随着信息技术的发展，信息系统(Information System，IS)成为企业日益重要的资源，与此同时由于管理与控制方面的疏忽，由信息系统设计和运行方面的缺陷而导致的企业风险日益增大。因此，加强信息系统内部控制，规避相关风险，对企业提高自身竞争力和提供合规的控制信息具有重要的现实意义。然而目前我国企业对IS风险的识别、分析和控制还处于摸索阶段，缺乏长远的规划和成熟的预防控制体系，针对我国企业IS内部控制及评价的研究相当缺乏。　　 本文基于国际IS控制标准COBIT(Control Objectivcs for Information andrelated Technology)构建了企业信息系统内部控制和评价体系，并且从风险导向的视角，对IS内部控制及其评价进行了研究。COBIT是信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的，是目前国际上公认的最先进、最权威的IT管理和控制的标准，并且已在世界一百多个国家的重要组织与企业中运用，发挥了使组织有效利用IT资源、有效管理IT风险的作用。　　 论文首先总结了国内外IS内部控制的研究现状，分析了COBIT应用于我国的可行性，并参照COBIT标准，构建了基于层级过程的企业IS控制模型。该模型立足于IS生命周期，涵盖了IS内部控制各个层级的主要控制活动，具体划分了五个过程域，提出了过程风险分级的评估方法，分析了过程域下的关键控制过程及其风险评估因素，设立了相应的评估基准，过程控制模型为建立风险导向的内部控制评价指标体系提供了前提条件。　　 对信息系统内部控制的评价分为两个步骤：首先，利用COBIT的成熟度模型对单项指标进行评级打分。COBIT对每个具体的IT控制过程都设置了详细的成熟度等级，企业只需对照这个模型找到自身所处的等级，从而得到相应的风险等级。其次，利用层次分析法设置单项指标的权重，根据加权平均的方法得到上一级综合指标的分值，以此类推，最后得到总体的评价分值，完成对整个IS内部控制的评价。　　 最后，本文选取了一家商业银行的网上银行系统作为案例分析，阐述本文的创新、不足和未来的研究方向。