浅论信息监理与信息审计的关系

　　“信息化带动工业化”是我国长期的重要发展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。

　　国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70％。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；对于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

　　目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入新的阶段，我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，全国将有更多、更大的信息系统建设项目展开。但是，在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。

　　各级政府主管部门为了降低“电子政务”实施的成本，保证实施质量，既要保证满足各级部门的需求，又要做到不过度建设、不重复建设，急需要专业的咨询顾问来帮助进行电子政务的实施。信息系统监理和信息系统审计满足了政务电子政务建设的咨询需求，就是电子政务建设的护航者。

　　2 信息系统监理

　　信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。其核心内容为“四控三管一协调”，四控即质量控制、进度控制、成本控制、变更控制，三管即合同管理、信息管理、安全管理，一协调是组织协调。信息系统监理是信息系统监理单位代表建设单位对整个信息系统的建设进行的监督管理。监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。

　　总之，四控三管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。

　　信息系统工程监理的特点是全过程监理，主要包括四个阶段的监理工作：招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。

　　3 信息系统审计

　　信息系统审计是全部审计过程的一个部分，信息系统审计（IS audit）目前还没有固定通用的定义，美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。

　　信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：

　　·可用性--商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？

　　·保密性--系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？

　　·完整性--信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

　　关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计（计算机审计的范围扩展，最后涵盖整个信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点，建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行控制，无法保证项目的实施成功。所以需要有第三方进行独立审计。

　　信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。

　　信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容，目前其基本业务如下：

　　·系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革控制委员会提供咨询服务；

　　·主要数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；

　　·支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训；

　　·为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动风险自评估程序的执行；

　　·软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计；

　　·灾难恢复和业务持续计划审计；

　　·对系统运营效能、投资回报率及应用开发测试审计；

　　·系统的安全审计；

　　·网站的信誉审计；

　　·全面控制审计等。

　　4 信息系统监理与信息系统审计比较

　　信息系统监理与信息系统审计之对比，可归纳出以下特点：

　　4.1信息系统监理注重控制与管理，信息系统审计注重结果审查与汇报。

　　两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂--独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。

　　信息系统监理是对信息系统建设的全过程进行的咨询和管理活动，他受雇于项目建设方，代表建设方对工程的整个过程进行监督管理。既然是全过程管理，则需要对系统的施工过程进行监督和控制，信息系统监理是一个发现偏差、纠正偏差的闭环系统。信息系统监理不但要去发现工程施工中的质量、成本、进度、安全等要素中存在的问题，还要查找出现问题的原因，进而制定出纠正偏差的方法。事前预防是监理的首要手段，将一切影响项目的因素消灭在问题发生之前，降低项目风险出现的概率。对于出现的问题，要找到一个最优的解决方法，既要解决问题，又要降低成本，信息系统监理是站在管理者的角度来执行的一系列活动。

　　信息系统审计是对整个信息系统的开发过程中的产品、消耗以及行为进行的统计分析。信息审计关注系统的成本和开发过程是否正常，信息产品的功能、性能、安全是否达到系统要求，是一个查找问题的过程，而无需审计对过程进行控制。信息审计更多的是事后实施，对项目实施的过程进行审核，对实施的结果进行计算。审计的结果为建设方的决策提供依据，但是审计者本身是不会做决策。

　　4.2 两者性质相同，都是第三方监督，但对独立性的要求有差别

　　两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂--独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。

　　客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，但是人们很难衡量其在执行业务时是否已经达到了客观公正，如果只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员很难执行，社会公众很难观察，所以信息系统审计准则中有关于审计师独立性的要求。曾任美国注册会计师协会职业道德委员会主席的托马斯。G.希金斯（Thomas G Higgins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。

　　结束语：

　　信息系统监理与信息系统审计并不矛盾，他们两者之间有着紧密的联系，监理进行过程控制，审计进行结果评价，都是为了共同的目标：保证信息工程成功实施。两者之间有部分的工作重合，如监理的成本控制与审计的投资审计，都是进行成本管理，但是他们的关注点不同，因此两者都可以互不影响的实施。信息系统审计在国外已经发展成熟，而国内的信息系统监理还属于起步阶段，因此可以借鉴国外信息系统审计行业的相关经验对国内的信息系统监理行业进行参考。