《内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx》由会员分享,可在线阅读,更多相关《内部控制评价制度&从雅虎数据泄露门看数据安全治理.docx(14页珍藏版)》请在课桌文档上搜索。
1、内部控制评价制度第一章综述第一条本制度规定了*股份有限公司(以下简称“公司”)内部控制评价的相关管理要求,旨在及时发现公司内部控制缺陷,提出和实施改进方案,确保内部控制有效运行。第二章定义和范围第二条定义1、内部控制评价:是指由公司董事会或类似权力机构对公司内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。2、内部控制有效性:是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证,包括内部控制设计的有效性和内部控制运行的有效性。第三条适用范围本制度适用于本公司,其他子公司参照执行。第三章部门权责第四条审计中心是公司内部控制评价的归口管理部门,经授权实施各类内部控制制度的建设,
2、并实施内部控制制度的检查、监督。第四章操作流程规范第五条内部控制的评价原则1、全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位的各种业务和事项。2、重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。3、客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与执行的有效性。第六条内部控制的评价内容1、内控评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行,应结合企业内部控制基本规范与本公司的内控制度,确定内部控制评价的具体内容,对内部控制设计与执行情况进行全面评价。2、评价范围为公司及下属各分、子
3、公司所有营运环节及贯穿于经营活动各环节之中的各项管理制度。3、公司实施内部控制评价,包括对内部控制设计有效性和执行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制执行有效性是指现有内部控制按照规定程序得到了正确执行。4、公司对被评价部门内部控制的有效性进行评价,应当至少涉及下列内容:(1)被评价部门内部控制是否在风险评估的基础上涵盖了公司层面风险和所有重要的业务流程层面的风险;(2)被评价部门内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理;(3)被评价部门内部控制设计和运行的组织是否有效,人员配备、职责分
4、工和授权是否合理;(4)被评价部门是否开展内部控制自查并上报有关自查报告;(5)被评价部门是否建立有利于促进内部控制各项政策措施落实和问题整改的机制;(6)被评价部门在评价期间是否出现过重大风险事故等。第七条内部控制评价组织与实施1、内部控制评价按照“统一领导,分级管理”的原则进行,即公司董事会负责领导、审计中心负责具体组织和实施。2、公司内部控制评价,一般包括年度评价和日常评价。年度评价是指公司根据内部控制目标,对公司某一年度建立与实施内部控制的有效性进行的评价;日常评价是指公司在特定时点对特定范围的内部控制的有效性进行的评价。3、年度评价为定期评价,在每年年度结束后至年度报告提交董事会审议
5、之前,应完成定期检查并将内部控制评价报告提交董事会审议;日常评价一般为不定期评价,根据需要视具体情况而定,不受检查时间和检查次数的限制。4、公司管理层和各部门应负责组织相关人员按检查评价部门的要求,积极配合并及时提供所需的原始凭证、报表、操作规程和书面报告等文件资料。第八条内部控制评价的程序和方法1、公司内部控制评价程序一般包括:制定评价工作方案、组织评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。2、制定评价工作方案。审计中心根据公司内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制订科学合理的工作方案,明确评价范围、工作
6、任务、人员组织、进度安排和费用预算等相关内容,组织相关人员实施。3、组成评价工作组。评价工作组是在审计中心领导下,具体承担内部控制检查评价任务。审计中心根据评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。4、实施现场测试。了解被评价部门的基本情况,确定检查评价范围和重点、开展现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价部门内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,
7、研究分析内部控制缺陷。5、汇总评价结果。评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告,并及时向被评价部门进行通报,评价工作底稿应及时归档。6、报告反馈与跟踪阶段。对于认定的内部控制缺陷,审计中心结合董事会和审计委员会要求,提出整改建议,要求责任部门及时整改,并跟踪其整改落实情况;已造成损失或负面影响的,公司应当追究相关人员的责任。7、除定期检查评价外,审计中心应不定期组织开展内部控制检查评价,促进各单位内部控制的持续改善。第九条内部控制缺陷的认定1、内部控制缺陷包括设计缺陷和执行缺陷。公司对内部控制缺陷的认定,以日常监督和专项监督为基础,结合年度内部控制评价,由审计
8、中心进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。2、内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。(1)财务报告内部控制缺陷认定标准定性标准如下:重大缺陷的迹象包括:控制环境无效;董事、监事和高级管理人员舞弊;外部审计发现当期财务报告存在重大错报,公司在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效;其他可能影响报表使用者正确判断的重大缺陷。重要缺陷的迹象包括:内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报。一般缺陷是指除上述重大
9、缺陷、重要缺陷之外的其他控制缺陷。定量标准如下:定量标准以营业收入、资产总额作为衡量指标。内部控制缺陷可能导致或导致的损失与利润表相关的,以营业收入指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的0.5%,则认定为一般缺陷;如果超过营业收入的0.5%但小于1%,则为重要缺陷;如果超过营业收入的现,则认定为重大缺陷。内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的0.5虬则认定为一般缺陷;如果超过资产总额的0.5%但小于设认定为重要缺陷;如果超过资产总额1%,则认定为重大缺陷。
10、(2)非财务报告内部控制缺陷认定标准定性标准如下:出现以下情形的,可认定为重大缺陷,其他情形视影响程度分别确定重要缺陷或一般缺陷。企业决策程序不科学;违犯国家法律、法规,如环境污染;管理人员或技术人员纷纷流失;媒体负面新闻频现;内部控制评价的结果特别是重大或重要缺陷未得到整改;重要业务缺乏制度控制或制度系统性失效。定量标准参照财务报告内部控制缺陷评价的定量标准执行。3、审计中心编制内部控制缺陷认定汇总表,结合日常监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事
11、会予以最终认定。4、公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。第十条内部控制评价报告1、公司根据企业内部控制基本规范、应用指引和评价指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。2、内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。3、内部控制评价报告一般至少应当包括下列内容:(1)内部控制评价工作的总体情况;(2)内部控制评价的依据
12、;(3)内部控制评价的范围;(4)内部控制评价的程序和方法;(5)内部控制缺陷及其认定情况;(6)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;(7)内部控制有效性的结论。4、公司对外报送的内部控制评价报告还应包括董事会对内部控制报告真实性的声明。5、内部控制评价报告应当报经董事会批准后对外披露或报送相关部门。6、公司内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。7、公司以12月31日作为年度内部控制评价报告的基准日。年度内部控制评价报告应于基准日后4个月内报出。8、公司内部控制评
13、价报告、工作底稿及相关资料,保存时间不少于十年。第十一条内部控制评价的监督及奖惩1、公司所有内部控制评价活动均由董事会统一负责监督,如相关单位对检查评价的过程或结果的公正性存在质疑,可以向董事会反映。2、公司管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。第五章附则第十二条本制度未尽事宜,依照国家有关法律、法规、规范性文件以及公司章程的有关规定执行。第十三条本制度自董事会审议通过之日起实施。第十四条本制度由公司董事会负责解释。从雅虎数据泄露门看数据安全治理2016年9月,美国著名互联网门户网站雅虎公司宣布,雅虎网络系统中的5亿用户数据遭到泄露。2017年10月,雅虎公
14、司再次宣布所有30亿用户的个人数据被盗取,涉及用户姓名、电子邮件、电话号码、出生日期、登录密码、安全问题及答案等诸多数据内容。事件发生后,雅虎公司成立了安全团队对本次数据泄露事件展开调查,结果证实本次用户数据泄露与黑客入侵有关。迄今为止,雅虎数据泄露门称得上是史上规模最大、最具有代表性的数据安全事件。深入剖析雅虎数据泄露事件能够对我国数据安全防护工作起到警示作用,也可以为世界数据安全事件的处置提供启示。构建系统规范的数据安全监测预警制度雅虎数据泄露门发生的一个重要原因是疏于防范数据泄露风险。早在2013年,雅虎公司就因黑客攻击导致10亿用户数据遭到泄露。一年之后,雅虎公司又因类似的黑客攻击导致
15、5亿用户数据被泄露,直至2017年披露的数据显示,高达30亿用户的数据均遭泄露。在本次事件中有超过15万美国政府和军方雇员的信息被泄露,被泄露账户的主人包括美国国会议员、白宫工作人员、国家安全局官员等多个重要机构的工作人员。英特尔负责安全的首席技术官史蒂夫格罗勃曼表示,“对于将数据当作武器使用的人来说,数据价值连城”。黑客可以利用这些数据创建可搜索数据库(如生日和电话号码),从而实现盈利并参与商业或国家间谍活动的目的。接二连三的数据泄露说明雅虎公司始终没有重视数据安全风险防范工作,安全漏洞一直没有被彻底发现与填补,最终导致大规模数据泄露事件的发生。如果雅虎公司有着高度的数据安全风险预防意识以及
16、完善的数据安全风险预防制度,那么可能就不会发生如此大规模、连续性的数据安全事件。可以看出,数据安全风险预防环节对于提升数据安全应急能力至关重要。加强数据安全风险预防环节建设的重点,在于建立包含客观深入的数据安全风险评估制度、高效权威的数据安全风险报告制度、集中统一的数据安全信息共享制度、系统规范的数据安全风险监测预警制度等在内的数据安全风险预防制度体系,积极实现从静态防护到动态防护、从被动防护到主动防护的形式转变,从而真正做到从源头上发现、缓解、消除数据安全风险。同时,通过多层次、多方面、多角度的数据安全预防制度体系,掌握数据安全状况,感知数据安全发展态势,总结数据安全变化规律,预测数据安全未
17、来动向,对数据安全风险作出正确战略研判。具体而言,一方面,通过数据安全风险报告制度,及时传递上报数据安全风险信息,以便于尽早作出决策。同时,通过数据安全信息共享制度,实现数据安全信息的串联共通,有效促进多方共同预防数据安全风险。另一方面,通过数据安全监测预警机制,实时掌握数据安全状况并依据数据安全风险等级正确发出数据安全预警。完善高效统一的数据安全应急处置机制雅虎公司处置本次数据泄露事件的过程较为混乱,没有章法,充分反映出了其在数据安全应急处置机制方面的短板。根据报道,在黑客攻击发生后,雅虎公司并未采取有效的应急处置措施。在技术层面,黑客攻击发生后,雅虎公司没有及时采取技术措施,制止黑客攻击并
18、防止数据的进一步泄露。在补救措施上,数据泄露事件发生后,雅虎公司仅仅是提醒用户更改密码等信息,并未采取强有力的补救措施来制止危害后果的扩大。最后,数据泄露后,雅虎公司并未及时上报和对外公示,甚至直到2016年才正式披露这一事件,体现出其应急反应的片面与滞后。过于疏松的安全措施与相对迟缓的应急响应是造成雅虎数据泄露愈演愈烈的重要原因。因此,提升数据安全应急能力必须重视数据安全应急处突能力建设,着力完善高效统一的数据安全应急处置机制。一方面,提升数据安全应急处突能力首先要设计科学合理、贴近实际、切实可行的数据安全应急处置预案,界定数据安全应急处置对象、厘清数据安全应急处置流程、确定数据安全应急处置
19、方法、明晰数据安全责任主体权责、统筹数据安全应急处置机制脉络,确保数据安全应急处置机制的运行做到有章可循、有据可查。另一方面,数据安全应急处置机制的确立与运行还需要得到法律保障,要在数据安全法、个人信息保护法、网络安全法等上位法律框架之下,不断细化数据安全应急立法,积极出台相关配套规章制度,为数据安全应急处置活动提供明确的法律依据。各数据安全责任主体要根据相关立法内容,结合自身状况,建立高效统一的数据安全应急处置机制、制定切合实际的数据安全应急处置预案、设计运转流畅的数据安全应急处置流程,不断提升面对数据安全事件时的应急处突能力。打造科学合理的数据安全综合治理体系雅虎公司在数据泄露事件结束后并
20、未采取明显、有效的恢复手段,也并未对提升自身数据安全综合治理水平作出显著努力。从这一角度来说,雅虎数据泄露事件警示我们必须重视数据安全恢复环节建设。因此,提升数据安全应急能力还需要注意总结经验教训,不断提升数据安全综合治理能力。数据安全事后恢复环节的主要内容是通过善后恢复与整改提升等方式使数据安全状况恢复甚至超越数据安全事件发生前的状态。一方面,数据安全责任主体要采取综合措施消除数据安全事件为个人、组织、社会、国家等不同主体带来的不利影响,通过升级数据安全防护技术、弥补数据安全漏洞、通报事件处理进展、更新数据安全基础设施等措施对数据安全治理工作进行整改提升。另一方面,在积极消解数据安全事件所带来的危害后果的同时,相关数据安全责任主体有必要结合经验教训,从以下五个方面着手,不断完善数据安全综合治理体系。一是着力推进数据安全合规进程,促使自身数据安全应急体系与国家立法内容相协调。二是总结经验教训,不断提升数据安全应急技术标准。三是宣传典型数据安全应急案例,推进数据安全风险意识入脑入心。四是加大数据安全应急投入,努力创新数据安全防护技术手段。五是积极培养数据安全专业技术人才,及时推动数据安全防护基础设施更新换代。王新鹏来源:学习时报
