系統(tǒng)審計管理暫行辦法一、總則（一）目的為加強公司系統(tǒng)審計管理，規(guī)范審計工作流程，提高審計工作質(zhì)量，保障公司信息系統(tǒng)安全、穩(wěn)定、高效運行，依據(jù)國家相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，結(jié)合公司實際情況，制定本辦法。（二）適用范圍本辦法適用于公司內(nèi)所有信息系統(tǒng)及相關(guān)業(yè)務(wù)流程的審計活動，包括但不限于信息系統(tǒng)的規(guī)劃、建設(shè)、運行、維護等環(huán)節(jié)。（三）基本原則1.獨立性原則：審計機構(gòu)和審計人員應(yīng)獨立于被審計對象，不受其他部門或個人的干涉，以確保審計結(jié)果的客觀、公正。2.客觀性原則：審計工作應(yīng)基于客觀事實，以證據(jù)為依據(jù)，如實反映被審計對象的情況，不得主觀臆斷或歪曲事實。3.全面性原則：審計涵蓋公司信息系統(tǒng)的各個方面，包括硬件設(shè)施、軟件系統(tǒng)、數(shù)據(jù)安全、人員操作等，確保不留審計死角。4.及時性原則：審計工作應(yīng)及時開展，對發(fā)現(xiàn)的問題及時進行反饋和處理，避免問題擴大化，影響公司正常運營。二、審計機構(gòu)與人員（一）審計機構(gòu)設(shè)置公司設(shè)立獨立的審計部門，負責(zé)統(tǒng)籌管理公司系統(tǒng)審計工作。審計部門直接向公司管理層匯報工作，確保審計工作的獨立性和權(quán)威性。（二）人員配備審計部門配備專業(yè)的審計人員，包括具有信息系統(tǒng)審計經(jīng)驗的注冊會計師、注冊信息系統(tǒng)審計師（CISA）等。審計人員應(yīng)具備良好的職業(yè)道德、專業(yè)知識和技能，熟悉國家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及公司的各項規(guī)章制度。（三）職責(zé)分工1.審計部門負責(zé)人負責(zé)制定和完善系統(tǒng)審計管理制度、流程和計劃。組織實施公司系統(tǒng)審計工作，協(xié)調(diào)解決審計過程中出現(xiàn)的問題。向公司管理層匯報審計工作進展情況和審計結(jié)果，提出改進建議和措施。2.審計人員按照審計計劃和工作安排，具體實施系統(tǒng)審計工作，收集審計證據(jù)，編制審計工作底稿。對審計發(fā)現(xiàn)的問題進行分析和評估，提出審計意見和建議。跟蹤審計意見和建議的落實情況，確保問題得到有效解決。三、審計內(nèi)容與方法（一）審計內(nèi)容1.信息系統(tǒng)規(guī)劃審計審查信息系統(tǒng)規(guī)劃是否符合公司戰(zhàn)略目標(biāo)和業(yè)務(wù)需求，是否與公司整體信息化建設(shè)規(guī)劃相協(xié)調(diào)。評估信息系統(tǒng)規(guī)劃的合理性和可行性，包括技術(shù)選型、資源配置、項目進度安排等。2.信息系統(tǒng)建設(shè)審計檢查信息系統(tǒng)建設(shè)項目的立項審批、招投標(biāo)、合同簽訂等環(huán)節(jié)是否合規(guī)。審查項目建設(shè)過程中的質(zhì)量控制、進度管理、成本核算等情況，確保項目按照計劃順利實施。對信息系統(tǒng)建設(shè)項目的驗收情況進行審計，檢查是否達到預(yù)期目標(biāo)，是否存在遺留問題。3.信息系統(tǒng)運行審計評估信息系統(tǒng)的運行效率和穩(wěn)定性，包括系統(tǒng)響應(yīng)時間、吞吐量、可用性等指標(biāo)。審查信息系統(tǒng)的安全防護措施，如網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶認證等，確保系統(tǒng)數(shù)據(jù)的保密性、完整性和可用性。檢查信息系統(tǒng)的操作流程和管理制度是否健全，操作人員是否嚴(yán)格按照規(guī)定進行操作。4.信息系統(tǒng)維護審計審查信息系統(tǒng)維護計劃的制定和執(zhí)行情況，確保系統(tǒng)得到及時、有效的維護。檢查系統(tǒng)維護過程中的變更管理，包括變更申請、審批、測試、實施等環(huán)節(jié)是否規(guī)范，是否對系統(tǒng)運行產(chǎn)生影響。評估信息系統(tǒng)維護費用的合理性和使用情況，防止費用浪費和濫用。（二）審計方法1.文檔審查：查閱與信息系統(tǒng)相關(guān)的文件、資料、合同、報告等，了解系統(tǒng)的建設(shè)、運行、維護等情況。2.數(shù)據(jù)審計：對信息系統(tǒng)中的數(shù)據(jù)進行抽取、分析和比對，檢查數(shù)據(jù)的準(zhǔn)確性、完整性和一致性。3.系統(tǒng)測試：通過模擬操作、功能測試、性能測試等方式，對信息系統(tǒng)的功能和性能進行驗證，發(fā)現(xiàn)潛在問題。4.現(xiàn)場觀察：到信息系統(tǒng)運行現(xiàn)場進行實地觀察，了解系統(tǒng)的實際運行情況和人員操作情況。5.人員訪談：與信息系統(tǒng)相關(guān)的管理人員、技術(shù)人員、操作人員等進行訪談，獲取第一手信息，了解系統(tǒng)運行過程中的問題和需求。四、審計流程（一）審計計劃制定1.審計部門應(yīng)根據(jù)公司年度工作計劃、信息系統(tǒng)建設(shè)與運行情況以及風(fēng)險評估結(jié)果，制定年度系統(tǒng)審計計劃。2.年度審計計劃應(yīng)明確審計項目的名稱、目標(biāo)、范圍、時間安排、審計人員等內(nèi)容，并報公司管理層審批。3.在審計項目實施前，審計人員應(yīng)根據(jù)審計計劃制定具體的審計方案，明確審計步驟、方法、時間要求等，確保審計工作有序進行。（二）審計準(zhǔn)備1.審計人員應(yīng)提前向被審計對象發(fā)送審計通知書，告知審計的目的、范圍、時間安排等事項，要求被審計對象做好相關(guān)準(zhǔn)備工作。2.審計人員收集與審計項目相關(guān)的資料，包括系統(tǒng)文檔、數(shù)據(jù)文件、操作記錄等，熟悉被審計對象的業(yè)務(wù)流程和信息系統(tǒng)情況。3.組建審計小組，明確小組成員的職責(zé)分工，進行必要的培訓(xùn)和溝通，確保審計人員對審計任務(wù)和要求有清晰的理解。（三）審計實施1.審計人員按照審計方案開展審計工作，通過文檔審查、數(shù)據(jù)審計、系統(tǒng)測試、現(xiàn)場觀察、人員訪談等方法，收集審計證據(jù)。2.審計人員應(yīng)認真記錄審計過程和發(fā)現(xiàn)的問題，編制審計工作底稿，確保審計證據(jù)充分、可靠，審計記錄真實、完整。3.在審計過程中，審計人員應(yīng)與被審計對象保持溝通，及時了解情況，核實問題，確保審計工作順利進行。如發(fā)現(xiàn)重大問題或異常情況，應(yīng)及時向?qū)徲嫴块T負責(zé)人匯報。（四）審計報告1.審計工作結(jié)束后，審計人員應(yīng)根據(jù)審計工作底稿和審計證據(jù)，撰寫審計報告。審計報告應(yīng)包括審計概況、審計發(fā)現(xiàn)的問題、審計意見和建議等內(nèi)容。2.審計報告應(yīng)經(jīng)審計部門負責(zé)人審核后，提交給公司管理層。審計報告應(yīng)客觀、公正地反映審計結(jié)果，語言簡潔明了，邏輯嚴(yán)謹(jǐn)，便于管理層理解和決策。3.公司管理層應(yīng)認真研究審計報告，對審計發(fā)現(xiàn)的問題提出處理意見和整改要求，并責(zé)成相關(guān)部門限期整改。（五）審計跟蹤1.審計部門負責(zé)跟蹤審計意見和建議的落實情況，檢查相關(guān)部門是否按照要求進行整改。2.被審計對象應(yīng)定期向?qū)徲嫴块T提交整改報告，說明整改措施、整改結(jié)果以及整改過程中遇到的問題和困難。3.審計部門對整改情況進行檢查和評估，如發(fā)現(xiàn)整改不到位或未按要求整改的情況，應(yīng)及時督促相關(guān)部門繼續(xù)整改，并向公司管理層匯報。五、審計結(jié)果運用（一）作為績效考核依據(jù)將信息系統(tǒng)審計結(jié)果納入相關(guān)部門和人員的績效考核體系，對審計工作表現(xiàn)優(yōu)秀的部門和個人給予獎勵，對審計發(fā)現(xiàn)問題較多、整改不力的部門和個人進行相應(yīng)的處罰。（二）促進內(nèi)部控制完善根據(jù)審計結(jié)果，分析公司信息系統(tǒng)內(nèi)部控制存在的薄弱環(huán)節(jié)，提出改進建議和措施，推動公司完善內(nèi)部控制制度，加強風(fēng)險管理。（三）為決策提供參考審計結(jié)果可為公司管理層在信息系統(tǒng)建設(shè)、運行、維護等方面的決策提供參考依據(jù)，幫助管理層做出更加科學(xué)、合理的決策。六、審計質(zhì)量控制（一）建立質(zhì)量控制制度審計部門應(yīng)建立健全系統(tǒng)審計質(zhì)量控制制度，明確質(zhì)量控制的目標(biāo)、原則、流程和方法，確保審計工作符合相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和公司內(nèi)部要求。（二）加強審計過程管理1.審計人員應(yīng)嚴(yán)格按照審計方案和審計程序開展工作，確保審計工作的規(guī)范性和一致性。2.審計部門負責(zé)人應(yīng)加強對審計工作的指導(dǎo)和監(jiān)督，定期檢查審計工作底稿和審計報告，及時發(fā)現(xiàn)和糾正存在的問題。3.對審計項目進行質(zhì)量復(fù)核，由經(jīng)驗豐富的審計人員對審計工作底稿、審計報告等進行審核，確保審計質(zhì)量。（三）強化審計人員培訓(xùn)定期組織審計人員參加業(yè)務(wù)培訓(xùn)和學(xué)習(xí)交流活動，不斷提高審計人員的專業(yè)素質(zhì)和業(yè)務(wù)能力，使其熟悉最新的法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和審計技術(shù)方法。（四）接受外部監(jiān)督積極接受外部審計機構(gòu)的監(jiān)督和檢查，借鑒外部先進經(jīng)驗，不斷完善公司系統(tǒng)審計工作。同時，配合監(jiān)管部門的工作，及時提供相關(guān)資料和信息。七、保密與回避（一）保密1.審計人員應(yīng)嚴(yán)格遵守公司的保密制度，對在審計過程中知悉的公司商業(yè)秘密、技術(shù)秘密、業(yè)務(wù)數(shù)據(jù)等予以保密，不得泄露給任何無關(guān)人員。2.審計工作底稿、審計報告等審計資料應(yīng)妥善保管，防止丟失、損壞或泄露。審計工作結(jié)束后，按照公司規(guī)定進行歸檔