it服务管理.doc

《IT服务管理：概念、理解与实施》《IT服务管理：概念、理解与实施》是我国首部IT服务管理（ITSM）领域的专著该书为国内企业驾驭IT服务管理提供了重要的参考资料对推动国内企业运用科学的管理工具和思路更好地管理其现有的IT架构具有重大指导作用它从制度人员和技术三方面入手全面阐述了IT服务管理的理论和实践。书中不仅介绍了IT服务管理这一全球最新的IT管理方法的产生、发展过程及其理念深入阐述了实施IT服务管理的方法、应用软件及工具集并首次披露了我国企业实施ITSM的经验和教训因此该书是我们了解IT服务管理和指导实践的必备佳作。　　本书不仅适用于CIO（ITIL认证是全球公认的CIO证书）、IT战略规划主管、政府和企业管理人员、IT咨询顾问、注册会计师、系统运维主管还是准备通过ITIL认证考试人员的必备参考佳作更可成为高等院校从事信息化管理教学研究的师生的参考文献。《IT服务管理：概念、理解与实施》目录第章概论 IT服务管理的产生和发展 IT服务管理的产生背景 IT服务管理产生的必然性 IT服务管理的发展过程 IT服务管理的定义和范围 IT服务管理的定义 IT服务管理的核心思想 IT服务管理的基本原理 IT服务管理的范围 IT服务管理的价值 商业价值 财务价值 员工的受益 创新价值 IT服务管理价值链 价值链再造 卡位价值链 IT服务管理与企业信息化 信息化的“冰面” IT服务管理作为“破冰船” IT服务管理领域的国际进展及在我国的发展现状 国际进展：用数字说话 国内现状：形势不容乐观 第章IT服务管理基础知识 服务和服务管理 服务管理的定义和产生背景 服务管理的特征 服务战略 服务设计 服务运营 服务利润链 服务三角形 服务质量和服务质量管理 服务质量的定义 服务质量要素 服务质量差距 流程和流程管理 流程的定义和意义 服务流程模型 流程的规模和范围 最佳实践 为什么要采用最佳实践 最佳实践的结晶：ITIL IT服务管理知识框架体系 ITIL的产生和发展 ITIL的特点 ITIL各模块的含义 ITIL与ITSM之间的关系 第三章IT服务管理理论（）：服务提供 概述 服务提供流程的基本内容 服务提供流程的特点和功能 服务级别管理 基本概念 目标和范围 职责和功能 主要活动 效益、成本和问题 IT服务财务管理 基本概念 目标和范围 职责 主要活动 成本、效益和问题 能力管目的质量和进度不仅损害了合同签约双方（建设方和承建方）的利益还给国家和社会造成了许多不应有的损失。为保障信息系统工程签约双方的利益确保国家信息产业更加健康、有序地发展“信息系统工程监理”就应运而生了。信息产业部于年元月发布了信规（第号文）即“关于认真开展信息工程监理的通知”。在通知中指出：凡属于信息工程建设项目包括新建、扩建、技术改造一律按国家规定实行监理承担工程监理的单位必须具备与工程性质、规模等级相应的监理资质没有信息工程监理资质的单位不得承担信息工程监理业务。要求监理公司要对建设项目的质量、成本、进度实施监理控制保护建设项目建设方与承建方的利益。信息系统审计与信息系统监理的区别从信息系统审计与信息系统监理的概念以及国内外的实践总结笔者认为两者之间的主要区别包括：作用不同与财务报表审计相同信息系统审计的作用也包括：第一鉴证作用。信息系统审计的鉴证价值是指通过审计合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性政策遵循的一贯性。在市场经济条件下被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要对一些利益相关者而言也非常重要。例如在电子商务中交易双方在虚拟的空间进行交易活动信息的真实性、可靠性、完整性双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制信息的使用者不可能亲自对信息的质量做出审查因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份对被审计单位的信息系统及其输出的信息进行审计查出各种错误与舞弊是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性政策遵循的一贯性的重要环节是维护电子商务时代正常经济秩序必不可少的重要手段。第二促进作用。促进价值体现在两个方面一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中二是指审计可以促进被审计单位改进内部控制加强管理提高信息系统实现组织目标的效率、效果。从第一个方面来看信息系统审计师在完成审计后出具审计证明即审计报告以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证对使用信息的所有相关体而言是具有巨大价值的。当然对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时信息的使用者也可以借助这些信息加强被审计单位的管理决策提高其经济效益。从第二个方面来看信息系统审计在审计过程中发现的控制缺陷或漏洞可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局并提出解决问题的建议从而促进被审计单位提高管理水平提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视可以发现从内部看不到的问题。俗话说“不识庐山真面目只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业分析其存在的问题及原因也表现在以科学的态度和创新精神去设计解决问题的方案。第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。但是信息化建设是有风险的据报道一家咨询集团曾对美国家大型企业开发的客户服务器系统进行了调查结果表明其中的项目超过了预定的开发周期的项目其费用超过预算的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查报告显示有～的客户服务器项目中途放弃开发。为减少信息化风险信息系统审计师可凭借其专门知识和实践经验受托或主动服务于被审计单位的管理者或其业务人员在企业信息化过程中帮助企业建立健全内部控制制度进行系统诊断根据企业需要确定信息化的目标和内容选择合适的软件产品帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。与信息系统审计不同信息系统监理的作用主要包括：第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资并合理、客观的处理好它们之间的关系。在项目建设全过程中监理单位依据国家有关法律和相关技术标准遵循守法、公平、公正、独立的原则对信息系统建设的过程进行监督和控制确保质量、安全和有效性的前提下合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制就是对承建单位项目控制过程的监督管理。第二合理地协调业主单位和建设单位之间的关系这是监理的一项主要工作。在信息系统工程建设中很多时候业主单位和承建单位有许多问题存争议业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等保证项目顺利实施。两者业务范围和目的不同。信息系统工程监理和信息系统审计虽然都有一定的监督作用但两者业务范围和目的均有所差别。首先信息系统工程监理是具有信息系统工程监理资质的单位接受建设单位的委托依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域例如对组织的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。其次信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计更重要的是对信息系统的运营审计向公众出具审计报告鉴证信息系统能否保护企业资产安全其产生、传递的信息是否完整整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行审计活动一直存在。另外信息系统工程监理的过程是可见的即对项目成本、进度和质量与目标出现的偏差是可见的及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕这仅仅是信息化的开始大量的问题将出现在信息系统运营维护阶段因此从这个角度而言信息系统审计是保证信息系统质量的行之有效的方法。服务对象不同从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息提供者的三方合约即由鉴证人接受委托或授权对信息提供者进行审计并就其提供的信息质量向信息使用人提供鉴证报告。因此审计服务的对象是所有的信息使用者包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。其关系图如所示。监理服务于建设合同的双方。建设方与承建方签署建设合同后两者之间的关系是等价交换关系即承建方要按时交付既定质量等级的工程、开发实物建设方要按时支付等价的工程款。监理单位接受建设方委托后作为工程承包合同的洽商者它所执行的原则是使工程承包合同成为“平等条约”作为工程承包合同管理和工程款支付的签认者它所执行的原则是等价交换。因此监理单位是为双方的利益服务的而不仅仅为委托方建设单位服务。其关系图如所示。工作主体不同信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时称为内部审计其职责主要是搜集证据判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时称为外部审计其职责重要是关注被审计单位资产的安全、真实、完整。而监理主体只能独立于建设方和承建方作为外部独立的第三方参与项目建设。方法不同审计的方法主要是搜集证据的方法包括检查、观察、分析性复合、查询及函证等方法并利用统计技术、计算机技术完成证据的搜集。监理主要是利用项目管理技术包括成本核算控制、网络图及质量控制方法等实施对工程项目的三控制。结论与建议从以上的比较笔者认为：第一信息系统审计的作用是无可替代的信息化过程只有监理是不够的必须开展审计这是信息时代的需求。电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤如库存需求计划、购货定单、销售定单、运货通知和现金支出等通过信息系统被电子化处理时审查交易数据和评估其完整性及可靠性对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴（而不是以前的贸易伙伴）交换数据并进行交易时贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统监理所能完成的。第二积极开展我国信息系统审计。首先我们要加大信息系统审计的宣传让人们了解什么是信息系统审计为什么要进行信息系统审计。其次要大力培养信息系统审计师。开展信息系统审计业务有两支力量可以挖掘：一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面会计师事务所面临竞争为使市场信服它是执行这种业务的最佳候选人会计师需要：（）学习提高技术能力。（）继续维护他们现有的作为独立的、被信任的第三方的角色。（）必须将信息技术、网络技术技能融入传统的鉴证业务。（）必须拓展在系统可靠性、风险确认和影响分析以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代交易大部分是由系统自动完成的人的参与较少审计轨迹存在较少在这种条件下审计必须穿过计算机进行。IT技术人员具备了相应的技术技能：编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉缺乏对管理与内部控制认识、评价的经验缺少审计的理论与技能。因此IT技术人员从事信息系统审计业务要补充审计理论知识学会用审视的目光从管理控制角度而非纯技术角度思考问题。此外要尽快形成制度规范如从事电子商务的企业必须经过审计上市公司的信息系统必须经过审计等借鉴注册会计师的经验对信息系统审计职业的自律规范开展研究包括资格考试制度、职业道德、执业规范与惩戒等使我国信息系统审计规范化发展。参考文献、玛丽莲格林斯坦电子商务的安全与风险管理M谢淳译北京：华夏出版社、孟秀转“IS审计：信息时代审计业务的发展”《北京联合大学学报》年期、孙强孟秀转“什么是信息系统审计师”《中国注册会计师》年期、孟秀转孙强“信息系统监理向何处去”《计算机世界》年月日           ThecomparisonISAuditingwithISSurveillanceMengXiuzhuan SunQiang(CollegeofAppliedSciencesandHumanitiesofBeijingUnionUniversity,Beijing,China)(ChinaFederationofITPromotionITGovernanceCommittee,Beijing,China)Abstract:Withtheexpansionofinformatizationandelectroniccommerce,peoplepaymoreandmoreattentiontoriskoftheinvestmentandthereliabilityofelectronicsdataSoIS(informationsystem)surveillanceappearsinChinaandISauditinoverseasButtheyaredifferentineffect,scopeofbusiness,serviceobjectandmethodISauditcan’tbereplacedItisnecessaryforinformationage AccordinglyweshouldpublicizetheISaudit,increasepeopletoconcernISaudit,givetheCPAinformationtechniquetrainingorITpersonnelaudittrainingresearchourcountry'sISauditingstandardtopushISauditingtodevelopinourcountryKeywords:informationsystemauditsurveillanceassurance收稿日期 作者简介 孟秀转女北京联合大学应用文理学院讲师数量经济学硕士注册会计师主要从事审计、信息系统审计、投资的教学与研究。信息系统审计与信息系统工程监理的再比较摘要信息化建设和电子商务的推广使得人们越来越关注信息建设投资的风险和电子数据的完整性与可靠性。由此国内产生了信息系统工程监理国外出现了信息系统审计。由于两者作用不同、业务范围和目的不同、服务对象不同、工作主体与工作方法也不同。所以在信息化过程中信息系统审计的作用是无可替代的信息化过程只有监理是不够的必须开展审计这是信息时代的需求我国应该大力宣传信息系统审计培养CPA或IT人士成为信息系统审计人员开展信息系统审计的制度规范研究推动我国IS审计的发展。本文是继“信息系统工程监理向何处去”（《计算机世界》年月日）之后对信息系统审计与信息系统工程监理的再比较。关键词信息系统审计监理鉴证中图分类号 文章标识码 A文章编号 所谓信息系统审计是指审计人员接受委托或授权收集并评估证据以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标即对被审计单位的信息系统保护资产安全及数据完整的鉴证又包含内部审计的管理目标即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。信息系统工程监理依据信息产业部《信息系统工程监理暂行规定》是指依法设立且具备相应资质的信息系统工程监理单位受业主单位委托依据国家有关法律法规、技术标准和信息系统工程监理合同对信息系统工程项目实施的监督管理。两者都可以服务于信息化建设可以降低信息化投资风险。但目前在信息化建设领域信息系统审计尚未被人们接受在国内的推动中一提到审计大家就认为是只有对会计报表的审计似乎与IT和信息系统无关相比较而言人们更接受信息系统工程监理的概念有些人甚至认为信息系统工程监理就是信息系统审计。对这两者认识的模糊不仅影响到我国信息系统审计业的发展而且影响到信息时代的市场经济秩序与国家安全等问题。国外没有信息系统工程监理的概念在我国这一概念的提出是借鉴工程建设监理而信息系统审计是世纪初从国外介绍到国内的尽管人们对两者存在模糊认识但目前尚未见到系统比较两者的文章笔者想通过比较使人们认识到在信息化建设中信息系统审计是不可替代与必不可少的推动我国信息系统审计的发展是信息时代的要求。信息系统审计与信息系统工程监理的发展与实践信息系统审计。信息系统审计最早称为计算机审计是随着计算机在财务会计领域的应用而产生的作为传统财务审计业务的一种辅助工具对客户的电子化会计数据进行处理和分析为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展计算机对被审计单位各个业务环节的影响越来越大计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式电子商务、网络银行、网络证券、电子政府等相继出现信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统窃取机密借助网络非法占有财富特别是数字化财富等现象也日益增多扰乱了国家正常的经济秩序。这让人们更加关注网络所传递信息的安全、完整、真实关注产生、处理、传递信息的系统本身的安全、可靠、有效关注企业如何评估其面临的风险并如何采取措施预防和监控。由于技术的限制等原因信息的使用者不能自己验证信息的质量因此急需有独立的第三方出面对信息的保密性（Confidentiality）、完整性(Integrity)、交易行为的不可否认性（Non–Repudiation）、交易对手的身份验证（UserAuthentication）、系统的安全有效等做出鉴证以合理保护信息使用者的利益。同时企业在信息化过程中也急需专业人士提供有效控制信息系统风险提高信息化效益的服务。真正意义上的信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围在很多大型会计公司内部信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、灾难恢复与业务持续计划以及ERP相关的新型咨询业务正在不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”这一观点已经逐渐成为国外会计、审计界的一个共识。信息系统工程监理。世纪年以来从中央到地方从政府到企业纷纷投入了大量的资金从事信息工程建设和信息系统的建设但这其中真正按进度、质量要求、投资预算完成且用户（业主）满意的只占极少数不足即便是一些搞得比较好的工程项目也或多或少地存在一些问题如项目可行性论证不充分用户需求不全面、不准确用户要求一变再变、工程进度一拖再拖甲乙双方的合同书条文不规范缺乏可执行性或存在二义性出现争执时双方各执一词、争执不下缺少设备、系统监理评测验收工程结束后承包方没有提交与工程有关的文档资料严重影响了工程的连续性、继承性、可扩展性工程长时间不能投入正常运行、工程款一再拖欠承建单位也迟迟拿不到工程款等等。严重地影响了信息系统工程项目的质量和进度不仅损害了合同签约双方（建设单位和承建单位）的利益还给国家和社会造成了许多不应有的损失。为保障信息系统工程签约双方的利益确保国家信息产业更加健康、有序地发展“信息系统工程监理”就应运而生了。信息产业部从年起相继发布了《信息系统工程监理暂行规定》、《信息系统工程监理单位资质管理办法》和《信息系统工程监理工程师资格管理办法》。以上规定和管理办法明确指出了监理范围和监理内容监理单位和监理工程师的权利与义务监理单位资质申请、评审和审批的管理办法监理工程师资格取得的管理办法等。信息系统审计与信息系统工程监理的区别从信息系统审计与信息系统工程监理的概念以及国内外的实践总结笔者认为两者之间的主要区别包括：作用不同与财务报表审计相同信息系统审计的作用也包括：第一鉴证作用。信息系统审计的鉴证价值是指通过审计合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性政策遵循的一贯性。在市场经济条件下被审计单位输出的信息数据对该单位的存在与发展及其业务经营活动非常重要对一些利益相关者而言也非常重要。例如在电子商务中交易双方在虚拟空间进行交易活动信息的真实性、可靠性、完整性以及双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制信息的使用者不可能亲自对信息的质量做出审查因此需要一个可信赖的一方为此提供鉴证。信息系统审计师以其独立的身份对被审计单位的信息系统及其输出的信息进行审计查出各种错误与舞弊是合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性、可靠性以及商业政策遵循的一贯性的重要环节是维护电子商务时代正常经济秩序必不可少的重要手段。第二促进作用。促进价值体现在两个方面一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中二是指审计可以促进被审计单位改进内部控制加强管理提高信息系统实现组织目标的效率、效果。从第一个方面来看信息系统审计师在完成审计后出具审计证明即审计报告以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证对使用信息的所有相关体而言是具有巨大价值的。当然对投资大众而言将更有意义。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时信息的使用者也可以借助这些信息加强被审计单位的管理决策提高其经济效益。从第二个方面来看信息系统审计在审计过程中发现的控制缺陷或漏洞可通过审计报告、管理建议书等形式报告给委托人或被审计单位管理当局并提出解决问题的建议从而促进被审计单位提高管理水平提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视可以发现从内部看不到的问题。俗话说“不识庐山真面目只缘身在此山中”。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业分析其存在的问题及原因也表现在以科学的态度和创新精神去设计解决问题的方案。第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段组织扁平化、工作丰富化等管理变革都要通过信息技术来实现。信息化已是大势所趋但是信息化建设是有风险的据报道一家咨询集团曾对美国家大型企业开发的客户服务器系统进行了调查结果表明其中的项目超过了预定的开发周期的项目其费用超过预算的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查报告显示有～的客户服务器项目中途放弃开发。为减少信息化风险信息系统审计师可凭借其专门知识和实践经验受托或主动服务于被审计单位的管理者或其业务人员在企业信息化过程中帮助企业建立健全内部控制制度进行系统诊断根据企业需要确定信息化的目标和内容选择合适的软件产品帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要。与信息系统审计不同信息系统工程监理的作用主要包括：第一监督控制作用。信息系统工程监理可以帮助业主单位更合理的保证工程的质量、进度、投资并合理、客观的处理好它们之间的关系。在项目建设全过程中监理单位依据国家有关法律和相关技术标准遵循守法、公平、公正、独立的原则对信息系统建设的过程进行监督和控制确保质量、安全和有效性的前提下合理的安排进度和投资。监理单位是帮助业主单位对工程有关方面控制的再控制就是对承建单位项目控制过程的监督管理。第二合理地协调业主单位和建设单位之间的关系这是监理的一项主要工作。在信息系统工程建设中很多时候业主单位和承建单位在许多问题上存在争议业主单位和承建单位都希望由第三方在工程的立项、设计、实施、验收、维护等的各个阶段的效果都给予公正、恰当、权威的评价这就需要监理单位来协调和保障这些工作的顺利进行。另外还需要协调系统内部关系以及系统外部关系中的非合同因素等保证项目顺利实施。两者业务范围和目的不同。信息系统工程监理和信息系统审计虽然都有一定的监督作用但两者业务范围和目的均有所差别。首先信息系统工程监理是具有信息系统工程监理资质的单位接受建设单位的委托依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同对信息系统工程的质量、进度和投资方面实施监督。主要应用在信息化工程建设阶段。而信息系统审计是一个获取并评价证据以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域例如对信息系统的战略规划与组织的审计（主要集中在信息系统的战略规划、业务流程重组、信息系统的策略和流程、组织结构和职责等方面）技术基础平台建设的审计（包括信息系统硬件、信息系统软件、信息系统网络及通信技术基础平台）应用系统建设审计（包括系统开发方法、系统开发工具、系统开发过程、项目管理等）信息系统管理和运营审计（包括信息系统管理和运营审计等）风险管理与应用控制审计（包括输入控制、输出控制、处理控制等）信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计等。其次信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。监理关注的是项目建设的质量、成本和进度。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计更重要的是对信息系统的运营审计向公众出具审计报告鉴证信息系统能否保护企业资产安全其产生、传递的信息是否完整整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行审计活动一直存在。另外信息系统工程监理的过程是可见的即对项目成本、进度和质量与目标出现的偏差是可见的及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕这仅仅是信息化的开始我国信息化建设中若干失败的案例并不是信息系统没有建设好往往是在运营维护时期出了问题。因此从这个角度而言信息系统审计是保证信息系统质量的行之有效的方法。服务对象不同从审计定义我们可以知道审计鉴证服务是鉴证人、信息使用者和信息提供者的三方合约即由鉴证人接受委托或授权对信息提供者进行审计并就其提供的信息质量向信息使用人提供鉴证报告。因此审计服务的对象是所有的信息使用者包括被审计单位的股东、债权人、管理当局、政府机构和一般社会公众。其关系图如所示。监理服务于建设合同的双方。建设单位与承建单位签署建设合同后两者之间的关系是等价交换关系即承建单位要按时交付既定质量等级的工程、开发实物建设单位要按时支付等价的工程款。监理单位接受建设单位委托后作为工程承包合同的洽商者它所执行的原则是使工程承包合同成为“平等条约”作为工程承包合同管理和工程款支付的签认者它所执行的原则是等价交换。因此监理单位是为双方的利益服务的而不仅仅为委托方建设单位服务。其关系图如所示。工作主体不同信息系统审计主体包括内部审计主体与外部审计主体。当审计人员是被审计单位的组成部分时称为内部审计其职责主要是搜集证据判断系统的有效性以及利用资源的效率。当审计人员独立于被审计单位时称为外部审计其职责重要是关注被审计单位信息资产的安全、真实、完整。而监理主体只能独立于建设单位和承建单位作为外部独立的第三方参与项目建设。方法不同审计的方法主要是搜集证据的方法包括检查、观察、分析性复合、查询及函证等方法并利用统计技术、计算机技术完成证据的搜集与评价。监理主要是利用项目管理技术包括成本核算控制、网络图及质量控制方法等实施对工程项目的“三控两管一协调”。结论与建议从以上的比较笔者认为：第一信息系统审计的作用是无可替代的信息化过程只有监理是不够的必须开展审计这是信息时代的需求。电子商务以及传统价值链向以客户为中心的价值链的转变改变了审计师所从事的传统鉴证业务。供应链管理中的各种过程和步骤如库存需求计划、购货定单、销售定单、运货通知和现金支出等通过信息系统被电子化处理时审查交易数据和评估其完整性及可靠性对交易数据进行实时控制成为必要。当企业开始与新的贸易伙伴（而不是以前的贸易伙伴）交换数据并进行交易时贸易伙伴及其交易处理系统的可靠性必须得到评估。审计师可能还需要评价客户的交易伙伴的可靠性和诚信度。此外从事电子商务的公司必须将其内部控制扩展到交易处理系统的各个方面因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。电子商务系统的内部控制评估和风险管理也离不开信息系统审计。所有这些都不是信息系统工程监理所能完成的。第二积极开展我国信息系统审计。首先我们要加大信息系统审计的宣传让人们了解什么是信息系统审计为什么要进行信息系统审计。其次要大力培养信息系统审计师。开展信息系统审计业务有两支力量可以挖掘：一是传统的审计师。注册会计师在执行传统的财务报表鉴证业务方面具有长久不衰的声誉和经验在经营惯例、交易处理的完整性、信息保护、内部控制的评价与建议方面一直都是注册会计师的专长。在提供信息系统及电子数据质量的鉴证与咨询服务方面会计师事务所面临竞争为使市场信服它是执行这种业务的最佳候选人会计师需要：（）学习提高技术能力。（）继续维护他们现有的作为独立的、被信任的第三方的角色。（）必须将信息技术、网络技术技能融入传统的鉴证业务。（）必须拓展在系统可靠性、风险确认和影响分析以及网站认证方面的业务。二是从事信息化咨询的IT技术人员。在电子商务时代交易大部分是由系统自动完成的人的参与较少审计轨迹存在较少在这种条件下审计必须穿过信息系统进行。IT技术人员具备了相应的技术技能：编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等这对于发现被审计信息系统及其控制的缺陷等相对较容易。但他们在鉴证市场还缺乏会计师事务所的独立、客观、公正的信誉缺乏对管理与内部控制认识、评价的经验缺少审计的理论与技能。因此IT技术人员从事信息系统审计业务要补充审计理论知识学会用审视的目光关注信息技术的效益从管理控制角度而非纯技术角度思考问题。此外要尽快形成行业管理制度规范如从事电子商务的企业必须经过审计、上市公司的信息系统必须经过审计、网上银行要审计等借鉴会计师业的经验对信息系统审计职业的自律规范开展研究包括资格考试制度、职业道德、执业规范与惩戒等使我国信息系统审计事业在健康规范的轨道上快速发展。参考文献、玛丽莲格林斯坦电子商务的安全与风险管理M谢淳译北京：华夏出版社、孟秀转“IS审计：信息时代审计业务的发展”《北京联合大学学报》年期、孙强孟秀转“什么是信息系统审计师”《中国注册会计师》年期、孟秀转孙强“信息系统工程监理向何处去”《计算机世界》年月日ThecomparisonISAuditingwithISSurveillanceMengXiuzhuanSunQiang(CollegeofAppliedSciencesandHumanitiesofBeijingUnionUniversity,Beijing,China)(ChinaFederationofITPromotionITGovernanceCommittee,Beijing,China)Abstract:Withtheexpansionofinformatizationandelectroniccommerce,peoplepaymoreandmoreattentiontoriskoftheinvestmentandthereliabilityofelectronicsdataSoIS(informationsystem)surveillanceappearsinChinaandISauditinoverseasButtheyaredifferentineffect,scopeofbusiness,serviceobjectandmethodISauditcan’tbereplacedItisnecessaryforinformationage AccordinglyweshouldpublicizetheISaudit,increasepeopletoconcernISaudit,givetheCPAinformationtechniquetrainingorITpersonnelaudittrainingresearchourcountry'sISauditingstandardtopushISauditingtodevelopinourcountryKeywords:informationsystemauditsurveillanceassurance企业IT部门成本管理研究京联合大学应用文理学院国际金融财务学系孟秀转中国信息化推进联盟IT治理专业委员会孙强    摘要企业信息化成本的居高不下使得人们越来越关注IT部门的成本问题。成本构成分析是成本管理的基础在分析IT部门成本构成和成本管理目标的基础上提出企业IT部门成本管理的模式并对实施过程中存在的问题提出建议。    关键词IT成本成本管理    引言自从年沈阳第一机床厂从德国工程师协会引入MRPⅡ软件以来随着信息技术的发展和管理理念的进步各种各样的企业信息化项目接踵而来企业资源计划（ERP）、客户关系管理（CRM）、供应链管理（SCM）及企业流程再造（BPR）等等国内各种企业争相花巨资对企业进行信息化改造成立专门的IT部门设立CIO仿佛搭上信息化快车企业便可以高枕无忧地进入新经济时代了。然而有专家调查发现从年沈阳第一机床厂从德国工程师协会引入MRPⅡ软件到年的多年时间里企业ERP应用情况不容乐观按期按预算成功实施实现系统集成的企业占没有实现系统集成的或实现部分集成的企业占而失败的却占在实施成功的企业中大多是外资企业。国外的调查也存在类似情况英国Kalido于年月日公布了有关企业信息管理的调查结果。调查显示％的企业对于本公司的信息管理系统感到不满。引人深思的是该调查是由美国HarteHanks以全球强企业以及财富企业中的家公司为对象通过问卷方式实施的。调查对象中％以上的企业年交易额超过亿美元。回答目前的信息系统不能灵活因应变化的企业约占％对于资料的精度表示担心的企业约占％％以上的企业正在策划有关数据及信息的整合计划。国内外数字表明企业信息化投资成功率很低。一方面是巨额的不惜代价的投入一方面是不能令人满意的产出效果这让企业的CIO们感到极大的压力。造成这种困境的一个重要原因是企业缺乏对IT部门的成本管理。    在互联网泡沫时期企业对IT部门的成本支出几乎处于失控状态大把“烧钱”是这一时期的生动写照。但严酷的市场竞争现实让企业不得不考虑IT部门对企业价值增加的贡献考虑IT部门的成本快速增长的合理性。虽然越来越多的人士认为到IT部门的服务是一个企业或一项业务不可缺少的支持但IT成本的快速增加影响了企业对IT部门的进一步投入甚而影响新的IT服务项目的开发。为了衡量IT部门工作绩效同时IT部门也想证明自身所做的努力无论是IT服务的接受者还是IT部门本身都需要清楚提供一项IT服务的真实成本是多少IT部门是如何管理控制这些成本的。IT部门的成本管理与控制被提到议事日程。    一、企业IT部门成本构成分析    正确理解成本的分类及其性质是有效控制成本的前提。IT部门发生的成本主要包括:硬件成本软件成本人力资源成本场所成本包括计算机房、办公室及其他设备用房如测试室、培训室、空调等外包服务成本即从外部组织购买服务的成本它可以是购买应用系统开发服务也可以是数据中心的建设因此成本中包括硬件软件等不同成本类型但由于服务提供方不愿提供详细的成本数据等原因很难将外包服务成本分解为最基本的成本类型因此将它单独列出作为一类转移成本对于跨国公司或较大的企业通常都有较为复杂的内部会计核算体系在组织内部不同的部门之间相互提供产品或服务时要制定一个转移价格转移价格对于提供产品或服务的部门来说表示收入对于使用这些产品或服务的购买部门来说则表示成本即转移成本。通常包括：硬件、软件（公司财务部门为IT部门成本管理制定的控制机制）、人力资源成本（公司人力资源部门收取的人力资源费用）、场所成本（主要由公司设施管理部门收取的费用）。我们可以根据成本管理的不同需要按不同的标准将这些成本分成不同种类。    ．根据成本的可追溯性划分为直接成本与间接成本。    直接成本是指可以追溯到个别产品、服务或部门的成本叫做直接成本。例如IT部门为其他部门或企业外的客户提供某项IT服务而直接耗费的资源这一资源的耗费只与该项服务有关则这些耗费就是直接成本。间接成本是指由几项服务或部门共同引起的成本叫做间接成本。例如IT部门的管理费用它不是专为某项服务或部门而发生的因此算作IT部门的间接成本。    根据成本性态划分为固定成本与可变成本。    成本性态是指成本总额对业务量的依存关系。业务量是指组织的生产经营活动水平的标志量。它可以是产出量也可以是投入量可以使用实物量、时间度量也可以使用货币度量。当业务量变化以后各项成本有不同的性态大体可以分为：固定成本和变动成本。    固定成本是指不受业务量影响的成本。它包括硬件、软件及建筑物的投资但这不是指硬件、软件及建筑物的购置价格而是其每月或每年的折旧。这些折旧无论业务量增加还是降低一直保持稳定这就是IT服务部门的固定成本。变动成本是指随着业务量增长而正比例增长的成本。例如IT人员工资、打印机墨盒、纸张、电力等的耗费都会随着IT服务提供量的增加而增加这些就是IT部门的变动成本。    根据成本的性质划分为资本成本和营业成本。    为购置长期使用的资产而发生的成本叫做资本成本。这些成本一般以一定年限内的折旧体现在会计科目中。所以资本成本一般指折旧而不是购置资产的价格。营业成本是指日常发生的与形成有形资产无关的成本。例如硬件、软件的维护费用、保险费以及许可证费用等。    此外根据管理人员对成本项目的可控性可划分为可控成本与不可控成本：如果管理人员可以控制成本或对成本水平有重大影响这种成本就叫做可控成本。管理人员不能对其发生重大影响的成本叫做不可控成本。许多成本不能由人完全控制。在区分可控成本与不可控成本时要特别注意管理人员是否有能力影响成本。    二、企业IT部门的成本管理目标    由于企业是若干部门共同构成,每个部门都有自己的目标,所以对IT部门的成本管理的立足点,就十分关键。对企业IT部门的成本管理应以企业为中心,站在企业的角度进行分析。企业对IT部门的成本管理,并不是单纯追求成本最低,利润最大化,而不考虑其他各部门的利益。也不是以牺牲其他部门或企业的利益为代价而使IT部门获取超额利润。企业各成部门之间是为了共同的目标增加提高企业价值而形成的一种利益关系,如果各部门之间没有利益关系不进行内部核算的话企业便会缺少对各部门行动的有效控制缺乏对各部门工作绩效的有效评价和奖惩。这影响到企业各部门的工作积极性和效果进而影响到企业的生存与发展。所以,企业IT部门的成本管理的目标可以这样定义:是企业追求企业价值最大为前提的IT服务的成本优势。    具体而言成本管理中应能使IT部门管理者：基于成本效益原则对每项IT服务做出决策以可靠的数据信息为基础制定预算计划采取商业化形式实施IT服务及其相关投资以商业化模式审视IT服务以成本补偿为基础制定投资计划等等。    三、IT部门成本管理模式设计    所谓成本管理是指以预算成本为限额按限额开支成本和费用以实际成本和预算成本比较衡量活动的成绩和效果并以例外管理原则纠正不利差异以提高工作效率实现以至超过预期目标。因此成本管理模式应包括：预算、IT会计记录、企业内部核算以及成本分析与考核。    预算    预算是指组织按照一定的业务量水平及质量水平估计各项成本计算预算成本并以预算成本为控制经济活动的依据衡量其合理性。当实际状态和预算有了较大差异时要查明原因并采取措施加以控制。编制预算是以预算项目的成本预测及IT服务工作量的预测为基础的。    （）预算项目的成本预测    预算项目一般按照成本项目划分一旦确定一般要保持稳定这样一是可以使企业了解其成本变动趋势进行纵向比较也可以与其他企业之间进行横向比较二是为成本管理活动提供了一个简单的处理基础如折旧可以按照成本类型的不同分别进行处理。    在预算编制时各预算项目的成本一般都是未知的如加班工资、外部网收费等因此必须对其进行预测。预测这些成本是以从前IT会计年度的成本数据为基础或以未来工作量的预测为基础进行的。IT成本管理必须谨慎地估计不可控制的成本的变化。    （）IT服务工作量预测    IT工作量是成本变化的一个主要原因之一因此在编制预算的时候要预测未来IT工作量。不仅成本管理活动需要估计工作量在服务级别管理和容量管理中也需要对工作量进行预测。工作量预测是以工作量的历史数据为基础考虑数据的更新与计划的修改得出未来IT工作量。    会计记录    会计记录是跟踪监测IT部门或组织的费用是如何形成的书面记录。包括各种分类账由会计人员进行管理。会计记录非常重要它是人们认识、识别与IT部门有关的成本了解费用的去向的工具可以帮助企业计算向企业内部及外部客户提供每一项服务的成本指出在提供服务过程中资金的去向提供IT成本效益分析或投资回报分析数据描述成本的变化趋势。IT会计的基本原则与其他业务活动的会计原则没什么两样。    IT会计最主要的工作是定义成本要素成本要素是成本项目的进一步细分例如硬件可以再分为办公室硬件、网络硬件以及中心服务器硬件。这有利于识别的每一项成本都较容易地填报在成本表中。成本要素结构一般在一年当中是相对固定的。定义成本要素结构一般可以按部门、按客户或按产品划分。对IT部门而言理想的方法应该是按照服务要素结构定义成本要素结构这样可以使硬件、软件、人力资源成本等直接成本项目的金额十分清晰同时有利于间接成本在不同服务之间的分配。服务要素结构越细对成本的认识越清晰。表是一个简单的服务要素结构底层的服务为上层的服务提供支持越高层的服务要素其功能与业务关系越密切。    在确定服务要素结构的基础上识别成本在各项服务当中分配归集成本。如图所示。    内部核算    内部核算是指向接受IT部门服务的客户收取费用进行成本效益核算的过程。内部核算包括收费的对象确定和计算收费额的方法的选择。良好的内部核算体系是以存在有效的会计系统完善的会计记录为前提。如果接受IT服务的客户是组织外部的客户则收取费用作为提供服务的回报如果接受IT服务的客户是企业内部其他部门则用模拟方式进入适当的会计科目以反映IT部门的活动效果及其对应部门的活动耗费。    进行内部核算的目的有两个：防止成本转移带来的部门间责任转嫁使每个责任中心都能作为单独的组织单位进行业绩评价作为一种价格引导下级部门采取明智的决策IT部门据此确定提供产品或服务的数量IT服务需求部门据此确定所需要的产品或服务的数量。但是这两个目的往往有矛盾。能够满足评价部门业绩的转移价格可能引导部门经理采取并非对企业最理想的决策而能够正确引导部门经理的转移价格可能使某个部门获利水平很高而另一个部门亏损。因此很难找到理想的转移价格而只能根据企业的具体情况选择基本满意的解决办法。常见的定价方法有：成本法、成本加成定价法、现行价格法、市场价格法、固定价格法等。    成本分析与考核    IT会计人员将每月、每年成本、收益、工作量、服务水平等的实际数据与相应的预算、计划数据相比较确定其差额发现有无例外情况。对存在的例外情况要进行差异分析。    差异分析是指确定差异的数额将其分解为不同的差异项目并在此基础上调查发生差异的具体原因并提出分析报告。通过差异分析找到造成差异的原因分清责任采取纠正行动实现降低成本的目的。    四、开展IT部门成本管理的难点与建议    目前在国内外的企业在尝试实施IT的成本管理但在实施过程中遇到了各种问题。    第一缺少既懂IT又熟悉会计知识的人员致使IT部门成本管理模式有待完善。成本管理活动对于IT人员和会计人员而言都是一个新事物往往由于会计人员对IT业务不熟悉或IT人员对成本模型、收费机制等缺乏充分认识致使成本管理模式设计不完善造成成本管理系统无效。    第二高层管理人员对IT服务的成本管理缺乏认识导致各部门之间不能有效的协调致使不能获得成本管理相关信息成本管理过程不能严肃认真的执行。IT部门的成本监测、计算、补偿等都需要企业其他部门的相关计划信息没有企业高层的协调这些计划的详细信息通常不容易获得成本管理也就流于形式。    第三IT成本管理本身的成本效益问题。对IT部门实行成本管理本身也是存在成本和风险的因此实施成本管理要考虑实行成本管理而带来的效益是否高于为之付出的代价。如果否那么实行成本管理是无效的。    对IT部门实施成本管理是企业追求企业价值最大化的必然选择因此我们必须做好以下工作逐步完善IT部门成本管理模式：一是加强宣传强化企业全员成本管理意识议建立数据搜集机制建立起采集包括：工作量、服务种类、客户、成本、资源存量等数据的采集点。二是加强员工培训工作对IT部门成本管理系统的每位员工都要进行适当的培训。对原IT人员要加强会计知识技能的培训理解会计原理及本质对于原财务人员则要加强IT知识技能的培训。通过培训使所有IT财务管理人员都能理解会计原理以及IT服务管理各流程的基本原则。三是进行成本管理的可行性研究。可行性也就是对项目的“必要性”、“可能性”和“合理性”等问题进行分析论证。对IT服务实行成本管理是否必要、有无实现的可能性实行成本管理是否符合成本与效益原则是计划阶段应该回答的问题。可行性研究的主要工作包括：确定实行成本管理所需的人、财、物等资源界定与组织其他部门的财务界限定量分析实行IT成本管理的成本与效益评价其合理性等有效解决IT部门成本管理自身的成本效益问题