内部信息系统审计制度

PAGE内部信息系统审计制度一、总则（一）目的本制度旨在规范公司内部信息系统审计工作，确保信息系统的安全、可靠、有效运行，保护公司信息资产的安全与完整，促进公司业务目标的实现，符合国家相关法律法规及行业标准要求。（二）适用范围本制度适用于公司总部及各分支机构、子公司的各类信息系统，包括但不限于办公自动化系统、财务管理系统、客户关系管理系统、供应链管理系统等。（三）审计原则1.独立性原则内部信息系统审计机构和人员应独立于被审计的信息系统及相关业务活动，以确保审计工作的客观性和公正性。2.客观性原则审计人员应依据客观事实进行审计，保持职业谨慎，避免主观偏见，以获取真实、准确的审计证据。3.全面性原则审计工作应涵盖信息系统的规划、开发、运行、维护等各个环节，以及相关的内部控制、数据安全、网络安全等方面，确保全面评估信息系统的风险与有效性。4.风险导向原则以识别、评估和应对信息系统风险为导向，重点关注高风险领域和关键环节，合理配置审计资源，提高审计效率和效果。二、审计机构与人员（一）审计机构设置公司设立独立的内部信息系统审计部门，直属公司管理层领导，负责组织和实施公司内部信息系统审计工作。（二）人员配备内部信息系统审计部门应配备足够数量的专业审计人员，包括具有信息系统审计、计算机技术、财务、业务等相关专业背景的人员，以满足审计工作的需要。（三）人员职责1.审计部门负责人职责制定和完善内部信息系统审计制度、流程和计划；组织和领导内部信息系统审计团队开展审计工作；向公司管理层汇报审计工作情况，提出审计意见和建议；协调与外部审计机构及其他相关部门的关系。2.审计人员职责按照审计计划和程序实施审计工作，收集审计证据，编制审计工作底稿；对审计发现的问题进行分析和评估，提出审计建议；跟踪审计建议的落实情况，对整改效果进行评价；参与信息系统审计相关培训和研究，不断提高专业素质和业务能力。三、审计内容与方法（一）审计内容1.信息系统规划与立项审计：审查信息系统规划是否符合公司战略目标和业务需求，立项审批程序是否合规，项目可行性研究报告是否真实、准确。2.信息系统开发审计：检查系统开发过程是否遵循相关标准和规范，开发文档是否齐全、准确，系统测试是否充分，是否存在安全漏洞。3.信息系统运行与维护审计：评估信息系统运行的稳定性、可靠性和效率，检查系统维护计划的执行情况，数据备份与恢复策略的有效性，网络安全防护措施的合理性。4.信息系统内部控制审计：审查信息系统相关的内部控制制度是否健全、有效，包括用户权限管理、数据访问控制、系统变更管理等方面，是否存在内部控制缺陷。5.信息系统数据审计：检查数据的准确性、完整性和一致性，数据存储和传输的安全性，数据使用和共享的合规性。（二）审计方法1.文档审查：查阅信息系统相关的规划文档、需求说明书、设计文档、测试报告、运维记录等，了解系统建设和运行情况。2.系统测试：对信息系统进行功能测试、性能测试、安全测试等，检查系统是否满足业务需求和技术要求。3.数据分析：运用数据分析工具对信息系统中的数据进行抽取、转换和分析，发现潜在的问题和风险。4.人员访谈：与信息系统相关的管理人员、开发人员、运维人员、用户等进行访谈，了解系统运行情况和内部控制执行情况。5.实地观察：实地观察信息系统的运行环境、设备设施等，检查实际操作情况是否符合规定。四、审计程序（一）审计计划制定1.内部信息系统审计部门应每年根据公司战略目标、业务发展计划和信息系统建设情况，制定年度审计计划。2.年度审计计划应明确审计项目、审计范围、审计时间、审计人员等内容，并报公司管理层批准。（二）审计通知下达审计项目实施前，审计部门应向被审计单位或部门下达审计通知书，告知审计目的、范围、时间、要求等事项。（三）审计实施1.审计人员按照审计计划和程序，通过文档审查、系统测试、数据分析、人员访谈、实地观察等方法收集审计证据，编制审计工作底稿。2.审计过程中，审计人员应与被审计单位或部门保持沟通，及时了解情况，核实问题。（四）审计报告编制1.审计工作结束后，审计人员应根据审计证据和审计发现的问题，编制审计报告。2.审计报告应包括审计概况、审计发现的问题、审计建议、整改要求等内容，并经审计部门负责人审核后报公司管理层。（五）审计结果反馈与沟通1.审计部门应将审计报告及时送达被审计单位或部门，听取其意见和建议。2.被审计单位或部门应在规定时间内对审计报告提出书面反馈意见，审计部门应认真研究反馈意见，对审计报告进行必要的修改和完善。（六）审计整改跟踪1.公司管理层应根据审计报告提出的审计建议，督促被审计单位或部门制定整改措施，落实整改责任，限期整改。2.审计部门应跟踪审计建议的落实情况，对整改效果进行评价，形成整改跟踪报告报公司管理层。五、审计报告与档案管理（一）审计报告管理1.审计报告应按照规定的格式和内容编制，语言简洁、表述准确、逻辑清晰。2.审计报告应经审计部门负责人审核、公司管理层审批后，发送给相关部门和人员。3.审计报告应妥善保管，以备查阅和追溯。（二）审计档案管理1.审计部门应建立健全审计档案管理制度，对审计项目的相关资料进行分类、整理、归档。2.审计档案应包括审计计划、审计通知书、审计工作底稿、审计报告、被审计单位反馈意见、整改跟踪报告等资料。3.审计档案的保管期限应按照国家有关规定执行，确保审计档案的安全与完整。六、审计结果运用（一）作为绩效考核依据将信息系统审计结果纳入相关部门和人员的绩效考核体系，对审计发现问题较多、整改不力的部门和人员进行相应的考核扣分。（二）促进内部控制完善根据审计发现的内部控制缺陷，督促相关部门及时修订和完善内部控制制度，加强内部控制执行力度，防范信息系统风险。（三）为决策提供参考审计结果可为公司管理层在信息系统建设、优化、投资等方面的决策提供参考依据，