IT內(nèi)控體系審核與評審管理規(guī)定

IT內(nèi)控體系審核與評審管理規(guī)定文件編號：編寫部門：一…科技部………版次/修訂：…A/4 生效日期：TOC\o"1-5"\h\z.目的3.適用范圍3.職責(zé)與權(quán)限33.1.科技部33.2.總經(jīng)理33.3.其他管理人員33.4.內(nèi)審組長33.5.內(nèi)審員36.受審核部門34.管理內(nèi)容31.IT內(nèi)部審核32.IT管理評審63.本規(guī)定解釋權(quán)85.相關(guān)表格81.年度IT內(nèi)部審核計劃85.2.IT內(nèi)部審核實(shí)施計劃85.3.IT內(nèi)審檢查表85.4.IT管理評審報告8IT內(nèi)控體系審核與評審管理規(guī)定.目的為加強(qiáng)公司IT系統(tǒng)的內(nèi)部控制與管理，有效監(jiān)控IT相關(guān)的管理制度、辦法、規(guī)定、標(biāo)準(zhǔn)、技術(shù)規(guī)范等的執(zhí)行情況，實(shí)現(xiàn)IT內(nèi)部控制的合規(guī)性，保證IT內(nèi)控管理體系的適宜性和持續(xù)有效，營造穩(wěn)定、健康、有序的IT管理環(huán)境，特制定本規(guī)定。.適用范圍本規(guī)定適用于公司范圍內(nèi)與IT相關(guān)的內(nèi)部審核與管理評審，主要針對公司層面IT系統(tǒng)有關(guān)的科技部和系統(tǒng)部的業(yè)務(wù)與管理。.職責(zé)與權(quán)限3.1.科技部負(fù)責(zé)組織根據(jù)本規(guī)定對IT相關(guān)規(guī)章制度及其執(zhí)行情況及IT項(xiàng)目的建設(shè)情況進(jìn)行監(jiān)督、監(jiān)控、審核與評價。2.總經(jīng)理領(lǐng)導(dǎo)負(fù)責(zé)組織管理評審，并主持管理評審會議。其他管理人員，包括相關(guān)部門IT系統(tǒng)負(fù)責(zé)人參加管理評審，并按職責(zé)范圍提供內(nèi)控體系運(yùn)行情況的信息和資料，形成書面材料向總經(jīng)理辦公會匯報。內(nèi)審組長負(fù)責(zé)具體組織實(shí)施內(nèi)審工作。5.內(nèi)審員負(fù)責(zé)協(xié)助內(nèi)審組長完成內(nèi)審工作。受審核部門負(fù)責(zé)協(xié)助并積極配合內(nèi)審工作。4.管理內(nèi)容1.IT內(nèi)部審核1.1.1.年度審核計劃編制4.1.1.2.每年第一季度，科技部經(jīng)理組織人員完成《年度IT內(nèi)部審核計劃》的編制，并提交主管科技總經(jīng)理助理和總經(jīng)理批準(zhǔn)。4.1.1.3.《年度IT內(nèi)部審核計劃》要保證全年完成涉及IT體系中的全部要素和全部活動以及所有場所與部門?！赌甓菼T內(nèi)部審核計劃》的內(nèi)容應(yīng)包括：(1)審核的要素；(2)受審核的部門；(3)審核的時間安排；(4)編制、審核、批準(zhǔn)人簽字等。1.1.4.在下列情況下，可追加審核或增加審核頻次：IT系統(tǒng)有關(guān)的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)、人員、產(chǎn)品與服務(wù)等發(fā)生重大變化時；IT系統(tǒng)發(fā)生了嚴(yán)重的質(zhì)量問題或因質(zhì)量問題引起顧客重大投訴時。4.1.1.5.審核的策劃和準(zhǔn)備4.1.1.6.指定內(nèi)審組長并組成內(nèi)審組(1)每次審核前由總經(jīng)理指定內(nèi)審組長和內(nèi)審員，組成內(nèi)審組；(2)內(nèi)審組成員在業(yè)務(wù)水平和管理經(jīng)驗(yàn)等資格方面應(yīng)符合內(nèi)審要求，應(yīng)經(jīng)過相應(yīng)的培訓(xùn)，熟悉IT內(nèi)控體系文件，辦事公道，并得到被審核部門的認(rèn)可；(3)只要人力資源允許，內(nèi)審組成員應(yīng)與被審核的部門無直接責(zé)任，獨(dú)立于被審核工作。4.1.1.7.制訂《IT內(nèi)部審核實(shí)施計劃》(1)內(nèi)審組長負(fù)責(zé)制訂審核實(shí)施計劃，內(nèi)容包括：審核目的、范圍、依據(jù)；審核的日程安排；內(nèi)審小組的組成和分工；受審核部門相關(guān)的過程、活動及對應(yīng)的管理制度條款和體系要求；其他需明確的事項(xiàng)和要求等。(2)內(nèi)審組應(yīng)提前三個工作日將計劃發(fā)放到有關(guān)部門，以便確認(rèn)計劃安排。4.1.1.8.內(nèi)審員應(yīng)根據(jù)任務(wù)分工編寫《IT內(nèi)審檢查表》。4.1.1.9.審核實(shí)施4.1.1.10.首次會議首次會議由內(nèi)審組長主持，受審核部門負(fù)責(zé)人和審核組成員參加。會議內(nèi)容包括：明確審核的目的與范圍、依據(jù)、要求和方法，介紹審核計劃，解決計劃中不明確的細(xì)節(jié)，建立聯(lián)系渠道，落實(shí)具體安排，確定末次會議時間等；首次會議要簽到。4.1.1.11.現(xiàn)場審核內(nèi)審員按審核計劃和檢查表實(shí)施審核。通過交談、詢問、文件查閱、現(xiàn)場檢查（即問、聽、看、查）等方法收集客觀證據(jù)并記錄，應(yīng)使用正確的工作方法和審核技巧。4.1.1.12.確定不合格項(xiàng)內(nèi)審組評審檢查結(jié)果，確定不合格項(xiàng)。按不合格性質(zhì)分為：體系性不合格、實(shí)施性不合格、效果性不合格；按嚴(yán)重程度分為：輕微不合格和嚴(yán)重不合格。4.1.1.13.開具《IT內(nèi)審不合格報告》。確定不合格項(xiàng)后，內(nèi)審員填寫不合格報告單。不合格報告單的內(nèi)容包括：審核員、審核時間、受審核部門及負(fù)責(zé)人、不合格事實(shí)描述、不合格類型、不符合條款等。不合格事實(shí)描述要具體，并經(jīng)受審核方確認(rèn)。4.1,1.14. 末次會議由內(nèi)審組長主持，受審核部門負(fù)責(zé)人和審核組成員參加。會議內(nèi)容包括：重申審核目的、范圍和依據(jù)，說明審核過程，宣讀不合格報告，評價審核結(jié)果、提出糾正措施要求等；末次會議要簽到。4.1.1.15.編寫審核報告內(nèi)審組長負(fù)責(zé)編寫《IT內(nèi)審報告》，經(jīng)總經(jīng)理批準(zhǔn)后發(fā)放到有關(guān)部門。審核報告的內(nèi)容應(yīng)包括：(1)審核目的、范圍和依據(jù)；(2)審核計劃完成情況及不合格項(xiàng)的匯總分析；(3)體系運(yùn)行結(jié)果的評價；(4)審核結(jié)論；(5)審核報告的分發(fā)范圍等。4.1.1.16. 糾正的實(shí)施與跟蹤驗(yàn)證責(zé)任部門應(yīng)根據(jù)不合格項(xiàng)報告，認(rèn)真分析產(chǎn)生問題的原因，并針對原因制定和實(shí)施糾正措施。內(nèi)審組負(fù)責(zé)糾正措施的跟蹤與驗(yàn)證，必要時進(jìn)行現(xiàn)場確認(rèn)。4.1.1.17.內(nèi)審結(jié)果匯總分析內(nèi)審組長負(fù)責(zé)將IT內(nèi)審結(jié)果歸納總結(jié)并予以分析，形成體系運(yùn)行報告，作為管理評審的輸入。報告內(nèi)容包括：審核計劃完成情況，不合格項(xiàng)匯總分析、糾正措施的跟蹤驗(yàn)證情況及對體系評價、薄弱環(huán)節(jié)分析和體系改進(jìn)建議等。4.2.IT管理評審4.2.1.1.管理評審計劃4.2.1.2.主管科技總經(jīng)理助理負(fù)責(zé)主持IT管理評審并組織編制管理評審計劃，內(nèi)容包括：評審目的、評審內(nèi)容、被評審部門及參加人員、管理評審的時間和評審計劃的發(fā)放范圍等。4.2.1.3.管理評審每年至少進(jìn)行一次，一般安排在內(nèi)部審核后進(jìn)行。4.2.1.4.當(dāng)連續(xù)出現(xiàn)IT方面重大事故或顧客投訴時以及公司領(lǐng)導(dǎo)層認(rèn)為需要時，可增加管理評審的頻次。4.2.1.5.管理評審參加的人員(1)科技經(jīng)理、副經(jīng)理、系統(tǒng)部經(jīng)理、副經(jīng)理；(2)各相關(guān)部門負(fù)責(zé)人及分公司分管IT業(yè)務(wù)的領(lǐng)導(dǎo)；(3)內(nèi)審員；(4)必要時可請公司分管領(lǐng)導(dǎo)參加。4.2.1.6.管理評審的輸入(1)內(nèi)部審核的結(jié)果；(2)IT目標(biāo)的執(zhí)行情況及總體有效性；(3)改進(jìn)的建議；(4)有關(guān)部門反饋的信息；(5)連續(xù)出現(xiàn)的重大事故報告；(6)糾正和預(yù)防措施的實(shí)施情況及效果；(7)可能影響IT體系的變動；(8)IT相關(guān)各部門的工作業(yè)績和服務(wù)的質(zhì)量現(xiàn)狀；(9)上次IT管理評審的改進(jìn)措施等。4.2.1.7.評審準(zhǔn)備科技部應(yīng)提前三個工作日通知所有參加管理評審的人員。各相關(guān)部門準(zhǔn)備與本部門有關(guān)的評審資料。4.2.1.8.管理評審的實(shí)施管理評審會議由科技部領(lǐng)導(dǎo)主持。以會議形式對評審輸入中的各項(xiàng)內(nèi)容進(jìn)行評審。分析IT體系的適宜性、充分性和有效性，做出是否需要改進(jìn)和完善的決議。4.2.1.9.管理評審的輸出IT內(nèi)控體系及其過程有效性的改進(jìn)信息。4.2.1.10.編寫《IT管理評審報告》科技部安排人員負(fù)責(zé)編寫“IT管理評審報告〃，經(jīng)科技部領(lǐng)導(dǎo)批準(zhǔn)后,發(fā)送各有關(guān)部門，相關(guān)記錄做好保存?！禝T管理評審報告》的內(nèi)容至少應(yīng)包括：(1)評審的目的；(2)評審內(nèi)容；(3)評審日期及參加人員；(4)評審活動的評價與結(jié)論；(5)采取相關(guān)的