（温州大学城市学院 浙江温州325035）

从我国目前发布的相关规范来看，《企业内部控制评价指引》专门针对的是由企业董事会和管理层的工作，《内部审计具体准则第28号——信息系统审计》是用来指导内部审计师开展信息系统审计；而《企业内部控制审计指引》和《中国注册会计师审计准则》则是用来指导注册会计师进行内部控制审计。它们的要求各有侧重，但在实质性的内容上却殊途同归。下面我们分别进行介绍。

一、内部审计部门所开展的信息系统审计

《内部审计具体准则第28号——信息系统审计》指出，信息系统审计，是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。该准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。

信息技术风险评估师确定信息系统审计内容的前提。在进行信息系统审计时，审计人员应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析及评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。相应的，信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

（一）组织层面信息技术控制和信息技术一般控制

审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注以下几方面：业务关注度，即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术 （包括硬件及软件环境）对业务和用户需求的支持度；信息资产的重要性；对信息技术的依赖程度；对信息技术部门人员的依赖程度；对外部信息技术服务的依赖程度；信息系统及其运行环境的安全性、可靠性；信息技术变更；法律规范环境；其他。

1.组织层面的信息技术控制。组织层面信息技术控制是指管理层及治理层对信息技术治理职能及内部控制的重要性的态度、认识和措施，审计人员应考虑以下控制要素中与信息技术相关的内容：（1）控制环境。审计人员应关注该组织的信息技术战略规划对业务战略规划的契合度、IT治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。（2）风险评估。审计人员应关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况、信息资产的分类以及信息资产所有者的职责等方面。（3）信息与沟通。审计人员应关注组织的信息系统架构及其对财务、业务流程的支持度、管理层及治理层的信息沟通模式、信息技术政策、信息安全制度的传达与沟通等方面。（4）监控。审计人员应关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。

2.信息技术一般性控制。信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。对信息技术一般性控制的审计应考虑以下控制活动：（1）信息安全管理。审计人员应关注组织的信息安全管理政策，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。（2）系统变更管理。审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试，变更移植到生产环境的流程控制等。（3）系统开发和采购管理。审计人员应关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发的方法论，开发环境、测试环境、生产环境严格分离情况，系统的测试、审核、移植到生产环境等环节。（4）系统运行管理。审计人员应关注组织的信息技术资产管理、系统容量管理、系统物理环境控制，系统和数据备份及恢复管理，问题管理和系统的日常运行管理等。

（二）业务流程层面应用控制

业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言，审计人员应了解业务流程并关注以下几方面信息技术风险：数据输入，数据处理，数据输出。

业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑以下与数据输入、数据处理以及数据输出环节相关的控制活动：授权与批准；系统配置控制；异常情况报告和差错报告；接口/转换控制；一致性核对；职责分离；系统访问权限；系统计算；其他。

信息系统审计除上述常规的审计内容外，审计人员还可以根据组织当前面临的特殊风险或需求，设计专项审计以满足审计战略，具体包括但不限于下列领域：信息系统开发实施项目的专项审计；信息系统安全专项审计；信息技术投资专项审计；业务连续性计划的专项审计；外包条件下的专项审计；法律法规、行业规范要求的内部控制的合规性的专项审计；其他专项审计。

二、注册会计师所开展的会计信息系统审计

我国目前指导注册会计师开展内部控制审计的规范包括 《中国注册会计师审计准则》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》、《中国注册会计师鉴证业务基本准则》及相关执业准则。

（一）整合审计的要求

我国的 《企业内部控制基本规范》要求所有的上市公司，对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请会计师事务所对内部控制的有效性进行审计。《企业内部控制审计指引》指出，建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照该指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计进行整合审计。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：1.获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；2.获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。由于信息系统是内部控制进行集成、转化和提升所形成的信息化管理平台，已经嵌入了企业的生产经营管理业务流程、关键控制点和处理规则，财务报表中的数据都是由信息系统来生成。所以，在信息化环境下，注册会计师需要对信息系统中内部控制设计与运行的有效性进行测试。

中国注册会计师审计准则第1211号《了解被审计单位及其环境并评估重大错报风险》对所需要进行测试的信息系统进行了界定，将这部分信息系统称为与财务报告相关的信息系统（也就是本文所说的会计信息系统），它包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统所生成信息的质量，对管理层能否编制可靠的财务报告具有重大影响，它通常包括下列职能：（1）识别与记录所有的有效交易；（2）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；（3）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；（4）恰当确定交易生成的会计期间；（5）在财务报表中恰当列报交易。

（二）所需要关注的信息系统内部控制的风险

《企业内部控制应用指引第18号——信息系统》指出，企业利用信息系统实施内部控制至少应当关注下列风险：（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（3）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

中国注册会计师审计准则第1211号《了解被审计单位及其环境并评估重大错报风险》要求注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：（1）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（2）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；（4）经授权改变主文档的数据；（5）经授权改变系统或程序；（6）能对系统或程序作出必要的修改；（7）恰当的人为干预；（8）数据丢失的风险或不能访问所需要的数据。可见，《企业内部控制应用指引》关注的是实施过程中的风险，而《了解被审计单位及其环境并评估重大错报风险》所关注的是运行过程中的风险。

（三）注册会计师需要关注的内容

中国注册会计师审计准则第1211号《了解被审计单位及其环境并评估重大错报风险》指出，在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性。

《了解被审计单位及其环境并评估重大错报风险》要求，注册会计师应当从下列方面了解与财务报告相关的信息系统：（1）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；（2）在信息技术和人工系统中，对交易生成、记录、处理和报告的程序；（3）与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目；（4）信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况；（5）被审计单位编制财务报告的过程，包括作出的重大会计估计和披露。

由于被审计单位利用互联网进行电子商务活动对企业原有的内部控制造成了冲击，中国注册会计师审计准则第1633号《电子商务对财务报表审计的影响》特别规定了注册会计师在进行审计时应该关注电子商务对被审计单位内部控制造成的影响，并指出，在某些情况下，仅依靠实施实质性程序不足以将审计风险降至可接受的低水平，注册会计师应当实施控制测试，并考虑使用计算机辅助审计技术。注册会计师应当重点关注与电子商务相关的安全性控制、交易完备性控制和流程整合。

《了解被审计单位及其环境并评估重大错报风险》要求注册会计师应当了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行 （包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

《企业内部控制审计指引》要求注册会计师按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。《企业内部控制审计指引》指出，注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（1）与内部环境相关的控制；（2）针对董事会、经理层凌驾于控制之上的风险而设计的控制；（3）企业的风险评估过程；（4）对内部信息传递和财务报告流程的控制；（5）对控制有效性的内部监督和自我评价。注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。

综上所述，内部审计师开展的信息系统审计和注册会计师需要进行的会计信息系统审计，虽然在目的上存在着显著差异。前者对组织是否达成信息技术管理目标进行综合评价，并基于评价意见提出管理意见；后者是为财务报表审计服务，是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表意见。从上面对两者审计内容的阐释来看，如果将内部审计人员进行审计的信息系统限定为会计信息系统，而非企业内部综合信息系统，那么内部审计师与注册会计师对信息系统审计的内容并无多大差异。所以，中国注册会计审计准则第1411号《考虑内部审计工作》提出，“内部审计和注册会计师审计用以实现各自目标的某些手段通常是相似的，注册会计师应当考虑内部审计工作的某些方面是否有助于确定审计程序的性质、时间和范围”。“有效的内部审计通常有助于注册会计师修改审计程序的性质和时间，并缩小实施审计程序的范围，但不能完全取代注册会计师应当实施的审计程序”。《企业内部控制审计指引》也指出，注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。