it信息系统审计制度

PAGEit信息系统审计制度一、总则（一）目的为了规范公司IT信息系统审计工作，确保公司信息系统的安全、可靠、有效运行，保护公司资产安全，提高信息系统的使用效率和效益，依据国家相关法律法规以及行业标准，结合本公司实际情况，制定本制度。（二）适用范围本制度适用于公司内所有与IT信息系统相关的部门、岗位及人员，包括信息系统的规划、建设、运行、维护等环节。（三）基本原则1.独立性原则IT信息系统审计部门应独立于被审计的信息系统及相关业务部门，以保证审计工作的客观性、公正性和权威性。2.全面性原则涵盖公司IT信息系统的各个方面，包括硬件设施、软件系统、数据资源、人员管理、业务流程等，确保审计无死角。3.风险导向原则以识别、评估和应对信息系统风险为导向，重点关注可能对公司造成重大影响的风险领域，合理配置审计资源。4.保密性原则审计人员在工作过程中应严格遵守公司的保密规定，对获取的公司机密信息予以保密，不得泄露给无关人员。二、审计机构及人员（一）审计机构设置公司设立独立的IT信息系统审计部门，直接对公司管理层负责。审计部门应配备足够数量的专业审计人员，以满足公司信息系统审计工作的需要。（二）审计人员职责1.审计主管职责负责制定和完善公司IT信息系统审计制度、流程和计划，并组织实施。组织审计人员开展审计工作，对审计项目进行统筹安排和质量控制。协调与公司内部其他部门以及外部审计机构的关系，确保审计工作顺利进行。定期向上级管理层汇报审计工作进展情况和审计结果，提出改进建议和措施。2.审计人员职责按照审计计划和审计方案，实施具体的审计工作，收集审计证据，编写审计工作底稿。对审计发现的问题进行分析和评估，提出审计意见和建议，并跟踪整改情况。参与公司信息系统建设项目的前期评审和后期验收工作，提出审计意见。协助审计主管开展其他与IT信息系统审计相关的工作。（三）审计人员资质要求1.具备计算机、审计、财务、管理等相关专业本科及以上学历。2.熟悉国家相关法律法规、行业标准以及公司的信息系统架构和业务流程。3.具有良好的沟通能力、分析能力和团队协作精神，能够熟练运用审计工具和方法开展工作。4.取得相关专业资格证书，如注册信息系统审计师（CISA）证书等优先考虑。三、审计内容与方法（一）信息系统规划与立项审计1.审计内容审查信息系统规划是否符合公司战略目标和业务需求，是否与公司整体信息化建设规划相衔接。评估信息系统立项的必要性、可行性和经济性，包括项目预算是否合理、预期效益是否明确等。检查信息系统立项过程中是否遵循相关审批程序，文档是否齐全、规范。2.审计方法查阅公司战略规划、信息化建设规划等相关文件，了解信息系统规划的制定情况。收集信息系统立项申请、可行性研究报告、项目预算等资料进行审查分析。与项目相关人员进行沟通访谈，了解项目立项的背景和过程。（二）信息系统建设审计1.审计内容审查信息系统建设项目的招投标过程是否合规，是否遵循公平、公正、公开的原则。检查信息系统建设合同的签订、执行情况，包括合同条款是否明确、双方权利义务是否对等、项目进度是否符合合同要求等。对信息系统建设项目的质量进行监督，审查项目是否按照设计要求和相关标准进行开发、测试和验收。评估信息系统建设项目的文档管理情况，包括项目文档是否完整、准确、规范，是否能够满足后续维护和管理的需要。2.审计方法查阅招投标文件、合同文本等资料，检查招投标和合同管理的合规性。实地查看项目建设现场，了解项目进展情况，检查项目质量控制措施的执行情况。审查项目开发文档、测试报告、验收报告等资料，评估文档管理水平。与项目建设方、监理方等相关人员进行沟通，核实项目建设过程中的相关情况。（三）信息系统运行与维护审计1.审计内容检查信息系统的日常运行管理情况，包括系统的可用性、性能指标、数据备份与恢复等方面是否符合要求。审查信息系统的安全管理措施，如用户认证与授权、访问控制、数据加密、安全审计等是否有效执行。评估信息系统维护计划的制定与执行情况，包括维护工作的及时性、有效性，是否对系统故障进行了及时处理和分析总结。检查信息系统变更管理情况，包括变更申请、审批、测试、实施等环节是否规范，是否对变更后的系统进行了充分的评估和验证。2.审计方法利用系统监控工具和性能测试工具，对信息系统的运行状况进行实时监测和性能测试。检查安全管理制度、操作记录、审计日志等资料，评估信息系统的安全管理水平。查阅维护计划、维护记录、故障报告等文档，了解信息系统维护工作的开展情况。跟踪信息系统变更流程，审查变更文档和测试报告，评估变更管理的有效性。（四）信息系统数据审计1.审计内容审查信息系统数据质量，包括数据的准确性、完整性和一致性，是否存在数据错误、缺失或重复等问题。评估数据备份与存储情况，检查备份策略是否合理，备份数据是否完整、可恢复，存储设备是否安全可靠。检查数据访问控制情况，确保只有授权人员能够访问和使用敏感数据，数据访问操作是否有记录可查。对数据的使用和流转情况进行审计，防止数据泄露和滥用。2.审计方法采用数据抽样和数据分析技术，对信息系统中的数据进行检查和分析，验证数据质量。检查数据备份设备、存储介质等，核实备份与存储情况。审查用户权限设置和访问日志，评估数据访问控制的有效性。跟踪数据在公司内部的流转路径，检查相关审批手续和操作记录。（五）信息系统内部控制审计1.审计内容评估信息系统内部控制制度的健全性，审查各项控制措施是否覆盖信息系统的关键环节和风险点。检查信息系统内部控制制度的执行情况，包括控制流程是否有效运行，相关人员是否遵守制度规定。对信息系统内部控制的有效性进行评价，分析内部控制是否能够合理保证信息系统的安全、可靠和有效运行，是否能够及时发现和纠正潜在的风险。2.审计方法查阅信息系统内部控制制度文件，了解制度的设计情况。通过询问、观察、检查等方式，核实内部控制制度的执行情况。采用穿行测试、控制测试等方法，对信息系统内部控制的有效性进行评估。四、审计程序（一）审计计划制定与审批1.审计部门应根据公司年度经营计划、信息系统建设规划以及风险管理要求，制定年度IT信息系统审计计划。审计计划应明确审计目标、审计范围、审计重点、审计时间安排等内容。2.年度审计计划经审计部门负责人审核后，报公司管理层审批。经批准的审计计划应严格执行，如有特殊情况需要调整，应按照规定的程序进行审批。（二）审计准备1.根据审计计划确定具体的审计项目，并成立审计组。审计组应明确分工，确保审计工作有序进行。2.审计人员应收集与审计项目相关的资料，包括信息系统文档、业务流程文件、管理制度、操作记录等，了解被审计对象的基本情况。3.制定审计方案，明确审计目标、审计内容、审计方法、审计步骤以及人员分工等。审计方案应具有针对性和可操作性，能够指导审计人员开展工作。（三）审计实施1.审计人员按照审计方案的要求，通过查阅资料、实地观察、访谈、问卷调查、数据分析等方法，收集审计证据，进行审计测试，形成审计工作底稿。2.在审计过程中，审计人员应保持职业谨慎，对发现的问题进行详细记录和分析，及时与被审计部门沟通，核实情况。3.审计组应定期召开审计工作会议，汇报审计进展情况，讨论审计发现的问题，研究解决方案。（四）审计报告1.审计工作结束后，审计人员应根据审计工作底稿编写审计报告。审计报告应客观、公正地反映审计情况，包括审计目标、审计范围、审计方法、审计发现的问题、审计意见和建议等内容。2.审计报告初稿完成后，应征求被审计部门的意见。被审计部门应在规定的时间内反馈意见，审计组应对反馈意见进行认真研究和分析，必要时进行补充审计。3.审计报告经审计部门负责人审核后，报公司管理层审批。审计报告应得到公司管理层的高度重视，对审计发现的问题应及时采取措施进行整改。（五）审计跟踪与整改1.审计部门应建立审计跟踪机制，对审计报告中提出的审计意见和建议的整改情况进行跟踪检查。2.被审计部门应按照审计报告的要求，制定整改计划，明确整改措施、整改责任人、整改期限等，并将整改计划报审计部门备案。3.在整改期限内，被审计部门应定期向审计部门汇报整改进展情况。审计部门应定期对整改情况进行检查，确保整改工作按时完成，问题得到有效解决。4.对于整改不力的部门，审计部门应及时向公司管理层汇报，采取相应的措施进行督促和问责。五、审计档案管理（一）档案收集审计项目结束后，审计人员应及时将审计过程中形成的各类文件资料收集整理，包括审计计划、审计方案、审计工作底稿、审计报告、被审计部门反馈意见及整改资料等。（二）档案整理与归档1.审计人员应对收集到的文件资料进行分类整理，按照审计项目的类别和时间顺序进行编号，确保档案资料的完整性和系统性。2.将整理好的档案资料移交档案管理人员，由档案管理人员进行归档保存。档案管理人员应建立档案目录，便于查询和管理。（三）档案保管与查阅1.档案管理人员应按照档案管理的相关规定，妥善保管审计档案，确保档案的安全和完整。档案保管期限应符合国家法律