探索中国CIO人才现状 | 第四季调研报告
信息系统工程监理与IT审计的主要内容
2014-02-11  作者:e--works 

  信息系统工程监理业务内容一般包括项目的质量控制、进度控制、投资控制、变更控制、信息安全管理、知识产权管理,合同管理管理、信息管理,对项目的组织协调。根据我国信息系统工程监理实践,信息系统工程监理首要任务要确定质量、进度和投资额等建设目标,然后在项目实施过程中跟踪纠偏,有以下几个方面内容:

  (1)质量控制主要是通过质量控制点在监理各个阶段进行控制。如招投标及准备阶段的主要质量控制点:项目建议书的审查、可行性研究报告的审查、承建单位技术资质的审核、承建单位提供的各类设计实施方案的审查;设计阶段的质量控制点:主要是项目总体方案的质量控制,包括工程总体技术方案、承包商提交的《项目计划》、工程质量保证计划和项目质量控制体系、工程进度计划等;实施阶段的质量控制点:督促承建单位完善工序控制、协助业主对严重质量隐患和质量问题进行处理、工程款支付签署质量认证等;验收阶段的质量控制点:验收资料准备、验收程序、验收内容等。

  (2)进度目标控制是通过一系列手段,运用运筹学、网络计划等措施,使工程项目建设工期控制在项目计划工期以内。

  (3)投资目标控制通过组织、技术、经济合同措施,分析项目实际投资不超过项目计划投资,主要是通过核实设备价格、审核修改设计和设计变更等手段加以控制。

  (4)变更控制通过建立一个完整的变更控制系统,对变更进行有效的风险预测分析和有效监管。通常的变更有:需求变更、成本变更、合同变更等。

  (5)信息安全管理主要是通过对信息系统方案设计进行审核、对设备选型进行把关和在实施过程中严格进行工程质量控制等措施,确保信息系统工程符合业主对信息安全的要求和国家相关信息安全规范。

  (6)知识产权保护控制贯穿于整个项目的全过程,包括工程方案设计、设备选型、设备采购、软件开发等,信息系统工程监理工程师应按照国家有关知识产权保护的规定严格要求信息系统工程建设各方遵照执行。

  (7)合同管理是手段,它是进行目标控制的有效工具。因此,合同管理必然是贯穿于监理活动的始终。

  (8)信息管理包括文档管理在内也是做好监理的一项有效的工具,它是实现控制目标的基本前提。

  (9)项目的组织协调是建设项目的一项重要内容,内容包括:人际关系、组织关系、资源供求、信息交换等方面。

  IT审计业务内容包括计算机资源管理审计、硬件软件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计、安全审计等。根据国外IT审计实践资料及国内相关着作文献,IT审计有以下几个方面内容:

  (1)信息系统的管理、规划与组织:评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

  (2)信息技术基础设施与操作实务:评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。

  (3)资产的保护:对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

  (4)灾难恢复与业务持续计划:这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。

  (5)应用系统开发、获得、实施与维护:对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。

  (6)业务流程评价与风险管理:评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。