信息技術內部控制

信息技術一般控制審計

（1）程序開發(fā)

（2）程序變更

（3）程序和數(shù)據(jù)訪問

（4）計算機運行

信息技術應用控制審計

信息技術應用控制一般要經(jīng)過輸入、處理及輸出等環(huán)節(jié)。系統(tǒng)自動控制關注的要素包括：（1）完整性（2）準確性（3）存在和發(fā)生。

針對系統(tǒng)自動控制的信息技術應用控制審計需要在理解業(yè)務流程的基礎之上進行識別和定義，常見的系統(tǒng)自動控制以及信息技術應用控制審計關注點列示如下：（4個方面）

公司層面信息技術控制審計

常見的公司層面信息技術控制包括但不限于：

1.信息技術規(guī)劃的制定；

2.信息技術年度計劃的制定；

3.信息技術內部審計機制的建立；

4.信息技術外包管理；

5.信息技術預算管理；

6.信息安全和風險管理；

7.信息技術應急預案的制定；

8.信息系統(tǒng)架構和信息技術復雜性。

【特別提示】

目前審計機構針對公司層面信息技術控制往往會執(zhí)行單獨的審計，以評估企業(yè)信息技術的整體控制環(huán)境，來決定信息技術一般控制和應用控制的審計重點、風險等級、審計測試方法等。

信息技術一般控制、應用控制與公司層面控制三者之間的關系

1.公司層面信息技術控制情況代表了該公司的信息技術控制的整體環(huán)境，包括該公司對于信息技術的重視程度和依賴程度、信息技術復雜性、對于外部信息技術資源的使用和管理情況、信息技術風險偏好等，這些要素會影響該公司的信息技術一般控制和信息技術應用控制的部署和落實。（審計順序：先公司層面，再一般控制和應用控制）

2.公司層面信息技術控制是公司信息技術整體控制環(huán)境，決定了信息技術一般控制和信息技術應用控制的風險基調；

3.信息技術一般控制是基礎，信息技術一般控制的有效與否會直接關系到信息技術應用控制的有效性是否能夠信任。（一般控制決定應用控制）