企业信息系统内部控制评审方法的选定

《审查机关内部控制测评准则》第五条规定，审查人员进行内部控制测评分为下列四个步骤：一是对内部控制进行调查了解；二是对内部控制进行初步评价，评价控制风险；三是对内部控制的执行情况进行符合性测试；四是提出内部控制测评结果，并利用测评结果确定实质性测试的性质、范围、重点和方法。

1.在信息系统环境下，审查人员对信息系统的内部控制评审可以通过下列方法实现

（1）调阅被审查单位的关于计算机信息系统的各项管理制度和相关文件，对内部控制的健全性和合理性初步了解。

（2）通过与被审查单位相关人员座谈和实地观察，了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境。

（3）检查被审查单位内部控制过程中形成的文件和记录，包括各种操作日志、软件修改记录、灾难恢复记录等。

（4）实行白箱法（通过计算机）对计算机系统应用控制的输入控制、处理控制和输出控制进行测试。

其中方法（1）—（3）适用于对信息系统内部控制的一般控制进行评审。审查人员也可以将上述有关内容设计成调查问卷，交由被审查单位据实填写，再进行检查核实，完成测评工作。而方法（4）请关注以下具体分析。

2.白箱法测试

白箱法测试也称结构测试或逻辑驱动测试，其方法依赖于审查人员对被测应用程序的内部逻辑的深刻理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审查单位应用软件内部每种操作是否符合要求。

下面我们对现有的白箱法进行逐一介绍：

（1）检测数据法。

是指审查人员用一批预先设计好的检测数据（包括正常的、有效的业务和不正常的、无效的业务数据），利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当。主要适用于下列三种情况：被审系统的关键控制建立在计算机程序中；被审系统的可见审查轨迹有缺陷；难以由输入直接跟踪到输出。

（2）授控处理法。

是指审查人员通过被审程序对被审查单位实际业务的处理进行监控，查明被审程序的处理和控制功能是否恰当有效。如审查人员可通过检查输入错误的更正与重新输入的过程，判别被审程序输入控制的有效性；通过检查错误清单和输出打印结果来判断被审程序处理控制和功能的可靠性；通过核实对输出与输入来判别输出控制的可靠性。这种方法技术简单、省时省力，不需要较高的计算机知识，但审查人员首先要对输入的数据进行查验，并建立审查控制，然后亲自处理或监督处理这些数据。

（3）平行模拟法。

是指审查人员从外部获取一份与被审程序副本或利用通用审查软件建立与被审程序相同处理和控制功能的模拟程序（模拟程序通常没有它所模拟的原始程序那么复杂，只包括与具体审查目标有关的程序处理、计算和控制），来处理当前的实际数据，把处理的结果与被审程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠或被修改。

以上只是简单地叙述了计算机应用控制评审的几种方法，当然，这些方法不是孤立的，在实际应用中它们需要相互补充，具体采用那一种方法，要针对计算机系统实际情况而定。学会运用这些新的技术受手段，有利于审查人员运用先进的信息技术、审核出被审单位运用计算机进行造假的行为来。