单位对信息系统拥有的权限。由于信息系统的复杂性和技术性，使用单位不可能对它拥有所有的权限，但是这并非意味着不具有任何权限。其实权限的所有权的拥有是一个矛盾体，被审计单位工作的性质决定了它不可能拥有完全的权限，它不是专业的信息系统研究开发的部门，不具备这样的人力、物资和技术资源。这些现实的原因决定了在获取权限方面的局限性，但是这不意味着放弃了权限的获得。内部控制制度要能保证本单位在操作和维护方面的权限，系统的所有操作权是要完全拥有的，这是基本的权利，没有这个权利也就没有了信息系统存在的必要性。在维护上，要保证本单位现有人员能够对信息系统的一般性日常维护的进行，同时，信息系统的研发单位有提供必要的系统参数和维护技术的义务。总之，如果信息系统使用单位的对系统所拥有的权限大了，虽然能够更好的提高工作效率但同时会增加系统运营的成本，相反如果没有一定的足够的权限，就不能很好的体现信息系统高效率工作的特点，日常的工作会为了一些很小的故障影响系统的运转。在对信息系统内部控制进行测评的过程中，就要测试它在这方面所发挥的控制作用，保证信息系统能够低成本高效率地为组织实现其经营目标。

　　2、信息系统的操作运行方面

　　一套信息系统的优劣在操作运行过程中可以得到最大程度的体现，只有操作便捷科学、运行稳定可靠的系统，才可能为用户接受，并充分发挥信息系统的优越性。不相容职能相分离的控制制度。不相容职务设置是信息系统设置的基础，在内部控制制度建设处于比较核心和重要的地位。所谓不相容职务是指那些如果由一个人担任，有可能发生舞弊行为和掩盖其错误行为的职务。不相容职务相分离的关键点是内部人员的相互监督和牵制，相同的一项业务经过多个部门或人员的处理，使得单个人或部门的业务必须与其他人或部门的工作相互联系相互沟通，并受其监督和制约，不能由某个人或者某个单位对一项经济业务的全部过程实施操作和管理。其实一项经济业务由多个人员或者部门来完成，虽然可能相应的影响了工作的效率，在特定条件下会在一定程度上影响工作进度，但是那样做的好处不但能在一定程度上避免错误和舞弊的发生，而且还能广泛聚集多方面的意见和建议，保证了这项经济业务在最科学最安全的范围内进行。不相容职务对于解决舞弊的作用是也是受到限制和制约的，内部审计人员在对信息系统内部控制制度的审计过程中要着重对不相容职务的相关制度进行审查，要明确被审查单位存不存在不相容职务方面的内部控制制度，如果有，那么相关控制制度是否健全，各个相关制度是否互相衔接，在制度上是否能最大限度的涵盖整个可能发生错误的环节，更深入的就是要审查相关制度的合理性、经济性、科学性和有效性。

　　但是我们不得不承认，任何控制制度都是有漏洞和弊端的，内部控制制度的作用是在制度上最低限度的把风险降低，不可能彻底绝对的根除错误避免风险。既然不存在完美的一劳永逸的内部控制制度，作为内部控制制的一方面的不相容职务相分离制度也就不可能完全控制和避免错误和舞弊。不相容职务相分离制度其实就是管理层对人的不信任和担忧，这种不信任和担忧当然不是针对某个人或者某类人，而是基于人的本性，虽然人之初性本善，但是在经济社会强大的形形色色的诱惑下，人性也出现了分化。如果担任职务的人本来就是可以相信的话，那么不相容职务相分离制度的存在对这类人而言是可有可无的和多余的，相反如果担任相关职务的人本性就不值得别人的信任，那么再完善科学有效的内部控制制度都是显得无力和不够的。内部审计人员在对信息系统内部控制制度进行审查时，在明确相关制度存在并且理论上有效时，还要对相关职务的相关人员的性格特点和人格魅力进行了解，避免理论上很科学很完美的内部控制制度在他(们)身上完全失去或者相对失去控制监督作用。

　　访问授权控制措施。访问授权控制措施的目的是确保只有被授权的用户才能实现对特定数据和资源的访问，内部审计人员主要审查信息系统是否设有操作日志，能否完整直观地记录系统操作情况，操作日志能否被删除，如果能被删除，要明确是在什么情况下经过怎么样的程序才能被删除，还要明确什么记录是永远被删除什么记录是暂时删除，遇到特殊情况暂时被删除的记录通过什么样的方式能够被找回或者恢复。对数据库的访问是否有严格的授权限制，是不是不需要经过一定程序一般人员就可以轻易访问数据。系统管理员、操作人员的口令、密码是否定期更换，相关口令密码是否存在相同情况，有不有生日型电话号码型姓名的拼音缩写型或者简单的六个零六个一等等太过大众化简单化的账号密码。

　　3、信息系统的数据和资源的管理方面

　　内部审计人员在测评相关信息系统内部控制制度时，在完成了上述方面的工作后，还要特别注意被审查单位的内部控制制度在对系统数据和资源的管理方面的相关内容，保