IT一般控制穿行測試被審計單位：索引號：2620頁次：編制人：日期：財務報表截止日/期間：復核人：日期：項目合伙VITA項目合伙人：日期：編制說明：我們可以對每一個相關IT一般控制（ITGC）大類的ITGCs都執行穿行測試，并且在每個期間都執行此類測試，以確認我們對ITGC的設計和運行情況的了解。一、與測試IT一般控制相關的技術環境及其應用系統IT技術環境名稱：與IT技術環境相關的應用系統：（由于多個應用系統間存在通用的IT一般控制，因此，審計人員通常會對支持一組通用IT一般控制的IT技術環境執行穿行測試。IT技術環境的例子包括：適用于多個應用系統的通用變更管理控制、支持多個應用系統的技術平臺，或某一數據中心，其支持的應用系統采用一套通用的ITGC。在此處，識別由此項穿行測試所涵蓋的“IT技術環境”及與“IT技術環境”相關的“應用系統”。）、確定計劃計劃執行穿行測試的IT一般控制大類IT一般控制大類是否對該控制執行穿行測試系統開發變更管理信息安全IT一般控制大類是否對該控制執行穿行測試運行維護其他一般控制（對于計劃依賴IT一般控制的應用系統，我們需要執行穿行測試以確定各個相關“IT一般控制大類”目標的實現情況。IT一般控制的失敗可能對會計報表或披露產生影響時，應包括對“其他IT一般控制”的測試。）三、穿行測試的具體執行情況（記錄穿行測試的具體執行情況，相關要求詳見附錄。）四、初步評價每個具體ITGC的有效性（執行外穿行測試后，審計人員需要就所識別的IT一般控制是否被有效設計并已付諸實施得出結論。對每個IT一般控制的初步評價為下列結果之一：有效的：如果穿行測試確認IT一般控制被有效設計、實施及執行，可支持相關ITGC大類的控制目標，那么IT一般控制的初步評價結果即為有效。無效的：如果審計人員在穿行測試中發現IT一般控制設計無效，未被實施，或者未被執行，不能支持相關ITGC大類的控制目標，那么對IT一般控制的初步評價結果為無效。具體要求詳見審計技術指引C80了解、穿行測試、測試和評估IT一般控制（2012））附錄：ITGC穿行測試程序本模板幫助我們記錄瑞華審計指引《C80了解穿行測試，測試和評估ITGCs》中所描述的我們對ITGC的穿行測試。本模板能夠為我們記錄ITGC控制提供幫助，因此，鼓勵項目組使用本模板。在執行穿行測試時，我們對每個ITGC僅選擇一個樣本進行測試。穿行測試應包含相關的手工及自動ITGC。在執行ITGC穿行測試時，我們主要依靠ITGC主要控制測試程序（PCPs）來識別和評價相關的ITGC。PCPs框架基于四個“ITGC大類”（系統開發、變更管理、信息安全及運行維護）的目標，相關的ITGCs均列示在指引C80的“附錄一、針對IT一般控制大類的主要控制測試程序和其他考慮”內。參考該附錄可以獲得每個ITGC的主要控制測試程序的詳細內容。執行穿行測試所選的樣本，能夠被用來評估ITGC設計的有效性及確認ITGC是否被實施，也可以在主要控制測試程序中被用來進行執行有效性的測試。對于與本IT環境相關聯的應用系統，我們應確定所有這些應用系統都是由相同的ITGC支持的。如果確定這些應用系統是由不同的ITGC支持的，我們必須執行額外的ITGC穿行測試（或考慮識別多個IT技術環境）。例如，如果應用系統A是由不同于應用系統B的程序變更控制支持的，我們應對兩組ITGC都執行穿行測試。對于將執行ITGC穿行測試的應用系統，我們應確定各種不同的邏輯訪問路徑對控制財務程序和數據訪問的重要性，并進而確定需進行穿行測試的邏輯訪問路徑的范圍。在執行每個ITGC穿行測試時：我們應記錄處理程序是否是根據最初的了解及時執行。例如：我們通過詢問被審計單位人員，獲取其對被審計單位規定的程序的理解，以確認我們對被審計單位ITGCs設計的理解正確與否，并進而對其設計的完整性進行判斷（參見指引《C40執行穿行測試》之二、（五）與穿行測試過程中進行的詢問相關的考慮）。我們應該對被審計單位規定的程序和IT一般控制中發現的例外情況保持警惕。我們評估應用程序在設計中是否滿足恰當的不相容職責分離的要求，判斷客戶人員在執行程序時是否存在不相容職責未分離的情況。這些不相容職責包括相同的人員擁有對IT系統多個部分的訪問權限，這容易導致不恰當行為發生。我們詢問被審計單位人員的問題包括當他們遇到流程錯誤時會如何處理，錯誤的類型是什么，發現錯誤會導致什么情況發生和錯誤是如何被解決的（有關指引參見《C40執行穿行測試》之二、（五）與穿行測試過程中進行的詢問相關的考慮）。?我們評估詢問的結果是否有助于識別舞弊引起的重大錯報風險。詢問的回答可能幫助證實管理層給出的答復，或提供與管理層凌駕于控制之上的可能性相關的信息。當對其他人的詢問結果表明管理層凌駕于控制之上的可能性時，我們考慮對他們其所掌握的情況或對舞弊的懷疑繼續進行詢問。我們應使用與客戶人員在執行ITGC時所使用的相同的源文件和信息技術。執行ITGC穿行測試時所選中的項目和使用的證據應由相關的技術來源系統化的生成。如果客戶無法提供系統生成的信息，將很可能需要額外程序來驗證所提供信息的完整性和準確性。當IT環境發生重大變化時，我們應評價這些變化的性質及其對ITGC的影響，并確定是否應對變化前后的ITGC分別進行穿行測試。我們應評估在執行穿行測試過程中所獲得審計證據的數量，是否足以確定ITGC設計有效及ITGC是否被實施。如果穿行測試未能確認我們對于ITGC的初步了解，我們可能需要重新評估依賴ITGC的策略，并確定對相關應用程序控制、依靠IT的手工控制(ITDM)及電子審計證據的影響。如有必要，