2.1信息系统服务管理体系

    自1993年以来，在我国多年发展信息产业、推广信息技术应用的基础上，开始全

面启动国民经济和社会信息化建设。随着信息技术的飞速发展，信息系统也越来越深入

到社会各阶层。这些年来我国在信息系统建设和信息产业发展方面也相应取得了巨大成

绩，积累了宝贵经验，主流是健康的。但是，信息系统建设随后也陆续暴露出各种问题，

虽然不是主流，但也不容忽视。对信息系统服务的引导和管理，逐渐成为主管部门

刻不容缓的大事。我国的信息化建设也是在解决问题的过程中逐步推进，形成我国自己

的信息服务管理体系。

2.1.1信息系统服务管理的内容

    信息系统服务是一个范围相当广泛的概念，所有以满足企业和机构的业务发展所带

来的信息化需求为目的，基于信息技术和信息化理念而提供的专业信息技术咨询服务、

系统集成服务、技术支持服务等工作，都属于信息系统服务的范畴。其中信息技术咨询

服务是信息系统服务的前端环节，为企业提供信息化建设规划和解决方案。而根据信息

化建设方案选择合适的软硬件产品搭建信息化平台，根据企业的业务流程和管理要求进

行软件和应用开发，以及系统建成后的长期维护和升级换代等，属于信息系绕服务的中

间及下游环节，是信息系统服务在不同时期、不同阶段的具体表现，覆盖了各行各业信

息化建设的全过程。

    在我国的信息化建设过程中，信息系统服务存在诸多问题，普遍存在的主要问题

如下。

    (1)系统质量不能满足应用的基本需求。

    (2)工程进度拖后延期。

    (3)项目资金使用不合理或严重超出预算。

    (4)项目文档不全甚至严重缺失。

    (5)在项目实施过程中系统业务需求一变再变。

    (6)在项目实施过程中经常出现扯皮、推诿现象。

    (7)系统存在着安全漏洞和隐患。

    (8)重硬件轻软件，重开发轻维护，重建设轻使用。

    这些问题严重阻碍着信息化建设进程，甚至产生了令人痛心的豆腐渣工程。有些项

目，虽然资金投入了，系统却没有建起来：或者，虽然系统建立了，却是个运转不起来

的死系统，等等。于是导致投资见不到效果，见不到效益，使国家和用户单位蒙受极大

经济损失。

    究其原因，自然要具体问题具体分析，而且不同项目之间也往往存在着差异，但概

括起来，主要有以下4点。

    (1)不具备能力的单位搅乱系统集成市场。

    (2) -些建设单位在选择项目承建单位和进行业务需求分析方面有误。

    (3)信息系统集成企业自身建设有待加强。

    (4)缺乏相应的机制和制度。

    我国信息产业与信息化建设的主管部门和领导机构，在积极推进信息化建设的过程

中对所产生的问题予以密切关注并且逐步采取了有效措施，各省、自治区、直辖市、计

划单列市等地方的信息产业及信息化主管部门也积极参与并且发挥创造性，进行了

有益的探索。

    为了保证信息系统工程项目投资、质量、进度及效果各方面处于良好的可控状态，

在针对出现的问题不断采取相应措施的探索过程中，逐步形成了我们的信息系统服务管

理体系。当前我国信息系统服务管理的主要内容如下。

    (l)计算机信息系统集成单位资质管理。

    (2)倍息系统项目经理资格管理。

    (3)信息系统工程监理单位资质管理。

    (4)信息系统工程监理人员瓷格管理。

    在市场经济条件下，主管部门的作用是加强“引导、规范、监管、服务”，而

信息系统工程的突出特点是投资和风险都报巨大，因此主管部门对其进行合理规范

与监管显得尤为重要。但是，我们也清醒地认识到这些制度需要与时俱进，同时也要考

虑发挥市场经济中市场的力量，因此，研究与探讨国际上IT治理与管理的先进经验，建

立有中国特色的相对完善的信息系统工程监审制度，规范信息化建设市场的秩序，保证

信息系统工程的质量，降低风险，提高信息系统工程的效率与效益，培育高素质的中介

服务机构和从业人员，是加快推进我国信息化建设步伐的一项重要工作。主管部门

也在不断探索，逐步引入和推行如IT服务管理体系认证、信息安全管理体系认证、IT

审计、IT治理等制度。

2.1.2 信息系统服务管理的推进

    我国信息系统服务管理体系的形成，可以说是在解决问题的过程中逐步推进产生

的，在此，介绍二下我国现行几种信息系统服务管理内容的形成和推进过程。

    1．实施计算机信息系统集成资质管理制度

    1)推荐优秀系统集成商

    针对1993年以后开展“金”系列工程中出现的少数单位鱼目混珠、搅乱信息系统

集成市场的问题，1996年7月，由原电子工业部“金”系列工程办公室主办，中国软件

评测中心承办，开展了“全国优秀系统集成商推荐活动”。这次共评选出内资优秀系统集

成企业、外资优秀系统集成企业、技术最强系统集成企业、最佳增值服务系统集成企业、

最受用户欢迎系统集成企业、最佳经营系统集成企业、最佳售后服务系统集成企业七大

类40家优秀系统集成企业，共收集这些公司及另外一些公司的系统集成案例125个。这

次活动架起了企业和用户之间的桥梁，为信息系统的建设单位选择承建单位创造了条件，

为产业主管部门制订相关提供了参考依据，也为后来开展信息系统集成企业资质认

证工作积累了经验。

  2)对信息系统集成企业进行资质认证

  1998年信息产业部成立后，便开始酝酿推行信息系统集成资质认证制度，并将其列

为1999年重点工作之一。经过将近一年的调查研究、文件起草等筹备过程，1999年11

月信息产业部发出了《计算机信息系统集成资质管理办法（试行）》（信部规[1999]1047

弓文，以下简称1047号文），决定从2000年1月1日起实施计算机信息系统集成资质认

证制度。1047号文明确界定：计算机信息系统集成是指从事计算机应用系统工程和网络

系统工程的总体策划、设计、开发、实施、服务及保障；计算机信息系统集成的资质是

指从事计算机信息系统集成的综合能力，包括技术水平、管理水平、服务水平、质量保

证能力、技术装备、系统建设质量、人员构成与素质、经营业绩、资产状况等要素；计

算机信息系统集成资质等级从高到低依次为一、二、三、四级。

    与此同时，《计算机信息系统集成资质等级评定条件(试行)》也已完成起草工作，

并且在首批申请资质的21个企业中试行，经修改后于2000年9月发布《关于发布计

算机信息系统集成资质等级评定条件的通知》（信部规[2000] 821号文，以下简称821

号文）。

    经过3年多的评审实践证明821号文所发布的等级条件是切实可行的。但是，随着

计算机信息系统集成事业的不断发展和计算机信息系统集成企业综合能力的不断提高，

需要对821号文规定的等级条件进行相应调整。为此，信息产业部于2003年10月颁布

了《关于发布计算机信息系统集成资质等级评定条件（修订版）的通知≯（参见信部规

[2003]440号文，以下简称440号文）。

    自2000年9月II日公布首批获得计算机信息系统集成资质证书名单（共21家企业）

开始，至2008年6月止，已有2592家企业获得相应资质证书，其中：一级172家；二

级438家；三级14家；四级493家。

    计算机信息系统集成资质认证工作开展以来，成绩显著，影响巨大，主要表

现在如下方面。

    (1)认证工作及结果被各级和社会各界广泛认同，例如：

    2000年12月28日发布的北京市令（第67号）第十条规定：“未经资质认

证的单位，不得承揽或者以其他单位名义承揽信息化工程”；第十一条规定：“建设单位

不得将信息化工程项目发包给不具备相关资质等级的单位”。

    2001年9月12日国家保密局发出的《关于印发（涉及国家秘密的计算机信息系统

集成资质管理办法（试行））的通知》中，把“具有信息产业部颁发的《计算机信息系统

集成资质证书》（一级或二级）”作为“涉密系统集成单位”的必要条件。

    2002年9月18日《转发信息化工作办公室关于振兴软件产业

行动纲要的通知》（国办发[2002147号文）要求：认真贯彻执行《振兴软件产业行动纲要》。

在该行动纲要中要求；“对国家重大信息化工程实行招标制、工程监理制，承担单位实行

资质认证”；而且，行动纲要明确规定：“利用财政性资金建设的信息化工程，用于购买

软件产品和服务的资金原则上不得低于总投资的30”。这就进一步加大了信息产业部

信部规[2000]821号文中关于信息系统集成项目中关于“软件费用应占工程项目总值的

30%以上”这一要求的贯彻力虚。

    现在，企业的计算机信息系统集成资质已成为信息系统建设单位在选择承建单位时

的重要依据，或者说成为系统集成企业承揽信息系统工程特别是重大信息系统工程的必

要条件。

    (2)资质认证过程中要对企业的软件开发和系统集成的人员队伍、环境设备、质保

体系、服务体系、培训体系、软件成果及所占比例、注册资本及财务状况、营业规模及

业绩、项目质量、单位信誉等各方面进行严格审查，还要进行每年一次自检、每两年一

次年检和每4年一次换证等检查。这一方面使系统集成企业受到严格的社会监督，另一

方面也使得企业的综合实力和素质有了显著提高。

    (3)有效地规范了信息系统集成市场，使皮包商钻空子和搅乱市场秩序的状况得到

控制。

    (4)信息系统工程质量显著提高。

    (5)对于广大用户为支持软件与系统集成业发展创造良好环境起到引导作用。例如，

过去普遍重视硬件轻视软件，现在逐步提高了对软件价值、系统集成价值和服务价值的

认识。

    2．推行项目经理制度

    信息系统的建设单位，不仅关心信息系统承建单位的资质等级，还关心企业最终委

派哪些人投入到该项目，特别是由哪一位出任项目经理。因为，有可能项目承包单位具

有相应的资质等级，但是，由于各种原因，没能把具有相应资质祁能力的人员安排到项

目中。尤其需要强调的是，如采项目经理不够格，用户还是难于对该项目的完成建立信

心，当然也难于对承建单位放心满意。所以，实行项目经理制是系统集成资质认证深入

开展的必然结果，是保证信息系统工程质量的必要措施。

    为此，信息产业部从2001年初就开始实施计算机信息系统集成项目经理制进行调

研和相关文件起草的工作。在此过程中得到了社会各界特别是广大信息系统集成企业的

大力支持。这一调研和相关文件起草过程本身其实就是一个动员过程。受信息产业部委

托，中国软件评测中心于2001年8月成功地举办了软件与计算机信息系统集成项目管理

研讨会，并且出版了《软件与计算机信息系统集成项目管理文集>。这次会议所取得的成

果对加快推进信息系统集成项目经理制度实施产生了重要影响。

    2002年8月28日，信息产业部发出《关于发布<计算机信息系统集成项目经理资质

管理办法（试行）>的通知》（信部规【2002] 382号文），决定在计算机信息系统集成行业

推行项目经理制度。

    为了叙述的方便，此处将《计算机信息系统集成项目经理资质管理办法（试行）》

简称为《项目经理管理办法》。

    《项目经理管理办法》首先界定了此处所指的项目经理的含义，指出：计算机信息

系统集成项目经理是指从事计算机信息系统集成业务的企、事业单位法定代表人在计算

机信息系统集成项目中的代表人，是受系统集成企、事业单位法定代表人委托对系统集

成项目全面负责的项目臀理者。

    《项目经理管理办法》将系统集成项目经理分为项目经理、高级项目经理和资深项

目经理三个级别，并且分别列出了这三个级别的评定条件。

    《项目经理管理办法》对系统集成项目经理的职责和职业范围提出了明确要求，对

其资质的申请及审批流程做出了明确规定，并且就系统集成项目经理的监督管理做出了

较为详细的具体规定。

    《项目经理管理办法》发布以后，信息产业部首先抓的就是项目经理培训。广大信

息系统集成企业积极响应，踊跃报名：参加培训班的学员态度认真，兴趣盎然，在实践

总结和理论提高方面都收获颇丰。项目经理培训确实促进了系统集成资质认证工作向深

入发展，为保证信息系统工程质量增添了有力手段，也为开展信息系统工程监理创造了

条件。

    截止2008年6月止，已有28 044人获得系统集成项目经理资质证书，4744人获得

系统集成高级项目经理资质证书。

    3．推行信息系统工程监理制度

    1)在实施系统集成资质认证制度的基础上推行信息系统工程监理制度

    以质量为中心的信息系统工程控制管理工作是由三方——建设单位（主建方）、集

成单位（承建单位）和监理单位——分工合作实施的。这三方的能力和水平都会直接影

响到信息系统工程的质量、进度、成本等方面。所卧，在1999年，信息产业部开始酝酿

推行信息系统集成资质认证制度的同时。也明确地把推行信息系统工程监理制度的有关

筹备工作作为1999年的重点工作。但是，考虑到系统集成资质认证工作不仅对提高系统

集成企业的核心能力、保证信息系统工程质量起重要作用，而且是实施工程监理制的一

项基础性、前提性工作，于是信息产业部还是从行业自律入手，首先抓好信息系统集成

资质认证制度的实施。

    系统工程监理与系统集成是性质不同的两类业务，所以，系统工程监理资质管理与

系统集成资质管理有很大差别。例如，当1999年筹划推行系统集成资质认证制度的时候，

我国的系统集成业已经是一个具有相当规模的，并且正在迅速成长的行业，而当时我国

的信息系统工程监理可以说还没有真正形成，我们在筹划推行信息系统工程监理制度的

同时也肩负着培育这个行业的艰巨任务，这就决定了信息系统工程监理资质管理的难度

较大；但是，另一方面，只要我们保持清醒头脑，注意及时发现问题并且采取有效措施

及时解决问题，就能使信息系统工程监理这个行业在它起步和发育成长期就处在规范化

的良好的环境中。

    2)确定信息系统工程监理管理体系框架

    在进行了两年多的调查研究和文件起草等项工作之后，信息产业部于2002年11月

28日发出《关于发布<信息系统工程监理暂行规定>的通知》(倍部信(2002) 570号）。

发布该暂行规定的主要目的是：推进国民经济和社会信息化建设，加强信息系统工程监

理市场的规范化管理，确保信息系统工程的安全和质量。信息产业部在其中的主要职责

是：根据“三定”方案赋予的职能，加强对信息系统工程监理的行业管理。该暂

行规定发布的意义是：初步确定了信息系统工程监理管理体系的框架。

    信息产业部2003年3月26日发出《关于印发<信息系统工程监理单位资质管理办

法>和<信息系统工程监理工程师资格管理办法>的通知》（信部信[2003]142号文），所发

布的这两个管理办法与信部信[2002]570号文相配套，自此信息系统工程监理开始驶入规

范健康发展的轨道。

    3)发布信息系统工程监理资质等级条件

    信部信[2003]142号文件所发布的《信息系统信息系统监理单位资质管理办法》的“第

二章资质等级条件”，阐明了甲、乙、丙各级监理单位所应具备的基本条件，对于推动我

国信息系统工程监理事业健康发展，起到了积极的历史作用。为了使监理企业资质认证

更具可操作性，使监理企业在加强自身建设方面有更明确的努力方向和更具体的奋斗目

标和促进监理市场的规范化和健康发展，信息产业部计算机信息系统榘成资质认证工作

办公室于2004年5月1 1日发出《关于印发<信息系统工程监理资质等级评定条件（试

行）>的通知》（信计资【2004] 010号文）。010号文件从综合条件、业绩、监理能力、人

才实力4个方面共计1 描述了甲、乙级监理企业的等级条件：对于丙级监理企业，其

条件虽然也覆盖了上述4个方面，但简化为10条。

2.2信息系统集成资质管理

2.2.1信息系统集成资质管理的必要性和意义

    这些年系统集成业的发展主流是健康的。但是，也确实存在着一些问题，不容忽视。

首先，一个重要问题是用户在选择集成商的时候缺少依据和标准，特别是在重大项目招

标和实施过程中，缺少必要的监督、检查；此外，有些重大工程项目中的一些流程，包

括软件、程序、存档材料，缺少标准，也比较乱，也给项目中软件升级方面造成不少困

难。在金系列信息化工程开始后不久，我们就发现了这些问题。第二个问题是：由于国

家信息系统工程建设要求参与竞标的企业有资质和业绩，而我们当时还没有给企业确认

资质等级，所以相当多的企业在参与国际竞争中有困难。第三个问题是：少数不具备承

建信息系统工程能力的单位甚至个人，搅乱市场秩序，破坏“游戏规则”，通过各种各

样关系，采用不正当手段，拿到了项目，又不能很好完成这些项目，信息工程完成之日，

也是这个项目死亡之时，没有很好发挥作用，为国家和用户部门造成极大经济损失，产

生了很坏的社会影响。一些地区和行业主管部门陆续向我们反映这样的情况，已经引起

了当时的电子工业部的领导同志的重视，认识到到开展计算机信息系统桌成企业资质认

证工作确实是迫在眉睫，势在必行。1996年7月，由当时的电子工业部计算机与信息化

推进司暨金系列工程办公室主办，中国软件评测中心承办，开展了“全国优秀系统集成

商评选推荐活动’’。这次共评选出技术最强系统集成企业、最佳增值服务系统集成企业

等七大类40家优秀系统集成企业，共收集系统集成案例125个。应该说这次活动为企业

和用户之间架起了一个桥梁，为日后信息系统相关制定提供了参考依据，为信息系

统的主建单位选择承建单位创造了条件，是为日后开展计算机信息系统集成企业资质认

证工作进行的有益探索。1998年信息产业部一成立，便将信息系统企业资质认证列入正

式工作日程，并组织有关单位，主要是CCID、中国软件评测中心，做了大量调查研究

和各项准备工作，于1999年1 1月份发出了《计算机信息系统集成资质管理办法（试行）》

（信部规[1999] 1047号文件），决定从2000年1月1日起开始做试点工作。实际上，

当时我们已经拟定出资质等级条件，作为试点工作中评审的尺度，这个条件上周由信部

规[2000] 821号文件公布了。资质认证工作至少有如下4个方面的意义。

    (1)有利于用户选择项目承建单位。

    (2)有剁于系统集成企业展示自身实力，参与市场竞争；按照等级条件，加强自身

建设。

    (3)有利于规范信息系统集成市场。

    (4)有利于保证信息系统工程质量。

2.2.2信息系统集成资质管理亦法

    信息产业部于1999年1 1月份发出了《计算机信息系统集成资质管理办法（试行）》

（信部规[1999] 1(}47号文件)．后面陆续出台了一些细则及补充办法。下面从管理原

则、管理体系、工作流程来了解信息系统集成资质管理办法。

  1．管理原则

  计算机信息系统集成资质认证工作根据认证和审批分离的原则，按照先由认证机构

认证，再由信息产业主管部门审批的工作程序进行。

  2．管理体系

  资质管理包括资质评审和审批、年度监督、升级、降级、取消及其他相关内容。

  资质管理涉及从事信息系统集成业务的单位、信息产业部、省市信息产建设单位管

部门、信息产业部授权的资质评审机构、省市信息产业部门授权的资质评审机构等等。

    信息产业部负责全国信息系统集成的行业管理工作，审批及管理一、二级信息系统

集成资质：省、自治区、直辖市（以下简称省市）信息产建设单位管部门负责本行政区

域内信息系统集成的行业管理工作，审批及管理本行政区域内三、四级信息系统集成单

位资质，初审本行政区域内一、二级信息系统集成单位。

    3．盗质评定

    资质评定按照评审和审批分离的原则进行。工作程序如下。

    1)资质评审

    (1)评审申请，首先，由从事信息系统集成业务的单位向相应的评审机构提出评审

申请。信息产业部授权的资质评审机构可以受理申请一、二、三、四级资质的评审；省

市信息产建设单位管部门授权的资质评审机构可以受理申请兰、四级资质的评审；未设

置评审机构的可委托信息产业部授权的或其他省市授权的评审机构评审。

    申请单位应按规定提交申请资料。

    (2)评审申请的受理和资料审查。评审机构在受理申请时，主要检查如下内容。

    ·所提供的盗料是否齐全。

    ·所提供的资料是否符合相关格式要求。

    ·与所申请的资质等级对照，检查所提供的资料有无明显不符合要求之处。

    (3)对申请单位进行现场审查。资料审查通过之后，评审机构对申请单位进行现场

审查。现场审查的要点如下。

    ·以相应的资质等级条件为基准，以企业的真实情况为凭据，进行认真的、实事求

    是的审查。

    ·对上一步骤中所完成的资料审查进行现场核实印证。

    ·对需要审查但若不到现场则无法审查的内容进行审查。

    (4)出具评审报告。在赘料审查和现场评审之后，评审机构出具评审报告，对于申

请单位是否符合所申请的资质等级条件给出结论性意见。

  2)资质审批

  (1)审批申请。经评审机构评审合格后，申请单位向省市信息产建设单位管部门提

出审批申请，此时须提供如下资料。

    ·相应的申请资料。

    ·评审机构出具的评审报告。

    (2)审批。

    一、二级资质申请，由省市信息产建设单位管部门初审，报信息产业部审批。

    三、四级资质申请，由省市信息产建设单位管部门审批，报信息产业部备案。

    获得信息系统集成资质的单位，由信息产业部统一颁发《计算机信息系统集成资质

证书》。

2.2.3信息系统集成资质等级条件

  信息产业部于2000年9月发布《关于发布计算机信息系统集成资质等级评定条件

的通知>（信部规[2000] 821号文），于2003年10月颁布了《关于发布计算机信息系统

集成资质等级评定条件（修订版）的通知》（信部规[2003]440号文）。系统集成资质等级

评定条件主要由综合条件、业绩、管理能力、技术实力、人才实力5个方面描述的。

    1．综合条件

    综合条件从企业的从业年限、获取低一级资质年数、主业是否为系统集成、注册资

金、近三年系统集成年均收入、经济财务状况、企业信誉度等基本情况来衡量。

    1)注册资金数曰

    注册资金数目在一定程度上反映了企业的经济实力和承担风险的能力。不同级别要

求注册资金大小的差异，表明高级资质能力更强。

    2)经济运行状况

    对系统集成企业都要求经济运行状况良好。如果企业近三年中连续两年亏损，或虽

只有一年亏损，但亏损额较大则说明其经济运行状况不好。

    注意，企业的经济运行状况应由有资质的审计机构提供的财务数据说明，或以其他

方式证明企业所提供的财务数据是可信的。

  3)企业信誉度

  企业必须从提高自身的综合实力和提高对客户的服务水平及效果上下功夫以提高

并保持其信誉度。

    企业必须重视来自客户的意见反馈。只要有客户投诉，就应该认真调查。

    2．业绩

    业绩要求主要从企业近三年完成的系统集成项目额、项目规模、项目的技术含量、

项目的软件费用比例、项目的实施质量、企业所完成项目在主要业务领域的水平等方面

衡量。

    不同级别的主要差别，不仅体现在其项目的数量上，而且也体现在项目的规模、技

术含量、完成的质量上。

    请注意，此处要求一定是“完成”了的项目才能计入业绩，不包括正在进行中的项

耳。也就是说，经过建设单位签字、验收了的项目才算完成，这也表明建设单位对项目

质量的认可。

    3．管理能力

    管理能力要求主要从质量管理、客户服务、企业的信息管理系统、企业负责人以及

技术、财务负责人等方面能力衡量。

    1)质量管理体系

    对不同级别的系统集成企业都要求建立有质量管理体系并能有效实施。对高级资质

还要求要通过第三方认证机构的认证，且不同级别还从取得认证的时间上有不同的

要求。

    注意，条件中要求有效实施是指：

    ①企业在运作过程中严格执行单位制度文件和质量体系文件。

    ②有详细完整的实施记录。

    @有可视化的实施效果。

    2)客户服务管理

    对不同级别的系统集成企业要求建立有客户服务制度，并配备专门客服部门和客服

人员。越高级别要求越高。

    4．技术实力

    各级别的技术实力要求主要从企业在某些业务领域的实力、软件研发能力、开发环

境、研发投入等方面衡量。

    1)业务领域

    对不同级别的系统集成企业都要求有明确或主要的业务领域，而且在主要的业努领

域上技术实力、市场占有率有不同的要求。

    2)软件开发能力

    主要从企业自主开发的软件平台、软件产品的情况衡量，同时也要求所开发的软件

应应用到系统集成项目上。同时开发能力也体现在开发环境和研发投入费用上。

    5．人才实力

    各级别的人才实力要求主要从工程技术人员、本科以上人员比例、项目经理数目、

培训体系和人力资源管理水平等方面衡量。

    项目经理数量是最能体现企业对系统集成项目实施和管理能力的指标。

2.3信息系统工程监理

    1．实施信息系统工程监理的意义

    在信息系统工程建设中实施监理可以为工程建设提供更合理、更专业、更全面的

保证。

    (1)信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资，

并合理、客观的处理好它们之间的关系。监理是由第三方的依据相关技术标准来对

工程建设进行监督，这样尤其是对信息系统工程的建设质量更能起到保驾护航的作

用。在项目建设全过程中，监理单位要依据国家有关法律和相关技术标准，遵循守法、

公平、公正、的原则，对信息系统建设的过程进行监督和控制，其实就是要在确保

质量、安全和有效性的前提下，合理的安排进度和投资。其实，监理单位是帮助业主单

位对工程有关方面控制的再控制，就是对承建单位项目控制过程的监督管理。

    (2)监理可以合理地协调业主单位和建设单位之间的关系，其实这也是监理的一项

主要工作。在信息系统工程建设中，很多时候业主单位和承建单位有许多问题存在争议，

业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个

阶段的效果都给予公正、恰当、权威的评价，这就需要监理单位来协调和保障这些工作

的顺利进行。

    (3)倍息系统工程监理可以有助于第三方的专业化服务功能。由于业主单位在信息

技术等相关领域普遍存在缺乏人才和经验不足的问题，实践证明业主单位自行管理对于

提高项目投资的效益和建设水平是无益的。通过第三方的专业服务，帮助业主单位对项

目实施控制，并对业主单位和承建单位都做出约束，是监理作用的一个重要的体现。

    2．信息系统工程监理的相关概念、工作内容

    1)信息系统工程监理的相关概念

    下面介绍信息系统工程监理几个重要的概念。

    (l)信息系统工程。信息系统工程是指信息化工程建设中的信息网络系统、信息资

源系统、信息应用系统的新建、升级、改造工程。

    ①信息网络系统；是指以信息技术为主要手段建立的信息处理、传输、交换和分

发的计算机网络系统。

    ②信息资源系统：是指以信息技术为主要手段建立的信息资源采集、存储、处理

的资源系统。

    ③信息应用系统：是指以信息技术为主要手段建立的各类业务管理的应用系统。

    (2)信息系统工程监理。信息系统工程监理是指在工商管理部门注册的且具有

信息系统工程监理资质的单位，受建设单位委托，依据国家有关法律法规、技术标准和

信息系统工程监理合同，对信息系统工程项目实施的监督管理。

   (3)信息系统工程监理单位。广义地说，从事信息系统工程监理业务的单位称为信

息系统工程监理单位。

    从行业管理的角度讲，信息系统工程监理单位是指具有企业法人资格，并具备

规定数量的监理工程师和注册资金、必要的软硬件设备、完善的管理制度和质量保证体

系、固定的工作场所和相关的监理工作业绩，取得信息产业部颁发的《信息系统工程监

理资质证书》，从事信息系统工程监理业务的单位。本书所称监理单位一般是指持有监理

资质证书的单位。

    为区别信息系统工程监理单位在实力、能力、条件、业绩等方面的差异以适应信息

系统工程由于级别、规模、复杂度、难度、应用范围等方面的区别而产生的不同需求，

信息系统工程监理单位分为甲、乙、丙三级。

    (4)信息系统工程监理人员。从事信息系统工程监理业务的人员称为信息系统工程

监理人员。

    信息系统工程监理资格证书是信息系统工程监理从业的必要条件，而拥有相应数量

的、持有信息系统工程监理资格证书的从业人员又是一个企业单位取得信息系统工程监

理资质的必要条件。

    信息系统工程监理资格证书包括高级监理工程师、监理工程师和监理员等。

    2)监理内容

    监理活动的主要内容被概括为“四控、三管、一协谰”。

    (l)四控：

    信息系统工程质量控制；信息系统工程进度控制：信息系统工程投资控制；信息系

统工程变更控制。

    (2)三管：

    信息系统工程合同管理；信息系统工程信息管理；信息系统工程安全管理。

    (3)一协调：

    在信息系统工程实施过程中协调有关单位及人员间的工作关系。

    3．信息系统工程监理事业的发展进程

    1)我国信息系统工程监理产生的背景

    我国加入世界贸易组织后，面临新的机遇与挑战，信息化对提升国家竞争力的作用

日益显现，国家对信息化建设的投入进一步加大，信息系统工程建设市场发展迅猛。

    在我国，根据权威调查表明，大约70%的企业信息化项目超出预定的开发周期，大

型项目平均超出计划交付时间20% ~50%，90%以上的软件项目开发费用超出预算，并

且项目越大，超出项目计划的程度越高。各种失控风险——-技术风险、服务商风险、过

程风硷、质量风险、进度风险等存在于所有项目之中。由于信息系统工程建设具有投资

大、周期长、高风险的特点，科技含量高，所涉厦的领域宽广，而且在信息系统工程建

设中，很多业主单位，包括部门在实施电子政务过程中，缺乏自身对信息系统工

68    系统集成项目管理工程师教程

程的控制能力，这就使得业主和承建方在信息系统工程建设中存在严重的信息不对称，

很难保证工程的有效性，安全性和可靠性，所以许多业主单位对由专业的第三方监理单

位对信息系统工程进行监理提出了迫切的要求。这既是信息工程用户（业主）的愿望，

也是系统集成商的愿望，信息工程市场呼唤“第三方”——信息系统工程监理的出现。

因此，在信息系统工程建设中实施监理制度是极为必要的，这也是提高信息系统工程建

设项目的投资效率、工程质量、技术性能的可靠保证。由信息系统工程项目规避风险的

需求催生出的信息系统工程监理，寄托着供需双方对项目进展的稳定性和项目评估公正

性的共同期望。

    2)我国信息系统工程监理的发展历程

    我国的信息系统工程监理是从传统的建筑行业的建设监理吸取了经验与思路，结合

IT行业本身特点，逐步试验、摸索起步的。以下所列的标志性信息系统工程监理活动描

述了我国信息系统工程监理的发展历程：

    1995年，原电子工业部就出台了《电子工程建设监理规定(试行)》。该文件的发布，

为我国信息系统工程监理的法规建设开辟了先河。

    1999年6月，深圳市在国内率先出台了包括实施信息工程监理条款在内的《泺

圳市信息工程管理办法》，并要求对首届我国国际高新技术成果交易会信息网络工程实施

监理。

    2002年7月，北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法

（试行）>，要求“本市推行信息系统工程监理制度，建设单位应当通过协议或者招标的方

式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。”

    信息产业部在1999年推出计算机信息系统集成资质管理制度，在信息系统工程建

设中取得了显著成绩，影响巨大。同时也明确地把推行信息系统工程监理制度作为1999

年的重点工作，在进行了两年多的调查研究和文件起草等项工作之后，信息产业部于

2002年11月28日发出了《关于发布<信息系统工程监理暂行规定>的通知》（信部信

[2002]570号），2003年3月26日又发出了《关于印发<信息系统工程监理单位资质管理

办法>和<信息系统工程监理工程师资格管理办法>的通知》（信部信[2003]142号文）。这

标志着我国信息工程监理开始迈向科学化、专业化和规范化。

    2003年1月3日，信息化工作办公室、科技部、信息产业部联合发文，在关

于印发《电子政务工程技术指南>的通知中规定：加强电子政务工程监理市场的规菹化

管理从事电子政务工程监理活动的单位要具备信息产业部信息系统工程监理相应资质，

同一工程的建设和监理要由相互的机构分别承担，监理单位要先于承建单位介入，

没有确立监理单位的工程，建设单位不得开始建设。2004年5月，为了做好监理资质的

评审和审批工作，信息产业部资质办发布了《信息系统工程监理资质等级评定条件（试

行）》。鉴于信息系统工程监理工作尚处于起步阶段，目前申请监理资质的企业与《评定

条件》的要求尚存一定差距，为使这项工作稳步推进，经部资质认证管理委员会同意，

决定设立信息系统工程监理临时资质（部临时资质、地方临时资质）进行过渡。

    2003年10月，人事部与信息产业部联合发布《计算机技术与软件专业技术资格（水

平）考试暂行规定》和《计算机技术与软件专业技术资格（水平）考试实施办法》，明确

地将“信息系统监理师”这一专业技术人员职业资格列为考试科目。2005年1月，国家

人事部、国家信息产业部下发的关于信息技术从业人员资格考试的文件规定全国范围的

信息系统监理师资格考试启动。

    2004年经批准，信息工程监理作为批准保留的500项行政许可项目之一。

    2005年5月1日，中国国家标准化委员会正式发布国家标准《信息化工程监理规范》

( GB/T19668.1-2005)。

    2007年8月，国家发布《国家电子政务工程建设项目管理暂行办法》，该文

件中明确要求：“电子政务项目实行监理制。项目建设单位应按照信息系统工程监理的有

关规定，委托具有信息系统工程相应监理资质的工程监理单位，对项目建设进行工程

监理。”

    4。信息系统工程监理与信息系统集成

    信息系统工程是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系

统的新建、升级、改造工程。信患系统集成对信息系统工程进行总体策划、设计、开发、

实施、服务及保障的过程。由于信息系统工程有其自身的特点：

    (1)科学技术含量高。

    (2)风险大。

    (3)设计与工程实施的紧密结合。

    (4)信息系统工程隐蔽性与现场的不确定性。

    (5)信息安全特性。

    (6)信息系统工程涉及许多与知识产权保护相关的问题。

    这些特点的存在，决定了信息系统工程建设会出现2.1.1节中所提及的诸多问题。

    信息系统集成资质管理制度的出台，从宏观上给予信息系统工程一种制度的保证。

但刚有这种制度，只能保证系统集成单位的能力和规范性，还不能保证在信息系统工程

项目中的具体内容，因此，有必要引入第三方对项目实旌和管理过程的直接监督。

    信息系统工程监理就是对信息系统工程项目的直接监督。信息系统工程监理是指对

信息系统工程建设参与者的行为所进行的监控、督导和评价，并采取相应的管理措施，

保证信息系统工程建设行为符合国家法律、法规和有关，制止建设行为的随意性和

盲目性，促使建设质量、进度、造价按计划（合同）实现，确保建设行为的合法性、科

学性、合理性和经济性。

    以质量为中心的信息系统工程控制管理工作是由三方——建设单位（主建方）、集

成单位（承建单位）和监埋单位——分工合作实施的。这三方的能力和水平都会直接影

响到信息系统工程的质量、进度、成本等方面。三方的强终目标是一致的，那就是高质

量地完成项目，因此，质量控制任务也应该由建设单位、承建单位和监理单位共同完成，

三方都应该建立各自的质量保证体系，而整个项目的质量控制过程也就包括建设单位的

质量控制过程、承建单位的质量控制过程和监理的质量控制过程。

    系统集成承建单位是工程建设的实施方，因此承建单位的质量控制体系能否有效运

行是整个项目质量保障的关键：建设单位作为工程建设的投资方和用户方，应该建立较

完整的工程项目管理体系，这是项目成功的关键因素之一；工程监理单位是工程项目的

监督管理协调方，既要按照自己的质量控制体系从事监理活动，还要对承建单位的质量

控制体系以及建设单位的工程管理体系进行监督和指导，使之能够在工程建设过程中得

到有效的实施，因此，三方协同的质量控制体系是信息工程项目成功的重要因素。

    系统工程监理与系统集成是性质不同的两类业务，所以，系统工程监理资质管理与

系统集成资质管理有很大差别。

2.4 ITII,与IT服务管理、信息系统审计

2.4.1 ITIL与IT服务管理

    1．ITIL的概念及其发展

    1) ITIL概念

    ITIL（IT Infrastructure Library，IT基础设施库）于20世纪80年伐后期开发，现已

成为IT服务管理在世界范围内事实上的标准。起初ITIL仅作为英国在IT服务方面

的指南；现在，随着众多服务管理公司将ITIL作为其服务咨询、培训及软件工具支持的

基础，这套框架体系己被证实适用于所有产业部门的组织。

    ITIL之所以与其他的科学方法不同，在于它只专注于IT运营领域。如果适当的使

用ITIL，它会帮助IT部门大幅提高IT服务的质量，延长计算机系统正常运行的时间，

加快IT服务问题解决速度，实现更安全的服务性能等。

    2) ITIL的发展

    自20世纪80年代中期英国商务部提出信息技术基础架构库(ITIL)以来，ITIL作

为IT服务管理事实上的国际标准已经得到了全球几乎所有IT巨头的全力支持。IBM、

惠普、微软、CA、BMC、ASG等著名公司作为mL的积极倡导者，基于ITIL分

别推出了实施IT服务管理的软件和实施方案。ITIL在欧洲、北美、澳洲已得到广泛应

用，全球l万多家在各行业处于领先地位的著名企业给我们带来了众多实施ITIL的成功

案例，通过实施ITIL大大改进了企业IT服务的质量，促进了IT与各业务行业的融合。

    荷兰首先在该国所有部门采用该标准，并取得了巨大的效盏；之后英国政

府和澳大利亚国防部也相继宣布采纳该标准：宝沽公司(Procter&Gamble)于1997年

起采用ITIL模式后，4年内共节约预算资金达5亿美元，使运营成本削减8%，技术人员

减少20%;

    近年来，ITIL在全球的发展更是异常迅猛。比如说在美国．2001年第一次举办itSMF

（国际1T服务管理论坛）年会的时候只有200人参加，到第二年就有800人参加，2003

年的第三次年会甚至有超过1600人参加。

    ITIL在国外特别是欧美地区可以说是呈现出一种“热火朝天”的景象，那么其在国

内的发展状况又是如何的呢？

    1TIL最早是1999年被引入中国的，从2002年开始，ITIL在国内开始受到越来越多

的关注。

    2．IT服务管理

    ITIL是有关IT服务管理流程的最佳实践，经过近20年的发展，以流程为主线，进

行了全面的扩充，形成了昂终的框架。这个框架现在成为了事实上的IT服务管理(IT

Servic,e Management，ITSM)知识框架体系。

    基于不同的出发点和侧重点，人们提出了各种各样的有关IT服务管理的定义。  国

际rr领域的权威研究机构加特纳(Oarmer)认为，ITSM是一套通过服务级别协议(SLA)

来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活

动和变更管理、贽产管理、问题管理等许多流程的理论和实践。而ITSM领域的国际投

威组织itSMF则认为ITSM是一种以流程为导向、以客户为中心的方法，它通过整合IT

服务与组织业务，提高组织在IT服务提供和服务支持方面的能力及其水平。

    1) IT服务管理的核心思想

    ITSM的核心思想是，IT组织，不管它是企业内部的还是外部的，都是IT服务提供

者，其主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从IT

服务的客户（购买1T服务的）和用户（使用IT服务的）方加以判断。ITSM也是一种

IT管理。不过与传统的IT管理不同，它是一种阻服务为中心的IT管理。

    我们也可以形象地把ITSM称作是IT管理的“ERP解决方案”。从组织层面上来看，

它将企业的IT部门从成本中心转化为服务中心和利润中心：从具体IT运营层面上来看，

它不是传统的以职能为中心的IT管理方式。而是以流程为中心，从复杂的IT管理活动

中梳理出那些核心的流程，比如事故管理、问题管理和配置管理，将这些流程规范化、

标准化，明确定义各个流程的目标和范围、成本和效益、运营步骤、关键成功因素和绩

效指标、有关人员的贵权利，以及各个流程之间的关系。

    实施ITSM的根本目标有以下三个。

    (1)以客户为中心提供IT服务。

    (2)提烘高质量、低成本的服务。

    (3)提供的服务是可准确计价的。

    2) IT服务管理的基本原理

    ITSM的基本原理可简单地用“二次转换”来概括，第一次是“梳理”，第二次是“打

包”，如图2-1所示。

图2-1  ITSM的基本原理图

    首先，将纵向的各种技术管理工作（这是传统IT管理的重点），如服务器管理、网

络管理和系统软件管理等，进行“梳理”，形成典型的流程，比如ⅡIL中的10个流程。

这是第一次转换。流程主要是IT服务提供方内部使用的，客户对他们并不感兴趣。仅有

这些流程并不能保证服务质量而让客户满意，还需将这些流程按需“打包”成特定的IT

服务，然后提供给客户。这是第二次转换。．第一次转换将技术管理转化为流程管理，第

二次转换将流程管理转化为服务管理。

    之所以要进行这样的转换，有多方面的原因。从客户的角度说，IT只是其运营业务

流程的一种手段，不是目的，需要的是IT所实现的功能；客户没有必要，也不可能对

IT有太多的了解，他和IT部门之间的交流，应该使用“商业语言”，而不是“技术语言”，

IT技术对客户应该是透明的。为此，我们需要提供IT服务。为了灵活、及时和有效地

提供这些IT服务，并保证服务质量、准确计算有关成本，服务提供商就必须事先对服务

进行一定程度上的分类和“固化”。流程管理是满足这些要求的一种此较理想的方式。

    3) IT服务管理的范围

    ITSM适用于IT管理而不是企业的业务管理。清楚这点非常重要，因为它明确划分

了ITSM与ERP、CRM和SCM等管理方法和软件之间的界限，这个界限是：前者面向

IT管理，后者面向业务管理。

    ITSM不是通用的IT规划方法。ITSM的重点是IT的运营和管理，而不是IT的战

略规划。如果把组织的业务过程比作安排一辆汽车去完成一趟运输任务，那么IT规划的

任务相当于为这次旅行选定正确的路线、合适的汽车和司机。而ITSM的任务则是确保

汽车行驶过程中司机遵循操作规程和交通规则，对汽车进行必要的维修和保养，尽量避

免其出现故障；一旦出现故障也能很快修复；并且当汽车到达目的地时，整个行驶过程

中的所有费用都可以准确地计算出来，这便于衡量成本效益，为做出有关调整提供决策

依据。简单地说，IT规划关注的是组织的IT方面的战略问题，而1TSM是确保IT战略

得到有效执行的战术性和运营性活动。

    虽然技术管理是ITSM的重要组成部分，但ITSM的主要目标不是管理技术。有关

IT的技术管理是系统管理和网络管理的任务，ITSM的主要任务是管理客户和用户的IT

需求。这有点像营销管理。营销管理的本质是需求管理，其目标在于如何让组织生产的

最终产品或提供的服务满足市场（客户）的需求。同样，在ITSM中，IT部门或IT外

包商是IT服务的提供者，业务部门是IT部门或IT外包商的客户，如何有效地利用IT

资源恰当地满足业务部门的需求就成了ITSM的最终使命。换个角度说，对客户而言，

业务部门只需关心IT服务有没有满足其要求，至于IT服务本身能不能或者怎样满足要

求，业务部门作为客户不用也没有必要关心。

    关于这一点，可以用下面的例子说明。某个用户急需打印一份页数较多的文件，但

恰好此时打印机出现故障，那么用户传统的处理万式是通知和等待兀'部门修复打印机，

然后从感情上表达不满，而“ITSM式”的处理方式是，对IT部门说：“我需下午5：00

前使用该打印文档，OK?”至于打印工作是怎样完成的，比如是通过修复或换一台打印

机，那是IT部门的事，业务部门只需为服务本身付费。这就是ITSM与传统的IT管理

的本质不同之处。

    4) IT服务管理的价值

    作为IT管理的“ERP解决方案”，IT服务管理给实旅它的企业、企业员工及其他利

益相关者提供多方面的价值。《IT服务管理实施规划》将这些价值归纳为商业价值、财

务价值、创新价值和内部价值、员工利益。

    (l)商业价值。IT在商业中扮演着越来越重要的角色，通过实施IT服务管理，可

以获取多方面的商业价值，例如：

    ①确保IT流程支撑业务流程，整体上提高了业务运营的质量。

    ②通过事故管理流程、变更管理流程和服务台等提供了更可靠的业务支持。

    ③客户对IT有更合理的期望，并更加清楚为达到这些期望他们所需要的付出。

    ④提高了客户和业务人员的生产率。

    ⑤提供更加及时有效的业务持续性服务。

    ⑥客户和IT服务提供者之间建立更加融洽的工作关系。

    ⑦提高了客户满意度。

    (2)财务价值。IT服务管理不但提供商业价值，而且使企韭在财务上直接受益，

例如：

    ①降低了实施变更的成本。

  ②当软件或硬件不再使用时，可以及时取消对其的维护合同。

  ③“量体裁衣”的能力，即根据实际需要提供适当的能力，如磁盘容量。

  ④恰当的服务持续性费用。

  (3)内部价值和创新价值。IT服务管理提供的内部价值和创新价值包括。

  ①IT服务提供方更为清楚地理解客户的需求，确保IT服务有效支撑业务流程。

  ②更多地了解当前提供的IT服务的有关信息。

  ③改进IT支持，使业务部门能够更加灵活地使用IT。

  ④提高了服务的灵活性和可适应性。

  ⑤提高了预知未来发展趋势的能力，从而能够更加迅速地采用新的服务需求和进

行相应的市场开发。

    (4)员工利益。IT服务管理也使服务人员多方面受益，例如：

    ①IT人员更加清楚了解对他们的期望，并有合适的流程和相应的培训以确保他们

能够实现这些期望。

  ②提高IT人员的生产率。

  ③提高了IT人员的士气和工作满意度。

  ④使IT部门的价值得到更好的体现，从而提高了员工的工作积极性。

2.4.2信息系统审计

    1．信息系统审计概念

    信息系统审计是全部审计过程的一个部分，信息系统审计(IS audit)目前还没有固

定通用的定义，美国信息系统审计的权威专家Ron Weber将它定义为‘？收集并评估证捃

以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织

目标，同时最经济的使用资源”。

    信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下

三类。

    ·可用性：商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是

    否被完好保护以应对各种的损失和灾难7

    ·保密性：系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人

    开放7

    ·完整性：信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权

    的对系统数据和软件的修改？

    2．信息系统审计产生动因及其发展

    1)信息系统审计产生动因分析

    关于信息系统审计的产生动因，目前国际上存在两种观点：一种观点认为是从会计

审计发展到计算机审计再发展到信息系统审计（计算机审计的范围扩展，最后涵盖整个

信息系统）演变过来的；另外一种认为由于信息系统尤其是大型信息系统的建设是一项

庞大的系统工程，它投资大、周期长、高技术、高风险，在系统的建设过程中，对工程

进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点，

建设单位往往由于技术力量有限，无力对项目的技术、设备、进度、质量和风险进行控

制，无法保证项目的实施成功，所以需要有第三方进行审计。

    2)信息系统审计在国际上的发展

    信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初

期，由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机

处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算

机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步

扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术

对电子数据处理系统本身进行审计，即EDI审计。同时随着社会经济的发展，审计对象、

范围越来越大，审计业务也越来越复杂，利用传统的手工方法已不能及时完成审计任务，

必须应用计算机辅助审计技术(CAATs)进行审计，20世纪十年代信息技术的进一

步发展与普及，使得企业越来越依赖信息及产生信息的信息系统。人们开始更多地关注

信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果，真正意义的信息

系统审计才出现。随着电子商务的全球普及，信息系统的审计对象、范围及内容将逐渐

扩大，采用的技术也将日益复杂。到目前为止，信息系统审计在全球来看，还是一个新

的业务，从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名，

1995年已有500名，到2000年时，所拥有的信息系统审计师人数正以每年40%—50%

的速度增加，说明信息系统审计正逐渐受到重视。

    美国在计算机进入实用阶段时就开始提出系统审计(SYSTEM AUDIT)，从成立电

子数据处理审计协会(EDPAA后更名为ISACA)以来，从事系统审计活动已有30多年

历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息

系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究，IT控制的开放

式标准COBIT（Control Objectives for Information and Related Technology）已出版了笫

三版。

    3)信息系统审计在国内的发展

    目前国内有学者提出计算机审计、电算化审计，但基本上停留在对会计信息系统的

审计上，只是延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深

刻变化。以我国在1999年颁布的审计准则第20号——计算机信息系统环境下的审

计为例，其更多关注的是会计信息系统。在信息时代，面对加入WTO后全球一体化市

场，我国IT服务业面临巨大的挑战，开展信息系统审计业务不失为推动我国IT服务业

发展的一次机会。

  3．信息系统审计的理论基础

  信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员

执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有

价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的

评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。

    信息系统审计是建立在以下4个理论基础之上的。

    1)传统审计理论

    传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验，以保证所有

交易数据都被正确处理。同时收集并评价证据的方也在信息系统审计中广泛应用，

最为重要的是传统审计给信息系统审计带来的控制哲学，即用谨慎的眼光审视信息系统

在保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

  2)信息系统管理理论

  信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论，

它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力。

    3)行为科学理论

    人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系

统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为囚素可能导致系

统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。

  4)计算机科学

  计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实

现企业目标。但是技术是一把双刃剑，计算机科学的发展可以使审计人员降低对系统组

件可靠性的关注，信息技术的进步也可能启发犯罪，例如一个重要的问题是信息技术在

会计制度中的应用是否给罪犯提供了较多缓冲时间？如果是，那么今天网络犯罪产生的

社会威胁较以往任何时候都要大。

    4．信息系统审计的基本业务和依据

    1)信息系统审计的基本业务

    信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需

要而增加新的服务内容，目前其基本业务如下。

    (1)系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会

及变革控制委员会提供咨询服务。

    (2)主要数据中心、网络、通信设施的结构审计，包括财务系统和非财务系统的应

用审计。

    (3)支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和

培训。

    (4)为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导；推动

风险自评估程序的执行。

    (5)软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符

审计。

    (6)灾难恢复和业务持续计划审计。

    (7)对系统运营效能、投资回报率及应用开发测试审计。

    (8)系统的安全审计。

    (9)网站的信誉审计。

    ( IO)全面控制审计等。

    一个信息系统不等同于一台计算机。今天的信息系统是复杂的，由多个部分组成以

做出商业解决方案。只有各个组成部分通过了评估，判定安全，才能保证整个信息系统

的正常工作。对一个信息系统审计的主要组成部分包括以下几方面。

    (1)信息系统的管理、规划与组织：评价信息系统的管理、计划与组织方面的策略、

、标准、程序和相关实务。

    (2)信息系统技术基础设施与操作实务：评价组织在技术与操作基础设旌的管理和

实施方面的有效性及效率，以确保其充分支持组织的商业目标。

    (3)资产的保护：对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能

支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、

损坏或丢失。

    (4)灾难恢复与业务持续计划：这些计划是在发生灾难时，能够使组织持续进行业

务，对这种计划的建立和维护流程需要进行评侨。

    (5)应用系统开发、获得、实施与维护：对应用系统的开发、获得、实施与维护方

面所采用韵方法和流程进行评价，以确保其满足组织的业务目标。

    (6)业务流程评价与风险管理：评估业务系统与处理流程，确保根据组织的业务目

标对相应风险实施管理。

    2)信息系统审计的依据

    信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际

信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。

    (1) -般公认信息系统审计准则。包括职业准则、ISACA公告和职业道德规范。职

业准则可归类为：审计规章、性、职业道德及规范、专业能力、规划、审计工作的

执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准

则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(Certified

Information System Auditor，CISA)持有者有关职业上及个人的指导规范。

    (2)信息系统的控制目标。信息系统审计与控制协会在1 996年公布的COBIT被国

际上公认是最先进、昂权威的安全与信息技术管理和控制的标准，目前已经更新至第3

版。它在商业风险、控制霈要和技术问题之间架起了一座桥梁，以满足管理的多方面需

要。面向业务是COBIT的主题。它不仅设计用于用户和审计师，而且更重要的是可用

于全面指导管理者与业务过程的所有者。商业实践中越来越多地包含了对业务过程所有

者的全面授权，因此他们承担着业务过程所有方面的全部责任。特别地，这其中包含着

要提供足够的控制。COBIT框架为业务过程所有者提供了一个工具，以方便他们承担责

任。其框架包括四大部分：架构、控制目标、审计指南及执行概要。COBIT架构着重各

项处理的高层次控制，控制目标则着重于各项IT处理或对该架构所包括的34项IT处理

的特定详细控制目标，每一项IT处理都有5～25个详细控制目标，控制目标使整体架构

和详细控制目标密切对应，相互一致。详细控制目标有18种主要来源，涵盖现行的及

法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的

预期结果或目标的叙述，以提供全球所有的产业有关IT控制的明确方针及实际最佳的

应用。

    (3)其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守或

外部对与电脑系统运作、控制，及电脑、程序、信息的使用情况等有关的规定或要求，

对于一向受严格管制的行业，尤其要注悫遵守。以国际性银行为例，若因不良备份及复

原程序而无法提供适当的服务水准，其公司及员工将受严重处罚。此外，由于对EDP及

信息系统的依赖性加重，许多国家极力建立更多有关信息系统审计的规定。这些规定内

容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员

必须考虑与组织目标、计划及与信息服务部门／职能／工作的责任及工作等有关的外部规

定或要求。

S．信息系统审计流程

    图2-2是信息系统审计流程示意图。

    开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合

理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理

解特别关注之处，如果有的话，制定日程，解释审计方法。这样的会议有高级经理的参

与，使人们互相认识，阐明问题强调商业关注点，使得审计工作得以顺利进行。类似地，

在审计完成后，也召开一次正式会议，向高级经理交流审计结果，提出改进建议。这将

确保进一步的理解，增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对

提出问题的观点。会议之后书写报告，可以大大增加审计的效果。

    6．基于风险的审计方法

    很多组织意识到技术能带来的潜在好处。然而，成功的组织坯能够理解和管理好与

采用新技术相关的很多风险。因此，审计从基于控制（Control-Based）演变为基于风险

（Risk-Based）的方法，其内涵包括企业风险、确定风险、风险评估、风险管理、风险

沟通。

    每个组织使用许多信息系统。对不同功能和活动有不同的应用软件，在不同的地理

区域可能有众多的计算机配置。审计者面临的问题是审计什么，什么时候审计及审计频

率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险，这些风险用不同方

式冲击信息系统。对繁忙的零售超市，信息系统哪怕一个小时的不可用都会对营业系统

造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的

技术环境也可能影响系统的运行风险。

  基于风险方法来进行审计的步骤如下：

  (1)编制组织使用的信息系统清单并对其进行分类。

  (2)决定哪些系统影响关键功能和资产。

  (3)评估哪些风险影响这些系统及对商业运作的冲击。

  (4)在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率。审计

者可以制定年度审计计划，开列出一年之中要进行的审计项目。下载本文