中国CPA在线

信息技术内部控制

信息技术一般控制审计

（1）程序开发

（2）程序变更

（3）程序和数据访问

（4）计算机运行

信息技术应用控制审计

信息技术应用控制一般要经过输入、处理及输出等环节。系统自动控制关注的要素包括：（1）完整性（2）准确性（3）存在和发生。

针对系统自动控制的信息技术应用控制审计需要在理解业务流程的基础之上进行识别和定义，常见的系统自动控制以及信息技术应用控制审计关注点列示如下：（4个方面）

公司层面信息技术控制审计

常见的公司层面信息技术控制包括但不限于：

1.信息技术规划的制定；

2.信息技术年度计划的制定；

3.信息技术内部审计机制的建立；

4.信息技术外包管理；

5.信息技术预算管理；

6.信息安全和风险管理；

7.信息技术应急预案的制定；

8.信息系统架构和信息技术复杂性。

【特别提示】

目前审计机构针对公司层面信息技术控制往往会执行单独的审计，以评估企业信息技术的整体控制环境，来决定信息技术一般控制和应用控制的审计重点、风险等级、审计测试方法等。

信息技术一般控制、应用控制与公司层面控制三者之间的关系

1.公司层面信息技术控制情况代表了该公司的信息技术控制的整体环境，包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等，这些要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。（审计顺序：先公司层面，再一般控制和应用控制）

2.公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调；

3.信息技术一般控制是基础，信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。（一般控制决定应用控制）