计算机审计制度

PAGE计算机审计制度一、总则（一）目的为了规范公司计算机审计工作，提高审计效率和质量，防范审计风险，依据国家相关法律法规以及行业标准，结合本公司实际情况，制定本制度。（二）适用范围本制度适用于公司内部所有涉及计算机信息系统的审计活动，包括但不限于财务信息系统、业务运营系统、管理信息系统等。（三）基本原则1.独立性原则：审计人员应独立于被审计的计算机信息系统及相关业务活动，不受其他部门或个人的干扰，确保审计工作的客观性和公正性。2.合法性原则：计算机审计工作必须严格遵守国家法律法规、行业规范以及公司内部的各项规章制度，确保审计活动合法合规。3.全面性原则：对公司计算机信息系统的各个环节、各个层面进行全面审计，涵盖系统规划、开发、运行、维护等全过程，以及相关数据的真实性、完整性、准确性和安全性。4.风险导向原则：以识别、评估和应对计算机信息系统中的风险为导向，重点关注可能对公司产生重大影响的风险领域，合理配置审计资源，提高审计工作的针对性和有效性。5.保密性原则：审计人员在工作过程中接触到的公司机密信息和数据，应严格保密，不得泄露给任何无关人员。二、审计机构与人员（一）审计机构设置公司设立独立的审计部门，负责计算机审计工作的组织和实施。审计部门应配备专业的计算机审计人员，并根据工作需要合理设置岗位，明确各岗位的职责和权限。（二）审计人员职责1.审计主管负责制定计算机审计工作计划和方案，组织实施审计项目，确保审计工作按计划顺利进行。对审计人员进行管理和指导，协调与其他部门的工作关系，解决审计工作中出现的问题。审核审计报告，对审计发现的问题提出处理意见和建议，向公司管理层汇报审计工作情况。2.计算机审计师按照审计工作计划和方案，运用专业技术方法对计算机信息系统进行审计，收集审计证据，编制审计工作底稿。对审计发现的问题进行分析和评价，提出整改建议，并跟踪整改情况。参与审计软件的开发和维护，不断提高计算机审计技术水平。3.数据分析员负责收集、整理和分析公司计算机信息系统中的各类数据，运用数据分析工具和技术，挖掘数据背后的潜在问题和风险。协助审计人员进行数据验证、比对和分析，为审计工作提供数据支持。建立和维护数据分析模型和数据库，提高数据分析效率和准确性。（三）审计人员资质要求1.具备扎实的财务、审计专业知识，熟悉国家法律法规和行业标准。2.掌握计算机信息技术，包括操作系统、数据库管理、网络技术、软件开发等，能够熟练运用相关工具进行数据分析和系统测试。3.具有良好的沟通协调能力和团队合作精神，能够与不同部门的人员进行有效的沟通和协作。4.具备较强的责任心和职业道德，保守公司机密，遵守审计工作纪律。三、审计内容与方法（一）审计内容1.信息系统规划与开发审计审查信息系统规划是否符合公司战略目标和业务需求，是否经过充分的可行性研究和论证。检查信息系统开发过程是否遵循相关的开发规范和标准，是否进行有效的项目管理和质量控制。评估信息系统开发过程中的内部控制，包括需求分析、设计、编码、测试、验收等环节的控制措施是否有效。2.信息系统运行与维护审计审查信息系统的运行环境是否安全稳定，是否采取了有效的安全防护措施，如防火墙、入侵检测、数据加密等。检查信息系统的运行效率和性能指标，是否满足业务需求，是否存在系统瓶颈和故障隐患。评估信息系统维护管理情况，包括维护计划的制定、执行和监控，维护人员的资质和培训，维护文档的管理等。3.数据审计审查数据的真实性、完整性和准确性，检查数据的录入、处理、存储和传输过程是否符合规定，是否存在数据篡改、丢失或错误等问题。评估数据的安全性和保密性，包括数据访问控制、数据备份与恢复、数据存储介质的管理等措施是否有效。分析数据的关联性和逻辑性，通过数据分析挖掘潜在的风险和问题，为公司决策提供支持。4.信息系统内部控制审计审查信息系统内部控制制度的建立和执行情况，包括岗位设置、职责分工、权限管理、操作流程、监督检查等方面的控制措施是否健全有效。评估信息系统内部控制的有效性，通过测试和评价内部控制的运行情况，发现内部控制存在的缺陷和漏洞，并提出改进建议。检查信息系统内部控制的自我评价和内部审计情况，是否定期开展内部控制自我评价，是否接受内部审计部门的监督检查。（二）审计方法1.数据采集与分析：通过数据接口、数据备份等方式采集公司计算机信息系统中的相关数据，运用数据分析工具和技术，如SQL查询、数据挖掘算法、统计分析软件等，对数据进行清洗、转换、分析和挖掘，发现数据中的异常情况和潜在问题。2.系统测试：采用黑盒测试、白盒测试、灰盒测试等方法，对信息系统的功能、性能、安全性等进行测试，检查系统是否符合设计要求和业务需求，是否存在漏洞和风险。3.文档审查：查阅信息系统的相关文档，如需求规格说明书、设计文档、操作手册、维护记录等，了解系统的开发过程、运行情况和维护管理情况，检查文档是否完整、准确、规范。4.现场观察：到信息系统的运行现场进行实地观察，了解系统的运行环境、操作流程、人员配置等情况，发现实际操作中存在的问题和风险。5.访谈与问卷调查：与信息系统的相关人员进行访谈，了解他们对系统的使用情况、存在的问题和改进建议；开展问卷调查，收集广大员工对信息系统的意见和反馈，从不同角度获取审计信息。四、审计程序（一）审计计划阶段1.根据公司的战略目标、业务需求和风险状况，制定年度计算机审计工作计划，明确审计项目的目标、范围、重点和时间安排。2.对每个审计项目进行详细的审前调查，了解被审计对象的基本情况、业务流程、信息系统架构和内部控制情况，评估审计风险，确定审计重点和审计方法。3.编制审计方案，明确审计目标、审计范围、审计内容、审计方法、审计步骤和人员分工等，为审计工作提供指导。（二）审计实施阶段1.按照审计方案的要求，开展审计工作，收集审计证据。审计证据可以包括数据、文档、记录、访谈笔录、测试报告等。2.对审计证据进行整理、分析和评价，形成审计工作底稿。审计工作底稿应详细记录审计过程、审计发现的问题及相关证据，确保审计工作的可追溯性。3.审计人员在审计过程中发现的问题，应及时与被审计部门沟通，要求其对问题进行解释和说明，并提供相关资料。4.对审计发现的重大问题或涉及多个部门的问题，审计人员应及时向审计主管汇报，组织相关人员进行讨论和研究，确定问题的性质和影响程度。（三）审计报告阶段1.根据审计工作底稿和审计证据，撰写审计报告。审计报告应包括审计概况、审计发现的问题、审计结论和建议等内容，语言应客观、准确、简洁。2.审计报告初稿形成后，应征求被审计部门的意见。被审计部门应在规定的时间内反馈意见，审计人员应对反馈意见进行认真分析和研究，合理采纳或说明理由。3.根据被审计部门的反馈意见，对审计报告进行修改和完善，形成正式的审计报告。正式审计报告应经审计主管审核后，报公司管理层审批。（四）审计跟踪阶段1.公司管理层批准审计报告后，审计部门应负责跟踪审计建议的落实情况，督促被审计部门制定整改措施，明确整改责任人和整改期限。2.被审计部门应定期向审计部门报告整改情况，审计人员应对整改情况进行检查和核实，确保整改工作按要求完成。3.对整改不力的部门，审计部门应及时向公司管理层汇报，提出进一步的处理建议，推动公司计算机信息系统的持续改进和完善。五、审计档案管理（一）档案分类计算机审计档案分为项目档案和综合档案。项目档案是指与具体审计项目相关的档案资料，包括审计计划、审计方案、审计工作底稿、审计证据、审计报告等；综合档案是指与计算机审计工作相关的综合性文件资料，如审计制度、审计标准、审计培训资料等。（二）档案整理与归档1.审计项目结束后，审计人员应及时对审计过程中形成的各类文件资料进行整理，按照档案管理的要求进行分类、编号和装订。2.审计档案应实行集中统一管理，由专人负责归档、保管和查阅。档案管理人员应建立档案目录和索引，便于档案的查找和使用。3.审计档案应妥善保管，确保档案的安全和完整。档案保管期限应符合国家法律法规和公司内部规定的要求，一般审计项目档案保管期限为[X]年，重要审计项目档案保管期限为[X]年。（三）档案查阅与借阅1.公司内部人员因工作需要查阅审计档案，应填写《审计档案查阅申请表》，经所在部门负责人批准后，到档案管理部门查阅。查阅档案时，档案管理人员应在场监督，查阅人员不得擅自涂改、抽取、销毁档案资料。2.外单位人员因特殊原因需要查阅审计档案，应经公司管理层批准，并办理相关手续。查阅档案时，档案管理人员应严格按照规定进行登记和管理，确保档案的安全。3.审计档案一般不得外借。如有特殊情