审计师层面的信息技术一般控制:程序及益处

, ,

English
Chinese
Bahasa

随着信息系统(系统和软件)的发展和所使用硬件的技术进步,公司内部的信息技术(IT)环境已经发生了显著变化。此外,国际组织标准(美国反虚假财务报告委员会(COSO)、(国际信息系统审计协会)ISACA、国际标准化组织(ISO))关于信息安全框架的内容也发生了实质性变化。在这种情况下,了解信息技术一般控制(ITGC)(也称一般信息技术控制)变得至关重要。

IT环境的重大和持续变化会导致访问风险增加,并对财务报告产生影响。财务数据(财务报告的来源)存储在数据库等系统中,其功能是确保数据的访问和处理。授予/获得的用户访问权限会影响数据保护,包括以下Shiva密码身份验证协议(SPAP 315, A64):

  • 身份验证控制:确保访问IT环境内应用程序或其他方面的用户拥有适当的凭证。
  • 授权控制:允许用户根据其工作职责和适当的职责分工访问所需信息。
  • 对配置、撤销和修改访问权限的控制:授权新用户和更改现有用户访问权限,包括解约(辞职)后取消用户访问权限。
  • 特权访问权限控制:允许具有管理员(超级管理员)访问权限或具有高级或特殊访问权限的用户进行系统或应用程序的管理。
  • 用户访问审查控制:重新认证或评估用户访问的持续授权。
  • 安全配置控制:大多数技术都有关键配置的设置,有助于限制访问,防止潜在数据丢失以及防止在需要时无法访问数据。
  • 物理访问控制:对数据中心、硬件或其他IT资产的物理访问。

按照国际审计与鉴证准则理事会(IAASB)在《国际审计准则第315号》(ISA 315)(2019年修订版)中的规定,审计师必须通过建议的ITGC框架来了解客户的IT环境,并重点关注数据安全。审计师将评估风险,并运用专业判断来确定IT环境中的风险因素以及减轻风险的适当控制措施。

ITGC是什么?

ITGC包括为了确保数据保密性、完整性和可用性,某一组织管理(控制)IT系统运行所使用的政策和程序。ITGC涵盖IT的方方面面,包括软件实施、用户账户创建和数据管理。

ITGC可分为以下几个大类,包括:

  1. 一般IT管理控制,包括IT系统管理和监督、长期IT战略规划和IT风险评估。一般IT管理控制还包括IT安全控制。
  2. 访问控制,包括防止未授权访问和数据操纵的各种方法。访问控制还包括用户身份验证、数据加密、账户锁定和审计跟踪。
  3. 系统发展生命周期(SDLC)控制,包括系统开发、测试、实施和维护。系统发展生命周期控制还包括文档、审批、变更跟踪和绩效评估。
  4. 程序变更控制,包括管理程序和系统配置变更。程序变更控制还包括影响分析、回归测试、职责分离和活动日志记录。
  5. 物理硬件和数据中心安全控制,包括物理环境(硬件)受到外部和内部威胁(包括损坏、电力中断和自然灾害)时采取的安全措施。数据中心物理安全控制包括门锁和窗锁、警报和闭路监控(CCTV)系统、烟雾和火灾探测系统以及空调系统。
  6. 备份和系统/数据恢复控制,包括数据的定期复制和备份(备份和恢复),以便在数据丢失或损坏时能够迅速恢复。备份和系统/数据恢复控制还包括备份时间安排、备份介质的安全存储、例行恢复测试和灾难恢复计划(DRP)。
  7. 计算机运行控制,包括IT系统的高效和有效运行。计算机运行控制还包括系统性能监测、技术问题解决、容量和可用性管理以及事故报告(帮助台)。

ITGC为何重要?

ITGC的重要性在于:其能帮助公司确保业务流程和财务报告中所使用信息系统的有效性和合规性。ITGC不仅可以提高信息系统所产生数据、程序和输出结果的安全性和完整性,还能防止未授权访问、数据泄露和运行中断。另外,ITGC还可以降低错误、操纵或滥用信息技术的风险,以防对公司的业绩和声誉造成负面影响。有效的ITGC可以提高财务报告的可靠性和准确性,并有助于降低舞弊风险。ITGC要求满足适用的审计标准和法规。

ITGC审查的执行方、执行时间及益处

理想状态下,应由独立的外部机构定期进行ITGC审查或评估,至少每年一次(建议在一般审计之前进行)或根据公司面临的风险情况按需开展。因为ITGC审查和评估于公司有益,所以必须开展且由独立的外部机构进行,益处包括:

  • 在利益相关方、监管机构、审计师和客户之间就公司所用信息系统的质量和合规性建立信任和信誉。 
  • 从具有IT审计能力和经验的外部机构获得客观、专业的意见和建议。 
  • 识别ITGC实施过程中的薄弱环节、风险和改进机会,并建议采取适当的纠正和预防措施。
  • 符合适用的审计准则和规定,如SOX合规性要求公司定期评估ITGC的有效性。

外部独立机构开展ITGC评估的方式

计划

现场工作

报告和建议

独立机构通常会选择信永中和的数字化转型和网络信任服务对其客户进行ITGC评估,原因如下:

  • 深厚的专业知识有助于我们了解控制系统和风险的复杂性。 
  • 相关性和最新知识确保我们的服务符合最新的国际技术和审计准则。
  • 由ITGC成功实施的数据和事实构成的结果具有可衡量性,提供可衡量的结果将是我们服务的一部分,能够产生实际影响。
  • 在改进层面提供支持,不仅注重ITGC评估,还注重对客户控制系统的改进和强化措施提供建议。

Author

  • As the webmaster and author for SW Indonesia, I am dedicated to providing informative and insightful content related to accounting, taxation, and business practices in Indonesia. With a strong background in web management and a deep understanding of the accounting industry, my aim is to deliver valuable knowledge and resources to our audience. From articles on VAT regulations to tips for e-commerce taxation, I strive to help businesses navigate the complexities of the Indonesian tax system. Trust SW Indonesia as your go-to source for reliable and up-to-date information, empowering you to make informed decisions and drive success in your business ventures.

    View all posts

Related Article

REGULATION OF MINIMUM WAGE

REGULATION OF MINIMUM WAGE

Aug 1, 2025 5 min read

Authenticity of Electronic Signature

Authenticity of Electronic Signature

Feb 4, 2025 11 min read

Carbon Tax in Indonesia

Carbon Tax in Indonesia

Feb 12, 2025 4 min read

Services

Network

Insight

Life at SW

JakartaUOB Plaza 34th Floor, Jl. M.H. Thamrin Kav. 8-10, Jakarta 10230
TangerangUnity Building 3rd Floor, Jl. Boulevard Gading Serpong M5/21. Tangerang 15810
SurabayaSpazio Building 5th Floor, Jl. Mayjen Yono Suwoyo Kav.3, Surabaya 60226

Copyright © 2026 SW Indonesia