在信息系統(tǒng)環(huán)境下，對企業(yè)信息系統(tǒng)內(nèi)部控制情況進(jìn)行測評，需要對內(nèi)部控制進(jìn)行調(diào)查了解、初步評價，評估控制風(fēng)險、并對其執(zhí)行情況進(jìn)行符合性測試，最終提出內(nèi)部控制測評結(jié)果，并利用測評結(jié)果確定實質(zhì)性測試的范圍、重點和方法。針對測評過程中發(fā)現(xiàn)存在的不足，幫助企業(yè)建立起完善和細(xì)化相關(guān)的流程和制度，以確保公司所有業(yè)務(wù)策略、規(guī)程和業(yè)務(wù)流程都在自己的掌握之中，并且在合法合規(guī)的軌道上運行�！　∫�、對內(nèi)部控制情況進(jìn)行調(diào)查了解　　調(diào)閱被審單位關(guān)于計算機(jī)信息系統(tǒng)的各項管理制度和相關(guān)文件，對內(nèi)部控制的健全性和合理性初步了解。審計人員在記錄和描述信息系統(tǒng)內(nèi)部控制制度時可運用的方法很多，一般常見的有以下三種，審計人員可視具體情況而定：　　一是運用書面說明法將調(diào)查得到的內(nèi)部控制制度記錄下來，并用文字詳細(xì)敘述的方法。運用這種方法時，審計人員往往是按著主要經(jīng)濟(jì)業(yè)務(wù)的運行順序，或每一經(jīng)濟(jì)活動的流程環(huán)節(jié)向有關(guān)人員一一詢問并予以記錄，最后整理結(jié)合，形成文字說明材料。書面說明法的優(yōu)點是可以根據(jù)實際情況靈活地選擇內(nèi)容，并且能做出較深入和具體的描述。但這種方法也有局限性，針對經(jīng)濟(jì)業(yè)務(wù)復(fù)雜、經(jīng)濟(jì)活動環(huán)節(jié)較多的企業(yè)，用書面說明難免冗長。　　二是用調(diào)查表將那些與保證信息的正確性和可靠性以及保證資產(chǎn)的完整性有密切關(guān)系的事項列作調(diào)查對象，設(shè)計成標(biāo)準(zhǔn)化的調(diào)查表，交由企業(yè)有關(guān)人員填寫，再由審計人員收集調(diào)查結(jié)果，統(tǒng)一將問題歸納整理。調(diào)查表的優(yōu)點是調(diào)查范圍明確，省時省力，可以提高評審工作效率；審計人員通過調(diào)查表可以抓住企業(yè)內(nèi)部控制中的強(qiáng)點和薄弱環(huán)節(jié)。但這種方法也有局限性，如果調(diào)查表的問題設(shè)置不當(dāng)，就不能客觀全面地反映內(nèi)部控制制度的情況。　　三是流程圖法是指用特定的符號和圖形來描述某項業(yè)務(wù)的整個處理過程，用圖解的形式將主要經(jīng)營環(huán)節(jié)和憑證，記錄傳遞關(guān)系直觀地表達(dá)出來的一種方法。流程圖的優(yōu)點是，可以把文字?jǐn)⑹鰷p少到最低程度，形象直觀，能幫助審計人員較快地發(fā)現(xiàn)控制系統(tǒng)的薄弱環(huán)節(jié)。其缺點是，繪制流程圖技術(shù)不過關(guān)，就不能準(zhǔn)確地反映被審單位的內(nèi)部控制制度，就會影響審計工作質(zhì)量。　　二、對內(nèi)部控制進(jìn)行初步評價　　審計人員在完成內(nèi)部控制制度的描述之后，通過與被審單位相關(guān)人員座談和實地觀察，了解硬件配置、軟件運行及維護(hù)、相關(guān)人員操作經(jīng)驗等計算機(jī)信息系統(tǒng)使用環(huán)境，并根據(jù)取得的資料對被審單位的內(nèi)部控制制度進(jìn)行評價。　　一是評價內(nèi)部控制的健全性。評價內(nèi)部控制的健全性既要從總體的一般控制來評價，又要從具體的應(yīng)用控制來評價。一般控制是信息系統(tǒng)有可能安全、可靠地運行和處理的前提。如果沒有恰當(dāng)?shù)目刂骗h(huán)境，沒有強(qiáng)有利的制度保證，不管系統(tǒng)設(shè)計的如何好，程序和數(shù)據(jù)也會被篡改，整個系統(tǒng)的安全就沒有保證。因此，一般控制如有缺陷，將對整個信息系統(tǒng)產(chǎn)生普遍的影響，即使應(yīng)用控制很強(qiáng)，也難以發(fā)揮其功能。同樣，如果應(yīng)用控制有缺陷，則會直接影響到數(shù)據(jù)輸入、處理和輸出的正確性。　　二是評價內(nèi)部控制的合理性。評價信息系統(tǒng)內(nèi)部控制的合理性，主要考慮的布局是否合理，有沒有不必要的控制，評價時要特別注意信息系統(tǒng)應(yīng)用控制中的程序化控制�！　∪�、對內(nèi)部控制的執(zhí)行情況進(jìn)行符合性測試　　健全的內(nèi)部控制制度在實際業(yè)務(wù)處理過程中不一定得到充分執(zhí)行，因此，應(yīng)檢查被審計單位內(nèi)部控制過程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災(zāi)難恢復(fù)記錄等，并對其實際執(zhí)行情況還要進(jìn)行符合性測試�？刹捎靡韵路椒ㄟM(jìn)行符合性測試：　　一是檢查證據(jù)法。審計人員通過對有關(guān)會計資料和文件的審查，來確定內(nèi)部控制制度是否被遵循以及遵循的程度�！　《�是重新測試法。審計人員選擇某一項經(jīng)濟(jì)業(yè)務(wù)，按照內(nèi)部控制制度規(guī)定的業(yè)務(wù)處理程序重新實做一遍，來審查被審單位進(jìn)行的業(yè)務(wù)處理程序是否達(dá)到理想的效果。　　三是實地觀察法。審計人員到業(yè)務(wù)處理現(xiàn)場實地觀察，來考核內(nèi)部控制的執(zhí)行是否良好。　　四、提出內(nèi)部控制測評結(jié)果　　在實施完對信息系統(tǒng)內(nèi)部控制評審后，審計人員要對內(nèi)部控制作出評價，以確定內(nèi)部控制是否真正發(fā)揮作用。如果認(rèn)為內(nèi)部控制沒有得到執(zhí)行，或執(zhí)行表明內(nèi)部控制存在重大隱患，那么審計人員應(yīng)提出評審中是否依賴已有的控制。　　另外，審計人員應(yīng)當(dāng)提出一個概括反映信息系統(tǒng)內(nèi)部控制弱點的屬性和程度的總結(jié)報告，并將報告列入審計底稿。對報告可以從以下三個方面加以利用：一是確定實質(zhì)性審計的范圍、重點和措施。二是將信息系統(tǒng)的控制弱點納入審計意見，以便其改進(jìn)工作。三是為確定具體使用何種計算機(jī)輔助審計技術(shù)提供依據(jù)。　　由此可見，對信息系統(tǒng)內(nèi)部控制的評審涉及到審計學(xué)、信息技術(shù)、企業(yè)管理、項目管理、服務(wù)管理、信息安全學(xué)等多學(xué)科的知識，要求審計人員具有廣闊的知識領(lǐng)域和較高的素質(zhì)，且目前尚無完整的標(biāo)準(zhǔn)規(guī)范可以遵循，這都是我們下一步努力的方向和亟待解決的問題。