银行业务操作风险控制预案

银行业务操作风险控制预案TOC\o"1-2"\h\u3384第一章总则 2225741.1制定目的 2209821.2适用范围 3212021.3风险控制原则 319221第二章风险识别与评估 3249492.1风险识别方法 345572.2风险评估标准 450012.3风险等级划分 420091第三章内部控制体系 4132843.1控制环境 4319653.2控制活动 5170263.3信息与沟通 6110933.4监督与改进 612620第四章操作风险管理 6217624.1操作风险分类 692744.2操作风险控制措施 7138164.3操作风险监测与报告 714142第五章人员管理与培训 7127645.1人员选拔与任用 784175.1.1选拔原则 8267935.1.2选拔标准 8323795.1.3任用方式 8129165.2培训与考核 8162335.2.1培训体系 8169915.2.2考核体系 837565.3员工行为规范 9292185.3.1企业文化 9222375.3.2岗位职责 97155.3.3职业操守 967405.3.4团队协作 9175825.3.5安全生产 927124第六章信息技术风险管理 9265186.1信息安全策略 9222746.2系统开发与维护 10321816.3信息技术应用 1024806第七章法律合规风险管理 11202027.1法律法规识别 1196757.1.1法律法规收集 11182547.1.2法律法规分类与整理 1155027.1.3法律法规培训与宣传 11253957.2合规风险控制 1181837.2.1合规体系建设 11194387.2.2合规风险识别 11259687.2.3合规风险监测 11133517.2.4合规风险应对 11235477.3法律事务处理 12142177.3.1法律顾问制度 12161107.3.2合同管理 12248367.3.3诉讼仲裁 12324247.3.4法律风险防范 1221498第八章信用风险管理 12234148.1信用风险识别 12143608.2信用风险控制 12278098.3信用风险监测 1317573第九章市场风险管理 1374069.1市场风险识别 13285519.2市场风险控制 14123069.3市场风险监测 149563第十章流动性风险管理 141662610.1流动性风险识别 142336910.2流动性风险控制 152627110.3流动性风险监测 154222第十一章内部审计与合规检查 162417311.1内部审计制度 161752211.2审计程序与方法 161935511.3合规检查与整改 1720581第十二章应急预案与处理 182493412.1应急预案制定 181784612.1.1制定原则 181292312.1.2制定内容 181638512.2处理流程 183100512.2.1报告 182078012.2.2现场救援 18141812.2.3调查与处理 19787312.3调查与责任追究 191135112.3.1调查 191723412.3.2责任追究 19第一章总则1.1制定目的为了加强企业内部控制，规范风险管理行为，提高风险防控能力，保证企业稳健运营，特制定本风险管理手册。本手册旨在为企业提供一个全面、系统的风险管理框架，引导企业合理识别、评估、控制和应对各种风险。1.2适用范围本风险管理手册适用于公司及所有控股子公司、全资子公司。无论企业规模大小、业务性质如何，均应遵循本手册中的风险管理原则和方法，以保证企业整体风险控制水平的提升。1.3风险控制原则（1）全面性原则：企业风险管理应涵盖所有业务领域和环节，保证风险防控的全面性。（2）预防为主原则：企业应注重风险预防，采取有效措施，降低风险发生的可能性。（3）动态调整原则：企业应根据风险变化情况，及时调整风险防控策略，保证风险控制与企业发展相适应。（4）合理分配原则：企业应合理分配资源，保证风险防控措施与风险程度相匹配。（5）合规性原则：企业风险管理应符合国家法律法规、行业规范及公司内部规章制度。（6）责任明确原则：企业应明确各级风险管理责任，保证风险防控措施得到有效执行。（7）协同配合原则：企业内部各部门之间应加强协同配合，共同推进风险管理工作的开展。（8）持续改进原则：企业应不断总结风险管理经验，持续改进风险防控措施，提高风险管理水平。第二章风险识别与评估2.1风险识别方法风险识别是风险管理过程中的第一步，其目的是发觉和确定可能导致损失的风险因素。以下是一些常用的风险识别方法：（1）问卷调查法：通过设计一系列问题，收集与风险相关的信息，从而识别潜在风险。（2）专家调查法：邀请相关领域的专家，针对特定问题进行讨论，以识别潜在风险。（3）故障树分析（FTA）：通过构建故障树，分析故障原因和后果，从而识别可能导致损失的风险因素。（4）危险和可操作性分析（HAZOP）：对系统进行逐项检查，识别可能导致损失的危险和操作性问题。（5）情景分析法：设想不同情景，分析各种情景下的风险因素。2.2风险评估标准风险评估是对已识别的风险进行量化或定性的分析，以确定风险程度和应对措施。以下是一些常用的风险评估标准：（1）风险概率：评估风险事件发生的可能性。（2）风险后果：评估风险事件发生后可能导致的损失程度。（3）风险暴露：评估风险事件发生时可能涉及的资产、人员或环境。（4）风险优先级：根据风险概率、后果和暴露程度，确定风险处理的优先级。（5）风险容忍度：评估组织对风险的接受程度，以确定是否需要采取应对措施。2.3风险等级划分根据风险评估结果，可以将风险分为以下等级：（1）低风险：风险概率较低，后果轻微，风险暴露较小。（2）中等风险：风险概率适中，后果较严重，风险暴露较大。（3）高风险：风险概率较高，后果严重，风险暴露很大。（4）极高风险：风险概率极高，后果极其严重，风险暴露极大。根据风险等级划分，组织可以制定相应的风险应对策略，保证风险管理和控制的有效性。第三章内部控制体系3.1控制环境内部控制体系的基础是控制环境，它是企业内部控制的重要组成部分。控制环境主要包括企业的道德氛围、价值观、组织结构、权责分配等方面。一个良好的控制环境能够为企业内部控制的实施提供有力的支持。道德氛围是企业内部控制环境中最为关键的因素。企业应当注重培养员工的道德观念，提倡诚信、公平、公正、透明的企业文化，使员工在工作中自觉遵循道德规范。价值观是企业内部控制环境的灵魂。企业应当明确自身的价值观，将其贯穿于内部控制的各个方面，引导员工树立正确的价值观。组织结构是企业内部控制环境的基础。企业应当建立健全的组织结构，明确各部门、各岗位的权责，保证内部控制的有效实施。权责分配是企业内部控制环境的关键。企业应当合理分配权责，明确各级管理人员的职责，保证内部控制体系的正常运行。3.2控制活动控制活动是企业内部控制体系的核心，它包括预防性控制和detective控制。预防性控制旨在防止错误和舞弊的发生，detective控制则是在错误和舞弊发生后及时发觉并纠正。预防性控制主要包括以下几个方面：（1）授权控制：企业应当建立健全的授权体系，明确各级管理人员的授权范围和权限，防止越权行为。（2）职责分离：企业应当将关键岗位的职责分离，形成相互制约、相互监督的机制。（3）业务流程控制：企业应当制定合理的业务流程，保证各项业务活动按照规定程序进行。（4）风险管理：企业应当对各类风险进行识别、评估和应对，降低风险对企业的影响。detective控制主要包括以下几个方面：（1）内部审计：企业应当建立健全的内部审计制度，对各项业务活动进行定期审计。（2）异常情况报告：企业应当建立异常情况报告机制，鼓励员工及时报告发觉的问题。（3）内部调查：企业应当对涉嫌错误和舞弊的行为进行调查，保证内部控制体系的完整性。3.3信息与沟通信息与沟通是企业内部控制体系的重要组成部分，它关乎内部控制的实施效果。企业应当建立健全的信息与沟通机制，保证内部控制信息的准确性、及时性和有效性。企业应当制定内部控制手册，明确内部控制的各项要求，为员工提供操作指南。企业应当建立内部控制信息报告制度，保证各级管理人员及时了解内部控制实施情况。企业应当加强内部沟通，通过会议、培训、座谈会等形式，提高员工对内部控制的认识和重视。企业应当利用现代信息技术，提高内部控制信息的处理速度和准确性。3.4监督与改进监督与改进是企业内部控制体系的保障。企业应当对内部控制实施情况进行持续监督，发觉问题并及时改进。企业应当建立内部控制监督机制，对内部控制实施情况进行定期检查。企业应当对内部控制缺陷进行整改，保证内部控制体系的完整性。企业应当加强内部控制评价，对内部控制实施效果进行评估。企业应当根据内部控制评价结果，及时调整和完善内部控制体系，以适应企业发展的需要。第四章操作风险管理4.1操作风险分类操作风险是指企业在日常运营过程中由于内部流程、人员、系统及外部事件等因素导致损失的风险。根据操作风险的性质和来源，可以将其分为以下几类：（1）内部流程风险：包括企业内部管理制度、业务流程、操作规程等方面存在的风险。如流程设计不合理、操作不规范等。（2）人员风险：包括员工技能不足、道德风险、责任心不强等因素导致的风险。如员工操作失误、违规操作等。（3）系统风险：包括信息技术系统、网络系统、硬件设备等方面存在的风险。如系统故障、数据丢失等。（4）外部事件风险：包括自然灾害、政治因素、法律法规变动等因素导致的风险。如地震、战争、政策变动等。4.2操作风险控制措施针对操作风险，企业应采取以下控制措施：（1）完善内部管理制度：建立健全企业内部管理制度，保证业务流程合理、操作规程规范。（2）加强人员培训：提高员工业务素质和技能，加强职业道德教育，培养员工的责任心和风险意识。（3）优化信息系统：定期检查和维护信息系统，保证系统稳定运行，提高信息系统的安全性和可靠性。（4）制定应急预案：针对可能发生的操作风险，制定应急预案，保证在风险发生时能够及时应对。（5）加强内外部沟通：加强与相关部门和单位的沟通协调，及时了解外部环境变化，为企业决策提供依据。4.3操作风险监测与报告为了及时发觉和应对操作风险，企业应建立健全操作风险监测与报告机制：（1）设立风险管理部门：设立专门的风险管理部门，负责对企业操作风险进行监测、评估和管理。（2）建立风险监测指标体系：根据企业业务特点和风险类型，制定相应的风险监测指标，对企业操作风险进行实时监控。（3）定期进行风险报告：风险管理部门应定期向企业高层报告操作风险状况，包括风险类型、风险程度、风险应对措施等。（4）加强风险信息披露：企业在对外信息披露时，应充分揭示操作风险，提高市场对企业风险的认知。（5）开展风险审计：定期对企业操作风险控制措施进行审计，评估风险控制效果，为企业改进风险管理提供依据。第五章人员管理与培训5.1人员选拔与任用5.1.1选拔原则企业人员选拔应遵循德才兼备的原则，注重候选人的思想品德、专业能力和工作经验。在选拔过程中，可通过调查候选人曾经的档案、咨询学习、工作单位等方式，全面了解候选人的综合素质。5.1.2选拔标准企业应根据不同岗位的特点，制定相应的选拔标准。以下为一般性的选拔标准：（1）学历要求：根据岗位需求，设定相应的学历门槛；（2）工作经验：关注候选人相关工作经历，了解其在实际工作中的表现；（3）专业能力：评估候选人在专业领域的知识和技能水平；（4）思想品德：考察候选人的道德品质、敬业精神等；（5）团队协作能力：评估候选人在团队中的沟通、协作能力。5.1.3任用方式企业可根据岗位特点和员工能力，采取以下任用方式：（1）内部晋升：选拔内部优秀员工担任更高层次的管理或技术岗位；（2）外部招聘：面向社会，选拔具有相关经验和能力的候选人；（3）培养选拔：通过培训、实习等途径，选拔具有潜力的员工。5.2培训与考核5.2.1培训体系企业应建立完善的培训体系，包括以下内容：（1）新员工培训：帮助新员工快速熟悉企业文化和岗位技能；（2）在职培训：提升员工的专业技能和综合素质；（3）岗位技能培训：针对特定岗位，进行专业化的技能培训；（4）管理培训：提升管理人员的管理能力和领导力。5.2.2考核体系企业应建立科学的考核体系，以下为考核体系的关键要素：（1）考核指标：设定与岗位相关的量化指标，如业绩、能力、态度等；（2）考核周期：根据岗位特点，设定合理的考核周期；（3）考核方式：采用定量与定性相结合的考核方式；（4）考核结果：根据考核结果，对员工进行奖惩、晋升等激励措施。5.3员工行为规范5.3.1企业文化企业应积极营造积极向上的企业文化，引导员工树立正确的价值观和行为准则。5.3.2岗位职责明确各岗位的职责，保证员工在岗位上发挥积极作用。5.3.3职业操守员工应遵守职业操守，诚实守信，公平竞争，维护企业利益。5.3.4团队协作员工应注重团队协作，尊重同事，互相支持，共同完成企业目标。5.3.5安全生产员工应严格遵守安全生产规定，保证自身和他人的生命财产安全。第六章信息技术风险管理6.1信息安全策略在当今信息化社会，信息安全已成为企业运营中不可或缺的一部分。信息安全策略是企业应对信息技术风险的基础，旨在保证信息系统的安全性、可靠性和稳定性。以下是信息安全策略的主要内容：（1）信息安全政策制定：企业应制定明确的信息安全政策，明确信息安全的目标、范围和责任，保证信息安全政策与企业的整体战略相一致。（2）信息安全组织架构：建立专门的信息安全组织架构，负责信息安全的规划、实施、监督和改进工作。（3）信息安全风险管理：企业应定期进行信息安全风险评估，识别潜在的安全风险，制定相应的风险应对措施。（4）信息安全培训与宣传：加强员工的信息安全意识，定期开展信息安全培训，提高员工的安全防护能力。（5）信息安全技术与措施：采用先进的信息安全技术，如防火墙、入侵检测系统、加密技术等，保障信息系统的安全。（6）信息安全事件应对：建立信息安全事件应对机制，保证在发生安全事件时能够迅速、有效地应对。6.2系统开发与维护系统开发与维护是信息技术风险管理的核心环节，以下是从开发与维护两个方面对系统开发与维护的探讨：（1）系统开发：需求分析：深入了解用户需求，保证系统设计符合实际应用场景。系统设计：根据需求分析，设计合理的系统架构，保证系统的高效性和稳定性。编码与测试：遵循编程规范，进行代码编写和测试，保证系统功能的正确性和功能。部署与实施：将系统部署到生产环境，保证系统的正常运行。（2）系统维护：问题解决：对系统运行过程中出现的问题进行及时排查和解决。系统升级：根据业务发展需求，对系统进行升级和优化，提高系统功能。数据备份与恢复：定期进行数据备份，保证数据安全，遇到故障时能够快速恢复。安全防护：加强系统安全防护，防止外部攻击和内部泄露。6.3信息技术应用信息技术应用是企业在日常运营中广泛应用信息技术的过程，以下从以下几个方面探讨信息技术应用的风险管理：（1）信息技术规划：企业应根据自身发展战略，制定合理的信息技术应用规划，保证信息技术的投入与产出相匹配。（2）信息技术采购：在采购信息技术产品和服务时，企业应充分考虑供应商的信誉、产品质量和服务水平，降低采购风险。（3）信息技术实施：在实施信息技术项目时，企业应保证项目进度、质量和成本控制，避免项目失控。（4）信息技术培训与支持：加强对员工的信息技术培训，提高员工的信息技术应用能力，保证信息系统的正常运行。（5）信息技术运维：建立完善的运维体系，保证信息系统的稳定运行，降低运维风险。（6）信息技术创新：企业应关注信息技术的发展动态，积极摸索新技术、新应用，提高企业的核心竞争力。第七章法律合规风险管理7.1法律法规识别法律法规识别是法律合规风险管理的首要环节。企业应当建立一套完善的法律法规识别和更新机制，保证企业各项业务活动符合现行法律法规的要求。7.1.1法律法规收集企业应指定专门的法律法规收集人员，负责定期收集国家和地方各级发布的法律法规、政策文件、行业规范等，保证企业内部法律法规库的实时更新。7.1.2法律法规分类与整理企业应对收集到的法律法规进行分类整理，按照业务领域、法律法规性质等进行归类，便于企业员工查询和使用。7.1.3法律法规培训与宣传企业应定期组织法律法规培训，提高员工的法律意识和合规意识。同时通过内部宣传渠道，加强对法律法规的宣传和普及。7.2合规风险控制合规风险控制是企业法律合规风险管理的核心环节，主要包括以下几个方面：7.2.1合规体系建设企业应建立完善的合规体系，包括制定合规政策、程序和规章制度，明确合规责任和奖惩机制，保证企业各项业务活动合规。7.2.2合规风险识别企业应定期对业务活动进行合规风险识别，分析潜在的风险点，制定相应的风险防控措施。7.2.3合规风险监测企业应建立健全合规风险监测机制，对业务活动进行实时监控，发觉异常情况及时处理。7.2.4合规风险应对企业应根据合规风险识别和监测结果，制定风险应对策略，包括风险规避、风险降低、风险承担等。7.3法律事务处理企业法律事务处理主要包括以下几个方面：7.3.1法律顾问制度企业应建立法律顾问制度，聘请专业律师为企业提供法律咨询和服务，保证企业法律事务的合规性。7.3.2合同管理企业应加强对合同的管理，保证合同签订、履行、变更、解除等环节的合规性。对合同纠纷和争议，应及时采取措施处理。7.3.3诉讼仲裁企业应建立健全诉讼仲裁制度，对可能发生的诉讼仲裁案件进行风险评估和应对策略制定。在案件处理过程中，积极维护企业合法权益。7.3.4法律风险防范企业应加强法律风险防范，通过制定风险防控措施、开展法律风险评估、建立健全法律风险预警机制等方式，降低企业法律风险。第八章信用风险管理8.1信用风险识别信用风险识别是信用风险管理的基础环节，它涉及到对借款人、投资对象以及交易对手信用状况的全面了解和评估。以下是信用风险识别的主要步骤：（1）信息收集：收集涉及信用风险的各类信息，包括财务报表、经营状况、行业背景、市场环境、法律法规等。（2）信用评级：根据收集到的信息，对借款人、投资对象以及交易对手进行信用评级，以确定其信用等级。（3）风险分类：将信用风险分为正常、关注、次级、可疑和损失五类，以便于后续的风险控制。8.2信用风险控制信用风险控制是在识别风险的基础上，采取一系列措施降低风险的过程。以下是信用风险控制的主要方法：（1）限额管理：设定信用风险敞口的上限，包括单一客户限额、行业限额、区域限额等。（2）担保措施：要求借款人提供担保，以降低信用风险。担保措施包括抵押、质押、保证等。（3）风险分散：通过投资组合，将信用风险分散到不同的客户、行业和地区。（4）风险转移：通过购买信用保险、信用衍生品等工具，将信用风险转移给第三方。（5）风险监测与预警：建立风险监测和预警体系，及时掌握风险状况，采取相应措施。8.3信用风险监测信用风险监测是信用风险管理的重要组成部分，它旨在保证风险控制措施的有效性，并及时发觉潜在风险。以下是信用风险监测的主要内容：（1）定期评估：定期对借款人、投资对象以及交易对手的信用状况进行评估，以调整信用评级和风险分类。（2）动态监控：关注宏观经济、行业政策、市场环境等因素的变化，分析其对信用风险的影响。（3）异常交易监测：发觉异常交易行为，如逾期还款、欠息、违规担保等，及时采取措施。（4）风险报告：定期向管理层报告信用风险状况，包括风险敞口、风险分类、风险控制措施等。（5）风险应对：针对监测到的风险，采取有效措施，降低风险敞口，保证信用风险在可控范围内。第九章市场风险管理9.1市场风险识别市场风险识别是市场风险管理的基础，它旨在识别和了解企业在市场活动中可能面临的风险因素。以下是市场风险识别的主要方法：经济指标分析法：通过对宏观经济指标的分析，如GDP、通货膨胀率、失业率等，了解市场整体趋势和可能的风险点。行业分析：研究特定行业的发展趋势、竞争格局、政策环境等因素，识别行业特有的市场风险。财务报表分析法：通过分析企业的资产负债表、损益表等财务报表，发觉企业在市场活动中可能面临的风险。市场调研：通过市场调研，了解消费者需求、竞争对手动态、市场容量等信息，从而识别市场风险。9.2市场风险控制市场风险控制是指采取一系列措施，降低或消除企业在市场活动中可能面临的风险。以下是市场风险控制的主要方法：风险规避：通过调整经营策略，避免涉及高风险的市场领域或业务。风险分散：通过多元化投资、跨区域经营等方式，分散市场风险。风险转移：通过购买保险、签订合同等手段，将市场风险转移给其他主体。风险补偿：通过提高产品价格、增加风险准备金等方式，对市场风险进行补偿。风险监控：建立风险监控体系，实时跟踪市场动态，及时调整风险控制策略。9.3市场风险监测市场风险监测是指对市场风险的持续关注和评估，以保证风险控制措施的有效实施。以下是市场风险监测的主要任务：收集信息：通过各种渠道收集与市场风险相关的信息，如市场数据、行业动态、政策法规等。分析评估：对收集到的信息进行分析和评估，识别市场风险的变化趋势。监控预警：建立市场风险预警机制，对潜在风险进行及时预警，以便采取相应的风险控制措施。跟踪调整：根据市场风险监测结果，调整风险控制策略，保证企业市场风险处于可控范围内。报告交流：定期向上级领导报告市场风险监测情况，与相关部门进行沟通交流，共同应对市场风险。第十章流动性风险管理10.1流动性风险识别流动性风险是指金融机构在经营过程中，由于资金流动性不足，不能按时满足债务偿还、支付义务或满足客户提取存款等需求，从而导致损失的可能性。流动性风险识别是流动性风险管理的第一步，主要包括以下几个方面：（1）分析金融机构的资产负债结构，识别潜在的流动性风险来源。资产负债结构的合理性对流动性风险的产生有着重要影响，需要对各类资产和负债的流动性、久期、风险权重等因素进行综合分析。（2）关注市场流动性状况，评估市场流动性对金融机构的影响。市场流动性状况的变化可能对金融机构的流动性产生较大影响，需要密切关注市场流动性指标，如同业拆借利率、回购利率等。（3）分析金融机构的内部管理，查找可能导致流动性风险的管理漏洞。内部管理因素，如风险控制制度不健全、决策失误等，也可能导致流动性风险。10.2流动性风险控制流动性风险控制是金融机构流动性风险管理的重要环节，主要包括以下几个方面：（1）优化资产负债结构，提高流动性缓冲。通过调整资产和负债的配置，降低流动性风险。例如，适当增加高流动性资产比例，降低久期较长的资产和负债比例等。（2）建立健全流动性风险管理体系，包括制定流动性风险管理政策、设定流动性风险管理指标、建立流动性风险监测和预警机制等。（3）加强流动性风险应急处理能力，制定应急预案，保证在流动性紧张时能够迅速应对。（4）提高金融机构的透明度，加强与市场沟通，降低市场对金融机构流动性风险的担忧。10.3流动性风险监测流动性风险监测是金融机构流动性风险管理的重要组成部分，旨在及时发觉流动性风险，为流动性风险控制提供依据。以下是一些常见的流动性风险监测指标：（1）流动性覆盖率（LCR）：衡量金融机构在30天压力情景下，高质量流动性资产（HQLA）与总净现金流出量之比。（2）净稳定资金比例（NSFR）：衡量金融机构可用的稳定资金与需要的稳定资金之比。（3）流动性缺口：分析金融机构在不同时间段的资金流入和流出情况，计算流动性缺口。（4）流动性匹配率：衡量金融机构资产和负债的久期匹配程度。通过以上流动性风险监测指标，金融机构可以及时发觉流动性风险，并采取相应措施进行控制。同时金融机构还需定期对流动性风险管理进行评估，以不断提高流动性风险管理水平。第十一章内部审计与合规检查11.1内部审计制度内部审计制度是企业为了保证内部管理、财务报告的真实性、合规性以及经营活动的有效性，建立的一种独立、客观的监督和评价机制。内部审计制度主要包括以下几个方面：（1）内部审计的组织结构：企业应设立独立的内部审计部门，由具备相应资质和专业能力的人员组成，直接对董事会或者高级管理层负责。（2）内部审计的职责：内部审计部门负责对企业的各项业务进行定期审计，评价内部控制的有效性，发觉潜在的风险，提出改进建议。（3）内部审计的程序：内部审计应遵循规范的审计程序，包括审计计划、审计实施、审计报告和后续整改等环节。（4）内部审计的独立性：内部审计部门在开展审计工作时应保持独立性，不受其他部门和个人的影响。（5）内部审计结果的应用：内部审计结果应作为企业改进管理、完善内部控制的重要依据，对审计发觉的问题进行整改。11.2审计程序与方法内部审计程序与方法是企业内部审计工作的重要组成部分，以下是审计程序与方法的具体内容：（1）审计计划：内部审计部门应根据企业实际情况，制定年度审计计划，明确审计项目、审计范围、审计重点等。（2）审计实施：内部审计部门按照审计计划，对审计项目进行实地调查、收集证据、分析问题，形成审计结论。（3）审计报告：内部审计部门应在审计结束后，及时向董事会或者高级管理层提交审计报告，报告应包括审计发觉的问题、原因分析、改进建议等。（4）审计方法：内部审计部门在审计过程中，可以采用以下方法：a.询问：通过与相关人员进行交谈，了解业务流程、内部控制等方面的情况。b.观察：实地观察业务操作，了解内部控制执行情况。c.检查：查阅相关文件、资料，验证业务的真实性、合规性。d.分析：对收集到的数据进行分析，发觉潜在风险和问题。11.3合规检查与整改合规检查是企业为了保证各项业务活动符合相关法律法规、行业标准和内部规定，建立的一种监督机制。以下是合规检查与整改的具体内容：（1）合规检查的组织：企业应设立合规检查部门，负责对各项业务进行合规检查。（2）合规检查的内容：合规检查主要包括以下方面：a.业务合规性：检查企业业务是否符合相关法律法规、行业标准和内部规定。b.内部控制有效性：检查企业内部控制制度是否健全，执