所謂信息系統審計是指，審計人員接受委托或授權，收集并評估證據以判斷一個計算機系統（信息系統）是否有效做到保護資產、維護數據完整并最有效率地完成組織目標的活動過程。它既包括信息系統外部審計的鑒證目標——即對被審計單位的信息系統保護資產安全及數據完整的鑒證，又包含內部審計的管理目標——即不僅包括被審計信息系統保護資產安全及數據完整而且包括信息系統的有效性目標。信息系統工程監理，依據信息產業部《信息系統工程監理暫行規定》，是指依法設立且具備相應資質的信息系統工程監理單位，受業主單位委托，依據國家有關法律法規、技術標準和信息系統工程監理合同，對信息系統工程項目實施的監督管理。兩者都可以服務于信息化建設，可以降低信息化投資風險。但目前在信息化建設領域，信息系統審計尚未被人們接受，在國內的推動中一提到審計，大家就認為是只有對會計報表的審計，似乎與IT和信息系統無關，相比較而言，人們更接受信息系統工程監理的概念，有些人甚至認為信息系統工程監理就是信息系統審計。對這兩者認識的模糊，不僅影響到我國信息系統審計業的發展，而且影響到信息時代的市場經濟秩序與國家安全等問題。國外沒有信息系統工程監理的概念，在我國這一概念的提出是借鑒工程建設監理，而信息系統審計是21世紀初從國外介紹到國內的，盡管人們對兩者存在模糊認識，但目前尚未見到系統比較兩者的文章，筆者想通過比較，使人們認識到在信息化建設中，信息系統審計是不可替代與必不可少的，推動我國信息系統審計的發展是信息時代的要求。

1信息系統審計與信息系統工程監理的發展與實踐

1.1信息系統審計。信息系統審計最早稱為計算機審計，是隨著計算機在財務會計領域的應用而產生的，作為傳統財務審計業務的一種輔助工具，對客戶的電子化會計數據進行處理和分析，為財務報表審計人員提供服務。隨著計算機技術應用范圍的不斷擴展，計算機對被審計單位各個業務環節的影響越來越大，計算機審計所關注的內容也從單純的對電子的處理，延伸到對計算機系統的可靠性、安全性進行了解和評價。信息技術的爆炸性發展改變了經濟、社會、文化的結構和運行方式，電子商務、網絡銀行、網絡證券、電子政府等相繼出現，信息資源的作用得到充分發揮。人們的生活、工作越來越依賴信息技術。利用信息技術攻擊對手信息系統，竊取機密，借助網絡非法占有財富，特別是數字化財富等現象也日益增多，擾亂了國家正常的經濟秩序。這讓人們更加關注網絡所傳遞信息的安全、完整、真實，關注產生、處理、傳遞信息的系統本身的安全、可靠、有效，關注企業如何評估其面臨的風險，并如何采取措施預防和監控。

  由于技術的限制等原因，信息的使用者不能自己驗證信息的質量，因此急需有獨立的第三方出面對信息的保密性（Confidentiality）、完整性(Integrity ) 、交易行為的不可否認性（Non –Repudiation）、交易對手的身份驗證（User Authentication）、系統的安全有效等做出鑒證，以合理保護信息使用者的利益。同時，企業在信息化過程中也急需專業人士提供有效控制信息系統風險，提高信息化效益的服務。真正意義上的信息系統審計應運而生。如今的信息系統審計的業務已經超出了為財務報表審計提供服務的范圍，在很多大型會計公司內部，信息系統審計部門已經成為一個獨立的對外提供多種服務的部門。尤其是互聯網和電子商務的興起，更是為信息系統審計業務帶來了無盡的商機。為財務報表審計提供服務只占信息系統審計部門業務內容很小的一部分。與信息安全相關的防火墻審計、災難恢復與業務持續計劃以及ERP相關的新型咨詢業務正在不斷涌現。“未來審計行業和審計技術的發展動力將主要來自于信息系統審計的發展”，這一觀點已經逐漸成為國外會計、審計界的一個共識。

1.2信息系統工程監理。20世紀90年以來，從中央到地方，從政府到企業，紛紛投入了大量的資金從事信息工程建設和信息系統的建設，但這其中真正按進度、質量要求、投資預算完成且用戶（業主）滿意的，只占極少數，不足20%，即便是一些搞得比較好的工程項目，也或多或少地存在一些問題，如項目可行性論證不充分；用戶需求不全面、不準確；用戶要求一變再變、工程進度一拖再拖；甲乙雙方的合同書條文不規范，缺乏可執行性，或存在二義性，出現爭執時，雙方各執一詞、爭執不下；缺少設備、系統監理評測驗收；工程結束后，承包方沒有提交與工程有關的文檔資料，嚴重影響了工程的連續性、繼承性、可擴展性；工程長時間不能投入正常運行、工程款一再拖欠，承建單位也遲遲拿不到工程款，等等。嚴重地影響了信息系統工程項目的質量和進度，不僅損害了合同簽約雙方（建設單位和承建單位）的利益，還給國家和社會造成了許多不應有的損失。

為保障信息系統工程簽約雙方的利益，確保國家信息產業更加健康、有序地發展，“信息系統工程監理”就應運而生了。

信息產業部從2002年起相繼發布了《信息系統工程監理暫行規定》、《信息系統工程監理單位資質管理辦法》和《信息系統工程監理工程師資格管理辦法》。以上規定和管理辦法明確指出了監理范圍和監理內容，監理單位和監理工程師的權利與義務，監理單位資質申請、評審和審批的管理辦法，監理工程師資格取得的管理辦法等。

2信息系統審計與信息系統工程監理的區別

從信息系統審計與信息系統工程監理的概念以及國內外的實踐總結，筆者認為兩者之間的主要區別包括：

2.1作用不同

與財務報表審計相同，信息系統審計的作用也包括：

第一，鑒證作用。信息系統審計的鑒證價值是指通過審計，合理地保證被審計單位信息系統及其處理、產生的信息的真實性、完整性與可靠性，政策遵循的一貫性。在市場經濟條件下，被審計單位輸出的信息數據對該單位的存在與發展及其業務經營活動非常重要，對一些利益相關者而言也非常重要。例如，在電子商務中，交易雙方在虛擬空間進行交易活動，信息的真實性、可靠性、完整性以及雙方聲明的商業政策能否一貫的遵循，直接影響到交易是否順利實現或公平實現。這種情況下，不僅被審計單位自己關注其信息系統對信息資產的安全、完整、真實的作用，同時交易的另一方也非常關心。由于技術、商業機密以及距離上的限制，信息的使用者不可能親自對信息的質量做出審查，因此需要一個可信賴的一方為此提供鑒證。信息系統審計師以其獨立的身份，對被審計單位的信息系統及其輸出的信息進行審計，查出各種錯誤與舞弊，是合理地保證被審計單位信息系統及其處理、產生的信息的真實性、完整性、可靠性以及商業政策遵循的一貫性的重要環節，是維護電子商務時代正常經濟秩序必不可少的重要手段。

第二促進作用。促進價值體現在兩個方面，一是指信息系統審計可以促進被審計單位更有效地融入到社會經濟生活中；二是指審計可以促進被審計單位改進內部控制，加強管理，提高信息系統實現組織目標的效率、效果。

從第一個方面來看，信息系統審計師在完成審計后，出具審計證明，即審計報告，以證明被審計單位信息的真實、完整、可靠。審計師的證明可以增強人們對其信息的信任程度。隨著網絡技術的普及，商業信息的在線和實時披露都是不可扭轉的必然趨勢。信息系統審計師能夠以在線、實時的信息為基礎提供鑒證，對使用信息的所有相關體而言是具有巨大價值的。當然，對投資大眾而言將更有意義。這樣會給被審計單位帶來更多的資金、更多的業務及合作伙伴。同時，信息的使用者也可以借助這些信息，加強被審計單位的管理決策，提高其經濟效益。

從第二個方面來看，信息系統審計在審計過程中發現的控制缺陷或漏洞，可通過審計報告、管理建議書等形式報告給委托人或被審計單位管理當局，并提出解決問題的建議，從而促進被審計單位提高管理水平，提高經濟效益。信息系統審計的一個出發點在于從外部對被審計單位信息系統進行全面的審視，可以發現從內部看不到的問題。俗話說“不識廬山真面目，只緣身在此山中”。信息系統審計師提供的外部審視的價值既表現在用新的思維方式、新的觀點去觀察企業，分析其存在的問題及原因，也表現在以科學的態度和創新精神，去設計解決問題的方案。

第三咨詢作用。信息技術的發展為組織的管理變革提供了技術手段，組織扁平化、工作豐富化等管理變革都要通過信息技術來實現。信息化已是大勢所趨，但是，信息化建設是有風險的，據報道，一家咨詢集團曾對美國24家大型企業開發的客戶/服務器系統進行了調查，結果表明，其中68%的項目超過了預定的開發周期，55%的項目其費用超過預算，88%的項目必須進行系統再設計。另有一家美國著名的調查公司SPR對美英兩國的企業信息系統工程進行了類似的調查，報告顯示，有30%～50%的客戶/服務器項目中途放棄開發。為減少信息化風險，信息系統審計師可憑借其專門知識和實踐經驗，受托或主動服務于被審計單位的管理者或其業務人員，在企業信息化過程中，幫助企業建立健全內部控制制度，進行系統診斷，根據企業需要，確定信息化的目標和內容，選擇合適的軟件產品，幫助企業調整現有的管理架構和流程或修改軟件產品使其更好地服務于管理的需要。

與信息系統審計不同，信息系統工程監理的作用主要包括：

第一監督控制作用。信息系統工程監理可以幫助業主單位更合理的保證工程的質量、進度、投資，并合理、客觀的處理好它們之間的關系。在項目建設全過程中，監理單位依據國家有關法律和相關技術標準，遵循守法、公平、公正、獨立的原則，對信息系統建設的過程進行監督和控制，確保質量、安全和有效性的前提下，合理的安排進度和投資。監理單位是幫助業主單位對工程有關方面控制的再控制，就是對承建單位項目控制過程的監督管理。

第二合理地協調業主單位和建設單位之間的關系，這是監理的一項主要工作。在信息系統工程建設中，很多時候業主單位和承建單位在許多問題上存在爭議，業主單位和承建單位都希望由第三方在工程的立項、設計、實施、驗收、維護等的各個階段的效果都給予公正、恰當、權威的評價，這就需要監理單位來協調和保障這些工作的順利進行。另外還需要協調系統內部關系以及系統外部關系中的非合同因素等，保證項目順利實施。

2.2兩者業務范圍和目的不同

信息系統工程監理和信息系統審計雖然都有一定的監督作用，但兩者業務范圍和目的均有所差別。

首先信息系統工程監理是具有信息系統工程監理資質的單位，接受建設單位的委托，依據國家和本市有關規定、信息系統工程建設標準和工程承建、監理合同，對信息系統工程的質量、進度和投資方面實施監督。主要應用在信息化工程建設階段。而信息系統審計是一個獲取并評價證據，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標，為有效的實現組織戰略目標而采取的一切活動過程都在審計師的業務之內。其業務范圍包括與信息系統有關的所有領域，例如對信息系統的戰略規劃與組織的審計（主要集中在信息系統的戰略規劃、業務流程重組、信息系統的策略和流程、組織結構和職責等方面）；技術基礎平臺建設的審計（包括信息系統硬件、信息系統軟件、信息系統網絡及通信技術基礎平臺）；應用系統建設審計（包括系統開發方法、系統開發工具、系統開發過程、項目管理等）；信息系統管理和運營審計（包括信息系統管理和運營審計等）；風險管理與應用控制審計（包括輸入控制、輸出控制、處理控制等）；信息系統是否符合國家或國際標準的審計以及網譽審計、電子簽名審計等。

其次，信息系統工程監理的目的是保證工程建設質量、進度和投資額滿足建設要求。監理活動隨著工程的完成而結束。監理關注的是項目建設的質量、成本和進度。信息系統審計的目的是合理保證信息系統能夠保護資產的安全、數據的完整、系統有效地實現組織目標并有效率的利用組織資源，其關注的核心是資產保護與信息系統的效率、效果。不僅包括對建設過程的審計，更重要的是對信息系統的運營審計，向公眾出具審計報告，鑒證信息系統能否保護企業資產安全，其產生、傳遞的信息是否完整，整個系統是否有效地實現組織目標并有效率的利用組織資源。只要信息系統在運行，審計活動一直存在。另外，信息系統工程監理的過程是可見的，即對項目成本、進度和質量與目標出現的偏差是可見的，及時糾正也方便。但信息系統審計對信息系統的安全性、可靠性與有效性的認定具有不可見性，這也正是信息系統比工程項目復雜的主要原因。信息系統建設完畢，這僅僅是信息化的開始，我國信息化建設中若干失敗的案例，并不是信息系統沒有建設好，往往是在運營維護時期出了問題。因此，從這個角度而言，信息系統審計是保證信息系統質量的行之有效的方法。

2.3服務對象不同

從審計定義我們可以知道審計鑒證服務是鑒證人、信息使用者和信息提供者的三方合約，即由鑒證人接受委托或授權，對信息提供者進行審計，并就其提供的信息質量向信息使用人提供鑒證報告。因此審計服務的對象是所有的信息使用者，包括被審計單位的股東、債權人、管理當局、政府機構和一般社會公眾。其關系圖如1所示。

監理服務于建設合同的雙方。建設單位與承建單位簽署建設合同后，兩者之間的關系是等價交換關系，即承建單位要按時交付既定質量等級的工程、開發實物，建設單位要按時支付等價的工程款。監理單位接受建設單位委托后，作為工程承包合同的洽商者，它所執行的原則是使工程承包合同成為“平等條約”，作為工程承包合同管理和工程款支付的簽認者，它所執行的原則是等價交換。因此，監理單位是為雙方的利益服務的，而不僅僅為委托方——建設單位服務。其關系圖如2所示。

2.4工作主體不同

信息系統審計主體包括內部審計主體與外部審計主體。當審計人員是被審計單位的組成部分時，稱為內部審計，其職責主要是搜集證據，判斷系統的有效性以及利用資源的效率。當審計人員獨立于被審計單位時，稱為外部審計，其職責重要是關注被審計單位信息資產的安全、真實、完整。而監理主體只能獨立于建設單位和承建單位，作為外部獨立的第三方參與項目建設。

2.5方法不同

審計的方法主要是搜集證據的方法，包括檢查、觀察、分析性復合、查詢及函證等方法，并利用統計技術、計算機技術完成證據的搜集與評價。監理主要是利用項目管理技術，包括成本核算控制、網絡圖及質量控制方法等實施對工程項目的“三控兩管一協調”。

3 結論與建議

從以上的比較，筆者認為：

第一，信息系統審計的作用是無可替代的，信息化過程只有監理是不夠的，必須開展審計，這是信息時代的需求。

電子商務以及傳統價值鏈向以客戶為中心的價值鏈的轉變改變了審計師所從事的傳統鑒證業務。供應鏈管理中的各種過程和步驟——如庫存需求計劃、購貨定單、銷售定單、運貨通知和現金支出等，通過信息系統被電子化處理時，審查交易數據和評估其完整性及可靠性，對交易數據進行實時控制成為必要。當企業開始與新的貿易伙伴（而不是以前的貿易伙伴）交換數據并進行交易時，貿易伙伴及其交易處理系統的可靠性必須得到評估。審計師可能還需要評價客戶的交易伙伴的可靠性和誠信度。此外，從事電子商務的公司必須將其內部控制擴展到交易處理系統的各個方面，因為該系統與包括貿易伙伴在內的其他系統有著密切的聯系。電子商務系統的內部控制評估和風險管理也離不開信息系統審計。所有這些都不是信息系統工程監理所能完成的。

第二，積極開展我國信息系統審計。

首先，我們要加大信息系統審計的宣傳，讓人們了解什么是信息系統審計，為什么要進行信息系統審計。

其次要大力培養信息系統審計師。開展信息系統審計業務，有兩支力量可以挖掘：一是傳統的審計師。注冊會計師在執行傳統的財務報表鑒證業務方面具有長久不衰的聲譽和經驗，在經營慣例、交易處理的完整性、信息保護、內部控制的評價與建議方面一直都是注冊會計師的專長。在提供信息系統及電子數據質量的鑒證與咨詢服務方面，會計師事務所面臨競爭，為使市場信服它是執行這種業務的最佳候選人，會計師需要：（1）學習提高技術能力。（2）繼續維護他們現有的作為獨立的、被信任的第三方的角色。（3）必須將信息技術、網絡技術技能融入傳統的鑒證業務。（4）必須拓展在系統可靠性、風險確認和影響分析，以及網站認證方面的業務。二是從事信息化咨詢的IT技術人員。在電子商務時代，交易大部分是由系統自動完成的，人的參與較少，審計軌跡存在較少，在這種條件下，審計必須穿過信息系統進行。IT技術人員具備了相應的技術技能：編程知識、系統運營、網絡技術、認證技術、防火墻技術及其他安全技術等，這對于發現被審計信息系統及其控制的缺陷等相對較容易。但他們在鑒證市場還缺乏會計師事務所的獨立、客觀、公正的信譽，缺乏對管理與內部控制認識、評價的經驗，缺少審計的理論與技能。因此，IT技術人員從事信息系統審計業務，要補充審計理論知識，學會用審視的目光，關注信息技術的效益，從管理控制角度，而非純技術角度思考問題。

此外，要盡快形成行業管理制度規范，如從事電子商務的企業必須經過審計、上市公司的信息系統必須經過審計、網上銀行要審計等，借鑒會計師業的經驗，對信息系統審計職業的自律規范開展研究，包括資格考試制度、職業道德、執業規范與懲戒等，使我國信息系統審計事業在健康規范的軌道上快速發展。