内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx

上传人:王** 文档编号:1347346 上传时间:2024-06-20 格式:DOCX 页数:14 大小:16.36KB
下载 相关 举报
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第1页
第1页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第2页
第2页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第3页
第3页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第4页
第4页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第5页
第5页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第6页
第6页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第7页
第7页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第8页
第8页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第9页
第9页 / 共14页
内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx_第10页
第10页 / 共14页
亲,该文档总共14页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx》由会员分享,可在线阅读,更多相关《内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx(14页珍藏版)》请在优知文库上搜索。

1、内部控制评价制度第一章综述第一条本制度规定了*股份有限公司(以下简称“公司”)内部控制评价的相关管理要求,旨在及时发现公司内部控制缺陷,提出和实施改进方案,确保内部控制有效运行。第二章定义和范围第二条定义1、内部控制评价:是指由公司董事会或类似权力机构对公司内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。2、内部控制有效性:是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证,包括内部控制设计的有效性和内部控制运行的有效性。第三条适用范围本制度适用于本公司,其他子公司参照执行。第三章部门权责第四条审计中心是公司内部控制评价的归口管理部门,经授权实施各类内部控制制度的建设,

2、并实施内部控制制度的检查、监督。第四章操作流程规范第五条内部控制的评价原则1、全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位的各种业务和事项。2、重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。3、客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与执行的有效性。第六条内部控制的评价内容1、内控评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行,应结合企业内部控制基本规范与本公司的内控制度,确定内部控制评价的具体内容,对内部控制设计与执行情况进行全面评价。2、评价范围为公司及下属各分、子

3、公司所有营运环节及贯穿于经营活动各环节之中的各项管理制度。3、公司实施内部控制评价,包括对内部控制设计有效性和执行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制执行有效性是指现有内部控制按照规定程序得到了正确执行。4、公司对被评价部门内部控制的有效性进行评价,应当至少涉及下列内容:(1)被评价部门内部控制是否在风险评估的基础上涵盖了公司层面风险和所有重要的业务流程层面的风险;(2)被评价部门内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理;(3)被评价部门内部控制设计和运行的组织是否有效,人员配备、职责分

4、工和授权是否合理;(4)被评价部门是否开展内部控制自查并上报有关自查报告;(5)被评价部门是否建立有利于促进内部控制各项政策措施落实和问题整改的机制;(6)被评价部门在评价期间是否出现过重大风险事故等。第七条内部控制评价组织与实施1、内部控制评价按照“统一领导,分级管理”的原则进行,即公司董事会负责领导、审计中心负责具体组织和实施。2、公司内部控制评价,一般包括年度评价和日常评价。年度评价是指公司根据内部控制目标,对公司某一年度建立与实施内部控制的有效性进行的评价;日常评价是指公司在特定时点对特定范围的内部控制的有效性进行的评价。3、年度评价为定期评价,在每年年度结束后至年度报告提交董事会审议

5、之前,应完成定期检查并将内部控制评价报告提交董事会审议;日常评价一般为不定期评价,根据需要视具体情况而定,不受检查时间和检查次数的限制。4、公司管理层和各部门应负责组织相关人员按检查评价部门的要求,积极配合并及时提供所需的原始凭证、报表、操作规程和书面报告等文件资料。第八条内部控制评价的程序和方法1、公司内部控制评价程序一般包括:制定评价工作方案、组织评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。2、制定评价工作方案。审计中心根据公司内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制订科学合理的工作方案,明确评价范围、工作

6、任务、人员组织、进度安排和费用预算等相关内容,组织相关人员实施。3、组成评价工作组。评价工作组是在审计中心领导下,具体承担内部控制检查评价任务。审计中心根据评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。4、实施现场测试。了解被评价部门的基本情况,确定检查评价范围和重点、开展现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价部门内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,

7、研究分析内部控制缺陷。5、汇总评价结果。评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告,并及时向被评价部门进行通报,评价工作底稿应及时归档。6、报告反馈与跟踪阶段。对于认定的内部控制缺陷,审计中心结合董事会和审计委员会要求,提出整改建议,要求责任部门及时整改,并跟踪其整改落实情况;已造成损失或负面影响的,公司应当追究相关人员的责任。7、除定期检查评价外,审计中心应不定期组织开展内部控制检查评价,促进各单位内部控制的持续改善。第九条内部控制缺陷的认定1、内部控制缺陷包括设计缺陷和执行缺陷。公司对内部控制缺陷的认定,以日常监督和专项监督为基础,结合年度内部控制评价,由审计

8、中心进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。2、内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。(1)财务报告内部控制缺陷认定标准定性标准如下:重大缺陷的迹象包括:控制环境无效;董事、监事和高级管理人员舞弊;外部审计发现当期财务报告存在重大错报,公司在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效;其他可能影响报表使用者正确判断的重大缺陷。重要缺陷的迹象包括:内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报。一般缺陷是指除上述重大

9、缺陷、重要缺陷之外的其他控制缺陷。定量标准如下:定量标准以营业收入、资产总额作为衡量指标。内部控制缺陷可能导致或导致的损失与利润表相关的,以营业收入指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的0.5%,则认定为一般缺陷;如果超过营业收入的0.5%但小于1%,则为重要缺陷;如果超过营业收入的现,则认定为重大缺陷。内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的0.5虬则认定为一般缺陷;如果超过资产总额的0.5%但小于设认定为重要缺陷;如果超过资产总额1%,则认定为重大缺陷。

10、(2)非财务报告内部控制缺陷认定标准定性标准如下:出现以下情形的,可认定为重大缺陷,其他情形视影响程度分别确定重要缺陷或一般缺陷。企业决策程序不科学;违犯国家法律、法规,如环境污染;管理人员或技术人员纷纷流失;媒体负面新闻频现;内部控制评价的结果特别是重大或重要缺陷未得到整改;重要业务缺乏制度控制或制度系统性失效。定量标准参照财务报告内部控制缺陷评价的定量标准执行。3、审计中心编制内部控制缺陷认定汇总表,结合日常监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事

11、会予以最终认定。4、公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。第十条内部控制评价报告1、公司根据企业内部控制基本规范、应用指引和评价指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。2、内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。3、内部控制评价报告一般至少应当包括下列内容:(1)内部控制评价工作的总体情况;(2)内部控制评价的依据

12、;(3)内部控制评价的范围;(4)内部控制评价的程序和方法;(5)内部控制缺陷及其认定情况;(6)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;(7)内部控制有效性的结论。4、公司对外报送的内部控制评价报告还应包括董事会对内部控制报告真实性的声明。5、内部控制评价报告应当报经董事会批准后对外披露或报送相关部门。6、公司内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。7、公司以12月31日作为年度内部控制评价报告的基准日。年度内部控制评价报告应于基准日后4个月内报出。8、公司内部控制评

13、价报告、工作底稿及相关资料,保存时间不少于十年。第十一条内部控制评价的监督及奖惩1、公司所有内部控制评价活动均由董事会统一负责监督,如相关单位对检查评价的过程或结果的公正性存在质疑,可以向董事会反映。2、公司管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。第五章附则第十二条本制度未尽事宜,依照国家有关法律、法规、规范性文件以及公司章程的有关规定执行。第十三条本制度自董事会审议通过之日起实施。第十四条本制度由公司董事会负责解释。从雅虎数据泄露门看数据安全治理2016年9月,美国著名互联网门户网站雅虎公司宣布,雅虎网络系统中的5亿用户数据遭到泄露。2017年10月,雅虎公

14、司再次宣布所有30亿用户的个人数据被盗取,涉及用户姓名、电子邮件、电话号码、出生日期、登录密码、安全问题及答案等诸多数据内容。事件发生后,雅虎公司成立了安全团队对本次数据泄露事件展开调查,结果证实本次用户数据泄露与黑客入侵有关。迄今为止,雅虎数据泄露门称得上是史上规模最大、最具有代表性的数据安全事件。深入剖析雅虎数据泄露事件能够对我国数据安全防护工作起到警示作用,也可以为世界数据安全事件的处置提供启示。构建系统规范的数据安全监测预警制度雅虎数据泄露门发生的一个重要原因是疏于防范数据泄露风险。早在2013年,雅虎公司就因黑客攻击导致10亿用户数据遭到泄露。一年之后,雅虎公司又因类似的黑客攻击导致

15、5亿用户数据被泄露,直至2017年披露的数据显示,高达30亿用户的数据均遭泄露。在本次事件中有超过15万美国政府和军方雇员的信息被泄露,被泄露账户的主人包括美国国会议员、白宫工作人员、国家安全局官员等多个重要机构的工作人员。英特尔负责安全的首席技术官史蒂夫格罗勃曼表示,“对于将数据当作武器使用的人来说,数据价值连城”。黑客可以利用这些数据创建可搜索数据库(如生日和电话号码),从而实现盈利并参与商业或国家间谍活动的目的。接二连三的数据泄露说明雅虎公司始终没有重视数据安全风险防范工作,安全漏洞一直没有被彻底发现与填补,最终导致大规模数据泄露事件的发生。如果雅虎公司有着高度的数据安全风险预防意识以及完善的数据安全风险预防制度,那么可能就不会发生如此大规模、连续性的数据安全事件。可以看出,数据安全风险预防环节对于提升数据安全应急能力至关重要。加强数据安全风险预防环节建设的重点,在于建立包含客观深入的数据安全风险评估制度、高效权威的数据安全风险报告制度、集中统一的数据安全信息共享制度、系统规范的数据安全风险监测预警制度等在内的数据安全风险预防制度体系,积极实现从静态防护到动态防护、从被动防护到主动防护的形式转变,从而真正做到从源头上发现、缓解、消除数据安全风险。同时,通过多层次、多方面、多角度的数据安全预防制度体系,掌握数据安全状况,感知数据安全发展态势,总结数据安全变化规

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 论文 > 管理论文

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!