1、信息系统工程监理与IT审计的基本内容
在信息系统工程建设过程中,存在着一些不规范的情况。如项目可行性论证不充分;用户需求不全面、不准确;用户要求一变再变、工程进度一拖再拖;甲乙双方的合同书条文不规范,缺乏可执行性,或存在二义性;缺少对工程实施过程关键点的监理;缺乏合理的系统评测验收方案;等等。
为了促进信息系统工程的良性发展,一些第三方机构借鉴传统建设工程的咨询、评估及监理经验,探索了信息系统工程监理的路子。近年来,为加强对这些信息系统工程的管理、提高审计业务的水平,我国借鉴国外经验,还引入了IT审计的方法和理念。本文从多个方面对信息系统工程监理与IT审计进行比较和分析,理清对两者的理解,更好地发挥它们在各自领域的优势。
2、 信息系统工程监理与IT审计的基本定义
2、关于信息系统工程监理定义,在《信息系统工程监理暂行规定》(信部信(2002)570号)、国家标准《信息化工程监理规范第一部分总则》(GB/T19668.1—2005)中都有较完善、确切的描述。
《信息系统工程监理暂行规定》中的定义:是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、标准规范和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
《信息化工程监理规范第一部分总则》(GB/T19668.1—2005)中,对信息系统工程监理的定义没有做特别的说明,但说明了它的基本内涵。该规分组成,即监理支撑要素、监理阶段、监理内容、监理对象和信息安全”,“参考模型表明,信息化工程的监理工作建立在监理支撑要素的基础上,在监理工作的各阶段结合各项监理内容,对监理对象进行监督和理顺,以保证信息化工程的建设达到预期的目标”,“监理机构在监理合同约定的范围内,依据监理规划和监理细则,结合监理对象的特点实施质量控制、进度控制、投资控制、合同管理、信息管理和协调,实现监理目标”。
日本通产省1996年对IT审计定义为:为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。
另外,国际信息系统审计领域的权威专家Ron-Weder将它定义为:收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。