(二)信息系统审计 信息系统审计源于EDP(Electronic Data Processing)审计，信息系统审计方面最早的文献是当时主要的计算机制造商IBM公司出版的《电子数据处理审计》和《内部电子处理和审计轨迹》等。这些文献充分考虑了电子数据环境对数据处理流程的影响，提出了许多新的概念、术语和审计技术。

　　信息系统审计相关准则及规范的颁布进一步推动了信息系统审计理论与实务的不断发展。首先是国际会计师联合会颁布的一系列国际审计准则，包括1984年颁布的国际审计准则第15号《电子数据处理环境下的审计》、国际审计准则第16号《计算机辅助审计技术》;1985年颁布的国际审计准则第20号《电子数据处理环境对会计制度和有关内部控制研究与评价的影响》;2004年颁布的国际审计准则第401号《计算机信息系统环境下的审计》等。在众多规范中，影响最大的是国际信息系统审计协会(ISACA)制定的信息系统审计准则。其信息系统审计准则体系由标准、指南和程序等3个层次组成，截至2010年1月，ISACA共发布了16个审计标准、42个审计指南和11个审计程序。

　　我国有关信息系统审计的规范相对比较零散。审计署于1993年发布了《关于计算机审计的暂行规定》，1996年又发布了《审计机关计算机辅助审计办法》;中国注册会计师协会于1999发布了《独立审计准则第20号——计算机信息系统环境下的审计》，2007发布了《审计准则第1633号——电子商务对财务报表审计的影响》;国务院于2001年下发了《关于利用计算机信息系统开展审计工作有关问题的通知》;2004 年，审计署在《2004至2007年审计信息化发展规划》中明确提出了要积极探索信息系统审计， 2008 年，《审计署2008 至2012 年信息化发展规划》再一次提出要探索符合我国国情的信息系统审计; 2008年， 我国内部审计协会发布了《内部审计具体准则第28号——信息系统审计》， 这是我国发布的唯一专门针对信息系统审计的准则，开创了我国信息系统审计准则制定的先河。

　　信息化内部控制审计与信息系统审计分属不同的审计范畴，但却同时对信息技术的应用和内部控制的有效性予以关注。因此，深入剖析信息化内部控制审计与信息系统审计的联系与区别，对整合审计资源有着重要的意义。

　　二、信息化内部控制审计与信息系统审计的联系

　　财务报告信息是会计信息系统的产物，会计信息系统的有效运行依赖于内部控制的有效性。在信息化环境下，信息系统审计关注信息技术的应用与信息系统运行的有效性，信息化内部控制审计关注信息技术的应用与内部控制的有效性，因此，信息化内部控制审计和信息系统审计存在着多方面联系。

　　(一)最终目标一致 PCAOB 的AS NO.5中明确规定，财务报告内部控制审计的目标“是对公司财务报告内部控制的有效性发表意见”。我国《企业内部控制审计指引》也指出，财务报告内部控制审计的目标是内部控制的“有效性”。根据《企业内部控制基本规范》(2010)的相关规定，“有效性”包括制度设计有效性和制度运行有效性两个方面。

　　ISACA的信息系统审计准则借助COB IT 的“控制目标汇总”表确定各个IT 过程的具体审计目标。我国《内部审计具体准则第28号——信息系统审计》明确指出，信息系统审计的目的是对组织是否达成信息技术管理目标进行综合评价，协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。

　　表面看来，信息系统审计信息化内部控制审计的目标并不一致， 但两者的最终目的是一致的，都是合理保证报表使用者得到真实可靠的财务信息。而且， 信息系统审计目标的确定很大程度上都与内部控制密切相关。这是因为，财务报告是信息系统的产物， 信息系统的运行依赖于内部控制的有效。所以，内部控制的有效性， 是为了信息系统的有效运行，是为了最终财务报告信息的质量。

　　(二)业务类型一致 内部控制审计和信息系统审计都属于基于责任方认定的合理保证鉴证业务。在财务报告内部控制审计业务中，管理层要先评估公司财务报告内部控制的有效性，然后注册会计师再对管理层的评估进行审计，这正是

上一页  [1] [2] [3] [4] 下一页