内部审计及风险运营制度

PAGE内部审计及风险运营制度一、总则（一）目的本制度旨在规范公司内部审计工作，加强风险运营管理，确保公司各项业务活动合法合规、财务报表真实可靠、内部控制有效执行，提高公司运营效率和效果，实现公司战略目标。（二）适用范围本制度适用于公司总部及所属各部门、子公司、分公司等。（三）依据本制度依据国家相关法律法规、行业监管要求以及公司实际情况制定。主要法律法规包括《中华人民共和国审计法》、《企业内部控制基本规范》及其配套指引等。（四）定义1.内部审计：是指公司内部独立的审计机构和人员，对公司的财务收支、经济活动、内部控制等进行审查、评价和监督的行为。2.风险运营：是指对公司面临的各类风险进行识别、评估、应对和监控的过程，包括但不限于市场风险、信用风险、操作风险、合规风险等。（五）基本原则1.独立性原则：内部审计机构应独立于被审计部门，独立行使审计职权，不受其他部门和个人的干涉。2.客观性原则：内部审计人员应客观公正地开展审计工作，以事实为依据，以法律法规和公司制度为准绳，如实反映审计结果。3.全面性原则：内部审计应涵盖公司所有业务活动和管理环节，对公司整体运营情况进行全面审查和评价。4.重要性原则：内部审计应重点关注公司重大决策、重要业务、关键环节以及高风险领域，合理确定审计重点和范围。5.及时性原则：内部审计应及时发现和解决问题，对审计发现的问题应及时提出整改建议，并跟踪整改落实情况。二、内部审计机构及人员（一）内部审计机构设置公司设立独立的内部审计部门，负责组织实施内部审计工作。内部审计部门在公司董事会审计委员会的领导下开展工作，向审计委员会报告工作进展和审计结果。（二）内部审计人员配备内部审计部门应配备足够数量、具备专业知识和技能的内部审计人员。内部审计人员应具备审计、财务、经济、法律等相关专业背景，并取得相应的职业资格证书。（三）内部审计人员职责1.制定和实施内部审计计划，对公司财务收支、经济活动、内部控制等进行审计监督。2.审查财务报表、会计凭证、账簿等财务资料，核实财务数据的真实性和准确性。3.检查公司内部控制制度的建立和执行情况，评估内部控制的有效性，发现内部控制缺陷并提出改进建议。4.对公司重大投资项目、重大经济合同等进行专项审计，评估项目和合同的可行性、合规性和效益性。5.开展经济责任审计，对公司各级管理人员任期内的经济责任履行情况进行审计评价。6.对公司内部管理的其他事项进行审计监督，如物资采购、资产管理、人力资源管理等。7.跟踪审计发现问题的整改落实情况，对整改效果进行评价，确保问题得到有效解决。8.参与公司风险管理工作，识别、评估和监控公司面临的各类风险，提出风险管理建议。9.定期向上级领导和相关部门汇报内部审计工作情况，提交审计报告和审计建议。10.完成公司领导交办的其他审计工作任务。（四）内部审计人员职业道德规范1.遵守国家法律法规和公司规章制度，诚实守信，廉洁奉公。2.保持独立性和客观性，不得参与可能影响审计公正性的活动。3.具备专业胜任能力，不断学习和更新知识，提高审计业务水平。4.保守公司商业秘密和审计工作中知悉的敏感信息，不得泄露给无关人员。5.客观公正地评价审计发现的问题，不得隐瞒或夸大事实。6.与被审计部门和人员保持良好的沟通和合作关系，不得故意刁难或打击报复。三、内部审计工作流程（一）审计计划制定1.年度审计计划内部审计部门应根据公司战略目标、经营状况、风险状况以及法律法规要求，每年年初制定年度审计计划。年度审计计划应明确审计目标、审计范围、审计重点、审计时间安排等内容，并报公司董事会审计委员会审批。2.专项审计计划根据公司实际情况和管理需要，内部审计部门可针对特定事项制定专项审计计划。专项审计计划应在实施前报公司董事会审计委员会备案。（二）审计准备1.成立审计组根据审计项目的性质和规模，内部审计部门选派合适的审计人员组成审计组，并指定审计组长。审计组长负责组织和协调审计工作，确保审计工作顺利进行。2.收集审计资料审计组应收集与审计项目相关的资料，包括被审计部门的财务报表、会计凭证账簿、内部控制制度、业务流程文件、合同协议等。同时，审计组还可通过问卷调查、访谈、实地观察等方式收集其他相关信息。3.制定审计方案审计组根据收集的审计资料和审计目标，制定详细的审计方案。审计方案应明确审计步骤、审计方法、审计人员分工、时间安排等内容，确保审计工作有序开展。（三）审计实施1.进驻被审计部门审计组按照审计方案的要求进驻被审计部门，向被审计部门送达审计通知书，告知审计目的、范围、时间安排等事项，并要求被审计部门提供必要的协助和支持。2.在审计过程中，审计人员应通过审查会计凭证、账簿、报表等财务资料获取审计证据，同时还可采用询问、观察、函证、分析性复核等审计方法，对被审计部门的经济活动和内部控制进行全面审查。审计人员应做好审计工作底稿的记录，详细记录审计过程、审计发现的问题及相关证据等。3.审计组在审计过程中如发现重大问题或异常情况，应及时向内部审计部门负责人汇报，并根据需要调整审计方案。（四）审计报告1.审计组完成审计工作后，应撰写审计报告。审计报告应包括审计概况、审计发现的问题、审计结论、审计建议等内容。审计报告应客观公正、内容完整、语言简洁，能够准确反映审计工作的结果。拟出具的审计报告应当征求被审计对象的意见。被审计对象应当自接到审计报告之日起10个工作日内，将其书面意见送交审计组或内部审计机构。在规定期限内没有提出书面意见的，视同无异议。2.审计组应根据被审计对象的反馈意见，对审计报告进行修改完善，并将修改后的审计报告提交内部审计部门负责人审核。内部审计部门负责人审核通过后，将审计报告提交公司董事会审计委员会审批。3.经公司董事会审计委员会审批后的审计报告，由内部审计部门负责向公司管理层、相关部门和被审计部门送达。（五）审计结果运用1.公司管理层应重视内部审计结果，根据审计报告中提出的问题和建议，及时采取措施进行整改。整改措施应明确责任部门、责任人、整改期限和整改目标，确保整改工作取得实效。2.公司应对审计发现问题的整改情况进行跟踪检查，内部审计部门应定期向公司董事会审计委员会汇报整改情况，并提交整改报告。整改报告应包括整改措施的执行情况、整改效果、未整改问题及原因分析等内容。3.对审计发现的违规违纪行为，公司应按照相关法律法规和公司制度的规定，追究相关人员的责任。对审计工作中表现突出的内部审计人员，公司应给予表彰和奖励。四、风险运营管理（一）风险识别1.公司应建立健全风险识别机制，定期对公司面临的各类风险进行识别。风险识别应涵盖公司战略、财务、市场、运营、法律等各个领域，包括但不限于市场风险、信用风险、操作风险、合规风险、流动性风险等。2.风险识别方法可采用问卷调查、访谈、数据分析、情景分析、专家咨询等多种方式，全面收集与风险相关的信息，并对信息进行分析和评估，识别潜在的风险因素。（二）风险评估1.公司应根据风险识别的结果，对识别出的风险进行评估。风险评估应采用定性与定量相结合的方法，评估风险发生的可能性和影响程度。2.风险评估指标可包括风险发生的概率、风险影响的范围、风险影响的程度、风险发生的时间等。通过对风险评估指标的量化分析，确定风险的等级，为风险应对提供依据。3.公司应建立风险评估数据库，对风险评估结果进行记录和存储，以便于后续的风险监控和分析。（三）风险应对1.根据风险评估的结果，公司应制定相应的风险应对策略。风险应对策略包括风险规避、风险降低、风险转移、风险接受等。2.风险规避：对于发生可能性高且影响程度大的风险，公司应采取风险规避策略，如停止相关业务活动、退出高风险市场等。3.风险降低：对于发生可能性较高但影响程度中等的风险，公司应采取风险降低策略，如加强内部控制、优化业务流程、提高风险管理能力等。4.风险转移：对于发生可能性较低但影响程度较大的风险，公司可采取风险转移策略，如购买保险、签订风险转移合同等。5.风险接受：对于发生可能性低且影响程度小的风险，公司可采取风险接受策略，如设定风险容忍度，在风险容忍范围内对风险进行监控和管理。6.公司应制定风险应对方案，明确风险应对措施、责任部门、责任人、实施时间等内容，并确保风险应对方案的有效执行。（四）风险监控1.公司应建立风险监控机制，对风险应对措施的执行情况和风险状况进行持续监控。风险监控应定期进行，及时发现风险变化情况，并采取相应的措施进行调整。2.风险监控指标可包括风险发生的实际情况、风险应对措施的执行效果、风险评估指标的变化等。通过对风险监控指标的分析，评估风险应对措施的有效性，及时发现新的风险因素。3.公司应定期召开风险分析会议，对风险监控情况进行汇报和分析，研究解决风险应对过程中存在的问题，制定下一步的风险应对策略和措施。4.公司应建立风险预警机制，设定风险预警指标和阈值。当风险指标达到预警阈值时，及时发出预警信号，提醒相关部门和人员采取措施应对风险。五、内部审计与风险运营的协同（一）信息共享1.内部审计部门与风险管理部门应建立信息共享机制，定期交流审计发现的问题和风险状况。内部审计部门在审计过程中发现的风险信息应及时反馈给风险管理部门，风险管理部门在风险监控过程中发现的问题线索也应及时提供给内部审计部门。2.通过信息共享，双方可以及时了解公司面临的风险状况和内部控制情况，为制定审计计划和风险应对策略提供依据。同时，信息共享也有助于提高工作效率，避免重复劳动。（二）工作协同1.在审计计划制定过程中，内部审计部门应与风险管理部门沟通协调，将风险评估结果纳入审计计划的考虑范围，重点关注高风险领域和关键环节。风险管理部门应根据内部审计的重点和范围，调整风险监控的重点和频率，确保风险监控与内部审计工作相互配合。2.在审计实施过程中，内部审计人员可借助风险管理部门的专业知识和工具，对风险进行深入分析和评估。风险管理部门也可参与内部审计工作，提供风险评估方面的技术支持和建议。3.在审计报告阶段，内部审计部门应将审计发现的风险问题及相关建议及时反馈给风险管理部门，风险管理部门应根据审计建议，完善风险应对措施，加强风险管控。同时，风险管理部门应将风险监控情况和风险应对效果反馈给内部审计部门，为内部审计提供参考。（三）共同推动公司治理1.内部审计和风险运营管理是公司治理的重要组成部分，二者共