應(yīng)用系統(tǒng)審計管理辦法一、總則（一）目的為加強公司應(yīng)用系統(tǒng)的審計管理，規(guī)范審計行為，確保應(yīng)用系統(tǒng)的安全、穩(wěn)定、高效運行，保障公司信息資產(chǎn)的安全與完整，依據(jù)國家相關(guān)法律法規(guī)及行業(yè)標準，結(jié)合公司實際情況，制定本辦法。（二）適用范圍本辦法適用于公司內(nèi)所有應(yīng)用系統(tǒng)的審計管理活動，包括但不限于業(yè)務(wù)系統(tǒng)、辦公自動化系統(tǒng)、財務(wù)系統(tǒng)、人力資源系統(tǒng)等。（三）基本原則1.獨立性原則：審計部門應(yīng)獨立于被審計的應(yīng)用系統(tǒng)相關(guān)部門，確保審計工作的客觀性和公正性。2.全面性原則：涵蓋應(yīng)用系統(tǒng)的規(guī)劃、開發(fā)、實施、運行、維護等全生命周期的審計。3.風險導(dǎo)向原則：以識別、評估和應(yīng)對應(yīng)用系統(tǒng)風險為導(dǎo)向，合理配置審計資源，提高審計效率和效果。4.合規(guī)性原則：審計工作應(yīng)嚴格遵循國家法律法規(guī)、行業(yè)標準以及公司內(nèi)部的各項規(guī)章制度。二、審計機構(gòu)與人員（一）審計機構(gòu)設(shè)置公司設(shè)立獨立的審計部門，負責應(yīng)用系統(tǒng)審計工作的組織、實施和管理。審計部門應(yīng)配備足夠數(shù)量的專業(yè)審計人員，確保審計工作的順利開展。（二）審計人員職責1.審計負責人職責負責制定應(yīng)用系統(tǒng)審計工作計劃和方案，組織實施審計項目。對審計工作質(zhì)量進行監(jiān)督和控制，審核審計報告。協(xié)調(diào)與其他部門的關(guān)系，保障審計工作的順利進行。定期向上級領(lǐng)導(dǎo)匯報應(yīng)用系統(tǒng)審計工作情況。2.審計人員職責按照審計計劃和方案，開展具體的審計工作，收集審計證據(jù)。對審計發(fā)現(xiàn)的問題進行分析和評估，提出審計建議。編制審計工作底稿，撰寫審計報告。跟蹤審計建議的落實情況，對整改效果進行評價。（三）審計人員資質(zhì)要求1.具備相關(guān)專業(yè)知識，如計算機科學(xué)、信息系統(tǒng)管理、審計學(xué)等。2.熟悉國家法律法規(guī)、行業(yè)標準以及公司內(nèi)部規(guī)章制度。3.具備良好的溝通能力、分析能力和團隊協(xié)作能力。4.取得相應(yīng)的職業(yè)資格證書，如注冊信息系統(tǒng)審計師（CISA）等。三、審計內(nèi)容與方法（一）審計內(nèi)容1.應(yīng)用系統(tǒng)規(guī)劃審計審查應(yīng)用系統(tǒng)規(guī)劃是否符合公司戰(zhàn)略目標和業(yè)務(wù)需求。評估規(guī)劃的合理性、可行性和完整性，包括系統(tǒng)功能、性能、安全等方面的規(guī)劃。2.應(yīng)用系統(tǒng)開發(fā)審計審查開發(fā)過程是否遵循軟件開發(fā)規(guī)范和項目管理流程。檢查需求分析、設(shè)計、編碼、測試等階段的工作質(zhì)量，確保系統(tǒng)功能符合需求。評估開發(fā)過程中的安全控制措施，如代碼審查、安全測試等。3.應(yīng)用系統(tǒng)實施審計審查系統(tǒng)實施計劃的執(zhí)行情況，包括硬件采購、軟件安裝、數(shù)據(jù)遷移等。檢查系統(tǒng)上線前的測試、驗收工作是否充分，是否存在遺留問題。評估實施過程中的風險控制措施，確保系統(tǒng)順利上線。4.應(yīng)用系統(tǒng)運行審計監(jiān)測應(yīng)用系統(tǒng)的運行狀態(tài)，包括系統(tǒng)性能、可用性、可靠性等指標。審查系統(tǒng)操作日志，檢查用戶操作的合規(guī)性和異常情況。評估系統(tǒng)運行環(huán)境的安全性，如網(wǎng)絡(luò)安全、數(shù)據(jù)備份與恢復(fù)等。5.應(yīng)用系統(tǒng)維護審計審查系統(tǒng)維護計劃的制定和執(zhí)行情況，確保系統(tǒng)及時得到維護和更新。檢查維護過程中的變更管理，包括變更申請、審批、測試等環(huán)節(jié)。評估維護工作對系統(tǒng)性能和安全的影響。（二）審計方法1.文檔審查：查閱應(yīng)用系統(tǒng)相關(guān)的文檔資料，如規(guī)劃文檔、需求規(guī)格說明書、設(shè)計文檔、測試報告、操作手冊等，了解系統(tǒng)的建設(shè)和運行情況。2.數(shù)據(jù)審計：對應(yīng)用系統(tǒng)中的數(shù)據(jù)進行抽樣檢查，驗證數(shù)據(jù)的準確性、完整性和一致性。3.系統(tǒng)測試：通過模擬用戶操作、輸入測試數(shù)據(jù)等方式，對應(yīng)用系統(tǒng)的功能、性能、安全等進行測試，發(fā)現(xiàn)潛在問題。4.現(xiàn)場觀察：到應(yīng)用系統(tǒng)運行現(xiàn)場進行實地觀察，了解系統(tǒng)的運行環(huán)境、操作流程等情況。5.人員訪談：與應(yīng)用系統(tǒng)相關(guān)的管理人員、開發(fā)人員、操作人員等進行訪談，獲取第一手信息，了解系統(tǒng)運行中存在的問題和改進建議。四、審計程序（一）審計計劃制定1.審計部門應(yīng)每年根據(jù)公司戰(zhàn)略目標、業(yè)務(wù)發(fā)展需求以及應(yīng)用系統(tǒng)的風險狀況，制定年度應(yīng)用系統(tǒng)審計計劃。2.審計計劃應(yīng)明確審計項目的名稱、目的、范圍、時間安排、審計人員組成等內(nèi)容。3.審計計劃需報公司管理層審批后實施。（二）審計準備1.根據(jù)審計計劃，成立審計項目組，明確項目組成員的職責分工。2.收集與審計項目相關(guān)的資料，包括應(yīng)用系統(tǒng)的文檔、數(shù)據(jù)、操作流程等。3.制定審計方案，明確審計的具體內(nèi)容、方法、步驟和時間安排。4.向被審計部門發(fā)送審計通知書，告知審計的目的、范圍、時間等事項。（三）審計實施1.審計人員按照審計方案開展審計工作，通過文檔審查、數(shù)據(jù)審計、系統(tǒng)測試、現(xiàn)場觀察、人員訪談等方法收集審計證據(jù)。2.審計人員應(yīng)編制審計工作底稿，詳細記錄審計過程和發(fā)現(xiàn)的問題。3.對審計發(fā)現(xiàn)的問題進行分析和討論，與被審計部門溝通確認，確保問題的準確性和客觀性。（四）審計報告1.審計項目結(jié)束后，審計人員應(yīng)撰寫審計報告。審計報告應(yīng)包括審計概況、審計發(fā)現(xiàn)的問題、審計建議、被審計部門的反饋意見等內(nèi)容。2.審計報告需經(jīng)審計負責人審核后，報公司管理層審批。3.審計報告應(yīng)及時送達被審計部門，并要求被審計部門在規(guī)定時間內(nèi)反饋整改情況。（五）審計跟蹤1.審計部門應(yīng)跟蹤審計建議的落實情況，定期檢查被審計部門的整改工作進展。2.被審計部門應(yīng)按照審計報告的要求，制定整改計劃，明確整改措施、責任人和整改期限，并及時向?qū)徲嫴块T報送整改情況報告。3.審計部門應(yīng)對整改效果進行評價，如整改措施是否有效、問題是否得到解決等。對于整改不力的部門，應(yīng)督促其繼續(xù)整改，并視情況采取進一步的措施。五、審計結(jié)果應(yīng)用（一）作為績效考核的依據(jù)將應(yīng)用系統(tǒng)審計結(jié)果納入相關(guān)部門和人員的績效考核體系，對審計工作表現(xiàn)優(yōu)秀的部門和個人給予獎勵，對存在問題較多的部門和個人進行相應(yīng)的處罰。（二）促進應(yīng)用系統(tǒng)改進根據(jù)審計發(fā)現(xiàn)的問題和建議，督促相關(guān)部門對應(yīng)用系統(tǒng)進行優(yōu)化和改進，提高系統(tǒng)的安全性、穩(wěn)定性和運行效率。（三）為決策提供支持審計結(jié)果可為公司管理層在應(yīng)用系統(tǒng)規(guī)劃、建設(shè)、管理等方面的決策提供參考依據(jù)，幫助管理層更好地把握應(yīng)用系統(tǒng)的運行狀況和風險。六、信息安全與保密（一）信息安全1.審計人員在審計過程中應(yīng)嚴格遵守信息安全規(guī)定，采取必要的安全措施，保護被審計系統(tǒng)和數(shù)據(jù)的安全。2.審計人員不得利用審計工作之便，獲取或泄露被審計部門的敏感信息。（二）保密1.審計人員應(yīng)對審計工作中涉及的公司機密信息嚴格保密，不得向無關(guān)人員透露。2.審計工作底稿、審計報告等資料應(yīng)妥善保管，防止丟失和泄露。七、附則（