内部审计具体准则概述.docx
《内部审计具体准则概述.docx》由会员分享,可在线阅读,更多相关《内部审计具体准则概述.docx(36页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第2201号内部审计具体准则内部控制审计第一章 总 则 第一条 为了规范内部审计人员实施内部控制审计的行为,保证内部控制审计质量,根据内部审计基本准则,制定本准则。 第二条 本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。 第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部控制审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。 第二章 一般原则 第四条 董事会及管理层的责任是建立、健全内部控制并使之有效运行。 内部审计的责任是对内部控制设计和运行的有效性进行审查和评价,出具客观、公正的审计报告
2、,促进组织改善内部控制及风险管理。 第五条 内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。 内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。 第六条 内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制。 第七条 内部控制审计应当真实、客观地揭示经营管理的风险状况,如实反映内部控制设计和运行的情况。 第八条 内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。 全面内部控制审计,是针对组织所有业务活动的内部控制,包括内部环境、风险评
3、估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。 专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。 第三章 内部控制审计的内容 第九条 内部审计机构可以参考企业内部控制基本规范及配套指引的相关规定,根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。 第十条 内部审计人员开展内部环境要素审计时,应当以企业内部控制基本规范和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、社会责任等,结合本组织的内部控
4、制,对内部环境进行审查和评价。 第十一条 内部审计人员开展风险评估要素审计时,应当以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。 第十二条 内部审计人员开展控制活动要素审计时,应当以企业内部控制基本规范和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。 第十三条 内部审计人员开展信息与沟通要素审计时,应当以企业内部控制基本规范和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,
5、对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。 第十四条 内部审计人员开展内部监督要素审计时,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。 第十五条 内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等,对
6、业务层面内部控制的设计和运行情况进行审查和评价。 第四章 内部控制审计的具体程序与方法 第十六条 内部控制审计主要包括下列程序: (一)编制项目审计方案; (二)组成审计组; (三)实施现场审查; (四)认定控制缺陷; (五)汇总审计结果; (六)编制审计报告。 第十七条 内部审计人员在实施现场审查之前,可以要求被审计单位提交最近一次的内部控制自我评估报告。 内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。 第十八条 内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。 第十九条 内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试
7、、实地查验、抽样和比较分析等方法,充分收集组织内部控制设计和运行是否有效的证据。 第二十条 内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。 第五章 内部控制缺陷的认定 第二十一条 内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。 第二十二条 内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。 重
8、大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。 重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。 第二十三条 内部审计人员应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。 第六章 内部控制审计报告 第二十四条 内部控制审计报告
9、的内容,应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。 第二十五条 内部审计机构应当向组织适当管理层报告内部控制审计结果。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事会或者最高管理层。 第二十六条 经董事会或者最高管理层批准,内部控制审计报告可以作为企业内部控制评价指引中要求的内部控制评价报告对外披露。 第七章 附 则 第二十七条 本准则由中国内部审计协会发布并负责解释。 第二十八条 本准则自2014年1月
10、1日起施行。第2202号内部审计具体准则绩效审计第一章 总 则 第一条 为了规范绩效审计工作,提高绩效审计质量和效率,根据内部审计基本准则,制定本准则。 第二条 本准则所称绩效审计,是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。 经济性,是指组织经营管理过程中获得一定数量和质量的产品或者服务及其他成果时所耗费的资源最少;效率性,是指组织经营管理过程中投入资源与产出成果之间的对比关系;效果性,是指组织经营管理目标的实现程度。 第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的绩效审计活动。其他组织或者人员接受委托、聘用,承办或者参与内
11、部审计业务,也应当遵守本准则。 第二章 一般原则 第四条 内部审计机构应当充分考虑实施绩效审计项目对内部审计人员专业胜任能力的需求,合理配置审计资源。 第五条 组织各管理层根据授权承担相应的经营管理责任,对经营管理活动的经济性、效率性和效果性负责。内部审计机构开展绩效审计不能减轻或者替代管理层的责任。 第六条 内部审计机构和内部审计人员根据实际需要选择和确定绩效审计对象,既可以针对组织的全部或者部分经营管理活动,也可以针对特定项目和业务。 第三章 绩效审计的内容 第七条 根据实际情况和需要,绩效审计可以同时对组织经营管理活动的经济性、效率性和效果性进行审查和评价,也可以只侧重某一方面进行审查和
12、评价。 第八条 绩效审计主要审查和评价下列内容: (一)有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠; (二)相关经营管理活动的人、财、物、信息、技术等资源取得、配置和使用的合法性、合理性、恰当性和节约性; (三)经营管理活动既定目标的适当性、相关性、可行性和实现程度,以及未能实现既定目标的情况及其原因; (四)研发、财务、采购、生产、销售等主要业务活动的效率; (五)计划、决策、指挥、控制及协调等主要管理活动的效率; (六)经营管理活动预期的经济效益和社会效益等的实现情况; (七)组织为评价、报告和监督特定业务或者项目的经济性、效率性和效果性所建立的内部控制及风险管理体系的健全
13、性及其运行的有效性; (八)其他有关事项。 第四章 绩效审计的方法 第九条 内部审计机构和内部审计人员应当依据重要性、审计风险和审计成本,选择与审计对象、审计目标及审计评价标准相适应的绩效审计方法,以获取相关、可靠和充分的审计证据。 第十条 选择绩效审计方法时,除运用常规审计方法以外,还可以运用下列方法: (一)数量分析法,即对经营管理活动相关数据进行计算分 析,并运用抽样技术对抽样结果进行评价的方法; (二)比较分析法,即通过分析、比较数据间的关系、趋势或者比率获取审计证据的方法; (三)因素分析法,即查找产生影响的因素,并分析各个因 素的影响方向和影响程度的方法; (四)量本利分析法,即分
14、析一定期间内的业务量、成本和 利润三者之间变量关系的方法; (五)专题讨论会,即通过召集组织相关管理人员就经营管 理活动特定项目或者业务的具体问题进行讨论的方法; (六)标杆法,即对经营管理活动状况进行观察和检查,通 过与组织内外部相同或者相似经营管理活动的最佳实务进行比较的方法; (七)调查法,即凭借一定的手段和方式(如访谈、问卷),对某种或者某几种现象、事实进行考察,通过对搜集到的各种资料进行分析处理,进而得出结论的方法; (八)成本效益(效果)分析法,即通过分析成本和效益(效果)之间的关系,以每单位效益(效果)所消耗的成本来评价项目效益(效果)的方法; (九)数据包络分析法,即以相对效率
15、概念为基础,以凸分析和线性规划为工具,应用数学规划模型计算比较决策单元之间的相对效率,对评价对象做出评价的方法; (十)目标成果法,即根据实际产出成果评价被审计单位或者项目的目标是否实现,将产出成果与事先确定的目标和需求进行对比,确定目标实现程度的方法; (十一)公众评价法,即通过专家评估、公众问卷及抽样调查等方式,获取具有重要参考价值的证据信息,评价目标实现程度的方法。 第五章 绩效审计的评价标准 第十一条 内部审计机构和内部审计人员应当选择适当的绩效审计评价标准。 绩效审计评价标准应当具有可靠性、客观性和可比性。 第十二条 绩效审计评价标准的来源主要包括: (一)有关法律法规、方针、政策、
16、规章制度等的规定; (二)国家部门、行业组织公布的行业指标; (三)组织制定的目标、计划、预算、定额等; (四)同类指标的历史数据和国际数据; (五)同行业的实践标准、经验和做法。 第十三条 内部审计机构和内部审计人员在确定绩效审计评价标准时,应当与组织管理层进行沟通,在双方认可的基础上确定绩效审计评价标准。 第六章 绩效审计报告 第十四条 绩效审计报告应当反映绩效审计评价标准的选择、确定及沟通过程等重要信息,包括必要的局限性分析。 第十五条 绩效审计报告中的绩效评价应当根据审计目标和审计证据作出,可以分为总体评价和分项评价。当审计风险较大,难以做出总体评价时,可以只做分项评价。 第十六条 绩
17、效审计报告中反映的合法、合规性问题,除进行相应的审计处理外,还应当侧重从绩效的角度对问题进行定性,描述问题对绩效造成的影响、后果及严重程度。 第十七条 绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源,兼顾短期目标和长期目标、个体利益和组织整体利益,提出切实可行的建议。 第七章 附 则 第十八条 本准则由中国内部审计协会发布并负责解释。 第十九条 本准则自2014年1月1日起施行。第2203号内部审计具体准则信息系统审计第一章 总 则 第一条 为了规范信息系统审计工作,提高审计质量和效率,根据内部审计基本准则,制定本准则。 第二条 本准则所称信息系统审计,是指内部审计机构和内部审计人
18、员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。 第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。 第二章 一般原则 第四条 信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。 组织的信息技术管理目标主要包括: (一)保证组织的信息技术战略充分反映组织的战略目标; (二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性; (
19、三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。 第五条 组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。 第六条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。 第七条 信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。 当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计
20、人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。 第八条 内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。 第三章 信息系统审计计划 第九条 内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。 第十条 编制信息系统审计方案时,除遵循相关内部审计具体准则的规定,还应当考虑下列因素: (一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标; (二)信息技术
21、管理的组织架构; (三)信息系统框架和信息系统的长期发展规划及近期发展计划; (四)信息系统及其支持的业务流程的变更情况; (五)信息系统的复杂程度; (六)以前年度信息系统内、外部审计所发现的问题及后续审计情况; (七)其他影响信息系统审计的因素。 第十一条 当信息系统审计作为综合性内部审计项目的一部分时,内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。 第四章 信息技术风险评估 第十二条 内部审计人员进行信息系统审计时,应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析和评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。 第十三条
22、 信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险,包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。 第十四条 内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时,需要关注下列内容: (一)业务关注度,即组织的信息技术战略与组织整体发展 战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度; (二)信息资产的重要性; (三)对信息技术的依赖程度; (四)对信息技术部门人员的依赖程度; (五)对外部信息技术服务的依赖程度; (六)信息系统及其运行环境的安全性、可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 内部 审计 具体 准则 概述
限制150内