26-内控问卷调查表(业务内控-信息系统)

  • 格式:xlsx
  • 大小:16.77 KB
  • 文档页数:12
被调查人姓名: 被调查人部门: 评价要素 模块 关键控 制点 编号 评价项目描述 企业是否制定了信息系统开发的战略规划 和中长期发展计划,并在每年制定经营计 划的同时制定年度信息系统建设计划,促 进经营管理活动与信息系统的协调统一 企业在指定信息化战略过程中,是否充分 调动和发挥信息系统归口管理部门与业务 部门的积极性,使各部门广泛参与并充分 沟通,提高战略规划的科学性、前瞻性和 信息系统战略规划是否与企业的组织结构 、业务范围、地域分布、技术能力等相匹 配,避免相互脱节 企业选定外购调试或业务外包方式开发信 息系统时,是否采用公开招标等形式择优 确定开发商或开发单位 企业开发信息系统时,是否将生产经营管 理业务流程、关键控制点和处理规则嵌入 系统程序,实现手工环境下难以实现的控 企业是否在信息系统中设置操作日志功 能,确保操作的可审计性 对于异常的或违背内部控制要求的交易和 数据,企业是否设计由系统自动报告并设 置了跟踪处理机制 企业信息系统归口管理部门是否加强对信 息系统开发全过程的跟踪管理,组织开发 单位与内部各单位的日常沟通和协调、督 促开发单位按照建设方案、计划进度和质 量要求完成变成工作,对配备的硬件设备 和系统软件进行检查验收,组织系统上线 企业是否组织独立与开发单位的专业机构 对开发完成的信息系统进行验收测试,确 保在功能、性能、控制要求和安全性等方 面符合开发需求 企业是否能够切实做好信息系统上线的各 项准备工作,培训业务操作和系统管理人 员,制定科学的上线新旧系统转换方案, 考虑应急预案,确保新旧系统顺利切换和 系统上线涉及数据迁移的,企业是否制定 了详细的数据迁移计划 企业是否制定了信息系统使用操作程序、 信息管理制度及各模块子系统的具体操作 规范,及时跟踪、发现和解决系统运行中 存在的问题,确保信息系统按照规定的程 序、制度和操作规范持续、稳定地运行 企业是否切实做好系统运行记录,尤其是 对于系统运行不正常或无法运行的情况, 应将异常现象、发生时间和可能的原因做 详细记录
过程管理符合度
其它(如通知、传 真、优秀实践和总
缺陷说明
责任部门
结果有效性管理符合度 结果有效性情况记录 检查结果 结果性文件名称 缺陷说明 责任部门
信息系统安全管理流程
信息系统安全管理流程
运行 与维 护 企业委托专业机构进行系统运行与维护管 理的,是否严格审查其资质条件、市场声 誉和信用状况等,并与其签订正式的服务 合同和保密协议 企业是否采取安装安全软件等措施防范信 息系统受到病毒等恶意软件的感染和破坏 企业是否特别注重加强对服务器等关键部 位的防护 对于存在网络应用的企业,是否综合利用 防火墙、路由器等网络设备,采用内容过 滤、漏洞扫描、入侵检测等软件技术加强 网络安全,严密防范来自互联网的黑客攻 击和非法侵入 对于通过互联网传输的涉密或关键业务数 据,企业是否采取必要的技术手段确保信 息传递的保密性、准确性和完整性 企业是否建立了系统数据定期备份制度, 明确备份范围、频度、方法、责任人、存 放地点、有效性检查等内容 系统首次上线运行时是否完全备份,并根 据业务频率和数据重要性程度,定期做好 增量备份 数据正本与数据备份是否分别存放于不同 地点,防止因火灾、水灾、地震等事故产 生不利影响。企业可综合利用磁盘、磁带 、光盘等备份存储介质 企业是否建立了信息系统开发、运行与维 护等环节的岗位责任制度和不相容职务分 离制度,防范利用计算机舞弊和犯罪 企业是否建立了用户管理制度,加强对重 要业务系统的访问权限管理,避免将不相 容职责授予同一用户,对于发生岗位变化 或离岗的用户,用户部门是否及时通知系 统管理人员调整其在系统中的访问权限或 企业是否采用密码控制等技术手段进行用 户身份识别,对于重要的业务系统,是否 采用数字证书、生物识别等可靠性强的技 术手段识别用户身份 企业是否定期对系统中的账号进行审阅, 避免存在授权不当或非授权账号,对于超 级用户,企业是否严格规定其使用条件和 操作程序,并对其在系统中的操作全程进 行监控或审计 企业是否积极开展信息系统风险评估工 作,定期对信息系统进行安全评估,及时 发现系统安全问题并加以整改 企业是否能够做好善后工作,不管因何种 情况导致系统停止运行,都能将废弃系统 中有价值或涉密的信息进行销毁、转移 企业是否严格按照国家有关法规制度和对 电子档案的管理规定(如审计准则对审计 证据保管年限的要求),妥善保管相关信
信息系统自行开发流程
信息系统自行开发流程
9
信息系统自行开发流程
10 11
信息系统自行开发流程
信息系统日常运行维护流程
12
日常运 行维护
信息系统日常运行维护流程
13
日常运 行维护 企业是否重视系统运行的日常维护,在硬 件方面,日常维护主要包括各种设备的保 养和安全管理、故障的诊断与排除、易耗 品的更换和安装等,这些工作应由专人负 企业是否配备专业人员负责处理信息系统 运行中的突发事件,必要时会同系统开发 人员或软硬件供应商共同解决 企业是否建立了标准流程来实施和记录系 统变更,保证变更过程得到适当的授权与 管理层的批准,并对变更进行测试 信息系统变更是否严格遵照管理流程进行 操作,信息系统操作人员不得擅自进行软 件的删除、修改等操作,不得擅自升级、 改变软件版本、不得擅自改变软件系统的 系统变更程序(如软件升级)是否遵循与 新系统开发项目相同的验证和测试程序, 必要时还应进行额外测试 企业是否加强紧急变更的控制管理 企业是否加强对将移植到生产环境中的控 制管理,包括系统访问授权控制、数据转 换控制、用户培训等 企业是否建立了信息系统相关资产的管理 制度,保证电子设备的安全 企业是否成立专门的信息系统安全管理机 构,由企业主要领导负总责,对企业的信 息安全做出总体规划和全方位严格管理, 具体实施工作由企业的信息主管部门负责 企业是否强化全体员工的安全保密意识, 特别要对重要岗位员工进行信息系统保密 培训,并签署安全保密协议 企业是否建立了信息系统安全保密制度和 泄密责任追究制度 企业是否按照国家相关法律法规及信息安 全技术标准,制定了信息系统安全实施细 企业是否根据业务性质、重要程度、泄密 情况等确定信息系统的安全等级,建立不 同等级信息的授权使用制度,采用相应技 术手段保证信息系统运行安全、有序 对于信息系统的使用者和不同安全等级信 息之间的授权关系,是否能够在系统开发 建设阶段就形成方案并加以设计,在软件 系统中预留这种对应关系的设置功能,以 便根据使用者岗位职务的变迁进行调整 企业是否有效利用IT技术手段对硬件配置 调整、软件参数修改严加控制。例如,企 业可利用操作系统、数据库系统、应用系 统提供的安全机制,设置安全参数,保证 系统访问安全;对于重要的计算机设备, 企业应利用技术手段防止员工擅自安装、 卸载软件或改变软件系统配置,并定期对 上述情况进行检查 信息系统日常运行维护流程、 硬件设备更新修复申请流程 信息系统日常运行维护流程、 硬件设备更新修复申请流程
41
信息系统安全管理流程
系统终 结
42
信息化会计档案的管理流程
43
签核人部门: 检查结 对应的管理制度 果 制度名称及编号 具体条款 过程管理情况记录 相应的业务流程 流程名称及编号
开始调查日期 结束调查日期 过程管理情况记录 相应的业务流程 流程简要描述
29 30 安全管 理 31
信息系统安全管理流程 信息系统安全管理流程 信息系统安全管理流程
32
信息系统安全管理流程
33
信息系统安全管理流程
34
信息系统安全管理流程
35
信息系统安全管理流程
36
信息系统安全管理流程
37
信息系统安全管理流程
38
信息系统安全管理流程
39
信息系统安全管理流程
40
信息系统安全管理流程、会计 信息管理人员操作流程
14
15
16
信息系统功能变更流程
系统变 更
17
信息系统功能变更流程
18 19
信息系统功能变更流程 信息系统功能变更流程
20 21
信息系统功能变更流程 信息系统安全管理流程
22
信息系统安全管理流程
23 24 25
信息系统安全管理流程 信息系统安全管理流程 信息系统安全管理流程
26
信息系统安全管理流程
27 信息 系统 运行 与维 护 28
调查人姓名: 调查人部门:
相关流程 信息系统战略规划流程、信息 系统政策制定流程
制定信 息系统 开发的 战略规 划
1
信息系统战略规划流程
2
信息系统战略规划流程 信息系统自行开发流程、信息 系统开发招标流程 信息系统自行开发流程 信息系统自行开发流程 信息系统自行开发流程
3
4
5 信息 系统 开发 6
7 信息系 统开发 过程管 理 8