上海某企业企业内部审计与风险控制管理规范

[上海某企业]企业内部审计与风险控制管理规范第一章总则

第一条为有效预防、及时控制和妥善处理[企业内]各类风险事件，提升企业风险管控和应急处置能力，健全风险控制机制，最大程度地减少风险事件及其造成的损失，保障[员工]生命安全与财产安全，维护正常的生产经营秩序，促进[企业]稳定发展，根据《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》、《国家突发公共事件总体应急预案》、《国家安全生产事故应急预案》等法律法规及相关规定，结合本企业实际，制定本规范。

第二条工作原则

1.统一指挥与快速反应机制。企业成立内部审计与风险控制管理领导小组（以下简称领导小组），作为风险事件处置的统一指挥机构，全面负责企业风险事件的应对处置工作。建立快速反应机制，确保风险事件的发现、报告、评估、指挥、处置等环节紧密衔接，实现快速响应、科学研判、果断处置。

2.分级负责与属地管理。遵循内部管理权限和责任体系，明确不同层级、不同部门在风险事件处置中的职责分工。风险事件发生后，由相应层级的管理部门或责任单位启动相应的风险控制预案，企业内部各业务单元、部门主要负责人是其职责范围内风险事件处置的第一责任人。

3.预防为主与及时控制。坚持预防为主、防治结合的原则，建立健全风险排查、评估、预警机制，定期开展全面风险排查，强化风险信息的收集、分析和研判，实现早发现、早预警、早报告、早处置。对已发生或可能发生的风险事件，要迅速采取有效措施进行控制，防止事态蔓延和扩大，将风险损害降至最低。

4.系统联动与群防群控。建立跨部门、跨层级的风险信息共享和协同处置机制，形成内部审计、风险控制、业务部门等环环相扣的联动体系。充分发挥各业务单元、部门及员工的主体作用，构建全员参与、协同配合的风险防控网络，实现群防群控。

5.区分性质与依法处置。根据风险事件的不同性质、影响范围和危害程度，采取差异化的处置措施。处置工作必须符合国家有关法律法规和企业内部规章制度的要求，坚持保护员工合法权益，做到程序正当、处理得当、结果公正，确保处置过程合法、合理、合规。

第三条适用范围

本规范适用于[企业内]各类风险事件的内部审计与风险控制管理工作。本规范所称突发事件，是指突然发生，造成或者可能造成[员工]身体伤害、死亡，或者企业财产损失、经营秩序受到严重影响，以及企业声誉受到损害的事件。此类事件主要包括以下八个类别：

1.社会安全类突发事件。包括：企业内部或周边发生的涉及[员工]的非法集会、游行、示威、请愿以及集体罢工、罢市等群体性事件；企业内部发生的暴力事件、恐怖袭击事件；以及可能引发影响企业稳定的事件。

2.重大治安和刑事类突发事件。发生在企业内、造成一定范围内人员伤亡的重大治安和刑事案件；针对[员工]的绑架、抢劫等恶性刑事案件。

3.事故灾害类突发事件。发生在企业内的生产安全事故、火灾、爆炸、建筑物倒塌等重大安全事故；以及因自然灾害引发的、对企业生产经营造成重大影响的事件。

4.公共卫生类突发事件。突然发生并造成或者可能造成企业在职人员健康严重损害的传染病疫情、食物中毒等事件。

5.自然灾害类突发事件。包括：地震、台风、洪水、暴雨、雷击等灾害及由各类自然灾害诱发的各种次生灾害等，对企业生产经营造成重大影响。

6.网络与信息安全类突发事件。包括：企业内部网络或信息系统被攻击、破坏，导致系统瘫痪、数据泄露；以及因网络病毒、黑客入侵等造成严重后果的事件。

7.考试安全类突发事件。企业在职人员参加外部组织的资格认证、技能考试等过程中发生的泄密、作弊等事件。

8.其他影响企业安全稳定的公共事件。包括：因政策调整、市场变化等引发的重大经营风险事件；以及对企业声誉造成重大负面影响的突发事件。

第二章应急组织体系及职责

第四条突发事件应急组织体系

企业成立突发事件处置工作领导小组（以下简称领导小组），作为企业风险事件处置的统一指挥机构。领导小组下设办公室，并设立以下八个专项应急处置工作组：

1.社会安全类突发事件应急处置工作组；

2.重大治安刑事类突发事件应急处置工作组；

3.事故灾害类突发事件应急处置工作组；

4.公共卫生类突发事件应急处置工作组；

5.自然灾害类突发事件应急处置工作组；

6.网络与信息安全类突发事件应急处置工作组；

7.考试安全类突发事件应急处置工作组；

8.其他影响安全稳定的公共事件应急处置工作组（以下简称信息工作组）。

第五条突发事件处置工作领导小组及主要职责

领导小组由企业主要负责人担任组长，企业分管安全、生产、运营等工作的负责人担任副组长，成员单位包括企业办公室、安全环保部、人力资源部、生产运行部、技术部、财务部、后勤保障部、法务部、各主要业务部门等主要负责人。

领导小组职责：

1.负责企业风险事件应急工作的统一决策、组织、指挥和协调；

2.审定企业风险事件应急预案，决定启动和终止应急响应；

3.指挥、部署企业风险事件的应急处置工作，协调解决应急处置过程中的重大问题；

4.审批应急资源调配方案，下达应急处置指令；

5.向上级主管部门和相关政府部门报告重大风险事件情况；

6.组织开展风险事件调查评估，总结应急处置经验教训。

第六条领导小组办公室及主要职责

领导小组办公室设在企业办公室，由办公室主任兼任办公室主任，并指定专人负责日常工作。

领导小组办公室主要职责：

1.负责收集、整理、分析企业风险事件相关信息，及时向领导小组报告；

2.根据领导小组的决策，起草、审核、发布应急处置指令和措施；

3.协调各专项工作组、成员单位开展应急处置工作；

4.负责与企业内外部相关单位的沟通联络，协调应急资源；

5.组织开展风险事件现场处置的督导检查，确保各项措施落实到位；

6.负责风险事件应急处置数据的统计、分析和归档；

7.组织开展风险事件应急处置的总结评估，提出改进建议。

第七条处置工作组及主要职责

各专项应急处置工作组在领导小组的统一指挥下开展工作，组长由领导小组指定的牵头部门负责人担任，副组长由牵头部门指定副职或业务骨干担任，成员单位由与事件处置相关的部门组成，办公室设在牵头部门。

1.社会安全类突发事件应急处置工作组

组长：由企业分管安全或综治工作的负责人担任

副组长：由办公室或安全环保部负责人担任

成员单位：办公室、安全环保部、人力资源部、后勤保障部、法务部、相关业务部门等

办公室：设在办公室或安全环保部

主要职责：

1.掌握企业内部社会矛盾纠纷动态，及时发现和处置可能引发群体性事件的苗头；

2.协调公安机关处置企业内部发生的治安事件、刑事案件；

3.开展事件调查，提出处置方案，维护企业正常生产经营秩序；

4.做好信息发布和舆论引导工作，防止不实信息传播引发负面影响。

2.重大治安刑事类突发事件应急处置工作组

组长：由企业分管安全或保卫工作的负责人担任

副组长：由安全环保部或保卫部负责人担任

成员单位：安全环保部、保卫部、人力资源部、后勤保障部、法务部、相关业务部门等

办公室：设在安全环保部或保卫部

主要职责：

1.负责企业内部治安巡逻、安全检查，预防和制止各类违法犯罪活动；

2.发生治安事件、刑事案件时，迅速到场处置，保护现场，控制事态；

3.配合公安机关开展现场勘察、调查取证、抓捕嫌疑人等工作；

4.做好受影响人员安抚和善后处理工作。

3.事故灾害类突发事件应急处置工作组

组长：由企业分管生产或运营工作的负责人担任

副组长：由生产运行部或相关业务部门负责人担任

成员单位：生产运行部、技术部、安全环保部、设备管理部、后勤保障部、人力资源部等

办公室：设在生产运行部或相关业务部门

主要职责：

1.负责企业生产安全事故、设备事故、环境污染事故等的应急处置；

2.组织开展事故调查，分析事故原因，提出防范措施；

3.组织开展抢险救援、人员疏散、环境监测等工作；

4.配合政府部门开展事故调查处理。

4.公共卫生类突发事件应急处置工作组

组长：由企业分管后勤或健康的负责人担任

副组长：由后勤保障部或卫生管理部门负责人担任

成员单位：后勤保障部、人力资源部、安全环保部、卫生管理部门、相关业务部门等

办公室：设在后勤保障部或卫生管理部门

主要职责：

1.负责企业内部传染病疫情、食物中毒等公共卫生事件的应急处置；

2.开展健康监测，隔离治疗患者，防止疫情扩散；

3.组织开展环境卫生整治，加强食品卫生管理；

4.配合卫生防疫部门开展流行病学调查和处置。

5.自然灾害类突发事件应急处置工作组

组长：由企业分管行政或综合工作的负责人担任

副组长：由办公室或后勤保障部负责人担任

成员单位：办公室、后勤保障部、安全环保部、设备管理部、相关业务部门等

办公室：设在办公室或后勤保障部

主要职责：

1.负责企业内部自然灾害（如地震、洪水、台风等）的应急处置；

2.组织开展抢险救灾，转移安置人员，保护重要物资；

3.开展灾后恢复重建工作，尽快恢复正常生产经营秩序；

4.配合政府部门开展自然灾害的应对工作。

6.网络与信息安全类突发事件应急处置工作组

组长：由企业分管信息或技术的负责人担任

副组长：由技术部或信息中心负责人担任

成员单位：技术部、信息中心、安全环保部、办公室、人力资源部等

办公室：设在技术部或信息中心

主要职责：

1.负责企业网络与信息安全事件的应急处置，包括网络攻击、病毒入侵、数据泄露等；

2.迅速切断故障源头，恢复信息系统正常运行；

3.开展网络与信息安全事件的调查分析，提出改进措施；

4.加强网络与信息安全防护，防止类似事件再次发生。

7.考试安全类突发事件应急处置工作组

组长：由企业分管培训或考核工作的负责人担任

副组长：由人力资源部或培训管理部门负责人担任

成员单位：人力资源部、培训管理部门、安全环保部、办公室等

办公室：设在人力资源部或培训管理部门

主要职责：

1.负责企业内部各类考试（如职称评审、技能考核等）的安全保障工作；

2.预防和处置考试期间可能发生的突发事件，如试卷泄露、作弊行为等；

3.维护考试秩序，确保考试公平公正；

4.对考试安全事故进行调查处理，提出防范措施。

8.其他影响安全稳定的公共事件应急处置工作组（信息工作组）

组长：由企业分管办公室或综合工作的负责人担任

副组长：由办公室主任担任

成员单位：办公室、安全环保部、人力资源部、生产运行部、技术部、后勤保障部、法务部、各主要业务部门等

办公室：设在办公室

主要职责：

1.负责收集、整理、分析企业内外部各类信息，及时发现可能影响企业安全稳定的公共事件；

2.协调各专项工作组、成员单位开展其他影响安全稳定的公共事件的应急处置工作；

3.负责与企业内外部相关单位的沟通联络，协调应急资源；

4.负责企业风险事件应急处置信息的汇总、分析、上报和发布；

5.组织开展风险事件应急处置的总结评估，提出改进建议。

第三章预防和预警机制

第八条预防预警信息管理规范

为有效预防和控制突发事件，确保信息报送的及时、准确、全面，特制定本规范。本规范适用于[企业内]突发事件预防预警信息的收集、分析、报送和处置工作。

1.信息报送核心原则

突发事件信息的报送应遵循以下核心原则：

(1)及时性。信息报送必须迅速及时，确保第一时间掌握事件动态。

(2)首报意识。发现突发事件或可疑情况时，应立即进行首次报告，不得迟延。

(3)真实性。报送信息必须客观真实，不得虚构、隐瞒或歪曲事实。

(4)完整性。报送信息应包含应急信息核心要素，确保信息全面、完整。

(5)续报要求。事件发展过程中，应根据要求及时进行续报，反映事态进展和处置情况。

2.信息报送流程

突发事件信息的报送应按照以下流程进行：

(1)初级报告：事件发生部门或发现人应立即向[企业内]办公室报告事件初步信息。

(2)办公室核实与汇总：[企业内]办公室接到报告后，应迅速核实事件情况，并汇总相关信息。

(3)领导小组决策：[企业内]办公室将核实后的信息报突发事件处置工作领导小组（以下简称领导小组）组长，领导小组组长根据事件性质和严重程度，决定是否启动应急预案，并下达处置指令。

(4)上级报告：领导小组决定启动应急预案后，[企业内]办公室应根据领导小组的指示，及时向上级主管部门报告事件情况。

3.紧急书面信息报送流程

发生重大突发事件时，[企业内]办公室应按照以下流程进行紧急书面信息报送：

(1)电话报告：事件发生部门或发现人应在事件发生后40分钟内通过电话向[企业内]办公室报告事件基本情况。

(2)书面报告：[企业内]办公室应在事件发生后2小时内完成书面报告，并报送领导小组和上级主管部门。

4.应急信息核心要素清单

报送突发事件信息时，应包含以下核心要素：

(1)时间：事件发生的确切时间。

(2)地点：事件发生的具体地点。

(3)规模：事件影响的范围和涉及的人员数量。

(4)伤亡：事件造成的伤亡情况，包括受伤和死亡人数。

(5)起因：事件发生的初步原因分析。

(6)评估：对事件性质的初步评估和可能造成的影响。

(7)措施：已经采取的应急处置措施。

(8)进展：事件的发展情况和处置进展。

(9)其他：其他需要说明的事项。

5.重大突发事件紧急报告清单

下列突发事件信息须在事件发生后40分钟内通过电话向省委办公厅口头报告，或书面报送信息，书面报告需在事发后2小时以内报送：

(1)重大自然灾害：如地震、洪水、台风等造成重大人员伤亡或财产损失的灾害事件。

(2)重大事故灾难：如生产安全事故、重大火灾、爆炸等造成重大人员伤亡或财产损失的事故事件。

(3)重大公共卫生事件：如传染病疫情、食物中毒等造成或可能造成重大人员伤亡的公共卫生事件。

(4)涉国防、港澳台、外交领域重要紧急动态：如涉及国家安全、领土主权、重要涉外事务等紧急动态。

(5)重大预警动向：如可能引发重大突发事件的敏感性、预警性、行动性动向。

(6)其他涉国家安全和社会稳定的重要紧急情况：如恐怖袭击、群体性事件等可能引发重大社会影响的紧急情况。

第九条预防预警行动

在突发事件处置工作领导小组（以下简称领导小组）的统一部署下，各专项应急处置工作组及相关部门必须常态化开展以下预防预警行动：

1.加强应急机制日常管理。各工作组及相关部门依据职责分工，加强对本领域、本部门风险隐患的日常排查和监测，建立健全风险信息共享机制，完善应急值守制度，确保信息畅通、反应迅速，持续提升应急管理的规范化、精细化水平。

2.持续完善各类应急预案。定期组织对各类突发事件应急预案的评估和修订工作，确保预案的针对性、实用性和可操作性。根据法律法规变化、企业实际情况调整、应急演练评估结果等，及时更新预案内容，形成动态管理的预案体系。

3.加强应急队伍建设。按照专业化和一专多能的要求，加强应急队伍的组建和日常管理，明确队伍组成、职责分工和培训要求。定期开展应急队伍的技能培训和素质提升工作，确保队伍具备应对各类突发事件的能力。

4.定期组织应急培训和模拟演练。制定年度应急培训计划，面向[企业内]全体员工或重点人群开展突发事件应对知识、技能和意识的培训。定期组织不同规模、不同场景的应急模拟演练，检验预案的可行性、队伍的协同性和应急响应的有效性，并根据演练结果改进应急预案和处置措施。

5.做好关键应急物资的储备、管理和维护。根据应急预案和实际需要，制定应急物资储备计划，明确储备种类、数量、地点和责任单位。建立健全应急物资入库、出库、保管、维护和更新制度，确保应急物资的质量良好、数量充足、取用便捷，保障应急状态下物资能够及时、充足供应。

第四章应急响应

第十条按事件等级响应

1.事件等级划分

根据突发事件可能造成的危害程度、影响范围和紧急程度，将突发事件分为以下四个等级：

(1)I级事件（红色预警）：特别重大突发事件。指突然发生，造成或者可能造成[企业内]30人以上死亡（含失踪），或者危及[企业内]100人以上健康，或者直接经济损失1亿元以上，以及涉及[企业内]生命线工程、重要基础设施、重大危险源发生严重破坏或者运行中断，或者危及[企业内]公共安全，需要或者可能严重影响[企业]正常生产经营，并造成或者可能造成[企业]社会影响特别严重的突发事件。

(2)II级事件（橙色预警）：重大突发事件。指突然发生，造成或者可能造成[企业内]10人以上30人以下死亡（含失踪），或者危及[企业内]50人以上100人以下健康，或者直接经济损失5000万元以上1亿元以下，以及涉及[企业内]生命线工程、重要基础设施、重大危险源发生较大破坏或者运行中断，或者危及[企业内]公共安全，需要或者可能严重影响[企业]正常生产经营，并造成或者可能造成[企业]社会影响严重的突发事件。

(3)III级事件（黄色预警）：较大突发事件。指突然发生，造成或者可能造成[企业内]3人以上10人以下死亡（含失踪），或者危及[企业内]20人以上50人以下健康，或者直接经济损失1000万元以上5000万元以下，以及涉及[企业内]生命线工程、重要基础设施、重大危险源发生一般破坏或者运行中断，或者危及[企业内]公共安全，需要或者可能影响[企业]正常生产经营，并造成或者可能造成[企业]社会影响较大的突发事件。

(4)IV级事件（蓝色预警）：一般突发事件。指突然发生，造成或者可能造成[企业内]3人以下死亡（含失踪），或者危及[企业内]20人以下健康，或者直接经济损失1000万元以下，以及涉及[企业内]生命线工程、重要基础设施、重大危险源发生轻微破坏或者运行中断，或者危及[企业内]公共安全，需要或者可能影响[企业]正常生产经营，并造成或者可能造成[企业]社会影响一般的突发事件。

2.各级事件应急响应程序

突发事件发生后，[企业内]各部门应立即响应，按照“统一指挥、分类管理、分级负责、条块结合、分工协作”的原则，迅速开展应急处置工作。

(1)成立现场指挥部。根据事件等级和实际情况，由领导小组指定人员成立现场指挥部，统一指挥、协调现场应急处置工作。

(2)现场处置。现场指挥部迅速组织力量赶赴现场，开展人员搜救、现场控制、危险排除、信息收集等先期处置工作，防止事态蔓延和扩大。

(3)信息报告。按照本规范要求，及时、准确、全面地向上级报告事件信息。

(1)I级事件（红色预警）应急响应

I级事件发生后，[企业内]事发部门应在20分钟内将初步信息报告[企业内]办公室，[企业内]办公室接报后应立即向领导小组报告，并启动I级事件应急预案，领导小组立即成立现场指挥部，迅速组织开展应急处置工作。[企业内]办公室应在1小时内将事件信息报告上级主管部门，并请求指示。

(2)II级事件（橙色预警）应急响应

II级事件发生后，[企业内]事发部门应在20分钟内将初步信息报告[企业内]办公室，[企业内]办公室接报后应立即向领导小组报告，并启动II级事件应急预案，领导小组立即成立现场指挥部，迅速组织开展应急处置工作。[企业内]办公室应在1小时内将事件信息报告上级主管部门，并请求指示。

(3)III级事件（黄色预警）应急响应

III级事件发生后，[企业内]事发部门应在20分钟内将初步信息报告[企业内]办公室，[企业内]办公室接报后应立即向领导小组报告，并启动III级事件应急预案，领导小组可成立现场指挥部，指导、协调应急处置工作。[企业内]办公室应在1小时内将事件信息报告上级主管部门，并请求指示。

(4)IV级事件（蓝色预警）应急响应

IV级事件发生后，[企业内]事发部门应在20分钟内将初步信息报告[企业内]办公室，[企业内]办公室接报后应立即向领导小组报告，并启动IV级事件应急预案，领导小组根据事件情况决定是否成立现场指挥部，并对应急处置工作进行指导。[企业内]办公室应在1小时内将事件信息报告上级主管部门。

3.现场指挥部核心任务

现场指挥部应履行以下核心任务：

(1)控制事态。迅速采取措施控制现场，隔离危险区域，维护现场秩序，防止事态进一步扩大。

(2)掌握进展。密切关注事件动态，及时收集、分析信息，准确评估事态发展趋势。

(3)及时报告。根据领导小组要求，及时、准确、全面地报告事件信息，为决策提供依据。

(4)适时发布信息引导舆论。根据领导小组授权，适时、适度、准确地发布信息，回应社会关切，引导舆论走向，维护[企业]形象。

第五章应急保障

第十一条通讯与信息保障

建立健全信息收集、分析、传递、报送、处理的规范化流程和责任制度，确保各环节高效衔接。构建多元化、立体化的信息传输渠道，包括有线电话、无线通讯、卫星电话、互联网等，并确保相关传输设施设备处于良好运行状态，保障通讯畅通无阻，为突发事件的快速响应和有效处置提供坚实的信息支撑。

第十二条物资与资金保障

1.资金保障。企业将应急处置经费纳入年度财务预算，并根据实际需要及时追加投入，确保应急处置工作所需资金及时、足额到位。

2.物资保障。建立关键应急物资储备制度，明确应急物资的种类、数量、存放地点、保管要求、维护保养、领用程序及更新补充机制。应急物资主要包括医疗救治类（如急救箱、药品、消毒用品等）、生活必需类（如食品、饮用水、照明设备等）、安全防护类（如安全帽、防护服、呼吸器等）、抢险抢修类（如工具、设备、器材等）以及其他必要的应急物资。指定专人或专门部门负责应急物资的日常管理，定期检查维护，确保物资处于良好状态，保障应急需要。特殊应急物资应指定专人专项管理，建立台账，确保物资充足、保管规范、取用便捷。

第十三条人员与技术保障

1.人员保障。企业建立应急预案体系，并组建常备与预备相结合的应急队伍。常备队伍由各部门骨干人员组成，定期进行培训与演练，保持战斗力；预备队伍由企业内部员工组成，根据需要及时动员，补充常备队伍力量。明确各应急队伍的职责分工，并建立人员调配机制，确保应急响应时能够迅速集结、有效行动。

2.技术保障。加强应急技术的研发与应用，提升应急处置的科技含量。配备必要的应急装备和技术设施，如应急通信设备、信息管理系统、侦察检测设备等。建立技术专家库，为突发事件提供专业技术支持。

第十四条培训与演练保障

1.培训保障。定期组织面向全体员工或重点岗位人员的应急处置知识和技能培训，包括法律法规、应急预案、自救互救、应急处置流程、心理疏导等内容，提高员工的应急意识和能力。

2.演练保障。定期组织开展不同规模、不同场景的应急模拟演练，检验应急预案的实用性和可操作性，检验队伍的协同配合能力，检验应急响应机制的有效性。演练应注重实战化，并做好演练评