审计与评价

641 信息系统的监理

所谓信息系统监理，是指聘请开发方 （乙方）与用户方 （甲方）以外的第三方 （丙方），根据信息系统的开发规律及开发合同和监理合同的要求，对信息系统开发过程中的行为、事件和文档进行审查和监督，为用户提供与项目有关的信息和信息处理能力的支持，以确保信息系统建设成功。对于开发方与用户方都为一个企业主体的独立开发方式，既可聘请企业内部监理，也可聘请企业外部监理。

1信息系统监理与项目管理的关系

监理方的监理与开发方的项目管理既有联系又有区别。联系是它们都按照信息系统的开发规律与项目管理的思想进行管理。区别是主体不一样，项目管理是由开发方实施的，在成本、进度和质量三者中主要考虑前两者，特别是成本，并且项目管理涉及信息系统建设的各个环节；而监理是由第三方即监理方实施的，在成本、进度和质量三者中主要考虑的是质量，其次是进度，最后才是成本，并且监理的内容主要取决于监理方与用户方签订的监理合同，不一定涉及信息系统建设的各方面。

2信息系统监理的模式

信息系统监理的模式按照监理的程度不同，可以分为咨询式监理、里程碑式监理和全程监理。

咨询式监理只对用户方就系统建设过程中提出的问题进行解答，其性质类似于业务咨询或方案咨询。这种方式费用最少，监理方的责任最轻，适合于对信息系统有较好的把握和技术力量较强的用户方采用。

里程碑式监理是指按照信息系统的开发规律将信息系统的建设划分为若干个阶段，在每一个阶段的结束都设置一个里程碑，在里程碑到来时通知监理方进行审查或测试。一般来讲，这种方式比咨询式监理的费用要多，当然，监理方也要承担一定的责任。

全程式监理是最复杂的一种，不但要求对系统建设过程中的里程碑进行审查，还应派相应人员定期跟踪和收集系统开发过程中的信息，不断评估开发方的开发质量和效率。这种方式费用最高，监理方的责任也最大，适合那些对信息系统的开发不太了解且技术力量偏弱的用户方采用。

为了更深入地研究信息系统的监理，我们选择全程式监理进行讨论。如果没有特别说明，下面的讨论都是针对全程式监理的方式。

3信息系统监理的内容

信息系统监理是监理单位受用户方的委托，对信息系统建设实施的监督管理，其主要职能如下：

（1）协助用户方组织信息系统建设的招标、评标活动；

（2）协助用户方与中标单位签订信息系统的开发合同；

（3）根据用户方的授权，监督管理开发合同的履行；

（4）根据监理合同的要求，为用户方提供技术服务；

（5）监理合同终止后，向用户方提供监理工作报告。

开发方承担用户方的信息系统开发工作，需要完成战略规划和可行性研究、系统分析、系统设计、系统实施和运行维护等各项工作，监理方的工作实际上也贯穿系统建设的全过程，下面详细介绍各阶段监理的要点。

1）总体规划和可行性研究阶段

（1）为企业高层讲解企业信息化的意义，协助用户方根据企业战略目标制定信息系统的战略规划；

（2）对用户方现有的信息资源、信息处理能力、技术基础、环境条件、资金设备等资料进行分析；

（3）协助企业确定信息系统的开发方式；

（4）制定开发信息系统的技术路线和接口规范；

（5）组织招标和评标活动；

（6）协助企业做好投资风险分析，提出可靠的经济效益分析表，突出信息系统建设的竞争驱动和效益驱动原则，在此基础上，根据资金筹措的情况列出分期工程的实施计划，协助撰写可行性研究报告或对可行性研究报告进行审查。

2）系统分析阶段

（1）协助用户方明确新系统的具体任务、目标、作用和地位；

（2）与开发方分工培训用户方的业务支持人员，使他们对信息系统的开发有初步的了解；

（3）协助用户方规范企业的业务流程，并能形式化表达；

（4）提出与新系统相适应的企业管理改进方案；

（5）协助用户方审核开发方提交的系统分析报告。

3）系统设计阶段

（1）协助用户方设计并制订现有业务流程的改进方案；

（2）协助用户方审核开发方提交的企业信息编码体系设计方案；

（3）协助用户方审核开发方提交的详细设计报告；

（4）协助用户方审核开发方提交的产品和设备的购置计划；

（5）对企业管理人员开展有针对性的培训。

4）系统实施阶段

（1）抽样审查程序设计说明书；

（2）按开发合同和详细设计报告检查各子系统的质量和进度是否按计划执行；

（3）督促用户企业按照既定的时间表调整企业业务流程和组织机构；

（4）协助用户方审查开发方的测试大纲和详细测试计划；

（5）对用户企业的业务支持人员进行系统测试方面的培训，协助用户方准备测试用例；

（6）协助用户方对开发方交付的子系统或整个系统测试，撰写测试报告；

（7）审查开发方提交的技术报告和用户手册等相关文档。

5）系统运行与维护阶段

（1）督促开发方与用户方相互配合，培训相关的操作人员和系统管理员；

（2）监督新老系统交替期间数据的有序转换，监督企业员工执行新的业务流程和操作规程，并在执行中加以改进；

（3）对出现的软件、系统接口等方面的技术问题，根据开发合同督促开发方进行修正；

（4）监督企业认真做好各审计点的数据记录及分析，进行新旧系统的生产效率、产品质量、成本效益及设备运行状态的对比分析；

（5）开始项目审计工作，根据审计结果对新系统进行综合评价。

642 信息系统的审计

1信息系统审计的由来与发展

信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单，相应地，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计。从财务报表审计的角度来看，这一阶段的主要业务内容是对交易全额和账户、报表余额进行检查，审查其真实性和准确性。

随着计算机应用范围的不断扩大，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子数据的处理延伸到对信息系统的可靠性、安全性、风险等进行了解和评价。此时，计算机审计这一概念已经不能反映这一业务的全部内涵，信息系统审计的概念随之出现。

计算机审计在发展初期还只是传统审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围，在很多大型会计公司内部，信息系统设计部门已经成为一个独立的对外提供多种服务的部门。尤其是因特网和电子商务的兴起，更是为信息系统审计业务带来了无尽的商机，与信息安全相关的防火墙审计、安全诊断、信息技术认证等新型业务不断涌现。

综上所述，信息系统审计包含三层含义。

（1）对信息系统支持的业务信息或业务数据进行审计，检验其正确性和真实性，可以简称为信息系统运行审计。

（2）用计算机和信息系统作为工具，辅助审计工作，市场上有专门的审计软件包出售。

（3）对信息系统的开发过程进行审计，可以简称为信息系统开发审计。

2信息系统审计的基本内容

信息系统审计的内容是根据审计的目的确定的，具体包括内部控制制度审计、应用程序审计、数据文件审计、处理系统综合审计和系统开发审计等。

（1）内部控制制度审计。为了使信息系统能够安全可靠地运行，严格内部控制制度是十分必要的。它可以保证信息的正确性、完整性、及时性和有效性，并纠正可能产生的舞弊和犯罪行为。信息系统的内部控制系统包括两个子系统：一个是一般控制系统，包括组织和操作控制、软硬件控制、安全控制和文件资料控制等；另一个是应用控制系统，包括输入控制、处理控制和输出控制。

内部控制制度的审计程序包括四个阶段。

①初步审核和评价阶段。即对控制的目标、构成系统的基本要素、主要环境控制措施、应用系统和应用项目的基本情况等的了解。

②详细审核和评价阶段。即在初步审核的基础上确定控制领域、控制点、控制目标和必要的内部控制措施。

③符合性测试阶段。即对控制措施的实施情况及遵守情况进行测试，以便对内部控制制度的强弱和可靠性做出最后的结论。

④最后评价阶段。

（2）应用程序审计。计算机应用程序的审计是信息系统审计的重要内容，这是因为企业处理经济业务的目的、原则和方法都体现在计算机程序之中，它们是否执行国家的方针政策，是否执行财经纪律和制度也往往在应用程序中体现出来。所以计算机应用程序的审计内容主要是检查计算机的程序控制功能是否可靠，处理经济业务的程序和方法是否准确。

对计算机程序的审计可以分为对程序进行直接检查和通过数据在程序上的运行进行间接检查两种。对程序进行直接检查包括直接对程序进行逐句审查，或借助流程图作为工具，用标准的图形、符号等来反映程序的控制功能和数据处理的逻辑。对程序进行间接检查是利用实际数据或模拟数据进行检查，即根据被审单位的实际数据或用模拟数据在程序上进行处理，然后将处理结果与正确的结果进行比较。

（3）数据文件审计。数据文件包括由计算机打印出来的数据文件和存储在各种介质上的数据文件。存储在介质上的文件包括会计凭证、会计账簿和会计报表等，对这些文件的审计需要用信息技术进行测试。测试的内容主要包括信息系统数据安全控制的有效性、数据文件控制功能的可靠性和数据文件内容的真实性与准确性。

（4）处理系统综合审计。处理系统的综合审计是对信息系统中的硬件功能、输入数据、程序和文件四个因素进行综合的审计，以确定其可靠性和准确性。主要程序是先对硬件功能进行检查，然后分别对输入数据的准确性、每个重要程序的准确性和每个重要文件的准确性进行测试，在此基础上对整个信息系统的处理功能进行综合评价。

（5）系统开发审计。系统开发审计是指对信息系统开发过程进行的审计。审计的目的一是要检查开发的方法和程序是否科学合理，是否受到恰当的控制；二是要检查开发过程中产生的系统资料和凭证是否符合规范。

3信息系统审计师及相关组织

1）系统审计师

信息系统审计师的资格在国际上获得广泛认可，一般来讲，发达国家的政府审计机关、国际知名的会计师事务所、大型企业、金融机构都有信息系统审计师。取得信息系统审计师的资格要通过资格考试，并满足信息系统审计和控制协会所要求的其他条件。

信息系统审计师目前已经成为全球范围比较抢手的高级人才，这些人才一般都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财务会计和单位内部控制有深刻的理解。随着信息技术在管理中的广泛运用，传统的审计技术受到巨大的挑战，国际会计公司、专业咨询公司和高级管理顾问都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司，由于普遍使用大型信息管理系统，都非常重视对信息系统安全和稳定性的控制，常常高薪聘请信息系统审计师进行内部审计。

2）系统审计的专业组织

随着信息技术在财务会计、管理领域应用程度的不断提高，信息系统审计业务也逐步受到职业会计师行业的重视。在我国，信息系统审计业务的开展还处于探索阶段。其实，信息系统审计在国外已经有了相当长时期的发展，而且也产生了相应的专业组织和专业资格。

信息系统审计与控制协会 （Information Systems Audit and Control Association， ISACA）成立于1969年，最初称为EDP（电子数据处理）审计师联合会，总部在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员20000多人，它是从事信息系统审计专业人员唯一的国际性组织，信息系统审计师资格 （Certified Information System Auditor，CISA）也是这一领域的唯一职业资格。会员被称为信息系统审计师，主要向用户提供与信息系统相关的服务。

我国的信息系统审计目前还处于探索阶段，还没有形成一套成形的专业规范，也没有形成一支能够全面开展信息系统审计业务的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司，还是国内一些规模较大的企业，都在不断地扩大信息技术在其经营活动和会计领域的应用范围，运用传统的会计审计知识已经不能对这样的客户进行风险评估、内部控制测试与评价，从而影响我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。发展我们自己的信息系统审计人才队伍已经成为会计师行业的当务之急。

643 系统的评价

MIB投入运行后，要在平时运行管理工作的基础上，定期对其运行状况进行集中评价。进行这项工作的目的是通过对新系统运行过程和绩效的审查，来检查新系统是否达到了预期目的，是否充分利用了系统内各种资源，系统的管理工作是否完善，以及指出系统改进和扩展的方向是什么等。

1系统评价的主要内容

对系统的评价主要是从技术与经济两方面进行。

（1）技术上的评价。技术上的评价内容主要是系统性能，具体内容如下：

①信息系统的总体水平，如系统的总体结构、地域与网络的规模、所采用技术的先进性等。

②系统功能的范围与层次，如功能的多少与难易程度或对应管理层次的高低等。

③信息资源开发与利用的范围与深度，如企业内部与外部信息的比例、外部信息的利用率等。

④系统的质量，如系统的可使用性、正确性、可扩展性、可维护性、通用性等。

⑤系统的安全性与保密性。

⑥系统文档的完备性。

（2）经济上的评价。在经济上的评价内容主要是系统的效果和效益，包括直接的与间接的两个方面。

直接的评价内容如下：

①系统的投资额；

②系统运行费用；

③系统运行所带来的新增效益；

④投资回收期。

间接的评价内容如下：

①对企业形象的改观、员工素质的提高所起的作用；

②对企业的体制与组织机构的改革、管理流程的优化所起的作用；

③对企业各部门间、人员间协作精神的加强所起的作用。

信息系统在运行与维护过程中不断地发生变化，因此评价工作不是一项一次性的工作，系统评价应定期地进行或每当系统有较大改进后进行。信息系统的第一次评价一般安排在开发完成并投入运行一段时间，进入相对稳定状态后，通常第一次评价的结论将作为系统验收的最主要的依据。

系统评价工作由系统开发人员、系统管理与维护人员、系统用户、用户单位领导及系统外专家等共同参与，评价方式可以是鉴定或评审等，评价的结论以书面的评价报告或评价意见等提出。评价结论也是系统的重要文档，应予以收存归档，统一保管。

2系统评价的指标体系

系统的评价是一项难度较大的工作，它属于多目标评价问题，目前大部分的系统评价还处于非结构化的阶段，只能就部分评价内容列出可衡量的指标，不少内容还只能用定性方法做出叙述性的评价。我们从以下三个方面列出系统评价的指标。

1）性能指标

（1）人机交互的灵活性与方便性。

（2）系统响应时间与信息处理速度满足管理业务需求的程度。

（3）输出信息的正确性与精确度。

（4）单位时间内的故障次数与故障时间在工作时间中的比例。

（5）系统结构与功能的调整、改进及扩展，与其他系统交互或集成的难易程度。

（6）系统故障诊断、排除、恢复的难易程度。

（7）系统安全保密措施的完整性、规范性与有效性。

（8）系统文档资料的规范、完备与正确程度。

2）直接经济效益有关的指标

（1）系统投资额。包括系统硬件、系统软件的购置、安装，应用系统的开发或购置所投入的资金。另外，企业内部投入的人力、材料等也应计入，较精确的计算还应考虑资金投入的时间及占用时间因素。对验收评价后所作的阶段评价还要包括系统维护所投入的资金。

（2）系统运行费用。包括消耗性材料费用、系统投资折旧费及硬件日常维护费等，消耗性材料包括存储介质、纸张、打印油墨等。由于信息系统的技术含量高，更新换代快，一般折旧年限取5～8年。另外，系统所耗用的电费、系统管理人员工资等也应计入系统运行费用。

（3）系统运行新增的效益。主要反映在成本降低、库存积压减少、流动资金周转加快、销售利润增加及人力的减少等方面。新增效益可采用总括性的在同等产出或服务水平下，信息系统导致的年生产经营费用节约额来表示，也可分别计算上述各方面的效益，然后求和表示。由于引起企业效益增减的因素错综复杂，新增效益很难作精确的计算。

（4）投资回收期。投资回收期为通过新增效益，逐步收回投入的资金所需的时间，它也是反映信息系统经济效益好坏的重要指标。经简化，不考虑资金时间价值的投资回收期可用下式计算：

式中：T为投资回收期；t为资金投入至开始产生效益所需的时间；I为投资额；B为系统运行后每年新增的效益；C为系统运行费用。

3）间接经济效益有关的指标

间接经济效益是通过改进组织结构及运作方式、提高人员素质等途径，促使成本下降，利润增加而逐渐地、间接地获得的效益。由于成因关系复杂，计算困难，我们只能作定性的分析。

一般信息系统的成功应用所产生的间接经济效益可体现在以下几个方面。

（1）对组织为适应环境所作的结构、管理制度与管理模式等的变革起巨大的推动作用，这种作用一般无法用其他方法实现。

（2）能显著地改善企业形象，对外可提高客户对企业的信任程度，对内可提高全体员工的自信心与自豪感。

（3）可使管理人员获得许多新知识、新技术与新方法，进而提高他们的技能素质，拓宽思路，进入学习与掌握新知识的良性循环。

（4）系统信息的共享与交互使部门之间、管理人员之间的联系更紧密，可加强他们的协作精神，提高企业的凝聚力。

（5）对企业的规章制度、工作规范、定额与标准、计量与代码等的基础管理产生很大的促进作用，为其他管理工作提供有利的条件。

【知识拓展】易通物流信息管理系统案例

1项目背景

本系统是一个中小物流企业信息化的成功案例。易通交通信息发展有限公司易通物流分公司是一家快速成长的第三方物流企业，公司从2000年11月份开始正式运作，经营3年来，业绩每年以翻一番的速度迅速发展，目前已经达到年营业额2000多万元、运送货物400多万件、送达城市300多个的规模。易通物流公司的快速发展，不仅得益于第三方物流市场需求的发展，更离不开信息系统的支持。

易通物流对信息系统的需求，经历了从单一到全面、从模糊到清晰的发展过程。易通物流信息系统的应用从总体上来说分为4个阶段：

（1）最初的系统只解决运单的录入和汇总数据的统计查询；

（2）逐步涵盖委托、集货、调度、出入库、运输、配送、签收各环节的数据录入和统计查询；

（3）达到调度、出入库、运输监控功能的完善和网上功能的实现；

（4）进一步进行数据挖掘与系统对接。

2易通物流信息系统结构

本系统分为物流管理子系统、车辆运输管理子系统、出入库管理子系统和企业门户网站4大部分。

（1）物流管理子系统

基础委托单信息的录入，支持电话、传真、互联网等多种形式。客户资料建档，包括客户业务信息、客户信用、客户投诉、客户基础信息、合作状况评价等。

业务流转过程中相关数据的录入，包括在库相关信息、在途相关信息、费用信息，分别由不同岗位的责任人完成，便于出现问题追究责任。

（2）车辆运输管理子系统

①司机、车辆基础档案的管理。

②车辆固定成本、可变费用的管理。

③行车安全管理。

④行车效率的管理 （路单管理）。

（3）出入库管理子系统

①货物的入库数量、时间、完好情况的记录。

②货物的出库数量、时间、完好情况的记录。

③支持仓库网络分布情况下对货物的统计、汇总。

④支持针对不同权限的客户分库区，分品种的库存货物查询。

⑤实现上述各项功能的网上查询服务。

（4）企业门户网站

作为物流公司对外界宣传和同客户沟通的工具，EIP物流企业门户网站主要提供网上查询、网上委托、网上交易。

3系统特点

（1）体系

①采用B／S＋C／S模式，n层体系结构，全面支持因特网和移动通讯。

②模块化设计，可根据不同的客户需求灵活配置各模块。

③界面友好统一，任何用户稍加培训就可以轻松上手。

④极高的数据处理能力，完善的数据备份机制，保证数据有效、准确。

⑤支持群集技术和离线处理、支持窄带 （电话线）条件下的数据传输和实时应用。

⑥简单、集中的系统维护，保证系统稳定、安全运行，降低系统维护成本。

（2）应用

源于物流企业的实践，同时结合国内的实际情况，蕴涵成功物流企业先进的管理思想和运作模式。

完善的物流业务管理能力，支持各种成本核算方法、单品管理、票据全程跟踪和历史动态业务数据查询。

支持工作流管理和各部门 （如生产、销售、服务）之间的全面协同工作。全程无纸化作业，物流服务企业与发货方、供货方之间通过该系统都可以畅通迅捷地了解到所需的数据信息。

开放式接口，易于构建和管理国内外其他应用系统的动态数据交换。

4应用体会

（1）要先用起来。根据易通物流实际应用情况，如果一开始公司就上一套很完善的物流系统，那中途夭折的可能性在95％以上。因为信息系统是企业业务的神经系统，它与企业的骨骼和肌肉 （即业务和管理水平）是相互适应的，任何一方面的超前和落后都会阻碍企业的发展。易通公司信息技术应用事业部为使用信息系统的企业提供了企业诊断和最高限价的咨询服务。根据企业的业务状况、企业规模、管理层认识程度、基层计算机应用程度等，提出一期信息系统应用投资的最高限价，超过这个限价企业就面临着很大的价格风险。企业事先设定一期投入应用效果评估，在达到一期目标之后，管理层增强了信心总结了经验教训，再考虑二期投入。

（2）数据的积累和挖掘是企业提高管理水平的依据。没有准确数据的长期积累，就谈不上科学的管理。有了一年以上的准确数据的积累，就可以进行各个层面的数据挖掘与分析。根据指标随时监控企业的运行状况，做到提前预知事态发展，及时采取措施趋利避害。

（3）软件良好的表现形式是系统成功应用的保障。信息系统的应用需要人们改变原来通过纸张进行阅览和传递信息的形式，因此要尽最大的可能去适应操作人员特别是管理人员的习惯，以最简单、最直观形式将各种信息展示出来。

5应用效果与效益

由于系统的完善应用，易通物流在相关岗位的人力投入减少50％以上，差错率降低了80％以上，整个效率提高了46％。系统的统计分析功能使得公司管理层能够及时准确地看到整个业务发展、流量和财务状况，因而为管理层的决策（战略决策和阶段休整决策以及突发事件决策等）提供了重要的数据支持。另外，系统对业务流程的再造和实施起到了重要的导向和保障作用，提高了企业的竞争力。

6专家点评

本系统是易通交通信息发展有限公司易通物流分公司自行开发、自行应用的物流信息系统，具有成本低、简明实用的特点，并伴随企业的发展不断改进。目前已经在信息的跟踪服务和数据挖掘应用等方面进行了有益的探索，说明小企业的客户也会有先进的需求，只是要采用更加适用的解决方案才能满足客户。

该公司利用本系统实现了物流全流程的整合，在图书市场的物流和配送领域实现了迅速成长，也成为该领域小企业信息化应用的一个成功案例。

思考题

1．物流信息系统的维护对象和类型有哪些？评价系统是否可维护的主要因素有哪些？

2．简述物流信息系统的维护内容。

3．物流信息系统的不安全因素有哪些？有何安全策略？

4．为什么物流信息系统容易被攻击？攻击的类型有哪些？