什么时候必须测试信息技术一般控制？

有自动复杂计算功能的系统 系统技术落后，供应商已不在提供支持服务 没有被广泛应用的新兴技术

客户自行开发软件，或者对市场常规软件有重大修改的软件 企业资源规划系统 (ERP)

系统与系统间存在大量自定义的接口 处理大量交易的系统

为一个复杂企业处理的系统

复杂的信息技术设施

39

?????????

信息技术一般控制的特定风险

? 依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序 ? 未经授权的数据访问会导致数据损坏或者被不正当的修改，包括未经授 权地记录不存在的交易或者不正确的交易

? 未经授权修改主数据库中的数据

? 未经授权修改系统或者程序

? 未能对系统或程序进行必要的修改

? 不恰当的人为干预

? 丢失数据的可能性

40

信息技术一般控制 – 什么是与测试相关的?

? 访问程序和数据的权限 ? 程序变更

这两个方面总是与测试相关的，它们的复杂

程度和审计证据的类型在审计客户中是有巨 大的差异的。

? 程序开发

只有当新系统的运行会对财务报告内部控制以及重大错报 风险有影响时，才与测试相关。如果对于当年的财务报表 和财务报告内部控制没有影响，就不需要测试。

? 计算机运行

只有在可以直接与重要账户的认定相关或者与特定风险相关 时，这项测试是相关的 (通常发生在交易量庞大，信息系统 复杂的行业, 比如银行)。

我们需要考虑每个领域的风险，哪怕我们不打算获得系统有效性的证据。

41

测试信息技术一般控制 – 性质、时间、范围

询问、观察、检查、重新执行； 也有审阅系统参数设置

42

性质：??

时间：安排在应用系统控制测试之前范围：运用职业判断确定测试范围