随着信息系统(系统和软件)的发展和所使用硬件的技术进步,公司内部的信息技术(IT)环
境已经发生了显著变化。此外,国际组织标准(美国反虚假财务报告委员会(COSO)、(国
际信息系统审计协会)ISACA、国际标准化组织(ISO))关于信息安全框架的内容也发生了
实质性变化。在这种情况下,了解信息技术一般控制(ITGC)(也称一般信息技术控制)变得
至关重要。
IT环境的重大和持续变化会导致访问风险增加,并对财务报告产生影响。财务数据(财务报告
的来源)存储在数据库等系统中,其功能是确保数据的访问和处理。授予/获得的用户访问权限
会影响数据保护,包括以下Shiva密码身份验证协议(SPAP 315, A64):
- 身份验证控制:确保访问IT环境内应用程序或其他方面的用户拥有适当的凭证。
- 授权控制:允许用户根据其工作职责和适当的职责分工访问所需信息。
- 对配置、撤销和修改访问权限的控制:授权新用户和更改现有用户访问权限,包括解约(辞职)后取消用户访问权限。
- 特权访问权限控制:允许具有管理员(超级管理员)访问权限或具有高级或特殊访问权限的用户进行系统或应用程序的管理。
- 用户访问审查控制:重新认证或评估用户访问的持续授权。
- 安全配置控制:大多数技术都有关键配置的设置,有助于限制访问,防止潜在数据丢失以及防止在需要时无法访问数据。
- 物理访问控制:对数据中心、硬件或其他IT资产的物理访问。
按照国际审计与鉴证准则理事会(IAASB)在《国际审计准则第315号》(ISA 315)(2019年修订版
)中的规定,审计师必须通过建议的ITGC框架来了解客户的IT环境,并重点关注数据安全。审计师将评
估风险,并运用专业判断来确定IT环境中的风险因素以及减轻风险的适当控制措施。
ITGC是什么?
ITGC包括为了确保数据保密性、完整性和可用性,某一组织管理(控制)IT系统运行所使用的政策和程
序。ITGC涵盖IT的方方面面,包括软件实施、用户账户创建和数据管理。
ITGC可分为以下几个大类,包括:
ITGC为何重要?
ITGC的重要性在于:其能帮助公司确保业务流程和财务报告中所使用信息系统的有效性和合规性。
ITGC不仅可以提高信息系统所产生数据、程序和输出结果的安全性和完整性,还能防止未授权访问、数
据泄露和运行中断。另外,ITGC还可以降低错误、操纵或滥用信息技术的风险,以防对公司的业绩和声
誉造成负面影响。有效的ITGC可以提高财务报告的可靠性和准确性,并有助于降低舞弊风险。ITGC要
求满足适用的审计标准和法规。
ITGC审查的执行方、执行时间及益处
理想状态下,应由独立的外部机构定期进行ITGC审查或评估,至少每年一次(建议在一般审计之前进行
)或根据公司面临的风险情况按需开展。因为ITGC审查和评估于公司有益,所以必须开展且由独立的外
部机构进行,益处包括:
a. 在利益相关方、监管机构、审计师和客户之间就公司所用信息系统的质量和合规性建立信任和信誉。
b. 从具有IT审计能力和经验的外部机构获得客观、专业的意见和建议。
c. 识别ITGC实施过程中的薄弱环节、风险和改进机会,并建议采取适当的纠正和预防措施。
d. 符合适用的审计准则和规定,如SOX合规性要求公司定期评估ITGC的有效性。
独立机构通常会选择信永中和的数字化转型和网络信任服务对其客户进行ITGC评估,原因如下:
1.深厚的专业知识有助于我们了解控制系统和风险的复杂性。
2.相关性和最新知识确保我们的服务符合最新的国际技术和审计准则。
3.由ITGC成功实施的数据和事实构成的结果具有可衡量性,提供可衡量的结果将是我们服务的一部分
,能够产生实际影响。
4.在改进层面提供支持,不仅注重ITGC评估,还注重对客户控制系统的改进和强化措施提供建议。