2013-12-30 16:22:28 来源:e-works
近年来,在国内出现了IT审计这一概念,作为独立的第三方,IT审计对信息系统开发、运行及维护等内容进行检查、评价并提交报告,保障信息系统安全性、可靠性、有效性。但令人费解的是,到目前为止在信息化项目中请IT审计的业主却寥寥无几,而即便是有意请人做IT审计,能为之提供IT审计服务的往往又都是一些IT监理公司。
“怪胎”如此形成
山东省计算中心的罗永刚教授讲到:“在国际上,IT审计这套体系已经相当成熟,但从国内来讲,IT审计是一个新事物,相关体系还没有建立,而现在国内炒的比较热乎的是IT监理这个体系。在国际上,审计与咨询和监理地位平等,都是可以作为独立的第三方按照项目的实施进程提供相应服务的,三者的关系并列,各负其责。咨询主要是提供项目的整体规划:监理是为业主提供项目管理而IT审计主要是对系统运行阶段的评估。”但对于中国的信息化建设现状而言,罗永刚认为:“中国的信息化项目在实施过程中,并没有遵循国际标准,而是保持了自己的特色。国内的监理公司一般都将咨询和审计融为一体,在为业主提供服务的时候,或称咨询或称审计。据悉,目前IT监理公司承揽审计业务有两种表现形式,一种是监理公司为业主提供审计、监理一条龙服务,监理公司贯穿于这个项目的始终。一般在这种情况下,监理公司提供的审计服务都是免费的,因为它的目的是通过为业主做免费审计服务,以便得到业主的认可,最终目标是获得项目监理费用。”
对于另外一种形式,北京朋佳科技咨询有限公司总经理钟民认为:“另外一种就是监理公司可以脱离监理业务,单纯地为需要前期咨询的业主提供审计服务,并可单独收费。但是有一个前提很重要,即它必须有国际IT审计的相关认证。据了解,具备这样资质的监理公司还为数不多。”
据悉,很多企业对信息化的认识还停留在认为应用简单OA系统的便是信息化的初级阶段,因此,要求每一个业主都把咨询、监理、审计、评估等名词搞清楚还是有很大难度的。钟民指出,对于今天出现在监理市场中的,监理公司既做咨询和审计又做监理的现象,希望大家不要见怪不怪,要用辩证的眼光去看待他们,因为存在即是合理的。
并非“不务正业”
无论监理公司提供免费审计还是计费审计,难免有人说是监理公司是“不务正业”。钟民强调:对于监理公司的这种行为应该辩证地看,他说:“由于大型信息化工程投资金额大、建设周期长、系统运行风险不可预测等特点,导致业主在实施项目伊始就心惊胆战,唯恐出现差错。因而,寻求IT审计是信息系统的安全性、可靠性和有效性的有力保障。”
国内外IT审计发展对比表
“有人说做IT审计,必须要由专业的IT审计公司来做,这样才有保障。但是就目前的现状而言,为业主提供审计服务的都是一些监理公司,而有些监理公司提供审计的并不是很专业,大多数是为了承揽监理业务而免费提供的午餐,并不见得好吃,往往达不到业主希望的审计要求。”罗永刚发表了自己的看法。
对于有需求做审计的业主来讲,不管是免费的也好,收费的也罢,寻求到货真价实的公司为其做审计才是关键。钟民说“我们公司就是一家集监理、审计于一身的企业。需要说明的是,我们是国际信息系统审计与控制协会(ISACA)会员,拥有为业主做审计的资质,无论是免费还是收费,朋佳公司对所有业主一视同仁。”钟民认为,虽然国际上的IT审计标准已经很成熟,但是简单的拿来主义并不一定适用。因此,朋佳公司结合国际标准创建了一套自己的审计体系,依照此体系先后为北京奥组委中级网站、北京市电子政务网上审批试点工程、北京市新闻出版局网络及信息系统等工程提供审计服务。“北京市新闻出版局网络及信息系统安全的IT审计项目是从2004年7月7日正式启动,2004年7月31日结束。项目结束时朋佳公司向新闻出版局提交了《项目测评计划书》、《安全测评报告》、《安全自定级报告》、《安全建议》等相关成果文档。可见,我们公司的服务是专业的。”钟民对记者如是说。
不难看出,朋佳公司虽然是一家监理公司,但是在IT审计方面也绝不逊色。事实表明,业主方绝不能对提供审计服务的监理公司一概而论,要深入地分析该监理公司是否具有一定的资质?能否为业主提供货真价实的服务?
引入社会专业力量推广
罗永刚并没有否认北京朋佳监理公司在审计方面的突出成绩,但是他认为:监理公司在一个信息化项目中,既做教练员又做裁判员的做法的确是不符合标准的。难免会出现一些职责不清的问题。比如,监理公司为业主做审计,也就是给自己监理的项目做评估,能否做到真正的公正是个疑问。而对于那些系统真正运行几年后才会看到效果的大型项目而言,监理公司的审计就是天方夜谭了,因为监理工作会随着工程的完成而结束。因此,监理公司无法真正起到为项目后期运行中的审计做出评估。其次,对于北京朋佳监理公司这样具有资质做审计的公司来讲,免费给企业做审计未免有些吃亏。做审计不是简单的咨询,在这个过程中要耗费大量的人力、物力,但结果往往是分文未取,或者取得的只是很少的一部分监理费用。
罗永刚坦言:就目前的形势而言,在IT监理与IT审计之间强硬地划出一道分水岭是不现实的。而引进国际IT审计标准又不适合中国市场,因此,建设一套有中国特点、特色的审计体系对信息化建设而言是很有必要的。
钟民也有相同的看法:“信息系统工程涉及投资者大量的资金投入,而其又存在着失败率高、复杂度高、风险大等问题。现在很多政府部门甚至是开发商都在呼吁,希望有人能为其做一个评估,给大家一个界定和说法。另外从国际发展趋势来看,未来的审计行业和审计技术的发展动力将主要来自于IT审计的发展。而依靠政府相关部门来推广IT审计体系可能会心有余而力不从,因此,引入社会专业力量来推广IT审计是个新思路、新亮点。别看我们公司的主体业务是监理,但是在今后我个人更看重咨询和审计,咨询和审计肯定要出彩的。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。