【问题】
信息技术一般控制包括哪些领域?各领域的主要控制目标是什么?
【简要答案】
信息技术一般控制通常涉及四个领域:(1)程序开发管理——确保系统开发、配置和实施实现管理层信息处理控制目标;(2)程序变更管理——确保变更经请求、授权、执行、测试和实施;(3)程序和数据访问管理——确保访问权限经用户身份认证并授权;(4)计算机运行管理——确保业务系统完整准确地运行,问题被识别并解决。
【政策依据】
- – 《2026年CPA审计教材》第九章《信息技术一般控制》
【详细解读】
- 程序开发控制: – 程序开发的管理方法 – 项目启动、分析和设计 – 测试和质量确保 – 数据迁移 – 程序实施和应急计划 – 流程更新和用户培训 – 开发过程中的变更管理和职责分离
- 程序变更控制: – 对变更维护活动的管理 – 对变更请求的规范、授权与跟踪 – 测试和质量确保 – 紧急变更的管理 – 变更过程中的职责分离 – 范围包括代码类的常规变更和配置类的变更
- 程序和数据访问控制: – 安全活动管理 – 应用系统用户授权管理 – 高权限用户管理 – 职责分工和权限管理 – 认证和密码控制 – 用户监控 – 数据安全管理 – 操作系统安全管理 – 物理访问和环境控制 – 网络访问控制
- 计算机运行控制: – 系统作业管理 – 问题和故障管理 – 数据备份和恢复 – 备份介质的异地存放 – 灾难恢复
【例子说明】
【例】注册会计师A在对B公司进行审计时,需要了解其信息技术一般控制,请问信息技术一般控制包括哪些领域?
1. 场景设定:B公司是一家金融企业,使用自行开发的核心业务系统处理客户交易,年交易量1000万笔。
2. 规则引用:信息技术一般控制涉及程序开发、程序变更、程序和数据访问、计算机运行四个领域。
3. 具体推导:注册会计师了解到:程序开发方面,系统3年前开发上线,有完整的开发文档,但测试记录不完整;程序变更方面,设有变更审批流程,但存在紧急变更未经过完整测试即上线的情况;程序和数据访问方面,系统管理员拥有超级用户权限,可以修改交易数据且修改不留痕;计算机运行方面,每日进行数据备份,但备份介质未异地存放。注册会计师识别出系统管理员权限过大和备份介质未异地存放为重大控制缺陷。
4. 最终结论:信息技术一般控制存在重大缺陷,特别是程序和数据访问控制薄弱,可能增加数据被未经授权修改的风险,注册会计师需要扩大实质性程序的范围,直接验证交易数据的准确性。