【问题】
信息技术一般控制包括哪些方面?
【简要答案】
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。注册会计师需要对程序变更控制、计算机运行控制及程序数据访问控制实施控制测试。
【政策依据】
- – 2026年CPA审计教材”第二十二章 企业内部控制审计”第七节”(一)信息技术一般控制测试”
【详细解读】
- [程序开发]:确保系统的开发、配置和实施能够实现管理层的信息处理控制目标,包括管理、启动、分析设计、测试等。
- [程序变更]:确保对程序和相关基础组件的变更经过申请、授权、执行、测试和实施,包括维护管理、变更请求、测试等。
- [程序和数据访问]:确保分配的访问权限经过身份认证和授权,包括安全活动管理、数据安全、网络安全等。
- [计算机运行]:确保生产系统完整准确运行,包括批调度处理、备份、灾难恢复等。
- [测试重点]:由于程序变更控制、计算机运行控制及程序数据访问控制影响信息处理控制的持续有效运行,需要对这三个领域实施控制测试。
【例子说明】
【例】甲公司的ERP系统中,只有经授权的系统管理员才能修改价格数据,且所有修改均记录日志并需经审批。这属于什么类型的控制?
1. 场景设定:甲公司ERP系统对价格数据修改设置了权限和审批控制。
2. 规则引用:信息技术一般控制中的程序和数据访问控制确保分配的访问权限经过认证和授权。
3. 具体推导:授权管理员修改、修改记录日志、需经审批,这些均属于程序和数据访问控制的具体体现。
4. 最终结论:该控制属于信息技术一般控制中的程序和数据访问控制。