风险控制管理制度(暂行)(增加处罚条款版)

第第页共30页公司风险控制管理、内部审计章程二0一**年十二月目录TOC\o"1-5"\h\z第一章总则 41目的 42适用范围 43术语和定义 44原则 5全面性原则 5持续性原则 5有效性原则 5制衡性原则 5“独立、客观、公正”的原则 55目标 6第二章 风险管理识别 66风险分类 6管理风险 6市场风险 6政策与法律风险 7道德风险 7信誉风险 7第三章风险控制与内部审计体系架构与职责 77组织架构 7机构的设置 7人员配置 8人员的任命与解职 88职责 8各公司职能部门和业务部门职责 8运营管理部门 9风险控制管理中心职责 9独立性 11风控中心人员要求（业务素质的要求） 119风险控制管理中心主要工作内容 12法务工作内容 12信息工作内容 12内控分析工作内容 13风险分析工作内容 13内部审计工作内容 13主要权限 15第四章工作程序 1810年度工作计划 1812风险管理策略 1913风险管理解决方案 2014企业制定内控措施，一般至少包括以下内容： 2115风险管理信息系统 2216审计工作程序 2317复议 2518资料归档 25第五章 风险管理的监督与改进 2519监督与改进 2520内部管理 2721内部审计责任和奖惩 27第六章风险管理文化 29第七章附则 30第一章总则1目的为建立有效的风险控制与内部审计体系，指导、规范风险控制活动，确保各项业务稳健发展、持续经营，实现公司的经营目标和经营战略，维护投资者的权益，根据《中华人民共和国公司法》、《企业内部控制基本规范》、《内部审计实务框架》及其他相关法律、法规和公司章程，结合国际通行的内部控制和风险管理理念，以及业实际情况，制定本章程。2适用范围适用于***公司、分公司以及集团通过其他形式具有实际控制权的企业。3术语和定义风险：某个事件发生并对战略实施和实现经营目标造成影响的可能性。 （2016年coso定义）企业风险：指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。风险控制：是指公司围绕经营目标和经营战略，确定风险控制制度、措施和执行流程，建立健全风险控制体系，培育良好的风险管理文化，从而实现公司风险控制总体目标的一系列行为。内部审计：是一种独立、客观的评价和监察咨询活动，旨在增加价值和改善组织的运营。它通过应用系统、规范的方法，评价并发现风险管理、控制和治理过程的效果，帮助组织实现内部控制的有效性、财务信息的真实性和完整性、经营活动的效率和效果等目标。4原则全面性原则：风险控制应做到事前、事中、事后控制相统一，覆盖公司的所有业务、部门和人员，参透到决策、执行、监督、反馈各个流程和环节；公司所有部门、所有员工都是风险控制的责任主体，根据部门、岗位职责的要求承担相应的风险控制责任与义务。持续性原则：风险控制不是静态的制度，而是一个由目标设定、风险识评、风险应对和监督反馈等流程组成的动态的、循环的管理过程。有效性原则：企业风险控制应与经营规模、业务范围、风险状况及公司所处的环境相适应，追求效率与效果统一，利用最经济的成本实现公司风险控制总体目标。制衡性原则：企业合理设置内部组织结构，科学规划业务流程，实现决策部门、执行部门与监督检查部门以及各岗位的权责分明和相互牵制。“独立、客观、公正”的原则：依照国家法律、法规和有关政策，依照公司规章章程，独立开展工作，发挥监督、评价和服务的功能。5目标有效防范、控制、化解公司面临的各种风险，将风险程度和风险损失降低到公司范围之内，为公司持续经营提供安全保障 ；逐步采用科学统一的风险量化方法，建立完整的风险控制体系和流程，实现对风险的科学管理；提高公司经营效率和效果，维护公司声誉和品牌；确保成本效益的监控，促进内部流程的合理性和资源利用的效率性， 保护资产的安全和完整，防止错误和舞弊的发生，确保公司各项规章章程与有关决议得到遵守，进而保证经营的效果和效率。第二章风险管理识别6风险分类根据****集团业务特点，面临的主要风险有管理风险、市场风险、政策风险、道德风险、信誉风险等五大类风险。管理风险，是指公司由于经营战略、治理结构、管理制度、组织架构设置等不完善、不科学，从而给公司经营管理、业务运作带来的风险。市场风险，是指由于投资行业竞争加剧，或者宏观经济状况发生变化（如利率变化、经济周期变化等）导致公司发生损失或者投资回报率下降的风险。政策与法律风险，是指由于相关法律法规及监管政策发生变化，给公司经营带来的风险。道德风险，是指公司员工出于自身利益，或是自律性差、责任感不强等原因，利用信息不对称等优势，损害公司及客户利益的风险。信誉风险，是指具有重大不利影响的突发事件对公司声誉造成损害，从而使公司面临客户流失、人才流失、业务开拓困难等不利状况的风险。第三章风险控制与内部审计体系架构与职责7组织架构建立风险管理的三道防线：即各公司职能部门和业务部门为第一道防线各公司运营管理部门为第二道防线；风控与内审为主要职责的风险控制管理中心为第三道防线。机构的设置风险控制管理中心，作为专职的风险控制管理与内部审计常设机构，对所管理企业在职责范围内进行风险评估、分析、监督和评价，所管理企业暂不再设专职的风险管理部门、内部审计部门及人员。风险控制管理中心直接归董事会管理，向董事长报告。

人员配置根据企业发展规划，风险控制管理中心将建立多层次、多功能的风险控制体系，并配备符合工作要求的专业人员。 （审计知识、财务知识、内控及风险管理知识、公司治理、运营管理、信息技术、本公司经营业务、人际交往技巧）风险控制管理中心总监风险管理经理法

律

事

务风控分析师信息专员内控分析师风险管理经理法

律

事

务风控分析师信息专员内控分析师人员的任命与解职风险控制管理中心总监的任命、替换或解职，由董事长批准。风险控制管理其他人员的任命、替换或解职，由风险控制管理中心总监提出，董事长批准之后作出。8职责各公司职能部门和业务部门职责作为全面风险管理的第一道防线，各公司职能部门及业务部门在全面风险管理工作中，应接受运营管理部门、风险控制管理中心的组织、协调、指导和监督，主要履行以下职责：在投资决策前负责行业研究、项目筛选、尽职调查，全面识别和评估投资项目的各种潜在风险，出具投资建议报告；在项目谈判、组织实施、后续管理以及退出阶段，勤勉尽责、密切跟踪、积极管理，及时发现投资风险并如实报告；协助、配合风险控制管理中心对项目的投资风险履行核查、 监控职责。执行公司风险控制制度和各项风险控制措施、办法；协助、配合风险控制管理中心，定期进行本公司、本部门各岗位以及业务流程风险点的识别、分析以及评估；定期总结本公司、本部门风险控制措施的实施情况，向管理层和风险控制管理中心提供反馈意见；协助风险控制管理中心，在部门内倡导风险管理文化；办理风险控制其他有关工作。运营管理部门主要负责制度流程日常检查与监管风险控制管理中心职责风险控制管理中心每月、每年向董事长提交《企业总体风险评估工作报告》。风险控制管理中心每季组织召开所管企业风险管理通报与研讨会。提出所管理企业重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。对所管理企业组织结构、系统和程序是否恰当进行审查和评估，以确保成果与既定目标一致；对以确保遵守各项规章规定和既定内部政策为目标的各项管控制度进行审查和评估；对所管理企业的人力、财政和物质资源的利用是否切实有效、 厉行节约并有所保障进行审查和评估；对资产的安全与完整性进行审查和评估；研究和评价公司出现重大风险的可能性， 并协助所管理企业改进风险管理工作；研究与评价开发产品策划与定位失误、 中介代理操作失误、工程管理过程、工程成本管理失控、公共关系等重大风险发生的可能性，必要时，组织召开风控临时研讨会。对所管理企业内部控制机制的可靠性、有效性和完整性进行审查和评估；对属于内部审计任务规定范围内的涉及被指控的任何措施行为和渎职的案件进行调查;行特别调查，查明薄弱环节和故障所在；确保内部审计、调查和检查报告的完整性、及时性、客观性和准确性；研究公司危机处理机制的建立，在出现危机事件时拟定处理建议、方案，报管理层审议；董事长所交办的事务。独立性风控中心人员不得以任何决策制订者的资格参加所管理企业的实际经营管理活动，以保持客观公正的能力和立场。风控中心人员在确定工作范围、实施评估及报告结果时，应不受干预和控制。内部审计人员与被审计单位及其主要负责人在经营上应没有利害关系；办理审计事项时，与被审计单位或被审计事项有直接利害关系的，应当回避。风控中心人员要求（业务素质的要求）风控中心人员应当遵守职业道德规范，并以专业熟练性和应有的职业谨慎性开展审计业务。风控中心人员必须正直、客观、勤勉、保密和适任。坚持原则；实事求是，客观公正；工作认真、仔细负责；廉洁奉公，不徇私情；保守秘密、忠于职守。风控中心人员应恪守保密原则，对其为进行某项风险评估而收集到的任何信息的机密性予以尊重、保守秘密，并只应在进行风险评估所必须的情况下才适用该信息，不得利用其为自己或他人谋取利益。风控中心人员不得未经批准向相关单位及其人员或其他人员提供、展示、透露风险评估工作记录文件、其他风控中心人员的意见及未经认可的风控结论和风控意见等。9风险控制管理中心主要工作内容法务工作内容政策、法律信息收集、整理、评估，初步评估政策、法律风险；标书、协议、合同审核（法律条款）；政策与法律风险支持、解决方案的建议书；外部律师衔接；参与审计项目；信息工作内容各公司信息系统、信息平台、公共平台监控、信息传递的评估，初步评估公司信息系统风险；网上收集市场、价格、管理、信誉等影响风险的信息资料、初步评估信息风险；协助审计师调取、整理财务、公司erp、oa体系信息，初步完成信息系统类工作底稿；参与审计项目、出具信息审计报告书；举报、申诉、投诉平台监控；审计信息整理、归档。内控分析工作内容每月企业制度、流程、岗位风险巡查、分析、评估，评估公司内控风险；对企业内部量化分析、排序，并对公司风险报警；参与审计项目，出具内部控制审计报告。风险分析工作内容制定风险计量单位、建立企业风险量化模型；外部风险、战略、文化、品牌等风险识别、分析、评估，并对公司风险排序报警；危机评估、解决方案反馈与完善风险控制体系；参与审计项目，出具风险评估审计报告。内部审计工作内容内部审计为履行职责而开展的活动，应该包括保证活动和监察咨询活动。保证活动是为了对公司的风险管理、内部控制和治理过程进行独立、客观地评价审计证据证的行为。包括但不限于：1）经营审计和管理审计；2）绩效审计；（按常规为公司年度的审计）3）财务审计；4）合规性审计（包括履约审计）；5）内部控制审计；6）舞弊审计；7）经济责任审计（包括离任审计）；8）重大事项审计；9）各类审计调研及调查；10）其他审计事项。监察咨询活动是指对经营业务流程的跟踪、参与，提供建议及相关的服务活动，目的是协助集团或下属分子公司管理团队提高企业运作效率、减少风险发生的可能性。包括但不限于：1）协助集团及下属分子公司完善组织架构、内控及流程体系；2）协助集团及下属分子公司完善经营指标；3）参与年度或项目总控资金计划、招标计划的审核；4）参与年度、月度营销方案、单项活动方案的审核；5）跟踪招标采购与认质认价流程、对重大、重点招标采购与认质认价进行全程跟踪；6）合同与协议文本的审核、根据董事长审批权限，在对合同与协议签订的审核；7）工程结算的审核；8）经营管理中各种投诉、申诉、举报的受理；9）列席重大、重要财务、经营管理等工作会议；10）其他监督与咨询事项。主要权限风险控制管理中心可以根据董事长批准的年度工作计划，在职责范围内，自主确定审计项目和审计对像。在履行职责时，根据项目要求，风险控制管理中心人员可以不受限制地查阅属于公司的所有文件与记录，包括但不限于：1）规章章程、会议记要、工作计划和总结等内部文件资料；2）凭证、账册、报表、对账记录、实物等会计资料；3）签订的各类合同、招投标活动记录、材料物资核价单、供应商及人员信息档案等资料；4）工程计划、施工图纸、预算、结算、决算、各类签证等文件资料；5）行政管理、人力资源管理、档案管理等文件资料；6）其他与风险控制、审计监察工作相关的资料。进行内部审计时，被审计单位应当按照风险控制管理中心规定的期限和要求，向审计人员提供与审计内容相关的原始文件资料或复印件。如有必要，报经批准，风险控制管理中心可以暂时封存会计账册、凭证、档案等原始文件和资料。风险控制管理中心是大额招标采购、发包工程等事项的招标、评标工作小组的成员单位之一。集团有关部门和下属分子公司编制的经营、财务等计划和执行结果报告，应当抄送风险控制管理中心。风险控制管理中心进行监督、巡查、审计工作时，有权实地察看、盘点或者监督盘点实物，有权进行工作流程测试。风险控制管理中心履行职责时，有权就相关事项向有关单位和个人进行书面或口头调查、询问，集团下属单位和个人应当如实向审计人员反映情况，提供有关证明材料。口头询问应作笔录，并由询问人员和被询问人员签署。审计人员应根据预定的审计目标，在预定的审计范围内实施内部审计。如有必要并经批准，可调整审计目标，扩大审范围，或进行追溯、延伸审计。审计人员可以直接受理工作人员个人就可能存在的欺诈、浪费、滥用职权、不遵守行政、人事和其他章程或与内部审计的任务规定相关的其他不规范活动提出投诉或提供的信息。审计人员在履行职责过程中，对被审计单位的下列行为，有权作出制止的决定，提出改进经营管理的建设，并报告董事长和管理层：1）阻扰、妨碍审计工作的行为；2）转移、隐匿、篡改、毁弃会计凭证、账簿、报表以及其他与经济活动和审计事项有关的资料；3）截留、挪用公司资金、转移、隐匿、侵占公司财产行为；4）其他违反公司内部规章、侵害公司经济利益的行为。风险控制管理中心向董事长或公司管理层提交的审计报告和其他汇报材料，可以不抄送、抄发相关单位和个人。对拒不提供有关资料、拒不回答提问等阻挠、妨碍审计工作的，以及提供虚假资料或配合不力，造成内部审计工作误判或审计工作无法进行的，经董事长批准，对违反法规和公司规定，行为视情节轻重提出限期整改、通报批评，对有关责任人给予处分、处罚或追究刑事责任的建议。对遵守和维护法规和公司章程、经济效益显著、贡献突出的单位和个人，可以提出表彰和奖励的建议。第四章工作程序10年度工作计划风险控制管理中心应当根据公司整体发展规划，拟定风险控制管理工作中长期规划，根据风险控制管理与内部审计工作规划和公司年度总体计划拟定年度工作计划，经董事长批准后执行。11风险控制管理程序企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型,并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。企业应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。12风险管理策略风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。13风险管理解决方案企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具（如：关键风险指标管理、损失事件管理等）。企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。14企业制定内控措施，一般至少包括以下内容：建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施;建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。15风险管理信息系统企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。16审计工作程序在实施审计时，对被审计单位进行审前调查，确定审计人员，制定审计方案，明确审计范围、内容、方式和时间。董事长签发审计通知书，在实施审计工作前三天向被审计单位发出，或在实施审计时现场送达。被审计单位应当配合审计部门提供必要的工作条件。审计人员在实施审计时所采取的方式，可以是就地审计、报送审计、网上及时审计等，也可以几种方式结合进行。审计人员可以用检查、观察、询问、盘点、监盘、计算、分析性复核等方法实施审计，以及进行符合性和实质性测试，通过规范方法获得必要的证据材料。审计人员应对所获得的相关证据进行整理、分析、研究、判断并相互验证，评估各种证据的重要性、可靠性及与审计事项的相关性，依据有关证据对具体的审计事项做出审计结论。审计人员可要求被审计单位或有关人员在其提供的书面证据上签章。如其拒绝签章，审计人员应注明原因，但不影响证据引用。实施审计的过程中，审计人员应与被审计单位及有关人员进行充分的交流和沟通，充分听取被审计单位及有关人员的说明、解释和意见，确保审计结论准确、公正、客观。审计外勤工作结束后10个工作日内，拟定审计报告初稿，经总监审核批准后，视审计内容，送达被审计单位征求意见。被审计单位在收到审计报告征求意见稿之日起10个工作日内就审计报告向风险控制管理中心出具书面意见；如逾期未作回复，将视作无意见，审计人员在审计报告中注明，风险控制管理中心应在查明后采取或维持原报告。对被审计单位反馈的书面意见，风险控制管理中心查明后维持原报告或作必要的修改。风险控制管理中心根据审计报告草拟审计决定或审计意见， 报董事长或管理层审阅。经审定的审计决定或审计意见，应和审计报告一并下达被审计单位执行。执行过程中需要公司其他有关单位协助的，有关单位应当予以协助、配合。对审计报告反映的普遍性问题，经董事长批准，可以集团名义批转各部门、下属公司执行。（实际操作中，根据审计情况此条做一定的调整，若遇重大或机密问题，先与董事长就审计问题进行沟通，再与相关部门或人员进行沟通）督察检查阶段，对审计报告述及的重大审计事项和审计建议及决定，审计监察中心将对被审计单位进行跟踪检查，必要时实施后续审计。17复议被审计单位和个人对审计决定和审计报告不服，可以向风险控制管理中心总监申请复议，复议期间原审计决定继续执行。18资料归档审计项目终结后，审计人员应将审计过程中所积累的各种资料，包括审计决定、审计意见、审计报告、审计计划、审计工作底稿、各种审计证据、被审计单位提供和通过各种形式获得的数据资料等加以集中、整理、分类和归档形成审计档案。第五章风险管理的监督与改进19监督与改进企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，具检查、检验报告应及时报送风险控制管理中心。风险控制管理中心应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送董事会。企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：风险管理基本流程与风险管理策略；企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；风险管理组织体系与信息系统；全面风险管理总体目标。20内部管理风险控制管理中心应根据相关规定，结合公司的实际情况，制定风险控制管理工作手册，以指导风险控制、内部审计人员的工作。风险控制管理中心应建立内部激励约束章程，对风险控制、内部审计人员的工作进行监督、考核，评价其工作业绩。风险控制、内部审计的工作结果和档案资料，未经董事长批准，不得向外披露。风险控制管理中心应当每年编写一份审计工作报告，并报送董事长。工作报告应当着重说明重大的审计发现和建议。董事会应当定期检查风险控制管理中心的工作，以确保风险控制、内部审计工作的质量。21内部审计责任和奖惩风险控制管理中心按照证据确凿、客观公正、结论准确、处理适当的原则，对审计过程中发现并确认的违反规定章程的单位和人员进行审计处理和处罚，促进被审计单位严格执行公司各项规章章程处理和处罚的方式主要包括限期纠正违规行为、建议上收审批权限、收缴违规所得、罚款、通报批评、建议调离工作岗位、建议给予处分等。以上处理处罚可以并处。被审计单位和个人以及被审计单位和审计事项相关的单位和个人违反本章程，拒绝或者拖延提供与审计事项有关的资料的，或者拒绝、阻碍检查的，审计监察中心责令改正，并报董事长同意，给予通报批评、警告；拒不改正的，追究有关责任人的行政责任风险控制管理中心应对拒绝接受审计及以各种逃避、阻扰、妨碍审计的单位和人员进行处理处罚，或提出处理处罚建议送交有关部门进行处理。风险控制管理中心应对威胁、污辱、打击报复风险控制、审计人员及侵犯风险控制与审计人员名誉、人格、人身安全的有关人员进行处理处罚，或提出处理处罚建议送交有关部门进行处理。未经批准，任何单位和人员不得拖延或拒绝执行审计处理处罚决定。风险控制管理中心对拖延或拒不执行审计处理处罚决定的有关单位和人员从重进行处理。对揭发、检举违反公司规章章程行为，提供线索的有