(软考信息系统)信息系统监理与审计我国实践与美国的经验

第一篇：(软考信息系统)信息系统监理与审计我国实践与美国的经验

书山有路勤为径

信息系统监理与审计我国实践与美国的经验

一、引言

“信息化带动工业化”是我国长期的重要发展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。

目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入新的阶段，我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，全国将有更多、更大的信息系统建设项目展开。但是，在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。

国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70％。特别引人深思的是该调查是由美国Harte-Hanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；对于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

中央领导同志在国家信息化领导小组第一次会议中特别强调：信息化建设一定要讲求效益，不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。

目前，在国内的信息化项目工程建设中，绝大多数用户（业主）无法组织队伍对信息系统建设进行专业化管理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作，建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由FROM：及时雨

书山有路勤为径

监理进行工程质量管理的做法。但是，监理介入信息系统在我国还处于一个探索的过程中。

我国加入WTO后，鉴于我国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严重冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去？这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。

二、信息系统监理

（一）信息系统监理概念

依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

（二）信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的，并取得了有目共睹的显著成效，直接促进了工程监理业的繁荣发展，这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此，回顾建设工程监理的发展，将有助于对信息系统监理的认识。

1988年7月建设部发布了《关于开展建设监理工作的通知》，随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》，使得试点工作有章可循。1989年，根据初步试点取得的经验，建设部制定了《建设监理试行规定》，这是我国第一个比较完备的关于工程建设监理的法规文件，勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》，建设监理法规制度进一步配套完善。1993年，上海市开始了工程设备监理制度的试点工作。1998年，国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求，随后，国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》，在国家发展计划委员会的指导和具体参与下，会同国务院有关部门，在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间，世界银行、国家开发银行等亦曾规定，其贷款的有关项目要有监理公司监理，并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度，监理事业得到持续快速发展，从而积累了一定经验，FROM：及时雨

书山有路勤为径

取得了积极成效。发展至今建立了一套比较完整的监理法规体系，组成了一支规模较大的监理队伍，监理出一批优良的工程项目，监理工作在工程建设中发挥了重要作用，得到了各级领导的支持，得到了社会的普遍认可，正逐步向规范化、制度化、科学化方向迈进。

但同时我国工程监理事业经过十多年的发展，虽然取得了一定成绩，但也存在不少问题。如：监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。

2、信息系统监理的发展

目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特别是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨，这既是信息工程用户（业主）的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”-信息系统工程监理的出现。

早在1995年，原电子工业部就出台了《电子工程建设监理规定（试行）》。1996年，深圳市成立了全国第一家信息工程质量监督机构-信息工程质量监督检验总站。1998年，西安协同软件股份有限公司经西安技术监督局和西安市科委批准，获得“计算机管理信息系统工程监理”资质认证，成为国内第一家获此资格的公司。1999年6月，深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》，并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月，深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》，要求“市、区、镇人民政府及其所属部门使用财政性资金（包括预算内资金、预算外资金、事业收入等），投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法（试行）》，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位，实行强制监理。” 2002年11月，国家质量监督检验检疫总局公布《设备监理单位资格管理办法》，在该管理办法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准管理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底，监理规范就要完成，经过试用和修改后，将上升为国家标准。2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布《信息系统工程监理暂行规定》，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预示着在我国即将出现一个新的中介服务行业，将很快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会FROM：及时雨

书山有路勤为径

信息化的“警察”。

但我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门（如银行、证券、保险、气象、社保、旅游等）和部分大型企业（如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等）30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中，5%表示听说过，95%表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。

图1 监理服务内容重要程度（引自胡敏《市场呼唤项目监理》）

目前，我国还没有一套完善的IT项目监理制度，相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题，大多数用户采用协商解决。以北京城域网项目的监理费为例，其采用了建筑行业的监理服务收费标准（2%-10%），支付的服务费占整个项目资金支出的2%。广大用户也反映，项目监理的标准如何才能做到公正、科学，项目监理的工作流程是否也应该规范，如何界定和权衡监理公司、用户、IT厂商三方利益？监理过程中出了问题，该怎么办？，这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他发展很成熟的行业的监理相比，对IT项目的监理要难得多。并且由于信息技术是一个新兴技术，它本身还在不断发展和完善，因此，即使制定出的监理的内容和标准也不能僵化，需要不断地变更和完善。

（三）信息系统监理的基本理论

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理FROM：及时雨

书山有路勤为径

工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。

1、成本控制

成本控制的任务，主要是在建设前期进行可行性研究，协助建设单位正确地进行投资决策；在设计阶段对设计方案、设计标准、总概（预）算进行审查；在建设准备阶段协助确定标底和合同造价；在实施阶段审核设计变更，核实已完成的工程量，进行工程进度款签证和索赔控制；在工程竣工阶段审核工程结算。

2、进度控制

进度控制首先要在建设前期通过周密分析研究确定合理的工期目标，并在实施前将工期要求纳入承包合同；在建设实施期通过运筹学、网络计划技术等科学手段，审查、修改实施组织设计和进度计划，做好协调与监督，排除干扰，使单项工程及其分阶段目标工期逐步实现，最终保证项目建设总工期的实现。

3、质量控制

质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比，进行设计方案磋商及图纸审核，控制设计变更；在施工前通过审查承建单位资质等；在施工中通过多种控制手段检查监督标准、规范的贯彻；以及通过阶段验收和竣工验收把好质量关等。

3、合同管理

合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施，履行纠纷调解职责的依据，也是实施三大目标控制的出发点和归宿。

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

总之，三控两管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和FROM：及时雨

书山有路勤为径

排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。

图2监理内容示意图

FROM：及时雨

书山有路勤为径

（四）信息系统监理的主要业务和依据

1、信息系统监理的主要业务

信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践，其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下：

￠帮助建设单位做好项目需求分析，协助建设单位选择合适的承建单位；

￠审定承建单位的开工报告、系统实施方案、施工进度计划；

￠对项目实施的各个阶段进行有效的监督和控制，帮助建设单位控制工程进度、投资和质量；

￠审查和处理工程变更；

￠参与工程质量和其他事故调查；

￠调解建设单位与承包单位的合同争议，处理索赔、审批工程延期；

￠组织进行竣工验收测试。

￠组织建设单位和承建单位完成工程移交。

2、信息系统监理的依据

信息系统监理的依据如下：

￠国务院颁发的《质量振兴纲要》；

￠现行国家、各省、市、自治区的有关法律、法规、规定；

￠国际、国内IT行业质量标准规范；

￠建设单位和承建单位的合同；

￠将来还有国家标准，例如《信息化工程监理规范》等。

（五）信息系统监理的程序

FROM：及时雨

书山有路勤为径

信息系统工程监理的特点是全过程监理，主要包括四个阶段的监理工作：招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。

三、信息系统审计

（一）信息系统审计概念

信息系统审计是全部审计过程的一个部分，信息系统审计（IS audit）目前还没有固定通用的定义，美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。

信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：

￠可用性--商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？

￠保密性--系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？

￠完整性--信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

（二）信息系统审计产生动因及其发展

1、信息系统审计产生动因分析

关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计（计算机审计的范围扩展，最后涵盖整个信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点，建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行控制，无法保证项目的实施成功。所以需要有第三方进行独立审计。

2、信息系统审计在国际上的发展

书山有路勤为径

识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%--50%的速度增加，说明信息系统审计正逐渐受到重视。

美国在计算机进入实用阶段时就开始提出系统审计（SYSTEM AUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活动已有三十多年历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放式标准COBIT（Control Objectives for Information and Related Technology）已出版了第三版。

3、信息系统审计在国内的发展

目前国内有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号--计算机信息系统环境下的审计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。

（三）信息系统审计的理论基础

信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。

如图3所示，信息系统审计是建立在四个理论基础之上的：

￠传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用，最为重要的是传统审计给信息系统审计带来的控制哲学，即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

FROM：及时雨

书山有路勤为径

￠信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

￠行为科学理论。人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。

￠计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统组件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间？如果是，那么今天网络犯罪产生的社会威胁较以往任何时候都要大。

（四）信息系统审计的基本业务和依据

1、信息系统审计的基本业务

信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容，目前其基本业务如下：

￠系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革控制委员会提供咨询服务；

￠主要数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；

￠支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训；

FROM：及时雨

书山有路勤为径

￠为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动风险自评估程序的执行；

￠软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计；

￠灾难恢复和业务持续计划审计；

￠对系统运营效能、投资回报率及应用开发测试审计；

￠系统的安全审计；

￠网站的信誉审计；

￠全面控制审计等。

一个信息系统不等同于一台计算机。今天的信息系统是复杂的，由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估，判定安全，才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类：

￠信息系统的管理、规划与组织--评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

￠信息系统技术基础设施与操作实务--评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标.￠资产的保护--对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

￠灾难恢复与业务持续计划--这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。

￠应用系统开发、获得、实施与维护--对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

￠业务流程评价与风险管理--评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

2、信息系统审计的依据

信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。

￠一般公认信息系统审计准则--包括职业准则、ISACA公告和职业道德规范。职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信FROM：及时雨

书山有路勤为径

息系统审计认证（CISA）持有者有关职业上及个人的指导规范。

￠信息系统的控制目标--信息系统审计与控制协会在1996年公布的COBIT（Control Objectives for Information and related Technology）被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权，因此他们承担着业务过程所有方面的全部责任。特别的是，这其中包含着要提供足够的控制。Cobit 框架为业务过程所有者提供了一个工具，以方便他们承担责任。其框架包括四大部分：架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制，控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标，每一项IT处理都有5至25个详细控制目标，控制目标使整体架构和详细控制目标密切对应，相互一致。详细控制目标有18种主要来源，涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述，以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。

￠其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或外部对与电脑系统运作、控制，及电脑、程序、信息的使用情况等有关的规定或要求，对于一向受严格管制的行业，尤其要注意遵守。以国际性银行为例，若因不良备份及复原程序而无法提供适当的服务水准，其公司及员工将受严重处罚。此外，由于对EDP及信息系统的依赖性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。

（五）信息系统审计流程

开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理解特别关注之处，如果有的话，制定日程，解释审计方法。这样的会议有高级经理的参与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似的，在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告，可以大大增加审计的效果。

FROM：及时雨

书山有路勤为径

（六）基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制（Control-Based）演变为基于风险（Risk-Based）的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。

基于风险方法来进行审计的步骤是：

￠编制组织使用的信息系统清单并对其进行分类。

FROM：及时雨

书山有路勤为径

￠决定哪些系统影响关键功能和资产。

￠评估哪些风险影响这些系统及对商业运做的冲击。

￠在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者可以制定年度审计计划，罗列出一年之中要进行的审计项目。

四、信息系统监理与信息系统审计之对比分析

从前面两部分的介绍可知，信息系统审计在国际上已经体系化、标准化、程序化，而我国信息系统监理仅有最基本的轮廓，积累了一些经验，但尚没有形成完整的方法论。因此，目前只能从概念、发展动因等方面做较为宽泛的对比。不过，对比国际通用体系，可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。

信息系统监理与信息系统审计之对比，可归纳出以下特点：

（一）两者性质相同，都是第三方监督，但对独立性的要求有差别

两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂--独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。

客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，但是人们很难衡量其在执行业务时是否已经达到了客观公正，如果只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员很难执行，社会公众很难观察，所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的《审计哲学》（The philosophy of Auditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitioner-independence)和职业的独立性（Profession-independence）。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯（Thomas G Higgins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过FROM：及时雨

书山有路勤为径

注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。

（二）国外信息系统审计已经发展为较完善的行业监督体系

目前国内信息系统审计刚刚起步，而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准，至今还没有有效的管理手段，在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力；同样轻易得到的结论，是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中，政府监管是一个重要的辅助措施；而真正起决定性作用的，是市场中的制衡力量，以及为这些制衡力量切实发挥作用而形成的各种正式或非正式的制度安排。

美国注册会计师行业的管理机制--行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的，行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制，将在很大程度上限制会计行业自主发展的权利和业务拓展空间，损害所有从业者的利益，因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律，公众要求国会加强行政管制的压力使得这种可能性现实存在。

（三）两者业务范围和目的均有所差别

信息系统工程监理和信息系统审计都是对质量控制的再控制，但两者业务范围和目的均有所差别。

1、两者业务范围差别

信息系统工程监理是指具有信息系统工程监理资质的单位，接受建设单位的委托，依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同，对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。

FROM：及时雨

书山有路勤为径

2、两者目的差别

信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其核心是信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴证信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。

| 另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运维阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

（四）信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点

所谓科学化，是指现代审计技术与方法的研究，已经超越了传统的经验论，非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核，其实质就是将审计人员掌握的一些客观规律总结出来，测算出被审计事项的合理预期值，再与被审计事项的实际值相比较，进一步评估差异的合理性之后，确定是否还需要对被审计事项进行详细测试。这一个过程，实际上被许多审计人员不自觉地运用了多年，但通过公式和比率等形式总结出来，主动指导审计人员的实践，却是最近２０年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛，抽样统计技术的全面推广就是例证。

所谓规范化，是指审计机构将审计程序设计与审计技术方法的运用有机结合，规范和引导审计人员运用适当的审计技术和方法。以往，审计人员在运用审计技术和方法的过程中容易有较大的随意性，用与不用，在什么时候用，如何使用，都没有规范和约束，导致整个审计机构的标准不统一，质量没有保证。随着程序导向式审计软件平台的开发和广泛运用，越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中，要求并指导审计人员合理运用审计技术。

所谓智能化，强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来，指导审计人员得出合理的审计结论。在审计过程中，数学、统计学的分析结果，都不能完全替代审计人员的专业判断，因为在其利用的数学公式中，仍然有许多变量需要审计人员主观确定。在这种情况下，越来越多的审计机构，倾向于在审计软件中为审计人员的决策提供参考。目前，许多审计机构不惜花巨资，邀请审计领域的专家，分析在各种情况下常见的审计策略或方法以及对FROM：及时雨

书山有路勤为径

不同审计结果的判断标准。当然，对审计而言，智能化永远都是一个相对的概念，电脑和机器永远不能替代审计人员的决策，但提供决策辅助和参考意见，确实非常必要。

所谓系统化，是指审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决的是要审什么、想达到什么目的，审计技术和方法解决的是怎么审和怎么达到目的，这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近２０多年来审计技术与方法的研究历程，可以清晰地发现，审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展，而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于，审计技术与方法的研究，不能超越基本审计理论和审计目标的研究，也不能脱离审计战略和审计目标的总体要求。

（五）信息系统审计具有较完善的职业教育和认证体系

国际信息系统审计与控制协会ISACA（Information System Audit and Control Association）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。注册信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来，国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准，并得到了全世界的公认。在世界各地，每年都要举行一次认证考试和若干次后续教育，目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

鉴于信息安全市场的高速增长，最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM，以配合市场对安全人才的巨大需求。

五、对信息系统监理的建议

目前，我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计，目前在我国的海外咨询足有百余家。随着摩立特集团（我国）公司日前在北京成立，国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆，给国内的咨询包括监理机构带来了巨大的压力，其丰富的案例库、数据库、知识库，数十甚至百年创下的品牌，短时期内本土咨询业与其的差距依然较大。

面对机遇和挑战，如何借鉴国际上先进的经验，推动我国信息系统监理的健康发展，避免其他中介服务行业曾走过的弯路，我们在广泛的理论分析和实证研FROM：及时雨

书山有路勤为径

究的基础上提出如下具体建议：

（一）建立健全的管理体制与法律法规体系，尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。各级信息化主管部门，在规范政府管理职能的同时（政府部门要避免管的过多、过细，应过多关注整个监理市场的宏观管理和调控），注重加强行业自律管理，避免其他中介服务行业曾出现过的多种问题。例如，个别人凭借权利强行包揽监理业务，采取高回扣等不正当手段，以及为独揽业务，不惜损害其他方和当事人的权益等。

（二）鉴于信息系统工程监理具有专业性强和风险大的特点，建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈，使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

（三）尽快建立信息系统工程监理的标准和执业规范。

（四）推动信息系统工程监理工业的分化整合，探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下，面对国际IT服务咨询业巨头的竞争，我国信息系统工程监理行业刚起步，监理公司如何脱颖而出、迅速成长，参与国内甚至国际信息系统中介服务市场的竞争，将是重中之重的工作。

（五）开展信息系统工程监理公司内部管理机制研究。

（六）努力提高信息系统工程监理行业的监理质量，具体需要落实以下方面。

1.执业程序要统一。“四大”发展到今天这样的规模，执业程序的统一是其基石。这些程序历经多年的经验积累而形成，并针对新出现的问题随时加以完善。从某种意义上将，客户对“四大”的统一的执业程序的认同，超过了对其名称品牌的认同。

2.培训统一。为保证执业程序的统一，首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训，定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门，并将每年收入相当大的比重用于培训。另外，严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。

3.人事管理在一定范围内统一。建议将监理工程师的级别进行细分，并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式，对于监理机构来说非常重要。

总之，我国信息系统监理事业发展几年来，虽然取得了一定成绩，但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题，监理企业面临前所未有的严峻挑战。但是机遇与挑战同在，我国本土的咨询和监理企业最FROM：及时雨

书山有路勤为径

了解我国的国情环境。我们要充分利用这一优势，发挥自身的能动力量，积极参与竞争，加强与国际同行的合作交流，借鉴国际咨询机构和专业服务提供商

FROM：及时雨

第二篇：信息系统监理与信息系统审计

信息系统监理与信息系统审计

[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较，分析我国信息系统监理面临的新问题、新要求，并介绍美国信息系统审计的实践经验，在此基础上提出对我国信息系统监理事业发展的若干建议。

[关键词]信息系统信息系统监理信息系统审计比较独立性

引言

国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70％。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；对于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

信息系统监理

信息系统监理概念

信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

2、信息系统监理的发展

早在1995年，原电子工业部就出台了《电子工程建设监理规定（试行）》。1996年，深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年，西安协同软件股份有限公司经西安技术监督局和西安市科委批准，获得“计算机管理信息系统工程监理”资质认证，成为国内第一家获此资格的公司。1999年6月，深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》，并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月，深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》，要求“市、区、镇人民政府及其所属部门使用财政性资金（包括预算内资金、预算外资金、事业收入等），投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法（试行）》，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位，实行强制监理。”2002年11月，国家质量监督检验检疫总局公布《设备监理单位资格管理办法》，在该管理办法的21类设备工程专业中，涉及信息工程的共有三类，即信息网络系统、信息资源开发系统和信息应用系统。最近，在国家信息办和国家标准管理委员会直接领导下，信息化系统监理规范化项目正在加紧制定中，并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底，监理规范就要完成，经过试用和修改后，将上升为国家标准。2002年12月，信息产业部在广泛征求意见和开展试点工作的基础上，正式颁布《信息系统工程监理暂行规定》，这标志着我国信息工程监理开始迈向科学化、专业化和规范化，也预示着在我国即将出现一个新的中介服务行业，将很快涌现一批监理机构和执业人员，从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。

图1监理服务内容重要程度（引自胡敏《市场呼唤项目监理》）

目前，我国还没有一套完善的IT项目监理制度，相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题，大多数用户采用协商解决。以北京城域网项目的监理费为例，其采用了建筑行业的监理服务收费标准（2%10%），支付的服务费占整个项目资金支出的2%。广大用户也反映，项目监理的标准如何才能做到公正、科学，项目监理的工作流程是否也应该规范，如何界定和权衡监理公司、用户、IT厂商三方利益？监理过程中出了问题，该怎么办？，这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示，只有使监理更加规范化，才能更好地推进监理工作，才能使信息系统的建设更加顺利。事实上，与建筑等其他发展很成熟的行业的监理相比，对IT项目的监理要难得多。并且由于信息技术是一个新兴技术，它本身还在不断发展和完善，因此，即使制定出的监理的内容和标准也不能僵化，需要不断地变更和完善。

信息系统监理的基本理论

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。

1、成本控制

2、进度控制

进度控制首先要在建设前期通过周密分析研究确定合理的工期目标，并在实施前将工期要求纳入承包合同；在建设实施期通过运筹学、网络计划技术等科学手段，审查、修改实施组织设计和进度计划，做好协调与监督，排除干扰，使单项工程及其分阶段目标工期逐步实

现，最终保证项目建设总工期的实现。

3、质量控制

3、合同管理

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

总之，三控两管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。

信息系统监理的主要业务和依据

1、信息系统监理的主要业务

帮助建设单位做好项目需求分析，协助建设单位选择合适的承建单位；

审定承建单位的开工报告、系统实施方案、施工进度计划；

对项目实施的各个阶段进行有效的监督和控制，帮助建设单位控制工程进度、投资和质量；

审查和处理工程变更；

参与工程质量和其他事故调查；

调解建设单位与承包单位的合同争议，处理索赔、审批工程延期；

组织进行竣工验收测试。

组织建设单位和承建单位完成工程移交。

2、信息系统监理的依据

信息系统监理的依据如下：

国务院颁发的《质量振兴纲要》；

现行国家、各省、市、自治区的有关法律、法规、规定；

国际、国内IT行业质量标准规范；

建设单位和承建单位的合同；

将来还有国家标准，例如《信息化工程监理规范》等。

信息系统监理的程序

图3信息系统监理的程序

信息系统审计

信息系统审计概念

信息系统审计是全部审计过程的一个部分，信息系统审计（ISaudit）目前还没有固定通用的定义，美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。

信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：

可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？

保密性——系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？

完整性——信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

信息系统审计产生动因及其发展

1、信息系统审计产生动因分析

2、信息系统审计在国际上的发展

信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，必须应用计算机辅助审计技术（CAATs）进行审计。八十年代、九十年代信息技术的进一步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，1995年已有500名，到2000年时，信息系统审计师正以40%——50%的速度增加，说明信息系统审计正逐渐受到重视。

美国在计算机进入实用阶段时就开始提出系统审计（SYSTEMAUDIT），从成立电子数据处理审计协会（EDPAA后更名为ISACA）以来，从事系统审计活动已有三十多年历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放式标准COBIT（ControlObjectivesforInformationandRelatedTechnology）已出版了第三版。

3、信息系统审计在国内的发展

目前国内有学者提出计算机审计，电算化审计，但基本上停留在对会计信息系统的审计上，延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。

信息系统审计的理论基础

如图3所示，信息系统审计是建立在四个理论基础之上的：

传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验，以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用，最为重要的是传统审计给信息系统审计带来的控制哲学，即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

行为科学理论。人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。

计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统组件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间？如果是，那么今天网络犯罪产生的社会威胁较以往任何时候都要大。

图4 ：IS审计的理论基础

信息系统审计的基本业务和依据

1、信息系统审计的基本业务

信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容，目前其基本业务如下：

系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革控制委员会提供咨询服务；

主要数据中心、网络、通讯设施的结构审计，包括财务系统和非财务系统的应用审计；

支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训；

为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动风险自评估程序的执行；

软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计；

灾难恢复和业务持续计划审计；

对系统运营效能、投资回报率及应用开发测试审计；

系统的安全审计；

网站的信誉审计；

全面控制审计等。

信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标.资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。

应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。

业务流程评价与风险管理——评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

2、信息系统审计的依据

一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证（CISA）持有者有关职业上及个人的指导规范。

信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT（ControlObjectivesforInformationandrelatedTechnology）被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权，因此他们承担着业务过程所有方面的全部责任。特别的是，这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具，以方便他们承担责任。其框架包括四大部分：架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制，控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标，每一项IT处理都有5至25个详细控制目标，控制目标使整体架构和详细控制目标密切对应，相互一致。详细控制目标有18种主要来源，涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述，以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。

其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或外部对与电脑系统运作、控制，及电脑、程序、信息的使用情况等有关的规定或要求，对于一向受严格管制的行业，尤其要注意遵守。以国际性银行为例，若因不良备份及复原程序而无法提供适当的服务水准，其公司及员工将受严重处罚。此外，由于对EDP及信息系统的依赖性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。

信息系统审计流程

开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制？是否仍可信赖内部控制？内部控制测试评价控制风险是否提高内部控制的信赖程度？扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否

基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制（ControlBased）演变为基于风险（RiskBased）的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

基于风险方法来进行审计的步骤是：

编制组织使用的信息系统清单并对其进行分类。

决定哪些系统影响关键功能和资产。

评估哪些风险影响这些系统及对商业运做的冲击。

在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者可以制定审计计划，罗列出一年之中要进行的审计项目。

信息系统监理与信息系统审计之对比分析

信息系统监理与信息系统审计之对比，可归纳出以下特点：

两者性质相同，都是第三方监督，但对独立性的要求有差别。

两者都是立足在第三方的立场，公平对待委托方与被监督方，并要求确保公正性、公平性，以《北京市信息系统工程监理管理办法》为例，其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”，但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格，也因此在保证客观、公正上更有可操作性。

客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标，但是人们很难衡量其在执行业务时是否已经达到了客观公正，如果只作精神上的要求，那么准则和要求将变成牧师的布道，职业人员很难执行，社会公众很难观察，所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨（R.K.Mautz）和侯赛因.A.夏拉夫（H.A.sharaf）1961年出版的《审计哲学》（ThephilosophyofAuditing）。其中对独立性的讨论包含了两个方面：执业者的独立性(Practitionerindependence)和职业的独立性（Professionindependence）。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性；后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯（ThomasGHiggins）在1962年对独立性的概念又进行了进一步的提升与概括，他认为：“注册会计师必须拥有的独立性，实际上有两种，实质上的独立性和形式上的独立性”。所谓形式上的独立性，是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系，如不得拥有被审查企业股权或担任其高级职务，不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系，等等。否则，就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性，又称为精神独立性，即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性，不能主观袒护任何一方当事人，尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知，实质上的独立性是无形的，通常是难以观察和度量的，而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此，从这个意义上来说，形式上的独立性是实质上的独立性的载体和重要前提。由此可见，形式上独立很重要，因为它很好界定，便于准则规范，在现实环境中有很好的可执行性。因此我们认为，信息系统监理行业如果不能在独立性的制度建设上取得重大突破，整个行业的社会信任度大打折扣，而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要，但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。（本文对注册会计师的讨论同样适用于信息系统审计师）。

国外信息系统审计已经发展为较完善的行业监督体系。

美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的，行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制，将在很大程度上限制会计行业自主发展的权利和业务拓展空间，损害所有从业者的利益，因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律，公众要求国会加强行政管制的压力使得这种可能性现实存在。

两者业务范围和目的均有所差别。

信息系统工程监理和信息系统审计都是对质量控制的再控制，但两者业务范围和目的均有所差别。

1、两者业务范围差别

2、两者目的差别

另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运维阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。

信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。

信息系统审计具有较完善的职业教育和认证体系。

国际信息

系

统

审

计

与

控

制

协

会

ISACA（InformationSystemAuditandControlAssociation）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。注册信息系统审计师CISA（CertifiedInformationSystemAuditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来，国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准，并得到了全世界的公认。在世界各地，每年都要举行一次认证考试和若干次后续教育，目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

鉴于信息安全市场的高速增长，最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM，以配合市场对安全人才的巨大需求。

对信息系统监理的建议

面对机遇和挑战，如何借鉴国际上先进的经验，推动我国信息系统监理的健康发展，避免其他中介服务行业曾走过的弯路，我们在广泛的理论分析和实证研究的基础上提出如下具体建议：

建立健全的管理体制与法律法规体系，尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。

各级信息化主管部门，在规范政府管理职能的同时（政府部门要避免管的过多、过细，应过多关注整个监理市场的宏观管理和调控），注重加强行业自律管理，避免其他中介服务行业曾出现过的多种问题。例如，个别人凭借权利强行包揽监理业务，采取高回扣等不正当手段，以及为独揽业务，不惜损害其他方和当事人的权益等。

鉴于信息系统工程监理具有专业性强和风险大的特点，建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈，使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

尽快建立信息系统工程监理的标准和执业规范。

推动信息系统工程监理工业的分化整合，探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下，面对国际IT服务咨询业巨头的竞争，我国信息系统工程监理行业刚起步，监理公司如何脱颖而出、迅速成长，参与国内甚至国际信息系统中介服务市场的竞争，将是重中之重的工作。

开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。

执业程序要统一。“四大”发展到今天这样的规模，执业程序的统一是其基石。这些程序历经多年的经验积累而形成，并针对新出现的问题随时加以完善。从某种意义上将，客户对“四大”的统一的执业程序的认同，超过了对其名称品牌的认同。

培训统一。为保证执业程序的统一，首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训，定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门，并将每年收入相当大的比重用于培训。另外，严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。

人事管理在一定范围内统一。建议将监理工程师的级别进行细分，并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式，对于监理机构来说非常重要。

总之，我国信息系统监理事业发展几年来，虽然取得了一定成绩，但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题，监理企业面临前所未有的严峻挑战。但是机遇与挑战同在，我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势，发挥自身的能动力量，积极参与竞争，加强与国际同行的合作交流，借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法，把我国的信息系统监理事业做稳、做实、做大，做出我国的监理和咨询品牌。

第三篇：信息系统监理与信息系统审计

特约撰稿人：孙强孟秀转

[关键词]信息系统信息系统监理信息系统审计比较独立性

引言

国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96％的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为所制作的报告缺乏一贯性或者是核对信息花费了太多时间的企业约占70％。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40％以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60％；对于数据的精度表示担心的企业约占60％；60％以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

信息系统监理

信息系统监理概念

信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

2、信息系统监理的发展

但我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门（如银行、证券、保险、气象、社保、旅游等）和部分大型企业（如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等）30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30的被调查者表示在某些信息化项目中使用过监理服务。在70未使用过项目监理的被调查者中，5表示听说过，95表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。

图1监理服务内容重要程度（引自胡敏《市场呼唤项目监理》）

信息系统监理的基本理论

1、成本控制

2、进度控制

3、质量控制

3、合同管理

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

第四篇：信息系统监理师软考下午问答题回答技巧汇总

监理师下午题问答规纳

（一）信息网络系统监理（重点）

1、信息网络系统常用监理方法4种：

答：1）评估（主要用于网络设备的造型和采购）

2）网络仿真（主要用来对网络设计方案进行必要的评估，是否满足业主的需求）3）现场旁站（适合于网络综合布线的质量控制）、抽查测试（综合布线的性能、质量的测试）4）网络性能测试（使用必要的网络测试工具，对测试性能进行测试，如丢包率、响应时间等）

工程准备阶段

1、立项阶段的主要内容有：

答：1）协助建设单位了解承建单位的人力和物力情况；

2）协助对项目从经济、技术、系统生存环境、可选方案进行可行性分析。

2、招标阶段的主要内容有：答：1）把好工程投资关

2）评估投标单位的技术方案 3）组织人员与职责评审；

工程设计阶段

1、工程设计阶段的内容有：

答：

1）收集设计所需的技术经济资料； 2）技术经济分析、优化设计； 3）设计文件的评审；

4）主要设备、材料的选型工作； 5）审核方案中主要设备、材料清单；

6）审核系统设计方案及其他详细设计文件； 7）组织设计文件的报批；

8）对方案设计内容进行知识产权保护监督； 9）审核技术方案中信息安全保障措施；

10）协助建设单位对工程建设周期总目标进行分析讨论；

11）审核承建单位编制的工程项目总进度计划、各分项工程阶段进度计划，若于合同/实际环境相冲突，应督促承建单位进行调整、更改；

12）审核工程设计和承建单位的设备/材料清单和采购计划，并检查、敦促其执行；

监理进行设计方案评审时，应坚持如下8大原则：

答：

1、标准化原则

2、先进性和实用性原则、3、可靠性和稳定性原则、4、可扩展性原则、5、安全性原则、

6、可管理性原则、7、对原有设备和资源合理整合的原则、8、经济和效益性原则。

网络基础平台方案的审核重点：

答：

1、网络整体规划、2、网络设备、服务器、操作系统、存储备份系统的选型；

网络安全和管理平台的审核重点：

答：

1、防火墙系统、2、入侵监测和漏洞扫描系统、3、其他网络安全系统、4、网络管理系统；

环境平台的审核重点：

答：

1、机房建设、2、综合布线系统

3、工程施工阶段

1、开工前---审核实施方案、进度计划、实施组织方案、承建单位及相关个人资质；

2、开工准备—了解实施的各种活动准备，如设备采购等情况；

问：设备采购时监理主要职责：

答：

1、审核承建单位的采购计划和采购清单；

2、审核设备质量及其到货时间；

3、订货、进货确认；

4、组织到货验收；

5、设备移交审核；

6、外购硬件和软件的监理；

问：设备采购监理的重点：

答：

1、设备是否与工程量清单、合同规定的规格相符；

2、设备说明书等证明文件是否齐全；

3、到货是否及时；

4、配套软件是否成熟。

问：设备到货验收流程：

答：

1、承建商提前三天通知建设单位和监理单位设备到达时间和地点，并提交交货清单；

2、监理单位协助建设单位做好设备到货验收准备；

3、监理单位协助建设单位进行设备验收（对设备规格、数量、质量进行核实，检测合格证、出厂证等证明文件是否齐全，必要时可使用测试工具对其性能进行测试、评估），并做好记录；

4、发现短缺或破损，要求设备提供商补发或免费更换；

5、提交设备到货验收监理报告；

施工阶段---对现场布线等施工进行旁站等监理、检测。

工程验收阶段

问：项目工程验收流程：

答：

1、承建单位制定并提交验收计划

2、定制验收计划和验收标准

3、成立验收委员会/项目验收小组进行验收

4、评审并形成验收报告

5、若结论是通过，则移交产品或项目给建设单位

6、若结论是不通过则督促承建单位进行整改，然后再次进行验收流程。

工程验收组一般由建设单位组织，监理单位、承建单位共同参与；验收组应有明确分工，一般为测试小组、资料文档评审小组和工程质量鉴定小组；

信息网络系统验收需提交的文档主要有如下9类：答：

1、网络系统技术方案；

2、网络系统到货验收报告；

3、主机网络系统实施总结报告；

4、网络系统测试报告；

5、用户手册；

6、随机技术资料；

7、系统安装配置手册；

8、系统维护手册—管理员级；

9、系统日常维护及应急处理方案。

（二）信息应用系统监理

项目计划

1、项目计划阶段监理主要工作：

答：1）对软件计划组织和文档格式进行审查。

2）项目计划监理的基本准则：评审软件项目计划、明确项目的阶段划分。3）需求规格说明书进行审查，确认是否满足要求。

需求分析

2、需求分析阶段监理的工作：

答：1）参与用户需求调研

2）组织有关单位参加《需求规格说明书》技术联合评审会议 3）审核承建单位递交的《项目开发计划》

4）审核承建单位递交的软件开发的《质量保证》及《配置管理计划》 5）审核承建单位对本工程投入的软硬件资源是否满足工程需求 6）审核承建单位所使用的软件工具的合法性

7）主持监理例会，做好监理日记，定期进行项目进度及问题汇报 8）做好项目相关文档的整理及存档工作

在需求分析阶段，监理工作的重点是:软件需求规格说明书和项目开发计划审核

软件设计

3、概要设计阶段监理的主要工作：

答：1）监理细则和监理周记

2）组织有关单位参加《概要设计说明书》评审会议 3）根据《项目开发计划》，检查项目进展状况 4）主持监理例会，做好监理日记 5）整理项目相关的文档和存档工作

6）督促承建单位尽早编写《软件集成测试计划》 7）提交概要设计监理报告。

4、详细设计阶段监理的主要工作：

答：1）检查《详细设计说明书》及其相关文档的质量是否符合国家规范、行业规范及合同要求

2）提交《详细设计说明书》的确认报告。程序编码

5、程序编码的监理方法主要有：答：1）审查、抽查、评审；

2）编码工程活动、工作进度进行审查； 3）对产品进行评审或审核，并报告结果。

软件测试

6、软件测试阶段，监理的主要方法有：

答：1）定期审查软件测试的工程活动和工作进度

2）根据实际需要对软件测试工程活动进行跟踪、审查和评估 3）对编码工程活动和产品进行评审或审核，并报告结果

试运行及培训

在试运行阶段，监理要记录问题、督促解决、监督培训；

在培训阶段，监理要监督培训计划、监理培训实施并记录培训效果。项目验收

7、验收由建设单位组织，监理辅助和承建单位配合；

建设单位的工作主要：审核承建单位的验收方案并确定验收方案；

承建单位的工作主要：内部测试准备、验收准备工作、验收申请提交和验收方案准备

监理的工作主要：软件配置审核（文档审核、源代码审核、配置脚本审核）和验收测试（测试程序、脚本审核、可执行程序测试）

项目验收步骤和程序7步骤：

答：

1、提出验收申请

2、制订验收计划

3、成立验收委员会

4、进行验收测试和配置审计

5、进行验收评审

6、形成验收报告

7、移交产品

在软件开发过程，在验收时应提交如下14种文档：

1、可行性研究报告；

2、项目开发计划；

3、软件需求说明书；

4、数据要求说明书；

5、概要设计说明书；

6、详细设计说明书；

7、数据库设计说明书；

8、用户手册；

9、操作手册；

10、模块开发卷宗；

11、测试计划；

12、测试分析报告；

13、开发进度月报；

14、项目开发总结报告。

网络系统验收需提交如下9种文档：

1、网络系统技术方案；

2、网络系统到货验收报告；

3、主机网络系统实施总结报告；

4、网络系统测试报告；

5、用户手册；

6、随机技术资料；

7、该工程主机网络系统安装配置手册；

8、该工程主机网络系统维护手册---管理员级；

9、该工程主机网络系统日常维护及应急处理方案。

（三）三个主要文档监理大纲

1、监理大纲/监理方案是在建设单位选择合适的监理单位时，监理单位在项目监理招标阶段为承揽监理业务而编制的项目监理方案性文件。（它是监理单位参与投标时，投标书内容的重要组成部分）

2、编制监理大纲的目的（监理大纲的作用）：

答：

1、使建设单位信服，承揽到监理业务。

2、作为制定《监理规划》的基础。

3、编制监理大纲的依据：

答：

1、监理招标文件；

2、工程文档资料；

3、与工程监理有关的法律、法规、规章、标准和规范；

4、信息技术标准与规范；

5、其他有关文件。

4、编制监理大纲的流程：

答：

1、总监理工程师主持编写

2、监理本单位技术委员会（技术负责人）审核

3、监理单位法人代表（委托技术负责人）签字批准。

5、监理大纲的主要内容包括：

答：

1、工程概况；

2、监理工作综述；

3、监理组织方案；

4、四控三管一协调方案。

监理规划

监理规划是在监理委托合同签订后，由监理单位制定的指导监理工作开展的纲领性文件。是监理机构开展监理工作的依据和基础。（它协调监理活动中的统一认识、统一步调、统一行动）

1、监理规划的主要作用：

答：

1、开展监理工作的行动纲领；

2、监理单位实施监督管理的重要依据；

3、作为建设单位确认监理单位是否全面认真履行监理委托合同的重要依据；

4、作为监理单位和建设单位重要的存档资料。

2、监理规划编写依据主要有6点：

答：

1、监理委托合同；

2、监理大纲；

3、工程文档资料；

4、法律、法规、规章、标准和规范；

5、信息技术标准与规范；

6、其他有关文件.3、监理规划编写程序：答：

1、签订委托监理合同之后开始编制

2、一般由总监理工程师编写或其主持，监理项目部编写；

3、与建设单位反复协商，并得到业主单位确认；

4、听取承建单位意见；

5、由监理单位技术负责人审核批准并实施；

6、提交建设单位，并由建设单位监督实施；

注：若监理过程中，存在需要调整监理规划的，需由总监理工程师组织项目部研究修改，在按上述程序报审，直到批准后，报建设单位。监理规划由项目总监理工程师主持编制，交建设单位认可后，由总监理工程师签字后，才能生效。

4、监理规划的主要内容包括：

答：

1、工程项目概括；

2、监理的范围、内容与目标；

3、监理项目部的组织结构与人员配备；

4、、监理依据、程序、措施及制度；

5、监理工具及设施。

监理实施细则

1、监理实施细则是在监理规划指导下，由专业的监理工程师根据专业项目特点及本专业技术要求所编制的、具有实施性和可操作性的业务性文件。（该文件由各专业监理工程师负责主持编制，并报送项目总监理工程师认可批准后才能执行）

2、监理实施细则可按三种方式编写：答：

1、按监理的专业分工（控制及管理形式）进行编写；

2、按项目组成的子项进行编写；

3、按信息系统工的阶段进行编写。

3、监理实施细则的编写依据有以下5个：

答：

1、已批准的监理规划；

2、工程文档资料；

3、与工程监理有关的法律、法规、规章、标准和规范；

4、信息技术标准与规范；

5、其他有关文件。

4、监理实施细则的编写程序：

答：

1、根据监理规划，由专业（子项/阶段）监理工程师分别编写各专业（子项/阶段）监理实施细则；

2、总监理工程师审核批准各专业（子项和阶段）监理实施细则；

3、在监理实施过程中，根据实际情况不断补充，修改和完善监理实施细则。

5、监理实施细则的主要内容包括：

答：

1、本专业（子项/阶段）监理工作的特点；

2、监理工作的流程；

3、监理工作的控制要点及目标值；

4、监理工作的方法及措施。

（四）监理工程师

总监理工程师除必须取得监理工程师资格证书和注册证书之外，还应具有相当高的业务技术水平、丰富的管理经验和良好的职业道德。

总监理工程师的岗位职责：（全面负责监理合同的实施）

1、确定项目监理机构人员的分工和岗位职责；

2、主持编写项目监理规划、审批项目监理实施细则，负责管理项目监理机构的日常工作；

3、审核分包单位的资质，给建设单位及总包单位提出审查意见；

4、检查和监督监理人员的工作，并根据工程的进展情况进行合理的人员调配，对不称职的监理人员应调换其工作；

5、主持监理工作会议（监理例会），签发项目监理机构的文件和指令；

6、审查承包单位提交的开工报告、施工组织设计、技术方案及进度计划；

7、审查签署承包单位的申请、支付证书和竣工结算；

8、审查和处理工程变更；

9、主持或参与工程质量事故的调查；

10、调节建设单位与承建单位的合同争议、处理索赔、审查工程延期；

11、组织编写并签发监理月报、监理工作阶段报告、专题报告和项目监理工作总结；

12、主持整理工程项目的监理资料；

13、审查承建单位竣工验收申请，组织有关人员进行竣工验收，签认竣工验收文件。

14、组织建设单位与承建单位完成工程移交。

总监理工程师在下列情况中之一，可下达停工令：

1、建设单位要求暂停施工，且工程需要暂停施工；

2、为了保证工程质量而需要暂停施工的

3、施工中出现了安全隐患，总监理工程师认为有必要停工以消除隐患；

4、发生了必须暂时停止施工的紧急事件；

5、承建单位未经许可擅自施工，或拒绝监理机构管理；

6、实施、开发中出现质量异常情况，经提出后，承建单位不采取改进措施或采取的措施不力，末使质量状况好转时；

7、隐蔽作业未经现场监理人员查验自行封闭、掩盖；

8、末经监理工程师审查同意，而擅自变更设计或修改图纸进行施工时；

9、未经技术资质审查的人员或不合格人员进入现场施工时；

10、使用没有技术合格证的工程材料、没有授权书的软件或者擅自替换、变更工程材料及使用盗版软件时；

11、擅自允许未经项目监理机构审查认可的分包单位进场施工。

总监理工程师代表

总监理工程师代表-----是经监理单位法定代表人同意，由总监理工程师书面制授权，代表总监理工程师行使其部分职责和权力的监理师；总监理工程师代表的职责：

1、负责总监理工程师指定或交办的监理工作；

2、行使授权范围内的总监理工程师的职责和权力；总监理工程师不得将以下工作委托给总监理工程师代表：

1、主持编写项目监理规划，审批项目监理实施细则；

2、签发开工/复工报审表、工程暂停令、工程款支付证书及工程竣工报验单；

3、审查签认竣工结算；

4、调解建设单位与承包单位的合同争议、处理索赔；

5、根据工程项目的进展情况，进行人员调配，对不称职的监理人员进行调换。

子项监理工程师是在总监理工程师的领导下，具体负责各子项（阶段）的监理工作，其职责如下：

1、组织编制子项（阶段）的监理工作计划；

2、参与工程项目施工、开发的招标工作，参与拟定承包合同条件和合同的洽谈；

3、审核承包商提交的施工、开发组织设计及计划；

4、审核承包商需要按合同提交的网络工程和软件文档，检查工程进度与计划是否吻合；

5、审核子项（阶段）开工申请，检查开工条件，并签署起算工程的意见；

6、组织重要分项或分部工程及单项工程的检查验收；

7、核签工程设计或方案设计变更及技术核定单；

8、核签有关工程进度、质量及费用的签证；

9、核签工程款支付申请；

10、组织工程质量和安全事故的处理；

11、审核软件工程文档审查报告；

12、审核并整理工程竣工资料；

13、协助项目竣工验收；

14、公正处理索赔事宜；

15、参与审核工程结算资料；

16、建立与填写项目监理日志；

17、定期或不定期向总监及业主提交反映工程动态的有关报告；

18、完成子项（阶段）监理工作总结及有关文档。

专业监理工程师是在总监理工程师的领导下，具体负责本专业的监理工作，其职责如下：

1、负责编制本专业的监理实施细则；

2、负责本专业监理工作的具体实施；

3、组织、指导、检查、监督监理人员的工作；

4、定期向总监理工程师提交本专业监理情况报告，对重大问题应及时向总监理工程师汇报和请示；

5、审核承建单位提交的涉及本专业的计划、方案、申请及其变更，并向总监理工程师提出报告；

6、根据本专业监理

工作实施情况完成项目监理日志及监理月报；

7、负责本专业监理资料的收集、整理、汇总和上报

8、负责整理本专业有关的工程验收资料；

9、完成本专业监理工作总结及有关文档。

（五）质量控制概论

质量控制：是指在力求实现信息工程项目总目标的过程中，为满足信息工程项目总体质量要求所开展的有关监督管理活动。

PDCA循环是美国质量管理专家戴明博士提出的，P：plan计划、D：DO执行、C：check检查、A：Action处理。

1、信息系统工程质量控制的原则：

答：

1、质量控制要与建设单位对工程质量的监督紧密结合；

2、质量控制是一种系统过程的控制；

3、质量控制是实施全面控制；

2、质量控制的手段：

答：

1、评审；

2、测试，是信息系统工程质量控制最重要的手段之一。

3、旁站，是监理在信息系统工程质量控制方面的重要手段之一（针对关键部位/关键工序）。

4、抽查，主要是对设备、产品的到货验收检查及实施过程抽查。

3、质量控制的主要内容： 1）招标阶段的质量控制要点：

答：

1、提出工程需求方案，确定工程的整体质量目标；

2、参与标书的编制，明确提出要求；

3、协助制定评标的评定标准；

4、对招标文件进行审核；

5、对投标单位标书中的质量控制计划进行审查，提出监理意见；

6、对招标过程进行监控，如招标过程是否存在不公正的现象等问题；

7、协助洽商并签订工程合同，在合同中要对工程质量目标提出明确的要求。

2）设计阶段的质量控制，主要包括如下：

答：

1、协助制定项目质量目标规划和安全目标规划。

2、提出设计质量标准；

3、进行设计过程跟踪，及时发现质量问题，并及时与承建单位协调解决；

4、审查阶段性设计成果，并提出监理意见；

5、审查承建单位提交的总体设计方案；

6、审查承建单位对关键部位的测试方案；

7、协助承建单位建立、完善针对该信息工程建设的质量保证体系；

8、协助总承建单位完美现场质量管理制度；

9、组织设计文件及设计方案交底会；

注：方案必须经监理工程师审定后，由总监理工程师审定签发；末得到批准，建设单位的工程不得部署实施。

3）实施阶段中，关键过程质量控制的实施要点：答：

1、制定阶段性质量控制计划，是实施阶段性质量控制的基础；

2、进行工程各阶段分析，分清主次，抓住关键是阶段性工程结果质量控制的目的；

3、设置阶段性质量控制点，实施跟踪控制是工程质量控制的有效手段；

4、严格各过程间交接检查；

4）验收阶段的监理要点：

答：

1、对验收计划、方案的审查；

2、对验收过程的监控；

质量管理的八项原则：

1、以顾客为关注焦点；

2、领导作用；

3、全员参与；

4、过程方法；

5、管理的系统方法；

6、持续改进；

7、基于事实的决策方法；

8、与供方互利的关系。

质量保证体系

建立质量控制体系的主要目的是对信息系统工程的各种质量进行监控和把握，及时发现问题并采取措施进行更正，保证工程质量达到预期要求的目标。

GB/T1900质量管理体系标准

对质量体系文件的重要性做了专门阐述，提出质量管理体系文件由5个层次（质量方针和目标、质量手册、程序文件、策划运行和控制所需的文件、记录等文件）和4个类别（与管理有关的文件、与产品和服务有关的文件、与作业有关的文件、与产品和服务有关的法律法规）构成。

1、三方协同的质量控制：信息系统工程项目是由建设单位、承建单位和监理单位共同完成的，三方的最终目标是一致的（高质量、低成本、按时完工）。因此，质量控制任务应由三方共同完成。三方都应该建立各自的质量保证体系。

注：建设单位的质量控制侧重于可行性研究、需求分析、工程招标、测试和验收的质量控制；承建单位则侧重于开发、实施过程的质量过程；监理单位侧重于对承建单位的质量控制活动进行监督和管理，并协助、指导建设单位进行自身的质量控制活动。

2、承建单位建立质量保证体系的原则有：

答：

1、按合同要求建立工程质量保证体系；

2、要满足建设单位的使用功能需求、符合质量标准、技术规范和现行法规；

3、满足建设单位和承建单位双方的需要。

承建单位的质量保障体系：

1、建立项目质量保证计划；

2、配备必要的资源条件；

3、建立一套灵敏的质量信息反馈系统。

３、监理单位的质量保证体系建立的流程顺序为：答：

1、动员、组织准备、培训、学习；

２、策划质量体系３、编写质量体系文件４、培训内部审核员５、质量体系试运行６、内部质量体系审核７、管理评审

８、质量体系认证前的准备９、质量体系认证过程

10、质量体系进一步改进和完善。

质量控制点

质量控制点分为：工程招标及准备阶段的质量控制点、设计阶段的质量控制点、实施阶段的质量控制点和验收阶段的质量控制点；

１、设置质量控制点的作用：

答：

1、便与通过对各控制点分目标的控制，实现对工程质量总目标的控制；

2有利于监理工程师和承建单位的质量控制人员制定、实施纠偏措施和控制对策；

3、通过对下层质量控制，保证上层质量点质量目标的实现，直到信息系统工程质量总目标的最终实现；

4、有利于监理工程师和承建单位的质量控制人员检测分项控制目标，计算分项控制目标与实际标值的偏差；

5、有利于监理工程师和承建单位的质量控制人员及时分析和掌握质量控制点所处的环境因素，便于分析各种干扰条件对有关分项目标产生的影响及其影响程序。

２、质量控制点的设置原则：

答：

1、选择的质量控制点应该突出重点；

2、选择的质量控制点应该易于纠偏；

3、质量控制点要有利于参与工程建设的三方共同从事工程质量的控制活动；

4、保持控制点设置的灵活性和动态性。

隐蔽工程的检验是保证工程质量的重要环节，是监理为控制工程质量行使的权利。

（六）质量控制的工具与技术

１、质量控制常用的七种工具与技术：

答：１、检查表（包括测量、检查和测试，目的是确定项目成果是否与要求相一致）

２、控制图（控制表、管理图：用于决定一个过程是否稳定或可执行，是反映生产程序随时间变化而发生的质量变动的状态图形，是对过程结果在时间坐标上的一种图线表示法）

３、帕累托分析（80-20法则，主要是确认造成系统质量问题的诸多因素中最为重要的几个因素的分析；常用柱状图来表示）

４、因果图（一种先确定结果（质量问题），然后分析造成这种结果的原因，能帮助项目班子事先估计可能会发生哪些质量问题，然后找出解决方法，造成质量问题主要有人、机器、原材料、方法和环境等5方面，即4M1E）

５、趋势图（常用来监测技术上的绩效、成本和进度绩效）、６、直方图（用以显示多少成果产生于已确定的各种类型的原因，即事件发生的频率，常用条形状表示，特点是一种“基量整理”的方法，其不足是不能反映质量的动态变化，且对数据的量要求较大）

７、散点图（表示两个变量之前的关系图，常用于分析两测定值之间的相互关系）

·直方图法：其作用是判断生产过程的稳定性，以实现对工序质量的动态控制。

·因果分析图法：其作用是将引发事故的重要因素分层（技）加以分析。

·控制图法：其作用是通过观察图形来判断产品的生产过程的质量状况。

·散列图（敞布圈、相关图）法：其作用是寻求两个质量特性阃的相互关系，以及

关系的密切程度。

·检查表：其作用是控制质量、分析质量问殛、检验质量和评定质量。

·流程圈：其作用是将一个过程（如测试过程、检验过程和质挝改进过程等）的步

骤用圈的形式表示出来。

· 检查（调查）表：收集数据。

· 分层法：数据项目的设立。

· Pareto图（排列图）：看问题的分布情况，找出主要因素。

· 直方图：理清思路，寻找原因。

· 散布图：两个因素之间的关系。

· 控制图：观察问题的各种因素，发现异常情况存在。

· 因果图：稳定与否。

七、进度控制

（一）进度控制概论

进度控制是指对工程项目的各建设阶段的工作程序和持续时间进行规划、实施、检查、调整等一系列活动的总称。

１、项目进度控制原则：答：

1、动态控制原则；

2、系统原则；

3、封装循环原则；

4、信息原则；

5、弹性原则；

6、网络计划技术原则；

２、进度控制的步骤：答：

1、编制进度计划；

2、实话进度计划；

3、检查调整进度计划；

4、分析总结，简称为PDCA。（注：进度控制过程是一个封闭循环系统不断运行的过程）

监理方的进度控制分三类：

1、项目总进度控制---由项目总监、总监代表对项目各里程碑事件的进度控制；

2、项目主进度控制---监理部对项目中每一主要事件的进度控制；

3、项目详细进度控制----由各项目监理小组或监理工程师对各具体作业进度计划的控制。

３、进度控制的措施答：１、组织措施

２、技术措施３、合同措施４、经济措施５、管理措施

４、进度控制的方法与技术可分为三个部分：

答：

1、工作量和工期的估算方法（Delphi法、类比法及功能点估算法、代码行估算法）

2、项目进度计划编制的方法（工作分解结构（WBS）、网络图、甘特图、关键路径法和计划评审技术）

3、实际进度与计划进度的比较方法（S曲线法、香蕉曲线法、甘特图法、挣值分析）

5、准备阶段进度控制的主要内容：

答：

1、参与建设单位招标前的准备工作，协助编制本项目的工作计划；

2、协助建设单位分析项目的内容及项目周期，并提出安排工程进度的合理建议；

3、对建设合同中所涉及产品和服务的供应周期等做出详细说明，并建议建设单位做出合理的安排。

4、监理应对招标书中的工程实施计划及其保障措施提出建议，并在招标书中明确规定。

5、在协助评标时，应对投标文件中的项目进度安排及进度控制措施等进行审查，并提出审核意见。

6、设计阶段进度控制的主要内容：

答：

1、根据工程总工期要求，协助建设单位确定合理的设计时限要求；

2、根据设计阶段性输出，由粗而细地制定项目进度计划，为项目进度控制提供前提和依据。

3、协调、监督各承建（设计）方进行整体性设计工作，使集成项目能按计划要求进行。

4、提请建设单位按合同要求向建设单位及时、准确、完整地提出设计所需要的基础资料和数据。

5、协调各有关部门，保证设计工作顺利进行。

7、实施阶段进度控制的主要内容：

答：

1、根据工程招标和实施准备阶段的工程信息，进一步完善项目控制性进度计划，并据此进行实施阶段进度控制。

2、审查承建单位的施工进度计划，确认可行性并满足项目控制性进度计划要求；

3、审查承建单位进度控制报告，监督承建单位做好施工进度控制，对施工进度进行跟踪，掌握施工动态；

4、研究制定预防工期索赔措施，做好处理工期索赔工作。

5、在施工过程中，做好对人力、物力、资金的投入控制工作及转换控制工作，做好信息反馈，对比和纠正工作，使进度控制定期连续进行。

6、开好进度协调会，及时协调各方关系，使工程施工顺利进行。

7、及时处理承建单位提出的工程延期申请。

8、实施进度控制时可以采取如下措施：答：

1、进度计划评审；

2、项目实施保证措施；

3、项目进度动态检测；

4、比较分析；

5、进度更新

影响项目工程进度目标实现的干扰因素：

1、人的因素（根据上述因素，可知影响进度的原因/状况有如下几种：

1、错误估计了项目实现的特点及实现的条件；

2、盲目确定工期目标；

3、工期计划方面的不中；

4、项目参加者的工作失误；

5、不可预见事件的发生，如天灾、人祸。

9、验收阶段进度控制的主要内容：

答：

1、审核承建单位工程整改计划的可行性，控制整改进度；

2、建议建设单位要求承建单位以初验合格报告作为启动试运行的依据。

八、投资控制

（一）投资控制概论

信息工程项目的投资控制:是在批准的预算条件下确保项目保质按期完成，而对形成项目成本的过程进行指导、监督、分析、调整和限制的活动。投资控制的主要目的是：预防偏差发生；

1、投资控制的主要内容（基本框架）：

答：

1、资源计划（确定为完成项目各活动需要什么资源(人、设备、材料、资金)的种类，以及每种资源的需要量）；

2、成本估算（为完成项目各项任务所需要的资源成本的近似估算，它依赖的资料：工作分解结构；资源需求计划；资源价格；活动时间估计；历史资料；财务报表。）；

3、成本预算（-将总投资估算分配落实到各个单项工作上。是进行项目成本控制的基础）；

4、成本控制

2、成本估算的7个基本步骤：

答：

1、建立目标；

2、对所需的数据和资源进行规划；

3、确定需求；

4、尽可能拟定所有可行的细节；

5、运用多种独立的技术和原始资料；

6、比较并迭代各估算值。

预算分类：量级预算---工程早期阶段的，其精确度一般为-25%～75%；预算估算---将资金划入一个组织，其精确度一般为-10%～25%；最终概算---用于采购决策的，其精确度为-5%～10%。信息系统概预算常出现的问题有：

1、成本预算不准确；

2、进行预算的人没有太多的成本预算经验，而且有低估的倾向。

3、成本控制的原则：

答：

1、以批准预算确定的费用基准线为基准；

2、对实施执行过程进行跟踪监督，记录并整理详细的实施执行报告；

3、规范费用变更流程；

4、要全面考虑、执行成本控制，并不是越节约越好，应从综合考虑项目质量及进度的因素。

信息系统工程计量有两种情况：

1、由承建单位负责工程计量，并提供记录正本和计算结果，经监理工程师和驻地工程师定期检查确认；

2、由监理单位负责工程记录，由承建单位提供有关资料，监理做现场没有工程计量的计量，由承建单位审阅，作为施工付款依据。

4、常用的信息工程价款的结算方法有：答：

1、按工程标志性任务完成结算；

2、按设备款与工程款分别结算；

3、按月结算；

4、工程双方约定的其他结算方式；

工程款的支付流程：

答：

1、承建单位向建设单位提交工程款支付申请（付款内容、进度报告、工程量、资金使用报告）

2、监理计量工程师审，对工程量进行综合评价；

3、若末到工程建设目标，监理应驳回承建单位的申请；并出具拒付报告给建设单位和承建单位；

4、若审核合格，则由总监理工程师签署审批，向建设单位发出《工程款支付意见》；

注：成本竣工结算是以实物量和货币为计量单位，综合反映竣工验收的项目的建设成果和财务状况的总结性文件。它是项目的实际造价和成本效益的总结，是项目竣工验收报告的重要组成部分，是项目竣工验收和动用验收结果的反映，是对项目进行财务监督的手段。

5、投资控制的措施主要有：

答：

1、组织措施

2、技术措施

3、经济措施

4、合同措施；

6、投资控制的原则：

答：

1、投资最优化原则；

2、全面成本控制原则；

3、动态控制原则；

4、目标管理原则；即PDCA循环。

5、责、权、利相结合原则。

（二）挣值分析

挣值分析是一种进度测量技术、可用来估计和确定变更的程度和范围。同时，它是一种以预算和费用来衡量工程的进度。

1）计划工作量的预算费用（BCWS），即完成工程某阶段计划的工作量所需的预算工时（费用），即BCWS=计划工作量*预算定额；同时也称为PV 2）已完成工作量的预算费用（BCWP）即工程某阶段实际花费的工作量所需的工时（费用），即BCWP=实际工作量*预算定额；同时也称为EV 3）剩余工作的成本（ETC），即完成项目剩余工作预计还需要花费的成本。ETC=BCWS-BCWP=PV-EV；

4）已完成工作量的实际费用（ACWP），也简为AC。或者ETC=BCWS*CPI，即剩余工作的PV*EV/AC；

挣值法的评价指标：

1）进度偏差SV=BCWP-BCWS=EV-PV，当SV>0,表示提前；SV<0表示延误；当SV=0，表明进度按计划执行。

2）成本偏差CV=BCWP-ACWP=EV-AC，当CV>0,表示节余；CV<0,表示超支；当CV=0，实际消耗成本等于预算值。3）成本绩效指标CPI=BCWP/ACW=EV/AV，当CPI>1,则低于预算；当CPI<1,则超出预算；当CPI=1，实际消耗成本等于预算值。4）进度绩效指标SPI=BCWP/BCWS=EV/PV，当SPI>1,则进度提前;当SPI<1,则进度延误；

当SPI=1，表明进度按计划执行。

（三）净现值与投资决策（理解）

利息的计算方式：单利与复利；

折现也叫贴现，折现时所使用的利率为折现率或贴现率；

若N年后能入F元，则这些钱现在的价值（净现值）P是P=F/（1+）n 货币的时间价值指标体系：净现值（NPV）NPV=

当NPV=0，表示达到规定的基准收益率水平；

当NPV>0，表示除达到规定的基准收益率水平之外，还超额收益，因此方案可行；当NPV<0，表示达不到规定的基准收益率水平，说明方案不可行。

针对２、变更控制的基本原则: 答：

1、对变更申请快速响应；

2、任何变更都要得到三方确认；

3、明确界定项目变更的目标；

4、防止变更范围的扩大化；

5、三方都有权提出变更；

6、加强变更风险以及变更效果的评估；

7、及时公布变更信息；

8、选择冲击最小的方案。

3、变更控制的工作程序：

答：１、了解变化

2、接受变更申请（变更的一方向监理工程师提出变更请求，并提交书面项目变更申请书）

3、变更的初审（监理单位首先要明确界定项目变更的目标，根据收集的信息判断变更的合理性和必要性，若合理进入变更分析，若不，则驳回）

4、变更分析（分析变更对项目预算、进度及资源配置的影响和冲击）

5、确定变更方法(三方协调讨论，确定最优变更方案，下达变更通知书并进行变更公布)

6、监控变更的实施

7、变更效果评估

风险管理是指在风险给项目带来损失之前，就指明、评估并对风险加以控制；即使用工具和方法把项目风险限制在一个可接受的范围内。风险管理的首要目的是使潜在的损失最小，其应对策略原则是：以预防为主。

风险防范策略：规避策略、转移策略、减轻策略；风险曝光度=风险损失*风险概率；

风险识别过程：

风险识别开始风险分解否是是否有新的风险识别工程风险因素、风险事件及后果是否需要继续分解否建立初始风险清单建立初始风险清单是风险识别结束

风险识别的特点：个别性、主观性、复杂性、不确定性。风险识别的结果是建立初始风险清单，风险应对的原则是以预防为主。

风险分解的途径有：目标维、时间维、结构维、因素维。

风险识别的主要方法有：头脑风暴法、专家调查法、财务报表法、流程图法、初始清单法、经验数据法、风险调查法。

风险识别的核心工作：建立工程风险分解；识别工程风险因素、风险事件及后果；建立工程风险清单。

划分风险等级的依据是：等风险量曲线

工程项目风险识别过程十安全管理（重点）

信息系统安全：是确保以电磁信号为主要形式的，在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。总的来说，信息系统的安全就是要保证信息系统的用户在允许的时间内，从允许的地点，通过允许的方法，对允许范围内的信息进行所允许的处理。

信息系统安全的属性：可用性（在规定条件下和规定的时间内完成规定的功能）、保密性（信息不被泄露给非授权的用户、实体或过程）和完事性（保护信息及其处理方法的正确性）。

1、信息系统安全管理的有关制度包括如下：

1、出入管理制度；

2、各工作岗位的工作职责、操作规程；

3、升级、维护制度；

4、工作人员人事管理制度；

5、安全检查制度；

6、应急制度；

7、信息资料处理制度；

8、工作人员安全教育、培训制度；

9、工作人员循环任职，强制休假制度等；

2、安全管理的控制过程如下：答：

1、确认信息安全管理的对象和范围；

2、分析针对该对象的安全隐患或攻击行为的方式；

3、划清安全管理等级，落实对应的控制措施；

4、跟踪检查信息安全落实情况；

5、持续改进，防漏补缺。

3、监理在安全管理的主要作用有如下4点：

答：

1、协助建设单位保证信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突；

2、要投资控制的前提下，确保信息系统设计上没有漏洞；

3、督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识；

4、监督承建单位按照技术标准和建设方案施工，检查承建单位在项目实施过程中是否存在安全隐患行为或现象等，确保整个项目的安全建设和安全应用。

十一、合同管理合同管理

1、合同管理，是指对依法签订的项目合同进行管理的一种活动与制度。

2、信息系统工程监理工作的合同管理是指对工程的设计、实施、开发有关的各类合同，从合同条件的拟定、协商、签署，到执行情况的检查和分析等环节进行组织管理的工作，以达到通过双方签署的合同实现信息系统工程的目标和任务，同时也维护建设单位与承建单位及其他关联方的正当权益。

3、合同管理的原则:

1、事前预控原则；

2、实时纠偏原则；

3、充分协商原则；

4、公正处理原则。

4、合同管理中的内容主要由四部分组成：

1、订立前管理（制定合同管理制度、对承建单位的资格、信誉、履约能力进行预审）；

2、谈判订立管理；（协助拟定合同条款、参与有关方订立合同所进行的谈判活动、记录谈判内容并经双方签字盖章后备案、参与合同的签订活动）

3、履行管理（对合同的履行情况进行跟踪管理、及时合理处理和解决合同履行过程中出现的问题，如合同争议、合同违约、合同索赔）。

4、变更管理(分析变更原因，如工程设计图纸、新技术、新材料、新标准等；评估合同变更可能产生的影响；若确实需变更，应尽快做出变更；合同变更，应尽量采用书面形式)注：按合同变更的影响从小到大，应采用如下形式：信件协议（内容简单，涉及面小）、委托书（影响较小，内容简单）、正式文件（修改较大，内容复杂）、重新签订合同（变动范围大，涉及权利与义务）。

5、合同管理的作用：

1、能使各方相互协调并密切配合，确保整个工程在规定时间期限内高质量完成；

2、能有效减少各方间的争议与纠纷；

3、对合同履行情况跟踪管理，能有效降低项目风险；

4、及时发现合同履行中出现的问题，能使问题在暴露前得到解决。

合同

合同是平等主体的自然人、法人，其他组织之间设立、变更、终止民事权利义务的协议。

受法律保护的合同，应满足如下几个原则：平等原则、合同自由原则、公平原则、诚实信用原则、遵纪守法原则及依合同履行义务原则。合同的三个特征：

1、合同是当事人之间在自愿基础上达成的一种协议，是双方或多方的民事法律行为；

2、合同当事人的法律地位平等；

3、合同以设立、变更、终止民事权利义务关系为目的。

合同的基本形式：书面、口头和其他（公证形式和鉴证形式）；书面包括合同书、信件和数据电文（电报、电传、传真、电子数据交换和电子邮件）等有形地表现所载内容的形式。

合同的生效时间为各方签字或者盖章的时间，生效地点为签字或盖章的地点（当事人各方另有约定除外）；

注：当事人若在合同成立之前以信件或数据电文的形式签订了确认书，则合同生效的时间为签订确认书的时间，生效地点为信件或数据电文收件人的主营地点。生效地点的人民法院才拥有司法管辖权。

当事人各方所订立的合同存在下列情形之一，该合同无效：

1、一方以欺诈、胁迫等手段订立的合同；

2、恶意串通、损害国家、集体或者约的要求做出承诺的行为时生效。

承诺撤回：撤回承诺的通知应当在承诺通知到达要约人之前或者与承诺通知同时到达受要约人；注：受要约人超过承诺期限发出承诺的，除要约人及时通知受要约人该承诺有效的以外，为新要约。信息系统工程合同的分类：

1、以项目/工程范围为标准划分：项目总承包合同（将工程项目的全过程作为一个整体给同一个承建单位做的合同，适用于经验丰富，技术实力雄厚且组织管理协调能力强的承建单位）、项目单项承包合同（只将工程项目中咨询认证、方案设计、硬件建设、软件开发、实施与运行维护中的一项/某几项给一个单位做的合同）项目分包合同（经合约约定和建设单位认可，总承建单位将承包的信息工程的某一部分/某几部分项目，再发包给具有相应资质的子承建单位，与子承建单位签订的合同叫项目分包合同）

注：订立项目分包合同必须满足如下5个条件：

1、经过建设单位认可；

2、分包的项目必须是非主体结构；

3、只能分包部分项目，而不能转包全部项目；

4、子承建单位必须具备相应的资质条件；

5、子承建单位不能再次分包。

分包合同涉及到两种合同关系，建设单位与总承建单位----承包合同关系；总承建单位与子承建单位的分包合同关系，总承建单位在承包合同范围内向承建单位负责；同时，子承建单位与总承建单位在分包合同范围内向建设单位承建连带责任。若分包项目出现问题，建设单位即可要求总承建单位承担责任，也可直接要求子承建单位承担责任。

2、以项目价款为标准划分:项目总价合同（完成项目建设的总价，适合于工期较短、不太复杂的小风险项目）、项目单价合同（以项目中各个单项的工作量等指标为标准确定完成单项项目的价格，优点：使工程风险得到合理分摊）和项目成本加酬金合同（承建单位支付项目的实际成本，并按约定支付承建单位酬金，特点：项目酬金较低，建设单位承担了全部风险，承建单位零风险，同时容易出现承建单位不注意降低项目的成本等问题）。

3、以合同签订的对象为标准划分：项目采购合同（建设单位与供应商签订的合同）、项目建设合同（建设单位与承建单位签订的合同）、项目监理合同（建设单位与监理单位签订的合同）

合同内容

信息系统工程合同的内容(条款)由当事人各方自行约定，总得应包括如下几项：

1、项目名称；

2、标的内容和范围；

3、项目的质量要求；

4、项目的计划、进度、地点、地域和方式；

5、项目建设过程中各种限制如时间限制；

6、技术情报和资料的保密；

7、风险责任的承担；

8、技术成果的归属；

9、验收的标准和方法；

10、价款、报酬（或使用费）及其支付方式；

11、违约金或损失赔偿的计算方法；

12、解决争议的方法；

13、名词术语解释；除此之外还包括相关文档资料、项目变更约定、技术支持服务。

《中华人民共和国合同法》《中华人民共和国合同法》建设单位违约时，应承担的费用常见有：

1、支付按合同规定采购的设备、材料和软硬件产品的款项；

2、支付承建单位已完成的各项所应得的款项；

3、支付承建单位所有人员的合理费用；

4、支付承建单位合理的利润补偿；

5、支付合同规定的违约金。

承建单位违约时，应承担如下责任：

1、支付合同规定的违约金；

2、支付项目清理及质量缺陷修复等所需的费用；

3、清算实际完成工程里所得款项和已经得到的支付款项；

4、移交相关项目的资料，及临时对项目进行检查和验收

5、估算实施现场遗留设备、材料和软硬件产品的价值；

不可抗力违约（由于不可抗力的自然因素或非建设单位和承建单位原因导致实施合同终止的行为，如相关政策的变化），造成的损失，由建设单位和承建单位共同承担，而造成的工期延误应采取工期顺延的方法。建设单位需要承担的费用包括：

1、项目本身的损失及所需要的清理和修复费用；

2、停工期间留在施工现场必要的管理人员及保卫人员的费用；

3、运至施工现场材料和设备损坏费；

4、建设单位的人员伤亡和财产损失；

5、因项目问题导致下午实例综合性问答题：

例

一、事件3：在项目实施过程中，由于承建单位的原因使得建设单位和承建单位之间产生合同争议。监理机构及时进行调查、取证和调解，并在调解失败的情况下向合同约定的仲裁委员会申请仲裁。

答：监理机构及时进行调查、取证和调解的做法是正确的，但是在调解失败的情况下向合同约定的仲裁委员会申请仲裁的做法不正确。理由是：监理单位不是承建单位和建设单位所签定合同的当事人，正确的做法是由建设单位或承建单位向合同约定的仲裁委员会申请仲裁。

例

二、问题：(1)会议纪要由谁整理？

(2)会议纪要主要内容是什么？

(3)会议上出现不同意见时，纪要中应该如何处理？答：(1)由监理工程烯整理会议纪要。(2)会议纪要的主要内容如下。

· 会议地点和时间：

· 会议主持人；

· 出席者姓名、隶属单位、职务；

· 会议内容；

· 决议事项（包括负责落实单位、负责人和时限要求）；

· 其他事项。

(3)会议有不同意见时，特别对重大问题有不一致意见时，应将各方主要观点如实进行记录。

例

三、事件2：承建单位为了抢进度，在完成敷设线槽、线缆后马上派相关人员到该项目监理办公室请负责该项目的专业监理工程师对隐蔽工程进行验收。该监理工程师立即到现场进行检查，发现槽内线缆等方面不符合质量要求，随即口头指示承建单位整改。

【问题】1)如此进行骢蔽工程验收，在程序上是不妥当的，请问正确的程序是什么？

(2)监理工程师要求承建单位整改的方式有何不妥之处？正确做法是什么？

答：(1)正确的程序是：隐蔽工程结束后，承建单位先自检，自检合格后，报监理机构进行现场检验，合格后由现场监理工程师或其代表签署认可后，方能进行下一阶段的工作；否则签发不合格项目通知，要求承建单位整改。

(2)监理工程师以口头方式要求承建单位整改，其方式不妥，正确做法是：监理工程师应按照要求书面指令承建单位进行整改。

例

四、问题：《中华人民共和国招标投标法》中规定的招标方式有哪几种？《中华人民共和国政府采购法》中规定的招标方式有哪几种？答：《中华人民共和国招标投标法》有

1、公开招标

2、邀请招标。《中华人民共和国政府采购法》有：

（一）公开招标；

（二）邀请招标；

（三）竞争性谈判；

（四）单一来源采购；

（五）询价；

（六）国务院政府采购监督管理部门认定的其他采购方式。

例

五、事件：空调系统的分包单位在做空调工程时，经中间检查发现实施不符合设计要求——噪音超标，并自认为难以达到合同规定的要求，于是向监理工程师提出终止合同的书面申请。

在事件中：(1)监理工程师应如何协调处理？

(2)合同的变更和解除，会影响当事人要求赔偿损失的权利吗？

答：（1)监理工程师应做如下协调处理：

①拒绝接受分包单位关于终止合同的书面申请。

②要求总包单位与分包单位双方协商，达成一致后解除合同。

③要求总包单位对不合格工程返工处理。

(2)合同的变更和解除，不影响当事人要求赔偿的权利。

注意：《合同法》（例

六、【问题】

在某部门应用系统的开发过程中，为了保证质量，建设单位要求监理方对承建单位的单元测试进行重点监控。请列出单元测试的主要工作内容。

答：·软件单元的功能测试。

·软件单元的接口测试。

·软件单元的重要执行路径测试。

·软件单元的局部数据结构测试。

·软件荜元的语句覆盖和分支覆盖测试。

·软件单元的错误处理能力。

·软件单元的资源占用、运行时间、响应时间等测试。

例

七、电子政务信息网建设招标工作步聚的排列顺序是？答：(1)发放招标邀请书。

(2)投标单位资格审查。

(3)发布招标公告。

(4)召开标前会议（先进行现场踏勘）。

(5)接受投标书。

(6)开标。

(7)评标。

(8)确定中标单位。

(9)发中标通知书。

(10)签订合同。

例

八、招标人对投标单位进行资格审查应考虑哪四个方面的因素？答：

1、企业资质

2、质量管理体系

3、相关项目经验

4、公司实力

例

九、事件l：在机房建设过程中，分包单位丁的施工人员为了赶工期，把信号线PVC管和电源线PVC管同放在一条泡沫条的槽中，造成质量隐患，专业监理工程师向总监理工程师及时汇报了情况。总监理工程师立即向承建单位乙和分包单位丁签发了整改通知。

承建单位乙称机房工程已根据合同由分包单位丁实施，现在机房工程出现问题，应由分包单位丁承担一切责任。

事件2：在布线过程中，承建单位乙的施工人员违反规范要求，贪图一时方便，线缆不够长，接一段了事，旁站监理工程师及时发现并报告给总监理工程师。如果继续施工，线缆将被隐蔽。所以总监理工程师立即向承建单位乙签发了“停工令”。

事件3：在网络工程的实施过程中，由于某些设备的到货延迟使整个工期受到影响，承建单位乙向监理提交了进度变更申请。

【问题1】(6分)

在事件l中：

(1)发现机房工程存在质量隐患，承建单位乙称应由分包单位丁承担一切责任，这种态度为什么不对？

(2)总监理工程师向承建单位乙和分包单位丁签发整改通知，有什么不妥之处吗？为什么？【问题2】（5分）

在事件2中：

(1)在布线中，施工人员的做法可能会导致线缆的哪两项指标超标？

(2)总监理工程师签发的“停工令”恰当吗？

(3)总监理工程师在立即签发“停工令”前还应当做什么？【问题3】（4分）

事件3中，作为监理工程师，请根据你对项目变更控制的工作任务的理解，把下列项目变更控制工作的序号填入图2-1框图中，形成芷确的项目变更控制流程图。

正确答案如右图

a．提出监理意见b．三方协商确定变更方法c．承建单位提交变更申请d．变更分析e．监理监督变更过程f．监理初审g．开始实施变更

答：【问题1】

(1)发现机房工程存在质量隐患，承建单位乙说不负责任的做法是不对的，因为工程分包后，不能解除总承包单位的责任和义务。分包单位的任何违约行为所导致的工程损害给建设单位造成的损失，总承包单位应承担连带责任。

(2)总监签发的整改通知应只发给总承包单位，因为只有总承包单位才与建设单位有合同关系。【问题2】

(1)可能使衰减和串扰大大超标。

(2)总监理工程师签发“停工令”是恰当的。

(3)总监理工程师在立即签发“停工令”前还应当征求建设单位意见。

注意：UTP的链路验收测试的主要内容包括

1、接线图、2、链路长度、3、衰减、4、近端串扰NEXT掼耗、5、连线长度、6、衰减值、7、近端串扰(NEXT)、8、SRL(Structural Return loss)、、9、等效远端串扰、10、综合远端串扰、11、回波损耗、12、特性阻抗、13、衰减串扰比等。

光纤的测试方法有：

1、连通性测试、2、端一端损耗测试、3、收发功率测试和

4、反射损耗测试

例

十一、在机房建设中，计算机设备宜采用分区布置。请指出机房可分为哪几个区？

答：主机区、存储器区、数据输入区、数据输出区、通信区和监控调度区等。

例

十二、简述信息网络系统工程验收的前提条件。

答：(1)所有建设项目按照批准设计方案要求全部建成，并满足使用要求；

(2)各个分项工程全部初验合格；

(3)各种技术文档和验收资料完备，符合集成合同的内容；

(4)系统建设和数据处理符合信息安全的要求；

(5)外购的操作系统、数据库、中间件、应用软件和开发工具符合知识产权相关政策法规的要求；

(6)各种设备经上电试运行，状态正常：

(7)经过用户同意。

注意：网络系统的验收测试由谁组织与网络系统验收的步骤？答：(1)验收测试应由监理单位的总监理工程师组织。

(2)信息网络系统验收的步骤如下：

①承建方提出验收标准。

②监理工程师验收标准进行评审。

③总监理工程师组织专家对验收标准进行会审，提出评审意见，和业主方及承建方进行探讨，如有必要，提出修改意见。

④业主方根据评审意见确认验收标准。

⑤监理工程师根据网络系统竣工的准备情况，确定是否满足系统验收条件。

⑥由三方共同参与对系统进行验收工作。

⑦确认验收工作是否完成。

例

十三、在承建单位开展网络测试工作过程中，监理要对关键网络设备和关键部件的工作状况、链路的冗余能力、Telnet的控制测试，以及VLAN TRUNK、VPN、FTP、DHCP等

功能的测试过程进行监督检查。

请简述在网络设备测试过程中，监理除了对上述已经描述的测试过程进行监督检查外，还需要检查其他哪些测试过程。

答：监理还需重点检查的测试过程包括：

(l)网络流量及路由转发能力测试；

(2)组播测试；

(3)动态路由测试；

(4)静态路由测试；

(5)端口控制功能测试；

(6)链路负载均衡。

例

十四、请指出网络设备的主要测试技术指标。并分别说明这些测试指标的作用。

答：(1)吞吐量。可以确定被测试设备(DUT)或被测试系统(SUT)在不丢弃包的情况下所能支持的吞吐速率。

(2)包丢失。通过测量由于缺少资源而未转发的包的比例未显示高负载状态下系统的性能。

(3)延时。测量系统在有负载条件下转发数据包所需的时间。

(4)背靠背性能。通过以最大帧速率发送突发传输流并测量无包丢失时的最大突发(Burst)长度（总包数量）来测试缓冲区容量。

例

十五、网络故障诊断命令的作用和使用有？

答：(1)Ping：是Windows系列自带的一个可执行命令，利用它可以检查网络是否能够连通，通过它可以帮助我们允析判定网络故障。

(2)Tracert:是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径，它可检查两个设备间连接的路径。Tracert命令用IP生稃时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。

(3)Ipconfig：可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/LP设置是否正确。

(4)Pathping：提供有关在源和目标之间的中间跃点处网络滞后和网络丢失的信息。Pathping在一段时间内将多个回响请求消息发送到源和目标之间的各个路由器，然后根据各个路由器返回的数据包计算结果。

(5)Arp:通过它可查看地址解析表。ARP又称地址解析协议，实现通过口地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的口地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网络上传送，必须知道对方目的主机的物理地址。这样就存在把lP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位lP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将口地址转换为相应物理地址，这组协议就是ARP协议。

(6)Netstat:是在内核中访问网络及相关信息的程序，它能提供TCP连接，TCP和 UDP监听，进裎内存管理的相关报告。

(7)Route:是在本地IP路由表中显示和修改条目网络命令，通过它可以查看和修改路由表。

(8)Telnet: Telnet协议是TCP/IP协议族中的一员，是Intemet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使

用者的计算机上使用Telnet程序，用它连接到服务器。终端使用者可以在Telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样，可以在本地就能控制服务器。要开始一个Telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法，通过它可以查看和修改远程主机参数。例

十六、事件：工程建设需要订购一批3G上网卡，上网卡生产商在得知消息后，向建设单位去函表示：“本厂生产的3G上网卡，每块单价90元。如果贵单位需要，请与我厂联系。”建设单位回函：“我部门愿向贵厂订购500块3G上网卡，每块单价85元。”两个月后，建设单位收到上网卡生产商发来的500块升级版3G上网卡，但每块价格仍为90无，建设单位拒收。

答：建设单位不违约，因为合同还未成立。建设单位对生产商的回函是一个附条件的新

要约，因其对生产商的要约作出了实质性变更，这一行为并不是承诺，而是一个新要约。

因此，该合同没有成立，建设单位并不承担任何违约责任。注意：要约失效的情况：

(1)拒绝要约的通知到达要约人。

(2)要约人依法撤销要约。

(3)承诺期限届满，受要约人未作出承诺。

(4)受要约人对要约的内容作出实质性变更。

例

十七、按照《招投标法》中关于招标文件构成的规定，请简述监理在审核招标文件时应重点关注的内容。

答：

1、投标人资格

2、招标技术要求

3、项目报价比重

4、评标标准

5、拟签订合同条款

例

十八、监理单位在招投标阶段应开展的主要工作？

答：（1）协助建设单位确定招标方式。

（2）协助建设单位编制招标文件。

（3）参与和见证开评标过程。

（4）参加合同谈判和签订工作。

例

十九、需求分析阶段，监理应重点开展哪五项工作？答：1．研究落实专家评审意见。

2．完善用户业务需求分析工作。

3．监督承建单位修改和完善软件需求规格说明书。

4．审核承建单位修改后的软件需求规格说明书。

5．协助建设单位重新组织需求评审。

例

二十、请简要说明系统建设应满足哪些基本条件才能进入设计阶段？答：（1）项目开发计划、质量保证计划、配置管理计划等通过评审并正式批准。

（2）软件需求规格说明书通过评审。

（3）以软件需求规格说明书为核心的配置管理基线建立。

例二

十一、分析设计阶段项目的建设成果？

答：①概要设计规格说明 ②软件质量保证计划 ③项目开发工作计划

④详细设计规格说明 ⑤测试计划

⑥软件配置管理计划

例二

十二、工程开工前，监理需要审核的主要内容有：答：

1、项目实施方案

2、实施进度计划

3、工程实施人员和企业资质

4、实施组织计划

例二

十三、国家重点电子政务工程建设项目提交竣工验收申请时，需同时提交哪5点材料？答：（1）项目建设总结。

（2）初步验收报告。

（3）财务报告。

（4）审计报告。

（5）信息安全风险评估报告、安全保护等级备案证明、安全等级测评报告。

例二

十四、如果你作为项目的总监对多节点监理工作有哪些好的建议？

答：

1、制定统一的标准，指导各节点的实施工作；

2、合理划分行政区域，便于分组开展工作；

3、先试点后推广到各个区域；

4、引入总集成商，做好统一协调各承建单位的工作；

5、做好文档管理工作，为后续验收及移交创造好的条件。

例二

十五、配置管理过程是在整个软件生存期中实施管理和技术规程的过程？

答：

注意：软件配置管理的最终目标是管理软件产品。

配置管理流程如下：

１、制定配置管理计划２、配置库管理３、版本控制４、变更控制５、配置审计

计算公式汇总

１、单利计算公式：利息＝本金*利息*时间ＩＰ＝Ｐ*i*n 终值F=Ｐ*（１+i*n）

n２、复利计算公式：终值＝本金*(１+i*利息)

３、若Ｎ年后能收入Ｆ元，那么这些钱现在的价值（现值）Ｐ＝Ｆ/(1+i)n ４、投资回收期

如果以Ｔ作为累计现金流量首次为正值的年数，投资回收期的计算公式：投资回收期(静态)＝(Ｔ－１)+

第五篇：2010下半年软考信息系统监理师考试参考答案(上午)

2010年下半年软考信息系统监理师考试试题分析

2010年下半年信息系统监理师考试已经尘埃落定，但很多朋友都在关注本次考试的出题情况，究竟此次考试都考了哪些知识点?分数分布情况如何?案例分析题应该如何作答?我们不妨一起来分析分析。

一、信息系统工程监理基础知识

2010年下半年信息系统监理师考试基础知识试题考查的知识点分布情况如表1所示。

总的说来，上午试题具有如下特点：

(1)整体难度基本上与今年上半年持平，对考生的要求比较高。

(2)监理知识(含项目管理知识)与非监理知识分值相差不大，其中前者占39分，后者占36分。

(3)计算机网络与通信(含综合布线)的知识分值共占18分，软件工程占到11分，监理概论占到10分，这是本次考试三大五星级的知识点，可见监理师的考试非常重视基础知识的考查。

(4)过去历次考试中均列为重点的“质量控制”风光不再，本次仅考了1分。而“四控三管一协调”里的其他知识点表现稳健，特别是“变更控制”异军突起，不但在常规题里占了3分，且在5个专业英语题里也占了2分，由此可见命题趋势的灵活多变。

(5)试题覆盖的面非常广，比如考试大纲中有明确要求但往届考试中较少考到的：监理职业道德与知识产权等内容都有考到。

(6)个别题目如“隐蔽管道施工方法”等，需要考生有较强的工程现场实践经验。

(7)相当一部分试题就是希赛教育软考学院模拟试题中的原题，或者只是简单地换个说法。

二、信息系统工程监理应用技术

2010年下半年信息系统监理师考试应用技术试题考查的知识点分布情况如表2所示。

下午的应用技术试题的数量已经基本固定为5道，但并非每道题都是15分，不过总分仍然是75分。

从总体来看，下午题的难度也不小，所考查的知识面较广，出题形式比较灵活。已从往年单纯的知识记忆逐步进化到应用层次。考生需要通过具体的项目案例来分析问题、解决问题。而且题型也已从单纯的问答题形式，转变为问答、填空、选择、判断、连线相结合的形式，从而显得更加灵活与合理。总的说来，下午题要求考生熟练掌握在信息系统建设的各个阶段，承建方与监理方的工作内容、步骤、流程、方法及作用。现将下午的五道大题简要分述如下：

试题一

本题是一道监理实务综合题，背景是某大型电子政务工程建设项目，以及建设过程中发生的三个事件。

第一问：建设方关于投资概算的调整方案是否合规及理由?实际上，不管由于什么原因导致投资概算出现重大调整，这都属于变更控制的范畴，所以自然需要严格按照变更控制的一整套程序来进行操作。

第二问：试运行阶段，在信息安全方面还要做哪些工作?根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的要求，项目建设单位应在项目建设任务完成后试运行期间，组织开展该项目的信息安全风险评估工作，并形成相关文档，该文档应作为项目验收的重要内容。

第三问又分为两小问，第1小问是建设方应当从哪几个方面进行初步验收?这可以在教程中关于验收的章节里找到准确答案。第2小问是要求考生写出至少16种监理文件的名字。大家都知道监理工作会产生很多文档，但是具体有哪些文档则不是每个人都能写出来的，而《信息系统监理师辅导教程》里的信息管理一章里把所有监理文件一网打尽，有兴趣的朋友可以去查阅。

第四问：根据事件3，监理方对项目验收应提出哪些建议?事件3是指经过初步验收后，建设方发现由于某些原因，无法提交竣工验收申请报告。这种情况通常是因为承建方还有一些扫尾工作没有做完或者承建方与建设方的沟通出现了问题。在这种情况下，监理方应做的工作详见有关验收的章节。

试题二

此题主要考查《招标投标法》和《政府采购法》的相关内容，从考题来看无非就是要求考生应熟练掌握上述两部法规的相关内容，并能在实践中加以灵活运用。

第一问：投标人A是否满足招标资质要求?从事件一中可以看出，A是由甲、乙两家公司组成的联合体，根据《招标投标法》的规定，联合体的资质是由联合体内资质等级最低的公司来决定，所以A是系统集成二级资质，显然这违反了招标文件中关于投标人须具备系统集成一级资质的要求。

第二问：请指出监理方所建议的招标方式及理由，并说明后续还可能采取哪些其它采购方式?从事件二中可以看出，业主方先后进行了两次公开招标，但两次均因为投标人不满3家而废标。根据《政府采购法》相关规定，此种情况可以改为采用竞争性谈判的采购方式。至于后续还可能用到哪些采购方式，根据《政府采购法》第26条，明确规定了5种采购方式，除了公开招标与竞争性谈判以外，还有三种其他采购方式可以选择。

第三问：政府采购监督主管部门是否可以拒绝乙公司和丁公司的投诉?这是完全可以拒绝的，因为乙公司应当先走质疑程序然后才能投诉，而丁公司因为最终放弃了参加投标，所以没有资格投诉。

试题三

此题是讲一家在全国各地有分支机构的大公司建设业务网与办公网的工程。共有四问：

第一问：以选择填空的形式，要求考生从四个备选项里选出某一项填入题干，组成网络工程开工实施前所需完整的四大审核内容。根据《信息系统监理师辅导教程》一书，显然这里要选择：审核实施进度计划。

第二问：仍然是选择题的形式，问考生连接业务网与办公网的核心设备是什么?

第三问：主要是考查大家对《电子信息系统机房设计规范》的掌握程度。

第四问：第1小问是此项目最典型的特点?因为该公司的特点是分支机构遍布全国各大城市，所以此项目最典型的特点自然是：多节点工作。第二小问是最适于此项目的监理组织形式是什么? 针对此项目的典型特点，结合教程里关于各种监理组织形式的特点描述，考生就不难做出选择。第三小问要考生把自已假想为总监理工程师，为了顺利实施项目，准备对业主方提出哪些好的建议?此题是本次下午题里最为灵活的一个问题。严格说来，此问并没有标准答案，关键是看考生对总监理工程师所具有的权力和职责领会到了什么程度，在这种领会的基础上，再站在一位总监理的高层次上给业主提出一些有益于项目实施的建议。只要这个大方向对了，都是能得到一些分数的。

试题四

本题是一道应用系统建设监理题，考点非常明确。

第一问：主要是考查验收阶段的配置审核工作是要审查哪些文档，具体是要求考生能识别出哪些文档属于开发文档，哪些文档属于管理文档。关于文档的分类，辅导老师在课堂上都已经一个一个地写给学员看了，所以这种题对学员来说，简直就是送分的题。

第二问：针对第三方测试，监理方需要做哪些工作?关于第三方测试，是考试大纲里明确要求的一个重要知识点。

试题五

上午试题里有关质量控制的内容只考了一分，所以出题的老师在这里好好的补偿了一把，整个试题五的内容均属于质量控制的范畴，重点是关于软件测试的基本概念及种类划分。对于学计算机专业的考生来说，此题得分相对容易些。

2010下半年软考信息系统监理师考试参考答案(上午)

1——5 BDDAB

6——10 CDCDC

11——15 CDCDB

16——20 ACDDB

21——25 D暂无ACC

26——30 BBBCC

31——35 BDCCD

36——40 CBDCB

41——45 BCCBB

46——50 DDCBA

51——55 ACCAB

56——60 CBDDC

61——65 DDABA

66——70 ACDAC

71——75 ACCCD

(软考信息系统)信息系统监理与审计我国实践与美国的经验

第一篇：(软考信息系统)信息系统监理与审计我国实践与美国的经验

第二篇：信息系统监理与信息系统审计

第三篇：信息系统监理与信息系统审计

第四篇：信息系统监理师软考下午问答题回答技巧汇总

第五篇：2010下半年软考信息系统监理师考试参考答案(上午)

相关范文推荐

信息管理与信息系统

信息管理与信息系统

信息管理与信息系统

信息管理与信息系统（范文）

我国信息系统建设的经验和教训

(软考信息系统)重点考点总结归纳5篇

信息系统监理工作的内容与作用

2012深圳大学通信与信息系统专业复试经验

(软考信息系统)信息系统监理与审计 我国实践与美国的经验

相关范文推荐

(软考信息系统)信息系统监理与审计我国实践与美国的经验