1、信息系統(tǒng)內(nèi)部控制分類
　　信息系統(tǒng)的內(nèi)部控制分為般控制和應用控制，其中一般控制又包括管理控制和運行控制，如圖1所示。

　　(1) 管理控制:信息系統(tǒng)的管理控制對于實現(xiàn)資產(chǎn)安全、數(shù)據(jù)完整、系統(tǒng)的有效性和高效性具有重要意義。信息系統(tǒng)的管理控制涉及整個信息系統(tǒng)的決策、開發(fā)以及日常的使用和維護。主要包括高層管理控制、系統(tǒng)開發(fā)管理控制、程序編碼管理控制、數(shù)據(jù)資源管理控制、安全管理控制和質(zhì)量保證管理控制。
　　(2) 運行控制:運行控制負責系統(tǒng)硬件和軟件的日常運行，保證應用系統(tǒng)能完成工作目標。運行控制主要包括計算機操作控制、通信網(wǎng)絡控制、數(shù)據(jù)準備和輸入控制、生產(chǎn)控制、系統(tǒng)數(shù)據(jù)的管理控制、文檔和程序的控制、員工培訓和技術支持控制、性能監(jiān)視控制和外部采購控制。
　　(3)應用控制:應用控制保證各個應用系統(tǒng)達到保護資產(chǎn)安全、數(shù)據(jù)完整、系統(tǒng)有效和高效的目標。應用控制有三個基本的特征，首先應用控制的對象是硬件和軟件，其次應用控制應用于數(shù)據(jù)和數(shù)據(jù)的處理，第只應用控制傾向于保護資產(chǎn)的安全和數(shù)據(jù)的完整性。應用控制包括邊界控制、輸入控制、通信控制、處理控制、數(shù)據(jù)庫控制和輸出控制。
　　2、信息系統(tǒng)內(nèi)部控制的目標
　　信息系統(tǒng)內(nèi)部控制有以下三個目標:
　　(1)與業(yè)務日標一致:信息系統(tǒng)內(nèi)部控制要從組織目標和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的信息系統(tǒng)內(nèi)部控制框架，為系統(tǒng)的運行提供保障，保證信息技術跟上持續(xù)變化的業(yè)務目標。
　　(2) 有效利用信息資源:目前信息化工程超期、IT外部的需求沒有滿足、IT平臺支持業(yè)務應用等問題較為突出，通過信自.系統(tǒng)內(nèi)部控制可以對信息資源進行有一效管理，保護投資的回收，并支持決策。
　　(3)風險管理:由于組織越來越依賴于信息技術和網(wǎng)絡，新的風險不斷涌現(xiàn)。信息系統(tǒng)內(nèi)部控制強調(diào)風險管理，通過制定信息資源的保護級別，強調(diào)關鍵的信息技術資源，有效實施監(jiān)控和事故處理。信息系統(tǒng)內(nèi)部控制是使組織適應外部環(huán)境變化;使組織內(nèi)部實現(xiàn)對業(yè)務流程中資源的有效利用，從而達到改善管理效率和水平的重要手段。
　　3、信息系統(tǒng)內(nèi)部控制的標準
　　信息系統(tǒng)內(nèi)部控制對組織業(yè)務目標的實現(xiàn)是如此的重要，促使我們考慮如何進行管理和控制。COBIT模型是信息系統(tǒng)管理和控制的一個開放性標準，目前已成為國際上公認的最先進、最權威的安全與信息技術管理和控制的標準。該標準輔助管理層進行有效的信息系統(tǒng)內(nèi)部控制，目前該標準己在一百多個國家的重要組織中應用，用以指導這些組織有效利用信息資源，有效地管理與信息相關的風險。COBIT有不少成功案例。美國的一些州己把COBIT標準作為虛擬政府策略的一部分，用它來保持較低的成本并為它的客戶和委托人提供一定的服務質(zhì)量。戴爾公司把COBIT作為CSA (Control Self Assessment)策略的一部分，幫助公司保持高質(zhì)量。