一、信息系統(tǒng)工程監(jiān)理與IT審計的基本內容
在信息系統(tǒng)工程建設過程中,存在著一些不規(guī)范的情況。如項目可行性論證不充分;用戶需求不全面、不準確;用戶要求一變再變、工程進度一拖再拖;甲乙雙方的合同書條文不規(guī)范,缺乏可執(zhí)行性,或存在二義性;缺少對工程實施過程關鍵點的監(jiān)理;缺乏合理的系統(tǒng)評測驗收方案;等等。
為了促進信息系統(tǒng)工程的良性發(fā)展,一些第三方機構借鑒傳統(tǒng)建設工程的咨詢、評估及監(jiān)理經驗,探索了信息系統(tǒng)工程監(jiān)理的路子。近年來,為加強對這些信息系統(tǒng)工程的管理、提高審計業(yè)務的水平,我國借鑒國外經驗,還引入了IT審計的方法和理念。本文從多個方面對信息系統(tǒng)工程監(jiān)理與IT審計進行比較和分析,理清對兩者的理解,更好地發(fā)揮它們在各自領域的優(yōu)勢。
1 信息系統(tǒng)工程監(jiān)理與IT審計的基本定義
關于信息系統(tǒng)工程監(jiān)理定義,在《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》(信部信(2002)570號)、國家標準《信息化工程監(jiān)理規(guī)范第一部分總則》(GB/T19668.1—2005)中都有較完善、確切的描述。
《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》中的定義:是指依法設立且具備相應資質的信息系統(tǒng)工程監(jiān)理單位,受業(yè)主單位委托,依據(jù)國家有關法律法規(guī)、標準規(guī)范和信息系統(tǒng)工程監(jiān)理合同,對信息系統(tǒng)工程項目實施的監(jiān)督管理。
《信息化工程監(jiān)理規(guī)范第一部分總則》(GB/T19668.1—2005)中,對信息系統(tǒng)工程監(jiān)理的定義沒有做特別的說明,但說明了它的基本內涵。該規(guī)分組成,即監(jiān)理支撐要素、監(jiān)理階段、監(jiān)理內容、監(jiān)理對象和信息安全”,“參考模型表明,信息化工程的監(jiān)理工作建立在監(jiān)理支撐要素的基礎上,在監(jiān)理工作的各階段結合各項監(jiān)理內容,對監(jiān)理對象進行監(jiān)督和理順,以保證信息化工程的建設達到預期的目標”,“監(jiān)理機構在監(jiān)理合同約定的范圍內,依據(jù)監(jiān)理規(guī)劃和監(jiān)理細則,結合監(jiān)理對象的特點實施質量控制、進度控制、投資控制、合同管理、信息管理和協(xié)調,實現(xiàn)監(jiān)理目標”。
日本通產省1996年對IT審計定義為:為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的IT審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價,向IT審計對象的最高領導,提出問題與建議的一連串的活動。
另外,國際信息系統(tǒng)審計領域的權威專家Ron-Weder將它定義為:收集并評估證據(jù)以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效做到保護資產、維護數(shù)據(jù)完整、完成組織目標,同時最經濟地使用資源。
2 信息系統(tǒng)工程監(jiān)理與IT審計的主要內容
信息系統(tǒng)工程監(jiān)理業(yè)務內容一般包括項目的質量控制、進度控制、投資控制、變更控制、信息安全管理、知識產權管理,合同管理管理、信息管理,對項目的組織協(xié)調。根據(jù)我國信息系統(tǒng)工程監(jiān)理實踐,信息系統(tǒng)工程監(jiān)理首要任務要確定質量、進度和投資額等建設目標,然后在項目實施過程中跟蹤糾偏,有以下幾個方面內容:
(1)質量控制主要是通過質量控制點在監(jiān)理各個階段進行控制。如招投標及準備階段的主要質量控制點:項目建議書的審查、可行性研究報告的審查、承建單位技術資質的審核、承建單位提供的各類設計實施方案的審查;設計階段的質量控制點:主要是項目總體方案的質量控制,包括工程總體技術方案、承包商提交的《項目計劃》、工程質量保證計劃和項目質量控制體系、工程進度計劃等;實施階段的質量控制點:督促承建單位完善工序控制、協(xié)助業(yè)主對嚴重質量隱患和質量問題進行處理、工程款支付簽署質量認證等;驗收階段的質量控制點:驗收資料準備、驗收程序、驗收內容等。
(2)進度目標控制是通過一系列手段,運用運籌學、網(wǎng)絡計劃等措施,使工程項目建設工期控制在項目計劃工期以內。
(3)投資目標控制通過組織、技術、經濟合同措施,分析項目實際投資不超過項目計劃投資,主要是通過核實設備價格、審核修改設計和設計變更等手段加以控制。
(4)變更控制通過建立一個完整的變更控制系統(tǒng),對變更進行有效的風險預測分析和有效監(jiān)管。通常的變更有:需求變更、成本變更、合同變更等。
(5)信息安全管理主要是通過對信息系統(tǒng)方案設計進行審核、對設備選型進行把關和在實施過程中嚴格進行工程質量控制等措施,確保信息系統(tǒng)工程符合業(yè)主對信息安全的要求和國家相關信息安全規(guī)范。
(6)知識產權保護控制貫穿于整個項目的全過程,包括工程方案設計、設備選型、設備采購、軟件開發(fā)等,信息系統(tǒng)工程監(jiān)理工程師應按照國家有關知識產權保護的規(guī)定嚴格要求信息系統(tǒng)工程建設各方遵照執(zhí)行。
(7)合同管理是手段,它是進行目標控制的有效工具。因此,合同管理必然是貫穿于監(jiān)理活動的始終。
(8)信息管理包括文檔管理在內也是做好監(jiān)理的一項有效的工具,它是實現(xiàn)控制目標的基本前提。
(9)項目的組織協(xié)調是建設項目的一項重要內容,內容包括:人際關系、組織關系、資源供求、信息交換等方面。
IT審計業(yè)務內容包括計算機資源管理審計、硬件軟件等獲取審計、系統(tǒng)軟件審計、程序審計、數(shù)據(jù)完整性審計、系統(tǒng)生命周期審計、應用系統(tǒng)開發(fā)審計、系統(tǒng)維護審計、操作審計、安全審計等。根據(jù)國外IT審計實踐資料及國內相關著作文獻,IT審計有以下幾個方面內容:
(1)信息系統(tǒng)的管理、規(guī)劃與組織:評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。
(2)信息技術基礎設施與操作實務:評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標。
(3)資產的保護:對邏輯、環(huán)境與信息技術基礎設施的安全性進行評價,確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
(4)災難恢復與業(yè)務持續(xù)計劃:這些計劃是在發(fā)生災難時,能夠使組織持續(xù)進行業(yè)務,對這種計劃的建立和維護流程需要進行評價。
(5)應用系統(tǒng)開發(fā)、獲得、實施與維護:對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業(yè)務目標。
(6)業(yè)務流程評價與風險管理:評估業(yè)務系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務目標對相應風險實施管理。
二、信息系統(tǒng)工程監(jiān)理與IT審計的關系及比較
通過對信息系統(tǒng)工程監(jiān)理與IT審計的基本內容進行研究,下面將從兩者的相似性、不同點以及兩者的聯(lián)系和發(fā)展對其進行分析。
1 信息系統(tǒng)工程監(jiān)理與IT審計的相似性
由于信息系統(tǒng)工程具有投資大、高技術、高風險的特點,對信息系統(tǒng)進行嚴格規(guī)范的控制至關重要,信息系統(tǒng)工程監(jiān)理和IT審計作為兩種信息系統(tǒng)工程監(jiān)管手段,二者都具有下列的特點:二者都是以管理為核心,以法律法規(guī)為保障,以技術為支撐,并以第三方的客觀立場,目的都是為了提高信息系統(tǒng)工程安全和質量,降低信息化建設投資風險。
2 信息系統(tǒng)工程監(jiān)理與IT審計的不同點
從信息系統(tǒng)工程監(jiān)理和IT審計的定義和工作內容,我們可以看出二者的區(qū)別。區(qū)別主要反映在目標、作用、覆蓋生命周期、與信息系統(tǒng)相關方的關系、使命的側重點及不同點,并由此派生出的實施效果、控制手段、最終工作成果不同點。
(1)從管理定位分析,信息系統(tǒng)工程監(jiān)理采取的是對工程項目進行管理,管理對象是信息系統(tǒng)工程的集成企業(yè)和設備供應商。而IT審計是對信息系統(tǒng)進行檢查評價,沒有管理對象,只有審計對象。
(2)從管理特點分析,信息系統(tǒng)工程監(jiān)理是受業(yè)主單位委托,按照監(jiān)理合同要求,協(xié)助業(yè)主單位監(jiān)督檢查信息系統(tǒng)工程項目實施;要解決的是在信息系統(tǒng)工程項目實施過程中的質量、進度和投資額等是否滿足建設要求;重點是對實施過程的管理。IT審計是向IT審計對象的最高領導提出問題和建議;要解決的是信息系統(tǒng)有關的資產保護問題、數(shù)據(jù)完整性問題、系統(tǒng)有效性問題、系統(tǒng)效率問題;重點是對實施效果的評價。
(3)從管理效果分析,信息系統(tǒng)工程監(jiān)理一般應用于信息系統(tǒng)工程項目的實施階段,并隨著信息系統(tǒng)工程項目實施的結束而結束;項目監(jiān)理過程是可見的,即對項目成本、進度及質量的事前、事中、事后進行全過程控制;質量控制手段包括評審、旁站、抽查等;最終工作成果是經過驗收的可以投入使用的信息系統(tǒng)。IT審計可以出現(xiàn)在信息系統(tǒng)生命周期的各個階段,但IT審計的有效行為更適用于信息系統(tǒng)工程的運行使用過程中;對信息系統(tǒng)的安全性、可靠性與有效性的認定具有不可見性;IT審計的方法通常包括面談法、問卷調查法、系統(tǒng)評審會等;最終工作成果主要是系統(tǒng)投入使用后的審計報告或信息系統(tǒng)生命周期每個階段的審計報告。
(4)從管理目的分析,信息系統(tǒng)工程監(jiān)理的目的是保證工程建設質量、進度和投資滿足建設要求。監(jiān)理活動隨著工程的完成而結束。IT審計的目的是合理保證信息系統(tǒng)能夠保護資產的安全、數(shù)據(jù)的·完整、有效地實現(xiàn)組織目標并有效地利用組織資源,其核心是信息系統(tǒng)的效率、效果。不僅包括對建設過程的審計,還包括對信息系統(tǒng)的運營審計,向公眾出具審計報告,鑒證信息系統(tǒng)能否保護企業(yè)資產安全,其產生、傳遞的信息是否完整,整個系統(tǒng)是否有效地實現(xiàn)組織目標并有效地利用組織資源。只要信息系統(tǒng)在運行,審計活動可能一直存在。
3 信息系統(tǒng)工程監(jiān)理與IT審計的聯(lián)系
信息系統(tǒng)工程監(jiān)理是借鑒國際上的先進做法和國內有關部門的經驗,合我國實際,建立了一套有中國特色的“信息系統(tǒng)工程監(jiān)理制度”,已開展的監(jiān)理單位資質和監(jiān)理工程師資格的管理工作正在逐步完善。關于IT審計,在國際上是由國際信息系統(tǒng)審計與控制協(xié)會(ISsAcA)管理,有一套正在逐步完善的國際通用的標準規(guī)范,在我國正在開展實踐和研究。二者的具體內涵和技術含量等方面都有明顯的不同,二者不可相互替代,是兩個行業(yè),但它們又有著緊密的聯(lián)系。
(1)從規(guī)范化信息系統(tǒng)工程建設的管理來看,兩者的控制各有側重,缺一不可;
(2)IT審計是信息系統(tǒng)工程監(jiān)理的延伸,監(jiān)理大量信息系統(tǒng)工程建設的數(shù)據(jù)積累,為IT審計工作的開展打下了基礎,同時IT審計標準,也為信息系統(tǒng)工程監(jiān)理工作提供了部分量化的參考指標。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息系統(tǒng)工程監(jiān)理與IT審計有何異同?
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121824250.html