发布时间 : 星期日 文章0-信息技术控制测试更新完毕开始阅读0165b9a60129bd64783e0912a216147917117eea
什么时候必须测试信息技术一般控制?
有自动复杂计算功能的系统 系统技术落后,供应商已不在提供支持服务 没有被广泛应用的新兴技术
客户自行开发软件,或者对市场常规软件有重大修改的软件 企业资源规划系统 (ERP)
系统与系统间存在大量自定义的接口 处理大量交易的系统
为一个复杂企业处理的系统
复杂的信息技术设施
39
?????????
信息技术一般控制的特定风险
? 依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序 ? 未经授权的数据访问会导致数据损坏或者被不正当的修改,包括未经授 权地记录不存在的交易或者不正确的交易
? 未经授权修改主数据库中的数据
? 未经授权修改系统或者程序
? 未能对系统或程序进行必要的修改
? 不恰当的人为干预
? 丢失数据的可能性
40
信息技术一般控制 – 什么是与测试相关的?
? 访问程序和数据的权限 ? 程序变更
这两个方面总是与测试相关的,它们的复杂
程度和审计证据的类型在审计客户中是有巨 大的差异的。
? 程序开发
只有当新系统的运行会对财务报告内部控制以及重大错报 风险有影响时,才与测试相关。如果对于当年的财务报表 和财务报告内部控制没有影响,就不需要测试。
? 计算机运行
只有在可以直接与重要账户的认定相关或者与特定风险相关 时,这项测试是相关的 (通常发生在交易量庞大,信息系统 复杂的行业, 比如银行)。
我们需要考虑每个领域的风险,哪怕我们不打算获得系统有效性的证据。
41
测试信息技术一般控制 – 性质、时间、范围
询问、观察、检查、重新执行; 也有审阅系统参数设置
42
性质:??
时间:安排在应用系统控制测试之前范围:运用职业判断确定测试范围