国元证券股份有限公司

内部审计质量控制管理办法

（经 2020 年 11 月 16 日第九届董事会第十次会议审议通过）

第一章 总则

第一条 为了规范公司内部审计工作，提高内部审计质量，根据《中国内部审计准则》、《国元证券股份有限公司内部审计制度》等法规及公司制度，结合公司企业文化建设和廉洁从业管理、道德风险防控工作，制定本办法。

第二条 本办法所称内部审计质量控制，是指内部审计部门为保证内部审计工作质量符合内部审计准则的要求而制定和执行的制度、程序和方法。

第三条 内部审计质量控制目标包括：

（一）保证内部审计活动遵循内部审计准则和工作制度的要求；

（二）保证内部审计活动的效率和效果达到既定要求；

（三）保证内部审计活动能够增加公司的价值，促进公司实现目标。

第四条 内部审计部门负责人和内部审计项目主审通过督导、分级复核、质量评估等方式对内部审计质量进行控制。

内部审计部门负责人对制定并实施系统、有效的质量控制制度与程序负主要责任。

第五条 内部审计质量控制分为内部审计部门质量控制和内部审计项目质量控制。

第二章 内部审计部门质量控制

第六条 内部审计部门负责人对本部门质量负责。

第七条 内部审计部门在制定部门质量控制政策时，应考虑下列因素：

（一）内部审计部门的组织形式及授权状况；

（二）内部审计人员的素质与专业结构；

（三）内部审计业务的范围与特点；

（四）成本效益原则的要求；

（五）其他。

第八条 内部审计部门质量控制主要包括下列措施：

（一）确保内部审计人员遵守职业道德规范；

（二）保持并不断提升内部审计人员的专业胜任能力；

（三）依据内部审计准则制定内部审计工作手册；

（四）编制年度审计计划及项目审计方案；

（五）合理配置内部审计资源；

（六）建立审计项目督导和复核机制；

（七）开展审计质量评估；

（八）评估审计报告的使用效果；

（九）对审计质量进行考核与评价。

第三章 内部审计项目质量控制

第九条 内部审计项目主审对审计项目质量负责。

第十条 内部审计项目质量控制应当考虑下列因素：

（一）审计项目的性质及复杂程度；

（二）参与项目审计的内部审计人员的专业胜任能力；

（三）其他。

第十一条 内部审计项目质量控制主要包括下列措施：

（一）指导内部审计人员执行审计方案；

（二）监督审计实施过程；

（三）检查已实施的审计工作。

第十二条 内部审计项目主审在指导内部审计人员开展项目审计时，应当告知项目组成员下列事项：

（一）项目组成员各自的责任；

（二）被审计项目或者业务的性质；

（三）与风险相关的事项；

（四）可能出现的问题；

（五）其他。

第十三条 内部审计项目主审监督内部审计实施过程时，应当履行下列职责：

（一）追踪业务的过程；

（二）解决审计过程中出现的重大问题，根据需要修改原项目审计方案；

（三）识别在审计过程中需要咨询的事项；

（四）其他。

第十四条 内部审计项目主审在检查已实施的审计工作时，应当关注下列内容：

（一）审计工作是否已按照内部审计准则和职业道德规范的规定执行；

（二）审计证据是否相关、可靠和充分；

（三）审计工作是否实现了审计目标。

第十五条 内部审计项目组实施具体审计项目时，通过对审计准备、审计实施、审计报告和后续审计四个阶段工作进行质量控制，实现审计质量的全过程控制。

第四章 审计准备阶段质量控制

第十六条 审计准备阶段质量控制主要包括编制审计方案和内部审计通知书。

第十七条 内部审计项目主审应当在项目实施前编制审计方案，并报经内部审计部办法门负责人批准。

第十八条 内部审计项目主审编制内部审计方案时，应当了解被审计单位的下列情况：

（一）业务活动概况；

（二）内部控制、风险管理体系的设计及运行情况；

（三）财务、会计资料；

（四）重要的合同、协议及会议记录；

（五）上次审计结论、建议及后续审计情况；

（六）上次外部审计的审计意见；

（七）其他与项目审计方案有关的重要情况。

第十九条 项目审计方案应当包括以下基本内容：

（一）被审计单位、项目的名称；

（二）审计目标和范围；

（三）审计内容和重点；

（四）审计程序和方法；

（五）审计组成员的组成及分工；

（六）审计起止日期；

（七）对专家和外部审计工作结果的利用；

（八）其他有关内容。

第二十条 内部审计部门应当在实施审计三日前，向被审计单位送达审计通知书。特殊审计业务可在实施审计时送达。

第二十一条 审计通知书应当包括下列内容：

（一）审计项目名称；

（二）被审计单位名称或者被审计人员姓名；

（三）审计范围和审计内容；

（四）审计时间；

（五）需要被审计单位提供的资料及其他必要的协助要求；

（六）审计项目主审及审计组成员名单；

（七）内部审计部门的印章和签发日期。

第二十二条 审计通知书主送被审计对象，可抄送公司内部相关部门。

第五章 审计实施阶段质量控制

第二十三条 审计实施阶段质量控制主要包括获取审计证据、编写审计工作底稿和沟通审计结果。

第二十四条 内部审计人员应当依据审计事项及其审计目标获取不同类型的审计证据。审计证据包括下列几种：

（一）书面证据；

（二）实物证据；

（三）视听证据；

（四）电子证据；

（五）口头证据；

（六）环境证据。

第二十五条 内部审计人员获取的审计证据应当具备相关性、可靠性和充分性。相关性，即审计证据与审计事项及其具体审计目标之间具有实质性联系。

可靠性，即审计证据真实、可信。

充分性，即审计证据在数量上足以支持审计结论、意见和建议。第二十六条 内部审计人员在获取审计证据时，应当考虑下列基本因素：

（一）具体内部审计事项的重要程度。内部审计人员应当从数量和性质两个方面判断具体审计事项的重要性，以做出获取审计证据的决策。

（二）可接受的内部审计风险水平。证据的充分性与审计风险水平密切相关。可以接受的审计风险水平越低，所需证据的数量就越多。

（三）成本与效益的合理程度。获取审计证据应考虑取证成本与证据效益的对比，但对于重要审计事项，不应将审计成本的高低作为减少必要审计程序的理由。

（四）适当的抽样方法。

第二十七条 内部审计人员可以采用（但不限于）下列方法获取审计证据：

（一）审核；

（二）观察；

（三）监盘；

（四）访谈；

（五）调查；

（六）函证；

（七）计算；

（八）分析程序。

第二十八条 内部审计人员应当将获取审计证据的名称、来源、内容、时间等完整、清晰地记录在内部审计工作底稿中。采集被审计单位电子数据作为审计证据的，内部审计人员应当记录电子数据的采集和处理过程。

第二十九条 内部审计部门可以聘请其他专业机构或者人员对

审计项目的某些特殊问题进行鉴定，并将鉴定结论作为审计证据。内部审计人员应当对引用该证据的可靠性负责。

第三十条 对于被审计单位存有异议的审计证据，内部审计人员应当作进一步核实。

第三十一条 内部审计人员获取的审计证据，如有必要，应当由证据提供者签名或盖章。如果证据提供者拒绝，内部审计人员应当注明原因和日期。

第三十二条 内部审计人员应当做好审计证据的分类、筛选和汇总，保证审计证据的相关性、可靠性和充分性。

第三十三条 在评价内部审计证据时，应当考虑证据之间的相互印证关系及证据来源的可靠程度。

第三十四条 内部审计人员在审计工作中应当编制审计工作底稿，以达到以下目的：

（一）为审计报告提供依据；

（二）证明审计目标的实现程度；

（三）为检查和评价内部审计工作质量提供依据；

（四）证明内部审计部门及人员是否遵循内部审计准则；

（五）为以后的审计工作提供参考。

第三十五条 审计工作底稿应当内容完整、记录清晰、结论明确，客观地反映审计方案的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。

第三十六条 审计工作底稿主要包括下列要素：

（一）被审计单位的名称；

（二）审计事项及其期间或者截止日期；

（三）审计程序的执行过程及结果记录；

（四）审计结论、意见及建议；

（五）审计人员姓名和审计日期；

（六）复核人员姓名、复核日期和复核意见；

（七）审计标考核识与其他符号及其说明等。

第三十七条 内部审计方案的编制及调整情况应当编制审计工作底稿。

第三十八条 审计工作底内部审计稿中可使用各种审计标识，但应注明含义并保持前后一致。

第三十九条 相关审计工作底稿之间如存在勾稽关系，应当予以清晰反映，相互引用时应当交叉注明索引编号。

第四十条 内部审计部门对工作底稿和审计证据建立分级复核机制，即项目组内部交叉复核和质量控制复核小组独立复核。

第四十一条 内部审计项目组内部对工作底稿和审计证据进行交叉复核。

审计项目主审应当对项目组成员编制的工作底稿及审计证据进行全面复核，并提出复核意见；项目组内经验丰富或职位更高的成员对项目主审的工作底稿和审计证据进行复核奖励，并提出复核意见。

项目组内部复核的内容包括：

（一）审计方案确定的事项是否实施，具体审计目标是否实现；

（二）审计证据是否充分，事实描述是否清楚；

（三）审计结论是否恰当，审计建议是否可行；

（四）其他需要复核的事项。

第四十二条 内部审计部门抽调部分经验丰富的员工组建项目质量控制复核小组，负责对内部审计项目中涉及重要审计事项或审计发现的工作底稿进行独立复核。

内部审计项目开展前，内部审计部门负责人为该项目指定质量控制复核人员。质量控制复核人员独立开展复核工作，不得参与所复核项目的工作。

质量控制复核内容包括：

（一）项目组内部是否已进行复核；

（二）审计目标是否实现；

（三）主要事实描述是否清楚；

（四）针对重要事项或审计发现的处理是否恰当；

（五）其他需要复核的事项。

第四十三条 项目组人员应对审计证据的相关性、可靠性和充分性及审计工作底稿的真实性、完整性负责；各级复核人员应对其复核意见负责。

第四十四条 复核人员发现审计工作底稿存在问题，应当在复核意见中加以说明，并要求相关人员补充或修改审计工作底稿。

第四十五条 在审计业务执行过程中，内部审计项目主审应当加强对审计工作底稿的现场复核。

第四十六条 内部审计部门应当在内部审计报告提交之前进行审计结果的沟通。沟通内容包括：审计概况、审计依据、审计发现、审计结论、审计意见和审计建议。

如果被审计单位对审计结果有异议，内部审计项目主审及相关人员应当进行核实和答复。

第四十七条 内部审计部门负责人应当与被审计单位管理层就内部审计过程中发现的重大问题及时进行沟通。

第四十八条 内部审计部门应当将结果沟通的有关书面材料作为审计工作底稿归档保存。

第六章 审计报告阶段质量控制

第四十九条 内部审计项目主审应当在审计实施结束后，以经过核实的审计证据为依据，形成审计结论、意见和建议，出具审计报告。如有必要，项目主审可以在审计过程中提交期中报告，以便及时采取有效的纠正措施改善经营活动和内部控制。

第五十条 审计报告的编制应当符合下列要求：

（一）实事求是、客观公正地反映被审计事项的事实；

（二）要素齐全、格式规范，完整反映审计中发现的重要问题；

（三）逻辑清晰、用词准确、简明扼要、易于理解；

（四）充分考虑审计项目的重要性和风险水平，对于重要事项应当重点说明；

（五）针对被审计单位业务活动、内部控制和风险管理中存在的主要问题或者缺陷提出可行的改进建议，以促进组织实现目标。第五十一条 审计报告主要包括下列要素：

（一）标题；

（二）编号；

（三）正文；

（四）签章；

（五）报告日期。

第五十二条 审计报告正文主要包括下列内容：

（一）审计概况，包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及审计时间等；

（二）审计依据，即实施审计所依据的相关法律法规、内部审计准则等规定；

（三）审计发现，即对被审计单位的业务活动、内部控制和风险管理实施审计过程中所发现的主要问题的事实；

（四）审计结论，即根据已查明的事实，对被审计单位业务活动、内部控制和风险管理所作的评价；

（五）审计意见，即针对审计发现的主要问题提出的处理意见；

（六）审计建议，即针对审计发现的主要问题，提出的改善业务活动、内部控制和风险管理的建议。

第五十三条 内部审计部门对审计报告建立分级复核机制。

内部审计项目主审完成审计报告初稿后，提交项目质量控制复核人员，复核人员应及时提出复核意见。

内部审计项目主审根据复核意见决定是否修改审计报告，并将修改后或不需要修改的审计报告报送部门负责人审核。

第五十四条 审计报告经部门负责人审核后，送达被审计单位征求意见。被审计单位应在五个工作日内提出书面意见，逾期视为无异议；持有异议的，内部审计项目主审及相关人员应当核实，必要时应当修改审计报告。

第五十五条 审计报告经过必要的修改后，连同被审计单位的反 馈意见及时报送内部审计部门负责人复核，复核后形成正式审计报告，报公司董事长审核后签发。

第五十六条 内部审计部门将经董事长审核后的正式审计报告提交被审计单位相关管理层，并要求被审计部门单位在规定的期限内对报告中提出的主要问题落实纠正措施。

第五十七条 已经出具的审计报告如果存在重要错误或者遗漏，内部审计部门应当及时更正，并将更正后的审计报告提交给原审计报告接收者。

第五十八条 内部审计人员在审计项目完成后，应当及时对审计工作档案进行分类整理，按照部门档案管理办法进行归档、保管和使用。

第七章 后续审计质量控制

第五十九条 被审计单位管理层应对内部审计中发现的问题采取纠正措施。内部审计人员应当评价被审计单位管理层采取的纠正措施是否及时、合理、有效。

第六十条 内部审计部门可以在规定期限内，或者与被审计单位约定的期限内实施后续审计。

第六十一条 内部审计部门负责人可以适时安排后续审计工作，并将其列入年度审计计划。

第六十二条 内部审计部门负责人如果初步认定被审计单位管理层对审计发现的问题已采取了有效的纠正措施，可以将后续审计作为下次内部审计工作的一部分。

第六十三条 内部审计项目主审应编制后续审计方案，对后续审计作出安排。

第六十四条 编制后续审计方案时应当考虑下列因素：

（一）审计意见和审计建议的重要性；

（二）纠正措施的复杂性；

（三）落实纠正措施所需要的时间和成本；

（四）纠正措施失败可能产生的影响；

（五）被审计单位的业务安排和时间要求。

第六十五条 对于已采取纠正措施的事项，内部审计人员应当判断是否需要深入检查，必要时可提出应在下次审计中予以关注。

第六十六条 内部审计部门对后续审计中发现审计对象尚未整改事项，应当向公司管理层报告。

第六十七条 内部审计人员应当根据后续审计的实施过程和结果编制后续审计报告。

第八章 附则

第六十八条 本办法经公司董事会审议通过，授权公司内部审计部门负责解释与修订。

第六十九条 本制度自董事会通过之日起生效并施行，原《国元证券股份有限公司内部稽核质量控制管理办法》（国证董办字〔2018〕23号）同时废止。