就信息系统而言，交易数据输入控制是应用控制的核心。在信息系统审计的事项选择中，输入控制审计应作为必选事项，因为系统所承载的数据都需要录入或者导入，如果一个系统的输入控制设置不合规、不合理、不完整，那么系统源数据就得不到有效控制，系统所承载的数据就无法达到其真实性、完整性和可靠性，对该事项进行审计就是为了确保输入的数据真实、完整和准确。

      要完成该审计目标，就必须明确该事项的测评内容。根据《审计署关于印发信息系统审计指南--计算机审计实务公告第34号的通知》（审计发﹝2012〕11号）第二十三条 数据输入控制审计事项测评指标：数据录入和导入控制测评、数据修改和删除控制测评、数据校验控制测评、数据入库控制测评、数据共享与交换控制测评、备份与恢复数据接收控制测评。审计过程主要检查的是系统是否存在有不符合国家、行业或者单位规范的数据录入、导入、修改、删除、校验控制、共享与交换、备份与恢复等，同时检查操作用户身份与授权否合理、有效。具体审计内容如下简图：

具体审计步骤如下：

1.审计调查。

      首先调查被审计单位的管理情况，查看相应单位信息管理制度是否完善，系统数据的录入、导入、修改、删除人员权限是否明确，授权过程是如何处理的；其次是调查该系统的设计情况，调查设计满足国家、行业标准情况，满足单位管理及业务流程需要情况，调查模块功能，重点调查每个有数据录入导入或修改删除的模块；调查该系统数据备份及存放模式，为数据采集做准备，调查系统日志是否完整。

2.收集资料。

      收集管理类文件，包括单位的组织架构图、信息管理制度、人员权限设置情况；收集标准规范类文件，主要收集与该单位系统所承载的主要业务数据相关的国家、行业规范及标准，收集单位管理该业务的管理类文件并收集该单位的业务流程图；收集采购该系统的采购协议，系统设计的相关文件；采集与录入、导入、修改、删除有关的模块数据；采集系统授权数据；采集系统维护日志。

3.测试方法。

⑴查阅资料，系统调查，实地访谈。

      查阅该业务涉及到的国家、行业标准及单位的管理规定，了解单位的业务流程情况，查阅系统设计资料；系统调查设计满足国家设计标准和业务流程情况；实地访谈相关数据录入权限情况，输入错误预警控制情况，了解各个模块的运行情况，确定需要测试的内容，制作初步调查表。

⑵现场测试。测试非授权用户是否能对数据进行录入、导入、修改、删除；测试当数据录入错误时系统是否有提示，测试必填字段、数据精度等数据输入规则。

⑶数据查询。

      数据查询主要是在采集到相关的模块数据后从以下四方面进行查询。第一数据输入身份认证和权限控制的查询：通过对采集到的系统授权数据及模块数据进行查询比对，查看非认证用户是否存在具有数据输入或者越权输入等控制缺失；第二输入规则控制的查询：对采集到的模块数据进行查询，看是否存在不符合数据唯一性控制、必填字段控制、数据格式和范围控制、数据精度控制等数据输入控制缺失；第三输入校验控制查询：主要查看模块数据是否存在不符合数据范围控制、勾稽关系控制等控制缺失；第四是输入错误预警控制的查询：通过查询系统维护日志，数据输入错误预警中是否存在数据输入错误提示、跟踪、报告、处理等方面的数据输入控制缺失。(龚红琼 师宗县审计局)