一、信息系統(tǒng)工程監(jiān)理與IT審計(jì)的基本內(nèi)容
在信息系統(tǒng)工程建設(shè)過程中,存在著一些不規(guī)范的情況。如項(xiàng)目可行性論證不充分;用戶需求不全面、不準(zhǔn)確;用戶要求一變?cè)僮儭⒐こ踢M(jìn)度一拖再拖;甲乙雙方的合同書條文不規(guī)范,缺乏可執(zhí)行性,或存在二義性;缺少對(duì)工程實(shí)施過程關(guān)鍵點(diǎn)的監(jiān)理;缺乏合理的系統(tǒng)評(píng)測(cè)驗(yàn)收方案;等等。
為了促進(jìn)信息系統(tǒng)工程的良性發(fā)展,一些第三方機(jī)構(gòu)借鑒傳統(tǒng)建設(shè)工程的咨詢、評(píng)估及監(jiān)理經(jīng)驗(yàn),探索了信息系統(tǒng)工程監(jiān)理的路子。近年來,為加強(qiáng)對(duì)這些信息系統(tǒng)工程的管理、提高審計(jì)業(yè)務(wù)的水平,我國(guó)借鑒國(guó)外經(jīng)驗(yàn),還引入了IT審計(jì)的方法和理念。本文從多個(gè)方面對(duì)信息系統(tǒng)工程監(jiān)理與IT審計(jì)進(jìn)行比較和分析,理清對(duì)兩者的理解,更好地發(fā)揮它們?cè)诟髯灶I(lǐng)域的優(yōu)勢(shì)。
1 信息系統(tǒng)工程監(jiān)理與IT審計(jì)的基本定義
關(guān)于信息系統(tǒng)工程監(jiān)理定義,在《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》(信部信(2002)570號(hào))、國(guó)家標(biāo)準(zhǔn)《信息化工程監(jiān)理規(guī)范第一部分總則》(GB/T19668.1—2005)中都有較完善、確切的描述。
《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》中的定義:是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位,受業(yè)主單位委托,依據(jù)國(guó)家有關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范和信息系統(tǒng)工程監(jiān)理合同,對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。
《信息化工程監(jiān)理規(guī)范第一部分總則》(GB/T19668.1—2005)中,對(duì)信息系統(tǒng)工程監(jiān)理的定義沒有做特別的說明,但說明了它的基本內(nèi)涵。該規(guī)分組成,即監(jiān)理支撐要素、監(jiān)理階段、監(jiān)理內(nèi)容、監(jiān)理對(duì)象和信息安全”,“參考模型表明,信息化工程的監(jiān)理工作建立在監(jiān)理支撐要素的基礎(chǔ)上,在監(jiān)理工作的各階段結(jié)合各項(xiàng)監(jiān)理內(nèi)容,對(duì)監(jiān)理對(duì)象進(jìn)行監(jiān)督和理順,以保證信息化工程的建設(shè)達(dá)到預(yù)期的目標(biāo)”,“監(jiān)理機(jī)構(gòu)在監(jiān)理合同約定的范圍內(nèi),依據(jù)監(jiān)理規(guī)劃和監(jiān)理細(xì)則,結(jié)合監(jiān)理對(duì)象的特點(diǎn)實(shí)施質(zhì)量控制、進(jìn)度控制、投資控制、合同管理、信息管理和協(xié)調(diào),實(shí)現(xiàn)監(jiān)理目標(biāo)”。
日本通產(chǎn)省1996年對(duì)IT審計(jì)定義為:為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo),提出問題與建議的一連串的活動(dòng)。
另外,國(guó)際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威專家Ron-Weder將它定義為:收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo),同時(shí)最經(jīng)濟(jì)地使用資源。
2 信息系統(tǒng)工程監(jiān)理與IT審計(jì)的主要內(nèi)容
信息系統(tǒng)工程監(jiān)理業(yè)務(wù)內(nèi)容一般包括項(xiàng)目的質(zhì)量控制、進(jìn)度控制、投資控制、變更控制、信息安全管理、知識(shí)產(chǎn)權(quán)管理,合同管理管理、信息管理,對(duì)項(xiàng)目的組織協(xié)調(diào)。根據(jù)我國(guó)信息系統(tǒng)工程監(jiān)理實(shí)踐,信息系統(tǒng)工程監(jiān)理首要任務(wù)要確定質(zhì)量、進(jìn)度和投資額等建設(shè)目標(biāo),然后在項(xiàng)目實(shí)施過程中跟蹤糾偏,有以下幾個(gè)方面內(nèi)容:
(1)質(zhì)量控制主要是通過質(zhì)量控制點(diǎn)在監(jiān)理各個(gè)階段進(jìn)行控制。如招投標(biāo)及準(zhǔn)備階段的主要質(zhì)量控制點(diǎn):項(xiàng)目建議書的審查、可行性研究報(bào)告的審查、承建單位技術(shù)資質(zhì)的審核、承建單位提供的各類設(shè)計(jì)實(shí)施方案的審查;設(shè)計(jì)階段的質(zhì)量控制點(diǎn):主要是項(xiàng)目總體方案的質(zhì)量控制,包括工程總體技術(shù)方案、承包商提交的《項(xiàng)目計(jì)劃》、工程質(zhì)量保證計(jì)劃和項(xiàng)目質(zhì)量控制體系、工程進(jìn)度計(jì)劃等;實(shí)施階段的質(zhì)量控制點(diǎn):督促承建單位完善工序控制、協(xié)助業(yè)主對(duì)嚴(yán)重質(zhì)量隱患和質(zhì)量問題進(jìn)行處理、工程款支付簽署質(zhì)量認(rèn)證等;驗(yàn)收階段的質(zhì)量控制點(diǎn):驗(yàn)收資料準(zhǔn)備、驗(yàn)收程序、驗(yàn)收內(nèi)容等。
(2)進(jìn)度目標(biāo)控制是通過一系列手段,運(yùn)用運(yùn)籌學(xué)、網(wǎng)絡(luò)計(jì)劃等措施,使工程項(xiàng)目建設(shè)工期控制在項(xiàng)目計(jì)劃工期以內(nèi)。
(3)投資目標(biāo)控制通過組織、技術(shù)、經(jīng)濟(jì)合同措施,分析項(xiàng)目實(shí)際投資不超過項(xiàng)目計(jì)劃投資,主要是通過核實(shí)設(shè)備價(jià)格、審核修改設(shè)計(jì)和設(shè)計(jì)變更等手段加以控制。
(4)變更控制通過建立一個(gè)完整的變更控制系統(tǒng),對(duì)變更進(jìn)行有效的風(fēng)險(xiǎn)預(yù)測(cè)分析和有效監(jiān)管。通常的變更有:需求變更、成本變更、合同變更等。
(5)信息安全管理主要是通過對(duì)信息系統(tǒng)方案設(shè)計(jì)進(jìn)行審核、對(duì)設(shè)備選型進(jìn)行把關(guān)和在實(shí)施過程中嚴(yán)格進(jìn)行工程質(zhì)量控制等措施,確保信息系統(tǒng)工程符合業(yè)主對(duì)信息安全的要求和國(guó)家相關(guān)信息安全規(guī)范。
(6)知識(shí)產(chǎn)權(quán)保護(hù)控制貫穿于整個(gè)項(xiàng)目的全過程,包括工程方案設(shè)計(jì)、設(shè)備選型、設(shè)備采購、軟件開發(fā)等,信息系統(tǒng)工程監(jiān)理工程師應(yīng)按照國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)保護(hù)的規(guī)定嚴(yán)格要求信息系統(tǒng)工程建設(shè)各方遵照?qǐng)?zhí)行。
(7)合同管理是手段,它是進(jìn)行目標(biāo)控制的有效工具。因此,合同管理必然是貫穿于監(jiān)理活動(dòng)的始終。
(8)信息管理包括文檔管理在內(nèi)也是做好監(jiān)理的一項(xiàng)有效的工具,它是實(shí)現(xiàn)控制目標(biāo)的基本前提。
(9)項(xiàng)目的組織協(xié)調(diào)是建設(shè)項(xiàng)目的一項(xiàng)重要內(nèi)容,內(nèi)容包括:人際關(guān)系、組織關(guān)系、資源供求、信息交換等方面。
IT審計(jì)業(yè)務(wù)內(nèi)容包括計(jì)算機(jī)資源管理審計(jì)、硬件軟件等獲取審計(jì)、系統(tǒng)軟件審計(jì)、程序?qū)徲?jì)、數(shù)據(jù)完整性審計(jì)、系統(tǒng)生命周期審計(jì)、應(yīng)用系統(tǒng)開發(fā)審計(jì)、系統(tǒng)維護(hù)審計(jì)、操作審計(jì)、安全審計(jì)等。根據(jù)國(guó)外IT審計(jì)實(shí)踐資料及國(guó)內(nèi)相關(guān)著作文獻(xiàn),IT審計(jì)有以下幾個(gè)方面內(nèi)容:
(1)信息系統(tǒng)的管理、規(guī)劃與組織:評(píng)價(jià)信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。
(2)信息技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù):評(píng)價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標(biāo)。
(3)資產(chǎn)的保護(hù):對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià),確保其能支持組織保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。
(4)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃:這些計(jì)劃是在發(fā)生災(zāi)難時(shí),能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。
(5)應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù):對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià),以確保其滿足組織的業(yè)務(wù)目標(biāo)。
(6)業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理:評(píng)估業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。
二、信息系統(tǒng)工程監(jiān)理與IT審計(jì)的關(guān)系及比較
通過對(duì)信息系統(tǒng)工程監(jiān)理與IT審計(jì)的基本內(nèi)容進(jìn)行研究,下面將從兩者的相似性、不同點(diǎn)以及兩者的聯(lián)系和發(fā)展對(duì)其進(jìn)行分析。
1 信息系統(tǒng)工程監(jiān)理與IT審計(jì)的相似性
由于信息系統(tǒng)工程具有投資大、高技術(shù)、高風(fēng)險(xiǎn)的特點(diǎn),對(duì)信息系統(tǒng)進(jìn)行嚴(yán)格規(guī)范的控制至關(guān)重要,信息系統(tǒng)工程監(jiān)理和IT審計(jì)作為兩種信息系統(tǒng)工程監(jiān)管手段,二者都具有下列的特點(diǎn):二者都是以管理為核心,以法律法規(guī)為保障,以技術(shù)為支撐,并以第三方的客觀立場(chǎng),目的都是為了提高信息系統(tǒng)工程安全和質(zhì)量,降低信息化建設(shè)投資風(fēng)險(xiǎn)。
2 信息系統(tǒng)工程監(jiān)理與IT審計(jì)的不同點(diǎn)
從信息系統(tǒng)工程監(jiān)理和IT審計(jì)的定義和工作內(nèi)容,我們可以看出二者的區(qū)別。區(qū)別主要反映在目標(biāo)、作用、覆蓋生命周期、與信息系統(tǒng)相關(guān)方的關(guān)系、使命的側(cè)重點(diǎn)及不同點(diǎn),并由此派生出的實(shí)施效果、控制手段、最終工作成果不同點(diǎn)。
(1)從管理定位分析,信息系統(tǒng)工程監(jiān)理采取的是對(duì)工程項(xiàng)目進(jìn)行管理,管理對(duì)象是信息系統(tǒng)工程的集成企業(yè)和設(shè)備供應(yīng)商。而IT審計(jì)是對(duì)信息系統(tǒng)進(jìn)行檢查評(píng)價(jià),沒有管理對(duì)象,只有審計(jì)對(duì)象。
(2)從管理特點(diǎn)分析,信息系統(tǒng)工程監(jiān)理是受業(yè)主單位委托,按照監(jiān)理合同要求,協(xié)助業(yè)主單位監(jiān)督檢查信息系統(tǒng)工程項(xiàng)目實(shí)施;要解決的是在信息系統(tǒng)工程項(xiàng)目實(shí)施過程中的質(zhì)量、進(jìn)度和投資額等是否滿足建設(shè)要求;重點(diǎn)是對(duì)實(shí)施過程的管理。IT審計(jì)是向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)提出問題和建議;要解決的是信息系統(tǒng)有關(guān)的資產(chǎn)保護(hù)問題、數(shù)據(jù)完整性問題、系統(tǒng)有效性問題、系統(tǒng)效率問題;重點(diǎn)是對(duì)實(shí)施效果的評(píng)價(jià)。
(3)從管理效果分析,信息系統(tǒng)工程監(jiān)理一般應(yīng)用于信息系統(tǒng)工程項(xiàng)目的實(shí)施階段,并隨著信息系統(tǒng)工程項(xiàng)目實(shí)施的結(jié)束而結(jié)束;項(xiàng)目監(jiān)理過程是可見的,即對(duì)項(xiàng)目成本、進(jìn)度及質(zhì)量的事前、事中、事后進(jìn)行全過程控制;質(zhì)量控制手段包括評(píng)審、旁站、抽查等;最終工作成果是經(jīng)過驗(yàn)收的可以投入使用的信息系統(tǒng)。IT審計(jì)可以出現(xiàn)在信息系統(tǒng)生命周期的各個(gè)階段,但I(xiàn)T審計(jì)的有效行為更適用于信息系統(tǒng)工程的運(yùn)行使用過程中;對(duì)信息系統(tǒng)的安全性、可靠性與有效性的認(rèn)定具有不可見性;IT審計(jì)的方法通常包括面談法、問卷調(diào)查法、系統(tǒng)評(píng)審會(huì)等;最終工作成果主要是系統(tǒng)投入使用后的審計(jì)報(bào)告或信息系統(tǒng)生命周期每個(gè)階段的審計(jì)報(bào)告。
(4)從管理目的分析,信息系統(tǒng)工程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進(jìn)度和投資滿足建設(shè)要求。監(jiān)理活動(dòng)隨著工程的完成而結(jié)束。IT審計(jì)的目的是合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的·完整、有效地實(shí)現(xiàn)組織目標(biāo)并有效地利用組織資源,其核心是信息系統(tǒng)的效率、效果。不僅包括對(duì)建設(shè)過程的審計(jì),還包括對(duì)信息系統(tǒng)的運(yùn)營(yíng)審計(jì),向公眾出具審計(jì)報(bào)告,鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全,其產(chǎn)生、傳遞的信息是否完整,整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效地利用組織資源。只要信息系統(tǒng)在運(yùn)行,審計(jì)活動(dòng)可能一直存在。
3 信息系統(tǒng)工程監(jiān)理與IT審計(jì)的聯(lián)系
信息系統(tǒng)工程監(jiān)理是借鑒國(guó)際上的先進(jìn)做法和國(guó)內(nèi)有關(guān)部門的經(jīng)驗(yàn),合我國(guó)實(shí)際,建立了一套有中國(guó)特色的“信息系統(tǒng)工程監(jiān)理制度”,已開展的監(jiān)理單位資質(zhì)和監(jiān)理工程師資格的管理工作正在逐步完善。關(guān)于IT審計(jì),在國(guó)際上是由國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISsAcA)管理,有一套正在逐步完善的國(guó)際通用的標(biāo)準(zhǔn)規(guī)范,在我國(guó)正在開展實(shí)踐和研究。二者的具體內(nèi)涵和技術(shù)含量等方面都有明顯的不同,二者不可相互替代,是兩個(gè)行業(yè),但它們又有著緊密的聯(lián)系。
(1)從規(guī)范化信息系統(tǒng)工程建設(shè)的管理來看,兩者的控制各有側(cè)重,缺一不可;
(2)IT審計(jì)是信息系統(tǒng)工程監(jiān)理的延伸,監(jiān)理大量信息系統(tǒng)工程建設(shè)的數(shù)據(jù)積累,為IT審計(jì)工作的開展打下了基礎(chǔ),同時(shí)IT審計(jì)標(biāo)準(zhǔn),也為信息系統(tǒng)工程監(jiān)理工作提供了部分量化的參考指標(biāo)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.sdyuan.com/
本文標(biāo)題:信息系統(tǒng)工程監(jiān)理與IT審計(jì)有何異同?
本文網(wǎng)址:http://www.sdyuan.com/html/support/11121824250.html
相關(guān)文章
