2审计保密工作制度

PAGE2审计保密工作制度一、总则（一）制定目的为加强公司审计保密工作，规范审计过程中涉及的各类信息管理，确保公司商业秘密、财务数据、业务信息等不被泄露，维护公司合法权益，特制定本制度。（二）适用范围本制度适用于公司内部审计部门及所有参与审计工作的人员，包括审计项目负责人、审计人员、审计助理等，同时适用于因审计工作需要接触相关信息的外部合作机构及人员。（三）基本原则1.依法合规原则：严格遵守国家法律法规、行业监管要求以及公司各项规章制度，确保审计保密工作合法合规。2.全面覆盖原则：涵盖审计工作的全过程，包括审计计划制定、审计实施、审计报告撰写及后续跟踪等各个环节，对涉及的所有信息进行保密管理。3.最小化知悉原则：严格限定能够接触到公司机密信息的人员范围，确保信息仅在必要的人员和范围内流转，将知悉范围控制到最小程度。4.安全可靠原则：采取有效措施确保公司机密信息的存储、传输、使用等环节的安全性，防止信息被窃取、篡改或丢失。二、保密内容（一）公司商业秘密1.公司的商业模式、业务战略、市场拓展计划等未公开的经营信息。2.公司与客户、供应商签订的合同条款、合作协议等涉及商业利益的文件。3.公司产品研发计划、技术方案、工艺流程等技术秘密。（二）财务信息1.公司财务报表、财务数据、预算执行情况等财务资料。2.财务审计工作底稿、审计调整事项、审计发现的问题及整改情况等内部审计相关资料。（三）业务信息1.公司各部门业务流程、业务数据、客户信息、销售数据等业务运营资料。2.公司项目进展情况、项目文档、项目成果等项目相关信息。（四）其他敏感信息1.公司内部会议纪要、决策文件、领导批示等涉及公司重要决策和管理的信息。2.公司员工个人隐私信息，如薪酬、绩效考核结果等，但仅限于因审计工作必要接触且符合法律法规规定的情况。三、保密措施（一）人员管理1.入职审查：对新入职的审计人员进行严格的背景审查，确保其具备良好的职业道德和保密意识，签订保密协议后方可上岗。2.培训教育：定期组织审计人员参加保密培训，培训内容包括法律法规、保密制度、保密技能等，提高审计人员的保密意识和业务能力。3.监督考核：建立审计人员保密工作监督考核机制，将保密工作纳入绩效考核体系，对违反保密制度的人员进行严肃处理。（二）信息存储1.物理存储：审计工作涉及的纸质文件应存放在专门的文件柜中，文件柜应具备一定的防盗、防火、防潮功能，并设置专人负责管理。2.电子存储：电子数据应存储在公司指定的服务器或存储设备上，并进行加密处理。存储设备应定期备份，备份数据应异地存放，以防止数据丢失。3.访问控制：对存储信息的服务器和存储设备设置严格的访问权限，只有经过授权的人员才能访问相关信息。审计人员应使用公司统一分配的账号和密码登录系统，不得擅自将账号和密码告知他人。（三）信息传输1.内部传输：在公司内部传输审计信息时，应使用公司指定的内部通讯工具，如电子邮件、即时通讯软件等，并确保信息传输的安全性。对于敏感信息，应进行加密传输。2.外部传输：如需向外部机构或人员传输审计信息，应提前评估信息的敏感性和安全性，采取必要的加密措施，并签订保密协议。在传输过程中，应跟踪信息传输状态，确保信息准确无误地送达接收方。（四）信息使用1.授权使用：审计人员在使用公司机密信息时，必须获得相应的授权。未经授权，不得擅自使用、复制、传播公司机密信息。2.使用记录：对审计信息的使用情况进行详细记录，包括使用时间、使用人员、使用目的、信息内容等，以便于追溯和监督。3.信息共享：如需与其他部门或人员共享审计信息，应严格按照公司规定的流程进行审批，并明确共享范围和共享期限。在共享信息时应告知接收方保密义务。（五）信息销毁1.定期清理：定期对审计工作中产生的纸质文件和电子数据进行清理，对于已过保存期限或不再需要的信息，应及时进行销毁。2.销毁方式：纸质文件应采用粉碎、焚烧等方式进行销毁；电子数据应采用格式化、删除等方式进行销毁，并确保数据无法恢复。销毁过程应进行记录，包括销毁时间、销毁人员、销毁方式等。四、保密协议（一）与内部人员签订保密协议1.公司与所有参与审计工作的人员签订保密协议，明确保密义务、违约责任等内容。保密协议应作为劳动合同的附件，具有同等法律效力。2.保密协议应涵盖本制度规定的保密内容，包括但不限于公司商业秘密、财务信息、业务信息等，并要求员工在离职后一定期限内继续履行保密义务。（二）与外部合作机构签订保密协议1.在与外部合作机构开展审计业务合作前，应与其签订保密协议，明确双方的保密责任和义务。保密协议应根据合作内容和涉及信息的敏感程度，合理确定保密范围、保密期限、违约责任等条款。2.要求外部合作机构指定专人负责保密工作，并对其工作人员进行保密培训和管理。公司有权对外部合作机构的保密工作进行监督检查，如发现违反保密协议的行为，有权追究其法律责任。五、监督与检查（一）内部监督1.审计部门应定期对本部门的保密工作进行自查，检查内容包括保密制度的执行情况、信息存储和传输的安全性、人员保密意识等方面。对自查中发现的问题及时进行整改，并形成自查报告。2.公司内部审计机构应定期对各部门的保密工作进行审计监督，检查各部门是否遵守公司保密制度，是否存在信息泄露风险等。对审计发现的问题提出整改意见，并跟踪整改落实情况。（二）外部检查1.关注国家法律法规和行业监管要求的变化，及时调整公司保密工作制度和措施，确保公司审计保密工作符合外部监管要求。2.积极配合国家有关部门、行业协会等开展的保密检查工作，如实提供相关资料和信息，对检查中发现的问题及时进行整改，避免因违反外部监管要求而给公司带来损失。六、违规处理（一）违规行为界定1.未经授权擅自披露公司机密信息。2.故意或过失泄露公司机密信息，导致信息被他人获取或使用。3.违反信息存储、传输、使用、销毁等环节的保密规定，造成信息安全事故。4.未履行保密协议约定的保密义务，给公司造成损失。（二）处理措施1.对于违反保密制度的行为，一经查实，公司将视情节轻重给予相应的纪律处分，包括警告、记过、记大过、降职、撤职、开除等。2.如因违反保密制度给公司造成经济损失的，公司将依法要求其赔偿经济损失。