IT内控体系审核与评审管理规定.docx

《IT内控体系审核与评审管理规定.docx》由会员分享，可在线阅读，更多相关《IT内控体系审核与评审管理规定.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IT内控体系审核与评审管理规定文件编号：编写部门：一科技部版次/修订：A/4生效日期：1 .目的32 .适用范围33 .职责与权限33. 1.科技部33. 2.总经理33. 3.其他管理人员33. 4.内审组长33. 5.内审员33. 6.受审核部门34.管理内容34. 1. IT内部审核34. 2. IT管理评审64. 3.本规定解释权85.相关表格85. 1.年度IT内部审核计划85.2. IT内部审核实施计划85. 3. IT内审检查表85.4. IT管理评审报告8IT内控体系审核与评审管理规定1 .目的为加强公司IT系统的内部控制与管理，有效监控IT相关的管理制度、 办法、规定、标准、

2、技术规范等的执行情况，实现IT内部控制的合规性， 保证IT内控管理体系的适宜性和持续有效，营造稳定、健康、有序的IT 管理环境，特制定本规定。2 .适用范围本规定适用于公司范围内与IT相关的内部审核与管理评审，主要针 对公司层面IT系统有关的科技部和系统部的业务与管理。3 .职责与权限3. 1.科技部负责组织根据本规定对IT相关规章制度及其执行情况及IT 项目的建设情况进行监督、监控、审核与评价。3. 2.总经理领导负责组织管理评审，并主持管理评审会议。3.3. 其他管理人员，包括相关部门IT系统负责人参加管理评审，并按 职责范围提供内控体系运行情况的信息和资料，形成书面材料向总经理办 公会汇

3、报。3.4. 内审组长负责具体组织实施内审工作。3. 5.内审员负责协助内审组长完成内审工作。3.6. 受审核部门负责协助并积极配合内审工作。4.管理内容4. 1. IT内部审核4. 1. 1. 1.年度审核计划编制4.1.1. 2.每年第一季度，科技部经理组织人员完成年度IT内部审核计 划的编制，并提交主管科技总经理助理和总经理批准。4. 1. 1.3.年度IT内部审核计划要保证全年完成涉及IT体系中的全 部要素和全部活动以及所有场所与部门。年度IT内部审核计划的内容 应包括：(1)审核的要素；(2)受审核的部门；(3)审核的时间安排；(4)编制、审核、批准人签字等。4. 1.1.4.在下列

4、情况下，可追加审核或增加审核频次：(1) IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变 化时；(2) IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。4. 1. 1.5.审核的策划和准备4. 1. 1. 6.指定内审组长并组成内审组(1)每次审核前由总经理指定内审组长和内审员，组成内审组；(2)内审组成员在业务水平和管理经验等资格方面应符合内审要求，应 经过相应的培训，熟悉IT内控体系文件，办事公道，并得到被审核部门 的认可；(3)只要人力资源允许，内审组成员应与被审核的部门无直接责任，独 立于被审核工作。4. 1. 1. 7.制订IT内部审核实施计划(1)内审组长

5、负责制订审核实施计划，内容包括：审核目的、范围、依 据；审核的日程安排；内审小组的组成和分工；受审核部门相关的过程、 活动及对应的管理制度条款和体系要求；其他需明确的事项和要求等。(2)内审组应提前三个工作日将计划发放到有关部门，以便确认计划安 排。4. 1. 1.8.内审员应根据任务分工编写IT内审检查表。4. 1.1.9.审核实施4. 1. 1. 10. 首次会议首次会议由内审组长主持，受审核部门负责人和审核组成员参加。会议内容包括：明确审核的目的与范围、依据、要求和方法，介绍审 核计划，解决计划中不明确的细节，建立联系渠道，落实具体安排，确定 末次会议时间等；首次会议要签到。4. 1.

6、1. 11. 现场审核内审员按审核计划和检查表实施审核。通过交谈、询问、文件查阅、现场检查（即问、听、看、查）等方法收 集客观证据并记录，应使用正确的工作方法和审核技巧。4. 1. 1. 12. 确定不合格项内审组评审检查结果，确定不合格项。按不合格性质分为：体系性不 合格、实施性不合格、效果性不合格；按严重程度分为：轻微不合格和严 重不合格。4. 1. 1. 13. 开具IT内审不合格报告。确定不合格项后，内审员填写不合格报告单。不合格报告单的内容包 括：审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格 类型、不符合条款等。不合格事实描述要具体，并经受审核方确认。4. 1, 1.

7、 14.末次会议由内审组长主持，受审核部门负责人和审核组成员参加。会议内容包括：重申审核目的、范围和依据，说明审核过程，宣读不 合格报告，评价审核结果、提出纠正措施要求等；末次会议要签到。4. 1. 1. 15. 编写审核报告内审组长负责编写IT内审报告，经总经理批准后发放到有关部门。审核报告的内容应包括：(1)审核目的、范围和依据；(2)审核计划完成情况及不合格项的汇总分析；(3)体系运行结果的评价；(4)审核结论；(5)审核报告的分发范围等。4. 1. 1. 16.纠正的实施与跟踪验证责任部门应根据不合格项报告，认真分析产生问题的原因，并针对原 因制定和实施纠正措施。内审组负责纠正措施的跟

8、踪与验证，必要时进行现场确认。4. 1. 1. 17. 内审结果汇总分析内审组长负责将IT内审结果归纳总结并予以分析，形成体系运行报 告，作为管理评审的输入。报告内容包括：审核计划完成情况，不合格项汇总分析、纠正措施的 跟踪验证情况及对体系评价、薄弱环节分析和体系改进建议等。4. 2. IT管理评审4. 2. 1. 1.管理评审计划4. 2. 1. 2.主管科技总经理助理负责主持IT管理评审并组织编制管理评 审计划，内容包括：评审目的、评审内容、被评审部门及参加人员、管理 评审的时间和评审计划的发放范围等。4. 2. 1.3.管理评审每年至少进行一次，一般安排在内部审核后进行。4. 2.1.

9、4.当连续出现IT方面重大事故或顾客投诉时以及公司领导层认 为需要时，可增加管理评审的频次。4. 2. 1.5.管理评审参加的人员(1)科技经理、副经理、系统部经理、副经理；(2)各相关部门负责人及分公司分管IT业务的领导；(3)内审员；(4)必要时可请公司分管领导参加。4. 2. 1.6.管理评审的输入(1)内部审核的结果；(2) IT目标的执行情况及总体有效性；(3)改进的建议；(4)有关部门反馈的信息；(5)连续出现的重大事故报告；(6)纠正和预防措施的实施情况及效果；(7)可能影响IT体系的变动；(8) IT相关各部门的工作业绩和服务的质量现状；(9)上次IT管理评审的改进措施等。4.

10、 2. 1.7.评审准备科技部应提前三个工作日通知所有参加管理评审的人员。各相关部门准备与本部门有关的评审资料。4. 2. 1.8.管理评审的实施管理评审会议由科技部领导主持。以会议形式对评审输入中的各项内容进行评审。分析IT体系的适宜性、充分性和有效性，做出是否需要改进和完善 的决议。4.2. 1.9.管理评审的输出IT内控体系及其过程有效性的改进信息。4. 2. 1. 10. 编写IT管理评审报告科技部安排人员负责编写“IT管理评审报告，经科技部领导批准后, 发送各有关部门，相关记录做好保存。IT管理评审报告的内容至少应 包括：(1)评审的目的；(2)评审内容；(3)评审日期及参加人员；(4)评审活动的评价与结论；(5)采取相关的纠正和预防措施的要求；(6)评审报告的发放范围等。4. 2. 1. 11.纠正和预防措施各责任部门按IT管理评审提出的改进要求进行改进，科技部负责对 其执行情况及效果进行跟踪检查和验证。4.3. 本规定由科技部负责解释。5.相关表格5. 1.年度IT内部审核计划5.3. IT内部审核实施计划5. 3. IT内审检查表5. 4. IT管理评审报告