企业内部审计控制矩阵模版.docx

1、 内部控制管理手册 内部审计 1.内容概述 本模块主要涉及审计立项、经济责任审计、工程项目审计、绩效审计、专项审计和内控测试等业务。 2.适用范围 内部审计适用于xx股份有限公司及下属单位的内部审计实施。 3.与下属单位的衔接 总序号 分序号 内控项目、流程 衔接点描述 20 20-1 内部审计管理 下属各单位应按照公司要求实施审计、整改、后续审计及跟踪。 4.涉及制度文件 总序号 分序号 制度名称 负责部门 20 20-1 《xx股份有限公司内部审计管理制度》 审计部 20 20-1 《xx内部审计立项审批流程》 审计部 20 20

2、1 《xx股份有限公司环保工程企业收入、成本内部审计确认暂行办法》 审计部 20 20-1 《xx股份有限公司修复工程项目审计管理办法》 审计部 20 20-2 《xx股份有限公司内部经济责任审计办法》 审计部 经营业绩审计项目立项审批流程 经济责任审计立项审批流程 第 40 页 共 40 页 已竣已结工程项目审计立项审批流程 投资项目审计立项审批流程 专项审计立项审批流程（主管领导安排的专项审计项目） 专项审计立项审批流程（公司其他业务系统安排的专项审计项目）

3、 风险控制矩阵（RCD） 单位名称：xx股份有限公司 主管部门：审计部 涉及报表项目： 　 当前流程名称：KP20 内部审计管理 参与部门：公司及下属单位各相关部门 最后更新时间： 　 控制点 编号 风险/控制目标类别 风险描述 控制目标具体描述 关键控制编号 现有控制措施 控制方法 控制类型 控制频率 控制文件/控制实施证据 违反法律法规 资产安全受损 财务报告失真 影响经营成效 影响发展战略 自动/人工 预防性/发现性 按需不定期/日/周/月度/季度/年度 1.1M √ √ √ √ √ 1.如果公司年度

4、内部审计计划不能覆盖公司全部业务活动范围、未能关注到公司的年度经营目标或工作重点，有可能导致日常监督以及本年度内部审计工作范围不全面、审计重点选择和审计方法不正确，不能向管理层、董事会提供真实、有效的管理信息。 制定并实施年度内部审计计划符合公司经营目标及工作重点，且围绕公司中心工作，体现重性、成本效益性原则。 K1 审计部在每年开始之前根据公司的管理需要、组织风险、审计资源等要素确定公司年度审计计划工作的目标、范围、方法，编制公司年度审计计划，其中应包含日常监督检查工作、专项审计项目、内外部财务及内部控制审计工作的时间及范围等。 公司年度审计计划应提交审计委员会审议后执行。 人

5、工 预防性 年度 《内部审计管理制度》、公司年度审计计划、董事会决议/会议纪要 1.2M √ √ √ √ √ 1.如果公司年度内部审计计划不能覆盖公司全部业务活动范围、未能关注到集团的年度经营目标或工作重点，有可能导致日常监督以及本年度内部审计工作范围不全面、审计重点选择和审计方法不正确，不能向管理层、董事会提供真实、有效的管理信息。 制定并实施年度内部审计计划符合公司经营目标及工作重点，且围绕公司中心工作，体现重性、成本效益性原则。 　 每个年度结束后，审计部根据上一年度审计计划完成情况编制年度工作总结，对本年度审计部工作中发现的主要问题、整改措施及完成情况、遗留问

6、题与解决方案进行汇总，并对下一年度工作的重点及规划进行建议。 年度工作总结应提交审计委员会审议，并作为下一年工作计划的编制依据。 人工 预防性/发现性 年度 《内部审计管理制度》、公司年度审计工作总结 2.1M √ √ √ √ √ 2.内部审计机构或人员胜任能力或独立性不够，审计方法或程序不科学，使得内审工作无法达到预期目标。 确保审计方案的效率和效果，为每个内审小组配备适当人员，并明确责任，保证审计工作的人员和组织基础。 K2 根据公司年度审计计划中的安排，每项监督、检查或审计项目开始前应选择适合的审计专业人员独立或组成审计项目小组，必要时应包括被检查领域内的专

7、业人员。 检查工作的负责人或项目小组应按照计划的范围、内容和目标制定详细的项目实施方案，其中应包括工作的范围、内容、方法和步骤。 审计人员由审计部负责人确定，项目实施方案在得到审计部经理批准后实施。 人工 预防性 按需不定期 《内部审计管理制度》、项目实施方案 3.1M √ √ √ √ √ 3.如果监督或审计工作不符合国家法律规或公司章程；审计程序和审计方法的制定不恰当或不科学，有可能导致出现重大违规或违纪；审计证据不充分，有可能影响内部监督的有效性。 实施内部监督应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。 K3

8、 检查工作负责人或项目组应了解被检查单位的详细情况，与被检查单位进行充分沟通，执行预定的项目实施方案，并形成工作底稿。 审计部经理对上述工作结果包括检查中发现的例外事项、工作底稿、是否发现重大问题等进行复核。 工作负责人或项目组应形成初步（审计）报告，提交被检查单位的主管领导进行复核。 人工 预防性 按需不定期 《内部审计管理制度》、项目安排及实施方案、工作底稿和报告 3.2M √ √ √ √ √ 3.如果审计机构或人员不能对违反法律法规、经营活动失误等行为给予及时、充分的揭示，或者在审计过程中评价失误、建议失误、审计质量低下，有可能得出错位的检查或审计结论，导致不

9、必要的损失。 内部审计检查公司各机构的内部控制的适当性、合理性和有效性，检视公司资产安全、财务和运营情况等，发布审计报告，并监督整改情况。 K4 被检查单位的主管领导对检查或审计报告的内容和结论进行复核，根据检查工作负责人或项目组的要求制定整改意见并反馈给检查单位。 如果被审计单位对检查过程、报告的内容或结论有异议，并且无法与检查工作负责人或项目组达成一致时，应提交公司管理层或董事会进行协调，双方均应按照公司领导层的决策执行。 人工 预防性 按需不定期 《内部审计管理制度》、项目安排及实施方案、工作底稿和报告 3.3M √ √ √ √ √ 3.如果审计机构或人员不

10、能对违反法律法规、经营活动失误等行为给予及时、充分的揭示，或者在审计过程中评价失误、建议失误、审计质量低下，有可能得出错位的检查或审计结论，导致不必要的损失。 内部审计检查公司各机构的内部控制的适当性、合理性和有效性，检视公司资产安全、财务和运营情况等，发布审计报告，并监督整改情况。 　 被检查单位对已经发现的问题制定明确的整改计划，落实责任人、完成时间和改进措施的内容。 整改结束后，单位主管领导应复核整改情况，签署整改报告并提交公司审计部门备案。 人工 预防性 按需不定期 《内部审计管理制度》、审计/检查报告、整改文件 4.1M √ √ √ √ √ 4.如果发现

11、的问题没有得到及时有效的整改，风险仍然存在并有可能持续影响公司的运营。 审计部对内度工作计划的结果进行持续监督，确保已发现的问题得到 有效整改。 K5 检查工作负责人或项目组按照预定的完成时间对被检查单位的整改结果进行验证，必要时按照相关事项的重要性对整改活动的相关证据进行检查。 如果整改措施没有通过后续验证，被检查单位应继续对该问题进行纠正，同时公司审计部应将该情况上报审计委员会或公司领导。 人工 发现性 按需不定期 《内部审计管理制度》、检查或审计报告、整改文件、后续检查记录 　 √ √ √ √ √ 机构岗位设置风险:如果内部机构、岗位设计不科学、不健全，部门

12、和岗位设置的职责不清晰，未实现不相容岗位分离，未明确界定涉密岗位范围，未实行关键岗位限制性要求，可能导致机构重叠或缺失，岗位职责和任职条件不明，运营效率低下。 建立和完善组织架构，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制，有效防范和化解各种舞弊风险。 　 公司在确定职权和岗位分工过程中，应当体现不相容职务相互分离的要求。不相容岗位包括但不限于： ·从事监督检查或审计项目的人员不能为被检查单位实际执行业务的人员。 人工 预防性 按需不定期 风险控制矩阵（RCD） 单位名称：xx股份有限公司 主管部门：审计部 涉及报表项目： 　

13、 当前流程名称：KP20-1经济责任审计管理 参与部门：公司及下属单位各相关部门 最后更新时间： 　 控制点 编号 风险/控制目标类别 风险描述 控制目标具体描述 关键控制编号 现有控制措施 控制方法 控制类型 控制频率 控制文件/控制实施证据 违反法律法规 资产安全受损 财务报告失真 影响经营成效 影响发展战略 自动/人工 预防性/发现性 按需不定期/日/周/月度/季度/年度 1.1M √ √ √ √ √ 1.被审计人员提供资料的真实性和完整性不足，可能影响审计效果，使得经济责任审计无法达到预期目标。 确保被审计人提供的资料的真实

14、性和完整性。 K1 实行承诺制，要求被审计单位和被审计单位负责人书面承诺对所提供资料的真实性和完整性负责。应当对审计通知书等审计文书实行送达回证制，要求被审计单位和被审计人在审计文书送达后签收。 人工 预防性/发现性 按需不定期 《内部审计管理制度》、《xx股份有限公司内部经济责任审计办法》 2.1M √ √ √ √ √ 2.审计机构或人员胜任能力或独立性不够，审计方法或程序不科学，使得经济责任审计工作无法达到预期目标。 确保审计方案的效率和效果，为每个内审小组配备适当人员，并明确责任，保证审计工作的人员和组织基础。 K2 经济责任审计项目开始前应选择适合的审计

15、专业人员独立或组成审计项目小组，必要时应包括被检查领域内的专业人员。 检查工作的负责人或项目小组应按照计划的范围、内容和目标制定详细的项目实施方案，其中应包括工作的范围、内容、方法和步骤。 审计人员由审计部负责人确定，项目实施方案在得到审计部经理批准后实施。 人工 预防性 按需不定期 《内部审计管理制度》、《xx股份有限公司内部经济责任审计办法》、项目实施方案 3.1M √ √ √ √ √ 3.审计工作不符合国家法律规或公司章程；审计程序和审计方法的制定不恰当或不科学，有可能导致出现重大违规或违纪；审计证据不充分，有可能影响内部监督的有效性。 实施内部监督应当根据与

16、内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。 K3 检查工作负责人或项目组应了解被检查单位的详细情况，与被检查单位进行充分沟通，执行预定的项目实施方案，并形成工作底稿。 审计部经理对上述工作结果包括检查中发现的例外事项、工作底稿、是否发现重大问题等进行复核。 工作负责人或项目组应形成初步（审计）报告，提交被检查单位的主管领导进行复核。 人工 预防性 按需不定期 《内部审计管理制度》、《xx股份有限公司内部经济责任审计办法》、项目安排及实施方案、工作底稿和报告 3.2M √ √ √ √ √ 3.如果审计机构或人员不能对违反法律

17、法规、经营活动失误等行为给予及时、充分的揭示，或者在审计过程中评价失误、建议失误、审计质量低下，有可能得出错位的检查或审计结论，导致不必要的损失。 内部审计检查公司各机构的内部控制的适当性、合理性和有效性，检视公司资产安全、财务和运营情况等，发布审计报告，并监督整改情况。 K4 被检查单位的主管领导对检查或审计报告的内容和结论进行复核，根据检查工作负责人或项目组的要求制定整改意见并反馈给检查单位。 如果被审计单位对检查过程、报告的内容或结论有异议，并且无法与检查工作负责人或项目组达成一致时，应提交公司管理层或董事会进行协调，双方均应按照公司领导层的决策执行。 人工 预防性 按需不

18、定期 《内部审计管理制度》、《xx股份有限公司内部经济责任审计办法》、项目安排及实施方案、工作底稿和报告 3.3M √ √ √ √ √ 4.如果审计机构或人员不能对违反法律法规、经营活动失误等行为给予及时、充分的揭示，或者在审计过程中评价失误、建议失误、审计质量低下，有可能得出错位的检查或审计结论，导致不必要的损失。 内部审计检查公司各机构的内部控制的适当性、合理性和有效性，检视公司资产安全、财务和运营情况等，发布审计报告，并监督整改情况。 K5 被检查单位对已经发现的问题制定明确的整改计划，落实责任人、完成时间和改进措施的内容。 整改结束后，单位主管领导应复核整改情况

19、签署整改报告并提交公司审计部门备案。 人工 预防性 按需不定期 《内部审计管理制度》、《xx股份有限公司内部经济责任审计办法》、审计/检查报告、整改文件 4.1M √ √ √ √ √ 4.如果发现的问题没有得到及时有效的整改，风险仍然存在并有可能持续影响公司的运营。 审计部对内度工作计划的结果进行持续监督，确保已发现的问题得到 有效整改。 K6 检查工作负责人或项目组按照预定的完成时间对被检查单位的整改结果进行验证，必要时按照相关事项的重要性对整改活动的相关证据进行检查。 如果整改措施没有通过后续验证，被检查单位应继续对该问题进行纠正，同时公司审计部应将该情况上

20、报审计委员会或公司领导。 人工 发现性 按需不定期 《内部审计管理制度》、《xx股份有限公司内部经济责任审计办法》、检查或审计报告、整改文件、后续检查记录 　 √ √ √ √ √ 机构岗位设置风险:如果内部机构、岗位设计不科学、不健全，部门和岗位设置的职责不清晰，未实现不相容岗位分离，未明确界定涉密岗位范围，未实行关键岗位限制性要求，可能导致机构重叠或缺失，岗位职责和任职条件不明，运营效率低下。 建立和完善组织架构，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制，有效防范和化解各种舞弊风险。 　 公司在确定职权和岗位分工过程中，应当体现不相容

21、职务相互分离的要求。不相容岗位包括但不限于： ·从事监督检查或审计项目的人员不能为被检查单位实际执行业务的人员。 人工 预防性 按需不定期 风险控制矩阵（RCD） 单位名称：xx股份有限公司 主管部门：审计部 涉及报表项目： 　 当前流程名称：KP20-2 工程项目审计 参与部门：公司及下属单位各相关部门 最后更新时间： 　 控制点 编号 风险/控制目标类别 风险描述 控制目标具体描述 关键控制编号 现有控制措施 控制方法 控制类型 控制频率 控制文件/控制实施证据 违反法律法规 资产安全受损 财务报告失真 影响经营成效

22、 影响发展战略 自动/人工 预防性/发现性 按需不定期/日/周/月度/季度/年度 1.1M √ √ √ √ √ 1.工程项目审计工作范围不全面、审计重点选择和审计方法不正确，不能向管理层、董事会提供真实、有效的管理信息。 工程项目审计计划符合公司经营目标及工作重点，且围绕公司中心工作，体现重性、成本效益性原则。 K1 审计部在项目开始之前根据公司的管理需要、组织风险、审计资源等要素确定项目审计计划工作的目标、范围、方法，编制公司工程项目审计计划，其中应包含工程项目、内外部财务及内部控制审计工作的时间及范围等。 人工 预防性 按需不定期 《建工修复工程项目审计管

23、理办法》、《建工修复环保工程企业收入、成本内部审计确认暂行办法》 2.1M √ √ √ √ √ 2.工程项目审计机构或人员胜任能力或独立性不够，审计方法或程序不科学，使得内审工作无法达到预期目标。 确保审计方案的效率和效果，为每个内审小组配备适当人员，并明确责任，保证审计工作的人员和组织基础。 K2 每项审计项目开始前应选择适合的审计专业人员独立或组成审计项目小组，必要时应包括被检查领域内的专业人员。 检查工作的负责人或项目小组应按照计划的范围、内容和目标制定详细的项目实施方案，其中应包括工作的范围、内容、方法和步骤。 审计人员由审计部负责人确定，项目实施方案在得到审计

24、部经理批准后实施。 人工 预防性 按需不定期 《建工修复工程项目审计管理办法》、《建工修复环保工程企业收入、成本内部审计确认暂行办法》、项目实施方案 3.1M √ √ √ √ √ 1.如果监督或审计工作不符合国家法律规或公司章程；审计程序和审计方法的制定不恰当或不科学，有可能导致出现重大违规或违纪；审计证据不充分，有可能影响内部监督的有效性。 实施内部监督应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。 K3 检查工作负责人或项目组应了解被检查单位的详细情况，与被检查单位进行充分沟通，执行预定的项目实施方案，并形成工作底

25、稿。 审计部经理对上述工作结果包括检查中发现的例外事项、工作底稿、是否发现重大问题等进行复核。 工作负责人或项目组应形成初步（审计）报告，提交被检查单位的主管领导进行复核。 人工 预防性 按需不定期 《建工修复工程项目审计管理办法》、《建工修复环保工程企业收入、成本内部审计确认暂行办法》、项目安排及实施方案、工作底稿和报告 4.1M √ √ √ √ √ 3.如果审计机构或人员不能对违反法律法规、经营活动失误等行为给予及时、充分的揭示，或者在审计过程中评价失误、建议失误、审计质量低下，有可能得出错位的检查或审计结论，导致不必要的损失。 工程项目审计检查公司各机构的内部

26、控制的适当性、合理性和有效性，检视公司资产安全、财务和运营情况等，发布审计报告，并监督整改情况。 K4 被检查单位的负责人对检查或审计报告的内容和结论进行复核，根据检查工作负责人或项目组的要求制定整改意见并反馈给检查单位。 如果被审计单位对检查过程、报告的内容或结论有异议，并且无法与检查工作负责人或项目组达成一致时，应提交公司管理层或董事会进行协调，双方均应按照公司领导层的决策执行。 人工 预防性 按需不定期 《建工修复工程项目审计管理办法》、《建工修复环保工程企业收入、成本内部审计确认暂行办法》、项目安排及实施方案、工作底稿和报告 4.1M √ √ √ √ √ 3

27、如果审计机构或人员不能对违反法律法规、经营活动失误等行为给予及时、充分的揭示，或者在审计过程中评价失误、建议失误、审计质量低下，有可能得出错位的检查或审计结论，导致不必要的损失。 工程项目审计检查公司各机构的内部控制的适当性、合理性和有效性，检视公司资产安全、财务和运营情况等，发布审计报告，并监督整改情况。 K5 被检查单位对已经发现的问题制定明确的整改计划，落实责任人、完成时间和改进措施的内容。 整改结束后，单位主管领导应复核整改情况，签署整改报告并提交公司审计部门备案。 人工 预防性 按需不定期 《建工修复工程项目审计管理办法》、《建工修复环保工程企业收入、成本内部审计确

28、认暂行办法》、审计/检查报告、整改文件 5.1M √ √ √ √ √ 4.如果发现的问题没有得到及时有效的整改，风险仍然存在并有可能持续影响公司的运营。 审计部对工程审计工作计划的结果进行持续监督，确保已发现的问题得到 有效整改。 K6 检查工作负责人或项目组按照预定的完成时间对被检查单位的整改结果进行验证，必要时按照相关事项的重要性对整改活动的相关证据进行检查。 如果整改措施没有通过后续验证，被检查单位应继续对该问题进行纠正，同时公司审计部应将该情况上报审计委员会或公司领导。 人工 发现性 按需不定期 《建工修复工程项目审计管理办法》、《建工修复环保工程企业收入

29、成本内部审计确认暂行办法》、检查或审计报告、整改文件、后续检查记录 　 √ √ √ √ √ 机构岗位设置风险:如果内部机构、岗位设计不科学、不健全，部门和岗位设置的职责不清晰，未实现不相容岗位分离，未明确界定涉密岗位范围，未实行关键岗位限制性要求，可能导致机构重叠或缺失，岗位职责和任职条件不明，运营效率低下。 建立和完善组织架构，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制，有效防范和化解各种舞弊风险。 　 公司在确定职权和岗位分工过程中，应当体现不相容职务相互分离的要求。不相容岗位包括但不限于： ·从事监督检查或审计项目的人员不能为被检查单位实际执行业务的人员。 人工 预防性 按需不定期