ITGC stands for Information Technology General Controls. It refers to the general controls over the IT environment that support the reliability, security, and integrity of systems used in financial reporting. ITGC does not normally relate to one single transaction, but supports the overall operation of accounting systems, ERP systems, databases, interfaces, system-generated reports, automated controls, and electronic audit evidence.
ITGC is important because many financial statement balances are no longer prepared manually. Revenue, receivables, inventory, purchases, payroll, fixed assets, bank transactions, and journal entries may all be processed through IT systems. If the IT environment is weak, the auditor may face risks from unauthorized access, inappropriate changes to master data, unreliable reports, incomplete interfaces, incorrect system configuration, or unapproved manual adjustments.
ISA 315 requires auditors to identify and assess risks of material misstatement through understanding the entity and its environment, including the entity’s system of internal control. IAASB explains that ISA 315 (Revised 2019) was enhanced to support a more robust and consistent risk identification and assessment process, and to support more focused responses under ISA 330. ISA 330 then requires the auditor to design and implement responses to the assessed risks of material misstatement. Therefore, ITGC is relevant to the audit when the use of IT affects financial reporting risks or audit evidence.
The first major component of ITGC is user access management. This covers how users are created, changed, reviewed, and removed from the system. The auditor should understand whether new users are approved before access is granted, whether resigned employees are removed on a timely basis, whether privileged users are limited, and whether user rights are appropriate to their job responsibilities. Weak access controls may allow unauthorized users to create vendors, change customer master data, post journal entries, modify prices, approve payments, or access sensitive financial information.
The second component is segregation of duties within the system. In a manual process, incompatible duties may be separated by different people. In an IT environment, this separation must also be reflected in system access rights. For example, the same person should not normally be able to create a vendor, enter an invoice, approve payment, and modify bank details without review. If system access allows incompatible duties, the risk of fraud or error may increase, even if the organization chart appears properly designed.
The third component is program change management. This relates to how changes to systems, programs, reports, workflows, approval rules, and system configurations are requested, approved, tested, and moved into production. For example, if the logic for revenue recognition, depreciation, inventory costing, or credit limit approval is changed without proper approval and testing, financial information may become unreliable. Auditors should consider whether program changes are documented, approved by appropriate personnel, tested before implementation, and restricted from unauthorized modification.
The fourth component is system development and implementation controls. This is relevant when the client develops a new system, implements a new ERP, migrates data, or significantly changes its financial reporting system. The auditor should understand whether business requirements were approved, user acceptance testing was performed, data migration was reconciled, access rights were properly set up, and go-live issues were monitored. System implementation risk can be significant because errors in data migration or configuration may affect multiple financial statement areas.
The fifth component is IT operations. This covers the day-to-day running of systems, including batch processing, scheduled jobs, system availability, incident handling, interface monitoring, and error resolution. For example, if sales data is transferred from a point-of-sale system to the accounting system, the auditor should understand whether failed interfaces are identified and corrected. If batch jobs fail or duplicate processing occurs, revenue, receivables, inventory, or expenses may be misstated.
The sixth component is backup, recovery, and business continuity. These controls help ensure that financial data can be recovered if there is a system failure, cyber incident, or operational disruption. Although the auditor is not responsible for certifying the client’s entire disaster recovery plan, weak backup and recovery controls may affect the reliability and availability of accounting records. If financial data cannot be recovered or audit trails are lost, the auditor may face difficulties obtaining sufficient appropriate audit evidence.
The seventh component is system-generated reports and data reliability. Auditors often use reports generated from the client’s system, such as aging reports, inventory reports, sales listings, payroll reports, fixed asset registers, and journal entry reports. Before relying on these reports, the auditor should consider whether the report is complete and accurate, whether report parameters are appropriate, whether the report logic can be changed, and whether the report reconciles to the general ledger. If ITGC is weak, the auditor may need to perform additional procedures to validate the report before using it as audit evidence.
The eighth component is interfaces and data transfers. Many companies use multiple systems that exchange data with each other, such as sales systems, warehouse systems, payroll systems, banking platforms, and accounting systems. The auditor should understand whether data transfers are complete, accurate, and timely. A weak interface control may result in missing transactions, duplicate postings, incomplete revenue, incorrect inventory movements, or unreconciled balances.
The ninth component is outsourced IT services and cloud systems. Many companies use cloud-based accounting systems, payroll platforms, e-commerce systems, or third-party service providers. In these cases, management still remains responsible for financial reporting controls, even if the system is operated by a third party. The auditor should understand which controls are performed by the client and which are performed by the service provider. Where relevant, service organization reports or other evidence may be considered to understand the control environment.
ITGC is different from application controls. Application controls are controls within a specific business process, such as automated invoice numbering, credit limit checks, three-way matching, system calculation of depreciation, or automatic posting from sales to the general ledger. ITGC supports the environment in which those application controls operate. For example, an automated control may appear effective, but if unauthorized users can change the program logic or approval workflow, the auditor may not be able to rely on that automated control without further work.
The auditor’s role is not to certify that the client’s entire IT system is secure or that all IT risks are eliminated. The auditor’s role is to understand the IT environment to the extent relevant to the audit of the financial statements, identify risks arising from the use of IT, determine whether ITGC is relevant to the audit approach, test ITGC where reliance is planned or necessary, evaluate deficiencies, and adjust the audit approach accordingly.
For example, if the auditor uses an accounts receivable aging report to assess expected credit loss, the auditor should consider whether the report is complete and accurate. If the aging report is generated from an ERP system, the auditor may need to understand user access, report parameters, change controls, and reconciliation to the general ledger. If ITGC is weak, the auditor may need to increase substantive testing, test subsequent receipts, validate the report manually, or obtain additional external evidence.
Another example is revenue testing. If invoices are generated automatically and posted from the sales system to the general ledger, the auditor should understand whether users can create or modify invoices, override pricing, cancel transactions, bypass credit controls, or post manual adjustments. Weak ITGC may increase the risk of fictitious revenue, incorrect cut-off, unauthorized credit notes, or inappropriate journal entries.
For complex systems, the auditor may involve an IT audit specialist. This is particularly useful where the client uses a large ERP system, automated interfaces, complex access rights, customized reports, or significant automated controls. However, even when specialists are involved, the financial statement auditor must still understand the impact of IT findings on audit risks, audit evidence, and the overall audit strategy.
If ITGC deficiencies are identified, the auditor should assess their impact on the audit. The response may include reducing reliance on automated controls, increasing substantive procedures, testing closer to year-end, increasing sample sizes, obtaining more external evidence, validating system reports, or performing additional procedures over affected accounts. PCAOB AS 2201, in the context of integrated audits of internal control over financial reporting and financial statements, also emphasizes the auditor’s responsibilities when auditing internal control over financial reporting.
A practical set of working papers for ITGC may include IT Environment Understanding Memo, ITGC Risk Assessment, User Access Review, Privileged Access Testing, Segregation of Duties Review, Change Management Testing, System Implementation Review, IT Operations Review, Backup and Recovery Review, Interface Reconciliation Testing, System-Generated Report Testing, Reliance on Automated Controls Memo, and IT Deficiency Evaluation Memo. The key is not to document ITGC in isolation, but to link ITGC findings to financial statement risks and audit responses.
In summary, ITGC is the foundation that supports the reliability of IT systems used in financial reporting. Its main components include user access, segregation of duties, change management, system development, IT operations, backup and recovery, system-generated reports, interfaces, and outsourced IT services. For auditors, ITGC matters because weak IT controls may directly affect audit risk, audit evidence, and the reliability of financial information. A good auditor should understand ITGC enough to know whether system information can be relied upon, whether automated controls can be used, and how the audit approach should be adjusted when IT controls are weak.
ITGC หรือ การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ คือการควบคุมพื้นฐานของสภาพแวดล้อมด้านระบบสารสนเทศที่ช่วยให้ระบบบัญชี ระบบบริหารทรัพยากรองค์กร ฐานข้อมูล การเชื่อมโยงข้อมูล รายงานจากระบบ การควบคุมอัตโนมัติ และหลักฐานอิเล็กทรอนิกส์มีความน่าเชื่อถือ ปลอดภัย และถูกต้องต่อเนื่อง
ITGC มีความสำคัญเพราะตัวเลขในงบการเงินจำนวนมากไม่ได้เกิดจากการจัดทำด้วยมือทั้งหมดอีกต่อไป รายได้ ลูกหนี้ สินค้าคงเหลือ เจ้าหนี้ เงินเดือน สินทรัพย์ถาวร รายการธนาคาร และรายการปรับปรุงบัญชีจำนวนมากอาจถูกประมวลผลผ่านระบบสารสนเทศ หากสภาพแวดล้อมของระบบอ่อนแอ ผู้สอบบัญชีอาจเผชิญความเสี่ยงจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การแก้ไขข้อมูลหลักที่ไม่เหมาะสม รายงานจากระบบที่ไม่น่าเชื่อถือ การเชื่อมข้อมูลระหว่างระบบไม่ครบถ้วน การตั้งค่าระบบผิด หรือรายการปรับปรุงบัญชีที่ไม่ได้รับอนุมัติ
ISA 315 กำหนดให้ผู้สอบบัญชีระบุและประเมินความเสี่ยงจากการแสดงข้อมูลผิดพลาดที่มีสาระสำคัญ โดยอาศัยความเข้าใจกิจการ สภาพแวดล้อม และระบบควบคุมภายในของกิจการ IAASB อธิบายว่า ISA 315 ฉบับปรับปรุงช่วยให้กระบวนการระบุและประเมินความเสี่ยงมีความชัดเจนและเข้มแข็งขึ้น และช่วยให้ผู้สอบบัญชีออกแบบการตอบสนองตาม ISA 330 ได้ตรงจุดมากขึ้น ส่วน ISA 330 กำหนดให้ผู้สอบบัญชีออกแบบและปฏิบัติงานเพื่อตอบสนองความเสี่ยงที่ประเมินไว้ ดังนั้น ITGC จึงเกี่ยวข้องกับงานสอบบัญชีเมื่อการใช้ระบบสารสนเทศมีผลต่อความเสี่ยงของงบการเงินหรือหลักฐานสอบบัญชี
องค์ประกอบแรกของ ITGC คือ การควบคุมสิทธิผู้ใช้งาน เรื่องนี้ครอบคลุมการสร้างผู้ใช้งาน การเปลี่ยนสิทธิ การสอบทานสิทธิ และการยกเลิกสิทธิของพนักงานที่ลาออก ผู้สอบบัญชีควรเข้าใจว่าการให้สิทธิผู้ใช้ใหม่ได้รับการอนุมัติหรือไม่ พนักงานที่ลาออกถูกยกเลิกสิทธิทันเวลาหรือไม่ สิทธิผู้ดูแลระบบถูกจำกัดหรือไม่ และสิทธิที่ได้รับสอดคล้องกับหน้าที่งานหรือไม่ หากการควบคุมสิทธิอ่อนแอ อาจมีผู้ที่ไม่ควรเข้าถึงระบบสามารถสร้างผู้ขาย แก้ไขข้อมูลลูกค้า บันทึกรายการบัญชี เปลี่ยนราคา อนุมัติการจ่ายเงิน หรือเข้าถึงข้อมูลทางการเงินที่สำคัญได้
องค์ประกอบที่สองคือ การแบ่งแยกหน้าที่ในระบบ ในกระบวนการทำงานปกติ บริษัทอาจแบ่งหน้าที่ของพนักงานไว้แล้ว แต่ในระบบสารสนเทศก็ต้องแบ่งสิทธิให้สอดคล้องกันด้วย เช่น บุคคลเดียวกันไม่ควรสามารถสร้างผู้ขาย บันทึกใบแจ้งหนี้ อนุมัติจ่ายเงิน และแก้ไขข้อมูลบัญชีธนาคารของผู้ขายได้โดยไม่มีการสอบทาน หากสิทธิในระบบเปิดให้ทำหน้าที่ที่ขัดแย้งกัน ความเสี่ยงทุจริตหรือข้อผิดพลาดอาจเพิ่มขึ้น แม้โครงสร้างองค์กรภายนอกจะดูเหมือนแบ่งหน้าที่ไว้ดีแล้วก็ตาม
องค์ประกอบที่สามคือ การควบคุมการเปลี่ยนแปลงระบบ เรื่องนี้เกี่ยวข้องกับการแก้ไขโปรแกรม รายงาน ขั้นตอนการอนุมัติ เงื่อนไขการประมวลผล และการตั้งค่าของระบบ ว่ามีการขอเปลี่ยนแปลง อนุมัติ ทดสอบ และนำขึ้นใช้งานจริงอย่างเหมาะสมหรือไม่ ตัวอย่างเช่น หากมีการเปลี่ยนเงื่อนไขการรับรู้รายได้ การคำนวณค่าเสื่อมราคา การคำนวณต้นทุนสินค้า หรือการอนุมัติวงเงินลูกค้า โดยไม่มีการอนุมัติและทดสอบอย่างเพียงพอ ข้อมูลทางการเงินอาจผิดพลาดได้ ผู้สอบบัญชีจึงควรพิจารณาว่าการเปลี่ยนแปลงระบบมีเอกสารรองรับ มีผู้อนุมัติที่เหมาะสม ผ่านการทดสอบก่อนใช้จริง และป้องกันการแก้ไขโดยไม่ได้รับอนุญาตหรือไม่
องค์ประกอบที่สี่คือ การพัฒนาและนำระบบใหม่มาใช้ เรื่องนี้สำคัญเมื่อบริษัทพัฒนาระบบใหม่ เปลี่ยนระบบบัญชี ใช้ระบบบริหารทรัพยากรองค์กรใหม่ ย้ายข้อมูล หรือเปลี่ยนระบบรายงานทางการเงินอย่างมีสาระสำคัญ ผู้สอบบัญชีควรเข้าใจว่าบริษัทมีการอนุมัติความต้องการทางธุรกิจ ทดสอบระบบโดยผู้ใช้งาน กระทบยอดข้อมูลที่ย้ายจากระบบเดิมไปยังระบบใหม่ ตั้งค่าสิทธิผู้ใช้งานอย่างเหมาะสม และติดตามปัญหาหลังเริ่มใช้งานจริงหรือไม่ ความเสี่ยงจากการนำระบบใหม่มาใช้มักสูง เพราะข้อผิดพลาดจากการตั้งค่าหรือการย้ายข้อมูลอาจกระทบหลายบัญชีพร้อมกัน
องค์ประกอบที่ห้าคือ การปฏิบัติงานประจำของระบบสารสนเทศ เรื่องนี้ครอบคลุมการประมวลผลตามรอบเวลา งานที่ระบบทำอัตโนมัติ การติดตามความพร้อมใช้งานของระบบ การจัดการปัญหา การตรวจสอบการเชื่อมข้อมูล และการแก้ไขข้อผิดพลาด ตัวอย่างเช่น หากข้อมูลขายถูกส่งจากระบบขายไปยังระบบบัญชี ผู้สอบบัญชีควรเข้าใจว่าหากการส่งข้อมูลล้มเหลว บริษัทสามารถตรวจพบและแก้ไขได้หรือไม่ หากงานประมวลผลซ้ำ ขาดหาย หรือล้มเหลว อาจทำให้รายได้ ลูกหนี้ สินค้าคงเหลือ หรือค่าใช้จ่ายผิดพลาดได้
องค์ประกอบที่หกคือ การสำรองข้อมูล การกู้คืนระบบ และความต่อเนื่องของการดำเนินงาน การควบคุมกลุ่มนี้ช่วยให้ข้อมูลทางการเงินสามารถกู้คืนได้เมื่อระบบล่ม เกิดเหตุการณ์ด้านความปลอดภัย หรือมีเหตุขัดข้องในการดำเนินงาน ผู้สอบบัญชีไม่ได้มีหน้าที่รับรองว่าแผนกู้คืนระบบของลูกค้าสมบูรณ์แบบทั้งหมด แต่หากการสำรองข้อมูลและการกู้คืนระบบอ่อนแอ อาจกระทบความน่าเชื่อถือและความพร้อมของเอกสารบัญชี หากข้อมูลทางการเงินสูญหายหรือร่องรอยการตรวจสอบในระบบไม่ครบ ผู้สอบบัญชีอาจมีปัญหาในการได้รับหลักฐานสอบบัญชีที่เพียงพอและเหมาะสม
องค์ประกอบที่เจ็ดคือ รายงานจากระบบและความน่าเชื่อถือของข้อมูล ผู้สอบบัญชีมักใช้รายงานจากระบบของลูกค้า เช่น รายงานอายุหนี้ รายงานสินค้าคงเหลือ รายการขาย รายงานเงินเดือน ทะเบียนสินทรัพย์ถาวร และรายงานรายการปรับปรุงบัญชี ก่อนนำรายงานเหล่านี้ไปใช้เป็นหลักฐาน ผู้สอบบัญชีควรพิจารณาว่ารายงานครบถ้วนและถูกต้องหรือไม่ เงื่อนไขในการดึงรายงานเหมาะสมหรือไม่ สูตรหรือเงื่อนไขของรายงานถูกเปลี่ยนได้หรือไม่ และรายงานกระทบยอดกับบัญชีแยกประเภทได้หรือไม่ หาก ITGC อ่อนแอ ผู้สอบบัญชีอาจต้องตรวจความน่าเชื่อถือของรายงานเพิ่มเติมก่อนใช้เป็นหลักฐาน
องค์ประกอบที่แปดคือ การเชื่อมข้อมูลระหว่างระบบ บริษัทจำนวนมากใช้หลายระบบร่วมกัน เช่น ระบบขาย ระบบคลังสินค้า ระบบเงินเดือน ระบบธนาคาร และระบบบัญชี ผู้สอบบัญชีควรเข้าใจว่าข้อมูลที่ส่งระหว่างระบบครบถ้วน ถูกต้อง และทันเวลาหรือไม่ การควบคุมการเชื่อมข้อมูลที่อ่อนแออาจทำให้รายการตกหล่น บันทึกซ้ำ รายได้ไม่ครบ การเคลื่อนไหวของสินค้าผิด หรือยอดคงเหลือกระทบยอดไม่ได้
องค์ประกอบที่เก้าคือ ระบบที่ใช้บริการจากภายนอกหรือระบบบนคลาวด์ หลายบริษัทใช้ระบบบัญชีออนไลน์ ระบบเงินเดือน ระบบขายออนไลน์ หรือผู้ให้บริการภายนอก แม้ระบบจะถูกดูแลโดยบุคคลภายนอก ผู้บริหารของบริษัทยังคงรับผิดชอบต่อการควบคุมที่เกี่ยวข้องกับรายงานทางการเงิน ผู้สอบบัญชีจึงควรเข้าใจว่าการควบคุมใดทำโดยบริษัท และการควบคุมใดทำโดยผู้ให้บริการ หากมีสาระสำคัญ อาจพิจารณารายงานของผู้ให้บริการหรือหลักฐานอื่นเพื่อเข้าใจสภาพแวดล้อมการควบคุม
ITGC แตกต่างจากการควบคุมเฉพาะระบบงาน การควบคุมเฉพาะระบบงานคือการควบคุมที่อยู่ในกระบวนการใดกระบวนการหนึ่ง เช่น การเรียงเลขที่ใบแจ้งหนี้อัตโนมัติ การตรวจวงเงินลูกค้า การจับคู่ใบสั่งซื้อ ใบรับสินค้า และใบแจ้งหนี้ การคำนวณค่าเสื่อมราคาจากระบบ หรือการบันทึกรายได้จากระบบขายไปยังบัญชีแยกประเภท ส่วน ITGC เป็นการควบคุมพื้นฐานที่รองรับให้การควบคุมเฉพาะเหล่านั้นน่าเชื่อถือ เช่น การควบคุมอัตโนมัติอาจดูเหมือนทำงานถูกต้อง แต่ถ้ามีผู้ใช้ที่ไม่ได้รับอนุญาตสามารถแก้ไขเงื่อนไขของระบบหรือขั้นตอนอนุมัติได้ ผู้สอบบัญชีก็อาจไม่สามารถพึ่งพาการควบคุมนั้นได้โดยไม่ตรวจเพิ่มเติม
บทบาทของผู้สอบบัญชีไม่ใช่การรับรองว่าระบบสารสนเทศทั้งหมดของลูกค้าปลอดภัยหรือไม่มีความเสี่ยง แต่คือการเข้าใจระบบสารสนเทศเท่าที่เกี่ยวข้องกับการตรวจสอบงบการเงิน ระบุความเสี่ยงที่เกิดจากการใช้ระบบ พิจารณาว่า ITGC เกี่ยวข้องกับแนวทางการตรวจสอบหรือไม่ ทดสอบ ITGC เมื่อวางแผนจะพึ่งพาหรือเมื่อจำเป็น ประเมินข้อบกพร่อง และปรับแผนการตรวจสอบให้เหมาะสม
ตัวอย่างเช่น หากผู้สอบบัญชีใช้รายงานอายุหนี้จากระบบเพื่อประเมินค่าเผื่อผลขาดทุนด้านเครดิต ผู้สอบบัญชีควรพิจารณาว่ารายงานดังกล่าวครบถ้วนและถูกต้องหรือไม่ หากรายงานมาจากระบบบัญชีหรือระบบบริหารทรัพยากรองค์กร ผู้สอบบัญชีอาจต้องเข้าใจสิทธิผู้ใช้งาน เงื่อนไขในการดึงรายงาน การควบคุมการเปลี่ยนแปลง และการกระทบยอดกับบัญชีแยกประเภท หาก ITGC อ่อนแอ ผู้สอบบัญชีอาจต้องเพิ่มการตรวจเนื้อหาสาระ ตรวจการรับชำระหลังวันสิ้นงวด ตรวจความถูกต้องของรายงานด้วยมือ หรือขอหลักฐานจากภายนอกเพิ่มเติม
อีกตัวอย่างหนึ่งคือการตรวจรายได้ หากใบแจ้งหนี้ออกจากระบบขายโดยอัตโนมัติและส่งข้อมูลไปบันทึกบัญชี ผู้สอบบัญชีควรเข้าใจว่าผู้ใช้สามารถสร้างหรือแก้ไขใบแจ้งหนี้ เปลี่ยนราคา ยกเลิกรายการ ข้ามการตรวจวงเงินลูกค้า หรือบันทึกรายการปรับปรุงด้วยมือได้หรือไม่ ITGC ที่อ่อนแออาจเพิ่มความเสี่ยงของรายได้ที่ไม่มีอยู่จริง การตัดรอบบัญชีผิดพลาด ใบลดหนี้ที่ไม่ได้รับอนุมัติ หรือรายการบัญชีที่ไม่เหมาะสม
สำหรับระบบที่ซับซ้อน ผู้สอบบัญชีอาจใช้ผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศเข้ามาช่วย โดยเฉพาะเมื่อลูกค้าใช้ระบบขนาดใหญ่ มีการเชื่อมข้อมูลหลายระบบ มีสิทธิผู้ใช้งานซับซ้อน มีรายงานที่ปรับแต่งเอง หรือมีการควบคุมอัตโนมัติที่มีผลต่อบัญชีสำคัญ อย่างไรก็ตาม แม้มีผู้เชี่ยวชาญเข้าช่วย ผู้สอบบัญชีหลักยังต้องเข้าใจว่าผลการตรวจ ITGC กระทบความเสี่ยงสอบบัญชี หลักฐานสอบบัญชี และแผนการตรวจสอบโดยรวมอย่างไร
หากพบข้อบกพร่องของ ITGC ผู้สอบบัญชีควรประเมินผลกระทบต่อแผนการตรวจสอบ เช่น ลดการพึ่งพาการควบคุมอัตโนมัติ เพิ่มการตรวจเนื้อหาสาระ ตรวจใกล้วันสิ้นงวดมากขึ้น เพิ่มขนาดตัวอย่าง ขอหลักฐานจากภายนอกมากขึ้น ตรวจความน่าเชื่อถือของรายงานจากระบบเพิ่มเติม หรือทำวิธีตรวจเพิ่มเติมในบัญชีที่ได้รับผลกระทบ PCAOB AS 2201 ซึ่งใช้ในบริบทของการตรวจระบบควบคุมภายในเกี่ยวกับรายงานทางการเงินแบบรวมกับการตรวจงบการเงิน ได้วางหลักเกี่ยวกับความรับผิดชอบของผู้สอบบัญชีเมื่อตรวจระบบควบคุมภายในเกี่ยวกับรายงานทางการเงิน
กระดาษทำการที่เกี่ยวข้องกับ ITGC อาจใช้ชื่อ เช่น IT Environment Understanding Memo, ITGC Risk Assessment, User Access Review, Privileged Access Testing, Segregation of Duties Review, Change Management Testing, System Implementation Review, IT Operations Review, Backup and Recovery Review, Interface Reconciliation Testing, System-Generated Report Testing, Reliance on Automated Controls Memo และ IT Deficiency Evaluation Memo ประเด็นสำคัญคือไม่ควรบันทึก ITGC แยกจากงานสอบบัญชี แต่ควรเชื่อมผลการประเมิน ITGC เข้ากับความเสี่ยงในงบการเงินและวิธีตรวจสอบที่เลือกใช้
โดยสรุป ITGC คือการควบคุมพื้นฐานที่ช่วยให้ระบบสารสนเทศที่เกี่ยวข้องกับรายงานทางการเงินมีความน่าเชื่อถือ องค์ประกอบสำคัญ ได้แก่ การควบคุมสิทธิผู้ใช้งาน การแบ่งแยกหน้าที่ในระบบ การควบคุมการเปลี่ยนแปลงระบบ การพัฒนาและนำระบบใหม่มาใช้ การปฏิบัติงานประจำของระบบ การสำรองและกู้คืนข้อมูล รายงานจากระบบ การเชื่อมข้อมูลระหว่างระบบ และระบบที่ใช้บริการจากภายนอก สำหรับผู้สอบบัญชี ITGC มีความสำคัญเพราะข้อบกพร่องด้านระบบอาจกระทบความเสี่ยงสอบบัญชี หลักฐานสอบบัญชี และความน่าเชื่อถือของข้อมูลทางการเงิน ผู้สอบบัญชีที่ดีจึงควรเข้าใจ ITGC ให้เพียงพอเพื่อประเมินได้ว่าข้อมูลจากระบบเชื่อถือได้เพียงใด การควบคุมอัตโนมัติพึ่งพาได้หรือไม่ และควรปรับแนวทางการตรวจสอบอย่างไรเมื่อการควบคุมด้านระบบอ่อนแอ