上期我们介绍了信息技术一般控制（ITGC）的基本概念与四大核心领域（程序开发、变更管理、访问控制及系统运行），并分析了忽视ITGC可能引发的数据错误、系统故障、合规风险及决策失误等关键问题。本期，我们将就该话题继续展开相关介绍

信息技术一般控制在审计时的主要关注点？

在审计时，会计师事务所对于被审单位信息技术一般控制的主要关注点如下：

1、系统开发与维护控制读

需评估系统开发和维护的整个过程，包括项目管理是否科学有效，需求分析是否准确全面，系统设计是否合理，编码是否符合规范，测试是否充分等，以此确保系统的可靠性和安全性，避免因开发和维护不当导致系统存在漏洞或功能缺陷。

2、访问控制

关注组织的登录身份确认机制是否严谨，访问权限管理是否合理，密码策略是否安全，账户锁定设置是否得当等，保证只有授权人员能够访问系统和数据，防止数据泄露和非法访问。

3、变更管理

审查变更请求的提出、评估、授权和记录等流程是否规范，变更测试是否充分，变更上线到正式环境的过程是否受到严格控制，确保系统和数据的变更是经过授权且有记录可查的，防止未经授权的变更引发系统故障或数据错误。

4、物理安全

对于设备与环境安全，应检查机房的访问控制措施是否严格，设备防护是否到位，备份和灾备措施是否完善，保障系统和数据的物理存储环境安全，免受自然灾害、人为破坏等因素的影响。

5、网络安全

评估防火墙、入侵检测系统、网络隔离、加密等网络安全措施的有效性，确保系统和数据在网络传输过程中的保密性、完整性和可用性，防止网络攻击和数据被窃取或篡改

6、业务连续性计划

一般为保障业务连续性，需要准备灾难恢复计划。审核备份和恢复策略是否合理，灾难演练是否定期进行，紧急响应计划是否完善，确保在灾难事件发生时系统和数据能够快速恢复，业务能够持续进行，减少因突发事件导致的业务中断损失。

7、信息安全管理政策与职责分离控制

关注组织是否制定了完善的信息安全管理政策，以及系统设置中是否明确了职责分离控制，确保各项信息技术控制措施有明确的政策依据和责任划分，避免因职责不清导致控制失效。

8、系统运行管理

包括信息技术资产管理是否规范，系统资源分配管理是否满足业务需求，系统日常运行管理是否有序，问题管理是否及时有效，以及数据备份及恢复管理是否可靠等，以保证系统的稳定运行和数据的安全性与完整性。

9、各关注点的内在联系

这些关注点相互关联，共同保障企业信息技术系统的安全稳定。系统开发与维护控制是基础，它的质量直接影响后续的访问控制、变更管理等环节。物理安全和网络安全分别从物理环境和网络层面为系统和数据提供保护，它们是系统正常运行的重要保障。而业务连续性计划则是在前面各项措施失效时的最后一道防线，确保企业业务能够持续进行。信息安全管理政策与职责分离控制贯穿于各个关注点，为各项控制措施提供指导和规范。系统运行管理则是日常对系统的维护和管理，确保系统时刻处于良好状态。

总结

以上就是信息技术一般控制在审计时的主要关注点，以及它们之间的内在联系。了解这些内容，企业就能更好地应对审计工作。后续，我们还会继续深入探讨企业应该如何加强和完善自身的相关控制，让企业的信息技术系统更加安全可靠。

本文仅列举了部分常见问题，如果您正面对类似问题寻求解决之道，欢迎联系我们获取专业咨询与支持。