應(yīng)用系統(tǒng)審計(jì)管理辦法一、總則（一）目的為加強(qiáng)公司應(yīng)用系統(tǒng)的審計(jì)管理，規(guī)范審計(jì)行為，確保應(yīng)用系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行，保障公司信息資產(chǎn)的安全與完整，依據(jù)國(guó)家相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，結(jié)合公司實(shí)際情況，制定本辦法。（二）適用范圍本辦法適用于公司內(nèi)所有應(yīng)用系統(tǒng)的審計(jì)管理活動(dòng)，包括但不限于業(yè)務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)等。（三）基本原則1.獨(dú)立性原則：審計(jì)部門(mén)應(yīng)獨(dú)立于被審計(jì)的應(yīng)用系統(tǒng)相關(guān)部門(mén)，確保審計(jì)工作的客觀性和公正性。2.全面性原則：涵蓋應(yīng)用系統(tǒng)的規(guī)劃、開(kāi)發(fā)、實(shí)施、運(yùn)行、維護(hù)等全生命周期的審計(jì)。3.風(fēng)險(xiǎn)導(dǎo)向原則：以識(shí)別、評(píng)估和應(yīng)對(duì)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)為導(dǎo)向，合理配置審計(jì)資源，提高審計(jì)效率和效果。4.合規(guī)性原則：審計(jì)工作應(yīng)嚴(yán)格遵循國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及公司內(nèi)部的各項(xiàng)規(guī)章制度。二、審計(jì)機(jī)構(gòu)與人員（一）審計(jì)機(jī)構(gòu)設(shè)置公司設(shè)立獨(dú)立的審計(jì)部門(mén)，負(fù)責(zé)應(yīng)用系統(tǒng)審計(jì)工作的組織、實(shí)施和管理。審計(jì)部門(mén)應(yīng)配備足夠數(shù)量的專(zhuān)業(yè)審計(jì)人員，確保審計(jì)工作的順利開(kāi)展。（二）審計(jì)人員職責(zé)1.審計(jì)負(fù)責(zé)人職責(zé)負(fù)責(zé)制定應(yīng)用系統(tǒng)審計(jì)工作計(jì)劃和方案，組織實(shí)施審計(jì)項(xiàng)目。對(duì)審計(jì)工作質(zhì)量進(jìn)行監(jiān)督和控制，審核審計(jì)報(bào)告。協(xié)調(diào)與其他部門(mén)的關(guān)系，保障審計(jì)工作的順利進(jìn)行。定期向上級(jí)領(lǐng)導(dǎo)匯報(bào)應(yīng)用系統(tǒng)審計(jì)工作情況。2.審計(jì)人員職責(zé)按照審計(jì)計(jì)劃和方案，開(kāi)展具體的審計(jì)工作，收集審計(jì)證據(jù)。對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題進(jìn)行分析和評(píng)估，提出審計(jì)建議。編制審計(jì)工作底稿，撰寫(xiě)審計(jì)報(bào)告。跟蹤審計(jì)建議的落實(shí)情況，對(duì)整改效果進(jìn)行評(píng)價(jià)。（三）審計(jì)人員資質(zhì)要求1.具備相關(guān)專(zhuān)業(yè)知識(shí)，如計(jì)算機(jī)科學(xué)、信息系統(tǒng)管理、審計(jì)學(xué)等。2.熟悉國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及公司內(nèi)部規(guī)章制度。3.具備良好的溝通能力、分析能力和團(tuán)隊(duì)協(xié)作能力。4.取得相應(yīng)的職業(yè)資格證書(shū)，如注冊(cè)信息系統(tǒng)審計(jì)師（CISA）等。三、審計(jì)內(nèi)容與方法（一）審計(jì)內(nèi)容1.應(yīng)用系統(tǒng)規(guī)劃審計(jì)審查應(yīng)用系統(tǒng)規(guī)劃是否符合公司戰(zhàn)略目標(biāo)和業(yè)務(wù)需求。評(píng)估規(guī)劃的合理性、可行性和完整性，包括系統(tǒng)功能、性能、安全等方面的規(guī)劃。2.應(yīng)用系統(tǒng)開(kāi)發(fā)審計(jì)審查開(kāi)發(fā)過(guò)程是否遵循軟件開(kāi)發(fā)規(guī)范和項(xiàng)目管理流程。檢查需求分析、設(shè)計(jì)、編碼、測(cè)試等階段的工作質(zhì)量，確保系統(tǒng)功能符合需求。評(píng)估開(kāi)發(fā)過(guò)程中的安全控制措施，如代碼審查、安全測(cè)試等。3.應(yīng)用系統(tǒng)實(shí)施審計(jì)審查系統(tǒng)實(shí)施計(jì)劃的執(zhí)行情況，包括硬件采購(gòu)、軟件安裝、數(shù)據(jù)遷移等。檢查系統(tǒng)上線前的測(cè)試、驗(yàn)收工作是否充分，是否存在遺留問(wèn)題。評(píng)估實(shí)施過(guò)程中的風(fēng)險(xiǎn)控制措施，確保系統(tǒng)順利上線。4.應(yīng)用系統(tǒng)運(yùn)行審計(jì)監(jiān)測(cè)應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)，包括系統(tǒng)性能、可用性、可靠性等指標(biāo)。審查系統(tǒng)操作日志，檢查用戶操作的合規(guī)性和異常情況。評(píng)估系統(tǒng)運(yùn)行環(huán)境的安全性，如網(wǎng)絡(luò)安全、數(shù)據(jù)備份與恢復(fù)等。5.應(yīng)用系統(tǒng)維護(hù)審計(jì)審查系統(tǒng)維護(hù)計(jì)劃的制定和執(zhí)行情況，確保系統(tǒng)及時(shí)得到維護(hù)和更新。檢查維護(hù)過(guò)程中的變更管理，包括變更申請(qǐng)、審批、測(cè)試等環(huán)節(jié)。評(píng)估維護(hù)工作對(duì)系統(tǒng)性能和安全的影響。（二）審計(jì)方法1.文檔審查：查閱應(yīng)用系統(tǒng)相關(guān)的文檔資料，如規(guī)劃文檔、需求規(guī)格說(shuō)明書(shū)、設(shè)計(jì)文檔、測(cè)試報(bào)告、操作手冊(cè)等，了解系統(tǒng)的建設(shè)和運(yùn)行情況。2.數(shù)據(jù)審計(jì)：對(duì)應(yīng)用系統(tǒng)中的數(shù)據(jù)進(jìn)行抽樣檢查，驗(yàn)證數(shù)據(jù)的準(zhǔn)確性、完整性和一致性。3.系統(tǒng)測(cè)試：通過(guò)模擬用戶操作、輸入測(cè)試數(shù)據(jù)等方式，對(duì)應(yīng)用系統(tǒng)的功能、性能、安全等進(jìn)行測(cè)試，發(fā)現(xiàn)潛在問(wèn)題。4.現(xiàn)場(chǎng)觀察：到應(yīng)用系統(tǒng)運(yùn)行現(xiàn)場(chǎng)進(jìn)行實(shí)地觀察，了解系統(tǒng)的運(yùn)行環(huán)境、操作流程等情況。5.人員訪談：與應(yīng)用系統(tǒng)相關(guān)的管理人員、開(kāi)發(fā)人員、操作人員等進(jìn)行訪談，獲取第一手信息，了解系統(tǒng)運(yùn)行中存在的問(wèn)題和改進(jìn)建議。四、審計(jì)程序（一）審計(jì)計(jì)劃制定1.審計(jì)部門(mén)應(yīng)每年根據(jù)公司戰(zhàn)略目標(biāo)、業(yè)務(wù)發(fā)展需求以及應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)狀況，制定年度應(yīng)用系統(tǒng)審計(jì)計(jì)劃。2.審計(jì)計(jì)劃應(yīng)明確審計(jì)項(xiàng)目的名稱(chēng)、目的、范圍、時(shí)間安排、審計(jì)人員組成等內(nèi)容。3.審計(jì)計(jì)劃需報(bào)公司管理層審批后實(shí)施。（二）審計(jì)準(zhǔn)備1.根據(jù)審計(jì)計(jì)劃，成立審計(jì)項(xiàng)目組，明確項(xiàng)目組成員的職責(zé)分工。2.收集與審計(jì)項(xiàng)目相關(guān)的資料，包括應(yīng)用系統(tǒng)的文檔、數(shù)據(jù)、操作流程等。3.制定審計(jì)方案，明確審計(jì)的具體內(nèi)容、方法、步驟和時(shí)間安排。4.向被審計(jì)部門(mén)發(fā)送審計(jì)通知書(shū)，告知審計(jì)的目的、范圍、時(shí)間等事項(xiàng)。（三）審計(jì)實(shí)施1.審計(jì)人員按照審計(jì)方案開(kāi)展審計(jì)工作，通過(guò)文檔審查、數(shù)據(jù)審計(jì)、系統(tǒng)測(cè)試、現(xiàn)場(chǎng)觀察、人員訪談等方法收集審計(jì)證據(jù)。2.審計(jì)人員應(yīng)編制審計(jì)工作底稿，詳細(xì)記錄審計(jì)過(guò)程和發(fā)現(xiàn)的問(wèn)題。3.對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題進(jìn)行分析和討論，與被審計(jì)部門(mén)溝通確認(rèn)，確保問(wèn)題的準(zhǔn)確性和客觀性。（四）審計(jì)報(bào)告1.審計(jì)項(xiàng)目結(jié)束后，審計(jì)人員應(yīng)撰寫(xiě)審計(jì)報(bào)告。審計(jì)報(bào)告應(yīng)包括審計(jì)概況、審計(jì)發(fā)現(xiàn)的問(wèn)題、審計(jì)建議、被審計(jì)部門(mén)的反饋意見(jiàn)等內(nèi)容。2.審計(jì)報(bào)告需經(jīng)審計(jì)負(fù)責(zé)人審核后，報(bào)公司管理層審批。3.審計(jì)報(bào)告應(yīng)及時(shí)送達(dá)被審計(jì)部門(mén)，并要求被審計(jì)部門(mén)在規(guī)定時(shí)間內(nèi)反饋整改情況。（五）審計(jì)跟蹤1.審計(jì)部門(mén)應(yīng)跟蹤審計(jì)建議的落實(shí)情況，定期檢查被審計(jì)部門(mén)的整改工作進(jìn)展。2.被審計(jì)部門(mén)應(yīng)按照審計(jì)報(bào)告的要求，制定整改計(jì)劃，明確整改措施、責(zé)任人和整改期限，并及時(shí)向?qū)徲?jì)部門(mén)報(bào)送整改情況報(bào)告。3.審計(jì)部門(mén)應(yīng)對(duì)整改效果進(jìn)行評(píng)價(jià)，如整改措施是否有效、問(wèn)題是否得到解決等。對(duì)于整改不力的部門(mén)，應(yīng)督促其繼續(xù)整改，并視情況采取進(jìn)一步的措施。五、審計(jì)結(jié)果應(yīng)用（一）作為績(jī)效考核的依據(jù)將應(yīng)用系統(tǒng)審計(jì)結(jié)果納入相關(guān)部門(mén)和人員的績(jī)效考核體系，對(duì)審計(jì)工作表現(xiàn)優(yōu)秀的部門(mén)和個(gè)人給予獎(jiǎng)勵(lì)，對(duì)存在問(wèn)題較多的部門(mén)和個(gè)人進(jìn)行相應(yīng)的處罰。（二）促進(jìn)應(yīng)用系統(tǒng)改進(jìn)根據(jù)審計(jì)發(fā)現(xiàn)的問(wèn)題和建議，督促相關(guān)部門(mén)對(duì)應(yīng)用系統(tǒng)進(jìn)行優(yōu)化和改進(jìn)，提高系統(tǒng)的安全性、穩(wěn)定性和運(yùn)行效率。（三）為決策提供支持審計(jì)結(jié)果可為公司管理層在應(yīng)用系統(tǒng)規(guī)劃、建設(shè)、管理等方面的決策提供參考依據(jù)，幫助管理層更好地把握應(yīng)用系統(tǒng)的運(yùn)行狀況和風(fēng)險(xiǎn)。六、信息安全與保密（一）信息安全1.審計(jì)人員在審計(jì)過(guò)程中應(yīng)嚴(yán)格遵守信息安全規(guī)定，采取必要的安全措施，保護(hù)被審計(jì)系統(tǒng)和數(shù)據(jù)的安全。2.審計(jì)人員不得利用審計(jì)工作之便，獲取或泄露被審計(jì)部門(mén)的敏感信息。（二）保密1.審計(jì)人員應(yīng)對(duì)審計(jì)工作中涉及的公司機(jī)密信息嚴(yán)格保密，不得向無(wú)關(guān)人員透露。2.審計(jì)工作底稿、審計(jì)報(bào)告等資料應(yīng)妥善保管，防止丟失和泄露。七、附則（