信息系统监理与信息系统审计_第1页
信息系统监理与信息系统审计_第2页
信息系统监理与信息系统审计_第3页
信息系统监理与信息系统审计_第4页
信息系统监理与信息系统审计_第5页
已阅读5页,还剩29页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word信息系统监理(jin l)与信息系统审计:中国的实践(shjin)与美国的经验孙强 孟秀转摘要(zhiyo) 建立信息化建设(jinsh)的第三方监督对保证信息化建设(jinsh)的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生(chnshng)动因等进行比拟(bn),分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此根底上提出对我国信息系统监理事业开展的假设干建议。关键词 信息系统 信息系统监理 信息系统审计 比拟 独立性引言“信息化带开工业

2、化是我国长期的重要开展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带开工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已开展到一个新的阶段。各级政府正在积极推进“电子政务,许多城市及企业也已着手整合与升级其信息化应

3、用系统。可以预计,全国将有更多、更大的信息系统建设工程展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,工程管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一局部信息化工程失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。国内外的实践说明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为所制作的报告缺乏一贯性

4、或者是核对信息花费了太多时间的企业约占70。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40以上的企业年交易额超过20亿美元。其他主要调查结果如下答复目前的信息系统不能灵活因应变化的企业约占60;对于数据的精度表示担忧的企业约占60;60以上的企业正在筹划有关数据及信息的整合方案。这充分说明,信息系统的建设工程较之传统工业工程工程成功率更低,风险也更加突出。中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、

5、有序地推进信息化和落实领导小组会议精神的一项重要措施。目前,在国内的信息化工程工程建设中,绝大多数用户业主无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介入信息系统在我国还处于一个探索的过程中。我国参加(cnji)WTO后,鉴于(jiny)我国IT效劳(xio lo)业未来巨大的增长(zngzhng)空间,国际(gu

6、j)知名咨询参谋公司、专业技术效劳提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计效劳。因此当前监理事业的开展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,外乡监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以开展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。信息系统监理信息系统监理概念依据信息产业部?信息系统工程监理暂行规定?,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委

7、托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程工程实施的监督管理。信息系统监理产生动因及其开展1、信息系统监理产生动因分析监理工作、监理企业是我国在方案经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣开展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回忆建设工程监理的开展,将有助于对信息系统监理的认识。1988年7月建设部发布了?关于开展建设监理工作的通知?,随后又于1988年11月印发了?关于开展建设监理试点问题的假设干意见?,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制

8、定了?建设监理试行规定?,这是我国第一个比拟完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了?建设监理单位资质管理试行方法?和?监理工程师资格考试及注册试行方法?,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度的职能要求,随后,国家质量技术监督局拟定了?协调建立设备工程监理制度的方案?,在国家开展方案委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工

9、作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关工程要有监理公司监理,并作为申请贷款的工程单位获得贷款的根本条件。由此开始推行建设工程监理制度,监理事业得到持续快速开展,从而积累了一定经验,取得了积极成效。开展至今建立了一套比拟完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程工程,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向标准化、制度化、科学化方向迈进。但同时(tngsh)我国工程监理事业(shy)经过十多年的开展(kizhn),虽然取得了一定成绩,但也存在(cnzi)不少问题。如:监理人员整体素质不高、监理工作缺位、

10、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和开展(kizhn)能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比拟突出。2、信息系统监理的开展目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部公布?关于开展建设监理工作的通知?以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,但凡出问题的工程,监理也有问题。因此,要求参考建筑工程的管理方法对信息工程实施监理的呼声日益高涨,这既是信息工程用户业主的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方信息系统工程监理的出现。早在1

11、995年,原电子工业部就出台了?电子工程建设监理规定试行?。1996年,深圳市成立了全国第一家信息工程质量监督机构信息工程质量监督检验总站。1998年,西安协同软件股份经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的?深圳市信息工程管理方法?,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了?深圳市信息工程建设管理方法实施意见?,要求“市、区、镇人民政府及其所属部门使用财政性资金包括预算内资金、预算外资金、

12、事业收入等,投资规模在100万元以上的信息工程建设工程必须遵照本实施意见进行立项、招投标、监理、质量监督、验收。2002年7月,北京市信息化工作办公室制定了?北京市信息系统工程监理管理方法试行?,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承当监理业务。各级财政全部补助或者局部补助以及为社会提供公共效劳的重大信息化工程工程必须通过招标的方式选择信息系统工程监理单位,实行强制监理。 2002年11月,国家质量监督检验检疫总局公布?设备监理单位资格管理方法?,在该管理方法的21类设备工程专业中,涉及信息工程的共有三类,即信息网

13、络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理标准化工程正在加紧制定中,并且是作为电子政务标准化工程的一个子工程而提出的。预计在今年年底,监理标准就要完成,经过试用和修改后,将上升为国家标准。 2002年12月,信息产业部在广泛征求意见和开展试点工作的根底上,正式公布?信息系统工程监理暂行规定?,这标志着我国信息工程监理开始迈向科学化、专业化和标准化,也预示着在我国即将出现一个新的中介效劳行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察。但我国的信息系统工程监理目前仅仅是处在起步

14、阶段,事实上根据对国内信息化应用程度较高的行业部门如银行、证券、保险、气象、社保、旅游等和局部大型企业如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等30个样本作为调查对象的调查结果显示,对于大多数企业来说,工程监理是个新概念。只有30%的被调查者表示在某些信息化工程中使用过监理效劳。在70%未使用过工程监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化工程中引入监理还是第一次听说。图1 监理(jin l)效劳(xio lo)内容重要(zhngyo)程度引自胡敏?市场(shchng)呼唤工程(gngchng)监理?目前,我国还没有一套完善的I

15、T工程监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网工程的监理费为例,其采用了建筑行业的监理效劳收费标准2%-10%,支付的效劳费占整个工程资金支出的2%。广阔用户也反映,工程监理的标准如何才能做到公正、科学,工程监理的工作流程是否也应该标准,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加标准化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他开展很成熟的行业的监理相比,对IT工程的监理要难得

16、多。并且由于信息技术是一个新兴技术,它本身还在不断开展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。信息系统监理的根本理论信息系统监理的中心任务是科学地规划和控制工程工程的投资、进度和质量三大目标;监理的根本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程工程进行监督和管理,保证工程的顺利进行和工程质量。1、本钱控制本钱控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概预算进行审查;在

17、建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。2、进度控制进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络方案技术等科学手段,审查、修改实施组织设计和进度方案,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实现,最终保证工程建设总工期的实现。3、质量(zhling)控制质量(zhling)控制要贯穿在工程(gngchng)建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进

18、行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段(shudun)检查监督标准、标准(biozhn)的贯彻;以及通过阶段验收和竣工验收把好质量关等。3、合同管理合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。4、信息管理信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。5、协调协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。总之,三控两管一协调,构成了监理工作的主要内容。为完满地

19、完成监理根本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计工程实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测根底之上。其次要将既定目标准确、完整、具体地表达在合同条款中,绝不能有模糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。图2监理内容示意图信息系统监理的主要业务和依据1、信息系统监理的主要业务信息(xnx)系统(xtng)监理(jin l)的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据

20、国内信息系统监理的实践(shjin),其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及(yj)有关计算机和信息化建设的工程及工程。其业务内容具体如下:帮助建设单位做好工程需求分析,协助建设单位选择适宜的承建单位;审定承建单位的开工报告、系统实施方案、施工进度方案;对工程实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;审查和处理工程变更;参与工程质量和其他事故调查;调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;组织进行竣工验收测试。组织建设单位和承建单位完成工程移交。2、信息系统监理的依据信息系统监理的依据如下:

21、国务院颁发的?质量振兴纲要?;现行国家、各省、市、自治区的有关法律、法规、规定;国际、国内IT行业质量标准标准; 建设单位和承建单位的合同;将来还有国家标准,例如?信息化工程监理标准?等。信息系统监理的程序组建监理机构编制监理方案编制监理细那么实施监理参与验收并签署监理意见提交监理档案资料完成监理图3 信息系统监理的程序信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都表达在这四个阶段的监理工作中。信息系统审计(shn j)信息系统审计(shn j)概念信息系统审计是全部审计过程(guchng)的一个局部(jb),

22、信息系统审计(shn j)IS audit目前还没有固定通用的定义,美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。信息系统审计的目的是评估并提供反应、保证及建议。其关注之处可被分为如下三类:可用性商业高度依赖的信息系统能否在任何需要的时刻提供效劳?信息系统是否被完好保护以应对各种的损失和灾难?保密性系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?完整性信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?信息系统审计产

23、生动因及其开展1、信息系统审计产生动因分析关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计开展到计算机审计再开展到信息系统审计计算机审计的范围扩展,最后涵盖整个信息系统演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、标准的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对工程的技术、设备、进度、质量和风险进行控制,无法保证工程的实施成功。所以需要有第三方进行独立审计。2、信息系统审计在国际上的开展信息系统审计的开展是伴

24、随着信息技术的开展而开展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一局部资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的开展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术CAATs进行审计。八十年代、九十年代信息技术的进一步开展与普及

25、,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的平安性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%50%的速度增加,说明信息系统审计正逐渐受到重视。美国(mi u)在计算机进入实用阶段时就开始(kish)提出系统审计(shn j)SYSTEM AUDIT,从成

26、立(chngl)电子(dinz)数据处理审计协会EDPAA后更名为ISACA以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准那么、职业道德准那么等标准性文件,并开展了大量的理论研究,IT控制的开放式标准COBITControl Objectives for Information and Related Technology 已出版了第三版。3、信息系统审计在国内的开展目前国内有学者提出计算机审计,电算化审计,但根本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我

27、国在1999年公布了独立审计准那么第20号计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对参加WTO后全球一体化市场,我国IT效劳业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT效劳业开展的一次绝佳时机。信息系统审计的理论根底信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。如图3所示,信息系统审计是建立在四个理论根底之上的:传统审

28、计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产平安、保证信息完整,并能有效地实现企业目标的能力。信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的开展提高了系统保护资产平安、保证信息完整,并能有效地实现企业目标的能力。行为科学理论。人是信息系统平安最薄弱的环节,信息系统有时会因为人的问题而失败,比方对系统不满的用户成心破坏系统及其控制。因此审计人员必须了解哪

29、些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题。计算机科学。计算机科学本身的开展也在关注如何保护资产平安、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的开展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。图3 :IS审计的理论根底IS审计传统审计信息系统管理计算机科学行为科学信息(xnx)系统(xtng)审计的根本(gnbn)业务(yw)和依据1、信息系统审计(shn j

30、)的根本业务信息系统审计业务将随着信息技术的开展而开展,为满足信息使用者不断变化的需要而增加新的效劳内容,目前其根本业务如下:系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询效劳;主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;为组织提供增值效劳,为管理信息系统人员提供技术、控制与平安指导;推动风险自评估程序的执行;软件及硬件供给商及外包效劳商提供的方案、产品及效劳质量是否与合同相符审计;灾难恢复和业务持续方案审计;对系统运营效能、投资回报率及应用开

31、发测试审计;系统的平安审计;网站的信誉审计;全面控制审计等。一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个局部组成以做出商业解决方案。只有各个组成局部通过了评估,判定平安,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成局部分成以下几类:信息系统的管理、规划与组织评价信息系统的管理、方案与组织方面的策略、政策、标准、程序和相关实务。信息系统技术(jsh)根底(gnd)设施与操作实务评价组织(zzh)在技术与操作根底(gnd)设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业(shngy)目标.资产的保护对逻辑、环境与信息技术根底设施的平安性进行评价,确保

32、其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丧失。灾难恢复与业务持续方案这些方案是在发生灾难时,能够使组织持续进行业务,对这种方案的建立和维护流程需要进行评价。应用系统开发、获得、实施与维护对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。业务流程评价与风险管理评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。2、信息系统审计的依据信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准那么、控制目标和其他法律与规定。一般公认信

33、息系统审计准那么包括职业准那么、ISACA公告和职业道德标准。职业准那么可归类为:审计规章、独立性、职业道德及标准、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准那么所做的说明。ISACA职业道德及标准提供针对协会会员或信息系统审计认证CISA持有者有关职业上及个人的指导标准。信息系统的控制目标信息系统审计与控制协会在1996年公布的COBITControl Objectives for Information and related Technology被国际上公认是最先进、最权威的平安与信息技术管理和控制的标准,目前已经更新至第三

34、版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承当着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit 框架为业务过程所有者提供了一个工具,以方便他们承当责任。其框架包括四大局部:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标那么着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个

35、详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准那么与规定。这包括对各项IT工作所建置的控制程序拟到达的预期结果或目标的表达,以提供全球所有的产业有关IT控制的明确方针及实际最正确的应用。其他(qt)法律及规定。每个组织不管(bgun)规模大小(dxio)或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向(yxing)受严格管制的行业,尤其要注意遵守。以国际性银行为例,假设(jish)因不良备份及复原程序而无法提供适当的效劳水准,其公司及员工将受严

36、重处分。此外,由于对EDP及信息系统的依赖性加重,许多国家竭力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、方案及与信息效劳部门/职能/工作的责任及工作等有关的外部规定或要求。信息系统审计流程开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,说明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,

37、也召开一次正式会议,向高级经理交流审计结果,提出改良建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个时机来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否基于风险的审计(shn j)方法很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用(ciyng)新技术相关的很多风险。因此,审计从基于控制Control-Based演变

38、为基于(jy)风险Risk-Based的方法(fngf),其内涵包括(boku)企业风险、确定风险、风险评估、风险管理、风险沟通。每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。基于风险(fngxin)方法来进行审计的步骤是:编制组织(zzh

39、)使用的信息系统清单并对其进行分类。决定哪些系统(xtng)影响关键功能和资产。评估哪些(nxi)风险影响这些系统及对商业运做的冲击。在上述(shngsh)评估的根底上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定年度审计方案,罗列出一年之中要进行的审计工程。信息系统监理与信息系统审计之比照分析从前面两局部的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而我国信息系统监理仅有最根本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、开展动因等方面做较为宽泛的比照。不过,比照国际通用体系,可为我国开展信息系统监管体系以及制定相应的管理制度或实施细那么

40、提供借鉴。信息系统监理与信息系统审计之比照,可归纳出以下特点:两者性质相同,都是第三方监督,但对独立性的要求有差异。两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以?北京市信息系统工程监理管理方法?为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务,但是对这一行业赖以存在并得以开展的信条和灵魂独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经到达了客观公正,如果只作精神上的要

41、求,那么准那么和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准那么中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨R.K.Mautz和侯赛因.A.夏拉夫H.A.sharaf1961年出版的?审计哲学?The philosophy of Auditing。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitioner-independence)和职业的独立性Profession-independence。前者包括审计方案的独立性、审计过程的独立性和审计报告的独立性;后者那么是指社会公众对注册会计师行业的一种印象。曾任美国注册会计

42、师协会职业道德委员会主席的托马斯.G.希金斯Thomas G Higgins在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否那么,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以

43、及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性那么是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准那么标准,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信

44、任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业开展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。本文对注册会计师的讨论同样适用于信息系统审计师。国外信息系统审计(shn j)已经开展(kizhn)为较完善的行业(hngy)监督体系。目前(mqin)国内信息系统审计刚刚起步,而信息工程监理(jin l)还不够标准。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不标准的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的

45、结论,是因此要“加强监管机构的权力和范围。美国的会计行业标准不是这么一种逻辑。在标准行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。美国注册会计师行业的管理机制行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准那么和规那么、监督来实现的,行业外部约束通过政府组织、准那么和规那么、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主开展的权利和业务拓展空间,损害所有从业者的利益,

46、因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。两者业务范围和目的均有所差异。信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差异。1、两者业务范围差异信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的平安、数据的完整以及有效率地利用组织的资源并有效果地实现组织

47、目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统平安审计、网誉审计、PKI/CA审计、电子签名审计业务等。2、两者目的(md)差异(chy)信息系统工程监理的目的是保证工程建设质量、进度(jnd)和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够(nnggu)保护资产的平安(png n)、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计

48、报告,鉴证信息系统能否保护企业资产平安,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。另外,信息系统工程监理的过程是可见的,即对工程本钱、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的平安性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程工程复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。信息系统审计与方法研究具有科学化、标准化、智能化和系统化的特点。所谓科学化,是指

49、现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比拟典型的例子就是分析性复核技术的开展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比拟,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。所谓标准化,是指审计机构将审计程序

50、设计与审计技术方法的运用有机结合,标准和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有标准和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到标准的审计程序之中,要求并指导审计人员合理运用审计技术。所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多

51、变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计谋略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。所谓(suwi)系统化,是指审计战略策略(cl)和审计(shn j)技术方法的全面协调。审计战略策略(cl)解决(jiju)的是要审什么、想到达什么目的,审计技术和方法解决的是怎么审和怎么到达目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键

52、。回忆最近多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险根底审计理论指导下的开拓和开展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越根本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。信息系统审计具有较完善的职业教育和认证体系。国际信息系统审计与控制协会ISACAInformation System Audit and Control Association是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISACertified Information System Auditor资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与平安专业领域中取得成

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论