大華會(huì)計(jì)師事務(wù)所（特殊普通合伙）2013版目錄TOC\o"1-1"\h\z\u調(diào)查問卷1—組織架構(gòu) 調(diào)查問卷17—內(nèi)部信息傳遞調(diào)查部門主要業(yè)務(wù)活動(dòng)調(diào)查事項(xiàng)答復(fù)相關(guān)政策、程序及控制活動(dòng)制度或文檔名稱備注是否內(nèi)部報(bào)告的形成企業(yè)是否有效利用內(nèi)部報(bào)告進(jìn)行風(fēng)險(xiǎn)評(píng)估，準(zhǔn)確識(shí)別和系統(tǒng)分析企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中的內(nèi)外部風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)應(yīng)對(duì)策略，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效控制？企業(yè)對(duì)于內(nèi)部報(bào)告反映出的問題是否及時(shí)解決？涉及突出問題和重大風(fēng)險(xiǎn)的，是否啟動(dòng)應(yīng)急預(yù)案？企業(yè)是否制定嚴(yán)格的內(nèi)部報(bào)告保密制度，明確保密內(nèi)容、保密措施、密級(jí)程度和傳遞范圍，防止泄露商業(yè)秘密？企業(yè)是否建立內(nèi)部報(bào)告的評(píng)估制度，定期對(duì)內(nèi)部報(bào)告的形成和使用進(jìn)行全面評(píng)估，重點(diǎn)關(guān)注內(nèi)部報(bào)告的及時(shí)性、安全性和有效性？?jī)?nèi)部報(bào)告的使用企業(yè)是否根據(jù)發(fā)展戰(zhàn)略、風(fēng)險(xiǎn)控制和業(yè)績(jī)考核要求，科學(xué)規(guī)范不同級(jí)次內(nèi)部報(bào)告的指標(biāo)體系，采用經(jīng)營(yíng)快報(bào)等多種形式，全面反映與企業(yè)生產(chǎn)經(jīng)營(yíng)管理相關(guān)的各種內(nèi)外部信息？?jī)?nèi)部報(bào)告指標(biāo)體系的設(shè)計(jì)是否與全面預(yù)算管理相結(jié)合，并隨著環(huán)境和業(yè)務(wù)的變化不斷進(jìn)行修訂和完善？設(shè)計(jì)內(nèi)部報(bào)告指標(biāo)體系時(shí)，是否關(guān)注企業(yè)成本費(fèi)用預(yù)算的執(zhí)行情況？?jī)?nèi)部報(bào)告是否簡(jiǎn)潔明了、通俗易懂、傳遞及時(shí)，便于企業(yè)各管理層級(jí)和全體員工掌握相關(guān)信息，正確履行職責(zé)？企業(yè)是否制定嚴(yán)密的內(nèi)部報(bào)告流程，充分利用信息技術(shù)，強(qiáng)化內(nèi)部報(bào)告信息集成和共享，將內(nèi)部報(bào)告納入企業(yè)統(tǒng)一信息平臺(tái)，構(gòu)建科學(xué)的內(nèi)部報(bào)告網(wǎng)絡(luò)體系？企業(yè)內(nèi)部各管理層級(jí)均是否指定專人負(fù)責(zé)內(nèi)部報(bào)告工作，重要信息應(yīng)及時(shí)上報(bào)，并可以直接報(bào)告高級(jí)管理人員？企業(yè)是否建立內(nèi)部報(bào)告審核制度，確保內(nèi)部報(bào)告信息質(zhì)量？企業(yè)是否關(guān)注市場(chǎng)環(huán)境、政策變化等外部信息對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)管理的影響，廣泛收集、分析、整理外部信息，并通過內(nèi)部報(bào)告?zhèn)鬟f到企業(yè)內(nèi)部相關(guān)管理層級(jí)，以便采取應(yīng)對(duì)策略？企業(yè)是否拓寬內(nèi)部報(bào)告渠道，通過落實(shí)獎(jiǎng)勵(lì)措施等多種有效方式，廣泛收集合理化建議？企業(yè)是否重視和加強(qiáng)反舞弊機(jī)制建設(shè),通過設(shè)立員工信箱、投訴熱線等方式，鼓勵(lì)員工及企業(yè)利益相關(guān)方舉報(bào)和投訴企業(yè)內(nèi)部的違法違規(guī)、舞弊和其他有損企業(yè)形象的行為？信息系統(tǒng)調(diào)查問卷18—信息系統(tǒng)調(diào)查部門主要業(yè)務(wù)活動(dòng)調(diào)查事項(xiàng)答復(fù)相關(guān)政策、程序及控制活動(dòng)制度或文檔名稱備注是否信息系統(tǒng)的開發(fā)是否制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和中長(zhǎng)期發(fā)展計(jì)劃，并在每年制定經(jīng)營(yíng)計(jì)劃的同時(shí)制定年度信息系統(tǒng)建設(shè)計(jì)劃，促進(jìn)經(jīng)營(yíng)管理活動(dòng)與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一？在制定信息化戰(zhàn)略過程中，是否充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，使各部門廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性？信息系統(tǒng)戰(zhàn)略規(guī)劃是否與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配，避免相互脫節(jié)？是否根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出分階段項(xiàng)目的建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施？是否采用標(biāo)準(zhǔn)的項(xiàng)目管理軟件(比如OfficeProject)制定項(xiàng)目計(jì)劃，并加以跟蹤？是否在關(guān)鍵環(huán)節(jié)進(jìn)行階段性評(píng)審，以保證過程可控？項(xiàng)目關(guān)鍵環(huán)節(jié)編制的文檔是否參照?GB8567-88計(jì)算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)進(jìn)行，以提高項(xiàng)目計(jì)劃編制水平？信息系統(tǒng)歸口管理部門是否組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流，經(jīng)綜合分析提煉后形成合理的需求？是否編制表述清晰、準(zhǔn)確的需求文檔？是否建立健全需求評(píng)審和需求變更控制流程？依據(jù)需求文襠進(jìn)行設(shè)計(jì)(含變更后的需求文檔)前，是否評(píng)審其可行性，由需求提出人和編制人簽字確認(rèn)，并經(jīng)業(yè)務(wù)部門與信息系統(tǒng)歸口管理部門負(fù)責(zé)人審批？系統(tǒng)設(shè)計(jì)負(fù)責(zé)部門是否就總體設(shè)計(jì)方案與業(yè)務(wù)部門進(jìn)行溝通和討論，說明方案對(duì)用戶需求的覆蓋情況;存在備選方案的，是否詳細(xì)說明各方案在成本、建設(shè)時(shí)間和用戶需求響應(yīng)上的差異;信息系統(tǒng)歸口管理部門和業(yè)務(wù)部門是否對(duì)選定的設(shè)計(jì)方案予以書面確認(rèn)？是否參照{(diào)GB8567-88計(jì)算機(jī)軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，提高系統(tǒng)設(shè)計(jì)說明書的編寫質(zhì)量？是否建立設(shè)計(jì)評(píng)審制度和設(shè)計(jì)變更控制流程？在系統(tǒng)設(shè)計(jì)時(shí)是否充分考慮信息系統(tǒng)建成后的控制環(huán)境，將生產(chǎn)經(jīng)營(yíng)管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)程嵌入系統(tǒng)程序，實(shí)現(xiàn)手工環(huán)境下難以實(shí)現(xiàn)的控制功能，例如:對(duì)于某一財(cái)務(wù)軟件，當(dāng)輸入支出憑證時(shí)，可以讓計(jì)算機(jī)自動(dòng)檢查銀行存款余額，防止透支？是否充分考慮信息系統(tǒng)環(huán)境下的新的控制風(fēng)險(xiǎn)，比如，要通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職務(wù)的處理權(quán)限授予同一用戶？是否針對(duì)不同的數(shù)據(jù)輸入方式，強(qiáng)化對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能？比如，憑證的自動(dòng)平衡校對(duì)？系統(tǒng)設(shè)計(jì)時(shí)是否考慮在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計(jì)性？對(duì)異常的或者違背內(nèi)部控制要求的交易和數(shù)據(jù)，是否設(shè)計(jì)由系統(tǒng)自動(dòng)報(bào)告并設(shè)置跟蹤處理機(jī)制？是否預(yù)留必要的后臺(tái)操作通道，對(duì)于必需的后臺(tái)操作，是否建立規(guī)范的操作流程，確保足夠的日志記錄，保證對(duì)后臺(tái)操作的可監(jiān)控性？項(xiàng)目組是否建立并執(zhí)行嚴(yán)格的代碼復(fù)查評(píng)審制度？項(xiàng)目組是否建立并執(zhí)行統(tǒng)一的編程規(guī)范，在標(biāo)識(shí)符命名、程序注釋等方面統(tǒng)一風(fēng)格？是否使用版本控制軟件系統(tǒng)(例如CVS等)，保證所有開發(fā)人員基于相同的組件環(huán)境開展項(xiàng)目工作，協(xié)調(diào)開發(fā)人員對(duì)程序的修改？是否區(qū)分單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試、驗(yàn)收測(cè)試等不同測(cè)試類型，建立嚴(yán)格的測(cè)試工作流程，提高最終用戶在測(cè)試工作中的參與程度，改進(jìn)測(cè)試用例的編寫質(zhì)量，加強(qiáng)測(cè)試分析，是否采用自動(dòng)測(cè)試工具提高測(cè)試工作的質(zhì)量和效率？是否制定信息系統(tǒng)上線計(jì)劃，并經(jīng)歸口管理部門和用戶部門審核批準(zhǔn)？上線計(jì)劃是否包括人員培訓(xùn)、數(shù)據(jù)準(zhǔn)備、進(jìn)度安排、應(yīng)急預(yù)案等內(nèi)容？系統(tǒng)上線涉及新舊系統(tǒng)切換的，是否在上線計(jì)劃中明確應(yīng)急預(yù)案，保證新系統(tǒng)失效時(shí)能夠順利切換回舊系統(tǒng)？系統(tǒng)上線涉及數(shù)據(jù)遷移的，是否制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并對(duì)遷移結(jié)果進(jìn)行測(cè)試？用戶部門是否參與數(shù)據(jù)遷移過程，對(duì)遷移前后的數(shù)據(jù)予以書面確認(rèn)？在選擇外包服務(wù)商時(shí)是否充分考慮服務(wù)商的市場(chǎng)信譽(yù)、資質(zhì)條件、財(cái)務(wù)狀況、服務(wù)能力、對(duì)本企業(yè)業(yè)務(wù)的熟悉程度、既往承包服務(wù)成功案例

等因素，對(duì)外包服務(wù)商進(jìn)行嚴(yán)格篩選？是否借助外包業(yè)界基準(zhǔn)來判斷外包服務(wù)商的綜合實(shí)力？是否嚴(yán)格外包服務(wù)審批及管控流程，對(duì)信息系統(tǒng)外包業(yè)務(wù)，是否采用公開招標(biāo)等形式選擇外包服務(wù)商，并實(shí)行集體決策審批？在與外包服務(wù)商簽約之前，是否針對(duì)外包可能出現(xiàn)的各種風(fēng)險(xiǎn)損失，恰當(dāng)擬訂合同條款，對(duì)涉及的工作目標(biāo)、合作范疇、責(zé)任劃分、所有權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出詳細(xì)說明，并由法律部門或法律顧問審查把關(guān)？開發(fā)過程中涉及商業(yè)秘密、敏感數(shù)據(jù)的，是否與外包服務(wù)商簽訂詳細(xì)的"保密協(xié)議"，以保證數(shù)據(jù)安全？在合同中約定付款事宜時(shí)，是否選擇分期付款方式，尾款是否在系統(tǒng)運(yùn)行一段時(shí)間并經(jīng)評(píng)估驗(yàn)收后再支付？是否在合同條款中明確要求外包服務(wù)商保持專業(yè)技術(shù)服務(wù)團(tuán)隊(duì)的穩(wěn)定性？是否規(guī)范了外包服務(wù)評(píng)價(jià)工作流程，明確相關(guān)部門的職責(zé)權(quán)限，建立外包服務(wù)質(zhì)量考核評(píng)價(jià)指標(biāo)體系，定期對(duì)外包服務(wù)商進(jìn)行考評(píng)，并公布服務(wù)周期的評(píng)估結(jié)果，實(shí)現(xiàn)外包服務(wù)水平的跟蹤評(píng)價(jià)？是否引入監(jiān)理機(jī)制，降低外包服務(wù)風(fēng)險(xiǎn)？是否在明確自身需求的基礎(chǔ)上，對(duì)比分析市場(chǎng)上的成熟軟件產(chǎn)品，合理選擇軟件產(chǎn)品的模塊組合和版本？在軟件產(chǎn)品選型時(shí)是否廣泛聽取行業(yè)專家的意見？在選擇軟件產(chǎn)品和服務(wù)供應(yīng)商時(shí)，是否評(píng)價(jià)其現(xiàn)有產(chǎn)品的功能、性能，是否考察其服務(wù)支持能力和后續(xù)產(chǎn)品的升級(jí)能力？在選擇服務(wù)提供商時(shí)，是否考核其對(duì)軟件產(chǎn)品的熟悉、理解程度，有無考核其是否深刻理解企業(yè)所處行業(yè)的特點(diǎn)、是否理解企業(yè)的個(gè)性化需求、是否有過相同或相近的成功案例？信息系統(tǒng)的運(yùn)行與維護(hù)是否制定信息系統(tǒng)使用操作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行？是否做好了系統(tǒng)運(yùn)行記錄，尤其是對(duì)于系統(tǒng)運(yùn)行不正常或無法運(yùn)行的情況，是否將異常現(xiàn)象、發(fā)生時(shí)間和可能的原因作出詳細(xì)記錄？是否重視系統(tǒng)運(yùn)行的日常維護(hù)，在硬件方面，日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與安全管理、故障的診斷與排除、易耗品的更換與安裝等，這些工作是否由專人負(fù)責(zé)？是否配備專業(yè)人員負(fù)責(zé)處理信息系統(tǒng)運(yùn)行中的突發(fā)事件，必要時(shí)是否會(huì)同系統(tǒng)開發(fā)人員或軟硬件供應(yīng)商共同解決？是否建立標(biāo)準(zhǔn)流程來實(shí)施和記錄系統(tǒng)變更，保證變更過程得到適當(dāng)?shù)氖跈?quán)與管理層的批準(zhǔn)，并對(duì)變更進(jìn)行測(cè)試？信息系統(tǒng)變更是否嚴(yán)格遵照管理流程進(jìn)行操作？信息系統(tǒng)操作人員是否擅自進(jìn)行軟件的刪除、修改等操作;是否擅自升級(jí)、改變軟件版本；是否擅自改變軟件系統(tǒng)的環(huán)境配置？系統(tǒng)變更程序(如軟件升級(jí))是否遵循與新系統(tǒng)開發(fā)項(xiàng)目同樣的驗(yàn)證和測(cè)試程序，必要時(shí)是否進(jìn)行額外測(cè)試？是否已加強(qiáng)緊急變更的控制管理？是否已加強(qiáng)對(duì)將變更移植到生產(chǎn)環(huán)境中的控制管理，包括系統(tǒng)訪問授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控制、用戶培訓(xùn)等？是否已加強(qiáng)對(duì)將變更移植到生產(chǎn)環(huán)境中的控制管理，包括系統(tǒng)訪問授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控制、用戶培訓(xùn)等？是否建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度，保證電子設(shè)備的安全？是否成立專門的信息系統(tǒng)安全管理機(jī)構(gòu)，由企業(yè)主要領(lǐng)導(dǎo)負(fù)總責(zé)，對(duì)企業(yè)的信息安全作出總體規(guī)劃和全方位嚴(yán)格管理，具體實(shí)施工作已由企業(yè)的信息系統(tǒng)歸口管理部門負(fù)責(zé)？是否按照國(guó)家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全實(shí)施細(xì)則？是否有效利用信息技術(shù)手段，對(duì)硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制？企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與維護(hù)管理的，是否嚴(yán)格審查其資質(zhì)條件、市場(chǎng)聲譽(yù)和信用狀況等，并與其簽訂正式的服務(wù)合同和保密協(xié)議.是否采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞？對(duì)于存在網(wǎng)絡(luò)應(yīng)用的企業(yè)，是否綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過濾、漏洞掃描、入侵檢測(cè)等軟件技術(shù)加強(qiáng)網(wǎng)絡(luò)安全，嚴(yán)密防范來自互聯(lián)網(wǎng)的黑客攻擊和非法侵入？對(duì)于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù)，是否采取必要的技術(shù)手段確保信息傳遞的保密性、準(zhǔn)確性、完整性？是否建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容？系統(tǒng)首次上線運(yùn)行時(shí)是否完全備份，是否根據(jù)業(yè)務(wù)頻率和數(shù)據(jù)重要性程度，定期做增量備份？數(shù)據(jù)正本與備份是否分別存放于不同地點(diǎn)，防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不利影響？企業(yè)是否綜合采用磁盤、磁帶、光盤等備份存儲(chǔ)介質(zhì)？是否建立信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度，防范利用計(jì)算機(jī)舞弊和犯罪？是否開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作，定期對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估，及時(shí)發(fā)現(xiàn)系統(tǒng)安全問題并加以整改？是否做好善后工作，不管因何種情況導(dǎo)致系統(tǒng)停止運(yùn)行，都將廢棄系統(tǒng)中有價(jià)值或者涉密的信息進(jìn)行銷毀、轉(zhuǎn)移？是否嚴(yán)格按照國(guó)家有關(guān)法規(guī)制度和對(duì)電子檔案的管理規(guī)定(比如審計(jì)準(zhǔn)則對(duì)審計(jì)證據(jù)保管年限的要求)，妥善保管相關(guān)信息檔案？信息系統(tǒng)的應(yīng)用控制針對(duì)手工錄人、批量導(dǎo)人、接收其他系統(tǒng)數(shù)據(jù)等不同數(shù)據(jù)輸人方式，企業(yè)是否分別考慮對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能，確保數(shù)據(jù)的準(zhǔn)確性、有效性和完整性？企業(yè)是否采取避免通過后臺(tái)操作修改和刪除數(shù)據(jù)的措施？對(duì)于必需的后臺(tái)數(shù)據(jù)操作，企業(yè)是否建立規(guī)范的流程制度，并對(duì)操作情況進(jìn)行監(jiān)控或者審計(jì)？對(duì)于經(jīng)常性的數(shù)據(jù)刪除和修改，是否在系統(tǒng)功能中予以考慮，并通過審批、復(fù)核等程序加以控制？是否在重要的信息系統(tǒng)中設(shè)置操作日志功能，詳細(xì)記錄系統(tǒng)每個(gè)賬戶的登錄時(shí)間、重要的操作內(nèi)容，確保操作的可審