【知识点】评估信息技术的风险
　　随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但内部控制的目标并没有发生改变。
　　信息技术在改进被审计单位内部控制的同时，也产生了特定的风险：
　　1.信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据；

　　2.自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏，系统程序、系统内的数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等；
　　3.数据丢失风险或数据无法访问风险，如系统瘫痪；
　　4.不适当的人工干预，或人为绕过自动控制。　　

　　【知识点】信息技术中一般控制和应用控制测试
　　在信息技术环境下，人工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册会计师仍需要按照标准执行相关的审计程序，而对于自动控制，就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑。

　　
　　一、信息技术一般控制
　　信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。
　　有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。
　　信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。
　　注意：
　　第一，当人工控制依赖系统生成的信息时，信息技术一般控制同样重要。
　　第二，如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制，他们就需要对相关的信息技术一般控制进行验证。

　　
　　二、信息技术应用控制
　　信息技术应用控制一般要经过输入、处理及输出等环节，和人工控制类似，系统自动控制关注的要素包括：完整性、准确性、存在和发生等。
　　（一）含义
　　1.完整性：系统处理数据的完整性，例如各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。
　　2.准确性：系统运算逻辑的准确性，例如金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。
　　3.存在和发生：信息系统相关的逻辑校验控制，例如限制检查、合理性检查、存在检查和格式检査等。部分业务操作的授权管理，例如入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。

　　（二）应用控制审计关注点
　　1.系统自动生成报告
　　企业的业务或财务系统会定期或按需生成各类报告，例如账龄报告、贷款逾期报告、业务和财务数据核对差异报告等。信息技术应用控制审计包括对于这些报告的生成逻辑（包括完整性和准确性）的验证、异常报告跟进控制的审阅等。
　　2.系统配置和科目映射
　　信息系统中包含了大量的自动校验控制和映射关系，包括数据完整性校验、录入合法性编辑检查、边界阈值设定、财务科目映射关系等。信息技术应用控制审计会对这些系统配置和映射关系的存在性和有效性进行验证。

　　3.接口控制
　　接口控制包括各业务系统之间、业务和财务系统之间、企业内部系统和合作伙伴/交易对手/监管机构之间的接口数据传输。信息技术应用控制审计会对这些接口数据传输的完整性和准确性进行验证。
　　4.访问和权限
　　企业内部各业务部门、财务部门、信息技术部门等均会根据各自的职责需要来对信息系统进行访问，因此在系统控制层面需要对这些权限进行明确的定义和部署，以保证适当的人员配备适当的访问权限。信息技术应用控制审计会对这些访问权限授予情况的合理性进行验证。