信息系统工程监理走向何方

综述：我国信息系统监理事业向何处去?2003年02月27日11:55计算机世界网孙强孟秀转目前我国信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态，但信息系统监理业巨大的发展空间正吸引着越来越多的国际咨询公司和专业服务提供商来抢滩。本土监理企业面临前所未有的严峻挑战，监理事业往何处去？这是摆在每一个监理人面前的重大课题。目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入了新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统，可以预计，全国将有更多、更大的信息系统建设项目展开。但在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显，致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源，主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70%。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的，调查对象中40%以上的企业年交易额超过20亿美元。目前，在国内的信息化项目工程建设中，绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作，建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是，监理介入信息系统在我国还处于一个探索的过程中。我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计，目前在我国的海外咨询机构足有百余家。随着摩立特集团(我国)公司日前在北京成立，国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆，给国内的咨询包括监理机构带来了巨大的压力，其丰富的案例库、数据库、知识库，数十甚至百年创下的品牌，短时期内本土咨询业与其的差距依然较大。本土监理企业面临前所未有的严峻挑战，监理事业往何处去？这是摆在每一个监理人面前的重大课题。监理介入信息系统目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特别是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨，这既是信息工程用户(业主)的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”——信息系统工程监理的出现。依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践，它涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。该监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标，并以此保证工程的顺利进行和质量。不过，我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中，5%表示听说过，95%表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。目前，我国还没有一套完善的IT项目监理制度，相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题，大多数用户采用协商解决。以北京城域网项目的监理费为例，其采用了建筑行业的监理服务收费标准(2%～10%)，支付的服务费占整个项目资金支出的2%。广大用户也反映，项目监理的标准如何才能做到公正、科学，项目监理的工作流程是否也应该规范，如何界定和权衡监理公司、用户、IT厂商三方利益？监理过程中出了问题，该怎么办？，这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他发展很成熟的行业的监理相比，对IT项目的监理要难得多。并且由于信息技术是一个新兴技术，它本身还在不断发展和完善，因此，即使制定出了监理的内容和标准也不能僵化，需要不断地变更和完善。它山之石如何才能加快我国信息系统工程监理的发展速度？或许，比较美国信息系统审计的实践经验会对我们有所帮助。

.信息系统审计是全部审计过程的一个部分，信息系统审计(ISaudit)目前还没有固定通用的定义，美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”。它关注的重点是信息系统的可用性、保密性和完整性，并对此进行评估和提供反馈、保证、建议。

.信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到需要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术(CAATs)进行审计。二十世纪八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多地关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%～50%的速度增加，说明信息系统审计正逐渐受到重视。美国在计算机进入实用阶段时就开始提出系统审计(SystemAudit)，从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来，从事系统审计活动已有三十多年历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。目前国内有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。形成规范体制面对机遇和挑战，如何借鉴国际上先进的经验，推动我国信息系统监理的健康发展，避免其他中介服务行业曾走过的弯路，我们在广泛的理论分析和实证研究的基础上提出如下具体建议：(一)建立健全的管理体制与法律法规体系，尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。各级信息化主管部门，在规范政府管理职能的同时(政府部门要避免管得过多、过细，应多关注整个监理市场的宏观管理和调控)，注重加强行业自律管理，避免其他中介服务行业曾出现过的多种问题。例如，个别人凭借权利强行包揽监理业务，采取高回扣等不正当手段，以及为独揽业务，不惜损害其他方和当事人的权益等。(二)鉴于信息系统工程监理具有专业性强和风险大的特点，建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈，使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

.(三)尽快建立信息系统工程监理的标准和执业规范。(四)推动信息系统工程监理业的分化整合，探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下，面对国际IT服务咨询业巨头的竞争，我国信息系统工程监理行业刚起步，监理公司如何脱颖而出、迅速成长，参与国内甚至国际信息系统中介服务市场的竞争，将是重中之重的工作。(五)开展信息系统工程监理公司内部管理机制研究。(六)努力提高信息系统工程监理行业的监理质量。

.1、执业程序要统一。“四大”发展到今天这样的规模，执业程序的统一是其基石。这些程序是历经多年的经验积累而形成的，并针对新出现的问题随时加以完善。从某种意义上将，客户对“四大”的统一的执业程序的认同，超过了对其名称品牌的认同。2、培训统一。为保证执业程序的统一，首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训，定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门，并将每年相当大比重的收入用于培训。另外，严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。3、人事管理在一定范围内统一。建议将监理工程师的级别进行细分，并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式，对于监理机构来说非常重要。总之，我国信息系统监理事业发展几年来，虽然取得了一定成绩，但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题，监理企业面临前所未有的严峻挑战。但是机遇与挑战同在，我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势，发挥自身的能动力量，积极参与竞争，加强与国际同行的合作交流，借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法，把我国的信息系统监理事业做稳、做实、做大，做出我国的监理和咨询品牌。附1：信息系统监理征程1995年，原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年，深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年，西安协同软件股份有限公司经西安技术监督局和西安市科委批准，获得“计算机管理信息系统工程监理”资质认证，成为国内第一家获此资格的公司。1999年6月，深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》，并要求对首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月，深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》，要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等)，投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。2002年11月，国家质量监督检验检疫总局公布《设备监理单位资格管理办法》，在该管理办法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准管理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底，监理规范就要完成，经过试用和修改后，将上升为国家标准。2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布《信息系统工程监理暂行规定》，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预示着在我国即将出现一个新的中介服务行业，将很快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。附2：信息系统监理与信息系统审计之对比分析信息系统监理与信息系统审计之对比，可归纳出以下特点：(一)两者性质相同，都是第三方监督，但对独立性的要求有差别。两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。(二)国外信息系统审计已经发展成较完善的行业监督体系。目前国内信息系统审计刚刚起步，而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准，至今还没有有效的管理手段，在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力；同样轻易得到的结论，是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中，政府监管是一个重要的辅助措施；而真正起决定性作用的，是市场中的制衡力量，以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。(三)两者业务范围和目的均有所差别。信息系统工程监理和信息系统审计都是对质量控制的再控制，但两者业务范围和目的均有所差别。1、两者业务范围差别信息系统工程监理是指具有信息系统工程监理资质的单位，接受建设单位的委托，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督;信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用