信息系统工程监理与IT审计.pdf

计算机科学2 0 0 7 V o i 3 4 N o i 0 ( 专刊) 信息系统工程监理与I T 审计 R e l a t i o n sb e t w e e nI n f o r m a t i o nS y s t e mE n g i n e e r i n gS u r v e i l l a n c ea n dI TA u d i t 董火民1刘学成2 周呜乐3王崇新3 ( 山东省计算中心济南2 5 0 0 1 4 ) 1 ( 信息产业部计算机信息系统集成资质认证工作办公室北京1 0 0 8 4 6 ) 2 ( 山东正中计算机网络技术咨询有限公司济南2 5 0 0 1 4 ) 3 摘要简述了当前信息系统工程建设过程中存在的问题，对第三方管理模式兴起缘由做了探讨，对信息系统工 程监理及I T 审计的发展情况做了简述重点总结了信息系统工程监理与I T 审计的主要内容、特点。比较了二者 的相似性、不同点、相互间的联系以及在实践中的发展情况，并对二者将来的发展提出了建议。 关键词信息系统工程，信息系统工程监理，I T 审计 1 引言 进入二十一世纪，信息系统工程建设正处于日 新月异的发展时期，具有行业新颖、从业人员年轻、 科技含量高、智力密集、所涉及的领域宽广、对实践 经验要求高等特点。但整体看，信息系统工程的市 场不规范、政策法规不完善、缺少监督管理机制、对 信息资源安全保密的防范措施重视不够。 在实际的信息系统工程建设过程中，存在着一 些不规范的情况。如项目可行性论证不充分；用户 需求不全面、不准确；用户要求一变再变、工程进度 一拖再拖；甲乙双方的合同书条文不规范，缺乏可执 行性，或存在二义性；缺少对工程实施过程关键点的 监理；缺乏合理的系统评测验收方案；工程结束后， 承建单位没有提交与工程有关的文档资料，严重影 响了工程的连续性、继承性、可扩展性；工程长时间 不能投入正常运行、工程款一再拖欠，承建单位也迟 迟拿不到工程款等等。凡此种种，造成许多信息系 统工程项目不成功、不完善，严重地影响了信息系统 工程项目的质量和进度，不仅损害了合同签约双方 ( 建设单位和承建单位) 的利益，还给国家和社会造 成了许多不应有的损失。 为了促进信息系统工程的良性发展，与信息系 统工程建设相关的主管部门、建设单位、承建单位、 科研机构或组织，从不同的角度探索对信息系统工 程的第三方管理策略、控制理论和方法。借鉴传统 建设工程的咨询、评估及监理经验，一些第三方机构 探索了信息系统工程监理的路子。截至目前，信息 系统工程监理方向发展比较迅速，也比较规范化，效 果良好。近年来，在一些审计、金融、银行领域，随着 信息系统工程建设的深入，为加强对这些信息系统 工程的管理、提高审计业务的水平，借鉴国外的经 验，引入了I T 审计的方法、理念。 本文从多个方面对信息系统工程监理与I T 审 计进行比较和分析，理清对两者的理解，更好地发挥 它们在各自领域的优势。 2 信息系统工程监理与r r 审计的基本内容 如前所述，由于信息系统工程监理、I T 审计它 们各自产生的出发点不同，因此，它们的定义、内容 以及所表现的形式等方面也各有特色，主要区别分 析如下。 2 1信息系统工程监理与审计的基本定义 关于信息系统工程监理定义，在信息系统工程 监理暂行规定( 信部信( 2 0 0 2 ) 5 7 0 号) 、国家标准 信息化工程监理规范第一部分总则( G B T 1 9 6 6 8 1 2 0 0 5 ) 中都有较完善、确切的描述。 信息系统工程监理暂行规定中的定义：是指 依法设立且具备相应资质的信息系统工程监理单 位，受业主单位委托，依据国家有关法律法规、标准 规范和信息系统工程监理合同，对信息系统工程项 目实施的监督管理。 信息化工程监理规范第一部分总则( G B T 1 9 6 6 8 1 2 0 0 5 ) 中，对信息系统工程监理的定义 没有做特别的说明，但说明了它的基本内涵。该规 范提出“信息化工程监理规范技术参考模型由五部 董火民副研究员，硕士，主要研究方向是信息技术咨询、信息系统标准化 刘学成高级工程师，信息系统工程监理管理研究；周鸣乐工程 师，硕士研究生，主要研究方向为信息系统工程咨询、项目管理与标准化 王崇新高级工程师，硕士，主要研究方向为信息系统工程咨询、项目 管理 1 5 5 分组成，即监理支撑要素、监理阶段、监理内容、监理 对象和信息安全”，“参考模型表明，信息化工程的监 理工作建立在监理支撑要素的基础上，在监理工作 的各阶段结合各项监理内容，对监理对象进行监督 和理顺，以保证信息化工程的建设达到预期的目 标”，“监理机构在监理合同约定的范围内，依据监理 规划和监理细则，结合监理对象的特点实施质量控 制、进度控制、投资控制、合同管理、信息管理和协 调，实现监理目标”。 信息系统控制与审计协会( I n f o r m a t i o nS y s t e m A u d i ta n dC o n t r o lA s s o c i a t i o n ) 没有对I T 审计给出 统一的定义，但给出了I T 治理的定义，国际信息系 统审计与控制协会( I S A C A ) 定义：I T 治理是一个由 关系和过程所构成的体系，用于指导和控制企业，通 过平衡信息技术与过程的风险、增加价值来确保实 现企业的目标。其相关的行业从业专家或组织给出 了较为准确的定义。 日本通产省1 9 9 6 年对I T 审计定义为：为了信 息系统的安全、可靠与有效，由独立于审计对象的 I T 审计师，以第三方的客观立场对以计算机为核心 的信息系统进行综合的检查与评价，向I T 审计对 象的最高领导，提出问题与建议的一连串的活动。 另外，国际信息系统审计领域的权威专家R o n - W e d e r 将它定义为：收集并评估证据以判断一个计 算机系统( 信息系统) 是否有效做到保护资产、维护 数据完整、完成组织目标，同时最经济地使用资源。 另一参考定义：信息系统审计是一个过程，在此 过程中搜集和评估证据以确定信息系统和相关资源 是否充分保护资产、维持数据和系统完整性、提供相 关和可靠信息、有效实现组织机构目标、有效使用资 源、包含有效内部控制以提供运营和控制目标得到 满足的合理保障。 2 2 信息系统工程监理与1 1 审计的主要内容 信息系统工程监理业务内容一般包括项目的质 量控制、进度控制、投资控制、变更控制、信息安全管 理、知识产权管理，合同管理管理、信息管理，对项目 的组织协调。根据我国信息系统工程监理实践，信 息系统工程监理首要任务要确定质量、进度和投资 额等建设目标，然后在项目实施过程中跟踪纠偏，有 以下几个方面内容： ( 1 ) 质量控制主要是通过质量控制点在监理各 个阶段进行控制。如招投标及准备阶段的主要质量 控制点：项目建议书的审查、可行性研究报告的审 查、承建单位技术资质的审核、承建单位提供的各类 设计实施方案的审查；设计阶段的质量控制点：主要 是项目总体方案的质量控制，包括工程总体技术方 案、承包商提交的项目计划、工程质量保证计划和 项目质量控制体系、工程进度计划等；实施阶段的质 】5 6 量控制点：督促承建单位完善工序控制、协助业主对 严重质量隐患和质量问题进行处理、工程款支付签 署质量认证等；验收阶段的质量控制点：验收资料准 备、验收程序、验收内容等。 ( 2 ) 进度目标控制是通过一系列手段，运用运筹 学、网络计划等措施，使工程项目建设工期控制在项 目计划工期以内。 ( 3 ) 投资目标控制通过组织、技术、经济合同措 施，分析项目实际投资不超过项目计划投资，主要是 通过核实设备价格、审核修改设计和设计变更等手 段加以控制。 ( 4 ) 变更控制通过建立一个完整的变更控制系 统，对变更进行有效的风险预测分析和有效监管。 通常的变更有：需求变更、成本变更、合同变更等。 ( 5 ) 信息安全管理主要是通过对信息系统方案 设计进行审核、对设备选型进行把关和在实施过程 中严格进行工程质量控制等措施，确保信息系统工 程符合业主对信息安全的要求和国家相关信息安全 规范。 ( 6 ) 知识产权保护控制贯穿于整个项目的全过 程，包括工程方案设计、设备选型、设备采购、软件开 发等，信息系统工程监理工程师应按照国家有关知 识产权保护的规定严格要求信息系统工程建设各方 遵照执行。 ( 7 ) 合同管理是手段，它是进行目标控制的有效 工具。因此，合同管理必然是贯穿于监理活动的始 终。 ( 8 ) 信息管理包括文档管理在内也是做好监理 的一项有效的工具，它是实现控制目标的基本前提。 ( 9 ) 项目的组织协调是建设项目的一项重要内 容，内容包括：人际关系、组织关系、资源供求、信息 交换等方面。 I T 审计业务内容包括计算机资源管理审计、硬 件软件等获取审计、系统软件审计、程序审计、数据 完整性审计、系统生命周期审计、应用系统开发审 计、系统维护审计、操作审计、安全审计等。根据国 外I T 审计实践资料及国内相关著作文献，I T 审计 有以下几个方面内容： ( 1 ) 信息系统的管理、规划与组织：评价信息系 统的管理、计划与组织方面的策略、政策、标准、程序 和相关实务。 ( 2 ) 信息技术基础设施与操作实务：评价组织在 技术与操作基础设施的管理和实施方面的有效性及 效率，以确保其充分支持组织的商业目标。 ( 3 ) 资产的保护：对逻辑、环境与信息技术基础 设施的安全性进行评价，确保其能支持组织保护信 息资产的需要，防止信息资产在未经授权的情况下 被使用、披露、修改、损坏或丢失。 ( 4 ) 灾难恢复与业务持续计划：这些计划是在发 生灾难时，能够使组织持续进行业务，对这种计划的 建立和维护流程需要进行评价。 ( 5 ) 应用系统开发、获得、实施与维护：对应用系 统的开发、获得、实施与维护方面所采用的方法和流 程进行评价，以确保其满足组织的业务目标。 ( 6 ) 业务流程评价与风险管理：评估业务系统与 处理流程，确保根据组织的业务目标对相应风险实 施管理。 3 信息系统工程监理与审计的关系及比较 通过对信息系统工程监理与I T 审计的基本内 容进行研究，下面将从两者的相似性、不同点以及两 者的联系和发展对其进行分析。 3 1信息系统工程监理与r I 审计的相似性 由于信息系统工程具有投资大、高技术、高风险 的特点，对信息系统进行严格规范的控制至关重要， 信息系统工程监理和I T 审计作为两种信息系统工 程监管手段，二者都具有下列的特点：二者都是以管 理为核心，以法律法规为保障，以技术为支撑，并以 第三方的客观立场，目的都是为了提高信息系统工 程安全和质量，降低信息化建设投资风险。 3 2 信息系统工程监理与r I 审计的不同点 从信息系统工程监理和I T 审计的定义和工作 内容，我们可以看出二者的区别。区别主要反映在 目标、作用、覆盖生命周期、与信息系统相关方的关 系、使命的侧重点及不同点，并由此派生出的实施效 果、控制手段、最终工作成果不同点。 ( 1 ) 从管理定位分析，信息系统工程监理采取的 是对工程项目进行管理，管理对象是信息系统工程 的集成企业和设备供应商。而I T 审计是对信息系 统进行检查评价，没有管理对象，只有审计对象。 ( 2 ) 从管理特点分析，信息系统工程监理是受业 主单位委托，按照监理合同要求，协助业主单位监督 检查信息系统工程项目实施；要解决的是在信息系 统工程项目实施过程中的质量、进度和投资额等是 否满足建设要求；重点是对实施过程的管理。I T 审 计是向I T 审计对象的最高领导提出问题和建议； 要解决的是信息系统有关的资产保护问题、数据完 整性问题、系统有效性问题、系统效率问题；重点是 对实施效果的评价。 ( 3 ) 从管理效果分析，信息系统工程监理一般应 用于信息系统工程项目的实施阶段，并随着信息系 统工程项目实施的结束而结束；项目监理过程是可 见的，即对项目成本、进度及质量的事前、事中、事后 进行全过程控制；质量控制手段包括评审、旁站、抽 查等；最终工作成果是经过验收的可以投入使用的 信息系统。I T 审计可以出现在信息系统生命周期 的各个阶段，但I T 审计的有效行为更适用于信息 系统工程的运行使用过程中；对信息系统的安全性、 可靠性与有效性的认定具有不可见性；I T 审计的方 法通常包括面谈法、问卷调查法、系统评审会等；最 终工作成果主要是系统投入使用后的审计报告或信 息系统生命周期每个阶段的审计报告。 ( 4 ) 从管理目的分析，信息系统工程监理的目的 是保证工程建设质量、进度和投资满足建设要求。 监理活动随着工程的完成而结束。I T 审计的目的 是合理保证信息系统能够保护资产的安全、数据的 完整、有效地实现组织目标并有效地利用组织资源， 其核心是信息系统的效率、效果。不仅包括对建设 过程的审计，还包括对信息系统的运营审计，向公众 出具审计报告，鉴证信息系统能否保护企业资产安 全，其产生、传递的信息是否完整，整个系统是否有 效地实现组织目标并有效地利用组织资源。只要信 息系统在运行，审计活动可能一直存在。 3 3 信息系统工程监理与n 审计的联系 信息系统工程监理是借鉴国际上的先进做法和 国内有关部门的经验，结合我国实际，建立了一套有 中国特色的“信息系统工程监理制度”，已开展的监 理单位资质和监理工程师资格的管理工作正在逐步 完善。关于I T 审计，在国际上是由国际信息系统 审计与控制协会( I S s A c A ) 管理，有一套正在逐步 完善的国际通用的标准规范，在我国正在开展实践 和研究。二者的具体内涵和技术含量等方面都有明 显的不同，二者不可相互替代，是两个行业，但它们 又有着紧密的联系。 ( 1 ) 从规范化信息系统工程建设的管理来看，两 者的控制各有侧重，缺一不可； ( 2 ) I T 审计是信息系统工程监理的延伸，监理 大量信息系统工程建设的数据积累，为I T 审计工 作的开展打下了基础，同时I T 审计标准，也为信息 系统工程监理工作提供了部分量化的参考指标。 3 4 信息系统工程监理与r r 审计在实践中的 发展情况 自2 0 0 2 年以来，国家信息产业主管部门，逐步 对信息系统工程监理企业资质、监理工程师资质做 了规范，整个行业蓬勃发展起来。截止目前，全国有 近2 0 0 家监理企业获得了信息系统工程监理资质证 书，每年这些企业所监理的信息系统工程项目投资 额近1 0 0 亿元，分布在电子政务、企业信息化等领 域。几年来的实践证明，由于对监理单位资质实施 了管理，规范了监理行为，提高了监理队伍素质和能 力，从而，在保证信息系统工程质量、控制工程进度 和成本等方面收到了“四两拨千斤”的效果。 I T 审计在国内已经开始有人关注发展，目前国 际上，I S A C A ( 信息系统审计与控制协会) 是唯一有 1 5 7 权授予国际信息系统审计师资格的跨国界、跨行业 专业机构。目前在世界上1 0 0 多个国家设有1 6 0 多 个分会，现有会员两万多人。注册信息系统审计师 资格由I S A C A 授予，是信息系统审计领域的唯一 职业资格，得到全世界的广泛认可。C I S A ( 注册信 息系统审计师) 全球统考已在北京、上海、南京、广 州、深圳、香港和台北等地开设考点，并且每年6 月 份的考试中，考生已经可以选择中文进行考试，越来 越多的高水平计算机、审计人才认识、重视并通过了 考试，成为了合格的具有职业资格的I T 审计师。 4 对二者发展的建议 从上面的对比分析我们不难看出，信息系统工 程监理和I T 审计在信息化建设中各自发挥着不同 的作用，又都是信息系统工程建设的监督管理手段， 因此，对于二者的工作开展和应用推进，提出如下建 议： l 、对信息系统工程监理工作，要继续完善和规 范信息系统工程监理制度，包括管理办法的出台、上 位法的研究、监理取费标准研究、标准规范制订等； 进一步加强信息系统工程监理队伍和人员建设；加 强I T 审计标准在监理项目管理中应用。 2 、对于I T 审计工作，要加强I T 审计的市场调 研、标准体系研究，不断积累I T 审计工作实践经 验，加强监理工作成果在I T 审计工作中的应用。 结束语本文对目前信息系统工程建设的重要 性及行业特点做了简要说明，介绍了在实际工程建 设过程中存在的典型问题，对目前以信息系统工程 监理为代表的第三方管理做了说明，探讨了这种第 三方管理模式兴起的缘由。对信息系统工程监理及 I T 审计的发展情况做了介绍，重点总结了信息系统 工程监理与I T 审计的主要内容、特点，比较了他们 的相似性、不同点、相互问的联系以及在实践中的发 展情况。从应用的前景出发，对二者将来的发展提 出了建议。 参考文献 1 葛乃康信息工程建设监理 M 北京：电子工业出版社，2 0 0 2 2李云志浅谈I T 审计D 北京，科技成果纵横，2 0 0 5 ( 6 ) 3 唐玮r r 审计未来发展思考口 北京：合作经济与科技，2 0 0 6 ( 6 s ) t李奇明。刘家国信息化工程监理的几个关系探讨 J 江苏。中 国制造业信息化，2 0 0 4 ( 5 ) ( 上接第1 1 8 页) A m l y s i s d 画删毗= A n a l y s i s 枞b e 鼬+墨 a A l l o y , d z m E l m m t * a d d i t i o n 撕 ( 9 ) 把式( 9 ) 代入式( 8 ) 后得到： a A l bd 曩l 如咖* a d d i t i o n A l l y - - D e v i a t i o m a 咄 = A i m d 鼍圃。叫一A n a l y s i s 如酗删” ( 1 0 ) 该等式右边是常量，而左边包含了元素含量偏 差及合金添加量，因此已经整理成了线性规划中的 标准约束表达式，上式中，a A d | n E k 一的值如下： a 山叫d 矗赶k 眦m = y i e l d A l l 吖( U l o y 。瑚b ，嵋c l le m 日哪I A i m d 鼍证雠) s t e e l w e i g h t ( 1 1 ) 除了式( 8 ) 外，还有以下约束条件，处理方法同 式( 8 ) ： A n