吳青 夏琪

摘 要：企業(yè)內(nèi)部控制審計與信息系統(tǒng)審計都是以防范風險、有效監(jiān)管為主要目的，來構(gòu)建全方位的企業(yè)管理過程的控制體系。但是由于信息技術(shù)滲透到企業(yè)管理的每一個過程，使得兩者的審計界限變得模糊。為了分析兩者的區(qū)別和聯(lián)系，本文將從內(nèi)部控制審計和信息系統(tǒng)審計的基本概念出發(fā)，闡述它們各自的審計對象、審計內(nèi)容以及審計結(jié)果，以此說明兩者的異同點。

關鍵詞：信息化；審計；內(nèi)控

1 信息化內(nèi)部控制審計

1.1 內(nèi)部控制審計

1.1.1 內(nèi)部控制審計定義

內(nèi)部控制審計是通過對被審計單位的內(nèi)部控制的審查、分析測試、評價，確定其可信程度，從而對內(nèi)部控制是否有效做出鑒定的一種現(xiàn)代審計方法。

1.1.2 內(nèi)部控制審計的內(nèi)容

審計其實是對被審計事項合規(guī)性的審查，內(nèi)部控制審計就是對內(nèi)部控制五要素的一個審查，這五要素就是美國COSO委員會提出的《內(nèi)部控制-整合框架》中的“控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)察”。在內(nèi)部控制審計過程中，審計師在審計過程中查看被審企業(yè)是否對企業(yè)的內(nèi)部環(huán)境有著很好的認識，認識是否中肯，是否存在夸大或貶低的情況；對企業(yè)進行風險評估，將審計師自己所進行的風險評估與被審單位進行的風險評估進行比對，查漏補缺。

1.2 信息化內(nèi)部控制審計

信息化內(nèi)部控制審計與內(nèi)部控制審計內(nèi)容、方法其實基本相似，最大的不同就在于，信息化內(nèi)部控制審計考慮了信息環(huán)境對內(nèi)部控制的影響。它的內(nèi)容更多的是涉及到信息化環(huán)境下的內(nèi)部控制問題，審計師更多的關注是信息技術(shù)在企業(yè)中使用的范圍，評價信息技術(shù)的使用對企業(yè)經(jīng)營管理過程中可能帶來的風險，評估信息技術(shù)對財務報表等等各方面的影響。

2 信息系統(tǒng)審計

2.1 信息系統(tǒng)審計定義

信息系統(tǒng)審計是一個利用各種手段和工具對企業(yè)進行收集和評價審計證據(jù)，并以此來判斷其信息系統(tǒng)是否能夠保護企業(yè)資產(chǎn)的安全、維護企業(yè)數(shù)據(jù)的完整，能否有效地保證企業(yè)目標的實現(xiàn)，并能使企業(yè)資源得到高效地利用等方面做出判斷的過程。

2.2 信息系統(tǒng)審計的內(nèi)容

信息系統(tǒng)審計內(nèi)容通常包括對企業(yè)組織層面信息技術(shù)控制、信息技術(shù)一般性控制、業(yè)務流程層面相關應用控制的審計。企業(yè)組織層面信息技術(shù)的審計要考慮的是信息技術(shù)對在內(nèi)部控制審計所關注的五要素“控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)察”的影響，如在控制環(huán)境因素中，審計師要關注信息技術(shù)戰(zhàn)略規(guī)劃與企業(yè)發(fā)展戰(zhàn)略規(guī)劃的契合度、信息技術(shù)治理制度體系的建設以及信息技術(shù)部門的組織結(jié)構(gòu)和關系以及信息技術(shù)教育和培訓等情況。信息技術(shù)一般性控制關注的是構(gòu)建信息系統(tǒng)所涉及到的技術(shù)及安全：計算機硬件系統(tǒng)、計算機軟件系統(tǒng)如網(wǎng)絡架構(gòu)、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)，還包括使用信息系統(tǒng)相關人員以及規(guī)章規(guī)程，以確保信息系統(tǒng)的穩(wěn)定運行，支持應用控制的有效性。如信息安全管理、系統(tǒng)變更管理、系統(tǒng)開發(fā)與采購管理、系統(tǒng)運行管理等。企業(yè)業(yè)務流程層面應用控制是為了保證信息系統(tǒng)能夠準確、完整、及時完成企業(yè)數(shù)據(jù)的處理過程而設計的信息技術(shù)控制，所以審計師應關注與數(shù)據(jù)輸入、處理及輸出環(huán)節(jié)的相關的控制過程。除了上述審計活動之外，審計師還可根據(jù)企業(yè)的需求以及企業(yè)可能面臨的特殊風險，設計信息系統(tǒng)專項審計滿足企業(yè)發(fā)展戰(zhàn)略，如：信息系統(tǒng)開發(fā)實施項目的專項審計、信息系統(tǒng)安全審計、信息技術(shù)投資專項審計等。

2.3 信息系統(tǒng)審計過程和方法

典型的信息系統(tǒng)審計過程內(nèi)部通常有下面幾個階段：①確定審計對象：明確將要審計的領域。②確定審計目標：明確審計目的。③審計范圍：明確組織中要檢查的具體系統(tǒng)、職能或單元。④制定初步審計計劃：確定所需要的技術(shù)技能和資源，檢查信息的來源，確認審計地點或設施。⑤搜集數(shù)據(jù)的審計程序和步驟：確定對控制進行測試，驗證審計方法和工具，確定訪談對象名單，確定需要檢查的部門政策、標準和指南。⑥評價測試或檢查結(jié)果的程序。⑦確定與管理人員溝通的程序。⑧審計報告：確定追蹤審計程序測試和評價運營效果以及效率，確定控制測試程序檢查和評價文檔、政策和規(guī)程的合理性。

和傳統(tǒng)手工環(huán)境下的審計技術(shù)和方法相比，信息系統(tǒng)審計的方法既包括一般方法即手工方法，如詢問控制相關人員、觀察特定控制的運用、審閱文件和報告等方法，同時也根據(jù)信息系統(tǒng)的特性，應用計算機輔助審計工具和技術(shù)對信息系統(tǒng)進行穿行測試、追蹤信息系統(tǒng)處理數(shù)據(jù)痕跡、驗證系統(tǒng)控制和計算邏輯以及登錄信息系統(tǒng)進行系統(tǒng)查詢等方法。審計人員對信息系統(tǒng)審計進行評估時應獲得充分、可靠及相關的審計證據(jù)以支持審計結(jié)論完成審計目標。在信息系統(tǒng)審計過程中，我們要注意幾個問題：①由于較多的計算和報表等都是信息系統(tǒng)自助完成的，審計師在審計時要關注數(shù)據(jù)的來源、去向是否明晰，對數(shù)據(jù)報表審查功能是否完備等。②數(shù)據(jù)在兩個信息系統(tǒng)之間進行數(shù)據(jù)傳輸時，要制定一套規(guī)章來保證數(shù)據(jù)在傳輸過程中的完整性、準確性和真實可靠性。③信息系統(tǒng)審計師在使用計算機審計軟件工具獲取審計證據(jù)時，要注意對原數(shù)據(jù)的保護，不能對原始數(shù)據(jù)進行分析，防止造成審計證據(jù)的喪失。④信息系統(tǒng)審計師對被審單位內(nèi)部控制環(huán)節(jié)進行審計時，要關注其內(nèi)部控制系統(tǒng)是否存在并證明它正在有效地發(fā)揮作用。具體地應在這幾個方面檢查內(nèi)控制度的有效性：控制系統(tǒng)資源的存取、控制系統(tǒng)資源的使用、建立用戶職能分配資源的制度、確認處理過程的準確性、保護財務系統(tǒng)免遭計算機病毒的攻擊。

3 信息化內(nèi)部控制審計與信息系統(tǒng)審計的聯(lián)系

通過對信息化內(nèi)部控制審計、信息系統(tǒng)審計的定義、內(nèi)容等基本概念的介紹和分析，我們對兩個審計概念有清楚的了解。不管是信息系統(tǒng)審計還是信息化內(nèi)部控制審計，它們都是企業(yè)為防范風險、進行有效監(jiān)管為主要目的的審計體系，以此構(gòu)建全方位的企業(yè)管理過程的控制體系。對企業(yè)來說財務管理尤為重要，企業(yè)運營的決策很大程度依賴于財務報表等相關財務報告，在信息化環(huán)境下，財務報告信息是由會計信息系統(tǒng)依據(jù)日常財務信息統(tǒng)計計算獲得的，會計信息系統(tǒng)的有效運行依賴于內(nèi)部控制的有效性。信息系統(tǒng)審計關注信息技術(shù)的應用與信息系統(tǒng)運行的有效性，信息化內(nèi)部控制審計關注信息技術(shù)的應用與內(nèi)部控制的有效性，從上述分析可以看出，信息化內(nèi)部控制審計與信息系統(tǒng)審計存在著許多聯(lián)系。

3.1 目標一致性

內(nèi)部控制審計是對公司內(nèi)部控制有效性的審計，信息系統(tǒng)審計是對組織信息系統(tǒng)管理以及應用的綜合評價，似乎并不相同，但是兩者的最終目的是一致的，它們都是建立企業(yè)的風險控制、監(jiān)管體系保證企業(yè)管理人員得到完整的、真實可靠的管理信息。而且，信息系統(tǒng)審計的內(nèi)容在很大程度上與內(nèi)部控制審計內(nèi)容有著密切的相關性。企業(yè)管理信息系統(tǒng)通過收集企業(yè)日常運行的數(shù)據(jù)經(jīng)過加工處理后產(chǎn)生了各管理層所需要的管理信息，信息系統(tǒng)的運行依賴于內(nèi)部控制的有效。因此，內(nèi)部控制的有效性，是為了信息系統(tǒng)的有效運行，是為了獲得高質(zhì)量的管理信息，更有效地為企業(yè)管理人員服務。

3.2 都屬于鑒證業(yè)務

一般的鑒證業(yè)務定義是指注冊會計師對鑒證對象信息提出結(jié)論，以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業(yè)務。我們認為內(nèi)部控制審計和信息系統(tǒng)審計都屬于專門的簽證業(yè)務。審計人員在進行財務報表審計時，根據(jù)已發(fā)布的各個準則對內(nèi)部控制進行調(diào)查和測試，目的是確定控制風險水平。當風險控制水平確定后，審計人員在審計期間要考慮內(nèi)部控制的有效性。而審計人員執(zhí)行內(nèi)部審計業(yè)務是一項專門的審計任務，他事先與委托人就內(nèi)部控制審計范圍達成一致意見，只要是業(yè)務約定書確定的內(nèi)部控制審計范圍，審計人員都要進行審計，也可將內(nèi)部控制審計與財務報表審計整合進行。因此，財務報告內(nèi)部控制審計也是基于責任方認定的鑒證業(yè)務。

根據(jù)信息系統(tǒng)審計定義，信息系統(tǒng)審計是以獨立第三方的身份對被審計單位的信息系統(tǒng)以及信息系統(tǒng)應用發(fā)表意見，這種意見明顯屬于合理保證的鑒證業(yè)務的范疇。ISACA提出的用于描述IT管理框架的COBIT，已經(jīng)成為眾多國家的政府部門、企業(yè)對IT的計劃與組織、采購與實施、服務提供與服務支持、監(jiān)督與控制等進行全面考核與認可的業(yè)界標準。我國的信息系統(tǒng)審計準則基于COBIT的思想建立一套完善的企業(yè)信息系統(tǒng)審計的內(nèi)部監(jiān)控體系，認為信息系統(tǒng)的開發(fā)、運行和維護以及信息技術(shù)相關的內(nèi)部控制的設計、執(zhí)行和監(jiān)控是組織及其相關人員的責任，實施信息系統(tǒng)審計工作并出具審計報告是信息系統(tǒng)審計人員的責任。這就說明了信息系統(tǒng)審計屬于基于責任方認定的合理保證鑒證業(yè)務。

3.3 基于風險控制的審計形式

我們知道內(nèi)部控制有一項基本要素是“風險評估”，同樣的，內(nèi)部控制審計中采取的就是風險導向?qū)徲嬆Ｊ?，由審計師對被審單位的風險進行分析，確定被審單位是否已經(jīng)意識到了所有的風險，或者說是否存在被審單位忽略的風險。對意識到的風險，審查其控制活動，確?？刂频轿?，不存在遺漏的地方；對于被審單位沒有意識到的風險，提出審計意見、提出控制活動，建議被審單位重視這些被疏忽但是卻不容小覷的潛在風險。

同樣的，信息系統(tǒng)審計也是采用了同樣的風險導向?qū)徲嬆Ｊ?，在正式的審計活動展開之前，先對被審單位進行風險評估，了解被審單位風險控制是否到位，根據(jù)風險評估結(jié)果決定信息系統(tǒng)審計師對被審單位進行的合規(guī)性測試、復合性測試的量的大小，運用風險導向?qū)徲嬆Ｊ娇梢詷O大的減少信息系統(tǒng)審計師的工作量，幫助信息系統(tǒng)審計師選取一種最優(yōu)化、智能的測試方法獲取想要的審計證據(jù)。所以說信息化內(nèi)部控制審計與信息系統(tǒng)審計在這一點上是相同的。

3.4 審計結(jié)果可以借鑒

從信息系統(tǒng)審計的審計過程來看，不難發(fā)現(xiàn)，在信息系統(tǒng)審計過程中有一項比較重要的調(diào)查就是“被審企業(yè)是否存在內(nèi)部控制”，這一項調(diào)查結(jié)果直接影響信息系統(tǒng)審計師后續(xù)審計工作的展開，若是內(nèi)部控制充分，則信息系統(tǒng)審計師只需要進行少量的符合性測試和實質(zhì)性測試，審計工作量大大減少；若是內(nèi)部控制不充分甚至于不存在內(nèi)部控制，則信息系統(tǒng)審計師需要進行大量的實質(zhì)性測試甚至于對所有內(nèi)容進行測試，若是對一個大型企業(yè)大范圍的進行實質(zhì)性測試的話，審計進度可能會延期。

因此，我們的信息化內(nèi)部控制審計就是對企業(yè)的內(nèi)部控制有效性進行的審計活動，該審計活動最終會出具被審單位內(nèi)部控制是否有效的審計報告。同樣都是對被審單位內(nèi)部控制有效性進行的調(diào)查研究，不難想出，這兩種審計活動在內(nèi)部控制有效性審查這一部分存在很多相同的基礎調(diào)查。所以，信息化內(nèi)部控制審計與信息系統(tǒng)審計兩者的審計結(jié)果是相互通用的。信息系統(tǒng)審計師在審計時，可以根據(jù)內(nèi)部控制審計的審計結(jié)果，適當?shù)卦黾踊驕p少內(nèi)部控制調(diào)查的力度；反之，內(nèi)部控制審計師在審計時，可以根據(jù)信息系統(tǒng)審計過程中內(nèi)部控制的調(diào)查結(jié)果，決定自己內(nèi)部控制調(diào)查的工作重心。在一項調(diào)查工作中發(fā)現(xiàn)的問題可以為另一項調(diào)查提供線索和思路。需要注意的是，一項調(diào)查結(jié)果并不能代替另一項調(diào)查，就好比信息系統(tǒng)審計過程中對內(nèi)部控制所做的調(diào)查并不能夠完全代替內(nèi)部控制審計，因為兩者對內(nèi)部控制活動的關注程度、關注方面存在著很大的不同，這也是信息化內(nèi)部控制審計與信息系統(tǒng)審計的一大不同點。

4 信息化內(nèi)部控制審計與信息系統(tǒng)審計的區(qū)別

以上分析可以看出信息化內(nèi)部控制審計與信息系統(tǒng)審計存在著一定的聯(lián)系，但從定義上來看，兩者在審計的對象、內(nèi)容以及結(jié)果都是很大區(qū)別的。

4.1 審計內(nèi)容不同

這一點是最顯而易見的。信息化內(nèi)部控制審計的對象是企業(yè)的內(nèi)部控制，審計師在審查過程中會去重點關注的是被審單位首先是否存在內(nèi)部控制制度以及制度是否健全；其次，內(nèi)部控制制度是否只是擺設，是否積極主動的去實行；然后是制度是否有效，最后才是根據(jù)審計師觀察的結(jié)果得出改進意見等。而信息系統(tǒng)審計可能更加關注的就是信息系統(tǒng)是否有效了，它包括了信息化的內(nèi)部控制方方面面。

4.2 對內(nèi)部控制的關注程度不同

信息系統(tǒng)審計和內(nèi)部控制審計都會關注企業(yè)的內(nèi)部控制。但是兩種審計模式對內(nèi)部控制的關注目的是不同的。信息化內(nèi)部控制審計中，評價內(nèi)部控制的目的是為了對內(nèi)部控制本身的有效性發(fā)表審計意見；而信息系統(tǒng)審計評價內(nèi)部控制只是為了評估被審單位對風險是否做到了有效控制。如果信息系統(tǒng)審計師不想審查被審單位的內(nèi)部控制，他可以不做。然而信息化內(nèi)部控制審計卻不能做到這一點，這也是兩者之間的一大不同。

4.3 審計結(jié)果不同

根據(jù)其定義，信息化內(nèi)部控制審計中，審計師會出具關于內(nèi)部控制有效性的意見。在信息系統(tǒng)審計中，審計師會對相關信息系統(tǒng)運行做出判斷，并提出意見。兩者出具的是完全不同的兩種報告，所以說內(nèi)部控制審計與信息系統(tǒng)審計的審計結(jié)果不同。

5 總結(jié)

信息化時代已然來臨，隨著計算機的普及與應用，完全脫離計算機進行審計的審計活動是不存在的。如上分析，信息化內(nèi)部控制審計與信息系統(tǒng)審計存在許多的共同點，而且相關的基礎調(diào)查、結(jié)論等可以共用，可以考慮將信息化內(nèi)部控制審計與信息系統(tǒng)審計做一個適當?shù)恼?，減少審計工作的冗余，更加高效、正確地完成審計工作。

參考文獻：

[1]駱良彬，張白.企業(yè)信息化過程中內(nèi)部控制問題研究[J].會計研究， 2008（5）.

[2]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計研究，2007（01）.

[3]胡曉明.風險導向信息系統(tǒng)審計及其發(fā)展思路[J].經(jīng)濟管理，2007（2）.