控制测试能实行穿行测试么（信息系统一般控制的了解）

C80.4 初步评价每个具体 ITGC 的有效性，我来为大家科普一下关于控制测试能实行穿行测试么?下面希望有你要的答案，我们一起来看看吧!

控制测试能实行穿行测试么

C80.4 初步评价每个具体 ITGC 的有效性

执行完穿行测试后，我们需就所识别出的IT一般控制是否被有效设计并已付诸实施得出结论。

对每个IT一般控制的初步评价为下列结果之一：

●有效的：如果穿行测试确认IT一般控制被有效设计、实施及执行，可支持相关ITGC大类的控制目标，那么IT一般控制的初步评价结果即为有效。

●无效的：如果我们在穿行测试中发现IT一般控制设计无效，未被实施，或者未被执行，不能支持相关ITGC大类的控制目标，那么我们对IT一般控制的初步评价结果即为无效。

C80.5 选择要测试的 IT 一般控制

对于依赖IT一般控制的情况下，我们选择IT一般控制进行测试。结合识别、了解、穿行测试和初步评价IT一般控制的设计有效性等程序，来评价是否满足相关ITGC大类的目标（如C80.2识别范围内的ITGC大类中所述）。如果我们对某个IT一般控制设计的初步评价是无效的，则不能选择这些IT一般控制进行测试 。

C80.6 设计 IT 一般控制测试

我们设计IT一般控制测试，判断它们是否在整个审计期间有效运行。我们为每个被选择测试的IT一般控制设计测试程序，并依靠职业判断来决定此类测试的性质、时间和范围。

我们使用主要控制程序作为我们设计IT一般控制测试的起点，对每个审计项目制定测试的时间和范围。如果我们不执行主要控制测试程序，则需记录如何实现主要控制测试程序的目标，以确认IT一般控制的执行有效性。

C80.6.1ITGCs 测试的性质

我们一般通过执行如下一个或多个测试流程，来确认IT一般控制的有效运行：

●询问；

●观察；

●检查；

●重新执行IT一般控制。

ITGCs的测试通常也是通过抽样测试的方式进行。我们应执行必要程序来验证用于选择样本的抽样总体的完整性。由于信息系统的技术特征，ITGCs的测试也可以采用检查系统参数设置的方式来进行。例如，我们通过检查系统安全相关的技术参数来测试各IT环境技术组成部分的密码设置是否适当。

用于选择样本的总体和用于支持自动ITGCs的证据应通过技术方式从系统中直接生成。如果被审计单位无法从系统中生成相关信息，我们需要执行额外程序来验证所提供信息的完整性和准确性。

例如：如果被审计单位系统中无法生成程序变更的清单，我们需考虑以下流程：

●从被审计单位获取其他方式生成的程序变更清单（可以是手工维护的清单，也可以是从自动跟踪系统中产生的清单）。

●确认该程序变更的清单是完整的。我们通过查看系统中各可执行模块在审计期间内的编辑日期或变更日期，来获取实际变更的列表（在许多情况下，这可能仅是模块最后的变更日期；然而，就完整性测试的目标而言，这样做已经足够了）。我们从该列表中选择一个审计期间内程序变更的样本，确定该变更是否包含在从被审计单位获取的程序变更清单中。

证明ITGCs是否被实施及ITGCs是否在整个审计期间有效执行所需的审计证据及审计程序的性质，会受到IT一般控制的类型（手工或自动化）的影响。有些情况下，我们仅能获取ITGCs已付诸实施的证据，但无法获取相关IT一般控制执行有效性的证据。

例如：

●执行定期访问权限复核后，可能有实物证据表明执行了该ITGC，但没有任何证据可以说明该ITGC是有效的。因此，当存在ITGCs的手工组成部分时，我们可以扩大样本规模和重新执行ITGC的某一部分以获取有关控制有效性的证据。

●被审计单位可能提供系统配置报告，作为自动ITGC有效运行的证据。鉴于改写或客户化可能禁用或改变系统配置的功能，此系统配置报告证据可能不足以使我们确定自动ITGC在有效运行。因此，根据自动ITGC 的重要性，我们可能需要观察ITGC的正常运行以获取有关ITGC有效性的合理保证。

C80.6.2 ITGCs 测试的时间

决定何时测试相关ITGCs及这些测试涵盖的期间需要运用职业判断。 ITGC测试涵盖的期间因所测试的ITGCs的性质、特定ITGC运行的频率以及被审计单位适用的特定政策的不同而有所分别。（例如，某些ITGC持续运行[如：系统配置]，而其他ITGCs只在某些时段运行[如：定期的访问权限复核]）。

当在一个中间日进行ITGCs测试时，应谨记，我们的控制信赖程度越高（即我们打算更多的依赖控制测试，以减少实质性程序），我们就越需要获取ITGCs在整个期间有效运行的证据。

C80.6.3 ITGCs 测试的范围

我们需要测试ITGCs，为相关控制在整个审计期间内有效运行提供合理保证。此时，我们需要运用职业判断并考虑一系列因素来确定控制测试的范围。

ITGCs通常不需要符合基准。然而，如果涉及的ITGC是系统性的，并且我们可以满足与程序识别和变更评价相关的基准标准，则对ITGC进行基准检查可能是适当的。在做出这种决定时，我们应运用职业判断。

,