我国《个人信息保护法》第五十四条和第六十四条分别提出个人信息处理者的定期合规审计义务以及监管部门的强制合规审计职权。这一立法设计不仅有助于监管者对组织个人信息处理活动的合法性进行持续关注，更有利于个人信息处理者积极应对监管、有效提高个人信息保护能力。然而，我国个人信息保护合规审计制度的具体要求尚未明确，亟需完善制度体系、明确落地要求。本文在分析国内外信息系统审计制度与欧洲数据保护审计制度的基础上，围绕概念定义、审计流程、审计事项与审计方法等问题，初步探讨了我国个人信息保护合规审计制度的设计路径。