中国内部审计协会论文格式

内部控制是衡量现代 企业管理 的重要标志，对于防范和发现各种财务舞弊行为有着重要的作用。下面我给大家分享一些内部控制学术论文，欢迎大家阅读参考。内部控制学术论文篇一：《试谈内部控制与内部审计》 摘要：2015年4月，首次提出“新常态”，这意味着企业应积极主动地完善公司的治理，提高防范风险意识。通过分析内部审计的价值功效，从转变内审观念，提升内审人员地位;加强内审队伍建设，提高内审人员素质;增强内审质量控制，贯彻全程审计模式;完善绩效评价体系，保持内审的独立性这四个方面入手，探究内部审计对企业价值增值的途径，促进企业适应“新常态”。 关键词：内部审计 价值增值 公司治理 一、引言 2002年7月，美国国会通过了《萨班斯――奥克斯利法案》，该法案的实施及其影响力的扩大，使得内部审计在企业价值链中所扮演的角色及发挥的作用也在不断扩大。2013年8月20日，我国内部审计协会以公告的形式发布了新修订的《中国内部审计准则》，并于2014年1月1日起施行。近年来，企业所面临的内部环境发生了重大改变，在“新常态”下，企业更应积极主动地完善公司的治理，提高防范风险意识，而内部审计作为公司的一个重要职能部门，其对企业价值增值显得尤为重要。 二、内部审计的概念及其价值功效 2004年，国际内部审计师协会在《国际内部审计专业实务标准》中对内部审计进行了定义：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营，它通过应用系统的、规范的 方法 ，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。我国新修订的准则中指出“内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标”。显而易见，内审的目标已从查错防弊转变成了为组织增加价值，增值型内部审计通过以风险管理为中心，可分为显性价值与隐性价值两个部分。 (一)显性价值表现 内部审计创造的显性价值为内审人员通过审计技术对各个部门进行监督与评价，向决策者提示风险，预防与减少企业风险，提高企业效率，从而达到增加企业价值的最终目的。按照现代 财务管理 的理论，在一定条件下，收益水平相同的公司，风险越小的企业价值越高;占用的资源越少，即效率高者价值高。内审就是通过分析、监督和评价企业管理系统的各个环节，以找出企业的风险点与低效率点，从而防御风险和提高效率。 (二)隐性价值表现 内部审计隐性的价值主要体现在随着内审的发展，在以后的会计期间实现的，但又难以用货币计量的价值。那么增加价值成为内部审计的一项新的重要职能和作用。因此，如何使内部审计发挥更大的价值，以便更好地为组织机构价值增值，这不仅仅是高层管理者须考虑的问题，还是当前内计工作人员和内审的理论研究者困惑的关键点。 三、价值增值途径分析 (一)转变内审观念认识，提升内审人员地位 我国内审水平较低的一个主要原因是由于内部审计观念落后。因此，一方面，政府应积极推进内审法律法规发展进程，从而明确内审在企业经营管理中的地位，促进内审法规体系的健全。另一方面，上市公司治理是依据产权关系建立起的一种权力制衡结构。只有董事会、管理层、监事会三权分立，且权力相互制衡，才能对公司起到良好的治理效果。将内审部门设置在监事会下属的审计委员会之下，不仅可以划清监督权与执行权、决策权之间的界线，还能形成与董事会、高管的制衡，充分发挥内审人员的监督与审查职责。 (二)加强内审队伍建设，提高内审人员素质 内审涉及企业内部管理的方方面面，内审人员不仅需要从财务的合法性角度去看待信息，更要结合实际工作情况，从有效性和合理性的角度去看待问题，深挖隐藏在其中的问题和弊端。这就要求内部审计人员需要具有多元化的知识结构，而不是仅仅具备财务方面的专业知识。 (三)增强内审质量控制，贯彻全程审计模式 在当今迅速发展的互联网时代，除了内审观念的革新，更应该注重内部审计的质量与运行模式。 企业应建立健全责任控制制度，主要是确定项目负责人、主审以及一般审计人员的相关责任，并检查各部门和经办人员的职责是否经过恰当授权，达到相互牵制的目的。再者，须建立一个既完善又高效的审计信息化管理系统，有效监控财务信息及会计工作，全程跟踪监控企业的各项经营管理活动。同时，企业应充分发挥审计的评价和鉴证作用。通过对各部门的绩效进行评价，为奖惩兑现提供合理依据，从而被动地提高各部门的绩效，以增加企业的价值。 (四)完善绩效评价体系，保持内审的独立性 内审绩效评价体系最终是为了增加企业价值，评价和改进公司的治理。评价不是最终的目的，关键是为了提高内审的工作质量，因此要合理地使用评价体系，防止盲目死板地套用。若企业过分追求指标，则不利于内审工作的长期发展。同时，内审部门应对企业内部控制的设计与执行情况展开独立评价，指出其在设计中存在的缺陷和执行中存在的偏差，并分析原因，从中找出薄弱环节和失控点，发现管理中存在的漏洞，从而提出改进意见，并督促落实完善，防范经营风险，减少损失。企业需对评价体系的运行情况进行不断地跟踪改进，查验评价结果的真实性，评价体系的合理性、可行性及经济性，并根据评价结果不断改进。 四、 总结 在这高科技与互联网飞速发展的“新常态”时代，企业生存和发展的需要对内部审计提出了进一步的高要求，故而巧妙利用管理，探求企业增值刻不容缓。企业首先要转变对内部审计的传统观念，提升内部审计在公司治理中的地位，加强对内部审计队伍的建设，增强内审质量控制，全程监控并完善绩效评价体系，保持内审的独立性。同时，作为内审人员，应不断完善自我，并针对性地提出建设性意见，为企业价值增值做贡献。参考文献： [1]谭丽华.基于价值增值视角的内部审计实现途径探讨[J].中外企业家，2014(19). [2]代士林.内部审计实现增值功能途径和方式研究[J].现代商贸工业，2011 (4). [3]赵满波.内部审计―挖掘企业内部增值潜力的有效途径[J].新会计，2010(5). 内部控制学术论文篇二：《高校内部控制研究》 摘要：近年来，我国高等 教育 取得了迅速发展，高校的法人主体地位也基本确立。内部控制是衡量现代管理的重要标志，健全的内部控制不仅可以合理配置各种资源，提高工作效率，而且能防范和发现各种财务舞弊行为。本文通过分析高校内部控制存在的问题，提出防范 措施 ，从而对高校的持续健康发展产生积极的促进作用。 关键词：高校;内部控制;对策研究 内部控制是单位为了保证实现运行和管理目标，保护财产安全和完整，确保会计资料在内的信息资料真实可靠而制定和实施的一系列相互联系、相互制约、相互协调的方法、措施和程序的总称。 一、高校内部控制概述 高校内部控制制度，是指高等学校为了保证业务活动的有效进行和资产的安全完整、防止和纠正错误与舞弊，保证会计资料的真实、有效、合法、完整而制定的措施和制度[1]。在新形势下，不断完善高校内部控制制度，对于防范舞弊，减少经济损失，提高资金使用效益具有积极的意义。 二、高校内部控制存在的问题及分析 随着高等教育的快速发展，办学规模的不断扩大，各项制度都在不断的完善。但就其现状，高校内部控制制度未能得到切实有效的实施，在实施过程中存在一些问题。 1.对内部控制缺乏足够的重视 无论多么完善的内部控制制度，都需要人在一定条件下和一定环境中准确的理解和严格的执行。由于受到传统观念的影响或者现实条件的制约，高校中漠视内部控制制度的重要性，对内部控制理解存在偏差的现象普遍存在。内部控制一旦制定就需要常抓不懈，始终如一地坚持和贯彻，使每一位高校员工都领会到内部控制的实质和精髓。 2.高校内部控制监督力度薄弱 从机构设置看，大部分高校的内部审计部门与其他职能部门平行，更有甚者考虑到成本效益因素，尽量减少机构和人员，将财务与审计合署办公，或是由财务部门兼顾审计部门的职能，审计工作失去独立性。审计人员受利益因素制约、人际关系影响，无法客观地开展工作，做出的审计处理得不到有效贯彻和落实，久而久之就失去了内部审计的权威性。从审计方式看，一些高校将内部控制评价作为审计的一种手段而不是独立的审计内容，无法对内部控制进行全过程、全方位的监督和评价，无法发现各个环节存在的问题，把风险降到最低程度，无法实现事前预防和事中控制。 内部审计监督力度薄弱，主要是因为内部审计制度不完善，高校对内部控制的健全性、合理性和有效性缺乏监督检查和评估，监督检查工作的针对性和时效性不强，内部审计监督机构设立不规范等。 3.高校内部控制的法律法规不健全 虽然我国从20世纪90年代起就加大了对内部控制理论建设的力度，但限于我国法制建设的实际情况，已发布实施的有关内部控制的法律法规还比较少，一直未能形成一个相对完整的内部控制理论体系。由于没有专门针对高校内部控制的法律法规作指导，高校结合自身情况制定的内部控制制度不健全，从而妨碍了内部控制规范作用的发挥[2]。 三、加强高校内部控制的措施 1.强化内部控制意识 高校管理部门应依据高校内部控制的实际情况，先以指南的形式发布一套内涵全面、操作性强的内部控制标准体系，将内部控制的全新理念传达给所有人员，增强员工内部控制的意识。管理者应该充分认识到，随着市场经济的建立和发展，高校内部改革的深入进行，必须注重内部控制，将内部控制制度建设作为一项长期任务来抓。通过不同层次、不同专业的培训，提高全员的内部控制意识。 2.完善内部审计监督 内部审计是监督、检查和评价内部控制制度的质量和效果的手段，同时也是保证会计资料真实、完整的重要措施。 首先，高校要建立健全内部审计制度，落实相关的内部审计职责，克服机构设置和人员编制二者的矛盾，促进高校内部审计工作有序开展，发挥内部审计机构的作用，保证内部控制更加完善、严密。 其次，高校要明确审计的介入监督范围，强化事前审计制度，明确规定哪些业务是必须经过审计确认以后才能够开展的，哪些业务是不需要的。对于容易产生舞弊行为的活动，审计的事前介入是至关重要的。同时，高校要细化内部控制的各项基础工作，使审计标准与业务操作标准保持一致。 最后，成立内部审计机构，对高校内部控制的实施情况进行常规、持续和专项的监督检查[3]。 3.加快内部控制制度建设 内部控制的方法主要是根据具体的控制内容选择适用的控制方法。比如，在对货币资金进行控制时，可采用不相容职务相互分离控制、授权批准控制、会计系统控制等方法，即单位依据《会计法》和国家统一的行业或部门的会计制度，制定适合于本单位的内部控制制度和会计人员岗位责任制，对货币资金业务建立严格的授权批准制度，不得由一人办理货币资金业务的全过程，明确相关部门和岗位的职责权限，确保办理货币资金业务的不相容岗位相互分离、制约和监督。又如，在对实物资产进行控制时，可选用财产保全控制、会计系统控制、内部 报告 控制等方法。即运用电子信息技术手段建立内部控制系统，加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与管理、网络安全等方面的控制，减少和消除人为操纵因素，限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对等措施，确保各种实物资产的安全完整。 四、结论 高校在改革的浪潮中，接受着市场经济的洗礼，每一所高校都面临着“优胜劣汰”、“适者生存”的考验，因此，高校不仅要从源头上而且要从制度上高度重视内部控制建设与实施。根据高校经济活动的发展规律，制定出一套科学、严密、有效、可操作的高校内部控制制度，对防范财务风险，推动高等教育事业的健康发展具有深远意义。 参考文献： [1]朱荣恩.内部控制的理论发展[J].会计研究，2010(2)：22. [2]陈洪玉.对加强高校内部会计控制的思考[J].云南 财经 大学学报，2010(24)：12. 内部控制学术论文篇三：《新形势下企业内部控制存在问题及应对措施》 一直以来，企业内部控制作为一种财务管理制度及契约安排，用于防范财务风险;其在企业经营管理人员行为的约束方面、在提高企业经营效率方面有着积极的作用，对实现企业的健康、高速发展也有深远的影响。对于企业内部控制制度在财务制度的设计和安排方面的过度强调，导致了企业对内部控制问题的狭隘性和局限性，即使内部控制制度再健全、再严密，也不能有效的控制企业内部存在的问题。因此，企业内部控制是企业经济管理的根源所在，必须从整体角度，全面系统的去理解、实施和控制。 一、企业内部控制的现状问题 目前，我国许多企业已认识倒了企业内部控制的重要性，将其作为了一项长期的重要任务去管理，但是由于种种原因，企业内部控制制度的建立和实现还是存在着诸多问题： 1.就企业大环境而言，存在如下问题 (1)企业控制环境差。企业组织结构在设计之初未明确标识内部控制组织应承担的监督责任，各组织之间不能相互制约，企业各部门之间的监督不到位，企业内部控制制度形同虚设。甚至有些企业，以国有企业为多，企业职权划分不明确，企业管理人员对内部控制了解不够，不能正确认识到内部控制的重要性。 (2)企业财务信息披露不及时。实现企业内部控制的实施效率和效果，要求企业必须有一套健全、高效的信息传输机制，但是目前的企业信息系统一般无法实现这一目的，只能为最高管理层提供信息服务，而忽略了企业职工对信息的需求。一方面，企业职工必须从最高管理层清楚地获取信息，履行其责任;另一方面，企业职工在经营过程中需要对客户、供应商和政府主管机关等传达信息;然后，职工还必须能够及时的把信息反馈给上级部门。 2.在管理人员方面 (1)企业管理者对内部控制薄弱。部分管理者个人权力观念严重，将自己的直觉凌驾于企业制度之上，习惯于集权式的管理方式，以个人主观判断取代了科学的分析与决策。 (2)企业监督乏力及组织保障不到位。现阶段，很多企业都实行了财务监督管理模式，但是这一模式只是单纯的解决了一部分成本控制的责任归属和成本失控问题，同时剥夺了财务的内部监控职能，造成了企业相关财务人员责任感的缺失。尽管我国会计人员受到《会计法》的保护，职业道德也对会计人员客观、公正、严谨的工作态度作出了要求，然而在目前的集权管理制度之下，企业会计依旧缺乏应有的保护，有些企业领导对会计人员不够重视，忽视了其应有的职权。 (3)企业管理者的风险意识薄弱。部分企业管理人员受传统体制的影响，在企业内部控制过程中，缺乏风险意识，风险评估意识淡薄，对企业风险可能产生的因素关注不足;没有建立有效的风险管理制度和风险评估实施机制，或者企业设置了风险管理机构但没有真正履行职责，企业抵抗风险的能力薄弱。 二、企业内部控制制度缺陷的措施 为弥补以上在企业内部控制中存在的问题，需要从以下几个方面着手进行解决： 1.企业组织机构的建立 为了消除集权管理造成内部管理阶层人为因素造成的独控现象，必须建立和完善企业组织结构，优化企业的结构框架，以组织决策替代专权集权。另外，鉴于每个企业管理方式、经营特点不同，面临不同的内外部环境，因此，应整合企业各部门的职责，建立部门间的相互制衡机制，进而提高企业整体的运行效率。 2.企业内部财务控制的建立 财务控制制度的建立是健全企业内部控制的关键，应使财务管理人员的职权范围、财务人员的责任和义务明确化，完善财务岗位轮换制度以及岗位不相容分离制度等，依据企业财务工作和管理过程中的关键要点，构建一套系统的、贯穿上下的监督机制，加强对财务各环节的内部控制，最大程度上规避财务舞弊风险。 3.内审与外审并举 评价企业内部会计制度是否健全及其执行程度的主要手段是建立审计机制。企业要提高对内部审计重要性的认识，强调内部审计的权威性和独立性，加强对内部审计人员的知识培训，提高内部审计人员的综合素质;另外，要强化外部审计，通过监督审查，及时调整管理方式和控制方法，促使企业内部控制制度更加完善。 4.企业内部控制评价体系的建立 建立一套科学的企业内部控制评价机制，不仅能够促进企业的自我评估、改进内部控制机制，还能够针对企业整体的生产运作情况做出系统评价，发现企业内部控制的弱点所在，进而提出了具有针对性的改进措施，提升企业运行的效率。内部控制评价体系的建立应变被动为主动，由传统向现代化过度，使企业内部控制更加合理、有效。 5.企业内部控制 文化 氛围的建立 优秀 企业文化 是培育企业核心竞争力的基石，其对企业职工的思想、心理和行为会产生重要影响，对企业内部控制效果有直接的影响，也是促进企业持续竞争的根源。企业应该重视对企业文化的培育，以文化激励职工的自觉性、荣誉感和责任心，从而达到个人与企业目标一致，职工自觉履行企业制度的效果，形成一种有利于企业健康发展的文化氛围，确保企业的健康发展。 6.加强企业内部控制的信息披露 加强企业财务会计的信息披露是完善企业内部控制的基本前提。财务透明化、财会信息传递有效化，不仅便于包括股东在内的利益相关者对企业管理行为的监督，进一步加强部门间的相互监督制约;也可以有效缓解企业管理者之间的信息不对称性，实现内部控制组织机构的职能。 7.强化外部监督力度 首先，监管部门要合理分工、信息互通，对企业内部会计控制制度要深入了解，对企业内控的监管要常态化，提高检查力度、扩大覆盖面。其次，监管部门在遵循市场规则的基础上制定相关规定，客观公正地行使部门职权;最后，对在内部会计控制工作方面不同表现的企业和个人要奖惩分明，以此促进和完善企业内部控制制度。 三、总结 随着企业环境的不断变动，企业内部控制的内容也随之变化，企业需要在分析所处环境及未来环境的变化后才能进行内部控制，为了减少企业风险要采取相应的措施加以控制，这样才能提高企业的管理效率与经营效益，降低企业的经营损失，以此达到实现企业价值的最大化。 猜你喜欢： 1. 会计内部控制毕业论文范文 2. 论企业内部控制论文 3. 浅谈企业内部控制相关论文 4. 会计内部控制本科毕业论文 5. 会计内部控制毕业论文

随着我国经济飞速发展及企业国际化水平的提高，对企业内部审计的重视程度也日益提高。由于企业面临的社会环境以及内部人员具有复杂性和不确定性，这就增加了审计的难度和风险，如何保证企业审计工作的质量，防范审计风险也成为企业当前需要解决的主要问题之一。 1 企业内部审计风险产生的原因 企业内部审计风险主要来源于主观和客观因素。 客观方面因素 企业内部控制制度薄弱带来的风险。企业内部控制制度是否完善、经营状况是否稳定是实施审计监督工作的基础，如果没有内部控制制度，或内部控制制度形同虚设，或者内部控制制度执行不力，都会直接导致控制风险难度加大。再者，企业经营方式越复杂，内部管理层次越复杂，意味着对其审计的难度也越大，审计工作面临失误与差错的概率也会相应增大．其审计风险也会越来越大。 内部审计机构的独立性不够。内部审计机构是单位内设机构．在单位负责人的领导下开展工作．为单位服务。因此，内部审计的独立性不如社会审计，在审计过程中，不可避免地受本单位的利益制约。内审人员面临的是与单位领导层之间的领导与被领导的关系以及与各科室、部门之间的同事关系，所涉及的人不是领导就是同事，非直接有关也是间接相关，审计过程及结论必然涉及到具体的个人利益，因而审计过程难免受到各类人员千扰。 相关法律法规的不完善和不断变化的法律环境。健全的法律制度和完善的法律体系是保障审计人员合法权益和降低审计风险的法律保障，然而由于经济社会的不断发展使得审计工作处在不断变化的法律环境之下，我国法律法规制定的时滞性使得审计人员在审计工作中缺乏相应法律法规的保护，法律法规的不合理性和缺乏操作性也加大了审计人员的工作难度，相应地增加了审计风险。 企业审计业务复杂化和审计范围不断扩大。企业在迅速扩张的同时，被审计的经营业务也变得日趋复杂，为内部审计带来了更多的困难。一个企业已经不再是单一经营，可能涉及到多个行业，其经营业务也千差万别，再加上企业所使用的金融衍生工具越来越多，这就容易导致企业的会计信息系统比原来更加复杂，使得会计记录中出现错记、漏记的可能性随之加大，为企业的审计工作带来了困难。同时企业的审计范围也再不多的扩大，不仅包括对财务上的审计也包括对企业持续经营能力的评价等工作，审计人员通过对财务上的检查发表正确全面的审计意见难度比较大，因此，增加了审计风险的产生。 主观方面因素 内审人员业务素质参差不齐。审计人员素质的高低是决定审计风险大小的主要因素。审计人员的素质包括从事审计需要的政策法规水平、专业知识、经验、技能、审计职业道德和工作责任。审计经验是审计人员应有的一种重要技能，审计经验需要实践的积累。我国的内部审计人员中不少人仅熟悉财务会计业务，一些审计人员不了解本单位的经营活动和内部控制．审计经验有限。另外，内部审计人员工作责任和职业道德也是影响审计风险的因素。由于我国内审准则工作规范和职业道德标准方面还有一些空白．许多内审机构和人员缺乏应有的职业规范的约束和指导。总之， 目前我国内审人员总体素质偏低，直接影响到内审工作开展的深度和广度。面对当今内审对象的复杂和内容的拓展，内审人员势单力簿．这将直接导致审计风险的产生。 内部审计的局限性与审计手段的缺陷带来的风险。一是在我国企业经营管理中，内部审计人员既是企业经营管理活动的监督主体，又是实施企业经营管理活动的客体，一方面要维护国家利益。另一方面要按照经营者的意志来维护企业利益，当国家利益与企业利益发生冲突时，有的审计人员往往选择后者，这自然违反了审计原则，增大了审计风险。二是审计技术从过去人工审查发展到现在的电子计算机辅助审计，大大提高了审计工作质量和效率。但是审计技术和审计手段仍然存在不足和缺陷，从目前企业内部审计应技术效果来看，并没有达到审计最佳效果，因此，审计局限性与手段滞后必然导致审计风险的发生。 轻视审计带来的风险。审计工作的发展是一个不断探索的过程。近年来，由于企业转型改制，建立现代企业制度，规范了公司治理结构，内部审计越来越得到重视。但在实际工作中，不少管理者对审计的作用仍然缺乏必要的认识，只把审计当作是一种核实财务数据的程序，未能发挥审计监督作用，有的甚至对此加以回避，致使审计在管理上缺乏相应的地位，很大程度降低了审计的地位和作用，不仅不能与审汁的“独立性、权威

一、引言

信息系统审计（IS Audit）的概念最早出现于20世纪60年代，会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理，被人们称为EDP审计，这是信息系统审计的早期萌芽。20世纪90年代，信息系统日益复杂，如何保障信息系统的安全、可靠和有效变得越来越重要，信息系统审计开始在美、日、澳、英等国普及起来。2001年，国家审计署将注册信息系统审计师（CISA）考试引入我国，十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范，信息系统审计准则是信息系统审计师共同遵循的标准，对于促进信息系统审计行业发展具有重要意义。日本通产省 （Ministry of Economy Trade and Industry，简称METI）早在1985年就颁布了信息系统审计准则，还成立了日本系统审计师协会 （JSSA）。

美国也成立了信息系统审计与控制协会（ISACA），制定和颁布了一系列信息系统审计准则指南，并在全球

范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》，中国内部审计协会也以具体准则形式颁布了信息系统审计准则，为规范我国的信息系统审计实践提供了重要参考。然而，由于信息系统审计的技术复杂性，以及我国信息化发展的阶段特征等客观原因，目前我国的信息系统审计理论与实务研究都尚处于百花争放时期，关于信息系统审计对象、范围和目标等基础概念的理解众口不一，更是缺少系统化的信息系统审计准则体系，严重制约了我国信息系统审计行业的发展。

二、信息系统审计概念内涵

信息系统审计概念，国内外尚没有统一定义。美国著名学者Ron A·Weber认为，IS审计是一个获取证据，对信息系统是否能保证资产的安全，数据的完整，以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传，印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为，信息系统审计是一个搜集和评估证据过程，以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标，并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省（METI）在1996年修订了信息系统审计准则，指出信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出，信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为，信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

上述定义有差异，也有共同之处，本文从审计目标、审计对象和审计内容这些概念进行了对比分析。

目前学术界和业界对于信息系统审计的对象有较为统一认识，但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科，观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试，因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计，并不提及审计师的专业判断；其它观点多出自审计师视角，审计师们通常更多关注控制与风险，所以审计内容通常是一般控制和应用控制审计等；另外，审计又区分为国家审计，社会审计与内部审计，有着不同业务领域性质与要求，导致各领域对信息系统审计目标理解的多样化。

基于上述讨论，本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据，判断信息系统及相关资产的安全性、可靠性和有效性，提出审计意见与建议，促进被审计单位信息系统实现组织目标的行为。从该定义可知，信息系统审计的对象是系统及相关资产，主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标：安全性、可靠性和有效性。其中，系统安全性是指信息系统资源是否受到妥善保护，不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵：硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内，在给定的'控制条件下，硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中，在规定的运行时间内或规定的运行次数下，程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整，它取决于系统对数据的处理过程是否准确无误，以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵：一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求（合规性）；二是指信息系统是否能够实现既定的业务目标（效益性）；三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。

三、信息系统审计准则国际经验

目前，国际上影响力较大的信息系统审计准则有四个，分别是国际信息系统审计与控制协会（ISACA）、日本通产省信息系统审计标准，以及国际内部审计师协会（IIA）颁布的全球技术审计指南和美国审计总署（GAO）颁布的联邦信息系统控制审计手册。

（一）ISACA的信息系统审计准则体系1994年，电子数据审计师协会（EDPAA）更名为ISACA协会，该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师（CISA）考试，还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲，是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力，以及审计工作执行的基本行为规范，是CISA执行审计业务必须遵循的标准，具有强制性。目前ISACA共颁布了16条审计标准，42项审计指南，为CISA执行审计业务中如何遵守审计标准提供指引，任何偏离指南的行为必须有充分的理由，属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的，为CISA提供审计业务的程序与步骤，类似一种工作范例，并不强制要求。到目前为止有效的ISA程序共有9 项。

（二）日本的信息系统审计准则日本通产省（METI）于1985年发布了信息系统审计准则，1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容，强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理，以及根据审计结论应采取的措施。

（三）IIA的全球技术审计指南（GTAG） 国际内部审计师协会（IIA）的内部审计国际实务准则框架（IPPF）是内部审计规范体系的标杆。IIA非常重视信息系统审计，IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南（GTAG）指南起至今，IIA已发布了16项信息系统审计指南，内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。

（四 ）联邦 信息系统控制审计手册 （FISCAM）2009年美国审计总署（GAO）发布了联邦信息系统控制审计手册（FISCAM），在该手册的指导下，GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括：实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划；应用控制包括：应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。

ISACA作为专门的信息系统审计与控制协会，建立了较为完整的信息系统审计准则体系，它采用总分式分层体系，16项审计标准是总纲，自2005年发布后基本保持稳定，而42项审计指南一半以上是新增或新修订的，不断更新的审计指南赋予了审计标准新的内涵与外延，审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式，整套准则的内容相当于ISACA的审计标准层次。

从准则具体内容上看，日本的信息系统审计师属于计算机行业，其审计标准具有明显信息技术特征，主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法，尤其详细明确了信息系统规划、开发和运行全过程的关键风险点；而ISACA的审计标准更多关注信息系统审计的审计特征，主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同，前者类似我国的具体准则，GTAG指南则围绕不同的审计业务详细描述审计工作思路，审计方法、技术与工具等。

从是否强制性要求来看，ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序，还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次，属于强烈推荐遵循；美国审计总署GAO颁布的FISACM是非强制性要求的手册，用以指导实务工作。

四、我国信息系统审计准则现状

我国目前颁布的信息系统审计准则规范屈指可数，主要有审计署以实务公告形式颁布的信息系统审计指南，中国内审协会发布的信息系统审计具体准则。

（一）信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计，2012年，审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上，结合国家审计机关依法审计的法定职能，以及我国目前信息系统审计实践现状，提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架，重点描述了89项审计事项的审计要点。此外，审计署还在2013年出版了与该指南配套的《信息系统审计实务》，针对指南的各审计事项，分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。

（二）内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动，保证审计质量，中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》，自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法，审计报告和后续工作共五个方面的内容进行了规定，明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

综合来说，我国目前尚未建立信息系统审计行业协会，审计署发布了信息系统审计指南，属于非强制性要求，更高级别的强制性要求准则尚未发布；内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次，但与IIA协会相比，其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看，我国的信息系统审计准则体系缺少系统性与结构性，尚没有建立完整的信息系统审计准则体系。目前，国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索，但各界人士对信息系统审计的基本原则与规范还缺少共识，长此以往将给我国信息系统审计行业发展带来混乱。

五、结论

信息系统审计准则是信息系统审计师共同遵循的标准，对促进我国信息系统审计行业发展具有重要意义。首先，从准则制定的社会背景来看，我国的社会信息化水平与美国、日本等国家存在客观的差距，ISACA，IIA和FISCAM等准则指南均基于相对完善的内部控制（IT控制）环境，而我国政府部门、企事业单位的信息化建设正处于飞速发展时期，大部分被审单位的IT控制体系尚在建立之中，如果按照国外规范开展我国信息系统审计，过于理想化的审计意见建议很难得到认同。

第二，从准则的框架结构来说，ISACA，IIA和日本通产省的框架结构，不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构，跟我国的内部审计准则体系，注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样，不太符合我国审计师的认知习惯。

第三，从准则的具体内容来看，由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准，IT运维服务、外包、信息资源开发利用，信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是，国外ISACA，IIA，FISACM等信息系统审计准则指南历经20多年的发展，已形成相对成熟的体系，相关观点已为我国审计师熟识。而且，国家的信息系统审计准则需要在国际舞台上相互交流与合作。

因此，制定我国信息系统审计准则需要遵循的重要原则是：坚持国际化与本土化相结合，既立足本土国情又实现国际接轨。本文借鉴ISACA，IIA和FISCAM等准则指南的优秀经验，参照我国国家审计准则的体系框架，考虑信息系统审计新业务的不同特征，尝试提出如下图1所示的中国信息系统审计准则体系框架。

该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求，审计指南是强烈推荐遵循，实务手册是非强制性要求。审计准则分成基本准则和具体准则两层，基本准则可包括五块内容，分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类，如面向一般信息系统的通用指南，针对电子政务、电子商务和ERP系统的专业指南，或者体现行业信息系统特征（如金融、通信行业）的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架，但在设计具体事项，或者明确审计内容重点时，应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化，详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定，也可以针对某类突出问题（如电子银行、IT外包等）进行特别规范。

为逐步完善我国信息系统审计准则体系，我们建议采取如下策略：首先，以审计署为主导，协调整合中国注册会计师协会、内审协会以及高校的相关专家资源，组建信息系统审计准则研究课题组和专家咨询小组，激发信息系统审计职业界的积极讨论与参与。其次，成立类似ISACA的中国信息系统审计行业协会专门机构，以信息系统审计职业化建设为主线，组织修订与持续完善信息系统审计准则体系；组织信息系统审计师职业教育，提升信息系统审计师职业素质；总结我国信息系统审计优秀经验，积极开展与国外相关协会和政府机关之间的合作与交流。最后，人才是行业持续发展的源泉，也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试，明确我国信息系统审计师应具备的素质、知识与技能以及任职资格，既能保障准则规范的有效实施，也为促进我国信息系统审计行业发展提供人才支撑。

参考文献：

[1]张文秀：《国外信息系统审计规范、国家文化差异与制度移植》，《审计研究》2012年第5期。

[2]石爱中、周德铭、王智玉、杨蕴毅：《信息系统审计实务———中国计算机审计实务报告》，时代经济出版社2012年版。