IT内控体系审核与评审管理规定

IT内控体系审核与评审管理规定文件编号：编写部门：一…科技部………版次/修订：…A/4 生效日期：TOC\o"1-5"\h\z.目的3.适用范围3.职责与权限33.1.科技部33.2.总经理33.3.其他管理人员33.4.内审组长33.5.内审员36.受审核部门34.管理内容31.IT内部审核32.IT管理评审63.本规定解释权85.相关表格81.年度IT内部审核计划85.2.IT内部审核实施计划85.3.IT内审检查表85.4.IT管理评审报告8IT内控体系审核与评审管理规定.目的为加强公司IT系统的内部控制与管理，有效监控IT相关的管理制度、办法、规定、标准、技术规范等的执行情况，实现IT内部控制的合规性，保证IT内控管理体系的适宜性和持续有效，营造稳定、健康、有序的IT管理环境，特制定本规定。.适用范围本规定适用于公司范围内与IT相关的内部审核与管理评审，主要针对公司层面IT系统有关的科技部和系统部的业务与管理。.职责与权限3.1.科技部负责组织根据本规定对IT相关规章制度及其执行情况及IT项目的建设情况进行监督、监控、审核与评价。2.总经理领导负责组织管理评审，并主持管理评审会议。其他管理人员，包括相关部门IT系统负责人参加管理评审，并按职责范围提供内控体系运行情况的信息和资料，形成书面材料向总经理办公会汇报。内审组长负责具体组织实施内审工作。5.内审员负责协助内审组长完成内审工作。受审核部门负责协助并积极配合内审工作。4.管理内容1.IT内部审核1.1.1.年度审核计划编制4.1.1.2.每年第一季度，科技部经理组织人员完成《年度IT内部审核计划》的编制，并提交主管科技总经理助理和总经理批准。4.1.1.3.《年度IT内部审核计划》要保证全年完成涉及IT体系中的全部要素和全部活动以及所有场所与部门。《年度IT内部审核计划》的内容应包括：(1)审核的要素；(2)受审核的部门；(3)审核的时间安排；(4)编制、审核、批准人签字等。1.1.4.在下列情况下，可追加审核或增加审核频次：IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变化时；IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。4.1.1.5.审核的策划和准备4.1.1.6.指定内审组长并组成内审组(1)每次审核前由总经理指定内审组长和内审员，组成内审组；(2)内审组成员在业务水平和管理经验等资格方面应符合内审要求，应经过相应的培训，熟悉IT内控体系文件，办事公道，并得到被审核部门的认可；(3)只要人力资源允许，内审组成员应与被审核的部门无直接责任，独立于被审核工作。4.1.1.7.制订《IT内部审核实施计划》(1)内审组长负责制订审核实施计划，内容包括：审核目的、范围、依据；审核的日程安排；内审小组的组成和分工；受审核部门相关的过程、活动及对应的管理制度条款和体系要求；其他需明确的事项和要求等。(2)内审组应提前三个工作日将计划发放到有关部门，以便确认计划安排。4.1.1.8.内审员应根据任务分工编写《IT内审检查表》。4.1.1.9.审核实施4.1.1.10.首次会议首次会议由内审组长主持，受审核部门负责人和审核组成员参加。会议内容包括：明确审核的目的与范围、依据、要求和方法，介绍审核计划，解决计划中不明确的细节，建立联系渠道，落实具体安排，确定末次会议时间等；首次会议要签到。4.1.1.11.现场审核内审员按审核计划和检查表实施审核。通过交谈、询问、文件查阅、现场检查（即问、听、看、查）等方法收集客观证据并记录，应使用正确的工作方法和审核技巧。4.1.1.12.确定不合格项内审组评审检查结果，确定不合格项。按不合格性质分为：体系性不合格、实施性不合格、效果性不合格；按严重程度分为：轻微不合格和严重不合格。4.1.1.13.开具《IT内审不合格报告》。确定不合格项后，内审员填写不合格报告单。不合格报告单的内容包括：审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格类型、不符合条款等。不合格事实描述要具体，并经受审核方确认。4.1,1.14. 末次会议由内审组长主持，受审核部门负责人和审核组成员参加。会议内容包括：重申审核目的、范围和依据，说明审核过程，宣读不合格报告，评价审核结果、提出纠正措施要求等；末次会议要签到。4.1.1.15.编写审核报告内审组长负责编写《IT内审报告》，经总经理批准后发放到有关部门。审核报告的内容应包括：(1)审核目的、范围和依据；(2)审核计划完成情况及不合格项的汇总分析；(3)体系运行结果的评价；(4)审核结论；(5)审核报告的分发范围等。4.1.1.16. 纠正的实施与跟踪验证责任部门应根据不合格项报告，认真分析产生问题的原因，并针对原因制定和实施纠正措施。内审组负责纠正措施的跟踪与验证，必要时进行现场确认。4.1.1.17.内审结果汇总分析内审组长负责将IT内审结果归纳总结并予以分析，形成体系运行报告，作为管理评审的输入。报告内容包括：审核计划完成情况，不合格项汇总分析、纠正措施的跟踪验证情况及对体系评价、薄弱环节分析和体系改进建议等。4.2.IT管理评审4.2.1.1.管理评审计划4.2.1.2.主管科技总经理助理负责主持IT管理评审并组织编制管理评审计划，内容包括：评审目的、评审内容、被评审部门及参加人员、管理评审的时间和评审计划的发放范围等。4.2.1.3.管理评审每年至少进行一次，一般安排在内部审核后进行。4.2.1.4.当连续出现IT方面重大事故或顾客投诉时以及公司领导层认为需要时，可增加管理评审的频次。4.2.1.5.管理评审参加的人员(1)科技经理、副经理、系统部经理、副经理；(2)各相关部门负责人及分公司分管IT业务的领导；(3)内审员；(4)必要时可请公司分管领导参加。4.2.1.6.管理评审的输入(1)内部审核的结果；(2)IT目标的执行情况及总体有效性；(3)改进的建议；(4)有关部门反馈的信息；(5)连续出现的重大事故报告；(6)纠正和预防措施的实施情况及效果；(7)可能影响IT体系的变动；(8)IT相关各部门的工作业绩和服务的质量现状；(9)上次IT管理评审的改进措施等。4.2.1.7.评审准备科技部应提前三个工作日通知所有参加管理评审的人员。各相关部门准备与本部门有关的评审资料。4.2.1.8.管理评审的实施管理评审会议由科技部领导主持。以会议形式对评审输入中的各项内容进行评审。分析IT体系的适宜性、充分性和有效性，做出是否需要改进和完善的决议。4.2.1.9.管理评审的输出IT内控体系及其过程有效性的改进信息。4.2.1.10.编写《IT管理评审报告》科技部安排人员负责编写“IT管理评审报告〃，经科技部领导批准后,发送各有关部门，相关记录做好保存。《IT管理评审报告》的内容至少应包括：(1)评审的目的；(2)评审内容；(3)评审日期及参加人员；(4)评审活动的评价与结论；(5)采取相关的