IT内控体系内部审核与管理评审程序规定(试行)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

IT内控体系内部审核与管理评审程序规定

(试行)

1.目的和范围

为加强公司IT系统的内部控制与管理,有效监控IT相关的管理制度、办法、规定、标准、技术规范等的执行情况,实现IT内部控制的合规性,保证IT内控管理体系的适宜性和持续有效,营造稳定、健康、有序的IT管理环境,特制定本规定。

本规定适用于公司范围内与IT相关的内部审核与管理评审,主要针对公司层面IT系统有关的业务与管理。

2.相关部门

IT部、与IT业务相关的各部门。

3.职责与权限

3.1 IT部负责组织根据本规定对IT相关规章制度及其执行情况及IT项目的建设情况进行监督、监控、审核与评价。

3.2 IT部领导负责组织管理评审,并主持管理评审会议。

3.3 其他管理人员,包括相关部门IT系统负责人参加管理评审,并按职责范围提供内控体系运行情况的信息和资料,形成书面材料向管理评审会议汇报。

3.4 内审组长负责具体组织实施内审工作。

3.5 内审员负责协助内审组长完成内审工作。

3.6 受审核部门负责协助并积极配合内审工作。

4.管理内容与流程

4.1 IT内部审核

4.1.1 年度审核计划编制

4.1.1.1 每年第一季度,IT部组织人员完成《年度IT内部审核计划》的编制,并提交IT部领导批准。

4.1.1.2 “年度IT内部审核计划”要保证全年完成涉及IT体系中的全部要素和全部活动以及所有场所与部门。“年度IT内部审核计划”的内容应包括:

1)审核的要素;

2)受审核的部门;

3)审核的时间安排;

4)编制、审核、批准人签字等。

4.1.1.3 在下列情况下,可追加审核或增加审核频次:

1)IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变化时;

2)IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。

4.1.2 审核的策划和准备

4.1.2.1 指定内审组长并组成内审组

1)每次审核前由IT部领导指定内审组长和内审员,组成内审组;

2)内审组成员在业务水平和管理经验等资格方面应符合内审要求,应经过相应的培训,熟悉IT 内控体系文件,办事公道,并得到被审核部门的认可;

3)只要人力资源允许,内审组成员应与被审核的部门无直接责任,独立于被审核工作。

4.1.2.2 制订《IT内部审核实施计划》

内审组长负责制订审核实施计划,内容包括:审核目的、范围、依据;审核的日程安排;内审小组的组成和分工;受审核部门相关的过程、活动及对应的管理制度条款和体系要求;其他需明确的事项和要求等。

内审组应提前三个工作日将计划发放到有关部门,以便确认计划安排。

4.1.2.3 内审员应根据任务分工编写《IT内审检查表》。

4.1.3 审核实施

4.1.3.1 首次会议

首次会议由内审组长主持,受审核部门负责人和审核组成员参加。

会议内容包括:明确审核的目的与范围、依据、要求和方法,介绍审核计划,解决计划中不明确的细节,建立联系渠道,落实具体安排,确定末次会议时间等;首次会议要签到。

4.1.3.2 现场审核

内审员按审核计划和检查表实施审核。

通过交谈、询问、文件查阅、现场检查(即问、听、看、查)等方法收集客观证据并记录,应使用正确的工作方法和审核技巧。

4.1.3.3 确定不合格项

内审组评审检查结果,确定不合格项。按不合格性质分为:体系性不合格、实施性不合格、效果性不合格;按严重程度分为:轻微不合格和严重不合格。

4.1.3.4 开具《IT内审不合格报告》及《IT内审不合格报告执行情况一览表》

确定不合格项后,内审员填写不合格报告单。不合格报告单的内容包括:审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格类型、不符合条款等。不合格事实描述要具体,并经受审核方确认。

4.1.3.5 末次会议

由内审组长主持,受审核部门负责人和审核组成员参加。

会议内容包括:重申审核目的、范围和依据,说明审核过程,宣读不合格报告,评价审核结果、提出纠正措施要求等;末次会议要签到。

4.1.4 编写审核报告

内审组长负责编写《IT内审报告》,经IT部领导批准后发放到有关部门。审核报告的内容应包括:

1)审核目的、范围和依据;

2)审核计划完成情况及不合格项的汇总分析;

3)体系运行结果的评价;

4)审核结论;

5)审核报告的分发范围等。

4.1.5 纠正的实施与跟踪验证

责任部门应根据不合格项报告,认真分析产生问题的原因,并针对原因制定和实施纠正措施。内审组负责纠正措施的跟踪与验证,必要时进行现场确认。

4.1.6 内审结果汇总分析

内审组长负责将IT内审结果归纳总结并予以分析,形成体系运行报告,作为管理评审的输入。报告内容包括:审核计划完成情况,不合格项汇总分析、纠正措施的跟踪验证情况及对体系评价、薄弱环节分析和体系改进建议等。

4.2 IT管理评审

4.2.1 管理评审计划

IT部领导负责主持IT管理评审并组织编制管理评审计划,内容包括:评审目的、评审内容、被

评审部门及参加人员、管理评审的时间和评审计划的发放范围等。

管理评审每年至少进行一次,一般安排在内部审核后进行。

当连续出现IT方面重大事故或顾客投诉时以及公司领导层认为需要时,可增加管理评审的频次。

4.2.2 管理评审参加的人员

1)IT部领导;

2)各相关部门负责人及二级公司分管IT业务的领导;

3)内审员;

4)必要时可请公司分管领导参加。

4.2.3 管理评审的输入

1)内部审核的结果;

2)IT目标的执行情况及总体有效性;

3)改进的建议;

4)有关部门反馈的信息;

5)连续出现的重大事故报告;

6)纠正和预防措施的实施情况及效果;

7)可能影响IT体系的变动;

8)IT相关各部门的工作业绩和服务的质量现状;

9)上次IT管理评审的改进措施等。

4.2.4 评审准备

IT部应提前三个工作日通知所有参加管理评审的人员。

各相关部门准备与本部门有关的评审资料。

4.2.5 管理评审的实施

管理评审会议由IT部领导主持。

以会议形式对评审输入中的各项内容进行评审。

分析IT体系的适宜性、充分性和有效性,做出是否需要改进和完善的决议。

4.2.6 管理评审的输出

IT内控体系及其过程有效性的改进信息。

4.2.7 编写《IT管理评审报告》

IT部安排人员负责编写“IT管理评审报告”,经IT部领导批准后,发送各有关部门,相关记录做好保存。

“IT管理评审报告”的内容至少应包括:

1)评审的目的;

2)评审内容;

3)评审日期及参加人员;

4)评审活动的评价与结论;

5)采取相关的纠正和预防措施的要求;

6)评审报告的发放范围等。

4.2.8 纠正和预防措施

各责任部门按IT管理评审提出的改进要求进行改进,IT部负责对其执行情况及效果进行跟踪检查和验证。

5.附则

5.1 本规定自2011年05月01日起试行。

5.2 本规定由IT部负责解释。

相关文档
最新文档