内部it审计管理制度

PAGE内部it审计管理制度一、总则（一）目的本制度旨在规范公司内部IT审计工作，确保公司信息系统的安全、稳定运行，保护公司资产安全，防范信息技术风险，促进公司内部控制的有效执行，保障公司战略目标的实现。（二）适用范围本制度适用于公司总部及各分支机构的所有信息系统、信息技术活动以及相关的业务流程和信息资产。（三）依据本制度依据国家相关法律法规、行业监管要求以及公司内部管理规定制定，同时参考了国际国内先进的IT审计标准和最佳实践。（四）基本原则1.独立性原则IT审计部门应独立于被审计对象，不受其他部门或业务活动的干扰，以确保审计工作的客观性和公正性。2.客观性原则审计人员应基于客观事实进行审计判断，收集、分析和评价审计证据，避免主观偏见。3.全面性原则涵盖公司信息系统的各个层面，包括信息系统规划、开发、运行、维护等生命周期阶段，以及相关的业务流程和信息资产。4.风险导向原则以识别、评估和应对信息技术风险为导向，重点关注对公司业务有重大影响的信息系统和关键流程。5.保密性原则审计人员应对审计过程中获取的公司机密信息予以严格保密，不得泄露给无关人员。二、组织与职责（一）审计委员会公司设立审计委员会，负责监督和指导内部IT审计工作。审计委员会由公司高级管理人员和独立董事组成，其主要职责包括：1.审议IT审计战略规划和年度审计计划。2.监督IT审计工作的开展情况，审查审计报告和审计发现的问题。3.协调解决IT审计工作中遇到的重大问题，确保审计工作的独立性和权威性。4.对IT审计部门的工作绩效进行评估和考核。（二）IT审计部门1.部门职责制定和完善内部IT审计制度、流程和规范。组织实施年度IT审计计划，对公司信息系统、信息技术活动以及相关业务流程进行审计。识别、评估和应对信息技术风险，提出改进建议和控制措施。协助公司其他部门开展与信息技术相关的内部控制评价和风险管理工作。跟踪审计发现问题的整改情况，确保整改措施有效执行。定期向上级管理层和审计委员会报告IT审计工作情况。2.人员配备IT审计部门应配备足够数量的专业审计人员，包括具有信息技术、财务、审计等相关专业背景的人员。审计人员应具备良好的职业道德、专业知识和技能，熟悉国家法律法规、行业监管要求以及公司内部管理规定。（三）被审计部门1.配合IT审计部门开展审计工作，提供必要的资料和信息。2.对审计发现的问题进行整改，制定并实施有效的整改措施。3.定期向IT审计部门反馈本部门信息技术活动的开展情况和内部控制执行情况。三、审计计划（一）计划制定1.IT审计部门应每年根据公司战略目标、信息技术发展规划、业务需求以及风险状况，制定年度IT审计计划。2.年度IT审计计划应明确审计目标、审计范围、审计内容、审计方法、审计时间安排以及审计人员分工等。3.在制定审计计划时，应充分考虑公司信息系统的重要性、复杂性以及风险程度，优先安排对关键信息系统和高风险领域的审计。（二）计划调整1.如遇公司战略调整、信息技术环境变化、业务流程优化等情况，需要对年度IT审计计划进行调整时，IT审计部门应及时提出调整建议，报审计委员会批准。2.调整后的审计计划应确保审计工作的连续性和有效性，避免出现审计空白或重复审计的情况。四、审计实施（一）审计准备1.审计项目负责人应根据审计计划，制定具体的审计实施方案，明确审计步骤、审计重点、审计方法以及审计人员的职责分工。2.审计人员应收集与审计项目相关的资料和信息，包括公司信息系统文档、业务流程资料、财务数据、内部控制制度等，了解被审计对象的基本情况和信息技术环境。3.审计人员应与被审计部门沟通，告知审计目的、审计范围、审计时间安排等事项，取得被审计部门的支持和配合。（二）审计执行1.审计人员应按照审计实施方案，运用适当的审计方法和工具，对被审计对象进行现场审计。审计方法包括但不限于文件审查、数据测试、系统测试、实地观察、访谈等。2.在审计过程中，审计人员应关注信息系统的安全性（如网络安全、数据安全、应用安全等）、可靠性（如系统可用性、数据完整性）、有效性（如业务流程的执行效率和效果）以及合规性（如是否符合法律法规、行业标准和公司内部规定）等方面的情况。3.审计人员应及时记录审计过程中发现的问题和证据，形成审计工作底稿。审计工作底稿应详细、准确、完整，能够支持审计结论和审计建议。（三）审计沟通1.在审计过程中，审计人员应与被审计部门保持密切沟通，及时反馈审计进展情况和发现的问题，听取被审计部门的意见和解释。2.对于审计发现的重大问题或敏感问题，审计人员应及时与被审计部门负责人进行沟通，共同探讨问题的性质、影响和整改措施。3.在审计结束后，审计人员应与被审计部门召开审计沟通会议，通报审计结果，听取被审计部门的反馈意见，并就审计发现的问题达成共识。（四）审计报告1.审计项目负责人应根据审计工作底稿和审计沟通情况，撰写审计报告。审计报告应包括审计概况、审计发现、审计结论和审计建议等内容。2.审计报告应客观、公正、准确地反映审计情况，审计发现的问题应明确具体，审计结论应基于充分的审计证据，审计建议应具有针对性和可操作性。3.审计报告初稿完成后，应征求被审计部门的意见。被审计部门应在规定的时间内反馈意见，审计人员应对反馈意见进行认真分析和研究，必要时进行补充审计或调整审计报告。4.经修改完善后的审计报告报IT审计部门负责人审核，审核通过后提交审计委员会审批。审计委员会应在规定的时间内对审计报告进行审批，并提出审批意见。5.审计报告经审计委员会批准后，应及时发送给被审计部门和相关管理层。被审计部门应根据审计报告提出的整改要求，制定整改计划，明确整改措施、责任人和整改期限，并将整改计划报IT审计部门备案。五、审计结果跟踪与评价（一）整改跟踪1.IT审计部门应建立审计结果跟踪机制，对被审计部门的整改情况进行跟踪检查。2.审计人员应定期与被审计部门沟通，了解整改计划的执行情况，督促整改措施的有效落实。3.对于整改不力或未按时完成整改的部门，IT审计部门应及时发出整改提醒函，要求其加快整改进度，并向审计委员会报告整改情况。（二）整改评价1.在整改期限结束后，IT审计部门应组织对被审计部门的整改情况进行评价。2.评价内容包括整改措施的执行情况、整改效果以及对相关内部控制制度的完善情况等。3.整改评价可通过复查审计工作底稿、实地检查、测试相关系统和业务流程等方式进行。4.根据整改评价结果，IT审计部门应撰写整改评价报告，总结整改工作的成效和存在问题，提出进一步改进的建议，并报审计委员会备案。（三）结果运用1.公司应将IT审计结果纳入对各部门的绩效考核体系，对审计发现问题较多、整改不力的部门进行相应的扣分或处罚。2.IT审计部门应定期对审计发现的问题进行分析和总结，形成审计案例库，为公司其他部门提供参考和借鉴，促进公司整体信息技术管理水平的提升。3.审计结果可作为公司完善内部控制制度、优化业务流程、加强信息系统建设等方面决策的重要依据。六、审计质量控制（一）质量控制体系1.IT审计部门应建立健全审计质量控制体系，明确质量控制目标、质量控制标准和质量控制流程。2.质量控制体系应涵盖审计计划制定、审计实施、审计报告撰写、审计结果跟踪与评价等审计工作全过程。（二）质量控制措施1.审计项目管理审计项目负责人应合理安排审计人员，明确各人员的职责分工，确保审计工作有序进行。定期对审计项目进展情况进行检查和监督，及时解决审计过程中遇到的问题。2.审计工作底稿审核审计工作底稿完成后，应由审计项目负责人以外的其他审计人员进行审核。审核人员应检查工作底稿的完整性、准确性和逻辑性，确保审计证据充分、审计结论合理。对于审核中发现存在问题的工作底稿，审核人员应提出修改意见，审计人员应及时进行修改和完善。3.审计报告审核审计报告初稿完成后，应按照规定的审核流程进行审核。审核人员应重点审核审计报告的内容是否完整、表述是否清晰、审计结论是否准确、审计建议是否可行等。对于审核中提出的修改意见，审计人员应认真对待，及时进行修改和完善，确保审计报告质量。4.内部培训与交流定期组织内部培训，提高审计人员的专业知识和技能水平，确保审计人员熟悉国家法律法规、行业监管要求以及公司内部管理规定。鼓励审计人员之间进行经验交流和案例分享，促进审计工作质量的提升。5.外部咨询与合作必要时，可聘请外部专家或专业机构提供咨询服务，借鉴外部先进的审计技术和经验，提高公司内部IT审计工作的质量和水平。与同行业其他公司的IT审计部门开展交流与合作，学习借鉴对方的优秀做法和经验。七、保密与回避（一）保密制度1.审计人员应对在审计过程中获取的公司机密信息予以严格保密，不得向无关人员泄露。2.审计工作底稿、审计报告等审计资料应妥善保管，防止丢失、泄露或被篡改。3.在审计工作结束后，审计人员应及时将审计资料归档，未经授权不得擅自查阅或使用。（二）回避制度1.审计人员在开展审计工作时，如与被审计对象存在利害关系或可能影响审计公正性的其他关系，应主动申请回避。2.利害关系包括但不限于：审计人员本人或其近亲属在被审计对象中担任职务、持有股份、存在经济利