信息技術內部控制

信息技術一般控制審計

（1）程序開發

（2）程序變更

（3）程序和數據訪問

（4）計算機運行

信息技術應用控制審計

信息技術應用控制一般要經過輸入、處理及輸出等環節。系統自動控制關注的要素包括：（1）完整性（2）準確性（3）存在和發生。

針對系統自動控制的信息技術應用控制審計需要在理解業務流程的基礎之上進行識別和定義，常見的系統自動控制以及信息技術應用控制審計關注點列示如下：（4個方面）

公司層面信息技術控制審計

常見的公司層面信息技術控制包括但不限于：

1.信息技術規劃的制定；

2.信息技術年度計劃的制定；

3.信息技術內部審計機制的建立；

4.信息技術外包管理；

5.信息技術預算管理；

6.信息安全和風險管理；

7.信息技術應急預案的制定；

8.信息系統架構和信息技術復雜性。

【特別提示】

目前審計機構針對公司層面信息技術控制往往會執行單獨的審計，以評估企業信息技術的整體控制環境，來決定信息技術一般控制和應用控制的審計重點、風險等級、審計測試方法等。

信息技術一般控制、應用控制與公司層面控制三者之間的關系

1.公司層面信息技術控制情況代表了該公司的信息技術控制的整體環境，包括該公司對于信息技術的重視程度和依賴程度、信息技術復雜性、對于外部信息技術資源的使用和管理情況、信息技術風險偏好等，這些要素會影響該公司的信息技術一般控制和信息技術應用控制的部署和落實。（審計順序：先公司層面，再一般控制和應用控制）

2.公司層面信息技術控制是公司信息技術整體控制環境，決定了信息技術一般控制和信息技術應用控制的風險基調；

3.信息技術一般控制是基礎，信息技術一般控制的有效與否會直接關系到信息技術應用控制的有效性是否能夠信任。（一般控制決定應用控制）