IT内控体系内部审核与管理评审程序规定(试行)

IT内控体系内部审核与管理评审程序规定

（试行)

1．目的和范围

为加强公司IT系统的内部控制与管理，有效监控IT相关的管理制度、办法、规定、标准、技术规范等的执行情况，实现IT内部控制的合规性，保证IT内控管理体系的适宜性和持续有效，营造稳定、健康、有序的IT管理环境，特制定本规定。

本规定适用于公司范围内与IT相关的内部审核与管理评审，主要针对公司层面IT系统有关的业务与管理。

2．相关部门

IT部、与IT业务相关的各部门。

3．职责与权限

3.1 IT部负责组织根据本规定对IT相关规章制度及其执行情况及IT项目的建设情况进行监督、监控、审核与评价。

3.2 IT部领导负责组织管理评审，并主持管理评审会议。

3.3 其他管理人员，包括相关部门IT系统负责人参加管理评审，并按职责范围提供内控体系运行情况的信息和资料，形成书面材料向管理评审会议汇报。

3.4 内审组长负责具体组织实施内审工作。

3.5 内审员负责协助内审组长完成内审工作。

3.6 受审核部门负责协助并积极配合内审工作。

4．管理内容与流程

4.1 IT内部审核

4.1.1 年度审核计划编制

4.1.1.1 每年第一季度，IT部组织人员完成《年度IT内部审核计划》的编制，并提交IT部领导批准。

4.1.1.2 “年度IT内部审核计划”要保证全年完成涉及IT体系中的全部要素和全部活动以及所有场所与部门。“年度IT内部审核计划”的内容应包括：

1）审核的要素；

2）受审核的部门；

3）审核的时间安排；

4）编制、审核、批准人签字等。

4.1.1.3 在下列情况下，可追加审核或增加审核频次：

1）IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变化时；

2）IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。

4.1.2 审核的策划和准备

4.1.2.1 指定内审组长并组成内审组

1）每次审核前由IT部领导指定内审组长和内审员，组成内审组；

2）内审组成员在业务水平和管理经验等资格方面应符合内审要求，应经过相应的培训，熟悉IT 内控体系文件，办事公道，并得到被审核部门的认可；

3）只要人力资源允许，内审组成员应与被审核的部门无直接责任，独立于被审核工作。

4.1.2.2 制订《IT内部审核实施计划》

内审组长负责制订审核实施计划，内容包括：审核目的、范围、依据；审核的日程安排；内审小组的组成和分工；受审核部门相关的过程、活动及对应的管理制度条款和体系要求；其他需明确的事项和要求等。

内审组应提前三个工作日将计划发放到有关部门，以便确认计划安排。

4.1.2.3 内审员应根据任务分工编写《IT内审检查表》。

4.1.3 审核实施

4.1.3.1 首次会议

首次会议由内审组长主持，受审核部门负责人和审核组成员参加。

会议内容包括：明确审核的目的与范围、依据、要求和方法，介绍审核计划，解决计划中不明确的细节，建立联系渠道，落实具体安排，确定末次会议时间等；首次会议要签到。

4.1.3.2 现场审核

内审员按审核计划和检查表实施审核。

通过交谈、询问、文件查阅、现场检查(即问、听、看、查)等方法收集客观证据并记录，应使用正确的工作方法和审核技巧。

4.1.3.3 确定不合格项

内审组评审检查结果，确定不合格项。按不合格性质分为：体系性不合格、实施性不合格、效果性不合格；按严重程度分为：轻微不合格和严重不合格。

4.1.3.4 开具《IT内审不合格报告》及《IT内审不合格报告执行情况一览表》

确定不合格项后，内审员填写不合格报告单。不合格报告单的内容包括：审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格类型、不符合条款等。不合格事实描述要具体，并经受审核方确认。

4.1.3.5 末次会议

由内审组长主持，受审核部门负责人和审核组成员参加。

会议内容包括：重申审核目的、范围和依据，说明审核过程，宣读不合格报告，评价审核结果、提出纠正措施要求等；末次会议要签到。

4.1.4 编写审核报告

内审组长负责编写《IT内审报告》，经IT部领导批准后发放到有关部门。审核报告的内容应包括：

1）审核目的、范围和依据；

2）审核计划完成情况及不合格项的汇总分析；

3）体系运行结果的评价；

4）审核结论；

5）审核报告的分发范围等。

4.1.5 纠正的实施与跟踪验证

责任部门应根据不合格项报告，认真分析产生问题的原因，并针对原因制定和实施纠正措施。内审组负责纠正措施的跟踪与验证，必要时进行现场确认。

4.1.6 内审结果汇总分析

内审组长负责将IT内审结果归纳总结并予以分析，形成体系运行报告，作为管理评审的输入。报告内容包括：审核计划完成情况，不合格项汇总分析、纠正措施的跟踪验证情况及对体系评价、薄弱环节分析和体系改进建议等。

4.2 IT管理评审

4.2.1 管理评审计划

IT部领导负责主持IT管理评审并组织编制管理评审计划，内容包括：评审目的、评审内容、被

评审部门及参加人员、管理评审的时间和评审计划的发放范围等。

管理评审每年至少进行一次，一般安排在内部审核后进行。

当连续出现IT方面重大事故或顾客投诉时以及公司领导层认为需要时，可增加管理评审的频次。

4.2.2 管理评审参加的人员

1）IT部领导；

2）各相关部门负责人及二级公司分管IT业务的领导；

3）内审员；

4）必要时可请公司分管领导参加。

4.2.3 管理评审的输入

1）内部审核的结果；

2）IT目标的执行情况及总体有效性；

3）改进的建议；

4）有关部门反馈的信息；

5）连续出现的重大事故报告；

6）纠正和预防措施的实施情况及效果；

7）可能影响IT体系的变动；

8）IT相关各部门的工作业绩和服务的质量现状；

9）上次IT管理评审的改进措施等。

4.2.4 评审准备

IT部应提前三个工作日通知所有参加管理评审的人员。

各相关部门准备与本部门有关的评审资料。

4.2.5 管理评审的实施

管理评审会议由IT部领导主持。

以会议形式对评审输入中的各项内容进行评审。

分析IT体系的适宜性、充分性和有效性，做出是否需要改进和完善的决议。

4.2.6 管理评审的输出

IT内控体系及其过程有效性的改进信息。

4.2.7 编写《IT管理评审报告》

IT部安排人员负责编写“IT管理评审报告”，经IT部领导批准后，发送各有关部门，相关记录做好保存。

“IT管理评审报告”的内容至少应包括：

1）评审的目的；

2）评审内容；

3）评审日期及参加人员；

4）评审活动的评价与结论；

5）采取相关的纠正和预防措施的要求；

6）评审报告的发放范围等。

4.2.8 纠正和预防措施

各责任部门按IT管理评审提出的改进要求进行改进，IT部负责对其执行情况及效果进行跟踪检查和验证。

5．附则

5.1 本规定自2011年05月01日起试行。

5.2 本规定由IT部负责解释。