1.4.6 控制环境评估

应根据基于风险的审计计划审查控制环境。尽管信息系统审计将执行其基于风险的审计计划，但值得注意的是，信息系统管理层还应评估控制环境的有效性。

管理控制监控

管理层可以在指定的审计周期内自行监控控制有效性。此流程有助于在可能不太频繁的审计之前识别控制偏差，并允许管理层采取整改措施。

控制监控可确保：

• 满足控制要求。

• 遵循标准。

• 员工遵守企业政策、实践和程序。

管理层可以利用自身控制监控工作的结果，不断改进组织的安全计划。信息系统审计师可以使用这些结果来保证控制措施在一段时间内有效运作。在审查管理层的控制监控流程时，信息系统审计师应确保：

• 对发现的控制异常进行修复，并考虑经验教训来增强安全计划。

• 基于管理层的风险评估，为关键流程或控制监控制定指标。

• 指标确定了用于报告的具体、可量化输出。

• 对潜在的完整性和准确性问题进行了独立思考。

• 报告界定控制有效性的预期阈值，并随着时间的推移跟踪成功情况。

控制环境的独立评估

一旦了解了适用的风险和控制，信息系统审计师就可以对控制环境进行评估。信息系统审计师会审查审计过程中搜集到的证据，以确定受审查的运营是否有效且得到良好控制。这同样需要判断力和经验。信息系统审计师还会对受评控制的优势和弱势进行评估，然后确定它们能否有效满足在审计规划流程中设定的控制目标。