内部控制手册-内部审计

21.1内部审计概述规定了XXX股份有限公司及其下属公司的内部审计监察管理过程，旨在确保审计程序、审计方法符合有关内部审计行业标准和公司内部规章制度的要求，审计团队的业务技能和审计质量满足内部审计业务的需要。适用范围适用于XXX股份有限公司及其下属公司。相关制度《内部审计工作手册》《内部审计制度》《审批权限表》《XXX股份有限公司内部审计制度》（2008年8月修订）《审计档案管理工作规定》（审字2008-008号）职责分工1.5流程图1.6控制矩阵风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统控制所属系统控制模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法21.1-R1内审部部分审计工作底稿未经复核确认，审计结论未经被审计单位确认，可能导致内审工作底稿存在检查漏洞未及时发现，影响审计报告的真实、准确性21.1-C1发现性内审项目负责人应复核审计人员的工作底稿，审计项目负责人的工作底稿由内审部其他领导复核，并在审计工作底稿上记录复核意见和复核人签名，对于存在问题的底稿，复核人员应在复核意见中加以说明，并要求相关人员补充内容或重新编制底稿。审计报告结论须经被审计单位确认年内审工作底稿；内审报告

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法21.1-R2内审工作结束后，有关部门及单位未及时采取整改措施，内审部门未要求相关部门提交审计意见执行情况报告，可能导致审计问题重复出现，无法达到内审目标，可能导致审计问题重复出现，无法达到内审目标21.1-C2预防性内审部根据审计报告及被审计单位的书面意见，对审计事项做出评价，报审计委员会研究后，根据研究结果，负责拟定审计意见书，经集团公司总经理签发后下发，被审计单位及部门应当在收到审计意见书后三个月内，将整改措施及执行情况向公司内审部做出书面报告，内审部进行复查年审计意见书；问题整改通知21.1-PR1内审人员不足或无内审人员，可能导致内审工作执行效率低，无法保证工作质量21.1-C3预防性集团公司及各下属单位须建立内部审计制度，在制度中明确内审部职责分工及人员配置,并加以落实，明确各岗位工作内容年内部审计制度

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法21.1-PR2审计计划的制定和调整不合理，包括审计范围、时间、人员安排及确定下一年度审计工作实施重点等，可能导致审计资源分配不合理，影响审计工作的正常开展21.1-C4A预防性每年年末，公司内审部根据公司的管理需要、组织风险、审计资源等要素，确定下一年度审计工作实施重点，对内部审计工作做出合理安排并编制公司年度审计工作计划表年审计工作计划21.1-C4B预防性各子公司审计工作负责人根据内审部确定的次年度审计工作实施重点，编制本公司年度审计工作计划表，经内审部审核后，统一报董事会审计委员会批准后实施年审计工作计划21.1-C4C预防性内审部将董事会审计委员会批准的年度审计计划表统一下发至各下属子公司审计工作负责人处年审计工作计划

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法21.1-C4D预防性各下属子公司审计工作负责人根据经批准的年度审计计划表执行审计项目。在执行过程中，各下属子公司审计工作负责人可根据企业管理工作需要，对计划进行调整，各下属单位审计计划调整应得到内审部的批准年审计工作计划调整方案21.1-PR3未充分考虑参与项目内审人员的独立性，可能导致无法发现重大舞弊等审计风险，造成审计失败21.1-C5预防性各级审计工作负责人须充分考虑审计人员的独立性，根据具体审计项目选派人员组成审计组，确定项目审计组组长、主审和审计组成员年内审人员名单21.1-PR4内审人员缺乏相应的胜任能力，可能导致内审工作的质量无法达标，出现误21.1-C6A预防性内审部负责人须分析审计项目所涵盖的各个方面，了解内部审计小组的人员年

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法审造成审计失败组成以及小组成员完成该项目的胜任能力21.1-C6B预防性当内部审计人员能力不足以完成审计工作任务时，内审部应向分管领导及总经理提出申请，外聘专家或其他专业人士加入内部审计小组，协助完成审计工作，也可以经批准后委托中介机构完成年外聘审计人员申请单21.1-PR5审计实施方案的设计和调整不合理，包括审计目的、方法、步骤、程序、执行人员及日期等，可能导致未发现被审项目的所有的重大风险，审计工作无法达到预期效果21.1-C7A预防性主审在审计实施前，根据审计对象基本情况及审计目的编制审计实施方案，明确审计目的、方法、步骤、程序、预定执行人员、执行日期以及其他有关的内容年审计方案

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法21.1-C7B预防性审计实施方案需由审计组组长签字确认或邮件批准。若主审兼做审计组组长，则需由分管内审部的领导审核并批准年审计方案审批单21.1-C7C预防性公司内审部负责督导各子公司审计实施方案审核，内审部审核责任人将审核的结果、意见和建议准确、无误地记载在审核工作底稿上，并将审核工作底稿反馈给下属单位审计工作相关负责人，对于审核无意见的审计实施方案，由内审部负责人签发同意正式印发的批复文件年审计方案批复文件

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法21.1-C7D预防性审计组在实施审计过程中，发现审计实施方案不适应实际需要时，可以根据情况及时调整，向审计组组长及内审部负责人说明调整的理由，由审计组组长签字或邮件批准后实施年审计方案调整申请单21.1-C7E预防性审计组在特殊情况下不能按规定办理调整审计实施方案审批手续时，口头请示审计组长同意后，调整并实施审计实施方案。审计项目结束后，审计组及时补办审批手续年审计方案调整申请单

风险编号风险描述控制措施编号控制类型控制措施应用系统控制控制频率对应制度/管理办法应用系统控制所属模块系统控制措施（随时/日/周/月/季/年）控制实施证据21.1-PR6审计工作底稿填写不完整，审计资料收集不全，可能导致检查风险，造成审计数据失真，影响审计报告的准确性21.1-C8预防性审计组成员根据收集的审计证据，将审计过程中形成的工作记录及其支持性资料以及被审计单位提供的各种纸质和电子文档等记录在审计工作底稿（包括审计项目名称、审计方法、审计内容、审计程序及审计发现、审计结论及审计建议、审计人员姓名和日期、复核人姓名、复核日期和复核意见等信息）上年审计工作底稿21.1-PR7审计证据与事实缺乏相关性，可能导致审计证据缺乏有效的说服力，影响审计报告的准确性21.1-C9预防性审计组成员应运用合适的审计方法，查阅被审计单位的生产经营、会计资料等内容，对被审计单位的内部管理制度、对外投资、年审计工作底稿10

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法或有事项等资料进行审查，收集相关、充分、适当、可靠的审计证据21.1-PR8审计底稿和结论未经部门领导复核，可能导致工作底稿中存在检查漏洞未及时发现，影响审计报告的准确性21.1-C10发现性审计组组长负责复核审计组其他人员的审计工作底稿，审计组组长的审计工作底稿由审计组其他人员复核，并在审计工作底稿上记录复核意见和复核人签名。对于存在问题的底稿，复核人员应在复核意见中加以说明，并要求相关人员补充内容或重新编制底稿年审计工作底稿11

风险编号风险描述控制措施编号控制类型控制措施应用系统控制控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法应用系统控制所属模块系统控制措施21.1-PR9内审工作结束后，审计小组与被审计单位未就发现的问题情况进行讨论分析并提出审计意见，及时采取整改措施，可能导致问题重复出现，无法达到内审目标21.1-C11发现性审计组对审计事项实施审计后，应当向公司领导及相关部门提供审计报告。审计报告报送公司领导及相关部门之前应当征求被审计单位的意见。被审计单位应当自收到审计报告之日起十日内，将书面反年审计报告馈意见送交审计组。在规定期限内没有提出书面意见的视同无异议。被审计单位对审计报告有异议的，审计组应当进一步核实，按核实情况修改或者不修改审计报告12

风险编号风险描述控制措施编号控制类型控制措施应用系统控制控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法应用系统控制所属模块系统控制措施内审工作结束，下发审计根据审计报告及被审计单审计事项处理意见后，被审计单位未及位的书面意见，对审计事意见书时采取整改措施，审计部项做出评价，报公司领导门未要求被审计单位报送研究后，根据研究结果，审计意见执行情况报告，负责拟定审计意见书，经可能导致问题重复出现，公司总经理签发后下发，21.1-PR10无法达到内审目标21.1-C12发现性被审计单位应当在收到审计意见书或审计决定后三个月内，将审计决定的执行情况向公司内审部做出书面报告并处理，对严重违反财经纪律的行为，经分管审计机构领导批准后，移交内审部处理年13

风险编号风险描述控制措施编号控制类型控制措施应用系统控制应用系统—系统控制控制所属模块措施控制频率（随时/日/周/月/季/年）控制实施