信息技术一般控制

　　信息技术一般控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。

　　信息技术一般控制既包括人工进行的控制，也包括自动化控制。信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下，信息技术一般控制也可能对实现信息外理目标和财务报表认定作出直接贡献。这是因为有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动化会计程序得以持续有效运行。当人工控制依赖系统生成的信息时，信息技术一般控制同样重要。如果注册会计师计划依赖自动化信息处理控制、自动化会计程序或依赖系统生成信息的控制，他们就需要对相关的信息技术一般控制进行测试。

　　注册会计师应当清楚记录信息技术一般控制与关键的自动化信息处理控制及接口、关键的自动化会计程序、关键人工控制所依赖的系统生成数据和报告，或生成人工日记账时使用系统生成的数据和报告的关系。

　　信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。

　　1.程序开发。程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的信息处理控制目标。程序开发控制一般包括但不限于以下要素：

　　（1）程序开发的管理方法；

　　（2）项目启动、分析和设计；

　　（3）测试和质量确保；

　　（4）数据迁移；

　　（5）程序实施和应急计划；

　　（6）流程更新和用户培训；

　　（7）开发过程中的需求变更管理；

　　（8）开发过程中的职责分离。

　　2.程序变更。程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的信息处理控制目标。程序变更范围除包含代码类的常规变更外，也需要关注配置类的变更以及紧急变更。程序变更一般包括但不限于以下要素：

　　（1）对变更维护活动的管理；

　　（2）对变更请求的规范、授权与跟踪；

　　（3）测试和质量确保；

　　（4）程序实施；

　　（5）流程更新和用户培训；

　　（6）变更过程中的职责分离。

　　3.程序和数据访问。程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。程序和数据访问一般包括但不限于以下要素：

　　（1）应用用户授权管理；

　　（2）高权限用户管理；

　　（3）职责分工和权限管理；

　　（4）认证和密码控制；

　　（5）用户监控；

　　（6）物理访问和环境控制；

　　（7）网络访问控制。

　　4.计算机运行。计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行一般包括但不限于以下要素：

　　（1）系统作业管理；

　　（2）问题和故障管理；

　　（3）数据备份和恢复；

　　（4）备份介质的异地存放；

　　（5）灾难恢复。