信息化内部控制审计与信息系统审计分属不同的审计范畴，但却同时对信息技术的应用和内部控制的有效性予以关注。因此，深入剖析信息化内部控制审计与信息系统审计的联系与区别，对整合审计资源有着重要的意义。
二、信息化内部控制审计与信息系统审计的联系
财务报告信息是会计信息系统的产物，会计信息系统的有效运行依赖于内部控制的有效性。在信息化环境下，信息系统审计关注信息技术的应用与信息系统运行的有效性，信息化内部控制审计关注信息技术的应用与内部控制的有效性，因此，信息化内部控制审计和信息系统审计存在着多方面联系。
（一）最终目标一致 PCAOB 的AS NO.5中明确规定，财务报告内部控制审计的目标“是对公司财务报告内部控制的有效性发表意见”。我国《企业内部控制审计指引》也指出，财务报告内部控制审计的目标是内部控制的“有效性”。根据《企业内部控制基本规范》（2010）的相关规定，“有效性”包括制度设计有效性和制度运行有效性两个方面。
ISACA的信息系统审计准则借助COB IT 的“控制目标汇总”表确定各个IT 过程的具体审计目标。我国《内部审计具体准则第28号——信息系统审计》明确指出，信息系统审计的目的是对组织是否达成信息技术管理目标进行综合评价，协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。
表面看来，信息系统审计与信息化内部控制审计的目标并不一致， 但两者的最终目的是一致的，都是合理保证报表使用者得到真实可靠的财务信息。而且， 信息系统审计目标的确定很大程度上都与内部控制密切相关。这是因为，财务报告是信息系统的产物， 信息系统的运行依赖于内部控制的有效。所以，内部控制的有效性， 是为了信息系统的有效运行，是为了最终财务报告信息的质量。
（二）业务类型一致 内部控制审计和信息系统审计都属于基于责任方认定的合理保证鉴证业务。在财务报告内部控制审计业务中，管理层要先评估公司财务报告内部控制的有效性，然后注册会计师再对管理层的评估进行审计，这正是合理保证鉴证业务的范畴。我国《企业内部控制审计指引》中规定，“建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任”，“对内部控制的有效性发表审计意见是注册会计师的责任”。因此，财务报告内部控制审计也是基于责任方认定的鉴证业务。
信息系统审计的主要任务，是以独立第三方的身份对被审计单位信息系统发表意见，这种意见明显属于合理保证鉴证业务的范畴。COBIT 框架明确提出，“管理层的责任是保护企业的所有资产，为履行这一责任，管理层应建立起一套完善的内部监控体系”。信息系统审计准则正是ISACA基于COBIT的思想建立的监控体系，其目的也是要对管理层的责任认定进行鉴证。我国《内部审计具体准则第28号——信息系统审计》认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任，实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这一规定同样说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。
（三）风险导向审计模式的应用 为了充分考虑IT环境的影响，PCAOB 发布的AS NO.2和AS NO.5要求进行内部控制审计时采用自上而下的审计方法，其中AS NO.5称之为风险基础的自上而下审计法，即风险导向的审计模式。我国《企业内部控制审计指引》的亮点之一就是特别强调了风险导向审计思想，根据《企业内部控制审计指引》的规定，注册会计师按照自上而下的方法实施审计工作，并将其作为识别风险、选择拟测试控制的基本思路，这同样是风险导向审计模式的思想。
信息系统审计同样关注风险导向审计模式的应用。在ISACA发布的信息系统审计准则中，与风险评估有关的审计标准有《S11：风险评估在审计计划中的应用》，审计指南有《G13：风险评估在审计计划中的应用》，审计程序有《P1：信息系统风险评估方法》、《P5：控制风险自我评估》等。胡晓明（2007）认为，信息系统审计是信息系统风险防范的新途径，应该实施风险导向的信息系统审计。我国《内部审计具体准则第28号——信息系统审计》专门讨论信息系统审计中对信息技术风险的评估，同样体现了风险导向审计的思想。
（四）审计程序相互关联，工作成果能够相互利用 COSO框架认为，信息与沟通是内部控制的五个要素之一，自然是内部控制审计的关注点。而信息与沟通主要通过信息系统实现，与现代信息技术相结合的信息系统具有开放化、实时化、电子化的技术特点，从而影响到内部控制审计的规范实施。所以，在信息化生态环境下，内部控制要解决两个层面的问题，一个是信息化环境下的业务内部控制问题，另一个是其中的信息系统的内部控制问题。在信息化环境下，安全审计应该成为内部控制审计的内容之一。COBIT作为一个综合内部控制模型，既能够适应IT治理需要，又可以确保信息与信息系统的完整性，从而成为内部控制审计和信息系统审计共同的思想基础。PCAOB 的AS NO.2和AS NO.5都强调应该在内部控制审计过程中充分注意信息系统的作用。日本的《财务报告内部控制的评价和监督准则》也指出，要确保企业内部的信息处理系统能恰当地搜集和处理在各业务领域的数据并能反映在财务报告中。我国《内部审计具体准则——内部控制审计》认为保证管理信息系统的有序运行，保证管理信息系统的安全可靠是内部控制审计过程中必须关注的内容。　信息系统审计通常要包括信息系统内部控制审计，在ISACA发布的信息系统审计准则中，与内部控制直接相关的审计标准有《S15：IT控制》，审计指南有《G11：广泛的信息系统控制的效果》、《G16：在组织的IT控制中第三方的作用》、《G36：生物控制》、《G38：存取控制》，审计程序有《P9：密码方法在管理控制中的评价》、《P10：商业应用改变控制》等。我国《内部审计具体准则第28号——信息系统审计》也认为信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
因此，内部控制审计和信息系统审计的很多审计程序相互关联，工作成果能够相互利用。在内部控制审计中发现的控制缺陷能为注册会计师在信息系统审计中认定重点实施审计指明方向。在信息系统审计中对信息系统内部控制的关注可以作为内部控制审计的基础。(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）