itgc-testing - SKILL.md Agent Skill

name: itgc-testing description: "执行IT一般控制测试，基于COBIT框架，覆盖访问控制、变更管理、系统开发和IT运维四大领域"

IT一般控制测试 (ITGC Testing)

When To Use

审计中依赖信息系统生成的报告或数据时，需要测试ITGC
SOX合规审计中IT系统支持财务报告流程时
客户引入新系统或现有系统发生重大变更时
需要评估自动化控制所依赖的IT环境可靠性时
客户IT治理和风险管理需要评估时

Tools

write - 创建ITGC测试矩阵和工作底稿
read - 审阅IT政策、系统配置文档、用户权限清单
grep - 搜索系统日志、变更记录
bash - 执行权限分析脚本、日志比对

Framework

COBIT 2019 Framework References

ITGC四大领域与COBIT治理/管理目标的映射:

1. 访问控制 (Access to Programs and Data)

DSS05: Managed Security Services
DSS06: Managed Business Process Controls
关注: 用户账号管理、权限分配、认证机制、特权账号、定期权限复核

2. 变更管理 (Program Change Management)

BAI06: Managed IT Changes
BAI07: Managed IT Change Acceptance and Transitioning
关注: 变更请求、审批、开发、测试、上线、紧急变更

3. 系统开发 (Program Development)

BAI02: Managed Requirements Definition
BAI03: Managed Solutions Identification and Build
BAI04: Managed Solution Availability
BAI05: Managed Organizational Change
BAI11: Managed Projects
关注: 需求定义、开发流程、用户验收测试、上线审批、数据迁移

4. IT运维 (Computer Operations)

DSS01: Managed Operations
DSS02: Managed Service Requests and Incidents
DSS03: Managed Problems
DSS04: Managed Continuity
APO12: Managed Risk
关注: 作业调度、备份恢复、事件管理、批处理监控、灾难恢复

ISO 27001:2022 参考

ITGC测试亦可参考ISO 27001 Annex A控制项:

A.5: Organizational controls (安全策略、职责分离)
A.6: People controls (安全意识、入职离职)
A.7: Physical controls (机房安全)
A.8: Technological controls (访问控制、加密、变更管理)

SOX/PCAOB相关要求

参照PCAOB AS 2201 §36-38及IT Audit Guidance:

当审计师依赖系统生成的信息时，需要测试ITGC
ITGC有效性是自动化控制可信赖的前提条件
需要评估ITGC对应用层面控制的影响

Workflow

Step 1: IT环境了解

识别支持财务报告的关键IT系统
了解系统架构（本地部署/云端/混合）
确定系统所有者和IT负责人
获取IT组织架构和职责分工
了解IT外包情况（如适用）

Step 2: ITGC范围界定

列出所有相关IT系统及组件
评估各系统对财务报告的重要性
确定需要测试的系统范围
识别各系统适用的ITGC领域
评估第三方服务商ITGC（SOC报告审阅）

Step 3: 控制识别与穿行

获取IT政策和程序文档
访谈IT管理层和关键人员
识别各领域的关键控制点
执行穿行测试验证控制设计
编制ITGC风险控制矩阵

Step 4: 控制测试执行

根据控制频率确定样本量
获取测试证据（配置截图、日志、审批记录）
执行测试并记录结果
对发现的偏差进行调查
评估控制缺陷等级

Step 5: 汇总与评估

汇总各系统/各领域测试结果
评估ITGC总体有效性
确定对应用层面控制和实质性程序的影响
编制ITGC测试报告

Output Format

ITGC测试矩阵模板

============================================================
ITGC测试矩阵 (ITGC Testing Matrix)
============================================================
客户名称: [客户名称]
报告期间: [YYYY年MM月DD日 至 YYYY年MM月DD日]
编制人: [姓名] | 编制日期: [YYYY-MM-DD]
复核人: [姓名] | 复核日期: [YYYY-MM-DD]
索引号: [索引号]
============================================================

一、IT系统清单
------------------------------------------------------------
系统编号 | 系统名称     | 版本    | 部署方式 | 所有者     | 对财务报告影响
SYS-01   | SAP ERP      | S/4HANA | 本地     | IT总监     | 高
SYS-02   | Oracle HCM   | 12.2    | 云端     | HR总监     | 中
SYS-03   | 银企直连系统  | V3.0    | 本地     | 财务总监   | 高

二、访问控制测试
------------------------------------------------------------

2.1 用户账号管理

测试控制: 新员工入职时，由HR发起IT账号开通申请，
         IT管理员在AD和相关系统中创建账号，
         部门经理审批权限分配。
控制频率: 每笔 (事件驱动)
样本量: 25笔
测试期间: [日期范围]

序号 | 员工编号 | 姓名   | 入职日期 | 申请日期 | 审批人   | 账号开通日期 | 结果
1    | EMP-0156 | 王小明 | 2024-01-15 | 2024-01-10 | 张经理 | 2024-01-14 | 通过
2    | EMP-0178 | 李华   | 2024-02-01 | 2024-01-25 | 刘经理 | 2024-01-31 | 通过
...

测试控制: 员工离职时，由HR通知IT禁用相关账号，
         IT在24小时内完成账号禁用。
样本量: 15笔

序号 | 员工编号 | 姓名   | 离职日期 | 通知日期 | 禁用日期 | 是否24小时内 | 结果
1    | EMP-0089 | 赵强   | 2024-03-15 | 2024-03-15 | 2024-03-15 | 是 | 通过
...

2.2 权限分配与职责分离 (SoD)

测试控制: 系统权限按照权限矩阵分配，关键职责分离
         在系统中进行配置约束。

权限冲突矩阵:
功能A          | 功能B          | 冲突类型 | 风险等级
创建采购订单    | 审批采购订单    | SoD冲突  | 高
录入应付发票    | 执行付款        | SoD冲突  | 高
维护供应商主数据 | 创建采购订单    | SoD冲突  | 中

测试结果: [是否有SoD冲突，如有则逐一列出并评估补偿控制]

2.3 特权账号管理

测试控制: 特权账号（SAP_ALL、DBA、域管理员）仅授予
         必要人员，使用需审批，活动有日志记录。

账号名称   | 类型     | 授权人员  | 人数 | 是否有审批流程 | 是否有日志 | 结果
SAP_ALL    | 应用超级 | 2人      | 合理 | 是           | 是         | 通过
ora_dba    | 数据库   | 3人      | 合理 | 是           | 是         | 通过

2.4 定期权限复核

测试控制: IT部门每季度导出系统用户权限清单，
         各部门负责人审阅并确认权限的适当性。

复核期间     | 复核完成日期 | 是否及时 | 是否有调整 | 证据形式       | 结果
2024 Q1      | 2024-04-05  | 是      | 是(3人调减) | 审批邮件       | 通过
2024 Q2      | 2024-07-08  | 是      | 否          | 签字确认表     | 通过

三、变更管理测试
------------------------------------------------------------

3.1 标准变更流程

测试控制: 所有系统变更需经过提出→审批→开发→测试→
         上线审批的标准流程，开发与生产环境分离。

样本量: 25笔变更

序号 | 变更编号    | 描述            | 申请日期 | 审批人  | 测试通过 | 上线审批 | 结果
1    | CHG-2024-001 | 发票校验规则修改 | 2024-01-10 | 张经理 | 是     | 是      | 通过
2    | CHG-2024-015 | 报表字段新增     | 2024-02-15 | 李经理 | 是     | 是      | 通过
...

3.2 紧急变更管理

测试控制: 紧急变更可先上线后补审批，但须在48小时内
         完成事后审批和文档补录。

序号 | 变更编号     | 紧急原因        | 上线日期 | 事后审批日期 | 是否48小时内 | 结果
1    | ECHG-2024-003 | 生产系统故障修复 | 2024-03-20 | 2024-03-21 | 是          | 通过
...

3.3 职责分离

测试: 变更的申请人、审批人、实施人是否为不同人员。
偏差: [如有同一人既是审批人又是实施人的情况]

四、系统开发测试
------------------------------------------------------------

4.1 项目审批与需求管理

测试控制: 新系统/重大升级项目需经项目委员会审批，
         需求文档需业务方确认签字。

适用项目: [列出测试期间内的开发项目]
样本量: [根据项目数量确定]

项目编号   | 项目名称         | 审批日期 | 需求确认 | UAT通过 | 上线审批 | 结果
PRJ-2024-01 | 电子发票模块上线 | 2024-01 | 是      | 是      | 是      | 通过

4.2 数据迁移

测试控制: 数据迁移需执行数据完整性校验，
         迁移前后数据对比差异需在可接受范围内。

五、IT运维测试
------------------------------------------------------------

5.1 作业调度与批处理

测试控制: 关键批处理作业（如夜间对账、报表生成）
         按计划时间自动执行，异常时自动告警。

作业名称       | 计划时间  | 成功率  | 异常处理 | 结果
SAP夜间对账    | 02:00    | 99.5%  | 有告警   | 通过
报表自动生成    | 06:00    | 100%   | 有告警   | 通过

5.2 备份与恢复

测试控制: 数据库每日全量备份，每小时增量备份，
         每季度执行一次恢复测试。

备份类型   | 频率   | 测试期间成功率 | 最近恢复测试日期 | 结果
全量备份   | 每日   | 100%          | 2024-02-15      | 通过
增量备份   | 每小时 | 100%          | -               | 通过

5.3 灾难恢复

测试控制: 每年至少执行一次灾难恢复演练，
         RTO和RPO满足业务连续性要求。

RTO要求: [X小时] | RPO要求: [X小时]
最近演练日期: [YYYY-MM-DD] | 演练结果: [通过/未通过]

六、第三方服务提供商 (SOC报告)
------------------------------------------------------------

服务商名称 | 服务内容       | SOC报告类型 | 报告期间     | 是否有例外 | 影响评估
阿里云     | IaaS基础设施   | SOC 1 Type II | 2023.10-2024.09 | 无      | 低风险
金蝶       | 财务系统托管   | SOC 1 Type II | 2023.07-2024.06 | 1项     | 需关注

SOC报告例外事项分析:
[如有例外，详细说明对客户控制环境的影响及补偿措施]

七、ITGC缺陷评估
------------------------------------------------------------
领域       | 缺陷描述       | 影响系统  | 缺陷等级    | 对审计策略影响
访问控制   | [描述]         | [系统]   | [等级]      | [影响]
变更管理   | [描述]         | [系统]   | [等级]      | [影响]

八、总体结论
------------------------------------------------------------
ITGC总体评价: [有效/存在重要缺陷/存在重大缺陷]
对应用层面控制的影响: [说明]
对实质性程序的影响: [说明]
后续跟进事项: [如有]
============================================================

Diagnostic Questions

系统范围: 客户使用哪些关键IT系统支持财务报告？是否有ERP、CRM、HR系统？
部署架构: 系统是本地部署还是云端？是否有混合架构？
IT组织: IT部门架构如何？是否有外包IT运维？
系统变更: 报告期间是否有重大系统上线或升级？
特权管理: 是否有共享账号或过度授权的情况？
合规要求: 客户是否有SOX合规要求或其他IT治理框架要求？
SOC报告: 关键服务商是否提供SOC 1/SOC 2报告？

Verification

所有支持财务报告的IT系统已纳入测试范围
访问控制测试覆盖用户生命周期（入职/转岗/离职）
权限矩阵和SoD分析已完成
变更管理测试覆盖标准变更和紧急变更
特权账号管理已评估
SOC报告已审阅且例外事项已评估
ITGC缺陷对应用层面控制的影响已评估
所有测试结论有充分证据支持

Saving

audit/
├── [客户名称]/
│   ├── [报告期间]/
│   │   ├── itgc-testing/
│   │   │   ├── ITGC-Scope-系统清单.md
│   │   │   ├── ITGC-Access-访问控制.md
│   │   │   ├── ITGC-Change-变更管理.md
│   │   │   ├── ITGC-Development-系统开发.md
│   │   │   ├── ITGC-Operations-IT运维.md
│   │   │   ├── ITGC-SOC-第三方报告.md
│   │   │   └── ITGC-Deficiencies-缺陷评估.md

Capability Upgrade

Mode Selection

Quick: 判断 ITGC 范围、关键系统和高风险控制。
Standard: 输出访问、变更、开发、运维控制测试方案和证据清单。
Deep: 结合系统清单、接口、权限矩阵、SOC 报告、日志和自动化控制依赖，形成 ITGC 结论包。

ITGC Scoping Logic

关键系统范围必须从财务报表影响、关键业务流程、自动化控制依赖、数据接口、外包服务和上年缺陷六个维度判断。

Quality Gates

系统范围和关键控制依赖关系清楚。
权限测试覆盖新增、变更、离职和特权用户。
变更测试覆盖审批、测试、上线和回退。
SOC 报告差异和补充用户控制已评估。
ITGC 缺陷能连接到业务控制和审计影响。

Deliverable Catalog

Deliverable	When to use	Minimum content	Format
ITGC scoping memo	确定系统范围	关键系统、流程依赖、接口、SOC、范围理由	Word / Markdown
System inventory	系统盘点	系统、owner、流程、数据、接口、财报影响	Excel
ITGC test plan	执行测试前	控制、频率、样本、证据、测试方法和负责人	Excel
Access control workpaper	权限测试	用户清单、特权用户、新增/变更/离职和例外	Excel / Markdown
Change management workpaper	变更测试	变更清单、审批、测试、上线、回退和例外	Excel
ITGC deficiency memo	缺陷评价	缺陷、根因、业务影响、补偿控制和整改建议	Word