ITGC Guidance 中文.doc

CE:Understand, evaluate and validate control components other than control activities – IT 本步骤旨在补充而非重复“领域 2000”中所记录的总体内部控制框架分析。本部分的目的在于记录我们对客户建立和维持一个强有力的 IT 控制环境和有效的信息技术一般控制（ ITGC）的了解和考虑。 针对处理有重大财务影响的应用或数据的公司整体以及各个独立管理的 IT 机构或 IT 附属单位，实施以下程序： a) 了解、评估和记录与各内部控制要素相关的 IT 控制的设计和执行情况。 b) 如果审计中计划信赖内部控制，要对确定的客户内部控制框架中与审计相关的各个方面进行验证。 c) 在确定对四个 ITGC 领域中的各个领域所要实施的审计工作的性质、时间和范围时，考虑已经实施的审计工作的结果。 d) 确保将已发现的内部控制要素的缺陷与管理层进行沟通，并在评估重大错报风险和确定审计策略及审计计划时予以考虑。确保已对审计信赖矩阵（）和/或审计信赖汇总表（）进行更新。 1.控制环境 A.信息系统主要管理 2007年x月x日, 通过对xxxx的访谈, 我们了解到xx信息技术部门管理范围如下: 主要应用系统清单:重要主机列表: 在信息技术部门的主要政策方面,xxx建立一系列IT 部门的有关制度和规定,规定包括: xxxxxxx xxxxxx xxxxxxx 相关规定如何传达到所有需要遵守的员工？B. 信息技术部门的组织架构 信息部门的主要架构 信息部门的职责分工和岗位职责说明 这些架构信息如何传达到员工以规范工作职责 C.信息技术部门人力资源方面以及相应培训 培训情况 招聘情况 2.信息沟通 信息部门内部沟通方式(沟通留下的证据,如会议记录等) 信息部门与其他部门,高级管理层的沟通方式(沟通留下的证据,如会议记录等) 人员考核情况 重大IT问题的沟通方式 3.风险评估 如何识别IT中的风险 年度工作计划,年度工作总结 年度预算计划 4.监控 高级管理层如何监控信息部门的工作有效性,如考核等？ 是否聘请外部公司共同监控IT各个方面安全？ PC:Understand, evaluate and validate: program changes 程序修改领域的目标是：“确保对程序和相关基础组件的修改经过请求、授权、执行、测试和实施，达到管理层应用控制的目标。”程序修改的一般要素包括：对维护活动的管理－对修改请求的规范、授权与跟踪－对程序修改实施过程的控制－测试和质量保证－程序执行－记录和培训－职责分离 对程序修改这一领域进行了解、评估，如果拟对该领域的控制予以信赖时,验证对生成财务报表账户余额的系统进行程序修改的控制。 在实施程序修改的控制时，客户会采取多种措施。以下侧重点可能会有助于识别需要评估和验证的控制活动。仅需考虑与客户财务报告相关的侧重点。在修订审计程序时,参考记录在信息技术一般控制范围的步骤中关于确定范围的决策。 对维护活动的管理 管理层应当建立程序修改的控制流程并对该流程的有效性进行监督。考虑以下内容： 管理层如何确保对包括应用程序、基础组件、经营管理单位和系统所在地的所有系统修改都遵守了控制流程的规定？ 管理层如何记录和沟通关于管理政策和程序的修改？ 管理层如何记录和沟通关于管理层角色和职责的变化？ 管理层如何对已执行的程序控制的遵守情况进行监督？ 对修改请求的规范、授权与跟踪 对修改请求的控制应当确保用户请求被接收、经过授权和区分优先顺序，以支持管理层实现应用控制的目标。考虑以下内容： 管理层如何确保所有要求修改用户的请求被接收？ 管理层如何确保所有修改用户的请求都保留有适当管理层授权的证据？ 管理层如何确保在处理修改用户的请求时会识别有问题的管理活动？ 管理层如何考虑修改请求对有关财务报表的内部控制产生的潜在影响？ 对程序修改实施过程的控制 对修改实施过程的控制应当确保修改发生、实施的过程可以支持管理层实现应用控制的目标。考虑以下内容： 管理层如何确保对内部开发的应用程序使用程序编制标准？ 管理层如何确保所有系统均存在版本控制？ 管理层如何确保已对集成应用程序和数据文件之间的相关性进行识别和考虑？ 测试和质量保证 测试和质量保证控制应当确保适当人员实施了充分测试，确保程序按照预期运行，以实现管理层应用控制的目标。考虑以下内容： 管理层如何确定各项修改的测试性质和范围（即单位测试、用户测试、回归测试）？ 管理层如何确保实施的测试不但应对已作出的修改，还要确保测试系统中的重要功能不应发生变化？ 管理层如何确保适当的用户和管理层参与测试，对程序修改可能对财务报告的内部控制产生的影响进行了适当的应对？ 在修改被推广之前，管理