信息科技审计是一项独立客观的监督、评价及咨询活动,以风险为导向,通过运用系统化、规范化的方法,检查评价并改善信息科技风险管理、内部控制和IT治理效果,促进组织稳健发展和战略目标的顺利实现。
审计权限
为保证审计活动的独立性及客观性,审计部门应被授权以下事项:
-
根据工作需要,不受限制并及时访问或接触与实现审计工作相关的所有部门、办公场所、业务及活动、记录、信息、资产和人员; -
决定完成审计任务所需检查的范围和应用的技术; -
在履行审计职责时,获取包括管理层在内的任何部门人员的协助; -
在必要时,获取内部或外部专家的帮助。
-
有权知悉信息科技的管理目标、政策、标准、程序以及各阶段结果;
-
有权要求审计对象报送有关资料;
-
有权要求在信息系统中添加或预留审计数据接口;
-
有权要求审计对象反馈审计建议的落实情况;
-
审计人员有权参加或列席有关会议。
-
有权检查审计对象全部管理活动; -
有权现场调阅和要求报送所有以可读和可视形式形成的信息记录载体; -
有权调查与审计事项相关的部门、人员及其他事项; -
有权现场观察无记录载体的操作流程和工作环境。
-
有权向审计对象索取证明材料; -
有权复制证明材料; -
有权向有关单位函询; -
有权聘请专业机构或专业人员对审计证据进行鉴定。 -
审计人员有权要求审计对象或其他相关单位就取证事项提供证明材料,被审计单位负责人应当对本单位所提供资料的真实性和完整性负责任。
-
对审计对象正在进行的严重违反法律法规行为,或在取证过程中,有证据认为审计对象可能转移、隐匿、篡改或毁弃审计证据的,审计组报经审计部门负责人同意,有权协同有关部门封存资料、封存资产和勒令终止非法行为; -
对阻碍审计工作、拒绝报送和提供审计资料的行为,有权责令审计对象排除审计障碍; -
审计对象拒绝排除审计障碍,导致审计工作无法正常进行时,审计部门有权撤回审计组,出具拒绝发表审计意见的审计报告; -
审计部门对拒绝接受或不配合审计、拒绝提供资料或提供虚假资料、打击报复或陷害审计人员的有权向上级报告,要求及时予以制止并做出处理。
-
有权对完善内部控制系统、改进经营管理、防范经营风险、提高经济效益提出管理建议; -
有权对纠正违规行为、追究违规责任提出处理建议。
审计部门有权在组织范围内以适当方式公布审计结果。
审计部门有权对审计意见的落实情况进行追踪、监督和评价,并有权将情况向组织各级管理层反映,向董事会报告。
审计原则
审计部门应独立于所审计的业务工作,并应独立于日常内控工作。
审计部门在实施审计时为保持客观和公正,不参与信息科技日常管理活动,不参与选择或实施信息科技内控措施。但可以应管理层的要求,对加强信息科技内部控制提出建议,对内部控制程序有关的具体事项提出意见。
审计人员应当密切关注审计对象管理活动中的重要事项。
审计人员对不影响评价信息科技管理活动的遵循性和有效性的次要事项,可以适当降低关注程度。
审计人员应当对审计对象出现重大风险事项的可能性保持警惕和关注。审计人员必须遵守信息科技审计程序,使用适当的审计技巧和专业判断,严格执行审计方案确定的审计步骤。
当审计人员持有足够证据怀疑审计对象有不正当行为时,必须向审计委员会或董事会报告,可以进行必要的调查或跟踪审计。
审计人员不能对审计对象存在重大风险事项与否给予绝对保证。
审计质量控制
审计部门应严格按照规范的审计程序和审计指引实施审计项目,并定期开展自我评价,以评估信息科技审计工作的有效性,从而保证审计目标、内部审计部的权限和职责按照本章程的规定得以有效执行。
审计业务外包
如果存在以下两种情况时,审计项目可以实施外包:
-
由于存在利益冲突内审人员不应完成的项目; -
由于人员的缺少或专业性的不足不能完成的项目。
外包审计工作的内容需经审计委员会慎重考虑后认为是必要的,考虑因素包括现有审计范围、工作计划、需要利用多少外审资源等。
获取更多资源与话题讨论
阅读更多文章▼▼
原文始发于微信公众号(微言晓意):信息科技审计章程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论