信息系统审计工作的重要意义和开展思路

信息系统审计工作的重要意义和开展思路关键词：信息系统审计、风险、审计技术

一、什么是信息系统审计

人们经常混淆信息系统审计相关的多种名词，弄清楚这些名词的含义有助于提高对信息化时代审计工作的理解。

1.信息系统审计

由审计机构、审计人员对与被审单位经济活动密切相关的信息系统的安全性、稳定性和有效性进行检查评估，并提出改进意见的系列活动。

2.审计系统

审计系统是指用于帮助完成审计工作的各种软件工具，是进行审计过程管理的软件系统。

3.计算机辅助审计

是指审计人员对被审计单位提供的信息和数据利用计算机科学的手段，辅助审计实施的审计方法，以提高审计效率和审计质量。审计系统、EXCEL电子表格、数据库工具等都属于计算机辅助审计范畴。

由定义可以看出，信息系统审计与审计系统和计算机辅助审计有着明显的区别。

二、集团信息系统审计工作的重要意义

1.集团信息化水平快速发展带来巨大的信息安全风险

在集团业务规模快速发展，竞争越来越激烈的商业环境中，信息化已经成为集团发展的重要组织能力和核心竞争力。但是，企业信息化在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。例如华润置地CRM系统包含四十万条业主和客户信息，按照市面每条信息5元计算，光是盗卖客户信息即可获利两百万元，华润银行、

华润万家都有大量客户信息，客户信息的价值是巨大的。万象城上线的储值卡系统数据如果遭到内部或外部黑客篡改，将直接导致经济损失。集团的财务信息、人力资源信息、战略信息如果遭到泄露或者崩毁，集团受到的损失更是无法用金额直接计量。

2.开展信息系统审计是培养复合型审计人才的重要途径

根据目前计算机科学与业务经营相互融合与渗透的时代特点，要求审计人员既要掌握业务经营知识，又要掌握计算机科学知识。一是内部控制环节的变化，许多传统的控制手段已经失去意义，内部控制更多的集中在信息系统的运行中，评价和改进内部控制必须以了解信息系统的运转为基础；二是管理的风险增加，由于集团经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险之外，企业信息系统安全性导致的信息技术风险日益增长；因此集团审计系统对复合性高级人才的需求骤增，要求审计人员必须在精通管理和专业的同时熟悉计算机科学。

三、开展集团信息系统审计工作的思路

1.信息系统审计的内容

企业信息系统审计一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统支撑体系的审计。一个大型信息系统的开发需要花费大量的人力、物力和财力，如果开发不当，投入运行后需要的维护费用通常要超过开发费用，因此，对待系统开发必须慎重。对信息系统开发过程的每个环节跟踪审计，及时发现并修正每个阶段发生的错误，从而减轻开发过程中软件错误的积累放大效应，保障整个信息系统的质量。

1.1信息系统开发过程的审计

对信息系统开发过程的审计是伴随着系统规划、系统分析、设计、编码、测试和试运行这几个阶段同步进行的，在开发过程中审计主体为系统本身，主要进行合规合理性审计，同时考虑信息系统关键环节是否具有足够的内控措施，以降低先天性风险。

1.2信息系统运行过程中的审计

包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统审计和旧信息系统报废审计，在这个阶段审计主体为系统使用人，主要对操作过程和权限设定进行审计。

1.3信息系统支撑体系的审计

信息系统的正常运行与人和机器的配合密不可分，因此对于人员的管理、文档的管理、进度的管理、基础环境的管理和灾难对策等，都需要对这些业务进行审计。可分为文档管理审计、信息系统进度管理审计、信息系统人员管理审计、信息化基础设施审计、灾难恢复审计等内容。

2.信息系统审计的方法、技术和工具

集团信息系统从功能、应用环境、规模到开发方式等方面存在多样性和复杂性，信息系统审计难度很大，只采用常规审计法显然是不够的，需要借助计算机科学来高效完成。

2.1运用计算机辅助审计技术与工具CAAT

即审计人员可以使用各种CAAT（Computer Assisted Audit Techniques & Tools）软件进行符合性测试和实质性测试。CAAT软件大致上可以分为三类：项目测试辅助软件、系统测试辅助软件和系统模拟软件。项目测试辅助软件是审计人员为完成个别的审计项目的测试而编制使用的CAAT软件，帮助审计人员进行抽样审计的样本抽取、计算、分析和评价等。

2.2借力信息系统安全等级测评机构

借助信息系统安全等级评测机构的外部能力，是解决目前审计复合型人才缺少的优先选择，信息系统安全等级评测机构的产生是国家为了规范信息系统安全级别，特别颁布了公安部51号令，要求企事业机构做好信息系统的安全防护工作，并根据信息系统涉及范围和利害程度分为四个等级，针对不同等级的信息系统进行不同程度的安全要求。为了使要求落实到位，公安部对市场上符合要求的IT公司进行再培训和认证，具备专

业性和权威性的能力。

四、对信息系统进行评价

对信息系统整体效能进行综合评价项主要有：

1.信息系统是否实现其设计目标，是否需要废置或继续，是否需要进行某些方面的修改以便更好地实现目标；

2.信息系统开发过程是否合理；

3.信息系统是否提高了组织员工的工作效率和质量；

4.信息系统是否成为组织核心竞争力；

5.信息系统是否有效降低了公司业务开展的综合时间成本，提高了公司效益。

五、结语

信息化时代，企业运营需要依赖各种信息系统，信息系统审计可以减少信息系统的盲目开发和频发故障给集团带来的巨大损失，可以有效降低信息系统及其相关业务的技术和管理风险，确保信息系统相关业务的安全。可以客观评价系统实现其目标的完成程度和公司的收益程度，信息系统审计对集团信息系统整体效能提升影响显着，是集团信息化和相关业务正常开展的可靠保证，需要我们提高信息系统审计意识，信息系统审计迫在眉睫。

信息系统安全审计管理制度

信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是： 1.制定信息安全审计的范围和日程； 2.管理具体的审计过程； 3.分析审计结果并提出对信息安全管理体系的改进意见； 4.召开审计启动会议和审计总结会议； 5.向主管领导汇报审计的结果及建议； 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派，协助主评审员进行评审，其职责是： 1.准备审计清单； 2.实施审计过程； 3.完成审计报告； 4.提交纠正和预防措施建议； 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门，其职责是： 1.配合评审员的审计工作； 2.落实纠正和预防措施； 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订

第四条审计计划应包括以下内容： 1.审计的目的； 2.审计的范围； 3.审计的准则； 4.审计的时间； 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素： 1.每年应进行至少一次涵盖所有部门的审计； 2.当进行重大变更后（如架构、业务方向等），需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备： 1.评审员需事先了解审计范围相关的安全策略、标准和程序； 2.准备审计清单，其内容主要包括： 1)需要访问的人员和调查的问题； 2)需要查看的文档和记录（包括日志）； 3)需要现场查看的安全控制措施。 第七条在进行实际审计前，召开启动会议，其内容主要包括：1.评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）；

2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录（包括日志）的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息： 1.审计的时间； 2.被审计的部门和人员； 3.审计的主题； 4.观察到的违规现象； 5.相关的文档和记录，比如操作手册、备份记录、操作员日志、软件许可证、培训记录等； 6.审计参考的文档，比如策略、标准和程序等； 7.参考所涉及的标准条款； 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况， 审计员应记录所观察到的详细信息(如在何处、何时，所涉及的人员、事项，和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告，审计报告应包括： 1.审计的范围； 2.审计所覆盖的安全领域；

公司内部审计管理实施细则

XXXX公司内部审计管理实施细则 第一章总则 第一条为了加强和规范公司内部审计工作，明确内部审计职责，建立健全有效的内部监督体系，提高企业抗风险能力，根据《集团公司内部审计管理暂行规定》，结合公司实际，制定本细则。 第二条本细则是公司开展内部审计工作应遵循的基本规范。 第三条本细则所称内部审计，是指公司内部审计机构依照国家有关法律、法规、政策以及企业内部规章制度，运用系统化和规范化的方法，对企业经营活动进行确认和咨询工作，以独立、客观的评价和改善企业风险管理、内部控制以及治理程序和效果，增加企业价值，促进企业经营目标的实现。 第二章内部审计机构和内部审计人员 第四条公司根据企业的规模、内部治理结构的需要及国家的有关规定，设置法律审计监察部，下设审计科，设审计科长1名，内部审计员2名，造价审计员2名。 第五条法律审计监察部依据国家有关规定及企业内部规章制度开展内部审计工作，行使内部审计职能，直接对董事会（或主要负责人）负责，向董事会报告工作，并接受集团公司审计部门对内部审计工作的指导和监督。 第六条内部审计人员应具备的条件

一、熟悉相关的法律、法规、政策和公司制定的内部控制制度； 二、熟悉公司生产经营活动和有关生产、经营方面的工作程序； 三、掌握企业会计、内部审计、经营管理、工程造价、法律及其他相关专业知识，并有一定的工作经验，能熟练运用内部审计标准、工作程序和技术方法； 四、具有较强的组织协调、调查研究、综合分析、专业判断、计算机操作及文字表达能力； 五、内部审计负责人应具备上述条件外，还应具备大学本科以上文化程度或中级专业技术任职资格，具有从事内部审计、企业会计、工程技术、法律、经营管理等工作5年以上经历，并具备一定的领导能力和管理能力。 第三章内部审计的主要职责 第七条法律审计监察部根据国家有关规定和公司内部管理需要，履行以下主要职责： 一、参与研究、审阅公司有关规章制度和工作流程；制定和修订内部审计工作制度，编制内部审计工作计划，检查内部审计工作质量，总结内部审计工作情况。 二、参与组织公司内部控制体系建设工作，对公司内部控制体系的健全性、合理性和有效性进行检查，对公司有关业务的经营风险进行评估。 三、参与公司对主要存货的定期盘点和工程项目、设备安装关键

内部审计工作管理规章制度

某集团内部审计工作治理制度 1总则 1.1为适应集团建立以专业化治理为主体，决策、执行、监督分离，支持、保障有力的组织体系需要，健全内部经济监督、检查机制，保证集团财产的安全和经济活动的合法性、真实性、效益性，依照《中华人民共和国审计法》、国务院审计署《关于内部审计工作的规定》，参照国务院审计署公布的《中国审计规范》，特制订本制度。 1.2内部审计工作必须依据国家的法律、法规和有关政策以及集团公布的各项规章制度，以围绕集团经营目标为工作中心，以事实为依据，以国家法律和集团制度为准绳，客观、公正地反映、分析、鉴证各经营单位的经济活动，评价经营治理者的经济责任，提出恰当的审计意见，作出正确的审计结论和建议。 1.3内部审计工作旨在监督集团经营政策、经营方针以及财务治理制度、财经纪律在集团、专业集团及成员企业中的贯彻执行；查处违规行为，爱护集团资金、财产的安全与完整；强化集团的经营治理，为提高经济效益，规避经营风险，实现经营战略目标服务。 1.4审计室依据“只查不究”的原则开展工作，对被审计单位的审计结果只具有出具审计报告、提出审计意见的建议权，不负责意见和建议的具体落实，集团董事局对审计意见和建议所形成的处理和处罚有最终裁定权。

2内部审计组织机构 2.1集团督察委员会负责对审计工作的行政领导和业务指导，对涉及到财务、基建、工程技术等比较复杂和重大的审计项目进行研究处理。 2.2 集团督察委员会审计室依照本制度对集团、专业集团及成员企业的财务收支和各项经济活动进行审计监督，直接同意总督察的审计指令，对集团督察委员会负责并报告工作。 2.3 内部审计组织结构图：

国际信息系统审计标准(中文版)

信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化，则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查，以确保（审计的）目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息，应参考下列指南： 信息系统审计指南G5，审计章程 COBIT 框架，监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计，于2005 年1 月1 日起（之后）实施。 信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会（ISACA?）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引： 标准为信息系统审计和报告定义了强制性的要求。它们宣告： –根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师（CISA?）资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及 实现企业的期望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。

企业审计工作制度.doc

企业审计工作制度 □总则 第一条为了充分发挥审计工作,提高企业管理水平，根据国务院审计署（198５)审研字217号文《关于内部审计工作的若干规定》,结合我厂的具体情况，特制定本规定，作为审计工作的依据。 第二条根据国家的方针政策、财政法规和我厂的方针目标、规章制度、对全厂的财务收支及其经济活动的真实性、合理性和效益性,进行系统地审计监督，以达到堵塞漏洞、完善制度、改进管理、提高经济效益的目的。 □任务和范围 第三条审计工作的任务是：确保国家有关财经政策、法令制度以及财经纪律在工厂的正确贯彻执行，保护国家财产，强化企业管理，为提高经济效益服务. 第四条审计工作的范围： （一）厂部及各单位的方针目标的可行性； (二）基建扩改工程、产品设计和工艺改革方案的可行性及效益性; （三)专项工程和大、中修项目的计划，概算、预算和决算的合理性，合法性； (四)财务收支、专项贷款等计划的编制及执行情况; (五）固定资产报废的合理性; (六）材料采购和产品销售以外的合同是否合理合法； （七)厂部及单位的财务收支、经济往来、会计报表的真实性和合法性(八）确定离任或改任的经济责任情况；

(九）制定或参与研究制定工厂有关规章制度及检查其执行情况； （十）办理审计委员会和上级审计机关交办的其他事项，配合上级审计机关对本单位进行审计。 □机构 第五条成立厂审计委员会,并逐步完善专业审计为主、兼职审计为辅的内部审计体系。审计委员会由厂长、总会计师、总工程师、总经济师、纪委书记等人组成.厂长任主任，总会计师任副主任.其主要任务是加强对审计工作的行政领导和业务指导，对涉及到财务、基建、工程技术等方面比较复杂的审计项目进行研究处理. 第六条审计室是在审计委员会直接领导下的日常办事机构.它依照本规定运用法律、强制手段，对全厂各单位的财务收支和各项经济活动进行审计监督，对审计委员会负责并报告工作. 第七条根据审计工作的特点和我厂的情况,聘请若干名有财务、工程技术、设备管理等方面特长的基层职工为兼职审计员。其主要任务是为审计室提供生产经营管理等方面的信息，协助审计室对本单位的审计和交流审计工作经验。 第八条根据审计工作的需要，经过厂长或厂长授权人批准，可聘请临时审计员，参与某项审计工作. 第九条审计室在业务上受上级审计机关的指导，并向其报告工作。 □职权 第十条审计工作的主要职权： （一)有权调审或就地审查各经济单位的会计凭证、帐簿、决算及分配方案,查

企业审计工作计划

企业审计工作计划 篇一：公司20XX年度内部审计工作总结和20XX年度工作计划 公司20XX年度 内部审计工作总结和20XX年度工作计划 20XX年，**********公司审计部围绕公司“*****”年度发展主题，结合部门年度目标，认真履行了部门职责，卓有成效地开展了各项工作，为公司持续健康发展提供了有力保障。现将20XX年工作及20XX年计划情况报告如下：一、20XX年度内部审计工作总结 （一）20XX年审计基础工作情况。 20XX年，审计部在机构设置、人员配备、制度建设等基础工作方面发生较大变化。 1.机构设置。 公司成立审计部，主要职责为负责公司内部控制体系、全面风险管理体系的建设与管理，开展对所属各单位的经济责任审计、专项审计和调查。公司内部审计工作由审计部统一负责，下属平台单位不再保留审计职能。 2.人员配备。 人员编制为***人，其中审计部主任1人、审计处4人、风险管理处3人。本年招聘********，目前在职***人。

3.制度建设。 审计部对已有25个制度程序进行梳理，重新修订印发了《公司经济责任审计管理办法》等制度文件，制定了《财务收支审计工作程序》、《全面风险管理程序》等程序文件。 4.工作组织运行模式。 审计部根据年度审计计划组织审计小组，并根据审计项目的具体工作量和复杂性，协调内部审计咨询专家协助开展现场审计工作。 （二）20XX年度审计工作开展情况。 截至20XX年12月底，已完成现场审计项目***项，完成年度计划***%。目前，已有***个项目形成审计报告，审计资产总额****亿元，挽回各类损失****万元，节约各类开支****万元，清退个人不当得利***万元。****主要实施的审计及各类专项检查项目包括： 1.财务收支审计。 *截至20XX年12月底，审计部已完成对****、****公司、****公司、****项目部、****等10个项目部的财务收支审计，加强了对被审计单位财务收支合法性、会计信息真实性和准确性的检查监督，促进了会计核算工作的规范化，提高了财经法纪执行力，防范了舞弊风险。 2.经济责任审计。 审计部根据公司人力资源部委托，开展了对****公司、

信息系统安全检查与审计管理制度

第一章总则 第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定，遵从管理部门如公安机关的安全要求，确保信息系统信息安全管理符合互联网借贷信息安全管理要求，特制订本制度。 第二条本规定适用于（）部。 第二章xx 第三条安全检查包括技术部的自查和信息安全工作小组定期执行的安全检查。 第四条技术部的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况。自查应至少一个季度组织一次。 第五条技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。 第六条自查和安全检查均应在检查之前形成检查表。 第七条应严格按照检查表实施检查，检查完毕，记录下所有检查结果。 第八条应制定措施防止安全检查结果的非授权散布，只对经过授权的人员通报安全检查结果。 第九条系统建设和运维人员应阅读并理解安全检查报告，在信息安全工作小组的指导下对出现的问题进行整改。 第十条信息安全工作小组应对整改过程进行监督，并将整改结果报送信息安全领导小组。 第三章安全审计

第十一条安全审计作为整体审计工作的一个部份，依据审计工作相关管理办法开展安全审计工作。 第十二条安全审计人员的配备应根据实际情况，采用如下方法的一种，原则上应以审计小组培养自身独立的安全审计人员为主，其他手段为辅： 1、由（）部审计小组独立完成，应使用具备相应技能的人员完成审计工作； 2、由（）部完成，（）部应指派熟悉技术的人员配合安全部完成审计工作。 3、聘请外部专业安全审计单位完成审计工作。 第十三条安全审计的内容主要包括： 1、相关法律法规的符合情况； 2、管理部门的相关管理要求的符合情况； 3、现有安全技术措施的有效性； 4、安全配置与安全策略的一致性； 5、安全管理制度的执行情况； 6、安全检查和自查的检查结果及检查报告； 7、xx信息是否完整记录； 8、各类重要记录是否免受损失、破坏或伪造篡改； 9、检查系统是否存在漏洞； 10、检查数据是否具备安全保障措施。 第十四条安全审计工作应具有独立性，避免有舞弊的情况发生。 第十五条安全审计的方式分为：

审计工作制度

一、企业审计工作制度 □ 总则 第一条为了充分发挥审计工作，提高企业管理水平，根据国务院审计署(1985)审研字217号文《关于内部审计工作的若干规定》，结合我厂的具体情况，特制定本规定，作为审计工作的依据。 第二条根据国家的方针政策、财政法规和我厂的方针目标、规章制度、对全厂的财务收支及其经济活动的真实性、合理性和效益性，进行系统地审计监督，以达到堵塞漏洞、完善制度、改进管理、提高经济效益的目的。 □ 任务和范围 第三条审计工作的任务是：确保国家有关财经政策、法令制度以及财经纪律在工厂的正确贯彻执行，保护国家财产，强化企业管理，为提高经济效益服务。 第四条审计工作的范围： (一)厂部及各单位的方针目标的可行性； (二)基建扩改工程、产品设计和工艺改革方案的可行性及效益性； (三)专项工程和大、中修项目的计划，概算、预算和决算的合理性，合法性； (四)财务收支、专项贷款等计划的编制及执行情况； (五)固定资产报废的合理性； (六)材料采购和产品销售以外的合同是否合理合法； (七)厂部及单位的财务收支、经济往来、会计报表的真实性和合法性； (八)确定离任或改任的经济责任情况； (九)制定或参与研究制定工厂有关规章制度及检查其执行情况； (十)办理审计委员会和上级审计机关交办的其他事项，配合上级审计机关对本单位进行审计。

□ 机构 第五条成立厂审计委员会，并逐步完善专业审计为主、兼职审计为辅的内部审计体系。审计委员会由厂长、总会计师、总工程师、总经济师、纪委书记等人组成。厂长任主任，总会计师任副主任。其主要任务是加强对审计工作的行政领导和业务指导，对涉及到财务、基建、工程技术等方面比较复杂的审计项目进行研究处理。 第六条审计室是在审计委员会直接领导下的日常办事机构。它依照本规定运用法律、强制手段，对全厂各单位的财务收支和各项经济活动进行审计监督，对审计委员会负责并报告工作。 第七条根据审计工作的特点和我厂的情况，聘请若干名有财务、工程技术、设备管理等方面特长的基层职工为兼职审计员。其主要任务是为审计室提供生产经营管理等方面的信息，协助审计室对本单位的审计和交流审计工作经验。 第八条根据审计工作的需要，经过厂长或厂长授权人批准，可聘请临时审计员，参与某项审计工作。 第九条审计室在业务上受上级审计机关的指导，并向其报告工作。 □ 职权 第十条审计工作的主要职权： (一)有权调审或就地审查各经济单位的会计凭证、帐簿、决算及分配方案，查询有关的文件、工艺设计图纸和资料； (二)有权参加有关的会计； (三)有权向有关单位和人员进行调查，并索取证明材料； (四)有权提出制止、纠正和处理违反财经法纪和严重失职等事项的意见； (五)对阻挠、拒绝和破坏审计工作的，经厂长批准，有权采取封存其帐册和冻结资金等临时措施，必要时，提出追究有关人员责任的建议；

信息系统审计的指南(COBIT中文版)

COBIT信息技术审计指南(34个控制目标) 计划和组织（选择3/6/11） 1 定义战略性的信息技术规划（PO1）PO域 控制的IT过程： 定义战略性的IT规划 满足的业务需求： 既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成 实现路线： 在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项： 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应 确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，采

用一种结构化的方法，并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计： 获得了解： 访谈：

内部审计工作管理制度

内部审计工作管理制度 1 总则 2内部审计组织机构 3内部审计机构的职权 4内部审计工作的范畴 5内部审计人员 6内部审计工作的程序 7附则 附件：审计文书格式

1 总则 1.1为适应新奥集团经营治理的需要，健全内部经济监督机制，保证集团公司财产的安全和经济活动的合法性、真实性、效益性，依照《中华人民共和国审计法》、国务院审计署《关于内部审计工作的规定》，参照国务院审计署公布的《中国审计规范》，结合集团的具体情形,制定本工作治理制度。 1.2内部审计工作必须依据国家的法律、法规和有关政策以及集团公司公布的各项规章制度；以围绕公司经营目标为工作中心，以事实为依照，客观、公平地反映、分析、鉴证各经营单位的经济活动，评判经营治理者的经济责任，提出恰当的审计意见，作出正确的审计结论和建议。 1.3内部审计工作旨在监督集团经营政策、经营方针以及财务治理制度、财经纪律在集团及成员企业中的贯彻执行；查处违规行为，爱护集团资金、财产的安全与完整；强化集团的经营治理，为提高经济效

益，规避经营风险，实现经营战略目标服务。 1.4审计室对被审计单位的审计结果,只具有出具审计报告、提出审计意见和建议权，集团董事会对审计的处理和处罚具有最终裁定权。 2 内部审计组织机构 2.1集团督察委员会负责对审计工作的行政领导和业务指导，对涉及到财务、基建、工程技术等比较复杂的审计项目进行研究处理。 2.2 集团督察委员会审计室依照本制度对集团公司各成员企业的财务收支和各项经济活动进行审计监督，直截了当同意总督察的审计指令，对集团督察委员会负责并报告工作。 2.3 内部审计组织结构图：

审计工作计划

审计工作计划 本文是关于审计工作计划，仅供参考，希望对您有所帮助，感谢阅读。 审计工作计划篇一 20XX年对于财务公司来说是探索和摸索的一年，无论是公司组织形式的建设还是各项制度的制定都处于初步探寻阶段，内部审计的工作也处于初建阶段，完善当前部门工作任重道远。针对财务公司实际，提出如下审计工作计划： 1、完善审计内控制度，促进财务公司内控管理健全与完善 (1)首先完善财务公司内审制度，做到审计工作有据可依，根据审计业务类型，准备建立《财务公司预算执行情况审计办法》、《集团公司合同管理审计办法》三项内审制度。 (2)内控制度是指公司为实现经营目标，保障资产完整、保证会计信息真实、促进经济活动健康有序进行而制定的一种内部协调、组织、制约、检查的控制系统。20XX年为财务公司运营的第一年，各项制度处于一边制定一边执行的状态，必然有很多执行不严的地方，因此，20XX年内审工作应该建立在公司内部控制的基础上，对其执行情况进行检查与评价，主要是评价内控是否健全、有效，可依赖程度如何;评价在其内控制度健全、有效、可依赖的前提下，在运行中是否得到认真的贯彻和执行，是否有利于公司的经营活动、促进公司的发展等，以便及时发现管理中的薄弱环节，从而确定审计重点，提高审计工作效率，保证审计工作质量，有针对性的提出审计意见，促进下属企业健全和完善内控制度，保证其经营活动正常运行。 (3)通过预算审计促进预算管理思想观念转变。目前财务公司费用开支的相关制度尚未健全，部分费用开销即以预算作为费用开支的标准(而非以费用制度为预算标准)，因此，费用开支丧失了计划性，部分项目突破预算范围。审计将配合财务等相关部门，建立与健全各项费用管理办法，制定相关费用开支标准，同时使之成为预算编制指引、规范性文件。 2、以经营业绩审计为中心，结合经济责任审计。 内部审计必须以公司经营业绩审计为中心，主要是对下属企业的每半年度经

信息系统审计工作制度

信息系统审计工作 今天，信息系统已成为企业业务处理的中枢，信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门，实施内部审计，还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计，确立信息系统审计制度是十分重要的。 因此，为了规范部门内部工作流程和质量控制，协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程，促进部门间就项目中设计的信息系统审计业务范围进行有效沟通，协调项目工作计划的界定和质量管理，避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果，特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作，为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围，信息系统审计的工作程序及方法，以及信息系统审计对客户能够达成的效果等，特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计（IT Audit）是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标，针对信息系统环境内设定的控制，通过搜集和评估审计证据，对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面： 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性； 2.它的对象是信息系统环境中的各种控制流程或机制，包括IT 一般控制和应用控制；3） 3.它的内容是搜集和评估审计证据； 4.它的依据是业务控制目标，比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计，可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段，需对客户的信息系统环境进行调查，若客户的信息系统环境评估结果为复杂时，需邀请信息系统审计人员介入共同探讨审计计划，根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质（如：是否为高度自动化）、交易数量及信息系统的管理方式（如：若信息系统由第三方管理，则需考虑是否需要SAS70或者相关的报告）确定信息系统审计业务支持服务范围，并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时，信息系统审计工作可由审计团队完成，必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中，若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化（如：银行，保险，电信，和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务），仅仅执行实质性程序无法提供足够的审计证据时，在约定信息系统审计业务服务范围时，需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时，需要考虑如下因素： ?系统的复杂性； ?业务的本质； ?财务审计团队的技能和知识； ?系统的位置（例如，如果包含一个服务组织，SAS70或相关的报告能否被使用）；

2020年内部审计工作思路

2020年内部审计工作思路 【导语】计划要有科学性、严肃性。在计划面前不断的妥协，会让人丧失信心和斗志，会形成松散的工作作风，会养成没有责任感的不良品质。所以，重视计划的人，一定是工作出色的人；一定是目标明确、有事有条理的人。让计划和管理来规范我们的工作，我们就是一道美丽的风景，因为计划让我们知道大海的方向。本篇文章是为您整理的《2020年内部审计工作思路》，供大家阅读。 【篇一】2020年内部审计工作思路 20xx年，财务审计科全体人员必须认真履行工作职责，严格执行财经纪律，努力增收节支，强化服务意识，认真完成领导交给的各项工作任务。具体工作中，我们应该重点做好了以下几点： 一、完善财务制度，规范会计基础。 进一步完善健全工作职责和财务管理制度，明确会计机构、会计人员的设置，规定收支范围、审批权限和审批程序，使我单位的财务审计工作真正做到了有规可依，有章可循。努力协助领导尽可能向上争取资金。在对原始签证的审核、装订和记账凭证的制作及会计档案的整理等方面，严格按照上级规定操作，确保会计基础工作的规范完整。

二、狠抓增收节支，搞好资金监管。 从预算上看我单位基础较差，底子较薄，债务比较重，因此收支矛盾十分突出。为此，我们一是加大增收节支力度。保证营收则收，努力节约开支，力争收支平衡;二是严格控制开支。在去年与办公室配合，制定出台了考勤费、水费、电费、电话费、修车、加油及招待等方面的管理办法的基础上，在进行细化，并在具体工作中严格执行，节省非生产性开支，杜绝了铺张浪费现象，做到了把有限的资金用在刀刃上。 三、确保重点支出，努力化解债务。 在支出安排上，按照预算进度，统筹兼顾。按照保工资、保医疗金、保养老金、保正常运转、再尽能力化解债务的顺序，确保全年重点支出的需要。 四、正视困难局面，积极争取资金。 我单位，经济效益差，无其他创收途径，再有包袱较重，致使我单位资金压力非常大，要想彻底扭转这种困难的局面，我们需要多措并举，要努力发展经营，搞自主创收，但这需要几年的努力，不可能立竿见影，因此，当务之急是积极协助领导向上争取资金，拓宽扶持资金来源渠道。为我单位的正常运转提供资金上的保证。 五、切实搞好服务，树立良好形象 财务审计科是我单位的一个窗口，服务质量的好坏直接关系到我单位的形象，我们做到了既严格按照制度办事，又热情周到服务。无论是谁到

信息系统审计(IT审计)操作流程(精)资料

信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系

统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计

某某公司审计管理有关制度的通知

内蒙古蒙西高新技术集团有限公司文件 INNER MONGOLIA MENGXI HIGH-TECH GROUP C O., LTD. 蒙西集司发[2002]96号签发人：孙建国 关于印发蒙西高新技术集团公司 审计管理有关制度的通知 集团各成员企业、工业园管理办、公司各职能部门： 现将蒙西高新技术集团公司审计管理有关制度印发给你们，请遵照执行。 特此通知 内蒙古蒙西高新技术集团有限公司主题词：制度建设审计管理通知 发送：总裁、副总裁、总裁助理，党委书记、副书记、党委委员，监事会主席、工会主席 集团公司党政工作部 2002年8月28日发送 共发34份 蒙西高新技术集团 公司内部审计条例 第一条为了加强集团公司内部审计监督，保证内部审计人员充分行使权利，使审计工作制度化、规范化，发挥内部审计在加强企业管理、提高经济效益中的作用，依据《中华人民共和国

审计法》和有关法律、法规，结合集团公司实际，制定本条例。 第二条集团公司设立审计部负责集团公司本部及集团公司控股和相对控股子公司的内部审计工作。 审计部受集团公司总裁领导，日常工作由集团公司常务副总裁分管。审计部独立行使职权，不受其他部门和个人的干涉。 第三条审计部依法对集团公司本部及集团公司控股和相对控股子公司的财务收支及经营管理活动进行检查和评价。 第四条审计部接受上级政府审计机构中内部审计师协会的管理、指导和监督。 第五条审计部设审计部部长、副部长、经营主审、工程主审、经营一审、工程一审、助审等岗位。 第六条审计部的审计人员应具有大专以上学历，具有中级以上的专业技术职称，具有在财会、经济、工程技术等某一方面专业特长和上述岗位三年以上实践经验。 审计部负责人应具有审计师以上专业技术资格，或者从事内部审计工作或相关的经济工作五年以上经历。 第七条审计部对集团公司本部及集团公司控股和相对控股子公司的下列事项进行审计： （一）财务收支情况； （二）经济效益； （三）内部控制制度； （四）经济责任； （五）建设项目预（概）算、决算；

企业内部审计工作管理办法规定

企业内部审计工作管理办法规定 □总则 (一)根据有关于内部审计工作规定，结合公司的实际情况制定本规定。 (二)内部审计的目的是加强公司及所属公司的管理和监督，维护财经法纪，改善经营管理，提高经济效益。 (三)内部审计是在公司总经理的直接领导下，对公司各部门以及公司所属单位的财务收支和经济效益等进行监督，独立行使审计职权，对总经理负责并报告工作，在业务上同时受上级审计计机构的领导和地方审计机关的监督。 □内部审计的任务 1.主要任务有： (1)对公司及所属公司的资金、财产的完整安全进行监督审计。 (2)对公司及所属公司的财务收支计划、投资和经费的预算，信贷计划，外汇收支计划和经济合同的执行以及经济效益进行审计监督。 (3)对公司及所属公司的会计报表进行审计。 (4)对公司及所属公司的承包经营责任的审计评议，配合上级审计机构对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计。 (5)对公司及其他所属各公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。 (6)对公司及所属公司的内部控制制度的健全、有效及执行情况进行监督检查。 (7)对严重违反财经纪律，侵占国家、公司资产，严重损失浪费等损害国家、公司利益的行为进行专案审计。 (8)贯彻执行有关审计法规，制定或参与研究本公司及所属公司有关的规章制度。 2.办理公司领导、上级审计机构交办的其他审计事项，以及配合上级审计部门和会计师事务所对公司及所属公司进行审计。 3.对公司的下列项目审计部必须会签(不包括子公司)： (1)基建项目； (2)经济合同，包括采购合同； (3)公司的年度会计报表。 4.审计部不定时对上述项目的执行情况进行抽查。 □职权 1.主要职权 (1)根据内部审计工作的需要，被审计单位应按时向审计部报送有关计划、预算、决算报表和文件资料等。 (2)检查实物、凭证、帐册、有关文件和资料。

内部审计工作思路范文4篇

内部审计工作思路范文4篇 Model of internal audit 汇报人：JinTai College

内部审计工作思路范文4篇 前言：工作计划是对一定时期的工作预先作出安排和打算时制定工作计划，有了工作计划，工作就有了明确的目标和具体的步骤，大家协调行动，使工作有条不紊地进行。工作计划对工作既有指导作用，又有推动作用，是提高工作效率的重要手段。本文档根据工作计划的书写内容要求，带有规划性、设想性、计划性、方案和安排的特点展开说明，具有实践指导意义。便于学习和使用，本文档下载后内容可按需编辑修改及打印。 本文简要目录如下：【下载该文档后使用Word打开，按住键盘Ctrl键且鼠标单击目录内容即可跳转到对应篇章】 1、篇章1：标准版审计工作思路 2、篇章2：(通用版)审计工作思路 3、篇章3：(标准版)审计工作思路 4、篇章4：(标准版)审计工作思路 篇章1:标准版审计工作思路 一、指导思想： 认真贯彻落实xx大精神，以科学发展观为统领，继续坚持"围绕中心、服务大局"的指导思想，牢固树立"审计为发展 服务"的科学理念，切实履行监督职责，发挥审计工作推进教 育发展、推进依法行政、推进制度创新的作用。

二、工作重点 （一）继续深化经济责任审计。认真执行《县级以下党 政领导干部任期经济责任审计暂行规定》，做到凡"离"必审。同时加强任期内经济责任审计，使审计关口前移，变审计发现型为预防型。进一步规范经济责任审计行为，尝试实行经济责任审计预告制、工作联系制、情况报告制、跟踪落实制、结果公告制等。 （二）继续深入开展财务收支审计。以自主创新为动力，在经济责任审计的基础上实施财务收支的真实、合法、效益的审计，努力深化审计内容，不断改进审计方法。积极开展食堂、房屋出租等情况的审计，逐步规范核算行为，提高资金使用效益。 （三）进一步完善相关的内部审计制度和操作规程，搞 好内审人员后续教育工作。 （四）认真抓好跟踪审计。以审计意见、建议的落实和 审计成果的运用为重点，实行跟踪审计回访制度。督促检查单位自觉执行审计意见和建议，促进单位财务管理工作进一步规范化、制度化、法制化。 三、主要措施

审计工作制度

审计工作制度 第一章总则 第一条为了加强企业内部审计工作，更好地发挥内部审计的职能作用，根据《审计法》、《审计署关于内部审计工作的规定》、《中国内部审计准则》等有关法律法规和管理要求，结合企业实际，制定本制度。 第二条本制度适用于公司、各子公司及具有重大影响的参股公司（以下简称公司）。 第三条内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。公司依法实行内部审计制度。 第四条公司董事会或其审计委员会直接领导公司的内部审计工作，保证内审机构和人员依法、独立、客观、公正地开展工作，保障审计结果的充分利用。 第五条公司应当将内审机构履行职责所必需的经费列入财务预算，以保证内部审计工作的正常开展。 第六条内审机构和人员执行审计业务，应当区分被审计单位的责任和内审机构的责任。 第七条内审机构应当向公司董事会或其审计委员会提

交职能性审计报告及工作报告。向公司高级管理层提交行政性审计报告。 第八条内审机构和人员在履行职责时，应当严格遵守《审计署关于内部审计工作的规定》、《中国内部审计准则》以及本制度等相关规定，遵循职业标准，规范审计行为。 第九条内审机构和人员执行审计业务时，应当依据项目审计计划，编制审计实施方案，获取审计证据，出具审计报告。 内审机构应当委派具备相应资格和能力的审计人员承办审计业务，制定内部审计质量控制制度，通过质量控制，保证审计质量。 第二章内审机构和人员 第十条公司设立审计部，作为公司内部审计工作的执行机构，负责组织实施公司的内部审计工作。 第十一条内审人员应当持有岗位资格证书，具备相应的职业要求。 第十二条内审机构负责人应当由公司董事会或其审计委员会通过适当程序任免，其工作向公司董事会或其审计委员会负责。 第十三条内审人员应当做到正直坦诚、廉洁自律、诚实服务、勤勉尽责、保守秘密。 第十四条内审人员应当具备必要的学识、业务能力和