記錄和描述信息系統(tǒng)內(nèi)部控制制度的方法有三種：

 

　　1、書面說明法

 

　　書面說明法是將調(diào)查得到的內(nèi)部控制制度記錄下來，并用文字詳細(xì)敘述的方法。運(yùn)用這種方法時，審計人員往往是按著主要經(jīng)濟(jì)業(yè)務(wù)的運(yùn)行順序，或每一經(jīng)濟(jì)活動的流程環(huán)節(jié)向有關(guān)人員一一詢問并予以記錄，最后整理結(jié)合，形成文字說明材料。書面說明法的優(yōu)點(diǎn)是可以根據(jù)實(shí)際情況靈活地選擇內(nèi)容，并且能做出較深入和具體的描述。但這種方法也有局限性，針對經(jīng)濟(jì)業(yè)務(wù)復(fù)雜、經(jīng)濟(jì)活動環(huán)節(jié)較多的企業(yè)，用書面說明難免冗長。

 

　　2、調(diào)查表法

 

　　調(diào)查表法是指審計人員將那些與保證信息的正確性和可靠性以及保證資產(chǎn)的完整性有密切關(guān)系的事項(xiàng)列作調(diào)查對象，設(shè)計成標(biāo)準(zhǔn)化的調(diào)查表，交由企業(yè)有關(guān)人員填寫，再由審計人員收集調(diào)查結(jié)果，統(tǒng)一將問題歸納整理。調(diào)查表的優(yōu)點(diǎn)是調(diào)查范圍明確，省時省力，可以提高評審工作效率；審計人員通過調(diào)查表可以抓住企業(yè)內(nèi)部控制中的強(qiáng)點(diǎn)和薄弱環(huán)節(jié)。但這種方法也有局限性，如果調(diào)查表的問題設(shè)置不當(dāng)，就不能客觀全面地反映內(nèi)部控制制度的情況。

 

　　3、流程圖法

 

　　流程圖是指用特定的符號和圖形來描述某項(xiàng)業(yè)務(wù)的整個處理過程，用圖解的形式將主要經(jīng)營環(huán)節(jié)和憑證，記錄傳遞關(guān)系直觀地表達(dá)出來的一種方法。流程圖的優(yōu)點(diǎn)是，可以把文字?jǐn)⑹鰷p少到最低程度，形象直觀，能幫助審計人員較快地發(fā)現(xiàn)控制系統(tǒng)的薄弱環(huán)節(jié)。其缺點(diǎn)是，繪制流程圖技術(shù)不過關(guān)，就不能準(zhǔn)確地反映被審單位的內(nèi)部控制制度，就會影響審計工作質(zhì)量。

 

　　（二）對內(nèi)部控制進(jìn)行初步評價

 

　　審計人員在完成內(nèi)部控制制度的描述之后，通過與被審單位相關(guān)人員座談和實(shí)地觀察，了解硬件配置、軟件運(yùn)行及維護(hù)、相關(guān)人員操作經(jīng)驗(yàn)等計算機(jī)信息系統(tǒng)使用環(huán)境，并根據(jù)取得的資料對被審單位的內(nèi)部控制制度進(jìn)行評價。

 

　　1、評價內(nèi)部控制的健全性。

 

　　評價內(nèi)部控制的健全性既要從總體的一般控制來評價，又要從具體的應(yīng)用控制來評價。一般控制是信息系統(tǒng)有可能安全、可靠地運(yùn)行和處理的前提。如果沒有恰當(dāng)?shù)目刂骗h(huán)境，沒有強(qiáng)有利的制度保證，不管系統(tǒng)設(shè)計的如何好，程序和數(shù)據(jù)也會被篡改，整個系統(tǒng)的安全就沒有保證。因此，一般控制如有缺陷，將對整個信息系統(tǒng)產(chǎn)生普遍的影響，即使應(yīng)用控制很強(qiáng)，也難以發(fā)揮其功能。同樣，如果應(yīng)用控制有缺陷，則會直接影響到數(shù)據(jù)輸入、處理和輸出的正確性。

 

　　2、評價內(nèi)部控制的合理性。

 

　　評價信息系統(tǒng)內(nèi)部控制的合理性，主要考慮的布局是否合理，有沒有不必要的控制，評價時要特別注意信息系統(tǒng)應(yīng)用控制中的程序化控制。

 

　　（三）對內(nèi)部控制的執(zhí)行情況進(jìn)行符合性測試

 

　　即使再健全的內(nèi)部控制，在實(shí)際業(yè)務(wù)處理過程中也不一定被認(rèn)真執(zhí)行，因此，應(yīng)檢查被審單位內(nèi)部控制過程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災(zāi)難恢復(fù)記錄等，并對其實(shí)際執(zhí)行情況還要進(jìn)行符合性測試。

 

　　符合性測試的幾種方法：

 

　　1、檢查證據(jù)法

 

　　審計人員通過對有關(guān)會計資料和文件的審查，來確定內(nèi)部控制制度是否被遵循以及遵循的程度。

 

　　2、重新測試法

 

　　審計人員選擇某一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)，按照內(nèi)部控制制度規(guī)定的業(yè)務(wù)處理程序重新實(shí)做一遍，來審查被審單位進(jìn)行的業(yè)務(wù)處理程序是否達(dá)到理想的效果。

 

　　3、實(shí)地觀察法

 

　　審計人員到業(yè)務(wù)處理現(xiàn)場實(shí)地觀察，來考核內(nèi)部控制的執(zhí)行是否良好。

 

　?。ㄋ模┨岢鰞?nèi)部控制測評結(jié)果

 

　　在實(shí)施完對信息系統(tǒng)內(nèi)部控制評審后，審計人員要對內(nèi)部控制作出評價，以確定內(nèi)部控制是否真正發(fā)揮作用。如果認(rèn)為內(nèi)部控制沒有得到執(zhí)行，或執(zhí)行表明內(nèi)部控制存在重大隱患，此時，審計人員應(yīng)提出評審中是否依賴已有的控制。

 

　　另外，審計人員應(yīng)當(dāng)提出一個概括反映信息系統(tǒng)內(nèi)部控制弱點(diǎn)的屬性和程度的總結(jié)報告，并將報告列入審計底稿。對報告可以從以下三個方面加以利用：一是確定實(shí)質(zhì)性審計的范圍、重點(diǎn)和措施。二是將信息系統(tǒng)的控制弱點(diǎn)納入審計意見，以便其改進(jìn)工作。三是為確定具體使用何種計算機(jī)輔助審計技術(shù)提供依據(jù)。

 

　　由此可見，對信息系統(tǒng)內(nèi)部控制的評審則涉及到審計學(xué)、信息技術(shù)、企業(yè)管理、項(xiàng)目管理、服務(wù)管理、信息安全學(xué)等跨學(xué)科的知識領(lǐng)域，要求第三方咨詢機(jī)構(gòu)的審計人員素質(zhì)很高，且國內(nèi)尚無完整的標(biāo)準(zhǔn)規(guī)范可以遵循，這也是我們下一步亟待解決的問題之一。