信息系统监理与信息系统审计比较分析

信息系统监理与信息系统审计：中国的实践与美国的经验孙强孟秀转

[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较，分析我国信息系统监理面临的新问题、新要求，并介绍美国信息系统审计的实践经验，在此基础上提出对我国信息系统监理事业进展的若干建议。[关键词]信息系统信息系统监理信息系统审计比较独立性引言“信息化带动工业化”是我国长期的重要进展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必定选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设差不多进入新的时期，我国信息化事业已进展到一个新的时期。各级政府正在积极推进“电子政务”，许多都市及企业也已着手整合与升级其信息化应用系统。能够可能，全国将有更多、更大的信息系统建设项目展开。然而，在信息化推进过程中，存在不同程度上的一些问题，要紧表现在规划制订不够科学，项目治理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，白费了大量资源。究其根源要紧缘故之一是信息化建设第三方监管机制的缺失和标准的不健全。国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时刻2001年12月12日公布了有关企业信息治理的调查结果。调查显示，96％的企业关于本公司的信息治理系统感到不满。关于目前正在使用的信息系统，认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时刻"的企业约占70％。特不引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财宝1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他要紧调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；关于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合打算。这充分讲明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。中央领导同志在国家信息化领导小组第一次会议中特不强调：信息化建设一定要讲求效益，不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。目前，在国内的信息化项目工程建设中，绝大多数用户（业主）无法组织队伍对信息系统建设进行专业化治理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的治理与组织协调工作，建设方和承建方在信息建设过程中存在严峻的信息不对称问题。这表现为借助外援进行工程治理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量治理的做法。然而，监理介入信息系统在我国还处于一个探究的过程中。我国加入WTO后，鉴于我国IT服务业以后巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的进展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严峻冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去？这是摆在每一个监理人面前的重大课题。每一个监理企业必须以进展的眼光、动态的观点、创新的思想和创新的理论正确认识和推断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。信息系统监理信息系统监理概念依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位托付，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督治理。信息系统监理产生动因及其进展1、信息系统监理产生动因分析监理工作、监理企业是我国在打算经济向市场经济转变的过程中在建设领域中应运而生的，并取得了有目共睹的显著成效，直接促进了工程监理业的繁荣进展，这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此，回忆建设工程监理的进展，将有助于对信息系统监理的认识。1988年7月建设部公布了《关于开展建设监理工作的通知》，随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》，使得试点工作有章可循。1989年，依照初步试点取得的经验，建设部制定了《建设监理试行规定》，这是我国第一个比较完备的关于工程建设监理的法规文件，勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分不制定颁发了《建设监理单位资质治理试行方法》和《监理工程师资格考试及注册试行方法》，建设监理法规制度进一步配套完善。1993年，上海市开始了工程设备监理制度的试点工作。1998年，国务院机构改革后给予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求，随后，国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》，在国家进展打算委员会的指导和具体参与下，会同国务院有关部门，在国内有关技术及咨询机构的关心、支持下,完成了设备监理制度中有关规章的起草工作。此间，世界银行、国家开发银行等亦曾规定，其贷款的有关项目要有监理公司监理，并作为申请贷款的项目单位获得贷款的差不多条件。由此开始推行建设工程监理制度，监理事业得到持续快速进展，从而积存了一定经验，取得了积极成效。进展至今建立了一套比较完整的监理法规体系，组成了一支规模较大的监理队伍，监理出一批优良的工程项目，监理工作在工程建设中发挥了重要作用，得到了各级领导的支持，得到了社会的普遍认可，正逐步向规范化、制度化、科学化方向迈进。但同时我国工程监理事业通过十多年的进展，尽管取得了一定成绩，但也存在许多问题。如：监理人员整体素养不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积存和进展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。2、信息系统监理的进展目前信息系统工程的现状类似于二十世纪八十年代往常建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特不是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的治理方法对信息工程实施监理的呼声日益高涨，这既是信息工程用户（业主）的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”—信息系统工程监理的出现。早在1995年，原电子工业部就出台了《电子工程建设监理规定（试行）》。1996年，深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年，西安协同软件股份有限公司经西安技术监督局和西安市科委批准，获得“计算机治理信息系统工程监理”资质认证，成为国内第一家获此资格的公司。1999年6月，深圳市政府在国内领先出台了包括实施信息工程监理条款在内的《深圳市信息工程治理方法》，并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月，深圳市信息化建设委员会办公室制订了《深圳市信息工程建设治理方法实施意见》，要求“市、区、镇人民政府及其所属部门使用财政性资金（包括预算内资金、预算外资金、事业收入等），投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理治理方法（试行）》，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位，实行强制监理。”2002年11月，国家质量监督检验检疫总局公布《设备监理单位资格治理方法》，在该治理方法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准治理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，同时是作为电子政务标准化项目的一个子项目而提出的。可能在今年年底，监理规范就要完成，通过试用和修改后，将上升为国家标准。2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布《信息系统工程监理暂行规定》，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预示着在我国立即出现一个新的中介服务行业，将专门快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。但我国的信息系统工程监理目前仅仅是处在起步时期，事实上依照对国内信息化应用程度较高的行业部门（如银行、证券、保险、气象、社保、旅游等）和部分大型企业（如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等）30个样本作为调查对象的调查结果显示，关于大多数企业来讲，项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中，5%表示听讲过，95%表示明白建筑工程有监理，但在IT信息化项目中引入监理依旧第一次听讲。图1监理服务内容重要程度（引自胡敏《市场呼唤项目监理》）目前，我国还没有一套完善的IT项目监理制度，相应的监理法规、监理内容、收费标准等也都没有制定。特不是收费标准问题，大多数用户采纳协商解决。以北京城域网项目的监理费为例，其采纳了建筑行业的监理服务收费标准（2%-10%），支付的服务费占整个项目资金支出的2%。宽敞用户也反映，项目监理的标准如何才能做到公正、科学，项目监理的工作流程是否也应该规范，如何界定和权衡监理公司、用户、IT厂商三方利益？监理过程中出了问题，该如何办？，这一系列问题都需要不断探究。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他进展专门成熟的行业的监理相比，对IT项目的监理要难得多。同时由于信息技术是一个新兴技术，它本身还在不断进展和完善，因此，即使制定出的监理的内容和标准也不能僵化，需要不断地变更和完善。信息系统监理的差不多理论信息系统监理的中心任务是科学地规划和操纵工程项目的投资、进度和质量三大目标;监理的差不多方法是目标规划、动态操纵、组织协调和合同治理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资操纵、进度操纵、质量操纵以及合同治理和信息治理来对工程项目进行监督和治理，保证工程的顺利进行和工程质量。1、成本操纵成本操纵的任务，要紧是在建设前期进行可行性研究，协助建设单位正确地进行投资决策；在设计时期对设计方案、设计标准、总概（预）算进行审查；在建设预备时期协助确定标底和合同造价；在实施时期审核设计变更，核实已完成的工程量，进行工程进度款签证和索赔操纵；在工程竣工时期审核工程结算。2、进度操纵进度操纵首先要在建设前期通过周密分析研究确定合理的工期目标，并在实施前将工期要求纳入承包合同；在建设实施期通过运筹学、网络打算技术等科学手段，审查、修改实施组织设计和进度打算，做好协调与监督，排除干扰，使单项工程及其分时期目标工期逐步实现，最终保证项目建设总工期的实现。3、质量操纵质量操纵要贯穿在项目建设从可行性研究、设计、建设预备、实施、竣工、启用及用后维护的全过程。要紧包括组织设计方案评比，进行设计方案磋商及图纸审核，操纵设计变更；在施工前通过审查承建单位资质等；在施工中通过多种操纵手段检查监督标准、规范的贯彻；以及通过时期验收和竣工验收把好质量关等。3、合同治理合同治理是进行投资操纵、工期操纵和质量操纵的手段。因为合同是监理单位站在公正立场采取各种操纵、协调与监督措施，履行纠纷调解职责的依据，也是实施三大目标操纵的动身点和归宿。4、信息治理信息治理包括投资操纵治理、设备操纵治理、实施治理及软件治理。5、协调协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。要紧采纳现场和会议方式进行协调。总之，三控两管一协调，构成了监理工作的要紧内容。为完满地完成监理差不多任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分可能项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及事实上现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有模糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏治理。图2监理内容示意图信息系统监理的要紧业务和依据1、信息系统监理的要紧业务信息系统监理的要紧业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。依照国内信息系统监理的实践，其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下：关心建设单位做好项目需求分析，协助建设单位选择合适的承建单位；审定承建单位的开工报告、系统实施方案、施工进度打算；对项目实施的各个时期进行有效的监督和操纵，关心建设单位操纵工程进度、投资和质量；审查和处理工程变更；参与工程质量和其他事故调查；调解建设单位与承包单位的合同争议，处理索赔、审批工程延期；组织进行竣工验收测试。组织建设单位和承建单位完成工程移交。2、信息系统监理的依据信息系统监理的依据如下：国务院颁发的《质量振兴纲要》；现行国家、各省、市、自治区的有关法律、法规、规定；国际、国内IT行业质量标准规范；建设单位和承建单位的合同；今后还有国家标准，例如《信息化工程监理规范》等。信息系统监理的程序组建监理机构组建监理机构编制监理打算编制监理细则实施监理参与验收并签署监理意见提交监理档案资料完成监理图3信息系统监理的程序信息系统工程监理的特点是全过程监理，要紧包括四个时期的监理工作：招投标时期、设计时期、实施时期、验收时期。监理的目标、方法和程序都体现在这四个时期的监理工作中。信息系统审计信息系统审计概念信息系统审计是全部审计过程的一个部分，信息系统审计（ISaudit）目前还没有固定通用的定义，美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到爱护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：可用性——商业高度依靠的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好爱护以应对各种的损失和灾难？保密性——系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？完整性——信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？信息系统审计产生动因及其进展1、信息系统审计产生动因分析关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计审计进展到计算机审计再进展到信息系统审计（计算机审计的范围扩展，最后涵盖整个信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程进行严格、规范的治理和操纵至关重要。而正是由于信息系统工程所具有的这些特点，建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行操纵，无法保证项目的实施成功。因此需要有第三方进行独立审计。2、信息系统审计在国际上的进展信息系统审计的进展是伴随着信息技术的进展而进展的。在数据处理电算化的初期，由于人们对计算机在数据处理中的应用所产生的阻碍没有足够的认识，认为计算机处理数据准确可靠，可不能出现错弊，因而专门少对数据处理系统进行审计，要紧是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的进展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。八十年代、九十年代信息技术的进一步进展与普及，使得企业越来越依靠信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及事实上现企业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采纳的技术也将日益复杂。到目前为止，信息系统审计在全球来看，依旧一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%——50%的速度增加，讲明信息系统审计正逐渐受到重视。美国在计算机进入有用时期时就开始提出系统审计（SYSTEMAUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活动已有三十多年历史，成为信息系统审计的要紧推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT操纵的开放式标准COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。3、信息系统审计在国内的进展目前国内有学者提出计算机审计，电算化审计，但差不多上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业进展的一次绝佳机会。信息系统审计的理论基础信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单阻碍传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统治理者都认识到信息资产是组织最有价值的资产，和传统资产一样需要操纵，组织同时需要审计人员提供对信息资产操纵的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。如图3所示，信息系统审计是建立在四个理论基础之上的：传统审计理论。传统审计理论为信息系统审计提供了丰富的内部操纵理论与实践经验，以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用，最为重要的是传统审计给信息系统审计带来的操纵哲学，即用慎重的眼光审视信息系统在爱护资产安全、保证信息完整，并能有效地实现企业目标的能力。信息系统治理理论。信息系统治理理论是一门关于如何更好地治理信息系统的开发与运行过程的理论，它的进展提高了系统爱护资产安全、保证信息完整，并能有效地实现企业目标的能力。行为科学理论。人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系统不满的用户有意破坏系统及其操纵。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特不是组织学理论解释了组织中产生的“人的问题”。计算机科学。计算机科学本身的进展也在关注如何爱护资产安全、保证信息完整，并能有效地实现企业目标。然而技术是一把双刃剑，计算机科学的进展能够使审计人员降低对系统组件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时刻？假如是，那么今天网络犯罪产生的社会威胁较以往任何时候都要大。图3：IS审计的理论基础图3：IS审计的理论基础IS审计传统审计信息系统治理计算机科学行为科学信息系统审计的差不多业务和依据1、信息系统审计的差不多业务信息系统审计业务将随着信息技术的进展而进展，为满足信息使用者不断变化的需要而增加新的服务内容，目前其差不多业务如下：系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革操纵委员会提供咨询服务；要紧数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训；为组织提供增值服务，为治理信息系统人员提供技术、操纵与安全指导；推动风险自评估程序的执行；软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计；灾难恢复和业务持续打算审计；对系统运营效能、投资回报率及应用开发测试审计；系统的安全审计；网站的信誉审计；全面操纵审计等。一个信息系统不等同于一台计算机。今天的信息系统是复杂的，由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估，判定安全，才能保证整个信息系统的正常工作。对一个信息系统审计的要紧组成部分分成以下几类：信息系统的治理、规划与组织——评价信息系统的治理、打算与组织方面的策略、政策、标准、程序和相关实务。信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的治理和实施方面的有效性及效率，以确保其充分支持组织的商业目标.资产的爱护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织爱护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。灾难恢复与业务持续打算——这些打算是在发生灾难时，能够使组织持续进行业务,对这种打算的建立和维护流程需要进行评价。应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采纳的方法和流程进行评价，以确保其满足组织的业务目标。业务流程评价与风险治理——评估业务系统与处理流程，确保依照组织的业务目标对相应风险实施治理。2、信息系统审计的依据 信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际信息系统审计与操纵协会的一般公认信息系统审计准则、操纵目标和其他法律与规定。一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与操纵协会对信息系统审计一般准则所做的讲明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证（CISA）持有者有关职业上及个人的指导规范。信息系统的操纵目标——信息系统审计与操纵协会在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被国际上公认是最先进、最权威的安全与信息技术治理和操纵的标准，目前差不多更新至第三版。它在商业风险、操纵需要和技术问题之间架起了一座桥梁，以满足治理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用于全面指导治理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权，因此他们承担着业务过程所有方面的全部责任。特不的是，这其中包含着要提供足够的操纵。Cobit框架为业务过程所有者提供了一个工具，以方便他们承担责任。其框架包括四大部分：架构、操纵目标、审计指南及执行概要。COBIT架构着重各项处理的高层次操纵，操纵目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细操纵目标，每一项IT处理都有5至25个详细操纵目标，操纵目标使整体架构和详细操纵目标紧密对应，相互一致。详细操纵目标有18种要紧来源，涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的操纵程序拟达到的预期结果或目标的叙述，以提供全球所有的产业有关IT操纵的明确方针及实际最佳的应用。其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或外部对与电脑系统运作、操纵，及电脑、程序、信息的使用情况等有关的规定或要求，关于一向受严格管制的行业，尤其要注意遵守。以国际性银行为例，若因不良备份及复原程序而无法提供适当的服务水准，其公司及职员将受严峻处罚。此外，由于对EDP及信息系统的依靠性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的治理阶层人员必须考虑与组织目标、打算及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。信息系统审计流程开始审计工作的预备包括收集背景信息，可能完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理进行一次正式的开始审计会议，最后决定范围，理解特不关注之处，假如有的话，制定日程，解释审计方法。如此的会议有高级经理的参与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似的，在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告，能够大大增加审计的效果。开始开始审计工作预备工作了解内部操纵结构评价操纵风险是否信赖内部操纵？是否仍可信赖内部操纵？内部操纵测试评价操纵风险是否提高内部操纵的信赖程度？扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否基于风险的审计方法专门多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和治理好与采纳新技术相关的专门多风险。因此，审计从基于操纵（Control-Based）演变为基于风险（Risk-Based）的方法,其内涵包括企业风险、确定风险、风险评估、风险治理、风险沟通。每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统造成严峻阻碍。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能阻碍系统的运行风险。基于风险方法来进行审计的步骤是：编制组织使用的信息系统清单并对其进行分类。决定哪些系统阻碍关键功能和资产。评估哪些风险阻碍这些系统及对商业运做的冲击。在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者能够制定年度审计打算，排列出一年之中要进行的审计项目。信息系统监理与信息系统审计之对比分析从前面两部分的介绍可知，信息系统审计在国际上差不多体系化、标准化、程序化，而我国信息系统监理仅有最差不多的轮廓，积存了一些经验，但尚没有形成完整的方法论。因此，目前只能从概念、进展动因等方面做较为宽泛的对比。只是，对比国际通用体系，可为我国进展信息系统监管体系以及制定相应的治理制度或实施细则提供借鉴。信息系统监理与信息系统审计之对比，可归纳出以下特点：两者性质相同，差不多上第三方监督，但对独立性的要求有差不。两者差不多上立足在第三方的立场，公平对待托付方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理治理方法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，然而对这一行业赖以存在并得以进展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，然而人们专门难衡量其在执行业务时是否差不多达到了客观公正，假如只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员专门难执行，社会公众专门难观看，因此信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的《审计哲学》（ThephilosophyofAuditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitioner-independence)和职业的独立性（Profession-independence）。前者包括审计打算的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯（ThomasGHiggins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何专门的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的要紧贷款人、资产受托人或与治理当局有亲属关系，等等。否则，就会阻碍注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在推断时不依靠和屈从于外界的压力和阻碍。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的阻碍和压力。由上可知，实质上的独立性是无形的，通常是难以观看和度量的，而形式上的独立性则是有形的和能够观看的。社会公众通常是透过注册会计师形式上的独立性来推测事实上质上的独立性。因此，从那个意义上来讲，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立专门重要，因为它专门好界定，便于准则规范，在现实环境中有专门好的可执行性。因此我们认为，信息系统监理行业假如不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会专门难在实质上取得成效。信息系统监理行业进展中所面临的各种问题都专门重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。国外信息系统审计差不多进展为较完善的行业监督体系。目前国内信息系统审计刚刚起步，而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准，至今还没有有效的治理手段，在托付方和被托付方之间也没有一种协调的机制来建立两者之间的信任。同时我国行业不规范的责任往往被轻易地归咎于政府监管的不力；同样轻易得到的结论，是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中，政府监管是一个重要的辅助措施；而真正起决定性作用的，是市场中的制衡力量，以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。美国注册会计师行业的治理机制——行业自我治理和外部约束向结合发挥了重要作用。行业自我治理是通过行业组织、准则和规则、监督来实现的，行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制，将在专门大程度上限制会计行业自主进展的权利和业务拓展空间，损害所有从业者的利益，因此行业总体上需要以行业自律来换取行业自我管制。假如行业不能自律，公众要求国会加强行政管制的压力使得这种可能性现实存在。两者业务范围和目的均有所差不。信息系统工程监理和信息系统审计差不多上对质量操纵的再操纵，但两者业务范围和目的均有所差不。1、两者业务范围差不信息系统工程监理是指具有信息系统工程监理资质的单位，同意建设单位的托付，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。目前要紧应用在信息化工程建设时期。信息系统审计是一个猎取并评价证据，以推断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。2、两者目的差不信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够爱护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其核心是信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否爱护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的要紧缘故。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运维时期，因此，从那个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。所谓科学化，是指现代审计技术与方法的研究，差不多超越了传统的经验论，特不强调把科学手段和经验总结相结合。比较典型的例子确实是分析性复核技术的进展。所谓分析性复核，事实上质确实是将审计人员掌握的一些客观规律总结出来，测算出被审计事项的合理预期值，再与被审计事项的实际值相比较，进一步评估差异的合理性之后，确定是否还需要对被审计事项进行详细测试。这一个过程，实际上被许多审计人员不自觉地运用了多年，但通过公式和比率等形式总结出来，主动指导审计人员的实践，却是最近２０年来审计技术与方法研究的一大突出特点。科学化的另一个表现确实是数学和统计学技术在审计中的运用日益广泛，抽样统计技术的全面推广确实是例证。所谓规范化，是指审计机构将审计程序设计与审计技术方法的运用有机结合，规范和引导审计人员运用适当的审计技术和方法。以往，审计人员在运用审计技术和方法的过程中容易有较大的随意性，用与不用，在什么时候用，如何使用，都没有规范和约束，导致整个审计机构的标准不统一，质量没有保证。随着程序导向式审计软件平台的开发和广泛运用，越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中，要求并指导审计人员合理运用审计技术。所谓智能化，强调的确实是将历史经验总结、科学规律推导和审计人员的专业推断结合起来，指导审计人员得出合理的审计结论。在审计过程中，数学、统计学的分析结果，都不能完全替代审计人员的专业推断，因为在其利用的数学公式中，仍然有许多变量需要审计人员主观确定。在这种情况下，越来越多的审计机构，倾向于在审计软件中为审计人员的决策提供参考。目前，许多审计机构不惜花巨资，邀请审计领域的专家，分析在各种情况下常见的审计策略或方法以及对不同审计结果的推断标准。因此，对审计而言，智能化永久差不多上一个相对的概念，电脑和机器永久不能替代审计人员的决策，但提供决策辅助和参考意见，确实特不必要。所谓系统化，是指审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决的是要审什么、想达到什么目的，审计技术和方法解决的是如何审和如何达到目的，这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回忆最近２０多年来审计技术与方法的研究历程，能够清晰地发觉，审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和进展，而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启发在于，审计技术与方法的研究，不能超越差不多审计理论和审计目标的研究，也不能脱离审计战略和审计目标的总体要求。信息系统审计具有较完善的职业教育和认证体系。国际信息系统审计与操纵协会ISACA（InformationSystemAuditandControlAssociation）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。注册信息系统审计师CISA（CertifiedInformationSystemAuditor）资格由ISACA授予，是信息系统审计领域的唯