內(nèi)部控制是企業(yè)管理現(xiàn)代化的產(chǎn)物，是企業(yè)管理層為實現(xiàn)經(jīng)營目標而設計的自律系統(tǒng)，更是預防和降低企業(yè)風險的利器。加強和改善公司內(nèi)部控制狀況，建立和完善公司內(nèi)控體系，可以保護企業(yè)資產(chǎn)的安全和完整，保證會計及其它信息資料的真實可靠，有利于實現(xiàn)企業(yè)的經(jīng)營方針和經(jīng)營目標，提高業(yè)務處理的工作效率，有利于實現(xiàn)國家對企業(yè)的宏觀控制等方面的作用。信息系統(tǒng)審計通過專業(yè)的第三方咨詢機構幫助企業(yè)發(fā)現(xiàn)公司內(nèi)控體系的不足，提出加強企業(yè)IT治理的合理化建議，提高完善企業(yè)的內(nèi)部控制體系�！　∈紫�，確保IT能夠支撐和拓展公司的戰(zhàn)略和目標。企業(yè)的信息化建設是為公司的戰(zhàn)略和業(yè)務發(fā)展服務的，通過對企業(yè)信息系統(tǒng)情況的審計，確定公司信息化對公司整體戰(zhàn)略的支持程度、IT戰(zhàn)略和公司總體戰(zhàn)略的匹配程度、對公司業(yè)務發(fā)展的支持程度、對企業(yè)內(nèi)部組織流程和業(yè)務流程所產(chǎn)生的影響、能否促進企業(yè)業(yè)務系統(tǒng)效率的提高等。通過審計發(fā)現(xiàn)企業(yè)信息化存在的問題，確保IT與業(yè)務目標的一致性，推動業(yè)務發(fā)展，促使收益最大化，使組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進行，最終實現(xiàn)企業(yè)的總體戰(zhàn)略目標�！　∑浯危�借鑒公認的模型工具更全面和精細的管控企業(yè)的整個運營過程。當前國際上關于信息系統(tǒng)審計的模型雖然還沒有一個比較通用的標準，但各種不同的信息化評估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項目管理以及平衡記分卡等工具模型的精髓，因此，其評估模型的周衍性、權威性和合理性也得到了保證。其中，COBIT模型目前已成為國際上公認的IT管理與控制標準，其次和IT治理的相關管理標準還有ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項目管理、信息系統(tǒng)工程監(jiān)理等。其中COBIT覆蓋整個信息系統(tǒng)的全部生命周期，其范圍最大；ISO/IEC17799這套管理標準更側重IT應用過程的信息安全；ITIL這套標準優(yōu)勢是在運營維護階段；信息工程監(jiān)理則是最具有中國特色的標準，它能夠通過專業(yè)的、全過程的監(jiān)督和管理來規(guī)范企業(yè)信息化工程的建設，達到增強企業(yè)對信息化工程建設內(nèi)部控制的目的，其偏重于信息化建設階段。這幾種可以一起整合實施，來達到提升公司IT內(nèi)控能力的目的�！　�對企業(yè)來說，改善其內(nèi)部控制水平，就是借助這些大家公認的模型，通過設計、實施、維護和監(jiān)控內(nèi)部控制和風險管理體系，尤其是對IT 的控制，發(fā)現(xiàn)自身存在的不足，幫助企業(yè)建立起完善和細化相關的流程和制度，以確保公司所有業(yè)務策略、規(guī)程和業(yè)務流程都在自己的掌握之中，并且在合法合規(guī)的軌道上運行�！　∽詈�，通過對企業(yè)信息系統(tǒng)審計來規(guī)避企業(yè)內(nèi)部存在的風險。作為企業(yè)提升自身的內(nèi)部控制能力，就是要對風險進行更有效的控制。信息系統(tǒng)審計能夠對信息系統(tǒng)的應用狀況和綜合績效狀況進行全面的評估，因此，信息系統(tǒng)審計所包含的內(nèi)容要大于信息系統(tǒng)治理所涵蓋的內(nèi)容�！　∮捎谛畔⑾到y(tǒng)審計所包括的范圍非常的廣泛和全面，如果我們只是想借助其促進企業(yè)內(nèi)控水平的提升，那么我們應該加強其有關信息化風險控制方面的指標，適當弱化和刪除其他方面的指標，以此來達到應用的目的�！　∮捎谛畔⑾到y(tǒng)審計本身更強調(diào)評估，是客觀、真實地反映企業(yè)信息化當前的狀況，暴露出其中存在的問題。如何更好的去解決這些問題，如何更有效的規(guī)避風險還是要靠人自身來想辦法解決，則是我們審計人員下一步的著眼點。當然，任何一種方法或工具都不是萬能的，有它的優(yōu)勢和局限性，我們只有抓住問題的實質(zhì)，運用適當?shù)姆椒ê凸ぞ卟拍軌蛴行У慕鉀Q它。