(二)初步评价
　　对信息系统内部控制初步评价，可通过问题调查表和初步评价表进行反映。信息系统初步评价可以结合调查了解程序一起进行，也可独立进行。
　　(三)风险评估
　　按照风险导向审计理论，审计人员进行信息系统内部控制审计应当以风险评估为基础，选择拟测试的控制，确定测试所需要收集的证据。信息系统风险评估，就是识别、分析、评价信息系统方面的风险。从中天恒管理咨询公司内部控制与风险管理咨询的实践来看，信息系统风险应识别和描述:
　　⒈信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设、资源浪费，导致企业经营管理效率低下。
　　⒉系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。
　　⒊系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。
　　(四)控制测试
　　信息系统内部控制测试，就是审计人员现场测试信息系统内部控制设计和运行的有效性。对信息系统内部控制设计有效性测试时，审计人员应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。对信息系统内部控制运行有效性测试，审计人员应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行控制等程序。
　　事实上，审计实践中，审计人员对信息系统内部控制设计有效性和运行有效性是一并进行测试的，测试重点是信息系统关键控制。信息系统内部控制测试工具包括信息系统内部控制有效性测试矩阵表、测试表、汇总分析表等。
　　(五)评价缺陷
　　评价信息系统控制缺陷，就是对信息系统内部控制存在的设计和执行有效性方面的缺陷进行分析和评价。对已发现的信息系统内部控制重大缺陷，审计人员应当及时以书面形式与被审计单位进行沟通，核对测试结果和数据，确认信息系统内部控制缺陷事实并在缺陷认定底稿上签章。
　　(六)审计评价
　　信息系统内部控制审计评价是信息系统内部控制审计工作的一个重要环节。信息系统内部控制审计评价的方法很多，比较常用的是评分法。
　　(七)形成意见
　　信息系统内部控制审计意见，就是对信息系统内部控制有效性的审计结论，是被审计单位内部控制审计意见的一部分。这方面的工作是在前面信息系统内部控制审计工作基础上进行的。(完)