通过对信息系统工程监理与IT审计的基本内容进行研究,下面将从两者的相似性、不同点以及两者的联系和发展对其进行分析。
1信息系统工程监理与IT审计的相似性
由于信息系统工程具有投资大、高技术、高风险的特点,对信息系统进行严格规范的控制至关重要,信息系统工程监理和IT审计作为两种信息系统工程监管手段,二者都具有下列的特点:二者都是以管理为核心,以法律法规为保障,以技术为支撑,并以第三方的客观立场,目的都是为了提高信息系统工程安全和质量,降低信息化建设投资风险。
2信息系统工程监理与IT审计的不同点
从信息系统工程监理和IT审计的定义和工作内容,我们可以看出二者的区别。区别主要反映在目标、作用、覆盖生命周期、与信息系统相关方的关系、使命的侧重点及不同点,并由此派生出的实施效果、控制手段、最终工作成果不同点。
(1)从管理定位分析,信息系统工程监理采取的是对工程项目进行管理,管理对象是信息系统工程的集成企业和设备供应商。而IT审计是对信息系统进行检查评价,没有管理对象,只有审计对象。
(2)从管理特点分析,信息系统工程监理是受业主单位委托,按照监理合同要求,协助业主单位监督检查信息系统工程项目实施;要解决的是在信息系统工程项目实施过程中的质量、进度和投资额等是否满足建设要求;重点是对实施过程的管理。IT审计是向IT审计对象的最高领导提出问题和建议;要解决的是信息系统有关的资产保护问题、数据完整性问题、系统有效性问题、系统效率问题;重点是对实施效果的评价。
(3)从管理效果分析,信息系统工程监理一般应用于信息系统工程项目的实施阶段,并随着信息系统工程项目实施的结束而结束;项目监理过程是可见的,即对项目成本、进度及质量的事前、事中、事后进行全过程控制;质量控制手段包括评审、旁站、抽查等;最终工作成果是经过验收的可以投入使用的信息系统。IT审计可以出现在信息系统生命周期的各个阶段,但IT审计的有效行为更适用于信息系统工程的运行使用过程中;对信息系统的安全性、可靠性与有效性的认定具有不可见性;IT审计的方法通常包括面谈法、问卷调查法、系统评审会等;最终工作成果主要是系统投入使用后的审计报告或信息系统生命周期每个阶段的审计报告。
(4)从管理目的分析,信息系统工程监理的目的是保证工程建设质量、进度和投资满足建设要求。监理活动随着工程的完成而结束。IT审计的目的是合理保证信息系统能够保护资产的安全、数据的·完整、有效地实现组织目标并有效地利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,还包括对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效地利用组织资源。只要信息系统在运行,审计活动可能一直存在。
3信息系统工程监理与IT审计的联系
信息系统工程监理是借鉴国际上的先进做法和国内有关部门的经验,合我国实际,建立了一套有中国特色的“信息系统工程监理制度”,已开展的监理单位资质和监理工程师资格的管理工作正在逐步完善。关于IT审计,在国际上是由国际信息系统审计与控制协会(ISsAcA)管理,有一套正在逐步完善的国际通用的标准规范,在我国正在开展实践和研究。二者的具体内涵和技术含量等方面都有明显的不同,二者不可相互替代,是两个行业,但它们又有着紧密的联系。
(1)从规范化信息系统工程建设的管理来看,两者的控制各有侧重,缺一不可;
(2)IT审计是信息系统工程监理的延伸,监理大量信息系统工程建设的数据积累,为IT审计工作的开展打下了基础,同时IT审计标准,也为信息系统工程监理工作提供了部分量化的参考指标。