大華會計師事務所（特殊普通合伙）2013版目錄TOC\o"1-1"\h\z\u調查問卷1—組織架構 調查問卷17—內部信息傳遞調查部門主要業務活動調查事項答復相關政策、程序及控制活動制度或文檔名稱備注是否內部報告的形成企業是否有效利用內部報告進行風險評估，準確識別和系統分析企業生產經營活動中的內外部風險，確定風險應對策略，實現對風險的有效控制？企業對于內部報告反映出的問題是否及時解決？涉及突出問題和重大風險的，是否啟動應急預案？企業是否制定嚴格的內部報告保密制度，明確保密內容、保密措施、密級程度和傳遞范圍，防止泄露商業秘密？企業是否建立內部報告的評估制度，定期對內部報告的形成和使用進行全面評估，重點關注內部報告的及時性、安全性和有效性？內部報告的使用企業是否根據發展戰略、風險控制和業績考核要求，科學規范不同級次內部報告的指標體系，采用經營快報等多種形式，全面反映與企業生產經營管理相關的各種內外部信息？內部報告指標體系的設計是否與全面預算管理相結合，并隨著環境和業務的變化不斷進行修訂和完善？設計內部報告指標體系時，是否關注企業成本費用預算的執行情況？內部報告是否簡潔明了、通俗易懂、傳遞及時，便于企業各管理層級和全體員工掌握相關信息，正確履行職責？企業是否制定嚴密的內部報告流程，充分利用信息技術，強化內部報告信息集成和共享，將內部報告納入企業統一信息平臺，構建科學的內部報告網絡體系？企業內部各管理層級均是否指定專人負責內部報告工作，重要信息應及時上報，并可以直接報告高級管理人員？企業是否建立內部報告審核制度，確保內部報告信息質量？企業是否關注市場環境、政策變化等外部信息對企業生產經營管理的影響，廣泛收集、分析、整理外部信息，并通過內部報告傳遞到企業內部相關管理層級，以便采取應對策略？企業是否拓寬內部報告渠道，通過落實獎勵措施等多種有效方式，廣泛收集合理化建議？企業是否重視和加強反舞弊機制建設,通過設立員工信箱、投訴熱線等方式，鼓勵員工及企業利益相關方舉報和投訴企業內部的違法違規、舞弊和其他有損企業形象的行為？信息系統調查問卷18—信息系統調查部門主要業務活動調查事項答復相關政策、程序及控制活動制度或文檔名稱備注是否信息系統的開發是否制定信息系統開發的戰略規劃和中長期發展計劃，并在每年制定經營計劃的同時制定年度信息系統建設計劃，促進經營管理活動與信息系統的協調統一？在制定信息化戰略過程中，是否充分調動和發揮信息系統歸口管理部門與業務部門的積極性，使各部門廣泛參與，充分溝通，提高戰略規劃的科學性、前瞻性和適應性？信息系統戰略規劃是否與企業的組織架構、業務范圍、地域分布、技術能力等相匹配，避免相互脫節？是否根據信息系統建設整體規劃提出分階段項目的建設方案，明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容，按照規定的權限和程序審批后實施？是否采用標準的項目管理軟件(比如OfficeProject)制定項目計劃，并加以跟蹤？是否在關鍵環節進行階段性評審，以保證過程可控？項目關鍵環節編制的文檔是否參照?GB8567-88計算機軟件產品開發文件編制指南》等相關國家標準和行業標準進行，以提高項目計劃編制水平？信息系統歸口管理部門是否組織企業內部各有關部門提出開發需求，加強系統分析人員和有關部門的管理人員、業務人員的交流，經綜合分析提煉后形成合理的需求？是否編制表述清晰、準確的需求文檔？是否建立健全需求評審和需求變更控制流程？依據需求文襠進行設計(含變更后的需求文檔)前，是否評審其可行性，由需求提出人和編制人簽字確認，并經業務部門與信息系統歸口管理部門負責人審批？系統設計負責部門是否就總體設計方案與業務部門進行溝通和討論，說明方案對用戶需求的覆蓋情況;存在備選方案的，是否詳細說明各方案在成本、建設時間和用戶需求響應上的差異;信息系統歸口管理部門和業務部門是否對選定的設計方案予以書面確認？是否參照{GB8567-88計算機軟件產品開發文件編制指南》等相關國家標準和行業標準，提高系統設計說明書的編寫質量？是否建立設計評審制度和設計變更控制流程？在系統設計時是否充分考慮信息系統建成后的控制環境，將生產經營管理業務流程、關鍵控制點和處理規程嵌入系統程序，實現手工環境下難以實現的控制功能，例如:對于某一財務軟件，當輸入支出憑證時，可以讓計算機自動檢查銀行存款余額，防止透支？是否充分考慮信息系統環境下的新的控制風險，比如，要通過信息系統中的權限管理功能控制用戶的操作權限，避免將不相容職務的處理權限授予同一用戶？是否針對不同的數據輸入方式，強化對進入系統數據的檢查和校驗功能？比如，憑證的自動平衡校對？系統設計時是否考慮在信息系統中設置操作日志功能，確保操作的可審計性？對異常的或者違背內部控制要求的交易和數據，是否設計由系統自動報告并設置跟蹤處理機制？是否預留必要的后臺操作通道，對于必需的后臺操作，是否建立規范的操作流程，確保足夠的日志記錄，保證對后臺操作的可監控性？項目組是否建立并執行嚴格的代碼復查評審制度？項目組是否建立并執行統一的編程規范，在標識符命名、程序注釋等方面統一風格？是否使用版本控制軟件系統(例如CVS等)，保證所有開發人員基于相同的組件環境開展項目工作，協調開發人員對程序的修改？是否區分單元測試、集成測試、系統測試、驗收測試等不同測試類型，建立嚴格的測試工作流程，提高最終用戶在測試工作中的參與程度，改進測試用例的編寫質量，加強測試分析，是否采用自動測試工具提高測試工作的質量和效率？是否制定信息系統上線計劃，并經歸口管理部門和用戶部門審核批準？上線計劃是否包括人員培訓、數據準備、進度安排、應急預案等內容？系統上線涉及新舊系統切換的，是否在上線計劃中明確應急預案，保證新系統失效時能夠順利切換回舊系統？系統上線涉及數據遷移的，是否制定詳細的數據遷移計劃，并對遷移結果進行測試？用戶部門是否參與數據遷移過程，對遷移前后的數據予以書面確認？在選擇外包服務商時是否充分考慮服務商的市場信譽、資質條件、財務狀況、服務能力、對本企業業務的熟悉程度、既往承包服務成功案例

等因素，對外包服務商進行嚴格篩選？是否借助外包業界基準來判斷外包服務商的綜合實力？是否嚴格外包服務審批及管控流程，對信息系統外包業務，是否采用公開招標等形式選擇外包服務商，并實行集體決策審批？在與外包服務商簽約之前，是否針對外包可能出現的各種風險損失，恰當擬訂合同條款，對涉及的工作目標、合作范疇、責任劃分、所有權歸屬、付款方式、違約賠償及合約期限等問題做出詳細說明，并由法律部門或法律顧問審查把關？開發過程中涉及商業秘密、敏感數據的，是否與外包服務商簽訂詳細的"保密協議"，以保證數據安全？在合同中約定付款事宜時，是否選擇分期付款方式，尾款是否在系統運行一段時間并經評估驗收后再支付？是否在合同條款中明確要求外包服務商保持專業技術服務團隊的穩定性？是否規范了外包服務評價工作流程，明確相關部門的職責權限，建立外包服務質量考核評價指標體系，定期對外包服務商進行考評，并公布服務周期的評估結果，實現外包服務水平的跟蹤評價？是否引入監理機制，降低外包服務風險？是否在明確自身需求的基礎上，對比分析市場上的成熟軟件產品，合理選擇軟件產品的模塊組合和版本？在軟件產品選型時是否廣泛聽取行業專家的意見？在選擇軟件產品和服務供應商時，是否評價其現有產品的功能、性能，是否考察其服務支持能力和后續產品的升級能力？在選擇服務提供商時，是否考核其對軟件產品的熟悉、理解程度，有無考核其是否深刻理解企業所處行業的特點、是否理解企業的個性化需求、是否有過相同或相近的成功案例？信息系統的運行與維護是否制定信息系統使用操作程序、信息管理制度以及各模塊子系統的具體操作規范，及時跟蹤、發現和解決系統運行中存在的問題，確保信息系統按照規定的程序、制度和操作規范持續穩定運行？是否做好了系統運行記錄，尤其是對于系統運行不正常或無法運行的情況，是否將異常現象、發生時間和可能的原因作出詳細記錄？是否重視系統運行的日常維護，在硬件方面，日常維護主要包括各種設備的保養與安全管理、故障的診斷與排除、易耗品的更換與安裝等，這些工作是否由專人負責？是否配備專業人員負責處理信息系統運行中的突發事件，必要時是否會同系統開發人員或軟硬件供應商共同解決？是否建立標準流程來實施和記錄系統變更，保證變更過程得到適當的授權與管理層的批準，并對變更進行測試？信息系統變更是否嚴格遵照管理流程進行操作？信息系統操作人員是否擅自進行軟件的刪除、修改等操作;是否擅自升級、改變軟件版本；是否擅自改變軟件系統的環境配置？系統變更程序(如軟件升級)是否遵循與新系統開發項目同樣的驗證和測試程序，必要時是否進行額外測試？是否已加強緊急變更的控制管理？是否已加強對將變更移植到生產環境中的控制管理，包括系統訪問授權控制、數據轉換控制、用戶培訓等？是否已加強對將變更移植到生產環境中的控制管理，包括系統訪問授權控制、數據轉換控制、用戶培訓等？是否建立信息系統相關資產的管理制度，保證電子設備的安全？是否成立專門的信息系統安全管理機構，由企業主要領導負總責，對企業的信息安全作出總體規劃和全方位嚴格管理，具體實施工作已由企業的信息系統歸口管理部門負責？是否按照國家相關法律法規以及信息安全技術標準，制定信息系統安全實施細則？是否有效利用信息技術手段，對硬件配置調整、軟件參數修改嚴加控制？企業委托專業機構進行系統運行與維護管理的，是否嚴格審查其資質條件、市場聲譽和信用狀況等，并與其簽訂正式的服務合同和保密協議.是否采取安裝安全軟件等措施防范信息系統受到病毒等惡意軟件的感染和破壞？對于存在網絡應用的企業，是否綜合利用防火墻、路由器等網絡設備，采用內容過濾、漏洞掃描、入侵檢測等軟件技術加強網絡安全，嚴密防范來自互聯網的黑客攻擊和非法侵入？對于通過互聯網傳輸的涉密或者關鍵業務數據，是否采取必要的技術手段確保信息傳遞的保密性、準確性、完整性？是否建立系統數據定期備份制度，明確備份范圍、頻度、方法、責任人、存放地點、有效性檢查等內容？系統首次上線運行時是否完全備份，是否根據業務頻率和數據重要性程度，定期做增量備份？數據正本與備份是否分別存放于不同地點，防止因火災、水災、地震等事故產生不利影響？企業是否綜合采用磁盤、磁帶、光盤等備份存儲介質？是否建立信息系統開發、運行與維護等環節的崗位責任制度和不相容職務分離制度，防范利用計算機舞弊和犯罪？是否開展信息系統風險評估工作，定期對信息系統進行安全評估，及時發現系統安全問題并加以整改？是否做好善后工作，不管因何種情況導致系統停止運行，都將廢棄系統中有價值或者涉密的信息進行銷毀、轉移？是否嚴格按照國家有關法規制度和對電子檔案的管理規定(比如審計準則對審計證據保管年限的要求)，妥善保管相關信息檔案？信息系統的應用控制針對手工錄人、批量導人、接收其他系統數據等不同數據輸人方式，企業是否分別考慮對進入系統數據的檢查和校驗功能，確保數據的準確性、有效性和完整性？企業是否采取避免通過后臺操作修改和刪除數據的措施？對于必需的后臺數據操作，企業是否建立規范的流程制度，并對操作情況進行監控或者審計？對于經常性的數據刪除和修改，是否在系統功能中予以考慮，并通過審批、復核等程序加以控制？是否在重要的信息系統中設置操作日志功能，詳細記錄系統每個賬戶的登錄時間、重要的操作內容，確保操作的可審