（溫州大學(xué)城市學(xué)院 浙江溫州325035）

從我國(guó)目前發(fā)布的相關(guān)規(guī)范來(lái)看，《企業(yè)內(nèi)部控制評(píng)價(jià)指引》專門(mén)針對(duì)的是由企業(yè)董事會(huì)和管理層的工作，《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》是用來(lái)指導(dǎo)內(nèi)部審計(jì)師開(kāi)展信息系統(tǒng)審計(jì)；而《企業(yè)內(nèi)部控制審計(jì)指引》和《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則》則是用來(lái)指導(dǎo)注冊(cè)會(huì)計(jì)師進(jìn)行內(nèi)部控制審計(jì)。它們的要求各有側(cè)重，但在實(shí)質(zhì)性的內(nèi)容上卻殊途同歸。下面我們分別進(jìn)行介紹。

一、內(nèi)部審計(jì)部門(mén)所開(kāi)展的信息系統(tǒng)審計(jì)

《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》指出，信息系統(tǒng)審計(jì)，是指由組織內(nèi)部審計(jì)機(jī)構(gòu)及人員對(duì)信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開(kāi)展的一系列綜合檢查、評(píng)價(jià)與報(bào)告活動(dòng)。該準(zhǔn)則適用于各類組織的內(nèi)部審計(jì)機(jī)構(gòu)、內(nèi)部審計(jì)人員及其從事的信息系統(tǒng)審計(jì)活動(dòng)。

信息技術(shù)風(fēng)險(xiǎn)評(píng)估師確定信息系統(tǒng)審計(jì)內(nèi)容的前提。在進(jìn)行信息系統(tǒng)審計(jì)時(shí)，審計(jì)人員應(yīng)當(dāng)識(shí)別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)、外部風(fēng)險(xiǎn)，并采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估技術(shù)與方法，分析及評(píng)價(jià)其發(fā)生的可能性及影響程度，為確定審計(jì)目標(biāo)、范圍和方法提供依據(jù)。信息技術(shù)風(fēng)險(xiǎn)是指組織在信息處理和信息技術(shù)運(yùn)用過(guò)程中產(chǎn)生的、可能影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。信息技術(shù)風(fēng)險(xiǎn)包括組織層面的信息技術(shù)風(fēng)險(xiǎn)、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)等。相應(yīng)的，信息系統(tǒng)審計(jì)包括對(duì)組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審計(jì)。

（一）組織層面信息技術(shù)控制和信息技術(shù)一般控制

審計(jì)人員在識(shí)別、評(píng)估組織層面、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)時(shí)需要關(guān)注以下幾方面：業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術(shù) （包括硬件及軟件環(huán)境）對(duì)業(yè)務(wù)和用戶需求的支持度；信息資產(chǎn)的重要性；對(duì)信息技術(shù)的依賴程度；對(duì)信息技術(shù)部門(mén)人員的依賴程度；對(duì)外部信息技術(shù)服務(wù)的依賴程度；信息系統(tǒng)及其運(yùn)行環(huán)境的安全性、可靠性；信息技術(shù)變更；法律規(guī)范環(huán)境；其他。

1.組織層面的信息技術(shù)控制。組織層面信息技術(shù)控制是指管理層及治理層對(duì)信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認(rèn)識(shí)和措施，審計(jì)人員應(yīng)考慮以下控制要素中與信息技術(shù)相關(guān)的內(nèi)容：（1）控制環(huán)境。審計(jì)人員應(yīng)關(guān)注該組織的信息技術(shù)戰(zhàn)略規(guī)劃對(duì)業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度、IT治理制度體系的建設(shè)、信息技術(shù)部門(mén)的組織結(jié)構(gòu)和關(guān)系、信息技術(shù)治理相關(guān)職權(quán)與責(zé)任的分配、信息技術(shù)人力資源管理、對(duì)用戶的信息技術(shù)教育和培訓(xùn)等方面。（2）風(fēng)險(xiǎn)評(píng)估。審計(jì)人員應(yīng)關(guān)注組織的風(fēng)險(xiǎn)評(píng)估的總體架構(gòu)中信息技術(shù)風(fēng)險(xiǎn)管理的框架、流程和執(zhí)行情況、信息資產(chǎn)的分類以及信息資產(chǎn)所有者的職責(zé)等方面。（3）信息與溝通。審計(jì)人員應(yīng)關(guān)注組織的信息系統(tǒng)架構(gòu)及其對(duì)財(cái)務(wù)、業(yè)務(wù)流程的支持度、管理層及治理層的信息溝通模式、信息技術(shù)政策、信息安全制度的傳達(dá)與溝通等方面。（4）監(jiān)控。審計(jì)人員應(yīng)關(guān)注組織的監(jiān)控管理報(bào)告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及組織對(duì)信息技術(shù)內(nèi)部控制的自我評(píng)估機(jī)制等方面。

2.信息技術(shù)一般性控制。信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運(yùn)行，支持應(yīng)用控制的有效性。對(duì)信息技術(shù)一般性控制的審計(jì)應(yīng)考慮以下控制活動(dòng)：（1）信息安全管理。審計(jì)人員應(yīng)關(guān)注組織的信息安全管理政策，物理訪問(wèn)及針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的身份認(rèn)證和邏輯訪問(wèn)管理機(jī)制，系統(tǒng)設(shè)置的職責(zé)分離控制等。（2）系統(tǒng)變更管理。審計(jì)人員應(yīng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批，變更測(cè)試，變更移植到生產(chǎn)環(huán)境的流程控制等。（3）系統(tǒng)開(kāi)發(fā)和采購(gòu)管理。審計(jì)人員應(yīng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開(kāi)發(fā)和采購(gòu)的授權(quán)審批，系統(tǒng)開(kāi)發(fā)的方法論，開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境嚴(yán)格分離情況，系統(tǒng)的測(cè)試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。（4）系統(tǒng)運(yùn)行管理。審計(jì)人員應(yīng)關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制，系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理，問(wèn)題管理和系統(tǒng)的日常運(yùn)行管理等。

（二）業(yè)務(wù)流程層面應(yīng)用控制

業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)受行業(yè)背景、業(yè)務(wù)流程的復(fù)雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，審計(jì)人員應(yīng)了解業(yè)務(wù)流程并關(guān)注以下幾方面信息技術(shù)風(fēng)險(xiǎn)：數(shù)據(jù)輸入，數(shù)據(jù)處理，數(shù)據(jù)輸出。

業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。對(duì)業(yè)務(wù)流程層面應(yīng)用控制的審計(jì)應(yīng)考慮以下與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動(dòng)：授權(quán)與批準(zhǔn)；系統(tǒng)配置控制；異常情況報(bào)告和差錯(cuò)報(bào)告；接口/轉(zhuǎn)換控制；一致性核對(duì)；職責(zé)分離；系統(tǒng)訪問(wèn)權(quán)限；系統(tǒng)計(jì)算；其他。

信息系統(tǒng)審計(jì)除上述常規(guī)的審計(jì)內(nèi)容外，審計(jì)人員還可以根據(jù)組織當(dāng)前面臨的特殊風(fēng)險(xiǎn)或需求，設(shè)計(jì)專項(xiàng)審計(jì)以滿足審計(jì)戰(zhàn)略，具體包括但不限于下列領(lǐng)域：信息系統(tǒng)開(kāi)發(fā)實(shí)施項(xiàng)目的專項(xiàng)審計(jì)；信息系統(tǒng)安全專項(xiàng)審計(jì)；信息技術(shù)投資專項(xiàng)審計(jì)；業(yè)務(wù)連續(xù)性計(jì)劃的專項(xiàng)審計(jì)；外包條件下的專項(xiàng)審計(jì)；法律法規(guī)、行業(yè)規(guī)范要求的內(nèi)部控制的合規(guī)性的專項(xiàng)審計(jì)；其他專項(xiàng)審計(jì)。

二、注冊(cè)會(huì)計(jì)師所開(kāi)展的會(huì)計(jì)信息系統(tǒng)審計(jì)

我國(guó)目前指導(dǎo)注冊(cè)會(huì)計(jì)師開(kāi)展內(nèi)部控制審計(jì)的規(guī)范包括 《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則》、《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評(píng)價(jià)指引》、《企業(yè)內(nèi)部控制審計(jì)指引》、《中國(guó)注冊(cè)會(huì)計(jì)師鑒證業(yè)務(wù)基本準(zhǔn)則》及相關(guān)執(zhí)業(yè)準(zhǔn)則。

（一）整合審計(jì)的要求

我國(guó)的 《企業(yè)內(nèi)部控制基本規(guī)范》要求所有的上市公司，對(duì)內(nèi)部控制的有效性進(jìn)行自我評(píng)價(jià)，披露年度自我評(píng)價(jià)報(bào)告，并可聘請(qǐng)會(huì)計(jì)師事務(wù)所對(duì)內(nèi)部控制的有效性進(jìn)行審計(jì)?！镀髽I(yè)內(nèi)部控制審計(jì)指引》指出，建立健全和有效實(shí)施內(nèi)部控制，評(píng)價(jià)內(nèi)部控制的有效性是企業(yè)董事會(huì)的責(zé)任。按照該指引的要求，在實(shí)施審計(jì)工作的基礎(chǔ)上對(duì)內(nèi)部控制的有效性發(fā)表審計(jì)意見(jiàn)，是注冊(cè)會(huì)計(jì)師的責(zé)任。注冊(cè)會(huì)計(jì)師可以單獨(dú)進(jìn)行內(nèi)部控制審計(jì)，也可以將內(nèi)部控制審計(jì)與財(cái)務(wù)報(bào)表審計(jì)進(jìn)行整合審計(jì)。在整合審計(jì)中，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)對(duì)內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性進(jìn)行測(cè)試，以同時(shí)實(shí)現(xiàn)下列目標(biāo)：1.獲取充分、適當(dāng)?shù)淖C據(jù)，支持其在內(nèi)部控制審計(jì)中對(duì)內(nèi)部控制有效性發(fā)表的意見(jiàn)；2.獲取充分、適當(dāng)?shù)淖C據(jù)，支持其在財(cái)務(wù)報(bào)表審計(jì)中對(duì)控制風(fēng)險(xiǎn)的評(píng)估結(jié)果。由于信息系統(tǒng)是內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺(tái)，已經(jīng)嵌入了企業(yè)的生產(chǎn)經(jīng)營(yíng)管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)則，財(cái)務(wù)報(bào)表中的數(shù)據(jù)都是由信息系統(tǒng)來(lái)生成。所以，在信息化環(huán)境下，注冊(cè)會(huì)計(jì)師需要對(duì)信息系統(tǒng)中內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性進(jìn)行測(cè)試。

中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)《了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》對(duì)所需要進(jìn)行測(cè)試的信息系統(tǒng)進(jìn)行了界定，將這部分信息系統(tǒng)稱為與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)（也就是本文所說(shuō)的會(huì)計(jì)信息系統(tǒng)），它包括用以生成、記錄、處理和報(bào)告交易、事項(xiàng)和情況，對(duì)相關(guān)資產(chǎn)、負(fù)債和所有者權(quán)益履行經(jīng)營(yíng)管理責(zé)任的程序和記錄。與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)所生成信息的質(zhì)量，對(duì)管理層能否編制可靠的財(cái)務(wù)報(bào)告具有重大影響，它通常包括下列職能：（1）識(shí)別與記錄所有的有效交易；（2）及時(shí)、詳細(xì)地描述交易，以便在財(cái)務(wù)報(bào)告中對(duì)交易作出恰當(dāng)分類；（3）恰當(dāng)計(jì)量交易，以便在財(cái)務(wù)報(bào)告中對(duì)交易的金額作出準(zhǔn)確記錄；（4）恰當(dāng)確定交易生成的會(huì)計(jì)期間；（5）在財(cái)務(wù)報(bào)表中恰當(dāng)列報(bào)交易。

（二）所需要關(guān)注的信息系統(tǒng)內(nèi)部控制的風(fēng)險(xiǎn)

《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》指出，企業(yè)利用信息系統(tǒng)實(shí)施內(nèi)部控制至少應(yīng)當(dāng)關(guān)注下列風(fēng)險(xiǎn)：（1）信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下；（2）系統(tǒng)開(kāi)發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制；（3）系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正常運(yùn)行。

中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)《了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》要求注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)從下列方面了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)：（1）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時(shí)并存；（2）在未得到授權(quán)情況下訪問(wèn)數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；（3）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（4）經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（5）經(jīng)授權(quán)改變系統(tǒng)或程序；（6）能對(duì)系統(tǒng)或程序作出必要的修改；（7）恰當(dāng)?shù)娜藶楦深A(yù)；（8）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪問(wèn)所需要的數(shù)據(jù)?？梢?jiàn)，《企業(yè)內(nèi)部控制應(yīng)用指引》關(guān)注的是實(shí)施過(guò)程中的風(fēng)險(xiǎn)，而《了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》所關(guān)注的是運(yùn)行過(guò)程中的風(fēng)險(xiǎn)。

（三）注冊(cè)會(huì)計(jì)師需要關(guān)注的內(nèi)容

中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)《了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》指出，在被審計(jì)單位對(duì)日常交易采用高度自動(dòng)化處理的情況下，審計(jì)證據(jù)可能僅以電子形式存在，其充分性和適當(dāng)性通常取決于自動(dòng)化信息系統(tǒng)相關(guān)控制的有效性，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)考慮僅通過(guò)實(shí)施實(shí)質(zhì)性程序不能獲取充分、適當(dāng)審計(jì)證據(jù)的可能性。如果認(rèn)為僅通過(guò)實(shí)施實(shí)質(zhì)性程序不能獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)考慮依賴的相關(guān)控制的有效性。

《了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》要求，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)從下列方面了解與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)：（1）在被審計(jì)單位經(jīng)營(yíng)過(guò)程中，對(duì)財(cái)務(wù)報(bào)表具有重大影響的各類交易；（2）在信息技術(shù)和人工系統(tǒng)中，對(duì)交易生成、記錄、處理和報(bào)告的程序；（3）與交易生成、記錄、處理和報(bào)告有關(guān)的會(huì)計(jì)記錄、支持性信息和財(cái)務(wù)報(bào)表中的特定項(xiàng)目；（4）信息系統(tǒng)如何獲取除各類交易之外的對(duì)財(cái)務(wù)報(bào)表具有重大影響的事項(xiàng)和情況；（5）被審計(jì)單位編制財(cái)務(wù)報(bào)告的過(guò)程，包括作出的重大會(huì)計(jì)估計(jì)和披露。

由于被審計(jì)單位利用互聯(lián)網(wǎng)進(jìn)行電子商務(wù)活動(dòng)對(duì)企業(yè)原有的內(nèi)部控制造成了沖擊，中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1633號(hào)《電子商務(wù)對(duì)財(cái)務(wù)報(bào)表審計(jì)的影響》特別規(guī)定了注冊(cè)會(huì)計(jì)師在進(jìn)行審計(jì)時(shí)應(yīng)該關(guān)注電子商務(wù)對(duì)被審計(jì)單位內(nèi)部控制造成的影響，并指出，在某些情況下，僅依靠實(shí)施實(shí)質(zhì)性程序不足以將審計(jì)風(fēng)險(xiǎn)降至可接受的低水平，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)實(shí)施控制測(cè)試，并考慮使用計(jì)算機(jī)輔助審計(jì)技術(shù)。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)重點(diǎn)關(guān)注與電子商務(wù)相關(guān)的安全性控制、交易完備性控制和流程整合。

《了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》要求注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與信息處理有關(guān)的控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行 （包括信息的完整性和數(shù)據(jù)的安全性），支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及維護(hù)控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行的人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)的程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。

《企業(yè)內(nèi)部控制審計(jì)指引》要求注冊(cè)會(huì)計(jì)師按照自上而下的方法實(shí)施審計(jì)工作。自上而下的方法是注冊(cè)會(huì)計(jì)師識(shí)別風(fēng)險(xiǎn)、選擇擬測(cè)試控制的基本思路。注冊(cè)會(huì)計(jì)師在實(shí)施審計(jì)工作時(shí)，可以將企業(yè)層面控制和業(yè)務(wù)層面控制的測(cè)試結(jié)合進(jìn)行?！镀髽I(yè)內(nèi)部控制審計(jì)指引》指出，注冊(cè)會(huì)計(jì)師測(cè)試企業(yè)層面控制，應(yīng)當(dāng)把握重要性原則，至少應(yīng)當(dāng)關(guān)注：（1）與內(nèi)部環(huán)境相關(guān)的控制；（2）針對(duì)董事會(huì)、經(jīng)理層凌駕于控制之上的風(fēng)險(xiǎn)而設(shè)計(jì)的控制；（3）企業(yè)的風(fēng)險(xiǎn)評(píng)估過(guò)程；（4）對(duì)內(nèi)部信息傳遞和財(cái)務(wù)報(bào)告流程的控制；（5）對(duì)控制有效性的內(nèi)部監(jiān)督和自我評(píng)價(jià)。注冊(cè)會(huì)計(jì)師測(cè)試業(yè)務(wù)層面控制，應(yīng)當(dāng)把握重要性原則，結(jié)合企業(yè)實(shí)際、企業(yè)內(nèi)部控制各項(xiàng)應(yīng)用指引的要求和企業(yè)層面控制的測(cè)試情況，重點(diǎn)對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中的重要業(yè)務(wù)與事項(xiàng)的控制進(jìn)行測(cè)試。

綜上所述，內(nèi)部審計(jì)師開(kāi)展的信息系統(tǒng)審計(jì)和注冊(cè)會(huì)計(jì)師需要進(jìn)行的會(huì)計(jì)信息系統(tǒng)審計(jì)，雖然在目的上存在著顯著差異。前者對(duì)組織是否達(dá)成信息技術(shù)管理目標(biāo)進(jìn)行綜合評(píng)價(jià)，并基于評(píng)價(jià)意見(jiàn)提出管理意見(jiàn)；后者是為財(cái)務(wù)報(bào)表審計(jì)服務(wù)，是對(duì)被審計(jì)單位會(huì)計(jì)報(bào)表的合法性、公允性及會(huì)計(jì)處理方法的一貫性發(fā)表意見(jiàn)。從上面對(duì)兩者審計(jì)內(nèi)容的闡釋來(lái)看，如果將內(nèi)部審計(jì)人員進(jìn)行審計(jì)的信息系統(tǒng)限定為會(huì)計(jì)信息系統(tǒng)，而非企業(yè)內(nèi)部綜合信息系統(tǒng)，那么內(nèi)部審計(jì)師與注冊(cè)會(huì)計(jì)師對(duì)信息系統(tǒng)審計(jì)的內(nèi)容并無(wú)多大差異。所以，中國(guó)注冊(cè)會(huì)計(jì)審計(jì)準(zhǔn)則第1411號(hào)《考慮內(nèi)部審計(jì)工作》提出，“內(nèi)部審計(jì)和注冊(cè)會(huì)計(jì)師審計(jì)用以實(shí)現(xiàn)各自目標(biāo)的某些手段通常是相似的，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)考慮內(nèi)部審計(jì)工作的某些方面是否有助于確定審計(jì)程序的性質(zhì)、時(shí)間和范圍”?！坝行У膬?nèi)部審計(jì)通常有助于注冊(cè)會(huì)計(jì)師修改審計(jì)程序的性質(zhì)和時(shí)間，并縮小實(shí)施審計(jì)程序的范圍，但不能完全取代注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)實(shí)施的審計(jì)程序”?！镀髽I(yè)內(nèi)部控制審計(jì)指引》也指出，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)對(duì)企業(yè)內(nèi)部控制自我評(píng)價(jià)工作進(jìn)行評(píng)估，判斷是否利用企業(yè)內(nèi)部審計(jì)人員、內(nèi)部控制評(píng)價(jià)人員和其他相關(guān)人員的工作以及可利用的程度，相應(yīng)減少可能本應(yīng)由注冊(cè)會(huì)計(jì)師執(zhí)行的工作。