內控自我評價模板

1、（十一）信息科技控制本行 2008 年以優(yōu)化調整應用系統(tǒng)架構為基礎，以支持業(yè)務發(fā)展為目標開展應用系統(tǒng)開發(fā)建設工作。通過優(yōu)化調整，包括主機批量處理、信用卡系統(tǒng)交易處理、個貸系統(tǒng)批量處理等系統(tǒng)處理效率得到大幅度提高；通過創(chuàng)新開發(fā)，包括分行中間業(yè)務平臺、保理系統(tǒng)、ODS 數(shù)據(jù)庫及零售CRM、第三方存管新平臺、信貸風險管理系統(tǒng)、SAP 財務核算系統(tǒng)等一批銀行業(yè)務處理系統(tǒng)投產(chǎn)運行，實現(xiàn)了IT 支持業(yè)務發(fā)展、降低風險、控制成本、強化服務的工作目標。同時，為降低技術架構不同所帶來操作風險，以及相應的投資風險，實行全行科技工作的統(tǒng)一化、規(guī)范化、標準化管理，本行制訂了一系列的技術標準規(guī)范，初步建成技術規(guī)范體系。

2、1全行網(wǎng)絡架構調整和骨干網(wǎng)絡帶寬升級，使本行的網(wǎng)絡將變成邏輯架構、物理架構、安全架構和訪問架構合理、安全、穩(wěn)定、可靠和多鏈路、高帶寬、具有很好的擴展性，能更好地適應業(yè)務快速發(fā)展需要。2完成了磁帶庫系統(tǒng)建設，可實現(xiàn)數(shù)據(jù)存儲設備的一備多的備份方式，減少備份設備投入，降低操作強度和管理難度。3建立健全硬件設備的備份制度、定期維護制度及故障處理情況登記制度，規(guī)范電子設備維護和保養(yǎng)工作，保證電子設備正常運轉。4進行存儲網(wǎng)絡及容量的規(guī)劃與設計，提高存儲管理的水平和效率。5加強主機和網(wǎng)絡設備管理，保證網(wǎng)絡通訊的安全、順暢。6優(yōu)化了信息系統(tǒng)應急預案。保障開放平臺應用系統(tǒng)的數(shù)據(jù)安全，促進開放平臺應用的集中與整合

3、，提高存儲管理的水平和效率；為ODS 系統(tǒng)，以及未來的管理數(shù)據(jù)、客戶信息查詢等管理系統(tǒng)提供數(shù)據(jù)、技術方面的準備。（三）信息系統(tǒng)建設本行以全行發(fā)展戰(zhàn)略和經(jīng)營宗旨為指導方針，由董事會根據(jù)本行的經(jīng)營發(fā)展戰(zhàn)略，以滿足和推進全行業(yè)務發(fā)展為目標，對信息科技系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風險監(jiān)督管理政策實施決策管理。本行信息安全技術體系由安全防護體系、安全預警體系、安全監(jiān)控體系、應急響應體系及災難恢復體系構成，能夠在健全安全管理機構、完善安全管理制度并實施人員安全管理、系統(tǒng)建設及運維管理的基礎上，確保信息資產(chǎn)的安全。本行參照ISO17799 等國際標準、國際國內監(jiān)管部門要求以及行業(yè)慣例，按照管理策略、管理辦法和

4、操作流程三個層次制定規(guī)章制度，涵蓋信息科技治理、安全管理、項目管理、運行操作管理及業(yè)務持續(xù)性規(guī)劃等主要方面。2008 年制定北京銀行信息安全管理策略、北京銀行與外部合作單位系統(tǒng)間故障處理流程、北京銀行災難備份系統(tǒng)管理規(guī)定、北京銀行計算機及相關設備管理辦法等管理規(guī)定；修訂項目開發(fā)管理操作規(guī)程、機房管理規(guī)定等操作流程。在業(yè)務管理系統(tǒng)建設方面，2008 年對綜合業(yè)務系統(tǒng)、信貸系統(tǒng)、個貸系統(tǒng)、人力資源系統(tǒng)、OPICS 系統(tǒng)、TI 系統(tǒng)進行升級改造，實現(xiàn)個人CRM 系統(tǒng)、合規(guī)風險管理系統(tǒng)上線運行。信息系統(tǒng)內部控制測評研究2008年第1期審計研究報告介紹【時間:2008年02月14日】【來源:審計署審計科

5、研所】【字號：大 中 小】建立、健全內部控制是被審計單位規(guī)范、強化內部管理的重要手段，審計機構開展對被審單位內部控制測評，則是規(guī)范其財政財務收支行為，合理確保其財務報告真實、合法的有效途徑。被審計單位信息計算機處理取代手工處理后，數(shù)據(jù)的存儲介質和存儲方式發(fā)生了變化，數(shù)據(jù)的生成、傳遞方式也發(fā)生了變化；聯(lián)機實時系統(tǒng)中許多輸入來自外部系統(tǒng)的直接轉入，失去了原始的文字記錄；磁性介質中保存的數(shù)據(jù)必須要借助于計算機硬件和軟件才能讀?。淮判越橘|上保存的數(shù)據(jù)容易被篡改而不留下痕跡；由于更新頻率快，有些資料可能是暫存的，同時許多內部的運算可能不留痕跡和線索。因此如何開展對以計算機為基礎的信息系統(tǒng)進行審計，特別是

6、如何對信息系統(tǒng)中內部控制進行測評，是審計工作面臨的一大課題。目前各級審計機關不同程度地開展的信息系統(tǒng)審計探索來看，對于大多數(shù)項目來看，進行的信息系統(tǒng)內部控制測評，表現(xiàn)為不夠規(guī)范、不夠深入、不夠全面。這與我國對信息系統(tǒng)內部控制測評的研究不夠深入、規(guī)范化建設不到位密切相關。所以開展這方面的研究具有重要的現(xiàn)實意義。信息系統(tǒng)內部控制是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，合理確保信息系統(tǒng)提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施。它是規(guī)范秩序、防范風險、遏制腐敗、合理確保信息系統(tǒng)功效的有效途徑，從而更好地確保組織目標

7、的實現(xiàn)。凡是與信息系統(tǒng)的建立、運行維護、管理和業(yè)務處理有關的部門、人員和活動，都屬于信息系統(tǒng)內部控制的對象。信息系統(tǒng)內部控制分為一般控制和應用控制。對信息系統(tǒng)內部控制測評的組織和實施方式依不同審計目標而定。當開展財務審計需要對信息系統(tǒng)內部控制進行調查時，制訂的財務審計工作方案應包括信息系統(tǒng)內部控制測評的內容，相關組織和實施也作為整個財務審計工作的組成部分，有機地結合進行，審計報告中包括對信息系統(tǒng)內部控制評價的內容。當獨立開展信息系統(tǒng)內部控制專項審計調查時，根據(jù)專項審計調查的程序進行組織和實施，需要進行審前調查，單獨制定調查方案，調查結束后，寫成專項審計調查報告。信息系統(tǒng)一般控制是應用于一個單位

8、信息系統(tǒng)全部或較大范圍的內部控制，其基本目標為保證數(shù)據(jù)安全、保護計算機應用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。有效的一般控制是保證應用控制有效的一個重要因素，它提供應用系統(tǒng)運行和應用控制實施的環(huán)境。如果一般控制薄弱，將會嚴重地削弱相關的具體應用控制的可靠性。由此，對一般控制的評價通常在應用控制評價之前進行。對一般控制的測評內容包括：單位整體范圍安全計劃和管理、訪問控制、應用軟件開發(fā)和變更控制、系統(tǒng)軟件控制、職能分離控制、服務持續(xù)性控制。信息系統(tǒng)應用控制是被用于對具體應用系統(tǒng)的控制，一個應用系統(tǒng)一般由多個相關計算機程序組成，有些應用系統(tǒng)可能是復雜的綜合系統(tǒng)，牽涉到多個計算

9、機程序和組織單元，與此相應，應用控制包括包含在計算機編碼中的日?？刂萍芭c用戶活動相關的政策和流程。對信息系統(tǒng)應用控制的測評內容包括各項業(yè)務的授權控制、完整性控制、準確性控制。我國審計機關在信息系統(tǒng)審計方面已進行了一些有益的嘗試，今后需要進一步深化和規(guī)范對信息系統(tǒng)內部控制的測評。一是開展信息系統(tǒng)及其內部控制現(xiàn)狀專項調查，根據(jù)不同行業(yè)的特點，選擇部分有代表的單位，開展專項調查，了解信息系統(tǒng)的建設及其內部控制的開展情況，一方面通過調查向有關政策制定和管理部門反映情況，另一方面為研究制定信息系統(tǒng)內部控制規(guī)范及信息系統(tǒng)審計項目安排提供信息；二是根據(jù)專項審計調查情況及國外經(jīng)驗，總結我國自身經(jīng)驗，充分征求有

10、關方面的意見，制定我國信息系統(tǒng)內部控制調查規(guī)范，在內容上不必追求一開始就面面俱到，可以有所側重，抓住重要環(huán)節(jié)，通過實踐逐步完善；三是有針對性地開展對信息系統(tǒng)審計及內部控制測評，對于企業(yè)和金融單位，可以進行全面的信息系統(tǒng)審計及內部控制測評，對于行政事業(yè)單位則可以就其與財務核算相關的信息系統(tǒng)內部控制進行測評，除了與財務審計相關的信息系統(tǒng)內部控制測試，必要時也可以進行完全獨立的信息系統(tǒng)績效審計。（一）計算機信息系統(tǒng)內部控制審計評價的一般性指標 計算機信息系統(tǒng)內部控制審計評價的一般性指標，指為保證信息系統(tǒng)安全運行所制定的內部控制制度應遵循的原則和達到的目標，包括：信息系統(tǒng)內部控制的完整性、合理性及有效

11、性。 1、計算機信息系統(tǒng)內部控制的完整性計算機信息系統(tǒng)內部控制的完整性包含兩個方面：一是指信息系統(tǒng)的使用部門根據(jù)系統(tǒng)安全運行的需要，應建立的有關內部控制制度的健全和完善；二是指對信息系統(tǒng)所涉及的中央銀行業(yè)務活動的全過程進行自始至終的控制。 根據(jù)以上兩個方面的內容，在對計算機信息系統(tǒng)內部控制的完整性進行審計評價時，首先對建立與系統(tǒng)相關的內部控制制度的健全和完善進行評價，即是否能夠充分保證系統(tǒng)的安全運行，是否能夠對系統(tǒng)功能上的不足之處進行有效的彌補，以保證系統(tǒng)涉及的業(yè)務活動的安全性；其次是建立的有關內部控制制度是否能夠貫穿于信息系統(tǒng)所涉及的業(yè)務活動的全過程。 2、計算機信息系統(tǒng)內部控制的合理性計算

12、機信息系統(tǒng)內部控制的合理性是指為保證系統(tǒng)安全運行而建立的有關內部控制制度的可操作性和適用性。 在對計算機信息系統(tǒng)內部控制的合理性進行審計評價時，要在其完整性的基礎上，充分考慮其適用性。從各項內控制度適用性的角度出發(fā)，評價其對使用部門的操作人員、運行環(huán)境等方面的要求是否具有可操作性和適用性。 3、計算機信息系統(tǒng)內部控制的有效性內部控制的有效性是指其在系統(tǒng)運行時所涉及的中央銀行業(yè)務活動中，能否得到貫徹執(zhí)行并發(fā)揮作用，實現(xiàn)其為保證中央銀行資金安全，為社會提供高效的金融服務的目標。 在對計算機信息系統(tǒng)內部控制的有效性進行評價時，主要是對內部控制在系統(tǒng)運行過程中能否有效地防止各類案件和錯誤的發(fā)生進行評價

13、。 以上三個指標屬于審計評價計算機信息系統(tǒng)內部控制的一般性指標，完整性是合理性和有效性的基礎，合理性是對內部控制更深一層次的要求，有效性是內部控制的精髓，如果一種內部控制不能實現(xiàn)“有效控制”，則實質上就不存在什么內部控制了。（二）計算機信息系統(tǒng)內部控制審計評價的具體指標 計算機信息系統(tǒng)內部控制審計評價的具體指標是指對信息系統(tǒng)內部控制相關內容方面的審計評價指標，是對信息系統(tǒng)內部控制相關內容的具體評價，包括以下幾個方面： 1、對組織與管理控制的評價：包括兩層涵義：一方面是對與信息系統(tǒng)相關的內部管理制度、組織機構的健全和完善及其適用性做出審計評價，即是否制定了較完善的工作制度、崗位職責，是否建立并落

14、實崗位責任制和風險防范責任制，是否建立了內部監(jiān)督機制和考核機制等；另一方面是對系統(tǒng)操作人員控制的審計評價：一是對管理人員控制的評價。一般情況下，信息系統(tǒng)中高級別操作員在系統(tǒng)的使用部門具有一定的職位，如中央銀行會計核算系統(tǒng)（以下簡稱核算系統(tǒng)）中四級別操作員即會計主管通常情況下由會計營業(yè)部門負責人擔任。因此，在對信息系統(tǒng)管理人員的控制進行審計評價時，關鍵要評價其在系統(tǒng)的內部控制中，是否存在對管理人員的控制隨其地位的升高而減弱的現(xiàn)象；二是對一般人員風險防范控制的審計評價，即系統(tǒng)的崗位設置和人員分工是否科學合理，崗位設置是否齊全，不相容崗位是否做到了完全分離，是否能夠達到相互牽制、互相制約、防止風險發(fā)

15、生的目的。 2、對系統(tǒng)用戶及操作員權限控制的評價：即對按照系統(tǒng)的規(guī)定設置的各個用戶及口令、操作員代碼及口令的管理情況做出審計評價。即是否按規(guī)定設置系統(tǒng)用戶及口令，是否按操作員所管轄的業(yè)務范圍設置操作員級別等。如核算系統(tǒng)中，是否按規(guī)定設置開機口令和“KJZW”用戶口令，是否按照崗位職責和處理權限設置操作員級別，各級別操作員是否按規(guī)定設置代碼及口令，口令管理是否符合規(guī)定等。 3、對系統(tǒng)維護控制的評價：即對科技人員是否按規(guī)定對系統(tǒng)的軟、硬件進行的安裝、補丁、升級和備份、系統(tǒng)的應急處理方案是否詳細可行等方面做出審計評價。 4、對系統(tǒng)運行環(huán)境控制的評價：一是對系統(tǒng)的供電系統(tǒng)是否符合要求、系統(tǒng)運行場所的防

16、火報警系統(tǒng)、防雷電系統(tǒng)、防電磁干擾系統(tǒng)是否有效做出評價；二是對系統(tǒng)的軟、硬件環(huán)境是否符合系統(tǒng)的要求做出評價；三是對系統(tǒng)的病毒防范措施是否具體有效做出評價；四是對系統(tǒng)網(wǎng)絡的數(shù)據(jù)保密、訪問控制、身份識別、數(shù)據(jù)傳輸?shù)劝踩灾笜嗽O置是否合理做出評價。 5、對系統(tǒng)輸入控制的評價：即對輸入系統(tǒng)的數(shù)據(jù)在輸入系統(tǒng)前是否進行了認真的審核，數(shù)據(jù)的傳遞方式、采取的審核措施是否有效，是否能夠保證數(shù)據(jù)的準確無誤，數(shù)據(jù)的輸入是否實時輸入、換人復核等做出評價。 6、對系統(tǒng)輸出控制的評價：即對是否按系統(tǒng)的要求及時完成系統(tǒng)結果的輸出，對系統(tǒng)輸出結果的準確性、可靠性是否采取了有效的措施，系統(tǒng)數(shù)據(jù)輸出的操作權限、輸出日志及輸出份數(shù)

17、是否符合規(guī)定等做出評價。 7、對系統(tǒng)數(shù)據(jù)存儲控制的評價：即對系統(tǒng)的數(shù)據(jù)是否按規(guī)定進行備份、對儲存數(shù)據(jù)的各種存儲介質是否做好必要的標識、并定期復制、異地存放等做出評價。 8、對風險導向型控制的評價，即在對系統(tǒng)所固有的風險和系統(tǒng)內部控制機制進行評價和分析的基礎上，對信息系統(tǒng)的高風險點和薄弱環(huán)節(jié)是否進行重點檢查和控制等做出評價。 計算機信息系統(tǒng)內部控制審計評價的具體指標對于不同的信息系統(tǒng)各有其自身的特點，因此在對計算機信息系統(tǒng)的內部控制進行審計評價時，在此基礎上，可根據(jù)不同的計算機信息系統(tǒng)本身的特點，制定出具體的內部控制審計評價指標，以對信息系統(tǒng)的內部控制做出客觀的審計評價。OSS系統(tǒng)對于內部控制的支撐包括以下內容。 對用戶業(yè)務和需求進行產(chǎn)品保障，杜絕跑、冒、滴、漏現(xiàn)象，實現(xiàn)端到端的業(yè)務收入保障; 優(yōu)化網(wǎng)絡資源配置，降低成本; 優(yōu)化運維流程，提高運營效率，促進運維管理體系再造; 實現(xiàn)網(wǎng)絡運維信息在整個企業(yè)、甚至整個價值鏈的共享。BSS系統(tǒng)對于內部控制的支撐包括以下幾個方面。 對用戶帳務進行準確計費和收費，實現(xiàn)端到端的業(yè)務收入保障; 對用戶進行信用評估和控制，控制惡意欠費，保障業(yè)務收入來源; 為網(wǎng)間結算提供依據(jù); 進行客戶關系管理，支撐一對一的營銷; 優(yōu)化營銷服務流程，促進營銷再造;實現(xiàn)客戶需求信息在整個企業(yè)范圍內、甚至整個價值鏈范圍內的共享。MSS