IT内控体系内部审核及管理评审程序规定.doc

中国重汽（香港）有限公司境内单位 IT内控体系内部审核与管理评审程序规定（试行) ZXG140200-2007 1．目的和范围 为加强公司IT系统的内部控制与管理，有效监控IT相关的管理制度、办法、规定、标准、技术规范等的执行情况，实现IT内部控制的合规性，保证IT内控管理体系的适宜性和持续有效，营造稳定、健康、有序的IT管理环境，特制定本规定。 本规定适用于公司范围内与IT相关的内部审核与管理评审，主要针对公司层面IT系统有关的业务与管理。 2．相关部门 技术发展部、与IT业务相关的各部门。 3．职责与权限 3.1 技术发展部负责组织根据本规定对IT相关规章制度及其执行情况及IT项目的建设情况进行监督、监控、审核与评价。 3.2 技术发展部领导负责组织管理评审，并主持管理评审会议。 3.3 其他管理人员，包括相关部门IT系统负责人参加管理评审，并按职责范围提供内控体系运行情况的信息和资料，形成书面材料向管理评审会议汇报。 3.4 内审组长负责具体组织实施内审工作。 3.5 内审员负责协助内审组长完成内审工作。 3.6 受审核部门负责协助并积极配合内审工作。 4．管理内容与流程 4.1 IT内部审核 4.1.1 年度审核计划编制 4.1.1.1 每年第一季度，技术发展部组织人员完成《年度IT内部审核计划》的编制，并提交技术发展部领导批准。 4.1.1.2 “年度IT内部审核计划”要保证全年完成涉及IT体系中的全部要素和全部活动以及所有场所与部门。“年度IT内部审核计划”的内容应包括： 1）审核的要素； 2）受审核的部门； 3）审核的时间安排； 4）编制、审核、批准人签字等。 4.1.1.3 在下列情况下，可追加审核或增加审核频次： 1）IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变化时； 2）IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。 4.1.2 审核的策划和准备 4.1.2.1 指定内审组长并组成内审组 1）每次审核前由技术发展部领导指定内审组长和内审员，组成内审组； 2）内审组成员在业务水平和管理经验等资格方面应符合内审要求，应经过相应的培训，熟悉IT内控体系文件，办事公道，并得到被审核部门的认可； 3）只要人力资源允许，内审组成员应与被审核的部门无直接责任，独立于被审核工作。 4.1.2.2 制订《IT内部审核实施计划》 内审组长负责制订审核实施计划，内容包括：审核目的、范围、依据；审核的日程安排；内审小组的组成和分工；受审核部门相关的过程、活动及对应的管理制度条款和体系要求；其他需明确的事项和要求等。 内审组应提前三个工作日将计划发放到有关部门，以便确认计划安排。 4.1.2.3 内审员应根据任务分工编写《IT内审检查表》。 4.1.3 审核实施 4.1.3.1 首次会议 首次会议由内审组长主持，受审核部门负责人和审核组成员参加。 会议内容包括：明确审核的目的与范围、依据、要求和方法，介绍审核计划，解决计划中不明确的细节，建立联系渠道，落实具体安排，确定末次会议时间等；首次会议要签到。 4.1.3.2 现场审核 内审员按审核计划和检查表实施审核。 通过交谈、询问、文件查阅、现场检查(即问、听、看、查)等方法收集客观证据并记录，应使用正确的工作方法和审核技巧。 4.1.3.3 确定不合格项 内审组评审检查结果，确定不合格项。按不合格性质分为：体系性不合格、实施性不合格、效果性不合格；按严重程度分为：轻微不合格和严重不合格。 4.1.3.4 开具《IT内审不合格报告》及《IT内审不合格报告执行情况一览表》 确定不合格项后，内审员填写不合格报告单。不合格报告单的内容包括：审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格类型、不符合条款等。不合格事实描述要具体，并经受审核方确认。 4.1.3.5 末次会议 由内审组长主持，受审核部门负责人和审核组成员参加。 会议内容包括：重申审核目的、范围和依据，说明审核过程，宣读不合格报告，评价审核结果、提出纠正措施要求等；末次会议要签到。 4.1.4 编写审核报告 内审组长负责编写《IT内审报告》，经技术发展部领导批准后发放到有关部门。审核报告的内容应包括： 1）审核目的、范围和依据； 2）审核计划完成情况及不合格项的汇总分析； 3）体系运行结果的评价； 4）审核结论； 5）审核报告的分发范围等。 4.1.5 纠正的实施与跟踪验证 责任部门应根据不合格项报告，认真分析产生问题的原因，并针对原因制定和实施纠正措施。 内审组负责纠正措施的跟踪与验证，必要时进行现场确认。 4.1.6 内审结果汇总分析 内审组长负责将IT内审结果归纳总结并予以分析，形成体系运行报告，作为管理评审的输入。 报告内容