淺析企業信息化內部控制審計與信息系統審計的關系

吳青 夏琪

摘 要：企業內部控制審計與信息系統審計都是以防范風險、有效監管為主要目的，來構建全方位的企業管理過程的控制體系。但是由于信息技術滲透到企業管理的每一個過程，使得兩者的審計界限變得模糊。為了分析兩者的區別和聯系，本文將從內部控制審計和信息系統審計的基本概念出發，闡述它們各自的審計對象、審計內容以及審計結果，以此說明兩者的異同點。

關鍵詞：信息化；審計；內控

1 信息化內部控制審計

1.1 內部控制審計

1.1.1 內部控制審計定義

內部控制審計是通過對被審計單位的內部控制的審查、分析測試、評價，確定其可信程度，從而對內部控制是否有效做出鑒定的一種現代審計方法。

1.1.2 內部控制審計的內容

審計其實是對被審計事項合規性的審查，內部控制審計就是對內部控制五要素的一個審查，這五要素就是美國COSO委員會提出的《內部控制-整合框架》中的“控制環境、風險評估、控制活動、信息與溝通、監察”。在內部控制審計過程中，審計師在審計過程中查看被審企業是否對企業的內部環境有著很好的認識，認識是否中肯，是否存在夸大或貶低的情況；對企業進行風險評估，將審計師自己所進行的風險評估與被審單位進行的風險評估進行比對，查漏補缺。

1.2 信息化內部控制審計

信息化內部控制審計與內部控制審計內容、方法其實基本相似，最大的不同就在于，信息化內部控制審計考慮了信息環境對內部控制的影響。它的內容更多的是涉及到信息化環境下的內部控制問題，審計師更多的關注是信息技術在企業中使用的范圍，評價信息技術的使用對企業經營管理過程中可能帶來的風險，評估信息技術對財務報表等等各方面的影響。

2 信息系統審計

2.1 信息系統審計定義

信息系統審計是一個利用各種手段和工具對企業進行收集和評價審計證據，并以此來判斷其信息系統是否能夠保護企業資產的安全、維護企業數據的完整，能否有效地保證企業目標的實現，并能使企業資源得到高效地利用等方面做出判斷的過程。

2.2 信息系統審計的內容

信息系統審計內容通常包括對企業組織層面信息技術控制、信息技術一般性控制、業務流程層面相關應用控制的審計。企業組織層面信息技術的審計要考慮的是信息技術對在內部控制審計所關注的五要素“控制環境、風險評估、控制活動、信息與溝通、監察”的影響，如在控制環境因素中，審計師要關注信息技術戰略規劃與企業發展戰略規劃的契合度、信息技術治理制度體系的建設以及信息技術部門的組織結構和關系以及信息技術教育和培訓等情況。信息技術一般性控制關注的是構建信息系統所涉及到的技術及安全：計算機硬件系統、計算機軟件系統如網絡架構、操作系統、數據庫、應用系統，還包括使用信息系統相關人員以及規章規程，以確保信息系統的穩定運行，支持應用控制的有效性。如信息安全管理、系統變更管理、系統開發與采購管理、系統運行管理等。企業業務流程層面應用控制是為了保證信息系統能夠準確、完整、及時完成企業數據的處理過程而設計的信息技術控制，所以審計師應關注與數據輸入、處理及輸出環節的相關的控制過程。除了上述審計活動之外，審計師還可根據企業的需求以及企業可能面臨的特殊風險，設計信息系統專項審計滿足企業發展戰略，如：信息系統開發實施項目的專項審計、信息系統安全審計、信息技術投資專項審計等。

2.3 信息系統審計過程和方法

典型的信息系統審計過程內部通常有下面幾個階段：①確定審計對象：明確將要審計的領域。②確定審計目標：明確審計目的。③審計范圍：明確組織中要檢查的具體系統、職能或單元。④制定初步審計計劃：確定所需要的技術技能和資源，檢查信息的來源，確認審計地點或設施。⑤搜集數據的審計程序和步驟：確定對控制進行測試，驗證審計方法和工具，確定訪談對象名單，確定需要檢查的部門政策、標準和指南。⑥評價測試或檢查結果的程序。⑦確定與管理人員溝通的程序。⑧審計報告：確定追蹤審計程序測試和評價運營效果以及效率，確定控制測試程序檢查和評價文檔、政策和規程的合理性。

和傳統手工環境下的審計技術和方法相比，信息系統審計的方法既包括一般方法即手工方法，如詢問控制相關人員、觀察特定控制的運用、審閱文件和報告等方法，同時也根據信息系統的特性，應用計算機輔助審計工具和技術對信息系統進行穿行測試、追蹤信息系統處理數據痕跡、驗證系統控制和計算邏輯以及登錄信息系統進行系統查詢等方法。審計人員對信息系統審計進行評估時應獲得充分、可靠及相關的審計證據以支持審計結論完成審計目標。在信息系統審計過程中，我們要注意幾個問題：①由于較多的計算和報表等都是信息系統自助完成的，審計師在審計時要關注數據的來源、去向是否明晰，對數據報表審查功能是否完備等。②數據在兩個信息系統之間進行數據傳輸時，要制定一套規章來保證數據在傳輸過程中的完整性、準確性和真實可靠性。③信息系統審計師在使用計算機審計軟件工具獲取審計證據時，要注意對原數據的保護，不能對原始數據進行分析，防止造成審計證據的喪失。④信息系統審計師對被審單位內部控制環節進行審計時，要關注其內部控制系統是否存在并證明它正在有效地發揮作用。具體地應在這幾個方面檢查內控制度的有效性：控制系統資源的存取、控制系統資源的使用、建立用戶職能分配資源的制度、確認處理過程的準確性、保護財務系統免遭計算機病毒的攻擊。

3 信息化內部控制審計與信息系統審計的聯系

通過對信息化內部控制審計、信息系統審計的定義、內容等基本概念的介紹和分析，我們對兩個審計概念有清楚的了解。不管是信息系統審計還是信息化內部控制審計，它們都是企業為防范風險、進行有效監管為主要目的的審計體系，以此構建全方位的企業管理過程的控制體系。對企業來說財務管理尤為重要，企業運營的決策很大程度依賴于財務報表等相關財務報告，在信息化環境下，財務報告信息是由會計信息系統依據日常財務信息統計計算獲得的，會計信息系統的有效運行依賴于內部控制的有效性。信息系統審計關注信息技術的應用與信息系統運行的有效性，信息化內部控制審計關注信息技術的應用與內部控制的有效性，從上述分析可以看出，信息化內部控制審計與信息系統審計存在著許多聯系。

3.1 目標一致性

內部控制審計是對公司內部控制有效性的審計，信息系統審計是對組織信息系統管理以及應用的綜合評價，似乎并不相同，但是兩者的最終目的是一致的，它們都是建立企業的風險控制、監管體系保證企業管理人員得到完整的、真實可靠的管理信息。而且，信息系統審計的內容在很大程度上與內部控制審計內容有著密切的相關性。企業管理信息系統通過收集企業日常運行的數據經過加工處理后產生了各管理層所需要的管理信息，信息系統的運行依賴于內部控制的有效。因此，內部控制的有效性，是為了信息系統的有效運行，是為了獲得高質量的管理信息，更有效地為企業管理人員服務。

3.2 都屬于鑒證業務

一般的鑒證業務定義是指注冊會計師對鑒證對象信息提出結論，以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業務。我們認為內部控制審計和信息系統審計都屬于專門的簽證業務。審計人員在進行財務報表審計時，根據已發布的各個準則對內部控制進行調查和測試，目的是確定控制風險水平。當風險控制水平確定后，審計人員在審計期間要考慮內部控制的有效性。而審計人員執行內部審計業務是一項專門的審計任務，他事先與委托人就內部控制審計范圍達成一致意見，只要是業務約定書確定的內部控制審計范圍，審計人員都要進行審計，也可將內部控制審計與財務報表審計整合進行。因此，財務報告內部控制審計也是基于責任方認定的鑒證業務。

根據信息系統審計定義，信息系統審計是以獨立第三方的身份對被審計單位的信息系統以及信息系統應用發表意見，這種意見明顯屬于合理保證的鑒證業務的范疇。ISACA提出的用于描述IT管理框架的COBIT，已經成為眾多國家的政府部門、企業對IT的計劃與組織、采購與實施、服務提供與服務支持、監督與控制等進行全面考核與認可的業界標準。我國的信息系統審計準則基于COBIT的思想建立一套完善的企業信息系統審計的內部監控體系，認為信息系統的開發、運行和維護以及信息技術相關的內部控制的設計、執行和監控是組織及其相關人員的責任，實施信息系統審計工作并出具審計報告是信息系統審計人員的責任。這就說明了信息系統審計屬于基于責任方認定的合理保證鑒證業務。

3.3 基于風險控制的審計形式

我們知道內部控制有一項基本要素是“風險評估”，同樣的，內部控制審計中采取的就是風險導向審計模式，由審計師對被審單位的風險進行分析，確定被審單位是否已經意識到了所有的風險，或者說是否存在被審單位忽略的風險。對意識到的風險，審查其控制活動，確?？刂频轿?，不存在遺漏的地方；對于被審單位沒有意識到的風險，提出審計意見、提出控制活動，建議被審單位重視這些被疏忽但是卻不容小覷的潛在風險。

同樣的，信息系統審計也是采用了同樣的風險導向審計模式，在正式的審計活動展開之前，先對被審單位進行風險評估，了解被審單位風險控制是否到位，根據風險評估結果決定信息系統審計師對被審單位進行的合規性測試、復合性測試的量的大小，運用風險導向審計模式可以極大的減少信息系統審計師的工作量，幫助信息系統審計師選取一種最優化、智能的測試方法獲取想要的審計證據。所以說信息化內部控制審計與信息系統審計在這一點上是相同的。

3.4 審計結果可以借鑒

從信息系統審計的審計過程來看，不難發現，在信息系統審計過程中有一項比較重要的調查就是“被審企業是否存在內部控制”，這一項調查結果直接影響信息系統審計師后續審計工作的展開，若是內部控制充分，則信息系統審計師只需要進行少量的符合性測試和實質性測試，審計工作量大大減少；若是內部控制不充分甚至于不存在內部控制，則信息系統審計師需要進行大量的實質性測試甚至于對所有內容進行測試，若是對一個大型企業大范圍的進行實質性測試的話，審計進度可能會延期。

因此，我們的信息化內部控制審計就是對企業的內部控制有效性進行的審計活動，該審計活動最終會出具被審單位內部控制是否有效的審計報告。同樣都是對被審單位內部控制有效性進行的調查研究，不難想出，這兩種審計活動在內部控制有效性審查這一部分存在很多相同的基礎調查。所以，信息化內部控制審計與信息系統審計兩者的審計結果是相互通用的。信息系統審計師在審計時，可以根據內部控制審計的審計結果，適當地增加或減少內部控制調查的力度；反之，內部控制審計師在審計時，可以根據信息系統審計過程中內部控制的調查結果，決定自己內部控制調查的工作重心。在一項調查工作中發現的問題可以為另一項調查提供線索和思路。需要注意的是，一項調查結果并不能代替另一項調查，就好比信息系統審計過程中對內部控制所做的調查并不能夠完全代替內部控制審計，因為兩者對內部控制活動的關注程度、關注方面存在著很大的不同，這也是信息化內部控制審計與信息系統審計的一大不同點。

4 信息化內部控制審計與信息系統審計的區別

以上分析可以看出信息化內部控制審計與信息系統審計存在著一定的聯系，但從定義上來看，兩者在審計的對象、內容以及結果都是很大區別的。

4.1 審計內容不同

這一點是最顯而易見的。信息化內部控制審計的對象是企業的內部控制，審計師在審查過程中會去重點關注的是被審單位首先是否存在內部控制制度以及制度是否健全；其次，內部控制制度是否只是擺設，是否積極主動的去實行；然后是制度是否有效，最后才是根據審計師觀察的結果得出改進意見等。而信息系統審計可能更加關注的就是信息系統是否有效了，它包括了信息化的內部控制方方面面。

4.2 對內部控制的關注程度不同

信息系統審計和內部控制審計都會關注企業的內部控制。但是兩種審計模式對內部控制的關注目的是不同的。信息化內部控制審計中，評價內部控制的目的是為了對內部控制本身的有效性發表審計意見；而信息系統審計評價內部控制只是為了評估被審單位對風險是否做到了有效控制。如果信息系統審計師不想審查被審單位的內部控制，他可以不做。然而信息化內部控制審計卻不能做到這一點，這也是兩者之間的一大不同。

4.3 審計結果不同

根據其定義，信息化內部控制審計中，審計師會出具關于內部控制有效性的意見。在信息系統審計中，審計師會對相關信息系統運行做出判斷，并提出意見。兩者出具的是完全不同的兩種報告，所以說內部控制審計與信息系統審計的審計結果不同。

5 總結

信息化時代已然來臨，隨著計算機的普及與應用，完全脫離計算機進行審計的審計活動是不存在的。如上分析，信息化內部控制審計與信息系統審計存在許多的共同點，而且相關的基礎調查、結論等可以共用，可以考慮將信息化內部控制審計與信息系統審計做一個適當的整合，減少審計工作的冗余，更加高效、正確地完成審計工作。

參考文獻：

[1]駱良彬，張白.企業信息化過程中內部控制問題研究[J].會計研究， 2008（5）.

[2]陳志斌.信息化生態環境下企業內部控制框架研究[J].會計研究，2007（01）.

[3]胡曉明.風險導向信息系統審計及其發展思路[J].經濟管理，2007（2）.