信息系統(tǒng)審計(jì)與信息系統(tǒng)監(jiān)理的再比較

字號(hào):

所謂信息系統(tǒng)審計(jì)是指,審計(jì)人員接受委托或授權(quán),收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整并率地完成組織目標(biāo)的活動(dòng)過程。它既包括信息系統(tǒng)外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證,又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標(biāo)。信息系統(tǒng)工程監(jiān)理,依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》,是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位,受業(yè)主單位委托,依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同,對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。兩者都可以服務(wù)于信息化建設(shè),可以降低信息化投資風(fēng)險(xiǎn)。但目前在信息化建設(shè)領(lǐng)域,信息系統(tǒng)審計(jì)尚未被人們接受,在國(guó)內(nèi)的推動(dòng)中一提到審計(jì),大家就認(rèn)為是只有對(duì)會(huì)計(jì)報(bào)表的審計(jì),似乎與IT和信息系統(tǒng)無關(guān),相比較而言,人們更接受信息系統(tǒng)監(jiān)理的概念,有些人甚至認(rèn)為信息系統(tǒng)監(jiān)理就是信息系統(tǒng)審計(jì)。對(duì)這兩者認(rèn)識(shí)的模糊,不僅影響到我國(guó)信息系統(tǒng)審計(jì)業(yè)的發(fā)展,而且影響到信息時(shí)代的市場(chǎng)經(jīng)濟(jì)秩序與國(guó)家安全等問題。國(guó)外沒有信息系統(tǒng)監(jiān)理的概念,在我國(guó)這一概念的提出是借鑒工程建設(shè)監(jiān)理,而信息系統(tǒng)審計(jì)是21世紀(jì)初從國(guó)外介紹到國(guó)內(nèi)的,盡管人們對(duì)兩者存在模糊認(rèn)識(shí),但目前尚未見到系統(tǒng)比較兩者的文章,筆者想通過比較,使人們認(rèn)識(shí)到在信息化建設(shè)中,信息系統(tǒng)審計(jì)是不可替代與必不可少的,推動(dòng)我國(guó)信息系統(tǒng)審計(jì)的發(fā)展是信息時(shí)代的要求。
    1、信息系統(tǒng)審計(jì)與信息系統(tǒng)監(jiān)理的發(fā)展與實(shí)踐
    1.1 信息系統(tǒng)審計(jì)
    信息系統(tǒng)審計(jì)最早稱為計(jì)算機(jī)審計(jì),是隨著計(jì)算機(jī)在財(cái)務(wù)會(huì)計(jì)領(lǐng)域的應(yīng)用而產(chǎn)生的,作為傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的一種輔助工具,對(duì)客戶的電子化會(huì)計(jì)數(shù)據(jù)進(jìn)行處理和分析,為財(cái)務(wù)報(bào)表審計(jì)人員提供服務(wù)。隨著計(jì)算機(jī)技術(shù)應(yīng)用范圍的不斷擴(kuò)展,計(jì)算機(jī)對(duì)被審計(jì)單位各個(gè)業(yè)務(wù)環(huán)節(jié)的影響越來越大,計(jì)算機(jī)審計(jì)所關(guān)注的內(nèi)容也從單純的對(duì)電子的處理,延伸到對(duì)計(jì)算機(jī)系統(tǒng)的可靠性、安全性進(jìn)行了解和評(píng)價(jià)。信息技術(shù)的爆炸性發(fā)展改變了經(jīng)濟(jì)、社會(huì)、文化的結(jié)構(gòu)和運(yùn)行方式,網(wǎng)上商務(wù)、網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上政府等相繼出現(xiàn),信息資源的作用得到充分發(fā)揮。人們的生活、工作越來越依賴信息技術(shù)。利用信息技術(shù)攻擊對(duì)手信息系統(tǒng),竊取機(jī)密,借助網(wǎng)絡(luò)非法占有財(cái)富,特別是數(shù)字化財(cái)富等現(xiàn)象也日益增多,擾亂了國(guó)家正常的經(jīng)濟(jì)秩序。這讓人們更加關(guān)注網(wǎng)絡(luò)所傳遞信息的安全、完整、真實(shí),關(guān)注產(chǎn)生、處理、傳遞信息的系統(tǒng)本身的安全、可靠、有效,關(guān)注企業(yè)如何評(píng)估其面臨的風(fēng)險(xiǎn),并如何采取措施預(yù)防和監(jiān)控。
    由于技術(shù)的限制等原因,信息的使用者不能自己驗(yàn)證信息的質(zhì)量,因此急需有獨(dú)立的第三方出面對(duì)信息的保密性(Data Confidentiality)、完整性(Data Integrity)、交易行為的不可否認(rèn)性(Non–Repudiation)、交易對(duì)手的身份明示(User Authentication)、系統(tǒng)的安全有效等做出鑒證,以合理保護(hù)信息使用者的利益。同時(shí),企業(yè)在信息化過程中也急需專業(yè)人士提供有效控制信息系統(tǒng)風(fēng)險(xiǎn),提高信息化效益的服務(wù)。真正意義上的信息系統(tǒng)審計(jì)應(yīng)運(yùn)而生。如今的信息系統(tǒng)審計(jì)的業(yè)務(wù)已經(jīng)超出了為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)的范圍,在很多大型會(huì)計(jì)公司內(nèi)部,信息系統(tǒng)審計(jì)部門已經(jīng)成為一個(gè)獨(dú)立的對(duì)外提供多種服務(wù)的部門。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起,更是為信息系統(tǒng)審計(jì)業(yè)務(wù)帶來了無盡的商機(jī)。為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)只占信息系統(tǒng)審計(jì)部門業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)?!拔磥韺徲?jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來自于信息系統(tǒng)審計(jì)的發(fā)展”,這一觀點(diǎn)已經(jīng)逐漸成為國(guó)外會(huì)計(jì)、審計(jì)界的一個(gè)共識(shí)。
    1.2 信息系統(tǒng)監(jiān)理
    20時(shí)90年以來,從中央到地方,從政府到企業(yè),紛紛投入了大量的資金從事信息工程建設(shè)和信息系統(tǒng)的建設(shè),但這其中真正按進(jìn)度、質(zhì)量要求、投資預(yù)算完成且用戶(業(yè)主)滿意的,只占極少數(shù),不足20%,即便是一些搞得比較好的工程項(xiàng)目,也或多或少地存在一些問題,如項(xiàng)目可行性論證不充分;用戶需求不全面、不準(zhǔn)確;用戶要求一變?cè)僮儭⒐こ踢M(jìn)度一拖再拖;甲乙雙方的合同書條文不規(guī)范,缺乏可執(zhí)行性,或存在二義性,出現(xiàn)爭(zhēng)執(zhí)時(shí),雙方各執(zhí)一詞、爭(zhēng)執(zhí)不下;缺少設(shè)備、系統(tǒng)監(jiān)理評(píng)測(cè)驗(yàn)收;工程結(jié)束后,承包方?jīng)]有提交與工程有關(guān)的文檔資料,嚴(yán)重影響了工程的連續(xù)性、繼承性、可擴(kuò)展性;工程長(zhǎng)時(shí)間不能投入正常運(yùn)行、工程款一再拖欠,承建單位也遲遲拿不到工程款,等等。嚴(yán)重地影響了信息系統(tǒng)工程項(xiàng)目的質(zhì)量和進(jìn)度,不僅損害了合同簽約雙方(建設(shè)方和承建方)的利益,還給國(guó)家和社會(huì)造成了許多不應(yīng)有的損失。
    為保障信息系統(tǒng)工程簽約雙方的利益,確保國(guó)家信息產(chǎn)業(yè)更加健康、有序地發(fā)展,“信息系統(tǒng)工程監(jiān)理”就應(yīng)運(yùn)而生了。
    信息產(chǎn)業(yè)部于2000年元月發(fā)布了信規(guī)(2000第206號(hào)文),即“關(guān)于認(rèn)真開展信息工程監(jiān)理的通知”。在通知中指出:凡屬于信息工程建設(shè)項(xiàng)目,包括新建、擴(kuò)建、技術(shù)改造,一律按國(guó)家規(guī)定實(shí)行監(jiān)理;承擔(dān)工程監(jiān)理的單位,必須具備與工程性質(zhì)、規(guī)模等級(jí)相應(yīng)的監(jiān)理資質(zhì),沒有信息工程監(jiān)理資質(zhì)的單位不得承擔(dān)信息工程監(jiān)理業(yè)務(wù)。要求監(jiān)理公司要對(duì)建設(shè)項(xiàng)目的質(zhì)量、成本、進(jìn)度實(shí)施監(jiān)理控制,保護(hù)建設(shè)項(xiàng)目建設(shè)方與承建方的利益。