IS审计与工程监理的比较
导读:
所谓信息系统审计(又称IS审计)是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统审计与信息系统工程监理都可以服务于信息化建设、降低信息化投资风险。国外没有信息系统工程监理的概念,在我国这一概念的提出是借鉴了工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的。
IS审计与工程监理的发展
信息系统审计
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式,电子商务、网络银行、网络证券、电子政府等相继出现,信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统,窃取机密,借助网络非法占有财富,特别是数字化财富等现象也日益增多,扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实,关注产生、处理、传递信息的系统本身的安全、可靠、有效,关注企业如何评估其面临的风险,并如何采取措施预防和监控。
由于技术的限制等原因,信息的使用者不能自己验证信息的质量,因此急需有独立的第三方出面对信息的保密性(Confidentiality)、完整性(Integrity)、交易行为的不可否认性(Non——Repudiation)、交易对手的身份验证(User Authentication)、系统的安全有效等做出鉴证,以合理保护信息使用者的利益。同时,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。真正意义上的信息系统审计应运而生。
如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。
信息系统工程监理
20世纪90年以来,从中央到地方,从政府到企业,纷纷投入了大量的资金从事信息工程建设和信息系统的建设,但这其中真正按进度、质量要求、投资预算完成,且用户(业主)满意的,只占极少数,不足20%.即便是一些搞得比较好的工程项目,也或多或少地存在一些问题。这些问题严重地影响了信息系统工程项目的质量和进度,不仅损害了合同签约双方(建设单位和承建单位)的利益,还给国家和社会造成了许多不应有的损失。
为保障信息系统工程签约双方的利益,确保国家信息化建设和信息产业更加健康、有序地发展,“信息系统工程监理”就应运而生了。
信息产业部从2002年起相继发布了《信息系统工程监理暂行规定》、《信息系统工程监理单位资质管理办法》和《信息系统工程监理工程师资格管理办法》。以上规定和管理办法明确指出了监理范围和监理内容,监理单位和监理工程师的权利与义务,监理单位资质申请、评审和审批的管理办法,监理工程师资格取得的管理办法等。[page]
IS审计与工程监理的区别
从两者的概念以及国内外的实践总结来看,信息系统审计与信息系统工程监理之间的主要区别体现在作用、服务对象、工作主题和方法等几个方面。
作用不同
与财务报表审计相类似,信息系统审计的作用也包括:
第一,鉴证作用。信息系统审计的鉴证作用是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性、可靠性及政策遵循的一贯性。信息系统审计师以其独立的身份,对被审计单位的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是维护电子商务时代正常经济秩序必不可少的重要手段。
第二,促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
从第一个方面来看,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。
随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关体而言是具有巨大价值的。
从第二个方面来看,信息系统审计在审计过程中发现的控制缺陷或漏洞,可通过审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。
第三,咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要通过信息技术来实现。信息化已是大势所趋,但是,信息化建设是有风险的。为减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业健全内部控制制度,进行系统诊断;根据企业需要,确定信息化的目标和内容,选择合适的软件产品;帮助企业调整现有的管理架构和流程或修改软件产品,使其更好地满足管理的需求。
与信息系统审计不同,信息系统工程监理的作用主要包括:
第一,监督控制作用。信息系统工程监理可以帮助业主单位更合理地保证工程的质量、进度、投资,并合理、客观地处理好它们之间的关系。在项目建设全过程中,监理单位依据国家有关法律和相关技术标准,遵循守法、公平、公正、独立的原则,对信息系统建设的过程进行监督和控制,在确保质量、安全和有效性的前提下,合理地安排进度和投资。
第二,合理地协调业主单位和建设单位之间的关系,这是监理的一项主要工作。在信息系统工程建设中,很多时候业主单位和承建单位在许多问题上存在争议,业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价,这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等,保证项目顺利实施。
业务范围和目的不同
首先,信息系统工程监理是具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它立足于组织的战略目标,为有效地实现组织战略目标而采取一切有效活动。其业务范围包括与信息系统有关的所有领域。[page]
其次,信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。
信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
此外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。 信息系统建设完毕,这仅仅是信息化的开始,我国信息化建设中若干失败的案例,并不是信息系统没有建设好,往往是在运营维护时期出了问题。因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
工作主体不同信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时,称为内部审计,其职责主要是搜集证据,判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时,称为外部审计,其职责重要是关注被审计单位信息资产的安全、真实、完整。而监理主体只能独立于建设单位和承建单位,作为外部独立的第三方参与项目建设。
方法不同审计的方法主要是搜集证据的方法,包括检查、观察、分析性复合、查询及函证等方法,并利用统计技术、计算机技术完成证据的搜集与评价。监理主要是利用项目管理技术,包括成本核算控制、网络图及质量控制方法等实施对工程项目的“三控两管一协调”。
加强信息系统审计乃当务之急从以上的比较,笔者认为:
第一,信息系统审计的作用是无可替代的,信息化过程只有监理是不够的,必须开展审计,这是信息时代的需求。
电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等,通过信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性,对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴(而不是以前的贸易伙伴)交换数据并进行交易时,贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外,从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统工程监理所能完成的。
第二,在我国积极开展信息系统审计。
首先,我们要加大信息系统审计的宣传,让人们了解什么是信息系统审计,为什么要进行信息系统审计。
其次,要大力培养信息系统审计师。开展信息系统审计业务,有两支力量可以挖掘:一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验。在提供信息系统及电子数据质量的鉴证与咨询服务方面,会计师事务所面临竞争,为使市场信服他是执行这种业务的最佳候选人,会计师还需要:学习提高技术能力;继续维护他们现有的作为独立的、被信任的第三方的角色;必须将信息技术、网络技术技能融入传统的鉴证业务;必须拓展在系统可靠性、风险确认和影响分析,以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代,交易大部分是由系统自动完成的,人的参与较少,审计轨迹存在较少,在这种条件下,审计必须穿过信息系统进行。IT技术人员具备了相应的技术技能。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉,缺乏对管理与内部控制认识、评价的经验,缺少审计的理论与技能。因此,IT技术人员从事信息系统审计业务,要补充审计理论知识,学会用审视的目光,关注信息技术的效益,从管理控制角度,而非纯技术角度思考问题。[page]
此外,要尽快形成行业管理制度规范。如从事电子商务的企业必须经过审计、上市公司的信息系统必须经过审计、网上银行要审计等,借鉴会计师业的经验,对信息系统审计职业的自律规范开展研究,包括资格考试制度、职业道德、执业规范与惩戒等,使我国信息系统审计事业在健康规范的轨道上快速发展。
声明:该作品系作者结合法律法规,政府官网及互联网相关知识整合,如若内容错误请通过【投诉】功能联系删除.
相关知识推荐
工程结算是指施工企业按照承包合同和已完工程量向建设单位(业主)办理工程价清算的经济文件。工程结算又分为:工程定期结算、工程阶段结算、工程年终结算、工程竣工结算。
工程先开工后签合同一般不合法,属于倒签合同的法律行为。倒签合同与企业风险防范的目标相悖,不符合企业管理制度的要求,同时存在较大的法律风险和经营管理风险,在实践中
没有资质挂靠拖欠工程款挂靠施工人可以自己名义起诉要求发包人支付工程款。承包人应当积极向发包人主张工程款,实际施工人有足够证据证明承包人未积极向发包人主张工程款的
建筑工程纠纷行使先履行抗辩权如下:负有先履行义务的一方不如约履行的,另一方可以行使先履行抗辩权、拒绝其相应的履行请求。先履行抗辩权基本上适用于先履行一方违约的场
个人名义签订了建筑工程承包合同无效。承包建筑工程的主体必须具有企业法人资格、持有工商行政管理机关核发的营业执照和建设行政主管部门颁发的资质证书,在核准的资质等级
施工企业与包工头之间的法律关系是劳务合同关系,双方建立承揽业务后包工头受施工企业管理。建筑企业与施工企业之间是建设工程承包(加工承揽)关系,包工头与农民工之间是
承包工程需要签合同,签订时需要注意对工程的真实性、可靠性及发包人的资信情况进行了解,写明单项承包工程名称和范围、施工准备、施工组织设计和工期、工程质量和检验、价
