信息技術一般性控制
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
信息技術一般性控制是指與網路、操作系統、資料庫、應用系統及其相關人員有關的信息技術政策和措施,以確保信息系統持續穩定的運行,支持應用控制的有效性。
信息技術一般控制通常會對實現部分或全部財務報表認定做出間接貢獻。
有效的信息技術一般控制確保了應用系統控制和依賴電腦處理的自動會計程式得以持續有效地運行。
信息技術一般控制包括程式開發、程式變更、程式和數據訪問以及電腦運行等四個方面。由於程式變更控制、電腦操作控制及程式數據訪問控制影響到系統驅動組件的持續有效運行,註冊會計師需要對上述三個領域實施控制測試。
(一)信息安全管理。內部審計人員應當關註組織的信息安全管理政策,物理訪問及針對網路、操作系統、資料庫、應用系統的身份認證和邏輯訪問管理機制,系統設置的職責分離控制等。
(二)系統變更管理。內部審計人員應當關註組織的應用系統及相關係統基礎架構的變更、參數設置變更的授權與審批,變更測試,變更移植到生產環境的流程式控制制等。
(三)系統開發和採購管理。內部審計人員應當關註組織的應用系統及相關係統基礎架構的開發和採購的授權審批,系統開發的方法論,開發環境、測試環境、生產環境嚴格分離情況,系統的測試、審核、移植到生產環境等環節。
(四)系統運行管理。內部審計人員應當關註組織的信息技術資產管理、系統容量管理、系統物理環境控制、系統和數據備份及恢復管理、問題管理和系統的日常運行管理等。