知識點:信息技術內部控制審計
1.信息技術一般性控制審計
信息系統一般性控制是指為了保證信息系統的安全,對整個信息系統以及外部各種環(huán)境要素實施的、對所有的應用或控制模塊具有普遍影響的控制措施。
信息技術一般控制包括程序開發(fā)、程序變更、程序和數據訪問以及系統運行等四個方面。
2.信息技術應用控制審計
應用控制是設計在計算機應用系統中的、有助于達到信息處理目標的控制。信息技術應用控制一般要經過輸入、處理及輸出等環(huán)節(jié)。
3.公司層面信息技術控制審計
公司層面信息技術控制包括但不限于:信息技術規(guī)劃的制定;信息技術年度計劃的制定;信息技術內部審計機制的建立;信息技術外包管理;信息技術預算管理;信息安全和風險管理;信息技術應急預案的制定;信息系統架構和信息技術復雜性等。
對公司層面信息技術控制往往會執(zhí)行單獨的審計,以評估企業(yè)信息技術的整體控制環(huán)境,來決定信息技術一般控制和應用控制的審計重點、風險等級、審計測試方法等。
4.信息技術一般控制、應用控制與公司層面控制三者之間的關系
公司層面信息技術控制是公司信息技術整體控制環(huán)境,決定了信息技術一般控制和信息技術應用控制的風險基調,會影響該公司的信息技術一般控制和信息技術應用控制的部署和落實。
信息技術一般控制是基礎,信息技術一般控制的有效與否會直接關系到信息技術應用控制的有效性是否能夠信任。
如果注冊會計師發(fā)現了應用系統所依賴的信息技術一般控制存在缺陷,注冊會計師可能就不能信賴應用系統按設計發(fā)揮作用。
注冊會計師在執(zhí)行信息技術一般控制和信息技術應用控制審計之前,會首先執(zhí)行配套的公司層面信息技術控制審計,以了解公司的信息技術整體控制環(huán)境,并基于此識別出信息技術一般控制和信息技術應用控制的主要風險點以及審計重點。