it内部审计制度

PAGEit内部审计制度一、总则（一）目的本制度旨在规范公司IT内部审计工作，确保公司信息系统的安全、稳定运行，有效防范IT风险，保障公司业务的正常开展以及资产的安全完整，促进公司IT治理的完善和提升。（二）适用范围本制度适用于公司总部及各分支机构的所有IT活动，包括但不限于信息系统规划、建设、运行维护、数据管理、网络安全等方面。（三）基本原则1.独立性原则：IT内部审计机构应独立于被审计对象，不受其他部门或个人的干扰，以确保审计工作的客观性和公正性。2.客观性原则：审计人员应基于客观事实进行审计判断，收集、分析和评价审计证据，如实反映审计结果。3.全面性原则：涵盖公司IT活动的各个环节，对重要业务流程、关键信息系统和重大IT项目进行全面审计。4.风险导向原则：以识别、评估和应对IT风险为导向，重点关注可能对公司造成重大影响的风险领域。5.及时性原则：及时开展审计工作，对发现的问题及时反馈并督促整改，确保问题得到及时解决，避免风险扩大。二、审计机构与人员（一）审计机构设置公司设立独立的IT内部审计部门，直属公司管理层领导，负责统筹开展公司IT内部审计工作。（二）人员配备1.IT内部审计部门应配备足够数量且具备专业知识和技能的审计人员，包括但不限于信息系统审计师、注册会计师、网络工程师等。2.审计人员应具备良好的职业道德、沟通能力和团队协作精神，熟悉国家相关法律法规、行业标准以及公司的IT战略、业务流程和内部控制制度。（三）职责与权限1.职责制定和完善IT内部审计制度、流程和规范。编制年度IT内部审计计划，并组织实施。对公司IT活动进行审计监督，检查内部控制的有效性，发现并揭示存在的问题和风险。对审计发现的问题提出整改建议，并跟踪整改落实情况。定期向公司管理层汇报IT内部审计工作进展和结果，为管理层决策提供依据。开展专项审计调查，针对特定的IT问题或事项进行深入研究和分析，提出改进措施和建议。协助公司其他部门开展与IT相关的风险管理和内部控制工作，提供专业咨询和培训服务。2.权限有权要求被审计部门提供与审计事项相关的文件、资料、数据等，被审计部门应予以配合，不得拒绝、拖延或提供虚假信息。有权对被审计部门的信息系统、网络设备、服务器等进行现场检查和测试，包括但不限于数据查询、系统操作、网络访问等。有权就审计事项向有关人员进行询问和调查，被询问人员应如实回答。发现被审计部门存在违反法律法规、公司制度或可能导致重大风险的行为时，有权责令其立即整改，并及时向公司管理层报告。根据审计结果，有权提出经济处罚建议或其他处理意见，报公司管理层批准后执行。三、审计计划（一）计划制定1.IT内部审计部门应根据公司战略目标、IT发展规划、业务需求以及风险状况，每年年初制定年度IT内部审计计划。2.年度审计计划应明确审计目标、审计范围、审计重点、审计时间安排以及审计人员分工等内容。（二）计划调整1.在年度审计计划执行过程中，如遇公司战略调整、业务变化、重大风险事件等情况，需要对审计计划进行调整的，由IT内部审计部门提出调整建议，报公司管理层批准后实施。2.调整后的审计计划应及时通知相关部门和人员，确保审计工作的顺利进行。四、审计实施（一）审计准备1.根据审计计划确定具体的审计项目，成立审计组，并指定审计项目负责人。2.审计组应收集与审计项目相关的背景资料，包括公司IT战略规划、业务流程文档、信息系统架构图、历史审计报告等，了解被审计对象的基本情况。3.制定详细的审计方案，明确审计目标、审计范围、审计方法、审计步骤以及人员分工等内容。审计方案应根据审计项目的特点和风险状况进行合理设计，确保审计工作的针对性和有效性。4.提前向被审计部门发送审计通知书，告知审计的目的、范围、时间安排以及需要提供的资料等事项，以便被审计部门做好准备工作。（二）审计执行1.审计人员应按照审计方案的要求，运用适当的审计方法和技术，对被审计对象进行审查和评价。审计方法包括但不限于文档审查、数据测试、系统分析、现场观察、人员访谈等。2.在审计过程中，审计人员应认真收集审计证据，确保证据的真实性、相关性和充分性。审计证据可以包括纸质文件、电子数据、系统日志、会议记录、人员陈述等。3.审计人员应及时记录审计工作过程和发现的问题，编制审计工作底稿。审计工作底稿应详细记录审计程序的执行情况、审计证据的获取过程、发现的问题及相关分析等内容，为审计报告的撰写提供依据。（三）审计沟通1.在审计实施过程中，审计组应与被审计部门保持密切沟通，及时了解审计进展情况以及被审计部门的意见和建议。2.对于审计发现的问题，审计组应与被审计部门进行充分沟通，听取其解释和说明，确保问题的准确性和客观性。同时，要求被审计部门对问题提出整改措施和期限，并形成书面记录。（四）审计报告1.审计项目结束后，审计组应及时撰写审计报告。审计报告应包括审计概况、审计发现的问题、审计结论、整改建议以及被审计部门的反馈意见等内容。2.审计报告应语言简洁、逻辑清晰、内容准确，客观公正地反映审计工作的结果。审计结论应明确指出被审计对象的内部控制是否有效，是否存在重大风险以及问题的严重程度等。3.审计报告初稿完成后，应征求被审计部门的意见。被审计部门应在规定的时间内反馈意见，审计组应对反馈意见进行认真分析和研究，合理采纳或说明理由。如被审计部门对审计报告存在异议，审计组应进一步核实情况，必要时进行补充审计。4.经修改完善后的审计报告报IT内部审计部门负责人审核，审核通过后提交公司管理层审批。公司管理层应根据审计报告的内容做出决策，对审计发现的问题提出处理意见，并督促相关部门进行整改。五、审计结果处理（一）整改要求1.被审计部门应根据审计报告中提出的问题和整改建议，制定详细的整改计划，明确整改措施、责任人和整改期限。2.整改计划应报IT内部审计部门备案，并按照计划认真组织实施整改工作。在整改过程中，应及时向IT内部审计部门反馈整改进展情况。（二）跟踪检查1.IT内部审计部门应建立整改跟踪检查机制，对被审计部门的整改情况进行定期跟踪检查。跟踪检查可以采取现场检查、资料审查、数据核对等方式进行。2.对于整改不力或未按时完成整改任务的部门，IT内部审计部门应及时发出整改通知书，督促其加快整改进度，并将情况报告公司管理层。3.整改完成后，被审计部门应向IT内部审计部门提交整改报告，说明整改措施的执行情况、整改效果以及存在的问题和改进措施等内容。IT内部审计部门应对整改报告进行审核，必要时进行现场复查，确认整改工作是否达到预期目标。（三）结果运用1.IT内部审计部门应定期对审计结果进行分析和总结，形成审计成果报告，向公司管理层汇报审计发现的共性问题、趋势以及对公司IT治理和业务发展的影响等情况。2.公司管理层应将审计结果作为决策的重要依据，针对审计发现的问题，完善公司IT管理制度、优化业务流程、加强内部控制，不断提升公司IT管理水平和风险防范能力。3.审计结果应与被审计部门及其负责人的绩效考核挂钩，对于审计发现问题较多、整改不力的部门和个人，在绩效考核中予以适当扣分或采取其他处罚措施。六、审计档案管理（一）档案内容IT内部审计档案应包括审计计划、审计通知书、审计工作底稿、审计证据、审计报告、被审计部门反馈意见、整改计划及报告等与审计项目相关的所有资料。（二）档案整理审计项目结束后，审计组应及时对审计档案进行整理和归档。档案整理应按照档案管理的相关规定进行分类、编号、装订，确保档案资料的完整性和规范性。（三）档案保管1.IT内部审计部门应指定专人负责审计档案的保管工作，建立审计档案保管制度，明确档案保管的期限、存放地点、查阅权限等要求。2.审计档案应妥善保管，防止档案丢失、损坏或泄露。对于电子档案，应采取备份、加密等措施进行存储和保护。（四）档案查阅1.公司内部人员因工作需要查阅审计档案的，应填写查阅申请表，经IT