第一篇：信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)

信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)

[摘要]建立信息化建設(shè)的第三方監(jiān)督對(duì)保證信息化建設(shè)的效益最大化至關(guān)重要。本文通過(guò)信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計(jì)的概念、產(chǎn)生動(dòng)因等進(jìn)行比較，分析我國(guó)信息系統(tǒng)監(jiān)理面臨的新問(wèn)題、新要求，并介紹美國(guó)信息系統(tǒng)審計(jì)的實(shí)踐經(jīng)驗(yàn)，在此基礎(chǔ)上提出對(duì)我國(guó)信息系統(tǒng)監(jiān)理事業(yè)發(fā)展的若干建議。

[關(guān)鍵詞]信息系統(tǒng)信息系統(tǒng)監(jiān)理信息系統(tǒng)審計(jì)比較獨(dú)立性

引言

“信息化帶動(dòng)工業(yè)化”是我國(guó)長(zhǎng)期的重要發(fā)展戰(zhàn)略，江澤民同志在十六大的報(bào)告中指出：“實(shí)現(xiàn)工業(yè)化仍然是我國(guó)現(xiàn)代化進(jìn)程中艱巨的歷史性任務(wù)。信息化是我國(guó)加快實(shí)現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇。堅(jiān)持以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化，走出一條科技含量高、經(jīng)濟(jì)效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢(shì)得到充分發(fā)揮的新型工業(yè)化路子?！边@段論述表現(xiàn)了我們黨對(duì)信息化建設(shè)的高度重視，也指明信息化帶出一條新型工業(yè)化路子的光明前景。

目前，各地區(qū)、各部門都在認(rèn)真貫徹十六大精神，十分重視推進(jìn)信息化工作，我國(guó)信息化建設(shè)已經(jīng)進(jìn)入新的階段，我國(guó)信息化事業(yè)已發(fā)展到一個(gè)新的階段。各級(jí)政府正在積極推進(jìn)“電子政務(wù)”，許多城市及企業(yè)也已著手整合與升級(jí)其信息化應(yīng)用系統(tǒng)?？梢灶A(yù)計(jì)，全國(guó)將有更多、更大的信息系統(tǒng)建設(shè)項(xiàng)目展開(kāi)。但是，在信息化推進(jìn)過(guò)程中，存在不同程度上的一些問(wèn)題，主要表現(xiàn)在規(guī)劃制訂不夠科學(xué)，項(xiàng)目管理不夠嚴(yán)格，監(jiān)理機(jī)制不夠健全，系統(tǒng)運(yùn)行效益不夠明顯。致使相當(dāng)一部分信息化項(xiàng)目失敗或未能實(shí)現(xiàn)預(yù)期目標(biāo)，浪費(fèi)了大量資源。究其根源主要原因之一是信息化建設(shè)第三方監(jiān)管機(jī)制的缺失和標(biāo)準(zhǔn)的不健全。

國(guó)內(nèi)外的實(shí)踐表明：信息化是有風(fēng)險(xiǎn)的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險(xiǎn)也就越大。英國(guó)Kalido于英國(guó)時(shí)間2001年12月12日公布了有關(guān)企業(yè)信息管理的調(diào)查結(jié)果。調(diào)查顯示，96％的企業(yè)對(duì)于本公司的信息管理系統(tǒng)感到不滿。關(guān)于目前正在使用的信息系統(tǒng)，認(rèn)為“所制作的報(bào)告缺乏一貫性”或者是“核對(duì)信息花費(fèi)了太多時(shí)間”的企業(yè)約占70％。特別引人深思的是該調(diào)查是由美國(guó)HarteHanks以全球500強(qiáng)企業(yè)以及財(cái)富1000企業(yè)中的171家公司為對(duì)象通過(guò)問(wèn)卷方式實(shí)施的。調(diào)查對(duì)象中，40％以上的企業(yè)年交易額超過(guò)20億美元。其他主要調(diào)查結(jié)果如下∶回答目前的信息系統(tǒng)不能靈活因應(yīng)變化的企業(yè)約占60％；對(duì)于數(shù)據(jù)的精度表示擔(dān)心的企業(yè)約占60％；60％以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合計(jì)劃。這充分說(shuō)明，信息系統(tǒng)的建設(shè)項(xiàng)目較之傳統(tǒng)工業(yè)工程項(xiàng)目成功率更低，風(fēng)險(xiǎn)也更加突出。

中央領(lǐng)導(dǎo)同志在國(guó)家信息化領(lǐng)導(dǎo)小組第一次會(huì)議中特別強(qiáng)調(diào)：信息化建設(shè)一定要講求效益，不能搞花架子。因此建立并逐步完善我國(guó)信息系統(tǒng)審計(jì)制度是健康、有序地推進(jìn)信息化和落實(shí)領(lǐng)導(dǎo)小組會(huì)議精神的一項(xiàng)重要措施。

目前，在國(guó)內(nèi)的信息化項(xiàng)目工程建設(shè)中，絕大多數(shù)用戶（業(yè)主）無(wú)法組織隊(duì)伍對(duì)信息系統(tǒng)建設(shè)進(jìn)行專業(yè)化管理，難以勝任從可行性分析、規(guī)劃設(shè)計(jì)、招標(biāo)、方案評(píng)審到工程監(jiān)理和工程驗(yàn)收全過(guò)程的管理與組織協(xié)調(diào)工作，建設(shè)方和承建方在信息建設(shè)過(guò)程中存在嚴(yán)重的信息不對(duì)稱問(wèn)題。這表現(xiàn)為借助外援進(jìn)行工程管理咨詢的案例越來(lái)越多，一些省市的行業(yè)主管部門也開(kāi)始在信息系統(tǒng)建設(shè)中推行由監(jiān)理進(jìn)行工程質(zhì)量管理的做法。但是，監(jiān)理介 入信息系統(tǒng)在我國(guó)還處于一個(gè)探索的過(guò)程中。

我國(guó)加入WTO后，鑒于我國(guó)IT服務(wù)業(yè)未來(lái)巨大的增長(zhǎng)空間，國(guó)際知名咨詢顧問(wèn)公司、專業(yè)技術(shù)服務(wù)提供商等紛紛搶灘我國(guó)市場(chǎng)。在信息系統(tǒng)第三方鑒證業(yè)務(wù)方面，他們提供符合國(guó)際標(biāo)準(zhǔn)的信息系統(tǒng)審計(jì)服務(wù)。因此當(dāng)前監(jiān)理事業(yè)的發(fā)展面臨新的形勢(shì)，監(jiān)理工作外部環(huán)境發(fā)生了深刻變化，勢(shì)將對(duì)我國(guó)監(jiān)理企業(yè)形成嚴(yán)重沖擊，本土監(jiān)理企業(yè)面臨前所未有的嚴(yán)峻挑戰(zhàn)。監(jiān)理事業(yè)往何處去？這是擺在每一個(gè)監(jiān)理人面前的重大課題。每一個(gè)監(jiān)理企業(yè)必須以發(fā)展的眼光、動(dòng)態(tài)的觀點(diǎn)、創(chuàng)新的思想和創(chuàng)新的理論正確認(rèn)識(shí)和判斷當(dāng)前的監(jiān)理形勢(shì)，增強(qiáng)危機(jī)感和緊迫感，迎接新的挑戰(zhàn)。

信息系統(tǒng)監(jiān)理

信息系統(tǒng)監(jiān)理概念

依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。

信息系統(tǒng)監(jiān)理產(chǎn)生動(dòng)因及其發(fā)展

1、信息系統(tǒng)監(jiān)理產(chǎn)生動(dòng)因分析

監(jiān)理工作、監(jiān)理企業(yè)是我國(guó)在計(jì)劃經(jīng)濟(jì)向市場(chǎng)經(jīng)濟(jì)轉(zhuǎn)變的過(guò)程中在建設(shè)領(lǐng)域中應(yīng)運(yùn)而生的，并取得了有目共睹的顯著成效，直接促進(jìn)了工程監(jiān)理業(yè)的繁榮發(fā)展，這也導(dǎo)致在通信業(yè)工程建設(shè)、信息系統(tǒng)建設(shè)等方面監(jiān)理的出現(xiàn)。因此，回顧建設(shè)工程監(jiān)理的發(fā)展，將有助于對(duì)信息系統(tǒng)監(jiān)理的認(rèn)識(shí)。

1988年7月建設(shè)部發(fā)布了《關(guān)于開(kāi)展建設(shè)監(jiān)理工作的通知》，隨后又于1988年11月印發(fā)了《關(guān)于開(kāi)展建設(shè)監(jiān)理試點(diǎn)問(wèn)題的若干意見(jiàn)》，使得試點(diǎn)工作有章可循。1989年，根據(jù)初步試點(diǎn)取得的經(jīng)驗(yàn)，建設(shè)部制定了《建設(shè)監(jiān)理試行規(guī)定》，這是我國(guó)第一個(gè)比較完備的關(guān)于工程建設(shè)監(jiān)理的法規(guī)文件，勾畫出具有我國(guó)特色的工程建設(shè)監(jiān)理制度的初步框架。1991年又分別制定頒發(fā)了《建設(shè)監(jiān)理單位資質(zhì)管理試行辦法》和《監(jiān)理工程師資格考試及注冊(cè)試行辦法》，建設(shè)監(jiān)理法規(guī)制度進(jìn)一步配套完善。1993年，上海市開(kāi)始了工程設(shè)備監(jiān)理制度的試點(diǎn)工作。1998年，國(guó)務(wù)院機(jī)構(gòu)改革后賦予了國(guó)家質(zhì)量技術(shù)監(jiān)督局“協(xié)調(diào)建立設(shè)備工程監(jiān)理制度”的職能要求，隨后，國(guó)家質(zhì)量技術(shù)監(jiān)督局?jǐn)M定了《協(xié)調(diào)建立設(shè)備工程監(jiān)理制度的方案》，在國(guó)家發(fā)展計(jì)劃委員會(huì)的指導(dǎo)和具體參與下，會(huì)同國(guó)務(wù)院有關(guān)部門，在國(guó)內(nèi)有關(guān)技術(shù)及咨詢機(jī)構(gòu)的幫助、支持下,完成了設(shè)備監(jiān)理制度中有關(guān)規(guī)章的起草工作。此間，世界銀行、國(guó)家開(kāi)發(fā)銀行等亦曾規(guī)定，其貸款的有關(guān)項(xiàng)目要有監(jiān)理公司監(jiān)理，并作為申請(qǐng)貸款的項(xiàng)目單位獲得貸款的基本條件。由此開(kāi)始推行建設(shè)工程監(jiān)理制度，監(jiān)理事業(yè)得到持續(xù)快速發(fā)展，從而積累了一定經(jīng)驗(yàn)，取得了積極成效。發(fā)展至今建立了一套比較完整的監(jiān)理法規(guī)體系，組成了一支規(guī)模較大的監(jiān)理隊(duì)伍，監(jiān)理出一批優(yōu)良的工程項(xiàng)目，監(jiān)理工作在工程建設(shè)中發(fā)揮了重要作用，得到了各級(jí)領(lǐng)導(dǎo)的支持，得到了社會(huì)的普遍認(rèn)可，正逐步向規(guī)范化、制度化、科學(xué)化方向邁進(jìn)

但同時(shí)我國(guó)工程監(jiān)理事業(yè)經(jīng)過(guò)十多年的發(fā)展，雖然取得了一定成績(jī)，但也存在不少問(wèn)題。如：監(jiān)理人員整體素質(zhì)不高、監(jiān)理工作缺位、監(jiān)理取費(fèi)普遍較低、監(jiān)理市場(chǎng)競(jìng)爭(zhēng)機(jī)制不健全、監(jiān)理企業(yè)缺乏自我積累和發(fā)展能力、監(jiān)理責(zé)任不明確、監(jiān)理工作缺乏系統(tǒng)的理論研究、宣傳工作滯后等問(wèn)題比較突出。

2、信息系統(tǒng)監(jiān)理的發(fā)展

目前信息系統(tǒng)工程的現(xiàn)狀類似于二十世紀(jì)八十年代以前建筑工程的狀態(tài)。自1988年建設(shè)部頒布《關(guān)于開(kāi)展建設(shè)監(jiān)理工作的通知》以后，特別是1996年建設(shè)監(jiān)理全面推行后，建筑工程的質(zhì)量普遍提高，業(yè)主和承建商之間的糾紛普遍減少，凡是出問(wèn)題的工程，監(jiān)理也有問(wèn)題。因此，要求參考建筑工程的管理辦法對(duì)信息工程實(shí)施監(jiān)理的呼聲日益高漲，這既是信息工程用戶（業(yè)主）的愿望，也是系統(tǒng)集成商的愿望，信息工程市場(chǎng)呼喚“第三方”—信息系統(tǒng)工程監(jiān)理的出現(xiàn)。

早在1995年，原電子工業(yè)部就出臺(tái)了《電子工程建設(shè)監(jiān)理規(guī)定（試行）》。1996年，深圳市成立了全國(guó)第一家信息工程質(zhì)量監(jiān)督機(jī)構(gòu)—信息工程質(zhì)量監(jiān)督檢驗(yàn)總站。1998年，西安協(xié)同軟件股份有限公司經(jīng)西安技術(shù)監(jiān)督局和西安市科委批準(zhǔn)，獲得“計(jì)算機(jī)管理信息系統(tǒng)工程監(jiān)理”資質(zhì)認(rèn)證，成為國(guó)內(nèi)第一家獲此資格的公司。1999年6月，深圳市政府在國(guó)內(nèi)率先出臺(tái)了包括實(shí)施信息工程監(jiān)理?xiàng)l款在內(nèi)的《深圳市信息工程管理辦法》，并要求首屆我國(guó)國(guó)際高新技術(shù)成果交易會(huì)信息網(wǎng)絡(luò)工程實(shí)施監(jiān)理。2000年7月，深圳市信息化建設(shè)委員會(huì)辦公室制訂了《深圳市信息工程建設(shè)管理辦法實(shí)施意見(jiàn)》，要求“市、區(qū)、鎮(zhèn)人民政府及其所屬部門使用財(cái)政性資金（包括預(yù)算內(nèi)資金、預(yù)算外資金、事業(yè)收入等），投資規(guī)模在100萬(wàn)元以上的信息工程建設(shè)項(xiàng)目必須遵照本實(shí)施意見(jiàn)進(jìn)行立項(xiàng)、招投標(biāo)、監(jiān)理、質(zhì)量監(jiān)督、驗(yàn)收”。2002年7月，北京市信息化工作辦公室制定了《北京市信息系統(tǒng)工程監(jiān)理管理辦法（試行）》，要求“本市推行信息系統(tǒng)工程監(jiān)理制度，建設(shè)單位應(yīng)當(dāng)通過(guò)協(xié)議或者招標(biāo)的方式優(yōu)先選擇具有相應(yīng)資質(zhì)等級(jí)的信息系統(tǒng)工程監(jiān)理單位承擔(dān)監(jiān)理業(yè)務(wù)。各級(jí)財(cái)政全部補(bǔ)助或者部分補(bǔ)助以及為社會(huì)提供公共服務(wù)的重大信息化工程項(xiàng)目必須通過(guò)招標(biāo)的方式選擇信息系統(tǒng)工程監(jiān)理單位，實(shí)行強(qiáng)制監(jiān)理?！?002年11月，國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局公布《設(shè)備監(jiān)理單位資格管理辦法》，在該管理辦法的21類設(shè)備工程專業(yè)中，涉及信息工程的共有三類，即信息網(wǎng)絡(luò)系統(tǒng)、信息資源開(kāi)發(fā)系統(tǒng)和信息應(yīng)用系統(tǒng)。最近，在國(guó)家信息辦和國(guó)家標(biāo)準(zhǔn)管理委員會(huì)直接領(lǐng)導(dǎo)下，信息化系統(tǒng)監(jiān)理規(guī)范化項(xiàng)目正在加緊制定中，并且是作為電子政務(wù)標(biāo)準(zhǔn)化項(xiàng)目的一個(gè)子項(xiàng)目而提出的。預(yù)計(jì)在今年年底，監(jiān)理規(guī)范就要完成，經(jīng)過(guò)試用和修改后，將上升為國(guó)家標(biāo)準(zhǔn)。2002年12月，信息產(chǎn)業(yè)部在廣泛征求意見(jiàn)和開(kāi)展試點(diǎn)工作的基礎(chǔ)上，正式頒布《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，這標(biāo)志著我國(guó)信息工程監(jiān)理開(kāi)始邁向科學(xué)化、專業(yè)化和規(guī)范化，也預(yù)示著在我國(guó)即將出現(xiàn)一個(gè)新的中介服務(wù)行業(yè)，將很快涌現(xiàn)一批監(jiān)理機(jī)構(gòu)和執(zhí)業(yè)人員，從此信息系統(tǒng)工程監(jiān)理工程師也將逐步成為國(guó)民經(jīng)濟(jì)和社會(huì)信息化的“警察”。

但我國(guó)的信息系統(tǒng)工程監(jiān)理目前僅僅是處在起步階段，事實(shí)上根據(jù)對(duì)國(guó)內(nèi)信息化應(yīng)用程度較高的行業(yè)部門（如銀行、證券、保險(xiǎn)、氣象、社保、旅游等）和部分大型企業(yè)（如華北制藥、哈爾濱軸承集團(tuán)、哈爾濱飛機(jī)制造企業(yè)、躍進(jìn)汽車集團(tuán)、我國(guó)石化等）30個(gè)樣本作為調(diào)查對(duì)象的調(diào)查結(jié)果顯示，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，項(xiàng)目監(jiān)理是個(gè)新概念。只有30%的被調(diào)查者表示在某些信息化項(xiàng)目中使用過(guò)監(jiān)理服務(wù)。在70%未使用過(guò)項(xiàng)目監(jiān)理的被調(diào)查者中，5%表示聽(tīng)說(shuō)過(guò)，95%表示知道建筑工程有監(jiān)理，但在IT信息化項(xiàng)目中引入監(jiān)理還是第一次聽(tīng)說(shuō)。

圖1監(jiān)理服務(wù)內(nèi)容重要程度（引自胡敏《市場(chǎng)呼喚項(xiàng)目監(jiān)理》）

目前，我國(guó)還沒(méi)有一套完善的IT項(xiàng)目監(jiān)理制度，相應(yīng)的監(jiān)理法規(guī)、監(jiān)理內(nèi)容、收費(fèi)標(biāo)準(zhǔn)等也都沒(méi)有制定。特別是收費(fèi)標(biāo)準(zhǔn)問(wèn)題，大多數(shù)用戶采用協(xié)商解決。以北京城域網(wǎng)項(xiàng)目的監(jiān)理費(fèi)為例，其采用了建筑行業(yè)的監(jiān)理服務(wù)收費(fèi)標(biāo)準(zhǔn)（2%10%），支付的服務(wù)費(fèi)占整個(gè)項(xiàng)目資金支出的2%。廣大用戶也反映，項(xiàng)目監(jiān)理的標(biāo)準(zhǔn)如何才能做到公正、科學(xué)，項(xiàng)目監(jiān)理的工作流程是否也應(yīng)該規(guī)范，如何界定和權(quán)衡監(jiān)理公司、用戶、IT廠商三方利益？監(jiān)理過(guò)程中出了問(wèn)題，該怎么辦？，這一系列問(wèn)題都需要不斷探索。原北京市信息中心主任華平瀾表示，只有使監(jiān)理更加規(guī)范化，才能更好地推進(jìn)監(jiān)理工作，才能使信息系統(tǒng)的建設(shè)更加順利。事實(shí)上，與建筑等其他發(fā)展很成熟的行業(yè)的監(jiān)理相比，對(duì)IT項(xiàng)目的監(jiān)理要難得多。并且由于信息技術(shù)是一個(gè)新興技術(shù)，它本身還在不斷發(fā)展和完善，因此，即使制定出的監(jiān)理的內(nèi)容和標(biāo)準(zhǔn)也不能僵化，需要不斷地變更和完善。

信息系統(tǒng)監(jiān)理的基本理論

信息系統(tǒng)監(jiān)理的中心任務(wù)是科學(xué)地規(guī)劃和控制工程項(xiàng)目的投資、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的基本方法是目標(biāo)規(guī)劃、動(dòng)態(tài)控制、組織協(xié)調(diào)和合同管理；監(jiān)理工作貫穿規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)收的全過(guò)程。信息工程監(jiān)理正是通過(guò)投資控制、進(jìn)度控制、質(zhì)量控制以及合同管理和信息管理來(lái)對(duì)工程項(xiàng)目進(jìn)行監(jiān)督和管理，保證工程的順利進(jìn)行和工程質(zhì)量。

1、成本控制

成本控制的任務(wù)，主要是在建設(shè)前期進(jìn)行可行性研究，協(xié)助建設(shè)單位正確地進(jìn)行投資決策；在設(shè)計(jì)階段對(duì)設(shè)計(jì)方案、設(shè)計(jì)標(biāo)準(zhǔn)、總概（預(yù)）算進(jìn)行審查；在建設(shè)準(zhǔn)備階段協(xié)助確定標(biāo)底和合同造價(jià)；在實(shí)施階段審核設(shè)計(jì)變更，核實(shí)已完成的工程量，進(jìn)行工程進(jìn)度款簽證和索賠控制；在工程竣工階段審核工程結(jié)算。

2、進(jìn)度控制

進(jìn)度控制首先要在建設(shè)前期通過(guò)周密分析研究確定合理的工期目標(biāo)，并在實(shí)施前將工期要求納入承包合同；在建設(shè)實(shí)施期通過(guò)運(yùn)籌學(xué)、網(wǎng)絡(luò)計(jì)劃技術(shù)等科學(xué)手段，審查、修改實(shí)施組織設(shè)計(jì)和進(jìn)度計(jì)劃，做好協(xié)調(diào)與監(jiān)督，排除干擾，使單項(xiàng)工程及其分階段目標(biāo)工期逐步實(shí)

現(xiàn)，最終保證項(xiàng)目建設(shè)總工期的實(shí)現(xiàn)。

3、質(zhì)量控制

質(zhì)量控制要貫穿在項(xiàng)目建設(shè)從可行性研究、設(shè)計(jì)、建設(shè)準(zhǔn)備、實(shí)施、竣工、啟用及用后維護(hù)的全過(guò)程。主要包括組織設(shè)計(jì)方案評(píng)比，進(jìn)行設(shè)計(jì)方案磋商及圖紙審核，控制設(shè)計(jì)變更；在施工前通過(guò)審查承建單位資質(zhì)等；在施工中通過(guò)多種控制手段檢查監(jiān)督標(biāo)準(zhǔn)、規(guī)范的貫徹；以及通過(guò)階段驗(yàn)收和竣工驗(yàn)收把好質(zhì)量關(guān)等。

3、合同管理

合同管理是進(jìn)行投資控制、工期控制和質(zhì)量控制的手段。因?yàn)楹贤潜O(jiān)理單位站在公正立場(chǎng)采取各種控制、協(xié)調(diào)與監(jiān)督措施，履行糾紛調(diào)解職責(zé)的依據(jù)，也是實(shí)施三大目標(biāo)控制的出發(fā)點(diǎn)和歸宿。

4、信息管理

信息管理包括投資控制管理、設(shè)備控制管理、實(shí)施管理及軟件管理。

5、協(xié)調(diào)

協(xié)調(diào)貫穿在整個(gè)信息系統(tǒng)工程從設(shè)計(jì)到實(shí)施再到驗(yàn)收的全過(guò)程。主要采用現(xiàn)場(chǎng)和會(huì)議方式進(jìn)行協(xié)調(diào)。

總之，三控兩管一協(xié)調(diào)，構(gòu)成了監(jiān)理工作的主要內(nèi)容。為完滿地完成監(jiān)理基本任務(wù)，監(jiān)理單位首先要協(xié)助建設(shè)單位確定合理、優(yōu)化的三大目標(biāo)，同時(shí)要充分估計(jì)項(xiàng)目實(shí)施過(guò)程中可能遇到的風(fēng)險(xiǎn)，進(jìn)行細(xì)致的風(fēng)險(xiǎn)分析與評(píng)估，研究防止和排除干擾的措施以及風(fēng)險(xiǎn)補(bǔ)救對(duì)策。使三大目標(biāo)及其實(shí)現(xiàn)過(guò)程建立在合理水平和科學(xué)預(yù)測(cè)基礎(chǔ)之上。其次要將既定目標(biāo)準(zhǔn)確、完整、具體地體現(xiàn)在合同條款中，絕不能有含糊、籠統(tǒng)和有漏洞的表述。最后才是在信息工程建設(shè)實(shí)施中進(jìn)行主動(dòng)的、不間斷的、動(dòng)態(tài)的跟蹤和糾偏管理。

信息系統(tǒng)監(jiān)理的主要業(yè)務(wù)和依據(jù)

1、信息系統(tǒng)監(jiān)理的主要業(yè)務(wù)

信息系統(tǒng)監(jiān)理的主要業(yè)務(wù)范圍有信息網(wǎng)絡(luò)系統(tǒng)、信息資源系統(tǒng)、信息應(yīng)用系統(tǒng)的新建、升級(jí)、改造工程。根據(jù)國(guó)內(nèi)信息系統(tǒng)監(jiān)理的實(shí)踐，其涵蓋計(jì)算機(jī)工程、網(wǎng)絡(luò)工程、通信工程、結(jié)構(gòu)化布線工程、智能大廈工程、軟件工程、系統(tǒng)集成工程以及有關(guān)計(jì)算機(jī)和信息化建設(shè)的工程及項(xiàng)目。其業(yè)務(wù)內(nèi)容具體如下：

幫助建設(shè)單位做好項(xiàng)目需求分析，協(xié)助建設(shè)單位選擇合適的承建單位；

審定承建單位的開(kāi)工報(bào)告、系統(tǒng)實(shí)施方案、施工進(jìn)度計(jì)劃；

對(duì)項(xiàng)目實(shí)施的各個(gè)階段進(jìn)行有效的監(jiān)督和控制，幫助建設(shè)單位控制工程進(jìn)度、投資和質(zhì)量；

審查和處理工程變更；

參與工程質(zhì)量和其他事故調(diào)查；

調(diào)解建設(shè)單位與承包單位的合同爭(zhēng)議，處理索賠、審批工程延期；

組織進(jìn)行竣工驗(yàn)收測(cè)試。

組織建設(shè)單位和承建單位完成工程移交。

2、信息系統(tǒng)監(jiān)理的依據(jù)

信息系統(tǒng)監(jiān)理的依據(jù)如下：

國(guó)務(wù)院頒發(fā)的《質(zhì)量振興綱要》；

現(xiàn)行國(guó)家、各省、市、自治區(qū)的有關(guān)法律、法規(guī)、規(guī)定；

國(guó)際、國(guó)內(nèi)IT行業(yè)質(zhì)量標(biāo)準(zhǔn)規(guī)范；

建設(shè)單位和承建單位的合同；

將來(lái)還有國(guó)家標(biāo)準(zhǔn)，例如《信息化工程監(jiān)理規(guī)范》等。

信息系統(tǒng)監(jiān)理的程序

圖3信息系統(tǒng)監(jiān)理的程序

信息系統(tǒng)工程監(jiān)理的特點(diǎn)是全過(guò)程監(jiān)理，主要包括四個(gè)階段的監(jiān)理工作：招投標(biāo)階段、設(shè)計(jì)階段、實(shí)施階段、驗(yàn)收階段。監(jiān)理的目標(biāo)、方法和程序都體現(xiàn)在這四個(gè)階段的監(jiān)理工作中。

信息系統(tǒng)審計(jì)

信息系統(tǒng)審計(jì)概念

信息系統(tǒng)審計(jì)是全部審計(jì)過(guò)程的一個(gè)部分，信息系統(tǒng)審計(jì)（ISaudit）目前還沒(méi)有固定通用的定義，美國(guó)信息系統(tǒng)審計(jì)的權(quán)威專家RonWeber將它定義為“收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”。

信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。其關(guān)注之處可被分為如下三類：

可用性——商業(yè)高度依賴的信息系統(tǒng)能否在任何需要的時(shí)刻提供服務(wù)？信息系統(tǒng)是否被完好保護(hù)以應(yīng)對(duì)各種的損失和災(zāi)難？

保密性——系統(tǒng)保存的信息是否僅對(duì)需要這些信息的人員開(kāi)放，而不對(duì)其他任何人開(kāi)放？

完整性——信息系統(tǒng)提供的信息是否始終保持正確、可信、及時(shí)？能否防止未授權(quán)的對(duì)系統(tǒng)數(shù)據(jù)和軟件的修改？

信息系統(tǒng)審計(jì)產(chǎn)生動(dòng)因及其發(fā)展

1、信息系統(tǒng)審計(jì)產(chǎn)生動(dòng)因分析

關(guān)于信息系統(tǒng)審計(jì)的產(chǎn)生動(dòng)因，目前國(guó)際上存在兩種觀點(diǎn)：一種觀點(diǎn)認(rèn)為是從會(huì)計(jì)審計(jì)發(fā)展到計(jì)算機(jī)審計(jì)再發(fā)展到信息系統(tǒng)審計(jì)（計(jì)算機(jī)審計(jì)的范圍擴(kuò)展，最后涵蓋整個(gè)信息系統(tǒng)）演變過(guò)來(lái)的；另外一種認(rèn)為由于信息系統(tǒng)尤其是大型信息系統(tǒng)的建設(shè)是一項(xiàng)龐大的系統(tǒng)工程，它投資大、周期長(zhǎng)、高技術(shù)、高風(fēng)險(xiǎn)，在系統(tǒng)的建設(shè)過(guò)程中，對(duì)工程進(jìn)行嚴(yán)格、規(guī)范的管理和控制至關(guān)重要。而正是由于信息系統(tǒng)工程所具有的這些特點(diǎn)，建設(shè)單位往往由于技術(shù)力量有限，無(wú)力對(duì)項(xiàng)目的技術(shù)、設(shè)備、進(jìn)度、質(zhì)量和風(fēng)險(xiǎn)進(jìn)行控制，無(wú)法保證項(xiàng)目的實(shí)施成功。所以需要有第三方進(jìn)行獨(dú)立審計(jì)。

2、信息系統(tǒng)審計(jì)在國(guó)際上的發(fā)展

信息系統(tǒng)審計(jì)的發(fā)展是伴隨著信息技術(shù)的發(fā)展而發(fā)展的。在數(shù)據(jù)處理電算化的初期，由于人們對(duì)計(jì)算機(jī)在數(shù)據(jù)處理中的應(yīng)用所產(chǎn)生的影響沒(méi)有足夠的認(rèn)識(shí)，認(rèn)為計(jì)算機(jī)處理數(shù)據(jù)準(zhǔn)確可靠，不會(huì)出現(xiàn)錯(cuò)弊，因而很少對(duì)數(shù)據(jù)處理系統(tǒng)進(jìn)行審計(jì)，主要是對(duì)計(jì)算機(jī)打印出的一部分資料進(jìn)行傳統(tǒng)的手工審計(jì)。隨著計(jì)算機(jī)在數(shù)據(jù)處理系統(tǒng)中應(yīng)用的逐步擴(kuò)大，利用計(jì)算機(jī)犯罪的案件不斷出現(xiàn)，使審計(jì)人員認(rèn)識(shí)到要應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)對(duì)電子數(shù)據(jù)處理系統(tǒng)本身進(jìn)行審計(jì)，即EDI審計(jì)。同時(shí)隨著社會(huì)經(jīng)濟(jì)的發(fā)展，審計(jì)對(duì)象、范圍越來(lái)越大，審計(jì)業(yè)務(wù)也越來(lái)越復(fù)雜，利用傳統(tǒng)的手工方法已不能及時(shí)完成審計(jì)任務(wù)，必須應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）進(jìn)行審計(jì)。八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及，使得企業(yè)越來(lái)越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開(kāi)始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果，真正意義的信息系統(tǒng)審計(jì)才出現(xiàn)。隨著電子商務(wù)的全球普及，信息系統(tǒng)的審計(jì)對(duì)象、范圍及內(nèi)容將逐漸擴(kuò)大，采用的技術(shù)也將日益復(fù)雜。到目前為止，信息系統(tǒng)審計(jì)在全球來(lái)看，還是一個(gè)新的業(yè)務(wù)，從美國(guó)五大會(huì)計(jì)師事務(wù)所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計(jì)師12名到近百名，1995年已有500名，到2000年時(shí)，信息系統(tǒng)審計(jì)師正以40%——50%的速度增加，說(shuō)明信息系統(tǒng)審計(jì)正逐漸受到重視。

美國(guó)在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí)就開(kāi)始提出系統(tǒng)審計(jì)（SYSTEMAUDIT），從成立電子數(shù)據(jù)處理審計(jì)協(xié)會(huì)（EDPAA后更名為ISACA）以來(lái)，從事系統(tǒng)審計(jì)活動(dòng)已有三十多年歷史，成為信息系統(tǒng)審計(jì)的主要推動(dòng)者，在全球建有一百多個(gè)分會(huì)，推出了一系列信息系統(tǒng)審計(jì)準(zhǔn)則、職業(yè)道德準(zhǔn)則等規(guī)范性文件，并開(kāi)展了大量的理論研究，IT控制的開(kāi)放式標(biāo)準(zhǔn)COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。

3、信息系統(tǒng)審計(jì)在國(guó)內(nèi)的發(fā)展

目前國(guó)內(nèi)有學(xué)者提出計(jì)算機(jī)審計(jì)，電算化審計(jì)，但基本上停留在對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)上，延伸手工會(huì)計(jì)信息系統(tǒng)審計(jì)，尚未全面探討信息時(shí)代給審計(jì)業(yè)務(wù)帶來(lái)的深刻變化。以我國(guó)在1999年頒布了獨(dú)立審計(jì)準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)為例，其更多關(guān)注的是會(huì)計(jì)信息系統(tǒng)。在信息時(shí)代，面對(duì)加入WTO后全球一體化市場(chǎng)，我國(guó)IT服務(wù)業(yè)面臨巨大的挑戰(zhàn)，開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)不失為推動(dòng)我國(guó)IT服務(wù)業(yè)發(fā)展的一次絕佳機(jī)會(huì)。

信息系統(tǒng)審計(jì)的理論基礎(chǔ)

信息系統(tǒng)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡(jiǎn)單擴(kuò)展，信息技術(shù)不單影響傳統(tǒng)審計(jì)人員執(zhí)行鑒證業(yè)務(wù)的能力，更重要的是公司和信息系統(tǒng)管理者都認(rèn)識(shí)到信息資產(chǎn)是組織最有價(jià)值的資產(chǎn)，和傳統(tǒng)資產(chǎn)一樣需要控制，組織同時(shí)需要審計(jì)人員提供對(duì)信息資產(chǎn)控制的評(píng)價(jià)。因此信息系統(tǒng)審計(jì)是一門邊緣性學(xué)科，跨越多學(xué)科領(lǐng)域。

如圖3所示，信息系統(tǒng)審計(jì)是建立在四個(gè)理論基礎(chǔ)之上的：

傳統(tǒng)審計(jì)理論。傳統(tǒng)審計(jì)理論為信息系統(tǒng)審計(jì)提供了豐富的內(nèi)部控制理論與實(shí)踐經(jīng)驗(yàn)，以保證所有交易數(shù)據(jù)都被正確處理。同時(shí)收集并評(píng)價(jià)證據(jù)的方法論也在信息系統(tǒng)審計(jì)中廣泛應(yīng)用，最為重要的是傳統(tǒng)審計(jì)給信息系統(tǒng)審計(jì)帶來(lái)的控制哲學(xué)，即用謹(jǐn)慎的眼光審視信息系統(tǒng)在保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。

信息系統(tǒng)管理理論。信息系統(tǒng)管理理論是一門關(guān)于如何更好地管理信息系統(tǒng)的開(kāi)發(fā)與運(yùn)行過(guò)程的理論，它的發(fā)展提高了系統(tǒng)保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。

行為科學(xué)理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié)，信息系統(tǒng)有時(shí)會(huì)因?yàn)槿说膯?wèn)題而失敗，比如對(duì)系統(tǒng)不滿的用戶故意破壞系統(tǒng)及其控制。因此審計(jì)人員必須了解哪些行為因素可能導(dǎo)致系統(tǒng)失敗。這方面行為科學(xué)特別是組織學(xué)理論解釋了組織中產(chǎn)生的“人的問(wèn)題”。

計(jì)算機(jī)科學(xué)。計(jì)算機(jī)科學(xué)本身的發(fā)展也在關(guān)注如何保護(hù)資產(chǎn)安全、保證信息完整，并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)。但是技術(shù)是一把雙刃劍，計(jì)算機(jī)科學(xué)的發(fā)展可以使審計(jì)人員降低對(duì)系統(tǒng)組件可靠性的關(guān)注，信息技術(shù)的進(jìn)步也可能啟發(fā)犯罪，例如一個(gè)重要的問(wèn)題是信息技術(shù)在會(huì)計(jì)制度中的應(yīng)用是否給罪犯提供了較多緩沖時(shí)間？如果是，那么今天網(wǎng)絡(luò)犯罪產(chǎn)生的社會(huì)威脅較以往任何時(shí)候都要大。

圖4 ：IS審計(jì)的理論基礎(chǔ)

信息系統(tǒng)審計(jì)的基本業(yè)務(wù)和依據(jù)

1、信息系統(tǒng)審計(jì)的基本業(yè)務(wù)

信息系統(tǒng)審計(jì)業(yè)務(wù)將隨著信息技術(shù)的發(fā)展而發(fā)展，為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容，目前其基本業(yè)務(wù)如下：

系統(tǒng)開(kāi)發(fā)審計(jì)，包括開(kāi)發(fā)過(guò)程的審計(jì)、開(kāi)發(fā)方法的審計(jì)，為IT規(guī)劃指導(dǎo)委員會(huì)及變革控制委員會(huì)提供咨詢服務(wù)；

主要數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計(jì)，包括財(cái)務(wù)系統(tǒng)和非財(cái)務(wù)系統(tǒng)的應(yīng)用審計(jì)；

支持其他審計(jì)人員的工作，為財(cái)務(wù)審計(jì)人員與經(jīng)營(yíng)審計(jì)人員提供技術(shù)支持和培訓(xùn)；

為組織提供增值服務(wù)，為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導(dǎo)；推動(dòng)風(fēng)險(xiǎn)自評(píng)估程序的執(zhí)行；

軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計(jì)；

災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃審計(jì)；

對(duì)系統(tǒng)運(yùn)營(yíng)效能、投資回報(bào)率及應(yīng)用開(kāi)發(fā)測(cè)試審計(jì)；

系統(tǒng)的安全審計(jì)；

網(wǎng)站的信譽(yù)審計(jì)；

全面控制審計(jì)等。

一個(gè)信息系統(tǒng)不等同于一臺(tái)計(jì)算機(jī)。今天的信息系統(tǒng)是復(fù)雜的，由多個(gè)部分組成以做出商業(yè)解決方案。只有各個(gè)組成部分通過(guò)了評(píng)估，判定安全，才能保證整個(gè)信息系統(tǒng)的正常工作。對(duì)一個(gè)信息系統(tǒng)審計(jì)的主要組成部分分成以下幾類：

信息系統(tǒng)的管理、規(guī)劃與組織——評(píng)價(jià)信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)——評(píng)價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo).資產(chǎn)的保護(hù)——對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其能支持組織保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃——這些計(jì)劃是在發(fā)生災(zāi)難時(shí)，能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。

應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)——對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿足組織的業(yè)務(wù)目標(biāo)。

業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理——評(píng)估業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

2、信息系統(tǒng)審計(jì)的依據(jù)

信息系統(tǒng)審計(jì)師須了解規(guī)劃、執(zhí)行及完成審計(jì)工作的步驟與技術(shù)，并盡量遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則、控制目標(biāo)和其他法律與規(guī)定。

一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則——包括職業(yè)準(zhǔn)則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準(zhǔn)則可歸類為：審計(jì)規(guī)章、獨(dú)立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計(jì)工作的執(zhí)行、報(bào)告、期后審計(jì)。ISACA公告是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)對(duì)信息系統(tǒng)審計(jì)一般準(zhǔn)則所做的說(shuō)明。ISACA職業(yè)道德及規(guī)范提供針對(duì)協(xié)會(huì)會(huì)員或信息系統(tǒng)審計(jì)認(rèn)證（CISA）持有者有關(guān)職業(yè)上及個(gè)人的指導(dǎo)規(guī)范。

信息系統(tǒng)的控制目標(biāo)——信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被國(guó)際上公認(rèn)是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，以滿足管理的多方面需要。面向業(yè)務(wù)是COBIT的主題。它不僅設(shè)計(jì)用于用戶和審計(jì)師，而且更重要的是可用于全面指導(dǎo)管理者與業(yè)務(wù)過(guò)程的所有者。商業(yè)實(shí)踐中越來(lái)越多的包含了對(duì)業(yè)務(wù)過(guò)程所有者的全面授權(quán)，因此他們承擔(dān)著業(yè)務(wù)過(guò)程所有方面的全部責(zé)任。特別的是，這其中包含著要提供足夠的控制。Cobit框架為業(yè)務(wù)過(guò)程所有者提供了一個(gè)工具，以方便他們承擔(dān)責(zé)任。其框架包括四大部分：架構(gòu)、控制目標(biāo)、審計(jì)指南及執(zhí)行概要。COBIT架構(gòu)著重各項(xiàng)處理的高層次控制，控制目標(biāo)則著重于各項(xiàng)IT處理或?qū)υ摷軜?gòu)所包括的34項(xiàng)IT處理的特定詳細(xì)控制目標(biāo)，每一項(xiàng)IT處理都有5至25個(gè)詳細(xì)控制目標(biāo)，控制目標(biāo)使整體架構(gòu)和詳細(xì)控制目標(biāo)密切對(duì)應(yīng)，相互一致。詳細(xì)控制目標(biāo)有18種主要來(lái)源，涵蓋現(xiàn)行的及法定有關(guān)IT的國(guó)際性準(zhǔn)則與規(guī)定。這包括對(duì)各項(xiàng)IT工作所建置的控制程序擬達(dá)到的預(yù)期結(jié)果或目標(biāo)的敘述，以提供全球所有的產(chǎn)業(yè)有關(guān)IT控制的明確方針及實(shí)際最佳的應(yīng)用。

其他法律及規(guī)定。每個(gè)組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè)，都需要遵守政府或外部對(duì)與電腦系統(tǒng)運(yùn)作、控制，及電腦、程序、信息的使用情況等有關(guān)的規(guī)定或要求，對(duì)于一向受嚴(yán)格管制的行業(yè)，尤其要注意遵守。以國(guó)際性銀行為例，若因不良備份及復(fù)原程序而無(wú)法提供適當(dāng)?shù)姆?wù)水準(zhǔn)，其公司及員工將受嚴(yán)重處罰。此外，由于對(duì)EDP及信息系統(tǒng)的依賴性加重，許多國(guó)家極力建立更多有關(guān)信息系統(tǒng)審計(jì)的規(guī)定。這些規(guī)定內(nèi)容是關(guān)于建置、組織、責(zé)任與財(cái)務(wù)及業(yè)務(wù)操作審計(jì)功能的關(guān)聯(lián)性。有關(guān)的管理階層人員必須考慮與組織目標(biāo)、計(jì)劃及與信息服務(wù)部門/職能/工作的責(zé)任及工作等有關(guān)的外部規(guī)定或要求。

信息系統(tǒng)審計(jì)流程

開(kāi)始審計(jì)工作的準(zhǔn)備包括收集背景信息，估計(jì)完成審計(jì)需要的資源和技巧。包括合理進(jìn)行人員分工。與負(fù)責(zé)的高級(jí)經(jīng)理舉行一次正式的開(kāi)始審計(jì)會(huì)議，最后決定范圍，理解特別關(guān)注之處，如果有的話，制定日程，解釋審計(jì)方法。這樣的會(huì)議有高級(jí)經(jīng)理的參與，使人們互相認(rèn)識(shí)，闡明問(wèn)題強(qiáng)調(diào)商業(yè)關(guān)注點(diǎn)，使得審計(jì)工作得以順利進(jìn)行。類似的，在審計(jì)完成后，也召開(kāi)一次正式會(huì)議，向高級(jí)經(jīng)理交流審計(jì)結(jié)果，提出改進(jìn)建議。這將確保進(jìn)一步的理解，增加審計(jì)建議的接納程度。也給了被審計(jì)者一個(gè)機(jī)會(huì)來(lái)表達(dá)他們對(duì)提出問(wèn)題的觀點(diǎn)。會(huì)議之后書寫報(bào)告，可以大大增加審計(jì)的效果。

開(kāi)始審計(jì)工作預(yù)備工作了解內(nèi)部控制結(jié)構(gòu)評(píng)價(jià)控制風(fēng)險(xiǎn)是否信賴內(nèi)部控制？是否仍可信賴內(nèi)部控制？?jī)?nèi)部控制測(cè)試評(píng)價(jià)控制風(fēng)險(xiǎn)是否提高內(nèi)部控制的信賴程度？擴(kuò)大實(shí)質(zhì)性測(cè)試有限的實(shí)質(zhì)性測(cè)試形成審計(jì)意見(jiàn)出具審計(jì)報(bào)告是否是是否結(jié)束否

基于風(fēng)險(xiǎn)的審計(jì)方法

很多組織意識(shí)到技術(shù)能帶來(lái)的潛在好處。然而，成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險(xiǎn)。因此，審計(jì)從基于控制（ControlBased）演變?yōu)榛陲L(fēng)險(xiǎn)（RiskBased）的方法,其內(nèi)涵包括企業(yè)風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)溝通。

每個(gè)組織使用許多信息系統(tǒng)。對(duì)不同功能和活動(dòng)有不同的應(yīng)用軟件，在不同的地理區(qū)域可能有眾多的計(jì)算機(jī)配置。審計(jì)者面臨的問(wèn)題是審計(jì)什么，什么時(shí)候及審計(jì)頻率。其答案是接納基于風(fēng)險(xiǎn)的方法。信息系統(tǒng)有著與生俱來(lái)的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)用不同方式?jīng)_擊信息系統(tǒng)。對(duì)繁忙的零售超市，信息系統(tǒng)哪怕一個(gè)小時(shí)的不可用都會(huì)對(duì)營(yíng)業(yè)系統(tǒng)造成嚴(yán)重影響。未授權(quán)的修改可能造成對(duì)在線銀行系統(tǒng)的欺詐及潛在損失。系統(tǒng)運(yùn)行的技術(shù)環(huán)境也可能影響系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)。

基于風(fēng)險(xiǎn)方法來(lái)進(jìn)行審計(jì)的步驟是：

編制組織使用的信息系統(tǒng)清單并對(duì)其進(jìn)行分類。

決定哪些系統(tǒng)影響關(guān)鍵功能和資產(chǎn)。

評(píng)估哪些風(fēng)險(xiǎn)影響這些系統(tǒng)及對(duì)商業(yè)運(yùn)做的沖擊。

在上述評(píng)估的基礎(chǔ)上對(duì)系統(tǒng)分級(jí)，決定審計(jì)優(yōu)先值，資源，進(jìn)度和頻率。審計(jì)者可以制定年度審計(jì)計(jì)劃，羅列出一年之中要進(jìn)行的審計(jì)項(xiàng)目。

信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)之對(duì)比分析

從前面兩部分的介紹可知，信息系統(tǒng)審計(jì)在國(guó)際上已經(jīng)體系化、標(biāo)準(zhǔn)化、程序化，而 我國(guó)信息系統(tǒng)監(jiān)理僅有最基本的輪廓，積累了一些經(jīng)驗(yàn)，但尚沒(méi)有形成完整的方法論。因此，目前只能從概念、發(fā)展動(dòng)因等方面做較為寬泛的對(duì)比。不過(guò)，對(duì)比國(guó)際通用體系，可為我國(guó)發(fā)展信息系統(tǒng)監(jiān)管體系以及制定相應(yīng)的管理制度或?qū)嵤┘?xì)則提供借鑒。

信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)之對(duì)比，可歸納出以下特點(diǎn)：

兩者性質(zhì)相同，都是第三方監(jiān)督，但對(duì)獨(dú)立性的要求有差別。

兩者都是立足在第三方的立場(chǎng)，公平對(duì)待委托方與被監(jiān)督方，并要求確保公正性、公平性，以《北京市信息系統(tǒng)工程監(jiān)理管理辦法》為例，其第十四條是“信息系統(tǒng)工程監(jiān)理單位應(yīng)當(dāng)客觀、公平、公正地執(zhí)行監(jiān)理任務(wù)”，但是對(duì)這一行業(yè)賴以存在并得以發(fā)展的信條和靈魂——獨(dú)立性沒(méi)做明確要求。而信息系統(tǒng)審計(jì)對(duì)第三方的超然獨(dú)立要求極其嚴(yán)格，也因此在保證客觀、公正上更有可操作性。

客觀公正應(yīng)當(dāng)是每個(gè)信息系統(tǒng)審計(jì)師和監(jiān)理工程師職業(yè)道德方面追求的最高目標(biāo)，但是人們很難衡量其在執(zhí)行業(yè)務(wù)時(shí)是否已經(jīng)達(dá)到了客觀公正，如果只作精神上的要求，那么準(zhǔn)則和要求將變成牧師的布道，職業(yè)人員很難執(zhí)行，社會(huì)公眾很難觀察，所以信息系統(tǒng)審計(jì)準(zhǔn)則中有關(guān)于審計(jì)師獨(dú)立性的要求。有關(guān)獨(dú)立性問(wèn)題的系統(tǒng)研究當(dāng)首推羅伯特.K.莫茨（R.K.Mautz）和侯賽因.A.夏拉夫（H.A.sharaf）1961年出版的《審計(jì)哲學(xué)》（ThephilosophyofAuditing）。其中對(duì)獨(dú)立性的討論包含了兩個(gè)方面：執(zhí)業(yè)者的獨(dú)立性(Practitionerindependence)和職業(yè)的獨(dú)立性（Professionindependence）。前者包括審計(jì)計(jì)劃的獨(dú)立性、審計(jì)過(guò)程的獨(dú)立性和審計(jì)報(bào)告的獨(dú)立性；后者則是指社會(huì)公眾對(duì)注冊(cè)會(huì)計(jì)師行業(yè)的一種印象。曾任美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)職業(yè)道德委員會(huì)主席的托馬斯.G.希金斯（ThomasGHiggins）在1962年對(duì)獨(dú)立性的概念又進(jìn)行了進(jìn)一步的提升與概括，他認(rèn)為：“注冊(cè)會(huì)計(jì)師必須擁有的獨(dú)立性，實(shí)際上有兩種，實(shí)質(zhì)上的獨(dú)立性和形式上的獨(dú)立性”。所謂形式上的獨(dú)立性，是指注冊(cè)會(huì)計(jì)師必須與被審查企業(yè)或個(gè)人沒(méi)有任何特殊的利益關(guān)系，如不得擁有被審查企業(yè)股權(quán)或擔(dān)任其高級(jí)職務(wù)，不能是企業(yè)的主要貸款人、資產(chǎn)受托人或與管理當(dāng)局有親屬關(guān)系，等等。否則，就會(huì)影響注冊(cè)會(huì)計(jì)師公正地執(zhí)行業(yè)務(wù)。形式上的獨(dú)立性又可進(jìn)一步分為組織上的獨(dú)立性、經(jīng)濟(jì)上的獨(dú)立性與人員上的獨(dú)立性三種。所謂實(shí)質(zhì)上的獨(dú)立性，又稱為精神獨(dú)立性，即認(rèn)為獨(dú)立性是一種精神狀態(tài)、一種自信心以及在判斷時(shí)不依賴和屈從于外界的壓力和影響。它要求注冊(cè)會(huì)計(jì)師在執(zhí)業(yè)過(guò)程中嚴(yán)格保持超然性，不能主觀袒護(hù)任何一方當(dāng)事人，尤其不應(yīng)使自己的結(jié)論依附或屈從于持反對(duì)意見(jiàn)利益集團(tuán)或人士的影響和壓力。由上可知，實(shí)質(zhì)上的獨(dú)立性是無(wú)形的，通常是難以觀察和度量的，而形式上的獨(dú)立性則是有形的和可以觀察的。社會(huì)公眾通常是透過(guò)注冊(cè)會(huì)計(jì)師形式上的獨(dú)立性來(lái)推測(cè)其實(shí)質(zhì)上的獨(dú)立性。因此，從這個(gè)意義上來(lái)說(shuō)，形式上的獨(dú)立性是實(shí)質(zhì)上的獨(dú)立性的載體和重要前提。由此可見(jiàn)，形式上獨(dú)立很重要，因?yàn)樗芎媒缍?，便于?zhǔn)則規(guī)范，在現(xiàn)實(shí)環(huán)境中有很好的可執(zhí)行性。因此我們認(rèn)為，信息系統(tǒng)監(jiān)理行業(yè)如果不能在獨(dú)立性的制度建設(shè)上取得重大突破，整個(gè)行業(yè)的社會(huì)信任度大打折扣，而誠(chéng)信和道德水準(zhǔn)的提升對(duì)制度缺陷的修正也會(huì)很難在實(shí)質(zhì)上取得成效。信息系統(tǒng)監(jiān)理行業(yè)發(fā)展中所面臨的各種問(wèn)題都很重要，但圍繞信息系統(tǒng)監(jiān)理職業(yè)獨(dú)立性的建設(shè)可能是各項(xiàng)工作中的重中之重。（本文對(duì)注冊(cè)會(huì)計(jì)師的討論同樣適用于信息系統(tǒng)審計(jì)師）。

國(guó)外信息系統(tǒng)審計(jì)已經(jīng)發(fā)展為較完善的行業(yè)監(jiān)督體系。

目前國(guó)內(nèi)信息系統(tǒng)審計(jì)剛剛起步，而信息工程監(jiān)理還不夠規(guī)范。國(guó)家缺乏相應(yīng)的法律、法規(guī)和標(biāo)準(zhǔn)，至今還沒(méi)有有效的管理手段，在委托方和被委托方之間也沒(méi)有一種協(xié)調(diào)的機(jī)制來(lái)建立兩者之間的信任。并且我國(guó)行業(yè)不規(guī)范的責(zé)任往往被輕易地歸咎于政府監(jiān)管的不力；同樣輕易得到的結(jié)論，是因此要“加強(qiáng)監(jiān)管機(jī)構(gòu)的權(quán)力和范圍”。美國(guó)的會(huì)計(jì)行業(yè)規(guī)范不是這么一種邏輯。在規(guī)范行業(yè)行為中，政府監(jiān)管是一個(gè)重要的輔助措施；而真正起決定性作用的，是市場(chǎng)中的制衡力量，以及為這些制衡力量切實(shí)發(fā)揮作用而形成的各種正式 或非正式的制度安排。

美國(guó)注冊(cè)會(huì)計(jì)師行業(yè)的管理機(jī)制——行業(yè)自我管理和外部約束向結(jié)合發(fā)揮了重要作用。行業(yè)自我管理是通過(guò)行業(yè)組織、準(zhǔn)則和規(guī)則、監(jiān)督來(lái)實(shí)現(xiàn)的，行業(yè)外部約束通過(guò)政府組織、準(zhǔn)則和規(guī)則、監(jiān)督和實(shí)施來(lái)實(shí)現(xiàn)。如美國(guó)國(guó)會(huì)和SEC監(jiān)管下的行業(yè)自律。外部監(jiān)管以加強(qiáng)管制的可能性來(lái)對(duì)行業(yè)施加約束。而較強(qiáng)的行政管制，將在很大程度上限制會(huì)計(jì)行業(yè)自主發(fā)展的權(quán)利和業(yè)務(wù)拓展空間，損害所有從業(yè)者的利益，因此行業(yè)總體上需要以行業(yè)自律來(lái)?yè)Q取行業(yè)自我管制。如果行業(yè)不能自律，公眾要求國(guó)會(huì)加強(qiáng)行政管制的壓力使得這種可能性現(xiàn)實(shí)存在。

兩者業(yè)務(wù)范圍和目的均有所差別。

信息系統(tǒng)工程監(jiān)理和信息系統(tǒng)審計(jì)都是對(duì)質(zhì)量控制的再控制，但兩者業(yè)務(wù)范圍和目的均有所差別。

1、兩者業(yè)務(wù)范圍差別

信息系統(tǒng)工程監(jiān)理是指具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位，接受建設(shè)單位的委托，依據(jù)國(guó)家和本市有關(guān)規(guī)定、信息系統(tǒng)工程建設(shè)標(biāo)準(zhǔn)和工程承建、監(jiān)理合同，對(duì)信息系統(tǒng)工程的質(zhì)量、進(jìn)度和投資方面實(shí)施監(jiān)督。目前主要應(yīng)用在信息化工程建設(shè)階段。

信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。它是立足于組織的戰(zhàn)略目標(biāo)，為有效的實(shí)現(xiàn)組織戰(zhàn)略目標(biāo)而采取的一切活動(dòng)過(guò)程都在審計(jì)師的業(yè)務(wù)之內(nèi)。其業(yè)務(wù)范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如信息系統(tǒng)安全審計(jì)、網(wǎng)譽(yù)審計(jì)、PKI/CA審計(jì)、電子簽名審計(jì)業(yè)務(wù)等。

2、兩者目的差別

信息系統(tǒng)工程監(jiān)理的目的是保證工程建設(shè)質(zhì)量、進(jìn)度和投資額滿足建設(shè)要求。監(jiān)理活動(dòng)隨著工程的完成而結(jié)束。信息系統(tǒng)審計(jì)的目的是合理保證信息系統(tǒng)能夠保護(hù)資產(chǎn)的安全、數(shù)據(jù)的完整、系統(tǒng)有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源，其核心是信息系統(tǒng)的效率、效果。不僅包括對(duì)建設(shè)過(guò)程的審計(jì)，更重要的是對(duì)信息系統(tǒng)的運(yùn)營(yíng)審計(jì)，向公眾出具審計(jì)報(bào)告，鑒證信息系統(tǒng)能否保護(hù)企業(yè)資產(chǎn)安全，其產(chǎn)生、傳遞的信息是否完整，整個(gè)系統(tǒng)是否有效地實(shí)現(xiàn)組織目標(biāo)并有效率的利用組織資源。只要信息系統(tǒng)在運(yùn)行，審計(jì)活動(dòng)一直存在。

另外，信息系統(tǒng)工程監(jiān)理的過(guò)程是可見(jiàn)的，即對(duì)項(xiàng)目成本、進(jìn)度和質(zhì)量與目標(biāo)出現(xiàn)的偏差是可見(jiàn)的，及時(shí)糾正也方便。但信息系統(tǒng)審計(jì)對(duì)信息系統(tǒng)的安全性、可靠性與有效性的認(rèn)定具有不可見(jiàn)性，這也正是信息系統(tǒng)比工程項(xiàng)目復(fù)雜的主要原因。信息系統(tǒng)建設(shè)完畢，這僅僅是信息化的開(kāi)始，大量的問(wèn)題將出現(xiàn)在信息系統(tǒng)運(yùn)維階段，因此，從這個(gè)角度而言，信息系統(tǒng)審計(jì)是保證信息系統(tǒng)質(zhì)量的行之有效的方法。

信息系統(tǒng)審計(jì)與方法研究具有科學(xué)化、規(guī)范化、智能化和系統(tǒng)化的特點(diǎn)。

所謂科學(xué)化，是指現(xiàn)代審計(jì)技術(shù)與方法的研究，已經(jīng)超越了傳統(tǒng)的經(jīng)驗(yàn)論，非常強(qiáng)調(diào)把科學(xué)手段和經(jīng)驗(yàn)總結(jié)相結(jié)合。比較典型的例子就是分析性復(fù)核技術(shù)的發(fā)展。所謂分析性復(fù)核，其實(shí)質(zhì)就是將審計(jì)人員掌握的一些客觀規(guī)律總結(jié)出來(lái)，測(cè)算出被審計(jì)事項(xiàng)的合理預(yù)期值，再與被審計(jì)事項(xiàng)的實(shí)際值相比較，進(jìn)一步評(píng)估差異的合理性之后，確定是否還需要對(duì)被審計(jì)事項(xiàng)進(jìn)行詳細(xì)測(cè)試。這一個(gè)過(guò)程，實(shí)際上被許多審計(jì)人員不自覺(jué)地運(yùn)用了多年，但通過(guò)公式和比率等形式總結(jié)出來(lái)，主動(dòng)指導(dǎo)審計(jì)人員的實(shí)踐，卻是最近２０年來(lái)審計(jì)技術(shù)與方法研究的一大突出特點(diǎn)?？茖W(xué)化的另一個(gè)表現(xiàn)就是數(shù)學(xué)和統(tǒng)計(jì)學(xué)技術(shù)在審計(jì)中的運(yùn)用日益廣泛，抽樣統(tǒng)計(jì)技術(shù)的全面推廣就是例證。

所謂規(guī)范化，是指審計(jì)機(jī)構(gòu)將審計(jì)程序設(shè)計(jì)與審計(jì)技術(shù)方法的運(yùn)用有機(jī)結(jié)合，規(guī)范和引導(dǎo)審計(jì)人員運(yùn)用適當(dāng)?shù)膶徲?jì)技術(shù)和方法。以往，審計(jì)人員在運(yùn)用審計(jì)技術(shù)和方法的過(guò)程中容易有較大的隨意性，用與不用，在什么時(shí)候用，如何使用，都沒(méi)有規(guī)范和約束，導(dǎo)致整個(gè)審計(jì)機(jī)構(gòu)的標(biāo)準(zhǔn)不統(tǒng)一，質(zhì)量沒(méi)有保證。隨著程序?qū)蚴綄徲?jì)軟件平臺(tái)的開(kāi)發(fā)和廣泛運(yùn)用，越來(lái)越多的審計(jì)機(jī)構(gòu)開(kāi)始把審計(jì)技術(shù)與方法融入到規(guī)范的審計(jì)程序之中，要求并指導(dǎo)審計(jì)人員合理運(yùn)用審計(jì)技術(shù)。

所謂智能化，強(qiáng)調(diào)的就是將歷史經(jīng)驗(yàn)總結(jié)、科學(xué)規(guī)律推導(dǎo)和審計(jì)人員的專業(yè)判斷結(jié)合起來(lái)，指導(dǎo)審計(jì)人員得出合理的審計(jì)結(jié)論。在審計(jì)過(guò)程中，數(shù)學(xué)、統(tǒng)計(jì)學(xué)的分析結(jié)果，都不能完全替代審計(jì)人員的專業(yè)判斷，因?yàn)樵谄淅玫臄?shù)學(xué)公式中，仍然有許多變量需要審計(jì)人員主觀確定。在這種情況下，越來(lái)越多的審計(jì)機(jī)構(gòu)，傾向于在審計(jì)軟件中為審計(jì)人員的決策提供參考。目前，許多審計(jì)機(jī)構(gòu)不惜花巨資，邀請(qǐng)審計(jì)領(lǐng)域的專家，分析在各種情況下常見(jiàn)的審計(jì)策略或方法以及對(duì)不同審計(jì)結(jié)果的判斷標(biāo)準(zhǔn)。當(dāng)然，對(duì)審計(jì)而言，智能化永遠(yuǎn)都是一個(gè)相對(duì)的概念，電腦和機(jī)器永遠(yuǎn)不能替代審計(jì)人員的決策，但提供決策輔助和參考意見(jiàn)，確實(shí)非常必要。

所謂系統(tǒng)化，是指審計(jì)戰(zhàn)略（策略）和審計(jì)技術(shù)方法的全面協(xié)調(diào)。審計(jì)戰(zhàn)略（策略）解決的是要審什么、想達(dá)到什么目的，審計(jì)技術(shù)和方法解決的是怎么審和怎么達(dá)到目的，這兩者的協(xié)調(diào)是審計(jì)技術(shù)與方法的研究成果得以全面運(yùn)用的關(guān)鍵?；仡欁罱玻岸嗄陙?lái)審計(jì)技術(shù)與方法的研究歷程，可以清晰地發(fā)現(xiàn)，審計(jì)技術(shù)的研究和運(yùn)用完全是在風(fēng)險(xiǎn)基礎(chǔ)審計(jì)理論指導(dǎo)下的開(kāi)拓和發(fā)展，而脫離理論指導(dǎo)的實(shí)踐經(jīng)驗(yàn)總結(jié)相對(duì)越來(lái)越少。這一點(diǎn)給我們的啟示在于，審計(jì)技術(shù)與方法的研究，不能超越基本審計(jì)理論和審計(jì)目標(biāo)的研究，也不能脫離審計(jì)戰(zhàn)略和審計(jì)目標(biāo)的總體要求。

信息系統(tǒng)審計(jì)具有較完善的職業(yè)教育和認(rèn)證體系。

國(guó)際信息

系

統(tǒng)

審

計(jì)

與

控

制

協(xié)

會(huì)

ISACA（InformationSystemAuditandControlAssociation）是唯一有權(quán)授予國(guó)際信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)專業(yè)機(jī)構(gòu)，該協(xié)會(huì)成立于1969年，總部在美國(guó)的芝加哥。目前在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人。注冊(cè)信息系統(tǒng)審計(jì)師CISA（CertifiedInformationSystemAuditor）資格由ISACA授予，是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資格，受到全世界的廣泛認(rèn)可。由于信息技術(shù)的國(guó)際性，國(guó)際信息系統(tǒng)審計(jì)師資格在世界任何一個(gè)國(guó)家的使用都不會(huì)受到任何制約。自1978年以來(lái)，國(guó)際信息系統(tǒng)審計(jì)師CISA認(rèn)證已經(jīng)成為在信息系統(tǒng)審計(jì)、控制與安全專業(yè)領(lǐng)域中取得成績(jī)的標(biāo)準(zhǔn)，并得到了全世界的公認(rèn)。在世界各地，每年都要舉行一次認(rèn)證考試和若干次后續(xù)教育，目前在我國(guó)香港、臺(tái)灣、北京、上海、廣州、深圳設(shè)有考點(diǎn)。經(jīng)過(guò)認(rèn)證的信息系統(tǒng)審計(jì)師最擅長(zhǎng)鑒別信息系統(tǒng)的有效性，最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng)，而效率不高的系統(tǒng)就會(huì)消耗企業(yè)大量的資源，信息系統(tǒng)審計(jì)師的優(yōu)勢(shì)就是對(duì)財(cái)經(jīng)管理和信息技術(shù)融會(huì)貫通，為企業(yè)信息系統(tǒng)的改造提供建議。

鑒于信息安全市場(chǎng)的高速增長(zhǎng)，最近國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)又迅速推出了信息安全管理師認(rèn)證CISM，以配合市場(chǎng)對(duì)安全人才的巨大需求。

對(duì)信息系統(tǒng)監(jiān)理的建議

目前，我國(guó)的信息系統(tǒng)監(jiān)理業(yè)巨大的發(fā)展空間吸引著越來(lái)越多的國(guó)際咨詢公司和專業(yè)服務(wù)提供商搶灘我國(guó)市場(chǎng)。據(jù)不完全統(tǒng)計(jì)，目前在我國(guó)的海外咨詢足有百余家。隨著摩立特集團(tuán)（我國(guó)）公司日前在北京成立，國(guó)際上最著名的咨詢公司如麥肯錫、科爾尼、埃森哲、BCG、PWC、羅蘭貝格、德勤等皆已在我國(guó)登陸，給國(guó)內(nèi)的咨詢包括監(jiān)理機(jī)構(gòu)帶來(lái)了巨大的壓力，其豐富的案例庫(kù)、數(shù)據(jù)庫(kù)、知識(shí)庫(kù)，數(shù)十甚至百年創(chuàng)下的品牌，短時(shí)期內(nèi)本土咨詢業(yè)與其的差距依然較大。

面對(duì)機(jī)遇和挑戰(zhàn)，如何借鑒國(guó)際上先進(jìn)的經(jīng)驗(yàn)，推動(dòng)我國(guó)信息系統(tǒng)監(jiān)理的健康發(fā)展，避免其他中介服務(wù)行業(yè)曾走過(guò)的彎路，我們?cè)趶V泛的理論分析和實(shí)證研究的基礎(chǔ)上提出如下具體建議：

建立健全的管理體制與法律法規(guī)體系，盡快形成統(tǒng)一、規(guī)范、競(jìng)爭(zhēng)、有序的信息系統(tǒng)工程監(jiān)理服務(wù)市場(chǎng)。

各級(jí)信息化主管部門，在規(guī)范政府管理職能的同時(shí)（政府部門要避免管的過(guò)多、過(guò)細(xì)，應(yīng)過(guò)多關(guān)注整個(gè)監(jiān)理市場(chǎng)的宏觀管理和調(diào)控），注重加強(qiáng)行業(yè)自律管理，避免其他中介服務(wù)行業(yè)曾出現(xiàn)過(guò)的多種問(wèn)題。例如，個(gè)別人憑借權(quán)利強(qiáng)行包攬監(jiān)理業(yè)務(wù)，采取高回扣等不正當(dāng)手段，以及為獨(dú)攬業(yè)務(wù)，不惜損害其他方和當(dāng)事人的權(quán)益等。

鑒于信息系統(tǒng)工程監(jiān)理具有專業(yè)性強(qiáng)和風(fēng)險(xiǎn)大的特點(diǎn)，建議把執(zhí)業(yè)隊(duì)伍的業(yè)務(wù)素質(zhì)和職業(yè)道德素質(zhì)的提高作為一項(xiàng)重要工作常抓不懈，使信息系統(tǒng)工程監(jiān)理工程師真正成為國(guó)民經(jīng)濟(jì)和社會(huì)信息化的“警察”。

盡快建立信息系統(tǒng)工程監(jiān)理的標(biāo)準(zhǔn)和執(zhí)業(yè)規(guī)范。

推動(dòng)信息系統(tǒng)工程監(jiān)理工業(yè)的分化整合，探索信息系統(tǒng)工程監(jiān)理公司擴(kuò)大規(guī)模的方式和途徑。在我國(guó)加入WTO的新形勢(shì)下，面對(duì)國(guó)際IT服務(wù)咨詢業(yè)巨頭的競(jìng)爭(zhēng)，我國(guó)信息系統(tǒng)工程監(jiān)理行業(yè)剛起步，監(jiān)理公司如何脫穎而出、迅速成長(zhǎng)，參與國(guó)內(nèi)甚至國(guó)際信息系統(tǒng)中介服務(wù)市場(chǎng)的競(jìng)爭(zhēng)，將是重中之重的工作。

開(kāi)展信息系統(tǒng)工程監(jiān)理公司內(nèi)部管理機(jī)制研究。努力提高信息系統(tǒng)工程監(jiān)理行業(yè)的監(jiān)理質(zhì)量。

執(zhí)業(yè)程序要統(tǒng)一?！八拇蟆卑l(fā)展到今天這樣的規(guī)模，執(zhí)業(yè)程序的統(tǒng)一是其基石。這些程序歷經(jīng)多年的經(jīng)驗(yàn)積累而形成，并針對(duì)新出現(xiàn)的問(wèn)題隨時(shí)加以完善。從某種意義上將，客戶對(duì)“四大”的統(tǒng)一的執(zhí)業(yè)程序的認(rèn)同，超過(guò)了對(duì)其名稱品牌的認(rèn)同。

培訓(xùn)統(tǒng)一。為保證執(zhí)業(yè)程序的統(tǒng)一，首先要做到培訓(xùn)統(tǒng)一。信息系統(tǒng)監(jiān)理工程師在開(kāi)始執(zhí)業(yè)前要經(jīng)過(guò)嚴(yán)格的培訓(xùn)，定期培訓(xùn)當(dāng)然更不可少。建議信息系統(tǒng)監(jiān)理公司設(shè)立專門的培訓(xùn)部門，并將每年收入相當(dāng)大的比重用于培訓(xùn)。另外，嚴(yán)格、規(guī)范的培訓(xùn)也是監(jiān)理公司能夠吸引眾多高素質(zhì)從業(yè)人員的一個(gè)重要因素。

人事管理在一定范圍內(nèi)統(tǒng)一。建議將監(jiān)理工程師的級(jí)別進(jìn)行細(xì)分，并且不要出現(xiàn)一個(gè)地方的人員比另外一個(gè)地方同一級(jí)別的人員水平明顯高的情況。這種管理方式，對(duì)于監(jiān)理機(jī)構(gòu)來(lái)說(shuō)非常重要。

總之，我國(guó)信息系統(tǒng)監(jiān)理事業(yè)發(fā)展幾年來(lái)，雖然取得了一定成績(jī)，但在思想認(rèn)識(shí)、理論研究、管理體制、法規(guī)建設(shè)及實(shí)際操作中仍存在諸多問(wèn)題，監(jiān)理企業(yè)面臨前所未有的嚴(yán)峻挑戰(zhàn)。但是機(jī)遇與挑戰(zhàn)同在，我國(guó)本土的咨詢和監(jiān)理企業(yè)最了解我國(guó)的國(guó)情環(huán)境。我們要充分利用這一優(yōu)勢(shì)，發(fā)揮自身的能動(dòng)力量，積極參與競(jìng)爭(zhēng)，加強(qiáng)與國(guó)際同行的合作交流，借鑒國(guó)際咨詢機(jī)構(gòu)和專業(yè)服務(wù)提供商的經(jīng)驗(yàn)、知識(shí)、規(guī)則乃至在實(shí)施過(guò)程中的具體方法，把我國(guó)的信息系統(tǒng)監(jiān)理事業(yè)做穩(wěn)、做實(shí)、做大，做出我國(guó)的監(jiān)理和咨詢品牌。

第二篇：信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)

特約撰稿人：孫強(qiáng)孟秀轉(zhuǎn)

[摘要]建立信息化建設(shè)的第三方監(jiān)督對(duì)保證信息化建設(shè)的效益最大化至關(guān)重要。本文通過(guò)信息系統(tǒng)監(jiān)理和信息系統(tǒng)審計(jì)的概念、產(chǎn)生動(dòng)因等進(jìn)行比較，分析我國(guó)信息系統(tǒng)監(jiān)理面臨的新問(wèn)題、新要求，并介紹美國(guó)信息系統(tǒng)審計(jì)的實(shí)踐經(jīng)驗(yàn)，在此基礎(chǔ)上提出對(duì)我國(guó)信息系統(tǒng)監(jiān)理事業(yè)發(fā)展的若干建議。

[關(guān)鍵詞]信息系統(tǒng)信息系統(tǒng)監(jiān)理信息系統(tǒng)審計(jì)比較獨(dú)立性

引言

“信息化帶動(dòng)工業(yè)化”是我國(guó)長(zhǎng)期的重要發(fā)展戰(zhàn)略，江澤民同志在十六大的報(bào)告中指出：“實(shí)現(xiàn)工業(yè)化仍然是我國(guó)現(xiàn)代化進(jìn)程中艱巨的歷史性任務(wù)。信息化是我國(guó)加快實(shí)現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇。堅(jiān)持以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化，走出一條科技含量高、經(jīng)濟(jì)效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢(shì)得到充分發(fā)揮的新型工業(yè)化路子?！边@段論述表現(xiàn)了我們黨對(duì)信息化建設(shè)的高度重視，也指明信息化帶出一條新型工業(yè)化路子的光明前景。

目前，各地區(qū)、各部門都在認(rèn)真貫徹十六大精神，十分重視推進(jìn)信息化工作，我國(guó)信息化建設(shè)已經(jīng)進(jìn)入新的階段，我國(guó)信息化事業(yè)已發(fā)展到一個(gè)新的階段。各級(jí)政府正在積極推進(jìn)“電子政務(wù)”，許多城市及企業(yè)也已著手整合與升級(jí)其信息化應(yīng)用系統(tǒng)。可以預(yù)計(jì)，全國(guó)將有更多、更大的信息系統(tǒng)建設(shè)項(xiàng)目展開(kāi)。但是，在信息化推進(jìn)過(guò)程中，存在不同程度上的一些問(wèn)題，主要表現(xiàn)在規(guī)劃制訂不夠科學(xué)，項(xiàng)目管理不夠嚴(yán)格，監(jiān)理機(jī)制不夠健全，系統(tǒng)運(yùn)行效益不夠明顯。致使相當(dāng)一部分信息化項(xiàng)目失敗或未能實(shí)現(xiàn)預(yù)期目標(biāo)，浪費(fèi)了大量資源。究其根源主要原因之一是信息化建設(shè)第三方監(jiān)管機(jī)制的缺失和標(biāo)準(zhǔn)的不健全。

國(guó)內(nèi)外的實(shí)踐表明：信息化是有風(fēng)險(xiǎn)的，信息系統(tǒng)規(guī)模越大，功能越復(fù)雜，風(fēng)險(xiǎn)也就越大。英國(guó)Kalido于英國(guó)時(shí)間2001年12月12日公布了有關(guān)企業(yè)信息管理的調(diào)查結(jié)果。調(diào)查顯示，96％的企業(yè)對(duì)于本公司的信息管理系統(tǒng)感到不滿。關(guān)于目前正在使用的信息系統(tǒng)，認(rèn)為所制作的報(bào)告缺乏一貫性或者是核對(duì)信息花費(fèi)了太多時(shí)間的企業(yè)約占70％。特別引人深思的是該調(diào)查是由美國(guó)HarteHanks以全球500強(qiáng)企業(yè)以及財(cái)富1000企業(yè)中的171家公司為對(duì)象通過(guò)問(wèn)卷方式實(shí)施的。調(diào)查對(duì)象中，40％以上的企業(yè)年交易額超過(guò)20億美元。其他主要調(diào)查結(jié)果如下∶回答目前的信息系統(tǒng)不能靈活因應(yīng)變化的企業(yè)約占60％；對(duì)于數(shù)據(jù)的精度表示擔(dān)心的企業(yè)約占60％；60％以上的企業(yè)正在策劃有關(guān)數(shù)據(jù)及信息的整合計(jì)劃。這充分說(shuō)明，信息系統(tǒng)的建設(shè)項(xiàng)目較之傳統(tǒng)工業(yè)工程項(xiàng)目成功率更低，風(fēng)險(xiǎn)也更加突出。

中央領(lǐng)導(dǎo)同志在國(guó)家信息化領(lǐng)導(dǎo)小組第一次會(huì)議中特別強(qiáng)調(diào)：信息化建設(shè)一定要講求效益，不能搞花架子。因此建立并逐步完善我國(guó)信息系統(tǒng)審計(jì)制度是健康、有序地推進(jìn)信息化和落實(shí)領(lǐng)導(dǎo)小組會(huì)議精神的一項(xiàng)重要措施。

目前，在國(guó)內(nèi)的信息化項(xiàng)目工程建設(shè)中，絕大多數(shù)用戶（業(yè)主）無(wú)法組織隊(duì)伍對(duì)信息系統(tǒng)建設(shè)進(jìn)行專業(yè)化管理，難以勝任從可行性分析、規(guī)劃設(shè)計(jì)、招標(biāo)、方案評(píng)審到工程監(jiān)理和工程驗(yàn)收全過(guò)程的管理與組織協(xié)調(diào)工作，建設(shè)方和承建方在信息建設(shè)過(guò)程中存在嚴(yán)重的信息不對(duì)稱問(wèn)題。這表現(xiàn)為借助外援進(jìn)行工程管理咨詢的案例越來(lái)越多，一些省市的行業(yè)主管部門也開(kāi)始在信息系統(tǒng)建設(shè)中推行由監(jiān)理進(jìn)行工程質(zhì)量管理的做法。但是，監(jiān)理介入信息系統(tǒng)在我國(guó)還處于一個(gè)探索的過(guò)程中。

我國(guó)加入WTO后，鑒于我國(guó)IT服務(wù)業(yè)未來(lái)巨大的增長(zhǎng)空間，國(guó)際知名咨詢顧問(wèn)公司、專業(yè)技術(shù)服務(wù)提供商等紛紛搶灘我國(guó)市場(chǎng)。在信息系統(tǒng)第三方鑒證業(yè)務(wù)方面，他們提供符合國(guó)際標(biāo)準(zhǔn)的信息系統(tǒng)審計(jì)服務(wù)。因此當(dāng)前監(jiān)理事業(yè)的發(fā)展面臨新的形勢(shì)，監(jiān)理工作外部環(huán)境發(fā)生了深刻變化，勢(shì)將對(duì)我國(guó)監(jiān)理企業(yè)形成嚴(yán)重沖擊，本土監(jiān)理企業(yè)面臨前所未有的嚴(yán)峻挑戰(zhàn)。監(jiān)理事業(yè)往何處去？這是擺在每一個(gè)監(jiān)理人面前的重大課題。每一個(gè)監(jiān)理企業(yè)必須以發(fā)展的眼光、動(dòng)態(tài)的觀點(diǎn)、創(chuàng)新的思想和創(chuàng)新的理論正確認(rèn)識(shí)和判斷當(dāng)前的監(jiān)理形勢(shì)，增強(qiáng)危機(jī)感和緊迫感，迎接新的挑戰(zhàn)。

信息系統(tǒng)監(jiān)理

信息系統(tǒng)監(jiān)理概念

依據(jù)信息產(chǎn)業(yè)部《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，信息系統(tǒng)工程監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的信息系統(tǒng)工程監(jiān)理單位，受業(yè)主單位委托，依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。

信息系統(tǒng)監(jiān)理產(chǎn)生動(dòng)因及其發(fā)展

1、信息系統(tǒng)監(jiān)理產(chǎn)生動(dòng)因分析

監(jiān)理工作、監(jiān)理企業(yè)是我國(guó)在計(jì)劃經(jīng)濟(jì)向市場(chǎng)經(jīng)濟(jì)轉(zhuǎn)變的過(guò)程中在建設(shè)領(lǐng)域中應(yīng)運(yùn)而生的，并取得了有目共睹的顯著成效，直接促進(jìn)了工程監(jiān)理業(yè)的繁榮發(fā)展，這也導(dǎo)致在通信業(yè)工程建設(shè)、信息系統(tǒng)建設(shè)等方面監(jiān)理的出現(xiàn)。因此，回顧建設(shè)工程監(jiān)理的發(fā)展，將有助于對(duì)信息系統(tǒng)監(jiān)理的認(rèn)識(shí)。

1988年7月建設(shè)部發(fā)布了《關(guān)于開(kāi)展建設(shè)監(jiān)理工作的通知》，隨后又于1988年11月印發(fā)了《關(guān)于開(kāi)展建設(shè)監(jiān)理試點(diǎn)問(wèn)題的若干意見(jiàn)》，使得試點(diǎn)工作有章可循。1989年，根據(jù)初步試點(diǎn)取得的經(jīng)驗(yàn)，建設(shè)部制定了《建設(shè)監(jiān)理試行規(guī)定》，這是我國(guó)第一個(gè)比較完備的關(guān)于工程建設(shè)監(jiān)理的法規(guī)文件，勾畫出具有我國(guó)特色的工程建設(shè)監(jiān)理制度的初步框架。1991年又分別制定頒發(fā)了《建設(shè)監(jiān)理單位資質(zhì)管理試行辦法》和《監(jiān)理工程師資格考試及注冊(cè)試行辦法》，建設(shè)監(jiān)理法規(guī)制度進(jìn)一步配套完善。1993年，上海市開(kāi)始了工程設(shè)備監(jiān)理制度的試點(diǎn)工作。1998年，國(guó)務(wù)院機(jī)構(gòu)改革后賦予了國(guó)家質(zhì)量技術(shù)監(jiān)督局“協(xié)調(diào)建立設(shè)備工程監(jiān)理制度”的職能要求，隨后，國(guó)家質(zhì)量技術(shù)監(jiān)督局?jǐn)M定了《協(xié)調(diào)建立設(shè)備工程監(jiān)理制度的方案》，在國(guó)家發(fā)展計(jì)劃委員會(huì)的指導(dǎo)和具體參與下，會(huì)同國(guó)務(wù)院有關(guān)部門，在國(guó)內(nèi)有關(guān)技術(shù)及咨詢機(jī)構(gòu)的幫助、支持下,完成了設(shè)備監(jiān)理制度中有關(guān)規(guī)章的起草工作。此間，世界銀行、國(guó)家開(kāi)發(fā)銀行等亦曾規(guī)定，其貸款的有關(guān)項(xiàng)目要有監(jiān)理公司監(jiān)理，并作為申請(qǐng)貸款的項(xiàng)目單位獲得貸款的基本條件。由此開(kāi)始推行建設(shè)工程監(jiān)理制度，監(jiān)理事業(yè)得到持續(xù)快速發(fā)展，從而積累了一定經(jīng)驗(yàn)，取得了積極成效。發(fā)展至今建立了一套比較完整的監(jiān)理法規(guī)體系，組成了一支規(guī)模較大的監(jiān)理隊(duì)伍，監(jiān)理出一批優(yōu)良的工程項(xiàng)目，監(jiān)理工作在工程建設(shè)中發(fā)揮了重要作用，得到了各級(jí)領(lǐng)導(dǎo)的支持，得到了社會(huì)的普遍認(rèn)可，正逐步向規(guī)范化、制度化、科學(xué)化方向邁進(jìn)。

但同時(shí)我國(guó)工程監(jiān)理事業(yè)經(jīng)過(guò)十多年的發(fā)展，雖然取得了一定成績(jī)，但也存在不少問(wèn)題。如：監(jiān)理人員整體素質(zhì)不高、監(jiān)理工作缺位、監(jiān)理取費(fèi)普遍較低、監(jiān)理市場(chǎng)競(jìng)爭(zhēng)機(jī)制不健全、監(jiān)理企業(yè)缺乏自我積累和發(fā)展能力、監(jiān)理責(zé)任不明確、監(jiān)理工作缺乏系統(tǒng)的理論研究、宣傳工作滯后等問(wèn)題比較突出。

2、信息系統(tǒng)監(jiān)理的發(fā)展

目前信息系統(tǒng)工程的現(xiàn)狀類似于二十世紀(jì)八十年代以前建筑工程的狀態(tài)。自1988年建設(shè)部頒布《關(guān)于開(kāi)展建設(shè)監(jiān)理工作的通知》以后，特別是1996年建設(shè)監(jiān)理全面推行后，建筑工程的質(zhì)量普遍提高，業(yè)主和承建商之間的糾紛普遍減少，凡是出問(wèn)題的工程，監(jiān)理也有問(wèn)題。因此，要求參考建筑工程的管理辦法對(duì)信息工程實(shí)施監(jiān)理的呼聲日益高漲，這既是信息工程用戶（業(yè)主）的愿望，也是系統(tǒng)集成商的愿望，信息工程市場(chǎng)呼喚“第三方”—信息系統(tǒng)工程監(jiān)理的出現(xiàn)。

但我國(guó)的信息系統(tǒng)工程監(jiān)理目前僅僅是處在起步階段，事實(shí)上根據(jù)對(duì)國(guó)內(nèi)信息化應(yīng)用程度較高的行業(yè)部門（如銀行、證券、保險(xiǎn)、氣象、社保、旅游等）和部分大型企業(yè)（如華北制藥、哈爾濱軸承集團(tuán)、哈爾濱飛機(jī)制造企業(yè)、躍進(jìn)汽車集團(tuán)、我國(guó)石化等）30個(gè)樣本作為調(diào)查對(duì)象的調(diào)查結(jié)果顯示，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，項(xiàng)目監(jiān)理是個(gè)新概念。只有30的被調(diào)查者表示在某些信息化項(xiàng)目中使用過(guò)監(jiān)理服務(wù)。在70未使用過(guò)項(xiàng)目監(jiān)理的被調(diào)查者中，5表示聽(tīng)說(shuō)過(guò)，95表示知道建筑工程有監(jiān)理，但在IT信息化項(xiàng)目中引入監(jiān)理還是第一次聽(tīng)說(shuō)。

圖1監(jiān)理服務(wù)內(nèi)容重要程度（引自胡敏《市場(chǎng)呼喚項(xiàng)目監(jiān)理》）

信息系統(tǒng)監(jiān)理的基本理論

信息系統(tǒng)監(jiān)理的中心任務(wù)是科學(xué)地規(guī)劃和控制工程項(xiàng)目的投資、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的基本方法是目標(biāo)規(guī)劃、動(dòng)態(tài)控制、組織協(xié)調(diào)和合同管理；監(jiān)理工作貫穿規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)收的全過(guò)程。信息工程監(jiān)理正是通過(guò)投資控制、進(jìn)度控制、質(zhì)量控制以及合同管理和信息管理來(lái)對(duì)工程項(xiàng)目進(jìn)行監(jiān)督和管理，保證工程的順利進(jìn)行和工程質(zhì)量。

1、成本控制

成本控制的任務(wù)，主要是在建設(shè)前期進(jìn)行可行性研究，協(xié)助建設(shè)單位正確地進(jìn)行投資決策；在設(shè)計(jì)階段對(duì)設(shè)計(jì)方案、設(shè)計(jì)標(biāo)準(zhǔn)、總概（預(yù)）算進(jìn)行審查；在建設(shè)準(zhǔn)備階段協(xié)助確定標(biāo)底和合同造價(jià)；在實(shí)施階段審核設(shè)計(jì)變更，核實(shí)已完成的工程量，進(jìn)行工程進(jìn)度款簽證和索賠控制；在工程竣工階段審核工程結(jié)算。

2、進(jìn)度控制

3、質(zhì)量控制

質(zhì)量控制要貫穿在項(xiàng)目建設(shè)從可行性研究、設(shè)計(jì)、建設(shè)準(zhǔn)備、實(shí)施、竣工、啟用及用后維護(hù)的全過(guò)程。主要包括組織設(shè)計(jì)方案評(píng)比，進(jìn)行設(shè)計(jì)方案磋商及圖紙審核，控制設(shè)計(jì)變更；在施工前通過(guò)審查承建單位資質(zhì)等；在施工中通過(guò)多種控制手段檢查監(jiān)督標(biāo)準(zhǔn)、規(guī)范的貫徹；以及通過(guò)階段驗(yàn)收和竣工驗(yàn)收把好質(zhì)量關(guān)等。

3、合同管理

合同管理是進(jìn)行投資控制、工期控制和質(zhì)量控制的手段。因?yàn)楹贤潜O(jiān)理單位站在公正立場(chǎng)采取各種控制、協(xié)調(diào)與監(jiān)督措施，履行糾紛調(diào)解職責(zé)的依據(jù)，也是實(shí)施三大目標(biāo)控制的出發(fā)點(diǎn)和歸宿。

4、信息管理

信息管理包括投資控制管理、設(shè)備控制管理、實(shí)施管理及軟件管理。

5、協(xié)調(diào)

協(xié)調(diào)貫穿在整個(gè)信息系統(tǒng)工程從設(shè)計(jì)到實(shí)施再到驗(yàn)收的全過(guò)程。主要采用現(xiàn)場(chǎng)和會(huì)議方式進(jìn)行協(xié)調(diào)。

總之，三控兩管一協(xié)調(diào)，構(gòu)成了監(jiān)理工作的主要內(nèi)容。為完滿地完成監(jiān)理基本任務(wù)，監(jiān)理單位首先要協(xié)助建設(shè)單位確定合理、優(yōu)化的三大目標(biāo)，同時(shí)要充分估計(jì)項(xiàng)目實(shí)施過(guò)程中可能遇到的風(fēng)險(xiǎn)，進(jìn)行細(xì)致的風(fēng)險(xiǎn)分析與評(píng)估，研究防止和排除干擾的措施以及風(fēng)險(xiǎn)補(bǔ)救對(duì)策。使三大目標(biāo)及其實(shí)現(xiàn)過(guò)程建立在合理水平和科學(xué)預(yù)測(cè)基礎(chǔ)之上。其次要將既定目標(biāo)準(zhǔn)確、完整、具體地體現(xiàn)在合同條款中，絕不能有含糊、籠統(tǒng)和有漏洞的表述。最后才是在信息工程建設(shè)實(shí)施中進(jìn)行主動(dòng)的、不間斷的、動(dòng)態(tài)的跟蹤和糾偏管理。圖2監(jiān)理內(nèi)容示意圖：

第三篇：信息系統(tǒng)審計(jì)

1、信息系統(tǒng)審計(jì)的概念，內(nèi)容，流程？

答：（1）概念信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，斌提出一系列改進(jìn)建議的管理活動(dòng)。

（2）內(nèi)容：主要包括內(nèi)部控制系統(tǒng)審計(jì)、系統(tǒng)開(kāi)發(fā)審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)文件審計(jì)等。a.內(nèi)部控制系統(tǒng)審計(jì)。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個(gè)子系統(tǒng)構(gòu)成：一是一般控制系統(tǒng)，它是系統(tǒng)運(yùn)行環(huán)境方面的控制，為應(yīng)用程序的正常運(yùn)行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng)，它是針對(duì)具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。

b.系統(tǒng)開(kāi)發(fā)審計(jì)。是指對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程所進(jìn)行的審計(jì)，這是一種事前審計(jì)。

c.應(yīng)用程序?qū)徲?jì)。其決定了數(shù)據(jù)處理的合規(guī)性、正確性。對(duì)應(yīng)用程序的審計(jì)，可以對(duì)程序直接進(jìn)行審查，也可以通過(guò)數(shù)據(jù)在程序上的運(yùn)行進(jìn)行間接測(cè)試。

d.數(shù)據(jù)文件審計(jì)。在信息系統(tǒng)中，各種憑證、賬簿及報(bào)表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲(chǔ)在硬盤或軟盤等存儲(chǔ)介質(zhì)中，對(duì)數(shù)據(jù)文件進(jìn)行審計(jì)，可以將該文件打印出來(lái)進(jìn)行檢查，也可以在計(jì)算機(jī)內(nèi)直接進(jìn)行審查。

（3）流程：主要的分為準(zhǔn)備階段、實(shí)施階段、終結(jié)階段。

a.準(zhǔn)備階段：

1、明確審計(jì)任務(wù)。

2、組成信息系統(tǒng)審計(jì)小組。

3、了解被審計(jì)系統(tǒng)的基本情況。

4、制定信息系統(tǒng)審計(jì)方案；

b.實(shí)施方案：

1、對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試。

2、對(duì)帳表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查；

c.終結(jié)階段：

1、整理歸納審計(jì)資料。

2、撰寫審計(jì)報(bào)告。

3、發(fā)出審計(jì)結(jié)論和決定。

4、審計(jì)資料的歸檔和管理。

2、常見(jiàn)的IT治理標(biāo)準(zhǔn)有哪些，各自的作用是什么？

答：常見(jiàn)的IT治理標(biāo)準(zhǔn)有ITIL，COBIT，BS 7799，PRINCE2。

（1）ITIL（Information Technology Infrastructure Library），即信息技術(shù)基礎(chǔ)構(gòu)架庫(kù)，一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的時(shí)間準(zhǔn)則。1980年以來(lái)，英國(guó)政府商務(wù)辦公室為解決“IT服務(wù)質(zhì)量不佳”的問(wèn)題，逐步提出和完善了一整套對(duì)IT服務(wù)的質(zhì)量進(jìn)行評(píng)估的方法體系。

（2）COBIT，（Control Objectives for Information and related Technology）：信息和相關(guān)技術(shù)的控制目標(biāo)。它是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)，于1996年推出的用于IT審計(jì)的知識(shí)體系。作為IT治理的核心模型，其包括34個(gè)信息技術(shù)過(guò)程控制，并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實(shí)施、交付與支持以及信息系統(tǒng)運(yùn)行性能監(jiān)控4個(gè)領(lǐng)域。目前COBIT是國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。

（3）BS 7799（ISO/IEC17799）：國(guó)際信息安全管理標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國(guó)國(guó)家標(biāo)準(zhǔn)BS 7799而來(lái)的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)，包括安全內(nèi)容的所有準(zhǔn)則，由10個(gè)獨(dú)立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問(wèn)題，為企業(yè)提供了一個(gè)完整的管理框架，不斷改進(jìn)信息安全管理水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。

（4）PRINCE2（Projects In Controlled Environments）是一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。PRINCE2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對(duì)具體項(xiàng)目的管理，還覆蓋了在組織范圍對(duì)項(xiàng)目的管理。

3、常見(jiàn)的信息系統(tǒng)開(kāi)發(fā)方法，對(duì)其中的一到兩種展開(kāi)說(shuō)明？

答：常見(jiàn)的信息系統(tǒng)開(kāi)發(fā)方法有軟件開(kāi)發(fā)生命周期法、原型法、面向?qū)ο蠓?、?jì)算機(jī)輔助開(kāi)發(fā)方法、基于組件的開(kāi)發(fā)方法、基于Web應(yīng)用開(kāi)發(fā)方法。以下對(duì)軟件開(kāi)發(fā)生命周期法進(jìn)行

說(shuō)明。

軟件開(kāi)發(fā)生命周期法（Software Development Life Cycle，SDLC）是系統(tǒng)分析員和系統(tǒng)開(kāi)發(fā)者常用的軟件開(kāi)發(fā)方法。軟件開(kāi)發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件，滿足業(yè)務(wù)和用戶的需求，在開(kāi)發(fā)進(jìn)度和成本控制下進(jìn)行軟件開(kāi)發(fā)生產(chǎn)，是一種有效保證成本，提高效益的軟件開(kāi)發(fā)方法。通過(guò)應(yīng)用傳統(tǒng)的SDLC方法，已經(jīng)成功開(kāi)發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個(gè)階段及其基本內(nèi)容如下：

1、第一階段——可行性研究。確定實(shí)施系統(tǒng)在提高生產(chǎn)效率或未來(lái)降低成本方面的戰(zhàn)略利

益，確定和量化新系統(tǒng)可以節(jié)約的成本，評(píng)價(jià)新系統(tǒng)的成本回收期。

2、第二階段——需求定義。一是定義需要解決的問(wèn)題，二是定義所需的解決方案及方案應(yīng)

當(dāng)具有的功能和質(zhì)量要求。該階段還要確定是采用定制開(kāi)發(fā)的方法還是供應(yīng)商提供的軟件包。

3、第三階段A——系統(tǒng)設(shè)計(jì)（當(dāng)決定自行開(kāi)發(fā)軟件時(shí)）。以需求定義為基礎(chǔ)，建立一個(gè)系

統(tǒng)基線和子系統(tǒng)的規(guī)格說(shuō)明，以描述系統(tǒng)功能如何實(shí)現(xiàn)，各個(gè)部分之間接口如何定義，系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。

4、第三階段B——系統(tǒng)獲?。ó?dāng)決定購(gòu)買現(xiàn)成軟件包時(shí)）。以需求定義為基礎(chǔ)，向軟件供

應(yīng)商發(fā)出請(qǐng)求建議書（RFP）。商品軟件的選擇要從多方面進(jìn)行考慮。

5、第四階段A——系統(tǒng)開(kāi)發(fā)（當(dāng)決定自行開(kāi)發(fā)軟件時(shí)）。使用系統(tǒng)設(shè)計(jì)說(shuō)明書來(lái)設(shè)計(jì)編程

和實(shí)現(xiàn)系統(tǒng)過(guò)程。在這個(gè)階段，要進(jìn)行各個(gè)層次的測(cè)試，以驗(yàn)證和確認(rèn)開(kāi)發(fā)的系統(tǒng)。

6、第四階段B——系統(tǒng)配置（當(dāng)決定購(gòu)買現(xiàn)成軟件包時(shí)）。如果決定選用商品化的軟件包

時(shí)，需要按照企業(yè)的需求進(jìn)行系統(tǒng)客戶化工作，對(duì)系統(tǒng)進(jìn)行剪裁。這種剪裁最好是通過(guò)配置系統(tǒng)參數(shù)來(lái)實(shí)現(xiàn)，而不是通過(guò)修改程序源代碼。

7、第五階段——系統(tǒng)實(shí)施。這個(gè)階段是在最終用戶驗(yàn)收測(cè)試完成、用戶簽署正式文件后進(jìn)

行。系統(tǒng)還需要通過(guò)一些認(rèn)證和鑒定過(guò)程，來(lái)評(píng)價(jià)應(yīng)用系統(tǒng)的有效性。

8、第六階段——實(shí)施后維護(hù)。隨著一個(gè)新系統(tǒng)或徹底修改的系統(tǒng)的成功實(shí)施，應(yīng)當(dāng)建立正

式的程序來(lái)評(píng)估系統(tǒng)的充分性和評(píng)價(jià)成本效益或投資回報(bào)。這樣可為后續(xù)的系統(tǒng)開(kāi)發(fā)項(xiàng)目管理提供改進(jìn)意見(jiàn)。

當(dāng)一個(gè)項(xiàng)目的需求穩(wěn)定、定義準(zhǔn)確時(shí)，生命周期法使用起來(lái)最有效，改方法適用于在開(kāi)發(fā)工作的早期建立總體的系統(tǒng)構(gòu)架。

4、IT服務(wù)管理的定義，包括哪些內(nèi)容？

答：（1）IT服務(wù)管理（IT Service Management，ITSM）有以下兩種使用比較廣泛的定義：

1、IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法。它通過(guò)整合IT服務(wù)于企業(yè)業(yè)

務(wù)，提高了企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。

2、IT服務(wù)管理是一套通過(guò)SLA（服務(wù)級(jí)別協(xié)議）來(lái)保證IT服務(wù)質(zhì)量的協(xié)同流程。它融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開(kāi)發(fā)管理等管理活動(dòng)以及變更管理、資產(chǎn)管理、問(wèn)題管理等許多流程理論和實(shí)踐。

（2）ITIL主題框架包括6個(gè)主要模塊，即服務(wù)管理、業(yè)務(wù)管理、ICT（信息與通信技術(shù)）基礎(chǔ)設(shè)施管理、貫穿業(yè)務(wù)和IT基礎(chǔ)設(shè)施的應(yīng)用管理、IT服務(wù)管理實(shí)施規(guī)劃和集中的安全管理。

08信息2班0804100229徐怡

第四篇：信息系統(tǒng)監(jiān)理(完整)DOC

信息系統(tǒng)監(jiān)理（A）

選擇題（20）

2010下半年軟考信息系統(tǒng)監(jiān)理師考試試題（上午）

39、關(guān)于監(jiān)理人員的權(quán)利和義務(wù)中，不正確的是（C）A 監(jiān)理人員應(yīng)根據(jù)監(jiān)理合同獨(dú)立執(zhí)行工程監(jiān)理任務(wù) B 監(jiān)理人員應(yīng)保守承建單位的技術(shù)秘密和商業(yè)秘密 C 監(jiān)理人員必須滿足建設(shè)單位的要求和指令

D 監(jiān)理人員不得同時(shí)從事與被監(jiān)理項(xiàng)目相關(guān)的技術(shù)和業(yè)務(wù)活動(dòng) 40、屬于項(xiàng)目分析設(shè)計(jì)階段監(jiān)理工作的內(nèi)容是（B）A 審查承建單位的資質(zhì) B 審核項(xiàng)目需求規(guī)格說(shuō)明書 C 檢查軟件測(cè)試的工作進(jìn)度 D 編寫項(xiàng)目監(jiān)理總結(jié)報(bào)告

41、根據(jù)工業(yè)和信息化部計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)認(rèn)證工作辦公室發(fā)布的規(guī)定，自2011年1月1日起，申請(qǐng)信息工程監(jiān)理部臨時(shí)資質(zhì)的單位，取得的監(jiān)理工程師資格人數(shù)應(yīng)不少于（B）人 A 10

B 15

C 20

D 30

42、監(jiān)理單位和承建單位按照下列（C）的方式開(kāi)展工作

A 監(jiān)理單位和承建單位均按監(jiān)理合同和工程建設(shè)合同開(kāi)展監(jiān)理或建設(shè)監(jiān)理 B 監(jiān)理單位按工程建設(shè)合同開(kāi)展監(jiān)理工作，承建單位按監(jiān)理合同接受監(jiān)理 C 監(jiān)理單位按監(jiān)理合同開(kāi)展監(jiān)理工作，承建單位按工程建設(shè)合同接受監(jiān)理

D 監(jiān)理單位按監(jiān)理合同開(kāi)展監(jiān)理工作，承建單位按監(jiān)理合同和工程建設(shè)合同接受監(jiān)理

44、監(jiān)理大綱應(yīng)在（B）階段編制

A 監(jiān)理合同簽訂

B 監(jiān)理招投標(biāo)

C 監(jiān)理實(shí)施

D 監(jiān)理總結(jié)

45、監(jiān)理單位把（B）提供給承建單位，能起到工作聯(lián)系單或通知書的作用 A 監(jiān)理總結(jié)

B 監(jiān)理細(xì)則

C 監(jiān)理規(guī)劃

D 監(jiān)理大綱

48、在工程設(shè)計(jì)階段，不屬于監(jiān)理審核內(nèi)容的是（C）A 需求范圍

B 系統(tǒng)構(gòu)架

C 測(cè)試用例

D 業(yè)務(wù)流程

49、一般來(lái)說(shuō)，設(shè)計(jì)階段需要由（B）對(duì)各設(shè)計(jì)實(shí)施方案進(jìn)行審核。A 專家

B 監(jiān)理工程師

C 總監(jiān)理工程師

D 監(jiān)理代表

53、某機(jī)房改造工程，由于業(yè)主單位原因，導(dǎo)致增容的不間斷電源系統(tǒng)沒(méi)有使用房間而遲遲不能就位，項(xiàng)目總體進(jìn)度已在延期，一下說(shuō)法正確的是（C）A 因?qū)儆诜浅薪▎挝粚?dǎo)致的進(jìn)度延期，所以監(jiān)理單位應(yīng)審核同意承建單位工期順眼的申請(qǐng)

B 監(jiān)理單位應(yīng)召集業(yè)主單位、承建單位召開(kāi)專題討論會(huì)，要求承建單位就房間問(wèn)題提供解決方案

C 就此進(jìn)度延期的問(wèn)題監(jiān)理單位向業(yè)主單位提交專題報(bào)告，建議其盡快解決房間問(wèn)題

D 如果承建單位就該進(jìn)度延期提出索賠要求，監(jiān)理單位應(yīng)駁回該索賠申請(qǐng)

54、下列費(fèi)用中不屬于工程前期費(fèi)用的是（A）。

A 監(jiān)理費(fèi)

B 可行性分析、論證費(fèi)

C 造價(jià)評(píng)估費(fèi)

D 招投標(biāo)費(fèi)

58、監(jiān)理在評(píng)價(jià)變更合理（D）

A 變更是否會(huì)影響工作范圍、成本、質(zhì)量、進(jìn)度 B 性能是否有保證，對(duì)選用設(shè)備的影響

C 變更是否影響項(xiàng)目的投資回報(bào)率和凈現(xiàn)值 D 變更是否可以平衡各方利益

59、監(jiān)理在監(jiān)控變更實(shí)施的過(guò)程中，發(fā)現(xiàn)如繼續(xù)按照變更后的方案實(shí)施，將可能造成更大的損失。這種情況下，監(jiān)理單位首先應(yīng)該（D）A 組織專家對(duì)變更做進(jìn)一步的論證，確定變更風(fēng)險(xiǎn) B 建議建設(shè)單位組織召開(kāi)專題討論會(huì)，評(píng)估變更方案

C 通知承建單位廢除變更后的方案，按照原有方案繼續(xù)實(shí)施 D 通知承建單位暫停實(shí)施工作，等待進(jìn)一步監(jiān)理指令

60、某信息系統(tǒng)項(xiàng)目總包單位A將機(jī)房的空調(diào)工程分包給B單位，單位工程師經(jīng)過(guò)勘察現(xiàn)場(chǎng)，提出變更冷媒管路由的新方案。以下關(guān)于該方案變更的描述，正確的是（C）

A 變更申請(qǐng)由B單位提出

B 由于B單位負(fù)責(zé)安裝維護(hù)，因此變更無(wú)需經(jīng)過(guò)審核 C 變更需要通過(guò)A單位辦理

D 由于B單位工程師專業(yè)性更強(qiáng)，因此監(jiān)理單位不必再次勘察與評(píng)審

61、某網(wǎng)絡(luò)系統(tǒng)項(xiàng)目按總價(jià)合同方式約定訂購(gòu)3000米高規(guī)格銅纜，由于建設(shè)單位的原因，工期暫停半個(gè)月，待回復(fù)建工后，承建單位以近期銅價(jià)上漲為理由，要求建設(shè)單位賠償購(gòu)買電纜增加的費(fèi)用，并要求適當(dāng)延長(zhǎng)工期。一下說(shuō)法正確的是（D）

A 索賠是挽回成本損失的重要手段，因此建設(shè)單位應(yīng)該賠償承建單位采購(gòu)電纜增加的費(fèi)用

B 監(jiān)理單位應(yīng)保護(hù)承建單位的合法利益，因此應(yīng)該支持承建單位的索賠要求 C 索賠是合同雙方利益的體現(xiàn)，因此承建單位要求增加采購(gòu)費(fèi)用是風(fēng)險(xiǎn)費(fèi)用的轉(zhuǎn)移，可以使項(xiàng)目造價(jià)更趨于合理

D 銅價(jià)上漲是承建單位應(yīng)承擔(dān)的項(xiàng)目風(fēng)險(xiǎn)，不應(yīng)該要求賠償費(fèi)用

67、某信息系統(tǒng)工程由于承建單位原因，導(dǎo)致實(shí)施進(jìn)度嚴(yán)重超期，監(jiān)理單位準(zhǔn)備就此問(wèn)題召集業(yè)主單位、承建單位召開(kāi)專題會(huì)議協(xié)商解決，此時(shí)給承建單位發(fā)出（C）最合適的。

A 監(jiān)理通知單

B 專題監(jiān)理報(bào)告

C 監(jiān)理工作聯(lián)系單

D 停工令 2012上半年信息系統(tǒng)監(jiān)理師(上午)試題及答案

32、以下關(guān)于監(jiān)理資料整理、歸檔的描述，不正確的是（A）A 監(jiān)理資料應(yīng)在監(jiān)理工作結(jié)束后統(tǒng)一整理歸檔

B 監(jiān)理檔案的編制及保存應(yīng)符合國(guó)家法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求 C 監(jiān)理資料的管理應(yīng)由總監(jiān)工程師負(fù)責(zé)，并指定專人具體實(shí)施 D 監(jiān)理資料應(yīng)按時(shí)整理、真實(shí)完整、分類有序

33、監(jiān)理方在編制工程驗(yàn)收監(jiān)理報(bào)告時(shí)，應(yīng)重點(diǎn)說(shuō)明（C）A 工程竣工準(zhǔn)備工作綜述 B 驗(yàn)收測(cè)試方案與規(guī)范 C 驗(yàn)收測(cè)試結(jié)論與分析 D 項(xiàng)目監(jiān)理工作總結(jié)

34、（C）不屬于工程監(jiān)理驗(yàn)收?qǐng)?bào)告必須包括的內(nèi)容 A 工程竣工的準(zhǔn)備工作綜述 B 驗(yàn)收測(cè)試方案與規(guī)范 C 監(jiān)理工作流程 D 驗(yàn)收測(cè)試結(jié)論

39、工程監(jiān)理單位不按照委托監(jiān)理合同的約定履行監(jiān)理義務(wù)，對(duì)應(yīng)當(dāng)監(jiān)督檢查的項(xiàng)目不檢查或者不按照規(guī)定檢查，給建設(shè)單位造成損失的，應(yīng)當(dāng)（C）A 被處以罰款

B 吊銷其資格證書

C 承擔(dān)相應(yīng)的賠償責(zé)任 D 承擔(dān)連帶賠償責(zé)任

40、下列不屬于違約變更的是（C）

A 因業(yè)主方未按時(shí)提供項(xiàng)目建設(shè)所需要材料所導(dǎo)致的進(jìn)度延期 B 因前置機(jī)房建設(shè)任務(wù)未竣工而導(dǎo)致的裝修延期 C 因地震引起的設(shè)備延遲到貨而導(dǎo)致的進(jìn)度延期

D 因承建方指派項(xiàng)目經(jīng)理經(jīng)驗(yàn)不足而導(dǎo)致的進(jìn)度延期

46、當(dāng)信息工程項(xiàng)目實(shí)施過(guò)程中出現(xiàn)進(jìn)度超度的情況時(shí)，監(jiān)理工程師（B）A 應(yīng)該感到高興，因?yàn)楣こ炭梢蕴崆巴瓿?/p>

B 需分析進(jìn)度超前對(duì)后續(xù)工作產(chǎn)生的影響，并同承建單位協(xié)商，合理地調(diào)整進(jìn)度方案

C 督促其余多個(gè)平行的承建單位加快進(jìn)度，以便工程早日完工 D 不必干預(yù)

48、監(jiān)理單位應(yīng)在信息化建設(shè)工程實(shí)施完成以后參加單位組織的工程驗(yàn)收，簽署（D）意見(jiàn)。

A 業(yè)主

B 總監(jiān)理工程師

C 承建單位

D 監(jiān)理單位

49、以下關(guān)于質(zhì)量控制點(diǎn)設(shè)置原則的敘述，不正確的是（C）A 質(zhì)量控制點(diǎn)應(yīng)突出重點(diǎn) B 質(zhì)量控制點(diǎn)應(yīng)易于糾偏

C質(zhì)量控制點(diǎn)應(yīng)避免干擾，不能該表 D 質(zhì)量控制點(diǎn)應(yīng)利于三方的質(zhì)量控制

51、以下對(duì)監(jiān)理規(guī)劃理解不正確的是（D）

A 總監(jiān)理工程師對(duì)監(jiān)理機(jī)構(gòu)的監(jiān)理規(guī)劃和它在工程監(jiān)理過(guò)程中的實(shí)施效果進(jìn)行檢查

B 監(jiān)理規(guī)劃是對(duì)監(jiān)理委托合同的簽訂雙方責(zé)、權(quán)、利的進(jìn)一步細(xì)化，具有合同效力

C 監(jiān)理規(guī)劃的依據(jù)包括建設(shè)單位與承建單位簽訂的合同

D 監(jiān)理規(guī)劃應(yīng)對(duì)所有監(jiān)理項(xiàng)目中的關(guān)鍵點(diǎn)和實(shí)施難點(diǎn)設(shè)置“質(zhì)量控制點(diǎn)”

52、監(jiān)理單位為獲得監(jiān)理任務(wù)而編制的文件是（A）A 監(jiān)理大綱

B 監(jiān)理規(guī)劃

C 監(jiān)理細(xì)化

D 監(jiān)理合同

53、監(jiān)理合同是監(jiān)理單位開(kāi)展工作的依據(jù)之一，以下關(guān)于監(jiān)理合同的說(shuō)法不正確的是（D）

A 監(jiān)理合同規(guī)定了監(jiān)理工作的成果

B 監(jiān)理合同規(guī)定了主要監(jiān)理設(shè)備由監(jiān)理單位提供 C 監(jiān)理合同規(guī)定了監(jiān)理工作的范圍

D監(jiān)理合同規(guī)定了由承建單位支付監(jiān)理費(fèi)用

54、某信息系統(tǒng)建設(shè)項(xiàng)目，由于承建單位項(xiàng)目經(jīng)歷突然離職，造成項(xiàng)目進(jìn)度延期，并導(dǎo)致監(jiān)理合同約定的實(shí)施周期延長(zhǎng)，針對(duì)上述情況，（D）的做法是妥當(dāng)?shù)摹?/p>

A 監(jiān)理單位向承建單位索賠，挽回建立損失 B 承建單位要求追加實(shí)施費(fèi)用 C 建設(shè)單位立即終止建設(shè)合同 D 監(jiān)理單位要求追加監(jiān)理費(fèi)用

55、通過(guò)質(zhì)量認(rèn)證的企業(yè)年審時(shí)若質(zhì)量體系不符合認(rèn)證要求，認(rèn)證機(jī)構(gòu)可采取的警告措施是（C）

A 企業(yè)通報(bào)

B 監(jiān)督檢查

C 認(rèn)證暫停

D 認(rèn)證注銷

57、由承建單位采購(gòu)的設(shè)備，采購(gòu)前要向（B）提交設(shè)備采購(gòu)方案，經(jīng)審查同意后，方可實(shí)施。

A 總監(jiān)理工程師

B 監(jiān)理工程師

C 總工程師

D設(shè)備安裝工程師

58、總包單位依法將建設(shè)工程分包時(shí)，分包工程發(fā)生的質(zhì)量問(wèn)題應(yīng)（B）A 由總包單位負(fù)責(zé)

B 由總包單位負(fù)責(zé)，分包單位承擔(dān)連帶責(zé)任 C 由分包單位負(fù)責(zé)

D 由總包單位、分包單位、監(jiān)理單位共同負(fù)責(zé) 60、項(xiàng)目質(zhì)量管理由（A）、質(zhì)量控制和質(zhì)量保證三方面構(gòu)成。A 質(zhì)量計(jì)劃

B 質(zhì)量體系

C 質(zhì)量方針

D 質(zhì)量措施 簡(jiǎn)答題：

1、什么是信息系統(tǒng)工程監(jiān)理？ 答：信息系統(tǒng)工程監(jiān)理是指在政府工商部門注冊(cè)的且具有信息工程監(jiān)理資質(zhì)的單位，受建設(shè)單位委托，依據(jù)國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)工程監(jiān)理合同，對(duì)信息系統(tǒng)工程項(xiàng)目實(shí)施的監(jiān)督管理。

2、簡(jiǎn)述監(jiān)理實(shí)現(xiàn)協(xié)調(diào)的主要方法？

答：協(xié)調(diào)工作分為監(jiān)理內(nèi)部和外部?jī)刹糠帧?項(xiàng)目監(jiān)理部?jī)?nèi)部協(xié)調(diào)： 內(nèi)部監(jiān)理人員的工作，既有專業(yè)的分工負(fù)責(zé)又有協(xié)作配合。這種協(xié)調(diào)工作由項(xiàng)目總監(jiān)理工程師進(jìn)行。

（1）建立定期的內(nèi)部工作協(xié)調(diào)會(huì)議；

（2）建立內(nèi)部各專業(yè)監(jiān)理工作的協(xié)調(diào)工作程序（即各專業(yè)監(jiān)理工作之間相互關(guān)系的流程圖）；

（3）建立各專業(yè)監(jiān)理工作之間相互配合的制度和規(guī)定，如隱檢簽認(rèn)的回簽制度。?項(xiàng)目監(jiān)理部的外部協(xié)調(diào)

（1）建立現(xiàn)場(chǎng)各有關(guān)單位參加的總協(xié)調(diào)例會(huì)；

（2）計(jì)劃調(diào)度的協(xié)調(diào)，要審查和優(yōu)化施工總承包到位提出的施工網(wǎng)絡(luò)計(jì)劃，計(jì)劃的分解落實(shí)，人工投入、物資材料供應(yīng)、機(jī)械設(shè)備的配置等等；

（3）施工安裝組織設(shè)計(jì)的協(xié)調(diào)，要審核和優(yōu)化施工安裝組織設(shè)計(jì)方案，組織設(shè)計(jì)方案的落實(shí)，分段施工作業(yè)流水的配合，各專業(yè)施工安裝的穿插和協(xié)調(diào)配合，施工作業(yè)的交叉和銜接；

（4）費(fèi)用控制方面的協(xié)調(diào)，合計(jì)方法、原則的統(tǒng)一，計(jì)劃標(biāo)準(zhǔn)的統(tǒng)一；

（5）合同管理的協(xié)調(diào)，總承包合同的變更和補(bǔ)充，合同糾紛的調(diào)解，按合同的規(guī)定進(jìn)行具體的劃項(xiàng)，主要設(shè)備、材料的采購(gòu)和分叉等等；

（6）設(shè)計(jì)方面的協(xié)調(diào)，設(shè)計(jì)圖紙的會(huì)審；施工圖紙供應(yīng)的計(jì)劃、設(shè)計(jì)的變更、施工洽商、設(shè)計(jì)優(yōu)化；

（7）業(yè)主直接分包的施工安裝與總承包單位之間的配合與協(xié)調(diào)；（8）工程質(zhì)量的驗(yàn)收標(biāo)準(zhǔn)和檢驗(yàn)方法；質(zhì)量問(wèn)題的處理協(xié)調(diào)；（9）工程階段驗(yàn)收的組織協(xié)調(diào)；

（10）工程竣工的初驗(yàn)的組織與協(xié)調(diào)。

3、簡(jiǎn)述監(jiān)理實(shí)現(xiàn)質(zhì)量控制的主要手段 答：（1）現(xiàn)場(chǎng)監(jiān)理。監(jiān)理人員在承建單位施工期間，用全部或大部分時(shí)間在施工現(xiàn)場(chǎng)，對(duì)承建單位的各項(xiàng)工程活動(dòng)進(jìn)行跟蹤監(jiān)理；

（2）測(cè)量。工程中的測(cè)量貫穿整個(gè)施工監(jiān)理的全過(guò)程。在施工過(guò)程中也常采用測(cè)量手段進(jìn)行施工控制；對(duì)已完成的工程，也要采取測(cè)量手段。在整個(gè)監(jiān)理過(guò)程中始終離不開(kāi)測(cè)量手段；

（3）試驗(yàn)。在信息工程質(zhì)量監(jiān)理中，對(duì)任何項(xiàng)目或項(xiàng)目中的任何部分的質(zhì)量評(píng)估，以判斷是否達(dá)到標(biāo)準(zhǔn)，其唯一的依據(jù)就是試驗(yàn)數(shù)據(jù)。單純采用經(jīng)驗(yàn)的方法，或僅依據(jù)目測(cè)、感覺(jué)，對(duì)信息工程質(zhì)量的任何評(píng)價(jià)都是不允許的。

（4）嚴(yán)格執(zhí)行監(jiān)理程序。只要堅(jiān)持監(jiān)理程序，就能控制承建單位的施工程序，這對(duì)保證信息工程質(zhì)量是非常必要的。

（5）指令性文件。采取指令性文件，對(duì)承建單位的施工質(zhì)量進(jìn)行管理，而承建單位要嚴(yán)格履行和堅(jiān)持監(jiān)理工程師對(duì)任何事項(xiàng)發(fā)出的指示。在質(zhì)量管理中，監(jiān)理工程師應(yīng)當(dāng)充分利用指令性文件對(duì)承建單位進(jìn)行質(zhì)量控制；

（6）利用支付控制手段。質(zhì)量監(jiān)理是以計(jì)量支付為保障手段的，承建單位的任何工程款項(xiàng)的支付，均需由監(jiān)理工程師開(kāi)具支付證明。它是保證信息工程質(zhì)量的根本措施，也是監(jiān)理工程師在質(zhì)量監(jiān)理中的有力手段。

4、簡(jiǎn)述監(jiān)理實(shí)現(xiàn)進(jìn)度控制的主要措施

答：進(jìn)度控制的措施包括組織措施、技術(shù)措施、合同措施、經(jīng)濟(jì)措施和信息管理措施等。

?組織措施主要有：

（1）落實(shí)項(xiàng)目監(jiān)理班子中進(jìn)度控制部門的人員，具體控制任務(wù)和管理職責(zé)分工；（2）進(jìn)行項(xiàng)目分解，如按項(xiàng)目結(jié)構(gòu)分、按項(xiàng)目進(jìn)展階段分、按合同結(jié)構(gòu)分，并建立編碼體系；

（3）確定進(jìn)度協(xié)工作制度，包括協(xié)調(diào)會(huì)議舉行的時(shí)間、協(xié)調(diào)會(huì)議的參加人員等等；

（4）對(duì)影響進(jìn)度目標(biāo)實(shí)現(xiàn)的干擾和風(fēng)險(xiǎn)因素進(jìn)行分析。風(fēng)險(xiǎn)分析要有依據(jù)，主要是根據(jù)許多統(tǒng)計(jì)資料的積累，對(duì)各種因素影響進(jìn)度的概率及進(jìn)度拖延的損失值進(jìn)行計(jì)算和預(yù)測(cè)，并應(yīng)考慮有關(guān)項(xiàng)目審批項(xiàng)目對(duì)進(jìn)度的影響等等； ?技術(shù)措施是采用它以加快施工進(jìn)度；

?合同措施主要有分段發(fā)包、提前施工，以及各合同的合同期與進(jìn)度計(jì)劃的協(xié)調(diào)等等；

④經(jīng)濟(jì)措施是采用它以保障資金供應(yīng)；

⑤信息管理措施主要是通過(guò)計(jì)劃進(jìn)度與實(shí)際進(jìn)度的動(dòng)態(tài)比較，定期地向建設(shè)單位提供比較報(bào)告；

對(duì)于進(jìn)度工作，應(yīng)明確一個(gè)基本思想：計(jì)劃不變是相對(duì)的，而變是絕對(duì)的；平衡是相對(duì)的，不平衡是絕對(duì)的。要針對(duì)變化采取對(duì)策，定期地、經(jīng)常地調(diào)整進(jìn)度計(jì)劃。

5、業(yè)主單位合同違約的原因有哪些？ 答：（1）可確認(rèn)建設(shè)單位違約：

建設(shè)單位不按時(shí)支付項(xiàng)目預(yù)付款；

建設(shè)單位不按合同約定支付項(xiàng)目款，導(dǎo)致實(shí)施無(wú)法進(jìn)行；

建設(shè)單位無(wú)正當(dāng)理由不支付項(xiàng)目竣工結(jié)算款；

建設(shè)單位不履行合同義務(wù)或不按合同約定履行業(yè)務(wù)的其他情況；

（2）建設(shè)單位違約包括以下集中情況：

●違反信息系統(tǒng)工程合同設(shè)計(jì)部分的責(zé)任：

未按合同規(guī)定的時(shí)間提供有關(guān)的文件、資料及工作條件等，應(yīng)承擔(dān)由此造成的承建單位設(shè)計(jì)提供的損失；

由于改變計(jì)劃或提供的資料不準(zhǔn)確，而造成的設(shè)計(jì)返工或增加工作量，應(yīng)按實(shí)際工作量增加設(shè)計(jì)費(fèi)用。

●違反信息工程合同實(shí)施不分的責(zé)任：

未按實(shí)際合同規(guī)定的時(shí)間和要求提供實(shí)施場(chǎng)地、實(shí)施條件、技術(shù)資料、設(shè)備、資金等，除將項(xiàng)目日期順延外，還應(yīng)償付承建單位而因此造成停工、窩工的實(shí)際損失等；

項(xiàng)目中途停工停建、緩建，應(yīng)采取措施彌補(bǔ)或減少損失或減少損失；

驗(yàn)收或撥付項(xiàng)目費(fèi)超過(guò)期限，應(yīng)償付逾期違約金。

第五篇：信息系統(tǒng)審計(jì)重點(diǎn)

信息系統(tǒng)審計(jì)

電子計(jì)算機(jī)在數(shù)據(jù)處理的發(fā)展過(guò)程可分為三個(gè)階段：數(shù)據(jù)的單項(xiàng)處理階段、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段。

數(shù)據(jù)處理電算化以后，對(duì)傳統(tǒng)的審計(jì)產(chǎn)生了巨大的影響，主要表現(xiàn)在：

1、對(duì)審計(jì)線索的影響~~~~

2、對(duì)審計(jì)方法和技術(shù)的影響~~~~~~

3、對(duì)審計(jì)人員的影響~~~~~

4、對(duì)審計(jì)準(zhǔn)則的影響~~~~~~ 信息系統(tǒng)審計(jì)的定義：信息系統(tǒng)審計(jì)是根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行檢測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)訂的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)。

信息系統(tǒng)的主體：有勝任能力的信息系統(tǒng)獨(dú)立審計(jì)機(jī)構(gòu)或人員 信息系統(tǒng)審計(jì)的對(duì)象：被審計(jì)的信息系統(tǒng)

信息系統(tǒng)審計(jì)工作的核心：客觀地收集和評(píng)估證據(jù)

信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。關(guān)注之處被分為三類：可用性、保密性、完整性。

信息系統(tǒng)審計(jì)的特點(diǎn)：審計(jì)范圍的廣泛性、審計(jì)線索的隱蔽性、易逝性、審計(jì)取證的動(dòng)態(tài)性、審計(jì)技術(shù)的復(fù)雜性。（真是為一道簡(jiǎn)答題。在P6，詳細(xì)看一下各段內(nèi)容，概括下再答題）信息系統(tǒng)審計(jì)目標(biāo)：

1、保護(hù)資產(chǎn)的完整性

2、保證數(shù)據(jù)的準(zhǔn)確性

3、提高系統(tǒng)的有效性

4、提高系統(tǒng)的效率性

5、保證信息系統(tǒng)的合規(guī)性與合法性

信息系統(tǒng)的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計(jì)（分為一般控制系統(tǒng)、應(yīng)用控制系統(tǒng)，對(duì)信息系統(tǒng)的內(nèi)部控制系統(tǒng)進(jìn)行審計(jì)的目的是在內(nèi)部控制審計(jì)的基礎(chǔ)上對(duì)信息系統(tǒng)的處理結(jié)果進(jìn)行審計(jì)、加強(qiáng)內(nèi)部控制，完善內(nèi)部控制系統(tǒng)）系統(tǒng)開(kāi)發(fā)審計(jì)(信息系統(tǒng)開(kāi)發(fā)審計(jì)是對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程進(jìn)行的審計(jì)，審計(jì)目的一是要檢查開(kāi)發(fā)的方法、程序是否科學(xué)，是否含有恰當(dāng)?shù)目刂?；二是要檢查開(kāi)發(fā)過(guò)程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。)應(yīng)用程序?qū)徲?jì)（審查應(yīng)用程序有兩個(gè)目的，意識(shí)測(cè)試應(yīng)用控制系統(tǒng)的符合性，二是通過(guò)檢查程序運(yùn)算和邏輯的正確性達(dá)到實(shí)質(zhì)性測(cè)試目的）數(shù)據(jù)文件審計(jì)（審計(jì)目的一是對(duì)數(shù)據(jù)文件進(jìn)行實(shí)質(zhì)性測(cè)試，二是通過(guò)數(shù)據(jù)文件的審計(jì)，測(cè)試一般控制或應(yīng)用控制的符合性，但主要是為了實(shí)質(zhì)性測(cè)試）（這是道簡(jiǎn)答題，在P8各個(gè)小概括下）

信息系統(tǒng)審計(jì)的基本方法：繞過(guò)信息系統(tǒng)審計(jì)、通過(guò)信息系統(tǒng)審計(jì) 信息系統(tǒng)審計(jì)的步驟（大題P11）：

準(zhǔn)備階段：明確審計(jì)任務(wù)，組成信息系統(tǒng)審計(jì)小組，了解被審計(jì)系統(tǒng)的基本情況，指定信息系統(tǒng)審計(jì)方案，發(fā)出審計(jì)通知書 實(shí)施階段：對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試，對(duì)賬表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查

終結(jié)階段：整理歸納審計(jì)資料，撰寫審計(jì)報(bào)告，發(fā)出審計(jì)結(jié)論和決定，審計(jì)資料的歸檔和管理

國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則：由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）頒布和實(shí)施的。ISACA是國(guó)際上唯一的信息系統(tǒng)審計(jì)專業(yè)組織，通過(guò)制定和頒布信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序來(lái)規(guī)范審計(jì)師的工作，它由三個(gè)層次構(gòu)成： 審計(jì)標(biāo)準(zhǔn)（審計(jì)標(biāo)準(zhǔn)是整個(gè)信息系統(tǒng)準(zhǔn)則體系的總綱，是制定審計(jì)指南和作業(yè)程序的基礎(chǔ)和依據(jù)）審計(jì)指南（審計(jì)指南為審計(jì)標(biāo)準(zhǔn)的應(yīng)用提供了指引，信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中應(yīng)考慮如何應(yīng)用指南以實(shí)現(xiàn)審計(jì)標(biāo)準(zhǔn)的要求，在應(yīng)用過(guò)程中靈活運(yùn)用專業(yè)判斷并糾正任何偏離準(zhǔn)則的行為）

作業(yè)程序（作業(yè)程序提供了信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中可能遇到的審計(jì)程序的示例）信息系統(tǒng)審計(jì)師應(yīng)具備的素質(zhì)（大題P18-19）

應(yīng)具備的理論知識(shí):傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、計(jì)算機(jī)科學(xué)、行為科學(xué)理論

應(yīng)具有的實(shí)踐技能：參加過(guò)不同類別的工作培訓(xùn)、參與專業(yè)的機(jī)構(gòu)或廠商組織的研討會(huì)，動(dòng)態(tài)掌握信息技術(shù)的新發(fā)展對(duì)審計(jì)實(shí)踐的影響、具有理解信息處理活動(dòng)的各種技術(shù)、理解并熟悉操作環(huán)境，評(píng)估內(nèi)部控制的有效性、理解現(xiàn)有與未來(lái)系統(tǒng)的技術(shù)復(fù)雜性，以及它們對(duì)各級(jí)操作與決策的影響、能使用技術(shù)的方法去識(shí)別系統(tǒng)的完整性、要參與評(píng)估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險(xiǎn)等、能夠提供審計(jì)集成服務(wù)并為審計(jì)員工提供指導(dǎo)，與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況做出說(shuō)明、具備系統(tǒng)開(kāi)發(fā)方法論、安全控制設(shè)計(jì)、實(shí)施后評(píng)估等、掌握網(wǎng)絡(luò)相關(guān)的安全實(shí)踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、異步傳輸模式等通信技術(shù)。IT治理定義：德勒定義：IT治理是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。

IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，IT對(duì)于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競(jìng)爭(zhēng)；IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）；IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn)；IT治理包括管理層、組織結(jié)構(gòu)、過(guò)程，以確保IT維護(hù)和拓展組織戰(zhàn)略目標(biāo)；應(yīng)該合理利用企業(yè)的信息資源，有效的集成與協(xié)調(diào)；確保IT及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè)一致性和價(jià)值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長(zhǎng)，并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)。

IT治理和IT管理的關(guān)系：IT管理是在既定的IT治理模式下，管理層為實(shí)現(xiàn)公司的目標(biāo)二采取的行動(dòng)，IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司，即使有很好的IT管理體系，就想一座地基不牢固的大廈；同時(shí)，沒(méi)有公司IT管理體系的流暢，單純的治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

公司治理和IT治理：公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，即IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理標(biāo)準(zhǔn)：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、已管理級(jí)、已優(yōu)化級(jí)（主要內(nèi)容及其作用在P47-48）

信息系統(tǒng)內(nèi)部控制：是一個(gè)單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊、確保信息系統(tǒng)提供信息的真實(shí)、合法、完整，而制定和實(shí)施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運(yùn)作維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動(dòng)，都屬于信息系統(tǒng)內(nèi)部控制的對(duì)象，可分為一般控制和應(yīng)用控制。

信息系統(tǒng)一般控制是應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運(yùn)行等。

信息系統(tǒng)應(yīng)用控制是用于對(duì)具體應(yīng)用系統(tǒng)的控制，一個(gè)應(yīng)用系統(tǒng)一般由多個(gè)相關(guān)計(jì)算機(jī)程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個(gè)計(jì)算機(jī)程序和組織單元，與此相對(duì)應(yīng)，應(yīng)用控制包括包含在計(jì)算機(jī)編碼中的日?？刂萍芭c用戶活動(dòng)相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ)，可以為應(yīng)用控制的有效性提供有力的保障，某些應(yīng)用控制的有效性取決于計(jì)算機(jī)整體環(huán)境控制的有效性。當(dāng)計(jì)算機(jī)整體環(huán)境控制薄弱時(shí)，應(yīng)用控制就無(wú)法真正提供合理保障。如果一般控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)就沒(méi)有進(jìn)行的必要。

審計(jì)邏輯訪問(wèn)安全策略：知所必需原則

審查離職員工的訪問(wèn)控制：請(qǐng)辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫(kù)加密：一般采用公開(kāi)密鑰加密方法 系統(tǒng)訪問(wèn)控制及其審計(jì)：系統(tǒng)訪問(wèn)就是利用計(jì)算機(jī)資源達(dá)到一定目的的能力，對(duì)計(jì)算機(jī)化的信息資源的訪問(wèn)可以基于邏輯方式，也可以基于物理方式。物理訪問(wèn)控制可以限制人員進(jìn)出敏感區(qū)域。對(duì)計(jì)算機(jī)信息的物理訪問(wèn)與邏輯訪問(wèn)應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責(zé)分離原則來(lái)分配系統(tǒng)訪問(wèn)權(quán)限，并把這些訪問(wèn)規(guī)則與訪問(wèn)授權(quán)通過(guò)正式書面文件記錄下來(lái)，作為信息安全的重要文件加以妥善管理。身份識(shí)別與驗(yàn)證（簡(jiǎn)答題P65-66）：邏輯訪問(wèn)控制中的身份識(shí)別與驗(yàn)證是一種提供用戶身份證明的過(guò)程，在這個(gè)過(guò)程中，用戶向系統(tǒng)提交有效的身份證明，系統(tǒng)驗(yàn)證這個(gè)身份證明后向用戶授予訪問(wèn)系統(tǒng)的能力?？煞譃槿悾骸爸挥心阒赖氖虑椤薄爸挥心銚碛械臇|西”“只有你具有的特征” 例子：賬號(hào)與口令、令牌設(shè)備、生物測(cè)定技術(shù)與行為測(cè)定技術(shù)。邏輯訪問(wèn)授權(quán)：一般情況下邏輯訪問(wèn)控制基于最小授權(quán)原則，支隊(duì)因工作需要訪問(wèn)信息系統(tǒng)的人員進(jìn)行必要的授權(quán)。當(dāng)用戶在組織變換工作角色時(shí)，在賦予他們新訪問(wèn)權(quán)限時(shí)，一般沒(méi)有及時(shí)取消舊的訪問(wèn)權(quán)限，這就會(huì)產(chǎn)生訪問(wèn)控制上的風(fēng)險(xiǎn)。所以當(dāng)員工職位有變動(dòng)時(shí)，信息系統(tǒng)審計(jì)師就要及時(shí)審核訪問(wèn)控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計(jì)：信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是組織中總的業(yè)務(wù)持續(xù)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的重要組成部分?；謴?fù)策略與恢復(fù)類型：熱站、溫站、冷站、冗余信息處理設(shè)施、移動(dòng)站點(diǎn)、組織間互惠協(xié)議。BCP中多個(gè)計(jì)劃文件：業(yè)務(wù)持續(xù)性計(jì)劃（BCP）、業(yè)務(wù)恢復(fù)計(jì)劃（BRP）、連續(xù)作業(yè)計(jì)劃（COOP）連續(xù)支持計(jì)劃、IT應(yīng)急計(jì)劃、危機(jī)通信計(jì)劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計(jì)劃（DRP）、場(chǎng)所緊急計(jì)劃（OEP）

異地備份：完全備份、增量備份、差分備份

災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)：主要任務(wù)是理解與評(píng)價(jià)組織的業(yè)務(wù)連續(xù)性策略，及其組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評(píng)估該計(jì)劃的充分性和時(shí)效性；審核信息系統(tǒng)及終端用戶對(duì)計(jì)劃所做的測(cè)試的結(jié)果，驗(yàn)證計(jì)劃的有效性；審核異地存儲(chǔ)設(shè)施機(jī)器內(nèi)容、安全和環(huán)境控制，以評(píng)估異地存儲(chǔ)站點(diǎn)的適當(dāng)性；通過(guò)審核應(yīng)急措施、員工培訓(xùn)、測(cè)試結(jié)果，評(píng)估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認(rèn)組織對(duì)業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)措施存在并有效。

應(yīng)用控制概念：應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù)，每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求，這決定了具體的應(yīng)用控制的設(shè)計(jì)需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過(guò)程一般都是由輸入、處理和輸出三個(gè)階段構(gòu)成，從這一共性出發(fā)，可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。

軟件維護(hù)的種類：糾錯(cuò)行為化、適應(yīng)性維護(hù)、完善性維護(hù)、預(yù)防性維護(hù) 服務(wù)管理：面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供

IT服務(wù)提供流程主要面對(duì)付費(fèi)的機(jī)構(gòu)和個(gè)人客戶，負(fù)責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù)：根據(jù)組織的業(yè)務(wù)需求，對(duì)服務(wù)能力、持續(xù)性、可用性等服務(wù)級(jí)別目標(biāo)進(jìn)行規(guī)劃和設(shè)計(jì)，同時(shí)還必須考慮到這些服務(wù)目標(biāo)所需要耗費(fèi)的成本。主要包括服務(wù)水平管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個(gè)服務(wù)管理流程。

IT服務(wù)的服務(wù)支持主要面向終端用戶，負(fù)責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺(tái)職能和5個(gè)運(yùn)作層次的流程，即配置管理、事務(wù)管理、問(wèn)題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲?jì)的內(nèi)容：

審查程序控制是否健全有效：程序中輸入控制的審計(jì)、程序中處理控制的審計(jì)、程序中輸出控制的審計(jì)。

審查程序的合法性P168 簡(jiǎn)單論述

審查程序編碼的正確性：目標(biāo)和任務(wù)不明確、系統(tǒng)設(shè)計(jì)差錯(cuò)、程序設(shè)計(jì)說(shuō)明書錯(cuò)誤、程序語(yǔ)法或邏輯錯(cuò)誤

審查程序的有效性：在具體編寫程序前應(yīng)簡(jiǎn)化算術(shù)表達(dá)式及邏輯表達(dá)式、細(xì)心的分析多層嵌套循環(huán)，以確定能否把一些語(yǔ)句或表達(dá)式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法；不要把不同的數(shù)據(jù)類型混在一起；只要可能就采用整形數(shù)的算法運(yùn)算和布爾表達(dá)式。應(yīng)用程序?qū)徲?jì)方法：對(duì)應(yīng)用程序進(jìn)行審計(jì)，往往是計(jì)算機(jī)輔助審計(jì)方法與手工審計(jì)方法的結(jié)合。

檢測(cè)數(shù)據(jù)法：是指審計(jì)人員把一批預(yù)先設(shè)計(jì)好的監(jiān)測(cè)數(shù)據(jù)，利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一種方法。

平行模擬法：是指審計(jì)人員自己或請(qǐng)計(jì)算機(jī)專業(yè)人員編寫的具有和被審計(jì)程序相同處理和控制的模擬程序，用這種程序處理當(dāng)期的實(shí)際數(shù)據(jù)，并以處理的結(jié)果與被審計(jì)程序的處理結(jié)果進(jìn)行比較，以評(píng)價(jià)被審程序的處理和控制功能是否可靠的一種方法 嵌入審計(jì)程序法：是指被審計(jì)信息系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)階段，在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計(jì)功能而設(shè)計(jì)的程序段，這些程序段可以用來(lái)收集審計(jì)人員感興趣的資料，并且建立一個(gè)審計(jì)控制文件，用來(lái)存儲(chǔ)這些資料，審計(jì)人員通過(guò)這些資料的審核來(lái)確定被審程序的處理和控制功能的可靠性。

程序追蹤法：是一種對(duì)給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來(lái)完成，也可利用某些高級(jí)語(yǔ)言或數(shù)據(jù)庫(kù)管理系統(tǒng)中的跟蹤指令被審查程序的處理。