第2203号内部审计具体准则——信息系统审计

第２２卷　第１期２０２１年２月Ｖｏｌ．２２，　Ｎｏ．１　Ｆｅｂ．，２０２１上海商学院学报Business Economic Review大数据时代企业集团推进内部审计全覆盖的思考高春晗 刘国城摘 要：大数据时代，审计环境的变化对企业集团的内部审计工作提出了更高的要求。

企业集团应积极顺应时代变化，将大数据技术有效运用于内部审计工作之中，厘清审计全覆盖的实质内涵，力求全面实现企业集团内部审计对象、审计内容和审计流程的全覆盖。

在文献梳理的基础上，通过对企业集团传统内部审计模式与大数据时代内部审计模式进行比较，探讨大数据时代企业集团推进内部审计全覆盖的重要性，分析企业集团推进内部审计全覆盖的实施路径及其保障机制，以期为企业集团内部审计全覆盖实践提供理论支持。

关键词：大数据；企业集团；内部审计；审计全覆盖作者简介：高春晗，南京审计大学（南京 211815）；刘国城，南京审计大学教授，（南京 211815）基金项目：国家社会科学基金项目“大数据审计技术体系的构建与运行研究”(19BJY035)；江苏高校哲学社会科学研究项目“大数据审计应用平台的模式设计与策略优化研究”（2018SJZDI102）DOI编码：10.19941/31-1957/F.2021.01.004一、引言随着我国科技的迅猛发展，以互联网和云计算为基础的大数据时代已经到来。

２０１３年８月２８日，中国内部审计协会发布了《第２２０３号内部审计具体准则——信息系统审计》，该准则对企业集团内部审计机构、内部审计人员及其从事的信息系统审计活动提出系列要求，包括信息系统审计的内容、方法以及风险评估等方面。

２０１４年公布的《国务院关于加强审计工作的意见》中首次提出并部署审计监督全覆盖，随后党的十九大也明确提出“推动互联网、大数据、人工智能和实体经济深度融合”。

２０１５年８月３１日，国务院印发《关于促进大数据发展的行动纲要》，提出“要深化大数据在各行业创新应用，使开放的大数据成为促进创业创新的新动力”。

中国内部审计准则（2019版）2019年6月1日目录第1101号——内部审计基本准则 (1)第1201号——内部审计人员职业道德规范 (5)第2101号内部审计具体准则——审计计划 (9)第2102号内部审计具体准则——审计通知书 (13)第2103号内部审计具体准则——审计证据 (15)第2104号内部审计具体准则——审计工作底稿 (18)第2105号内部审计具体准则——结果沟通 (21)第2106号内部审计具体准则——审计报告 (23)第2107号内部审计具体准则——后续审计 (26)第2108号内部审计具体准则——审计抽样 (28)第2109号内部审计具体准则——分析程序 (33)第2201号内部审计具体准则——内部控制审计 (37)第2202号内部审计具体准则——绩效审计 (43)第2203号内部审计具体准则——信息系统审计 (48)第2204号内部审计具体准则——对舞弊行为进行检查和报告 (56)第2301号内部审计具体准则——内部审计机构的管理 (61)第2302号内部审计具体准则——与董事会或者最高管理层的关系.67 第2303号内部审计具体准则——内部审计与外部审计的协调 (71)第2304号内部审计具体准则——利用外部专家服务 (73)第2305号内部审计具体准则——人际关系 (76)第2306号内部审计具体准则——内部审计质量控制 (80)第2307号内部审计具体准则——评价外部审计工作质量 (84)第2308号内部审计具体准则——审计档案工作 (88)第2309号内部审计具体准则——内部审计业务外包管理 (95)第1101号——内部审计基本准则第一章总则第一条为了规范内部审计工作，保证内部审计质量，明确内部审计机构和内部审计人员的责任，根据《审计法》及其实施条例，以及其他有关法律、法规和规章，制定本准则。

第二条本准则所称内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。

第2101号内部审计具体准则——审计计划第一章总则第一条为了规范审计计划的编制与执行，保证有计划、有重点地开展审计业务，提高审计质量和效率，根据《内部审计基本准则》，制定本准则。

第二条本准则所称审计计划，是指内部审计机构和内部审计人员为完成审计业务，达到预期的审计目的，对审计工作或者具体审计项目作出的安排。

第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。

其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章一般原则第四条审计计划一般包括年度审计计划和项目审计方案。

年度审计计划是对年度预期要完成的审计任务所作的工作安排，是组织年度工作计划的重要组成部分。

项目审计方案是对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等作出的安排。

第五条内部审计机构应当在本年度编制下年度审计计划，并报经组织董事会或者最高管理层批准；审计项目负责人应当在审计项目实施前编制项目审计方案，并报经内部审计机构负责人批准。

第六条内部审计机构应当根据批准后的审计计划组织开展内部审计活动。

在审计计划执行过程中，如有必要，应当按照规定的程序对审计计划进行调整。

第七条内部审计机构负责人应当定期检查审计计划的执行情况。

第三章年度审计计划第八条内部审计机构负责人负责年度审计计划的编制工作。

第九条编制年度审计计划应当结合内部审计中长期规划，在对组织风险进行评估的基础上，根据组织的风险状况、管理需要和审计资源的配置情况，确定具体审计项目及时间安排。

第十条年度审计计划应当包括下列基本内容：（一）年度审计工作目标；（二）具体审计项目及实施时间；（三）各审计项目需要的审计资源；（四）后续审计安排。

第十一条内部审计机构在编制年度审计计划前，应当重点调查了解下列情况，以评价具体审计项目的风险：（一）组织的战略目标、年度目标及业务活动重点；（二）对相关业务活动有重大影响的法律、法规、政策、计划和合同；（三）相关内部控制的有效性和风险管理水平；（四）相关业务活动的复杂性及其近期变化；（五）相关人员的能力及其岗位的近期变动；（六）其他与项目有关的重要情况。

国际信息系统审计准那么国际会计师联合会(IFAC )下设的国际审计实务委员会(IAPC )对计算机信息系统环境下的审计的讨论较早，先后发布了一系列的相关准那么。

到目前为止公布了六个有关计算机信息系统环境下审计内容的国际审计准那么。

它们分别就单机、联槌口数据库系统下的电子数据处理环境对会计制度和有关内部掌握的讨论和评价产生的影响作出补充规定。

现将这几个准那么法律规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。

该准那么明确了在计算机信息系统环境下审计的目的与范围，技术与力量的要求，审计方案的考虑，内部掌握讨论、评价及风险评估的影响，制定与实施审计程序应关注的方面等。

该准那么只是为在计算机信息系统环境下的审计制定一般原那么和指导，其他五个准那么或实务公告均为该准那么的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应对商定方案中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部掌握的讨论与评价以及对审计程序有怎样的影响，包括计算机帮助审计技术。

审计人员还应对执行审计程序的计算机信息系统处理有足够的学问，这将视所采纳的具体的审计方法而定。

其次，《风险评估和内部掌握一计算机信息系统环境特征和考虑因素》。

该实务公告为第一项准那么的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部掌握的内容及评价方法。

审计人员应收集与审计方案有关的计算机信息系统环境的资料，包括计算机信息系统的功能状况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置状况等。

审计人员在编制全面方案时，应考虑以下事项：在对内部掌握的全面评价中确定对计算机信息系统掌握的可信任程度；制定关于怎样、何处与何时检查计算机信息系统功能的方案；制定关于采用计算机帮助审计技术进行的审计程序方案。

第三，《计算机信息系统环境一独立微型计算机》。

该实务公告为第一项准那么的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部掌握、彳微型计算机环境对审计程序的影响等。

信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作，明确审计职责及工作范围，根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求，制定本办法。

第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条信息系统审计的目的是通过实施信息系统审计，对公司是否实现信息技术管理目标进行审查和评价，提出管理建议，协助信息技术管理人员有效地履行职责。

公司的信息技术管理目标主要包括：（一）保证公司的信息技术战略充分反映公司整体战略目标；（二）提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；（三）提高信息系统运行的效率与效果，合理保证信息系统的运行符合法律法规及监管机构的要求。

第四条信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。

第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。

第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施，也可聘请具备相关资质的外部审计机构开展。

第七条公司在审计部设立信息审计岗位，负责信息科技审计制度制订和信息系统审计工作。

第八条根据工作需要，经公司管理层批准，可以聘请外部审计机构开展信息系统审计，所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力，并遵守公司审计作业管理规定。

公司按照采购规定进行外部审计机构选聘工作，审计部负责协调外部审计人员实施信息系统审计工作。

第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验，以及应有的职业审慎。

第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。

第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作，其他相关部门应按要求协助开展信息系统审计工作。

第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训，培训方式可采用自主或委外方式开展。

第2201号内部审计具体准则——内部控制审计2013-08-28 08:33:05第一章总则第一条为了规范内部审计人员实施内部控制审计的行为，保证内部控制审计质量，根据《内部审计基本准则》，制定本准则。

第二条本准则所称内部控制审计，是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。

第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部控制审计活动。

其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章一般原则第四条董事会及管理层的责任是建立、健全内部控制并使之有效运行。

内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。

第五条内部控制审计应当以风险评估为基础，根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度，确定审计的范围和重点。

内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。

第六条内部控制审计应当在对内部控制全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域的内部控制。

第七条内部控制审计应当真实、客观地揭示经营管理的风险状况，如实反映内部控制设计和运行的情况。

第八条内部控制审计按其范围划分，分为全面内部控制审计和专项内部控制审计。

全面内部控制审计，是针对组织所有业务活动的内部控制，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。

专项内部控制审计，是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。

第三章内部控制审计的内容第九条内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定，根据组织的实际情况和需要，通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对组织层面内部控制的设计与运行情况进行审查和评价。

第十条内部审计人员开展内部环境要素审计时，应当以《企业内部控制基本规范》和各项应用指引中有关内部环境要素的规定为依据，关注组织架构、发展战略、人力资源、组织文化、社会责任等，结合本组织的内部控制，对内部环境进行审查和评价。

企业内部控制体系中信息系统审计的内容和方法一、在内部控制体系中开展信息系统审计的内容信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计，或者根据企业实际情况可以分为总体控制和应用控制（如图1所示）。

图1在内部控制体系中开展信息系统审计内容1、信息系统总体控制制度体系，旨在保证整个公司范围内更加科学、规范地应用信息技术，提高企业在信息技术开发、实施、运营活动方面的控制能力，增强日常信息工作效率，更好地保护信息资产，提高信息技术对业务的支持力度，其目标是对信息技术管理和运行有效性的检查。

信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价，保证其有效地发挥作用。

信息系统总体控制审计应重点关注六个方面：一是控制环境。

包括信息系统总体控制环境、信息与沟通、风险评估、监控等。

二是信息安全情况。

包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。

三是项目建设管理。

包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。

四是系统变更管理。

包括变更管理、日常变更流程、紧急变更流程等。

五是信息系统日常运作。

包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。

六是最终用户操作。

包括最终用户计算机操作安全制度、电子表格管理等。

其中，对最终用户操作的检查，并在关键环节建立关键控制点，通过手工测试或者开发计算机软件来证明其内部控制的有效性。

由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程，且越来越复杂。

但是电子表格使用存在一些缺点，91%的电子表格存在错误，超过200行的表格将100%地存在错误。

这些问题可能导致巨大的风险，因此，必须关注与财务报表相关的电子表格，即电子表格将直接或间接影响财务报表或信息披露事项。