it信息系统监理规范-盘古文库

it信息系统监理规范

资料大全

来源：文库

作者：开心麻花

2025-09-18

it信息系统监理规范（精选6篇）

it信息系统监理规范第1篇

环境信息项目也需要IT监理-苏州市数字环保项目引进IT监理

通过对苏州市数字环保项目第一次引进IT监理的背景、必要性,以及项目全过程中IT监理的`分阶段作用方面进行相应的阐述,说明了环境信息项目非常需要IT监理.IT监理能更好、更快地扶持业主达到项目的预定目标.

作者：沈艺 SHEN Yi 作者单位：苏州市环境监测中心站,江苏,苏州,215004 刊名：污染防治技术英文刊名：POLLUTION CONTROL TECHNOLOGY 年，卷(期)：2009 22(6) 分类号：X328 关键词：数字环保环境信息项目 IT监理

★ 监理项目年终工作总结

★ 项目监理年终总结

★ 高速公路工程安全监理会议纪要

★ 高速公路工程监理实习报告

★ 环境监理年终个人总结

★ 项目监理个人年终工作总结

★ 项目监理求职简历

★ 项目监理的辞职报告

★ 可行性项目研究范文

★ 研究项目建议书范文

it信息系统监理规范第2篇

运维管理规范--------------4 1.目的------------------------4 2.适用范围------------------4 3.规范性引用及参考-----4 4.本文术语，定义和缩略语---------------------------5 5.基本要求------------------6

5.1运维管理原则-----6 5.2制度和流程管理6 5.5供应商管理--------7 5.6督促检查-----------7 6.运行维护------------------8

6.1日常操作及监控分析--------------------------8 6.2 数据与介质管理-8 6.3机房管理-----------9 6.4 网络管理----------9 6.5 弱电管理---------10 6.6桌面维护----------10 6.7服务器及系统变更----------------------------11

6.8 配置管理---------12 6.9 事件与问题管理 12 7.应急管理-----------------12

7.1应急准备----------12 7.2应急处置----------13

运维管理规范

1.目的

为规范公司运维工作，使相关工作具有持续改善及相互协作性，同时加强计算机设备的管理及维护，确保维修工作的及时性，降低计算机设备的报修率，实现业务与技术的融合，将业务部门与IT 部门紧密结合在一起，根据公司管理要求及计算机应用的需要，由运维部制定。

2.适用范围

本规范规定了运维管理工作的要求。

本规范适用于维信理财集团(中国)总部，包括全国各分部及门店。

3.规范性引用及参考

◆ IT 服务管理国际标准ISO/IEC 20000 ◆ 企业获得ISO/IEC 20000认证的权威指南 ◆ 全球著名IT 服务管理书库（ITSM Library）◆ IT 服务质量管理原则

◆ 理解ISO/IEC 20000在IT 服务中的地位 ◆ ISO/IEC 20000规范和实践准则 ◆ IT 服务管理国际标准ISO/IEC 20000 ◆ GB/T 20269—2006 信息安全技术信息系统安全管理要求

◆ ISO 31000:2009 风险管理原则和指南（Risk management--Principles and guidelines）

◆ JR-T 0060—2010 金融信息系统安全等级保护基本要求 ◆ JR/T 0074-2012 金融IT 服务管理基本规范 ◆ 中国金融标准化报告（2011）

4.本文术语，定义和缩略语

1、IT： Information Technology 信息技术

2、DNS： Domain Name Service 域名服务

3、DHCP： Dynamic Host Configuration Protocol 动态主机配置协议

4、VPN： Virtual Private Network 虚拟专用网

5、OA： Office Automation 办公自动化系统

6、ISO： International Organization for Standardization 国际标准化组织编订日期：30.7.2014 批准日期: 生效日期：

7、故障： IT设备或系统丧失规定的功能，导致服务中断或降质，或对正常运行造成潜在威胁。

8、异常： IT设备或系统的状态发生超出预期的变化或性能指标参数超出正常范围，有可能引发或已经引发故障，需要引起运维人员关注或处理。

9、资料： IT设备或系统的运行记录，包括IT 设备或系统的配置、故障历史记录、软硬件扩容或调整记录、权限变更申请记录等。

10、运行维护：本规范中的运行维护包括IT 基础设施维护、IT 应用系统运维维护、安全管理、网络接入、内容信息以及综合管理等。

5.基本要求

5.1运维管理原则

公司按集中与分散相结合的原则，设立机房、各部门配备电脑。计算机系统本着“总体规划、分步建设”的方式实施建立。

计算机系统建设应综合考虑成本、费用、效率、效果、先进性及适用性，选择最优技术、经济方案。

5.2制度和流程管理

运维管理制度应包括但不限于机房管理、网络与系统管理、数据和介质管理、配置管理、安全管理、监控管理、文档管理、设备和软件管理、供应商管理等制度。

运维操作流程应包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程。

5.3 文档管理

对运维过程中涉及的各类文档进行管理，可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类，并妥善保存。5.3.2 对文档的版本应当进行控制。

文档在使用时应能读取、使用较新版本，防止作废文件的逾期使用。

5.4设备和软件管理

建立计算机相关设备和软件管理制度，对设备和软件的使用、安装、维修（升级）等进行规范。明确设备和软件管理责任人。对设备进行标识，标识应放在设备明显位置。

规定设备和软件的使用年限，定期进行盘点，并对设备状态进行评估和更新。

对外送设备的维修进行严格管理，防止数据泄露。

对拟下线和拟报废设备的存储介质中的全部信息进行清除或销毁。对正式下线设备和软件交指定部门统一管理、保存或处置，并保留相应记录。设备和软件报废应符合公司现行资产管理规定。

5.5供应商管理

对供应商支持运维服务的相关活动进行统一管理。

在与供应商签订的合同中明确其应承担的责任、义务，并约定服务要求和范围等内容。

应定期收集、更新供应商信息，组织对供应商的服务质量、履约情况、人员工作情况等内容进行评价，并跟踪和记录供应商改进情况。加强运维外包服务管理，主要包括：

a)明确外包公司应当承担的责任及追究方式；

b)明确界定外包人员的工作职责、活动范围、操作权限； c)对外包人员工作情况进行监督和检查，并留存相应记录； d)对驻场外包人员的入场和离场进行管理； e)定期评估外包的服务质量； f)制定外包服务意外终止的应急措施。

5.6督促检查

定期检查审计，对运维制度的执行情况和运维工作开展情况定期进行检查和审计，以督促运维工作持续改进。

指定人员负责对日常操作执行情况进行检查，确保运维管理制度和操作流程的有效执行。对检查和审计结果采取纠正、预防措施。

6.运行维护

6.1日常操作及监控分析

未经许可，任何人不得随便使用电脑及相关设备。不得更换电脑硬件和软件，拒绝使用来历不明的软件和移动设备。

电脑发生故障时，使用者作简易处理仍不能排除的，应立即报告IT，非专业管理人员不得擅自拆开机箱或调换设备配件。

计算机及其相关设备的报废需经过IT 部门或专职人员鉴定，确认不符合使用要求后方可申请报废。

运维应采取各种监控措施，配备视频、语音、系统监控和报警工具，对影响信息系统正常运行的关键对象，包括机房环境、网络、通信线路、主机、存储、数据库、核心交易业务相关的应用系统、安全设备等进行监控。

主要监控指标具体如下：

a)机房：电力状态、空调运行状态、消防设施状态、温湿度、漏水、人员及设备进出等；

b)网络与通信：设备运行状态、中央处理器使用率、通信连接状态、网络流量、核心节点间网络

延时、丢包率等；

c)主机：设备运行状态、中央处理器使用率、内存利用率、磁盘空间利用率、通信端口状态等；

d)存储：设备运行状态、数据交换延时、存储电池状态等；

e)安全设备：设备运行状态、中央处理器使用率、内存利用率、端口状态、数据流量、并发连接数、安全事件记录情况等；

6.2 数据与介质管理

配合数据应用部，对核心业务数据进行周备份，并每季度进行恢复性测试。

对设备和人员出入进行管理。进入机房应限制和监控其活动范围，并有专人陪同；未经批准不得接入生产环境。

6.3机房管理

对机房环境、供电、空调、消防、安防等基础设施的运行维护、设备和人员出入、机房工作人员等进行规范管理。

应指定机房管理负责人。确保机房环境整洁和安全，包括：

a)应定期检查防水、防雷、防火、防潮、防尘、防鼠、防静电等措施的有效性；

b)应保持机房环境卫生，设备摆放合理，归类； c)不得随意出入机房。

d)未经审批不得接入其它用电设备。

6.4 网络管理

确保网络、系统的正常运行。网络管理应包括： a)绘制网络拓扑图，并保持更新；

b)应保持网络设备的可用性，及时维修、更换故障设备； c)应负责网络系统的参数配置、调优； d)应定期对系统容量进行检查和评估；

e)应定期检查网络设备的用户、口令及权限设置的正确性；

f)应定期对整个网络连接进行检查，确保所有交换机端口处于受控状态； g)应对网络信息点进行管理，编制信息点使用表，并及时维护和更新，确保与实际情况一致。计

算机网络跳线应整齐干净，跳线标识清晰；

h)应制定网络访问控制策略，应合理设置网络隔离设施上的访问控制列表，关闭与业务无关的端口；编制文档并保持更新；访问控制策略的变更应履行审批手续。

权限管理应包括如下要求：

a)权限分配应履行审批手续，权限设置后应复核； b)应按照最小安全访问原则分配用户权限； c)应在用户账户变化时，同时变更或撤销其权限； d)应定期检查权限设置的有效性。

6.5 弱电管理

严格按图纸施工，在保证系统功能质量的前提下，提高工艺标准要求，确保施工质量。质量检查制度，现场管理人员将定期进行质量检查并贯穿到整个施工过程中。统运行验收：当设备安装完毕并调试运行无误后，由公司派现场调试人员进行系统联调，并向上级汇报调试结果。运维对弱电设备的综合管理，包括技术资料、档案的收集。同时，每月一次对弱电设备运行状况进行检查，并及时处理汇报问题。

6.6桌面维护

日常数据注意事项：

a.个人文件（Excel、Word、PDF 等）建议员工不要存放在系统盘（通常为C 盘），可以存放在其它盘符。

b.工程师可通过多种方式或途径来告知员工如何进行日常文件的备份，如：口述、邮件、培训等。

c.未经许可，禁止使用U 盘，移动硬盘，手机或其它外设，如：网盘、邮箱等，盗取公司内部文件。

重装系统前注意事项：

a.询问用户有哪些相关数据需要备份，如桌面、我的文档、收藏夹、邮件等。b.用户Email 的备份：如客户端为Outlook 则导出相关OST 或PST 文件；硬件损坏需更换或维修时，运维人员进行测试，明确是否真实异常，不可随意更换。

关于账号、权限、密码

a.必须严格按照公司制定的IT 策略进行管理，不可私自制定规范。b.禁止私自把个人管理员权限借给他人或告知他人。

c.禁止为他人开设规定以外的权限，如：本地管理员、其他部门目录访问权限、上网权限、电话权限等。

d.更改任何类型用户权限时需得到相关审批层级确认才可执行。e.如电脑无特殊应用需求，则一律为“user”普通权限。

f.人员离职时，总部和分部应及时通过OA 确认，删除离职人员的相关账号与信息。

g.妥善保管自己所知的密码。

6.7服务器及系统变更

不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备，使用上述设备前一定要先做好病毒检测；不得利用服务器从事工作以外的事情，无工作需要不得擅自拆卸服务器零部件，严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据；不得故意破坏服务器系统；不得擅自修改服务器系统时间。

使用空闲主机，对服务器系统补丁进行升级测试，运行平稳后，各服务器升级安装补丁，弥补系统漏洞；为服务器系统做好病毒及木马的实时监测，及时升级病毒库。

管理员对管理员账户与口令严格保密、重要数据库，网站，APP 等服务器由研发配合定期修改密码，以保证系统安全，防止对系统的非法入侵。

任何无关人员不得擅自进入主机房，需要进入的须征得服务器管理人员同意。应注意保护机房内的设备和物品，未经允许的非管理人员不得擅自操作机房内设备。

严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房，机房内严禁吸咽。除管理员外，任何人不得随意改动服务器内系统及环境配置。

除系统管理员或授权参加系统管理的人员外，任何用户不得以任何方式获取（或企图获取）超级用户权限。

6.8 配置管理

明确配置管理负责人。

建立配置文档库，对服务器、存储、网络、安全设备，操作系统、应用软件、数据库等进行管理。

定期对配置进行备份及文档库归类。

及时检查并定期审计，对发现的不一致情况及时纠正修改。

6.9 事件与问题管理

对运维事件的处理进行规范，对发生的所有事件，根据事件的影响程度和影响范围评估事件处理优先级并及时处理。

对所有事件响应、处理、结束等过程进行跟踪、监督及检查。对问题进行分析、提出解决方案，通过变更管理审批后部署实施。

7.应急管理

7.1应急准备

明确网络、系统等事件的应急指挥决策机制，负责网络与系统事件的预防预警、应急处置、报告和调查处理工作。

网络与系统应急管理应遵循“谁主管谁负责、谁运行谁负责”、“统一指挥、密

切协同；注重预防、减少风险；科学处置、及时报告；以人为本、公平优先”的原则。

应急准备应符合如下要求：

a)系统管理员、网络管理员、安全管理员等关键岗位应熟练掌握应急预案，能有效处置相关事件；

b)在自身力量不足以满足应急要求的情况下，应与相关供应商签署服务保障协议。协议内容应包

括双方联系人、联系方式、服务内容及范围、应急处理方式等。应定期检查和评估协议的执行情况，确保服务保障措施落实到位，确保在应急处置中相关单位能提供及时有效的技术支持；

c)应建立有效的应急通讯联络系统，确保信息畅通；

7.2应急处置

在发生网络与系统事件后，迅速采取应急措施，尽快恢复信息系统正常运行，如有重要情况应及时上报。

it信息系统监理规范第3篇

中国矿山井下低压配电系统广泛采用IT系统接地型式[1]。从人身触电防护的角度来看,该系统相比TN系统和TT系统更为安全。然而,长期以来人们对IT系统接地技术在理解和应用上还存在些许偏差。本文首先从IT系统的第一次接地故障原理着手,讨论接地故障电流及其与接触电压的关系,以期纠正GB 50070—2009《矿山电力设计规范》中的错误概念;其次通过比较IT系统与TN系统发生触电时的情况,定量分析井下采用IT接地系统的优势。

1 IT系统第一次接地故障原理

IT系统的配电源中性点不接地或经高阻抗接地,而电气设备外露可导电部分接地。图1为经高阻抗接地的IT系统典型原理,其中点划线表示IT系统内发生第一次接地故障时故障电流的路径。假设电源中性点的接地阻抗Zct=1 500Ω,外露可导电部分的接地极与保护导体PE线电阻之和RnA=5Ω。当发生第一次某一相接地故障时,经过接地故障点存在2个接地电流:Id1,它是与故障相电压同相的电阻性电流,由故障相经接地故障点及外壳接地线,再经过Zct构成回路,该电流不流过RnA;Id2, 它是超前相电压90°的电容电流,由故障相经接地故障点及外壳接地线,再经过RnA、非故障相电缆和大地之间的电容构成回路,该电流不流过Zct。接触电压Uf=Id2RnA,正常环境下Uf≤50V是安全的, 在井下则规定为Uf≤36V。线路越长,线路电容越大,Id2越大,Uf越高;RnA越小,Uf越低。因此,Zct对Uf 实际上没有影响,误把Id1当成Id2与RnA相乘求得Uf是不恰当的。如果Id1=0,该系统便转换为中性点绝缘系统。

图1 经高阻抗接地的IT 系统典型原理

2 GB 50070—2009第4.1.3条探讨

GB 50070—2009第4.1.3条规定:井下低压配电系统接地型式应采用IT系统,配电系统电源端的带电部分应不接地或经高阻抗接地,且配电系统相导体和外露可导电部分之间第一次出现阻抗可忽略的故障时,故障电流不应大于5A。

其中“故障电流不应大于5A”的依据最早来自YS 5030—1996《有色金属矿山电力设计规范》第3.1.3条规定的条文说明。该条文解释大概含义:低压配电网在采用不接地方式时有2种情况发生,一是当采用常规检漏继电器进行接地保护时,由于井下潮湿,继电器经常处于动作状态,所以现场常装而不用,造成无接地保护状态;二是新的绝缘监测装置处于试用阶段且成本高,不利于推广。因此,考虑借鉴国外的经电阻接地方式。低压配电网中性点经电阻接地是在配电变压器的中性点接入适当的电阻器,限制其发生单相接地的接地电流为一较小值(如可不超过5A)。将单相故障电流限制到5A,是为了保证井下的人身安全。因为即使井下接地电阻增大到4Ω时,对地电压为接地故障电流5A与接地电阻4Ω的乘积,其数值等于20V,也是相当安全的[2]。从上述条文解释中可看出,YS 5030—1996是用电阻性电流Id1与变压器中性点接地电阻的乘积来考量接触电压Uf的大小,从而判断影响人体安全的程度。

根据GB 16895.21—2011/IEC 60364-4-41: 2005《低压电气装置第4-41部分:安全防护电击防护》的规定,IT系统带电部分必须是对地绝缘或通过高阻抗接地,即变压器中性点不接地或经大于1 000Ω以上的高阻抗接地;外露可导电部分的接地电阻无论采用何种接地型式,都应满足RnAId2≤50V的条件[3]。按照GB 50070—2009的规定,在井下接触电压小于等于36V,井下接地电阻不应大于2Ω。若取RnA=2Ω,RnAId2≤36 V,则Id2≤18A,完全符合IEC 60364-4-41:2005规定,但该取值范围却大于GB 50070—2009第4.1.3条规定的“故障电流不应大于5A”,很显然“故障电流不应大于5A”的规定不是依据IEC 60364-4-41:2005而来的。

若要求故障电流不大于5 A,对于井下380/220V低压电网中性点所连接的接地电阻为46Ω即可,但中性点接46Ω的电阻则不能称之为IT系统,只能叫做小电阻接地系统。采用小电阻接地系统的目的是为了保证漏电保护装置的可靠动作,而与接触电压Uf无关。IT系统应满足的2个条件:一是电源中性点不接地或经高阻抗接地;二是保证接地电容电流与保护阻抗的乘积不大于接触电压。而对于IT系统中保护阻抗和电容电流的大小不做规定。实际在井下IT系统中,电容电流Id2达不到18A,即使是5A也很难达到。因此,“故障电流不应大于5A”的规定是没有必要的。

3 基于IT和 TN 系统的触电计算与分析

3.1 IT 系统泄漏阻抗计算

在IT系统中每相对地都存在泄漏电阻和泄漏电容,一般1km长的电缆每相泄漏电阻R1=R2= R3=10MΩ,每相泄漏电容C1=C2=C3=0.6μF。当电源频率f =50 Hz时,角频率ω =2πf≈314rad/s。由1/Req=1/R1+1/R2+1/R3可得1km长电缆的等效电阻Req≈3.33 MΩ,等效电容C=C1=C2=C3=0.6μF,等效容抗Xeq=1/3Cω≈1 769Ω,等效阻抗Zeq为等效电阻与等效容抗的并联,由于等效电阻远远大于等效容抗,所以工程计算时可忽略等效电阻,即等效阻抗Zeq= Xeq = 1 769Ω。

3.2 IT 系统触电分析

利用戴维南定理对IT系统单相接地故障进行等效处理,如图2所示。其中U0为相电压;RN为保护接地电阻;RU为PE保护线电阻;Rf为故障点电阻。故障电流If=U0/(Zeq+RN+RU+Rf)≈U0/ Zeq,接触电压Uf=IfRU,其中U0=220 V,RU= 2Ω。当线路长度为1km时,If=U0/Zeq=220 V/ 1 769Ω≈0.12 A,Uf=IfRU =0.12 A×2Ω= 0.24V;当线路长度为30km时,If=30U0/Zeq= 30×220V/1 769Ω≈3.73 A,Uf=IfRU= 3.73A×2Ω=7.46V。

图2 IT 系统单相接地故障

人体电阻变动范围很大,IEEE Std80—2000《交流变电站接地安全导则》选用人体电阻Rb= 1 000Ω。IT系统出现第一次接地故障时,当人触摸带电金属外壳,加到人体上的接触电压Uf=7.46V (线路长度为30km),远远小于安全电压36V,且流过人体内的电流Ir=Uf/Rb=7.46mA,也远远小于安全电流30 mA,所以当井下采用IT系统发生间接触电时,不会给人身带来伤害,IT系统发生接地故障时仍可持续供电。

一般带电导体都有防护和隔离措施,然而,当防护失效或隔离不当时,不排除直接触电的可能性。当IT系统发生直接触电,线路长度为1km时,加在人体上的电压为[4]

则人体所承受的电流Ib=Ub/Rb=108.3 V/ 1 000Ω≈108mA。

当线路长度为30km时,等效电容C=30×0.6μF=18μF,代入式(1)可得Ub≈219.6V,Ib≈220mA。由此看来IT系统发生直接触电时也是非常危险的。

3.3 TN 系统触电分析

图3为TN系统单相接地故障[5]。当考虑标称相电压U0=220V、线路上有20% 的压降时,间接接触电压Uf=0.8U0/2=88V,间接接触电流Ir= Uf/Rb=88V/1 000Ω=88mA。当发生直接触电事故时,加在人体上的电压Ub=U0=220V,此时人体所承受的电流Ib=Ub/Rb=220V/1 000Ω= 220mA。计算结果表明,TN系统中无论是发生直接触电还是间接触电,其加于人体上的电压和电流均大于安全值。

图3 TN 系统单相接地故障

4 结语

it信息系统监理规范第4篇

整合不应是单一组织的融入，应该是组织的整体能力的变革。

整合之道—整理，合作

成功并购并将其整合，对于企业来讲，会出现一加一大于二的效果。通过并购，将有着某方面专业特长的企业合并到自己的旗下，得到了大量的行业知识与专业人才，以及营销网络、客户群，从而大大增强了核心竞争能力。

并购后企业的整合过程，也是企业学习新知识的过程，这一过程的长短往往决定了企业的整合效果。相对于企业要学习的内容来说，这一过程的时间往往是不够的。如何在短时间内将外来的知识进行消化、吸收、升华，是大多数并购企业所面临的问题。有些企业由于没有时间观念，常常在并购上失去很多应有的资源。有的企业因为一次的失败，宁可重新建设一个新的企业，也不再做并购。事实上，针对于并购来说，企业的出发点与落脚点并不相同。双方企业在收购前，往往会展视自己优秀的一面。而收购后，双方的情况互相敞开，缺点暴露出来了，往往会认为现状与收购目标有了一定的出入，从而出现这样那样的问题。相信每个并购企业都会有这样的困惑。事实上，并购如果是企业获取能力的起因，整合就是企业实际获取的能力。并购企业应当在整合过程中树立合作开放的态度，与被收购方一起集体参与达成共识后，依据共识，强力执行。时时应当告诫整合过程中的双方，互相开放体系，互相融合才是整合之大道。

整合不应是单一组织的融入，应该是组织的整体能力的变革，依据外来组织的实情，有计划、有目的地吸收外来知识与能力，将外来知识通过自己组织的变革，形成自有的核心能力。如果说整合之前的两个企业各有各的业务流程与能力，那么整合之后的企业，应当成为拥有两个企业的共同升华的第三个企业。这一点对于并购企业来说尤为重要，不要认为只是被收购企业消失了，而是收购企业也随着并购整合过程而消失。如果没有这种变化的准备，那么并购后的整合效果会大大折扣，随时可能会出现失败的结果。整合过程不是派一个接收大员，照单全收这么简单，而是要有变革自身的勇气与能力，把收购、整合的过程视为重塑自我的过程。

通过对上述原则的描述，我们可以确认：IT的整合在企业并购和整合过程中必然起着不可替代的作用。IT系统作为企业的信息神经系统，不仅仅覆盖了企业整体供应链和业务流程链，而且对于企业内部知识的保存和有效复制起着重要的作用。对于企业并购后的管理思想、管制体系乃至具体业务的整合，IT系统既是整合目标，也是整合工具。

IT系统的整合目标，会深刻地展示企业文化内容。其整合成功与否，与企业文化的宣贯是否到位是互相联系、互为因果的。

IT整合，文化为先

企业的并购整合，首先要整合双方的企业文化。企业文化是伴随企业成长过程发展起来的，文化的整合有利于企业员工认同组织的变革，了解组织变化的根本目的是为了企业有着更好的发展的前景，避免企业员工冷眼观看企业的变化，无视于企业良好的发展前景，被动地接受整合过程。所以，企业整合的第一步应该将企业的文化按照取优择良的整合后，再将企业文化宣贯到员工的思想当中。良好的企业文化应满足以下几点：

*能够说明企业的远景，让大多数员工相信企业的远景目标是能够实现的，对企业充满信心与自豪感。

*具有可操作性，能够让员工的价值取向与企业的价值取向一致。从而愿意帮助企业成功，实现自我价值。

*让员工有着源源不断的向前发展的动力，一般会以危机意识出现。

*有感染力，能够很快地被企业员工所接受，所运用。

*具有可传播性，能够被员工自觉地传播与运用。

*具有判别性，能够让员工很自然地明白，哪些行为符合公司企业文化，哪些行为与文化相违背。

*具有开放性，能够自觉地向着良性方向完善、发展。

依据以上标准对公司的企业文化进行有选择的整合，将会取得比较好的价值认同效果。实现被收购企业人员思想的转变，从而快速成为企业的一员。认同企业日常事务中的处理方法与处理原则，产生归属感，乐于在企业中成长发展。从而留住人才，留住经验。

目前，IT系统已涵盖企业生产经营的方方面面，是流程化、规范化的企业经营生产运作平台。其运作原则和操作模式，在很大程度上体现了企业文化特色。所以，IT系统的整合目标，会深刻地展示企业文化内容。其整合成功与否，与企业文化的宣贯是否到位是互相联系、互为因果的。

被整合的业务要想真正发展起来，最终要进行以服务业务单元为目的的整合。

IT对于业务单元整合的支撑作用

业务单元的整合，应按照企业自身所处行业的客观情况，通盘考虑、规划，理清各单元之间的从属关系，找出重点业务单元。重点业务单元应该有着良好的发展方向，当前或未来能够给公司带来可观的收益。对于非重点业务考虑是否取消或是中止。避免业务单元重复，或是业务单元从属关系不清，什么业务都做，什么业务都不精。总之，就是本着宁缺勿滥的原则，对自身能力和未来发展有明确的认识。事实上，企业都应该对自己的业务单元有一个明确的认识，这样才能在并购之前了解应该并购哪些业务，并购之后应该如何整合业务单元。根据管理专家的分析，大多数并购未能成功的企业就是在细化业务单元的环节上出现了严重失误，从而导致了整合不彻底，造成资源浪费。表现在业务单元划分不清，什么都做，什么都不精，实际上仅仅进行了单一组织上的整合，而没有进行业务单元级别的规划重组，整合不彻底。

合理按排业务单元的布局，将现在带来收益的业务、未来可能的收益业务进行有效的搭配，依据时间坐标，进行合理的划分，避免业务单元在带来收益时有时间上的空区，从而影响企业的现金流。业务单元的布局遵循A单元后有B补充，B后有C……在收益上有着互补的情况。安全合理地设置业务单元的层级，确保整体企业目标有基层业务单元的支持，阶段性目标能够通过每个业务单元的运作不断地加以实现。这就是通过明确业务单元对企业整体收益所要担负的任务，从而在业务整合时间上有着更优化的安排。

针对重点单元组织重点业务流程的优化，以保证业务流程能够以最佳的方式，对重点业务单元进行强有力的支持。依据业务内容，参照整合双方的经典流程进行合理地划分、优化，实现双方流程的有效整合。企业流程应以业务运作为基础，而不应以权力为依据。应以促进业务单元顺利流转为原则，进行管理流程的变革。以业务单元为依据，减少管理层对于权力的诉求，实现业务的自然变革，是企业业务单元整合的最佳实践，也是整合是否能够顺利进行的重要原则。例如国内某知名IT厂商的收购整合，常常会被作为己方高层安排工作岗位的一种方式。这样做的好处，是留住了企业的人才。缺点是以权力为转移的整合，并不能代替以流程为转移的方式。被整合的业务要想真正发展起来，最终要进行以服务业务单元为目的的整合。这一原则如果不被重视，往往会演变成为变动的整合，要么在经营成果上出现被动，要么在人才流失上体现被动。总之，大多数没有成功整合，或者整合效果不好的企业就是没有正确处理权力与流程之间的关系。

建立完善的业务保障体系，以全员激励做为保证业务单元发展的必要手段。限定企业整合目标日期，保证目标的完成。企业的经营目标是由业务单元实现的，将激励制度与业务单元的发展进行有机的整合，保证业务单元的发展与员工收益提高相一致，从而将战略目标进行管理落地，实现战略目标的细化管理。事实上，对于企业来说，整合是新的变化，又是常规管理。企业应将整获取新能力做为一种常规能力建设，让整合做为日常管理措施之一，而不是特例的工作流程。从而让整合更加自然，让企业成功获取新能力是整合管理的重点。

IT系统是企业的信息流平台，可对上述过程给与有效支撑。在以各分项业务管理系统为基础、BI为高级应用的现代IT系统架构体系中，信息流自下而上地流动、汇总、分析，自上而下地溯源、钻取，都体现了各业务单元的整合、布局对于企业整体战略的支撑性。上述数据的流转、综合、分析，直至决策目标的分解下达，都通过IT系统各模块实现。所以，基于这一系统基础上的数据运行，有可读性、可回溯性、可追查性，是企业并购重组后实现业务单元整合的可靠参考依据。高层的合并报表、中层的执行依据、底层的操作流程均将在此基础上展开。

IT的整合对于企业来说，是尤为艰巨的，需要大量的投入。

IT如何有效整合

在企业并购整合的过程中，IT既是工具，也是整合对象。那么，如何做好IT系统的有效整合呢？IT的整合对于企业来说，是尤为艰巨的。IT的整合需要大量的投入，尤其是，如果业务整合并未达到最佳实践，IT部门往往需要随着整合的深度，不断进行变化、整改，这就导致了IT在整合过程中，启动最早，结束最晚。这就需要留出适当的业务提前量，将IT系统流程适当地调整到业务前期，保证IT服务对于业务的有一定的前瞻性。

◆ IT关键能力的整合

对于企业关键能力达成的促进方面进行有效的保留，不能达成的方面进行相应的升级与提高。

◆ IT系统规划的整合

依照企业战略规划的整合变化，对IT系统的规划进行不断修订，保证系统能够在战略执行过程中，持续不断地提供服务，促进战略目标的实现。

◆ IT基础资料、基本业务、历史数据的整合

对于企业所处行业的关键信息资源进行划分，制定整合过程中的实施方案，重塑企业IT能力。前期可以从打通信息通道，将二者的信息平台进行对接入手，对于应当保留的资料、业务、历史数据，进行平移、备份，或是引入到分析数据库中。便于对信息系统进行整体的分析，保证信息数据能够依照来源、去向进行分析。

◆ IT架构的整合

针对整体IT架构依照整合过程的深入，成立专门的整合管理部门，要求被并购的IT组织的并入，从系统操作性上整合IT架构，使得整体IT结构能够支持新融入的业务。

◆ IT组织的整合

IT组织的整合，要考虑两公司的前期投入。如何利用原有系统，如何在系统中按照SOA规范进行合理的配置，保证各系统的IT投入达到最优。以此为目的对IT组织进行变革，促使IT组织适应IT变化，避免形成IT服务机制与业务运作不相适应的情况，造成IT失真。

总之，并购之后的整合过程，不是简单的一加一等于二的算式，而是要两方组织在思想上高度重视，主动应对变化带来的各种情况，将合并过程转变为管理、业务变革的过程，使得合并后的组织有着更强的生机与活力。

信息系统监理与信息系统审计第5篇

[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较，分析我国信息系统监理面临的新问题、新要求，并介绍美国信息系统审计的实践经验，在此基础上提出对我国信息系统监理事业发展的若干建议。

[关键词]信息系统信息系统监理信息系统审计比较独立性

引言

“信息化带动工业化”是我国长期的重要发展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。

目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入新的阶段，我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，全国将有更多、更大的信息系统建设项目展开。但是，在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。

国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70％。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；对于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

中央领导同志在国家信息化领导小组第一次会议中特别强调：信息化建设一定要讲求效益，不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。

目前，在国内的信息化项目工程建设中，绝大多数用户（业主）无法组织队伍对信息系统建设进行专业化管理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作，建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是，监理介入信息系统在我国还处于一个探索的过程中。

我国加入WTO后，鉴于我国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严重冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去？这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。

信息系统监理

信息系统监理概念

依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的，并取得了有目共睹的显著成效，直接促进了工程监理业的繁荣发展，这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此，回顾建设工程监理的发展，将有助于对信息系统监理的认识。

1988年7月建设部发布了《关于开展建设监理工作的通知》，随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》，使得试点工作有章可循。1989年，根据初步试点取得的经验，建设部制定了《建设监理试行规定》，这是我国第一个比较完备的关于工程建设监理的法规文件，勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》，建设监理法规制度进一步配套完善。1993年，上海市开始了工程设备监理制度的试点工作。1998年，国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求，随后，国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》，在国家发展计划委员会的指导和具体参与下，会同国务院有关部门，在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间，世界银行、国家开发银行等亦曾规定，其贷款的有关项目要有监理公司监理，并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度，监理事业得到持续快速发展，从而积累了一定经验，取得了积极成效。发展至今建立了一套比较完整的监理法规体系，组成了一支规模较大的监理队伍，监理出一批优良的工程项目，监理工作在工程建设中发挥了重要作用，得到了各级领导的支持，得到了社会的普遍认可，正逐步向规范化、制度化、科学化方向迈进

但同时我国工程监理事业经过十多年的发展，虽然取得了一定成绩，但也存在不少问题。如：监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。

2、信息系统监理的发展

目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特别是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨，这既是信息工程用户（业主）的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”—信息系统工程监理的出现。

早在1995年，原电子工业部就出台了《电子工程建设监理规定（试行）》。1996年，深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年，西安协同软件股份有限公司经西安技术监督局和西安市科委批准，获得“计算机管理信息系统工程监理”资质认证，成为国内第一家获此资格的公司。1999年6月，深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》，并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月，深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》，要求“市、区、镇人民政府及其所属部门使用财政性资金（包括预算内资金、预算外资金、事业收入等），投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法（试行）》，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位，实行强制监理。”2002年11月，国家质量监督检验检疫总局公布《设备监理单位资格管理办法》，在该管理办法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准管理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底，监理规范就要完成，经过试用和修改后，将上升为国家标准。2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布《信息系统工程监理暂行规定》，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预示着在我国即将出现一个新的中介服务行业，将很快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。

但我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门（如银行、证券、保险、气象、社保、旅游等）和部分大型企业（如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等）30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中，5%表示听说过，95%表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。

图1监理服务内容重要程度（引自胡敏《市场呼唤项目监理》）

目前，我国还没有一套完善的IT项目监理制度，相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题，大多数用户采用协商解决。以北京城域网项目的监理费为例，其采用了建筑行业的监理服务收费标准（2%10%），支付的服务费占整个项目资金支出的2%。广大用户也反映，项目监理的标准如何才能做到公正、科学，项目监理的工作流程是否也应该规范，如何界定和权衡监理公司、用户、IT厂商三方利益？监理过程中出了问题，该怎么办？，这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他发展很成熟的行业的监理相比，对IT项目的监理要难得多。并且由于信息技术是一个新兴技术，它本身还在不断发展和完善，因此，即使制定出的监理的内容和标准也不能僵化，需要不断地变更和完善。

信息系统监理的基本理论

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。

1、成本控制

成本控制的任务，主要是在建设前期进行可行性研究，协助建设单位正确地进行投资决策；在设计阶段对设计方案、设计标准、总概（预）算进行审查；在建设准备阶段协助确定标底和合同造价；在实施阶段审核设计变更，核实已完成的工程量，进行工程进度款签证和索赔控制；在工程竣工阶段审核工程结算。

2、进度控制

进度控制首先要在建设前期通过周密分析研究确定合理的工期目标，并在实施前将工期要求纳入承包合同；在建设实施期通过运筹学、网络计划技术等科学手段，审查、修改实施组织设计和进度计划，做好协调与监督，排除干扰，使单项工程及其分阶段目标工期逐步实

现，最终保证项目建设总工期的实现。

3、质量控制

质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比，进行设计方案磋商及图纸审核，控制设计变更；在施工前通过审查承建单位资质等；在施工中通过多种控制手段检查监督标准、规范的贯彻；以及通过阶段验收和竣工验收把好质量关等。

3、合同管理

合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施，履行纠纷调解职责的依据，也是实施三大目标控制的出发点和归宿。

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

总之，三控两管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。

信息系统监理的主要业务和依据

1、信息系统监理的主要业务

信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践，其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下：

帮助建设单位做好项目需求分析，协助建设单位选择合适的承建单位；

审定承建单位的开工报告、系统实施方案、施工进度计划；

对项目实施的各个阶段进行有效的监督和控制，帮助建设单位控制工程进度、投资和质量；

审查和处理工程变更；

参与工程质量和其他事故调查；

调解建设单位与承包单位的合同争议，处理索赔、审批工程延期；

组织进行竣工验收测试。

组织建设单位和承建单位完成工程移交。

2、信息系统监理的依据

信息系统监理的依据如下：

国务院颁发的《质量振兴纲要》；

现行国家、各省、市、自治区的有关法律、法规、规定；

国际、国内IT行业质量标准规范；

建设单位和承建单位的合同；

将来还有国家标准，例如《信息化工程监理规范》等。

信息系统监理的程序

图3信息系统监理的程序

信息系统工程监理的特点是全过程监理，主要包括四个阶段的监理工作：招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。

信息系统审计

信息系统审计概念

信息系统审计是全部审计过程的一个部分，信息系统审计（ISaudit）目前还没有固定通用的定义，美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。

信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：

可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？

保密性——系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？

完整性——信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

信息系统审计产生动因及其发展

1、信息系统审计产生动因分析

关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计（计算机审计的范围扩展，最后涵盖整个信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点，建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行控制，无法保证项目的实施成功。所以需要有第三方进行独立审计。

2、信息系统审计在国际上的发展

信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%——50%的速度增加，说明信息系统审计正逐渐受到重视。

美国在计算机进入实用阶段时就开始提出系统审计（SYSTEMAUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活动已有三十多年历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放式标准COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。

3、信息系统审计在国内的发展

目前国内有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。

信息系统审计的理论基础

信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。

如图3所示，信息系统审计是建立在四个理论基础之上的：

传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用，最为重要的是传统审计给信息系统审计带来的控制哲学，即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

行为科学理论。人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。

计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统组件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间？如果是，那么今天网络犯罪产生的社会威胁较以往任何时候都要大。

图4 ：IS审计的理论基础

信息系统审计的基本业务和依据

1、信息系统审计的基本业务

信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容，目前其基本业务如下：

系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革控制委员会提供咨询服务；

主要数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；

支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训；

为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动风险自评估程序的执行；

软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计；

灾难恢复和业务持续计划审计；

对系统运营效能、投资回报率及应用开发测试审计；

系统的安全审计；

网站的信誉审计；

全面控制审计等。

一个信息系统不等同于一台计算机。今天的信息系统是复杂的，由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估，判定安全，才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类：

信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标.资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。

应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

业务流程评价与风险管理——评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

2、信息系统审计的依据

信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。

一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证（CISA）持有者有关职业上及个人的指导规范。

信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权，因此他们承担着业务过程所有方面的全部责任。特别的是，这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具，以方便他们承担责任。其框架包括四大部分：架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制，控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标，每一项IT处理都有5至25个详细控制目标，控制目标使整体架构和详细控制目标密切对应，相互一致。详细控制目标有18种主要来源，涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述，以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。

其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或外部对与电脑系统运作、控制，及电脑、程序、信息的使用情况等有关的规定或要求，对于一向受严格管制的行业，尤其要注意遵守。以国际性银行为例，若因不良备份及复原程序而无法提供适当的服务水准，其公司及员工将受严重处罚。此外，由于对EDP及信息系统的依赖性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。

信息系统审计流程

开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理解特别关注之处，如果有的话，制定日程，解释审计方法。这样的会议有高级经理的参与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似的，在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告，可以大大增加审计的效果。

开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制？是否仍可信赖内部控制？内部控制测试评价控制风险是否提高内部控制的信赖程度？扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否

基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制（ControlBased）演变为基于风险（RiskBased）的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。

基于风险方法来进行审计的步骤是：

编制组织使用的信息系统清单并对其进行分类。

决定哪些系统影响关键功能和资产。

评估哪些风险影响这些系统及对商业运做的冲击。

在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者可以制定审计计划，罗列出一年之中要进行的审计项目。

信息系统监理与信息系统审计之对比分析

从前面两部分的介绍可知，信息系统审计在国际上已经体系化、标准化、程序化，而我国信息系统监理仅有最基本的轮廓，积累了一些经验，但尚没有形成完整的方法论。因此，目前只能从概念、发展动因等方面做较为宽泛的对比。不过，对比国际通用体系，可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。

信息系统监理与信息系统审计之对比，可归纳出以下特点：

两者性质相同，都是第三方监督，但对独立性的要求有差别。

两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。

客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，但是人们很难衡量其在执行业务时是否已经达到了客观公正，如果只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员很难执行，社会公众很难观察，所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的《审计哲学》（ThephilosophyofAuditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitionerindependence)和职业的独立性（Professionindependence）。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯（ThomasGHiggins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。

国外信息系统审计已经发展为较完善的行业监督体系。

目前国内信息系统审计刚刚起步，而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准，至今还没有有效的管理手段，在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力；同样轻易得到的结论，是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中，政府监管是一个重要的辅助措施；而真正起决定性作用的，是市场中的制衡力量，以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。

美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的，行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制，将在很大程度上限制会计行业自主发展的权利和业务拓展空间，损害所有从业者的利益，因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律，公众要求国会加强行政管制的压力使得这种可能性现实存在。

两者业务范围和目的均有所差别。

信息系统工程监理和信息系统审计都是对质量控制的再控制，但两者业务范围和目的均有所差别。

1、两者业务范围差别

信息系统工程监理是指具有信息系统工程监理资质的单位，接受建设单位的委托，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。

2、两者目的差别

信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其核心是信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。

另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运维阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。

所谓科学化，是指现代审计技术与方法的研究，已经超越了传统的经验论，非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核，其实质就是将审计人员掌握的一些客观规律总结出来，测算出被审计事项的合理预期值，再与被审计事项的实际值相比较，进一步评估差异的合理性之后，确定是否还需要对被审计事项进行详细测试。这一个过程，实际上被许多审计人员不自觉地运用了多年，但通过公式和比率等形式总结出来，主动指导审计人员的实践，却是最近２０年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛，抽样统计技术的全面推广就是例证。

所谓规范化，是指审计机构将审计程序设计与审计技术方法的运用有机结合，规范和引导审计人员运用适当的审计技术和方法。以往，审计人员在运用审计技术和方法的过程中容易有较大的随意性，用与不用，在什么时候用，如何使用，都没有规范和约束，导致整个审计机构的标准不统一，质量没有保证。随着程序导向式审计软件平台的开发和广泛运用，越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中，要求并指导审计人员合理运用审计技术。

所谓智能化，强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来，指导审计人员得出合理的审计结论。在审计过程中，数学、统计学的分析结果，都不能完全替代审计人员的专业判断，因为在其利用的数学公式中，仍然有许多变量需要审计人员主观确定。在这种情况下，越来越多的审计机构，倾向于在审计软件中为审计人员的决策提供参考。目前，许多审计机构不惜花巨资，邀请审计领域的专家，分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然，对审计而言，智能化永远都是一个相对的概念，电脑和机器永远不能替代审计人员的决策，但提供决策辅助和参考意见，确实非常必要。

所谓系统化，是指审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决的是要审什么、想达到什么目的，审计技术和方法解决的是怎么审和怎么达到目的，这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近２０多年来审计技术与方法的研究历程，可以清晰地发现，审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展，而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于，审计技术与方法的研究，不能超越基本审计理论和审计目标的研究，也不能脱离审计战略和审计目标的总体要求。

信息系统审计具有较完善的职业教育和认证体系。

国际信息

系

统

审

计

与

控

制

协

会

ISACA（InformationSystemAuditandControlAssociation）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。注册信息系统审计师CISA（CertifiedInformationSystemAuditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来，国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准，并得到了全世界的公认。在世界各地，每年都要举行一次认证考试和若干次后续教育，目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

鉴于信息安全市场的高速增长，最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM，以配合市场对安全人才的巨大需求。

对信息系统监理的建议

目前，我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计，目前在我国的海外咨询足有百余家。随着摩立特集团（我国）公司日前在北京成立，国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆，给国内的咨询包括监理机构带来了巨大的压力，其丰富的案例库、数据库、知识库，数十甚至百年创下的品牌，短时期内本土咨询业与其的差距依然较大。

面对机遇和挑战，如何借鉴国际上先进的经验，推动我国信息系统监理的健康发展，避免其他中介服务行业曾走过的弯路，我们在广泛的理论分析和实证研究的基础上提出如下具体建议：

建立健全的管理体制与法律法规体系，尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。

各级信息化主管部门，在规范政府管理职能的同时（政府部门要避免管的过多、过细，应过多关注整个监理市场的宏观管理和调控），注重加强行业自律管理，避免其他中介服务行业曾出现过的多种问题。例如，个别人凭借权利强行包揽监理业务，采取高回扣等不正当手段，以及为独揽业务，不惜损害其他方和当事人的权益等。

鉴于信息系统工程监理具有专业性强和风险大的特点，建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈，使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

尽快建立信息系统工程监理的标准和执业规范。

推动信息系统工程监理工业的分化整合，探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下，面对国际IT服务咨询业巨头的竞争，我国信息系统工程监理行业刚起步，监理公司如何脱颖而出、迅速成长，参与国内甚至国际信息系统中介服务市场的竞争，将是重中之重的工作。

开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。

执业程序要统一。“四大”发展到今天这样的规模，执业程序的统一是其基石。这些程序历经多年的经验积累而形成，并针对新出现的问题随时加以完善。从某种意义上将，客户对“四大”的统一的执业程序的认同，超过了对其名称品牌的认同。

培训统一。为保证执业程序的统一，首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训，定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门，并将每年收入相当大的比重用于培训。另外，严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。

人事管理在一定范围内统一。建议将监理工程师的级别进行细分，并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式，对于监理机构来说非常重要。