信息技术一般性控制

　　信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。

　　信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。

　　有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。

　　信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。

　　对信息技术一般性控制的审计应当考虑下列控制活动：

　　（一）信息安全管理。内部审计人员应当关注组织的信息安全管理政策，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。

　　（二）系统变更管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试，变更移植到生产环境的流程控制等。

　　（三）系统开发和采购管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发的方法论，开发环境、测试环境、生产环境严格分离情况，系统的测试、审核、移植到生产环境等环节。

　　（四）系统运行管理。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。