所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。信息系统工程监理,依据信息产业部《信息系统工程监理暂行规定》,是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。两者都可以服务于信息化建设,可以降低信息化投资风险。但目前在信息化建设领域,信息系统审计尚未被人们接受,在国内的推动中一提到审计,大家就认为是只有对会计报表的审计,似乎与IT和信息系统无关,相比较而言,人们更接受信息系统监理的概念,有些人甚至认为信息系统监理就是信息系统审计。对这两者认识的模糊,不仅影响到我国信息系统审计业的发展,而且影响到信息时代的市场经济秩序与国家安全等问题。国外没有信息系统监理的概念,在我国这一概念的提出是借鉴工程建设监理,而信息系统审计是21世纪初从国外介绍到国内的,尽管人们对两者存在模糊认识,但目前尚未见到系统比较两者的文章,笔者想通过比较,使人们认识到在信息化建设中,信息系统审计是不可替代与必不可少的,推动我国信息系统审计的发展是信息时代的要求。
1、信息系统审计与信息系统监理的发展与实践
1.1 信息系统审计
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的,作为传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式,网上商务、网上银行、网上证券、网上政府等相继出现,信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统,窃取机密,借助网络非法占有财富,特别是数字化财富等现象也日益增多,扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实,关注产生、处理、传递信息的系统本身的安全、可靠、有效,关注企业如何评估其面临的风险,并如何采取措施预防和监控。
由于技术的限制等原因,信息的使用者不能自己验证信息的质量,因此急需有独立的第三方出面对信息的保密性(Data Confidentiality)、完整性(Data Integrity)、交易行为的不可否认性(Non–Repudiation)、交易对手的身份明示(User Authentication)、系统的安全有效等做出鉴证,以合理保护信息使用者的利益。同时,企业在信息化过程中也急需专业人士提供有效控制信息系统风险,提高信息化效益的服务。真正意义上的信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
1.2 信息系统监理
20时90年以来,从中央到地方,从政府到企业,纷纷投入了大量的资金从事信息工程建设和信息系统的建设,但这其中真正按进度、质量要求、投资预算完成且用户(业主)满意的,只占极少数,不足20%,即便是一些搞得比较好的工程项目,也或多或少地存在一些问题,如项目可行性论证不充分;用户需求不全面、不准确;用户要求一变再变、工程进度一拖再拖;甲乙双方的合同书条文不规范,缺乏可执行性,或存在二义性,出现争执时,双方各执一词、争执不下;缺少设备、系统监理评测验收;工程结束后,承包方没有提交与工程有关的文档资料,严重影响了工程的连续性、继承性、可扩展性;工程长时间不能投入正常运行、工程款一再拖欠,承建单位也迟迟拿不到工程款,等等。严重地影响了信息系统工程项目的质量和进度,不仅损害了合同签约双方(建设方和承建方)的利益,还给国家和社会造成了许多不应有的损失。
为保障信息系统工程签约双方的利益,确保国家信息产业更加健康、有序地发展,“信息系统工程监理”就应运而生了。
信息产业部于2000年元月发布了信规(2000第206号文),即“关于认真开展信息工程监理的通知”。在通知中指出:凡属于信息工程建设项目,包括新建、扩建、技术改造,一律按国家规定实行监理;承担工程监理的单位,必须具备与工程性质、规模等级相应的监理资质,没有信息工程监理资质的单位不得承担信息工程监理业务。要求监理公司要对建设项目的质量、成本、进度实施监理控制,保护建设项目建设方与承建方的利益。
2 信息系统审计与信息系统监理的区别
从信息系统审计与信息系统监理的概念以及国内外的实践总结,笔者认为两者之间的主要区别包括:
2.1 作用不同
与财务报表审计相同,信息系统审计的作用也包括:
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在市场经济条件下,被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要,对一些利益相关者而言也非常重要。例如,在电子商务中,交易双方在虚拟的空间进行交易活动,信息的真实性、可靠性、完整性,双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下,不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用,同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制,信息的使用者不可能亲自对信息的质量做出审查,因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份,对被审计单位的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性的重要环节,是维护电子商务时代正常经济秩序必不可少的重要手段。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
从第一个方面来看,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及,商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关体而言是具有巨大价值的。当然,对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时,信息的使用者也可以借助这些信息,加强被审计单位的管理决策,提高其经济效益。
从第二个方面来看,信息系统审计在审计过程中发现的控制缺陷或漏洞,可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视,可以发现从内部看不到的问题。俗话说“不识庐山真面目,只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。但是,信息化建设是有风险的,据报道,一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查,结果表明,其中68%的项目超过了预定的开发周期,55%的项目其费用超过预算,88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查,报告显示,有30%~50%的客户/服务器项目中途放弃开发。为减少信息化风险,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需要,确定信息化的目标和内容,选择合适的软件产品,帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。
与信息系统审计不同,信息系统监理的作用主要包括:
第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资,并合理、客观的处理好它们之间的关系。在项目建设全过程中,监理单位依据国家有关法律和相关技术标准,遵循守法、公平、公正、独立的原则,对信息系统建设的过程进行监督和控制,确保质量、安全和有效性的前提下,合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制,就是对承建单位项目控制过程的监督管理。
第二合理地协调业主单位和建设单位之间的关系,这是监理的一项主要工作。在信息系统工程建设中,很多时候业主单位和承建单位有许多问题存争议,业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价,这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等,保证项目顺利实施。
2.2 两者业务范围和目的不同
信息系统工程监理和信息系统审计虽然都有一定的监督作用,但两者业务范围和目的均有所差别。
首先信息系统工程监理是具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。
其次,信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运营维护阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
责任编辑:小草