根據(jù)計算機信息系統(tǒng)內(nèi)部控制的內(nèi)容，對其內(nèi)部控制的審計評價指標通常分為一般性指標和具體指標。

　　（一）計算機信息系統(tǒng)內(nèi)部控制審計評價的一般性指標

　　計算機信息系統(tǒng)內(nèi)部控制審計評價的一般性指標，指為保證信息系統(tǒng)安全運行所制定的內(nèi)部控制制度應遵循的原則和達到的目標，包括：信息系統(tǒng)內(nèi)部控制的完整性、合理性及有效性。

　　1、計算機信息系統(tǒng)內(nèi)部控制的完整性計算機信息系統(tǒng)內(nèi)部控制的完整性包含兩個方面：一是指信息系統(tǒng)的使用部門根據(jù)系統(tǒng)安全運行的需要，應建立的有關內(nèi)部控制制度的健全和完善；二是指對信息系統(tǒng)所涉及的中央銀行業(yè)務活動的全過程進行自始至終的控制。

　　根據(jù)以上兩個方面的內(nèi)容，在對計算機信息系統(tǒng)內(nèi)部控制的完整性進行審計評價時，首先對建立與系統(tǒng)相關的內(nèi)部控制制度的健全和完善進行評價，即是否能夠充分保證系統(tǒng)的安全運行，是否能夠?qū)ο到y(tǒng)功能上的不足之處進行有效的彌補，以保證系統(tǒng)涉及的業(yè)務活動的安全性；其次是建立的有關內(nèi)部控制制度是否能夠貫穿于信息系統(tǒng)所涉及的業(yè)務活動的全過程。

　　2、計算機信息系統(tǒng)內(nèi)部控制的合理性計算機信息系統(tǒng)內(nèi)部控制的合理性是指為保證系統(tǒng)安全運行而建立的有關內(nèi)部控制制度的可操作性和適用性。

　　在對計算機信息系統(tǒng)內(nèi)部控制的合理性進行審計評價時，要在其完整性的基礎上，充分考慮其適用性。從各項內(nèi)控制度適用性的角度出發(fā)，評價其對使用部門的操作人員、運行環(huán)境等方面的要求是否具有可操作性和適用性。

　　3、計算機信息系統(tǒng)內(nèi)部控制的有效性內(nèi)部控制的有效性是指其在系統(tǒng)運行時所涉及的中央銀行業(yè)務活動中，能否得到貫徹執(zhí)行并發(fā)揮作用，實現(xiàn)其為保證中央銀行資金安全，為社會提供高效的金融服務的目標。

　　在對計算機信息系統(tǒng)內(nèi)部控制的有效性進行評價時，主要是對內(nèi)部控制在系統(tǒng)運行過程中能否有效地防止各類案件和錯誤的發(fā)生進行評價。

　　以上三個指標屬于審計評價計算機信息系統(tǒng)內(nèi)部控制的一般性指標，完整性是合理性和有效性的基礎，合理性是對內(nèi)部控制更深一層次的要求，有效性是內(nèi)部控制的精髓，如果一種內(nèi)部控制不能實現(xiàn)“有效控制”，則實質(zhì)上就不存在什么內(nèi)部控制了。

　　（二）計算機信息系統(tǒng)內(nèi)部控制審計評價的具體指標

　　計算機信息系統(tǒng)內(nèi)部控制審計評價的具體指標是指對信息系統(tǒng)內(nèi)部控制相關內(nèi)容方面的審計評價指標，是對信息系統(tǒng)內(nèi)部控制相關內(nèi)容的具體評價，包括以下幾個方面：

　　1、對組織與管理控制的評價：包括兩層涵義：一方面是對與信息系統(tǒng)相關的內(nèi)部管理制度、組織機構的健全和完善及其適用性做出審計評價，即是否制定了較完善的工作制度、崗位職責，是否建立并落實崗位責任制和風險防范責任制，是否建立了內(nèi)部監(jiān)督機制和考核機制等；另一方面是對系統(tǒng)操作人員控制的審計評價：一是對管理人員控制的評價。一般情況下，信息系統(tǒng)中高級別操作員在系統(tǒng)的使用部門具有一定的職位，如《中央銀行會計核算系統(tǒng)》（以下簡稱《核算系統(tǒng)》）中四級別操作員即會計主管通常情況下由會計營業(yè)部門負責人擔任。因此，在對信息系統(tǒng)管理人員的控制進行審計評價時，關鍵要評價其在系統(tǒng)的內(nèi)部控制中，是否存在對管理人員的控制隨其地位的升高而減弱的現(xiàn)象；二是對一般人員風險防范控制的審計評價，即系統(tǒng)的崗位設置和人員分工是否科學合理，崗位設置是否齊全，不相容崗位是否做到了完全分離，是否能夠達到相互牽制、互相制約、防止風險發(fā)生的目的。

　　2、對系統(tǒng)用戶及操作員權限控制的評價：即對按照系統(tǒng)的規(guī)定設置的各個用戶及口令、操作員代碼及口令的管理情況做出審計評價。即是否按規(guī)定設置系統(tǒng)用戶及口令，是否按操作員所管轄的業(yè)務范圍設置操作員級別等。如《核算系統(tǒng)》中，是否按規(guī)定設置開機口令和“KJZW”用戶口令，是否按照崗位職責和處理權限設置操作員級別，各級別操作員是否按規(guī)定設置代碼及口令，口令管理是否符合規(guī)定等。

　　3、對系統(tǒng)維護控制的評價：即對科技人員是否按規(guī)定對系統(tǒng)的軟、硬件進行的安裝、補丁、升級和備份、系統(tǒng)的應急處理方案是否詳細可行等方面做出審計評價。

　　4、對系統(tǒng)運行環(huán)境控制的評價：一是對系統(tǒng)的供電系統(tǒng)是否符合要求、系統(tǒng)運行場所的防火報警系統(tǒng)、防雷電系統(tǒng)、防電磁干擾系統(tǒng)是否有效做出評價；二是對系統(tǒng)的軟、硬件環(huán)境是否符合系統(tǒng)的要求做出評價；三是對系統(tǒng)的病毒防范措施是否具體有效做出評價；四是對系統(tǒng)網(wǎng)絡的數(shù)據(jù)保密、訪問控制、身份識別、數(shù)據(jù)傳輸?shù)劝踩灾笜嗽O置是否合理做出評價。

　　5、對系統(tǒng)輸入控制的評價：即對輸入系統(tǒng)的數(shù)據(jù)在輸入系統(tǒng)前是否進行了認真的審核，數(shù)據(jù)的傳遞方式、采取的審核措施是否有效，是否能夠保證數(shù)據(jù)的準確無誤，數(shù)據(jù)的輸入是否實時輸入、換人復核等做出評價。

　　6、對系統(tǒng)輸出控制的評價：即對是否按系統(tǒng)的要求及時完成系統(tǒng)結果的輸出，對系統(tǒng)輸出結果的準確性、可靠性是否采取了有效的措施，系統(tǒng)數(shù)據(jù)輸出的操作權限、輸出日志及輸出份數(shù)是否符合規(guī)定等做出評價。

　　7、對系統(tǒng)數(shù)據(jù)存儲控制的評價：即對系統(tǒng)的數(shù)據(jù)是否按規(guī)定進行備份、對儲存數(shù)據(jù)的各種存儲介質(zhì)是否做好必要的標識、并定期復制、異地存放等做出評價。

　　8、對風險導向型控制的評價，即在對系統(tǒng)所固有的風險和系統(tǒng)內(nèi)部控制機制進行評價和分析的基礎上，對信息系統(tǒng)的高風險點和薄弱環(huán)節(jié)是否進行重點檢查和控制等做出評價。

　　計算機信息系統(tǒng)內(nèi)部控制審計評價的具體指標對于不同的信息系統(tǒng)各有其自身的特點，因此在對計算機信息系統(tǒng)的內(nèi)部控制進行審計評價時，在此基礎上，可根據(jù)不同的計算機信息系統(tǒng)本身的特點，制定出具體的內(nèi)部控制審計評價指標，以對信息系統(tǒng)的內(nèi)部控制做出客觀的審計評價。