浅析信息系统工程监理与IT审计之差异

2014-11-08 22:29:53 大云网　点击量：评论 (0)

一、信息系统工程监理与IT审计的基本内容　　1 信息系统工程监理与IT审计的基本定义　　关于信息系统工程监理定义，在《信息系统工程监理暂行规定》（信部信（2002）570号）、国家标准《信息化工程监理规范第一

　IT审计业务内容包括计算机资源管理审计、硬件软件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计、安全审计等。根据国外IT审计实践资料及国内相关着作文献，IT审计有以下几个方面内容：

　　（1）信息系统的管理、规划与组织：评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

　　（2）信息技术基础设施与操作实务：评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。

　　（3）资产的保护：对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

　　（4）灾难恢复与业务持续计划：这些计划是在发生灾难时，能够使组织持续进行业务，对这种计划的建立和维护流程需要进行评价。

　　（5）应用系统开发、获得、实施与维护：对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

　　（6）业务流程评价与风险管理：评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

　　二、信息系统工程监理与IT审计的关系及比较

　　通过对信息系统工程监理与IT审计的基本内容进行研究，下面将从两者的相似性、不同点以及两者的联系和发展对其进行分析。

　　1 信息系统工程监理与IT审计的相似性

　　由于信息系统工程具有投资大、高技术、高风险的特点，对信息系统进行严格规范的控制至关重要，信息系统工程监理和IT审计作为两种信息系统工程监管手段，二者都具有下列的特点：二者都是以管理为核心，以法律法规为保障，以技术为支撑，并以第三方的客观立场，目的都是为了提高信息系统工程安全和质量，降低信息化建设投资风险。

　　2 信息系统工程监理与IT审计的不同点

　　从信息系统工程监理和IT审计的定义和工作内容，我们可以看出二者的区别。区别主要反映在目标、作用、覆盖生命周期、与信息系统相关方的关系、使命的侧重点及不同点，并由此派生出的实施效果、控制手段、最终工作成果不同点。

　　（1）从管理定位分析，信息系统工程监理采取的是对工程项目进行管理，管理对象是信息系统工程的集成企业和设备供应商。而IT审计是对信息系统进行检查评价，没有管理对象，只有审计对象。

　　（2）从管理特点分析，信息系统工程监理是受业主单位委托，按照监理合同要求，协助业主单位监督检查信息系统工程项目实施；要解决的是在信息系统工程项目实施过程中的质量、进度和投资额等是否满足建设要求；重点是对实施过程的管理。IT审计是向IT审计对象的最高领导提出问题和建议；要解决的是信息系统有关的资产保护问题、数据完整性问题、系统有效性问题、系统效率问题；重点是对实施效果的评价。

　　（3）从管理效果分析，信息系统工程监理一般应用于信息系统工程项目的实施阶段，并随着信息系统工程项目实施的结束而结束；项目监理过程是可见的，即对项目成本、进度及质量的事前、事中、事后进行全过程控制；质量控制手段包括评审、旁站、抽查等；最终工作成果是经过验收的可以投入使用的信息系统。IT审计可以出现在信息系统生命周期的各个阶段，但IT审计的有效行为更适用于信息系统工程的运行使用过程中；对信息系统的安全性、可靠性与有效性的认定具有不可见性；IT审计的方法通常包括面谈法、问卷调查法、系统评审会等；最终工作成果主要是系统投入使用后的审计报告或信息系统生命周期每个阶段的审计报告。

　　（4）从管理目的分析，信息系统工程监理的目的是保证工程建设质量、进度和投资满足建设要求。监理活动随着工程的完成而结束。IT审计的目的是合理保证信息系统能够保护资产的安全、数据的·完整、有效地实现组织目标并有效地利用组织资源，其核心是信息系统的效率、效果。不仅包括对建设过程的审计，还包括对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效地利用组织资源。只要信息系统在运行，审计活动可能一直存在。

　　3 信息系统工程监理与IT审计的联系

　　信息系统工程监理是借鉴国际上的先进做法和国内有关部门的经验，合我国实际，建立了一套有中国特色的“信息系统工程监理制度”，已开展的监理单位资质和监理工程师资格的管理工作正在逐步完善。关于IT审计，在国际上是由国际信息系统审计与控制协会（ISsAcA）管理，有一套正在逐步完善的国际通用的标准规范，在我国正在开展实践和研究。二者的具体内涵和技术含量等方面都有明显的不同，二者不可相互替代，是两个行业，但它们又有着紧密的联系。

　　（1）从规范化信息系统工程建设的管理来看，两者的控制各有侧重，缺一不可；

　　（2）IT审计是信息系统工程监理的延伸，监理大量信息系统工程建设的数据积累，为IT审计工作的开展打下了基础，同时IT审计标准，也为信息系统工程监理工作提供了部分量化的参考指标。