信息化建设要规范 IT审计是根本

2014-11-08 22:00:40 大云网　点击量：评论 (0)

随着我国信息化建设的不断推进，企业、教育、政府、医院和农业等众多不同行业的信息化建设得到了飞速发展。国家信息产业主管部门为了保证我国信息化建设的成功率，相继在信息系统建设中实行信息监理、第三方测试

随着我国信息化建设的不断推进，企业、教育、政府、医院和农业等众多不同行业的信息化建设得到了飞速发展。国家信息产业主管部门为了保证我国信息化建设的成功率，相继在信息系统建设中实行信息监理、第三方测试和IT审计制度。

信息集成制度的无奈

我国的信息系统集成资质的实施工作开展得比较早，信部规[1999]1047号《计算机信息系统集成资质管理办法》的执行，对混乱的信息系统集成市场进行了规范。那些位于电脑城从事硬件设备销售的公司不再可以随便的进行系统集成工作的实施，一部分大的计算机销售公司聚集人才，进入到系统集成行业。

市场门槛的提高，让那些没有信息系统集成资质的公司被挡在了门外，只有拿到了资质证书才能吃到集成这块香饽饽。一时间，不少公司为了集成资质证书挖空心思，其中不乏有公司为了获取资质证书而在硬件、软件、管理等方面全面作假。当这样的公司拿到了集成资质之后，必然无法保证项目实施的质量。

虽然后来信息产业部在集成项目中推行项目经理制度，但是这些都收效甚微。谁来监督、谁来管理、谁来处罚这些已经通过资质认定的集成公司呢？没有了监督，拿到集成证书后，还是按那种作坊式的管理来进行项目建设，这无疑让资质认证丧失了他应该有的作用。

目前，信息系统集成的现状是有法可依，但是却无人执法。只要建设单位不管，几乎没有人来管承建单位是否按照合同要求配备项目经理和具有资格的施工人员，没有人来对施工过程中出现的违规行为进行处罚。因此，造成很多集成单位都认为，只要有资质就可以，实施过程反正没有人管。

到底谁来充当这个执法人呢？信息产业部在此基础上推出了信息系统建设的监理机制。

信息监理制度的尴尬

信部信[2002]570号《信息系统工程监理暂行规定》从2002年12月15日起开始实施，标志着信息系统监理制度在我国开始正式执行。经过5年的发展，信息系统监理已经初具规模，在我国政府信息化建设中发挥了不小的作用。但是，目前信息系统监理的发展遇到了瓶颈，在具体的监理工作中也存在着很多尴尬。

信息系统监理单位的工作是“四控、三管、一协调”，按道理说在建设单位授权的基础上可以对集成单位进行监督管理。可是信息系统监理单位真的有能力充当“执法者”吗？集成单位又是否会卖监理单位的帐呢？

信息系统监理实际上是根本就无法胜任“执法者”这一角色的，在我国，信息系统监理顶多充当的就是一个“协调者”的角色。作为“协调者”，监理没有权利对于集成单位项目管理上的种种问题进行处理，最多就是建议权，只要集成单位没有出现大的偏离合同的地方，就无法进行处理。而等到真的出问题的时候，监理也是无力回天。

回看信息系统监理本身，在监理一线从事信息系统监理工作的监理工程师的业务和技术水平不高，无法在监理过程中充分发挥监理本来应该有的作用，无法充当“专家”这一角色。因为监理工程师水平不高，造成监理工程师在监理过程不敢开展工作，因为怕自己做错反而丧失监理工程师的权威。

之所以信息监理公司、包括建设监理都存在着留不住人才的局面。为什么人才会流失？为什么都愿意做开发而不愿意做监理？究其原因还是监理工程师待遇太低，目前信息系统监理工程师的待遇在2000-4000之间不等，而技术水平高一点的人去做开发或者项目管理的话，工资一般可以翻倍，没有不走之理阿。

再来关注为什么监理工程师工资待遇低，信息监理在我国还属于新生行业，一个行业在稳定之前必然会要受到市场的考验，这个过程是一个起伏、适应的过程。在商业竞争中，部分监理公司会被淘汰，而竞争力强的最终能够生存下来。商业竞争和战争一样残酷，很多信息监理公司为了眼前的利益，而拼命压低监理工程师的待遇，让人才流失，这也是一个让人痛心的事实。

既然监理目前自己的路都没有走稳，而且在行政上面没有任何的执法权，法律责任上面也没有明确。那么这么一个弱不经风的信息监理，怎么能够在信息系统建设中，力挽狂澜呢？

第三方测试还在翘首等待

我国第三方软件测试的概念推出已经有一段时日，随着中国软件评测中心的建设，各省也相继成立了软件评测中心，但是目前这些评测中心大多还是在进行一些政府要求通过测试的软件的测试工作，完全没有带动第三方测试的市场。

我国计算机软件评测与发达国家相比非常落后，主要表现为：

1、软件产品质量评测无法可依、无章可循

2、软件工程技术审查、复审流于形式，管理不力

3、软件过程测试工程目标不明确

4、第三方软件评测、质量监督刚刚起步，有待发展。

对于大多数应用软件，甚至环境、工具系统软件，大多数用户都不是很熟悉其特性，质量评测基本难以进行。因此，第三方软件评测、质量监督服务商，对于促进软件产品应用维护，将具有重要意义。在我国一些重要计算机软件应用领域，如金融、军方等，都在逐步将软件评测和质量监督，通过合同关系委托第三方承担。在已经进行的一些工程项目当中，都取得了确保软件产品质量的预期效果，逐步被软件用户和软件企业所认可。

目前的信息系统工程既没有政府备案制度，也没有质量责任终生制，连一个正规的竣工验收都没有，只要建设单位在竣工验收报告上签了字，整个项目基本上就结束了。没有后继的评价，没有责任追踪，连来管一管的上级单位都没有。如何来规范这个行业和市场呢？

IT审计，你为何还不上？

目前的审计已经不再局限于投资的审计，包括过程审计、安全审计等。建筑行业实行审计制度后，让建设成本得到了很好的控制。那些瞒天过海、漫天要价的承建单位最终还是逃不过审计的眼睛，不再那么容易获取暴利，也让那些内外勾结、暗箱操作的项目一个个浮出水面。

信息系统审计无疑能够公正客观的评价信息系统建设过程和结果。在信息系统建设过程中引入审计制度，可以让信息系统建设过程更加透明，与信息监理不同，信息审计只需要发现问题，并向建设单位和相关主管部门汇报，而不是像信息监理一样，要去纠正偏差。因此，审计的工作过程遇到的阻力比较小，发现问题与处理问题的不是同一个人，可以让发现者与执行者相互监督，有利于项目的实施。

很多信息系统工程验收时，只关注系统是否能够达到建设单位所要求显性要求，而对于系统的安全性等指标却不大关注。安全审计专门针对信息系统建设过程中和运行中的安全问题，达不到安全要求的系统是不合格的。

竣工结算中，IT审计根据项目建设过程中的开销对项目成本进行审计，这个过程让承建单位的暴利时代彻底结束，也让建设过程中那些偷工减料的过程原形毕露。投资审计有效的保证了建设单位的有效投资。

只有IT审计的实施，才能够暴露项目的众多缺陷与问题，这样才能够推动信息监理工作的展开，一个有问题的信息项目，监理方如果没有履行他的职责是要承担监理责任的。监理协同第三方测试再来推动项目的集成单位做好建设工作。如果监理单位的工作到位了，而是由于施工单位的原因造成的问题，由施工单位负责。在明确了责任后，我想任何承建单位都不敢以身试法。如此循环，则所有的项目关系人才能够在自己的责、权、利范围内做好自己的工作。

信息化主管部门需要权利

建筑质量不合格，有人追查；信息系统项目质量不合格，就不了了之。归根结底就是没有人来管，没有人来查。那么为什么信息系统建设行业就变成没有人管了呢？

建筑质量的问题有建设行政部门，食品卫生的质量有食品卫生监督管理部门，质量技术监督局的业务范围太广，根本就无暇顾及信息系统。唯有本地的信息化主管部门可以来进行管理，可遗憾的是，没有人赋予他们管理的权利。信息化主管部门的权利迫切的需要加强，没有权的信息化部门等于拔了牙的老虎，要想让老虎发挥总用，先给它把牙齿镶好吧！

行业主管部门的执法才是信息系统建设整个领域的原动力，IT审计的结果固然可以让建设单位找到维护自己权利的依据，但是如果没有行业主管部门的法律手段，是不足以让整个市场走上规范的道路的。IT审计的火苗还需要信息化主管部门来点燃。