1、水泥公司部门职能、应用及电脑监控记录管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目录1 财务职能和应用监控1.0 财务部门的职能1.1 销售与收款循环1.2 购货与付款循环1.3 存货与生产循环1.4 工资与薪金循环1.5 资金的循环1.6 投资与筹资循环2 IT职能和电脑监控2.0 IT部门的职能2.1应用的变化2.2 开发和实施2.3 电脑的安全保障2.4 电脑运行3电脑控制的补充记录*补充指导补充指导，包括其他重点领域，对策略和测试计划的影响，包含在相关指南里，在完成RMC前作参考。*电脑控制的补充记录是在诸如I2、T策略方面记录控制程序（包括监控），一般仅在提供客户服务为目的时填写。1.0财务职能与财务职能相关的因素可能会对部门完全或主要负责的循环或系统的控制风险的评估产生影响。财务部门的组织结构和管理人员设置应与业务系统的复杂程度，规模和整体组织结构相适应。在较大的企业，财务部门可能会根据不同的职责被分为几个方面。（如，会计记录，成本会计，财产和现金管理），对每一方面需要分别进行考虑。财务职能部门的主要联系人姓名/职位：（计划财务处处长）（计划财务处助理）电话号码：传真号：财务部的结构（如有，请附最新的机构设置流程图）参看附件负责各项财务职能的部门（如：会计核算，财产）计划财务处的主要职责为进行日常财3、务核算，为管理当局提供相关会计资料。同时计划财务处有财务预算、财务分析、融资和准备财务报告等职能。重要岗位人员人数以及他们的经验股份公司本部计划财务处副处长任前进是于2002年6月份由金川集团公司审计部科长调入，有11年财务会计工作经验，在读MBA学历。（原财务处长张元放调入集团财务部）总账岳淑萍有7年工作经验，本科学历。目前开始正常生产经营的主要子公司的财务部门的重要岗位人员及他们的经验吉林公司：财务部部长：李迎军，1996年大学毕业后分配到xx集团财务部门工作，于2000年调到吉林公司财务部任部长财务部部长助理：王延军，有10年以上水泥行业工作经验。三河公司：财务部部长：廉焕如，大专统计专4、业于1982年毕业参加工作，1999年调入三河公司。财务部副部长：蔡祥山，大专审计专业1991年毕业参加工作，1999年调入三河公司干粉建材：财务部部长：陈天晔，中专会计专业毕业于1980年参加工作，2000年调入干粉公司。江机塑料：财务部部长：李杰，大专会计专业毕业于1992年参加工作，2002年调入江机公司。财务部门的员工流动程度股份公司本部：现有财务人员26人，由于集团公司及关联公司抽调了3名财务骨干，今年分配大专毕业生及调入共2人以补充，同时，由于人员的变动岗位也作了较大轮换，部分人员所负责的科目有所变动。吉林公司：现有财务人员12人，本年调出3人，其中财务负责人之一梁保柱调往磐石公司5、任财务负责人，本年凋入3人。三河公司：现有财务人员6人，本年调出4人，调入4人。干粉建材：现有财务人员4人。江机塑料：现有财务人员2人。以监控为目的综合管理信息是什么？高级管理人员关注的主要问题是什么？水泥是国家经济建设和发展中不可缺少的主要建筑材料，国家宏观经济政策的导向和宏观经济形势的变化将直接决定基础建设等固定资产投资规模，从而影响水泥行业的发展。因此，水泥行业属于典型的投资拉动型行业。一旦宏观经济政策和宏观经济形势发生变化造成水泥市场相对疲软，则不可避免的对本公司生产经营产生不利的影响。由于水泥行业固有特点决定，在成本控制较好情况下，只能通过上规模，提高市场占有率等途径来提高公司的竞争6、能力和盈利能力。股份公司主要致力于在符合发展战略条件下，发展公司规模。股份公司目前的组织架构、管理模式、人力资源、管理理念不能适应目前发展的需要。由于股份公司投资规模不断扩大，导致公司资金紧张，需要拓展筹集资金的渠道。因此应主要监控股份公司的经济效益指标以及目前所开展项目取得的借贷资金的偿还资金来源。第一部分：监控目标为实现监控目标而实施的控制程序索引号1.1销售与收款循环目标：收款循环信息的记录与评估，内部监控是旨在通过取得与复核相关信息来识别控制失调的因素、问题或可能存在的信息的重大错报，并对这异常情况或问题予以跟进（分析、处理）。例如，考虑以下重点领域： 管理层复核的重要工作指标是什么？7、管理层如何运用这些指标监控销售与收款循环？例如：毛利率，销售退货率，销售量，财务比率等。 管理层如何将销售与独立积累信息，如预算、预测、产量、过去经验数据，相比较？ 管理层如何监控信用风险？如:账龄分析，逾期客户数量及金额，坏账笔数及金额，发生纠纷情况等。 管理层复核相关信息的范围与程序如何？如：新客户的开发与增加，老客户的丢失，客户总数，对外赔付金额，非正常交易金额及价格等。公司管理层通过对国际国内市场的分析和研究，提出公司发展的销售策略。公司通过制定经营计划，对销售区域及主要客户进行调查研究，对收款的严格控制来实现对销售收入、销售数量、价格及销售客户的总体监控。这种总体监控，特别是销售计划8、的合理性以及销售收入的完整性，是凭借详细的市场调研和严格的审批制度来实现的。公司通过每月召开的经济活动分析会，对销售经营计划执行情况进行分析。对销售收入、销售数量、销售价格等情况与经营计划、上年同期进行比较，对差异较大的原因进行说明。公司对销售价格的制订与监控1）公司销售部每月组织由负责销售的副总经理及驻外办事处负责人参加的质量目标实施评价会议，对各地市场产品的销售价格进行分析并形成质量部质量目标实施评价报告，报公司管理层审批后以文件的形式下发。2）销售部门和驻外办事处人员根据市场情况及竞争状况如竞争对手同类产品价格比较分析等，对每个合同和主要客户进行分析确定价格政策及定价区间，根据销售公司所9、发文件在职权范围内确定销售价格。销售公司根据市场供求及同行业价格变动对价格进行不定期调整时，报管理层审批后执行。公司对销售收款的监控1）建立赊销审批制度在签定赊销合同之前，到现场进行详细的考察并给予信用评价，以确定赊销的策略和信用度；每份赊销合同签定之前必须经销售部和主管销售副总经理及以上的两个领导共同签字后再进行办理，并形成书面合同。2）建立水泥货款结算业务和流程。以确保资金流和货物流的控制平衡。对开票、收款、发货各岗位实行严格分离。财务部和销售部对销售款、销售数量、应收账款分别记录，按月核对、分析、形成书面材料上报公司管理层审阅。3）公司建立对过期未收回的款项的控制方法。财务部和销售部分别10、设有逾期账款预警系统，每月对应收账款进行分析，上报各主管领导并在每月经济活动分析会上予以讨论；销售部设置清欠办公室，按地区、按责任人建立责任制，对终止业务的逾期欠款和逾期较长的欠款进行追账，对账龄较长的欠款单位，获得书面认可的债权责任书，确保债权依法成立不失效；对确定无法通过正常手续追回的款项通过法律渠道对其提请诉讼。公司对合同管理的监控1）公司设有合同价格监控体系及相应的授权制度，不同金额的合同需由不同级别的管理层审批。2）销售合同的签定及日常管理由销售部负责。销售合同的签定是有权限限定控制的，超过业务员和销售部经理权限的重大销售合同由主管销售的副总经理批准。销售合同在销售部档案室专人保管，11、借阅合同需登记。公司对应收账款的监控1）公司每半年由财务部财务主管编制应收账款账龄分析表，并报管理层批复。2）公司明确规定各类赊销方式的回款时间。 3）公司按企业会计制度及公司销售收款的实际情况制订坏账准备计提标准并按照期末应收款项账龄计提坏账准备。对审计策略的影响和测试方案1、我们在执行内控测试时将考虑上述监控；2、应收账款的账龄分析及坏账准备的计提；3、抵债资产的产权过户及减值准备；4、股份公司与客户就应收账款余额的对账情况；5、在股份公司交易中存在与其他关联公司的交易，我们应关注其价格是否公允。是否向客户报告？股份公司存在应收账款较多、账龄较长的问题，提请客户注意清收，通过诉讼、取得抵债12、资产等多种手段降低应收账款，促进应收账款的回收。1.2购货与付款循环目标：购货循环信息的记录与评估，内部监控是旨在通过取得与复核相关信息来识别控制失调的因素、问题或可能存在的信息的重大错报，并对这异常情况或问题予以跟进（分析、处理）。例如，考虑以下重点领域：管理层复核的重要工作指标是什么？管理层如何运用这些指标检验购货与付款循环？如：购货量或金额的变动，重大购货合同，标准数据（成本构成）的变更，退货等。管理层如何将费用与独立积累信息，如预算，购货资金计划，历史经验数据，相比较？管理层如何监控与供货方相关的信息？是否编制与记录了供货方相关信息，如（交货的可靠性，退货频率及原因，交货不及时频率，等13、）管理层复核相关信息的程序与范围如何？如：与供货商之争议，后期未决事项，异常或重大付款。公司通过制定货物采购计划，规范供应商选择的程序及制定采购合同和付款审批程序实施对购货的监控。公司通过每月召开的经济活动分析会对采购总量、类型、价格等方面与采购计划进行比较，对差异较大的原因进行说明。公司物资供应部每年根据生产运营情况及实际库存情况上报采购计划，管理层根据公司的战略发展计划及整体资金计划进行调整。物资供应部每月根据当月物资需求和周转库存情况上报主要原材料采购计划审批表，由管理层进行审批。采购计划的制定和修改均需由管理层批复。公司对购货价格及存货质量的管理与控制1）公司设有供应商选择程序及相应的14、审批制度。大宗原材料、直接用于生产的辅助材料、大型备品备件、一次性采购在10万元以上的实行招议标采购；一次性采购在10万元以下的实行比（询）价采购。2）公司质检部对采购货物的质量进行检验，并根据检验结果填写检验单由质检部经理签字批准并由物资供应部经理签字确认。仓库据此办理货物入库。3）采购货物发生质量纠纷时，由质检部及物资供应部共同负责解决；发生法律纠纷时，由监审部负责监督执行。公司每年年终召开定货会，定货会由物资供应部、物料使用部门、监审部、质检部共同参加。公司于定货会中对大宗原材料的采购签定合同，由物资供应部负责人及监审部对合同进行审批，交专门人员（合同管理员）保管，监审部对合同的审批单均15、有严格的编号规则。公司规定采购合同签订的授权权限，以20万元、50万元为限，由不同级别的管理层批复。公司对付款的控制包括：1）财务部根据合同、订单、发票、及经物资供应部经理及主管采购副总经理批准的支付凭单后，付款行为才可实现。2）财务部设专人对采购发票进行检验。3）采购供应处设专人定期与供货商核对应付账款。对审计策略的影响和测试方案1、我们在实施内控测试时将考虑上述监控；2、原材料的暂估入库及出库入账的及时性；3、股份公司与客户就应付账款的对账情况；4、股份公司对大宗原燃材料的盘点方法及盘盈亏的处理。是否向客户报告？No1.3存货与生产循环目标：生产循环信息的记录与评估，内部监控是旨在通过取得16、与复核相关信息来识别控制失调的因素、问题或可能存在的信息的重大错报，并对这异常情况或问题予以跟进（分析、处理）。例如，考虑以下重点领域：管理层复核的重要工作指标是什么？如：购货成本差异及变动。管理层如何将生产与独立积累信息，如预算，预测，历年同期产量，制造费用及其他，相比较？管理层复核相关信息的程序与范围如何，如：存货数量，标准成本及单位成本，存货的增减变动采购价格，人工成本及其他成本差异及变动，制造费用的多摊与少摊，库存存货水平和存货的流出存货的变质，滞压，退货率（内部和外部）管理层复核过剩，过时，或流动性差的存货的程序及范围，是否计提必要的变现准备以反映其真实的可变现价值。公司通过制定入库17、检验、出库审批、及实物盘点的流程及管理层定期复核存货分析表等方式实施对库存的控制。公司管理层依据存货库存量定额核定存货采购量及库存量。公司自2001年11月开始使用信息管理系统对存货入库进行监控。货物入库时，由质检部、物资供应部对货物进行质量的检验及数量的核对，由采购员在微机中录入物料的详细情况，库房管理员对物料进行清点后确认物料入库。公司于2001年11月开始采用信息管理系统对物料出库进行控制，由领料员在库房微机中录入领用物料明细情况，经物资供应部负责人审批后，取得微机自动生成的一次性密码，仓库保管员输入密码审核无误后，方办理出库。公司对大宗原燃材料每月盘点，由管理层监督盘点。盘点后形成书面18、盘点报告，如发现差异将对差异进行分析并上报管理层批准作相应处理。每月仓库与财务部核对账目,保证账实相符。财务部核算存货的人员定期编制存货分析报表，对存货变动情况、存货余额及其周转率进行分析，并报管理层批复。公司主管负责人定期对重大存货余额进行复核，以确定库存量的合理性。公司对大宗原燃材料按月盘点，其他材料及产品年终盘点。公司对于存货质量在盘点中予以关注，根据企业会计制度和公司关于存货质量的制度，对于由于遭受损毁或过时而导致售价低于成本时计提减值准备。 生产计划是以销售收入为依据制订的，需报管理层审批。公司设专人对公司实际运营情况与生产计划进行比较分析并报管理层审阅。管理层每月召开经济活动分析会19、，对主要产品的单位成本与计划、去年同期进行对比分析，并对重大差异进行分析。对审计策略的影响和测试方案1、 我们在实施内控测试时将考虑上述的监控；2、 存货跌价准备的考虑。是否向客户报告？No1.4工资与薪金循环目标：工资循环信息的记录与评估，内部监控是旨在通过取得与复核相关信息来识别控制失调的因素、问题或可能存在的信息的重大错报，并对这异常情况或问题予以跟进（分析、处理）。例如，考虑以下重点领域：管理层复核的主要工作指标是什么？管理层如何运用这些指标监控工资费用？如：工资标准（小时率，月工资，年薪），加班工资，工资是否当月计提，分部门工资等。管理层如何将工资费用与独立积累信息，如部门预算，相比20、较？管理层复核重大或异常工资支出的情况。 管理层复核的主要工作指标为劳动局下达的工资总额指标及工资分配是否符合公司制定的具有激励作用的工资分配政策。公司按照工资总额与经济效益挂钩政策自主确定应提取的工资总额，于下一年进行工资清算。公司根据上一年的实际工资，以及河北省关于工资指导线的有关通知，确定下一年度的工资计划，并据此编入下一年度的生产经营计划，报请董事会批准。在具体实施时，薪金中奖金部分与公司实际效益状况挂钩，根据控制目标，进行考核，确定具体的数额。公司三届十九次董事会对公司经营者年薪作出决议，通过了唐山xx水泥股份有限公司关于实施企业经营者年薪制的试行办法。自发布之日起（2001年）试行21、。公司员工工资主要包括基本工资、津贴、补贴、奖金。公司员工级别评定首先由各部门初评，上报人力资源部，人力资源部根据相关岗位评定级别。公司用工变动实行分层授权批准模式，员工职务、工资的变动需由公司管理层批准。 日常生产班组、各处室由考勤员负责登记考勤情况，计算出基本工资，奖金则与企业当期效益相关，由专人负责计算，工资和奖金经人力资源部部长审批后报财务部，由财务部按部门发放，部门再对奖金进行二次分配，工资当月计提当月发放。 每年年度经营计划中包含工资因素，总体监控工资总额；年终招开经济活动分析会议，对实际发生与计划差异进行分析并找出原因。 人力资源部部长对工资进行汇总审核：发放工资是否超过核定指标22、，发放工资是否有明显偏差等。对审计策略的影响和测试方案我们在实施内控测试时将考虑上述监控。是否向客户报告？NO1.5 资金循环目标：资金循环信息的记录与评估，内部监控是旨在通过取得与复核相关信息来识别控制失调的因素、问题或可能存在的信息的重大错报，并对这异常情况或问题予以跟进（分析、处理）。例如，考虑以下重点领域：管理层复核的重要工作指标是什么？管理层如何运用这些指标监控下列事项，如：透支，现金流量，筹资成本变动趋势。管理层如何将资金需求与独立积累信息，如预算，现金流量预测，资产到期状态及更新要求，过去积累经验数据，相比较？管理层复核下列信息的程度与范围，如：符合债务合同相关条款及条件，执行交23、易人员酬金，与银行关系。资产的到期处理，抵押资产的储备。 管理层复核的重要工作指标为现金流量、投资计划与筹资。 每月公司财务部长将复核公司的现金流量情况，并复核重大的资金支出是否有相应的授权，复核实际支出与资金计划是否有大的差异，并由相关的负责人作出解释。 财务部长每月复核公司的即将到期的债务，并评估公司合适的现金流量，作出还款安排。 公司未将年度资金计划落实到月度，并根据实际情况分析差异及效果。 对银行的信用较好，并保持了良好的合作关系。对审计策略的影响和测试方案我们在实施内控测试时将考虑上述监控。是否向客户报告？No1.6 投资与筹资循环目标：投资与筹资循环信息的记录与评估，内部监控是旨在24、通过取得与复核相关信息来识别控制失调的因素、问题或可能存在的信息的重大错报，并对这异常情况或问题予以跟进（分析、处理）。例如，考虑以下重点领域：管理层复核的重要工作指标是什么？管理层如何运用这些指标监控下列事项，如：投资项目的进展、效益、公司整体的竞争能力。管理层如何将投资与筹资需求与独立积累信息，如何将投资项目的效益与预期进行对比分。管理层复核下列信息的程度与范围，如：发展方向、速度，投资项目确认、投资行为的事后分析。 管理层主要关注同行业的扩张速度、行业的发展空间、与投资相对应的资金需求、市场的融资成本，以及公司投资效益。投资决策及项目管理1）投资管理部首先对提出的投资对象或项目进行实地考25、察，收集信息进行初步分析、判断并形成预案，立项后按投资决策权限分送公司执行层、决策层进行初审。2）项目初审通过后由投资管理部聘请设计院（必要时聘请中介机构和专家）进行审慎性调查和可行性研究；收购或重组资产项目由投资管理部直接操作。调查结果分送公司管理层审批，如需要，报请国家计委或经贸委立项。可行性研究报告是管理层做出投资决策的一个重要依据。3）投资项目经管理层批准后，提交董事会和股东大会审议批准。公司授权签订有关协议、合同，财务部进行资产的划转和账务处理等手续，投资管理部负责办理投资项目的法定手续和执行必须的法定程序工作；公司授权人力资源部派出管理人员并对其进行管理。4）投资完成后，投资管理部26、对投资项目进行全过程监控管理，被投资单位按月向公司财务部报送会计报表，由公司财务部对报表进行波动分析，异常情况上报公司管理层。公司年末编制合并会计报表，对于其他投资取得的收益及时入账。5）投资业务的授权、执行、会计记录以及投资资产的保管等方面都有明确的职责分工，股权持有期间任何关于股权变动和投资收益均得到记录和复核。筹资决策及管理1）根据公司总体规划和生产需要，编制经营计划中的年度资金计划，财务部根据经营计划考虑筹资成本费用，融资的难易程度，对财务结构的影响，以及对公司近期和远期财务风险的影响等，提出筹资方案，公司管理层决定后，提交董事会、股东大会审议、批准。2）财务部按照资金计划进行月度筹资27、规划，随时掌握资金余缺，及时调度，保证资金需求。3）拟发行公司债券、发行股票筹集资金的，首先由证券办进行可行性分析，在可行的前提下拟定操作计划，计划中明确工作步骤、时间安排、技术处理等；拟从银行借款的，由财务部直接操作。所有筹资决策都必须经过公司管理层审批，提交董事会审议批准。对审计策略的影响和测试方案我们在实施内控测试时将考虑上述监控。是否向客户报告？No2.0IT职能与IT职能相关的因素可能会对控制风险的评估产生影响。IT职能部门的主要联系人姓名/职位：王东卫 - 技术管理部部长郑文金 - 技术管理部信息中心主任电话：0351-3241822-3320传真：IT职能部门的组织结构（如有，请28、附最新的机构设置流程图）技术管理部信息中心由系统组、综合组及研发组三个部分组成。其他部门是否有IT的重要职能 股份公司使用安易财务软件，2000年的测试已由该软件公司完成。1999年6月公司进行安易软件的升级。由于该公司联网仅限于财务部，因此不存在与其他部门联网会出现的问题。 计算机程序有授权，并有专人管理，进入程序时有密码。目前该系统独立于企业管理信息系统。2000年度由于计算机财务软件的问题造成股份公司应付账款明细账汇总与总账出现差异32899元，且其他应付款明细账汇总与总账出现差异35052元。经财务人员与软件公司人员检查系该财务软件升级中出现的问题，已解决，2001年至今尚未发现以上问29、题。高级IT管理人员的直接上级技术管理部、网络安全委员会IT职能的运作IT职能部门的管理人员设置和组织结构与业务的复杂程度和规模相适应情况。除了以上记录的信息，考虑以下重点领域： IT的角色和职责是否定义的清晰，与企业规模是否相适应。 IT职能部门的工作人员的数量是否适当。（这些人可能是中央集团的一部分或终端用户）。 IT职能部门的当年人员变动是否频繁。 IT职能部门的工作人员的技能是否能适应复杂的IT环境和行业。 是否有与经营策略相一致的IT策略，并使高级管理人员了解。 IT用户是如何看待所接受的服务质量的。 信息中心职能：1)负责公司管理信息系统的运行维护；2)负责公司互联网的管理。 IT30、职能与公司当前规模不适应。1） 信息中心更多的应体现管理工具职能，而非简单技术支持；2） 该信息系统1999年开始建设，2001年10月验收。时间跨度较长，所用管理技术和管理理念陈旧，人为因素对系统影响较大。 目前信息中心工作人员共14人，其中：工程师4人，助理工程师10人。人员待遇较好，变动较小。工作人员技能较好，所有人都能进行程序开发和硬件维护。 目前正在为子公司开发信息系统。 信息中心能够保证公司经营策略的正常贯彻实施。第二部分：电脑监控目标：为实现监控目标而实施的控制程序索引号2.1 应用的变化管理层应建立适当的程序以确保系统变化得到控制。例如，考虑以下重点领域： 管理层是否检查/参与31、应用变化的计划与控制。 管理层是否了解使用者对于系统功能质量和运行质量的看法。 管理层是否复核有关的报告/参与对系统变化的测试。 管理层是否复核系统工作情况报告的报告，包括如下有关量的信息：已作的运用系统变化运用系统问题紧急修理的发生与系统支持相关的接受电话由于系统的变化，使用者的需求量 管理层缺少对管理信息系统的必要监控。 管理层未能定期检查信息系统的运行情况，只在系统不能正常运行时，进行必要指导。 信息中心日常活动只有设备运行记录。未能对系统变化、系统故障、系统修复进行及时记录，并报告管理层。对审计策略的影响和测试方案是否向客户报告？No2.2 开发和实施管理层应监控新系统的开发和安装。（32、注：这一控制目标仅适用于企业正在开发或安装重大系统的情况）例如，考虑以下重要领域： 是否有开发系统的明确方法，如有，管理层是如何确保其被运用的。 是否有指定的高级管理人员对项目的开发负责。 管理层是否复核/参与决定系统的规格/软件包的选择 管理层是否对工程完工的进展进行监控 管理层是否保证足够的测试，以确保系统的功能与设想一致。 管理层是否确保在系统中设置了足够的控制。 管理层是否确保制作了适当的使用者说明,以便使系统的使用者在使用系统过程中得到足够的培训。 管理层是否确保对数据转换到新系统进行了有效的控制。 管理人员是否重读了有关报告，此报告包括了系统在开发和使用以后的运行状况及如下信息：质33、量保障复核的评估与计划相比，工作的实际完成情况（如设计，测试，数据转换）与最后期限相比，实际完成日期（例如设计，测试，数据转换）与预算相比，项目实际成本系统运行后产生问题的程度。 管理层对企业信息系统建设非常重视，由总经理负责，建立了CIMS工程建设领导小组和工作小组。在工程实施过程中，各级领导均给予高度重视。 在CIMS工程建设中，由信息中心专业人员论证选择系统规格和软件包。然后报管理层批准。 CIMS工程建设的每一个步骤，管理层都参加相关协调会议，形成会议纪要。 在CIMS工程完工验收后，技术管理部信息中心编制了工程实施情况汇报材料。总结了管理信息系统建设的成果及经验。 系统建成后，信息中34、心编制了各岗位用户使用手册，并对使用者进行了专门的培训，只有获得上岗证，才能上岗工作。 在CIMS工程建设中缺乏详细工程预算，工作完成情况无法与计划对比分析差异。管理较为混乱。 在系统建成后，由于缺乏必要的避雷设施，曾发生雷击损坏主交换机模块情况。对审计策略的影响和测试方案是否向客户报告？No2.3电脑的安全保障管理层应该关注安全风险，根据由于进入程序和数据系统而产生的风险水平，实施进入系统的控制政策。监控是否保持适当安全的电脑环境。例如，考虑如下重点： 管理层对待安全性的态度 是否制定了安全政策，所有员工是否了解，如何监控政策的实施。 对于数据的保密性（如私人数据）是否有规章要求。管理层是否35、对企图或非授权进入数据，程序，网络和系统的行为建立了监测程序。管理层是如何保障电脑设备的安全性的。 管理层比较关心管理信息系统的安全性，购置两台数据服务器进行双机热备，并且颁布了计算机网络安全管理制度。 管理制度落实不太理想，并非所有员工均能照章执行，管理层未制定切实可行的监控措施。 同时企业局域网和互联网连接时没有必要的防火墙和隔离措施，互联网接口设置随意性较大，不能照章办事。由此将产生系统安全隐患。 另外管理信息系统缺少必要的监控程序，无法对病毒和恶意攻击进行适时记录，并且私人信息和业务信息没有隔离，无法识别信息的用途，这些因素将影响系统的安全性和稳定性。 建议管理层关注信息系统的安全工作36、，落实系统管理制度，完善考核措施，对与外部的互联网连接建立防火墙和监控路由器。对审计策略的影响和测试方案是否向客户报告？No2.4电脑的操作管理层应该监控电脑的操作，能够认识到系统的有效性,在非正常情况下的数据处理、程序应用失败和再次处理的情况。例如，考虑以下重点： 管理层是否确保程序员和使用者拥有良好的技能，并且支持性文件能够保证他们履行其职能。 管理层是否对电脑环境状况进行监控，这主要包括以下几方面：系统的有效性或掉线（包括网络方面）操作失误工作失败和重新启动的数量或频率准时传送报告的准确率提供给使用者的IT服务水平如何？ 管理层和使用者是否对一组程序的运行和更新的及时性进行监控。 管理层是否确保程序员和使用者日常情况下对数据进行备份。对审计策略的影响和测试方案是否向客户报告？