亚洲av无码av中文av日韩av,日韩精品福利影视,秋霞露脸精品视频,美熟妇中文字幕在线,变形金刚小说,pdf电子书,酒徒小说

信息系統(tǒng)內(nèi)部控制評(píng)價(jià)是內(nèi)部控制評(píng)價(jià)業(yè)務(wù)層面的重要內(nèi)容之一，是對(duì)信息系統(tǒng)內(nèi)部控制設(shè)計(jì)及運(yùn)行有效性的評(píng)價(jià)。因此，加強(qiáng)信息系統(tǒng)內(nèi)部控制評(píng)價(jià)工作，有利于促使企業(yè)建立健全和有效執(zhí)行信息系統(tǒng)內(nèi)部控制，從而有效控制信息系統(tǒng)風(fēng)險(xiǎn)。

　　評(píng)價(jià)目標(biāo)及評(píng)價(jià)依據(jù)

　　信息系統(tǒng)內(nèi)部控制評(píng)價(jià)目標(biāo)，就是保證信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性，促使企業(yè)預(yù)防和控制信息系統(tǒng)風(fēng)險(xiǎn)。

　　信息系統(tǒng)內(nèi)部控制評(píng)價(jià)依據(jù)是國(guó)家關(guān)于信息系統(tǒng)管理方面的法律法規(guī)、企業(yè)制定的信息系統(tǒng)管理制度及《企業(yè)內(nèi)部控制手冊(cè)》中有關(guān)信息系統(tǒng)部分的內(nèi)容。具體依據(jù)因評(píng)價(jià)單位的不同而有所不同。

　　一般來(lái)說(shuō)，國(guó)家法律法規(guī)層面的評(píng)價(jià)依據(jù)包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)〔2003〕27號(hào))、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號(hào))和《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))、《信息安全技術(shù)　信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》以及《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》等;評(píng)價(jià)單位層面的評(píng)價(jià)依據(jù)包括《信息系統(tǒng)管理制度》、《信息系統(tǒng)授權(quán)制度和審核批準(zhǔn)制度》、《信息系統(tǒng)的崗位責(zé)任制》;《企業(yè)內(nèi)部控制管理手冊(cè)》中的《信息系統(tǒng)內(nèi)部控制矩陣》既是內(nèi)部控制評(píng)價(jià)的對(duì)象，也是評(píng)價(jià)最為直接的依據(jù)。

　　評(píng)價(jià)內(nèi)容

　　信息系統(tǒng)內(nèi)部控制評(píng)價(jià)內(nèi)容，總體來(lái)說(shuō)就是評(píng)價(jià)信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性，包括過(guò)程和結(jié)果兩個(gè)層面，具體評(píng)價(jià)范圍包括信息系統(tǒng)的開發(fā)、信息系統(tǒng)的運(yùn)行與維護(hù)主要信息系統(tǒng)活動(dòng)。具體評(píng)價(jià)內(nèi)容因評(píng)價(jià)單位開展內(nèi)部信息傳遞評(píng)價(jià)工作和被評(píng)價(jià)單位內(nèi)部控制成熟度的不同而不同。

　　(一)設(shè)計(jì)有效性評(píng)價(jià)。信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性評(píng)價(jià)包括設(shè)計(jì)過(guò)程和設(shè)計(jì)結(jié)果兩個(gè)層面。信息系統(tǒng)內(nèi)部控制設(shè)計(jì)結(jié)果有效性的前提是設(shè)計(jì)過(guò)程要有效，因此，要重視信息系統(tǒng)內(nèi)部控制設(shè)計(jì)過(guò)程有效性的評(píng)價(jià)，不能僅對(duì)信息系統(tǒng)內(nèi)部控制設(shè)計(jì)結(jié)果的有效性進(jìn)行評(píng)價(jià)。實(shí)際操作上，根據(jù)中天恒3C框架內(nèi)部控制設(shè)計(jì)標(biāo)準(zhǔn)，信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性評(píng)價(jià)包括：

　　現(xiàn)狀梳理?，F(xiàn)狀梳理是信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的基礎(chǔ)性工作。評(píng)價(jià)要點(diǎn)是：是否首先進(jìn)行了信息系統(tǒng)現(xiàn)狀梳理;是否梳理了現(xiàn)有信息系統(tǒng)管理制度或相關(guān)文件并編制了《信息系統(tǒng)內(nèi)部管理制度或相關(guān)文件情況表》;是否進(jìn)行信息系統(tǒng)業(yè)務(wù)現(xiàn)狀描述并編制了《信息系統(tǒng)流程目錄》、《信息系統(tǒng)業(yè)務(wù)現(xiàn)狀流程圖》等;信息系統(tǒng)現(xiàn)狀梳理的結(jié)果是否符合企業(yè)信息系統(tǒng)業(yè)務(wù)、管理現(xiàn)狀等。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷和審閱的方法，需要編制的評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷淼鹊取?br />
　　風(fēng)險(xiǎn)評(píng)估。評(píng)估要點(diǎn)包括：是否進(jìn)行了信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作;是否識(shí)別了信息系統(tǒng)風(fēng)險(xiǎn)并編制了《信息系統(tǒng)風(fēng)險(xiǎn)及其描述表》;是否分析了主要信息系統(tǒng)風(fēng)險(xiǎn)并編制了《信息系統(tǒng)風(fēng)險(xiǎn)分析表》;是否評(píng)價(jià)了信息系統(tǒng)風(fēng)險(xiǎn)并編制了《信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)表》;是否確定了信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)策略并編制了《信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)策略表》;是否匯總分析了信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果并編制了《信息系統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)》;是否提出了信息系統(tǒng)重大風(fēng)險(xiǎn)解決方案;信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果是否合理有效等。常用評(píng)價(jià)方法為調(diào)查、詢問(wèn)、審閱和抽樣執(zhí)行穿行測(cè)試或重新執(zhí)行程序，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷怼⒊椴榈赘宓取?br />
　　控制要點(diǎn)確定。評(píng)價(jià)要點(diǎn)包括：是否劃分了信息系統(tǒng)內(nèi)部控制的控制環(huán)節(jié);每個(gè)控制環(huán)節(jié)是否確定了控制要點(diǎn)和關(guān)鍵控制并編制了《信息系統(tǒng)控制要點(diǎn)及其關(guān)鍵控制表》;信息系統(tǒng)控制環(huán)節(jié)、控制要點(diǎn)及其關(guān)鍵控制的確定結(jié)果是否有效。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷和審閱的方法，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷淼取?br />
　　控制目標(biāo)分解。評(píng)價(jià)要點(diǎn)包括：是否分析確定了信息系統(tǒng)內(nèi)部控制的總體控制目標(biāo);是否分解了總體控制目標(biāo)并編制了《信息系統(tǒng)內(nèi)部控制目標(biāo)表》;信息系統(tǒng)內(nèi)部控制目標(biāo)的分析、分解結(jié)果是否有效。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷和審閱的方法，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷淼取?br />
　　控制措施確定。評(píng)價(jià)要點(diǎn)包括：是否確定了信息系統(tǒng)內(nèi)部控制的總體控制措施，總體控制措施確定是否有效等;信息系統(tǒng)業(yè)務(wù)層的控制措施是否具體有效，是否編制了《信息系統(tǒng)內(nèi)部控制措施表》。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷、審閱、穿行測(cè)試、重新執(zhí)行等方法，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷?、跟單測(cè)試工作底稿等。

　　控制證據(jù)設(shè)計(jì)。信息系統(tǒng)控制證據(jù)是多種多樣的，評(píng)價(jià)要點(diǎn)是：是否設(shè)計(jì)了信息系統(tǒng)內(nèi)部控制的控制證據(jù)，是否編制了《信息系統(tǒng)控制證據(jù)表》，設(shè)計(jì)的控制證據(jù)是否有效等。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷和審閱等方法，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷淼取?br />
　　管理制度優(yōu)化。信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的過(guò)程實(shí)際上也是信息系統(tǒng)管理制度優(yōu)化的過(guò)程，需要對(duì)信息系統(tǒng)管理的修訂和完善提出建設(shè)性的意見。評(píng)價(jià)要點(diǎn)是：是否提出了信息系統(tǒng)管理制度完善建議并編制了《信息系統(tǒng)制度完善建議表》，建議是否合理有效等。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷和審閱等方法，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷淼取?br />
　　控制流程圖繪制。《信息系統(tǒng)內(nèi)部控制流程圖》是信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的重要成果之一，對(duì)有效實(shí)施信息系統(tǒng)內(nèi)部控制具有導(dǎo)航作用。評(píng)價(jià)要點(diǎn)是：是否繪制了《信息系統(tǒng)內(nèi)部控制流程圖》并標(biāo)注了風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)，控制流程圖是否有用等。常用評(píng)價(jià)方法為審閱、訪談的方法，評(píng)價(jià)工作底稿是審閱及訪談?dòng)涗洷淼取?br />
　　控制矩陣編制?！缎畔⑾到y(tǒng)內(nèi)部控制矩陣》是信息系統(tǒng)內(nèi)部控制設(shè)計(jì)的重要成果之一，也是企業(yè)內(nèi)部控制管理手冊(cè)的重要組成部分。評(píng)價(jià)要點(diǎn)是：是否編制了《信息系統(tǒng)內(nèi)部控制矩陣》，控制矩陣的格式要素是否基本齊全等。常用評(píng)價(jià)方法為審閱、訪談的方法，評(píng)價(jià)工作底稿是審閱及訪談?dòng)涗洷淼鹊取?br />
　　(二)運(yùn)行有效性評(píng)價(jià)。信息系統(tǒng)內(nèi)部控制運(yùn)行有效性評(píng)價(jià)包括運(yùn)行的過(guò)程和結(jié)果兩個(gè)層面，總體說(shuō)來(lái)，評(píng)價(jià)要點(diǎn)包括：已設(shè)計(jì)完成的信息系統(tǒng)內(nèi)部控制及其相關(guān)的管理制度是否有效執(zhí)行，是否有效控制了信息系統(tǒng)風(fēng)險(xiǎn);已設(shè)計(jì)有效的信息系統(tǒng)各控制點(diǎn)的控制措施是否有效實(shí)施，是否有效防止了各控制環(huán)節(jié)的風(fēng)險(xiǎn);是否建立信息系統(tǒng)內(nèi)部控制標(biāo)準(zhǔn)執(zhí)行情況文檔;是否根據(jù)業(yè)務(wù)、監(jiān)管要求或法律法規(guī)等的變化持續(xù)改進(jìn)信息系統(tǒng)內(nèi)部控制等。

　　實(shí)踐中，信息系統(tǒng)內(nèi)部控制運(yùn)行層面普遍存在的問(wèn)題是已有的控制在實(shí)際中沒有執(zhí)行，內(nèi)部控制形同虛設(shè)，信息系統(tǒng)風(fēng)險(xiǎn)未有效控制，導(dǎo)致虛增信息系統(tǒng)的開發(fā)收入、人為調(diào)節(jié)利潤(rùn)、形成壞賬等。信息系統(tǒng)內(nèi)部控制的運(yùn)行有效性評(píng)價(jià)重點(diǎn)的是控制制度及其措施的執(zhí)行情況。常用評(píng)價(jià)方法為調(diào)查問(wèn)卷、審閱、穿行測(cè)試、重新執(zhí)行等方法，評(píng)價(jià)工作底稿是調(diào)查問(wèn)卷、審閱及訪談?dòng)涗洷?、跟單測(cè)試工作底稿等。

　　評(píng)價(jià)程序

　　信息系統(tǒng)內(nèi)部控制評(píng)價(jià)程序，就實(shí)施階段來(lái)說(shuō)，主要包括對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行調(diào)查了解、控制測(cè)試、缺陷認(rèn)定、綜合評(píng)價(jià)等程序。

　　(一)調(diào)查了解。信息系統(tǒng)內(nèi)部控制調(diào)查了解是評(píng)價(jià)實(shí)施階段的首要環(huán)節(jié)，涉及的具體內(nèi)容很多，也因單位的不同而不同。值得注意的是，調(diào)查了解僅作為了解信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的情況的手段，不能直接形成信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行有效性的結(jié)論。本階段工作常用方法有文字?jǐn)⑹龇?、調(diào)查表法、流程圖法、控制矩陣法等。這些方法各有特點(diǎn)，需要經(jīng)常加以綜合運(yùn)用。

　　(二)現(xiàn)場(chǎng)測(cè)試。信息系統(tǒng)內(nèi)部控制現(xiàn)場(chǎng)測(cè)試，就是測(cè)試信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性。實(shí)際操作中，可以根據(jù)具體情況實(shí)施詳查或者抽樣測(cè)試，具體測(cè)試方式包括跟單測(cè)試和關(guān)鍵控制測(cè)試等。

　　評(píng)價(jià)人員在測(cè)試信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性時(shí)，應(yīng)當(dāng)綜合運(yùn)用詢問(wèn)適當(dāng)人員、觀察經(jīng)營(yíng)活動(dòng)和檢查相關(guān)文件等程序，一般采用跟單測(cè)試方式。

　　評(píng)價(jià)人員在測(cè)試信息系統(tǒng)內(nèi)部控制運(yùn)行有效性時(shí)，應(yīng)當(dāng)綜合運(yùn)用審閱文件資料、詢問(wèn)相關(guān)人員、觀察業(yè)務(wù)活動(dòng)以及重新執(zhí)行控制等程序。在此過(guò)程中，應(yīng)將信息系統(tǒng)每個(gè)業(yè)務(wù)流程的每個(gè)控制點(diǎn)的測(cè)試程序、方法和結(jié)果記錄于內(nèi)部控制執(zhí)行有效性測(cè)試底稿。測(cè)試結(jié)束后，應(yīng)將各個(gè)流程和控制點(diǎn)的執(zhí)行有效性測(cè)試結(jié)果進(jìn)行匯總，記錄于《內(nèi)部控制執(zhí)行有效性評(píng)估匯總表》。此種測(cè)試一般采用關(guān)鍵控制測(cè)試，即是建立樣本庫(kù)，再按照樣本發(fā)生頻率、樣本庫(kù)總量的大小區(qū)分，抽取相應(yīng)數(shù)量的樣本進(jìn)行測(cè)試。信息系統(tǒng)內(nèi)部控制運(yùn)行有效性測(cè)試重點(diǎn)是對(duì)關(guān)鍵控制測(cè)試。

　　(三)認(rèn)定缺陷。信息系統(tǒng)內(nèi)部控制認(rèn)定缺陷，就是對(duì)信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和運(yùn)行缺陷的認(rèn)定，并按影響程度分為重大缺陷、重要缺陷和一般缺陷。在具體的認(rèn)定過(guò)程中，評(píng)價(jià)人員應(yīng)將已調(diào)查了解到的信息系統(tǒng)內(nèi)部控制的系統(tǒng)現(xiàn)狀與事先確定的標(biāo)準(zhǔn)模式進(jìn)行對(duì)照，以揭示哪些法規(guī)規(guī)定的控制程序未被采用，按照不同內(nèi)容分類，匯集在《內(nèi)部控制缺陷認(rèn)定矩陣表》中記錄，并編制《信息系統(tǒng)內(nèi)部控制缺陷認(rèn)定表》。

　　(四)綜合評(píng)價(jià)。信息系統(tǒng)內(nèi)部控制綜合評(píng)價(jià)，就是指在信息系統(tǒng)內(nèi)部控制現(xiàn)場(chǎng)測(cè)試結(jié)果的基礎(chǔ)上對(duì)信息系統(tǒng)內(nèi)部控制有效性做出的最終評(píng)價(jià)，主要工作是匯總前述評(píng)價(jià)結(jié)果。本階段工作應(yīng)遵循整理資料、分析影響、形成結(jié)論、反饋意見等綜合評(píng)價(jià)的基本步驟。信息系統(tǒng)綜合評(píng)價(jià)的方法很多，比較常用的是評(píng)分法。實(shí)施過(guò)程中，可分別信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性和運(yùn)行有效性進(jìn)行評(píng)分，也可以進(jìn)行綜合評(píng)分。綜合評(píng)價(jià)結(jié)果可編制成《評(píng)價(jià)結(jié)果匯總表》或繪制成《評(píng)價(jià)地圖》。