信息系统监理与信息系统审计之三

发布时间：2006年02月15日点击数： 作者：孙强 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

（一） 信息系统审计流程

开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理解特别关注之处，如果有的话，制定日程，解释审计方法。这样的会议有高级经理的参与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似的，在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告，可以大大增加审计的效果。

 

（二） 基于风险的审计方法

          很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制（Control-Based）演变为基于风险（Risk-Based）的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。

基于风险方法来进行审计的步骤是：

Ø       编制组织使用的信息系统清单并对其进行分类。

Ø       决定哪些系统影响关键功能和资产。

Ø       评估哪些风险影响这些系统及对商业运做的冲击。

Ø       在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者可以制定年度审计计划，罗列出一年之中要进行的审计项目。

二、  信息系统监理与信息系统审计之对比分析

从前面两部分的介绍可知，信息系统审计在国际上已经体系化、标准化、程序化，而我国信息系统监理仅有最基本的轮廓，积累了一些经验，但尚没有形成完整的方法论。因此，目前只能从概念、发展动因等方面做较为宽泛的对比。不过，对比国际通用体系，可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。

信息系统监理与信息系统审计之对比，可归纳出以下特点：

（一） 两者性质相同，都是第三方监督，但对独立性的要求有差别。

两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。

客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，但是人们很难衡量其在执行业务时是否已经达到了客观公正，如果只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员很难执行，社会公众很难观察，所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的《审计哲学》（The philosophy of Auditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitioner-independence)和职业的独立性（Profession-independence）。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯（Thomas G Higgins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。

（二） 国外信息系统审计已经发展为较完善的行业监督体系。

目前国内信息系统审计刚刚起步，而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准，至今还没有有效的管理手段，在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力；同样轻易得到的结论，是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中，政府监管是一个重要的辅助措施；而真正起决定性作用的，是市场中的制衡力量，以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。

美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的，行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制，将在很大程度上限制会计行业自主发展的权利和业务拓展空间，损害所有从业者的利益，因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律，公众要求国会加强行政管制的压力使得这种可能性现实存在。

（三） 两者业务范围和目的均有所差别。

信息系统工程监理和信息系统审计都是对质量控制的再控制，但两者业务范围和目的均有所差别。

1、两者业务范围差别

信息系统工程监理是指具有信息系统工程监理资质的单位，接受建设单位的委托，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。

2、两者目的差别

信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其核心是信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。

另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运维阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

（四） 信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。

所谓科学化，是指现代审计技术与方法的研究，已经超越了传统的经验论，非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核，其实质就是将审计人员掌握的一些客观规律总结出来，测算出被审计事项的合理预期值，再与被审计事项的实际值相比较，进一步评估差异的合理性之后，确定是否还需要对被审计事项进行详细测试。这一个过程，实际上被许多审计人员不自觉地运用了多年，但通过公式和比率等形式总结出来，主动指导审计人员的实践，却是最近２０年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛，抽样统计技术的全面推广就是例证。

所谓规范化，是指审计机构将审计程序设计与审计技术方法的运用有机结合，规范和引导审计人员运用适当的审计技术和方法。以往，审计人员在运用审计技术和方法的过程中容易有较大的随意性，用与不用，在什么时候用，如何使用，都没有规范和约束，导致整个审计机构的标准不统一，质量没有保证。随着程序导向式审计软件平台的开发和广泛运用，越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中，要求并指导审计人员合理运用审计技术。

所谓智能化，强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来，指导审计人员得出合理的审计结论。在审计过程中，数学、统计学的分析结果，都不能完全替代审计人员的专业判断，因为在其利用的数学公式中，仍然有许多变量需要审计人员主观确定。在这种情况下，越来越多的审计机构，倾向于在审计软件中为审计人员的决策提供参考。目前，许多审计机构不惜花巨资，邀请审计领域的专家，分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然，对审计而言，智能化永远都是一个相对的概念，电脑和机器永远不能替代审计人员的决策，但提供决策辅助和参考意见，确实非常必要。

所谓系统化，是指审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决的是要审什么、想达到什么目的，审计技术和方法解决的是怎么审和怎么达到目的，这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近２０多年来审计技术与方法的研究历程，可以清晰地发现，审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展，而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于，审计技术与方法的研究，不能超越基本审计理论和审计目标的研究，也不能脱离审计战略和审计目标的总体要求。

（五） 信息系统审计具有较完善的职业教育和认证体系。

国际信息系统审计与控制协会ISACA（Information System Audit and Control Association）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。注册信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来，国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准，并得到了全世界的公认。在世界各地，每年都要举行一次认证考试和若干次后续教育，目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

鉴于信息安全市场的高速增长，最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM，以配合市场对安全人才的巨大需求。

 

 

五、对信息系统监理的建议

目前，我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计，目前在我国的海外咨询足有百余家。随着摩立特集团（我国）公司日前在北京成立，国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆，给国内的咨询包括监理机构带来了巨大的压力，其丰富的案例库、数据库、知识库，数十甚至百年创下的品牌，短时期内本土咨询业与其的差距依然较大。

面对机遇和挑战，如何借鉴国际上先进的经验，推动我国信息系统监理的健康发展，避免其他中介服务行业曾走过的弯路，我们在广泛的理论分析和实证研究的基础上提出如下具体建议：

（一）      建立健全的管理体制与法律法规体系，尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。各级信息化主管部门，在规范政府管理职能的同时（政府部门要避免管的过多、过细，应过多关注整个监理市场的宏观管理和调控），注重加强行业自律管理，避免其他中介服务行业曾出现过的多种问题。例如，个别人凭借权利强行包揽监理业务，采取高回扣等不正当手段，以及为独揽业务，不惜损害其他方和当事人的权益等。

（二）      鉴于信息系统工程监理具有专业性强和风险大的特点，建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈，使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

（三）      尽快建立信息系统工程监理的标准和执业规范。

（四）      推动信息系统工程监理工业的分化整合，探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下，面对国际IT服务咨询业巨头的竞争，我国信息系统工程监理行业刚起步，监理公司如何脱颖而出、迅速成长，参与国内甚至国际信息系统中介服务市场的竞争，将是重中之重的工作。

（五）      开展信息系统工程监理公司内部管理机制研究。

（六）      努力提高信息系统工程监理行业的监理质量。

1.      执业程序要统一。“四大”发展到今天这样的规模，执业程序的统一是其基石。这些程序历经多年的经验积累而形成，并针对新出现的问题随时加以完善。从某种意义上将，客户对“四大”的统一的执业程序的认同，超过了对其名称品牌的认同。

2.      培训统一。为保证执业程序的统一，首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训，定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门，并将每年收入相当大的比重用于培训。另外，严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。

3.      人事管理在一定范围内统一。建议将监理工程师的级别进行细分，并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式，对于监理机构来说非常重要。

总之，我国信息系统监理事业发展几年来，虽然取得了一定成绩，但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题，监理企业面临前所未有的严峻挑战。但是机遇与挑战同在，我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势，发挥自身的能动力量，积极参与竞争，加强与国际同行的合作交流，借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法，把我国的信息系统监理事业做稳、做实、做大，做出我国的监理和咨询品牌。