《审查机关内部控制测评准则》第五条规定,审查人员进行内部控制测评分为下列四个步骤:
1.在信息系统环境下,审查人员对信息系统的内部控制评审可以通过下列方法实现
2.白箱法测试
白箱法测试也称结构测试或逻辑驱动测试,其方法依赖于审查人员对被测应用程序的内部逻辑的深刻理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审查单位应用软件内部每种操作是否符合要求。
是指审查人员用一批预先设计好的检测数据(包括正常的、有效的业务和不正常的、无效的业务数据),利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当。
主要适用于下列三种情况:被审系统的关键控制建立在计算机程序中;被审系统的可见审查轨迹有缺陷;难以由输入直接跟踪到输出。
授控处理法
是指审查人员通过被审程序对被审查单位实际业务的处理进行监控,查明被审程序的处理和控制功能是否恰当有效。
如审查人员可通过检查输入错误的更正与重新输入的过程,判别被审程序输入控制的有效性;通过检查错误清单和输出打印结果来判断被审程序处理控制和功能的可靠性;通过核实对输出与输入来判别输出控制的可靠性。
这种方法技术简单、省时省力,不需要较高的计算机知识,但审查人员首先要对输入的数据进行查验,并建立审查控制,然后亲自处理或监督处理这些数据。
平行模拟法
是指审查人员从外部获取一份与被审程序副本或利用通用审查软件建立与被审程序相同处理和控制功能的模拟程序(模拟程序通常没有它所模拟的原始程序那么复杂,只包括与具体审查目标有关的程序处理、计算和控制),来处理当前的实际数据,把处理的结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠或被修改。
以上只是简单地叙述了计算机应用控制评审的几种方法,当然,这些方法不是孤立的,在实际应用中它们需要相互补充,具体采用哪一种方法,要针对计算机系统实际情况而定。学会运用这些新的技术手段,有利于审查人员运用先进的信息技术、审核出被审单位运用计算机进行造假的行为来。