政府經濟效益和項目成果審計的第五項檢查和評價準則是：

　　審計人員應當：

　　1.檢查數據處理系統中的一般控制，以確定：（a）設計的控制是否符合管理方針和法律要求；（b）控制能否有效地發揮作用，保證數據處理的可靠性和安全性；

　　2.檢查數據處理系統中的應用控制，并據此評價應用控制在保證數據處理的及時性、準確性和完整性方面的可靠程度；

　　除檢查一般控制和應用控制外，審計人員還應參與新數據處理系統或應用項目的設計與開發以及其后所進行的重大修改工作。

　　可能的情況是，開發出來的數據處理系統缺乏控制措施，因此管理人員和審計人員就不能依賴其完整性。所以，如果管理部門指望正在開發的系統在可審性和適當控制方面得到合理的保證，那么審計人員在系統設計與開發過程中的檢查就是至關重要的。要達到這一目標并不總是可行的，因為審計機構可能沒有檢查系統設計與開發所需的資源或人力。但是，這項檢查應當作為一個審計目標。

　　一、電算化系統一般控制的檢查

　　數據處理方式由機械處理向自動化處理的轉變，需要改進傳統的審計方法“自動化數據處理系統的復雜性和范圍的廣泛性，要求審計人員給予處理數據的系統和數據本身更多的關注。如果系統在安全性方面得到合理的保證并具有足夠的控制，審計人員就可以信賴被處理的報告的數據。審計人員應該區別一般控制和應用控制。”一般控制通常適用于系統進行的大部分數據處理，而應用控制則可能因應用項目而異，而要分別加以檢查。在檢查個別應用控制時，審計人員應考慮被查系統一般控制的效果；

　　1.組織控制。職權和責任的分配必須以能夠保證有效果、高效率地實現組織目標的方式進行。審計人員應該檢查被審單位的組織結構、職權和責任的分配與分工情況、其目的在于確定職責分工是否能夠提供有力的內部控制，例如，程序與系統開發、計算機操作、輸入數據的控制、以及保持應用控制的控制小組等職責，在可行的情況下應予以分離。同時，審計人員應從“整個系統”的角度加以考慮。

　　在檢查職責分工情況時，審計人員應該評價控制的強度并報告由于職責分工不夠而暴露的弱點。職工定期輪換工作崗位及強制性休假等制度有利于管理部門維持足夠的職責分工。審計人員應對這些制度的執行情況加以檢查。

　　2.設施、人員和安全控制，擁有足夠的實物設施和其他資源（如訓練有素的人員等）是一個單位實現其數據處理目標所必需的。審計人員應該確定被審單位是否擁有滿足數據處理需要的足夠資源。

　　人事管理，包括監督、激勵和員工的職業發展，是成功的數據處理的組成部分。審計人員應該評價有關的管理方針和慣例，以確定是否制訂了必要的方針及方針的執行情況。例如，由于整個計算機領域迅速發展，一個組織的人事管理部門需要制訂包括數據處理人員在內的教育和培訓計劃。該計劃應該能夠保證職工跟上最新發展，以使他們能夠以最佳效果和最高效率履行職責，并能夠在工作中采用已經證明為具有成本效益的新方法。數據處理人員培訓和發展計劃不當可能會阻礙組織目標的實現。

　　審計人員應該確定被審單位是否制訂了有關計算機硬件、計算機程序、數據文件、數據傳送、輸入和輸出資料以及人員的安全規定。該項檢查應該不僅涉及中央處理站的計算機設備，還應包括其他地點的小型機、計算機終端、通訊設施及其他外圍設備。

　　在檢查計算機硬件的實物安全性時，審計人員應該考慮為在正常數據處理中斷以后繼續處理關鍵應用項目而制訂的應急計劃是否充分。該計劃應包括應急電源和后備硬件的規定以及關于使用后備設備和將人員、程序、表格和數據文件轉移到另外的處理地點的詳細計劃。審計人員還應該考慮該計劃經過測試的程度以確定在實際緊急情況下能夠繼續進行數據處理的可能性。

　　審計人員還應該檢查數據文件的實物安全性；該項檢查應保證，在可行的情況下，數據和文件檔案資料由不能接觸計算機和存取計算機程序的人員保管；文件檔案資料安全；計算機操作員和其他人員不能隨意接觸文檔資料；制訂有文件備份的規定（包括另外存放備份文件的規定）。在文件聯機存儲的情況下，審計人員應該考慮是否采取了充分的存取授權控制措施以及備份文件是否有規律地進行拷貝。此外，審計人員還應檢查數據備份文件是否做了適當的標志和標簽、席計人員還需檢查文件的內容以保證文件的完整性和準確性。對子程序備份文件也應建立同樣嚴格的控制。

　　3.操作系統控制。計算機系統通常由操作系統（也常稱為系統軟件）控制。由于這些操作系統通常具有數據管理、多道程序管理能力和文件標簽檢驗，以及其他許多授權控制功能，因此，它們是計算機處理一般控制的組成部分。審計人員應該了解操作系統能夠執行的控制，并確定這些控制的利用程度以及未被利用的情況。審計人員應該知道哪些人維護操作系統，或有能力修改操作系統。這些人可能有意或無意地破壞操作系統的控制，使其失效。

　　4.硬件控制。計算機硬件經常能夠檢查出硬件功能失常而引起的錯誤。審計人員應該了解：（1）系統設施是如何依賴這些硬件控制的；（2）操作系統如何利用這些硬件控制；（3）系統如何報告檢查出的錯誤，以及糾正錯誤的程序。

　　二、電算化系統應用控制的檢查

　　在對所有應用項目的數據處理的可靠性或完整性進行估計之前，必須對具體的應用控制和一般控制措施進行全面的評價。

　　依據這一準則進行審計工作有兩個目的，茲分述如下：

　　1.與標準及批準的設計相符。第一個目的是確定建成的應用項目或系統是否符合適用的標準及最后批準的設計規格。審計人員遵循這一準則，可以為批準的規格，包括所有嵌入的內部控制（如輸入、處理和輸出控制），都已按要求裝入系統，留有適當的文檔資料，并經過了充分的測試提供合理的保證。

　　審計人員在測試數據的可靠性時，其測試應包括檢查選擇的測試業務的文檔資料，測試業務記錄與匯總的準確性，測試業務處理與控制手續的符合性。此外，審計人員可能希望通過測試選擇的部分數據文件以確定可能的例外情況和數據轉換或采集的準確性。如果數據文件以機器可讀的形式保存，在適當的條件下，審計人員應當采用計算機輔助審計技術加以測試。

　　2.控制弱點的測試。第二個目的是測試內部控制和處理的數據的可靠性。在評價控制的充分性的基礎上，這些測試可以發現應用項目或系統中的可能的弱點。這些審計應該詳細考察應用項目或系統的優點和弱點、帶來風險的環境等等。發現弱點后，審計人員應促使被審單位對應用系統進行糾正性修改，并趨于完善。此外，在實施測試時，審計人員還應注意，保證系統一貫按照最后批準的規格運行是非常困難的，因此，最重要的是以程序變動、程序文檔以及操作規程等進行充分的控制。盡管檢查舞弊行為并非審計的首要目標，但審計人員必須對計算機系統中發現舞弊或其他不合規行為的可能性保持高度的警惕。