信息系統(tǒng)審計與信息系統(tǒng)工程監(jiān)理

信息系統(tǒng)審計與信息系統(tǒng)工程監(jiān)理

所謂信息系統(tǒng)審計（又稱IS審計）是指，審計人員接受委托或授權(quán)，收集并評估證據(jù)以判斷一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整并最有效率地完成組織目標的活動過程。它既包括信息系統(tǒng)外部審計的鑒證目標——即對被審計單位的信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標——即不僅包括被審計信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標。

信息系統(tǒng)工程監(jiān)理，依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標準和信息系統(tǒng)工程監(jiān)理合同，對信息系統(tǒng)工程項目實施的監(jiān)督管理。

信息系統(tǒng)審計與信息系統(tǒng)工程監(jiān)理都可以服務(wù)于信息化建設(shè)、降低信息化投資風險。國外沒有信息系統(tǒng)工程監(jiān)理的概念，在我國這一概念的提出是借鑒了工程建設(shè)監(jiān)理，而信息系統(tǒng)審計是21世紀初從國外介紹到國內(nèi)的。

IS審計與工程監(jiān)理的發(fā)展

◆信息系統(tǒng)審計

信息系統(tǒng)審計最早稱為計算機審計，是隨著計算機在財務(wù)會計領(lǐng)域的應(yīng)用而產(chǎn)生的，作為傳統(tǒng)財務(wù)審計業(yè)務(wù)的一種輔助工具，對客戶的電子化會計數(shù)據(jù)進行處理和分析，為財務(wù)報表審計人員提供服務(wù)。

隨著計算機技術(shù)應(yīng)用范圍的不斷擴展，計算機對被審計單位各個業(yè)務(wù)環(huán)節(jié)的影響越來越大，計算機審計所關(guān)注的內(nèi)容也從單純的對電子的處理，延伸到對計算機系統(tǒng)的可靠性、安全性進行了解和評價。信息技術(shù)的爆炸性發(fā)展改變了經(jīng)濟、社會、文化的結(jié)構(gòu)和運行方式，電子商務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)證券、電子政府等相繼出現(xiàn)，信息資源的作用得到充分發(fā)揮。人們的生活、工作越來越依賴信息技術(shù)。利用信息技術(shù)攻擊對手信息系統(tǒng)，竊取機密，借助網(wǎng)絡(luò)非法占有財富，特別是數(shù)字化財富等現(xiàn)象也日益增多，擾亂了國家正常的經(jīng)濟秩序。這讓人們更加關(guān)注網(wǎng)絡(luò)所傳遞信息的安全、完整、真實，關(guān)注產(chǎn)生、處理、傳遞信息的系統(tǒng)本身的安全、可靠、有效，關(guān)注企業(yè)如何評估其面臨的風險，并如何采取措施預防和監(jiān)控。

由于技術(shù)的限制等原因，信息的使用者不能自己驗證信息的質(zhì)量，因此急需有獨立的第三方出面對信息的保密性（Confidentiality）、完整性(Integrity)、交易行為的不可否認性（Non——Repudiation）、交易對手的身份驗證（UserAuthentication）、系統(tǒng)的安全有效等做出鑒證，以合理保護信息使用者的利益。同時，企業(yè)在信息化過程中也急需專業(yè)人士提供有效控制信息系統(tǒng)風險，提高信息化效益的服務(wù)。真正意義上的信息系統(tǒng)審計應(yīng)運而生。

如今的信息系統(tǒng)審計的業(yè)務(wù)已經(jīng)超出了為財務(wù)報表審計提供服務(wù)的范圍，在很多大型會計公司內(nèi)部，信息系統(tǒng)審計部門已經(jīng)成為一個獨立的對外提供多種服務(wù)的部門。

◆信息系統(tǒng)工程監(jiān)理

20世紀90年以來，從中央到地方，從政府到企業(yè)，紛紛投入了大量的資金從事信息工程建設(shè)和信息系統(tǒng)的建設(shè)，但這其中真正按進度、質(zhì)量要求、投資預算完成，且用戶（業(yè)主）滿意的，只占極少數(shù)，不足20%。即便是一些搞得比較好的工程項目，也或多或少地存在一些問題。這些問題嚴重地影響了信息系統(tǒng)工程項目的質(zhì)量和進度，不僅損害了合同簽約雙方（建設(shè)單位和承建單位）的利益，還給國家和社會造成了許多不應(yīng)有的損失。

為保障信息系統(tǒng)工程簽約雙方的利益，確保國家信息化建設(shè)和信息產(chǎn)業(yè)更加健康、有序地發(fā)展，“信息系統(tǒng)工程監(jiān)理”就應(yīng)運而生了。

信息產(chǎn)業(yè)部從2002年起相繼發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》、《信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法》和《信息系統(tǒng)工程監(jiān)理工程師資格管理辦法》。以上規(guī)定和管理辦法明確指出了監(jiān)理范圍和監(jiān)理內(nèi)容，監(jiān)理單位和監(jiān)理工程師的權(quán)利與義務(wù)，監(jiān)理單位資質(zhì)申請、評審和審批的管理辦法，監(jiān)理工程師資格取得的管理辦法等。IS審計與工程監(jiān)理的區(qū)別

從兩者的概念以及國內(nèi)外的實踐總結(jié)來看，信息系統(tǒng)審計與信息系統(tǒng)工程監(jiān)理之間的主要區(qū)別體現(xiàn)在作用、服務(wù)對象、工作主題和方法等幾個方面。

◆作用不同

與財務(wù)報表審計相類似，信息系統(tǒng)審計的作用也包括：

第一，鑒證作用。信息系統(tǒng)審計的鑒證作用是指通過審計，合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性、可靠性及政策遵循的一貫性。信息系統(tǒng)審計師以其獨立的身份，對被審計單位的信息系統(tǒng)及其輸出的信息進行審計，查出各種錯誤與舞弊，是維護電子商務(wù)時代正常經(jīng)濟秩序必不可少的重要手段。

第二，促進作用。促進價值體現(xiàn)在兩個方面，一是指信息系統(tǒng)審計可以促進被審計單位更有效地融入到社會經(jīng)濟生活中；二是指審計可以促進被審計單位改進內(nèi)部控制，加強管理，提高信息系統(tǒng)實現(xiàn)組織目標的效率、效果。

從第一個方面來看，信息系統(tǒng)審計師在完成審計后，出具審計證明，即審計報告，以證明被審計單位信息的真實、完整、可靠。審計師的證明可以增強人們對其信息的信任程度。

隨著網(wǎng)絡(luò)技術(shù)的普及，商業(yè)信息的在線和實時披露都是不可扭轉(zhuǎn)的必然趨勢。信息系統(tǒng)審計師能夠以在線、實時的信息為基礎(chǔ)提供鑒證，對使用信息的所有相關(guān)體而言是具有巨大價值的。

從第二個方面來看，信息系統(tǒng)審計在審計過程中發(fā)現(xiàn)的控制缺陷或漏洞，可通過審計報告、管理建議書等形式報告給委托人或被審計單位管理當局，并提出解決問題的建議，從而促進被審計單位提高管理水平，提高經(jīng)濟效益。

第三，咨詢作用。信息技術(shù)的發(fā)展為組織的管理變革提供了技術(shù)手段，組織扁平化、工作豐富化等管理變革都要通過信息技術(shù)來實現(xiàn)。信息化已是大勢所趨，但是，信息化建設(shè)是有風險的。為減少信息化風險，信息系統(tǒng)審計師可憑借其專門知識和實踐經(jīng)驗，受托或主動服務(wù)于被審計單位的管理者或其業(yè)務(wù)人員，在企業(yè)信息化過程中，幫助企業(yè)健全內(nèi)部控制制度，進行系統(tǒng)診斷；根據(jù)企業(yè)需要，確定信息化的目標和內(nèi)容，選擇合適的軟件產(chǎn)品；幫助企業(yè)調(diào)整現(xiàn)有的管理架構(gòu)和流程或修改軟件產(chǎn)品，使其更好地滿足管理的需求。

與信息系統(tǒng)審計不同，信息系統(tǒng)工程監(jiān)理的作用主要包括：

第一，監(jiān)督控制作用。信息系統(tǒng)工程監(jiān)理可以幫助業(yè)主單位更合理地保證工程的質(zhì)量、進度、投資，并合理、客觀地處理好它們之間的關(guān)系。在項目建設(shè)全過程中，監(jiān)理單位依據(jù)國家有關(guān)法律和相關(guān)技術(shù)標準，遵循守法、公平、公正、獨立的原則，對信息系統(tǒng)建設(shè)的過程進行監(jiān)督和控制，在確保質(zhì)量、安全和有效性的前提下，合理地安排進度和投資。

第二，合理地協(xié)調(diào)業(yè)主單位和建設(shè)單位之間的關(guān)系，這是監(jiān)理的一項主要工作。在信息系統(tǒng)工程建設(shè)中，很多時候業(yè)主單位和承建單位在許多問題上存在爭議，業(yè)主單位和承建單位都希望由第三方在工程的立項、設(shè)計、實施、驗收、維護等的各個階段的效果都給予公正、恰當、權(quán)威的評價，這就需要監(jiān)理單位來協(xié)調(diào)和保障這些工作的順利進行。另外還需要協(xié)調(diào)系統(tǒng)內(nèi)部關(guān)系以及系統(tǒng)外部關(guān)系中的非合同因素等，保證項目順利實施。

◆業(yè)務(wù)范圍和目的不同

首先，信息系統(tǒng)工程監(jiān)理是具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，接受建設(shè)單位的委托，依據(jù)國家和本市有關(guān)規(guī)定、信息系統(tǒng)工程建設(shè)標準和工程承建、監(jiān)理合同，對信息系統(tǒng)工程的質(zhì)量、進度和投資方面實施監(jiān)督。主要應(yīng)用在信息化工程建設(shè)階段。

信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。它立足于組織的戰(zhàn)略目標，為有效地實現(xiàn)組織戰(zhàn)略目標而采取一切有效活動。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域。

其次，信息系統(tǒng)工程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進度和投資額滿足建設(shè)要求。監(jiān)理活動隨著工程的完成而結(jié)束。監(jiān)理關(guān)注的是項目建設(shè)的質(zhì)量、成本和進度。

信息系統(tǒng)審計的目的是合理保證信息系統(tǒng)能夠保護資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實現(xiàn)組織目標并有效率的利用組織資源，其關(guān)注的核心是資產(chǎn)保護與信息系統(tǒng)的效率、效果。不僅包括對建設(shè)過程的審計，更重要的是對信息系統(tǒng)的運營審計，向公眾出具審計報告，鑒證信息系統(tǒng)能否保護企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個系統(tǒng)是否有效地實現(xiàn)組織目標并有效率的利用組織資源。只要信息系統(tǒng)在運行，審計活動一直存在。

此外，信息系統(tǒng)工程監(jiān)理的過程是可見的，即對項目成本、進度和質(zhì)量與目標出現(xiàn)的偏差是可見的，及時糾正也方便。但信息系統(tǒng)審計對信息系統(tǒng)的安全性、可靠性與有效性的認定具有不可見性，這也正是信息系統(tǒng)比工程項目復雜的主要原因。信息系統(tǒng)建設(shè)完畢，這僅僅是信息化的開始，我國信息化建設(shè)中若干失敗的案例，并不是信息系統(tǒng)沒有建設(shè)好，往往是在運營維護時期出了問題。因此，從這個角度而言，信息系統(tǒng)審計是保證信息系統(tǒng)質(zhì)量的行之有效的方法。

◆服務(wù)對象不同

從審計定義我們可以知道審計鑒證服務(wù)是鑒證人、信息使用者和信息提供者的三方合約，即由鑒證人接受委托或授權(quán)，對信息提供者進行審計，并就其提供的信息質(zhì)量向信息使用人提供鑒證報告。因此審計服務(wù)的對象是所有的信息使用者，包括被審計單位的股東、債權(quán)人、管理當局、政府機構(gòu)和一般社會公眾。其關(guān)系圖如1所示。

圖1信息系統(tǒng)審計服務(wù)關(guān)系圖

監(jiān)理服務(wù)于建設(shè)合同的雙方。建設(shè)單位與承建單位簽署建設(shè)合同后，兩者之間的關(guān)系是等價交換關(guān)系，即承建單位要按時交付既定質(zhì)量等級的工程、開發(fā)實物，建設(shè)單位要按時支付等價的工程款。監(jiān)理單位接受建設(shè)單位委托后，作為工程承包合同的洽商者，它所執(zhí)行的原則是使工程承包合同成為“平等條約”，作為工程承包合同管理和工程款支付的簽認者，它所執(zhí)行的原則是等價交換。因此，監(jiān)理單位是為雙方的利益服務(wù)的，而不僅僅為委托方——建設(shè)單位服務(wù)。其關(guān)系圖如2所示。

圖2信息系統(tǒng)工程監(jiān)理服務(wù)關(guān)系圖

◆工作主體不同

信息系統(tǒng)審計主體包括內(nèi)部審計主體與外部審計主體。當審計人員是被審計單位的組成部分時，稱為內(nèi)部審計，其職責主要是搜集證據(jù)，判斷系統(tǒng)的有效性以及利用資源的效率。當審計人員獨立于被審計單位時，稱為外部審計，其職責重要是關(guān)注被審計單位信息資產(chǎn)的安全、真實、完整。而監(jiān)理主體只能獨立于建設(shè)單位和承建單位，作為外部獨立的第三方參與項目建設(shè)。

◆方法不同

審計的方法主要是搜集證據(jù)的方法，包括檢查、觀察、分析性復合、查詢及函證等方法，并利用統(tǒng)計技術(shù)、計算機技術(shù)完成證據(jù)的搜集與評價。監(jiān)理主要是利用項目管理技術(shù)，包括成本核算控制、網(wǎng)絡(luò)圖及質(zhì)量控制方法等實施對工程項目的“三控兩管一協(xié)調(diào)”。

加強信息系統(tǒng)審計乃當務(wù)之急

從以上的比較，筆者認為：

第一，信息系統(tǒng)審計的作用是無可替代的，信息化過程只有監(jiān)理是不夠的，必須開展審計，這是信息時代的需求。

電子商務(wù)以及傳統(tǒng)價值鏈向以客戶為中心的價值鏈的轉(zhuǎn)變改變了審計師所從事的傳統(tǒng)鑒證業(yè)務(wù)。供應(yīng)鏈管理中的各種過程和步驟——如庫存需求計劃、購貨定單、銷售定單、運貨通知和現(xiàn)金支出等，通過信息系統(tǒng)被電子化處理時，審查交易數(shù)據(jù)和評估其完整性及可靠性，對交易數(shù)據(jù)進行實時控制成為必要。當企業(yè)開始與新的貿(mào)易伙伴（而不是以前的貿(mào)易伙伴）交換數(shù)據(jù)并進行交易時，貿(mào)易伙伴及其交易處理系統(tǒng)的可靠性必須得到評估。審計師可能還需要評價客戶的交易伙伴的可靠性和誠信度。此外，從事電子商務(wù)的公司必須將其內(nèi)部控制擴展到交易處理系統(tǒng)的各個方面，因為該系統(tǒng)與包括貿(mào)易伙伴在內(nèi)的其他系統(tǒng)有著密切的聯(lián)系。電子商務(wù)系統(tǒng)的內(nèi)部控制評估和風險管理也離不開信息系統(tǒng)審計。所有這些都不是信息系統(tǒng)工程監(jiān)理所能完成的。

第二，在我國積極開展信息系統(tǒng)審計。

首先，我們要加大信息系統(tǒng)審計的宣傳，讓人們了解什么是信息系統(tǒng)審計，為什么要進行信息系統(tǒng)審計。

其次，要大力培養(yǎng)信息系統(tǒng)審計師。開展信息系統(tǒng)審計業(yè)務(wù)，有兩支力量可以挖掘：一是傳統(tǒng)的審計師。注冊會計師在執(zhí)行傳統(tǒng)的財務(wù)報表鑒證業(yè)務(wù)方面具有長久不衰的聲譽和經(jīng)驗。在提供信息系統(tǒng)及電子數(shù)據(jù)質(zhì)量的鑒證與咨詢服務(wù)方面，會計師事務(wù)所面臨競爭，為使市場信服他是執(zhí)行這種業(yè)務(wù)的最佳候選人，會計師還需要：學習提高技術(shù)能力；繼續(xù)維護他們現(xiàn)有的作為獨立的、被信任的第三方的角色；必須將信息技術(shù)、網(wǎng)絡(luò)技術(shù)技能融入傳統(tǒng)的鑒證業(yè)務(wù)；必須拓展在系統(tǒng)可靠性、風險確認和影響分析，以及網(wǎng)站認證方面的業(yè)務(wù)。二是從事信息化咨詢的IT技術(shù)人員。在電子商務(wù)時代，交易大部分是由系統(tǒng)自動完成的，人的參與較少，審計軌跡存在較少，在這種條件下，審計必須穿過信息系統(tǒng)進行。IT技術(shù)人員具備了相應(yīng)的技術(shù)技能