南京某企业企业内部审计与风险控制管理规定

[南京某企业]企业内部审计与风险控制管理规定第一章总则

第一条为有效预防、及时控制和妥善处理[企业内]各类突发事件，提高[企业]快速反应和应急处理能力，健全风险控制机制，最大程度地减少突发事件及其造成的损害，保障[员工]生命和财产安全，维护[企业]的正常生产经营秩序，根据《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《国家突发公共卫生事件应急预案》等法律法规及政策文件，结合[企业]实际，制定本管理规定。

第二条工作原则

1.统一指挥与快速反应机制。公司成立内部审计与风险控制管理领导小组（以下简称领导小组），全面负责公司内部审计与风险控制工作的组织、协调与监督。建立快速反应机制，确保风险事件信息能够迅速传递至领导小组，实现决策、处置环节的高效衔接，做到快速响应，精准研判，有效控制。

2.分级负责与属地管理。遵循内部管理权限和职责划分原则，明确各部门、各岗位在风险识别、评估、控制、报告等环节的具体职责。各部门负责人是其职责范围内风险控制的第一责任人，应落实属地管理要求，确保风险控制措施在本部门有效执行。

3.预防为主与及时控制。坚持预防与控制相结合，将风险关口前移。定期开展全面的风险排查，运用科学方法对风险进行动态评估，实现早发现、早预警、早报告、早处置。强化风险源的日常监控，对已识别的风险点制定并落实管控措施，将风险控制在可接受范围内，最大限度减少风险事件的发生概率和潜在影响。

4.系统联动与群防群控。构建覆盖公司各层级、各环节的风险控制网络，加强各部门、各系统间的信息共享与协同联动。形成全员参与、人人有责的风险防控格局，鼓励员工主动报告风险隐患，发挥群体力量，提升风险防控的整体效能。

5.区分性质与依法处置。在风险事件处置过程中，应根据事件的性质、影响程度及相关法律法规，采取分类分级的管理措施。坚持依法合规原则，保障员工合法权益，确保风险处置过程符合公司规章制度和国家法律法规要求，做到处置得当，合情合理合法，维护公司的正常生产经营秩序。

第三条适用范围

本管理规定适用于[企业内]各类内部审计与风险控制事件的应急处置工作。本管理规定所称突发事件，是指突然发生，造成或者可能造成[员工]身体严重损害、死亡，或是公司财产受到损失，[企业]正常生产经营秩序受到影响，[企业]声誉受到损害的事件等，主要包括以下几个方面：

1.社会安全类突发事件。包括：企业内或企业周边涉及[员工]的各种非法集会、游行、示威、请愿以及集体罢工、罢课等群体性事件，企业内发生的邪教组织非法传教活动、破坏性行为，[员工]的非正常死亡、失踪等可能会引发影响企业稳定的事件。

2.重大治安和刑事类突发事件。发生在企业内、造成一定范围内人员伤亡的重大治安和刑事案件，针对[员工]的各类恐怖袭击事件，或盗窃、诈骗等严重影响企业安全的刑事事件。

3.事故灾害类突发事件。发生在企业内的生产安全事故、火灾、爆炸、建筑物倒塌等重大安全事故，重大设备故障，交通运输事故，以及重大环境污染和生态破坏事故等。

4.公共卫生类突发事件。突然发生并造成或者可能造成公司[员工]健康严重损害的传染病疫情、职业中毒等事件。包括：在企业内发生的突发公共卫生事件；企业外发生的、可能对公司[员工]健康造成危害的突发公共卫生事件。

5.自然灾害类突发事件。包括：气象灾害（如台风、暴雨、雷击等）、洪水、地震、地质灾害等灾害及由各类自然灾害诱发的各种次生灾害等。

6.网络与信息安全类突发事件。包括：公司网络系统被攻击、瘫痪，重要数据被窃取、篡改或丢失，利用公司网络或信息系统发布有害信息、进行诈骗等破坏公司网络安全运行的事件。

7.考试安全类突发事件。（此类别适用于部分特定行业或设有内部考试的[企业]，如需适用可参照添加，否则可省略）在公司组织的内部职业技能考试、职称评定考试等过程中，出现的泄密事件，以及在考试实施、阅卷等过程中发生的违规事件。

8.其他影响企业安全稳定的公共事件。包括但不限于：严重影响企业正常运营的劳资纠纷、群体性利益诉求事件，以及由外部不可抗力因素引发的、可能对企业造成重大负面影响的事件。

第二章应急组织体系及职责

第四条突发事件应急组织体系

公司成立内部审计与风险控制管理领导小组（以下简称领导小组），领导小组下设办公室，设立社会安全类突发事件应急处置工作组、重大治安和刑事类突发事件应急处置工作组、事故灾害类突发事件应急处置工作组、公共卫生类突发事件应急处置工作组、自然灾害类突发事件应急处置工作组、网络与信息安全类突发事件应急处置工作组、考试安全类突发事件应急处置工作组、其他影响安全稳定的公共事件信息工作组等八个专项应急处置工作组。

第五条突发事件处置工作领导小组及主要职责

组长：公司主要负责人

副组长：公司分管安全、运营的副总经理

成员：公司办公室、风险控制部、人力资源部、财务部、生产运营部、安保部、技术部、法务部、各主要业务部门负责人。

领导小组职责：负责统一决策、组织、指挥公司各类内部审计与风险控制事件的应急响应行动，审定应急处置工作方案，批准应急处置资源的调配，下达应急处置指令，并对应急处置工作进行全程监督、指导和协调。重大问题在第一时间内向上级主管部门请示、报告。

第六条领导小组办公室及主要职责

突发事件应急处置工作领导小组下设办公室（以下简称办公室），领导小组办公室设在公司办公室，负责日常工作。

领导小组办公室的主要职责：负责收集、分析公司内部审计与风险控制事件的相关信息，及时向领导小组报告事件动态；协助领导小组起草应急处置工作方案和重要文件；组织协调各专项应急处置工作组的行动；督促、检查各部门落实内部审计与风险控制事件的应急处理工作情况；负责事件善后处理工作的协调；总结事件处置经验教训，提出改进建议。

第七条处置工作组及主要职责

针对各类内部审计与风险控制事件，领导小组下设相应的专项应急处置工作组：

1.社会安全类突发事件应急处置工作组。组长由公司分管人力资源/运营的副总经理担任，副组长由公司办公室主任担任。工作组成员由公司办公室、安保部、人力资源部、法务部、涉及事件的相关业务部门负责人组成。工作组办公室设在公司办公室。

主要职责：研判事件性质，协调处理员工群体性事件、劳资纠纷等，维护现场秩序，防止事态扩大；做好员工思想工作，化解矛盾；配合相关部门进行调查处理；及时上报事件信息。

2.重大治安和刑事类突发事件应急处置工作组。组长由公司分管安保工作的副总经理担任，副组长由公司安保部负责人担任。工作组成员由公司办公室、安保部、法务部、技术部、涉及事件的相关业务部门负责人组成。工作组办公室设在公司安保部。

主要职责：负责事件现场的警戒、封锁，保护现场证据；组织人员疏散，抢救伤员；配合公安机关开展调查取证、人员搜捕等工作；维护公司内部治安秩序，防止次生事件发生。

3.事故灾害类突发事件应急处置工作组。组长由公司分管生产运营/安全的副总经理担任，副组长由公司生产运营部/安保部负责人担任。工作组成员由公司办公室、安保部、生产运营部、技术部、财务部、涉及事件的相关业务部门负责人组成。工作组办公室设在公司生产运营部/安保部。

主要职责：评估事件影响，组织抢险救援，疏散人员；控制危险源，防止事故扩大；统计人员伤亡和财产损失情况；协调保险理赔等善后工作；配合政府部门进行事故调查。

4.公共卫生类突发事件应急处置工作组。组长由公司分管人力资源/后勤的副总经理担任，副组长由公司人力资源部/办公室负责人担任。工作组成员由公司办公室、人力资源部、安保部、涉及事件的相关业务部门（如食堂、宿舍管理）负责人组成。工作组办公室设在公司人力资源部/办公室。

主要职责：组织员工健康监测，排查病源；采取隔离、消毒等措施，防止疫情扩散；协调医疗资源，保障患者得到及时救治；做好员工心理疏导工作，稳定员工情绪。

5.自然灾害类突发事件应急处置工作组。组长由公司主管运营的副总经理担任，副组长由公司生产运营部/安保部负责人担任。工作组成员由公司生产运营部、安保部、技术部、涉及受影响区域的相关业务部门负责人组成。工作组办公室设在公司生产运营部/安保部。

主要职责：根据自然灾害情况，组织人员疏散和转移；抢修受损设施设备，恢复生产运营秩序；协调外部救援力量，共同开展抢险救灾工作。

6.网络与信息安全类突发事件应急处置工作组。组长由公司分管技术/信息工作的副总经理担任，副组长由公司技术部负责人担任。工作组成员由公司办公室、技术部、安保部、法务部、涉及信息系统相关的业务部门负责人组成。工作组办公室设在公司技术部。

主要职责：切断受感染的网络与信息系统，防止事件扩散；开展应急修复，恢复信息系统正常运行；调查事件原因，查明攻击源头；采取技术手段加强网络安全防护。

7.考试安全类突发事件应急处置工作组。（此类别适用于设有内部考核、认证等[企业]，如需适用可参照添加，否则可省略）组长由公司分管人力资源/技术/运营的副总经理担任，副组长由公司人力资源部/技术部负责人担任。工作组成员由公司办公室、人力资源部、技术部、法务部、涉及考核/认证的相关业务部门负责人组成。工作组办公室设在公司人力资源部/技术部。

主要职责：调查事件原因，确认事件影响范围；采取措施防止事件再次发生；评估事件对考核/认证结果的影响，依法依规进行处理；做好受影响员工的沟通和安抚工作。

8.其他影响安全稳定的公共事件信息工作组。组长由公司分管办公室工作的副总经理担任，副组长由公司办公室主任担任。工作组成员由公司办公室、安保部、人力资源部、技术部、涉及事件的相关业务部门负责人组成。工作组办公室设在公司办公室。

主要职责：负责收集、汇总、分析各类影响公司安全稳定的公共事件信息，及时向领导小组报告；协助领导小组做好信息发布和舆论引导工作；协调相关部门做好事件的应对处置工作；跟踪事件发展动态，及时更新信息。

第三章预防和预警机制

第八条预防预警信息管理规范

为有效预防、及时发现和处置公司内部审计与风险控制相关突发事件，建立规范的信息报送和管理机制，特制定本规范。

1.信息报送核心原则

公司各部门、各岗位在风险识别、评估、控制过程中及日常运营中，如发现或接到可能引发内部审计与风险控制相关突发事件的线索或信息，必须遵循以下核心原则进行报送：

（1）及时性。信息报送要迅速及时，确保领导小组能在第一时间掌握事件情况，为决策和处置赢得主动。

（2）首报意识。事件发生后或发现风险时，第一时间向直接上级或指定部门报告，不得延误。

（3）真实性。报送的信息必须客观、真实，不得歪曲、隐瞒或夸大事件情况。

（4）完整性。报送的信息应包含应急信息核心要素清单所列内容，确保信息全面、准确。

（5）续报要求。事件情况发生变化或处置过程中，应及时续报最新进展、采取的措施及效果等。

2.信息报送流程

内部审计与风险控制相关突发事件的预防预警信息，按以下流程逐级报送：

（1）部门报告：信息初判为公司内部审计与风险控制相关突发事件后，由事发部门或知悉信息的部门立即向其直接上级报告。

（2）公司办公室报告：部门向上级报告后，公司办公室在接到报告或接到下一级报告后，应立即核实信息，并根据事件初步判断的级别和性质，决定是否立即向领导小组报告及向上级主管部门报告。

（3）领导小组报告：公司办公室接到需要上报的信息后，应立即向领导小组组长和副组长报告。领导小组组长或授权副组长根据事件严重程度，决定是否需向上级主管部门报告。

（4）上级报告：根据领导小组的决策，由公司办公室或指定的牵头部门按照规定程序和时限，向公司上级主管部门、省委办公厅等相关单位报告。

3.紧急书面信息报送流程

对于达到重大突发事件标准的突发事件（具体标准见本规范第5条），或根据事件发展态势判断可能升级为重大事件的，除按规定时限电话报告外，还应遵循以下紧急书面报送流程：

（1）电话报告：事发部门或知悉信息的部门在事件发生后，必须在40分钟内向公司办公室电话报告事件基本信息（包括本规范第4条所述核心要素的关键内容），同时口头报告至公司领导小组相关领导。

（2）书面报告准备：公司办公室在接到电话报告后，立即启动书面报告准备程序，指定专人负责撰写。

（3）书面报告撰写：书面报告应包含应急信息核心要素清单所列全部内容，语言精练、要素齐全、数据准确。报告撰写人员应与事件相关部门保持密切沟通，确保信息的准确性和完整性。

（4）书面报告报送：书面报告初稿完成后，由公司办公室负责人审核，确认无误后，在事件发生后2小时内，通过公司内部网络系统、加密邮件或机要交换等方式，报送至公司领导小组，并根据领导小组指示，同时抄送或直报至公司上级主管部门、省委办公厅等相关单位。

4.应急信息核心要素清单

报送的所有内部审计与风险控制相关突发事件信息，均应包含以下核心要素：

（1）时间：事件发生或发现的确切时间（年、月、日、时、分）。

（2）地点：事件发生的具体地理位置（精确到具体场所或区域）。

（3）规模：事件影响或波及的范围、程度，涉及的人员数量等。

（4）伤亡：事件造成的人员伤亡情况（死亡人数、重伤人数、轻伤人数等）。

（5）起因：事件发生的原因初步分析或已知因素。

（6）评估：根据初步掌握的情况，对事件可能造成的影响、危害程度进行评估。

（7）措施：已经采取或建议采取的应急处置、控制措施。

（8）进展：事件发展变化情况，处置工作进展及效果。

（9）报告单位：信息报送部门或个人的名称。

（10）联系方式：报告人的姓名和联系电话。

5.重大突发事件紧急报告清单及时限

下列公司内部审计与风险控制相关突发事件信息，须在事件发生后40分钟内通过电话向公司办公室报告，并在2小时内完成书面报告报送：

（1）重大事故灾难：如重大生产安全事故、重大交通运输事故、重大火灾、爆炸事故、重大设备故障等。

（2）重大公共卫生事件：如重大传染病疫情、群体性不明原因疾病、重大食品安全事件等。

（3）重大自然灾害：如地震、洪水、台风、滑坡、泥石流等造成重大损失或影响的事件。

（4）涉国防、港澳台、外交领域重要紧急动态：如涉及公司利益的敏感政治、军事、外交事件。

（5）重大预警动向：如可能引发重大突发事件的敏感信息、谣言传播、极端行为苗头等。

（6）其他涉国家安全和社会稳定的重要紧急情况：如严重影响公司运营的群体性事件、重大网络攻击事件、严重破坏公司形象的事件等。

第九条预防预警行动

在公司内部审计与风险控制管理领导小组的统一部署和指导下，各专项应急处置工作组及相关部门应常态化开展以下预防预警行动：

1.加强应急机制日常管理。领导小组各成员单位及各专项应急处置工作组，应依据本规定及相关预案，建立健全内部风险排查、信息报告、应急值守等制度，明确职责分工，落实管理责任，确保应急管理工作常态化、规范化运行。

2.持续完善各类应急预案。各专项应急处置工作组应根据公司实际情况变化、风险评估结果及演练评估情况，定期对各类内部审计与风险控制相关突发事件的应急预案进行修订和完善，确保预案的针对性、实用性和可操作性。

3.加强应急队伍建设。公司应建立专兼职相结合的应急队伍，明确队伍规模、人员构成和职责分工。定期对应急队伍进行选拔、培训和考核，提升队伍的专业素质和实战能力，确保关键时刻拉得出、用得上、打得赢。

4.定期组织应急培训和模拟演练。公司应制定年度应急培训计划，针对不同岗位、不同风险类型，开展分层分类的应急知识培训和技能培训。定期组织不同规模、不同场景的应急模拟演练，检验预案的有效性，锻炼队伍的协同作战能力，提高应急处置效率。

5.做好关键应急物资的储备、管理和维护。公司应根据风险评估和应急需要，制定应急物资储备清单，明确储备种类、数量、存放地点和保管要求。建立应急物资台账，定期检查、维护和更新应急物资，确保物资的质量和有效性，保障应急状态下物资能够及时、充足地供应。

第四章应急响应

第十条按事件等级响应

1.事件等级划分

根据事件可能造成的危害程度、影响范围和紧急程度，将公司内部审计与风险控制相关突发事件分为四个等级：

（1）I级事件（红色预警）：特别重大突发事件。指突然发生，造成或可能造成公司员工30人以上死亡（含失踪），或危及员工生命安全，或公司关键核心业务中断，或造成重大经济损失（具体标准由公司根据实际情况另行制定），或严重影响公司声誉、社会稳定的事件。例如：发生重大生产安全事故、重大火灾、重大爆炸事故，造成员工重大伤亡；发生特别重大网络安全事件，导致公司核心系统瘫痪，大量数据丢失或泄露，严重影响正常运营；发生重大公共卫生事件，造成员工群体性感染或死亡。

（2）II级事件（橙色预警）：重大突发事件。指突然发生，造成或可能造成公司员工10人以上30人以下死亡（含失踪），或危及员工生命安全，或公司重要业务中断，或造成较大经济损失（具体标准由公司根据实际情况另行制定），或造成较严重影响公司声誉、社会稳定的事件。例如：发生较大生产安全事故、较大火灾、较大爆炸事故，造成员工伤亡；发生重大网络安全事件，导致公司重要系统受损，部分数据丢失或泄露，对正常运营造成较大影响；发生较大公共卫生事件，造成员工较多感染或出现死亡病例。

（3）III级事件（黄色预警）：较大突发事件。指突然发生，造成或可能造成公司员工3人以上10人以下死亡（含失踪），或危及员工生命安全，或公司部分业务中断，或造成一定经济损失（具体标准由公司根据实际情况另行制定），或造成一定影响公司声誉、社会稳定的事件。例如：发生一般生产安全事故、一般火灾、一般爆炸事故，造成员工伤亡；发生一般网络安全事件，导致公司系统运行异常，少量数据泄露，对正常运营造成一定影响；发生一般公共卫生事件，造成员工感染。

（4）IV级事件（蓝色预警）：一般突发事件。指突然发生，造成或可能造成公司员工死亡（含失踪）3人以下，或对公司生产经营秩序造成影响，但影响范围有限、危害程度较轻的事件。例如：发生轻微生产安全事故、轻微火灾、盗窃等治安事件，未造成员工伤亡；发生一般网络安全事件，影响范围小，未造成严重后果；发生一般公共卫生事件，个别员工轻微不适，经及时处理无大碍。

2.各级事件应急响应程序

公司各部门在确认内部审计与风险控制相关突发事件发生后，应立即启动相应等级的应急响应程序，遵循“统一指挥、分类管理、分级负责、快速反应、协同应对”的原则，成立现场指挥部（根据事件等级和性质确定），制定并实施处置方案，组织开展应急处置工作。

（1）特别重大事件（I级）应急响应

特别重大事件（I级）发生后，事发部门应在20分钟内向公司办公室报告事件初步情况，公司办公室在接到报告后立即向领导小组组长和副组长报告。领导小组组长或授权副组长立即决定启动I级应急响应，立即成立现场指挥部，立即启动公司内部审计与风险控制相关突发事件I级应急预案。公司办公室应在1小时内将事件信息及相关处置请求报告至公司上级主管部门。

（2）重大事件（II级）应急响应

重大事件（II级）发生后，事发部门应在20分钟内向公司办公室报告事件初步情况，公司办公室在接到报告后立即向领导小组组长和副组长报告。领导小组组长或授权副组长立即决定启动II级应急响应，立即成立现场指挥部（可根据事件性质由领导小组指定牵头部门和参与单位），立即启动公司内部审计与风险控制相关突发事件II级应急预案。公司办公室应在1小时内将事件信息及相关处置请求报告至公司上级主管部门。

（3）较大事件（III级）应急响应

较大事件（III级）发生后，事发部门应在20分钟内向公司办公室报告事件初步情况，公司办公室在接到报告后立即向领导小组组长和副组长报告。领导小组组长或授权副组长立即决定启动III级应急响应，立即成立现场指挥部（可根据事件性质由领导小组指定牵头部门和参与单位），立即启动公司内部审计与风险控制相关突发事件III级应急预案。公司办公室应在1小时内将事件信息及相关处置请求报告至公司上级主管部门。

（4）一般事件（IV级）应急响应

一般事件（IV级）发生后，事发部门应在20分钟内向公司办公室报告事件初步情况，公司办公室在接到报告后立即向领导小组报告。领导小组根据事件情况，决定启动IV级应急响应，及时成立现场指挥部（可根据事件性质由领导小组指定牵头部门和参与单位），及时启动公司内部审计与风险控制相关突发事件IV级应急预案。公司办公室应在1小时内将事件信息及相关处置情况报告至公司上级主管部门。

公司应建立健全现场指挥调度机制，指派相关人员第一时间赶赴事发现场，收集第一手信息，并及时上报。建立健全统筹协调机制，加强各部门间的信息共享与协同配合。建立健全应急联动机制，根据事件需要，及时与相关单位（如政府相关部门、上级主管部门、兄弟单位等）沟通协调，形成处置合力。

3.现场指挥部核心任务

现场指挥部是突发事件现场应急处置的指挥、协调和决策机构，其核心任务包括：

（1）控制事态发展。迅速制定现场处置方案，组织力量开展现场救援、人员疏散、警戒隔离、秩序维护等工作，防止事态扩大和蔓延，将突发事件造成的损失降到最低。

（2）掌握事件进展。通过现场勘查、信息收集、人员询问、动态监测等方式，全面掌握事件的发展态势、影响范围和危害程度，为科学决策提供依据。

（3）及时准确报告。建立信息报告制度，及时向领导小组及上级主管部门报告事件处置进展情况，确保信息传递的及时性、准确性和完整性。

（4）适时发布信息引导舆论。根据领导小组的统一部署，适时、适度向社会或内部发布权威信息，澄清事实，回应关切，引导舆论，维护公司形象和声誉。

第五章应急保障

第十一条通讯与信息保障

公司应建立健全覆盖信息收集、分析、传递、报送、处理全流程的管理机制，确保信息处理高效、规范。完善内部通讯网络、应急通讯设备和外部信息渠道，定期检查维护，确保应急状态下各类信息能够通过电话、网络、专用通讯工具等多种渠道及时、准确、安全地传递。建立信息备份与恢复机制，确保信息系统稳定运行，保障信息资源的完整性和可用性。

第十二条物资与资金保障

公司应将应急处置所需经费纳入年度财务预算，确保应急处置工作所需资金保障。建立关键应急物资（包括但不限于医疗急救药品、防护用品、通讯设备、照明工具、救援器材、生活必需品等）的储备制度，指定专门部门负责，明确各类物资的储备种类、数量、存放地点、保管要求、维护保养周期及领用程序。重要应急物资应指定专人专柜保管，并定期检查、补充，确保物资充足、完好、可用。建立应急资金快速审批通道，确保应急处置资金需求得到及时满足。

第十三条人员与