NK-HE内部控制审计调查问卷

大华会计师事务所（特殊普通合伙）2013版目录TOC\o"1-1"\h\z\u调查问卷1—组织架构 调查问卷17—内部信息传递调查部门主要业务活动调查事项答复相关政策、程序及控制活动制度或文档名称备注是否内部报告的形成企业是否有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制？企业对于内部报告反映出的问题是否及时解决？涉及突出问题和重大风险的，是否启动应急预案？企业是否制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密？企业是否建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性？内部报告的使用企业是否根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息？内部报告指标体系的设计是否与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善？设计内部报告指标体系时，是否关注企业成本费用预算的执行情况？内部报告是否简洁明了、通俗易懂、传递及时，便于企业各管理层级和全体员工掌握相关信息，正确履行职责？企业是否制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系？企业内部各管理层级均是否指定专人负责内部报告工作，重要信息应及时上报，并可以直接报告高级管理人员？企业是否建立内部报告审核制度，确保内部报告信息质量？企业是否关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略？企业是否拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议？企业是否重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为？信息系统调查问卷18—信息系统调查部门主要业务活动调查事项答复相关政策、程序及控制活动制度或文档名称备注是否信息系统的开发是否制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一？在制定信息化战略过程中，是否充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性？信息系统战略规划是否与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节？是否根据信息系统建设整体规划提出分阶段项目的建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施？是否采用标准的项目管理软件(比如OfficeProject)制定项目计划，并加以跟踪？是否在关键环节进行阶段性评审，以保证过程可控？项目关键环节编制的文档是否参照«GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行，以提高项目计划编制水平？信息系统归口管理部门是否组织企业内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求？是否编制表述清晰、准确的需求文档？是否建立健全需求评审和需求变更控制流程？依据需求文裆进行设计(含变更后的需求文档)前，是否评审其可行性，由需求提出人和编制人签字确认，并经业务部门与信息系统归口管理部门负责人审批？系统设计负责部门是否就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况;存在备选方案的，是否详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统归口管理部门和业务部门是否对选定的设计方案予以书面确认？是否参照{GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准，提高系统设计说明书的编写质量？是否建立设计评审制度和设计变更控制流程？在系统设计时是否充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能，例如:对于某一财务软件，当输入支出凭证时，可以让计算机自动检查银行存款余额，防止透支？是否充分考虑信息系统环境下的新的控制风险，比如，要通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职务的处理权限授予同一用户？是否针对不同的数据输入方式，强化对进入系统数据的检查和校验功能？比如，凭证的自动平衡校对？系统设计时是否考虑在信息系统中设置操作日志功能，确保操作的可审计性？对异常的或者违背内部控制要求的交易和数据，是否设计由系统自动报告并设置跟踪处理机制？是否预留必要的后台操作通道，对于必需的后台操作，是否建立规范的操作流程，确保足够的日志记录，保证对后台操作的可监控性？项目组是否建立并执行严格的代码复查评审制度？项目组是否建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格？是否使用版本控制软件系统(例如CVS等)，保证所有开发人员基于相同的组件环境开展项目工作，协调开发人员对程序的修改？是否区分单元测试、集成测试、系统测试、验收测试等不同测试类型，建立严格的测试工作流程，提高最终用户在测试工作中的参与程度，改进测试用例的编写质量，加强测试分析，是否采用自动测试工具提高测试工作的质量和效率？是否制定信息系统上线计划，并经归口管理部门和用户部门审核批准？上线计划是否包括人员培训、数据准备、进度安排、应急预案等内容？系统上线涉及新旧系统切换的，是否在上线计划中明确应急预案，保证新系统失效时能够顺利切换回旧系统？系统上线涉及数据迁移的，是否制定详细的数据迁移计划，并对迁移结果进行测试？用户部门是否参与数据迁移过程，对迁移前后的数据予以书面确认？在选择外包服务商时是否充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例

等因素，对外包服务商进行严格筛选？是否借助外包业界基准来判断外包服务商的综合实力？是否严格外包服务审批及管控流程，对信息系统外包业务，是否采用公开招标等形式选择外包服务商，并实行集体决策审批？在与外包服务商签约之前，是否针对外包可能出现的各种风险损失，恰当拟订合同条款，对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明，并由法律部门或法律顾问审查把关？开发过程中涉及商业秘密、敏感数据的，是否与外包服务商签订详细的"保密协议"，以保证数据安全？在合同中约定付款事宜时，是否选择分期付款方式，尾款是否在系统运行一段时间并经评估验收后再支付？是否在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性？是否规范了外包服务评价工作流程，明确相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，并公布服务周期的评估结果，实现外包服务水平的跟踪评价？是否引入监理机制，降低外包服务风险？是否在明确自身需求的基础上，对比分析市场上的成熟软件产品，合理选择软件产品的模块组合和版本？在软件产品选型时是否广泛听取行业专家的意见？在选择软件产品和服务供应商时，是否评价其现有产品的功能、性能，是否考察其服务支持能力和后续产品的升级能力？在选择服务提供商时，是否考核其对软件产品的熟悉、理解程度，有无考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相近的成功案例？信息系统的运行与维护是否制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行？是否做好了系统运行记录，尤其是对于系统运行不正常或无法运行的情况，是否将异常现象、发生时间和可能的原因作出详细记录？是否重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作是否由专人负责？是否配备专业人员负责处理信息系统运行中的突发事件，必要时是否会同系统开发人员或软硬件供应商共同解决？是否建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试？信息系统变更是否严格遵照管理流程进行操作？信息系统操作人员是否擅自进行软件的删除、修改等操作;是否擅自升级、改变软件版本；是否擅自改变软件系统的环境配置？系统变更程序(如软件升级)是否遵循与新系统开发项目同样的验证和测试程序，必要时是否进行额外测试？是否已加强紧急变更的控制管理？是否已加强对将变更移植到生产环境中的控制管理，包括系统访问授权控制、数据转换控制、用户培训等？是否已加强对将变更移植到生产环境中的控制管理，包括系统访问授权控制、数据转换控制、用户培训等？是否建立信息系统相关资产的管理制度，保证电子设备的安全？是否成立专门的信息系统安全管理机构，由企业主要领导负总责，对企业的信息安全作出总体规划和全方位严格管理，具体实施工作已由企业的信息系统归口管理部门负责？是否按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则？是否有效利用信息技术手段，对硬件配置调整、软件参数修改严加控制？企业委托专业机构进行系统运行与维护管理的，是否严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议.是否采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏？对于存在网络应用的企业，是否综合利用防火墙、路由器等网络设备，采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全，严密防范来自互联网的黑客攻击和非法侵入？对于通过互联网传输的涉密或者关键业务数据，是否采取必要的技术手段确保信息传递的保密性、准确性、完整性？是否建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容？系统首次上线运行时是否完全备份，是否根据业务频率和数据重要性程度，定期做增量备份？数据正本与备份是否分别存放于不同地点，防止因火灾、水灾、地震等事故产生不利影响？企业是否综合采用磁盘、磁带、光盘等备份存储介质？是否建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪？是否开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改？是否做好善后工作，不管因何种情况导致系统停止运行，都将废弃系统中有价值或者涉密的信息进行销毁、转移？是否严格按照国家有关法规制度和对电子档案的管理规定(比如审计准则对审计证据保管年限的要求)，妥善保管相关信息档案？信息系统的应用控制针对手工录人、批量导人、接收其他系统数据等不同数据输人方式，企业是否分别考虑对进入系统数据的检查和校验功能，确保数据的准确性、有效性和完整性？企业是否采取避免通过后台操作修改和删除数据的措施？对于必需的后台数据操作，企业是否建立规范的流程制度，并对操作情况进行监控或者审计？对于经常性的数据删除和修改，是否在系统功能中予以考虑，并通过审批、复核等程序加以控制？是否在重要的信息系统中设置操作日志功能，详细记录系统每个账户的登录时间、重要的操作内容，确保操作的可审