信息系统审计与信息系统监理的比较

从第二个方面来看，信息系统审计在审计过程中发现的控制缺陷或漏洞，可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局，并提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视，可以发现从内部看不到的问题。俗话说“不识庐山真面目，只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业，分析其存在的问题及原因，也表现在以科学的态度和创新精神，去设计解决问题的方案。  

第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段，组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。但是，信息化建设是有风险的，据报道，一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查，结果表明，其中68%的项目超过了预定的开发周期，55%的项目其费用超过预算，88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查，报告显示，有30%～50%的客户/服务器项目中途放弃开发。为减少信息化风险，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在企业信息化过程中，帮助企业建立健全内部控制制度，进行系统诊断，根据企业需要，确定信息化的目标和内容，选择合适的软件产品，帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。 

与信息系统审计不同，信息系统监理的作用主要包括： 

第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资，并合理、客观的处理好它们之间的关系。在项目建设全过程中，监理单位依据国家有关法律和相关技术标准，遵循守法、公平、公正、独立的原则，对信息系统建设的过程进行监督和控制，确保质量、安全和有效性的前提下，合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制，就是对承建单位项目控制过程的监督管理。 

第二合理地协调业主单位和建设单位之间的关系，这是监理的一项主要工作。在信息系统工程建设中，很多时候业主单位和承建单位有许多问题存争议，业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价，这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等，保证项目顺利实施。 

2.2 两者业务范围和目的不同 

信息系统工程监理和信息系统审计虽然都有一定的监督作用，但两者业务范围和目的均有所差别。 

首先信息系统工程监理是具有信息系统工程监理资质的单位，接受建设单位的委托，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。 

其次，信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运营维护阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。 

2.3 服务对象不同 

从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息提供者的三方合约，即由鉴证人接受委托或授权，对信息提供者进行审计，并就其提供的信息质量向信息使用人提供鉴证报告。因此审计服务的对象是所有的信息使用者，包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。其关系图如1所示。 

监理服务于建设合同的双方。建设方与承建方签署建设合同后，两者之间的关系是等价交换关系，即承建方要按时交付既定质量等级的工程、开发实物，建设方要按时支付等价的工程款。监理单位接受建设方委托后，作为工程承包合同的洽商者，它所执行的原则是使工程承包合同成为“平等条约”，作为工程承包合同管理和工程款支付的签认者，它所执行的原则是等价交换。因此，监理单位是为双方的利益服务的，而不仅仅为委托方——建设单位服务。其关系图如2所示。 

2.4 工作主体不同 

信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时，称为内部审计，其职责主要是搜集证据，判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时，称为外部审计，其职责重要是关注被审计单位资产的安全、真实、完整。而监理主体只能独立于建设方和承建方，作为外部独立的第三方参与项目建设。 

2.5 方法不同 

审计的方法主要是搜集证据的方法，包括检查、观察、分析性复合、查询及函证等方法，并利用统计技术、计算机技术完成证据的搜集。监理主要是利用项目管理技术，包括成本核算控制、网络图及质量控制方法等实施对工程项目的三控制。 

3 结论与建议  

从以上的比较，笔者认为： 

第一，信息系统审计的作用是无可替代的，信息化过程只有监理是不够的，必须开展审计，这是信息时代的需求。 

电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤——如库存需求计划、购货定单、销售定单、运货通知和现金支出等，通过信息系统被电子化处理时，审查交易数据和评估其完整性及可靠性，对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴(而不是以前的贸易伙伴)交换数据并进行交易时，贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外，从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面，因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统监理所能完成的。 

第二，积极开展我国信息系统审计。 

首先，我们要加大信息系统审计的宣传，让人们了解什么是信息系统审计，为什么要进行信息系统审计。 

其次要大力培养信息系统审计师。开展信息系统审计业务，有两支力量可以挖掘：一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验，在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面，会计师事务所面临竞争，为使市场信服它是执行这种业务的最佳候选人，会计师需要：(1)学习提高技术能力。(2)继续维护他们现有的作为独立的、被信任的第三方的角色。(3)必须将信息技术、网络技术技能融入传统的鉴证业务。(4)必须拓展在系统可靠性、风险确认和影响分析，以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代，交易大部分是由系统自动完成的，人的参与较少，审计轨迹存在较少，在这种条件下，审计必须穿过计算机进行。IT技术人员具备了相应的技术技能：编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等，这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉，缺乏对管理与内部控制认识、评价的经验，缺少审计的理论与技能。因此，IT技术人员从事信息系统审计业务，要补充审计理论知识，学会用审视的目光，从管理控制角度，而非纯技术角度思考问题。 

此外，要尽快形成制度规范，如从事电子商务的企业必须经过审计，上市公司的信息系统必须经过审计等，借鉴注册会计师的经验，对信息系统审计职业的自律规范开展研究，包括资格考试制度、职业道德、执业规范与惩戒等，使我国信息系统审计规范化发展。