【正文】 場變化情況下客戶違約的處理辦法和措施？14．公司資金業(yè)務新產(chǎn)品的開發(fā)和經(jīng)營是否經(jīng)過高級管理層授權批準，在風險控制制度和操作規(guī)程完備、人員合格和設備齊全的情況下，交易部門才能全面開展新產(chǎn)品的交易？15．公司是否建立資金業(yè)務的風險責任制，明確規(guī)定各個部門、崗位的風險責任？（1）前臺資金交易員是否承擔越權交易和虛假交易的責任，并對未執(zhí)行止損規(guī)定形成的損失負責；（2）中臺監(jiān)控人員是否承擔對資金交易員越權交易報告的責任，并對風險報告失準和監(jiān)控不力負責；（3）后臺結算人員是否對結算的操作性風險負責；（4）高級管理層是否對資金交易出現(xiàn)的重大損失承擔相應的責任。審計人員： 審計日期： 復核人員： 復核日期：四、計算機系統(tǒng)內(nèi)部控制的測評隨著金融業(yè)務日趨多樣化，以計算機為中心的金融信息網(wǎng)絡系統(tǒng)在整個金融業(yè)的使用越來越廣泛，金融業(yè)對計算機系統(tǒng)的依賴程度與日俱增，計算機系統(tǒng)風險的控制顯得十分必要和緊迫。對計算機系統(tǒng)的內(nèi)部控制評價可依據(jù)該機構計算機系統(tǒng)應用程度來確定其評價內(nèi)容，并設定計算機系統(tǒng)在整個內(nèi)部控制評價系統(tǒng)中所占的權重。一般來說，計算機系統(tǒng)應用程度可分為下列三種模式：第一種模式：所有業(yè)務完全應用計算機系統(tǒng)，徹底擺脫手工操作或者以手工操作為輔助手段。第二種模式：部分業(yè)務應用計算機系統(tǒng)，尚未完全擺脫手工操作或者是處于手工操作與計算機并運的狀況。第三種模式：計算機系統(tǒng)主要用于部分文檔操作，尚未深入到業(yè)務層次。在第一種模式中，計算機業(yè)務處理集中化程度最高、檢查評價內(nèi)容要具體、細化、深入，所占權重相對最高；在第二種模式中，計算機業(yè)務處理集中化程度居中，檢查評價內(nèi)容要比較具體、細化，所占權重相對較高；在第三種模式中，計算機涉及業(yè)務處理內(nèi)容最少，檢查評價內(nèi)容不必面面俱到，可重點檢查評價一些相關環(huán)節(jié)，所占權重相對較低。在我國現(xiàn)階段，公司的計算機系統(tǒng)基本上已經(jīng)達到或接近第一種模式，因此對計算機系統(tǒng)的內(nèi)部控制進行審計與評價就顯得尤為重要。對計算機系統(tǒng)的評價要點為：一是檢查評價控制制度的健全性。二是檢查評價軟件系統(tǒng)的安全性、完善性及維護情況。三是檢查評價硬件配置管理、運行環(huán)境的可靠性。四是檢查評價應用操作人員的職務分離性。公司計算機信息系統(tǒng)內(nèi)部控制的重點是：嚴格劃分計算機信息系統(tǒng)開發(fā)部門、管理部門與應用部門的職責，建立和健全計算機信息系統(tǒng)風險防范的制度，確保計算機信息系統(tǒng)設備、數(shù)據(jù)、系統(tǒng)運行和系統(tǒng)環(huán)境的安全。對公司計算機系統(tǒng)內(nèi)部控制的調(diào)查測試表如下：表3－4 索引號：（審計機關名稱）審計工作底稿計算機系統(tǒng)內(nèi)部控制調(diào)查測試表（審計期間）被審計公司：控制活動是否執(zhí)行情況好一般差1．公司是否明確計算機信息系統(tǒng)開發(fā)人員、管理人員與操作人員的崗位職責，做到崗位之間的相互制約，各崗位之間不得相互兼任？2．各級機構是否配備計算機安全管理人員，明確計算機安全管理人員的職責？3．公司是否對計算機信息系統(tǒng)的項目立項、開發(fā)、驗收、運行和維護整個過程實施有效管理，開發(fā)環(huán)境是否與生產(chǎn)環(huán)境嚴格分離？3．技術部門與業(yè)務部門之間是否進行溝通協(xié)調(diào)，確保系統(tǒng)的整體安全？4．公司購買計算機軟、硬件設備，是否對供應商的資格條件進行嚴格審查，在使用前進行試用性安全測試，明確產(chǎn)品供應商對產(chǎn)品在使用期間承擔的責任，確保產(chǎn)品的正常使用和有效維護？5．公司計算機機房建設是否符合國家的有關標準，出入計算機機房是否有嚴格的審批程序和出入記錄，確保計算機硬件、各種存儲介質(zhì)的物理安全？計算機機房和營業(yè)網(wǎng)點是否有完備的計算機監(jiān)控系統(tǒng)，確保計算機終端的正常使用？6．公司是否建立和健全網(wǎng)絡管理系統(tǒng)，有效地管理網(wǎng)絡的安全、故障、性能、配置等，并對接入國際互聯(lián)網(wǎng)實施有效的安全管理？7．公司是否對計算機信息系統(tǒng)實施有效的用戶管理和密碼（口令）管理，對用戶的創(chuàng)建、變更、刪除、用戶口令的長度、時效等均是否有嚴格的控制？員工之間嚴禁轉讓計算機信息系統(tǒng)的用戶名或權限卡，員工離崗后是否及時更換密碼和密碼信息？8．公司是否對計算機信息系統(tǒng)的接入建立適當?shù)氖跈喑绦?，并對接入后的操作進行安全控制？輸入計算機信息系統(tǒng)的數(shù)據(jù)是否核對無誤，數(shù)據(jù)的修改是否經(jīng)過批準并建立日志？9．公司是否及時更新系統(tǒng)安全設置、病毒代碼庫、攻擊特征碼、軟件補丁程序等，通過認證、加密、內(nèi)容過濾、入侵監(jiān)測等技術手段，不斷完善安全控制措施，確保計算機信息系統(tǒng)的安全？10．公司的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用程序等均是否設置必要的日志？日志是否能夠滿足各類內(nèi)部和外部審計的需要？11．公司是否嚴格管理各類數(shù)據(jù)信息，數(shù)據(jù)的操作、數(shù)據(jù)備份介質(zhì)的存放、轉移和銷毀等均是否有嚴格的管理制度？12．公司運用計算機處理業(yè)務，是否具有可復核性和可追溯性，并為有關的審計或檢查留有接口？13．公司的電子銀行服務是否具備客戶身份識別、安全認證等功能，防止發(fā)生泄密事件，確保交易安全？14．公司是否盡可能利用計算機信息系統(tǒng)的系統(tǒng)設定，防范各種操作風險和違法犯罪行為？15．公司是否建立計算機安全應急系統(tǒng)，制定詳細的應急方案，并定期進行修訂和演練？數(shù)據(jù)備份是否做到異地存放，條件允許時，是否建立異地計算機災難備份中心？審計人員： 審計日期： 復核人員： 復核日期：五、內(nèi)部控制監(jiān)督與風險評價系統(tǒng)的測評公司應建立、健全完善的內(nèi)部控制監(jiān)督與風險評價系統(tǒng)機制，通過對相關內(nèi)部控制的監(jiān)督與評價，對內(nèi)部控制的制度建設、執(zhí)行情況定期進行回顧和檢討，并根據(jù)國家法律規(guī)定、銀行組織結構、經(jīng)營狀況、市場環(huán)境的變化進行修訂和完善。對公司內(nèi)部控制監(jiān)督與風險評價系統(tǒng)的調(diào)查測試表如下：表3－5 索引號：（審計機關名稱）審計工作底稿內(nèi)部控制監(jiān)督與風險評價系統(tǒng)調(diào)查測試表（審計期間）被審計公司：控制活動是否執(zhí)行情況好一般差1．公司是否指定不同的機構或部門分別負責內(nèi)部控制的建設、執(zhí)行和內(nèi)部控制的監(jiān)督、評價？內(nèi)部控制的建設、執(zhí)行部門負責設計內(nèi)部控制體系，組織、督促各業(yè)務部門、分支機構建立和健全內(nèi)部控制？內(nèi)部控制的監(jiān)督、評價部門負責組織檢查、評價內(nèi)部控制的健全性和有效性，督促管理層糾正內(nèi)部控制存在的問題？2．公司是否建立內(nèi)部控制的報告和信息反饋制度，業(yè)務部門、內(nèi)部審計部門和其他控制人員發(fā)現(xiàn)內(nèi)部控制的隱患和缺陷，是否及時向管理層或相關部門報告？3．公司內(nèi)部控制的監(jiān)督、評價部門是否對內(nèi)部控制的制度建設和執(zhí)行情況定期進行檢查評價，提出改進建議，對違反規(guī)定的機構和人員提出處理意見？4．公司上級機構是否根據(jù)自身掌握的內(nèi)部控制信息，對下級機構的內(nèi)部控制狀況定期作出評價，并將評價結果作為經(jīng)營績效考核的重要依據(jù)？5．公司是否建立內(nèi)部控制問題和缺陷的處理糾正機制，管理層是否根據(jù)內(nèi)部控制的檢查情況和評價結果，提出整改意見和糾正措施，并督促業(yè)務部門和分支機構落實？6．公司是否建立內(nèi)部控制的風險責任制？（1）董事會、高級管理層是否對內(nèi)部控制的有效性負責，并對內(nèi)部控制失效造成的重大損失承擔責任；（2）內(nèi)部審計部門是否對檢查發(fā)現(xiàn)問題隱瞞不報、上報虛假情況或檢查監(jiān)督不力，承擔相應的責任；（3）業(yè)務部門和分支機構是否及時糾正內(nèi)部控制存在的問題，并對出現(xiàn)的風險和損失承擔相應的責任；（4）高級管理層是否對違反內(nèi)部控制的人員，依據(jù)法律規(guī)定、內(nèi)部管理制度追究責任和予以處分，并承擔處理不力的責任。審計人員： 審計日期： 復核人員： 復核日期：70 / 2