信息系统內部审计制度

PAGE信息系统內部审计制度一、总则（一）目的本制度旨在规范公司信息系统内部审计工作，确保信息系统的安全、可靠、有效运行，保护公司资产安全，提高信息系统的使用效益，防范信息系统风险，促进公司信息化建设与业务发展相适应。（二）适用范围本制度适用于公司总部及所属各部门、子公司、分公司的信息系统内部审计工作。（三）依据本制度依据国家相关法律法规、行业标准以及公司内部管理规定制定，包括但不限于《中华人民共和国审计法》、《企业内部控制基本规范》、《信息系统审计准则》等。（四）基本原则1.独立性原则：内部审计机构应独立于被审计对象，不受其他部门或个人的干扰，独立行使审计职权。2.客观性原则：审计人员应基于客观事实进行审计工作，保持公正、客观的态度，不受主观偏见影响。3.全面性原则：对公司信息系统的各个环节、各个层面进行全面审计，涵盖信息系统规划、开发、运行、维护等全过程。4.重要性原则：根据信息系统的重要程度、风险水平和对公司业务的影响程度，确定审计重点和范围，合理分配审计资源。5.风险导向原则：以识别、评估和应对信息系统风险为导向，关注信息系统的内部控制有效性，及时发现并解决潜在风险。二、审计机构及人员（一）审计机构设置公司设立独立的内部审计部门，负责信息系统内部审计工作。内部审计部门应配备足够数量、具备专业知识和技能的审计人员。（二）审计人员职责1.审计主管职责负责制定和完善信息系统内部审计制度、流程和计划。组织实施信息系统内部审计项目，合理安排审计人员，确保审计工作顺利进行。对审计项目进行质量控制，审核审计报告，提出审计意见和建议。协调与其他部门的关系，沟通审计工作情况，推动审计发现问题的整改落实。定期向上级领导汇报信息系统内部审计工作进展和成果。2.审计人员职责按照审计计划和方案，开展信息系统审计工作，收集审计证据，进行审计分析和评价。编写审计工作底稿，记录审计过程和发现的问题。协助审计主管撰写审计报告，提出审计建议和改进措施。跟踪审计发现问题的整改情况，核实整改效果。参与公司信息系统相关内部控制制度的建设和完善工作，提供专业意见和建议。（三）审计人员职业道德1.审计人员应遵守国家法律法规和公司内部规章制度，诚实守信，廉洁奉公。2.保持职业谨慎，客观公正地履行审计职责，保守审计工作中知悉的公司商业秘密和信息系统敏感信息。3.不断学习和更新专业知识，提高审计业务能力和综合素质，适应信息系统发展变化的需要。三、审计内容与方法（一）信息系统规划审计1.审计内容审核信息系统规划是否与公司战略目标相一致，是否满足公司业务发展的需要。检查信息系统规划的制定过程是否科学、合理，是否充分考虑了公司内外部环境因素。评估信息系统规划的可行性和经济性，是否对资源配置、投资预算等进行了合理安排。2.审计方法查阅信息系统规划文档、公司战略规划文件等相关资料。访谈公司高层管理人员、业务部门负责人以及信息系统规划相关人员，了解规划制定的背景、目标和过程。分析信息系统规划与公司业务流程的匹配度，评估规划对公司业务发展的支持程度。（二）信息系统开发审计1.审计内容审查信息系统开发项目的立项审批程序是否合规，是否经过充分的可行性研究和论证。检查开发过程中的需求分析、设计、编码、测试等环节是否符合相关标准和规范，是否进行了有效的质量控制。评估开发项目的成本控制情况，是否存在预算超支、资源浪费等问题。审查信息系统开发过程中的安全保密措施是否到位，是否对系统的安全性、可靠性进行了充分考虑。2.审计方法查阅信息系统开发项目文档，包括立项报告、需求规格说明书、设计文档、测试报告等。实地观察开发项目的实施情况，检查开发环境和开发过程的规范性。访谈开发项目团队成员、用户代表等，了解开发过程中的实际情况和问题。对开发项目的成本进行核算和对比分析，评估成本控制效果。（三）信息系统运行审计1.审计内容检查信息系统的运行状况，包括系统的可用性、性能、稳定性等指标是否达到要求。审查信息系统的操作流程和管理制度是否完善，操作人员是否严格按照规定进行操作。评估信息系统的数据质量，包括数据的准确性、完整性、一致性等方面。检查信息系统的安全防护措施是否有效，是否存在安全漏洞和风险。2.审计方法利用专业工具对信息系统的运行指标进行监测和分析，如系统性能监测工具、网络流量监测工具等。查阅信息系统操作手册、管理制度等文件，检查操作流程的执行情况。抽取部分数据进行验证和分析，评估数据质量。进行安全漏洞扫描和风险评估，检查信息系统的安全防护措施。（四）信息系统维护审计1.审计内容审查信息系统维护计划的制定和执行情况，是否及时对系统进行维护和升级。检查维护过程中的变更管理是否规范，是否对变更进行了充分的测试和评估。评估信息系统维护的成本效益情况，是否合理控制维护费用。审查信息系统维护过程中的数据备份和恢复情况，确保数据的安全性和可恢复性。2.审计方法查阅信息系统维护计划、维护记录等文档，了解维护工作的开展情况。检查变更管理流程，包括变更申请、审批、测试、实施等环节的执行情况。对维护成本进行统计和分析，评估成本效益情况。检查数据备份策略和恢复演练记录，验证数据备份和恢复的有效性。（五）审计方法1.文档审查：查阅信息系统相关的各类文档，包括规划文档、开发文档、运行维护文档等，了解系统的建设和运行情况。2.访谈：与信息系统相关人员进行访谈，包括IT部门人员、业务部门人员、系统用户等，获取第一手信息，了解实际情况和问题。3.实地观察：实地观察信息系统的运行环境、操作流程等，直观感受系统的运行状况和管理情况。4.数据分析：利用数据分析工具对信息系统的数据进行抽取、转换、分析，发现数据中的异常情况和潜在问题。5.测试：对信息系统进行功能测试、性能测试、安全测试等，验证系统的功能完整性、性能指标和安全性。四、审计程序（一）审计计划制定1.内部审计部门应根据公司信息系统建设和运行情况、风险状况以及公司管理层的要求，制定年度信息系统内部审计计划，并报公司管理层批准。2.审计计划应明确审计目标、审计范围、审计内容、审计方法、审计时间安排以及审计人员分工等事项。3.在审计计划执行过程中，如遇特殊情况需要调整审计计划，应报公司管理层批准，并及时通知相关部门和人员。（二）审计准备1.根据审计计划，组成审计组，明确审计组长和审计人员的职责分工。2.审计组应收集与审计项目相关的资料，包括信息系统文档、业务流程资料、内部控制制度等，了解被审计对象的基本情况。3.制定审计方案，明确审计步骤、审计重点、审计方法以及审计时间安排等。审计方案应具有针对性和可操作性，能够指导审计工作的顺利开展。（三）审计实施1.审计组按照审计方案开展审计工作，通过查阅文档、访谈、实地观察、数据分析、测试等方法，收集审计证据，记录审计过程和发现的问题。2.审计人员应编制审计工作底稿，详细记录审计程序的执行情况、审计发现的问题及相关证据等。审计工作底稿应真实、完整、清晰，能够为审计结论提供充分的支持。3.在审计过程中，审计组应及时与被审计对象沟通，核实情况，获取必要的解释和说明。对于审计发现的问题，应要求被审计对象提供书面反馈意见。（四）审计报告1.审计组完成审计工作后，应撰写审计报告。审计报告应包括审计概况、审计依据、审计发现的问题、审计结论、审计建议等内容。2.审计报告应客观、公正、准确地反映审计工作情况和审计发现的问题，审计结论应明确，审计建议应具有针对性和可操作性。3.审计报告初稿形成后，应征求被审计对象的意见。被审计对象应在规定时间内反馈书面意见，审计组应对反馈意见进行认真研究和分析，必要时进行补充审计或调整审计报告。4.审计报告经审计组组长审核、内部审计部门负责人复核后，报公司管理层审批。经批准后的审计报告应及时送达被审计对象，并抄送相关部门。（五）审计跟踪1.内部审计部门应负责跟踪审计发现问题的整改情况，确保问题得到有效解决。2.被审计对象应按照审计报告中的要求，制定整改计划，明确整改措施、整改责任人以及整改时间，并及时向内部审计部门报送整改情况报告。3.内部审计部门应对整改情况进行检查和评估，核实整改效果。对于整改不力的，应督促被审计对象加大整改力度，直至问题得到彻底解决。4.审计跟踪情况应形成记录，作为公司内部审计工作的重要资料存档。五、审计结果运用（一）建立审计结果通报制度内部审计部门应定期向公司管理层通报信息系统内部审计工作情况和审计结果，使管理层及时了解信息系统的运行状况和存在的问题，为决策提供参考依据。（二）将审计结果纳入绩效考核体系公司应将信息系统内部审计结果与相关部门和人员的绩效考核挂钩，对审计发现问题较多、整改不力的部门和人员，在绩效考核中予以扣分或采取其他相应的惩罚措施；对审计工作表现优秀、审计发现问题较少且整改效果良好的部门和人员，给予适当的奖励。（三）促进内部控制制度完善根据审计结果，分析信息系统内部控制存在的薄弱环节，提出改进建议，推动公司完善信息系统内部控制制度，加强风险管理，提高信息系