第一章 总则¶
第一条 制定依据 本章程依据《量潮科技基本章程》及公司审计制度制定,旨在建立量潮数据业务线统一的审计监督机制,覆盖流程合规审计与技术合规审计两个维度,确保项目治理规范、资产安全可控、交付质量可预期。
第二条 目的 为建立量潮数据业务项目的标准化审计规则,规范数据处理、资产管理、项目交付与数据安全各环节的合规检查,通过定期审计发现流程漏洞与管理缺失,推动公司治理体系的持续完善,特制定本章程。
第三条 适用范围 本章程适用于量潮数据业务线所有项目及日常运营活动的审计工作,重点审计以下领域: (一)项目管理合规性; (二)数据处理合规性; (三)数字资产管理; (四)项目交付质量; (五)数据安全与隐私保护。
新项目启动时,本章程作为项目管理的参照标准;项目结项时,本章程作为结项审计的检查依据。
第四条 审计原则 审计工作应当遵循独立、客观、全面、持续改进的原则,以事实和书面证据为依据,不得以口头陈述替代有效记录。
第二章 审计组织与职权¶
第五条 审计频率 公司实行季度常规审计与结项审计相结合的制度: (一)每季度对当季及过往适用项目进行一次常规审计; (二)每一项目正式结项时,进行一次结项审计。
第六条 审计责任人 审计工作由秘书处负责组织,指定审计人员执行。公司负责人对审计结果进行复核与审批。
第七条 审计权限 审计人员有权调阅项目相关的一切文档、企业微信群聊天记录、飞书审批单、飞书云文档及其他存储信息,被审计项目组及相关部门应予以配合。
第八条 审计方法 审计工作可采用查阅系统记录、抽检交付物、访谈项目成员、比对沟通记录等方式进行。审计人员应根据审计范围与目标,选择适当的审计方法组合,确保审计结论的客观性与全面性。
第三章 审计内容与标准¶
第九条 项目管理审计 检查项目在议事决策、执行推进、沟通协作三个维度上是否流程合规、信息完整、可追溯。
(一)议事记录审计。检查项目关键决策是否具备有效的书面记录,是否存在治理缺位风险。重点检查以下环节:
需求确认环节:是否有项目策划书、客户确认邮件或书面沟通记录;
报价决策环节:是否有商务报价单、降价协商记录及最终定价确认;
项目变更环节:涉及需求范围、技术方案或报价变更时,是否有内部审批记录或管理层确认;
风险处置环节:遇到技术卡点、人员变动、进度延误等情况,是否有上报记录和应对方案。 如关键决策仅有口头沟通而无书面记录,视为治理缺位。
(二)执行记录审计。检查项目各阶段是否具备可追溯的执行痕迹,是否存在管理漏洞。重点检查以下阶段:
需求阶段:是否有策划书、技术工时评估记录;
开发阶段:是否有进度汇报、技术排期确认、客户阶段性同步记录;
交付阶段:是否有交付邮件、客户确认记录、尾款催收记录;
收尾阶段:是否有项目复盘文档、代码与数据资产归档记录、交接清单。 如关键节点仅有口头描述而无有效执行痕迹,视为管理漏洞。
(三)沟通记录分析。检查项目干系人之间信息是否对齐、协作是否通畅,是否存在协作断层。重点检查以下方面:
对外沟通:项目经理是否定期向客户汇报进度,客户反馈是否及时同步至技术与商务;
内部协作:商务、技术、人事等角色之间是否存在信息断层,人员离职时是否完成完整的项目交接;
风险同步:关键节点延误、核心技术意外离职、报价逻辑争议等情况,是否及时通知所有相关方。 信息不对称或关键角色失联,视为协作断层。
第十条 数据处理合规审计 检查数据处理活动是否符合已签署的数据契约或等效约定,各环节产出是否达到质量要求。
(一)检查数据处理活动是否符合已签署的数据契约或等效约定; (二)核验数据采集、清洗、脱敏、标注等各环节的产出是否符合质量要求; (三)审查数据处理器(脚本、Notebook)是否通过对抗测试,输出是否符合预设规范; (四)确认各环节说明书与技术文档是否完整可追溯。
如数据处理活动超出授权范围、产出不符合质量标准或技术文档缺失,视为数据处理合规缺失。
第十一条 数字资产管理审计 检查项目资产(数据集、文档、代码)是否按分类规范归档、版本管理是否规范、交付物是否完整可追溯。
(一)检查项目资产是否按分类规范归档,是否存在应归档而未归档的资产; (二)核验代码资产是否托管至指定平台,Commit 信息是否清晰可追溯; (三)审查交付物打包是否完整,版本号标注是否符合规范; (四)检查数据集是否在交付物名称或元数据中标注版本号,支持追溯。
如资产未按时归档、版本信息缺失或交付物不完整,视为资产管理缺失。
第十二条 项目交付审计 检查项目交付全流程是否合规,交付物是否经过质量审核,范围变更是否有书面确认,项目结束后是否完成归档与复盘。
(一)审查项目是否按生命周期阶段流转,各阶段权责流转标志是否完整; (二)核验交付物是否经过内部质量审核后提交客户; (三)检查范围变更是否有书面确认记录; (四)确认项目结束后是否完成归档与复盘。
如交付物未经内部审核直接提交客户、范围变更无书面确认或项目结束后未归档,视为交付管理缺失。
第十三条 数据安全审计 检查数据安全措施是否执行到位,服务结束后客户数据是否按约定处理,是否存在超授权范围使用数据的情形。
(一)检查数据加密、访问控制、脱敏处理等安全措施是否执行; (二)核验服务结束后客户数据是否按约定返还或删除; (三)审查是否存在超授权范围使用数据的情形; (四)确认涉及个人信息的数据是否在传输和存储过程中采取加密措施。
如安全措施未落实、数据未按约定删除或存在超范围使用数据,视为数据安全违规。
第四章 审计程序¶
第十四条 审计准备 审计人员应提前制定审计计划,明确审计范围、项目清单及资料调取清单,并通知被审计项目组。
第十五条 审计实施 通过调阅项目文档、企业微信群聊天记录、飞书审批单、云文档等方式,依照第三章标准逐项检查,填写《项目审计检查清单》(附录一),记录发现的问题。
第十六条 审计报告 每次审计应形成书面审计报告,内容包括审计概况、检查结果、发现的问题及风险、改进建议,报公司负责人复核。
第五章 审计结果与整改¶
第十七条 问题记录与整改 审计发现的问题须记录在案,形成改进任务,明确责任人与整改期限。相关项目组须按期整改,并向秘书处反馈整改结果。
第十八条 制度修订 对于审计中发现的共性问题和流程漏洞,由秘书处统一汇总,适时启动公司项目管理制度的修订和完善工作。
第六章 附则¶
第十九条 解释与修订 本章程由秘书处负责解释和修订。秘书处可根据后续项目实践持续补充附录中的常见问题清单。
第二十条 参照适用 公司其他业务领域可参照本章程框架,补充各自业务领域的审计细则,形成完整的公司审计体系。
第二十一条 生效 本章程经公司治理机构审议通过,自发布之日起生效。
附录一:项目审计检查清单¶
| 审计维度 | 检查项 | 检查结果 | 备注 |
|---|---|---|---|
| 项目管理 | 是否有策划书及客户确认 | 是/否 | |
| 项目管理 | 是否有报价单及定价确认 | 是/否 | |
| 项目管理 | 需求/方案变更是否有审批 | 是/否 | |
| 项目管理 | 是否有进度汇报及排期确认 | 是/否 | |
| 项目管理 | 是否有交付邮件及客户验收 | 是/否 | |
| 项目管理 | 是否有项目复盘及资产归档 | 是/否 | |
| 项目管理 | 是否定期向客户汇报进度 | 是/否 | |
| 项目管理 | 人员变动是否及时同步 | 是/否 | |
| 项目管理 | 关键卡点是否上报管理层 | 是/否 | |
| 数据处理 | 数据处理是否符合数据契约 | 是/否 | |
| 数据处理 | 各环节产出是否符合质量要求 | 是/否 | |
| 数据处理 | 数据处理器是否通过对抗测试 | 是/否 | |
| 数据处理 | 技术文档是否完整可追溯 | 是/否 | |
| 数字资产 | 资产是否按分类规范归档 | 是/否 | |
| 数字资产 | 代码是否托管至指定平台 | 是/否 | |
| 数字资产 | 交付物版本号标注是否规范 | 是/否 | |
| 项目交付 | 是否按生命周期阶段流转 | 是/否 | |
| 项目交付 | 交付物是否经内部质量审核 | 是/否 | |
| 项目交付 | 项目结束后是否归档与复盘 | 是/否 | |
| 数据安全 | 加密与访问控制是否执行 | 是/否 | |
| 数据安全 | 服务结束后数据是否按约定处理 | 是/否 | |
| 数据安全 | 是否存在超授权范围使用数据 | 是/否 |
(审计人员可根据项目实际情况增补检查细项)
附录二:常见问题清单(自历史项目提炼)¶
需求变更无书面确认,导致后续报价争议
技术离职未及时同步客户,造成项目进度真空期
报价逻辑未与客户充分对齐,导致客户长期沉默
项目交接依赖口头传递,缺乏标准化文档
关键节点延误未及时预警,错失补救窗口
交付物保存期限未明确,引发客户数据丢失纠纷
数据处理超过授权范围,引发合规风险
数据处理器未经对抗测试,输出质量不达标
客户数据服务结束后未及时删除,存在安全遗留风险
资产未按时归档,后续项目复用无据可查