2620IT一般控制穿行测试模板(选用)

IT一般控制穿行测试被审计单位：索引号：2620页次：编制人：日期：财务报表截止日/期间：复核人：日期：项目合伙VITA项目合伙人：日期：编制说明：我们可以对每一个相关IT一般控制（ITGC）大类的ITGCs都执行穿行测试，并且在每个期间都执行此类测试，以确认我们对ITGC的设计和运行情况的了解。一、与测试IT一般控制相关的技术环境及其应用系统IT技术环境名称：与IT技术环境相关的应用系统：（由于多个应用系统间存在通用的IT一般控制，因此，审计人员通常会对支持一组通用IT一般控制的IT技术环境执行穿行测试。IT技术环境的例子包括：适用于多个应用系统的通用变更管理控制、支持多个应用系统的技术平台，或某一数据中心，其支持的应用系统采用一套通用的ITGC。在此处，识别由此项穿行测试所涵盖的“IT技术环境”及与“IT技术环境”相关的“应用系统”。）、确定计划计划执行穿行测试的IT一般控制大类IT一般控制大类是否对该控制执行穿行测试系统开发变更管理信息安全IT一般控制大类是否对该控制执行穿行测试运行维护其他一般控制（对于计划依赖IT一般控制的应用系统，我们需要执行穿行测试以确定各个相关“IT一般控制大类”目标的实现情况。IT一般控制的失败可能对会计报表或披露产生影响时，应包括对“其他IT一般控制”的测试。）三、穿行测试的具体执行情况（记录穿行测试的具体执行情况，相关要求详见附录。）四、初步评价每个具体ITGC的有效性（执行外穿行测试后，审计人员需要就所识别的IT一般控制是否被有效设计并已付诸实施得出结论。对每个IT一般控制的初步评价为下列结果之一：有效的：如果穿行测试确认IT一般控制被有效设计、实施及执行，可支持相关ITGC大类的控制目标，那么IT一般控制的初步评价结果即为有效。无效的：如果审计人员在穿行测试中发现IT一般控制设计无效，未被实施，或者未被执行，不能支持相关ITGC大类的控制目标，那么对IT一般控制的初步评价结果为无效。具体要求详见审计技术指引C80了解、穿行测试、测试和评估IT一般控制（2012））附录：ITGC穿行测试程序本模板帮助我们记录瑞华审计指引《C80了解穿行测试，测试和评估ITGCs》中所描述的我们对ITGC的穿行测试。本模板能够为我们记录ITGC控制提供帮助，因此，鼓励项目组使用本模板。在执行穿行测试时，我们对每个ITGC仅选择一个样本进行测试。穿行测试应包含相关的手工及自动ITGC。在执行ITGC穿行测试时，我们主要依靠ITGC主要控制测试程序（PCPs）来识别和评价相关的ITGC。PCPs框架基于四个“ITGC大类”（系统开发、变更管理、信息安全及运行维护）的目标，相关的ITGCs均列示在指引C80的“附录一、针对IT一般控制大类的主要控制测试程序和其他考虑”内。参考该附录可以获得每个ITGC的主要控制测试程序的详细内容。执行穿行测试所选的样本，能够被用来评估ITGC设计的有效性及确认ITGC是否被实施，也可以在主要控制测试程序中被用来进行执行有效性的测试。对于与本IT环境相关联的应用系统，我们应确定所有这些应用系统都是由相同的ITGC支持的。如果确定这些应用系统是由不同的ITGC支持的，我们必须执行额外的ITGC穿行测试（或考虑识别多个IT技术环境）。例如，如果应用系统A是由不同于应用系统B的程序变更控制支持的，我们应对两组ITGC都执行穿行测试。对于将执行ITGC穿行测试的应用系统，我们应确定各种不同的逻辑访问路径对控制财务程序和数据访问的重要性，并进而确定需进行穿行测试的逻辑访问路径的范围。在执行每个ITGC穿行测试时：我们应记录处理程序是否是根据最初的了解及时执行。例如：我们通过询问被审计单位人员，获取其对被审计单位规定的程序的理解，以确认我们对被审计单位ITGCs设计的理解正确与否，并进而对其设计的完整性进行判断（参见指引《C40执行穿行测试》之二、（五）与穿行测试过程中进行的询问相关的考虑）。我们应该对被审计单位规定的程序和IT一般控制中发现的例外情况保持警惕。我们评估应用程序在设计中是否满足恰当的不相容职责分离的要求，判断客户人员在执行程序时是否存在不相容职责未分离的情况。这些不相容职责包括相同的人员拥有对IT系统多个部分的访问权限，这容易导致不恰当行为发生。我们询问被审计单位人员的问题包括当他们遇到流程错误时会如何处理，错误的类型是什么，发现错误会导致什么情况发生和错误是如何被解决的（有关指引参见《C40执行穿行测试》之二、（五）与穿行测试过程中进行的询问相关的考虑）。•我们评估询问的结果是否有助于识别舞弊引起的重大错报风险。询问的回答可能帮助证实管理层给出的答复，或提供与管理层凌驾于控制之上的可能性相关的信息。当对其他人的询问结果表明管理层凌驾于控制之上的可能性时，我们考虑对他们其所掌握的情况或对舞弊的怀疑继续进行询问。我们应使用与客户人员在执行ITGC时所使用的相同的源文件和信息技术。执行ITGC穿行测试时所选中的项目和使用的证据应由相关的技术来源系统化的生成。如果客户无法提供系统生成的信息，将很可能需要额外程序来验证所提供信息的完整性和准确性。当IT环境发生重大变化时，我们应评价这些变化的性质及其对ITGC的影响，并确定是否应对变化前后的ITGC分别进行穿行测试。我们应评估在执行穿行测试过程中所获得审计证据的数量，是否足以确定ITGC设计有效及ITGC是否被实施。如果穿行测试未能确认我们对于ITGC的初步了解，我们可能需要重新评估依赖ITGC的策略，并确定对相关应用程序控制、依靠IT的手工控制(ITDM)及电子审计证据的影响。如有必要，