公司内部控制审计工作底稿-实施阶段-信息系统测试模版

信息系统一般控制（ITGC）测试（穿行测试）

索引号：ITGC-1

被审计单位：编制人：编制日期：

截止日期：复核人：复核日期：

一、ITGC测试目的

对每个相关ITGC(IT GENERAL CONTROL)种类进行穿行测试。我们进行ITGC穿行测试以确认我们对于IT

二、ITGC穿行测试程序

由于多个应用程序间存在通用的ITGC，因此，通常会对支持一组通用ITGC的IT技术环境执行穿行测试

例子包括：跨越多个应用程序的通用管理变更控制、支持多个应用程序的技术平台，或拥有特定区域支持的应用程序通用的一组ITGC的数据中心。

在下面的空白处，识别由此项穿行测试所涵盖的“IT 技术环境”及与“IT 技术环境”相关的“应用程序”。

注：信息系统环境的技术构成包括：应用系统、数据库管理系统、操作系统、网络和互联网/远程访问

常见的应用系统包括：金蝶、用友、SAP、Oracle Financials或者企业自行开发的应用系统等

常见的数据库管理系统包括：Oracle、DB2、Microsoft SQL Server等

网络是指共同分享沟通的计算机群和相关设备，通常共享存储在计算机服务器上的资源

互联网/远程访问是指把应用系统用户从外部资源链接到信息系统环境的方法、流程和技术

对于计划依赖ITGC的应用程序，我们应对能够达到每个相关“ITGC 种类”目标的ITGC执行穿行测试。

能对会计报表或披露产生影响时，应包括“其他ITGC”种类。选出应当执行穿行测试的“ ITGC 种类”

三、ITGC穿行测试

（一）管理变更

1、管理变更穿行测试

目标：只允许对应用程序、界面、数据库和操作系统进行经过适当授权、测试和批准的变更。记录我们对于客户针对“管理变更”种类的程序的了解或参考客户的ITGC文档。

描述为“管理变更”种类所执行的ITGC穿行测试以及为确认我们对ITGC的设计及其已被执行的了解所获得的证据。

2、管理变更程序（授权、测试和批准）

（二）逻辑存取

1、逻辑存取穿行测试

目标:只允许经授权的人员访问数据和应用程序（包括程序、表格以及相关资源），并且这些人员只能执行明确授权的职能（例如：询问、执行和更新）。记录我们对于客户针对“逻辑存取”种类的程序的了解或参考客户的ITGC文档。

描述为“逻辑存取”种类所执行的ITGC穿行测试以及为确认我们对ITGC的设计及其已被执行的了解所获得的证据。

2、一般系统安全设置

（三）其他ITGC，包括IT运行

1、其他ITGC，包括IT运行的穿行测试

目标：正确备份支持财务信息的数据，以便在出现系统中断或数据完整性问题时，可以准确完整地恢

备份和恢复）。按计划执行程序，及时识别并消除按计划处理时产生的偏差（即时间安排）。及时识别、解决、复核和分析 IT 运行问题或事件(即问题和事件的管理及监控)。在相关控制的失败可能对会计报表或披露产生影响时，应包括其他 ITGC，包括IT运行种类。记录我们对于客户针对“其他 ITGC,包括IT运行”种类的程序的了解或参考客户的

2、描述为“其他ITGC，包括IT运行”种类所执行的ITGC穿行测试以及为确认我们对ITGC的设计及其已被执行的了解所获得的证据。