新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

信息系統(tǒng)內(nèi)部控制評價(jià)是內(nèi)部控制評價(jià)業(yè)務(wù)層面的重要內(nèi)容之一，是對信息系統(tǒng)內(nèi)部控制設(shè)計(jì)及運(yùn)行有效性的評價(jià)。因此，加強(qiáng)信息系統(tǒng)內(nèi)部控制評價(jià)工作，有利于促使企業(yè)建立健全和有效執(zhí)行信息系統(tǒng)內(nèi)部控制，從而有效控制信息系統(tǒng)風(fēng)險(xiǎn)。

　　評價(jià)目標(biāo)及評價(jià)依據(jù)

　　信息系統(tǒng)內(nèi)部控制評價(jià)目標(biāo)，就是保證信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性，促使企業(yè)預(yù)防和控制信息系統(tǒng)風(fēng)險(xiǎn)。

　　信息系統(tǒng)內(nèi)部控制評價(jià)依據(jù)是國家關(guān)于信息系統(tǒng)管理方面的法律法規(guī)、企業(yè)制定的信息系統(tǒng)管理制度及《企業(yè)內(nèi)部控制手冊》中有關(guān)信息系統(tǒng)部分的內(nèi)容。具體依據(jù)因評價(jià)單位的不同而有所不同。

　　一般來說，國家法律法規(guī)層面的評價(jià)依據(jù)包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號)和《信息安全等級保護(hù)管理辦法》(公通字〔2007〕43號)、《信息安全技術(shù)　信息系統(tǒng)安全等級保護(hù)實(shí)施指南》以及《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》等;評價(jià)單位層面的評價(jià)依據(jù)包括《信息系統(tǒng)管理制度》、《信息系統(tǒng)授權(quán)制度和審核批準(zhǔn)制度》、《信息系統(tǒng)的崗位責(zé)任制》;《企業(yè)內(nèi)部控制管理手冊》中的《信息系統(tǒng)內(nèi)部控制矩陣》既是內(nèi)部控制評價(jià)的對象，也是評價(jià)最為直接的依據(jù)。

　　評價(jià)內(nèi)容

　　信息系統(tǒng)內(nèi)部控制評價(jià)內(nèi)容，總體來說就是評價(jià)信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性，包括過程和結(jié)果兩個層面，具體評價(jià)范圍包括信息系統(tǒng)的開發(fā)、信息系統(tǒng)的運(yùn)行與維護(hù)主要信息系統(tǒng)活動。具體評價(jià)內(nèi)容因評價(jià)單位開展內(nèi)部信息傳遞評價(jià)工作和被評價(jià)單位內(nèi)部控制成熟度的不同而不同。

　　(一)設(shè)計(jì)有效性評價(jià)。信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性評價(jià)包括設(shè)計(jì)過程和設(shè)計(jì)結(jié)果兩個層面。信息系統(tǒng)內(nèi)部控制設(shè)計(jì)結(jié)果有效性的前提是設(shè)計(jì)過程要有效，因此，要重視信息系統(tǒng)內(nèi)部控制設(shè)計(jì)過程有效性的評價(jià)，不能僅對信息系統(tǒng)內(nèi)部控制設(shè)計(jì)結(jié)果的有效性進(jìn)行評價(jià)。實(shí)際操作上，根據(jù)中天恒3C框架內(nèi)部控制設(shè)計(jì)標(biāo)準(zhǔn)，信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性評價(jià)包括：

　　現(xiàn)狀梳理?，F(xiàn)狀梳理是信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的基礎(chǔ)性工作。評價(jià)要點(diǎn)是：是否首先進(jìn)行了信息系統(tǒng)現(xiàn)狀梳理;是否梳理了現(xiàn)有信息系統(tǒng)管理制度或相關(guān)文件并編制了《信息系統(tǒng)內(nèi)部管理制度或相關(guān)文件情況表》;是否進(jìn)行信息系統(tǒng)業(yè)務(wù)現(xiàn)狀描述并編制了《信息系統(tǒng)流程目錄》、《信息系統(tǒng)業(yè)務(wù)現(xiàn)狀流程圖》等;信息系統(tǒng)現(xiàn)狀梳理的結(jié)果是否符合企業(yè)信息系統(tǒng)業(yè)務(wù)、管理現(xiàn)狀等。常用評價(jià)方法為調(diào)查問卷和審閱的方法，需要編制的評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表等等。

　　風(fēng)險(xiǎn)評估。評估要點(diǎn)包括：是否進(jìn)行了信息系統(tǒng)風(fēng)險(xiǎn)評估工作;是否識別了信息系統(tǒng)風(fēng)險(xiǎn)并編制了《信息系統(tǒng)風(fēng)險(xiǎn)及其描述表》;是否分析了主要信息系統(tǒng)風(fēng)險(xiǎn)并編制了《信息系統(tǒng)風(fēng)險(xiǎn)分析表》;是否評價(jià)了信息系統(tǒng)風(fēng)險(xiǎn)并編制了《信息系統(tǒng)風(fēng)險(xiǎn)評價(jià)表》;是否確定了信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對策略并編制了《信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對策略表》;是否匯總分析了信息系統(tǒng)風(fēng)險(xiǎn)評估結(jié)果并編制了《信息系統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)數(shù)據(jù)庫》;是否提出了信息系統(tǒng)重大風(fēng)險(xiǎn)解決方案;信息系統(tǒng)風(fēng)險(xiǎn)評估結(jié)果是否合理有效等。常用評價(jià)方法為調(diào)查、詢問、審閱和抽樣執(zhí)行穿行測試或重新執(zhí)行程序，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表、抽查底稿等。

　　控制要點(diǎn)確定。評價(jià)要點(diǎn)包括：是否劃分了信息系統(tǒng)內(nèi)部控制的控制環(huán)節(jié);每個控制環(huán)節(jié)是否確定了控制要點(diǎn)和關(guān)鍵控制并編制了《信息系統(tǒng)控制要點(diǎn)及其關(guān)鍵控制表》;信息系統(tǒng)控制環(huán)節(jié)、控制要點(diǎn)及其關(guān)鍵控制的確定結(jié)果是否有效。常用評價(jià)方法為調(diào)查問卷和審閱的方法，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表等。

　　控制目標(biāo)分解。評價(jià)要點(diǎn)包括：是否分析確定了信息系統(tǒng)內(nèi)部控制的總體控制目標(biāo);是否分解了總體控制目標(biāo)并編制了《信息系統(tǒng)內(nèi)部控制目標(biāo)表》;信息系統(tǒng)內(nèi)部控制目標(biāo)的分析、分解結(jié)果是否有效。常用評價(jià)方法為調(diào)查問卷和審閱的方法，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表等。

　　控制措施確定。評價(jià)要點(diǎn)包括：是否確定了信息系統(tǒng)內(nèi)部控制的總體控制措施，總體控制措施確定是否有效等;信息系統(tǒng)業(yè)務(wù)層的控制措施是否具體有效，是否編制了《信息系統(tǒng)內(nèi)部控制措施表》。常用評價(jià)方法為調(diào)查問卷、審閱、穿行測試、重新執(zhí)行等方法，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表、跟單測試工作底稿等。

　　控制證據(jù)設(shè)計(jì)。信息系統(tǒng)控制證據(jù)是多種多樣的，評價(jià)要點(diǎn)是：是否設(shè)計(jì)了信息系統(tǒng)內(nèi)部控制的控制證據(jù)，是否編制了《信息系統(tǒng)控制證據(jù)表》，設(shè)計(jì)的控制證據(jù)是否有效等。常用評價(jià)方法為調(diào)查問卷和審閱等方法，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表等。

　　管理制度優(yōu)化。信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的過程實(shí)際上也是信息系統(tǒng)管理制度優(yōu)化的過程，需要對信息系統(tǒng)管理的修訂和完善提出建設(shè)性的意見。評價(jià)要點(diǎn)是：是否提出了信息系統(tǒng)管理制度完善建議并編制了《信息系統(tǒng)制度完善建議表》，建議是否合理有效等。常用評價(jià)方法為調(diào)查問卷和審閱等方法，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表等。

　　控制流程圖繪制?！缎畔⑾到y(tǒng)內(nèi)部控制流程圖》是信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的重要成果之一，對有效實(shí)施信息系統(tǒng)內(nèi)部控制具有導(dǎo)航作用。評價(jià)要點(diǎn)是：是否繪制了《信息系統(tǒng)內(nèi)部控制流程圖》并標(biāo)注了風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)，控制流程圖是否有用等。常用評價(jià)方法為審閱、訪談的方法，評價(jià)工作底稿是審閱及訪談記錄表等。

　　控制矩陣編制?！缎畔⑾到y(tǒng)內(nèi)部控制矩陣》是信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的重要成果之一，也是企業(yè)內(nèi)部控制管理手冊的重要組成部分。評價(jià)要點(diǎn)是：是否編制了《信息系統(tǒng)內(nèi)部控制矩陣》，控制矩陣的格式要素是否基本齊全等。常用評價(jià)方法為審閱、訪談的方法，評價(jià)工作底稿是審閱及訪談記錄表等等。

　　(二)運(yùn)行有效性評價(jià)。信息系統(tǒng)內(nèi)部控制運(yùn)行有效性評價(jià)包括運(yùn)行的過程和結(jié)果兩個層面，總體說來，評價(jià)要點(diǎn)包括：已設(shè)計(jì)完成的信息系統(tǒng)內(nèi)部控制及其相關(guān)的管理制度是否有效執(zhí)行，是否有效控制了信息系統(tǒng)風(fēng)險(xiǎn);已設(shè)計(jì)有效的信息系統(tǒng)各控制點(diǎn)的控制措施是否有效實(shí)施，是否有效防止了各控制環(huán)節(jié)的風(fēng)險(xiǎn);是否建立信息系統(tǒng)內(nèi)部控制標(biāo)準(zhǔn)執(zhí)行情況文檔;是否根據(jù)業(yè)務(wù)、監(jiān)管要求或法律法規(guī)等的變化持續(xù)改進(jìn)信息系統(tǒng)內(nèi)部控制等。

　　實(shí)踐中，信息系統(tǒng)內(nèi)部控制運(yùn)行層面普遍存在的問題是已有的控制在實(shí)際中沒有執(zhí)行，內(nèi)部控制形同虛設(shè)，信息系統(tǒng)風(fēng)險(xiǎn)未有效控制，導(dǎo)致虛增信息系統(tǒng)的開發(fā)收入、人為調(diào)節(jié)利潤、形成壞賬等。信息系統(tǒng)內(nèi)部控制的運(yùn)行有效性評價(jià)重點(diǎn)的是控制制度及其措施的執(zhí)行情況。常用評價(jià)方法為調(diào)查問卷、審閱、穿行測試、重新執(zhí)行等方法，評價(jià)工作底稿是調(diào)查問卷、審閱及訪談記錄表、跟單測試工作底稿等。

　　評價(jià)程序

　　信息系統(tǒng)內(nèi)部控制評價(jià)程序，就實(shí)施階段來說，主要包括對信息系統(tǒng)內(nèi)部控制進(jìn)行調(diào)查了解、控制測試、缺陷認(rèn)定、綜合評價(jià)等程序。

　　(一)調(diào)查了解。信息系統(tǒng)內(nèi)部控制調(diào)查了解是評價(jià)實(shí)施階段的首要環(huán)節(jié)，涉及的具體內(nèi)容很多，也因單位的不同而不同。值得注意的是，調(diào)查了解僅作為了解信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的情況的手段，不能直接形成信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行有效性的結(jié)論。本階段工作常用方法有文字?jǐn)⑹龇?、調(diào)查表法、流程圖法、控制矩陣法等。這些方法各有特點(diǎn)，需要經(jīng)常加以綜合運(yùn)用。

　　(二)現(xiàn)場測試。信息系統(tǒng)內(nèi)部控制現(xiàn)場測試，就是測試信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性。實(shí)際操作中，可以根據(jù)具體情況實(shí)施詳查或者抽樣測試，具體測試方式包括跟單測試和關(guān)鍵控制測試等。

　　評價(jià)人員在測試信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性時，應(yīng)當(dāng)綜合運(yùn)用詢問適當(dāng)人員、觀察經(jīng)營活動和檢查相關(guān)文件等程序，一般采用跟單測試方式。

　　評價(jià)人員在測試信息系統(tǒng)內(nèi)部控制運(yùn)行有效性時，應(yīng)當(dāng)綜合運(yùn)用審閱文件資料、詢問相關(guān)人員、觀察業(yè)務(wù)活動以及重新執(zhí)行控制等程序。在此過程中，應(yīng)將信息系統(tǒng)每個業(yè)務(wù)流程的每個控制點(diǎn)的測試程序、方法和結(jié)果記錄于內(nèi)部控制執(zhí)行有效性測試底稿。測試結(jié)束后，應(yīng)將各個流程和控制點(diǎn)的執(zhí)行有效性測試結(jié)果進(jìn)行匯總，記錄于《內(nèi)部控制執(zhí)行有效性評估匯總表》。此種測試一般采用關(guān)鍵控制測試，即是建立樣本庫，再按照樣本發(fā)生頻率、樣本庫總量的大小區(qū)分，抽取相應(yīng)數(shù)量的樣本進(jìn)行測試。信息系統(tǒng)內(nèi)部控制運(yùn)行有效性測試重點(diǎn)是對關(guān)鍵控制測試。

　　(三)認(rèn)定缺陷。信息系統(tǒng)內(nèi)部控制認(rèn)定缺陷，就是對信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行缺陷的認(rèn)定，并按影響程度分為重大缺陷、重要缺陷和一般缺陷。在具體的認(rèn)定過程中，評價(jià)人員應(yīng)將已調(diào)查了解到的信息系統(tǒng)內(nèi)部控制的系統(tǒng)現(xiàn)狀與事先確定的標(biāo)準(zhǔn)模式進(jìn)行對照，以揭示哪些法規(guī)規(guī)定的控制程序未被采用，按照不同內(nèi)容分類，匯集在《內(nèi)部控制缺陷認(rèn)定矩陣表》中記錄，并編制《信息系統(tǒng)內(nèi)部控制缺陷認(rèn)定表》。

　　(四)綜合評價(jià)。信息系統(tǒng)內(nèi)部控制綜合評價(jià)，就是指在信息系統(tǒng)內(nèi)部控制現(xiàn)場測試結(jié)果的基礎(chǔ)上對信息系統(tǒng)內(nèi)部控制有效性做出的最終評價(jià)，主要工作是匯總前述評價(jià)結(jié)果。本階段工作應(yīng)遵循整理資料、分析影響、形成結(jié)論、反饋意見等綜合評價(jià)的基本步驟。信息系統(tǒng)綜合評價(jià)的方法很多，比較常用的是評分法。實(shí)施過程中，可分別信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性和運(yùn)行有效性進(jìn)行評分，也可以進(jìn)行綜合評分。綜合評價(jià)結(jié)果可編制成《評價(jià)結(jié)果匯總表》或繪制成《評價(jià)地圖》。