探索中国CIO人才现状 | 第四季调研报告
IT审计规避监理风险
2014-02-11  作者:e-works 

  近年来,在国内出现了IT审计这一概念,作为独立的第三方,IT审计对信息系统开发、运行及维护等内容进行检查、评价并提交报告,保障信息系统安全性、可靠性、有效性。但令人费解的是,到目前为止在信息化项目中请IT审计的业主却寥寥无几,而即便是有意请人做IT审计,能为之提供IT审计服务的往往又都是一些IT监理公司。


  “怪胎”如此形成


  山东省计算中心的罗永刚教授讲到:“在国际上,IT审计这套体系已经相当成熟,但从国内来讲,IT审计是一个新事物,相关体系还没有建立,而现在国内炒的比较热乎的是IT监理这个体系。在国际上,审计与咨询和监理地位平等,都是可以作为独立的第三方按照项目的实施进程提供相应服务的,三者的关系并列,各负其责。咨询主要是提供项目的整体规划:监理是为业主提供项目管理而IT审计主要是对系统运行阶段的评估。”但对于中国的信息化建设现状而言,罗永刚认为:“中国的信息化项目在实施过程中,并没有遵循国际标准,而是保持了自己的特色。国内的监理公司一般都将咨询和审计融为一体,在为业主提供服务的时候,或称咨询或称审计。据悉,目前IT监理公司承揽审计业务有两种表现形式,一种是监理公司为业主提供审计、监理一条龙服务,监理公司贯穿于这个项目的始终。一般在这种情况下,监理公司提供的审计服务都是免费的,因为它的目的是通过为业主做免费审计服务,以便得到业主的认可,最终目标是获得项目监理费用。”


  对于另外一种形式,北京朋佳科技咨询有限公司总经理钟民认为:“另外一种就是监理公司可以脱离监理业务,单纯地为需要前期咨询的业主提供审计服务,并可单独收费。但是有一个前提很重要,即它必须有国际IT审计的相关认证。据了解,具备这样资质的监理公司还为数不多。”


  据悉,很多企业对信息化的认识还停留在认为应用简单OA系统的便是信息化的初级阶段,因此,要求每一个业主都把咨询、监理、审计、评估等名词搞清楚还是有很大难度的。钟民指出,对于今天出现在监理市场中的,监理公司既做咨询和审计又做监理的现象,希望大家不要见怪不怪,要用辩证的眼光去看待他们,因为存在即是合理的。


  并非“不务正业”


  无论监理公司提供免费审计还是计费审计,难免有人说是监理公司是“不务正业”。钟民强调:对于监理公司的这种行为应该辩证地看,他说:“由于大型信息化工程投资金额大、建设周期长、系统运行风险不可预测等特点,导致业主在实施项目伊始就心惊胆战,唯恐出现差错。因而,寻求IT审计是信息系统的安全性、可靠性和有效性的有力保障。”


  国内外IT审计发展对比表


  “有人说做IT审计,必须要由专业的IT审计公司来做,这样才有保障。但是就目前的现状而言,为业主提供审计服务的都是一些监理公司,而有些监理公司提供审计的并不是很专业,大多数是为了承揽监理业务而免费提供的午餐,并不见得好吃,往往达不到业主希望的审计要求。”罗永刚发表了自己的看法。


  对于有需求做审计的业主来讲,不管是免费的也好,收费的也罢,寻求到货真价实的公司为其做审计才是关键。钟民说“我们公司就是一家集监理、审计于一身的企业。需要说明的是,我们是国际信息系统审计与控制协会(ISACA)会员,拥有为业主做审计的资质,无论是免费还是收费,朋佳公司对所有业主一视同仁。”钟民认为,虽然国际上的IT审计标准已经很成熟,但是简单的拿来主义并不一定适用。因此,朋佳公司结合国际标准创建了一套自己的审计体系,依照此体系先后为北京奥组委中级网站、北京市电子政务网上审批试点工程、北京市新闻出版局网络及信息系统等工程提供审计服务。“北京市新闻出版局网络及信息系统安全的IT审计项目是从2004年7月7日正式启动,2004年7月31日结束。项目结束时朋佳公司向新闻出版局提交了《项目测评计划书》、《安全测评报告》、《安全自定级报告》、《安全建议》等相关成果文档。可见,我们公司的服务是专业的。”钟民对记者如是说。


  不难看出,朋佳公司虽然是一家监理公司,但是在IT审计方面也绝不逊色。事实表明,业主方绝不能对提供审计服务的监理公司一概而论,要深入地分析该监理公司是否具有一定的资质?能否为业主提供货真价实的服务?


  引入社会专业力量推广


  罗永刚并没有否认北京朋佳监理公司在审计方面的突出成绩,但是他认为:监理公司在一个信息化项目中,既做教练员又做裁判员的做法的确是不符合标准的。难免会出现一些职责不清的问题。比如,监理公司为业主做审计,也就是给自己监理的项目做评估,能否做到真正的公正是个疑问。而对于那些系统真正运行几年后才会看到效果的大型项目而言,监理公司的审计就是天方夜谭了,因为监理工作会随着工程的完成而结束。因此,监理公司无法真正起到为项目后期运行中的审计做出评估。其次,对于北京朋佳监理公司这样具有资质做审计的公司来讲,免费给企业做审计未免有些吃亏。做审计不是简单的咨询,在这个过程中要耗费大量的人力、物力,但结果往往是分文未取,或者取得的只是很少的一部分监理费用。


  罗永刚坦言:就目前的形势而言,在IT监理与IT审计之间强硬地划出一道分水岭是不现实的。而引进国际IT审计标准又不适合中国市场,因此,建设一套有中国特点、特色的审计体系对信息化建设而言是很有必要的。


  钟民也有相同的看法:“信息系统工程涉及投资者大量的资金投入,而其又存在着失败率高、复杂度高、风险大等问题。现在很多政府部门甚至是开发商都在呼吁,希望有人能为其做一个评估,给大家一个界定和说法。另外从国际发展趋势来看,未来的审计行业和审计技术的发展动力将主要来自于IT审计的发展。而依靠政府相关部门来推广IT审计体系可能会心有余而力不从,因此,引入社会专业力量来推广IT审计是个新思路、新亮点。别看我们公司的主体业务是监理,但是在今后我个人更看重咨询和审计,咨询和审计肯定要出彩的。