信息系统工程监理与IT审计有何异同?
来自:比特网
为了促进信息系统工程的良性发展,一些第三方机构借鉴传统建设工程的咨询、评估及监理经验,探索了信息系统工程监理的路子。近年来,为加强对这些信息系统工程的管理、提高审计业务的水平,我国借鉴国外经验,还引入了IT审计的方法和理念。
一、信息系统工程监理与IT审计的基本内容
在信息系统工程建设过程中,存在着一些不规范的情况。如项目可行性论证不充分;用户需求不全面、不准确;用户要求一变再变、工程进度一拖再拖;甲乙双方的合同书条文不规范,缺乏可执行性,或存在二义性;缺少对工程实施过程关键点的监理;缺乏合理的系统评测验收方案;等等。
为了促进信息系统工程的良性发展,一些第三方机构借鉴传统建设工程的咨询、评估及监理经验,探索了信息系统工程监理的路子。近年来,为加强对这些信息系统工程的管理、提高审计业务的水平,我国借鉴国外经验,还引入了IT审计的方法和理念。本文从多个方面对信息系统工程监理与IT审计进行比较和分析,理清对两者的理解,更好地发挥它们在各自领域的优势。
1 信息系统工程监理与IT审计的基本定义
关于信息系统工程监理定义,在《信息系统工程监理暂行规定》(信部信(2002)570号)、国家标准《信息化工程监理规范第一部分总则》(GB/T19668.1—2005)中都有较完善、确切的描述。
《信息系统工程监理暂行规定》中的定义:是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、标准规范和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
《信息化工程监理规范第一部分总则》(GB/T19668.1—2005)中,对信息系统工程监理的定义没有做特别的说明,但说明了它的基本内涵。该规分组成,即监理支撑要素、监理阶段、监理内容、监理对象和信息安全”,“参考模型表明,信息化工程的监理工作建立在监理支撑要素的基础上,在监理工作的各阶段结合各项监理内容,对监理对象进行监督和理顺,以保证信息化工程的建设达到预期的目标”,“监理机构在监理合同约定的范围内,依据监理规划和监理细则,结合监理对象的特点实施质量控制、进度控制、投资控制、合同管理、信息管理和协调,实现监理目标”。
日本通产省1996年对IT审计定义为:为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。
另外,国际信息系统审计领域的权威专家Ron-Weder将它定义为:收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
2 信息系统工程监理与IT审计的主要内容
信息系统工程监理业务内容一般包括项目的质量控制、进度控制、投资控制、变更控制、信息安全管理、知识产权管理,合同管理管理、信息管理,对项目的组织协调。根据我国信息系统工程监理实践,信息系统工程监理首要任务要确定质量、进度和投资额等建设目标,然后在项目实施过程中跟踪纠偏,有以下几个方面内容:
(1)质量控制主要是通过质量控制点在监理各个阶段进行控制。如招投标及准备阶段的主要质量控制点:项目建议书的审查、可行性研究报告的审查、承建单位技术资质的审核、承建单位提供的各类设计实施方案的审查;设计阶段的质量控制点:主要是项目总体方案的质量控制,包括工程总体技术方案、承包商提交的《项目计划》、工程质量保证计划和项目质量控制体系、工程进度计划等;实施阶段的质量控制点:督促承建单位完善工序控制、协助业主对严重质量隐患和质量问题进行处理、工程款支付签署质量认证等;验收阶段的质量控制点:验收资料准备、验收程序、验收内容等。
(2)进度目标控制是通过一系列手段,运用运筹学、网络计划等措施,使工程项目建设工期控制在项目计划工期以内。
(3)投资目标控制通过组织、技术、经济合同措施,分析项目实际投资不超过项目计划投资,主要是通过核实设备价格、审核修改设计和设计变更等手段加以控制。
(4)变更控制通过建立一个完整的变更控制系统,对变更进行有效的风险预测分析和有效监管。通常的变更有:需求变更、成本变更、合同变更等。
(5)信息安全管理主要是通过对信息系统方案设计进行审核、对设备选型进行把关和在实施过程中严格进行工程质量控制等措施,确保信息系统工程符合业主对信息安全的要求和国家相关信息安全规范。
(6)知识产权保护控制贯穿于整个项目的全过程,包括工程方案设计、设备选型、设备采购、软件开发等,信息系统工程监理工程师应按照国家有关知识产权保护的规定严格要求信息系统工程建设各方遵照执行。
(7)合同管理是手段,它是进行目标控制的有效工具。因此,合同管理必然是贯穿于监理活动的始终。
(8)信息管理包括文档管理在内也是做好监理的一项有效的工具,它是实现控制目标的基本前提。
(9)项目的组织协调是建设项目的一项重要内容,内容包括:人际关系、组织关系、资源供求、信息交换等方面。
IT审计业务内容包括计算机资源管理审计、硬件软件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计、安全审计等。根据国外IT审计实践资料及国内相关著作文献,IT审计有以下几个方面内容:
(1)信息系统的管理、规划与组织:评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
(2)信息技术基础设施与操作实务:评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。
(3)资产的保护:对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
(4)灾难恢复与业务持续计划:这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
(5)应用系统开发、获得、实施与维护:对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
(6)业务流程评价与风险管理:评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
二、信息系统工程监理与IT审计的关系及比较
通过对信息系统工程监理与IT审计的基本内容进行研究,下面将从两者的相似性、不同点以及两者的联系和发展对其进行分析。
1 信息系统工程监理与IT审计的相似性
由于信息系统工程具有投资大、高技术、高风险的特点,对信息系统进行严格规范的控制至关重要,信息系统工程监理和IT审计作为两种信息系统工程监管手段,二者都具有下列的特点:二者都是以管理为核心,以法律法规为保障,以技术为支撑,并以第三方的客观立场,目的都是为了提高信息系统工程安全和质量,降低信息化建设投资风险。
2 信息系统工程监理与IT审计的不同点
从信息系统工程监理和IT审计的定义和工作内容,我们可以看出二者的区别。区别主要反映在目标、作用、覆盖生命周期、与信息系统相关方的关系、使命的侧重点及不同点,并由此派生出的实施效果、控制手段、最终工作成果不同点。
(1)从管理定位分析,信息系统工程监理采取的是对工程项目进行管理,管理对象是信息系统工程的集成企业和设备供应商。而IT审计是对信息系统进行检查评价,没有管理对象,只有审计对象。
(2)从管理特点分析,信息系统工程监理是受业主单位委托,按照监理合同要求,协助业主单位监督检查信息系统工程项目实施;要解决的是在信息系统工程项目实施过程中的质量、进度和投资额等是否满足建设要求;重点是对实施过程的管理。IT审计是向IT审计对象的最高领导提出问题和建议;要解决的是信息系统有关的资产保护问题、数据完整性问题、系统有效性问题、系统效率问题;重点是对实施效果的评价。
(3)从管理效果分析,信息系统工程监理一般应用于信息系统工程项目的实施阶段,并随着信息系统工程项目实施的结束而结束;项目监理过程是可见的,即对项目成本、进度及质量的事前、事中、事后进行全过程控制;质量控制手段包括评审、旁站、抽查等;最终工作成果是经过验收的可以投入使用的信息系统。IT审计可以出现在信息系统生命周期的各个阶段,但IT审计的有效行为更适用于信息系统工程的运行使用过程中;对信息系统的安全性、可靠性与有效性的认定具有不可见性;IT审计的方法通常包括面谈法、问卷调查法、系统评审会等;最终工作成果主要是系统投入使用后的审计报告或信息系统生命周期每个阶段的审计报告。
(4)从管理目的分析,信息系统工程监理的目的是保证工程建设质量、进度和投资满足建设要求。监理活动随着工程的完成而结束。IT审计的目的是合理保证信息系统能够保护资产的安全、数据的·完整、有效地实现组织目标并有效地利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,还包括对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效地利用组织资源。只要信息系统在运行,审计活动可能一直存在。
3 信息系统工程监理与IT审计的联系
信息系统工程监理是借鉴国际上的先进做法和国内有关部门的经验,合我国实际,建立了一套有中国特色的“信息系统工程监理制度”,已开展的监理单位资质和监理工程师资格的管理工作正在逐步完善。关于IT审计,在国际上是由国际信息系统审计与控制协会(ISsAcA)管理,有一套正在逐步完善的国际通用的标准规范,在我国正在开展实践和研究。二者的具体内涵和技术含量等方面都有明显的不同,二者不可相互替代,是两个行业,但它们又有着紧密的联系。
(1)从规范化信息系统工程建设的管理来看,两者的控制各有侧重,缺一不可;
(2)IT审计是信息系统工程监理的延伸,监理大量信息系统工程建设的数据积累,为IT审计工作的开展打下了基础,同时IT审计标准,也为信息系统工程监理工作提供了部分量化的参考指标。
转自:[ /read.php?tid=11170&page=e&#a]read.php?tid=11170&page=e&#a[/url]
|