信息系统审计与信息系统监理比较分析2

1、信息系统监理与与信息系统审审计：中国的实践与美美国的经验孙强 孟秀转转摘要 建立立信息化建设设的第三方监监督对保证信信息化建设的的效益最大化化至关重要。本本文通过信息息系统监理和和信息系统审审计的概念、产产生动因等进进行比较，分分析我国信息息系统监理面面临的新问题题、新要求，并并介绍美国信信息系统审计计的实践经验验，在此基础础上提出对我我国信息系统统监理事业发发展的若干建建议。关键词 信信息系统 信息系统监监理 信息系系统审计 比比较 独立性性引言“信息化带动工工业化”是我我国长期的重要发发展战略，江泽民同志在十六大大的报告中指出：“实现工业化化仍然是我国国现代化进程程中艰巨的历历史性任务。信

2、信息化是我国国加快实现工工业化和现代代化的必然选选择。坚持以以信息化带动动工业化，以以工业化促进进信息化，走走出一条科技技含量高、经经济效益好、资资源消耗低、环环境污染少、人人力资源优势势得到充分发发挥的新型工工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。目前，各地区、各各部门都在认认真贯彻十六六大精神，十十分重视推进进信息化工作作，我国信息息化建设已经经进入新的阶阶段，我国信信息化事业已已发展到一个个新的阶段。各各级政府正在在积极推进“电子政务”，许多城市市及企业也已已着手整合与与升级其信息息化应用系统统。可以预计计，全国将有有更多、

3、更大大的信息系统统建设项目展展开。但是，在在信息化推进进过程中，存存在不同程度度上的一些问问题，主要表表现在规划制制订不够科学学，项目管理理不够严格，监监理机制不够够健全，系统统运行效益不不够明显。致致使相当一部部分信息化项项目失败或未未能实现预期期目标，浪费费了大量资源源。究其根源源主要原因之之一是信息化化建设第三方方监管机制的的缺失和标准准的不健全。国内外的实践表表明：信息化化是有风险的的，信息系统统规模越大，功功能越复杂，风风险也就越大大。英国Kaalido于于英国时间22001年112月12日日公布了有关关企业信息管管理的调查结结果。调查显显示，96的企业对于于本公司的信信息管理系统统

4、感到不满。关关于目前正在在使用的信息息系统，认为为所制作的的报告缺乏一一贯性或者者是核对信信息花费了太太多时间的的企业约占770。特别别引人深思的的是该调查是是由美国Haarte-HHanks以以全球5000强企业以及及财富10000企业中的的171家公公司为对象通通过问卷方式式实施的。调调查对象中，440以上的的企业年交易易额超过200亿美元。其其他主要调查查结果如下回答目前的的信息系统不不能灵活因应应变化的企业业约占60；对于数据据的精度表示示担心的企业业约占60；60以以上的企业正正在策划有关关数据及信息息的整合计划划。这充分说说明，信息系系统的建设项项目较之传统统工业工程项项目成功率更

5、更低，风险也也更加突出。中央领导同志在在国家信息化化领导小组第第一次会议中中特别强调：信息化建设设一定要讲求求效益，不能能搞花架子。因因此建立并逐逐步完善我国国信息系统审审计制度是健健康、有序地地推进信息化化和落实领导导小组会议精精神的一项重重要措施。目前，在国内的的信息化项目目工程建设中中，绝大多数数用户（业主主）无法组织织队伍对信息息系统建设进进行专业化管管理，难以胜胜任从可行性性分析、规划划设计、招标标、方案评审审到工程监理理和工程验收收全过程的管管理与组织协协调工作，建设方和承承建方在信息息建设过程中中存在严重的的信息不对称称问题。这表表现为借助外外援进行工程程管理咨询的案例越越来越多

6、，一一些省市的行行业主管部门门也开始在信信息系统建设设中推行由监监理进行工程程质量管理的的做法。但是是，监理介入入信息系统在我我国还处于一一个探索的过过程中。我国加入WTOO后，鉴于我我国IT服务务业未来巨大大的增长空间间，国际知名名咨询顾问公公司、专业技技术服务提供供商等纷纷抢抢滩我国市场场。在信息系系统第三方鉴鉴证业务方面面，他们提供供符合国际标标准的信息系系统审计服务务。因此当前前监理事业的的发展面临新新的形势，监监理工作外部部环境发生了了深刻变化，势势将对我国监监理企业形成成严重冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去？这是摆在每一个监理人面前的重大课题。每一个监理企

7、业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。信息系统监理信息系统监理概概念依据信息产业部部信息系统统工程监理暂暂行规定，信信息系统工程程监理是指依依法设立且具具备相应资质质的信息系统统工程监理单单位，受业主主单位委托，依依据国家有关关法律法规、技技术标准和信信息系统工程程监理合同，对对信息系统工工程项目实施施的监督管理理。信息系统监理产产生动因及其其发展1、信息系统监监理产生动因因分析监理工作、监理理企业是我国在在计划经济向向市场经济转转变的过程中中在建设领域域中应运而生生的，并取得得了有目共睹睹的显著成效效，直接促进进

8、了工程监理理业的繁荣发发展，这也导导致在通信业业工程建设、信信息系统建设设等方面监理理的出现。因因此，回顾建建设工程监理理的发展，将将有助于对信信息系统监理理的认识。1988年7月月建设部发布布了关于开开展建设监理理工作的通知知，随后又又于19888年11月印印发了关于于开展建设监监理试点问题题的若干意见见，使得试试点工作有章章可循。19989年，根根据初步试点点取得的经验验，建设部制制定了建设设监理试行规规定，这是是我国第一个个比较完备的的关于工程建建设监理的法法规文件，勾勾画出具有我我国特色的工工程建设监理理制度的初步步框架。19991年又分分别制定颁发发了建设监监理单位资质质管理试行办办

9、法和监监理工程师资资格考试及注注册试行办法法，建设监监理法规制度度进一步配套套完善。19993年，上上海市开始了了工程设备监监理制度的试试点工作。11998年，国国务院机构改改革后赋予了了国家质量技技术监督局“协协调建立设备备工程监理制制度”的职能能要求，随后后，国家质量量技术监督局局拟定了协协调建立设备备工程监理制制度的方案，在在国家发展计计划委员会的的指导和具体体参与下，会会同国务院有有关部门，在在国内有关技技术及咨询机机构的帮助、支支持下,完成成了设备监理理制度中有关关规章的起草草工作。此间间，世界银行行、国家开发发银行等亦曾曾规定，其贷贷款的有关项项目要有监理理公司监理，并并作为申请贷

10、贷款的项目单单位获得贷款款的基本条件件。由此开始推行行建设工程监监理制度，监监理事业得到到持续快速发发展，从而积累了一一定经验，取取得了积极成成效。发展至至今建立了一一套比较完整整的监理法规规体系，组成成了一支规模模较大的监理理队伍，监理理出一批优良良的工程项目目，监理工作作在工程建设设中发挥了重重要作用，得得到了各级领领导的支持，得得到了社会的的普遍认可，正正逐步向规范范化、制度化化、科学化方方向迈进。但同时我国工程程监理事业经经过十多年的发展展，虽然取得得了一定成绩绩，但也存在在不少问题。如如：监理人员员整体素质不不高、监理工工作缺位、监监理取费普遍遍较低、监理理市场竞争机机制不健全、监监

11、理企业缺乏乏自我积累和和发展能力、监监理责任不明明确、监理工工作缺乏系统统的理论研究究、宣传工作作滞后等问题题比较突出。2、信息系统监监理的发展目前信息系统工工程的现状类类似于二十世纪八十年代以前前建筑工程的的状态。自11988年建建设部颁布关关于开展建设设监理工作的的通知以后后，特别是11996年建建设监理全面面推行后，建建筑工程的质质量普遍提高高，业主和承承建商之间的的纠纷普遍减减少，凡是出出问题的工程程，监理也有有问题。因此此，要求参考考建筑工程的的管理办法对对信息工程实实施监理的呼呼声日益高涨涨，这既是信信息工程用户户（业主）的的愿望，也是是系统集成商商的愿望，信信息工程市场场呼唤“第

12、三三方”信息息系统工程监理理的出现。早在1995年年，原电子工工业部就出台台了电子工工程建设监理理规定（试行行）。19996年，深深圳市成立了了全国第一家家信息工程质质量监督机构构信息工程程质量监督检检验总站。1998年年，西安协同同软件股份有有限公司经西西安技术监督督局和西安市市科委批准，获获得“计算机机管理信息系系统工程监理理”资质认证证，成为国内内第一家获此此资格的公司司。19999年6月，深深圳市政府在在国内率先出出台了包括实实施信息工程程监理条款在在内的深圳圳市信息工程程管理办法，并并要求首届我我国国际高新新技术成果交交易会信息网网络工程实施施监理。2000年年7月，深圳圳市信息化建

13、建设委员会办办公室制订了了深圳市信信息工程建设设管理办法实实施意见，要要求“市、区区、镇人民政政府及其所属属部门使用财财政性资金（包包括预算内资资金、预算外外资金、事业业收入等），投投资规模在1100万元以以上的信息工工程建设项目目必须遵照本本实施意见进进行立项、招招投标、监理理、质量监督督、验收”。2002年7月，北京市信息化工作办公室制定了北京市信息系统工程监理管理办法（试行），要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的

14、方式选择信息系统工程监理单位，实行强制监理。” 2002年11月，国家质量监督检验检疫总局公布设备监理单位资格管理办法，在该管理办法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准管理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底，监理规范就要完成，经过试用和修改后，将上升为国家标准。 2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布信息系统工程监理暂行规定，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预

15、示着在我国即将出现一个新的中介服务行业，将很快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。但我国的信息系系统工程监理理目前仅仅是是处在起步阶阶段，事实上上根据对国内内信息化应用用程度较高的的行业部门（如银行、证证券、保险、气气象、社保、旅旅游等）和部分大型型企业（如华北制药药、哈尔滨轴轴承集团、哈哈尔滨飞机制制造企业、跃跃进汽车集团团、我国石化化等）30个样本本作为调查对对象的调查结果显显示，对于大大多数企业来来说，项目监监理是个新概概念。只有330%的被调调查者表示在在某些信息化化项目中使用用过监理服务务。在70%未使用过项项目监理的被被

16、调查者中，55%表示听说说过，95%表示知道建建筑工程有监监理，但在IIT信息化项项目中引入监监理还是第一一次听说。图1 监理服务务内容重要程程度（引自胡胡敏市场呼呼唤项目监理理）目前，我国还没没有一套完善善的IT项目目监理制度，相相应的监理法法规、监理内内容、收费标标准等也都没没有制定。特特别是收费标标准问题，大大多数用户采采用协商解决决。以北京城域网网项目的监理理费为例，其其采用了建筑筑行业的监理理服务收费标标准（2%-10%），支支付的服务费费占整个项目目资金支出的的2%。广大大用户也反映映，项目监理理的标准如何何才能做到公公正、科学，项项目监理的工工作流程是否否也应该规范范，如何界定和

17、和权衡监理公公司、用户、IIT厂商三方方利益？监理理过程中出了了问题，该怎怎么办？，这这一系列问题题都需要不断断探索。原北京京市信息中心心主任华平澜澜表示，只有有使监理更加加规范化，才才能更好地推推进监理工作作，才能使信信息系统的建建设更加顺利利。事实上，与建建筑等其他发发展很成熟的的行业的监理理相比，对IIT项目的监监理要难得多多。并且由于信息息技术是一个个新兴技术，它它本身还在不不断发展和完完善，因此，即使制定出出的监理的内内容和标准也也不能僵化，需需要不断地变变更和完善。信息系统监理的的基本理论信息系统监理的的中心任务是是科学地规划划和控制工程程项目的投资资、进度和质质量三大目标标;监理

18、的基基本方法是目目标规划、动动态控制、组组织协调和合合同管理；监监理工作贯穿穿规划、设计、实实施和验收的全过程程。信息工程程监理正是通过投资资控制、进度度控制、质量量控制以及合合同管理和信信息管理来对对工程项目进进行监督和管管理，保证工程的的顺利进行和和工程质量。1、成本控制成本控制的任务务，主要是在在建设前期进进行可行性研研究，协助建建设单位正确确地进行投资资决策；在设设计阶段对设设计方案、设设计标准、总总概（预）算算进行审查；在建设准备备阶段协助确确定标底和合合同造价；在在实施阶段审审核设计变更更，核实已完完成的工程量量，进行工程程进度款签证证和索赔控制制；在工程竣竣工阶段审核核工程结算。

19、2、进度控制进度控制首先要要在建设前期期通过周密分分析研究确定定合理的工期期目标，并在在实施前将工工期要求纳入入承包合同；在建设实施施期通过运筹筹学、网络计计划技术等科科学手段，审审查、修改实实施组织设计计和进度计划划，做好协调调与监督，排排除干扰，使使单项工程及及其分阶段目目标工期逐步步实现，最终终保证项目建建设总工期的的实现。3、质量控制质量控制要贯穿穿在项目建设设从可行性研研究、设计、建建设准备、实实施、竣工、启启用及用后维维护的全过程程。主要包括括组织设计方方案评比，进进行设计方案案磋商及图纸纸审核，控制制设计变更；在施工前通通过审查承建建单位资质等等；在施工中中通过多种控控制手段检查

20、查监督标准、规规范的贯彻；以及通过阶阶段验收和竣竣工验收把好好质量关等。3、合同管理合同管理是进行行投资控制、工工期控制和质质量控制的手手段。因为合合同是监理单单位站在公正正立场采取各各种控制、协协调与监督措措施，履行纠纠纷调解职责责的依据，也也是实施三大大目标控制的的出发点和归归宿。4、信息管理信息管理包括投投资控制管理理、设备控制制管理、实施施管理及软件件管理。5、协调协调贯穿在整个个信息系统工工程从设计到到实施再到验验收的全过程程。主要采用用现场和会议议方式进行协协调。总之，三控两管管一协调，构构成了监理工工作的主要内内容。为完满满地完成监理理基本任务，监监理单位首先先要协助建设设单位确

21、定合合理、优化的的三大目标，同同时要充分估估计项目实施施过程中可能能遇到的风险险，进行细致致的风险分析析与评估，研研究防止和排排除干扰的措措施以及风险险补救对策。使使三大目标及及其实现过程程建立在合理理水平和科学学预测基础之之上。其次要要将既定目标标准确、完整整、具体地体体现在合同条条款中，绝不不能有含糊、笼笼统和有漏洞洞的表述。最最后才是在信信息工程建设设实施中进行行主动的、不不间断的、动动态的跟踪和和纠偏管理。图2监理内容示示意图信息系统监理的的主要业务和和依据1、信息系统监监理的主要业业务信息系统监理的的主要业务范范围有信息网网络系统、信信息资源系统统、信息应用用系统的新建建、升级、改改

22、造工程。根根据国内信息息系统监理的的实践，其涵涵盖计算机工工程、网络工工程、通信工工程、结构化化布线工程、智智能大厦工程程、软件工程程、系统集成成工程以及有有关计算机和和信息化建设设的工程及项项目。其业务务内容具体如如下：帮助建设单位做做好项目需求求分析，协助助建设单位选择择合适的承建建单位；审定承建单位的的开工报告、系系统实施方案案、施工进度度计划；对项目实施的各各个阶段进行行有效的监督督和控制，帮帮助建设单位位控制工程进进度、投资和质量；审查和处理工程程变更；参与工程质量和和其他事故调调查；调解建设单位与与承包单位的的合同争议，处处理索赔、审审批工程延期期；组织进行竣工验验收测试。组织建设

23、单位和和承建单位完完成工程移交交。2、信息系统监监理的依据信息系统监理的的依据如下：国务院颁发的质质量振兴纲要要；现行国家、各省省、市、自治治区的有关法法律、法规、规规定；国际、国内ITT行业质量标标准规范； 建设单位和承建建单位的合同同；将来还有国家标标准，例如信信息化工程监监理规范等等。信息系统监理的的程序组建监理机构组建监理机构编制监理计划编制监理细则实施监理参与验收并签署监理意见提交监理档案资料完成监理图3 信息系统统监理的程序序信息系统工程监监理的特点是是全过程监理理，主要包括括四个阶段的的监理工作：招投标阶段段、设计阶段段、实施阶段段、验收阶段段。监理的目目标、方法和和程序都体现现

24、在这四个阶阶段的监理工工作中。信息系统审计信息系统审计概概念信息系统审计是是全部审计过过程的一个部部分，信息系系统审计（IIS auddit）目前前还没有固定定通用的定义义，美国信息息系统审计的的权威专家RRon Weeber将它它定义为“收集并评估估证据以决定定一个计算机机系统（信息息系统）是否否有效做到保保护资产、维维护数据完整整、完成组织织目标，同时时最经济的使使用资源”。信息系统审计的的目的是评估估并提供反馈馈、保证及建建议。其关注注之处可被分分为如下三类类：可用性商业业高度依赖的的信息系统能能否在任何需需要的时刻提提供服务？信信息系统是否否被完好保护护以应对各种种的损失和灾灾难？保密

25、性系统统保存的信息息是否仅对需需要这些信息息的人员开放放，而不对其其他任何人开开放？完整性信息息系统提供的的信息是否始始终保持正确确、可信、及及时？能否防防止未授权的的对系统数据据和软件的修修改？信息系统审计产产生动因及其其发展1、信息系统审审计产生动因因分析关于信息系统审审计的产生动动因，目前国际上上存在两种观观点：一种观点认为为是从会计审审计发展到计算机机审计再发展展到信息系统统审计（计算算机审计的范范围扩展，最最后涵盖整个个信息系统）演演变过来的；另外一种认认为由于信息息系统尤其是是大型信息系系统的建设是是一项庞大的的系统工程，它它投资大、周周期长、高技技术、高风险险，在系统的的建设过程

26、中中，对工程进进行严格、规规范的管理和和控制至关重重要。而正是是由于信息系系统工程所具具有的这些特特点，建设单单位往往由于于技术力量有有限，无力对对项目的技术术、设备、进进度、质量和风险进行控控制，无法保保证项目的实实施成功。所所以需要有第第三方进行独独立审计。2、信息系统审审计在国际上上的发展信息系统审计的的发展是伴随随着信息技术术的发展而发发展的。在数数据处理电算算化的初期，由由于人们对计计算机在数据据处理中的应应用所产生的的影响没有足足够的认识，认认为计算机处处理数据准确确可靠，不会会出现错弊，因因而很少对数数据处理系统统进行审计，主主要是对计算算机打印出的的一部分资料料进行传统的的手工

27、审计。随随着计算机在在数据处理系系统中应用的的逐步扩大，利利用计算机犯犯罪的案件不不断出现，使使审计人员认认识到要应用用计算机辅助助审计技术对对电子数据处处理系统本身身进行审计，即即EDI审计计。同时随着着社会经济的的发展，审计计对象、范围围越来越大，审审计业务也越越来越复杂，利利用传统的手手工方法已不不能及时完成成审计任务，必必须应用计算算机辅助审计计技术（CAAATs）进进行审计。八八十年代、九九十年代信息息技术的进一一步发展与普普及，使得企企业越来越依依赖信息及产产生信息的信信息系统。人人们开始更多多的关注信息息系统的安全全性、保密性性、完整性及及其实现企业业目标的效率率、效果，真真正意

28、义的信信息系统审计计才出现。随随着电子商务务的全球普及及，信息系统统的审计对象象、范围及内内容将逐渐扩扩大，采用的的技术也将日日益复杂。到到目前为止，信信息系统审计计在全球来看看，还是一个个新的业务，从从美国五大会会计师事务所所的数据看11990年拥拥有信息系统统审计师122名到近百名名，19955年已有5000名，到22000年时时，信息系统统审计师正以以40%50%的速速度增加，说说明信息系统统审计正逐渐渐受到重视。美国在计算机进进入实用阶段段时就开始提出系系统审计（SYSSTEM AAUDIT），从从成立电子数数据处理审计计协会（EDDPAA后更更名为ISAACA）以来来，从事系统统审计

29、活动已有有三十多年历历史，成为信信息系统审计计的主要推动动者，在全球球建有一百多多个分会，推推出了一系列列信息系统审审计准则、职职业道德准则则等规范性文文件，并开展展了大量的理理论研究，IIT控制的开开放式标准CCOBIT（CControol Objjectivves foor Infformattion aand Reelatedd Techhnologgy ）已出出版了第三版版。3、信息系统审审计在国内的的发展目前国内有学者者提出计算机机审计，电算算化审计，但但基本上停留留在对会计信信息系统的审审计上，延伸伸手工会计信信息系统审计计，尚未全面面探讨信息时时代给审计业业务带来的深深刻变化。以

30、以我国在19999年颁布布了独立审计计准则第200号计算机信信息系统环境境下的审计为为例，其更多多关注的是会会计信息系统统。在信息时时代，面对加加入WTO后后全球一体化化市场，我国国IT服务业业面临巨大的的挑战，开展展信息系统审审计业务不失失为推动我国国IT服务业业发展的一次次绝佳机会。信息系统审计的的理论基础信息系统审计不不仅仅是传统统审计业务的的简单扩展，信信息技术不单单影响传统审审计人员执行行鉴证业务的的能力，更重重要的是公司司和信息系统统管理者都认认识到信息资资产是组织最最有价值的资资产，和传统统资产一样需需要控制，组组织同时需要要审计人员提提供对信息资资产控制的评评价。因此信信息系统

31、审计计是一门边缘缘性学科，跨跨越多学科领领域。如图3所示，信信息系统审计计是建立在四四个理论基础础之上的：传统审计理论。传传统审计理论论为信息系统统审计提供了了丰富的内部部控制理论与与实践经验，以以保证所有交交易数据都被被正确处理。同同时收集并评评价证据的方方法论也在信信息系统审计计中广泛应用用，最为重要要的是传统审审计给信息系系统审计带来来的控制哲学学，即用谨慎慎的眼光审视视信息系统在在保护资产安安全、保证信信息完整，并并能有效地实实现企业目标标的能力。信息系统管理理理论。信息系系统管理理论论是一门关于于如何更好地地管理信息系系统的开发与与运行过程的的理论，它的的发展提高了了系统保护资资产安

32、全、保保证信息完整整，并能有效效地实现企业业目标的能力力。行为科学理论。人人是信息系统统安全最薄弱弱的环节，信信息系统有时时会因为人的的问题而失败败，比如对系系统不满的用用户故意破坏坏系统及其控控制。因此审审计人员必须须了解哪些行行为因素可能能导致系统失失败。这方面面行为科学特特别是组织学学理论解释了了组织中产生生的“人的问题”。计算机科学。计计算机科学本本身的发展也也在关注如何何保护资产安安全、保证信信息完整，并并能有效地实实现企业目标标。但是技术术是一把双刃刃剑，计算机机科学的发展展可以使审计计人员降低对对系统组件可可靠性的关注注，信息技术术的进步也可可能启发犯罪罪，例如一个个重要的问题题

33、是信息技术术在会计制度度中的应用是是否给罪犯提提供了较多缓缓冲时间？如如果是，那么么今天网络犯犯罪产生的社社会威胁较以以往任何时候候都要大。图3 ：IS审计的理论基础图3 ：IS审计的理论基础IS审计传统审计信息系统管理计算机科学行为科学信息系统审计的的基本业务和和依据1、信息系统审审计的基本业业务信息系统审计业业务将随着信信息技术的发发展而发展，为为满足信息使使用者不断变变化的需要而而增加新的服服务内容，目目前其基本业业务如下：系统开发审计，包包括开发过程程的审计、开开发方法的审审计，为ITT规划指导委委员会及变革革控制委员会会提供咨询服服务；主要数据中心、网网络、通讯设设施的结构审审计，包

34、括财财务系统和非非财务系统的的应用审计；支持其他审计人人员的工作，为为财务审计人人员与经营审审计人员提供供技术支持和和培训；为组织提供增值值服务，为管管理信息系统统人员提供技技术、控制与与安全指导；推动风险自自评估程序的的执行；软件及硬件供应应商及外包服服务商提供的的方案、产品品及服务质量量是否与合同同相符审计；灾难恢复和业务务持续计划审审计；对系统运营效能能、投资回报报率及应用开开发测试审计计；系统的安全审计计；网站的信誉审计计；全面控制审计等等。一个信息系统不不等同于一台台计算机。今今天的信息系系统是复杂的的，由多个部部分组成以做做出商业解决决方案。只有有各个组成部部分通过了评评估，判定安

35、安全，才能保保证整个信息息系统的正常常工作。对一一个信息系统统审计的主要要组成部分分分成以下几类类：信息系统的管理理、规划与组组织评价信息息系统的管理理、计划与组组织方面的策策略、政策、标标准、程序和和相关实务。信息系统技术基基础设施与操操作实务评价组织在在技术与操作作基础设施的的管理和实施施方面的有效效性及效率，以以确保其充分分支持组织的的商业目标.资产的保护对逻辑、环环境与信息技技术基础设施施的安全性进进行评价，确确保其能支持持组织保护信信息资产的需需要, 防止止信息资产在在未经授权的的情况下被使使用、披露、修修改、损坏或或丢失。灾难恢复与业务务持续计划这些计划划是在发生灾灾难时，能够够使

36、组织持续续进行业务,对这种计划划的建立和维维护流程需要要进行评价。应用系统开发、获获得、实施与与维护对应用系系统的开发、获获得、实施与与维护方面所所采用的方法法和流程进行行评价，以确确保其满足组组织的业务目目标。业务流程评价与与风险管理评估业务务系统与处理理流程，确保保根据组织的的业务目标对对相应风险实实施管理。2、信息系统审审计的依据信息系统审计计师须了解规规划、执行及及完成审计工工作的步骤与与技术，并尽尽量遵守国际际信息系统审审计与控制协协会的一般公公认信息系统统审计准则、控控制目标和其其他法律与规规定。一般公认信息系系统审计准则则包括职业业准则、ISSACA公告告和职业道德德规范。职业业

37、准则可归类类为：审计规规章、独立性性、职业道德德及规范、专专业能力、规规划、审计工工作的执行、报报告、期后审审计。ISAACA公告是是信息系统审审计与控制协协会对信息系系统审计一般般准则所做的的说明。ISSACA职业业道德及规范范提供针对协协会会员或信信息系统审计计认证（CIISA）持有有者有关职业业上及个人的的指导规范。信息系统的控制制目标信息系统统审计与控制制协会在1996年公公布的COBBIT（Contrrol Obbjectiives ffor Innformaation and rrelateed Tecchnoloogy）被国国际上公认是是最先进、最最权威的安全全与信息技术术管理和

38、控制制的标准，目目前已经更新新至第三版。它它在商业风险险、控制需要要和技术问题题之间架起了了一座桥梁，以以满足管理的的多方面需要要。面向业务务是COBIIT的主题。它它不仅设计用用于用户和审审计师，而且且更重要的是是可用于全面面指导管理者者与业务过程程的所有者。商商业实践中越越来越多的包包含了对业务务过程所有者者的全面授权权，因此他们们承担着业务务过程所有方方面的全部责责任。特别的的是，这其中中包含着要提提供足够的控控制。Cobbit 框架架为业务过程程所有者提供供了一个工具具，以方便他他们承担责任任。其框架包包括四大部分分：架构、控控制目标、审审计指南及执执行概要。CCOBIT架架构着重各项

39、项处理的高层层次控制，控控制目标则着着重于各项IIT处理或对对该架构所包包括的34项项IT处理的的特定详细控控制目标，每每一项IT处处理都有5至至25个详细细控制目标，控控制目标使整整体架构和详详细控制目标标密切对应，相相互一致。详详细控制目标标有18种主主要来源，涵涵盖现行的及及法定有关IIT的国际性性准则与规定定。这包括对对各项IT工工作所建置的的控制程序拟拟达到的预期期结果或目标标的叙述，以以提供全球所所有的产业有有关IT控制制的明确方针针及实际最佳佳的应用。其他法律及规定定。每个组织织不论规模大大小或属于何何种产业，都都需要遵守政政府或外部对对与电脑系统统运作、控制制，及电脑、程程序、

40、信息的的使用情况等等有关的规定定或要求，对对于一向受严严格管制的行行业，尤其要要注意遵守。以以国际性银行行为例，若因因不良备份及及复原程序而而无法提供适适当的服务水水准，其公司司及员工将受受严重处罚。此此外，由于对对EDP及信信息系统的依依赖性加重，许许多国家极力力建立更多有有关信息系统统审计的规定定。这些规定定内容是关于于建置、组织织、责任与财财务及业务操操作审计功能能的关联性。有有关的管理阶阶层人员必须须考虑与组织织目标、计划划及与信息服服务部门/职职能/工作的的责任及工作作等有关的外外部规定或要要求。信息系统审计流流程开始审计工作的的准备包括收收集背景信息息，估计完成成审计需要的的资源和

41、技巧巧。包括合理理进行人员分分工。与负责责的高级经理理举行一次正正式的开始审审计会议，最最后决定范围围，理解特别别关注之处，如如果有的话，制制定日程，解解释审计方法法。这样的会会议有高级经经理的参与，使使人们互相认认识，阐明问问题强调商业业关注点，使使得审计工作作得以顺利进进行。类似的的，在审计完完成后，也召召开一次正式式会议，向高高级经理交流流审计结果，提提出改进建议议。这将确保保进一步的理理解，增加审审计建议的接接纳程度。也也给了被审计计者一个机会会来表达他们们对提出问题题的观点。会会议之后书写写报告，可以以大大增加审审计的效果。开始开始审计工作预备工作了解内部控制结构评价控制风险是否信赖

42、内部控制？是否仍可信赖内部控制？内部控制测试评价控制风险是否提高内部控制的信赖程度？扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否基于风险的审计计方法很多组织意识到到技术能带来来的潜在好处处。然而，成成功的组织还还能够理解和和管理好与采采用新技术相相关的很多风风险。因此，审审计从基于控控制（Conntrol-Basedd）演变为基基于风险（RRisk-BBased）的的方法,其内内涵包括企业业风险、确定定风险、风险险评估、风险险管理、风险险沟通。每个组织使用许许多信息系统统。对不同功功能和活动有有不同的应用用软件，在不不同的地理区区域可能有众众多的计算机机配置。审计计者

43、面临的问问题是审计什什么，什么时时候及审计频频率。其答案案是接纳基于于风险的方法法。信息系统统有着与生俱俱来的风险，这这些风险用不不同方式冲击击信息系统。对对繁忙的零售售超市，信息息系统哪怕一一个小时的不不可用都会对对营业系统造造成严重影响响。未授权的的修改可能造造成对在线银银行系统的欺欺诈及潜在损损失。系统运运行的技术环环境也可能影影响系统的运运行风险。基于风险方法来来进行审计的的步骤是：编制组织使用的的信息系统清清单并对其进进行分类。决定哪些系统影影响关键功能能和资产。评估哪些风险影影响这些系统统及对商业运运做的冲击。在上述评估的基基础上对系统统分级，决定定审计优先值值，资源，进进度和频率

44、。审审计者可以制制定年度审计计计划，罗列列出一年之中中要进行的审审计项目。信息系统监理与与信息系统审审计之对比分分析从前面两部分的的介绍可知，信信息系统审计计在国际上已已经体系化、标标准化、程序序化，而我国国信息系统监监理仅有最基基本的轮廓，积积累了一些经经验，但尚没没有形成完整整的方法论。因因此，目前只只能从概念、发发展动因等方方面做较为宽宽泛的对比。不不过，对比国国际通用体系系，可为我国国发展信息系系统监管体系系以及制定相相应的管理制制度或实施细细则提供借鉴鉴。信息系统监理与与信息系统审审计之对比，可可归纳出以下下特点：两者性质相同，都都是第三方监监督，但对独独立性的要求求有差别。两者都是

45、立足在在第三方的立立场，公平对对待委托方与与被监督方，并要求确保公公正性、公平平性，以北北京市信息系系统工程监理理管理办法为为例，其第十十四条是“信息系统工工程监理单位位应当客观、公公平、公正地地执行监理任任务”，但是对这这一行业赖以以存在并得以以发展的信条条和灵魂独立性没做做明确要求。而而信息系统审审计对第三方方的超然独立立要求极其严严格，也因此此在保证客观观、公正上更更有可操作性性。客观公正应当是是每个信息系系统审计师和和监理工程师师职业道德方方面追求的最最高目标，但但是人们很难难衡量其在执执行业务时是是否已经达到到了客观公正正，如果只作作精神上的要要求，那么准准则和要求将将变成牧师的的布

46、道，职业业人员很难执执行，社会公公众很难观察察，所以信息息系统审计准准则中有关于于审计师独立立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的审计哲学（The philosophy of Auditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitioner-independence)和职业的独立性（Profession-independence）。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业

47、道德委员会主席的托马斯.G.希金斯（Thomas G Higgins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判

48、断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折

49、扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。国外信息系统审审计已经发展展为较完善的的行业监督体体系。目前国内信息系系统审计刚刚刚起步，而信信息工程监理理还不够规范。国家家缺乏相应的的法律、法规规和标准，至至今还没有有有效的管理手手段，在委托托方和被委托托方之间也没没有一种协调调的机制来建建立两者之间间的信任。并并且我国行业业不规范的责责任往往被轻轻易地归咎于于政府监管的的不力；同样样轻易得到的的结论，是因因此要

50、“加强强监管机构的的权力和范围围”。美国的的会计行业规规范不是这么么一种逻辑。在在规范行业行行为中，政府府监管是一个个重要的辅助助措施；而真真正起决定性性作用的，是是市场中的制制衡力量，以以及为这些制制衡力量切实实发挥作用而而形成的各种种正式或非正正式的制度安安排。美国注册会计师师行业的管理理机制行业自我我管理和外部部约束向结合合发挥了重要要作用。行业业自我管理是是通过行业组组织、准则和和规则、监督督来实现的，行行业外部约束束通过政府组组织、准则和和规则、监督督和实施来实实现。如美国国国会和SEEC监管下的行业自律律。外部监管管以加强管制制的可能性来来对行业施加加约束。而较较强的行政管管制，将

51、在很很大程度上限限制会计行业业自主发展的的权利和业务务拓展空间，损损害所有从业者的的利益，因此此行业总体上上需要以行业业自律来换取取行业自我管管制。如果行行业不能自律律，公众要求求国会加强行行政管制的压压力使得这种种可能性现实实存在。两者业务范围和和目的均有所所差别。信息系统工程监监理和信息系系统审计都是是对质量控制制的再控制，但但两者业务范范围和目的均均有所差别。1、两者业务范范围差别信息系统工程监监理是指具有有信息系统工工程监理资质质的单位，接接受建设单位位的委托，依依据国家和本本市有关规定定、信息系统统工程建设标标准和工程承承建、监理合合同，对信息息系统工程的的质量、进度度和投资方面面实

52、施监督。目前主要应用在信息化工程建设阶段。信息系统审计是是一个获取并并评价证据，以以判断信息系系统是否能够够保证资产的的安全、数据据的完整以及及有效率地利利用组织的资资源并有效果果地实现组织织目标的过程程。它是立足足于组织的战战略目标，为为有效的实现现组织战略目目标而采取的的一切活动过过程都在审计计师的业务之之内。其业务务范围包括与与信息系统有有关的所有领领域，例如信信息系统安全全审计、网誉誉审计、PKKI/CA审审计、电子签签名审计业务务等。2、两者目的差差别信息系统工程监监理的目的是是保证工程建建设质量、进进度和投资额额满足建设要要求。监理活活动随着工程程的完成而结结束。信息系系统审计的目

53、目的是合理保保证信息系统统能够保护资资产的安全、数数据的完整、系系统有效地实实现组织目标标并有效率的的利用组织资资源，其核心心是信息系统统的效率、效效果。不仅包包括对建设过过程的审计，更更重要的是对对信息系统的的运营审计，向向公众出具审审计报告，鉴鉴证信息系统统能否保护企企业资产安全全，其产生、传传递的信息是是否完整，整整个系统是否否有效地实现现组织目标并并有效率的利利用组织资源源。只要信息息系统在运行行，审计活动动一直存在。另外，信息系统统工程监理的的过程是可见见的，即对项项目成本、进进度和质量与与目标出现的的偏差是可见见的，及时纠纠正也方便。但但信息系统审审计对信息系系统的安全性性、可靠性

54、与与有效性的认认定具有不可可见性，这也也正是信息系系统比工程项项目复杂的主主要原因。信信息系统建设设完毕，这仅仅仅是信息化化的开始，大大量的问题将将出现在信息息系统运维阶阶段，因此，从从这个角度而而言，信息系系统审计是保保证信息系统统质量的行之之有效的方法法。信息系统审计与与方法研究具具有科学化、规规范化、智能能化和系统化化的特点。所谓科学化，是是指现代审计计技术与方法法的研究，已已经超越了传传统的经验论论，非常强调调把科学手段段和经验总结结相结合。比比较典型的例例子就是分析析性复核技术术的发展。所所谓分析性复复核，其实质质就是将审计计人员掌握的的一些客观规规律总结出来来，测算出被被审计事项的

55、的合理预期值值，再与被审审计事项的实实际值相比较较，进一步评评估差异的合合理性之后，确确定是否还需需要对被审计计事项进行详详细测试。这这一个过程，实实际上被许多多审计人员不不自觉地运用用了多年，但但通过公式和和比率等形式式总结出来，主主动指导审计计人员的实践践，却是最近近年来审审计技术与方方法研究的一一大突出特点点。科学化的的另一个表现现就是数学和和统计学技术术在审计中的的运用日益广广泛，抽样统统计技术的全全面推广就是是例证。所谓规范化，是是指审计机构构将审计程序序设计与审计计技术方法的的运用有机结结合，规范和和引导审计人人员运用适当当的审计技术术和方法。以以往，审计人人员在运用审审计技术和方

56、方法的过程中中容易有较大大的随意性，用用与不用，在在什么时候用用，如何使用用，都没有规规范和约束，导导致整个审计计机构的标准准不统一，质质量没有保证证。随着程序序导向式审计计软件平台的的开发和广泛泛运用，越来来越多的审计计机构开始把把审计技术与与方法融入到到规范的审计计程序之中，要要求并指导审审计人员合理理运用审计技技术。所谓智能化，强强调的就是将将历史经验总总结、科学规规律推导和审审计人员的专专业判断结合合起来，指导导审计人员得得出合理的审审计结论。在在审计过程中中，数学、统统计学的分析析结果，都不不能完全替代代审计人员的的专业判断，因因为在其利用用的数学公式式中，仍然有有许多变量需需要审计

57、人员员主观确定。在在这种情况下下，越来越多多的审计机构构，倾向于在在审计软件中中为审计人员员的决策提供供参考。目前前，许多审计计机构不惜花花巨资，邀请请审计领域的的专家，分析析在各种情况况下常见的审审计策略或方方法以及对不不同审计结果果的判断标准准。当然，对对审计而言，智智能化永远都都是一个相对对的概念，电电脑和机器永永远不能替代代审计人员的的决策，但提提供决策辅助助和参考意见见，确实非常常必要。所谓系统化，是是指审计战略略（策略）和和审计技术方方法的全面协协调。审计战战略（策略）解解决的是要审审什么、想达达到什么目的的，审计技术术和方法解决决的是怎么审审和怎么达到到目的，这两两者的协调是是审

58、计技术与与方法的研究究成果得以全全面运用的关关键。回顾最最近多年年来审计技术术与方法的研研究历程，可可以清晰地发发现，审计技技术的研究和和运用完全是是在风险基础础审计理论指指导下的开拓拓和发展，而而脱离理论指指导的实践经经验总结相对对越来越少。这这一点给我们们的启示在于于，审计技术术与方法的研研究，不能超超越基本审计计理论和审计计目标的研究究，也不能脱脱离审计战略略和审计目标标的总体要求求。信息系统审计具具有较完善的的职业教育和和认证体系。国际信息系统审审计与控制协协会ISACCA（Infformattion SSystemm Audiit andd Conttrol AAssociiationn）是唯一有有权授予国际际信息系统审审计师资格的的跨国界、跨跨行业专业机机构，该协会会成立于19969年，总总部在美国的的芝加哥。目目前在世界上上100多个个国家设有1160多个分分会，现有会会员两万多人人。注册信息息系统审计师师CISA（CCertiffied IInformmationn Systtem Auuditorr）资格由IISACA授授予，是信息息系统审计领领域的唯一职职业资格，受受到全世界的的广泛认可。由由于信息技术术的国际性，国国际信息系统统审计师资格格在