淺析信息系統工程監理與IT審計之差異

2014-11-08 22:29:53 大云網　點擊量：評論 (0)

一、信息系統工程監理與IT審計的基本內容　　1 信息系統工程監理與IT審計的基本定義　　關于信息系統工程監理定義，在《信息系統工程監理暫行規定》（信部信（2002）570號）、國家標準《信息化工程監理規范第一

　IT審計業務內容包括計算機資源管理審計、硬件軟件等獲取審計、系統軟件審計、程序審計、數據完整性審計、系統生命周期審計、應用系統開發審計、系統維護審計、操作審計、安全審計等。根據國外IT審計實踐資料及國內相關著作文獻，IT審計有以下幾個方面內容：

　?。?）信息系統的管理、規劃與組織：評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。

　?。?）信息技術基礎設施與操作實務：評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業目標。

　?。?）資產的保護：對邏輯、環境與信息技術基礎設施的安全性進行評價，確保其能支持組織保護信息資產的需要，防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。

　?。?）災難恢復與業務持續計劃：這些計劃是在發生災難時，能夠使組織持續進行業務，對這種計劃的建立和維護流程需要進行評價。

　?。?）應用系統開發、獲得、實施與維護：對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業務目標。

　?。?）業務流程評價與風險管理：評估業務系統與處理流程，確保根據組織的業務目標對相應風險實施管理。

　　二、信息系統工程監理與IT審計的關系及比較

　　通過對信息系統工程監理與IT審計的基本內容進行研究，下面將從兩者的相似性、不同點以及兩者的聯系和發展對其進行分析。

　　1 信息系統工程監理與IT審計的相似性

　　由于信息系統工程具有投資大、高技術、高風險的特點，對信息系統進行嚴格規范的控制至關重要，信息系統工程監理和IT審計作為兩種信息系統工程監管手段，二者都具有下列的特點：二者都是以管理為核心，以法律法規為保障，以技術為支撐，并以第三方的客觀立場，目的都是為了提高信息系統工程安全和質量，降低信息化建設投資風險。

　　2 信息系統工程監理與IT審計的不同點

　　從信息系統工程監理和IT審計的定義和工作內容，我們可以看出二者的區別。區別主要反映在目標、作用、覆蓋生命周期、與信息系統相關方的關系、使命的側重點及不同點，并由此派生出的實施效果、控制手段、最終工作成果不同點。

　　（1）從管理定位分析，信息系統工程監理采取的是對工程項目進行管理，管理對象是信息系統工程的集成企業和設備供應商。而IT審計是對信息系統進行檢查評價，沒有管理對象，只有審計對象。

　?。?）從管理特點分析，信息系統工程監理是受業主單位委托，按照監理合同要求，協助業主單位監督檢查信息系統工程項目實施；要解決的是在信息系統工程項目實施過程中的質量、進度和投資額等是否滿足建設要求；重點是對實施過程的管理。IT審計是向IT審計對象的最高領導提出問題和建議；要解決的是信息系統有關的資產保護問題、數據完整性問題、系統有效性問題、系統效率問題；重點是對實施效果的評價。

　?。?）從管理效果分析，信息系統工程監理一般應用于信息系統工程項目的實施階段，并隨著信息系統工程項目實施的結束而結束；項目監理過程是可見的，即對項目成本、進度及質量的事前、事中、事后進行全過程控制；質量控制手段包括評審、旁站、抽查等；最終工作成果是經過驗收的可以投入使用的信息系統。IT審計可以出現在信息系統生命周期的各個階段，但IT審計的有效行為更適用于信息系統工程的運行使用過程中；對信息系統的安全性、可靠性與有效性的認定具有不可見性；IT審計的方法通常包括面談法、問卷調查法、系統評審會等；最終工作成果主要是系統投入使用后的審計報告或信息系統生命周期每個階段的審計報告。

　?。?）從管理目的分析，信息系統工程監理的目的是保證工程建設質量、進度和投資滿足建設要求。監理活動隨著工程的完成而結束。IT審計的目的是合理保證信息系統能夠保護資產的安全、數據的·完整、有效地實現組織目標并有效地利用組織資源，其核心是信息系統的效率、效果。不僅包括對建設過程的審計，還包括對信息系統的運營審計，向公眾出具審計報告，鑒證信息系統能否保護企業資產安全，其產生、傳遞的信息是否完整，整個系統是否有效地實現組織目標并有效地利用組織資源。只要信息系統在運行，審計活動可能一直存在。

　　3 信息系統工程監理與IT審計的聯系

　　信息系統工程監理是借鑒國際上的先進做法和國內有關部門的經驗，合我國實際，建立了一套有中國特色的“信息系統工程監理制度”，已開展的監理單位資質和監理工程師資格的管理工作正在逐步完善。關于IT審計，在國際上是由國際信息系統審計與控制協會（ISsAcA）管理，有一套正在逐步完善的國際通用的標準規范，在我國正在開展實踐和研究。二者的具體內涵和技術含量等方面都有明顯的不同，二者不可相互替代，是兩個行業，但它們又有著緊密的聯系。

　?。?）從規范化信息系統工程建設的管理來看，兩者的控制各有側重，缺一不可；

　　（2）IT審計是信息系統工程監理的延伸，監理大量信息系統工程建設的數據積累，為IT審計工作的開展打下了基礎，同時IT審計標準，也為信息系統工程監理工作提供了部分量化的參考指標。