【正文】 發(fā)需求。驗收通過的信息系統(tǒng)，應當按照規(guī)定的權限和程序審批后上線實施。第十條企業(yè)應當切實做好信息系統(tǒng)上線前的各項準備工作，培訓業(yè)務操作和系統(tǒng)管理人員，制定科學的上線計劃和新舊系統(tǒng)轉換方案，考慮應急預案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。第三章信息系統(tǒng)的運行與維護第十一條企業(yè)應當加強信息系統(tǒng)運行與維護的管理，跟蹤和發(fā)現(xiàn)系統(tǒng)運行中存在的問題，不斷進行調整和完善。企業(yè)應當建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、備份頻度、備份方法、備份責任人、備份存放地點、備份有效性檢查等內容。第十二條企業(yè)應當根據(jù)業(yè)務性質、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級，采用相應的制度和技術手段，確保信息系統(tǒng)安全、穩(wěn)定、高效運行。企業(yè)應當建立信息系統(tǒng)安全保密和泄密責任追究制度。第十三條企業(yè)應當綜合利用防火墻、路由器等網(wǎng)絡設備，漏洞掃描、入侵檢測等軟件技術，以及遠程訪問安全策略等手段加強網(wǎng)絡安全，防范來自網(wǎng)絡的攻擊和非法侵入。通過網(wǎng)絡傳輸?shù)纳婷芑蛘哧P鍵數(shù)據(jù)，應當采取加密傳輸?shù)却胧┐_保信息傳遞的保密性、準確性和完整性。第十四條企業(yè)應當加強服務器等關鍵信息設備的管理，建立良好的物理環(huán)境，指定專人負責檢查，及時處理異常情況，任何人未經(jīng)授權不得接觸關鍵信息設備。第四章評估與披露第十五條 企業(yè)應當建立利用信息系統(tǒng)實施內部控制的評估制度，對信息系統(tǒng)開發(fā)、運行與維護的全過程進行評估，發(fā)現(xiàn)異常情況，應當及時報告。第十六條企業(yè)應當披露利用信息系統(tǒng)實施內部控制的情況及存在的主要問題。第五篇：企業(yè)內部控制評價指引企業(yè)內部控制評價指引第一章 總 則第一條 為了促進企業(yè)全面評價內部控制的設計與運行情況，規(guī) 范內部控制評價程序和評價報告，揭示和防范風險，根據(jù)有關法律法 規(guī)和《企業(yè)內部控制基本規(guī)范》，制定本指引。第二條 本指引所稱內部控制評價，是指企業(yè)董事會或類似權力 機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報 告的過程。第三條 企業(yè)實施內部控制評價至少應當遵循下列原則：（一）全面性原則。評價工作應當包括內部控制的設計與運行，涵蓋企業(yè)及其所屬單位的各種業(yè)務和事項。（二）重要性原則。評價工作應當在全面評價的基礎上，關注重 要業(yè)務單位、重大業(yè)務事項和高風險領域。（三）客觀性原則。評價工作應當準確地揭示經(jīng)營管理的風險狀 況，如實反映內部控制設計與運行的有效性。第四條 企業(yè)應當根據(jù)本評價指引，結合內部控制設計與運行的 實際情況，制定具體的內部控制評價辦法，規(guī)定評價的原則、內容、程序、方法和報告形式等，明確相關機構或崗位的職責權限，落實責 任制，按照規(guī)定的辦法、程序和要求，有序開展內部控制評價工作。企業(yè)董事會應當對內部控制評價報告的真實性負責。第二章 內部控制評價的內容第五條 企業(yè)應當根據(jù)《企業(yè)內部控制基本規(guī)范》、應用指引以 及本企業(yè)的內部控制制度，圍繞內部環(huán)境、風險評估、控制活動、信 息與溝通、內部監(jiān)督等要素，確定內部控制評價的具體內容，對內部 控制設計與運行情況進行全面評價。第六條 企業(yè)組織開展內部環(huán)境評價，應當以組織架構、發(fā)展戰(zhàn) 略、人力資源、企業(yè)文化、社會責任等應用指引為依據(jù)，結合本企業(yè) 的內部控制制度，對內部環(huán)境的設計及實際運行情況進行認定和評價。第七條 企業(yè)組織開展風險評估機制評價，應當以《企業(yè)內部控 制基本規(guī)范》有關風險評估的要求，以及各項應用指引中所列主要風 險為依據(jù)，結合本企業(yè)的內部控制制度，對日常經(jīng)營管理過程中的風 險識別、風險分析、應對策略等進行認定和評價。第八條 企業(yè)組織開展控制活動評價，應當以《企業(yè)內部控制基 本規(guī)范》和各項應用指引中的控制措施為依據(jù)，結合本企業(yè)的內部控 制制度，對相關控制措施的設計和運行情況進行認定和評價。第九條 企業(yè)組織開展信息與溝通評價，應當以內部信息傳遞、財務報告、信息系統(tǒng)等相關應用指引為依據(jù)，結合本企業(yè)的內部控制 制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財 務報告的真實性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實施內部控制的有效性等進行認定和評價。第十條 企業(yè)組織開展內部監(jiān)督評價，應當以《企業(yè)內部控制基 本規(guī)范》有關內部監(jiān)督的要求，以及各項應用指引中有關日常管控的 規(guī)定為依據(jù)，結合本企業(yè)的內部控制制度，對內部監(jiān)督機制的有效性 進行認定和評價，重點關注監(jiān)事會、審計委員會、內部審計機構等是 否在內部控制設計和運行中有效發(fā)揮監(jiān)督作用。第十一條 內部控制評價工作應當形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內容，包括評價要素、主要風險點、采取的控制措施、有關證據(jù)資料以及認定結果等。評價工作底稿應當設計合理、證據(jù)充分、簡便易行、便于操作。第三章 內部控制評價的程序第十二條 企業(yè)應當按照內部控制評價辦法規(guī)定的程序，有序開展內部控制評價工作。內部控制評價程序一般包括：制定評價工作方案、組成評價工作 組、實施現(xiàn)場測試、認定控制缺陷、匯總評價結果、編報評價報告等 環(huán)節(jié)。企業(yè)可以授權內部審計部門或專門機構（以下簡稱內部控制評價部門）負責內部控制評價的具體組織實施工作。第十三條 企業(yè)內部控制評價部門應當擬訂評價工作方案明確 評價范圍、工作任務、人員組織、進度安排和費用預算等相關內容，報經(jīng)董事會或其授權機構審批后實施。第十四條 企業(yè)內部控制評價部門應當根據(jù)經(jīng)批準的評價方案，組成內部控制評價工作組，具體實施內部控制評價工作。評價工作組 應當吸收企業(yè)內部相關機構熟悉情況的業(yè)務骨干參加。評價工作組成 員對本部門的內部控制評價工作應當實行回避制度。企業(yè)可以委托中介機構實施內部控制評價。為企業(yè)提供內部控制 審計服務的會計師事務所，不得同時為同一企業(yè)提供內部控制評價服 務。第十五條 內部控制評價工作組應當對被評價單位進行現(xiàn)場測 試，綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法，充分收集被評價單位內部控制設計和運行是 否有效的證據(jù)，按照評價的具體內容，如實填寫評價工作底稿，研究 分析內部控制缺陷。第四章 內部控制缺陷的認定第十六條 內部控制缺陷包括設計缺陷和運行缺陷。企業(yè)對內部 控制缺陷的認定，應當以日常監(jiān)督和專項監(jiān)督為基礎，結合內部 控制評價，由內部控制評價部門進行綜合分析后提出認定意見，按照 規(guī)定的權限和程序進行審核后予以最終認定。第十七條 企業(yè)在日常監(jiān)督、專項監(jiān)督和評價工作中，應當 充分發(fā)揮內部控制評價工作組的作用。內部控制評價工作組應當根據(jù) 現(xiàn)場測試獲取的證據(jù)，對內部控制缺陷進行初步認定，并按其影響程 度分為重大缺陷、重要缺陷和一般缺陷。重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重 偏離控制目標。重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具體認定標準，由企業(yè)根據(jù)上述要求自行確定。第十八條 企業(yè)內部控制評價工作組應當建立評價質量交叉復核制度，評價工作組負責人應當對評價工作底稿進行嚴格審核，并對所認定的評價結果簽字確認后，提交企業(yè)內部控制評價部門。第十九條 企業(yè)內部控制評價部門應當編制內部控制缺陷認定匯總表,結合日常監(jiān)督和專項監(jiān)督發(fā)現(xiàn)的內部控制缺陷及其持續(xù)改進 情況，對內部控制缺陷及其成因、表現(xiàn)形式和影響程度進行綜合分析 和全面復核，提出認定意見，并以適當?shù)男问较蚨聲⒈O(jiān)事會或者 經(jīng)理層報告。重大缺陷應當由董事會予以最終認定。企業(yè)對于認定的重大缺陷，應當及時采取應對策略，切實將風險控制在可承受度之內，并追究有關部門或相關人員的責任。第五章 內部控制評價報告第二十條 企業(yè)應當根據(jù)《企業(yè)內部控制基本規(guī)范》、應用指引 和本指引，設計內部控制評價報告的種類、格式和內容，明確內部控 制評價報告編制程序和要求，按照規(guī)定的權限報經(jīng)批準后對外報出。第二十一條 內部控制評價報告應當分別內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督等要素進行設計，對內部控制評價 過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關 內容作出披露。第二十二條 內部控制評價報告至少應當披露下列內容：（一）董事會對內部控制報告真實性的聲明。（二）內部控制評價工作的總體情況。（三）內部控制評價的依據(jù)。（四）內部控制評價的范圍。（五）內部控制評價的程序和方法。（六）內部控制缺陷及其認定情況。（七）內部控制缺陷的整改情況及重大缺陷擬采取的整改措施。（八）內部控制有效性的結論。第二十三條 企業(yè)應當根據(jù)內部控制評價結果，結合內部控 制評價工作底稿和內部控制缺陷匯總表等資料，按照規(guī)定的程序和要 求，及時編制內部控制評價報告。第二十四條 內部控制評價報告應當報經(jīng)董事會或類似權力機 構批準后對外披露或報送相關部門。企業(yè)內部控制評價部門應當關注自內部控制評價報告基準日至 內部控制評價報告發(fā)出日之間是否發(fā)生影響內部控制有效性的因素，并根據(jù)其性質和影響程度對評價結論進行相應調整。第二十五條 企業(yè)內部控制審計報告應當與內部控制評價報告同時對外披露或報送。第二十六條 企業(yè)應當以 12 月 31 日作為內部控制評價報告 的基準日。內部控制評價報告應于基準日后 4 個月內報出。第二十七條 企業(yè)應當建立內部控制評價工作檔案管理制度。內部控制評價的有關文件資料、工作底稿和證明材料等應當妥善保管。