评估在特定领域遵守政策的情况

　　根据《标准》，内部审计部门应该在风险评价结果的基础上，评价涵盖公司治理、运营及信息系统等内容的控制程序的充分性与有效性。组织的管理控制目标有四个：

　　(1)财务和运营信息可靠、完整;

　　(2)运营工作高效率、有成效;

　　(3)资产得到保护;

　　(4)组织的行为和决定遵守相关的法律、规定和合同。

　　上述目标明确了内部审计部门要评估法律、法规、政策和合同的遵守情况，包括了特定领域的政策。评估时，内部审计部门关注的重点是：

　　(1)组织内是否建立了监督遵守相关法规政策的监管控制系统;

　　(2)这些系统是否充分、有效;

　　(3)相关的业务活动是否遵守了那些法规政策，效果如何。

　　电子商务(e-commerce)就是在互联网上从事商业活动。由于电子商务及其技术突飞猛进的发展，内部审计师应当审查管理层的战略规划和风险管理过程及其关于以下问题的决策：

　　(1)哪些风险是严重的;

　　(2)哪些风险可以被保险;

　　(3)当前采取了哪些减轻风险的控制;

　　(4)哪些额外的补偿控制是必要的;

　　(5)需要哪种监督形式。

　　对于电子商务的主要审计活动包括：

　　(1)评估内部控制结构;

　　(2)对于目标能够被达成提供合理的保证;

　　(3)确定风险是否可以被接受;

　　(4)理解信息的流动：

　　(5)审查界面问题(比如，硬件与硬件、软件与软件、硬件与软件之间的界面);

　　(6)评估营业持续和灾难恢复计划。

　　电子商务审计业务的审计目标包括：

　　(1)电子商务交易的证据;

　　(2)安全系统的可用性和可靠性;

　　(3)电子商务和财务系统之间的有效界面;

　　(4)客户认证过程的有效性;

　　(5)营业持续流程的充分性，包括运营的重启;

　　(6)遵守通行安全标准的情况;

　　(7)数字签名的有效使用和控制;

　　(8)控制公共密钥证书的系统、政策和流程的充分性(使用公共密钥加密技术);

　　(9)运行数据和信息的充分性和准时性;

　　(10)有效的内部控制系统的书面记载证据。