企业内控应用手册之内部审计与监督-风险控制矩阵.xls

《企业内控应用手册之内部审计与监督-风险控制矩阵.xls》由会员分享，可在线阅读，更多相关《企业内控应用手册之内部审计与监督-风险控制矩阵.xls（18页珍藏版）》请在咨信网上搜索。

1、风风险险控控制制矩矩阵阵编编制制说说明明一一、编编制制风风险险控控制制矩矩阵阵的的目目的的编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动，为企业提出内控管理改善建议，使公司能够采取针对性的改进措施，从而达成管理风险和健全公司内部控制体系的最终目标。二二、风风险险控控制制矩矩阵阵的的使使用用对对象象风险控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员（包括部门经理、流程/子流程具体执行人员等）。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动，进而对比现有业务活动与标准控制活动之间的差异，识别出公司的内控缺陷，并提出相应的改善建议。具体

2、填列请参见下述第三部分。三三、风风险险控控制制矩矩阵阵主主表表关关键键字字段段定定义义D D列列：控控制制目目标标控制目标是指内部控制总体目标在各个业务流程中的具体反映。因此本列的控制目标是以每一个业务流程下的子流程为范围（具体化）。F F列列：风风险险点点风险点用于说明未达成控制目标可能导致的风险。此列内容应与风险清单所载的保持一致。H H列列：标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存

3、在多个控制活动，用户可自行在风险控制矩阵中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于：1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列：现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列：重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动，选关键控制

4、；若否，则请选一般控制。K K列列：制制度度公司目前已制定的、涉及该控制活动的相关制度及规定。L L列列：文文档档公司目前在该控制活动中涉及的相关文档。M M列列：责责任任部部门门及及岗岗位位实施该控制活动的部门及岗位。N N列列：控控制制形形式式如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”，否则请选择“手工控制”。K K列列：执执行行频频率率指所对应的控制活动的执行频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。S S列列：合合规规对对比比内内容容对应企业内部控制基本规范及相关配套指引的相关条

5、款内容。U U列列：内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后（即有可能与标准控制活动一致或存在偏差），如果目前存在偏差且此偏差可能导致公司内部控制不到位，则此偏差属于内部控制缺陷，公司需要对其进行加以整改。此处填列的为缺陷的概括说明。V V列列：缺缺陷陷描描述述对缺陷的具体情况加以详述。W W列列：整整改改建建议议针对内控缺陷提出的整改建议，供公司参考。X X列列：缺缺陷陷等等级级根据内控缺陷的评价标准对识别出的内控缺陷评为“重大“、”重要“或”一般“。流流程程简简称称说说明明流流程程名名称称流流程程简简称称组织架构OSOS发展战略STST人力资源HRHR社会责

6、任SRSR企业文化CCCC全面预算BUBU信息传递ICIC关联交易RPTRPT信息系统ITIT内部审计AUAU筹资管理FINFIN资金运营管理TRTR投资管理IMIM固定资产管理FAFA无形资产管理IAIA采购业务PUPU担保业务GRGR财务报告FRFR合同管理CONCON业务外包BPOBPO税务管理TXTX项目开发管理DMDM工程项目管理PMPM成本管理EMEM品牌及营销管理BMBM物业管理FMFM编编号号规规则则说说明明规规则则名名称称编编号号规规则则控制目标编号规则流程简称+CO+顺序号举例：资金运营管理流程第一个控制目标：TR-CO-01风险点编号规则流程简称+R+顺序号举例：资金运营

7、管理流程第一个风险点：TR-R-01控制活动编号规则流程简称+CA+顺序号举例：资金运营管理流程第一个控制活动：TR-CA-01控制运行有效性测试底稿编号规则流程简称+T+顺序号举例：资金运营管理流程第一个测试底稿：TR-T-01控制缺陷编号规则流程简称+CD+顺序号举例：资金运营管理流程第一个控制缺陷：TR-CD-01增值建议编号规则流程简称+VA+顺序号举例：资金运营管理流程第一个增值建议：TR-VA-01编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动，为企业提出内控管理改善建议，使公司能够采取针对性的改进措施，从而达成管理风险和健全公司内部控制体系的最终目标。风险

8、控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员（包括部门经理、流程/子流程具体执行人员等）。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动，进而对比现有业务活动与标准控制活动之间的差异，识别出公司的内控缺陷，并提出相应的改善建议。具体填列请参见下述第三部分。H H列列：标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存在多个控制活动，用户可自行在风险控制矩阵

9、中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于：1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列：现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列：重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动，选关键控制；若否，则请选一般控制。N N列列：控控

10、制制形形式式如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”，否则请选择“手工控制”。K K列列：执执行行频频率率指所对应的控制活动的执行频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。U U列列：内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后（即有可能与标准控制活动一致或存在偏差），如果目前存在偏差且此偏差可能导致公司内部控制不到位，则此偏差属于内部控制缺陷，公司需要对其进行加以整改。此处填列的为缺陷的概括说明。风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流

11、流程程名名称称：内内部部审审计计与与监监督督子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度内内审审计计划划AU-CO-01审计部门组织设置合理、人员配备充分，保证审计职能充分发挥。AU-R-01公司未建立或完善内部审计职能，导致公司无法对经营运行及内部控制有效性情况进行客观评价，无法增加公司价值和运营效果。AU-CA-01公司设置合理的审计部门组织架构，保证审计部门独立性，配备足够的审计人员，在集团范围内

12、有效开展审计工作。审审计计部部门门组组织织架架构构及及人人员员配配置置公司设审计管理中心，负责整个集团的内部审计工作，在公司董事会审计与风险委员会的指导下独立开展工作，并向其提交内部审计工作报告。公司下属子公司保利华南实业有限公司、保利（重庆）投资实业有限公司设置了审计管理部门，并配备了专职审计人员开展审计工作；其他没有单独设置审计管理部门的子公司，会配备兼职审计人员，负责完成相应的审计工作。一般AU-CO-02公司的风险得到有效识别及评估，建立风险导向的内审体系。AU-R-02公司缺少对于风险评估的标准或者该风险评估的标注不合理，公司的风险偏好过于谨慎或者过于激进从而导致公司未将部分高风险领

13、域纳入企业监控的范围之内或者公司花费大量不必要的资源在风险较低的领域的风险。AU-CA-02企业建立风险评估体系，并制定相关风险管理的制度及操作手册。风风险险管管理理体体系系和和制制度度的的建建立立公司目前尚未制定相关风险管理制度及操作手册，没有形成完善的风险管理体系。一般AU-CA-03风险管理部门持续关注业务运营中面临的风险，开展风险评估，对风险列表和应对措施进行持续更新和完善。风风险险管管理理部部门门的的设设置置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。一般AU-CO-03内部审计年度工作范围及计划恰当且经过管理层授权；AU-R-03审计计划不合理，造成审计资

14、源的浪费或者未能针对特定风险领域开展专项内部审计，从而导致企业违反法律法规（如会计、税法等）的风险。AU-CA-04审计部门通过风险评估体系，综合考虑公司的内外部环境及战略目标变化，编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的，审计部门应提出申请，并经适当管理层审批。年年度度内内审审计计划划的的编编制制与与审审批批审计管理中心根据审计与风险委员会的要求，结合公司各部门/子公司的具体情况编制年度审计工作计划，经中心总经理、公司总经理审核，董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时，需经审计与风险委员会审批通过。关键第7页，共18页制制度度

15、文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率xx地产（集团）股份有限公司内部审计管理暂行规定无无手工控制业务发生时无无无手工控制业务发生时无无无手工控制业务发生时xx地产（集团）股份有限公司内部审计管理暂行规定年度审计工作计划审计管理中心手工控制每年 控控制制活活动动 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动AU-CA-01公司设置合理的审计部门组织架构，保证审计部门独立性，配备足够的审计人员，在集团范围内有效开展审计工作。审审计计部部门门组组织织架架构构及及人人员员配配置置公司设审计管理中心，负责整个集团的内部审计工作，

16、在公司董事会审计与风险委员会的指导下独立开展工作，并向其提交内部审计工作报告。公司下属子公司保利华南实业有限公司、保利（重庆）投资实业有限公司设置了审计管理部门，并配备了专职审计人员开展审计工作；其他没有单独设置审计管理部门的子公司，会配备兼职审计人员，负责完成相应的审计工作。AU-CA-02企业建立风险评估体系，并制定相关风险管理的制度及操作手册。风风险险管管理理体体系系和和制制度度的的建建立立公司目前尚未制定相关风险管理制度及操作手册，没有形成完善的风险管理体系。AU-CA-03风险管理部门持续关注业务运营中面临的风险，开展风险评估，对风险列表和应对措施进行持续更新和完善。风风险险管管理理

17、部部门门的的设设置置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。AU-CA-04审计部门通过风险评估体系，综合考虑公司的内外部环境及战略目标变化，编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的，审计部门应提出申请，并经适当管理层审批。年年度度内内审审计计划划的的编编制制与与审审批批审计管理中心根据审计与风险委员会的要求，结合公司各部门/子公司的具体情况编制年度审计工作计划，经中心总经理、公司总经理审核，董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时，需经审计与风险委员会审批通过。第8页，共18页控控制制运运行行有有效

18、效性性测测试试合合规规对对比比（企企业业内内部部控控制制规规范范及及配配套套指指引引）测测试试底底稿稿编编号号测测试试结结论论条条款款规规定定内内容容无无企业内部控制基本规范第十三条、第十四条、第四十四条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权

19、责分配，正确行使职权。企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。无无企业内部控制基本规范第二十条、第二十四条、第二十六条企业应当根据设定的控制目标，全面

20、系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借

21、助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。无无企业内部控制基本规范第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条、第二十六条、第二十七条企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。企业识别内部风险，应当关

22、注下列因素：（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。企业识别外部风险，应当关注下列因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况

23、等自然环境因素。（六）其他有关外部风险因素。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险

24、承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制

25、、财产保护控制、预算控制、运营分析控制和绩效考评控制等。AU-T-010企业内部控制基本规范第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动AU-CA-01公司设置合理的审计部门组织架构，保证审计部门独立性，配备足够的审计人员，在集团范围内有效开展审计

26、工作。审审计计部部门门组组织织架架构构及及人人员员配配置置公司设审计管理中心，负责整个集团的内部审计工作，在公司董事会审计与风险委员会的指导下独立开展工作，并向其提交内部审计工作报告。公司下属子公司保利华南实业有限公司、保利（重庆）投资实业有限公司设置了审计管理部门，并配备了专职审计人员开展审计工作；其他没有单独设置审计管理部门的子公司，会配备兼职审计人员，负责完成相应的审计工作。AU-CA-02企业建立风险评估体系，并制定相关风险管理的制度及操作手册。风风险险管管理理体体系系和和制制度度的的建建立立公司目前尚未制定相关风险管理制度及操作手册，没有形成完善的风险管理体系。AU-CA-03风险管

27、理部门持续关注业务运营中面临的风险，开展风险评估，对风险列表和应对措施进行持续更新和完善。风风险险管管理理部部门门的的设设置置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。AU-CA-04审计部门通过风险评估体系，综合考虑公司的内外部环境及战略目标变化，编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的，审计部门应提出申请，并经适当管理层审批。年年度度内内审审计计划划的的编编制制与与审审批批审计管理中心根据审计与风险委员会的要求，结合公司各部门/子公司的具体情况编制年度审计工作计划，经中心总经理、公司总经理审核，董事会审计与风险委员会审议通

28、过后实施。年度审计工作计划需要调整时，需经审计与风险委员会审批通过。第9页，共18页内内部部控控制制缺缺陷陷控控制制缺缺陷陷编编号号内内控控缺缺陷陷缺缺陷陷描描述述整整改改建建议议缺缺陷陷等等级级无无无无无AU-CD-01未在集团范围内进行系统的风险评估，未形成风险导向的内审体系公司未建立风险评估体系及风险管理相关制度，未在集团范围内定期进行风险评估，目前审计部主要结合公司各部门/下属公司的具体情况编制年度审计工作计划，公司董事、监事及总经理确定年度拟执行审计项目的重要程度并给予相关建议，未形成系统的以风险为导向的审计体系。公司建立风险评估体系，在集团范围内组织风险识别，并建立风险评估标准，对

29、所识别的风险进行分析、评估和评级。审计部依据风险评估结果，确定年度审计计划及审计范围，建立以风险为导向的审计体系。重要缺陷无无无无无 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动AU-CA-01公司设置合理的审计部门组织架构，保证审计部门独立性，配备足够的审计人员，在集团范围内有效开展审计工作。审审计计部部门门组组织织架架构构及及人人员员配配置置公司设审计管理中心，负责整个集团的内部审计工作，在公司董事会审计与风险委员会的指导下独立开展工作，并向其提交内部审计工作报告。公司下属子公司保利华南实业有限公司、保利（重庆）投资实业有限公司设置了审计管理部门

30、，并配备了专职审计人员开展审计工作；其他没有单独设置审计管理部门的子公司，会配备兼职审计人员，负责完成相应的审计工作。AU-CA-02企业建立风险评估体系，并制定相关风险管理的制度及操作手册。风风险险管管理理体体系系和和制制度度的的建建立立公司目前尚未制定相关风险管理制度及操作手册，没有形成完善的风险管理体系。AU-CA-03风险管理部门持续关注业务运营中面临的风险，开展风险评估，对风险列表和应对措施进行持续更新和完善。风风险险管管理理部部门门的的设设置置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。AU-CA-04审计部门通过风险评估体系，综合考虑公司的内外部环境及战

31、略目标变化，编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的，审计部门应提出申请，并经适当管理层审批。年年度度内内审审计计划划的的编编制制与与审审批批审计管理中心根据审计与风险委员会的要求，结合公司各部门/子公司的具体情况编制年度审计工作计划，经中心总经理、公司总经理审核，董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时，需经审计与风险委员会审批通过。第10页，共18页实实施施内内审审AU-CO-04审计方案具体明确，审计工作有据可依，且审计通知得到准确及时下达；AU-R-04由于公司在进行内部审计时没有落实责任制，对于内部审计没有质量评价标准，

32、将会导致内部审计质量下降，使得公司可能无法发现合规中出存在的问题，导致公司合规失败的风险。AU-CA-05审计需求提出后，审计部门应根据实际需要编制具体项目审计计划及审计方案，并经适当管理层审批。项目实施过程中，根据实际工作情况需要调整项目审计计划及方案的，审计小组需提出书面调整建议并经审计部门负责人同意后实施。项项目目审审计计计计划划和和审审计计方方案案的的编编制制与与审审批批审计管理中心实施审计时，应当根据年度工作计划或指令和被审计单位情况及预期审计工作的复杂程度，决定是否编制项目审计计划和审计方案；审计计划和审计方案由审计小组编制，项目审计计划和审计方案经审计管理中心总经理审批。审计小组

33、在实施审计过程中，发现项目审计计划和审计方案不适应实际需求时，可以根据具体情况按照规定及时调整；调整时，项目小组应当向审计管理中心总经理说明调整缘由，书面提出调整建议，报经审计管理中心总经理同意后实施；特殊情况下不能办理审批手续的，可以口头请示审计管理中心总经理同意后调整，项目结束时，审计小组应当及时补办签批手续。关键AU-CA-06审计部门编制审计通知书，经适当领导层级审批后，在实施审计之前，下发至被审计单位。审审计计通通知知书书的的编编制制与与下下发发审计管理中心经理依据经批准的审计计划、董事会或管理层临时交办的审计任务填列审计通知书，并报中心总经理签发。签发后的审计通知书需在实施审计五个

34、工作日前送达至被审计单位。对需要突击执行审计的特殊业务，审计通知书可在实施审计时送达。关键AU-CO-05现场审计程序恰当，工作底稿真实、准确及有效AU-CA-07审计部门根据审核后的审计方案开展审计工作，运用恰当的审计手段，获取充分的审计证据，编制有效的工作底稿。现现场场审审计计的的实实施施审计师运用观察、询问、审核以及分析性复核等多种方法获取审计证据并造册归档，并采用审计抽样技术执行相关内部控制活动的符合性测试和实质性测试程序，记录测试结果，形成审计工作底稿。一般AU-CA-08审计部门建立内部复核制度，对审计实施过程中涉及的审计证据、审计工作底稿、审计报告、审计意见书等关键性资料进行复核

35、。内内部部复复核核制制度度的的建建立立为保证审计工作质量，审计管理中心采用复核制，审计项目主审对审计组员所提供的审计证据、审计工作底稿、审计结论进行复核并提出意见。一般AU-CO-06审计报告及时恰当的编制并经适当审批AU-CA-09审计人员在现场审计工作完成后，依据经审核确认的工作底稿编制审计报告。审审计计报报告告的的编编制制审计工作结束后五个工作日内，就审计发现的问题向被审计单位书面征求意见。审计工作组依据经审核确认的工作底稿编制审计报告拟定审计报告征求意见稿。被审计单位应在收到征求意见稿之日起五个工作日内进行书面回复，如逾期未作回复，将视作无意见。关键AU-CA-10公司领导对审计报告进

36、行审核后，下发被审计单位进行整改。审审计计报报告告的的审审批批和和下下发发完成的审计报告呈送公司领导审阅，并附上被审计单位的书面回复意见。经审阅批准的审计报告下达至被审计单位，被审计单位或个人对审计报告有异议的，可申请复议。关键风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流流程程名名称称：内内部部审审计计与与监监督督子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度第11页，共18页xx地产（集

37、团）股份有限公司内部审计管理暂行规定项目审计计划审计管理中心手工控制业务发生时xx地产（集团）股份有限公司内部审计管理暂行规定审计通知书审计管理中心手工控制业务发生时xx地产（集团）股份有限公司内部审计管理暂行规定审计工作底稿审计管理中心手工控制业务发生时xx地产（集团）股份有限公司内部审计管理暂行规定审计工作底稿审计管理中心手工控制业务发生时xx地产（集团）股份有限公司内部审计管理暂行规定项目审计报告（名称不限）审计管理中心手工控制业务发生时xx地产（集团）股份有限公司内部审计管理暂行规定项目审计报告（名称不限）审计管理中心手工控制业务发生时 控控制制活活动动控控制制活活动动编编号号标标准准

38、控控制制活活动动现现有有控控制制活活动动AU-CA-05审计需求提出后，审计部门应根据实际需要编制具体项目审计计划及审计方案，并经适当管理层审批。项目实施过程中，根据实际工作情况需要调整项目审计计划及方案的，审计小组需提出书面调整建议并经审计部门负责人同意后实施。项项目目审审计计计计划划和和审审计计方方案案的的编编制制与与审审批批审计管理中心实施审计时，应当根据年度工作计划或指令和被审计单位情况及预期审计工作的复杂程度，决定是否编制项目审计计划和审计方案；审计计划和审计方案由审计小组编制，项目审计计划和审计方案经审计管理中心总经理审批。审计小组在实施审计过程中，发现项目审计计划和审计方案不适应

39、实际需求时，可以根据具体情况按照规定及时调整；调整时，项目小组应当向审计管理中心总经理说明调整缘由，书面提出调整建议，报经审计管理中心总经理同意后实施；特殊情况下不能办理审批手续的，可以口头请示审计管理中心总经理同意后调整，项目结束时，审计小组应当及时补办签批手续。AU-CA-06审计部门编制审计通知书，经适当领导层级审批后，在实施审计之前，下发至被审计单位。审审计计通通知知书书的的编编制制与与下下发发审计管理中心经理依据经批准的审计计划、董事会或管理层临时交办的审计任务填列审计通知书，并报中心总经理签发。签发后的审计通知书需在实施审计五个工作日前送达至被审计单位。对需要突击执行审计的特殊业务

40、，审计通知书可在实施审计时送达。AU-CA-07审计部门根据审核后的审计方案开展审计工作，运用恰当的审计手段，获取充分的审计证据，编制有效的工作底稿。现现场场审审计计的的实实施施审计师运用观察、询问、审核以及分析性复核等多种方法获取审计证据并造册归档，并采用审计抽样技术执行相关内部控制活动的符合性测试和实质性测试程序，记录测试结果，形成审计工作底稿。AU-CA-08审计部门建立内部复核制度，对审计实施过程中涉及的审计证据、审计工作底稿、审计报告、审计意见书等关键性资料进行复核。内内部部复复核核制制度度的的建建立立为保证审计工作质量，审计管理中心采用复核制，审计项目主审对审计组员所提供的审计证据

41、、审计工作底稿、审计结论进行复核并提出意见。AU-CA-09审计人员在现场审计工作完成后，依据经审核确认的工作底稿编制审计报告。审审计计报报告告的的编编制制审计工作结束后五个工作日内，就审计发现的问题向被审计单位书面征求意见。审计工作组依据经审核确认的工作底稿编制审计报告拟定审计报告征求意见稿。被审计单位应在收到征求意见稿之日起五个工作日内进行书面回复，如逾期未作回复，将视作无意见。AU-CA-10公司领导对审计报告进行审核后，下发被审计单位进行整改。审审计计报报告告的的审审批批和和下下发发完成的审计报告呈送公司领导审阅，并附上被审计单位的书面回复意见。经审阅批准的审计报告下达至被审计单位，被

42、审计单位或个人对审计报告有异议的，可申请复议。制制度度文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率 控控制制活活动动第12页，共18页AU-T-020企业内部控制基本规范第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。AU-T-030企业内部控制基本规范第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配

43、备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条、第二十四条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计机

44、构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条、第二十四条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计机构应当结合内部审计监督，对内

45、部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。AU-T-040企业内部控制基本规范第十五条、第四十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。企业应当制定内部控制缺陷认定标准，对监督过程中发现的内

46、部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任AU-T-050企业内部控制基本规范第十五条、第四十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。企业

47、应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动AU-CA-05审计需求提出后，审计部门应根据实际需要编制具体项目审计计划及审计方案，并经适当管理层审批。项目实施过程中，根据实际工作情况需要调整项目审计计划及方案的，审计小组需提出书面调整建议并经审计部门负责人同意后实

48、施。项项目目审审计计计计划划和和审审计计方方案案的的编编制制与与审审批批审计管理中心实施审计时，应当根据年度工作计划或指令和被审计单位情况及预期审计工作的复杂程度，决定是否编制项目审计计划和审计方案；审计计划和审计方案由审计小组编制，项目审计计划和审计方案经审计管理中心总经理审批。审计小组在实施审计过程中，发现项目审计计划和审计方案不适应实际需求时，可以根据具体情况按照规定及时调整；调整时，项目小组应当向审计管理中心总经理说明调整缘由，书面提出调整建议，报经审计管理中心总经理同意后实施；特殊情况下不能办理审批手续的，可以口头请示审计管理中心总经理同意后调整，项目结束时，审计小组应当及时补办签批

49、手续。AU-CA-06审计部门编制审计通知书，经适当领导层级审批后，在实施审计之前，下发至被审计单位。审审计计通通知知书书的的编编制制与与下下发发审计管理中心经理依据经批准的审计计划、董事会或管理层临时交办的审计任务填列审计通知书，并报中心总经理签发。签发后的审计通知书需在实施审计五个工作日前送达至被审计单位。对需要突击执行审计的特殊业务，审计通知书可在实施审计时送达。AU-CA-07审计部门根据审核后的审计方案开展审计工作，运用恰当的审计手段，获取充分的审计证据，编制有效的工作底稿。现现场场审审计计的的实实施施审计师运用观察、询问、审核以及分析性复核等多种方法获取审计证据并造册归档，并采用审

50、计抽样技术执行相关内部控制活动的符合性测试和实质性测试程序，记录测试结果，形成审计工作底稿。AU-CA-08审计部门建立内部复核制度，对审计实施过程中涉及的审计证据、审计工作底稿、审计报告、审计意见书等关键性资料进行复核。内内部部复复核核制制度度的的建建立立为保证审计工作质量，审计管理中心采用复核制，审计项目主审对审计组员所提供的审计证据、审计工作底稿、审计结论进行复核并提出意见。AU-CA-09审计人员在现场审计工作完成后，依据经审核确认的工作底稿编制审计报告。审审计计报报告告的的编编制制审计工作结束后五个工作日内，就审计发现的问题向被审计单位书面征求意见。审计工作组依据经审核确认的工作底稿