近年，随着信息系统内部控制制度得到越来越多的企业管理者的重视，信息系统内部控制制度得到了长足的发展，内部审计机构也加强了对它的审查力度，测评信息系统内部控制制度的科学性和有效性，并对它存在的风险进行全方位的评估，特别是注意对它潜在风险的评估，以期把制度的风险降低到最低限度，从制度上加强管理，保证经营管理的需要。

　　一、企业信息系统内部控制审计测评及风险评估的主要要求

　　内部控制是组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率与效果，而采取的各种政策和程序。内部控制制度是社会经济发展到一定阶段的产物，其内容是随着企业的发展对内部强化管理，一方面能够监督制度执行者的行为，另一方面能有效防范风险，保护投资者的利益。内部控制可以涉及社会的方方面面，只有具有了一整套完整、科学、经济和实用的内部控制制度，社会的发展、企业的运营和组织的目标才能健康有序的得到保证。近年来，信息系统的发展和普及为内部控制的延伸提供了很大的空间，信息系统环境下的内部控制受到越来越多的关注。信息系统是以为人们提供信息服务为主要目的的数据密集型、资源共享的计算机应用系统。它具有数据量大、数据持久、资源共享和服务功能多等特点。正因为信息系统具有以上的特点，组织必须针对它的特性去研究和制定信息系统内部控制制度，保证内部控制制度适应信息系统，为信息系统的运用发挥自己的监督和防范作用。内部审计人员在对信息系统内部控制进行测评和风险的评估时，要充分考虑它的特点，围绕它的特点去进行科学合理的审查，才能把信息系统内部控制的表现风险和潜在风险降到管理层可以接受的范围，保证组织低成本高效率地实现其经营目标。

　　《内部审计具体准则第5号——内部控制审计》第四条规定：内部控制审计的目的是合理地保证组织实现以下目标：遵守国家有关法律法规和组织内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效地使用资源;提高经营效率和效果。内部审计对信息系统内部控制的测评和评估要在这个前提下进行，要保证被审计单位的信息系统满足以上目标要求。合理地保证被审计单位的信息系统所包含的各种权利和相关内容等方面，是在国家有关法律法规和组织内部规章制度允许的范围内存在的，脱离了各级法律法规规章制度的控制，在此基础上建立起来的各种内部控制制度从源头上都是不合法不合规的，这是内部审计对信息系统内部控制的测评和评估的前提条件。

　　保证信息的真实性可靠性是对信息系统内部控制的质量要求，信息系统是企业各种信息的载体，是信息循环运转的一个有机整体，离开这个系统，信息只是单个的符号，不能把信息所反映的真实内容整体性地呈现在信息使用者的面前。只有把一个个的信息符号真实完整的放进企业信息系统的这个循环环境，保证信息的连续性和可靠性，信息系统才有其存在的必要性。同样以这样的信息系统建立起来的信息系统内部控制才能反过来控制信息的真实性和可靠性，才能为信息使用者所接受。

　　信息系统内部控制要保证企业资产的安全完整，这是企业制定信息系统内部控制的初衷和目的。内部审计人员在对信息系统内部控制审查时，要获取充分证据来证明在被审计的信息系统内部控制的作用下，企业的各项资产是否是安全完整的，并且是在内部控制的制约下表现出来的。任何制度的制定都要考虑在执行过程中是否经济有效，相对于没有这个制度前是否能够提高企业的经营效率。如果制度制定得有根有据很完美，但是在执行过程中如果发现需要花费高昂的成本来迎合制度，或者不能明显的提高企业的经营效率，甚至反而降低了工作效率，那这种内部控制制度就失去了其存在的必要性。

　　二、企业信息系统内部控制审计测评及风险评估的主要内容

　　内部审计人员对信息系统内部控制的测评和风险评估要从以下几个具体方面来进行：

　　1、信息系统的开发研制和维护升级方面

　　被审计单位作为信息系统的使用者，要明确自己在信息系统的开发研制和维护升级方面具有哪些自主的权利。现在的企业一般不具有研制开发信息系统的功能，他们只是信息系统的被动使用者，所以被审计单位要针对这一现状制定切实可行的内部控制制度，保证所使用的信息系统能够有效科学的存在。内部审计人员在审计过程中要审查被审计单位在以下方面是否有控制制度：

　　信息系统的取得途径。应在制度上明确取得的途径和程序，是上级部门统一安排的还是本单位自己采购获得的，如果是上级部门统一安排的，本单位的在这方面的风险就相对较低，相反如果是本单位自己获得的，那一定要制定严格的审查制度去规避这种源头风险，避免非法的和不合理的系统进入组织，给组织带来灾难性不能挽回的后果。

　　本