内部审计制度

第一章 总则

第一条 为加强和规范集团公司内部审计工作，提高内部审计工作质量，促进企业内部管理和廉政建设，保护集团公司合法权益，根据《审计法》和集团公司规章管理制度等，特制定本制度。

第二条 本制度所称“内部审计”是指对有关事项开展的全面的内部审计，即对集团公司及其下属各子、分公司等组织机构及相关派驻机构的经营、管理、人财物及制度建设与执行等方面所进行的一种独立、客观的监督和评价活动。通过审查和评价经营管理活动、内部控制的健全有效性及其他相关资料来促进目标的实现。

第二章 内部审计机构和内部审计人员

第三条 集团公司设审计部，根据集团公司实际和业务需要配置专业审计人员。

第四条 审计部在集团公司董事长的领导下，依照国家法律、法规和政策，以及集团公司的规章管理制度，根据董事长的要求制定工作计划，独立、客观地行使内部审计职权，对董事长负责，接受董事长的指导和监督。

第五条 内部审计人员应具备一定的专业知识、审计经验及恰当地与他人进行有效沟通的人际交往能力等基本素质，以保证有效地开展内部审计工作。

第六条 内部审计人员应不断地通过后续教育来保持相应的专业胜任能力。

第七条 内部审计人员应遵循职业道德规范，以应有的职业谨慎态度执行内部审计工作任务。

第八条 内部审计人员必须依规审计、忠于职守、坚持原则、客观公正、廉洁奉公，不得滥用职权、徇私舞弊、玩忽职守。

第九条 内部审计人员按内部审计程序开展工作，对内部审计事项予以保密，未经批准，不得公开。

第十条 内部审计人员在开展内部审计业务时，如果与被审计单位或审计事项有利害关系的，应当回避。

第十一条 审计部和内部审计人员依据法律法规和集团公司有关规章制度独立行使职权，受法律法规和集团公司有关规章制度的保护，任何部门和个人不得对其进行阻挠、打击或报复。

第三章 内部审计的依据

第十二条 内部审计依据：

1.国家法律、法规和有关政策；

2.集团公司规章制度；

3.董事长下达的指示和工作指标；

4.下属各子、分公司的有关规章制度、会议决议、规划、计划、工作目标、经营方针等；

5.集团及各子、分公司签订的有关合同；

6.其他相关标准。

第四章 内部审计的范围

第十三条 审计部应以业务环节为基础开展审计工作，并根据公司各阶段工作重点和上级的部署，组织安排审计工作。审计工作应涵盖公司经营活动中与财务报告和信息披露事务相关的所有业务环节，主要审计范围如下：

1.集团公司各内部机构、控股子公司以及具有重大影响的参股公司经营管理方面：

（1） 执行国家财经法律、法规情况；

（2）法人治理结构的建立、健全和有效情况；

（3）内部控制制度等有关规章制度的建立、健全和有效执行情况；

（4）股东大会、董事会决议及决议落实、执行情况；

（5） 财务收支与其有关的经济活动：

1）财务预算（计划）编制、执行的科学性、可行性和合规性；

2）财务报告、会计报表、会计帐簿及相关原始凭证的真实、合法及有效情况等；

3） 经营成果及财务收支的真实性、合法性、效益性；

4） 管理和核算财务收支的计算机系统及其反映的电子数据和有关资料的真实、合法、有效性；

（6）对外投资及投入到控股公司、参股公司、设立的其他机构、分公司中的其他资金、财产的经营管理风险及效益情况；

（7）融资方案及规模的合法性、合规性，资金管理及使用的效益性；

（8）工程建设项目的立项、资金来源及使用情况、规划设计情况、招投标情况、工程建设成本及财务收支情况、工程变更与现场重大签证情况、概（预）算调整情况，工程竣工验收与决算情况、以及合同签订与审批情况、合同执行情况等。

（9）各类经济合同、协议签订的合法性、规范性及履行情况；

（10）以公司资产进行抵押贷款或对外单位提供担保的情况；

（11）关联交易的确立及执行情况；

（12）集团公司发生重要的购买和出售资产事项的真实、合法、有效性；

（13）前期审计意见落实跟踪整改情况。

2.专项（专案）审计或调查：

（1）离任审计：对项目公司总经理及以上级别人员在任期间的经济责任审计，是在离任人任职终结时，对其发生过的经济活动及履行职责的情况进行审查分析，并提出有关意见与建议，为公司确定或解除其经济责任提供参考。

（2）舞弊审计：对违反国家法律法规、公司内部规章，侵害国家或公司经济利益的行为进行专项调查、核实。

（3）专项尽职调查审计：公司对外投资和收购过程中，对被收购单位进行专项的尽职调查审计，如有必要配合律师所和会计师事务所进行。

（4）其他专项审计或调查：针对经济业务活动中某一环节或事项，结合内部控制制度开展专项审计并发表相关意见。如销货与收款、采购与付款、存货管理、固定资产采购与管理、日常资金管理、专项费用管理使用、人力资源管理等。

3.董事长安排的其他工作。

第五章 内部审计机构的职责

第十四条 审计部对集团公司各内部机构、控股子公司及具有重大影响的参股公司的内部控制制度的完善性、合理性及其实施的有效性进行检查和评估。督促建立、健全完善的公司内部控制制度，促进公司经营管理的改善和加强，保障公司持续、健康、快速地发展。 第十五条 对公司各内部机构、控股子公司及具有重大影响的参股公司的会计资料及其他有关经济资料，以及所反映的财务收支及有关的经济活动的合法性、合规性、真实性和效益性进行审计，包括但不限于对集团公司及下属的各子、分公司的资产、负债、损益，工程项目建设、工程项目维修改造及与其经营管理活动相关的环节进行全面审计。

第十六条 对公司内部机构、控股子公司及具有重大影响的参股公司进行特别调查，查找薄弱环节和故障所在，确保公司资源充分、合理运用。

第十七条 协助公司其他部门共同建立健全反舞弊机制，确定反舞弊的重点领域、关键环节和主要内容，并在内部审计过程中合理关注和检查可能存在的舞弊行为。

第十八条 配合外部审计单位对集团公司及有关各子、分公司的审计。

第十九条 审计部应当向董事长报送审计工作计划，及内部审计年度工作报告，内容包括但不限于内部审计计划的执行情况以及内部审计工作中发现的问题。

第二十条 跟进、督促经董事长批准的审计决定或审计意见书的整改情况。

第二十一条 办理董事长交办的其他审计事项。

第六章 内部审计机构的权限

第二十二条 审计部有权制定集团公司的内部审计规章制度并经董事长批准后执行；参加本单位财务管理和经营决策方面的有关会议，参与重大经济决策的可行性论证，进行可行性报告事前审计，参与研究制定、修改有关的规章制度；根据需要，审计部可协助项目公司与部门参加重要合同、协议的洽谈与签订、大额采购、发包工程等事项的招标、评标工作。

第二十三条 审计部有权要求被审计对象按时报送所在公司内部控制制度、财务收支计划、预算执行情况、决算、会计报表和项目工程建设全过程相关资料以及开展审计工作需要的其他相关文件、资料。

第二十四条 审计部在审计过程中可以行使下列权限

（1）召开与审计事项有关的会议；

（2）检查内部审计范围和内容中的有关事项；

（3）对审计事项的有关问题，向有关单位和个人进行调查及取证。如有需要，可要求被调查人员在一定时间内（不超过5个工作日）递交与口述情况相应的书面材料。

（4）对正在进行的严重违反财经法规，严重损失浪费行为，作出临时制止决定；

（5）提出纠正、处理违反财经法规行为的意见以及改进经济管理、提高经济效益、完善内部控制与管理等方面的建议；

（6）对严重违反财经法规、各种管理规章制度和造成严重损失浪费的单位和人员，报请集团公司给予通报批评，并追究责任的建议；

（7）对阻挠破坏审计工作及拒绝提供资料以及变造、伪造、隐瞒、毁灭证据的单位或个人，向董事长提出建议，采取必要措施，追究有关人员责任；

（8）对审计中发现的重大问题及时向董事长报告。

（9）对与审计事项有关的投资项目、重要客户、供应商等进行实地调查、取证、函证或电话询证。

第七章 内部审计工作具体实施

第二十五条 审计部制定年度内部审计工作计划、工作方案、审计人员计划等，经董事长批准组织实施。

第二十六条 审计部按照审计工作计划实施审计工作时，应当对被审计对象或事项进行审前调查，确定审计人员，制定审计方案，明确审计依据、审计目的、审计范围、审计重点、审计内容、审计方式和实施时间。

第二十七条 审计部应在实施审计工作前向被审计对象发出审计通知，或在实施审计时现场通知。被审计对象应按审计通知书的要求，认真做好审计前的准备，并提供必要的资料和工作条件配合审计部开展工作。

第二十八条 审计部实施审计时，可以采取就地审计或报送审计的审计方式，根据审计业务需要选择事前审计、事中审计、事后审计或几种方式结合进行。

第二十九条 审计人员应在了解内部控制状况的基础上进行符合性测试和实质性测试，可以用检查、观察、询问、盘点、监盘、计算、分析性复核等方法实施审计，通过规范方法获得必要的证据材料。

第三十条 内部审计人员在审计过程中，应当获取充分的审计证据，获取的审计证据应当具备充分性、相关性和可靠性，并对所获得

的相关证据进行整理、分析、研究、判断并相互验证，评估各种证据的重要性、可靠性及与审计事项的相关性，依据有关证据对具体的审计事项做出审计结论。

第三十一条 对审计中发现的问题，审计人员应及时向被审计对象提出改进意见。审计人员应与被审计对象及有关人员进行充分的交流和沟通，充分听取被审计对象及有关人员的说明、解释和意见，确保审计结论准确、公正、客观。

第三十二条 内部审计人员在审计工作中应当按照有关规定编制与复核审计工作底稿，审计终结后，应出具书面审计报告报送董事长与被审计对象及相关部门。

第三十三条 审计部在审查过程中如发现内部控制存在重大缺陷或重大风险，应当及时向董事长报告。

第三十四条 审计部应根据实际情况，对审计报告所披露问题的整改落实情况进行必要的后续审计。

第八章 内部审计报告

第三十五条 内部审计人员应于审计结束后，出具审计报告初稿，征求被审计对象意见。被审计对象应当自接到审计报告之日起7日内，与审计部有关人员沟通，将其书面意见送交审计部，逾期即视为对审计报告无异议。

第三十六条 董事长对审计报告作出批示意见，经董事长批示的审计意见书连同最终审计报告，应当及时送达被审计对象执行；被审计对象对批示的审计意见书仍有疑义的，应该在审计意见书送达之日起7天内向董事长提起申诉，经董事长批示后按照最后批示意见执行。

第三十七条 内部审计报告的编制必须以审计结果为依据，做到客观、准确、清晰、完整，意见恰当、简明易懂，便于非专业人士阅读理解。

第三十八条 审计报告应当说明审计的目的、审计依据、审计的范围、实施的审计程序等基本事项，对审计中发现的重要事项要详细描述，并应发表针对性审计意见与建议。

第九章 内部审计档案制度

第三十九条 内部审计档案管理根据集团公司档案管理、保密管理等具体办法建立、健全审计档案管理制度并执行。

第四十条 内部审计档案管理范围：

1.审计通知书和审计方案；

2. 审计报告及其附件；

3. 审计记录、审计工作底稿和审计证据；

4. 反映被审计对象业务活动的部分相关书面文件；

5.董事长对审计事项或审计报告的指示、批复和意见；

6.审计处理决定以及执行整改情况报告；

7.其他应保存的资料。

第四十一条 每个审计项目的审计工作结束后，审计部应及时将工作底稿分类整理、归集汇总，连同审计报告等文件、资料装订成册，编制档案目录并按规定归档进行管理。审计部可根据审计项目的业务性质和资料的重要程度，确定审计档案保管期限，但最低不能少于5年。

第四十二条 审计部以外的单位、部门和个人不能随意调阅审计档案，确实因公司业务工作需要调阅的，须经审计负责人同意并报董事长批准。

第四十三条 审计档案销毁必须经审计负责人同意，董事长签字后方可进行。档案销毁时需指定人员监销，销毁清册需长期保存以备查考。

第十章 奖励与处罚

第四十四条 审计部对遵守企业规章制度、做出显著成绩的部门和个人，可以向董事长提出给予奖励的建议。

第四十五条 审计部对有下列行为之一的部门和个人，根据情节轻重，向董事长提出给予行政处分、追究经济责任的建议：

1.拒绝或拖延提供与审计事项有关的文件、会计资料等证明材料的。

2.阻挠审计人员行使职权，抗拒、破坏审计监督检查的。

3.弄虚作假，隐瞒事实真相的。

4.拒绝执行审计决定的。

5.打击报复审计人员和向内部审计部门如实反映真实情况的员工的。

第四十六条 内部审计人员有下列行为之一的，根据情节轻重，董事长给予行政处分、追究经济责任：

1.利用职权谋取私利的。

2.弄虚作假、徇私舞弊的。

3.玩忽职守、给公司造成经济损失的。

4.泄露公司秘密的。

上述行为，情节严重、构成犯罪的，应移送司法机关依法追究刑事责任。

第十一章 附则

第四十七条 本制度未尽事宜，按照国家有关法律、法规和公司章程的规定执行。本制度如与国家日后颁布的法律、法规或经合法程序修改后的章程相抵触的，按照国家有关法律、法规和公司章程等规定执行，并立即修订，报董事长审核批准。

第四十八条 本制度最终解释权与修订权归集团审计部。 第四十九条 本制度经公司董事长批准，公司颁布之日起实行。

第二篇：信息系统安全审计管理制度

信息系统安全审计管理制度

第一章 工作职责安排

第一条 安全审计员的职责是：

1. 制定信息安全审计的范围和日程；

2. 管理具体的审计过程；

3. 分析审计结果并提出对信息安全管理体系的改进意见；

4. 召开审计启动会议和审计总结会议；

5. 向主管领导汇报审计的结果及建议；

6. 为相关人员提供审计培训。

第二条 评审员由审计负责人指派，协助主评审员进行评审，其职责是：

1. 准备审计清单；

2. 实施审计过程；

3. 完成审计报告；

4. 提交纠正和预防措施建议；

5. 审查纠正和预防措施的执行情况。

第三条 受审员来自相关部门，其职责是：

1. 配合评审员的审计工作；

2. 落实纠正和预防措施；

3. 提交纠正和预防措施的实施报告。

第二章 审计计划的制订

第四条 审计计划应包括以下内容：

1. 审计的目的；

2. 审计的范围；

3. 审计的准则；

4. 审计的时间；

5. 主要参与人员及分工情况。

第五条 制定审计计划应考虑以下因素：

1. 每年应进行至少一次涵盖所有部门的审计；

2. 当进行重大变更后（如架构、业务方向等），需要进行一次涵盖所有部门的审计。

第三章 安全审计实施

第六条 审计的准备：

1. 评审员需事先了解审计范围相关的安全策略、标准和程序；

2. 准备审计清单，其内容主要包括：

1) 需要访问的人员和调查的问题；

2) 需要查看的文档和记录（包括日志）；

3) 需要现场查看的安全控制措施。

第七条 在进行实际审计前，召开启动会议，其内容主要包括：

1. 评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）；

2. 向受审员说明审计通过抽查的方式来进行。

第八条 审计方式包括面谈、现场检查、文档的审查、记录（包括日志）的审查。

第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息：

1. 审计的时间；

2. 被审计的部门和人员；

3. 审计的主题 ；

4. 观察到的违规现象；

5. 相关的文档和记录，比如操作手册、备份记录、操作员日志、软件许可证、培训记录等；

6. 审计参考的文档，比如策略、标准和程序等；

7. 参考所涉及的标准条款；

8. 审计结果的初步总结。

第十条 如怀疑与相关安全标准有不符合项的情况，审

计员应记录所观察到的详细信息 (如在何处、何时，所涉及的人员、事项，和具体的情况等) 并描述其为什么不符合。关于不符合的情况应与受审员达成共识。

第十一条 在每项审计结束时应准备审计报告，审计报告应包括：

1. 审计的范围；

2. 审计所覆盖的安全领域；

3. 审计结果的总结；

4. 不符合项，不符合项的具体描述和相关证据；

5. 纠正和预防措施的建议。

第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致，包括：

1. 等级保护基本要求；

2. 信息安全策略；

3. 相关标准和程序；

4. 相关法律条款；

5. 本单位的相关规定；

6. 任何其它在客户合同中规定的要求。

第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况，此不符合项应被分类为 “主要”的：

1. 会导致系统、程序或控制措施整体失效；

2. 操作过程没有形成标准的文档；

3. 累计多个同一类型的“次要”不符合项；

4. 对信息安全管理体系的未授权变更。

如果所发现的不符合项属于个别事件，此不符合项将被分类为 “次要”的，例如：

1. 未标识信息安全分类的文档；

2. 没有被管理层审阅的事故报告；

3. 不完整的变更记录；

4. 不完整的机房进出记录。

第十四条 造成不符合项的原因可以分为以下几种：

1. 其文档化的标准和程序与信息安全策略不一致；

2. 实际的操作与文档化的标准和程序要求不一致；

3. 实际的操作没有达到预期效果。

第四章 安全审计汇报

第十五条 召开审计总结会议。应总结汇报以下内容：

1. 审计的目标和范围；

2. 审计的时间；

3. 参与审计的人员；

4. 审计报告（包括纠正和预防措施的建议）；

5. 提交审计报告的副本供受审员参考。

第十六条 在总结会议上，受审员应阐述任何疑问。

第五章 纠正和预防措施

第十七条 纠正和预防措施应该包括问题描述、根本原因、应急措施（可选）、纠正措施以及预防措施。

第十八条 受审员必须制定纠正和预防措施的实施计划。

第十九条 受审员应在规定时间内向评审员提交纠正和预防措施的实施报告。

第六章 审计纠正和预防措施的实施状况

第二十条 评审员应在受审员提交报告的3个月内，审计纠正和预防措施的实施状况。

第二十一条 审计纠正和预防措施应包括：面谈、现场检查、文档的审查以及记录（包括日志）的审查。

第二十二条 评审员根据受审员提交的纠正和预防措施实施报告，收集、记录和审查相关证据。

第七章 审计结果的审阅

第二十三条 安全审计员应审阅和分析所有审计结果。 第二十四条 受审员的领导在审阅审计结果时，应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施。

第八章 附 则

第二十五条 本制度由某某单位负责解释。

第二十六条 本制度自发布之日起生效执行。