审计体系框架手册

审计体系框架手册内容摘要：

因素等。 ② 业务活动层面风险识别。 公司制定业务流程描述规范，建立流程目录并用流程图对所有业务进行直观描述。 在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。 （ 3）风险评价。 风险评价是评估风险对公司实现目标的影响程度和 风险发生可能性的过程。 公司针对固有风险和残存风险，运用定性和定量的方法，对公司层面和业务活动层面风险发生的可能性和影响程度进行分析、评价，并按照风险排序标准和方法，确定风险重要性水平，识别公司重大风险，确定风险管理的优先顺序。 （ 4）风险反应。 风险反应是公司针对风险发生的原因、风险重要性水平，考虑风险之间的关系并把握机遇，运用风险组合观，选择风险反应方案的过程。 风险反应方案包括回避风险、减少风险、分担风险、接受风险。 3）风险数据库 公司按照规定的程序和方法，开展公司层面风险和业务活动层面风险评估后，结合 风险因素、重要性水平和风险反应方案，编制与维护公司层面风险数据库和业务活动层面风险数据库。 控制活动 控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。 控制活动存在于公司所有级别的分支机构和职能部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。 公司应根据风险管理策略，针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施，确保风险控制在风险承受度的范围内。 公司针对风险建立的规章制度、控制政策和控制措施 ，要满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。 公司应当按照各有关部门和业务单位的职责分工，组织实施控制措施。 1）针对公司层面风险，按照风险反应方案，建立相应的公司层面风险控制政策，制定公司统一的规章制度，统驭业务活动层面控制。 2）针对业务活动层面风险，以公司层面控制政策为导向，规范业务流程，制定业务活动层面风险控制措施。 （ 1）控制现状描述与分析。 制定风险控制文档编制规范和模板，对业务流程进行风险控制分析，编制风险控制文档（ RCD），对控制的合理性、完整性进行分析。 （ 2）规范、统一业务流程。 根据风险控制分析结果，补充、完善相关控制，规范、统一流程步骤、控制规范和记录表单，建立规范、统一的业务流程。 （ 3）建立关键控制。 建立完善的关键控制确认方法，确定所有业务流程的关键控制并建立关键控制管理文件。 （ 4）强化自动控制。 通过实施信息系统自动控制，固化流程操作程序，提高控制执行效率和效果。 3）财务会计报告流程。 建立健全财务 会计报告流程，完善财务会计报告相关制度。 4）建立并实施经营管理活动分析评价制度。 各级管理层开展经营管理活动分析，对经营管理情况实施审核和监督。 信息与沟通 9 信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。 信息不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。 畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息。 公司建立符合发展战略并与经营管理活动一体化的信息系统，为公司风险管理提供足够的信息资 源和顺畅的沟通渠道。 1）信息资源收集。 公司持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息。 针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。 2）信息沟通渠道。 公司建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效的传达。 公司建立适当的渠道，与公司的相关方如供应商、客户、律师、股东 、监管机构、外部审计师，就相关信息进行必要的外部沟通。 3）信息披露。 公司制定完善的信息披露管理制度，明确重大事项的判定标准和报告程序，确定披露事项的收集、汇总和披露程序，符合资本市场监管要求。 4）信息系统 公司将信息技术应用于风险管理各项工作，运用信息系统对经营管理进行过程控制和信息的采集、存储、加工、分析、测试、传递、报告和披露等，实现对各种风险计量和定量分析、定量测试；能够适时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态并进行重大风险预警；能够满足风险管理内部信息报告制度和企业对外信息披 露管理制度的要求。 信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。 （ 1）建立信息系统总体控制。 建立包括信息系统的控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等六方面内容的信息系统总体控制规范与规章制度。 （ 2）建立信息系统应用控制。 全面识别应用系统相关风险，建立完善的应用系统控制规范，对应用系统的输入、处理和输出进行有效控制。 公司信息系统提供的信息应达到一致性、准确性、及时性 、可用性和完整性的目标。 公司确保信息系统稳定运行和安全，并根据实际需要不断进行改进、完善或更新。 （ 3）建立流程管理信息系统。 建立统一业务流程管理平台，实现业务流程语言、设计规范、管理制度、控制措施、流程发布的统一管理，建成满足全面风险管理，具有开放性、可拓展性的流程管理信息系统。 监督 监督是对内部控制体系有效性进行评估的持续过程。 包括持续监督、独立评估和缺陷报告等。 公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对内控体系的有效性实施监督。 1）持续监督。 公司制定内部控 制体系运行与维护管理制度，定期维护 《 内部控制管理手册 》 ，将内部控制工作纳入公司各级管理层业绩考核，构建内部控制体系运行长效机制。 公司各级管理部门、流程责任部门，在体系日常运行中，实施自我监督和自我检查，并将检查、检验报告报送内控管理部门。 2）独立评估。 以风险为导向，建立完整的测试规范，定期对各部门和业务单位内部控制体系有效性进行检查和监督。 3）缺陷报告。 建立健全缺陷报告管理机制，制定缺陷认定规范，明确上报内控缺陷的程序。 1 3 组织结构、职责与权限 1 3 1 目的 通过建立分工合理、职责明确、报 告关系清晰的组织结构，明确内控管理决策机构、管理机构、执行机构和监督机构的责任和义务，确保本公司内部控制的职责、权限及其相互关系得到规定和沟通，使本公司内部控制体系得到有效运行。 1 3 2 机构 10 公司内部控制和风险管理体系工作，在总裁领导下形成决策、管理、执行、监督四个层次的管理架构： 1）决策机构：内控 体系 建设委员会是公司内部控制和风险管理工作的决策机构； 2）管理机构： 内部控制部 作为公司内部控制体系日常管理部门和委员会的办事机构； 3）执行机构：总部各部门、专业分公司、地区公司作为执行层，按照内部控制 和风险管理体系的统一要求，具体组织落实； 4）监督机构：审计部门行使监督职能，负责对体系运行状况实施测试监督。 为加强对内部控制体系管理工作的组织和领导，各地区公司成立相应的内控 体系 建设委员会。 内控 体系 建设委员会由各单位有关领导和部门负责人组成，由总经理担任内控 体系 建设委员会主任。 内控 体系 建设委员会下设办公室。 1 3 3 职责与权限 1 3 3 1 公司 内控体系建设委员会 主要职责 1） 审定内部控制体系框架及实施计划。 2） 审定内部控制体系建立、测试和评估方案，对内部控制体系建设工作进行安排、部署。 3）协调解决内部控制体系建设工作中的重大问题。 4）审查批准对各部门、专业分公司和地区公司进行内部控制体系建设的考核方案，并组织实施。 5）负 审定需要提交董事会或管理层解决的重大事项。 6） 督导、督促公司内部控制体系的建立、完善和运行。 1 3 3 2 内部控制部 主要职责 1）根据国家有关法律、法规及相关规定，负责组织制定集团公司、股份公司内部控制及风险管理制度、标准及方法； 2）负责编制集团公司、股份公司内部控制及风险管理体系建设规划、体系框架，并组织实施； 3）负责组织集团公司、股份公司风险评估工作，确定 重大风险，建立风险数据库； 4）负责组织和协调集团公司、股份公司业务流程相关工作管理； 5） 负责组织集团公司、股份公司风险控制设计及实施，负责内部控制及风险管理体系日常维护； 6）协调内、外部审计测试，组织开展运行评价、改进测试和缺陷评估。 负责组织内部控制及风险管理体系运行监督考核； 7）代拟股份公司管理层内部控制评估报告，协助董秘局处理对外披露相关事宜； 8）负责集团公司、股份公司内部控制及风险管理业务培训。 1 3 3 3 公司各部门、专业分公司、地区公司职责 1）审计部负责内部控制体系执行有效性的监督 ，组织实施管理层测试，其主要职能包括： （ 1）编制管理层测试计划和方案，经管理层批准后组织实施； （ 2）按照审计规定和公司发布的 内部控制体系评价规范 ，每年定期组织实施管理层测试，对测试结果进行汇总、确认和分析，并分别向管理层和审计委员会汇报； （ 3）对被测试单位（股份公司机关、专业公司、地区公司）出具测试报告。 2）监察部、审计部负责建立和完善反舞弊工作机制。 3）信息管理部负责公司信息系统总体控制和应用控制管理制度的建立、运行维护工作。 4）法律部负责公司规章制度和法律风险的综合管理 5）公司各部门、专业 公司按照内部控制和风险管理体系的各项要求，具体负责本部门、专业公司内控体系建设、运行、维护等工作的具体实施。 6） 地区公司内控建设是股份内控体系的组成部分。 地区公司按照《内部控制管理手册》的要求，具体负责本公司内部控制体系建设、运行、维护等工作，并对特殊风险和业务流程制定专门管理办法。 地区公司的内部控制管理接受公司 内部控制部 领导。 11 2 控制环境 概 述 概念 控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目 标及整体战略目标的实现。 要素 控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等内容。 诚信与道德价值观 一个公司的目标及目标实现的方式基于该公司的优先选择、价值判断和管理层的经营风格。 这些 优先选择和价值判断反映出公司管理层的诚信及其信奉的道德价值观。 发展目标 公司制定发展目标 ,作为风险评估的前提条件，只有先确立了目标，管理层才能针对目 标确定风险，并采取必要的行动来管理风险。 公司制定战略目标，并在此基础上制定相关经营目标、报告目标和合规性目标。 战略目标：与高层次目标有关，支持公司的使命并与此相一致。 经营目标：与公司资源利用的效率和效果、防止公司不因灾害性风险或人为失误而遭受重大损失有关。 报告目标：与为公司经营管理和对外披露提供信息的可靠性有关。 合规性目标：与公司对适用法律和法规的遵循性有关。 公司发展目标可以分为公司层面目标和业务活动层面目标。 公司层面目标是指公司的总目标和相关 战略计划，与高层次资源的分配和优先利用相关。 业务活 动层面目标是总目标的子目标，是针对公司业务和管理活动的更加专门化的目标。 管理理念与企业文化 管理层的管理理念和企业文化会影响公司的管理方式，包括面对各种风险的态度。 管理层的管理 理念和企业文化还表现在：管理层对财务报告的态度，在现在可替代的会计准则选择方面是保守的还 是激进的，进行会计核算时是否遵循谨慎性原则，对待数据处理、会计职能及人事管理方面的态度如 何等。 继承和发扬公司企业文化，体现公司的经营宗旨、价值观念和行为准则；将风险管理文化融入企业文化建设全过程。 风险管理策略 公司围绕发展战略，确定风险容量、风险承受度、风险管理有效性标准，体现公司风险管理的总体策略，并据此制定风险反应方案。 董事会及下属委员会 控制环境和“高层管理基调”受到公司董事会及下属委员会的重大影响。 影响因素包括：董事会 和审计委员会相对于管理层的独立性、其成员的经验和职业道德水平、参与和监督公司活动的范围以 及其行为的适当性；影响因素还包括董事会和审计委员会对涉及公司计划或业绩等问题的询问和质疑 程度以及管理层解决这些问题的程度，董事会和审计委员会与内、外部审计师的交 流和沟通程度。 12 组织结构 公司的组织结构提供了一个构架，在此构架中为实现公司目标对公司活动进行规划、执行、控制 和监督。 建立一个相关的公司组织结构的主要内容包括：确定权责的关键领域以及建立适当的报告负 责部门。 公司根据自身的需要来确定其组织结构。 公司组织结构的适当性在相当程度上取决于公司的 规模及其活动的性质。 权利和责任分配 包括对公司经营活动的权限和职责分配、建立上下级报告关系和授权协议。 它涉及到鼓励个人和 团队主动提出和解决问题的程度以及他们被授予的权限，还涉及到描 述适当。