内部审计内控管理制度

PAGE内部审计内控管理制度一、总则（一）目的本制度旨在建立健全公司内部审计内控管理体系，规范内部审计工作流程，加强内部控制，防范经营风险，确保公司各项业务活动合法合规、高效运行，保护公司资产安全，提高公司经济效益，促进公司健康稳定发展。（二）适用范围本制度适用于公司总部及所属各部门、各分支机构、各子公司（以下统称“公司各单位”）。（三）依据本制度依据《中华人民共和国审计法》《中华人民共和国会计法》《企业内部控制基本规范》及其配套指引、国家其他相关法律法规以及公司实际情况制定。（四）基本原则1.独立性原则：内部审计机构应独立于被审计单位，在组织、人员、工作和经费等方面保持独立，不受其他部门和个人的干涉，独立行使审计职权，确保审计工作的客观性、公正性和权威性。2.客观性原则：内部审计人员应基于客观事实进行审计工作，以证据为依据，实事求是地反映审计发现的问题，不得主观臆断或隐瞒事实。3.全面性原则：内部审计应涵盖公司经营管理的各个方面，包括财务收支、经济活动、内部控制、风险管理等，确保不留审计死角。4.重要性原则：内部审计应根据风险评估结果，确定审计重点，关注重要业务事项和高风险领域，合理分配审计资源，提高审计工作效率和效果。5.及时性原则：内部审计应及时发现和揭示公司经营管理中存在的问题，及时提出改进建议，促进公司及时采取措施加以纠正，避免问题扩大化。二、内部审计机构及人员（一）内部审计机构设置公司设立独立的内部审计部门，配备相应的专业审计人员，内部审计部门在公司董事会审计委员会的领导下开展工作，向董事会审计委员会负责并报告工作。（二）内部审计人员配备内部审计部门应根据工作需要，配备具备专业知识和技能的审计人员，审计人员应具备审计、财务、经济、法律、风险管理等相关专业背景，并具有一定的审计工作经验。内部审计部门负责人应具备注册会计师、注册内部审计师等专业资格，或具有丰富的审计、财务管理等工作经验。（三）内部审计人员职责1.制定和执行内部审计计划：根据公司年度经营目标和风险管理要求，制定年度内部审计计划，并组织实施。2.开展审计工作：按照审计计划，对公司各单位的财务收支、经济活动、内部控制、风险管理等进行审计监督，收集审计证据，编制审计工作底稿。3.发现和揭示问题：通过审计工作，发现公司经营管理中存在的问题，包括违反法律法规、内部控制缺陷、财务舞弊等，并及时向公司管理层和董事会审计委员会报告。4.提出改进建议：针对审计发现的问题，分析原因，提出改进建议，督促公司各单位采取措施加以整改，促进公司完善内部控制，防范经营风险。5.跟踪整改情况：对公司各单位的整改情况进行跟踪检查，确保整改措施得到有效落实，问题得到彻底解决。6.参与公司风险管理：协助公司管理层识别、评估和应对风险，提供风险管理建议，促进公司风险管理体系的完善。7.开展专项审计调查：根据公司管理层的要求或实际工作需要，开展专项审计调查，为公司决策提供依据。8.其他职责：完成公司管理层和董事会审计委员会交办的其他审计工作任务。（四）内部审计人员职业道德规范1.遵守法律法规：内部审计人员应遵守国家法律法规，依法履行审计职责。2.保持独立性和客观性：内部审计人员应保持独立、客观的态度，不受外界干扰，公正地开展审计工作。3.保守秘密：内部审计人员应对在审计工作中知悉的公司商业秘密、财务信息等予以保密，不得泄露给无关人员。4.具备专业胜任能力：内部审计人员应不断学习和更新专业知识，提高业务水平，具备履行审计职责所需的专业胜任能力。5.遵守职业操守：内部审计人员应遵守职业道德规范，诚实守信，廉洁奉公，不得利用职务之便谋取私利。三、内部审计工作流程（一）审计计划制定1.年度审计计划：内部审计部门应于每年年底前，根据公司年度经营目标、风险管理状况、内部控制情况等，制定下一年度内部审计计划，报公司董事会审计委员会批准后实施。年度审计计划应明确审计项目名称、审计目标、审计范围、审计时间安排、审计人员组成等内容。2.专项审计计划：根据公司管理层的要求或实际工作需要，内部审计部门可随时制定专项审计计划，对特定事项进行审计。专项审计计划应明确审计项目名称、审计目标、审计范围、审计时间安排、审计人员组成等内容，并报公司董事会审计委员会备案。（二）审计准备1.成立审计组：根据审计计划，内部审计部门应组建审计组，明确审计组长和审计组成员。审计组应具备相应的专业知识和技能，能够胜任审计工作任务。2.制定审计方案：审计组应根据审计项目的特点和要求，制定详细的审计方案，明确审计目标、审计范围、审计重点、审计方法、审计步骤、审计时间安排等内容。审计方案应报内部审计部门负责人审核批准。3.下达审计通知书：审计组应在实施审计前，向被审计单位下达审计通知书，告知被审计单位审计的目的、范围、时间安排、审计人员组成等内容，并要求被审计单位做好审计准备工作。审计通知书应提前[X]个工作日送达被审计单位。（三）审计实施1.收集审计证据：审计人员应通过审查会计凭证、会计账簿、财务报表、业务文件、合同协议等资料，实地观察、询问、函证、分析性复核等方法，收集审计证据，证明审计事项的真实性、合法性和效益性。2.编制审计工作底稿：审计人员应根据审计证据，编制审计工作底稿，记录审计过程和审计发现的问题。审计工作底稿应内容完整、记录清晰、结论明确，能够支持审计报告的撰写。3.进行审计访谈：审计人员可根据审计需要，对被审计单位的相关人员进行审计访谈，了解情况，核实问题，获取审计证据。审计访谈应做好记录，并由被访谈人签字确认。4.实施审计测试：审计人员应根据审计方案，实施审计测试，包括内部控制测试和实质性测试。内部控制测试主要是评价被审计单位内部控制的健全性和有效性；实质性测试主要是对被审计单位的财务收支、经济活动等进行详细审查，核实其真实性、合法性和效益性。（四）审计报告1.撰写审计报告初稿：审计组在完成审计实施工作后，应及时撰写审计报告初稿，对审计发现的问题进行客观、公正的评价，提出审计意见和建议。审计报告初稿应包括审计概况、审计依据、审计发现的问题、审计结论、审计建议等内容。2.征求被审计单位意见：审计组应将审计报告初稿送达被审计单位，征求被审计单位的意见。被审计单位应在收到审计报告初稿后的[X]个工作日内，将书面意见反馈给审计组。审计组应认真研究被审计单位的意见，对审计报告初稿进行修改完善。3.出具正式审计报告：审计组根据被审计单位的意见，对审计报告初稿进行修改完善后，报内部审计部门负责人审核。内部审计部门负责人审核通过后，报公司董事会审计委员会审批。经公司董事会审计委员会审批通过后，内部审计部门向被审计单位出具正式审计报告，并抄送公司管理层及相关部门。（五）审计整改1.下达审计整改通知书：内部审计部门应在审计报告出具后，及时向被审计单位下达审计整改通知书，要求被审计单位针对审计发现的问题，制定整改措施，明确整改责任人，限期整改，并在规定时间内将整改情况书面报告内部审计部门。2.跟踪整改情况：内部审计部门应定期对被审计单位的整改情况进行跟踪检查，了解整改措施的落实情况，督促被审计单位按时完成整改任务。对整改不力的单位，内部审计部门应及时向公司管理层和董事会审计委员会报告，并提出进一步的处理建议。3.整改结果验收：被审计单位完成整改任务后，应向内部审计部门提交整改报告和相关证明材料。内部审计部门应组织对整改结果进行验收，对整改情况进行评价。如整改结果符合要求，内部审计部门应出具整改结果验收报告；如整改结果不符合要求，内部审计部门应要求被审计单位继续整改，直至达到整改要求。四、内部控制评价（一）内部控制评价的目的内部控制评价是对公司内部控制体系的健全性、合理性和有效性进行全面评价，发现内部控制存在的缺陷和不足，提出改进建议，促进公司完善内部控制，防范经营风险，提高公司管理水平和经济效益。（二）内部控制评价的范围内部控制评价应涵盖公司经营管理的各个方面，包括但不限于公司治理、组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等。（三）内部控制评价的方法内部控制评价应采用适当的方法，包括但不限于个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等。评价人员应根据评价内容和评价方法的特点，合理选择评价方法，确保评价结果的客观性、准确性和可靠性。（四）内部控制评价的程序1.制定评价工作方案：内部审计部门应根据公司内部控制评价的要求和公司实际情况，制定内部控制评价工作方案，明确评价的目的、范围、方法、步骤、时间安排、人员组成等内容。评价工作方案应报公司董事会审计委员会批准后实施。2.组成评价工作组：内部审计部门应根据评价工作方案，组建评价工作组，明确评价工作组组长和评价工作组成员。评价工作组应具备相应的专业知识和技能，能够胜任内部控制评价工作任务。3.实施现场测试：评价工作组应根据评价工作方案，对公司各单位的内部控制进行现场测试，收集评价证据，编制评价工作底稿。现场测试应包括了解内部控制的设计和运行情况、测试内部控制的有效性等内容。4.汇总评价结果：评价工作组应根据现场测试结果，汇总评价结果，编制内部控制评价报告初稿，对公司内部控制的健全性、合理性和有效性进行评价，提出评价意见和建议。5.征求意见：评价工作组应将内部控制评价报告初稿送达公司各单位，征求各单位的意见。各单位应在收到评价报告初稿后的[X]个工作日内，将书面意见反馈给评价工作组。评价工作组应认真研究各单位的意见，对评价报告初稿进行修改完善。6.出具正式评价报告：评价工作组根据各单位的意见，对评价报告初稿进行修改完善后，报内部审计部门负责人审核。内部审计部门负责人审核通过后，报公司董事会审计委员会审批。经公司董事会审计委员会审批通过后，内部审计部门向公司管理层出具正式内部控制评价报告，并抄送公司各单位。（五）内部控制缺陷认定1.内部控制缺陷的分类：内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指内部控制设计存在漏洞，不能有效防范风险；运行缺陷是指内部控制虽有设计，但在运行过程中未能有效执行。2.内部控制缺陷的认定标准：内部控制缺陷的认定标准应根据公司实际情况和风险承受能力，结合法律法规和监管要求，制定明确、具体的认定标准。内部控制缺陷认定标准应包括定性标准和定量标准，定性标准主要是根据内部控制缺陷的影响程度、性质等因素进行判断；定量标准主要是根据内部控制缺陷对财务报表、经营成果等方面的影响金额进行判断。3.内部控制缺陷的认定程序：评价工作组应根据内部控制缺陷的认定标准，对现场测试发现的问题进行分析判断，认定内部控制缺陷的性质和严重程度。内部控制缺陷认定结果应报内部审计部门负责人审核。内部审计部门负责人审核通过后，报公司董事会审计委员会审批。经公司董事会审计委员会审批通过后，内部审计部门应将内部控制缺陷认定结果书面通知公司各单位，并要求各单位针对内部控制缺陷采取措施加以整改。五、风险管理审计（一）风险管理审计的目的风险管理审计是对公司风险管理体系的健全性、合理性和有效性进行审计监督，发现风险管理存在的问题和不足，提出改进建议，促进公司完善风险管理体系，提高风险管理水平，有效防范和化解经营风险。（二）风险管理审计的范围风险管理审计应涵盖公司经营管理的各个方面，包括但不限于战略风险、市场风险、信用风险、操作风险、流动性风险、合规风险等。（三）风险管理审计的方法风险管理审计应采用适当的方法，包括但不限于风险评估、风险测试、风险分析、风险监控等。审计人员应根据风险管理审计的内容和方法的特点，合理选择审计方法，确保审计结果的客观性、准确性和可靠性。（四）风险管理审计的程序1.制定审计工作方案：内部审计部门应根据公司风险管理审计的要求和公司实际情况，制定风险管理审计工作方案，明确审计的目的、范围、方法、步骤、时间安排、人员组成等内容。审计工作方案应报公司董事会审计委员会批准后实施。2.组成审计工作组：内部审计部门应根据审计工作方案，组建审计工作组，明确审计工作组组长和审计工作组成员。审计工作组应具备相应的专业知识和技能，能够胜任风险管理审计工作任务。3.实施审计测试：审计工作组应根据审计工作方案，对公司各单位的风险管理情况进行审计测试，收集审计证据，编制审计工作底稿。审计测试应包括了解风险管理的设计和运行情况、测试风险管理的有效性等内容。4.汇总审计结果：审计工作组应根据审计测试结果，汇总审计结果，编制风险管理审计报告初稿，对公司风险管理的健全性、合理性和有效性进行评价，提出评价意见和建议。5.征求意见：审计工作组应将风险管理审计报告初稿送达公司各单位，征求各单位的意见。各单位应在收到审计报告初稿后的[X]个工作日内，将书面意见反馈给审计工作组。审计工作组应认真研究各单位的意见，对审计报告初稿进行修改完善。6.出具正式审计报告：审计工作组根据各单位的意见，对审计报告初稿进行修改完善后，报内部审计部门负责人审核。内部审计部门负责人审核通过后，报公司董事会审计委员会审批。经公司董事会审计委员会审批通过后，内部审计部门向公司管理层出具正式风险管理审计报告，并抄送公司各单位。（五）风险管理审计报告的内容风险管理审计报告应包括以下内容：1.审计概况：介绍风险管理审计的目的、范围、方法、时间安排等情况。2.风险管理体系评价：对公司风险管理体系的健全性、合理性和有效性进行评价，指出风险管理体系存在的问