吴青 夏琪

摘 要：企业内部控制审计与信息系统审计都是以防范风险、有效监管为主要目的，来构建全方位的企业管理过程的控制体系。但是由于信息技术渗透到企业管理的每一个过程，使得两者的审计界限变得模糊。为了分析两者的区别和联系，本文将从内部控制审计和信息系统审计的基本概念出发，阐述它们各自的审计对象、审计内容以及审计结果，以此说明两者的异同点。

关键词：信息化；审计；内控

1 信息化内部控制审计

1.1 内部控制审计

1.1.1 内部控制审计定义

内部控制审计是通过对被审计单位的内部控制的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效做出鉴定的一种现代审计方法。

1.1.2 内部控制审计的内容

审计其实是对被审计事项合规性的审查，内部控制审计就是对内部控制五要素的一个审查，这五要素就是美国COSO委员会提出的《内部控制-整合框架》中的“控制环境、风险评估、控制活动、信息与沟通、监察”。在内部控制审计过程中，审计师在审计过程中查看被审企业是否对企业的内部环境有着很好的认识，认识是否中肯，是否存在夸大或贬低的情况；对企业进行风险评估，将审计师自己所进行的风险评估与被审单位进行的风险评估进行比对，查漏补缺。

1.2 信息化内部控制审计

信息化内部控制审计与内部控制审计内容、方法其实基本相似，最大的不同就在于，信息化内部控制审计考虑了信息环境对内部控制的影响。它的内容更多的是涉及到信息化环境下的内部控制问题，审计师更多的关注是信息技术在企业中使用的范围，评价信息技术的使用对企业经营管理过程中可能带来的风险，评估信息技术对财务报表等等各方面的影响。

2 信息系统审计

2.1 信息系统审计定义

信息系统审计是一个利用各种手段和工具对企业进行收集和评价审计证据，并以此来判断其信息系统是否能够保护企业资产的安全、维护企业数据的完整，能否有效地保证企业目标的实现，并能使企业资源得到高效地利用等方面做出判断的过程。

2.2 信息系统审计的内容

信息系统审计内容通常包括对企业组织层面信息技术控制、信息技术一般性控制、业务流程层面相关应用控制的审计。企业组织层面信息技术的审计要考虑的是信息技术对在内部控制审计所关注的五要素“控制环境、风险评估、控制活动、信息与沟通、监察”的影响，如在控制环境因素中，审计师要关注信息技术战略规划与企业发展战略规划的契合度、信息技术治理制度体系的建设以及信息技术部门的组织结构和关系以及信息技术教育和培训等情况。信息技术一般性控制关注的是构建信息系统所涉及到的技术及安全：计算机硬件系统、计算机软件系统如网络架构、操作系统、数据库、应用系统，还包括使用信息系统相关人员以及规章规程，以确保信息系统的稳定运行，支持应用控制的有效性。如信息安全管理、系统变更管理、系统开发与采购管理、系统运行管理等。企业业务流程层面应用控制是为了保证信息系统能够准确、完整、及时完成企业数据的处理过程而设计的信息技术控制，所以审计师应关注与数据输入、处理及输出环节的相关的控制过程。除了上述审计活动之外，审计师还可根据企业的需求以及企业可能面临的特殊风险，设计信息系統专项审计满足企业发展战略，如：信息系统开发实施项目的专项审计、信息系统安全审计、信息技术投资专项审计等。

2.3 信息系统审计过程和方法

典型的信息系统审计过程内部通常有下面几个阶段：①确定审计对象：明确将要审计的领域。②确定审计目标：明确审计目的。③审计范围：明确组织中要检查的具体系统、职能或单元。④制定初步审计计划：确定所需要的技术技能和资源，检查信息的来源，确认审计地点或设施。⑤搜集数据的审计程序和步骤：确定对控制进行测试，验证审计方法和工具，确定访谈对象名单，确定需要检查的部门政策、标准和指南。⑥评价测试或检查结果的程序。⑦确定与管理人员沟通的程序。⑧审计报告：确定追踪审计程序测试和评价运营效果以及效率，确定控制测试程序检查和评价文档、政策和规程的合理性。

和传统手工环境下的审计技术和方法相比，信息系统审计的方法既包括一般方法即手工方法，如询问控制相关人员、观察特定控制的运用、审阅文件和报告等方法，同时也根据信息系统的特性，应用计算机辅助审计工具和技术对信息系统进行穿行测试、追踪信息系统处理数据痕迹、验证系统控制和计算逻辑以及登录信息系统进行系统查询等方法。审计人员对信息系统审计进行评估时应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标。在信息系统审计过程中，我们要注意几个问题：①由于较多的计算和报表等都是信息系统自助完成的，审计师在审计时要关注数据的来源、去向是否明晰，对数据报表审查功能是否完备等。②数据在两个信息系统之间进行数据传输时，要制定一套规章来保证数据在传输过程中的完整性、准确性和真实可靠性。③信息系统审计师在使用计算机审计软件工具获取审计证据时，要注意对原数据的保护，不能对原始数据进行分析，防止造成审计证据的丧失。④信息系统审计师对被审单位内部控制环节进行审计时，要关注其内部控制系统是否存在并证明它正在有效地发挥作用。具体地应在这几个方面检查内控制度的有效性：控制系统资源的存取、控制系统资源的使用、建立用户职能分配资源的制度、确认处理过程的准确性、保护财务系统免遭计算机病毒的攻击。

3 信息化内部控制审计与信息系统审计的联系

通过对信息化内部控制审计、信息系统审计的定义、内容等基本概念的介绍和分析，我们对两个审计概念有清楚的了解。不管是信息系统审计还是信息化内部控制审计，它们都是企业为防范风险、进行有效监管为主要目的的审计体系，以此构建全方位的企业管理过程的控制体系。对企业来说财务管理尤为重要，企业运营的决策很大程度依赖于财务报表等相关财务报告，在信息化环境下，财务报告信息是由会计信息系统依据日常财务信息统计计算获得的，会计信息系统的有效运行依赖于内部控制的有效性。信息系统审计关注信息技术的应用与信息系统运行的有效性，信息化内部控制审计关注信息技术的应用与内部控制的有效性，从上述分析可以看出，信息化内部控制审计与信息系统审计存在着许多联系。

3.1 目标一致性

内部控制审计是对公司内部控制有效性的审计，信息系统审计是对组织信息系统管理以及应用的综合评价，似乎并不相同，但是两者的最终目的是一致的，它们都是建立企业的风险控制、监管体系保证企业管理人员得到完整的、真实可靠的管理信息。而且，信息系统审计的内容在很大程度上与内部控制审计内容有着密切的相关性。企业管理信息系统通过收集企业日常运行的数据经过加工处理后产生了各管理层所需要的管理信息，信息系统的运行依赖于内部控制的有效。因此，内部控制的有效性，是为了信息系统的有效运行，是为了获得高质量的管理信息，更有效地为企业管理人员服务。

3.2 都属于鉴证业务

一般的鉴证业务定义是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。我们认为内部控制审计和信息系统审计都属于专门的签证业务。审计人员在进行财务报表审计时，根据已发布的各个准则对内部控制进行调查和测试，目的是确定控制风险水平。当风险控制水平确定后，审计人员在审计期间要考虑内部控制的有效性。而审计人员执行内部审计业务是一项专门的审计任务，他事先与委托人就内部控制审计范围达成一致意见，只要是业务约定书确定的内部控制审计范围，审计人员都要进行审计，也可将内部控制审计与财务报表审计整合进行。因此，财务报告内部控制审计也是基于责任方认定的鉴证业务。

根据信息系统审计定义，信息系统审计是以独立第三方的身份对被审计单位的信息系统以及信息系统应用发表意见，这种意见明显属于合理保证的鉴证业务的范畴。ISACA提出的用于描述IT管理框架的COBIT，已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。我国的信息系统审计准则基于COBIT的思想建立一套完善的企业信息系统审计的内部监控体系，认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任，实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这就说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。

3.3 基于风险控制的审计形式

我们知道内部控制有一项基本要素是“风险评估”，同样的，内部控制审计中采取的就是风险导向审计模式，由审计师对被审单位的风险进行分析，确定被审单位是否已经意识到了所有的风险，或者说是否存在被审单位忽略的风险。对意识到的风险，审查其控制活动，确保控制到位，不存在遗漏的地方；对于被审单位没有意识到的風险，提出审计意见、提出控制活动，建议被审单位重视这些被疏忽但是却不容小觑的潜在风险。

同样的，信息系统审计也是采用了同样的风险导向审计模式，在正式的审计活动展开之前，先对被审单位进行风险评估，了解被审单位风险控制是否到位，根据风险评估结果决定信息系统审计师对被审单位进行的合规性测试、复合性测试的量的大小，运用风险导向审计模式可以极大的减少信息系统审计师的工作量，帮助信息系统审计师选取一种最优化、智能的测试方法获取想要的审计证据。所以说信息化内部控制审计与信息系统审计在这一点上是相同的。

3.4 审计结果可以借鉴

从信息系统审计的审计过程来看，不难发现，在信息系统审计过程中有一项比较重要的调查就是“被审企业是否存在内部控制”，这一项调查结果直接影响信息系统审计师后续审计工作的展开，若是内部控制充分，则信息系统审计师只需要进行少量的符合性测试和实质性测试，审计工作量大大减少；若是内部控制不充分甚至于不存在内部控制，则信息系统审计师需要进行大量的实质性测试甚至于对所有内容进行测试，若是对一个大型企业大范围的进行实质性测试的话，审计进度可能会延期。

因此，我们的信息化内部控制审计就是对企业的内部控制有效性进行的审计活动，该审计活动最终会出具被审单位内部控制是否有效的审计报告。同样都是对被审单位内部控制有效性进行的调查研究，不难想出，这两种审计活动在内部控制有效性审查这一部分存在很多相同的基础调查。所以，信息化内部控制审计与信息系统审计两者的审计结果是相互通用的。信息系统审计师在审计时，可以根据内部控制审计的审计结果，适当地增加或减少内部控制调查的力度；反之，内部控制审计师在审计时，可以根据信息系统审计过程中内部控制的调查结果，决定自己内部控制调查的工作重心。在一项调查工作中发现的问题可以为另一项调查提供线索和思路。需要注意的是，一项调查结果并不能代替另一项调查，就好比信息系统审计过程中对内部控制所做的调查并不能够完全代替内部控制审计，因为两者对内部控制活动的关注程度、关注方面存在着很大的不同，这也是信息化内部控制审计与信息系统审计的一大不同点。

4 信息化内部控制审计与信息系统审计的区别

以上分析可以看出信息化内部控制审计与信息系统审计存在着一定的联系，但从定义上来看，两者在审计的对象、内容以及结果都是很大区别的。

4.1 审计内容不同

这一点是最显而易见的。信息化内部控制审计的对象是企业的内部控制，审计师在审查过程中会去重点关注的是被审单位首先是否存在内部控制制度以及制度是否健全；其次，内部控制制度是否只是摆设，是否积极主动的去实行；然后是制度是否有效，最后才是根据审计师观察的结果得出改进意见等。而信息系统审计可能更加关注的就是信息系统是否有效了，它包括了信息化的内部控制方方面面。

4.2 对内部控制的关注程度不同

信息系统审计和内部控制审计都会关注企业的内部控制。但是两种审计模式对内部控制的关注目的是不同的。信息化内部控制审计中，评价内部控制的目的是为了对内部控制本身的有效性发表审计意见；而信息系统审计评价内部控制只是为了评估被审单位对风险是否做到了有效控制。如果信息系统审计师不想审查被审单位的内部控制，他可以不做。然而信息化内部控制审计却不能做到这一点，这也是两者之间的一大不同。

4.3 审计结果不同

根据其定义，信息化内部控制审计中，审计师会出具关于内部控制有效性的意见。在信息系统审计中，审计师会对相关信息系统运行做出判断，并提出意见。两者出具的是完全不同的两种报告，所以说内部控制审计与信息系统审计的审计结果不同。

5 总结

信息化时代已然来临，随着计算机的普及与应用，完全脱离计算机进行审计的审计活动是不存在的。如上分析，信息化内部控制审计与信息系统审计存在许多的共同点，而且相关的基础调查、结论等可以共用，可以考虑将信息化内部控制审计与信息系统审计做一个适当的整合，减少审计工作的冗余，更加高效、正确地完成审计工作。

参考文献：

[1]骆良彬，张白.企业信息化过程中内部控制问题研究[J].会计研究， 2008（5）.

[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究，2007（01）.

[3]胡晓明.风险导向信息系统审计及其发展思路[J].经济管理，2007（2）.