《内部控制审计指引》以及《内部控制审计指引实施意见》的发布与实施,使我国的审计体系更加趋于完善。众多理论研究者从不同角度探讨了内部控制审计与财务报告审计的关系及其整合问题,但对信息化内部控制审计与信息系统审计之间关系的探讨甚少。信息系统审计在国外方兴未艾,在我国却处于起步阶段。随着信息技术应用的不断深入,成功地开展信息系统审计,是我国审计走向世界的必由之路。内部控制审计和信息系统审计共同构筑了财务报告信息质量保证体系,信息化环境又使二者的界限变得模糊,从而不得不思考:在信息化环境下,仅仅实现财务报告审计与内部控制审计的整合是否合适?是否应对财务报告审计、内部控制审计和信息系统审计进行全面整合?为此,厘清信息化内部控制审计与信息系统审计的联系与区别显得尤为重要。 一、信息化内部控制审计与信息系统审计的相关规范 国内外相关规范中的一系列规定表明,现代内部控制审计必须充分重视信息技术的应用。信息技术在财务报告内部控制领域的应用,主要的表现形式就是信息系统,特别是会计信息系统的建立。信息化内部控制审计关注会计信息系统的内部控制有效性问题,而这个问题也是信息系统审计关注的重要内容之一。而国内外一系列信息系统审计规范的陆续发布,又使信息系统审计成为人们关注的热点。信息系统本身就包含了信息技术的应用,信息技术的深入应用又对信息系统的内部控制产生重大影响。而信息系统,特别是会计信息系统的内部控制,同样是信息系统审计中重要的一环。 (一)信息化内部控制审计 会计信息质量不仅取决于财务报告本身,更取决于对财务报告产生过程的有效控制。内部控制是防范企业财务报告错误和舞弊行为,保证企业财务报告真实、完整的内在机制。而内部控制审计的目的就是要评价内部控制的有效性。信息技术应用的不断深入使经营管理越来越依赖于利用信息技术建立起来的信息系统。理论界也密切注意着信息化环境下企业内部控制制度的变化,许多学者纷纷探讨信息化环境对企业内部控制要素的影响、信息化环境下内部控制的构建等,并认为应该利用信息技术来构建与完善内部控制系统。信息化环境下内部控制系统的变化,必然导致内部控制规范的变化,不论是美国内部控制规范体系中的COSO 框架、SOX 法案、SEC 发布的《最终规则》、COBIT,还是日本的《财务报告内部控制的评价和监督准则》等规范,都充分地考虑了信息化环境对内部控制的影响。面对信息化环境下内部控制及其规范的变化,评价内部控制有效性的内部控制审计就必须考虑信息化环境的影响,从而就产生了信息化内部控制审计的问题。 内部控制审计考虑信息化环境的影响始于上世纪80年代。本世纪以来,各国又陆续出台了一系列相关的规范。如,美国上市公司会计监督委员会(PCAOB)于2004年3月发布了第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》(简称AS NO.2)。随后,PCAOB于2007年5月又颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》(简称AS NO.5)以取代AS NO.2。此外,美国注册会计师协会(AICPA))为了与AS No.5保持一致,于2008 年发布了鉴证准则第15 号(SSAE No. 15)。SOX 法案302条款和404条款中的实质性条款也直接影响到了PCAOB、AICPA等对内部控制审计的相关规范。从AS NO.2到AS NO.5,其内容都涉及到IT环境下的内部控制问题。AS NO.5对于IT 的应用表现出了更多的关注,如必须评价IT使用的范围,必须认真评估IT 对财务报告的影响及其带来的风险等。日本为体现IT的重要性,直接将“对IT的应用”作为内部控制的一个基本组成部分。 我国审计对信息化环境的关注最早体现在审计署发布的相关规范中。1993年,我国审计署发布了《关于计算机审计的暂行规定》,1996年又发布了《审计机关计算机辅助审计办法》,从而拉开了我国IT在审计领域应用的序幕。1999年,中国注册会计师协会发布了《独立审计具体准则第20号——计算机信息系统环境下的审计》,要求注册会计师应充分关注IT环境对被审计单位会计信息及内部控制的影响。2003年6月,中国内部审计协会发布实施了《内部审计具体准则——内部控制审计》,其中要求内部审计人员应评价组织获取及处理信息的能力。2006年,财政部发布了《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》,认为内部控制应包括自动化成分,在风险评估以及设计和实施进一步审计程序时,应当考虑自动化特征及其影响;还应当从信息技术和人工系统中,对交易生成、记录、处理和报告的程序了解与财务报告相关的信息系统。2007年,财政部发布了《审计准则第1633号——电子商务对财务报表审计的影响》,认为注册会计师应当考虑被审计单位在电子商务中运用的与审计相关的内部控制。2008 年,财政部等五部委联合发布了《内部控制审计指引》,认为应当关注信息系统对内部控制及风险评估的影响。2011年10月,中国注册会计师协会发布了《企业内部控制审计指引实施意见》,认为内部控制审计要考虑信息技术控制环境的影响。 (二)信息系统审计 信息系统审计源于EDP(Electronic Data Processing)审计,信息系统审计方面最早的文献是当时主要的计算机制造商IBM公司出版的《电子数据处理审计》和《内部电子处理和审计轨迹》等。这些文献充分考虑了电子数据环境对数据处理流程的影响,提出了许多新的概念、术语和审计技术。 信息系统审计相关准则及规范的颁布进一步推动了信息系统审计理论与实务的不断发展。首先是国际会计师联合会颁布的一系列国际审计准则,包括1984年颁布的国际审计准则第15号《电子数据处理环境下的审计》、国际审计准则第16号《计算机辅助审计技术》;1985年颁布的国际审计准则第20号《电子数据处理环境对会计制度和有关内部控制研究与评价的影响》;2004年颁布的国际审计准则第401号《计算机信息系统环境下的审计》等。在众多规范中,影响最大的是国际信息系统审计协会(ISACA)制定的信息系统审计准则。其信息系统审计准则体系由标准、指南和程序等3个层次组成,截至2010年1月,ISACA共发布了16个审计标准、42个审计指南和11个审计程序。
《内部控制审计指引》以及《内部控制审计指引实施意见》的发布与实施,使我国的审计体系更加趋于完善。众多理论研究者从不同角度探讨了内部控制审计与财务报告审计的关系及其整合问题,但对信息化内部控制审计与信息系统审计之间关系的探讨甚少。信息系统审计在国外方兴未艾,在我国却处于起步阶段。随着信息技术应用的不断深入,成功地开展信息系统审计,是我国审计走向世界的必由之路。内部控制审计和信息系统审计共同构筑了财务报告信息质量保证体系,信息化环境又使二者的界限变得模糊,从而不得不思考:在信息化环境下,仅仅实现财务报告审计与内部控制审计的整合是否合适?是否应对财务报告审计、内部控制审计和信息系统审计进行全面整合?为此,厘清信息化内部控制审计与信息系统审计的联系与区别显得尤为重要。 一、信息化内部控制审计与信息系统审计的相关规范 国内外相关规范中的一系列规定表明,现代内部控制审计必须充分重视信息技术的应用。信息技术在财务报告内部控制领域的应用,主要的表现形式就是信息系统,特别是会计信息系统的建立。信息化内部控制审计关注会计信息系统的内部控制有效性问题,而这个问题也是信息系统审计关注的重要内容之一。而国内外一系列信息系统审计规范的陆续发布,又使信息系统审计成为人们关注的热点。信息系统本身就包含了信息技术的应用,信息技术的深入应用又对信息系统的内部控制产生重大影响。而信息系统,特别是会计信息系统的内部控制,同样是信息系统审计中重要的一环。 (一)信息化内部控制审计 会计信息质量不仅取决于财务报告本身,更取决于对财务报告产生过程的有效控制。内部控制是防范企业财务报告错误和舞弊行为,保证企业财务报告真实、完整的内在机制。而内部控制审计的目的就是要评价内部控制的有效性。信息技术应用的不断深入使经营管理越来越依赖于利用信息技术建立起来的信息系统。理论界也密切注意着信息化环境下企业内部控制制度的变化,许多学者纷纷探讨信息化环境对企业内部控制要素的影响、信息化环境下内部控制的构建等,并认为应该利用信息技术来构建与完善内部控制系统。信息化环境下内部控制系统的变化,必然导致内部控制规范的变化,不论是美国内部控制规范体系中的COSO 框架、SOX 法案、SEC 发布的《最终规则》、COBIT,还是日本的《财务报告内部控制的评价和监督准则》等规范,都充分地考虑了信息化环境对内部控制的影响。面对信息化环境下内部控制及其规范的变化,评价内部控制有效性的内部控制审计就必须考虑信息化环境的影响,从而就产生了信息化内部控制审计的问题。 内部控制审计考虑信息化环境的影响始于上世纪80年代。本世纪以来,各国又陆续出台了一系列相关的规范。如,美国上市公司会计监督委员会(PCAOB)于2004年3月发布了第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》(简称AS NO.2)。随后,PCAOB于2007年5月又颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》(简称AS NO.5)以取代AS NO.2。此外,美国注册会计师协会(AICPA))为了与AS No.5保持一致,于2008 年发布了鉴证准则第15 号(SSAE No. 15)。SOX 法案302条款和404条款中的实质性条款也直接影响到了PCAOB、AICPA等对内部控制审计的相关规范。从AS NO.2到AS NO.5,其内容都涉及到IT环境下的内部控制问题。AS NO.5对于IT 的应用表现出了更多的关注,如必须评价IT使用的范围,必须认真评估IT 对财务报告的影响及其带来的风险等。日本为体现IT的重要性,直接将“对IT的应用”作为内部控制的一个基本组成部分。 我国审计对信息化环境的关注最早体现在审计署发布的相关规范中。1993年,我国审计署发布了《关于计算机审计的暂行规定》,1996年又发布了《审计机关计算机辅助审计办法》,从而拉开了我国IT在审计领域应用的序幕。1999年,中国注册会计师协会发布了《独立审计具体准则第20号——计算机信息系统环境下的审计》,要求注册会计师应充分关注IT环境对被审计单位会计信息及内部控制的影响。2003年6月,中国内部审计协会发布实施了《内部审计具体准则——内部控制审计》,其中要求内部审计人员应评价组织获取及处理信息的能力。2006年,财政部发布了《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》,认为内部控制应包括自动化成分,在风险评估以及设计和实施进一步审计程序时,应当考虑自动化特征及其影响;还应当从信息技术和人工系统中,对交易生成、记录、处理和报告的程序了解与财务报告相关的信息系统。2007年,财政部发布了《审计准则第1633号——电子商务对财务报表审计的影响》,认为注册会计师应当考虑被审计单位在电子商务中运用的与审计相关的内部控制。2008 年,财政部等五部委联合发布了《内部控制审计指引》,认为应当关注信息系统对内部控制及风险评估的影响。2011年10月,中国注册会计师协会发布了《企业内部控制审计指引实施意见》,认为内部控制审计要考虑信息技术控制环境的影响。 (二)信息系统审计 信息系统审计源于EDP(Electronic Data Processing)审计,信息系统审计方面最早的文献是当时主要的计算机制造商IBM公司出版的《电子数据处理审计》和《内部电子处理和审计轨迹》等。这些文献充分考虑了电子数据环境对数据处理流程的影响,提出了许多新的概念、术语和审计技术。 信息系统审计相关准则及规范的颁布进一步推动了信息系统审计理论与实务的不断发展。首先是国际会计师联合会颁布的一系列国际审计准则,包括1984年颁布的国际审计准则第15号《电子数据处理环境下的审计》、国际审计准则第16号《计算机辅助审计技术》;1985年颁布的国际审计准则第20号《电子数据处理环境对会计制度和有关内部控制研究与评价的影响》;2004年颁布的国际审计准则第401号《计算机信息系统环境下的审计》等。在众多规范中,影响最大的是国际信息系统审计协会(ISACA)制定的信息系统审计准则。其信息系统审计准则体系由标准、指南和程序等3个层次组成,截至2010年1月,ISACA共发布了16个审计标准、42个审计指南和11个审计程序。