内部审计及风险运营制度

PAGE内部审计及风险运营制度一、总则（一）目的本制度旨在规范公司内部审计工作，加强风险运营管理，确保公司各项业务活动合法合规、有效运行，保护公司资产安全，提高公司经济效益，促进公司实现战略目标。（二）适用范围本制度适用于公司总部及所属各子公司、分公司。（三）基本原则1.独立性原则：内部审计机构应独立于被审计单位，独立行使审计职权，不受其他部门和个人的干涉。2.客观性原则：内部审计人员应客观公正地开展审计工作，以事实为依据，以法律法规和公司制度为准绳，如实反映审计发现的问题。3.全面性原则：内部审计应涵盖公司所有业务活动、内部控制环节和管理流程，确保不留审计死角。4.重要性原则：内部审计应根据风险程度和影响范围，确定审计重点，关注重要业务、重大事项和高风险领域。5.及时性原则：内部审计应及时发现问题，及时提出建议，及时督促整改，确保问题得到有效解决。二、内部审计机构及人员（一）机构设置公司设立独立的内部审计部门，配备专职内部审计人员。内部审计部门在公司董事会审计委员会的领导下开展工作，向审计委员会报告工作，并接受公司监事会的监督。（二）人员配备内部审计人员应具备相应的专业知识和技能，包括审计、财务、法律、风险管理等方面的知识。内部审计人员应保持独立性和客观性，遵守职业道德规范，不得从事与内部审计工作相冲突的业务。（三）职责权限1.职责制定和完善内部审计制度、流程和规范。制定年度内部审计计划，报审计委员会批准后组织实施。对公司财务收支、经济活动、内部控制等进行审计监督。对公司所属单位的财务收支、经济活动、内部控制等进行审计监督。对公司重大投资项目、重大经济合同、重大资产处置等进行专项审计。对公司内部控制制度的健全性、有效性进行评价。对公司风险管理体系的健全性、有效性进行评价。对公司内部审计发现的问题提出整改建议，并跟踪整改落实情况。协助外部审计机构开展审计工作。完成公司领导交办的其他审计工作任务。2.权限有权要求被审计单位提供与审计事项有关的文件、资料、财务账目等。有权检查被审计单位的财务收支、经济活动、内部控制等情况。有权向有关单位和个人调查与审计事项有关的情况。有权对被审计单位违反法律法规和公司制度的行为提出纠正意见和建议。有权对被审计单位的整改情况进行跟踪检查。三、内部审计工作流程（一）审计计划制定1.内部审计部门应根据公司战略目标、年度经营计划、内部控制状况和风险状况，制定年度内部审计计划。2.年度内部审计计划应包括审计项目名称、审计目标、审计范围、审计重点、审计时间安排等内容。3.年度内部审计计划报审计委员会批准后组织实施。（二）审计项目实施准备1.根据审计项目的特点和要求，组建审计组，明确审计组成员的分工和职责。2.审计组应收集与审计项目有关的法律法规、政策文件、行业标准、公司制度等资料，了解被审计单位的基本情况、业务流程、内部控制等情况。3.审计组应制定审计实施方案，明确审计程序、审计方法、审计时间安排等内容。审计实施方案应报内部审计部门负责人批准后实施。（三）审计项目实施1.审计组应按照审计实施方案的要求，开展审计工作，收集审计证据，编制审计工作底稿。2.审计组在审计过程中，应与被审计单位充分沟通，听取被审计单位的意见和建议，确保审计工作顺利进行。3.审计组应及时整理和分析审计证据，发现问题及时记录，并与被审计单位相关人员进行核实。（四）审计报告撰写1.审计组应根据审计工作底稿和审计证据，撰写审计报告。审计报告应包括审计概况、审计发现的问题、审计建议等内容。2.审计报告应客观公正地反映审计情况，语言应简洁明了，数据应准确无误。3.审计报告初稿形成后，应征求被审计单位的意见。被审计单位应在规定的时间内反馈意见，审计组应对被审计单位的意见进行认真研究和分析，必要时进行补充审计。（五）审计报告审批与下达1.审计组应将审计报告连同被审计单位的反馈意见一并报内部审计部门负责人审核。内部审计部门负责人应审核审计报告的内容是否完整、证据是否充分、结论是否准确、建议是否可行等。2.内部审计部门负责人审核通过后，将审计报告报审计委员会审批。审计委员会应根据审计报告的内容，做出审批意见。3.审计报告经审计委员会审批通过后，由内部审计部门下达被审计单位。被审计单位应按照审计报告的要求，认真落实整改措施，并在规定的时间内将整改情况书面报告内部审计部门。（六）审计整改跟踪1.内部审计部门应建立审计整改跟踪机制，对被审计单位的整改情况进行跟踪检查。2.内部审计部门应定期对审计整改情况进行汇总分析，向审计委员会报告审计整改工作进展情况。3.对审计整改不力的单位，内部审计部门应提出严肃批评，并督促其加快整改进度。对拒不整改或整改不到位的单位，内部审计部门应按照公司有关规定进行严肃处理。四、风险运营管理（一）风险识别与评估1.公司应建立风险识别与评估机制，定期对公司面临的内外部风险进行识别和评估。2.风险识别应涵盖公司战略、财务、市场、运营、法律等各个领域，采用定性与定量相结合的方法，对风险发生的可能性和影响程度进行评估。3.公司应根据风险评估结果，确定风险等级，对高风险领域和关键风险点进行重点关注和监控。（二）风险应对策略1.公司应根据风险评估结果，制定相应的风险应对策略，包括风险规避、风险降低、风险转移、风险接受等。2.风险应对策略应与公司战略目标相适应，与公司风险承受能力相匹配，确保风险得到有效控制。3.公司应定期对风险应对策略的实施效果进行评估和调整，确保风险应对策略的有效性和适应性。（三）风险监控与预警1.公司应建立风险监控与预警机制，对风险状况进行实时监控和预警。2.风险监控应涵盖公司各项业务活动和关键风险指标，及时发现风险变化情况。3.公司应设定风险预警指标和阈值，当风险指标超过预警阈值时，及时发出预警信号，提醒相关部门和人员采取措施应对风险。（四）风险管理信息系统1.公司应建立风险管理信息系统，实现风险信息的集中管理和共享。2.风险管理信息系统应具备风险识别、评估、应对、监控等功能，能够及时、准确地反映公司风险状况。3.公司应加强风险管理信息系统的维护和管理，确保系统的安全稳定运行。五、内部审计与风险运营的协调与配合（一）信息共享1.内部审计部门与风险管理部门应建立信息共享机制，定期交流内部审计发现的问题和风险管理情况。2.内部审计部门在审计过程中发现的风险问题，应及时反馈给风险管理部门，为风险管理部门制定风险应对策略提供依据。3.风险管理部门在风险监控过程中发现的潜在风险点，应及时通报给内部审计部门，为内部审计部门确定审计重点提供参考。（二）协同工作1.内部审计部门与风险管理部门应在审计计划制定、审计项目实施、审计报告撰写等环节加强协同工作，共同推进公司内部审计及风险运营管理工作。2.对于重大风险领域和关键风险点，内部审计部门与风险管理部门应联合开展专项审计和风险评估工作，共同制定应对措施，确保风险得到有效控制。3.内部审计部门应根据风险管理部门提供的风险信息，调整审计计划和审计重点，提高审计工作的针对性和有效性。（三）监督评价1.内部审计部门应对风险管理部门的风险识别、评估、应对、监控等工作进行监督评价，确保风险管理工作的合规性和有效性。2.风险管理部门应配合内部审计部门开展监督评价工作，提供相关资料和信息，协助内部审计部门完成监督评价任务。3.内部审计部门应定期向审计委员会报告内部审计与风险运营的协调与配合情况，提出改进