第一篇:信息系统监理打印1(2014)[最终版]
监理基础
●质量计划编制包括:(1)综合合同中或标准中的相关条款,形成本项目的质量标准;(2)确认在项目的实施过程中达到项目质量标准的主要方法及组织落实;(3)必要时可供采取的纠正措施。
●质量范围:系统功能和特色,界面和输出,系统性能、可靠性,系统可维护性等。
●识别风险的工具:流程图(或称鱼刺图)和访谈等。●应对风险的三项基本措施:规避、接受和减轻。风险应对计划:包括:风险管理计划、应急计划和应急储备 ●风险控制包括:随时追踪风险己经、正在和将要发生的变化;预测和判断风险的应对是否会引起更新的风险发生;对用于风险管理的资源配置进行调整;调整风险应对计划;采取临时紧急应变措施等。
●监理服务质量的控制方式按时间可分为预防性控制、监督性控制、补偿性控制。
●详细作业指导书是描述程序文件中某个具体过程、事物形成的技术性细节的文件,可按照程序文件的要求,结合监理单位的实际情况编制。
●监理工作的风险类别:行为责任(多做、少做、做错)、工作技能(未发现本应发现的)、技术资源(现有资源无法保证所有问题及时全面发现)、管理风险(明确的管理目标、合理的组织机构、细致的职责分工、有效的约束机制)
质量控制
●质量控制原则:与监督紧密结合、过程控制、全面控信息应用系统监理
●软件配置管理项质量要求:正确性、完备性和可追踪性。
●软件配置管理规程:(1)各级、各库中所管的软件实体的清单。(2)保证安全性、可靠性、保密性、正确性、完备性、一致性和可追踪性的具体措施。(3)入库控制办法和审批手续。(4)出库条件及其必备的手续。(5)变更控制办法和审批手续。
●可行分析关注:经济、技术、系统生存环境可行性,评价各种可选方案。●需分工作内容:1.审核项目计划2.审核软件质量管理体系3.审核软件质量保证体系4.审核软件配置管理体系5.评审需求说明书6.审核软件分包合同7.评审概要设计说明书8.评审详细设计说明书9.评审测试计划10.评审软件编码规范11.工程设计阶段的投资控制
●需分成果:1)项目开发计划2)软件需求说明书3)软件质量保证计划;4)软件配置管理计划;5)软件(初步)确认测试计划:6)用户使用说明书初稿。●软件测试的分类
软件测试有静态测试、单元测试、集成测试、确认测试和系统测试组成。●编码阶段进入条件:1.软详设说明已通过评审;2.软详设说明己进入配置管理受控库;3.所有须编码的软件单元,都已建立了相应的模块开发卷宗。●单元测试进入条件
1、完成所有单元编码;
2、软件单元无错通过编译;
3、信息网络系统监理
●立项评审原则:简单灵活完整可靠经济。可靠是评定工程质量主要指标之一。
●准备阶段对承建方资质的评审:1.企业资质;2.质量管理体系;3.相关项目的实施经验;4.公司实力(资本、技术、企业发展、核心领导层背景及稳定度等)
●审核设备采购职责:(1)审承的设采计划和清单;(2)工程材料、硬件设备、系统软件的质量、到货时间的审核;(3)订货、进货确认;(4)组织到货验收;(5)设备移交审核;(6)实施阶段的质量、进度监理和验收;(7)针对项目特点和承专业分工实施专业监理(8)外购硬软件监理的主要工作。●网络逻辑设计方案的内容可能包括以下内容:(1)网间传输协议的选择;(2)路由协议的选择和设计;(3)网络地址的分配;(4)子网的划分及配置;(5)虚拟网的划分及配置;(6)路由器参数的确定;(7)交换机参数的确定;(8)网络管理系统参数的确定:(9)其他网络设备、网络链路的参数配置。●设计阶段质控:审查乙提交的总体设计方案,应:满足甲需求、质量,工期,造价目标、规范,标准、合理可行、可操作、体系结构,开发平台,开发工具,安全方案选择要充分论证、材料设备性价比。
●开工前监理:审核实施方案、组织计划、进度计划、工程实施人员及承建方资质。●实施监理:1.审承施工组织设计方案2.参加施工方技术交底会3.材料报验4.材料选型5.材料到货验收6.验到货的附属文件(合格证、保修卡、厂家检验报告、到货清单、授权、进口报关单)时间方面
●监应于监合同签后10日内将监理项目部的组织形式、人员构成及对总监理工程师的任命书书面通知建设单位。
●索赔约定时间全28天。变更14天提出
●不可抗力持续发生,乙应每7天向丙报告损害。不可抗力结束14天内,乙应向丙提交清理费用报告等。
●电子政务项目甲应于7月底和次年1月底前,向项目审批、财政报告上半年和全年建设进度和概预算执行情况。●采购法:7日质疑,7日答复,15日内投诉,30日内处理,处理暂停30日内。
法律方面
●55号令:项目审批部门对电子政务项目的项目建议书、可行性研究报告、初步设计方案和投资概算的批复文件是项目建设的主要依据。
●55号令:专业甲级资质的工程咨询机构编制项目可行性研究报告
●著作权法:署名权、修改权、保护作品完整权(永远保护),发表权、使用权
和获取报酬权(终生及死后50年)。
●政府采购法:邀请招标方式采购前提:1)特殊,有限范围供应;2)公招费用占比过大。竞谈前提:1)招标没投标或没合格的或重招失败;2)复杂特殊,不确定规格要求;3)时间紧急;4)不能事先计算总价。单一来源:1)唯一供应;2)不可预见的紧急情况;3)保证原采购项目一致性或者服务配套,添金不超原10%。
制。
●质量控制特点:首先要控制人、变更(需求不完整不明晰)、定位故障困难、可视性差(要测试)、改错代价大、质量纠纷认定难度大、理想色彩、优秀承建单位是最关键因素。
●质量体系的结构是由领导责任、质量责任和权限、组织结构、资源和人员以及工作程序五方面组成。
●查承建质量:质量计划、专职质量管理机构、业务标准化,流程程序化、配必要的资源条件、灵敏的质量信息反馈系统。
●质量控制点的意义:便于总目标的分解;易于分析各种干扰条件的影响;利于监理和承建监测分项控制目标;利于纠偏;对上层级质量提供保证.●控制点的设置原则:突出重点;易于纠偏;利于三方共同质量控制;保持灵活性和动态性.●影响质量因素:进度、投资、人、技术、管理。人最重要。
进度控制
●进度控制意义:尽快发挥投资效益;维持管理秩序;提高经效益;降低投资风险
●进度控制基本措施:组织、技术、合同、信息管理。●影响进度因素:工程质量、设计变更、资源投入、资金、相关单位、风险、管理水平。
●甘特图:进度控制对比。不能表实际较计划偏移程度,需要香蕉辅助。不能确定关键作业、工期延长等,需要网络图。
安全管理
●信息系统安全体系应当由技术体系、组织结构体系和管理体系共同构建。
●技术体系:一类是物理安全技术包括机房安全和设施安全,另一类是系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全。●等保:1级(自保级),2级(系统审计),3级(安全标记保护级),4级(结构化保护级),5级(访问验证保护级)
投资控制
●投控原则:投资最优化;全面成本控制;动态控制;目标管理;责、权、利相结合.●投资控制失效原因:思想、组织、技术、方法、手段。●成本估算的工具和方法:类比估计(早期的成本估计,实质上类同于先前项目,估计人有经验);参数建模(COCOMO模型,精确量化);累加估计(从下向上,上向下-类似项目);计算化工具。●投资成本控制方法:预测和控制(1)费用变更控制系统。(2)成本绩效度量。(3)附加计划。(4)计算工具。
●竣工结算的意义:1.可正确分析成本效果;2.可分析工程建设计划和设计预算实际执行情况;3.可分析总结项目成本使用中的经验和教训;4.为修订预界定额提供依据资料。
●竣工结算监理审核重点:成本计划执行情况、各项费用支出合理、报废损失核销损失真实性、账目,统计资料准确完整、竣工说明书全面系统。
●技术经济分析的步骤:确定目标、调查研究、拟定各种可行方案、方案评价。
合同管理
●合同管理的原则:事前预控原则(按合同规定如期提供实施现场,使其能如期开工、正常实施、连续实施,不要违约造成索赔条件)、实时纠偏原则、充分协商原则和公正处理原则。
●合同变更的条件:自愿协商、不可抗力、合同约定期限内未履行、变更损失(免责除外)由责任方赔偿。●反索赔情况:1.工期延误,2.实施缺陷,3.对指定分包人的付款,4.业主合理终止合同or承建不正当放弃工程。
沟通协调
●协调方法:监理会议和报告
变更控制
●成本变更控制主要方法:偏差控制;成本分析表;进度一成本同步控制(横道图网络图。●复工管理:甲原因“监理通知单”;乙原因 “复工报审表”
●变更控制基本原则:快速响应、三方确认、明确目标、防止扩大化、三方有权、效果评估、及时公布、冲击最小方案。
●变更程序:了解变化、接收申请、初审、分析、确定方法、监控实施、效果评估。
●变更评估前提:确定变更范围及难度、确定变更内容的工作量、确定变更的单价or总价。总监签“项目部分暂停令”情况:应乙要求,需要暂停实施、项目质量问题必须停工、必须暂停的紧急事件。
●给予项目延期的受理:非承建单位的责任使项目不能按原定工期开工;项目量变化和设计变更;国家和地区有关部门正式发布的不可抗力事件;建设单位同意工期相应顺延的其他情况。
●隐蔽管道槽道:最大管径:一般25mm,特殊32mm(建筑物底层和天花板不限制)。管径利用率%:直线50-60,弯曲40-50。管径截面积利用率%:绞合线20-25,平等线25-30。
完成代码审查等静态测试;
4、所有软件单元纳入软件开发的配置受控库。
●单元测试工作内容:
软件单元的功能测试;
2、软件单元的接口测试;
3、软件单元的重要执行路径测试;
4、软件单元的局部数据结构测试;
5、软件单元的语句覆盖和分支覆盖测试;
6、软件单元的错误处理能力;
7、软件单元的资源占用、运行时间、响应时间等测试。
●集成测试进入条件:(1)被集成的软件单元无错通过编译;(2)通过代码审查;(3)通过单元动态测试并达测试要求;(4)己置于软件开发单位的配置管理受控库;(5)已具备集成测试计划要求的软件组装测试和测试工具。●集成测试的主要内容
1、在把各个模块连接起来的时候,穿越模块接口的数据是否会丢失;
2、一个模块的功能是否会对另一个模块的功能产生不利的影响;
3、各个子功能组合起来,能否达到预期要求的父功能;
4、全局数据结构是否有问题;
5、单个模块的错误是否会导致数据库错误。
●集成测试阶段成果:(1)集成软件测试报告;(2)软件使用说明;(3)所有软件问题报告单和软件修改报告单;(4)与软件修改报告单一致的、经过修改的全部源代码。
●确认测试进入条件:(1)软件完成了集成测试;(2)软件可运行;(3)所有软件代码都在配置管理控制下;(4)已经具备了合同规定的软件确认测试环境。
●确认测试阶段成果:(1)软件确认测试分析报告,含所有的软件确认测试结果;(2)所有软件问题报告单和软件修改报告单;(3)与软件修改报告单相一致的,经过修改和回归测试的全部源程序代码;(4)经过修改的软件产品使用说明。
●系统测试进入条件:(1)完成并通过软确测试;(2)所有软件产品都在配置管理控制下;(3)己经具备了软件系统测试环境。
●系统测试成果:(1)系统测试报告,包括测试记录和结果分析;(2)软件问题报告和软件变更报告;(3)回归测试的测试记录。
●软件测试监理的方法:(1)定期审测试的工程活动和进度。(2)按需跟踪、审查和评估。(3)对测试活动和产品评审和(或)审核,并报告结果。
●软件提交验收前提:(1)已通过计算机软件确认测试评审;(2)已通过系统测试评审;(3)合同或合同附件规定的各类文档齐全;(4)软件产品已置于配置管理之下;(5)合同或合同附件规定的其他验收条件。●软件验收的依据 1合同及合同附件;
2、有关技术说明文件;
3、适用标准。●验收的过程:
1、提出验收申请;
2、制定验收计划;
3、成立验收委员会;
4、进行验收测试和配置审计;
5、进行验收评审;
6、形成验收报告;
7、移交产品。
●系统移交的监理措施:(1)审查承建单位的项目资料清单。(2)协助业主和承建单位交接项目资料。(3)确保软件文档和软件的一致性。(4)开发软件做好备份,保管在安全地方,文件材料归档。
●系统保障期的监理措施:(1)督导承建单位按“合同”规定及时进行系统保障,抽查系统保障的执行情况。(2)对项目业主方提出的质量问题进行记录。(3)督促承建单位进行修复和维护。(4)对承建单位进行修复的内容进行确认。
●软件生命周期6阶段文档:
1、可行性与计划研究阶段:可行性分析报告、开发计划等文档
2、需求分析阶段:需求规格说明书、数据要求说明、初步的用户手册
3、设计阶段:结构设计说明、详细设计说明、测试设计初稿
4、实现阶段:进度日报、周报、月报;用户手册与操作手册;测试计划
5、测试阶段:项目开发总结报告前五个阶段,开发集体要按月编写开发进度月报。
6、运行与维护阶段:维护记录 ●承建做代码测试的工作程序:1.编写测试用例2.获得测试数据(包括错误数据、非法数据、超界数据)3.确定测试顺序4.协调测试资源5.编写测试脚本6.回归测试7.编写测试报告 ●案例(中间件未买便开发如何处理):1.开监理专题会,请专家进行论证。2.若需要购买,下监理通知单,通知承建方尽快购买中间件。3.跟踪承建方购买及安装使用中间件情况。4.写监理报告。5.若不需要购买,督促承建方提出项目变更申请。6.变更申请经三方确认同意后,核减相关费用。7.写监理报告。●软件编码要遵循的一般原则
1、遵循开发流程,在设计的指导下进行代码编写;
2、代码的编写以实现设计的功能和性能为目标,要求正确完成设计要求的功能,达到设计的性能;
3、程序具有良好的程序结构,提高程序的封装性,减低程序的耦合程度;
4、程序可读性强,易于理解;
5、软件方便调试和测试,可测试性好;
6、软件易于使用和维护;
7、软件具有良好的修改性、扩充性;
8、软件可重用性强/移植性好;
9、软件占用资源少,以低代价完成任务;
10、软件在不降低程序的可读性的情况下,尽量提高代码的执行效率。
●主机系统测试点:1.机箱是否损坏2.内存、硬盘能否●政府采购法:询价前提:货物规格、标准统一、现货正常运行3.显示器是否正常显示4.系统加电是否正常货源充足且价格变化幅度小。询价程序:成立询价小组,工作
确定被询价的供应商名单,询价,确定成交供应商。
●安装软件注意点:1.软件系统与主机系统是否匹配2.信息管理
软否正常安装3.软功能是否能够实现4.软件资料是否●信息管理目的:提供项目建设决策所需信息;为监理齐全
决策提供依据;索赔依据。应注意文档、版本、标准统●验收阶段前提条件:(1)按方案全部建成,满足使用要一。
求:(2)各分项工程初验合格;(3)各技术文档和验收资料完●引导信息包括实施方案、实施组织设计、各种技术经备,符合同;(4)符信息安全要求;(5)外购的OS、DB、中件、济措施,以及设计变更通知、技术标准和规程等。
应软和tools符合知识产权相关要求;(6)各设备经加电试●辨识信息:指导认识性能、特征和效果,如软件环境、运行,状态正常;(7)经过用户同意。
硬件环境、设备等的出厂证明书,技术合格证书,试验●验收前监理工作:1.是否符合工程设计和合同约定的检验报告,中间产品和最终产品的检查验收签证等。各项内容;2.技术文档和工程实施管理资料是否完备;3.●需分析、技术方案属引导和辨识信息。
工程设计的主要设备、材料进场和检验报告是否完备;4.●监理文档:总控、实施、回复、内部。竣工总结为实各单项工程的设、施、工程监理等单位分别签署的质量施类文档非总控类(合同、方案、计划、细则)合格文件是否完备;5.承的售后服务和培训计划是否完●工程监理验收报告的主体应该是验收测试结论与分备
析,包含: 1)工程竣工准备工作综述,2)验收测试方案●验收阶段监理审核内容:(1)系统整体功能、性能;(2)与规范,3)测试结果与分析,4)验收测试结论。
主要设备(或子系统)的功能、性能;(3)承建方提交文档的●工程监理总结报告:1.工程概况2.监理工作概况3.工程种类和内容;(4)系统设、开、施、测各阶段涉及的工具和质量综述4.工程进度综述5.管理协调综述6.监理总评价。设备都具合法知识产权;(5)承建方的质量保证和售后服●监对文档工作责任:建立制度、文档计划、质量规程、务体系;(6)承建方采取必要的管理和工程措施,以方便系文档标准、自觉编制、不断检查。
统的扩容和升级。7)评审承建方(或第三方测试机构)的●保存10年的:开工令、进度、延长、变人审核、各类量化测试手段和流程
报告、测试试运行方案、监理通知建议、纪要、备忘、●网络系统过程控制监理方法:评估、仿真、旁站、抽联系单。
测、性能测试。
计算机基础
●网络系统测验工具Network Vantage、Application Expert ●帧中继:光纤传输,通信线路误码率低,不进行差错检V8.5、SmartBits 6000B、Webcheck V5.0、MicroMapper、测和纠正,只分组转发。
DSP-4000、OptiFiber ●云计算特征:资源配置动态化、需求服务自动化、以●安防系统构成:1.入侵报警系统2.视频安全防范监控系网络为中心、服务可计量化、资源的池化和透明化。统3.出入口控制系统4.防爆安全监察系统5.机房管理系●物联网特征:互联网特征、识别与通信、智能化。构统
成:感知层、网络层和应用层。
6.由这些系统为子系统组合或集成的子系统或网络。●条形码优点:输入速快、可靠性高、采集信息量大、●设计阶段监理内容:
1、收集设计技术经济资料;
2、灵活应用、易于制作、成本低。特性:唯一性、永久性、进行技术经济、优化设计;
3、设计文件评审;
4、主要无含义。
设备、材料选型;
5、审核主要设备、材料清单;
6、审●PDS工程:设备安装、布放线缆、缆线端接。
核系统设计方案及其他详细设计文件;
7、组织设计文件●主机安装测试注意:机箱、内存硬盘、显示器、加电的报批;
8、知识产权保护监督;
9、审核信息安全保障措工作。软件注意:与主机匹配、正常安装、功能实现、施;
10、分析工程建设周期总目标;11督促调整、更改;资料齐全。
12、审核设备/材料清单和采购计划,并检查、敦促其执●灾难恢复站点类型:热站(hot site,快速,重复投资,行。
贵)、冷站(cold site,只用于基础物理环境)、温站(warm ●机房监理重点:1.审查工程实施组织方案尤其质保措site,部分设备)
施;2.控制资质,持证上岗;3.贯彻《建筑智能化系统工●螺旋模型四个方面活动:计划、风险分析、实施、评程实施及验收规范》;4.落实随装随测,保质加快进度。估。
●隐蔽工程:金属线槽、管道、管内穿线。
●软件外审:于软件内审后,提前10天申请。成立评审●网络设备tcpoip检测技术指标:吞吐量;包丢失;延组织。审查组成员:软件专家,相对稳定。
时;背靠背性能。
●静态分析主要对程序进行控制流分析、数据流分析、标准
接口分析和表达式分析等。静态分析一般由计算机辅助●机房:UPS电源:电压+-5%、频率+-1%、失真<5%,24完成如Purify,Macabe等。
小时。机房消防系统:卤代烷灭火系统。探测器和喷嘴。●黑盒测试着重于验证软件功能和性能的正确性,包括电缆订货量=n条布线所需总长*1.1+6n 功能测试、性能测试、边界测试、余量测试和强度测试双绞线用线箱数=总长/305+1 等。
●设计阶段机房设备的布置:(1)分区布置分为主机区、●软件维护类型:纠错性维护(设计。程序。数据。文存储器区、数据输入区、数据输出区、通信区和监控制档)适应性维护(影响规则、硬件配置变、数据格式或调度区等;(2)通道与设备间的距离:搬运通道1.5m;文件结构变、支持环境变)完善性维护(扩增功能、改面对面1.2,背对背1m机柜侧面(或不用面)距墙不应小性能、便维护)
于0.5m,维修时1.2;五排超6m机柜超15m加出口●静态图包括用例图、类图、对象图、组件图和配置图,1m/0.8m。
动态图包括序列图、状态图、协作图和活动图。
●机房配电及防雷接地系统:供电系统应采用双回路供●双绞线指标:衰减、近段串扰、回波损耗、ACR、直流电,并选择三相五线制供电,机房的设备供电和空调供环路电阻、传播时延。
电应分为两个独立回路。接地系统应满足《电子计算机●光钎指标:波长窗口、衰减、多模光纤最小光学模式机房设计规范》(GB50174-93)的规定。
带宽。
●机房接地四种方式:交流工作接地《=4欧,安全《=4●软件质量:功能性(适合、准确、互用、依从、安全)欧,直流,防雷接地。宜共用一组接地装置,其接地电可靠(成熟、容错、易恢复)可用(易理解、学、操作)阻按其中最小值确定。电子计算机系统的接地应采取单效率(时间资源)可维(易分析、可修改、稳定、可测点接地并采取等电位措施。
试)可移(适应、易安装、一致、可替换)
●综合布线工作区:信息模块的需求量一般为m=n+n×●光缆测试:连通性;端到端的损耗;收发功率测试;3%
损耗衰减测试。
●机房>0.5μm 的尘粒数应少于18000粒,静电电位不应大于1KV,主操作员噪声值应小于65dB(A),无线干扰不大于126dB,磁场干扰不大于800A/m,振动加速度不大于500mm/s2,机房净高不小于2.6m。
●软件文档编制指南 GB/T 8567—2006●软件生存周期过程 GB/T 8566—2001
●软件产品评价和质量特征GB/T 16260 ●软件维护指南 GB/T 14079--1993
●计算机软件可靠性和可维护性管理 GB/T 14394-2008(评审-概念阶段、需求评审、设计评审、测试评审、安装和验收评审、软件和用户手册评审)
●软件文档管理指南 GB/T 16680(文档分开发、产品和管理,质量分4级)
●软件需求说明编制指南 GB/T 9385-1998(适用客户和开发者,SRS应包含具体需求,不应包含成本、进度、报表、开发方法、质保、标准、验收)
●计算机软件质量保证计划GB/T 12504-1990(文档质量:完备性、正确性、可追踪信、规范性)●质量管理体系基础和术语 GB/T 19000 ●综合布线系统工程设计规范CECS72.97 ●电子计算机机房设计规范 GB 50174
●电子计算机机房施工及验收规范 SJ/T30003—93
第二篇:信息系统监理(完整)DOC
信息系统监理(A)
选择题(20)
2010下半年软考信息系统监理师考试试题(上午)
39、关于监理人员的权利和义务中,不正确的是(C)A 监理人员应根据监理合同独立执行工程监理任务 B 监理人员应保守承建单位的技术秘密和商业秘密 C 监理人员必须满足建设单位的要求和指令
D 监理人员不得同时从事与被监理项目相关的技术和业务活动 40、属于项目分析设计阶段监理工作的内容是(B)A 审查承建单位的资质 B 审核项目需求规格说明书 C 检查软件测试的工作进度 D 编写项目监理总结报告
41、根据工业和信息化部计算机信息系统集成资质认证工作办公室发布的规定,自2011年1月1日起,申请信息工程监理部临时资质的单位,取得的监理工程师资格人数应不少于(B)人 A 10
B 15
C 20
D 30
42、监理单位和承建单位按照下列(C)的方式开展工作
A 监理单位和承建单位均按监理合同和工程建设合同开展监理或建设监理 B 监理单位按工程建设合同开展监理工作,承建单位按监理合同接受监理 C 监理单位按监理合同开展监理工作,承建单位按工程建设合同接受监理
D 监理单位按监理合同开展监理工作,承建单位按监理合同和工程建设合同接受监理
44、监理大纲应在(B)阶段编制
A 监理合同签订
B 监理招投标
C 监理实施
D 监理总结
45、监理单位把(B)提供给承建单位,能起到工作联系单或通知书的作用 A 监理总结
B 监理细则
C 监理规划
D 监理大纲
48、在工程设计阶段,不属于监理审核内容的是(C)A 需求范围
B 系统构架
C 测试用例
D 业务流程
49、一般来说,设计阶段需要由(B)对各设计实施方案进行审核。A 专家
B 监理工程师
C 总监理工程师
D 监理代表
53、某机房改造工程,由于业主单位原因,导致增容的不间断电源系统没有使用房间而迟迟不能就位,项目总体进度已在延期,一下说法正确的是(C)A 因属于非承建单位导致的进度延期,所以监理单位应审核同意承建单位工期顺眼的申请
B 监理单位应召集业主单位、承建单位召开专题讨论会,要求承建单位就房间问题提供解决方案
C 就此进度延期的问题监理单位向业主单位提交专题报告,建议其尽快解决房间问题
D 如果承建单位就该进度延期提出索赔要求,监理单位应驳回该索赔申请
54、下列费用中不属于工程前期费用的是(A)。
A 监理费
B 可行性分析、论证费
C 造价评估费
D 招投标费
58、监理在评价变更合理(D)
A 变更是否会影响工作范围、成本、质量、进度 B 性能是否有保证,对选用设备的影响
C 变更是否影响项目的投资回报率和净现值 D 变更是否可以平衡各方利益
59、监理在监控变更实施的过程中,发现如继续按照变更后的方案实施,将可能造成更大的损失。这种情况下,监理单位首先应该(D)A 组织专家对变更做进一步的论证,确定变更风险 B 建议建设单位组织召开专题讨论会,评估变更方案
C 通知承建单位废除变更后的方案,按照原有方案继续实施 D 通知承建单位暂停实施工作,等待进一步监理指令
60、某信息系统项目总包单位A将机房的空调工程分包给B单位,单位工程师经过勘察现场,提出变更冷媒管路由的新方案。以下关于该方案变更的描述,正确的是(C)
A 变更申请由B单位提出
B 由于B单位负责安装维护,因此变更无需经过审核 C 变更需要通过A单位办理
D 由于B单位工程师专业性更强,因此监理单位不必再次勘察与评审
61、某网络系统项目按总价合同方式约定订购3000米高规格铜缆,由于建设单位的原因,工期暂停半个月,待回复建工后,承建单位以近期铜价上涨为理由,要求建设单位赔偿购买电缆增加的费用,并要求适当延长工期。一下说法正确的是(D)
A 索赔是挽回成本损失的重要手段,因此建设单位应该赔偿承建单位采购电缆增加的费用
B 监理单位应保护承建单位的合法利益,因此应该支持承建单位的索赔要求 C 索赔是合同双方利益的体现,因此承建单位要求增加采购费用是风险费用的转移,可以使项目造价更趋于合理
D 铜价上涨是承建单位应承担的项目风险,不应该要求赔偿费用
67、某信息系统工程由于承建单位原因,导致实施进度严重超期,监理单位准备就此问题召集业主单位、承建单位召开专题会议协商解决,此时给承建单位发出(C)最合适的。
A 监理通知单
B 专题监理报告
C 监理工作联系单
D 停工令 2012上半年信息系统监理师(上午)试题及答案
32、以下关于监理资料整理、归档的描述,不正确的是(A)A 监理资料应在监理工作结束后统一整理归档
B 监理档案的编制及保存应符合国家法律法规和标准规范的要求 C 监理资料的管理应由总监工程师负责,并指定专人具体实施 D 监理资料应按时整理、真实完整、分类有序
33、监理方在编制工程验收监理报告时,应重点说明(C)A 工程竣工准备工作综述 B 验收测试方案与规范 C 验收测试结论与分析 D 项目监理工作总结
34、(C)不属于工程监理验收报告必须包括的内容 A 工程竣工的准备工作综述 B 验收测试方案与规范 C 监理工作流程 D 验收测试结论
39、工程监理单位不按照委托监理合同的约定履行监理义务,对应当监督检查的项目不检查或者不按照规定检查,给建设单位造成损失的,应当(C)A 被处以罚款
B 吊销其资格证书
C 承担相应的赔偿责任 D 承担连带赔偿责任
40、下列不属于违约变更的是(C)
A 因业主方未按时提供项目建设所需要材料所导致的进度延期 B 因前置机房建设任务未竣工而导致的装修延期 C 因地震引起的设备延迟到货而导致的进度延期
D 因承建方指派项目经理经验不足而导致的进度延期
46、当信息工程项目实施过程中出现进度超度的情况时,监理工程师(B)A 应该感到高兴,因为工程可以提前完成
B 需分析进度超前对后续工作产生的影响,并同承建单位协商,合理地调整进度方案
C 督促其余多个平行的承建单位加快进度,以便工程早日完工 D 不必干预
48、监理单位应在信息化建设工程实施完成以后参加单位组织的工程验收,签署(D)意见。
A 业主
B 总监理工程师
C 承建单位
D 监理单位
49、以下关于质量控制点设置原则的叙述,不正确的是(C)A 质量控制点应突出重点 B 质量控制点应易于纠偏
C质量控制点应避免干扰,不能该表 D 质量控制点应利于三方的质量控制
51、以下对监理规划理解不正确的是(D)
A 总监理工程师对监理机构的监理规划和它在工程监理过程中的实施效果进行检查
B 监理规划是对监理委托合同的签订双方责、权、利的进一步细化,具有合同效力
C 监理规划的依据包括建设单位与承建单位签订的合同
D 监理规划应对所有监理项目中的关键点和实施难点设置“质量控制点”
52、监理单位为获得监理任务而编制的文件是(A)A 监理大纲
B 监理规划
C 监理细化
D 监理合同
53、监理合同是监理单位开展工作的依据之一,以下关于监理合同的说法不正确的是(D)
A 监理合同规定了监理工作的成果
B 监理合同规定了主要监理设备由监理单位提供 C 监理合同规定了监理工作的范围
D监理合同规定了由承建单位支付监理费用
54、某信息系统建设项目,由于承建单位项目经历突然离职,造成项目进度延期,并导致监理合同约定的实施周期延长,针对上述情况,(D)的做法是妥当的。
A 监理单位向承建单位索赔,挽回建立损失 B 承建单位要求追加实施费用 C 建设单位立即终止建设合同 D 监理单位要求追加监理费用
55、通过质量认证的企业年审时若质量体系不符合认证要求,认证机构可采取的警告措施是(C)
A 企业通报
B 监督检查
C 认证暂停
D 认证注销
57、由承建单位采购的设备,采购前要向(B)提交设备采购方案,经审查同意后,方可实施。
A 总监理工程师
B 监理工程师
C 总工程师
D设备安装工程师
58、总包单位依法将建设工程分包时,分包工程发生的质量问题应(B)A 由总包单位负责
B 由总包单位负责,分包单位承担连带责任 C 由分包单位负责
D 由总包单位、分包单位、监理单位共同负责 60、项目质量管理由(A)、质量控制和质量保证三方面构成。A 质量计划
B 质量体系
C 质量方针
D 质量措施 简答题:
1、什么是信息系统工程监理? 答:信息系统工程监理是指在政府工商部门注册的且具有信息工程监理资质的单位,受建设单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
2、简述监理实现协调的主要方法?
答:协调工作分为监理内部和外部两部分。项目监理部内部协调: 内部监理人员的工作,既有专业的分工负责又有协作配合。这种协调工作由项目总监理工程师进行。
(1)建立定期的内部工作协调会议;
(2)建立内部各专业监理工作的协调工作程序(即各专业监理工作之间相互关系的流程图);
(3)建立各专业监理工作之间相互配合的制度和规定,如隐检签认的回签制度。项目监理部的外部协调
(1)建立现场各有关单位参加的总协调例会;
(2)计划调度的协调,要审查和优化施工总承包到位提出的施工网络计划,计划的分解落实,人工投入、物资材料供应、机械设备的配置等等;
(3)施工安装组织设计的协调,要审核和优化施工安装组织设计方案,组织设计方案的落实,分段施工作业流水的配合,各专业施工安装的穿插和协调配合,施工作业的交叉和衔接;
(4)费用控制方面的协调,合计方法、原则的统一,计划标准的统一;
(5)合同管理的协调,总承包合同的变更和补充,合同纠纷的调解,按合同的规定进行具体的划项,主要设备、材料的采购和分叉等等;
(6)设计方面的协调,设计图纸的会审;施工图纸供应的计划、设计的变更、施工洽商、设计优化;
(7)业主直接分包的施工安装与总承包单位之间的配合与协调;(8)工程质量的验收标准和检验方法;质量问题的处理协调;(9)工程阶段验收的组织协调;
(10)工程竣工的初验的组织与协调。
3、简述监理实现质量控制的主要手段 答:(1)现场监理。监理人员在承建单位施工期间,用全部或大部分时间在施工现场,对承建单位的各项工程活动进行跟踪监理;
(2)测量。工程中的测量贯穿整个施工监理的全过程。在施工过程中也常采用测量手段进行施工控制;对已完成的工程,也要采取测量手段。在整个监理过程中始终离不开测量手段;
(3)试验。在信息工程质量监理中,对任何项目或项目中的任何部分的质量评估,以判断是否达到标准,其唯一的依据就是试验数据。单纯采用经验的方法,或仅依据目测、感觉,对信息工程质量的任何评价都是不允许的。
(4)严格执行监理程序。只要坚持监理程序,就能控制承建单位的施工程序,这对保证信息工程质量是非常必要的。
(5)指令性文件。采取指令性文件,对承建单位的施工质量进行管理,而承建单位要严格履行和坚持监理工程师对任何事项发出的指示。在质量管理中,监理工程师应当充分利用指令性文件对承建单位进行质量控制;
(6)利用支付控制手段。质量监理是以计量支付为保障手段的,承建单位的任何工程款项的支付,均需由监理工程师开具支付证明。它是保证信息工程质量的根本措施,也是监理工程师在质量监理中的有力手段。
4、简述监理实现进度控制的主要措施
答:进度控制的措施包括组织措施、技术措施、合同措施、经济措施和信息管理措施等。
组织措施主要有:
(1)落实项目监理班子中进度控制部门的人员,具体控制任务和管理职责分工;(2)进行项目分解,如按项目结构分、按项目进展阶段分、按合同结构分,并建立编码体系;
(3)确定进度协工作制度,包括协调会议举行的时间、协调会议的参加人员等等;
(4)对影响进度目标实现的干扰和风险因素进行分析。风险分析要有依据,主要是根据许多统计资料的积累,对各种因素影响进度的概率及进度拖延的损失值进行计算和预测,并应考虑有关项目审批项目对进度的影响等等; 技术措施是采用它以加快施工进度;
合同措施主要有分段发包、提前施工,以及各合同的合同期与进度计划的协调等等;
④经济措施是采用它以保障资金供应;
⑤信息管理措施主要是通过计划进度与实际进度的动态比较,定期地向建设单位提供比较报告;
对于进度工作,应明确一个基本思想:计划不变是相对的,而变是绝对的;平衡是相对的,不平衡是绝对的。要针对变化采取对策,定期地、经常地调整进度计划。
5、业主单位合同违约的原因有哪些? 答:(1)可确认建设单位违约:
建设单位不按时支付项目预付款;
建设单位不按合同约定支付项目款,导致实施无法进行;
建设单位无正当理由不支付项目竣工结算款;
建设单位不履行合同义务或不按合同约定履行业务的其他情况;
(2)建设单位违约包括以下集中情况:
●违反信息系统工程合同设计部分的责任:
未按合同规定的时间提供有关的文件、资料及工作条件等,应承担由此造成的承建单位设计提供的损失;
由于改变计划或提供的资料不准确,而造成的设计返工或增加工作量,应按实际工作量增加设计费用。
●违反信息工程合同实施不分的责任:
未按实际合同规定的时间和要求提供实施场地、实施条件、技术资料、设备、资金等,除将项目日期顺延外,还应偿付承建单位而因此造成停工、窝工的实际损失等;
项目中途停工停建、缓建,应采取措施弥补或减少损失或减少损失;
验收或拨付项目费超过期限,应偿付逾期违约金。
第三篇:信息系统监理工程师
信息系统监理工程师
信息系统监理:简单的一句话解释“在信息化建设中为了减弱信息不对称而引入的第三方独立组织或者机构”。
信息系统工程项目是为了以信息技术手段极大地提高特定业务的效率而建设信息系统的工程项目。信息系统工程监理则是专门以信息系统工程项目为对象的工程监理,其有别于其它行业监理的全部特征,完全是由信息系统工程的独特性所决定的。
由于信息系统工程项目在全部实施过程中不断出现的自我调整和重新优化,项目各方的责任、权利和利益因此随之需要调整和重新划分。这也就为监理方确定了在信息系统工程项目中的更具特色的角色定位,同时也注定了信息系统工程监理必须承担起超出一般监理职责范围的工作。
为了有效地开展监理工作,在切入信息系统工程监理时,作为监理方,必须清醒地知道监理方的定位,定位的内涵涉及监理方的角色定位和功能定位。认清监理方的角色定位,在于明确监理方在项目监理机制中的地位;认清监理方的功能定位,在于让监理方知道根据信息系统工程监理规范,更明确自己应做哪些工作。
一、监理方的角色定位
1.监理机制中的各方关系
信息系统工程监理通常直接面对甲方和承建方,在双方之间形成一种系统的工作关系。监理方与上游供应商的关系虽然在法律上是间接的,但有时也需要直接面对,成为工作关系的一部分。如图一所示。乙方、丙方最终是为甲方服务的。对于政府信息化工程来说,因涉及面广,单一政府部门能力有限,尤其是技术性管理能力不足。甲方往往是业务主管部门或信息化主管部门,甚至有时信息化主管部门直接扮演工程指挥者或协调者的角色。乙方即即工程的建设方,则可能组织结构复杂些,尤其是一些大型的政府信息化工程,往往会涉及分包商。这时,丙方即监理方将在业务主管部门或信息化主管部门的指挥和协调下进行监理工作。
2.监理方的角色
2.1 工作职责
监理方的职责是监督承建方在预算范围内按时保质满足业主要求,其职责的侧重点在监督、报告和建议。而承建方的工作职责是针对业主的业务需求,提出并实现解决方案,其职责侧重点在设计、开发和实现。
2.2 工作成果体现
监理方工作的推进主要可以通过规范的文档机制体现出来。各级文档包括:
1)监理工作计划
2)项目周期性报告(周报、月报)
3)项目的专题报告(建议、评估意见)
4)监理通知
5)监理指令
6)工程支付签认单
7)项目备忘录
8)项目结束总结报告
9)其它(会议纪要、工作规范、说明文件)。等等。
3.监理的对象内容
就机构对象而言,监理对象自然主要是承建方以及信息系统建设所涉及的各参与方。当监理方受政府信息化主管部门委托时,项目的用户方也属于监理对象。就内容而言,监理既应涵盖技术开发层面,又要针对项目管理,两方面相辅相成,缺一不可。通常监理方倾向于关注承建中的技术开发情况,忽略对项目管理方面的监督和管理。经验表明,如果项目管理不配套,监理方对承建方技术开发领域的建议和要求就不能保证得以实现,从而不能实现对项目的控制。监理方可以对某一方案提出事前否决,然而否决之后怎么办呢?由此可见,监理方对技术开发和项目管理的关注应该是并重的。当然,监理方并不能代替甲乙方进行项目管理。
3.1 与甲方的关系处理
由于是甲方(往往就是业主)请监理公司来做监理,因此它是监理公司的上帝。监理公司应时刻牢记自己是在给甲方提供监理服务,所有工作的出发点都应是甲方的利益以及项目的成功。
与甲方的关系必须紧密而友善,这是监理工作能够正常开展的前提。但同时,必须注意到一个事实:甲方的某个或某些业务人员的观点并不一定代表甲方的利益,这也正是“明智的甲方高层领导会要求监理方对甲方行为也进行监理”的道理所在。所以,监理方与甲方的关系尤其是私人关系又必须有所超脱,在遇到具体问题监理方必须要保证公正、公平,要有自己的看法与原则。
3.2 与乙方即承建方的关系处理
信息系统工程监理的本质都是一种管理工作。管理对象的配合是所有管理工作成功的必备要素。如果没有承建方的配合,监理工作将很难开展起来。
但是这样就涉及到了一个尺度的把握,关系既要密切又要有所超脱。很显然,要做到既让甲方感觉到监理的价值又让承建方感觉监理不仅不是添乱而且能帮助解决实际问题,即两边都能认同监理的价值又能保证项目顺利的进行是一件很困难的事情。但它也可能比较简单地得以实现,那就是充分领会并遵守监理领域里的“守法、诚信、公正、科学”的八字原则。
3.3 技术问题的监理介入方法
由于在一个具体项目中,监理方不可能配备与承建方同样多的人手,所以工作中就必须有所侧重,有所为有所不为,可以概括成一句话:抓大放小。尤其在技术问题上,监理方通常不适合在具体细节上与承建方纠缠。
比如一个应用系统的开发,监理方应该做的是:
检查承建方的开发管理规范与质量控制体系是否符合要求
确保承建方依照这些规范和体系进行开发
对成果进行验收测试,而不是去与承建方的系统分析员讨论数据库表的字段设置或者与程序员探讨一段代码应如何编写。
3.4 分包商的关系协调策略
在一个大型信息系统工程项目的建设中,承建方可能有多个,比如硬件提供商、软件开发商、系统集成商等,或者存有一定的层次结构如总包商、分包商等。对于前者,监理方工作的难度要增大不少,关系与利益的协调工作就更加凸显其重要。
对于后者,监理方应切记不要轻易越权管理,对分包商的监督与管理应当由总包商来负责,监理方对项目的监督管理工作的接口是总包商,一般不涉及分包商,除非有明确约定。
因而,通过上述讨论,对监理方的角色定位应是:独立于甲方和乙方(即承建方)的第三方,但是站在甲方的立场上。监理方受甲方的领导,它不直接对工程行使决定权。
二、监理的功能定位
作为甲方,在确定监理机构的同时,对监理机构的定位也必须明确。这对监理机构正确处理与甲方和乙方即承建方的关系至为关键。通过上述讨论,已初步明确了监理方的角色定位。那么,监理方在日常工作中又应如何定位呢?
其实,监理过程本质上是一种信息交互的过程,其目的是将问题发现在早期阶段。一个信息系统的建设往往是一种涉及多种学科、多种技术的复杂的系统,因而,监理过程也是一种团队工作,为了使信息系统工程能真正地达到信息建设目标,必须通过团队努力使这些学科与技术协调一致地工作。
在信息系统建设过程中,作为监理方,主要应通过发挥监督、控制、协调和建议等方面的作用,确保项目实现质量、进度和成本三个方面的控制目标,作为甲方授权的代表,监理方是甲方的助手,辅助甲方来对项目进行控制和管理。所以,监理的功能定位应是:发现并预警问题,推动问题的解决。
因而,监理方应在信息系统建设的每个阶段,应根据其科学的工作方法和监理经验安排各种监理活动,监督系统建设的各个阶段实施过程的状况。监理方的日常工作是监理方在项目执行过程中最主要的监理活动。通过这些日常的监理活动及时发现系统建设中存在的问题,并加以分析研究。通过监理交流机制及时向甲方汇报,同时提出监理方对上述问题的评估意见和解决方法的建议,使甲方能及时了解实际建设状况,对建设中出现的问题能有客观的认识,并能采取相应的应对措施。监理方还应在甲方授权的情况下直接向用户方和(或)承建方提出合理化建议。
第四篇:信息系统监理验收文档
验收文档准备要求 建设方:
《XXX系统试运行使用报告》或《用户使用报告》; 招标书、合同文件、投标书、工程变更文件、协议、备忘录 项目初期文件; 测试方:
《XXX系统测试报告》 开发方:(软件部分) 项目开发计划:
系统软件到货验收报告: 系统软件安装报告 应用系统配置详细清单: 应用系统安装手册: 应用系统使用手册: 系统需求规格说明书: 概要设计说明书/总体设计 应用系统实施方案; 详细设计说明书
应用系统测试计划 应用系统测试用例: 应用系统测试报告
应用系统操作手册: 应用系统维护手册:
相关培训文档:(系统培训手册和培训记录等)(硬件部分) 项目详细设计方案 项目实施方案 项目系统运行维护方案 培训方案 网络拓扑图
设备连接图(跳线架连接表、设备连接对照表等) 存储拓扑图
机柜分布图(分为网络设备和服务器) 系统安装维护手册 系统参数配置手册 设备和软件明细表 设备到货验收报告 设备安装调试报告 测试大纲及方案
测试记录(自检报告、包含加电测试) 测试报告(三方测试、包含加电测试) 工程变更单 初步验收报告
系统验收报告
监理方:
监理工作报告;
验收情况监理意见 或 监理评估报告 监理规划和监理细则 验收会议文件:
工程验收报告(开发方准备)提供单位:工程验收组 工程建设工作报告 提供单位:开发商 监理工作报告 提供单位:监理公司 用户使用报告 提供单位 : 建设单位 系统测试报告
提供单位:工程测试小组或第三测方测试单位 资料审查和培训审查报告 提供单位:工程文档验收小组 验收会议议程
提供单位:工程验收小组
第五篇:信息系统监理与信息系统审计
信息系统监理与信息系统审计
[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业发展的若干建议。
[关键词]信息系统信息系统监理信息系统审计比较独立性
引言
“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为“所制作的报告缺乏一贯性”或者是“核对信息花费了太多时间”的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介 入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
信息系统监理
信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理”资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。”2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。
信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实
现,最终保证项目建设总工期的实现。
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。
信息系统监理的主要业务和依据
1、信息系统监理的主要业务
信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:
帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;
审定承建单位的开工报告、系统实施方案、施工进度计划;
对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;
审查和处理工程变更;
参与工程质量和其他事故调查;
调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;
组织进行竣工验收测试。
组织建设单位和承建单位完成工程移交。
2、信息系统监理的依据
信息系统监理的依据如下:
国务院颁发的《质量振兴纲要》;
现行国家、各省、市、自治区的有关法律、法规、规定;
国际、国内IT行业质量标准规范;
建设单位和承建单位的合同;
将来还有国家标准,例如《信息化工程监理规范》等。
信息系统监理的程序
图3信息系统监理的程序
信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。
信息系统审计
信息系统审计概念
信息系统审计是全部审计过程的一个部分,信息系统审计(ISaudit)目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:
可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?
保密性——系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
完整性——信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
信息系统审计产生动因及其发展
1、信息系统审计产生动因分析
关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。
2、信息系统审计在国际上的发展
信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%——50%的速度增加,说明信息系统审计正逐渐受到重视。
美国在计算机进入实用阶段时就开始提出系统审计(SYSTEMAUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系统审计在国内的发展
目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。
信息系统审计的理论基础
信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。
如图3所示,信息系统审计是建立在四个理论基础之上的:
传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。
计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。
图4 :IS审计的理论基础
信息系统审计的基本业务和依据
1、信息系统审计的基本业务
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
灾难恢复和业务持续计划审计;
对系统运营效能、投资回报率及应用开发测试审计;
系统的安全审计;
网站的信誉审计;
全面控制审计等。
一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:
信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
2、信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(CISA)持有者有关职业上及个人的指导规范。
信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
信息系统审计流程
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否
基于风险的审计方法
很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(ControlBased)演变为基于风险(RiskBased)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
基于风险方法来进行审计的步骤是:
编制组织使用的信息系统清单并对其进行分类。
决定哪些系统影响关键功能和资产。
评估哪些风险影响这些系统及对商业运做的冲击。
在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。
信息系统监理与信息系统审计之对比分析
从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而 我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
信息系统监理与信息系统审计之对比,可归纳出以下特点:
两者性质相同,都是第三方监督,但对独立性的要求有差别。
两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”,但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。
客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(ThephilosophyofAuditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitionerindependence)和职业的独立性(Professionindependence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(ThomasGHiggins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性”。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。
国外信息系统审计已经发展为较完善的行业监督体系。
目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。
美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。
两者业务范围和目的均有所差别。
信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。
1、两者业务范围差别
信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
2、两者目的差别
信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。
所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。
所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。
所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。
所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。
信息系统审计具有较完善的职业教育和认证体系。
国际信息
系
统
审
计
与
控
制
协
会
ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(CertifiedInformationSystemAuditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。
对信息系统监理的建议
目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。
面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研究的基础上提出如下具体建议:
建立健全的管理体制与法律法规体系,尽快形成统一、规范、竞争、有序的信息系统工程监理服务市场。
各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。
鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。
尽快建立信息系统工程监理的标准和执业规范。
推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。
开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。
执业程序要统一。“四大”发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对“四大”的统一的执业程序的认同,超过了对其名称品牌的认同。
培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。
总之,我国信息系统监理事业发展几年来,虽然取得了一定成绩,但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题,监理企业面临前所未有的严峻挑战。但是机遇与挑战同在,我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势,发挥自身的能动力量,积极参与竞争,加强与国际同行的合作交流,借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法,把我国的信息系统监理事业做稳、做实、做大,做出我国的监理和咨询品牌。