风险控制管理制度(暂行)(增加处罚条款版)

公司

风险控制管理、内部审计章程

二O一**年十二月

目录

第一章总则...................................................................................4

1目的.......................................................................................4

2合用范围...................................................................................4

3术语和定义.................................................................................4

4原则.......................................................................................5

4.1全面性原则.............................................................................5

4.2持续性原则.............................................................................5

4.3有效性原则............................................................................5

4.4制衡性原则.............................................................................5

4.5”独立、客观、公正”的原则.............................................................5

5目标.......................................................................................6

第二章风险管理识别..........................................................................6

6风险分类...................................................................................6

6.1管理风险...............................................................................6

6.2市场风险...............................................................................6

6.3政策与法律风险........................................................................7

6.4道德风险...............................................................................7

6.5信誉风P佥...............................................................................7

第三章风险控制与内部审计体系架构与职责........................................................7

7组织架构...................................................................................7

7.1机构的设置.............................................................................7

7.2人员配置...............................................................................8

7.3人员的任命与解职......................................................................8

3职责.......................................................................................8

8.1各公司职能部门和业务部门职责........................................................8

8.2运营管理部门..........................................................................9

8.3风险控制管理中心职责................................................................9

8.4独立性................................................................................11

8.5风控中心人员要求（业务素质的要求）..............................................11

9风险控制管理中心主要工作内容..............................................................12

9.1法务工作内容.....................................................................12

9.2信息工作内容...................................................................12

9.3内控分析工作内容...................................................................13

9.4风险分析工作内容..................................................................13

9.5内部审计工作内容....................................................................13

9.6主要权限..........................................................................15

第四章工作程序..............................................................................18

10年度工作计划.............................................................................18

12风险管理策略...........................................................................19

13风险管理解决方案.........................................................................20

14企业制定内控措施，普通至少包括以下内容：..................................................21

15风险管理信息系统.........................................................................22

第2页共30页

16审计工作程序....................................................................................23

17复议.............................................................................................25

18资料归档........................................................................................25

第五章风险管理的监督与改进.......................................................................25

19监督与改进......................................................................................25

20内部管理........................................................................................27

21内部审计责任和奖惩..............................................................................27

第六章风险管理文化................................................................................29

第七章附则..........................................................................................30

第3页共30页

第一章总则

1目的

为建立有效的风险控制与内部审计体系，指导、规范风险控制活动，确保

各项业务稳健发展、持续经营，实现公司的经营目标和经营战略，维护投资者

的权益，根据《中华人民共和国公司法》、《企业内部控制基本规范》、《内

部审计实务框架》及其他相关法律、法规和公司章程，结合国际通行的内部控

制和风险管理理念，以及业实际情况，制定本章程。

2合用范围

合用于***公司、分公司以及集团通过其他形式具有实际控制权的企业。

3术语和定义

风险：某个事件发生并对战略实施和实现经营目标造成影响的可能性。（2022

年COSO定

企业风险：指未来的不确定性对企业实现其经营目标的影响。企业风险普通

可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可乂能否为

企业带来盈利等机会为标志，将风险分为纯粹风险（惟独带来损失一种可能性）

和机会风险（带来损失和盈利的可能性并存）。

风险控制：是指公司环绕经营目标和经营战略，确定风险控制制度、措施

和执行流程，建立健全风险控制体系，哺育良好的风险管理文化，从而实现公

司风险控制总体目标的一系列行为。

第4页共30页

内部审计：是一种独立、客观的评价和监察咨询活动，旨在增加价值和改

善组织的运营。它通过应用系统、规范的方法，评价并发现风险管理、控制和

管理过程的效果，匡助组织实现内部控制的有效性、财务信息的真实性和完整

性、经营活动的效率和效果等目标。

4原则

4.1全面性原则：风险控制应做到事前、事中、事后控制相统一，覆盖公司

的所有业务、部门和人员，参透到决策、执行、监督、反馈各个流程和环节；

公司所有部门、所有员工都是风险控制的责任主体，根据部门、岗位职责的要

求承担相应的风险控制责任与义务。

4.2持续性原则：风险控制不是静态的制度，而是一个由目标设定、风险识

评、风险应对和监督反馈等流程组成的动态的、循环的管理过程。

4.3有效性原则：企业风险控制应与经营规模、业务范围、风险状况及公司

所处的环境相适应，追求效率与效果统一，利用最经济的成本实现公司风险控

制总体目标。

4.4制衡性原则：企业合理设置内部组织结构，科学规划业务流程，实现决

策部门、执行部门与监督检查部门以及各岗位的权责分明和相互牵制。

4.5“独立、客观、公正”的原则：依照国家法律、法规和有关政策，依照

公司规章章程，独立开展工作，发挥监督、评价和服务的功能。

第5页共30页

5目标

5.1有效防范、控制、化解公司面临的各种风险，将风险程度和风险损失降

低到公司范围之内，为公司持续经营提供安全保障；

5.2逐步采用科学统一的风险量化方法，建立完整的风险控制体系和流程，

实现对风险的科学管理；

5.3提高公司经营效率和效果，维护公司声誉和品牌；

5.4确保成本效益的监控，促进内部流程的合理性和资源利用的效率性，保

护资产的安全和完整，防止错误和舞弊的发生，确保公司各项规章章程与有关

决议得到遵守，进而保证经营的效果和效率。

第二章风险管理识别

6风险分类

根据****集团业务特点，面临的主要风险有管理风险、市场风险、政策风

险、道德风险、信誉风险等五大类风险。

6.1管理风险，是指公司由于经营战略、管理结构、管理制度、组织架构设

置等不完善、不科学，从而给公司经营管理、也务运作带来的风险。

6.2市场风险，是指由于投资行业竞争加剧，或者宏观经济状况发生变化（如

利率变化、经济周期变化等）导致公司发生损失或者投资回报率下降的风险。

第6页共30页

6.3政策与法律风险，是指由于相关法律法规及监管政策发生变化，给公司

经营带来的风险。

6.4道德风险，是指公司员工出于自身利益，或者是自律性差、责任感不强

等原因，利用信息不对称等优势，伤害公司及客户利益的风险。

6.5信誉风险，是指具有重大不利影响的突发事件对公司声誉造成伤害，从

而使公司面临客户流失、人材流失、业务开辟艰难等不利状况的风险。

第三章风险控制与内部审计体系架构与职责

7组织架构

建立风险管理的三道防线：即各公司职能部门和业务部门为第一道防线；

各公司运营管理部门为第二道防线;风控与内审为主要职责的风险控制管理中

心为第三道防线。

7.1机构的设置

风险控制管理中心，作为专职的风险控制管理与内部审计常设机构，对所

管理企业在职责范围内进行风险评估、分析、监督和评价，所管理企业暂再也

不设专职的风险管理部门、内部审计部门及人员。

风险控制管理中心直接归董事会管理，向董事长报告。

第7页共30页

7.2人员配置

根据企业发展规划，风险控制管理中心将建立多层次、多功能的风险控制

体系，并配备符合工作要求的专业人员。（审计知识、财务知识、内控及风险

管理知识、公司管理、运营管理、信息技术、本公司经营业务、人际交往技巧）

■■

风险控制管理中心总监

风险管理经理

7.3人员的任命与解职

风险控制管理中心总监的任命、替换或者解职，由董事长批准。风险控制

管理其他人员的任命、替换或者解职，由风险控制管理中心总监提出，董事

长批准之后作出。

8职责

8.1各公司职能部门和业务部门职责

第8页共30页

作为全面风险管理的第一道防线，各公司职能部门及业务部门在全面风险

管理工作中，应接受运营管理部门、风险控制管理中心的组织、协调、指导和

监督，主要履行以下职责：

8.1.1在投资决策前负责行业研究、项目筛选、尽职调查，全面识别和评估

投资项目的各种潜在风险，出具投资建议报告；

8.1.2在项目谈判、组织实施、后续管理以及退出阶段，勤勉尽责、密切跟

踪、积极管理，及时发现投资风险并如实报告；

8.1.3协助、配合风险控制管理中心对项目的投资风险履行核查、监控职责。

8.1.4执行公司风险控制制度和各项风险控制措施、办法；

8.1.5协助、配合风险控制管理中心，定期进行本公司、本部门各岗位以及

业务流程风险点的识别、分析以及评估；

8.1.6定期总结本公司、本部门风险控制措施的实施情况，向管理层和风险控

制管理中心提供反馈意见；

8.1.7协助风险控制管理中心，在部门内倡导风险管理文化；

8.1.8办理风险控制其他有关工作。

8.2运营管理部门

主要负责制度流程日常检查与监管

8.3风险控制管理中心职责

8.3.1风险控制管理中心每月、每年向董事长提交《企业总体风险评估工作

第9页共30页

报告》。

8.3.2风险控制管理中心每季组织召开所管企业风险管理通报与研讨会。

8.3.3提出所管理企业重大决策、重大风险、重大事件和重要业务流程的判断

标准或者判断机制。

8.3.4对所管理企业组织结构、系统和程序是否恰当进行审查和评估，以确保

成果与既定目标一致；

835对以确保遵守各项规章规定和既定内部政策为目标的各项管控制度

进行审查和评估；

8.3.6对所管理企业的人力、财政和物质资源的利用是否切实有效、厉行节约

并有所保障进行审查和评估；

8.3.7对资产的安全与完整性进行审查和评估；

8.3.8研究和评价公司浮现重大风险的可能性，并协助所管理企业改进风险

管理工作；

8.3.9研究与评价开辟产品策划与定位失误、中介代理操作失误、工程管理过

程、工程成本管理失控、公共关系等重大风险发生的可能性，必要时，组织召

开风控暂时研讨会。

8.3.10对所管理企业内部控制机制的可靠性、有效性和完整性进行审查和

评估；

8.3.11对属于内部审计任务规定范围内的涉及被指控的任何措施行为和渎

职的案件进行调查；

第10页共30页

8312行特殊调查，查明薄弱环节和故障所在；

8.3.13确保内部审计、调查和检查报告的完整性、及时性、客观性和准确

性；

8.3.14研究公司危机处理机制的建立，在浮现危机事件时拟定处理建议、

方案，报管理层审议；

8.3.15董事长所交办的事务。

8.4独立性

8.4.1风控中心人员不得以任何决策制订者的资格参加所管理企业的实际

经营管理活动，以保持客观公正的能力和立场。

8.4.2风控中心人员在确定工作范围、实旅评估及报告结果时，应不受干

预和控制。

8.4.3内部审计人员与被审计单位及其主要负责人在经营上应没有厉害关

系；办理审计事项时，与被审计单位或者被审计事项有直接厉害关系的，应当

回避。

8.5风控中心人员要求（业务素质的要求）

8.5.1风控中心人员应当遵守职业道德规范，并以专业熟练性和应有的职

业谨慎性开展审计业务。

852风控中心人员必须朴重、客观、勤勉、保密和适任。坚持原则；实

事求是，客观公正；工作认真、子细负责；廉洁奉公，不徇私情；保守秘密、

忠于职守。

第11页共30页

8.5.3风控中心人员应恪守保密原则，对其为进行某项风险评估而采集到

的任何信息的机密性予以尊重、保守秘密，并只应在进行风险评估所必须的情

况下才合用该信息，不得利用其为自己或者他人谋取利益。

8.5.4风控中心人员不得未经批准向相关单位及其人员或者其他人员提供、

展示、透露风险评估工作记录文件、其他风控小心人员的意见及未经认可的风

控结论和风控意见等。

9风险控制管理中心主要工作内容

9.1法务工作内容

9.1.1政策、法律信息采集、整理、评估，初步评估政策、法律风险；

9.1.2标书、协议、合同审核（法律条款）；

9.1.3政策与法律风险支持、解决方案的建议书；

9.1.4外部律师衔接；

9.1.5参预审计项目；

9.2信息工作内容

9.2.1各公司信息系统、信息平台、公共平台监控、信息传递的评估，初

步评估公司信息系统风险；

922网上采集市场、价格、管理、信誉等影响风险的信息资料、初步评

估信息风险；

第12页共30页

923协助审计师调取、整理财务、公司erp、oa体系信息，初步完成信息

系统类工作底稿；

924参预审计项目、出具信息审计报告书；

925举报、申诉、投诉平台监控；

926审计信息整理、归档。

9.3内控分析工作内容

931每月企业制度、流程、岗位风险巡查、分析、评估，评估公司内控

风险；

932对企业内部量化分析、排序，并对公司风险报警；

9.3.3参预审计项目，出具内部控制审计报告。

9.4风险分析工作内容

9.4.1制定风险计量单位、建立企业风险量化模型；

9.4.2外部风险、战略、文化、品牌等风险识别、分析、评估，并对公司

风险排序报警；

9.4.3危机评估、解决方案

9.4.4反馈与完善风险控制体系；

9.4.5参预审计项目，出具风险评估审计报告。

9.5内部审计工作内容

第13页共30页

内部审计为履行职责而开展的活动，应该包括保证活动和监察咨询活动。

9.5.1保证活动是为了对公司的风险管理、内部控制和管理过程进行独立、

客观地评价审计证据证的行为。包括但不限于：

1）经营审计和管理审计；

2）绩效审计；（按常规为公司年度的审计）

3）财务审计；

4）合规性审计（包括履约审计）；

5）内部控制审计:

6）舞弊审计；

7）经济责任审计（包括离任审计）；

8）重大事项审计；

9）各类审计调研及调查；

⑼其他审计事项。

952监察咨询活动是指对经营业务流程的跟踪、参预，提供建议及相关的服

务活动，目的是协助集团或者下属份子公司管理团队提高企业运作效率、减少

风险发生的可能性。包括但不限于：

1）协助集团及下属份子公司完善组织架构、内控及流程体系；

2）协助集团及下属份子公司完善经营指标；

第14页共30页

3）参预年度或者项目总控资金计划、招标计划的审核；

4）参预年度、月度营销方案、单项活动方案的审核；

5）跟踪招标采购与认质认价流程、对重大、重点招标采购与认质认价进行

全程跟踪；

6）合同与协议文本的审核、根据董事长审批权限，在对合同与协议签订的

审核；

7）工程结算的审核；

8）经营管理中各种投诉、申诉、举报的受理；

9）列席重大、重要财务、经营管理等工作会议；

10）其他监督与咨询事项。

9.6.1风险控制管理中心可以根据董事长批准的年度工作计划，在职责范围

内，自主确定审计项目和审计对像。

9.6.2在履行职责时，根据项目要求，风险控制管理中心人员可以不受限制

地查阅属于公司的所有文件与记录，包括但不限于：

1）规章章程、会议记要、工作计划和总结等内部文件资料；

2）凭证、账册、报表、对账记录、实物等会计资料；

3）签订的各类合同、招投标活动记录、材料物资核价单、供应商及人员信

息档案等资料；

第15页共30页

4）工程计划、施工图纸、预算、结算、决算、各类签证等文件资料；

5）行政管理、人力资源管理、档案管理等文件资料；

6）其他与风险控制、审计监察工作相关的资料。

9.6.3进行内部审计时，被审计单位应当按照风险控制管理中心规定的期限

和要求，向审计人员提供与审计内容相关的原始文件资料或者复印件。如有必要,

报经批准，风险控制管理中心可以暂时封存会计账册、凭证、档案等原始文件

和资料。

9.6.4风险控制管理中心是大额招标采购、发包工程等事项的招标、评标工作

小组的成员单位之一。

9.6.5集团有关部门和下属份子公司编制的经营、财务等计划和执行结果报

告，应当抄送风险控制管理中心。

9.6.6风险控制管理中心进行监督、巡查、审计工作时，有权实地察看、盘

点或者监督盘点实物，有权进行工作流程测试。

9.6.7风险控制管理中心履行职责时，有权就相关事项向有关单位和个人进行

书面或者口头调查、问询，集团下属单位和个人应当如实向审计人员反映情况，

提供有关证明材料。口头问询应作笔录，并由问询人员和被问询人员签署。

9.3.8审计人员应根据预定的审计目标，在预定的审计范围内实施内部审

计。如有必要并经批准，可调整审计目标，扩大审范围，或者进行追溯、延伸

审计。

939审计人员可以直接受理工作人员个人就可能存在的欺诈、浪费、滥用

第16页共30页

职权、不遵守行政、人事和其他章程或者与内部审计的任务规定相关的其他不

规范活动提出投诉或者提供的信息。

9.3.10审计人员在履行职责过程中，对被审计单位的下列行为，有权作出

制止的决定，提出改进经营管理的建设，并报告董事长和管理层：

1）阻扰、妨碍审计工作的行为；

2）转移、隐匿、篡改、毁弃会计凭证、账簿、报表以及其他与经济活动和

审计事项有关的资料；

3）截留、挪用公司资金、转移、隐匿、侵占公司财产行为；

4）其他违反公司内部规章、侵害公司经济利益的行为。

9.3.11风险控制管理中心向董事长或者公司管理层提交的审计报告和其他汇

报材料，可以不抄送、抄发相关单位和个人。

9.3.12对拒不提供有关资料、拒不回答提问等阻挠、妨碍审计工作的，以

及提供虚假资料或者配合不力，造成内部审计工作误判或者审计工作无法进行

的，经董事长批准，对违反法规和公司规定，行为视情节轻重提出限期整改、

通报批评，对有关责任人赋予处分、处罚或者追究刑事责任的建议。

9.3.13对遵守和维护法规和公司章程、经济效益显著、贡献突出的单位和

个人，可以提出表彰和奖励的建议。

第17页共30页

第四章工作程序

10年度工作计划

风险控制管理中心应当根据公司整体发展规划，拟定风险控制管理工作中

长期规划，根据风险控制管理与内部审计工作规划和公司年度总体计划拟定年

度工作计划，经董事长批准后执行。

11风险控制管理程序

11.1企业应对采集的风险管理初始信息和企业各项业务管理及其重要业务

流程进行风险评估。风险评估包拈风险辨识、风险分析、风险评价三个步骤。

11.1.1风险评估应由企业组织有关职能部门和业务单位实施，也可礼聘有

资质、信誉好、风险管理专业能力强的中介机构协助实施。

11.1.2风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业

务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明

确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。

11.1.3风险评价是评估风险对企业实现目标的影响程度、风险的价值等。

11.2进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法

可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、

管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论

（如集中趋势法）、计算机摹拟（如蒙特卡罗分析法）、失效模式与影响分析、

事件树分析等。

第18页共30页

11.3进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，

并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程

序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和

修改，并将定量评估系统的估算结果与实际效果对照，据此对有关参数进行调

整和改进C

11.4风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对

冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集

中管理。

11.5企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的

影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风

险的管理优先顺序和策略。

11.6企业应对风险管理信息实行动态管理，定期或者不定期实施风险辨识、

分析、评价，以便对新的风险和原有风险的变化重新评估。

12风险管理策略

12.1风险管理策略，指企业根据自身条件和外部环境，环绕企业发展战略，

确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、

风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具

的总体策略，并确定风险管理所需人力和财力资源的配置原则。

12.2普通情况下，对战略、财务、运营和法律风险，可采取风险承担、风

险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手

第19页共30页

段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

12.3企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿

意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风

险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把

握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围,

认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放

弃发展机遇。

12.4企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位

置，进一步确定风险管理的优选顺序，明确风险管理成木的资金预算和控制风

险的组织体系、人力资源、应对措施等总体安排。

12.5企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结

合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险

控制预警线实施的结果是否有效，并提出定性或者定量的有效性标准。

13风险管理解决方案

13.1企业应根据风险管理策略，针对各类风险或者每一项重大风险制定风

险管理解决方案。方案普通应包括风险解决的具体目标，所需的组织领导，所

涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后

所采取的具体应对措施以及风险管理工具（如：关键风险指标管理、损失事件

管理等）。

13.2企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包

第20页共30页

工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风

险等，并制定相应的预防和控制措施。

13.3企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与

风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉

及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所

涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

14企业制定内控措施，普通至少包括以下内容：

14.1建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、

条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；

14.2建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内

容、频率、传递路线、负责处理报告的部门和人员等；

14.3建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、

条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；

14.4建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定

各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；

14.5建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，

明确规定审计检查的对象、内容、方式和负责审计检查的部门等；

14.6建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执

行情况与绩效薪酬挂钩；

14.7建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布

第21页共30页

预警信息，制定应急预案，并根据情况变化调整控制措施；

14.8建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企

业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企

业法律顾问提供业务保障、全体员工共同参预的法律风险责任体系。完善企业

重人法律纠纷案件的备案管理制度；

14.9建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：

授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及

的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门

或者人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的

重点等。

14.10企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险

管理解决方案，确保各项措施落实到位。

15风险管理信息系统

15.1企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基

本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、

加工、分析、测试、传递、报告、披露等。

15.2企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化

值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未

经批准，不得更改。

15.3风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测

第22页共30页

试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;

能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信

息报告制度和企业对外信息披露管理制度的要求。

15.4风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与

共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、

业务单位的风险管理综合要求。

15.5企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不

断进行改进、完善或者更新。

15.6已建立或者基本建立企业管理信息系统的企业，应补充、调整、更新

己有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管

理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、

统一设计、统一实施、同步运行。

16审演序

16.1在实施审计时，对被审计单位进行审前调查，确定审计人员，制定

审计方案，明确审计范围、内容、方式和时间。

16.2董事长签发审计通知书，在实施审计工作前三天向被审计单位发出，

或者在实施审计时现场送达。被审计单位应当配合审计部门提供必要的工作

条件。

16.3审计人员在实施审计时所采取的方式，可以是就地审计、报送审计、

网上及时审计等，也可以几种方式结合进行。

第23页共30页

16.4审计人员可以用检查、观察、问询、盘点、监盘、计算、分析性复

核等方法实施审计，以及进行符合性和实质性测试，通过规范方法获得必要的

证据材料。

16.5审计人员应对所获得的相关证据进行整理、分析、研究、判断并相

互验证，评估各种证据的重要性、可靠性及与审计事项的相关性，依据有关证

据对具体的审计事项做出审计结论。

16.6审计人员可要求被审计单位或者有关人员在其提供的书面证据上签章。

如其拒绝签章，审计人员应注明原因，但不影响证据引用。

16.7实施审计的过程中，审计人员应与被审计单位及有关人员进行充分

的交流和沟通，充分听取被审计单位及有关人员的说明、解释和意见，确保审

计结论准确、公正、客观。

16.8审计外勤工作结束后10个工作日内，拟定审计报告初稿，经总监审核

批准后，视审计内容，送达被审计单位征求意见。被审计单位在收到审计报告

征求意见稿之日起10个工作日内就审计报告向风险控制管理中心出具书面意

见；如逾期未作回复，将视作无意见，审计人员在审计报告中注明，风险控

制管理中心应在查明后采取或者维持原报告。

16.9对被审计单位反馈的书面意见，风险控制管理中心查明后维持原报

告或者作必要的修改。

16.10风险控制管理中心根据审计报告草拟审计决定或者审计意见，报董

事长或者管理层审阅。经审定的审计决定或者审计意见，应和审计报告一并下

达被审计单位执行。执行过程中需要公司其他有关单位协助的，有关单位应当

予以协

第24页共30页

助、配合。

对审计报告反映的普遍性问题，经董事长批准，可以集团名义批转各部门、

下属公司执行。

（实际操作中，根据审计情况此条做一定的调整，若遇重大或者机密问题,

先与董事长就审计问题进行沟通，再与相关部门或者人员进行沟通）

16.11督察检查阶段，对审计报告述及的重大审计事项和审计建议及决定，

审计监察中心将对被审计单位进行跟踪检查，必要时实施后续审计。

17复议

被审计单位和个人对审计决定和审计报告不服，可以向风险控制管理中心

总监申请复议，复议期间原审计决定继续执行。

18资料归档

审计项目终结后，审计人员应将审计过程中所积累的各种资料，包括审计

决定、审计意见、审计报告、审计计划、审计工作底稿、各种审计证据、被审

计单位提供和通过各种形式获得的数据资料等加以集中、整理、分类和归档形

成审计档案。

第五章风险管理的监督与改进

19监督与改进

19.1企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重

第25页共30页

点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管

理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风

险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的

缺陷及时加以改进。

19.2企业应建立贯通于整个风险管理基本流程，连接各上下级、各部门和

业务单位的风险管理信息沟通渠道，确保信息沟通的及时•、准确、完整，为风

险管理监督与改进奠定基础。

19.3企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，

及时发现缺陷并改进，其检查、检验报告应及时报送风险控制管理中心。

19.4风险控制管理中心应定期对各部门和业务单位风险管理工作实施情

况和有效性进行检查和检验，对风险管理策略进行评估，对跨部门和业务单位

的风险管理解决方案进行评价，提出调整或者改进建议，出具评价和建议报告,

及时报送董事会。

19.5企业可礼聘有资质、信誉好、风险管理专业能力强的中介机构对企业

全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告普通应

包括以下几方面的实施情况、存在缺陷和改进建议：

19.5.1风险管理基本流程与风险管理策略；

19.5.2企业重大风险、重大事件和重要管理及业务流程的风险管理及内部

控制系统的建设；

19.5.3风险管理组织体系与信息系统；

第26页共30页

19.5.4全面风险管理总体目标。

20内部管理

20.1风险控制管理中心应根据相关规定，结合公司的实际情况，制定风险控制

管理工作手册，以指导风险控制、内部审计人员的工作。

20.2风险控制管理中心应建立内部激励约束章程，对风险控制、内部审计人员

的工作进行监督、考核，评价其工作业绩。

20.3风险控制、内部审计的工作结果和档案资料，未经董事长批准，不得向外

披露。

20.4风险控制管理中心应当每年编写一份审计工作报告，并报送董事长。工作

报告应当着重说明重大的审计发现和建议。

20.5董事会应当定期检查风险控制管理中心的工作，以确保风险控制、内部审

计工作的质量。

21内部审计责任和奖惩

21.1风险控制管理中心按照证据确凿、客观公正、结论准确、处理适当的

原则，对审计过程中发现并确认的违反规定章程的单位和