内部审计及风险管理制度

PAGE内部审计及风险管理制度一、总则（一）目的本制度旨在规范公司内部审计工作，加强风险管理，确保公司各项经营活动合法合规、有效运行，保护公司资产安全，提高公司经济效益，促进公司健康发展。（二）适用范围本制度适用于公司总部及所属各部门、分公司、子公司等所有机构和人员。（三）依据本制度依据《中华人民共和国审计法》、《内部审计准则》以及国家其他相关法律法规和行业标准制定。（四）基本原则1.独立性原则：内部审计机构应独立于被审计单位，在公司董事会或审计委员会的领导下开展工作，不受其他部门和个人的干涉。2.客观性原则：内部审计人员应客观公正地执行审计工作，以事实为依据，以法律法规和公司制度为准绳，如实反映审计结果。3.权威性原则：内部审计机构和人员依法行使职权，其审计意见和建议应得到公司各级管理层的重视和支持，确保审计工作的有效开展。4.全面性原则：内部审计应涵盖公司经营活动的全过程，包括财务收支、内部控制、风险管理、业务流程等各个方面，做到全面审计、不留死角。二、内部审计机构及人员（一）内部审计机构设置公司设立独立的内部审计部门，配备专职的内部审计人员。内部审计部门在公司董事会或审计委员会的直接领导下开展工作，向董事会或审计委员会报告工作。（二）内部审计人员职责分工1.审计部门负责人职责负责制定内部审计工作计划和预算，组织实施内部审计工作；负责内部审计人员的管理和培训，提高审计人员的业务素质和工作能力；负责与公司各部门、外部审计机构及其他相关单位的沟通协调；负责审核内部审计报告，向董事会或审计委员会汇报审计工作情况；负责组织落实审计意见和建议，跟踪审计整改情况。2.审计项目负责人职责负责制定具体的审计项目计划和方案，组织实施审计项目；负责收集、整理审计证据，编制审计工作底稿；负责与被审计单位沟通协调，了解审计事项相关情况；负责撰写审计报告，提出审计意见和建议；负责督促被审计单位落实审计整改措施。3.审计人员职责按照审计项目计划和方案要求，实施审计工作，收集审计证据；认真编制审计工作底稿，确保审计工作记录完整、准确；协助审计项目负责人撰写审计报告，提供相关资料和数据支持；参与审计整改跟踪工作，检查被审计单位整改情况。（三）内部审计人员职业道德规范1.遵守法律法规：内部审计人员应严格遵守国家法律法规和公司各项规章制度，依法履行职责。2.保持独立性和客观性：内部审计人员应独立于被审计单位，客观公正地开展审计工作，不得因个人利益或其他因素影响审计工作的公正性。3.保守秘密：内部审计人员应对在审计工作中知悉的公司商业秘密、财务信息等予以保密，不得泄露给无关人员。4.具备专业胜任能力：内部审计人员应具备与其工作相适应的专业知识和技能，不断学习和更新知识，提高业务水平。5.廉洁自律：内部审计人员应廉洁奉公，不得接受被审计单位的贿赂、礼品或其他不正当利益，不得利用职务之便谋取私利。三、内部审计工作流程（一）审计计划制定1.年度审计计划：内部审计部门应根据公司战略目标、经营管理需要以及风险状况，每年年初制定年度审计计划，报董事会或审计委员会批准后实施。年度审计计划应包括审计项目名称、审计目标、审计范围、审计时间安排、审计人员配备等内容。2.专项审计计划：根据公司实际情况，对于特定事项或项目，内部审计部门可制定专项审计计划，经董事会或审计委员会批准后实施。专项审计计划应针对具体审计事项明确审计目标、范围、方法和时间要求等。（二）审计准备1.组成审计组：根据审计项目的需要，内部审计部门应选派具备相应专业知识和技能的审计人员组成审计组，并指定审计项目负责人。审计组人员应熟悉被审计单位的业务情况，具备良好的沟通协调能力和审计工作经验。2.了解被审计单位情况：审计组应通过查阅资料、实地走访、问卷调查等方式，了解被审计单位的基本情况、业务流程、内部控制制度等，为制定审计方案做好准备。3.制定审计方案：审计项目负责人应根据了解到的被审计单位情况，结合审计目标和范围，制定详细的审计方案。审计方案应包括审计目标、审计范围、审计内容、审计方法、审计步骤、人员分工、时间安排等内容。审计方案应报审计部门负责人审核批准。（三）审计实施1.下达审计通知书：审计组应在实施审计前3个工作日，向被审计单位送达审计通知书。审计通知书应包括审计项目名称、审计目的、审计范围、审计时间、审计组人员名单等内容，并要求被审计单位做好相关准备工作。2.开展审计工作：审计组应按照审计方案的要求，运用适当的审计方法，对被审计单位的财务收支、内部控制、业务活动等进行全面审查。审计人员应通过审查会计凭证、账簿、报表等资料，实地盘点资产，询问相关人员，观察业务流程等方式，收集审计证据，编制审计工作底稿。3.审计证据收集与整理：审计人员应及时收集审计证据，并对收集到的证据进行整理、分析和鉴定。审计证据应具有真实性、相关性、充分性和合法性，能够支持审计结论。审计人员应将审计证据分类整理，编制审计证据清单，并注明证据来源、证明事项等内容。4.审计工作底稿编制：审计人员应根据审计证据，认真编制审计工作底稿。审计工作底稿应详细记录审计过程、审计发现的问题及相关证据、审计结论等内容。审计工作底稿应做到内容完整、记录清晰、结论明确，能够为审计报告的撰写提供充分的依据。（四）审计报告撰写1.汇总审计情况：审计项目负责人应在审计实施结束后，及时汇总审计情况，对审计发现的问题进行梳理和分析，形成审计报告初稿。2.征求意见：审计报告初稿形成后，审计组应将其发送给被审计单位征求意见。被审计单位应在规定的时间内对审计报告初稿提出书面意见。审计组应对被审计单位提出的意见进行认真研究和分析，合理的意见应予以采纳，对不合理的意见应说明理由。3.修改完善审计报告：审计组应根据被审计单位的反馈意见，对审计报告初稿进行修改完善，形成正式的审计报告。审计报告应包括审计概况、审计依据、审计发现的问题、审计结论、审计建议等内容。审计报告应语言简洁、逻辑清晰、结论明确、建议可行。4.审核与批准审计报告：审计报告应报审计部门负责人审核，审计部门负责人审核通过后，报董事会或审计委员会批准。审计报告经批准后，应及时送达被审计单位，并抄送公司相关领导和部门。（五）审计结果跟踪1.制定跟踪计划：内部审计部门应根据审计报告的内容，制定审计结果跟踪计划，明确跟踪的目标、范围、方法、时间安排和人员分工等。跟踪计划应报审计部门负责人审核批准。2.实施跟踪工作：审计人员应按照跟踪计划的要求，对被审计单位落实审计意见和建议的情况进行跟踪检查。跟踪检查可通过查阅资料、实地走访、问卷调查等方式进行，了解被审计单位采取的整改措施、整改效果以及存在的问题等。3.撰写跟踪报告：审计人员应在跟踪检查结束后，撰写审计结果跟踪报告。跟踪报告应包括跟踪的基本情况、被审计单位整改情况、整改效果评价、存在的问题及建议等内容。跟踪报告应报审计部门负责人审核，审核通过后报董事会或审计委员会。四、风险管理（一）风险管理目标公司风险管理的目标是识别、评估和应对公司面临的各种风险，确保公司经营活动的稳健性和可持续性，实现公司战略目标。具体包括以下几个方面：1.确保公司经营活动合法合规：遵守国家法律法规和行业标准，避免因违法违规行为给公司带来损失。2.保护公司资产安全：防止公司资产被盗、被挪用、被损坏等情况发生，确保公司资产的完整性和安全性。3.提高公司经营效率和效果：优化公司业务流程，加强内部控制，提高公司运营效率，降低经营成本，实现公司经济效益最大化。4.保证公司财务报告真实可靠：确保公司财务信息的真实性、准确性和完整性，为公司决策提供可靠的依据。（二）风险识别与评估1.风险识别方法问卷调查法：设计风险调查问卷，向公司各部门、各层级人员发放，收集他们对公司面临风险的认识和看法。流程图法：绘制公司业务流程图，分析业务流程中可能存在的风险点。财务报表分析法：通过分析公司财务报表，识别可能影响公司财务状况和经营成果的风险因素。内部访谈法：与公司管理层、关键岗位人员进行访谈，了解公司经营管理中存在的风险问题。2.风险评估标准可能性标准：评估风险发生的可能性大小，分为高、中、低三个等级。影响程度标准：评估风险发生后对公司目标的影响程度，分为重大、较大、一般、较小四个等级。3.风险评估流程风险识别：采用上述风险识别方法，全面识别公司面临的各种风险。风险分析：对识别出的风险进行分析，确定风险的性质、特征和可能产生的后果。风险评估：根据风险评估标准，对风险发生的可能性和影响程度进行评估，确定风险等级。风险排序：按照风险等级对风险进行排序，确定重点关注的风险领域。（三）风险应对策略1.风险规避：对于风险发生可能性高且影响程度重大的风险，公司应采取风险规避策略，停止相关业务活动或改变业务模式，避免风险的发生。2.风险降低：对于风险发生可能性较高但影响程度较大的风险，公司应采取风险降低策略，通过加强内部控制、优化业务流程、增加风险监控等措施，降低风险发生的可能性或减轻风险发生后的影响程度。3.风险转移：对于风险发生可能性较低但影响程度重大的风险，公司可采取风险转移策略，通过购买保险、签订合同等方式，将风险转移给其他方。4.风险承受：对于风险发生可能性低且影响程度较小的风险，公司可采取风险承受策略，接受风险的存在，不采取额外的应对措施。（四）风险监控与预警1.风险监控机制建立风险监控指标体系，对公司关键风险指标进行实时监控。定期对公司风险状况进行评估，及时发现新的风险因素和风险变化情况。加强内部审计和风险管理部门之间的沟通协作，共同做好风险监控工作。2.风险预警机制设定风险预警阈值，当风险指标达到或接近预警阈值时，发出风险预警信号。针对不同等级的风险预警信号，制定相应的预警措施，及时采取应对行动，防范风险扩大。五、内部审计与风险管理的协调（一）信息共享与沟通1.内部审计部门和风险管理部门应建立定期的信息共享机制，及时交流公司内部审计情况和风险管理状况。2.在审计项目实施过程中，审计人员应与风险管理部门人员保持密切沟通，了解公司面临的风险情况，以便在审计工作中重点关注风险领域，提高审计工作的针对性和有效性。3.风险管理部门应及时向内部审计部门提供风险评估报告、风险应对措施等相关信息，为内部审计工作提供参考依据。（二）工作协同与配合1.在制定审计计划时，内部审计部门应充分考虑风险管理部门提供的风险信息，将高风险领域纳入审计重点范围，确保审计工作能够有效覆盖公司重大风险点。2.在审计实施过程中，审计人员发现与风险管理相关的问题时，应及时与风险管理部门沟通，共同分析问题的性质和影响程度，提出合理的应对建议。3.风险管理部门在制定风险应对策略时，应充分考虑内部审计提出的意见和建议，将审计发现的问题作为风险评估和应对的重要依据，确保风险应对措施的有效性和针对性。（三）共同参与公司治理1.内部审计部门和风险管理部门应共同参与