信息系统内部控制评价是内部控制评价业务层面的重要内容之一，是对信息系统内部控制设计及运行有效性的评价。因此，加强信息系统内部控制评价工作，有利于促使企业建立健全和有效执行信息系统内部控制，从而有效控制信息系统风险。

　　评价目标及评价依据
　　信息系统内部控制评价目标，就是保证信息系统内部控制设计和运行的有效性，促使企业预防和控制信息系统风险。
　　信息系统内部控制评价依据是国家关于信息系统管理方面的法律法规、企业制定的信息系统管理制度及《企业内部控制手册》中有关信息系统部分的内容。具体依据因评价单位的不同而有所不同。
　　一般来说，国家法律法规层面的评价依据包括《计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)、《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)和《信息安全等级保护管理办法》(公通字〔2007〕43号)、《信息安全技术　信息系统安全等级保护实施指南》以及《企业内部控制基本规范》、《企业内部控制应用指引第18号——信息系统》等;评价单位层面的评价依据包括《信息系统管理制度》、《信息系统授权制度和审核批准制度》、《信息系统的岗位责任制》;《企业内部控制管理手册》中的《信息系统内部控制矩阵》既是内部控制评价的对象，也是评价最为直接的依据。

　　评价内容
　　信息系统内部控制评价内容，总体来说就是评价信息系统内部控制设计和运行的有效性，包括过程和结果两个层面，具体评价范围包括信息系统的开发、信息系统的运行与维护主要信息系统活动。具体评价内容因评价单位开展内部信息传递评价工作和被评价单位内部控制成熟度的不同而不同。
　　(一)设计有效性评价。信息系统内部控制设计有效性评价包括设计过程和设计结果两个层面。信息系统内部控制设计结果有效性的前提是设计过程要有效，因此，要重视信息系统内部控制设计过程有效性的评价，不能仅对信息系统内部控制设计结果的有效性进行评价。实际操作上，根据中天恒3C框架内部控制设计标准，信息系统内部控制设计有效性评价包括：
　　现状梳理。现状梳理是信息系统内部控制设计的基础性工作。评价要点是：是否首先进行了信息系统现状梳理;是否梳理了现有信息系统管理制度或相关文件并编制了《信息系统内部管理制度或相关文件情况表》;是否进行信息系统业务现状描述并编制了《信息系统流程目录》、《信息系统业务现状流程图》等;信息系统现状梳理的结果是否符合企业信息系统业务、管理现状等。常用评价方法为调查问卷和审阅的方法，需要编制的评价工作底稿是调查问卷、审阅及访谈记录表等等。
　　风险评估。评估要点包括：是否进行了信息系统风险评估工作;是否识别了信息系统风险并编制了《信息系统风险及其描述表》;是否分析了主要信息系统风险并编制了《信息系统风险分析表》;是否评价了信息系统风险并编制了《信息系统风险评价表》;是否确定了信息系统风险应对策略并编制了《信息系统风险应对策略表》;是否汇总分析了信息系统风险评估结果并编制了《信息系统业务风险数据库》;是否提出了信息系统重大风险解决方案;信息系统风险评估结果是否合理有效等。常用评价方法为调查、询问、审阅和抽样执行穿行测试或重新执行程序，评价工作底稿是调查问卷、审阅及访谈记录表、抽查底稿等。
　　控制要点确定。评价要点包括：是否划分了信息系统内部控制的控制环节;每个控制环节是否确定了控制要点和关键控制并编制了《信息系统控制要点及其关键控制表》;信息系统控制环节、控制要点及其关键控制的确定结果是否有效。常用评价方法为调查问卷和审阅的方法，评价工作底稿是调查问卷、审阅及访谈记录表等。
　　控制目标分解。评价要点包括：是否分析确定了信息系统内部控制的总体控制目标;是否分解了总体控制目标并编制了《信息系统内部控制目标表》;信息系统内部控制目标的分析、分解结果是否有效。常用评价方法为调查问卷和审阅的方法，评价工作底稿是调查问卷、审阅及访谈记录表等。
　　控制措施确定。评价要点包括：是否确定了信息系统内部控制的总体控制措施，总体控制措施确定是否有效等;信息系统业务层的控制措施是否具体有效，是否编制了《信息系统内部控制措施表》。常用评价方法为调查问卷、审阅、穿行测试、重新执行等方法，评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。
　　控制证据设计。信息系统控制证据是多种多样的，评价要点是：是否设计了信息系统内部控制的控制证据，是否编制了《信息系统控制证据表》，设计的控制证据是否有效等。常用评价方法为调查问卷和审阅等方法，评价工作底稿是调查问卷、审阅及访谈记录表等。
　　管理制度优化。信息系统内部控制设计的过程实际上也是信息系统管理制度优化的过程，需要对信息系统管理的修订和完善提出建设性的意见。评价要点是：是否提出了信息系统管理制度完善建议并编制了《信息系统制度完善建议表》，建议是否合理有效等。常用评价方法为调查问卷和审阅等方法，评价工作底稿是调查问卷、审阅及访谈记录表等。
　　控制流程图绘制。《信息系统内部控制流程图》是信息系统内部控制设计的重要成果之一，对有效实施信息系统内部控制具有导航作用。评价要点是：是否绘制了《信息系统内部控制流程图》并标注了风险点和控制点，控制流程图是否有用等。常用评价方法为审阅、访谈的方法，评价工作底稿是审阅及访谈记录表等。
　　控制矩阵编制。《信息系统内部控制矩阵》是信息系统内部控制设计的重要成果之一，也是企业内部控制管理手册的重要组成部分。评价要点是：是否编制了《信息系统内部控制矩阵》，控制矩阵的格式要素是否基本齐全等。常用评价方法为审阅、访谈的方法，评价工作底稿是审阅及访谈记录表等等。
　　(二)运行有效性评价。信息系统内部控制运行有效性评价包括运行的过程和结果两个层面，总体说来，评价要点包括：已设计完成的信息系统内部控制及其相关的管理制度是否有效执行，是否有效控制了信息系统风险;已设计有效的信息系统各控制点的控制措施是否有效实施，是否有效防止了各控制环节的风险;是否建立信息系统内部控制标准执行情况文档;是否根据业务、监管要求或法律法规等的变化持续改进信息系统内部控制等。
　　实践中，信息系统内部控制运行层面普遍存在的问题是已有的控制在实际中没有执行，内部控制形同虚设，信息系统风险未有效控制，导致虚增信息系统的开发收入、人为调节利润、形成坏账等。信息系统内部控制的运行有效性评价重点的是控制制度及其措施的执行情况。常用评价方法为调查问卷、审阅、穿行测试、重新执行等方法，评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。

　　评价程序
　　信息系统内部控制评价程序，就实施阶段来说，主要包括对信息系统内部控制进行调查了解、控制测试、缺陷认定、综合评价等程序。
　　(一)调查了解。信息系统内部控制调查了解是评价实施阶段的首要环节，涉及的具体内容很多，也因单位的不同而不同。值得注意的是，调查了解仅作为了解信息系统内部控制设计和运行的情况的手段，不能直接形成信息系统内部控制设计和运行有效性的结论。本阶段工作常用方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有特点，需要经常加以综合运用。
　　(二)现场测试。信息系统内部控制现场测试，就是测试信息系统内部控制设计和运行的有效性。实际操作中，可以根据具体情况实施详查或者抽样测试，具体测试方式包括跟单测试和关键控制测试等。
　　评价人员在测试信息系统内部控制设计有效性时，应当综合运用询问适当人员、观察经营活动和检查相关文件等程序，一般采用跟单测试方式。
　　评价人员在测试信息系统内部控制运行有效性时，应当综合运用审阅文件资料、询问相关人员、观察业务活动以及重新执行控制等程序。在此过程中，应将信息系统每个业务流程的每个控制点的测试程序、方法和结果记录于内部控制执行有效性测试底稿。测试结束后，应将各个流程和控制点的执行有效性测试结果进行汇总，记录于《内部控制执行有效性评估汇总表》。此种测试一般采用关键控制测试，即是建立样本库，再按照样本发生频率、样本库总量的大小区分，抽取相应数量的样本进行测试。信息系统内部控制运行有效性测试重点是对关键控制测试。
　　(三)认定缺陷。信息系统内部控制认定缺陷，就是对信息系统内部控制设计和运行缺陷的认定，并按影响程度分为重大缺陷、重要缺陷和一般缺陷。在具体的认定过程中，评价人员应将已调查了解到的信息系统内部控制的系统现状与事先确定的标准模式进行对照，以揭示哪些法规规定的控制程序未被采用，按照不同内容分类，汇集在《内部控制缺陷认定矩阵表》中记录，并编制《信息系统内部控制缺陷认定表》。
　　(四)综合评价。信息系统内部控制综合评价，就是指在信息系统内部控制现场测试结果的基础上对信息系统内部控制有效性做出的最终评价，主要工作是汇总前述评价结果。本阶段工作应遵循整理资料、分析影响、形成结论、反馈意见等综合评价的基本步骤。信息系统综合评价的方法很多，比较常用的是评分法。实施过程中，可分别信息系统内部控制设计有效性和运行有效性进行评分，也可以进行综合评分。综合评价结果可编制成《评价结果汇总表》或绘制成《评价地图》。