国内审计准则范文篇1

［关键词］计算机审计；信息系统审计准则；isaca；协调机制

近年来，审计署、中国注册会计师协会（中注协）等部门对信息系统审计的开展都极为重视。2011年7月出台的《审计署“十二五”审计工作发展规划》指出，“有步骤、分阶段地推进与重点中央企业信息系统的联网，试点实时审计”，“积极开展信息系统审计”［1］。信息系统审计尽管遵循传统审计程序，但与财务审计有根本的区别，它本质上属于评价性、鉴定性审计。信息系统审计的研究在西方国家较为成熟，在我国的研究与规范则尚处于起步阶段。截至2012年2月，审计署、内审协会出台的有关信息系统审计方面的规范与标准仅2项，即审计署于2010年9月颁布的《中华人民共和国国家审计准则》（第8号令）［2］和内审协会于2008年9月颁布的《内部审计具体准则第28号———信息系统审计》（内审准则第28号）［3］，而中注协至今还尚未颁布关于信息系统审计的规范。我国亟待出台完善的信息系统审计系列标准，以此推进信息系统审计业务的开展。结合近年的研究，本文就信息系统审计的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。

一、计算机审计与信息系统审计

目前，我国出台的计算机辅助审计规范有7项，信息系统审计方面的规范却较少。若要促进信息系统审计准则的建设，区分计算机审计与信息系统审计就十分必要，这将有助于消除我国学术研究中两者混淆不清的情况。日本会计检察院计算机中心认为，计算机审计包括两个方面：一是对计算机系统本身的审计，如系统安装、使用成本，系统和数据、硬件和系统环境的审计；二是计算机辅助审计，包括用计算机手段进行传统审计，用计算机建立一个审计数据库，帮助专业部门进行审计［4］。根据2010年修订的《中华人民共和国审计法实施条例》和2001年的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》，计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面［5］。我国学者李学柔与秦荣生在《国际审计》一书中，对计算机审计的特性表述为：“一是对执行经济业务和会计处理的计算机系统进行审计，即计算机系统作为审计的对象；二是利用计算机辅助审计，即计算机作为审计的工具。”［6］笔者认同上述关于计算机审计内涵的论述，并认为计算机审计向两个方向发展：其一是信息系统审计方向，其二是计算机辅助审计方向。

当前，国内外学者对信息系统审计的界定不尽一致，主流的观点有：ronweber于1999年提出，“信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”［7］；日本通产省情报协会于1996年对信息系统审计的定义是“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导，提出问题与建议的一连串的活动”［7］。信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的，以处理信息流为目的的集成化人机系统。有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。笔者认为，信息系统审计应该是it审计师根据特定的规范，运用科学的信息系统管理方法，对信息系统网络的运行规程与应用政策所实施的一种评价与鉴证活动，旨在增强复杂信息网络的有效性、安全性、机密性与一致性，以此保障信息系统的高效运行。

二、中外信息系统审计准则的发展状况

（一）我国信息系统审计准则的发展情形

在传统审计业务方面我国已经形成了一套相对成熟的规范体系，然而，在信息系统审计理论方面，我国的相关研究几乎是空白［8］，至于对信息系统审计准则系列规定的构建，在我国更是无从谈起。计算机审计包括信息系统审计与计算机辅助审计两方面，截至目前，我国出台的计算机审计规范或准则共计9项，其中，计算机辅助审计方面的规范7项，信息系统审计方面的准则2项，见表1。

表1当前我国已有的计算机审计规范

两项信息系统审计准则中，一项是内审协会于2008年9月颁布的《内部审计具体准则第28号———信息系统审计》（内审准则第28号），另一项是审计署于2010年9月颁布的《中华人民共和国国家审计准则》（第8号令）中的5项具体条款。内审准则第28号总计8章32项条款，该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范，它明确指出，“组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求”［3］。审计署第8号令不是一项专业的信息系统审计准则，而是一项传统审计业务的新规范，但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。仅有的两项信息系统审计准则，前一项条款涉及范围相对全面，但是具体条款过于笼统，后一项所涉及的信息系统审计准则过于零散，难成体系，两项准则无法为我国信息系统审计业务的开展提供具体指导。

（二）国外信息系统审计准则的发展情形

国外有关于信息系统审计准则的发展已经趋于成熟，其中较为典型的有信息系统审计与控制协会（isaca）制定的《信息系统准则体系》与《信息系统和技术控制目标》（cobit），美国审计署制定的《联邦信息系统控制审计手册》（fiscam），国际内部审计协会制定的《基于风险的信息系统控制评价指南》（gait），以及英国、法国、德国与荷兰共同制定的《信息技术安全评估准则》（itsec），这些准则与规范均为多个国家所广泛应用［89］。上述准则与规范中最为典型的应为isaca机构制定的准则体系，该体系框架见表2。isaca是集信息系统控制、管理、审计于一体的专业机构，总部在芝加哥，在全世界160个国家约有95000名会员。isaca的任务包括注册信息系统审计师（cisa）资格认证、制定isa准则、组织cisa资格考试等七项内容。七项内容相互辅助，融为一体，且isa准则的制定以其他六项为有机支撑。表2所阐释的isaca信息系统审计准则体系来源于isaca机构出版的《itstandards，guidelines，andtoolsandtechniquesforauditandassuranceandcontrolprofessionals》［9］。该体系总计330页，将信息系统审计准则分为审计标准、审计指南与作业程序三个部分，其中审计标准表述为s1—s16，规定了审计章程及审计过程所必须达到的基本要求，是cisa的执业行为的基本规范；审计指南表述为g1—g42，明确规范了cisa实施审计业务的具体标准，为cisa如何遵守审计准则提供指引；作业程序的表述为p1—p11，提供了信息系统审计业务的一般步骤，为cisa提供了is审计工作的具体思路。

（二）我国的信息系统审计准则无法满足广泛的社会需求

近年来，复杂的信息系统在我国得到广泛应用，如公安综合网络信息系统、集团信息管理系统等。由于受到特定经济环境以及网状信息系统复杂性等多种不确定因素的影响，信息系统安全问题日趋严重，社会对信息系统审计准则的需求亦日益迫切。如，2006年10月10日中国民航信息网络股份有限公司离港系统主机发生故障，包括北京、上海、广州在内的众多机场的离港系统整体性瘫痪；2009年9月17日，知名券商申银万国交易系统突然瘫痪，其位于全国各地的一百余个营业部均受到影响，近半个小时未能进行证券交易；2010年2月3日，民生银行因信息系统故障，全国范围所有业务无法办理；2011年10月25日，北京东城区39家社区卫生服务站出现信息系统故障，近一周的时间无法为患者提供正常门诊与取药服务。若要解决上述问题，则亟须一套成熟的信息系统审计准则对信息系统进行事前预警、事中控制与事后评价，显然，目前我国仅有的两项准则无法满足社会的需求。信息系统审计准则在我国的需求主要体现在三个方面：一是信息系统内部控制与审计的需求。对此，内审协会需要出台全面的准则与规范，为组织中内部审计人员评价信息系统的安全提供参考标准。二是公共机构中信息系统外部审计的需求。对此，审计署需要出台系列的信息系统审计准则，为政府审计人员提供明确的审计流程与技术方法。三是公共机构之外的组织中信息系统外部审计的需求。对此，中注协需要出台规范的信息系统审计准则，为社会审计人员提供清晰的参照标准与风险控制思路。

（三）我国的信息系统审计准则多方制定主体间缺乏默契的协调机制

政府审计准则、内部审计准则、社会审计准则的出台机构分别为审计署、内审协会与中注协，它们应根据其自身服务范围制定相应的信息系统审计准则。然而，尽管三方均需制定各自的准则，但是由于在信息系统审计的目标、原则、方法与技术方面只是形式的不同，而内容并未有实质差异，因此，审计署、内审协会、中注协有必要就信息系统审计的原则与方法等同质的方面作出统一的规范，然后再根据各自的特点进行修订。多年来，我国信息系统审计准则出台过于零散，其原因之一是审计署、内审协会、中注协各自缺少对外交流机制，且彼此之间缺乏协调机制。一项准则的出台，不仅仅需要制定主体之间相互协调，同时还需要集合制定主体之外的多方相关利益主体。信息系统审计准则所需集合的外部主体主要有信息系统审计师、信息系统管理工程师、信息安全工程师、信息系统项目管理师、学术界以及其他利益相关者。因为信息系统审计准则制定者的理性并非无限的，因而，将各利益主体有机协调于一体，将会尽可能地集合审计学学科、计算机科学学科以及信息安全学学科中理论界与实务界更多人的知识与经验，从而全面提高信息系统审计准则的质量。在我国，尽管信息系统审计并非强制性审计，且耗费人力、财力集合各方主体完善相关准则从目前来看并不会产生更多的社会效益，但是从长远来看，缺少必要的多方互动机制并非明智之举，准则制定者应在引入多方主体的基础上采取听证会等方式，多听反对意见，广纳民意，集中民智。

四、信息系统审计准则体系的构建策略探析

构建并完善信息系统审计准则体系是一项系统工程，它不是简单工作的叠加，而是具体工作的有机整合。我国的信息系统审计准则建设刚刚起步，准则制定主体将面临全新的挑战。在此，笔者希望准则制定主体在信息系统审计准则制定上，尽可能坚持以下三个方向。

（一）合理借鉴国外成熟的信息系统审计准则体系

国外信息系统审计准则体系相对成熟，我国的准则制定机构可以直接引入国外先进的信息系统审计准则研究成果及实践经验，这样不仅可以避免开展重复性工作，而且能快速站于更高的起点。当然，“借鉴”并不意味着“照搬”，准则制定机构在“借鉴”中应关注国际趋同、中国特色和自主创新三点。

1．国际趋同。当前，全球经济一体化趋势要求审计准则也趋向一体化。2010年11月10日，国际审计准则制定机构在与中国审计准则委员会的联合声明中高度评价中国审计准则的国际趋同成果。审计作为一门学科不分国界，大量“吸收”国外成熟的信息系统审计标准，走“国际趋同”道路，将是我国发展审计准则的大势所趋。信息系统审计准则的国际趋同是矛盾的统一体，我国的准则制定机构需要实现“推动趋同的积极因素”与“阻碍趋同的消极因素”二者作用的均衡。

2．中国特色。由于各个国家的国情不尽相同，因而外国成熟的理念不尽适于中国。我国与国外审计文化的差异主要体现于三个层次：其一是物质文化差异，包括审计环境、审计条件等；其二是制度文化差异，包括审计规范、审计机构组织方式等；其三是精神文化差异，包括价值取向、行为方式等［10］。例如，国际政府审计准则由四部分组成，全部具体准则共计191项条款，然而我国政府审计准则共分为六个部分，全部准则共计47项条款［2］。造成国内外差异的原因有诸多方面，其中一个是我国政府审计无论是实践经历还是理论研究都起步较晚。正因如此，我国审计准则的制定与出台均是以实践经历为基础的，是紧紧围绕实践环节作出的程序性规定，在形式上和内容上拘泥于条条框框，难以达到“适度拓展性”与“适时适应性”等理论高度［11］。有鉴于此，我国的准则制定机构在“借鉴”中，需要充分认识国内外审计文化的差异，明确我国审计文化的特色，努力设计出适用于我国的高效的信息系统审计准则体系。

3．自主创新。我国对信息系统审计准则的制定不仅要做到中国特色，还要做到与时俱进并具有前瞻性。为满足上述要求，准则制定机构在借鉴国外的基础上，需要做到基于自身的不断创新。如isaca采用的是会计师事务所的框架，美国审计署采用的是内部控制理论，二者构建的信息系统审计准则体系都主要以内部控制为基础［8］，然而当前我国大部分被审单位的内控体系尚在建设之中。再如，国外有众多有关信息化的法规为isaca等体系做支撑，而我国尚缺［11］。类似问题的解决都有赖于我国信息系统审计准则制定机构的持续创新。为了实现“持续创新”，我国有必要为信息系统审计准则的制定与组织设立专门的机构，加大人力、物力、财力的投入，增强准则制定的必要的动力机制，强化准则制定主体，最大限度地发挥相关机构的创新潜力。（二）全面设计信息系统审计准则的完善方案

信息系统审计准则的制定必须科学规划，建立切合实际的信息系统审计准则制订方案并非无法完成。笔者认为，全面的信息系统审计准则完善方案至少包括四项内容：一是确立准则制定相关主体的多方合作机制。信息系统审计准则制定主体的知识具有有限性，因此制定主体不可能制定出适用于任何情况的最优规范，故准则制定机构需要扩大准则制定主体的代表性，将信息系统审计师、信息安全工程师、软件工程师、资深学者等多方主体纳入准则制定团队，这样一方面可以集思广益，提升准则质量，另一方面可以向利益相关者增设利益诉求的通道，促进其对准则的遵从。二是融合信息技术与安全方面的法规及标准。信息系统审计涉及信息管理等多门学科，仅以传统审计理论演绎信息系统审计理论还远远不够，因此，我国在制定信息系统审计准则过程中，还需要融合信息技术与安全方面的法规与标准，如《中华人民共和国计算机信息系统安全保护条例》、《信息系统通用安全技术要求》、《网络基础安全技术要求》、《操作系统安全技术要求》等都将会对准则制定大有帮助。三是加强与信息系统审计有关的法规与准则的确立。信息系统服务于信息经济，制定信息系统审计准则就应以有关信息经济的法律规范为基础。当前，我国有关电子商务、电子政务的法律体系尚未完全建立，由此导致网上交易的安全问题、电子证据的篡改问题等在法律上难以认定，这些都将促使审计人员在信息系统业务运营的合法性审计工作中无法可循。四是做好与信息系统审计准则建设相配套的其他工作。isaca机构的工作重点包括isaca准则建设等七项内容，且这些内容相互支撑。我国在制定信息系统审计准则的动态过程中，也有必要做好与其相配套的其他工作，以便为准则的制定打下良好的基础。信息系统审计准则制定的配套工作应该包括建立信息系统审计协会并明确会员的权利与义务，大力开展信息系统审计教育与培训等，只有如此，高水平的准则参与团队才能涌现，准则的制定质量与执行效果也才会大幅攀升。

（三）科学建立信息系统审计准则的内容框架

信息系统审计准则取材于审计主体、审计过程、审计方法以及审计风险管理，反过来又对它们加以规范。结合isaca准则，审计署、内审协会、中注协在确定信息系统审计准则体系框架时，有必要将该体系划分为三个层次（见图1）：一是信息系统审计基本准则层次。信息系统审计基本准则是信息系统审计准则的总纲，是审计机构与审计人员进行信息系统审计时应遵循的基本规范，是制定信息系统审计具体准则与信息系统审计指南的依据。信息系统审计基本准则的主要内容应该包括总则、一般准则、作业准则、报告准则、不正当及非法行为、信息系统管理与附则等方面。二是信息系统审计具体准则层次。信息系统审计具体准则是审计机构和人员在进行信息系统审计时评价审计事项与作出审计决定应当遵循的具体规范。信息系统审计具体准则的主要内容应该包括职业道德准则、审计证据准则、审计工作底稿准则、审计报告准则、审计抽样准则、内部控制评价准则、审计结果沟通准则等多个方面。当然，在上述具体准则中需要融入有关信息系统技术与安全的多方面的专业知识，应该列示信息系统风险评估，入侵检测，防火墙、病毒及其他恶意代码、加密技术的管理控制评价等多项审计流程。三是信息系统审计指南层次。信息系统审计指南是为审计机构与审计人员进行信息系统审计提供的具有可操作性的指导意见。由于当前网络经济的迅速发展与日趋复杂，我国出台的信息系统审计指南要尽可能全面细致，未来出台的信息系统审计操作指导性建议至少应该包括应用系统评审、访问控制、系统开发与维护、实物与环境安全、不正当及非法行为、b2b与b2c的电子商务审核、移动计算、系统开发生命周期审核以及虚拟专用网络等各个方面。科学的准则框架能够为信息系统审计准则的需求方（开发主体、用户主体、审计主体）提供规范化、专业化的管理框架，并能够明确它们的定位、权利与职责，笔者期待大家的共同努力。

参考文献：

［1］中华人民共和国审计署．审计署“十二五”审计工作发展规划［r／ol］．（20110701）［20120710］．．

［2］中华人民共和国审计署．中华人民共和国国家审计准则（第8号令）［eb／ol］．（20100901）［20120710］．http：／／www．audit．gov．cn／n1992130／n1992165／n1993676／2601539．html．

［3］中国内部审计协会．内部审计具体准则第28号———信息系统审计［eb／ol］．［20110507］［20120710］．http：／／www．ciia．com．cn／docs／fg＿xg＿nszz／20110507／1304754306534．html．

［4］庄明来．计算机审计与信息系统审计之比较［j］．会计之友，2010（5）：8285．

［5］中华人民共和国审计署．计算机审计［eb／ol］．［20120710］．http：／／www．audit．gov．cn／cysite／docpage／c340／200301／0109＿340＿670．htm．

［6］李学柔，秦荣生．国际审计［m］．北京：中国时代经济出版社，2002．

［7］王会金，刘国城．中观经济主体信息系统审计的理论分析及实施路径探索［j］．审计与经济研究，2009（5）：2731．

［8］李春青，周座．“国外引进”还是“自主发展”？———对我国政府信息系统审计发展途径的探讨［j］．南京审计学院学报，2012（1）：5157．

［9］isaca．aboutisaca［eb／ol］．［201207

10］．．

国内审计准则范文

审计法制是审计工作的重要环境

但是，必须看到，我国审计法制体系还有待进一步完善。《审计署2003至2007年审计工作发展规划》指出，“基本实现审计工作法制化、规范化，科学化”是今后五年我国审计工作的总体目标之一。从目前来看，我们离法制化的要求还很远。我们理解，所谓审计工作法制化就是全部审计工作包括国家审计、民间审计和内部审计工作都有法有规可依，三种审计制度既有各自成体系的法律法规或制度，又有相互联系和协调的纽带，使它们成为严密的法制系统。建立了这样的法制环境，审计工作的规范化和科学化就有了可靠的保证，审计的监督和制约作用才能得到充分发挥。应该指出的是，在法律环境中，审计法是最重要的法律，它规定着一国的审计体制、审计目标、审计范围和内容、审计职责和权限以及审计的法律责任等，这些内容又直接影响审计的监督和制衡作用的发挥。

我国审计法制体系的初步框架

所谓法制化，简单来说，就是由一系列法律、法规或制度组成的规范某一事物运作的法制体系，用系统论的观点来看，它是一个完整的由若干层次组成的系统。根据这个概念，我国审计法制体系的初步框架应该是：以《宪法》为核心、以《中华人民共和国审计法》为母法、以《注册会计师法》和《内部审计法》为骨干（子法）、以政府审计准则、独立审计准则和内部审计准则为行业操作规章的系统。很显然，在这个系统中，《宪法》处于第一层次，《中华人民共和国审计法》处于第二层次，《政府审计法》、《注册会计师法》和《内部审计法》并列为第三层次，政府审计准则、独立审计准则和内部审计准则为第四层次。各层次之间是顺次制约的关系。前三个层次的法律应该有一定的超前性和稳定性，不宜经常修改，后一个层次即第四层次的“准则”则可以根据形势发展和业务需要随时进行修改和补充。在我国实务中，还有一种比较特殊的部门规章，即平时称为单项性法规的规章，例如审计署或国家有关部门平时的有关审计工作文件，如《审计署2003至2007年审计工作发展规划》、《审计署关于内部审计工作的规定》、中央两办的《领导干部（人员）任期经济责任审计的规定》等红头文件。总的看，这些单项性法规是为了解决某一具体问题或特殊问题而制定的规定，它们之间不具有系统性和连贯性，与上述四个层次的法律法规也没有必然的联系，但是它们也是审计法制体系的一部分，而不能将其排除在外，我们认为可以将它们列为与第四个层次平行的法规。

这样一来，三种不同的审计制度就有了各自的法律法规子系统。如政府审计方面，有《宪法》《中华人民共和国审计法》《政府审计法》政府审计准则（按2000年审计署第一号令的规定它包括基本准则、通用审计准则和专业审计准则、审计指南三个层次）和单项性法规；在内部审计方面，则有《宪法》《中华人民共和国审计法》《内部审计法》内部审计准则（包括基本准则、具体准则和实务指南三个层次）和行业规定；在民间审计方面，则有《宪法》《中华人民共和国审计法》《注册会计师法》独立审计准则（包括基本准则、具体准则和实务公告三个层次）和行业规定。很显然在三个子系统中《宪法》和《中华人民共和国审计法》是三个子系统共有的法律，这样，三种不同的审计制度既有第三、四两个层次各自的法制体系又共同受第一、二两个层次的法律制约，从而组成了规范我国各项审计工作完整的法制体系。

根据上面这个（理想）框架联系目前情况有以下几点需要说明：

1.关于《中华人民共和国审计法》

按照上面的设想，我们主张我国审计法制体系中应该制定《中华人民共和国审计法》，并且将其定位为我国审计工作的“总”法律即母法。这里需要说明两个问题：第一，是否需要这样一个“总”法律？第二，如果需要，它的主要内容是什么？

关于第一个问题，我们认为是需要的。但是学术界几年前有一种看法，他们认为在国外，政府审计、民间审计和内部审计是三种自成体系各自独立的审计制度，不存在包括这三种审计制度的“大”审计体系。我们认为，从系统论的观点看，既然政府审计、民间审计和内部审计都是审计，它们就共同组成一个大系统，三种审计制度只不过是这个大系统中的子系统而已。如果这个观点成立的话，制定一部能统驭《政府审计法》、《注册会计师法》和《内部审计法》三部法律的母法则还是必要的。当然，如果从减少法律的层次出发，也可以不制定这个母法，而直接制定《政府审计法》、《注册会计师法》和《内部审计法》。这样更能说明我国审计法制的系统性和严密性。关于第二个问题——这部母法的主要内容。既然它是统驭三种审计制度的母法，其主要内容可考虑包括：总则部分，说明制定目的和依据、适用范围、审计人员的职业操守等；政府审计部分；民间审计（或注册会计师审计，建议不再使用社会审计的提法）部分；内部审计部分；法律责任及附则。由于它是母法，有关规定应该原则一些、超前一些，重在规定三种审计制度的审计目标、范围和主要内容，而职责、权限方面的内容可留在下位法《政府审计法》、《注册会计师法》和《内部审计法》中规定。

2、关于《政府审计法》和国家审计准则

3、关于《内部审计法》

4、关于《注册会计师法》

我国现行《注册会计师法》是十年前制定实施的，业内人士早几年前就提出修改意见了。现在的问题是如何改。总的看，要吸取近几年国际国内会计造假、审计失信的教训，集中解决审计师的独立性和诚信问题，以及事务所的内部质量控制问题。

5、关于审计法律法规与其他法律的协调

在建立我国审计法制体系时，要充分注意与其他法律的协调，主要是《审计法》与《会计法》、《公司法》、《证券法》、《银行法》、《税法》、《预算法》、《破产法》等法律的协调。最典型的是，目前我国《公司法》、《证券法》中尚未规定公司应当实行内部审计制度的条款，这显然与建立现代企业制度的精神不符，目前许多上市公司没有建立健全内部审计机构和审计委员会，不能不说与此有关。

「参考文献

1、《中华人民共和国审计法》

2、徐瑞康等，《世界各国审计》，中国财政经济出版1993

3、邹传华译，“以色列内部审计法简介”，《审计研究》1999.1

国内审计准则范文

综述

PCAOB多次强调有效的内部控制结构的重要性。委员会还特别说明，“有效的财务会计报告内部控制对公司管理其事务，尽到其对投资者的责任至关重要。公司管理当局、公司所有者-投资公众-和其他相关方都需依赖公司呈报的财务信息来制定决策。”

委员会在其宣布采用第二号准则的公告中还指明，财务会计报告内部控制的审计是一个牵涉面很广的程序，维持有效内部控制，包括定期评估都是有成本的。然而委员会强调开发、维护和提高内部控制系统所带来的利益是多样的，同时，“主要的利益……是给公司、公司管理当局、董事会和审计委员会、所有者和其他利益关联方提供了一个财务会计报告的可靠基础。”与准则草案相比，新准则在成本效益原则方面迈进了一大步。

管理当局的责任

准则指出了审计师执行一项符合要求的内部控制审计的必要条件。正如SEC在实施萨班斯法案404节的规定中所要求的，管理当局必须：

-对公司财务会计报告内部控制的有效性负责；

-使用适当的控制标准（如COSO标准），评价公司财务会计报告内部控制的有效性；

-提供足够的证据，包括记录编制来支持评价，以及

-在公司最近的财年末，就公司财务会计报告内部控制的有效性出具书面评价。

审计师如果得出管理当局没有履行上面提到的责任，不能完成对内部控制的审计，就应当拒绝表示意见。

管理当局的评价程序

一个严格的内部控制有效性的评价程序应该提供信息帮助审计师理解公司的内部控制以及规划完成内部控制审计的必要工作。根据第二号准则的条款，管理当局评价内部控制有效性的程序应包括：

-确定需要测试的控制措施，包括所有与主要账户和财务报表披露相关的控制措施；

-评价控制失败导致财务报表错报的可能性、错报的重要程度、以及其它控制措施可能达成相同控制目标的程度；

-决定评价中应包括的特定地区或经营单位（适用于那些多场所或经营单位的公司）；

-评价控制措施的设计和实施有效性；

-确定已识别的内部控制的缺失是否构成了重要缺失或实质性薄弱；

-将发现传达给相关方；

-对发现是否支持其评价进行评估。

有一点需要指出的是，管理当局不能使用审计师的程序或相关发现来支持其对内部控制有效性的评价。

管理当局的记录编制

管理当局所编制财务会计报告内部控制记录的深度和广度是管理当局、审计师和内部控制顾问需要深思熟虑的一个日常主题。全面且清晰的记录编制有利于管理当局对内部控制进行有效的评价和评估，同时为审计师发起审计程序提供一个坚实的平台。在确定管理当局的记录编制是否支持其评价时，审计师应评估记录编制的，包括：

-控制措施的设计，这些控制措施应覆盖所有与关键性账目和财务报表披露相关的管理当局声明；

-关于重要交易如何发起、授权、记录、处理和报告的信息；

-关于交易过程的足够充分的信息，足够充分指的是能够识别因错误或欺诈导致的实质性错报的发生；

-为预防和侦查欺诈而设计的控制措施；

-期末会计报告过程的控制措施；

-资产保全的控制措施；以及

-管理当局测试和评估的结果；

二号准则指出，管理当局的记录编制可以是纸质、格式或其它形式；记录编制的信息也可以是多样的，包括政策指南、流程模型、流程图、职位描述等。准则没有提供客观的来确定管理当局记录编制的充分性。但需要注意的是，记录编制的缺乏被认为是控制措施的缺失，审计师应就其严重程度和对审计师报告的可能进行讨论。

通过实际演练理解控制措施

二号准则要求审计师询问、观察执行控制措施的员工，检查实施控制措施的文档或实施后的文档记录，并且将这些文档与会计记录进行比较。通过这些方式审计师能够理解公司财务会计报告的内部控制。准则还进一步指出，“审计师达成这一目标最有效的方式就是对公司的关键流程进行实际演练。”

在实际演练中，审计师可以从发起点跟踪交易和事项直到财务报表，这个过程就包括公司的会计程序。准则要求审计师每年必须就每一关键交易类别执行至少一次实际演练，审计师应独立完成此项演练。准则中定义的关键交易类为那些能够给公司财务报表带来显著影响的业务。准则指出实体的期末财务报告程序就是一个关键性程序。

评价审计委员会监管的有效性

准则也强调了审计委员会在帮助制定“高层基调”时所起的关键性作用。审计师应评价发行人审计委员会的有效性，作为其对控制环境和内部控制的理解和评价的一个组成部分。审计委员会对外部财务会计报告和内部控制无效/低效的监管被认为是一个明显的缺失或内部控制实质性薄弱的标示。另外，准则要求将审计委员会监管无效的实例直接呈报给公司的董事会。

影响审计委员会监管有效性的因素包括管理当局成员的独立性，委员会责任的清晰表述，管理当局和审计委员会对责任的理解程度以及独立审计师和内部审计师的交流程度。

测试操作有效性

准则要求审计师获得控制措施关于操作有效性的证据。为了遵守准则的规定，审计师就需要测试这些控制措施的操作有效性。

在确定一项控制措施是否具备操作有效性时，审计师不仅应评价控制措施是否依照设计操作，还应该评价执行控制措施的个人具备必要的授权和资格。另外，在第二号准则下，审计师应在足够长的时期里获取控制有效性的证据。期间执行的任何测试都应及时更新以确保所测试的控制措施在年末仍然具备操作有效性。

利用他人的工作

发行人和审计师最为关注的另一个领域是审计师被允许使用他人工作的程度。在这点上，二号准则与准则草案保持了一致，准则要求在总体上，审计师自身的工作应为审计意见提供首要证据。准则定义的其他方工作包括内部审计师、公司其他个人和在管理当局或审计委员会授权下的第三方的工作。

准则指出，审计师不应使用其他人的工作来测试与控制环境相关的控制措施，包括为了预防和侦查欺诈制定的控制措施和应执行的实际演练。但准则允许审计师使用其他方提供的信息技术一般性控制措施和期末财务报告程序的相关控制措施。而在准则草案中则要求这些方面的审计工作均要由审计师执行。

准则草案中定义了三类控制措施和审计师被允许使用其他方工作来形成结论的程度。而第二号准则以一个概念框架取而代之。这一框架重点在于控制措施的性质和执行程序个人的能力和客观性。二号准则明确指出，如果管理当局在测试操作有效性时使用自我评价程序，则执行评价的个人不应视为客观，因此，独立审计师不能使用其工作。

评估测试结果

准则要求审计师评价所识别的控制措施缺失的严重程度，这点与准则草案保持了一致。实际上，在2003年10月准则草案以来，委员会就何谓“显著的缺失”展开了多次讨论。委员会指出，在反对草案“显著缺失”之定义的反馈意见中，多数认为该定义的起点过低，如果依照草案规定，大多数内部控制的缺失将被确认为“显著的缺失”。

二号准则保留了草案中对“显著缺失”和实质性薄弱的定义。在解释其定义这些项目的用意时，委员会指出，控制的缺失不应被孤立地评价，特定缺失的严重程度应同时考虑补救措施的。准则在一定程度上回应了草案的反馈意见，但在确定构成“显著缺失”或实质性薄弱的控制缺失时还需要职业判断。

依照二号准则的规定，以下方面的缺失通常被认为是“显著的缺失”：

-对政策选择和的控制措施；

-反欺诈程序和控制措施；

-对非常规和非系统化交易的控制措施；

-对期末财务会计报告程序的控制措施；

另外，以下情况属于“显著缺失”以及实质性薄弱存在的明显标示：

-为纠正错报项目，对以前所财务报表进行重述；

-审计师在当年审计中发现公司没有识别的实质性错报；

-审计委员会的监管无效；

-内部审计或风险评估机制的无效，如果这些职能对于公司财务会计报告程序非常关键的话；

-在受监管程度较高的公司，遵守法规的机制的无效。这一项只适用于守法机制的无效给财务会计报告的可靠性带来实质性影响的情况；

-发现任何程度上的高层管理人员的欺诈；

-以前所发现的缺失在一段合理的时间后仍然没有被纠正；

-控制环境的无效；

控制缺失与审计师意见

准则要求审计师在对财务会计报告内部控制执行审计后两类意见，一、关于管理当局的评价；二、关于内部控制的有效性。在这一方面准则与草案有别。准则提供了实例来解释两类意见的区别。

当发现财务会计报告内部控制的实质性薄弱时，准则要求审计师出具控制有效性的否定意见。

生效日期

如前所述，二号准则将在美国证券交易委员会（SEC）的最后审批后生效。审计师随后应依照准则审计上市公司管理当局就财务会计报告内部控制有效性出具的评价。SEC近期推迟了对交易法12b-2下所定义“加速备案公司”的内部控制有效性评价要求。原定的6月15日被推迟到2004年11月15日。非“加速备案公司”，包括小企业和外国企业将在2004年7月15日后开始应用相关规定。