信息系统审计与信息系统监理比较分析2

1、信息系统监监理与信息息系统审计计：中国的实践践与美国的的经验孙强 孟孟秀转摘要 建立信息息化建设的的第三方监监督对保证证信息化建建设的效益益最大化至至关重要。本文通过过信息系统统监理和信信息系统审审计的概念念、产生动动因等进行行比较，分分析我国信信息系统监监理面临的的新问题、新要求，并并介绍美国国信息系统统审计的实实践经验，在在此基础上上提出对我我国信息系系统监理事事业发展的的若干建议议。关键词 信息系系统 信息系统统监理 信信息系统审审计 比较较 独立性性引言“信息化带带动工业化化”是我国国长期的重要要发展战略略，江泽民同志志在十六大大的报告中指出出：“实现工业业化仍然是是我国现代代化进程中

2、中艰巨的历历史性任务务。信息化化是我国加加快实现工工业化和现现代化的必必然选择。坚持以信信息化带动动工业化，以以工业化促促进信息化化，走出一一条科技含含量高、经经济效益好好、资源消消耗低、环环境污染少少、人力资资源优势得得到充分发发挥的新型型工业化路路子。”这段论述表表现了我们们党对信息息化建设的的高度重视，也也指明信息化化带出一条新型型工业化路路子的光明明前景。目前，各地地区、各部部门都在认认真贯彻十十六大精神神，十分重重视推进信信息化工作作，我国信信息化建设设已经进入入新的阶段段，我国信信息化事业业已发展到到一个新的的阶段。各各级政府正正在积极推推进“电子政务务”，许多城城市及企业业也已着

3、手手整合与升升级其信息息化应用系系统。可以以预计，全全国将有更更多、更大大的信息系系统建设项项目展开。但是，在在信息化推推进过程中中，存在不不同程度上上的一些问问题，主要要表现在规规划制订不不够科学，项项目管理不不够严格，监监理机制不不够健全，系系统运行效效益不够明明显。致使使相当一部部分信息化化项目失败败或未能实实现预期目目标，浪费费了大量资资源。究其其根源主要要原因之一一是信息化化建设第三三方监管机机制的缺失失和标准的的不健全。国内外的实实践表明：信息化是是有风险的的，信息系系统规模越越大，功能能越复杂，风风险也就越越大。英国国Kaliido于英英国时间22001年年12月112日公布布了

4、有关企企业信息管管理的调查查结果。调调查显示，996的企企业对于本本公司的信信息管理系系统感到不不满。关于于目前正在在使用的信信息系统，认认为所制制作的报告告缺乏一贯贯性或者者是核对对信息花费费了太多时时间的企企业约占770。特特别引人深深思的是该该调查是由由美国Haarte-Hankks以全球球500强强企业以及及财富10000企业业中的1771家公司司为对象通通过问卷方方式实施的的。调查对对象中，440以上上的企业年年交易额超超过20亿亿美元。其其他主要调调查结果如如下回答目前前的信息系系统不能灵灵活因应变变化的企业业约占600；对于于数据的精精度表示担担心的企业业约占600；600以上的

5、的企业正在在策划有关关数据及信信息的整合合计划。这这充分说明明，信息系系统的建设设项目较之之传统工业业工程项目目成功率更更低，风险险也更加突突出。中央领导同同志在国家家信息化领领导小组第第一次会议议中特别强强调：信息息化建设一一定要讲求求效益，不不能搞花架架子。因此此建立并逐逐步完善我我国信息系系统审计制制度是健康康、有序地地推进信息息化和落实实领导小组组会议精神神的一项重重要措施。目前，在国国内的信息息化项目工工程建设中中，绝大多多数用户（业业主）无法法组织队伍伍对信息系系统建设进进行专业化化管理，难难以胜任从从可行性分分析、规划划设计、招招标、方案案评审到工工程监理和和工程验收收全过程的的

6、管理与组组织协调工工作，建设方和和承建方在在信息建设设过程中存存在严重的的信息不对对称问题。这表现为为借助外援援进行工程程管理咨询询的案例越越来越多，一一些省市的的行业主管管部门也开开始在信息息系统建设设中推行由由监理进行行工程质量量管理的做做法。但是是，监理介介入信息系统在在我国还处处于一个探探索的过程程中。我国加入WWTO后，鉴于我国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严重冲击，

7、本土监理企业面临前所未有的严峻挑战。监理事业往何处去？这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。信息系统监监理信息系统监监理概念依据信息产产业部信信息系统工工程监理暂暂行规定，信息系系统工程监监理是指依依法设立且且具备相应应资质的信信息系统工工程监理单单位，受业业主单位委委托，依据据国家有关关法律法规规、技术标标准和信息息系统工程程监理合同同，对信息息系统工程程项目实施施的监督管管理。信息系统监监理产生动动因及其发发展1、信息系系统监理产生动动因分析监理工作、监理企业业是

8、我国在在计划经济济向市场经经济转变的的过程中在在建设领域域中应运而而生的，并并取得了有有目共睹的的显著成效效，直接促促进了工程程监理业的的繁荣发展展，这也导导致在通信信业工程建建设、信息息系统建设设等方面监监理的出现现。因此，回回顾建设工工程监理的的发展，将将有助于对对信息系统统监理的认认识。1988年年7月建设设部发布了了关于开开展建设监监理工作的的通知，随随后又于11988年年11月印印发了关关于开展建建设监理试试点问题的的若干意见见，使得得试点工作作有章可循循。19889年，根根据初步试试点取得的的经验，建建设部制定定了建设设监理试行行规定，这这是我国第第一个比较较完备的关关于工程建建设

9、监理的的法规文件件，勾画出出具有我国国特色的工工程建设监监理制度的的初步框架架。19991年又分分别制定颁颁发了建建设监理单单位资质管管理试行办办法和监理工程程师资格考考试及注册册试行办法法，建设设监理法规规制度进一一步配套完完善。19993年，上上海市开始始了工程设设备监理制制度的试点点工作。11998年年，国务院院机构改革革后赋予了了国家质量量技术监督督局“协调调建立设备备工程监理理制度”的的职能要求求，随后，国国家质量技技术监督局局拟定了协调建立立设备工程程监理制度度的方案，在国家家发展计划划委员会的的指导和具具体参与下下，会同国国务院有关关部门，在在国内有关关技术及咨咨询机构的的帮助、

10、支支持下,完完成了设备备监理制度度中有关规规章的起草草工作。此此间，世界界银行、国国家开发银银行等亦曾曾规定，其其贷款的有有关项目要要有监理公公司监理，并并作为申请请贷款的项项目单位获获得贷款的的基本条件件。由此开始推推行建设工工程监理制制度，监理理事业得到到持续快速速发展，从而而积累了一一定经验，取取得了积极极成效。发发展至今建建立了一套套比较完整整的监理法法规体系，组组成了一支支规模较大大的监理队队伍，监理理出一批优优良的工程程项目，监监理工作在在工程建设设中发挥了了重要作用用，得到了了各级领导导的支持，得得到了社会会的普遍认认可，正逐逐步向规范范化、制度度化、科学学化方向迈迈进。但同时我

11、国国工程监理理事业经过过十多年的发发展，虽然然取得了一一定成绩，但但也存在不不少问题。如：监理理人员整体体素质不高高、监理工工作缺位、监理取费费普遍较低低、监理市市场竞争机机制不健全全、监理企企业缺乏自自我积累和和发展能力力、监理责责任不明确确、监理工工作缺乏系系统的理论论研究、宣宣传工作滞滞后等问题题比较突出出。2、信息系系统监理的的发展目前信息系系统工程的的现状类似似于二十世纪八十年代以以前建筑工工程的状态态。自19988年建建设部颁布布关于开开展建设监监理工作的的通知以以后，特别别是19996年建设设监理全面面推行后，建建筑工程的的质量普遍遍提高，业业主和承建建商之间的的纠纷普遍遍减少，

12、凡凡是出问题题的工程，监监理也有问问题。因此此，要求参参考建筑工工程的管理理办法对信信息工程实实施监理的的呼声日益益高涨，这这既是信息息工程用户户（业主）的的愿望，也也是系统集集成商的愿愿望，信息息工程市场场呼唤“第第三方”信息系统统工程监理理的出现。早在19995年，原电子子工业部就就出台了电子工程程建设监理理规定（试试行）。19966年，深圳圳市成立了了全国第一一家信息工工程质量监监督机构信息工程程质量监督督检验总站站。19988年，西安安协同软件件股份有限限公司经西西安技术监监督局和西西安市科委委批准，获获得“计算算机管理信信息系统工工程监理”资质认证证，成为国国内第一家家获此资格格的公

13、司。19999年6月，深深圳市政府府在国内率率先出台了了包括实施施信息工程程监理条款款在内的深圳市信信息工程管管理办法，并要求求首届我国国国际高新新技术成果果交易会信信息网络工工程实施监监理。20000年7月，深深圳市信息息化建设委委员会办公公室制订了了深圳市市信息工程程建设管理理办法实施施意见，要要求“市、区、镇人人民政府及及其所属部部门使用财财政性资金金（包括预预算内资金金、预算外外资金、事事业收入等等），投资资规模在1100万元元以上的信信息工程建建设项目必必须遵照本本实施意见见进行立项项、招投标标、监理、质量监督督、验收”。20002年7月月，北京市市信息化工工作办公室室制定了北京市信

14、信息系统工工程监理管管理办法（试试行），要要求“本市推行行信息系统统工程监理理制度，建建设单位应应当通过协协议或者招招标的方式式优先选择择具有相应应资质等级级的信息系系统工程监监理单位承承担监理业业务。各级级财政全部部补助或者者部分补助助以及为社社会提供公公共服务的的重大信息息化工程项项目必须通通过招标的的方式选择择信息系统统工程监理理单位，实实行强制监监理。” 20002年11月，国家质质量监督检检验检疫总总局公布设备监理理单位资格格管理办法法，在该该管理办法法的21类类设备工程程专业中，涉涉及信息工工程的共有有三类，即即信息网络络系统、信信息资源开开发系统和和信息应用用系统。最最近，在国国

15、家信息办办和国家标标准管理委委员会直接接领导下，信信息化系统统监理规范范化项目正正在加紧制定中中，并且是是作为电子子政务标准准化项目的的一个子项项目而提出出的。预计计在今年年年底，监理理规范就要要完成，经经过试用和和修改后，将将上升为国国家标准。 20002年12月，信息产产业部在广广泛征求意意见和开展展试点工作作的基础上上，正式颁颁布信息息系统工程程监理暂行行规定，这标志志着我国信信息工程监监理开始迈向科学化化、专业化化和规范化化，也预示示着在我国国即将出现现一个新的的中介服务务行业，将将很快涌现现一批监理理机构和执执业人员，从从此信息系系统工程监监理工程师师也将逐步步成为国民民经济和社社会

16、信息化化的“警察”。但我国的信信息系统工工程监理目目前仅仅是是处在起步步阶段，事事实上根据据对国内信信息化应用用程度较高高的行业部部门（如银行、证券、保保险、气象象、社保、旅游等）和部分大大型企业（如华北制制药、哈尔尔滨轴承集集团、哈尔尔滨飞机制制造企业、跃进汽车车集团、我我国石化等等）30个样样本作为调调查对象的的调查结果果显示，对对于大多数数企业来说说，项目监监理是个新新概念。只只有30%的被调查查者表示在在某些信息息化项目中中使用过监监理服务。在70%未使用过过项目监理理的被调查查者中，55%表示听听说过，995%表示示知道建筑筑工程有监监理，但在在IT信息息化项目中中引入监理理还是第一

17、一次听说。图1 监理理服务内容容重要程度度（引自胡胡敏市场场呼唤项目目监理）目前，我国国还没有一一套完善的的IT项目目监理制度度，相应的的监理法规规、监理内内容、收费费标准等也也都没有制制定。特别别是收费标标准问题，大大多数用户户采用协商商解决。以以北京城域域网项目的的监理费为为例，其采采用了建筑筑行业的监监理服务收收费标准（22%-100%），支支付的服务务费占整个个项目资金金支出的22%。广大大用户也反反映，项目目监理的标标准如何才才能做到公公正、科学学，项目监监理的工作作流程是否否也应该规规范，如何界定定和权衡监监理公司、用户、IIT厂商三三方利益？监理过程程中出了问问题，该怎怎么办？，

18、这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他发展很成熟的行业的监理相比，对IT项目的监理要难得多。并且由于信息技术是一个新兴技术，它本身还在不断发展和完善，因此，即使制定出的监理的内容和标准也不能僵化，需要不断地变更和完善。信息系统监监理的基本本理论信息系统监监理的中心心任务是科科学地规划划和控制工工程项目的的投资、进进度和质量量三大目标标;监理的的基本方法法是目标规规划、动态态控制、组组织协调和和合同管理理；监理工工作贯穿规规划、设计计、实施和验收的全过过程。信息息工程监理理正是通

19、过投投资控制、进度控制制、质量控控制以及合合同管理和和信息管理理来对工程程项目进行行监督和管管理，保证证工程的顺顺利进行和和工程质量量。1、成本控控制成本控制的的任务，主主要是在建建设前期进进行可行性性研究，协协助建设单单位正确地地进行投资资决策；在在设计阶段段对设计方方案、设计计标准、总总概（预）算算进行审查查；在建设设准备阶段段协助确定定标底和合合同造价；在实施阶阶段审核设设计变更，核核实已完成成的工程量量，进行工工程进度款款签证和索索赔控制；在工程竣竣工阶段审审核工程结结算。2、进度控控制进度控制首首先要在建建设前期通通过周密分分析研究确确定合理的的工期目标标，并在实实施前将工工期要求纳

20、纳入承包合合同；在建建设实施期期通过运筹筹学、网络络计划技术术等科学手手段，审查查、修改实实施组织设设计和进度度计划，做做好协调与与监督，排排除干扰，使使单项工程程及其分阶阶段目标工工期逐步实实现，最终终保证项目目建设总工工期的实现现。3、质量控控制质量控制要要贯穿在项项目建设从从可行性研研究、设计计、建设准准备、实施施、竣工、启用及用用后维护的的全过程。主要包括括组织设计计方案评比比，进行设设计方案磋磋商及图纸纸审核，控控制设计变变更；在施施工前通过过审查承建建单位资质质等；在施施工中通过过多种控制制手段检查查监督标准准、规范的的贯彻；以以及通过阶阶段验收和和竣工验收收把好质量量关等。3、合

21、同管管理合同管理是是进行投资资控制、工工期控制和和质量控制制的手段。因为合同同是监理单单位站在公公正立场采采取各种控控制、协调调与监督措措施，履行行纠纷调解解职责的依依据，也是是实施三大大目标控制制的出发点点和归宿。4、信息管管理信息管理包包括投资控控制管理、设备控制制管理、实实施管理及及软件管理理。5、协调协调贯穿在在整个信息息系统工程程从设计到到实施再到到验收的全全过程。主主要采用现现场和会议议方式进行行协调。总之，三控控两管一协协调，构成成了监理工工作的主要要内容。为为完满地完完成监理基基本任务，监监理单位首首先要协助助建设单位位确定合理理、优化的的三大目标标，同时要要充分估计计项目实施

22、施过程中可可能遇到的的风险，进进行细致的的风险分析析与评估，研研究防止和和排除干扰扰的措施以以及风险补补救对策。使三大目目标及其实实现过程建建立在合理理水平和科科学预测基基础之上。其次要将将既定目标标准确、完完整、具体体地体现在在合同条款款中，绝不不能有含糊糊、笼统和和有漏洞的的表述。最最后才是在在信息工程程建设实施施中进行主主动的、不不间断的、动态的跟跟踪和纠偏偏管理。图2监理内内容示意图图信息系统监监理的主要要业务和依依据1、信息系系统监理的主要要业务信息系统监监理的主要要业务范围围有信息网网络系统、信息资源源系统、信信息应用系系统的新建建、升级、改造工程程。根据国国内信息系系统监理的的实

23、践，其其涵盖计算算机工程、网络工程程、通信工工程、结构构化布线工工程、智能能大厦工程程、软件工工程、系统统集成工程程以及有关关计算机和和信息化建建设的工程程及项目。其业务内内容具体如如下：帮助建设单单位做好项项目需求分分析，协助助建设单位位选择合适适的承建单单位；审定承建单单位的开工工报告、系系统实施方方案、施工工进度计划划；对项目实施施的各个阶阶段进行有有效的监督督和控制，帮帮助建设单单位控制工工程进度、投资和质量量；审查和处理理工程变更更；参与工程质质量和其他他事故调查查；调解建设单单位与承包包单位的合合同争议，处处理索赔、审批工程程延期；组织进行竣竣工验收测测试。组织建设单单位和承建建单

24、位完成成工程移交交。2、信息系系统监理的依据据信息系统监监理的依据据如下：国务院颁发发的质量量振兴纲要要；现行国家、各省、市市、自治区区的有关法法律、法规规、规定；国际、国内内IT行业业质量标准准规范； 建设单位和和承建单位位的合同；将来还有国国家标准，例例如信息息化工程监监理规范等。信息系统监监理的程序序组建监理机构编制监理计划编制监理细则实施监理参与验收并签署监理意见提交监理档案资料完成监理图3 信息息系统监理理的程序信息系统工工程监理的的特点是全全过程监理理，主要包包括四个阶阶段的监理理工作：招招投标阶段段、设计阶阶段、实施施阶段、验验收阶段。监理的目目标、方法法和程序都都体现在这这四个

25、阶段段的监理工工作中。信息系统审审计信息系统审审计概念信息系统审审计是全部部审计过程程的一个部部分，信息息系统审计计（IS audiit）目前前还没有固固定通用的的定义，美美国信息系系统审计的的权威专家家Ron Webeer将它定定义为“收集并评评估证据以以决定一个个计算机系系统（信息息系统）是是否有效做做到保护资资产、维护护数据完整整、完成组组织目标，同同时最经济济的使用资资源”。信息系统审审计的目的的是评估并并提供反馈馈、保证及及建议。其其关注之处处可被分为为如下三类类：可用性商业高度度依赖的信信息系统能能否在任何何需要的时时刻提供服服务？信息息系统是否否被完好保保护以应对对各种的损损失和

26、灾难难？保密性系统保存存的信息是是否仅对需需要这些信信息的人员员开放，而而不对其他他任何人开开放？完整性信息系统统提供的信信息是否始始终保持正正确、可信信、及时？能否防止止未授权的的对系统数数据和软件件的修改？信息系统审审计产生动动因及其发发展1、信息系系统审计产产生动因分分析关于信息系系统审计的的产生动因因，目前国际际上存在两两种观点：一种观点认认为是从会会计审计发发展到计算算机审计再再发展到信信息系统审审计（计算算机审计的的范围扩展展，最后涵涵盖整个信信息系统）演演变过来的的；另外一一种认为由由于信息系系统尤其是是大型信息息系统的建建设是一项项庞大的系系统工程，它它投资大、周期长、高技术、

27、高风险，在在系统的建建设过程中中，对工程程进行严格格、规范的的管理和控控制至关重重要。而正正是由于信信息系统工工程所具有有的这些特特点，建设设单位往往往由于技术术力量有限限，无力对对项目的技技术、设备备、进度、质量和风险险进行控制制，无法保保证项目的的实施成功功。所以需需要有第三三方进行独独立审计。2、信息系系统审计在在国际上的的发展信息系统审审计的发展展是伴随着着信息技术术的发展而而发展的。在数据处处理电算化化的初期，由由于人们对对计算机在在数据处理理中的应用用所产生的的影响没有有足够的认认识，认为为计算机处处理数据准准确可靠，不不会出现错错弊，因而而很少对数数据处理系系统进行审审计，主要要

28、是对计算算机打印出出的一部分分资料进行行传统的手手工审计。随着计算算机在数据据处理系统统中应用的的逐步扩大大，利用计计算机犯罪罪的案件不不断出现，使使审计人员员认识到要要应用计算算机辅助审审计技术对对电子数据据处理系统统本身进行行审计，即即EDI审审计。同时时随着社会会经济的发发展，审计计对象、范范围越来越越大，审计计业务也越越来越复杂杂，利用传传统的手工工方法已不不能及时完完成审计任任务，必须须应用计算算机辅助审审计技术（CAATs）进行审计。八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企

29、业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%50%的速度增加，说明信息系统审计正逐渐受到重视。美国在计算算机进入实实用阶段时时就开始提出出系统审计计（SYSSTEM AUDIIT），从从成立电子子数据处理理审计协会会（EDPPAA后更更名为ISSACA）以以来，从事事系统审计计活动已有有三十多年年历史，成成为信

30、息系系统审计的的主要推动动者，在全全球建有一一百多个分分会，推出出了一系列列信息系统统审计准则则、职业道道德准则等等规范性文文件，并开开展了大量量的理论研研究，ITT控制的开开放式标准准COBIIT（Coontrool Obbjecttivess forr Infformaationn andd Rellatedd Tecchnollogy ）已出版版了第三版版。3、信息系系统审计在在国内的发发展目前国内有有学者提出出计算机审审计，电算算化审计，但但基本上停停留在对会会计信息系系统的审计计上，延伸伸手工会计计信息系统统审计，尚尚未全面探探讨信息时时代给审计计业务带来来的深刻变变化。以我我国在1

31、9999年颁颁布了独立立审计准则则第20号号计算机机信息系统统环境下的的审计为例例，其更多多关注的是是会计信息息系统。在在信息时代代，面对加加入WTOO后全球一一体化市场场，我国IIT服务业业面临巨大大的挑战，开开展信息系系统审计业业务不失为为推动我国国IT服务务业发展的的一次绝佳佳机会。信息系统审审计的理论论基础信息系统审审计不仅仅仅是传统审审计业务的的简单扩展展，信息技技术不单影影响传统审审计人员执执行鉴证业业务的能力力，更重要要的是公司司和信息系系统管理者者都认识到到信息资产产是组织最最有价值的的资产，和和传统资产产一样需要要控制，组组织同时需需要审计人人员提供对对信息资产产控制的评评价

32、。因此此信息系统统审计是一一门边缘性性学科，跨跨越多学科科领域。如图3所示示，信息系系统审计是是建立在四四个理论基基础之上的的：传统审计理理论。传统统审计理论论为信息系系统审计提提供了丰富富的内部控控制理论与与实践经验验，以保证证所有交易易数据都被被正确处理理。同时收收集并评价价证据的方方法论也在在信息系统统审计中广广泛应用，最最为重要的的是传统审审计给信息息系统审计计带来的控控制哲学，即即用谨慎的的眼光审视视信息系统统在保护资资产安全、保证信息息完整，并并能有效地地实现企业业目标的能能力。信息系统管管理理论。信息系统统管理理论论是一门关关于如何更更好地管理理信息系统统的开发与与运行过程程的理

33、论，它它的发展提提高了系统统保护资产产安全、保保证信息完完整，并能能有效地实实现企业目目标的能力力。行为科学理理论。人是是信息系统统安全最薄薄弱的环节节，信息系系统有时会会因为人的的问题而失失败，比如如对系统不不满的用户户故意破坏坏系统及其其控制。因因此审计人人员必须了了解哪些行行为因素可可能导致系系统失败。这方面行行为科学特特别是组织织学理论解解释了组织织中产生的的“人的问题题”。计算机科学学。计算机机科学本身身的发展也也在关注如如何保护资资产安全、保证信息息完整，并并能有效地地实现企业业目标。但但是技术是是一把双刃刃剑，计算算机科学的的发展可以以使审计人人员降低对对系统组件件可靠性的的关注

34、，信信息技术的的进步也可可能启发犯犯罪，例如如一个重要要的问题是是信息技术术在会计制制度中的应应用是否给给罪犯提供供了较多缓缓冲时间？如果是，那那么今天网网络犯罪产产生的社会会威胁较以以往任何时时候都要大大。图3 ：IS审计的理论基础IS审计传统审计信息系统管理计算机科学行为科学信息系统审审计的基本本业务和依依据1、信息系系统审计的的基本业务务信息系统审审计业务将将随着信息息技术的发发展而发展展，为满足足信息使用用者不断变变化的需要要而增加新新的服务内内容，目前前其基本业业务如下：系统开发审审计，包括括开发过程程的审计、开发方法法的审计，为为IT规划划指导委员员会及变革革控制委员员会提供咨咨询

35、服务；主要数据中中心、网络络、通讯设设施的结构构审计，包包括财务系系统和非财财务系统的的应用审计计；支持其他审审计人员的的工作，为为财务审计计人员与经经营审计人人员提供技技术支持和和培训；为组织提供供增值服务务，为管理理信息系统统人员提供供技术、控控制与安全全指导；推推动风险自自评估程序序的执行；软件及硬件件供应商及及外包服务务商提供的的方案、产产品及服务务质量是否否与合同相相符审计；灾难恢复和和业务持续续计划审计计；对系统运营营效能、投投资回报率率及应用开开发测试审审计；系统的安全全审计；网站的信誉誉审计；全面控制审审计等。一个信息系系统不等同同于一台计计算机。今今天的信息息系统是复复杂的，

36、由由多个部分分组成以做做出商业解解决方案。只有各个个组成部分分通过了评评估，判定定安全，才才能保证整整个信息系系统的正常常工作。对对一个信息息系统审计计的主要组组成部分分分成以下几几类：信息系统的的管理、规规划与组织织评价信信息系统的的管理、计计划与组织织方面的策策略、政策策、标准、程序和相相关实务。信息系统技技术基础设设施与操作作实务评价组织织在技术与与操作基础础设施的管管理和实施施方面的有有效性及效效率，以确确保其充分分支持组织织的商业目目标.资产的保护护对逻辑辑、环境与与信息技术术基础设施施的安全性性进行评价价，确保其其能支持组组织保护信信息资产的的需要, 防止信息息资产在未未经授权的的

37、情况下被被使用、披披露、修改改、损坏或或丢失。灾难恢复与与业务持续续计划这些计划划是在发生生灾难时，能能够使组织织持续进行行业务,对对这种计划划的建立和和维护流程程需要进行行评价。应用系统开开发、获得得、实施与与维护对应用系系统的开发发、获得、实施与维维护方面所所采用的方方法和流程程进行评价价，以确保保其满足组组织的业务务目标。业务流程评评价与风险险管理评估业务务系统与处处理流程，确确保根据组组织的业务务目标对相相应风险实实施管理。2、信息系系统审计的的依据信息系统统审计师须须了解规划划、执行及及完成审计计工作的步步骤与技术术，并尽量量遵守国际际信息系统统审计与控控制协会的的一般公认认信息系统

38、统审计准则则、控制目目标和其他他法律与规规定。一般公认信信息系统审审计准则包括职职业准则、ISACCA公告和和职业道德德规范。职职业准则可可归类为：审计规章章、独立性性、职业道道德及规范范、专业能能力、规划划、审计工工作的执行行、报告、期后审计计。ISAACA公告告是信息系系统审计与与控制协会会对信息系系统审计一一般准则所所做的说明明。ISAACA职业业道德及规规范提供针针对协会会会员或信息息系统审计计认证（CCISA）持持有者有关关职业上及及个人的指指导规范。信息系统的的控制目标标信息系系统审计与与控制协会会在19966年公布的的COBIIT（Conttrol Objeectivves ff

39、or IInforrmatiion aand rrelatted TTechnnologgy）被国国际上公认认是最先进进、最权威威的安全与与信息技术术管理和控控制的标准准，目前已已经更新至至第三版。它在商业业风险、控控制需要和和技术问题题之间架起起了一座桥桥梁，以满满足管理的的多方面需需要。面向向业务是CCOBITT的主题。它不仅设设计用于用用户和审计计师，而且且更重要的的是可用于于全面指导导管理者与与业务过程程的所有者者。商业实实践中越来来越多的包包含了对业业务过程所所有者的全全面授权，因因此他们承承担着业务务过程所有有方面的全全部责任。特别的是是，这其中中包含着要要提供足够够的控制。Cob

40、iit 框架架为业务过过程所有者者提供了一一个工具，以以方便他们们承担责任任。其框架架包括四大大部分：架架构、控制制目标、审审计指南及及执行概要要。COBBIT架构构着重各项项处理的高高层次控制制，控制目目标则着重重于各项IIT处理或或对该架构构所包括的的34项IIT处理的的特定详细细控制目标标，每一项项IT处理理都有5至至25个详详细控制目目标，控制制目标使整整体架构和和详细控制制目标密切切对应，相相互一致。详细控制制目标有118种主要要来源，涵涵盖现行的的及法定有有关IT的的国际性准准则与规定定。这包括括对各项IIT工作所所建置的控控制程序拟拟达到的预预期结果或或目标的叙叙述，以提提供全球

41、所所有的产业业有关ITT控制的明明确方针及及实际最佳佳的应用。其他法律及及规定。每每个组织不不论规模大大小或属于于何种产业业，都需要要遵守政府府或外部对对与电脑系系统运作、控制，及及电脑、程程序、信息息的使用情情况等有关关的规定或或要求，对对于一向受受严格管制制的行业，尤尤其要注意意遵守。以以国际性银银行为例，若若因不良备备份及复原原程序而无无法提供适适当的服务务水准，其其公司及员员工将受严严重处罚。此外，由由于对EDDP及信息息系统的依依赖性加重重，许多国国家极力建建立更多有有关信息系系统审计的的规定。这这些规定内内容是关于于建置、组组织、责任任与财务及及业务操作作审计功能能的关联性性。有关

42、的的管理阶层层人员必须须考虑与组组织目标、计划及与与信息服务务部门/职职能/工作作的责任及及工作等有有关的外部部规定或要要求。信息系统审审计流程开始审计工工作的准备备包括收集集背景信息息，估计完完成审计需需要的资源源和技巧。包括合理理进行人员员分工。与与负责的高高级经理举举行一次正正式的开始始审计会议议，最后决决定范围，理理解特别关关注之处，如如果有的话话，制定日日程，解释释审计方法法。这样的的会议有高高级经理的的参与，使使人们互相相认识，阐阐明问题强强调商业关关注点，使使得审计工工作得以顺顺利进行。类似的，在在审计完成成后，也召召开一次正正式会议，向向高级经理理交流审计计结果，提提出改进建建

43、议。这将将确保进一一步的理解解，增加审审计建议的的接纳程度度。也给了了被审计者者一个机会会来表达他他们对提出出问题的观观点。会议议之后书写写报告，可可以大大增增加审计的的效果。开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制？是否仍可信赖内部控制？内部控制测试评价控制风险是否提高内部控制的信赖程度？扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否基于风险的的审计方法法很多组织意意识到技术术能带来的的潜在好处处。然而，成成功的组织织还能够理理解和管理理好与采用用新技术相相关的很多多风险。因因此，审计计从基于控控制（Coontrool-Baased）演演变为基

44、于于风险（RRisk-Baseed）的方方法,其内内涵包括企企业风险、确定风险险、风险评评估、风险险管理、风风险沟通。每个组织使使用许多信信息系统。对不同功功能和活动动有不同的的应用软件件，在不同同的地理区区域可能有有众多的计计算机配置置。审计者者面临的问问题是审计计什么，什什么时候及及审计频率率。其答案案是接纳基基于风险的的方法。信信息系统有有着与生俱俱来的风险险，这些风风险用不同同方式冲击击信息系统统。对繁忙忙的零售超超市，信息息系统哪怕怕一个小时时的不可用用都会对营营业系统造造成严重影影响。未授授权的修改改可能造成成对在线银银行系统的的欺诈及潜潜在损失。系统运行行的技术环环境也可能能影响

45、系统统的运行风风险。基于风险方方法来进行行审计的步步骤是：编制组织使使用的信息息系统清单单并对其进进行分类。决定哪些系系统影响关关键功能和和资产。评估哪些风风险影响这这些系统及及对商业运运做的冲击击。在上述评估估的基础上上对系统分分级，决定定审计优先先值，资源源，进度和和频率。审审计者可以以制定年度度审计计划划，罗列出出一年之中中要进行的的审计项目目。信息系统监监理与信息息系统审计计之对比分分析从前面两部部分的介绍绍可知，信信息系统审审计在国际际上已经体体系化、标标准化、程程序化，而而我国信息息系统监理理仅有最基基本的轮廓廓，积累了了一些经验验，但尚没没有形成完完整的方法法论。因此此，目前只只

46、能从概念念、发展动动因等方面面做较为宽宽泛的对比比。不过，对对比国际通通用体系，可可为我国发发展信息系系统监管体体系以及制制定相应的的管理制度度或实施细细则提供借借鉴。信息系统监监理与信息息系统审计计之对比，可可归纳出以以下特点：两者性质相相同，都是是第三方监监督，但对对独立性的的要求有差差别。两者都是立立足在第三三方的立场场，公平对对待委托方方与被监督督方，并要求确保保公正性、公平性，以以北京市市信息系统统工程监理理管理办法法为例，其其第十四条条是“信息系统统工程监理理单位应当当客观、公公平、公正正地执行监监理任务”，但是对对这一行业业赖以存在在并得以发发展的信条条和灵魂独立性性没做明确确要

47、求。而而信息系统统审计对第第三方的超超然独立要要求极其严严格，也因因此在保证证客观、公公正上更有有可操作性性。客观公正应应当是每个个信息系统统审计师和和监理工程程师职业道道德方面追追求的最高高目标，但但是人们很很难衡量其其在执行业业务时是否否已经达到到了客观公公正，如果果只作精神神上的要求求，那么准准则和要求求将变成牧牧师的布道道，职业人人员很难执执行，社会会公众很难难观察，所所以信息系系统审计准准则中有关关于审计师师独立性的的要求。有有关独立性性问题的系系统研究当当首推罗伯伯特.K.莫茨（RR.K.MMautzz）和侯赛赛因.A.夏拉夫（HH.A.ssharaaf）19961年出出版的审审计

48、哲学（Thee phiilosoophy of AAuditting）。其中对独独立性的讨讨论包含了了两个方面面：执业者者的独立性性(Praactittioneer-inndepeendennce)和和职业的独独立性（PProfeessioon-inndepeendennce）。前者包括括审计计划划的独立性性、审计过过程的独立立性和审计计报告的独独立性；后后者则是指指社会公众众对注册会计师师行业的一一种印象。曾任美国国注册会计计师协会职职业道德委委员会主席席的托马斯斯.G.希希金斯（TThomaas G Higggins）在在19622年对独立立性的概念念又进行了了进一步的的提升与概概括，他认

49、认为：“注注册会计师师必须拥有有的独立性性，实际上上有两种，实实质上的独独立性和形形式上的独独立性”。所谓形式式上的独立立性，是指指注册会计计师必须与与被审查企企业或个人人没有任何何特殊的利利益关系，如如不得拥有有被审查企企业股权或或担任其高高级职务，不不能是企业业的主要贷贷款人、资资产受托人人或与管理理当局有亲亲属关系，等等等。否则则，就会影影响注册会会计师公正正地执行业业务。形式式上的独立立性又可进进一步分为为组织上的的独立性、经济上的的独立性与与人员上的的独立性三三种。所谓谓实质上的的独立性，又又称为精神神独立性，即即认为独立立性是一种种精神状态态、一种自自信心以及及在判断时时不依赖和和

50、屈从于外外界的压力力和影响。它要求注注册会计师师在执业过过程中严格格保持超然然性，不能能主观袒护护任何一方方当事人，尤尤其不应使使自己的结结论依附或或屈从于持持反对意见见利益集团团或人士的的影响和压压力。由上上可知，实实质上的独独立性是无无形的，通通常是难以以观察和度度量的，而而形式上的的独立性则则是有形的的和可以观观察的。社社会公众通通常是透过过注册会计计师形式上上的独立性性来推测其其实质上的的独立性。因此，从从这个意义义上来说，形形式上的独独立性是实实质上的独独立性的载载体和重要要前提。由由此可见，形形式上独立立很重要，因因为它很好好界定，便便于准则规规范，在现现实环境中中有很好的的可执行

51、性性。因此我我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。国外信息系系统审计已已经发展为为较完善的的行业监督督体系。目前国内信信息系统审审计刚刚起起步，而信信息工程监监理还不够规范。国国家缺乏相相应的法律律、法规和和标准，至至今还没有有有效的管管理手段，在在委托方和和被委托方方之间也没没有一种协协调的机制制来建立两两者之

52、间的的信任。并并且我国行行业不规范范的责任往往往被轻易易地归咎于于政府监管管的不力；同样轻易易得到的结结论，是因因此要“加加强监管机机构的权力力和范围”。美国的的会计行业业规范不是是这么一种种逻辑。在在规范行业业行为中，政政府监管是是一个重要要的辅助措措施；而真真正起决定定性作用的的，是市场场中的制衡衡力量，以以及为这些些制衡力量量切实发挥挥作用而形形成的各种种正式或非非正式的制制度安排。美国注册会会计师行业业的管理机机制行业自自我管理和和外部约束束向结合发发挥了重要要作用。行行业自我管管理是通过过行业组织织、准则和和规则、监监督来实现现的，行业业外部约束束通过政府府组织、准准则和规则则、监督

53、和和实施来实实现。如美美国国会和和SEC监监管下的行业自自律。外部部监管以加加强管制的的可能性来来对行业施施加约束。而较强的的行政管制制，将在很很大程度上上限制会计计行业自主主发展的权权利和业务务拓展空间间，损害所所有从业者者的利益，因因此行业总总体上需要要以行业自自律来换取取行业自我我管制。如如果行业不不能自律，公公众要求国国会加强行行政管制的的压力使得得这种可能能性现实存存在。两者业务范范围和目的的均有所差差别。信息系统工工程监理和和信息系统统审计都是是对质量控控制的再控控制，但两两者业务范范围和目的的均有所差差别。1、两者业业务范围差差别信息系统工工程监理是是指具有信信息系统工工程监理资

54、资质的单位位，接受建建设单位的的委托，依依据国家和和本市有关关规定、信信息系统工工程建设标标准和工程程承建、监监理合同，对对信息系统统工程的质质量、进度度和投资方方面实施监监督。目前前主要应用用在信息化化工程建设设阶段。信息系统审审计是一个个获取并评评价证据，以以判断信息息系统是否否能够保证证资产的安安全、数据据的完整以以及有效率率地利用组组织的资源源并有效果果地实现组组织目标的的过程。它它是立足于于组织的战战略目标，为为有效的实实现组织战战略目标而而采取的一一切活动过过程都在审审计师的业业务之内。其业务范范围包括与与信息系统统有关的所所有领域，例例如信息系系统安全审审计、网誉誉审计、PPKI

55、/CCA审计、电子签名名审计业务务等。2、两者目目的差别信息系统工工程监理的的目的是保保证工程建建设质量、进度和投投资额满足足建设要求求。监理活活动随着工工程的完成成而结束。信息系统统审计的目目的是合理理保证信息息系统能够够保护资产产的安全、数据的完完整、系统统有效地实实现组织目目标并有效效率的利用用组织资源源，其核心心是信息系系统的效率率、效果。不仅包括括对建设过过程的审计计，更重要要的是对信信息系统的的运营审计计，向公众众出具审计计报告，鉴鉴证信息系系统能否保保护企业资资产安全，其其产生、传传递的信息息是否完整整，整个系系统是否有有效地实现现组织目标标并有效率率的利用组组织资源。只要信息息

56、系统在运运行，审计计活动一直直存在。另外，信息息系统工程程监理的过过程是可见见的，即对对项目成本本、进度和和质量与目目标出现的的偏差是可可见的，及及时纠正也也方便。但但信息系统统审计对信信息系统的的安全性、可靠性与与有效性的的认定具有有不可见性性，这也正正是信息系系统比工程程项目复杂杂的主要原原因。信息息系统建设设完毕，这这仅仅是信信息化的开开始，大量量的问题将将出现在信信息系统运运维阶段，因因此，从这这个角度而而言，信息息系统审计计是保证信信息系统质质量的行之之有效的方方法。信息系统审审计与方法法研究具有有科学化、规范化、智能化和和系统化的的特点。所谓科学化化，是指现现代审计技技术与方法法的

57、研究，已已经超越了了传统的经经验论，非非常强调把把科学手段段和经验总总结相结合合。比较典典型的例子子就是分析析性复核技技术的发展展。所谓分分析性复核核，其实质质就是将审审计人员掌掌握的一些些客观规律律总结出来来，测算出出被审计事事项的合理理预期值，再再与被审计计事项的实实际值相比比较，进一一步评估差差异的合理理性之后，确确定是否还还需要对被被审计事项项进行详细细测试。这这一个过程程，实际上上被许多审审计人员不不自觉地运运用了多年年，但通过过公式和比比率等形式式总结出来来，主动指指导审计人人员的实践践，却是最最近年年来审计技技术与方法法研究的一一大突出特特点。科学学化的另一一个表现就就是数学和和

58、统计学技技术在审计计中的运用用日益广泛泛，抽样统统计技术的的全面推广广就是例证证。所谓规范化化，是指审审计机构将将审计程序序设计与审审计技术方方法的运用用有机结合合，规范和和引导审计计人员运用用适当的审审计技术和和方法。以以往，审计计人员在运运用审计技技术和方法法的过程中中容易有较较大的随意意性，用与与不用，在在什么时候候用，如何何使用，都都没有规范范和约束，导导致整个审审计机构的的标准不统统一，质量量没有保证证。随着程程序导向式式审计软件件平台的开开发和广泛泛运用，越越来越多的的审计机构构开始把审审计技术与与方法融入入到规范的的审计程序序之中，要要求并指导导审计人员员合理运用用审计技术术。所

59、谓智能化化，强调的的就是将历历史经验总总结、科学学规律推导导和审计人人员的专业业判断结合合起来，指指导审计人人员得出合合理的审计计结论。在在审计过程程中，数学学、统计学学的分析结结果，都不不能完全替替代审计人人员的专业业判断，因因为在其利利用的数学学公式中，仍仍然有许多多变量需要要审计人员员主观确定定。在这种种情况下，越越来越多的的审计机构构，倾向于于在审计软软件中为审审计人员的的决策提供供参考。目目前，许多多审计机构构不惜花巨巨资，邀请请审计领域域的专家，分分析在各种种情况下常常见的审计计策略或方方法以及对对不同审计计结果的判判断标准。当然，对对审计而言言，智能化化永远都是是一个相对对的概念

60、，电电脑和机器器永远不能能替代审计计人员的决决策，但提提供决策辅辅助和参考考意见，确确实非常必必要。所谓系统化化，是指审审计战略（策策略）和审审计技术方方法的全面面协调。审审计战略（策策略）解决决的是要审审什么、想想达到什么么目的，审审计技术和和方法解决决的是怎么么审和怎么么达到目的的，这两者者的协调是是审计技术术与方法的的研究成果果得以全面面运用的关关键。回顾顾最近多年来审审计技术与与方法的研研究历程，可可以清晰地地发现，审审计技术的的研究和运运用完全是是在风险基基础审计理理论指导下下的开拓和和发展，而而脱离理论论指导的实实践经验总总结相对越越来越少。这一点给给我们的启启示在于，审审计技术与