性（Profession-independence）。前者包括審計(jì)計(jì)劃的獨(dú)立性、審計(jì)過(guò)程的獨(dú)立性和審計(jì)報(bào)告的獨(dú)立性；后者則是指社會(huì)公眾對(duì)注冊(cè)會(huì)計(jì)師行業(yè)的一種印象。曾任美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)職業(yè)道德委員會(huì)主席的托馬斯.G.希金斯（Thomas G Higgins）在1962年對(duì)獨(dú)立性的概念又進(jìn)行了進(jìn)一步的提升與概括，他認(rèn)為：“注冊(cè)會(huì)計(jì)師必須擁有的獨(dú)立性，實(shí)際上有兩種，實(shí)

42、質(zhì)上的獨(dú)立性和形式上的獨(dú)立性”。所謂形式上的獨(dú)立性，是指注冊(cè)會(huì)計(jì)師必須與被審查企業(yè)或個(gè)人沒(méi)有任何特殊的利益關(guān)系，如不得擁有被審查企業(yè)股權(quán)或擔(dān)任其高級(jí)職務(wù)，不能是企業(yè)的主要貸款人、資產(chǎn)受托人或與管理當(dāng)局有親屬關(guān)系，等等。否則，就會(huì)影響注冊(cè)會(huì)計(jì)師公正地執(zhí)行業(yè)務(wù)。形式上的獨(dú)立性又可進(jìn)一步分為組織上的獨(dú)立性、經(jīng)濟(jì)上的獨(dú)立性與人員上的獨(dú)立性三種。所謂實(shí)質(zhì)上的獨(dú)立性，又稱(chēng)為精神獨(dú)立性，即認(rèn)為獨(dú)立性是一種精神狀態(tài)、一種自信心以及在判斷時(shí)不依賴(lài)和屈從于外界的壓力和影響。它要求注冊(cè)會(huì)計(jì)師在執(zhí)業(yè)過(guò)程中嚴(yán)格保持超然性，不能主觀袒護(hù)任何一方當(dāng)事人，尤其不應(yīng)使自己的結(jié)論依附或屈從于持反對(duì)意見(jiàn)利益集團(tuán)或人士的影響和壓力。

43、由上可知，實(shí)質(zhì)上的獨(dú)立性是無(wú)形的，通常是難以觀察和度量的，而形式上的獨(dú)立性則是有形的和可以觀察的。社會(huì)公眾通常是透過(guò)注冊(cè)會(huì)計(jì)師形式上的獨(dú)立性來(lái)推測(cè)其實(shí)質(zhì)上的獨(dú)立性。因此，從這個(gè)意義上來(lái)說(shuō)，形式上的獨(dú)立性是實(shí)質(zhì)上的獨(dú)立性的載體和重要前提。由此可見(jiàn)，形式上獨(dú)立很重要，因?yàn)樗芎媒缍?，便于?zhǔn)則規(guī)范，在現(xiàn)實(shí)環(huán)境中有很好的可執(zhí)行性。因此我們認(rèn)為，信息系統(tǒng)監(jiān)理行業(yè)如果不能在獨(dú)立性的制度建設(shè)上取得重大突破，整個(gè)行業(yè)的社會(huì)信任度大打折扣，而誠(chéng)信和道德水準(zhǔn)的提升對(duì)制度缺陷的修正也會(huì)很難在實(shí)質(zhì)上取得成效。信息系統(tǒng)監(jiān)理行業(yè)發(fā)展中所面臨的各種問(wèn)題都很重要，但圍繞信息系統(tǒng)監(jiān)理職業(yè)獨(dú)立性的建設(shè)可能是各項(xiàng)工作中的重中之重。

44、（本文對(duì)注冊(cè)會(huì)計(jì)師的討論同樣適用于信息系統(tǒng)審計(jì)師）。（二） 國(guó)外信息系統(tǒng)審計(jì)已經(jīng)發(fā)展為較完善的行業(yè)監(jiān)督體系。目前國(guó)內(nèi)信息系統(tǒng)審計(jì)剛剛起步，而信息工程監(jiān)理還不夠規(guī)范。國(guó)家缺乏相應(yīng)的法律、法規(guī)和標(biāo)準(zhǔn)，至今還沒(méi)有有效的管理手段，在委托方和被委托方之間也沒(méi)有一種協(xié)調(diào)的機(jī)制來(lái)建立兩者之間的信任。并且我國(guó)行業(yè)不規(guī)范的責(zé)任往往被輕易地歸咎于政府監(jiān)管的不力；同樣輕易得到的結(jié)論，是因此要“加強(qiáng)監(jiān)管機(jī)構(gòu)的權(quán)力和范圍”。美國(guó)的會(huì)計(jì)行業(yè)規(guī)范不是這么一種邏輯。在規(guī)范行業(yè)行為中，政府監(jiān)管是一個(gè)重要的輔助措施；而真正起決定性作用的，是市場(chǎng)中的制衡力量，以及為這些制衡力量切實(shí)發(fā)揮作用而形成的各種正式或非正式的制度安排。美國(guó)注

45、冊(cè)會(huì)計(jì)師行業(yè)的管理機(jī)制行業(yè)自我管理和外部約束向結(jié)合發(fā)揮了重要作用。行業(yè)自我管理是通過(guò)行業(yè)組織、準(zhǔn)則和規(guī)則、監(jiān)督來(lái)實(shí)現(xiàn)的，行業(yè)外部約束通過(guò)政府組織、準(zhǔn)則和規(guī)則、監(jiān)督和實(shí)施來(lái)實(shí)現(xiàn)。如美國(guó)國(guó)會(huì)和SEC監(jiān)管下的行業(yè)自律。外部監(jiān)管以加強(qiáng)管制的可能性來(lái)對(duì)行業(yè)施加約束。而較強(qiáng)的行政管制，將在很大程度上限制會(huì)計(jì)行業(yè)自主發(fā)展的權(quán)利和業(yè)務(wù)拓展空間，損害所有從業(yè)者的利益，因此行業(yè)總體上需要以行業(yè)自律來(lái)?yè)Q取行業(yè)自我管制。如果行業(yè)不能自律，公眾要求國(guó)會(huì)加強(qiáng)行政管制的壓力使得這種可能性現(xiàn)實(shí)存在。（三） 兩者業(yè)務(wù)范圍和目的均有所差別。信息系統(tǒng)工程監(jiān)理和信息系統(tǒng)審計(jì)都是對(duì)質(zhì)量控制的再控制，但兩者業(yè)務(wù)范圍和目的均有所差別。1、

46、兩者業(yè)務(wù)范圍差別信息系統(tǒng)工程監(jiān)理是指具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，接受建設(shè)單位的委托，依據(jù)國(guó)家和本市有關(guān)規(guī)定、信息系統(tǒng)工程建設(shè)標(biāo)準(zhǔn)和工程承建、監(jiān)理合同，對(duì)信息系統(tǒng)工程的質(zhì)量、進(jìn)度和投資方面實(shí)施監(jiān)督。目前主要應(yīng)用在信息化工程建設(shè)階段。信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。它是立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過(guò)程都在審計(jì)師的業(yè)務(wù)之內(nèi)。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如信息系統(tǒng)安全審計(jì)、網(wǎng)譽(yù)審計(jì)、PKI/CA審計(jì)、電子簽名審計(jì)業(yè)務(wù)等。2、兩者目的差別信息系統(tǒng)工

47、程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進(jìn)度和投資額滿(mǎn)足建設(shè)要求。監(jiān)理活動(dòng)隨著工程的完成而結(jié)束。信息系統(tǒng)審計(jì)的目的是合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其核心是信息系統(tǒng)的效率、效果。不僅包括對(duì)建設(shè)過(guò)程的審計(jì)，更重要的是對(duì)信息系統(tǒng)的運(yùn)營(yíng)審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。只要信息系統(tǒng)在運(yùn)行，審計(jì)活動(dòng)一直存在。另外，信息系統(tǒng)工程監(jiān)理的過(guò)程是可見(jiàn)的，即對(duì)項(xiàng)目成本、進(jìn)度和質(zhì)量與目標(biāo)出現(xiàn)的偏差是可見(jiàn)的，及時(shí)糾正也方便。但信息系統(tǒng)審計(jì)對(duì)信息系統(tǒng)的安全性

48、、可靠性與有效性的認(rèn)定具有不可見(jiàn)性，這也正是信息系統(tǒng)比工程項(xiàng)目復(fù)雜的主要原因。信息系統(tǒng)建設(shè)完畢，這僅僅是信息化的開(kāi)始，大量的問(wèn)題將出現(xiàn)在信息系統(tǒng)運(yùn)維階段，因此，從這個(gè)角度而言，信息系統(tǒng)審計(jì)是保證信息系統(tǒng)質(zhì)量的行之有效的方法。（四） 信息系統(tǒng)審計(jì)與方法研究具有科學(xué)化、規(guī)范化、智能化和系統(tǒng)化的特點(diǎn)。所謂科學(xué)化，是指現(xiàn)代審計(jì)技術(shù)與方法的研究，已經(jīng)超越了傳統(tǒng)的經(jīng)驗(yàn)論，非常強(qiáng)調(diào)把科學(xué)手段和經(jīng)驗(yàn)總結(jié)相結(jié)合。比較典型的例子就是分析性復(fù)核技術(shù)的發(fā)展。所謂分析性復(fù)核，其實(shí)質(zhì)就是將審計(jì)人員掌握的一些客觀規(guī)律總結(jié)出來(lái)，測(cè)算出被審計(jì)事項(xiàng)的合理預(yù)期值，再與被審計(jì)事項(xiàng)的實(shí)際值相比較，進(jìn)一步評(píng)估差異的合理性之后，確定是否還

49、需要對(duì)被審計(jì)事項(xiàng)進(jìn)行詳細(xì)測(cè)試。這一個(gè)過(guò)程，實(shí)際上被許多審計(jì)人員不自覺(jué)地運(yùn)用了多年，但通過(guò)公式和比率等形式總結(jié)出來(lái)，主動(dòng)指導(dǎo)審計(jì)人員的實(shí)踐，卻是最近年來(lái)審計(jì)技術(shù)與方法研究的一大突出特點(diǎn)?？茖W(xué)化的另一個(gè)表現(xiàn)就是數(shù)學(xué)和統(tǒng)計(jì)學(xué)技術(shù)在審計(jì)中的運(yùn)用日益廣泛，抽樣統(tǒng)計(jì)技術(shù)的全面推廣就是例證。所謂規(guī)范化，是指審計(jì)機(jī)構(gòu)將審計(jì)程序設(shè)計(jì)與審計(jì)技術(shù)方法的運(yùn)用有機(jī)結(jié)合，規(guī)范和引導(dǎo)審計(jì)人員運(yùn)用適當(dāng)?shù)膶徲?jì)技術(shù)和方法。以往，審計(jì)人員在運(yùn)用審計(jì)技術(shù)和方法的過(guò)程中容易有較大的隨意性，用與不用，在什么時(shí)候用，如何使用，都沒(méi)有規(guī)范和約束，導(dǎo)致整個(gè)審計(jì)機(jī)構(gòu)的標(biāo)準(zhǔn)不統(tǒng)一，質(zhì)量沒(méi)有保證。隨著程序?qū)蚴綄徲?jì)軟件平臺(tái)的開(kāi)發(fā)和廣泛運(yùn)用，越來(lái)越多

50、的審計(jì)機(jī)構(gòu)開(kāi)始把審計(jì)技術(shù)與方法融入到規(guī)范的審計(jì)程序之中，要求并指導(dǎo)審計(jì)人員合理運(yùn)用審計(jì)技術(shù)。所謂智能化，強(qiáng)調(diào)的就是將歷史經(jīng)驗(yàn)總結(jié)、科學(xué)規(guī)律推導(dǎo)和審計(jì)人員的專(zhuān)業(yè)判斷結(jié)合起來(lái)，指導(dǎo)審計(jì)人員得出合理的審計(jì)結(jié)論。在審計(jì)過(guò)程中，數(shù)學(xué)、統(tǒng)計(jì)學(xué)的分析結(jié)果，都不能完全替代審計(jì)人員的專(zhuān)業(yè)判斷，因?yàn)樵谄淅玫臄?shù)學(xué)公式中，仍然有許多變量需要審計(jì)人員主觀確定。在這種情況下，越來(lái)越多的審計(jì)機(jī)構(gòu)，傾向于在審計(jì)軟件中為審計(jì)人員的決策提供參考。目前，許多審計(jì)機(jī)構(gòu)不惜花巨資，邀請(qǐng)審計(jì)領(lǐng)域的專(zhuān)家，分析在各種情況下常見(jiàn)的審計(jì)策略或方法以及對(duì)不同審計(jì)結(jié)果的判斷標(biāo)準(zhǔn)。當(dāng)然，對(duì)審計(jì)而言，智能化永遠(yuǎn)都是一個(gè)相對(duì)的概念，電腦和機(jī)器永遠(yuǎn)不能替

51、代審計(jì)人員的決策，但提供決策輔助和參考意見(jiàn)，確實(shí)非常必要。所謂系統(tǒng)化，是指審計(jì)戰(zhàn)略（策略）和審計(jì)技術(shù)方法的全面協(xié)調(diào)。審計(jì)戰(zhàn)略（策略）解決的是要審什么、想達(dá)到什么目的，審計(jì)技術(shù)和方法解決的是怎么審和怎么達(dá)到目的，這兩者的協(xié)調(diào)是審計(jì)技術(shù)與方法的研究成果得以全面運(yùn)用的關(guān)鍵。回顧最近多年來(lái)審計(jì)技術(shù)與方法的研究歷程，可以清晰地發(fā)現(xiàn)，審計(jì)技術(shù)的研究和運(yùn)用完全是在風(fēng)險(xiǎn)基礎(chǔ)審計(jì)理論指導(dǎo)下的開(kāi)拓和發(fā)展，而脫離理論指導(dǎo)的實(shí)踐經(jīng)驗(yàn)總結(jié)相對(duì)越來(lái)越少。這一點(diǎn)給我們的啟示在于，審計(jì)技術(shù)與方法的研究，不能超越基本審計(jì)理論和審計(jì)目標(biāo)的研究，也不能脫離審計(jì)戰(zhàn)略和審計(jì)目標(biāo)的總體要求。（五） 信息系統(tǒng)審計(jì)具有較完善的職業(yè)教育和認(rèn)證體系。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（Information System Audit and Control Association）是唯一有權(quán)授予國(guó)際信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)專(zhuān)業(yè)機(jī)構(gòu)，該協(xié)會(huì)成立于1969年，總部在美國(guó)的芝加哥。目前在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人。注冊(cè)信息系統(tǒng)審計(jì)師CISA（Certified Information System Auditor）資格由ISACA授予，是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職