【问题】
信息技术一般控制、信息处理控制与公司层面信息技术控制三者之间存在什么关系?
【简要答案】
公司层面信息技术控制是整体控制环境,决定了信息技术一般控制和信息处理控制的风险基调;信息技术一般控制是基础,其有效性直接关系到信息处理控制的有效性是否能够信任。注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。
【政策依据】
- – 《2026年CPA审计教材》第九章《信息技术一般控制、信息处理控制与公司层面信息技术控制之间的关系》
【详细解读】
- 公司层面信息技术控制:代表了该公司信息技术控制的整体环境,包括公司对信息技术的重视程度和依赖程度、信息技术复杂性、对外部信息技术资源的使用和管理情况、信息技术风险偏好等。常见的包括:信息技术规划、年度计划、内部审计机制、外包管理、预算管理、信息安全和风险管理、应急预案、信息系统架构建设等。
- 信息技术一般控制:对整个信息系统以及外部各种环境要素实施的、对所有应用或控制模块具有普遍影响的控制措施。
- 信息处理控制:设计在计算机应用系统中、有助于达到信息处理目标的控制。
- 三者关系: – 公司层面信息技术控制情况影响信息技术一般控制和信息处理控制的部署和落实 – 信息技术一般控制是信息处理控制有效运行的基础 – 无效的一般控制增加了信息处理控制不能防止或发现并纠正认定层次重大错报的可能性 – 有效的一般控制确保自动化信息处理控制得以持续有效运行
- 审计顺序:注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性,然后再评估信息处理控制。
【例子说明】
【例】注册会计师A在对B公司进行审计时,需要评估信息技术一般控制、信息处理控制与公司层面信息技术控制三者之间的关系,请问三者之间存在什么关系?
1. 场景设定:B公司是一家电商平台, heavily依赖信息技术处理交易。
2. 规则引用:公司层面信息技术控制决定风险基调,信息技术一般控制是信息处理控制有效性的基础。
3. 具体推导:注册会计师评估发现:公司层面——B公司设有信息技术治理委员会,制定了信息技术战略和年度预算,设有信息技术风险管理制度,整体环境良好;信息技术一般控制——程序变更管理严格,测试后方能上线,但程序和数据访问控制中存在系统管理员权限过大的问题;信息处理控制——销售系统设有自动价格检查、信用额度控制等。由于一般控制中的访问权限管理存在缺陷,可能导致信息处理控制中的价格检查和信用额度控制被绕过(管理员直接修改参数),因此注册会计师不能完全信赖这些自动化控制。
4. 最终结论:三类控制之间存在层级依赖关系,公司层面控制良好为整体信息技术控制提供了基础环境,但一般控制中的访问权限缺陷削弱了信息处理控制的有效性,注册会计师需要对此实施额外的审计程序。