浅议信息系统审计对加强和改善公司内部控制的作用

内部控制是企业管理现代化的产物，是企业管理层为实现经营目标而设计的自律系统，更是预防和降低企业风险的利器。加强和改善公司内部控制状况，建立和完善公司内控体系，可以保护企业资产的安全和完整，保证会计及其它信息资料的真实可靠，有利于实现企业的经营方针和经营目标，提高业务处理的工作效率，有利于实现国家对企业的宏观控制等方面的作用。信息系统审计通过专业的第三方咨询机构帮助企业发现公司内控体系的不足，提出加强企业IT治理的合理化建议，提高完善企业的内部控制体系。　　首先，确保IT能够支撑和拓展公司的战略和目标。企业的信息化建设是为公司的战略和业务发展服务的，通过对企业信息系统情况的审计，确定公司信息化对公司整体战略的支持程度、IT战略和公司总体战略的匹配程度、对公司业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响、能否促进企业业务系统效率的提高等。通过审计发现企业信息化存在的问题，确保IT与业务目标的一致性，推动业务发展，促使收益最大化，使组织信息系统的发展能够始终沿着正确的方向进行，最终实现企业的总体战略目标。　　其次，借鉴公认的模型工具更全面和精细的管控企业的整个运营过程。当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准，但各种不同的信息化评估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT项目管理以及平衡记分卡等工具模型的精髓，因此，其评估模型的周衍性、权威性和合理性也得到了保证。其中，COBIT模型目前已成为国际上公认的IT管理与控制标准，其次和IT治理的相关管理标准还有ITIL（BS15000/ISO20000）、ISO/IEC17799、IT项目管理、信息系统工程监理等。其中COBIT覆盖整个信息系统的全部生命周期，其范围最大；ISO/IEC17799这套管理标准更侧重IT应用过程的信息安全；ITIL这套标准优势是在运营维护阶段；信息工程监理则是最具有中国特色的标准，它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设，达到增强企业对信息化工程建设内部控制的目的，其偏重于信息化建设阶段。这几种可以一起整合实施，来达到提升公司IT内控能力的目的。　　对企业来说，改善其内部控制水平，就是借助这些大家公认的模型，通过设计、实施、维护和监控内部控制和风险管理体系，尤其是对IT 的控制，发现自身存在的不足，帮助企业建立起完善和细化相关的流程和制度，以确保公司所有业务策略、规程和业务流程都在自己的掌握之中，并且在合法合规的轨道上运行。　　最后，通过对企业信息系统审计来规避企业内部存在的风险。作为企业提升自身的内部控制能力，就是要对风险进行更有效的控制。信息系统审计能够对信息系统的应用状况和综合绩效状况进行全面的评估，因此，信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。　　由于信息系统审计所包括的范围非常的广泛和全面，如果我们只是想借助其促进企业内控水平的提升，那么我们应该加强其有关信息化风险控制方面的指标，适当弱化和删除其他方面的指标，以此来达到应用的目的。　　由于信息系统审计本身更强调评估，是客观、真实地反映企业信息化当前的状况，暴露出其中存在的问题。如何更好的去解决这些问题，如何更有效的规避风险还是要靠人自身来想办法解决，则是我们审计人员下一步的着眼点。当然，任何一种方法或工具都不是万能的，有它的优势和局限性，我们只有抓住问题的实质，运用适当的方法和工具才能够有效的解决它。