信息系统审计的主要任务，是以独立第三方的身份对被审计单位信息系统发表意见，这种意见明显属于合理保证鉴证业务的范畴。COBIT 框架明确提出，“管理层的责任是保护企业的所有资产，为履行这一责任，管理层应建立起一套完善的内部监控体系”。信息系统审计准则正是ISACA基于COBIT的思想建立的监控体系，其目的也是要对管理层的责任认定进行鉴证。我国《内部审计具体准则第28号——信息系统审计》认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任，实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这一规定同样说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。

　　(三)风险导向审计模式的应用 为了充分考虑IT环境的影响，PCAOB 发布的AS NO.2和AS NO.5要求进行内部控制审计时采用自上而下的审计方法，其中AS NO.5称之为风险基础的自上而下审计法，即风险导向的审计模式。我国《企业内部控制审计指引》的亮点之一就是特别强调了风险导向审计思想，根据《企业内部控制审计指引》的规定，注册会计师按照自上而下的方法实施审计工作，并将其作为识别风险、选择拟测试控制的基本思路，这同样是风险导向审计模式的思想。

　　信息系统审计同样关注风险导向审计模式的应用。在ISACA发布的信息系统审计准则中，与风险评估有关的审计标准有《S11：风险评估在审计计划中的应用》，审计指南有《G13：风险评估在审计计划中的应用》，审计程序有《P1：信息系统风险评估方法》、《P5：控制风险自我评估》等。胡晓明(2007)认为，信息系统审计是信息系统风险防范的新途径，应该实施风险导向的信息系统审计。我国《内部审计具体准则第28号——信息系统审计》专门讨论信息系统审计中对信息技术风险的评估，同样体现了风险导向审计的思想。

　　(四)审计程序相互关联，工作成果能够相互利用 COSO框架认为，信息与沟通是内部控制的五个要素之一，自然是内部控制审计的关注点。而信息与沟通主要通过信息系统实现，与现代信息技术相结合的信息系统具有开放化、实时化、电子化的技术特点，从而影响到内部控制审计的规范实施。所以，在信息化生态环境下，内部控制要解决两个层面的问题，一个是信息化环境下的业务内部控制问题，另一个是其中的信息系统的内部控制问题。在信息化环境下，安全审计应该成为内部控制审计的内容之一。COBIT作为一个综合内部控制模型，既能够适应IT治理需要，又可以确保信息与信息系统的完整性，从而成为内部控制审计和信息系统审计共同的思想基础。PCAOB 的AS NO.2和AS NO.5都强调应该在内部控制审计过程中充分注意信息系统的作用。日本的《财务报告内部控制的评价和监督准则》也指出，要确保企业内部的信息处理系统能恰当地搜集和处理在各业务领域的数据并能反映在财务报告中。我国《内部审计具体准则——内部控制审计》认为保证管理信息系统的有序运行，保证管理信息系统的安全可靠是内部控制审计过程中必须关注的内容。

　　信息系统审计通常要包括信息系统内部控制审计，在ISACA发布的信息系统审计准则中，与内部控制直接相关的审计标准有《S15：IT控制》，审计指南有《G11：广泛的信息系统控制的效果》、《G16：在组织的IT控制中第三方的作用》、《G36：生物控制》、《G38：存取控制》，审计程序有《P9：密码方法在管理控制中的评价》、《P10：商业应用改变控制》等。我国《内部审计具体准则第28号——信息系统审计》也认为信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

　　因此，内部控制审计和信息系统审计的很多审计程序相互关联，工作成果能够相互利用。在内部控制审计中发现的控制缺陷能为注册会计师在信息系统审计中认定重点实施审计指明方向。在信息系统审计中对信息系统内部控制的关注可以作为内部控制审计的基础。

　　三、信息化内部控制审计与信息系统审计的区别

　　内部控制审计重在“控制有效性”，信息系统审计重在“系统有效性”。因此，二者的审计对象、审计重点等还是存在着差异。

　　(一)审计对象与内容不同 内部控制审计的对象是企业的内部控制，内部控制审计的内容主要包括内部控制制度的建立、内部控制制度的实施以

上一页  [1] [2] [3] [4] 下一页