【正文】 能力等因素，制定信息系統(tǒng)建設(shè)整體規(guī)劃，進(jìn)行統(tǒng)籌安排，明確系統(tǒng)開發(fā)、運(yùn)行與維護(hù)中的主要風(fēng)險(xiǎn)點(diǎn)，采取相應(yīng)措施，實(shí)施有效控制。第二章信息系統(tǒng)的開發(fā)第七條企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃，提出信息系統(tǒng)項(xiàng)目建設(shè)方案，按規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。第八條企業(yè)開發(fā)信息系統(tǒng)，應(yīng)當(dāng)明確提出開發(fā)需求和關(guān)鍵控制點(diǎn)，采取多種方式與開發(fā)單位進(jìn)行充分溝通，為系統(tǒng)開發(fā)奠定良好基礎(chǔ)。企業(yè)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理。第九條企業(yè)應(yīng)當(dāng)組織專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測試，驗(yàn)收測試與系統(tǒng)開發(fā)應(yīng)當(dāng)相互分離，確保在功能、性能、控制要求和安全性等方面滿足開發(fā)需求。驗(yàn)收通過的信息系統(tǒng)，應(yīng)當(dāng)按照規(guī)定的權(quán)限和程序?qū)徟笊暇€實(shí)施。第十條企業(yè)應(yīng)當(dāng)切實(shí)做好信息系統(tǒng)上線前的各項(xiàng)準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。第三章信息系統(tǒng)的運(yùn)行與維護(hù)第十一條企業(yè)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)運(yùn)行與維護(hù)的管理，跟蹤和發(fā)現(xiàn)系統(tǒng)運(yùn)行中存在的問題，不斷進(jìn)行調(diào)整和完善。企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、備份頻度、備份方法、備份責(zé)任人、備份存放地點(diǎn)、備份有效性檢查等內(nèi)容。第十二條企業(yè)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級，采用相應(yīng)的制度和技術(shù)手段，確保信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行。企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度。第十三條企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)，以及遠(yuǎn)程訪問安全策略等手段加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蛘哧P(guān)鍵數(shù)據(jù)，應(yīng)當(dāng)采取加密傳輸?shù)却胧┐_保信息傳遞的保密性、準(zhǔn)確性和完整性。第十四條企業(yè)應(yīng)當(dāng)加強(qiáng)服務(wù)器等關(guān)鍵信息設(shè)備的管理，建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查，及時(shí)處理異常情況，任何人未經(jīng)授權(quán)不得接觸關(guān)鍵信息設(shè)備。第四章評估與披露第十五條 企業(yè)應(yīng)當(dāng)建立利用信息系統(tǒng)實(shí)施內(nèi)部控制的評估制度，對信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)的全過程進(jìn)行評估，發(fā)現(xiàn)異常情況，應(yīng)當(dāng)及時(shí)報(bào)告。第十六條企業(yè)應(yīng)當(dāng)披露利用信息系統(tǒng)實(shí)施內(nèi)部控制的情況及存在的主要問題。第五篇：企業(yè)內(nèi)部控制評價(jià)指引企業(yè)內(nèi)部控制評價(jià)指引第一章 總 則第一條 為了促進(jìn)企業(yè)全面評價(jià)內(nèi)部控制的設(shè)計(jì)與運(yùn)行情況，規(guī) 范內(nèi)部控制評價(jià)程序和評價(jià)報(bào)告，揭示和防范風(fēng)險(xiǎn)，根據(jù)有關(guān)法律法 規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》，制定本指引。第二條 本指引所稱內(nèi)部控制評價(jià)，是指企業(yè)董事會或類似權(quán)力 機(jī)構(gòu)對內(nèi)部控制的有效性進(jìn)行全面評價(jià)、形成評價(jià)結(jié)論、出具評價(jià)報(bào) 告的過程。第三條 企業(yè)實(shí)施內(nèi)部控制評價(jià)至少應(yīng)當(dāng)遵循下列原則：（一）全面性原則。評價(jià)工作應(yīng)當(dāng)包括內(nèi)部控制的設(shè)計(jì)與運(yùn)行，涵蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項(xiàng)。（二）重要性原則。評價(jià)工作應(yīng)當(dāng)在全面評價(jià)的基礎(chǔ)上，關(guān)注重 要業(yè)務(wù)單位、重大業(yè)務(wù)事項(xiàng)和高風(fēng)險(xiǎn)領(lǐng)域。（三）客觀性原則。評價(jià)工作應(yīng)當(dāng)準(zhǔn)確地揭示經(jīng)營管理的風(fēng)險(xiǎn)狀 況，如實(shí)反映內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性。第四條 企業(yè)應(yīng)當(dāng)根據(jù)本評價(jià)指引，結(jié)合內(nèi)部控制設(shè)計(jì)與運(yùn)行的 實(shí)際情況，制定具體的內(nèi)部控制評價(jià)辦法，規(guī)定評價(jià)的原則、內(nèi)容、程序、方法和報(bào)告形式等，明確相關(guān)機(jī)構(gòu)或崗位的職責(zé)權(quán)限，落實(shí)責(zé) 任制，按照規(guī)定的辦法、程序和要求，有序開展內(nèi)部控制評價(jià)工作。企業(yè)董事會應(yīng)當(dāng)對內(nèi)部控制評價(jià)報(bào)告的真實(shí)性負(fù)責(zé)。第二章 內(nèi)部控制評價(jià)的內(nèi)容第五條 企業(yè)應(yīng)當(dāng)根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》、應(yīng)用指引以 及本企業(yè)的內(nèi)部控制制度，圍繞內(nèi)部環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信 息與溝通、內(nèi)部監(jiān)督等要素，確定內(nèi)部控制評價(jià)的具體內(nèi)容，對內(nèi)部 控制設(shè)計(jì)與運(yùn)行情況進(jìn)行全面評價(jià)。第六條 企業(yè)組織開展內(nèi)部環(huán)境評價(jià)，應(yīng)當(dāng)以組織架構(gòu)、發(fā)展戰(zhàn) 略、人力資源、企業(yè)文化、社會責(zé)任等應(yīng)用指引為依據(jù)，結(jié)合本企業(yè) 的內(nèi)部控制制度，對內(nèi)部環(huán)境的設(shè)計(jì)及實(shí)際運(yùn)行情況進(jìn)行認(rèn)定和評價(jià)。第七條 企業(yè)組織開展風(fēng)險(xiǎn)評估機(jī)制評價(jià)，應(yīng)當(dāng)以《企業(yè)內(nèi)部控 制基本規(guī)范》有關(guān)風(fēng)險(xiǎn)評估的要求，以及各項(xiàng)應(yīng)用指引中所列主要風(fēng) 險(xiǎn)為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對日常經(jīng)營管理過程中的風(fēng) 險(xiǎn)識別、風(fēng)險(xiǎn)分析、應(yīng)對策略等進(jìn)行認(rèn)定和評價(jià)。第八條 企業(yè)組織開展控制活動(dòng)評價(jià)，應(yīng)當(dāng)以《企業(yè)內(nèi)部控制基 本規(guī)范》和各項(xiàng)應(yīng)用指引中的控制措施為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控 制制度，對相關(guān)控制措施的設(shè)計(jì)和運(yùn)行情況進(jìn)行認(rèn)定和評價(jià)。第九條 企業(yè)組織開展信息與溝通評價(jià)，應(yīng)當(dāng)以內(nèi)部信息傳遞、財(cái)務(wù)報(bào)告、信息系統(tǒng)等相關(guān)應(yīng)用指引為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制 制度，對信息收集、處理和傳遞的及時(shí)性、反舞弊機(jī)制的健全性、財(cái) 務(wù)報(bào)告的真實(shí)性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實(shí)施內(nèi)部控制的有效性等進(jìn)行認(rèn)定和評價(jià)。第十條 企業(yè)組織開展內(nèi)部監(jiān)督評價(jià)，應(yīng)當(dāng)以《企業(yè)內(nèi)部控制基 本規(guī)范》有關(guān)內(nèi)部監(jiān)督的要求，以及各項(xiàng)應(yīng)用指引中有關(guān)日常管控的 規(guī)定為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對內(nèi)部監(jiān)督機(jī)制的有效性 進(jìn)行認(rèn)定和評價(jià)，重點(diǎn)關(guān)注監(jiān)事會、審計(jì)委員會、內(nèi)部審計(jì)機(jī)構(gòu)等是 否在內(nèi)部控制設(shè)計(jì)和運(yùn)行中有效發(fā)揮監(jiān)督作用。第十一條 內(nèi)部控制評價(jià)工作應(yīng)當(dāng)形成工作底稿，詳細(xì)記錄企業(yè)執(zhí)行評價(jià)工作的內(nèi)容，包括評價(jià)要素、主要風(fēng)險(xiǎn)點(diǎn)、采取的控制措施、有關(guān)證據(jù)資料以及認(rèn)定結(jié)果等。評價(jià)工作底稿應(yīng)當(dāng)設(shè)計(jì)合理、證據(jù)充分、簡便易行、便于操作。第三章 內(nèi)部控制評價(jià)的程序第十二條 企業(yè)應(yīng)當(dāng)按照內(nèi)部控制評價(jià)辦法規(guī)定的程序，有序開展內(nèi)部控制評價(jià)工作。內(nèi)部控制評價(jià)程序一般包括：制定評價(jià)工作方案、組成評價(jià)工作 組、實(shí)施現(xiàn)場測試、認(rèn)定控制缺陷、匯總評價(jià)結(jié)果、編報(bào)評價(jià)報(bào)告等 環(huán)節(jié)。企業(yè)可以授權(quán)內(nèi)部審計(jì)部門或?qū)ｉT機(jī)構(gòu)（以下簡稱內(nèi)部控制評價(jià)部門）負(fù)責(zé)內(nèi)部控制評價(jià)的具體組織實(shí)施工作。第十三條 企業(yè)內(nèi)部控制評價(jià)部門應(yīng)當(dāng)擬訂評價(jià)工作方案明確 評價(jià)范圍、工作任務(wù)、人員組織、進(jìn)度安排和費(fèi)用預(yù)算等相關(guān)內(nèi)容，報(bào)經(jīng)董事會或其授權(quán)機(jī)構(gòu)審批后實(shí)施。第十四條 企業(yè)內(nèi)部控制評價(jià)部門應(yīng)當(dāng)根據(jù)經(jīng)批準(zhǔn)的評價(jià)方案，組成內(nèi)部控制評價(jià)工作組，具體實(shí)施內(nèi)部控制評價(jià)工作。評價(jià)工作組 應(yīng)當(dāng)吸收企業(yè)內(nèi)部相關(guān)機(jī)構(gòu)熟悉情況的業(yè)務(wù)骨干參加。評價(jià)工作組成 員對本部門的內(nèi)部控制評價(jià)工作應(yīng)當(dāng)實(shí)行回避制度。企業(yè)可以委托中介機(jī)構(gòu)實(shí)施內(nèi)部控制評價(jià)。為企業(yè)提供內(nèi)部控制 審計(jì)服務(wù)的會計(jì)師事務(wù)所，不得同時(shí)為同一企業(yè)提供內(nèi)部控制評價(jià)服 務(wù)。第十五條 內(nèi)部控制評價(jià)工作組應(yīng)當(dāng)對被評價(jià)單位進(jìn)行現(xiàn)場測 試，綜合運(yùn)用個(gè)別訪談、調(diào)查問卷、專題討論、穿行測試、實(shí)地查驗(yàn)、抽樣和比較分析等方法，充分收集被評價(jià)單位內(nèi)部控制設(shè)計(jì)和運(yùn)行是 否有效的證據(jù)，按照評價(jià)的具體內(nèi)容，如實(shí)填寫評價(jià)工作底稿，研究 分析內(nèi)部控制缺陷。第四章 內(nèi)部控制缺陷的認(rèn)定第十六條 內(nèi)部控制缺陷包括設(shè)計(jì)缺陷和運(yùn)行缺陷。企業(yè)對內(nèi)部 控制缺陷的認(rèn)定，應(yīng)當(dāng)以日常監(jiān)督和專項(xiàng)監(jiān)督為基礎(chǔ)，結(jié)合內(nèi)部 控制評價(jià)，由內(nèi)部控制評價(jià)部門進(jìn)行綜合分析后提出認(rèn)定意見，按照 規(guī)定的權(quán)限和程序進(jìn)行審核后予以最終認(rèn)定。第十七條 企業(yè)在日常監(jiān)督、專項(xiàng)監(jiān)督和評價(jià)工作中，應(yīng)當(dāng) 充分發(fā)揮內(nèi)部控制評價(jià)工作組的作用。內(nèi)部控制評價(jià)工作組應(yīng)當(dāng)根據(jù) 現(xiàn)場測試獲取的證據(jù)，對內(nèi)部控制缺陷進(jìn)行初步認(rèn)定，并按其影響程 度分為重大缺陷、重要缺陷和一般缺陷。重大缺陷，是指一個(gè)或多個(gè)控制缺陷的組合，可能導(dǎo)致企業(yè)嚴(yán)重 偏離控制目標(biāo)。重要缺陷，是指一個(gè)或多個(gè)控制缺陷的組合，其嚴(yán)重程度和經(jīng)濟(jì)后果低于重大缺陷，但仍有可能導(dǎo)致企業(yè)偏離控制目標(biāo)。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具體認(rèn)定標(biāo)準(zhǔn)，由企業(yè)根據(jù)上述要求自行確定。第十八條 企業(yè)內(nèi)部控制評價(jià)工作組應(yīng)當(dāng)建立評價(jià)質(zhì)量交叉復(fù)核制度，評價(jià)工作組負(fù)責(zé)人應(yīng)當(dāng)對評價(jià)工作底稿進(jìn)行嚴(yán)格審核，并對所認(rèn)定的評價(jià)結(jié)果簽字確認(rèn)后，提交企業(yè)內(nèi)部控制評價(jià)部門。第十九條 企業(yè)內(nèi)部控制評價(jià)部門應(yīng)當(dāng)編制內(nèi)部控制缺陷認(rèn)定匯總表,結(jié)合日常監(jiān)督和專項(xiàng)監(jiān)督發(fā)現(xiàn)的內(nèi)部控制缺陷及其持續(xù)改進(jìn) 情況，對內(nèi)部控制缺陷及其成因、表現(xiàn)形式和影響程度進(jìn)行綜合分析 和全面復(fù)核，提出認(rèn)定意見，并以適當(dāng)?shù)男问较蚨聲?、監(jiān)事會或者 經(jīng)理層報(bào)告。重大缺陷應(yīng)當(dāng)由董事會予以最終認(rèn)定。企業(yè)對于認(rèn)定的重大缺陷，應(yīng)當(dāng)及時(shí)采取應(yīng)對策略，切實(shí)將風(fēng)險(xiǎn)控制在可承受度之內(nèi)，并追究有關(guān)部門或相關(guān)人員的責(zé)任。第五章 內(nèi)部控制評價(jià)報(bào)告第二十條 企業(yè)應(yīng)當(dāng)根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》、應(yīng)用指引 和本指引，設(shè)計(jì)內(nèi)部控制評價(jià)報(bào)告的種類、格式和內(nèi)容，明確內(nèi)部控 制評價(jià)報(bào)告編制程序和要求，按照規(guī)定的權(quán)限報(bào)經(jīng)批準(zhǔn)后對外報(bào)出。第二十一條 內(nèi)部控制評價(jià)報(bào)告應(yīng)當(dāng)分別內(nèi)部環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督等要素進(jìn)行設(shè)計(jì)，對內(nèi)部控制評價(jià) 過程、內(nèi)部控制缺陷認(rèn)定及整改情況、內(nèi)部控制有效性的結(jié)論等相關(guān) 內(nèi)容作出披露。第二十二條 內(nèi)部控制評價(jià)報(bào)告至少應(yīng)當(dāng)披露下列內(nèi)容：（一）董事會對內(nèi)部控制報(bào)告真實(shí)性的聲明。（二）內(nèi)部控制評價(jià)工作的總體情況。（三）內(nèi)部控制評價(jià)的依據(jù)。（四）內(nèi)部控制評價(jià)的范圍。（五）內(nèi)部控制評價(jià)的程序和方法。（六）內(nèi)部控制缺陷及其認(rèn)定情況。（七）內(nèi)部控制缺陷的整改情況及重大缺陷擬采取的整改措施。（八）內(nèi)部控制有效性的結(jié)論。第二十三條 企業(yè)應(yīng)當(dāng)根據(jù)內(nèi)部控制評價(jià)結(jié)果，結(jié)合內(nèi)部控 制評價(jià)工作底稿和內(nèi)部控制缺陷匯總表等資料，按照規(guī)定的程序和要 求，及時(shí)編制內(nèi)部控制評價(jià)報(bào)告。第二十四條 內(nèi)部控制評價(jià)報(bào)告應(yīng)當(dāng)報(bào)經(jīng)董事會或類似權(quán)力機(jī) 構(gòu)批準(zhǔn)后對外披露或報(bào)送相關(guān)部門。企業(yè)內(nèi)部控制評價(jià)部門應(yīng)當(dāng)關(guān)注自內(nèi)部控制評價(jià)報(bào)告基準(zhǔn)日至 內(nèi)部控制評價(jià)報(bào)告發(fā)出日之間是否發(fā)生影響內(nèi)部控制有效性的因素，并根據(jù)其性質(zhì)和影響程度對評價(jià)結(jié)論進(jìn)行相應(yīng)調(diào)整。第二十五條 企業(yè)內(nèi)部控制審計(jì)報(bào)告應(yīng)當(dāng)與內(nèi)部控制評價(jià)報(bào)告同時(shí)對外披露或報(bào)送。第二十六條 企業(yè)應(yīng)當(dāng)以 12 月 31 日作為內(nèi)部控制評價(jià)報(bào)告 的基準(zhǔn)日。內(nèi)部控制評價(jià)報(bào)告應(yīng)于基準(zhǔn)日后 4 個(gè)月內(nèi)報(bào)出。第二十七條 企業(yè)應(yīng)當(dāng)建立內(nèi)部控制評價(jià)工作檔案管理制度。內(nèi)部控制評價(jià)的有關(guān)文件資料、工作底稿和證明材料等應(yīng)當(dāng)妥善保管。