IS审计与工程监理的比较

IS审计与工程监理的比较
所谓信息系统审计（又称IS审计）是指，审计人员接受托付或授权，收集并评估证据以推断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。

它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证，又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。

信息系统工程监理，依据信息产业部《信息系统工程监理暂行规定》，是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位托付，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

信息系统审计与信息系统工程监理都可以服务于信息化建设、降低信息化投资风险。

国外没有信息系统工程监理的概念，在我国这一概念的提出是借鉴了工程建设监理，而信息系统审计是21世纪初从国外介绍到国内的。

IS审计与工程监理的发展
◆信息系统审计
信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的，作为传统财务审计业务的一种辅助工具，
对客户的电子化会计数据进行处理和分析，为财务报表审计人员供应服务。

随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的牢靠性、安全性进行了解和评价。

信息技术的爆炸性发展转变了经济、社会、文化的结构和运行方式，电子商务、网络银行、网络证券、电子政府等相继出现，信息资源的作用得到充分发挥。

人们的生活、工作越来越依靠信息技术。

利用信息技术攻击对手信息系统，窃取机密，借助网络非法占有财宝，特殊是数字化财宝等现象也日益增多，扰乱了国家正常的经济秩序。

这让人们更加关注网络所传递信息的安全、完整、真实，关注产生、处理、传递信息的系统本身的安全、牢靠、有效，关注企业如何评估其面临的风险，并如何采取措施预防和监控。

由于技术的限制等原因，信息的使用者不能自己验证信息的质量，因此急需有独立的第三方出面对信息的保密性（Confidentiality）、完整性(Integrity)、交易行为的不可否认性（Non——Repudiation）、交易对手的身份验证（User Authentication）、系统的安全有效等做出鉴证，以合理保护信息使用者的利益。

同时，企业在信息化过程中也急需专业人士供应有效掌握信息系统风险，提高信息化效益的服务。

真正意义上的信息系统审计应运而生。

如今的信息系统审计的业务已经超出了为财务报表审计供
应服务的范围，在许多大型会计公司内部，信息系统审计部门已经成为一个独立的对外供应多种服务的部门。

◆信息系统工程监理
20世纪90年以来，从中央到地方，从政府到企业，纷纷投入了大量的资金从事信息工程建设和信息系统的建设，但这其中真正按进度、质量要求、投资预算完成，且用户（业主）满足的，只占极少数，不足20%。

即便是一些搞得比较好的工程项目，也或多或少地存在一些问题。

这些问题严重地影响了信息系统工程项目的质量和进度，不仅损害了合同签约双方（建设单位和承建单位）的利益，还给国家和社会造成了很多不应有的损失。

为保障信息系统工程签约双方的利益，确保国家信息化建设和信息产业更加健康、有序地发展，“信息系统工程监理”就应运而生了。

信息产业部从20XX年起相继发布了《信息系统工程监理暂行规定》、《信息系统工程监理单位资质管理方法》和《信息系统工程监理工程师资格管理方法》。

以上规定和管理方法明确指出了监理范围和监理内容，监理单位和监理工程师的权利与义务，监理单位资质申请、评审和审批的管理方法，监理工程师资格取得的管理方法等。

IS审计与工程监理的区分
从两者的概念以及国内外的实践总结来看，信息系统审计与信息系统工程监理之间的主要区分体现在作用、服务对象、工作主题和方法等几个方面。

◆作用不同
与财务报表审计相类似，信息系统审计的作用也包括：
第一，鉴证作用。

信息系统审计的鉴证作用是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性、牢靠性及政策遵循的一贯性。

信息系统审计师以其独立的身份，对被审计单位的信息系统及其输出的信息进行审计，查出各种错误与舞弊，是维护电子商务时代正常经济秩序必不可少的重要手段。

第二，促进作用。

促进价值体现在两个方面，一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中；二是指审计可以促进被审计单位改进内部掌握，加强管理，提高信息系统实现组织目标的效率、效果。

从第一个方面来看，信息系统审计师在完成审计后，出具审计证明，即审计报告，以证明被审计单位信息的真实、完整、牢靠。

审计师的证明可以增加人们对其信息的信任程度。

随着网络技术的普及，商业信息的在线和实时披露都是不可扭转的必定趋势。

信息系统审计师能够以在线、实时的信息为基础供应鉴证，对使用信息的全部相关体而言是具有巨大价值的。

从第二个方面来看，信息系统审计在审计过程中发觉的掌握缺陷或漏洞，可通过审计报告、管理建议书等形式报告给托付人或被审计单位管理当局，并提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。

第三，咨询作用。

信息技术的发展为组织的管理变革供应了
技术手段，组织扁平化、工作丰富化等管理变革都要通过信息技术来实现。

信息化已是大势所趋，但是，信息化建设是有风险的。

为削减信息化风险，信息系统审计师可凭借其特地学问和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在企业信息化过程中，帮助企业健全内部掌握制度，进行系统诊断；依据企业需要，确定信息化的目标和内容，选择合适的软件产品；帮助企业调整现有的管理架构和流程或修改软件产品，使其更好地满意管理的需求。

与信息系统审计不同，信息系统工程监理的作用主要包括：第一，监督掌握作用。

信息系统工程监理可以帮助业主单位更合理地保证工程的质量、进度、投资，并合理、客观地处理好它们之间的关系。

在项目建设全过程中，监理单位依据国家有关法律和相关技术标准，遵循守法、公正、公正、独立的原则，对信息系统建设的过程进行监督和掌握，在确保质量、安全和有效性的前提下，合理地支配进度和投资。

第二，合理地协调业主单位和建设单位之间的关系，这是监理的一项主要工作。

在信息系统工程建设中，许多时候业主单位和承建单位在很多问题上存在争议，业主单位和承建单位都期望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都赐予公正、恰当、权威的评价，这就需要监理单位来协调和保障这些工作的顺当进行。

另外还需要协调系统内部关系以及系统外部关系中的非合同因素等，保证项目顺当实施。

◆业务范围和目的不同
首先，信息系统工程监理是具有信息系统工程监理资质的单位，接受建设单位的托付，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。

主要应用在信息化工程建设阶段。

信息系统审计是一个猎取并评价证据，以推断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。

它立足于组织的战略目标，为有效地实现组织战略目标而采取一切有效活动。

其业务范围包括与信息系统有关的全部领域。

其次，信息系统工程监理的目的是保证工程建设质量、进度和投资额满意建设要求。

监理活动随着工程的完成而结束。

监理关注的是项目建设的质量、成本和进度。

信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。

不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。

只要信息系统在运行，审计活动一直存在。

此外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，准时纠正也便利。

但信息系统审计对信息系统的安全性、牢靠性与有效性的认定具有不
可见性，这也正是信息系统比工程项目复杂的主要原因。

信息系统建设完毕，这仅仅是信息化的开头，我国信息化建设中若干失败的案例，并不是信息系统没有建设好，往往是在运营维护时期出了问题。

因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

[NextPage]
◆服务对象不同
从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息供应者的三方合约，即由鉴证人接受托付或授权，对信息供应者进行审计，并就其供应的信息质量向信息使用人供应鉴证报告。

因此审计服务的对象是全部的信息使用者，包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。

其关系图如1所示。

图1 信息系统审计服务关系图
监理服务于建设合同的双方。

建设单位与承建单位签署建设合同后，两者之间的关系是等价交换关系，即承建单位要按时交付既定质量等级的工程、开发实物，建设单位要按时支付等价的工程款。

监理单位接受建设单位托付后，作为工程承包合同的洽商者，它所执行的原则是使工程承包合同成为“公平条约”，作为工程承包合同管理和工程款支付的签认者，它所执行的原则是等价交换。

因此，监理单位是为双方的利益服务的，而不仅仅为
托付方——建设单位服务。

其关系图如2所示。

图2 信息系统工程监理服务关系图
◆工作主体不同
信息系统审计主体包括内部审计主体与外部审计主体。

当审计人员是被审计单位的组成部分时，称为内部审计，其职责主要是搜集证据，推断系统的有效性以及利用资源的效率。

当审计人员独立于被审计单位时，称为外部审计，其职责重要是关注被审计单位信息资产的安全、真实、完整。

而监理主体只能独立于建设单位和承建单位，作为外部独立的第三方参与项目建设。

◆方法不同
审计的方法主要是搜集证据的方法，包括检查、观看、分析性复合、查询及函证等方法，并利用统计技术、计算机技术完成证据的搜集与评价。

监理主要是利用项目管理技术，包括成本核算掌握、网络图及质量掌握方法等实施对工程项目的“三控两管一协调”。

加强信息系统审计乃当务之急
从以上的比较，笔者认为：
第一，信息系统审计的作用是无可替代的，信息化过程只有监理是不够的，必需开展审计，这是信息时代的需求。

电子商务以及传统价值链向以客户为中心的价值链的转变转变了审计师所从事的传统鉴证业务。

供应链管理中的各种过程
和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等，通过信息系统被电子化处理时，审查交易数据和评估其完整性及牢靠性，对交易数据进行实时掌握成为必要。

当企业开头与新的贸易伙伴（而不是以前的贸易伙伴）交换数据并进行交易时，贸易伙伴及其交易处理系统的牢靠性必需得到评估。

审计师可能还需要评价客户的交易伙伴的牢靠性和诚信度。

此外，从事电子商务的公司必需将其内部掌握扩展到交易处理系统的各个方面，因为该系统与包括贸易伙伴在内的其他系统有着亲密的联系。

电子商务系统的内部掌握评估和风险管理也离不开信息系统审计。

全部这些都不是信息系统工程监理所能完成的。

第二，在我国积极开展信息系统审计。

首先，我们要加大信息系统审计的宣传，让人们了解什么是信息系统审计，为什么要进行信息系统审计。

其次，要大力培育信息系统审计师。

开展信息系统审计业务，有两支力气可以挖掘：一是传统的审计师。

注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验。

在供应信息系统及电子数据质量的鉴证与咨询服务方面，会计师事务所面临竞争，为使市场信服他是执行这种业务的最佳候选人，会计师还需要：学习提高技术能力；连续维护他们现有的作为独立的、被信任的第三方的角色；必需将信息技术、网络技术技能融入传统的鉴证业务；必需拓展在系统牢靠性、风险确认和影响分析，以及网站认证方面的业务。

二是从事信息化咨询的IT技术人员。

在电子商务时代，交易大部分是由系统自动完成的，人的参与较
少，审计轨迹存在较少，在这种条件下，审计必需穿过信息系统进行。

IT技术人员具备了相应的技术技能。

但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉，缺乏对管理与内部掌握熟悉、评价的经验，缺少审计的理论与技能。

因此，IT 技术人员从事信息系统审计业务，要补充审计理论学问，学会用端详的目光，关注信息技术的效益，从管理掌握角度，而非纯技术角度思索问题。

此外，要尽快形成行业管理制度规范。

如从事电子商务的企业必需经过审计、上市公司的信息系统必需经过审计、网上银行要审计等，借鉴会计师业的经验，对信息系统审计职业的自律规范开展研究，包括资格考试制度、职业道德、执业规范与惩戒等，使我国信息系统审计事业在健康规范的轨道上快速发展。