信息系統(tǒng)審計與信息系統(tǒng)監(jiān)理的再比較

字號:

所謂信息系統(tǒng)審計是指,審計人員接受委托或授權(quán),收集并評估證據(jù)以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整并率地完成組織目標的活動過程。它既包括信息系統(tǒng)外部審計的鑒證目標——即對被審計單位的信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整的鑒證,又包含內(nèi)部審計的管理目標——即不僅包括被審計信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整而且包括信息系統(tǒng)的有效性目標。信息系統(tǒng)工程監(jiān)理,依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》,是指依法設立且具備相應資質(zhì)的信息系統(tǒng)工程監(jiān)理單位,受業(yè)主單位委托,依據(jù)國家有關(guān)法律法規(guī)、技術(shù)標準和信息系統(tǒng)工程監(jiān)理合同,對信息系統(tǒng)工程項目實施的監(jiān)督管理。兩者都可以服務于信息化建設,可以降低信息化投資風險。但目前在信息化建設領(lǐng)域,信息系統(tǒng)審計尚未被人們接受,在國內(nèi)的推動中一提到審計,大家就認為是只有對會計報表的審計,似乎與IT和信息系統(tǒng)無關(guān),相比較而言,人們更接受信息系統(tǒng)監(jiān)理的概念,有些人甚至認為信息系統(tǒng)監(jiān)理就是信息系統(tǒng)審計。對這兩者認識的模糊,不僅影響到我國信息系統(tǒng)審計業(yè)的發(fā)展,而且影響到信息時代的市場經(jīng)濟秩序與國家安全等問題。國外沒有信息系統(tǒng)監(jiān)理的概念,在我國這一概念的提出是借鑒工程建設監(jiān)理,而信息系統(tǒng)審計是21世紀初從國外介紹到國內(nèi)的,盡管人們對兩者存在模糊認識,但目前尚未見到系統(tǒng)比較兩者的文章,筆者想通過比較,使人們認識到在信息化建設中,信息系統(tǒng)審計是不可替代與必不可少的,推動我國信息系統(tǒng)審計的發(fā)展是信息時代的要求。
    1、信息系統(tǒng)審計與信息系統(tǒng)監(jiān)理的發(fā)展與實踐
    1.1 信息系統(tǒng)審計
    信息系統(tǒng)審計最早稱為計算機審計,是隨著計算機在財務會計領(lǐng)域的應用而產(chǎn)生的,作為傳統(tǒng)財務審計業(yè)務的一種輔助工具,對客戶的電子化會計數(shù)據(jù)進行處理和分析,為財務報表審計人員提供服務。隨著計算機技術(shù)應用范圍的不斷擴展,計算機對被審計單位各個業(yè)務環(huán)節(jié)的影響越來越大,計算機審計所關(guān)注的內(nèi)容也從單純的對電子的處理,延伸到對計算機系統(tǒng)的可靠性、安全性進行了解和評價。信息技術(shù)的爆炸性發(fā)展改變了經(jīng)濟、社會、文化的結(jié)構(gòu)和運行方式,網(wǎng)上商務、網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上政府等相繼出現(xiàn),信息資源的作用得到充分發(fā)揮。人們的生活、工作越來越依賴信息技術(shù)。利用信息技術(shù)攻擊對手信息系統(tǒng),竊取機密,借助網(wǎng)絡非法占有財富,特別是數(shù)字化財富等現(xiàn)象也日益增多,擾亂了國家正常的經(jīng)濟秩序。這讓人們更加關(guān)注網(wǎng)絡所傳遞信息的安全、完整、真實,關(guān)注產(chǎn)生、處理、傳遞信息的系統(tǒng)本身的安全、可靠、有效,關(guān)注企業(yè)如何評估其面臨的風險,并如何采取措施預防和監(jiān)控。
    由于技術(shù)的限制等原因,信息的使用者不能自己驗證信息的質(zhì)量,因此急需有獨立的第三方出面對信息的保密性(Data Confidentiality)、完整性(Data Integrity)、交易行為的不可否認性(Non–Repudiation)、交易對手的身份明示(User Authentication)、系統(tǒng)的安全有效等做出鑒證,以合理保護信息使用者的利益。同時,企業(yè)在信息化過程中也急需專業(yè)人士提供有效控制信息系統(tǒng)風險,提高信息化效益的服務。真正意義上的信息系統(tǒng)審計應運而生。如今的信息系統(tǒng)審計的業(yè)務已經(jīng)超出了為財務報表審計提供服務的范圍,在很多大型會計公司內(nèi)部,信息系統(tǒng)審計部門已經(jīng)成為一個獨立的對外提供多種服務的部門。尤其是互聯(lián)網(wǎng)和電子商務的興起,更是為信息系統(tǒng)審計業(yè)務帶來了無盡的商機。為財務報表審計提供服務只占信息系統(tǒng)審計部門業(yè)務內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認證以及ERP相關(guān)的新型咨詢業(yè)務也不斷涌現(xiàn)。“未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”,這一觀點已經(jīng)逐漸成為國外會計、審計界的一個共識。
    1.2 信息系統(tǒng)監(jiān)理
    20時90年以來,從中央到地方,從政府到企業(yè),紛紛投入了大量的資金從事信息工程建設和信息系統(tǒng)的建設,但這其中真正按進度、質(zhì)量要求、投資預算完成且用戶(業(yè)主)滿意的,只占極少數(shù),不足20%,即便是一些搞得比較好的工程項目,也或多或少地存在一些問題,如項目可行性論證不充分;用戶需求不全面、不準確;用戶要求一變再變、工程進度一拖再拖;甲乙雙方的合同書條文不規(guī)范,缺乏可執(zhí)行性,或存在二義性,出現(xiàn)爭執(zhí)時,雙方各執(zhí)一詞、爭執(zhí)不下;缺少設備、系統(tǒng)監(jiān)理評測驗收;工程結(jié)束后,承包方?jīng)]有提交與工程有關(guān)的文檔資料,嚴重影響了工程的連續(xù)性、繼承性、可擴展性;工程長時間不能投入正常運行、工程款一再拖欠,承建單位也遲遲拿不到工程款,等等。嚴重地影響了信息系統(tǒng)工程項目的質(zhì)量和進度,不僅損害了合同簽約雙方(建設方和承建方)的利益,還給國家和社會造成了許多不應有的損失。
    為保障信息系統(tǒng)工程簽約雙方的利益,確保國家信息產(chǎn)業(yè)更加健康、有序地發(fā)展,“信息系統(tǒng)工程監(jiān)理”就應運而生了。
    信息產(chǎn)業(yè)部于2000年元月發(fā)布了信規(guī)(2000第206號文),即“關(guān)于認真開展信息工程監(jiān)理的通知”。在通知中指出:凡屬于信息工程建設項目,包括新建、擴建、技術(shù)改造,一律按國家規(guī)定實行監(jiān)理;承擔工程監(jiān)理的單位,必須具備與工程性質(zhì)、規(guī)模等級相應的監(jiān)理資質(zhì),沒有信息工程監(jiān)理資質(zhì)的單位不得承擔信息工程監(jiān)理業(yè)務。要求監(jiān)理公司要對建設項目的質(zhì)量、成本、進度實施監(jiān)理控制,保護建設項目建設方與承建方的利益。