为了适应内部审计的最新发展,更好地发挥内部审计准则在规范内部审计行为、提升内部审计质量方面的作用,中国内部审计协会对2003年以来发布的内部审计准则进行了全面、系统的修订。经中国内部审计协会第六届常务理事会审议通过,现予发布,自2014年1月1日起施行。现行的《内部审计基本准则》、《内部审计人员职业道德规范》以及1~29号具体准则同时废止。
附件:
1. 中国内部审计准则
2. 关于修订《中国内部审计准则》的说明
中国内部审计协会
2013年8月20日
第1101号——内部审计基本准则
第一章 总则
第一条 为了规范内部审计工作,保证内部审计质量,明确内部审计机构和内部审计人员的责任,根据《审计法》及其实施条 例,以及其他有关法律、法规和规章,制定本准则。
第二条 本准则所称内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般准则
第四条 组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员。
第五条 内部审计的目标、职责和权限等内容应当在组织的内部审计章程中明确规定。
第六条 内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。
第七条 内部审计人员应当遵守职业道德,在实施内部审计业务时保持应有的职业谨慎。
第八条 内部审计人员应当具备相应的专业胜任能力,并通过后续教育加以保持和提高。
第九条 内部审计人员应当履行保密义务,对于实施内部审计业务中所获取的信息保密。
第三章 作业准则
第十条 内部审计机构和内部审计人员应当全面关注组织风险,以风险为基础组织实施内部审计业务。
第十一条 内部审计人员应当充分运用重要性原则,考虑差异或者缺陷的性质、数量等因素,合理确定重要性水平。
第十二条 内部审计机构应当根据组织的风险状况、管理需要及审计资源的配置情况,编制年度审计计划。
第十三条 内部审计人员根据年度审计计划确定的审计项目,编制项目审计方案。
第十四条 内部审计机构应当在实施审计三日前,向被审计单位或者被审计人员送达审计通知书,做好审计准备工作。
第十五条 内部审计人员应当深入了解被审计单位的情况,审查和评价业务活动、内部控制和风险管理的适当性和有效性,关注信息系统对业务活动、内部控制和风险管理的影响。
第十六条 内部审计人员应当关注被审计单位业务活动、内部控制和风险管理中的舞弊风险,对舞弊行为进行检查和报告。
第十七条 内部审计人员可以运用审核、观察、监盘、访谈、调查、函证、计算和分析程序等方法,获取相关、可靠和充分的审计证据,以支持审计结论、意见和建议。
第十八条 内部审计人员应当在审计工作底稿中记录审计程序的执行过程,获取的审计证据,以及作出的审计结论。
第十九条 内部审计人员应当以适当方式提供咨询服务,改善组织的业务活动、内部控制和风险管理。
第四章 报告准则
第二十条 内部审计机构应当在实施必要的审计程序后,及时出具审计报告。
第二十一条 审计报告应当客观、完整、清晰,具有建设性并体现重要性原则。
第二十二条 审计报告应当包括审计概况、审计依据、审计发现、审计结论、审计意见和审计建议。
第二十三条 审计报告应当包含是否遵循内部审计准则的声明。如存在未遵循内部审计准则的情形,应当在审计报告中作出解释和说明。
第五章 内部管理准则
第二十四条 内部审计机构应当接受组织董事会或者最高管理层的领导和监督,并保持与董事会或者最高管理层及时、高效的沟通。
第二十五条 内部审计机构应当建立合理、有效的组织结构,多层级组织的内部审计机构可以实行集中管理或者分级管理。
第二十六条 内部审计机构应当根据内部审计准则及相关规定,结合本组织的实际情况制定内部审计工作手册,指导内部审计人员的工作。
第二十七条 内部审计机构应当对内部审计质量实施有效控制,建立指导、监督、分级复核和内部审计质量评估制度,并接受内部审计质量外部评估。
第二十八条 内部审计机构应当编制中长期审计规划、年度审计计划、本机构人力资源计划和财务预算。
第二十九条 内部审计机构应当建立激励约束机制,对内部审计人员的工作进行考核、评价和奖惩。
第三十条 内部审计机构应当在董事会或者最高管理层的支持和监督下,做好与外部审计的协调工作。
第三十一条 内部审计机构负责人应当对内部审计机构管理的适当性和有效性负主要责任。
第六章 附则
第三十二条 本准则由中国内部审计协会发布并负责解释。
第三十三条 本准则自2014年1月1日起施行。
第1201号——内部审计人员职业道德规范
第一章 总则
第一条 为了规范内部审计人员的职业行为,维护内部审计职业声誉,根据《审计法》及其实施条 例,以及其他有关法律、法规和规章 ,制定本规范。
第二条 内部审计人员职业道德是内部审计人员在开展内部审计工作中应当具有的职业品德、应当遵守的职业纪律和应当承担的职业责任的总称。
第三条 内部审计人员从事内部审计活动时,应当遵守本规范,认真履行职责,不得损害国家利益、组织利益和内部审计职业声誉。
第二章 一般原则
第四条 内部审计人员在从事内部审计活动时,应当保持诚信正直。
第五条 内部审计人员应当遵循客观性原则,公正、不偏不倚地作出审计职业判断。
第六条 内部审计人员应当保持并提高专业胜任能力,按照规定参加后续教育。
第七条 内部审计人员应当遵循保密原则,按照规定使用其在履行职责时所获取的信息。
第八条 内部审计人员违反本规范要求的,组织应当批评教育,也可以视情节给予一定的处分。
第三章 诚信正直
第九条 内部审计人员在实施内部审计业务时,应当诚实、守信,不应有下列行为:
(一)歪曲事实;
(二)隐瞒审计发现的问题;
(三)进行缺少证据支持的判断;
(四)做误导性的或者含糊的陈述。
第十条 内部审计人员在实施内部审计业务时,应当廉洁、正直,不应有下列行为:
(一)利用职权谋取私利;
(二)屈从于外部压力,违反原则。
第四章 客观性
第十一条 内部审计人员实施内部审计业务时,应当实事求是,不得由于偏见、利益冲突而影响职业判断。
第十二条 内部审计人员实施内部审计业务前,应当采取下列步骤对客观性进行评估:
(一)识别可能影响客观性的因素;
(二)评估可能影响客观性因素的严重程度;
(三)向审计项目负责人或者内部审计机构负责人报告客观性受损可能造成的影响。
第十三条 内部审计人员应当识别下列可能影响客观性的因素:
(一)审计本人曾经参与过的业务活动;
(二)与被审计单位存在直接利益关系;
(三)与被审计单位存在长期合作关系;
(四)与被审计单位管理层有密切的私人关系;
(五)遭受来自组织内部和外部的压力;
(六)内部审计范围受到限制;
(七)其他。
第十四条 内部审计机构负责人应当采取下列措施保障内部审计的客观性:
(一)提高内部审计人员的职业道德水准;
(二)选派适当的内部审计人员参加审计项目,并进行适当分工;
(三)采用工作轮换的方式安排审计项目及审计组;
(四)建立适当、有效的激励机制;
(五)制定并实施系统、有效的内部审计质量控制制度、程序和方法;
(六)当内部审计人员的客观性受到严重影响,且无法采取适当措施降低影响时,停止实施有关业务,并及时向董事会或者最高管理层报告。
第五章 专业胜任能力
第十五条 内部审计人员应当具备下列履行职责所需的专业知识、职业技能和实践经验:
(一)审计、会计、财务、税务、经济、金融、统计、管理、内部控制、风险管理、法律和信息技术等专业知识,以及与组织业务活动相关的专业知识;
(二)语言文字表达、问题分析、审计技术应用、人际沟通、组织管理等职业技能;
(三)必要的实践经验及相关职业经历。
第十六条 内部审计人员应当通过后续教育和职业实践等途径,了解、学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。
第十七条 内部审计人员实施内部审计业务时,应当保持职业谨慎,合理运用职业判断。
第六章 保密
第十八条 内部审计人员应当对实施内部审计业务所获取的信息保密,非因有效授权、法律规定或其他合法事由不得披露。
第十九条 内部审计人员在社会交往中,应当履行保密义务,警惕非故意泄密的可能性。
内部审计人员不得利用其在实施内部审计业务时获取的信息牟取不正当利益,或者以有悖于法律法规、组织规定及职业道德的方式使用信息。
第七章 附则
第二十条 本规范由中国内部审计协会发布并负责解释。
第二十一条 本规范自2014年1月1日起施行。
第2101号内部审计具体准则——审计计划
第一章 总则
第一条 为了规范审计计划的编制与执行,保证有计划、有重点地开展审计业务,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称审计计划,是指内部审计机构和内部审计人员为完成审计业务,达到预期的审计目的,对审计工作或者具体审计项目作出的安排。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 审计计划一般包括年度审计计划和项目审计方案。
年度审计计划是对年度预期要完成的审计任务所作的工作安排,是组织年度工作计划的重要组成部分。
项目审计方案是对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等作出的安排。
第五条 内部审计机构应当在本年度编制下年度审计计划,并报经组织董事会或者最高管理层批准;审计项目负责人应当在审计项目实施前编制项目审计方案,并报经内部审计机构负责人批准。
第六条 内部审计机构应当根据批准后的审计计划组织开展内部审计活动。在审计计划执行过程中,如有必要,应当按照规定的程序对审计计划进行调整。
第七条 内部审计机构负责人应当定期检查审计计划的执行情况。
第三章 年度审计计划
第八条 内部审计机构负责人负责年度审计计划的编制工作。
第九条 编制年度审计计划应当结合内部审计中长期规划,在对组织风险进行评估的基础上,根据组织的风险状况、管理需要和审计资源的配置情况,确定具体审计项目及时间安排。
第十条 年度审计计划应当包括下列基本内容:
(一)年度审计工作目标;
(二)具体审计项目及实施时间;
(三)各审计项目需要的审计资源;
(四)后续审计安排。
第十一条 内部审计机构在编制年度审计计划前,应当重点调查了解下列情况,以评价具体审计项目的风险:
(一)组织的战略目标、年度目标及业务活动重点;
(二)对相关业务活动有重大影响的法律、法规、政策、计划和合同;
(三)相关内部控制的有效性和风险管理水平;
(四)相关业务活动的复杂性及其近期变化;
(五)相关人员的能力及其岗位的近期变动;
(六)其他与项目有关的重要情况。
第十二条 内部审计机构负责人应当根据具体审计项目的性质、复杂程度及时间要求,合理安排审计资源。
第四章 项目审计方案
第十三条 内部审计机构应当根据年度审计计划确定的审计项目和时间安排,选派内部审计人员开展审计工作。
第十四条 审计项目负责人应当根据被审计单位的下列情况,编制项目审计方案:
(一)业务活动概况;
(二)内部控制、风险管理体系的设计及运行情况;
(三)财务、会计资料;
(四)重要的合同、协议及会议记录;
(五)上次审计结论、建议及后续审计情况;
(六)上次外部审计的审计意见;
(七)其他与项目审计方案有关的重要情况。
第十五条 项目审计方案应当包括下列基本内容:
(一)被审计单位、项目的名称;
(二)审计目标和范围;
(三)审计内容和重点;
(四)审计程序和方法;
(五)审计组成员的组成及分工;
(六)审计起止日期;
(七)对专家和外部审计工作结果的利用;
(八)其他有关内容。
第五章 附则
第十六条 本准则由中国内部审计协会发布并负责解释。
第十七条 本准则自2014年1月1日起施行。
第2102号内部审计具体准则——审计通知书
第一章 总则
第一条 为了规范审计通知书的编制与送达,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称审计通知书,是指内部审计机构在实施审计之前,告知被审计单位或者人员接受审计的书面文件。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与的内部审计业务,也应当遵守本准则。
第二章 审计通知书的编制与送达
第四条 审计通知书应当包括下列内容:
(一)审计项目名称;
(二)被审计单位名称或者被审计人员姓名;
(三)审计范围和审计内容;
(四)审计时间;
(五)需要被审计单位提供的资料及其他必要的协助要求;
(六)审计组组长及审计组成员名单;
(七)内部审计机构的印章 和签发日期。
第五条 内部审计机构应当根据经过批准后的年度审计计划和其他授权或者委托文件编制审计通知书。
第六条 内部审计机构应当在实施审计三日前,向被审计单位或者被审计人员送达审计通知书。特殊审计业务的审计通知书可以在实施审计时送达。
第七条 审计通知书送达被审计单位,必要时可以抄送组织内部相关部门。
经济责任审计项目的审计通知书送达被审计人员及其所在单位,并抄送有关部门。
第三章 附则
第八条 本准则由中国内部审计协会发布并负责解释。
第九条 本准则自2014年1月1日起施行。
第2103号内部审计具体准则——审计证据
第一章 总则
第一条 为了规范审计证据的获取及处理,保证审计证据的相关性、可靠性和充分性,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称审计证据,是指内部审计人员在实施内部审计业务中,通过实施审计程序所获取的,用以证实审计事项,支持审计结论、意见和建议的各种事实依据。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计人员应当依据不同的审计事项及其审计目标,获取不同种类的审计证据。
审计证据主要包括下列种类:
(一)书面证据;
(二)实物证据;
(三)视听证据;
(四)电子证据;
(五)口头证据;
(六)环境证据。
第五条 内部审计人员获取的审计证据应当具备相关性、可靠性和充分性。
相关性,即审计证据与审计事项及其具体审计目标之间具有实质性联系。
可靠性,即审计证据真实、可信。
充分性,即审计证据在数量上足以支持审计结论、意见和建议。
第六条 审计项目的各级复核人员应当在各自职责范围内对审计证据的相关性、可靠性和充分性予以复核。
第七条 内部审计人员在获取审计证据时,应当考虑下列基本因素:
(一)具体审计事项的重要性。内部审计人员应当从数量和性质两个方面判断审计事项的重要性,以做出获取审计证据的决策。
(二)可以接受的审计风险水平。证据的充分性与审计风险水平密切相关。可以接受的审计风险水平越低,所需证据的数量越多。
(三)成本与效益的合理程度。获取审计证据应当考虑成本与效益的对比,但对于重要审计事项,不应当将审计成本的高低作为减少必要审计程序的理由。
(四)适当的抽样方法。
第三章 审计证据的获取与处理
第八条 内部审计人员向有关单位和个人获取审计证据时,可以采用(但不限于)下列方法:
(一)审核;
(二)观察;
(三)监盘;
(四)访谈;
(五)调查;
(六)函证;
(七)计算;
(八)分析程序。
第九条 内部审计人员应当将获取的审计证据名称、来源、内容、时间等完整、清晰地记录于审计工作底稿中。
采集被审计单位电子数据作为审计证据的,内部审计人员应当记录电子数据的采集和处理过程。
第十条 内部审计机构可以聘请其他专业机构或者人员对审计项目的某些特殊问题进行鉴定,并将鉴定结论作为审计证据。内部审计人员应当对所引用鉴定结论的可靠性负责。
第十一条 对于被审计单位有异议的审计证据,内部审计人员应当进一步核实。
第十二条 内部审计人员获取的审计证据,如有必要,应当由证据提供者签名或者盖章 。如果证据提供者拒绝签名或者盖章 ,内部审计人员应当注明原因和日期。
第十三条 内部审计人员应当对获取的审计证据进行分类、筛选和汇总,保证审计证据的相关性、可靠性和充分性。
第十四条 在评价审计证据时,应当考虑审计证据之间的相互印证关系及证据来源的可靠程度。
第四章 附则
第十五条 本准则由中国内部审计协会发布并负责解释。
第十六条 本准则自2014年1月1日起施行。
第2104号内部审计具体准则——审计工作底稿
第一章 总则
第一条 为了规范审计工作底稿的编制和使用,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称审计工作底稿,是指内部审计人员在审计过程中所形成的工作记录。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计人员在审计工作中应当编制审计工作底稿,以达到下列目的:
(一)为编制审计报告提供依据;
(二)证明审计目标的实现程度;
(三)为检查和评价内部审计工作质量提供依据;
(四)证明内部审计机构和内部审计人员是否遵循内部审计准则;
(五)为以后的审计工作提供参考。
第五条 审计工作底稿应当内容完整、记录清晰、结论明确,客观地反映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。
第六条 内部审计机构应当建立审计工作底稿的分级复核制度,明确规定各级复核人员的要求和责任。
第三章 审计工作底稿的编制与复核
第七条 审计工作底稿主要包括下列要素:
(一)被审计单位的名称;
(二)审计事项及其期间或者截止日期;
(三)审计程序的执行过程及结果记录;
(四)审计结论、意见及建议;
(五)审计人员姓名和审计日期;
(六)复核人员姓名、复核日期和复核意见;
(七)索引号及页次;
(八)审计标识与其他符号及其说明等。
第八条 项目审计方案的编制及调整情况应当编制审计工作底稿。
第九条 审计工作底稿中可以使用各种审计标识,但应当注明含义并保持前后一致。
第十条 审计工作底稿应当注明索引编号和顺序编号。相关审计工作底稿之间如存在勾稽关系,应当予以清晰反映,相互引用时应当交叉注明索引编号。
第十一条 审计工作底稿的复核工作应当由比审计工作底稿编制人员职位更高或者经验更为丰富的人员承担。
第十二条 如果发现审计工作底稿存在问题,复核人员应当在复核意见中加以说明,并要求相关人员补充或者修改审计工作底稿。
第十三条 在审计业务执行过程中,审计项目负责人应当加强对审计工作底稿的现场复核。
第四章 审计工作底稿的归档与保管
第十四条 内部审计人员在审计项目完成后,应当及时对审计工作底稿进行分类整理,按照审计工作底稿相关规定进行归档、保管和使用。
第十五条 审计工作底稿归组织所有,由内部审计机构或者组织内部有关部门具体负责保管。
第十六条 内部审计机构应当建立审计工作底稿保管制度。如果内部审计机构以外的组织或者个人要求查阅审计工作底稿,必须经内部审计机构负责人或者其主管领导批准,但国家有关部门依法进行查阅的除外。
第五章 附则
第十七条 本准则由中国内部审计协会发布并负责解释。
第十八条 本准则自2014年1月1日起实行。
第2105号内部审计具体准则——结果沟通
第一章 总则
第一条 为了规范内部审计的结果沟通,保证审计工作质量,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称结果沟通,是指内部审计机构与被审计单位、组织适当管理层就审计概况、审计依据、审计发现、审计结论、审计意见和审计建议进行的讨论和交流。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 结果沟通的目的,是提高审计结果的客观性、公正性,并取得被审计单位、组织适当管理层的理解和认同。
第五条 内部审计机构应当建立审计结果沟通制度,明确各级人员的责任,进行积极有效的沟通。
第六条 内部审计机构应当与被审计单位、组织适当管理层进行认真、充分的沟通,听取其意见。
第七条 结果沟通一般采取书面或者口头方式。
第八条 内部审计机构应当在审计报告正式提交之前进行审计结果的沟通。
第九条 内部审计机构应当将结果沟通的有关书面材料作为审计工作底稿归档保存。
第三章 结果沟通的内容
第十条 结果沟通主要包括下列内容:
(一)审计概况;
(二)审计依据;
(三)审计发现;
(四)审计结论;
(五)审计意见;
(六)审计建议。
第十一条 如果被审计单位对审计结果有异议,审计项目负责人及相关人员应当进行核实和答复。
第十二条 内部审计机构负责人应当与组织适当管理层就审计过程中发现的重大问题及时进行沟通。
第十三条 内部审计机构与被审计单位进行结果沟通时,应当注意沟通技巧。
第四章 附则
第十四条 本准则由中国内部审计协会发布并负责解释。
第十五条 本准则自2014年1月1日起施行。
第2106号内部审计具体准则——审计报告
第一章 总则
第一条 为了规范审计报告的编制、复核和报送,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称审计报告,是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后,就被审计事项作出审计结论,提出审计意见和审计建议的书面文件。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计人员应当在审计实施结束后,以经过核实的审计证据为依据,形成审计结论、意见和建议,出具审计报告。如有必要,内部审计人员可以在审计过程中提交期中报告,以便及时采取有效的纠正措施改善业务活动、内部控制和风险管理。
第五条 审计报告的编制应当符合下列要求:
(一)实事求是、不偏不倚地反映被审计事项的事实;
(二)要素齐全、格式规范,完整反映审计中发现的重要问题;
(三)逻辑清晰、用词准确、简明扼要、易于理解;
(四)充分考虑审计项目的重要性和风险水平,对于重要事项应当重点说明;
(五)针对被审计单位业务活动、内部控制和风险管理中存在的主要问题或者缺陷提出可行的改进建议,以促进组织实现目标。
第六条 内部审计机构应当建立健全审计报告分级复核制度,明确规定各级复核人员的要求和责任。
第三章 审计报告的内容
第七条 审计报告主要包括下列要素:
(一)标题;
(二)收件人;
(三)正文;
(四)附件:
(五)签章 ;
(六)报告日期;
(七)其他。
第八条 审计报告的正文主要包括下列内容:
(一)审计概况,包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及审计时间等;
(二)审计依据,即实施审计所依据的相关法律法规、内部审计准则等规定;
(三)审计发现,即对被审计单位的业务活动、内部控制和风险管理实施审计过程中所发现的主要问题的事实;
(四)审计结论,即根据已查明的事实,对被审计单位业务活动、内部控制和风险管理所作的评价;
(五)审计意见,即针对审计发现的主要问题提出的处理意见;
(六)审计建议,即针对审计发现的主要问题,提出的改善业务活动、内部控制和风险管理的建议。
第九条 审计报告的附件应当包括针对审计过程、审计中发现问题所作出的具体说明,以及被审计单位的反馈意见等内容。
第四章 审计报告的编制、复核与报送
第十条 审计组应当在实施必要的审计程序后,及时编制审计报告,并征求被审计对象的意见。
第十一条 被审计单位对审计报告有异议的,审计项目负责人及相关人员应当核实,必要时应当修改审计报告。
第十二条 审计报告经过必要的修改后,应当连同被审计单位的反馈意见及时报送内部审计机构负责人复核。
第十三条 内部审计机构应当将审计报告提交被审计单位和组织适当管理层,并要求被审计单位在规定的期限内落实纠正措施。
第十四条 已经出具的审计报告如果存在重要错误或者遗漏,内部审计机构应当及时更正,并将更正后的审计报告提交给原审计报告接收者。
第十五条 内部审计机构应当将审计报告及时归入审计档案,妥善保存。
第五章 附则
第十六条 本准则由中国内部审计协会发布并负责解释。
第十七条 本准则自2014年1月1日起施行。
第2107号内部审计具体准则——后续审计
第一章 总则
第一条 为了规范后续审计活动,提高审计效果,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称后续审计,是指内部审计机构为跟踪检查被审计单位针对审计发现的问题所采取的纠正措施及其改进效果,而进行的审查和评价活动。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 对审计中发现的问题采取纠正措施,是被审计单位管理层的责任。评价被审计单位管理层所采取的纠正措施是否及时、合理、有效,是内部审计人员的责任。
第五条 内部审计机构可以在规定期限内,或者与被审计单位约定的期限内实施后续审计。
第六条 内部审计机构负责人可以适时安排后续审计工作,并将其列入年度审计计划。
第七条 内部审计机构负责人如果初步认定被审计单位管理层对审计发现的问题已采取了有效的纠正措施,可以将后续审计作为下次审计工作的一部分。
第八条 当被审计单位基于成本或者其他方面考虑,决定对审计发现的问题不采取纠正措施并做出书面承诺时,内部审计机构负责人应当向组织董事会或者最高管理层报告。
第三章 后续审计程序
第九条 审计项目负责人应当编制后续审计方案,对后续审计作出安排。
第十条 编制后续审计方案时应当考虑下列因素:
(一)审计意见和审计建议的重要性;
(二)纠正措施的复杂性;
(三)落实纠正措施所需要的时间和成本;
(四)纠正措施失败可能产生的影响;
(五)被审计单位的业务安排和时间要求。
第十一条 对于已采取纠正措施的事项,内部审计人员应当判断是否需要深入检查,必要时可以提出应在下次审计中予以关注。
第十二条 内部审计人员应当根据后续审计的实施过程和结果编制后续审计报告。
第四章 附则
第十三条 本准则由中国内部审计协会发布并负责解释。
第十四条 本准则自2014年1月1日起施行。
第2108号内部审计具体准则——审计抽样
第一章 总则
第一条 为了规范内部审计人员运用审计抽样方法,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称审计抽样,是指内部审计人员在审计业务实施过程中,从被审查和评价的审计总体中抽取一定数量具有代表性的样本进行测试,以样本审查结果推断总体特征,并作出审计结论的一种审计方法。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 确定抽样总体、选择抽样方法时应当以审计目标为依据,并考虑被审计单位及审计项目的具体情况。
第五条 抽样总体的确定应当遵循相关性、充分性和经济性原则。
相关性是指抽样总体与审计对象及其审计目标相关;充分性是指抽样总体能够在数量上代表审计项目的实际情况;经济性是指抽样总体的确定符合成本效益原则。
第六条 审计抽样方法包括统计抽样和非统计抽样。在审计抽样过程中,可以采用统计抽样方法,也可以采用非统计抽样方法,或者两种方法结合使用。
第七条 选取的样本应当有代表性,具有与审计总体相似的特征。
第八条 内部审计人员在选取样本时,应当对业务活动中存在重大差异或者缺陷的风险以及审计过程中的检查风险进行评估,并充分考虑因抽样引起的抽样风险及其他因素引起的非抽样风险。
第九条 抽样结果的评价应当从定量和定性两个方面进行,并以此为依据合理推断审计总体特征。
第三章 抽样程序和方法
第十条 审计抽样的一般程序包括下列步骤:
(一)根据审计目标及审计对象的特征制定审计抽样方案;
(二)选取样本;
(三)对样本进行审查;
(四)评价抽样结果;
(五)根据抽样结果推断总体特征;
(六)形成审计结论。
第十一条 审计抽样方案包括下列主要内容:
(一)审计总体,是指由审计对象的各个单位组成的整体;
(二)抽样单位,是指从审计总体中抽取并代表总体的各个单位;
(三)样本,是指在抽样过程中从审计总体中抽取的部分单位组成的整体;
(四)误差,是指业务活动、内部控制和风险管理中存在的差异或者缺陷;
(五)可容忍误差,是指内部审计人员可以接受的差异或者缺陷的最大程度;
(六)预计总体误差,是指内部审计人员预先估计的审计总体中存在的差异或者缺陷;
(七)可靠程度,是指预计抽样结果能够代表审计总体质量特征的概率;
(八)抽样风险,是指内部审计人员依据抽样结果得出的结论与总体特征不相符合的可能性;
(九)样本量,是指为了能使内部审计人员对审计总体作出审计结论所抽取样本单位的数量;
(十)其他因素。
第十二条 内部审计人员应当根据审计重要性水平,合理确定预计总体误差、可容忍误差和可靠程度。
第十三条 内部审计人员应当根据审计目标和审计对象的特征,选择确定审计抽样方法。
统计抽样,是指以数理统计方法为基础,按照随机原则从总体中选取样本进行审查,并对总体特征进行推断的审计抽样方法。主要包括发现抽样、连续抽样等属性抽样方法,以及单位均值抽样、差异估计抽样和货币单位抽样等变量抽样方法。
非统计抽样,是指内部审计人员根据自己的专业判断和经验抽取样本进行审查,并对总体特征进行推断的审计抽样方法。
统计抽样和非统计抽样审计方法相互结合使用,可以降低抽样风险。
第十四条 内部审计人员应当根据下列要素确定样本量:
(一)审计总体。审计总体的量越大,所需要的样本量越多;
(二)可容忍误差。可容忍误差越大,所需样本量越少;
(三)预计总体误差。预计总体误差越大,所需样本量越多;
(四)抽样风险。抽样风险越小,所需样本量越多;
(五)可靠程度。可靠程度越大,所需样本量越多。
第十五条 内部审计人员可以运用下列方法选取样本:
(一)随机数表选样法;
(二)系统选样法;
(三)分层选样法;
(四)整群选样法;
(五)任意选样法。
第十六条 内部审计人员在选取样本之后,应当对样本进行审查,获取相关、可靠和充分的审计证据。
第四章 抽样结果的评价
第十七条 内部审计人员应当根据预先确定的误差构成条 件,确定存在误差的样本。
第十八条 内部审计人员应当对抽样风险和非抽样风险进行评估,以防止对审计总体作出不恰当的审计结论。
第十九条 抽样风险主要包括两类:
(一)误受风险,是指样本结果表明审计项目不存在重大差异或者缺陷,而实际上却存在着重大差异或者缺陷的可能性;
(二)误拒风险,是指样本结果表明审计项目存在重大差异或者缺陷,而实际上并没有存在重大差异或者缺陷的可能性。
第二十条 非抽样风险是由抽样之外的其他因素造成的风险,一般包括下列原因:
(一)审计程序设计及执行不恰当;
(二)抽样过程没有按照规范程序执行;
(三)样本审查结果解释错误;
(四)审计人员业务能力不足;
(五)其他原因。
第二十一条 内部审计人员应当根据样本误差,采用适当的方法,推断审计总体误差。
第二十二条 内部审计人员应当根据抽样结果的评价,确定审计证据是否足以证实某一审计总体特征。如果推断的总体误差超过可容忍误差,应当增加样本量或者执行替代审计程序。
第二十三条 内部审计人员在上述评价的基础上还应当考虑误差性质、误差产生的原因,以及误差对其他审计项目可能产生的影响等。
第五章 附则
第二十四条 本准则由中国内部审计协会发布并负责解释。
第二十五条 本准则自2014年1月1日起施行。
第2109号内部审计具体准则——分析程序
第一章 总则
第一条 为了规范内部审计人员执行分析程序的行为,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称分析程序,是指内部审计人员通过分析和比较信息之间的关系或者计算相关的比率,以确定合理性,并发现潜在差异和漏洞的一种审计方法。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计人员应当合理运用职业判断,根据需要在审计过程中执行分析程序。
第五条 内部审计人员执行分析程序,有助于实现下列目标:
(一)确认业务活动信息的合理性;
(二)发现差异;
(三)分析潜在的差异和漏洞;
(四)发现不合法和不合规行为的线索。
第六条 内部审计人员通过执行分析程序,能够获取与下列事项相关的证据:
(一)被审计单位的持续经营能力;
(二)被审计事项的总体合理性;
(三)业务活动、内部控制和风险管理中差异和漏洞的严重程度;
(四)业务活动的经济性、效率性和效果性;
(五)计划、预算的完成情况;
(六)其他事项。
第七条 分析程序所使用的信息按其存在的形式划分,主要包括下列内容:
(一)财务信息和非财务信息;
(二)实物信息和货币信息;
(三)电子数据信息和非电子数据信息;
(四)绝对数信息和相对数信息。
第八条 执行分析程序时,应当考虑信息之间的相关性,以免得出不恰当的审计结论。
第九条 内部审计人员应当保持应有的职业谨慎,在确定对分析程序结果的依赖程度时,需要考虑下列因素:
(一)分析程序的目标;
(二)被审计单位的性质及其业务活动的复杂程度;
(三)已收集信息资料的相关性、可靠性和充分性;
(四)以往审计中对被审计单位内部控制、风险管理的评价结果;
(五)以往审计中发现的差异和漏洞。
第三章 分析程序的执行
第十条 分析程序一般包括下列基本内容:
(一)将当期信息与历史信息相比较,分析其波动情况及发展趋势;
(二)将当期信息与预测、计划或者预算信息相比较,并作差异分析;
(三)将当期信息与内部审计人员预期信息相比较,分析差异;
(四)将被审计单位信息与组织其他部门类似信息相比较,分析差异;
(五)将被审计单位信息与行业相关信息相比较,分析差异;
(六)对财务信息与非财务信息之间的关系、比率的计算与分析;
(七)对重要信息内部组成因素的关系、比率的计算与分析。
第十一条 分析程序主要包括下列具体方法:
(一)比较分析;
(二)比率分析;
(三)结构分析;
(四)趋势分析;
(五)回归分析;
(六)其他技术方法。
内部审计人员可以根据审计目标和审计事项单独或者综合运用以上方法。
第十二条 内部审计人员需要在审计计划阶段执行分析程序,以了解被审计事项的基本情况,确定审计重点。
第十三条 内部审计人员需要在审计实施阶段执行分析程序,对业务活动、内部控制和风险管理进行审查,以获取审计证据。
第十四条 内部审计人员需要在审计终结阶段执行分析程序,验证其他审计程序所得结论的合理性,以保证审计质量。
第四章 对分析程序结果的利用
第十五条 内部审计人员应当考虑下列影响分析程序效率和效果的因素:
(一)被审计事项的重要性;
(二)内部控制、风险管理的适当性和有效性;
(三)获取信息的便捷性和可靠性;
(四)分析程序执行人员的专业素质;
(五)分析程序操作的规范性。
第十六条 内部审计人员执行分析程序发现差异时,应当采用下列方法对其进行调查和评价:
(一)询问管理层获取其解释和答复;
(二)实施必要的审计程序,确认管理层解释和答复的合理性与可靠性;
(三)如果管理层没有作出恰当解释,应当扩大审计范围,执行其他审计程序,实施进一步审查,以便得出审计结论。
第五章 附则
第十七条 本准则由中国内部审计协会发布并负责解释。
第十八条 本准则自2014年1月1日起施行。
第2201号内部审计具体准则——内部控制审计
第一章 总则
第一条 为了规范内部审计人员实施内部控制审计的行为,保证内部控制审计质量,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部控制审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 董事会及管理层的责任是建立、健全内部控制并使之有效运行。
内部审计的责任是对内部控制设计和运行的有效性进行审查和评价,出具客观、公正的审计报告,促进组织改善内部控制及风险管理。
第五条 内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。
内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。
第六条 内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制。
第七条 内部控制审计应当真实、客观地揭示经营管理的风险状况,如实反映内部控制设计和运行的情况。
第八条 内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。
全面内部控制审计,是针对组织所有业务活动的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。
专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。
第三章 内部控制审计的内容
第九条 内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定,根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。
第十条 内部审计人员开展内部环境要素审计时,应当以《企业内部控制基本规范》和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、社会责任等,结合本组织的内部控制,对内部环境进行审查和评价。
第十一条 内部审计人员开展风险评估要素审计时,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。
第十二条 内部审计人员开展控制活动要素审计时,应当以《企业内部控制基本规范》和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。
第十三条 内部审计人员开展信息与沟通要素审计时,应当以《企业内部控制基本规范》和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。
第十四条 内部审计人员开展内部监督要素审计时,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十五条 内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等,对业务层面内部控制的设计和运行情况进行审查和评价。
第四章 内部控制审计的具体程序与方法
第十六条 内部控制审计主要包括下列程序:
(一)编制项目审计方案;
(二)组成审计组;
(三)实施现场审查;
(四)认定控制缺陷;
(五)汇总审计结果;
(六)编制审计报告。
第十七条 内部审计人员在实施现场审查之前,可以要求被审计单位提交最近一次的内部控制自我评估报告。
内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。
第十八条 内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。
第十九条 内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集组织内部控制设计和运行是否有效的证据。
第二十条 内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。
第五章 内部控制缺陷的认定
第二十一条 内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。
第二十二条 内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。
第二十三条 内部审计人员应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。
第六章 内部控制审计报告
第二十四条 内部控制审计报告的内容,应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。
第二十五条 内部审计机构应当向组织适当管理层报告内部控制审计结果。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事会或者最高管理层。
第二十六条 经董事会或者最高管理层批准,内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。
第七章 附则
第二十七条 本准则由中国内部审计协会发布并负责解释。
第二十八条 本准则自2014年1月1日起施行。
第2202号内部审计具体准则——绩效审计
第一章 总则
第一条 为了规范绩效审计工作,提高绩效审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称绩效审计,是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。
经济性,是指组织经营管理过程中获得一定数量和质量的产品或者服务及其他成果时所耗费的资源最少;效率性,是指组织经营管理过程中投入资源与产出成果之间的对比关系;效果性,是指组织经营管理目标的实现程度。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的绩效审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计机构应当充分考虑实施绩效审计项目对内部审计人员专业胜任能力的需求,合理配置审计资源。
第五条 组织各管理层根据授权承担相应的经营管理责任,对经营管理活动的经济性、效率性和效果性负责。内部审计机构开展绩效审计不能减轻或者替代管理层的责任。
第六条 内部审计机构和内部审计人员根据实际需要选择和确定绩效审计对象,既可以针对组织的全部或者部分经营管理活动,也可以针对特定项目和业务。
第三章 绩效审计的内容
第七条 根据实际情况和需要,绩效审计可以同时对组织经营管理活动的经济性、效率性和效果性进行审查和评价,也可以只侧重某一方面进行审查和评价。
第八条 绩效审计主要审查和评价下列内容:
(一)有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠;
(二)相关经营管理活动的人、财、物、信息、技术等资源取得、配置和使用的合法性、合理性、恰当性和节约性;
(三)经营管理活动既定目标的适当性、相关性、可行性和实现程度,以及未能实现既定目标的情况及其原因;
(四)研发、财务、采购、生产、销售等主要业务活动的效率;
(五)计划、决策、指挥、控制及协调等主要管理活动的效率;
(六)经营管理活动预期的经济效益和社会效益等的实现情况;
(七)组织为评价、报告和监督特定业务或者项目的经济性、效率性和效果性所建立的内部控制及风险管理体系的健全性及其运行的有效性;
(八)其他有关事项。
第四章 绩效审计的方法
第九条 内部审计机构和内部审计人员应当依据重要性、审计风险和审计成本,选择与审计对象、审计目标及审计评价标准相适应的绩效审计方法,以获取相关、可靠和充分的审计证据。
第十条 选择绩效审计方法时,除运用常规审计方法以外,还可以运用下列方法:
(一)数量分析法,即对经营管理活动相关数据进行计算分析,并运用抽样技术对抽样结果进行评价的方法;
(二)比较分析法,即通过分析、比较数据间的关系、趋势或者比率获取审计证据的方法;
(三)因素分析法,即查找产生影响的因素,并分析各个因素的影响方向和影响程度的方法;
(四)量本利分析法,即分析一定期间内的业务量、成本和利润三者之间变量关系的方法;
(五)专题讨论会,即通过召集组织相关管理人员就经营管理活动特定项目或者业务的具体问题进行讨论的方法;
(六)标杆法,即对经营管理活动状况进行观察和检查,通过与组织内外部相同或者相似经营管理活动的最佳实务进行比较的方法;
(七)调查法,即凭借一定的手段和方式(如访谈、问卷),对某种或者某几种现象、事实进行考察,通过对搜集到的各种资料进行分析处理,进而得出结论的方法;
(八)成本效益(效果)分析法,即通过分析成本和效益(效果)之间的关系,以每单位效益(效果)所消耗的成本来评价项目效益(效果)的方法;
(九)数据包络分析法,即以相对效率概念为基础,以凸分析和线性规划为工具,应用数学规划模型计算比较决策单元之间的相对效率,对评价对象做出评价的方法;
(十)目标成果法,即根据实际产出成果评价被审计单位或者项目的目标是否实现,将产出成果与事先确定的目标和需求进行对比,确定目标实现程度的方法;
(十一)公众评价法,即通过专家评估、公众问卷及抽样调查等方式,获取具有重要参考价值的证据信息,评价目标实现程度的方法。
第五章 绩效审计的评价标准
第十一条 内部审计机构和内部审计人员应当选择适当的绩效审计评价标准。
绩效审计评价标准应当具有可靠性、客观性和可比性。
第十二条 绩效审计评价标准的来源主要包括:
(一)有关法律法规、方针、政策、规章 制度等的规定;
(二)国家部门、行业组织公布的行业指标;
(三)组织制定的目标、计划、预算、定额等;
(四)同类指标的历史数据和国际数据;
(五)同行业的实践标准、经验和做法。
第十三条 内部审计机构和内部审计人员在确定绩效审计评价标准时,应当与组织管理层进行沟通,在双方认可的基础上确定绩效审计评价标准。
第六章 绩效审计报告
第十四条 绩效审计报告应当反映绩效审计评价标准的选择、确定及沟通过程等重要信息,包括必要的局限性分析。
第十五条 绩效审计报告中的绩效评价应当根据审计目标和审计证据作出,可以分为总体评价和分项评价。当审计风险较大,难以做出总体评价时,可以只做分项评价。
第十六条 绩效审计报告中反映的合法、合规性问题,除进行相应的审计处理外,还应当侧重从绩效的角度对问题进行定性,描述问题对绩效造成的影响、后果及严重程度。
第十七条 绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源,兼顾短期目标和长期目标、个体利益和组织整体利益,提出切实可行的建议。
第七章 附则
第十八条 本准则由中国内部审计协会发布并负责解释。
第十九条 本准则自2014年1月1日起施行。
第2203号内部审计具体准则——信息系统审计
第一章 总则
第一条 为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:
(一)保证组织的信息技术战略充分反映组织的战略目标;
(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;
(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条 组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。
第七条 信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条 内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章 信息系统审计计划
第九条 内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
第十条 编制信息系统审计方案时,除遵循相关内部审计具体准则的规定,还应当考虑下列因素:
(一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标;
(二)信息技术管理的组织架构;
(三)信息系统框架和信息系统的长期发展规划及近期发展计划;
(四)信息系统及其支持的业务流程的变更情况;
(五)信息系统的复杂程度;
(六)以前年度信息系统内、外部审计所发现的问题及后续审计情况;
(七)其他影响信息系统审计的因素。
第十一条 当信息系统审计作为综合性内部审计项目的一部分时,内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。
第四章 信息技术风险评估
第十二条 内部审计人员进行信息系统审计时,应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析和评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。
第十三条 信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险,包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。
第十四条 内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时,需要关注下列内容:
(一)业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度;
(二)信息资产的重要性;
(三)对信息技术的依赖程度;
(四)对信息技术部门人员的依赖程度;
(五)对外部信息技术服务的依赖程度;
(六)信息系统及其运行环境的安全性、可靠性;
(七)信息技术变更;
(八)法律规范环境;
(九)其他。
第十五条 业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,内部审计人员应当了解业务流程,并关注下列信息技术风险:
(一)数据输入;
(二)数据处理;
(三)数据输出。
第十六条 内部审计人员应当充分考虑风险评估的结果,以合理确定信息系统审计的内容及范围,并对组织的信息技术内部控制设计合理性和运行有效性进行测试。
第五章 信息系统审计的内容
第十七条 信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。
第十八条 信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式,内部审计人员应当根据不同的控制形式采取恰当的审计程序。
第十九条 组织层面信息技术控制,是指董事会或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。内部审计人员应当考虑下列控制要素中与信息技术相关的内容:
(一)控制环境。内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。
(二)风险评估。内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。
(三)信息与沟通。内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。
(四)内部监督。内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。
第二十条 信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应当考虑下列控制活动:
(一)信息安全管理。内部审计人员应当关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。
(二)系统变更管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。
(三)系统开发和采购管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。
(四)系统运行管理。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。
第二十一条 业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:
(一)授权与批准;
(二)系统配置控制;
(三)异常情况报告和差错报告;
(四)接口/转换控制;
(五)一致性核对;
(六)职责分离;
(七)系统访问权限;
(八)系统计算;
(九)其他。
第二十二条 信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:
(一)信息系统开发实施项目的专项审计;
(二)信息系统安全专项审计;
(三)信息技术投资专项审计;
(四)业务连续性计划的专项审计;
(五)外包条 件下的专项审计;
(六)法律、法规、行业规范要求的内部控制合规性专项审计;
(七)其他专项审计。
第六章 信息系统审计的方法
第二十三条 内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:
(一)询问相关控制人员;
(二)观察特定控制的运用;
(三)审阅文件和报告及计算机文档或者日志;
(四)根据信息系统的特性进行穿行测试,追踪交易在信息系统中的处理过程;
(五)验证系统控制和计算逻辑;
(六)登录信息系统进行系统查询;
(七)利用计算机辅助审计工具和技术;
(八)利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果;
(九)其他。
第二十四条 信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。
第二十五条 内部审计人员在对信息系统内部控制进行评估时,应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标,并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下,可以考虑适当降低审计频率。
第二十六条 内部审计人员在审计过程中应当在风险评估的基础上,依据信息系统内部控制评估的结果重新评估审计风险,并根据剩余风险设计进一步的审计程序。
第七章 附则
第二十七条 本准则由中国内部审计协会发布并负责解释。
第二十八条 本准则自2014年1月1日起施行。
第2204号内部审计具体准则——对舞弊行为进行检查和报告
第一章 总则
第一条 为了规范内部审计机构和内部审计人员在审计活动中对舞弊行为进行检查和报告,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称舞弊,是指组织内、外人员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个人带来不正当利益的行为。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 组织管理层对舞弊行为的发生承担责任。建立、健全并有效实施内部控制,预防、发现及纠正舞弊行为是组织管理层的责任。
第五条 内部审计机构和内部审计人员应当保持应有的职业谨慎,在实施的审计活动中关注可能发生的舞弊行为,并对舞弊行为进行检查和报告。
第六条 内部审计机构和内部审计人员在检查和报告舞弊行为时,应当从下列方面保持应有的职业谨慎:
(一)具有识别、检查舞弊的基本知识和技能,在实施审计项目时警惕相关方面可能存在的舞弊风险;
(二)根据被审计事项的重要性、复杂性以及审计成本效益,合理关注和检查可能存在的舞弊行为;
(三)运用适当的审计职业判断,确定审计范围和审计程序,以检查、发现和报告舞弊行为;
(四)发现舞弊迹象时,应当及时向适当管理层报告,提出进一步检查的建议。
第七条 由于内部审计并非专为检查舞弊而进行,即使审计人员以应有的职业谨慎执行了必要的审计程序,也不能保证发现所有的舞弊行为。
第八条 损害组织经济利益的舞弊,是指组织内、外人员为谋取自身利益,采用欺骗等违法违规手段使组织经济利益遭受损害的不正当行为。具体包括下列情形:
(一)收受贿赂或者回扣;
(二)将正常情况下可以使组织获利的交易事项转移给他人;
(三)贪污、挪用、盗窃组织资产;
(四)使组织为虚假的交易事项支付款项;
(五)故意隐瞒、错报交易事项;
(六)泄露组织的商业秘密;
(七)其他损害组织经济利益的舞弊行为。
第九条 谋取组织经济利益的舞弊,是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益,采用欺骗等违法违规手段,损害国家和其他组织或者个人利益的不正当行为。具体包括下列情形:
(一)支付贿赂或者回扣;
(二)出售不存在或者不真实的资产;
(三)故意错报交易事项、记录虚假的交易事项,使财务报表使用者误解而作出不适当的投融资决策;
(四)隐瞒或者删除应当对外披露的重要信息;
(五)从事违法违规的经营活动;
(六)偷逃税款;
(七)其他谋取组织经济利益的舞弊行为。
第十条 内部审计人员在检查和报告舞弊行为时,应当特别注意做好保密工作。
第三章 评估舞弊发生的可能性
第十一条 内部审计人员在审查和评价业务活动、内部控制和风险管理时,应当从以下方面对舞弊发生的可能性进行评估:
(一)组织目标的可行性;
(二)控制意识和态度的科学性;
(三)员工行为规范的合理性和有效性;
(四)业务活动授权审批制度的有效性;
(五)内部控制和风险管理机制的有效性;
(六)信息系统运行的有效性。
第十二条 内部审计人员除考虑内部控制的固有局限外,还应当考虑下列可能导致舞弊发生的情况:
(一)管理人员品质不佳;
(二)管理人员遭受异常压力;
(三)业务活动中存在异常交易事项;
(四)组织内部个人利益、局部利益和整体利益存在较大冲突。
第十三条 内部审计人员应当根据可能发生的舞弊行为的性质,向组织适当管理层报告,同时就需要实施的舞弊检查提出建议。
第四章 舞弊的检查
第十四条 舞弊的检查是指实施必要的检查程序,以确定舞弊迹象所显示的舞弊行为是否已经发生。
第十五条 内部审计人员进行舞弊检查时,应当根据下列要求进行:
(一)评估舞弊涉及的范围及复杂程度,避免向可能涉及舞弊的人员提供信息或者被其所提供的信息误导;
(二)设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因;
(三)在舞弊检查过程中,与组织适当管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通;
(四)保持应有的职业谨慎,以避免损害相关组织或者人员的合法权益。
第五章 舞弊的报告
第十六条 舞弊的报告是指内部审计人员以书面或者口头形式向组织适当管理层或者董事会报告舞弊检查情况及结果。
第十七条 在舞弊检查过程中,出现下列情况时,内部审计人员应当及时向组织适当管理层报告:
(一)可以合理确信舞弊已经发生,并需要深入调查;
(二)舞弊行为已经导致对外披露的财务报表严重失实;
(三)发现犯罪线索,并获得了应当移送司法机关处理的证据。
第十八条 内部审计人员完成必要的舞弊检查程序后,应当从舞弊行为的性质和金额两方面考虑其严重程度,并出具相应的审计报告。审计报告的内容主要包括舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施。
第六章 附则
第十九条 本准则由中国内部审计协会发布并负责解释。
第二十条 本准则自2014年1月1日起施行。
第2301号内部审计具体准则——内部审计机构的管理
第一章 总则
第一条 为了规范内部审计机构的管理工作,保证审计质量,提高审计效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称内部审计机构的管理,是指内部审计机构对内部审计人员和内部审计活动实施的计划、组织、领导、控制和协调工作。
第三条 本准则适用于各类组织的内部审计机构。
第二章 一般原则
第四条 内部审计机构的管理主要包括下列目的:
(一)实现内部审计目标;
(二)促使内部审计资源得到充分和有效的利用;
(三)提高内部审计质量,更好地履行内部审计职责;
(四)促使内部审计活动符合内部审计准则的要求。
第五条 内部审计机构应当接受组织董事会或者最高管理层的领导和监督,内部审计机构负责人应当对内部审计机构管理的适当性和有效性负主要责任。
第六条 内部审计机构应当制定内部审计章 程,对内部审计的目标、职责和权限进行规范,并报经董事会或者最高管理层批准。
内部审计章 程应当包括下列主要内容:
(一)内部审计目标;
(二)内部审计机构的职责和权限;
(三)内部审计范围;
(四)内部审计标准;
(五)其他需要明确的事项。
第七条 内部审计机构应当建立合理、有效的组织结构,多层级组织的内部审计机构可以实行集中管理或者分级管理。
实行集中管理的内部审计机构可以对下级组织实行内部审计派驻制或者委派制。
实行分级管理的内部审计机构应当通过适当的组织形式和方式对下级内部审计机构进行指导和监督。
第八条 内部审计机构管理的内容主要包括下列方面:
(一)审计计划;
(二)人力资源;
(三)财务预算;
(四)组织协调;
(五)审计质量;
(六)其他事项。
第九条 内部审计机构的管理可以分为部门管理和项目管理。部门管理主要包括内部审计机构运行过程中的一般性行政管理。项目管理主要包括内部审计机构对审计项目业务工作的管理与控制。
第三章 部门管理的内容和方法
第十条 内部审计机构应当根据组织的风险状况、管理需要及审计资源的配置情况,编制年度审计计划。
第十一条 内部审计机构应当根据内部审计目标和管理需要,加强人力资源管理,保证人力资源利用的充分性和有效性,主要包括下列内容:
(一)内部审计人员的聘用;
(二)内部审计人员的培训;
(三)内部审计人员的工作任务安排;
(四)内部审计人员专业胜任能力分析;
(五)内部审计人员的业绩考核与激励机制;
(六)其他有关事项。
第十二条 内部审计机构负责人应当根据年度审计计划和人力资源计划编制财务预算。编制财务预算时应当考虑下列因素:
(一)内部审计人员的数量;
(二)内部审计工作的安排;
(三)内部审计机构的行政管理活动;
(四)内部审计人员的教育及培训要求;
(五)内部审计工作的研究和发展;
(六)其他有关事项。
第十三条 内部审计机构应当根据组织的性质、规模和特点,编制内部审计工作手册,以指导内部审计人员的工作。内部审计工作手册主要包括下列内容:
(一)内部审计机构的目标、权限和职责的说明;
(二)内部审计机构的组织、管理及工作说明;
(三)内部审计机构的岗位设置及岗位职责说明;
(四)主要审计工作流程;
(五)内部审计质量控制制度、程序和方法;
(六)内部审计人员职业道德规范和奖惩措施;
(七)内部审计工作中应当注意的事项。
第十四条 内部审计机构和内部审计人员应当在组织董事会或者最高管理层的支持和监督下,做好与组织其他机构和外部审计的协调工作。
第十五条 内部审计机构应当接受组织董事会或者最高管理层的领导和监督,在日常工作中保持有效的沟通,向其定期提交工作报告,适时提交审计报告。
第十六条 内部审计机构应当制定内部审计质量控制制度,通过实施督导、分级复核、审计质量内部评估、接受审计质量外部评估等,保证审计质量。
第四章 项目管理的内容和方法
第十七条 内部审计机构应当根据年度审计计划确定的审计项目,编制项目审计方案并组织实施,在实施过程中做好审计项目管理与控制工作。
第十八条 在审计项目管理过程中,内部审计机构负责人与项目负责人应当充分履行职责,以确保审计质量,提高审计效率。
第十九条 内部审计机构负责人在项目管理中应当履行下列职责:
(一)选派审计项目负责人并对其进行有效的授权;
(二)审定项目审计方案;
(三)督导审计项目的实施;
(四)协调、沟通审计过程中发现的重大问题;
(五)审定审计报告;
(六)督促被审计单位对审计发现问题的整改;
(七)其他有关事项。
第二十条 审计项目负责人应当履行的职责包括下列方面:
(一)编制项目审计方案;
(二)组织审计项目的实施;
(三)对项目审计工作进行现场督导;
(四)向内部审计机构负责人及时汇报审计进展及重大审计发现;
(五)组织编制审计报告;
(六)组织实施后续审计;
(七)其他有关事项。
第二十一条 内部审计机构可以采取下列辅助管理工具,完善和改进项目管理工作,保证审计项目管理与控制的有效性:
(一)审计工作授权表;
(二)审计任务清单;
(三)审计工作底稿检查表;
(四)审计文书跟踪表;
(五)其他辅助管理工具。
第二十二条 内部审计机构应当建立审计项目档案管理制度,加强审计工作底稿的归档、保管、查询、复制、移交和销毁等环节的管理工作,妥善保存审计档案。
第五章 附则
第二十三条 本准则由中国内部审计协会发布并负责解释。
第二十四条 本准则自2014年1月1日起施行。
第2302号内部审计具体准则——与董事会或者最高管理层的关系
第一章 总则
第一条 为了明确和协调内部审计机构与董事会或者最高管理层的关系,保证内部审计的独立性,增强内部审计工作的有效性,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称与董事会或者最高管理层的关系,是指内部审计机构因其隶属于董事会或者最高管理层所形成的接受其领导并向其报告的组织关系。
第三条 本准则适用于各类组织的内部审计机构。
第二章 一般原则
第四条 内部审计机构应当接受董事会或者最高管理层的领导,保持与董事会或最高管理层的良好关系,实现董事会、最高管理层与内部审计在组织治理中的协同作用。
第五条 对内部审计机构有管理权限的董事会或者类似的机构包括:
(一)董事会;
(二)董事会下属的审计委员会;
(三)非盈利组织的理事会。
第六条 对内部审计机构有管理权限的最高管理层包括:
(一)总经理;
(二)与总经理级别相当的人员。
第七条 内部审计机构与董事会或者最高管理层的关系主要包括:
(一)接受董事会或者最高管理层的领导;
(二)向董事会或者最高管理层报告工作。
第八条 内部审计机构负责人应当积极寻求董事会或者最高管理层对内部审计工作的理解与支持。
第九条 在设立监事会的组织中,内部审计机构应当在授权范围内配合监事会的工作。
第三章 接受董事会或者最高管理层的领导
第十条 内部审计机构接受董事会或者最高管理层领导的方式主要包括:
(一)报请董事会或者最高管理层批准审计工作事项;
(二)接受并完成董事会或者最高管理层的业务委派。
第十一条 内部审计机构应当向董事会或者最高管理层报请批准的事项主要包括:
(一)内部审计章 程;
(二)年度审计计划;
(三)人力资源计划;
(四)财务预算;
(五)内部审计政策的制定及变动。
第十二条 内部审计机构除实施常规审计业务外,还可以接受董事会或者最高管理层委派的下列事项:
(一)进行舞弊检查;
(二)实施专项审计;
(三)开展经济责任审计;
(四)评价社会审计组织的工作质量;
(五)其他。
第四章 向董事会或者最高管理层报告
第十三条 内部审计机构应当与董事会或者最高管理层保持有效的沟通,除向董事会或者最高管理层提交审计报告之外,还应当定期提交工作报告,一般每年至少一次。
第十四条 内部审计机构的工作报告应当概括、清晰地说明内部审计工作的开展以及内部审计资源的使用情况,主要包括下列内容:
(一)年度审计计划的执行情况;
(二)审计项目涉及范围及审计意见的总括说明;
(三)对组织业务活动、内部控制和风险管理的总体评价;
(四)审计中发现的差异和缺陷的汇总及其原因分析;
(五)审计发现的重要问题和建议;
(六)财务预算的执行情况;
(七)人力资源计划的执行情况;
(八)内部审计工作的效率和效果;
(九)董事会或者最高管理层要求或关注的其他内容。
第十五条 内部审计机构提交工作报告时,还应当对年度审计计划、财务预算和人力资源计划执行中出现的重大偏差及原因做出说明,并提出改进措施。
第十六条 内部审计机构应当及时向董事会或者最高管理层提交审计报告,审计报告应当清晰反映审计发现的重要问题、审计结论、意见和建议。
第十七条 日常工作中,内部审计机构还应当与董事会或者最高管理层就下列事项进行交流:
(一)董事会或者最高管理层关注的领域;
(二)内部审计活动满足董事会或者最高管理层信息需求的程度;
(三)内部审计的新趋势和最佳实务;
(四)内部审计与外部审计之间的协调。
第五章 附则
第十八条 本准则由中国内部审计协会发布并负责解释。
第十九条 本准则自2014年1月1日起施行。
第2303号内部审计具体准则——内部审计与外部审计的协调
第一章 总则
第一条 为了规范内部审计与外部审计的协调工作,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称内部审计与外部审计的协调,是指内部审计机构与社会审计组织、国家审计机关在审计工作中的沟通与合作。
第三条 本准则适用于各类组织的内部审计机构。
第二章 一般原则
第四条 内部审计应当做好与外部审计的协调工作,以实现下列目的:
(一)保证充分、适当的审计范围;
(二)减少重复审计,提高审计效率;
(三)共享审计成果,降低审计成本;
(四)持续改进内部审计机构工作。
第五条 内部审计与外部审计的协调工作,应当在组织董事会或者最高管理层的支持和监督下,由内部审计机构负责人具体组织实施。
第六条 内部审计机构负责人应当定期对内外部审计的协调工作进行评估,并根据评估结果及时调整、改进内外部审计协调工作。
第七条 内部审计机构应当在外部审计对本组织开展审计时做好协调工作。
第三章 协调的方法和内容
第八条 内部审计与外部审计之间的协调,可以通过定期会议、不定期会面或者其他沟通方式进行。
第九条 内部审计与外部审计的协调工作包括下列方面:
(一)与外部审计机构和人员的沟通;
(二)配合外部审计工作;
(三)评价外部审计工作质量;
(四)利用外部审计工作成果。
第十条 内部审计与外部审计应当在审计范围上进行协调。在编制年度审计计划和项目审计方案时,应当考虑双方的工作,以确保充分、适当的审计范围,最大限度减少重复性工作。
第十一条 在条 件允许的情况下,内部审计与外部审计应当在必要的范围内互相交流相关审计工作底稿,以便利用对方的工作成果。
第十二条 内部审计与外部审计应当相互参阅审计报告。
第十三条 内部审计与外部审计应当在具体审计程序和方法上相互沟通,达成共识,以促进双方的合作。
第四章 附则
第十四条 本准则由中国内部审计协会发布并负责解释。
第十五条 本准则自2014年1月1日起施行。
第2304号内部审计具体准则——利用外部专家服务
第一章 总则
第一条 为了规范内部审计机构利用外部专家服务的行为,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称利用外部专家服务,是指内部审计机构聘请在某一领域中具有专门技能、知识和经验的人员或者单位提供专业服务,并在审计活动中利用其工作结果的行为。
第三条 本准则适用于各类组织的内部审计机构。
第二章 一般原则
第四条 内部审计机构可以根据实际需要利用外部专家服务。利用外部专家服务是为了获取相关、可靠和充分的审计证据,保证审计工作的质量。
第五条 外部专家应当对其所选用的假设、方法及其工作结果负责。
第六条 内部审计机构应当对利用外部专家服务结果所形成的审计结论负责。
第七条 内部审计机构和内部审计人员可以在下列方面利用外部专家服务:
(一)特定资产的评估;
(二)工程项目的评估;
(三)产品或者服务质量问题;
(四)信息技术问题;
(五)衍生金融工具问题;
(六)舞弊及安全问题;
(七)法律问题;
(八)风险管理问题;
(九)其他。
第八条 外部专家可以由内部审计机构从组织外部聘请,也可以在组织内部指派。
第三章 对外部专家的聘请
第九条 内部审计机构聘请外部专家时,应当对外部专家的独立性、客观性进行评价,评价时应当考虑下列影响因素:
(一)外部专家与被审计单位之间是否存在重大利益关系;
(二)外部专家与被审计单位董事会、最高管理层是否存在密切的私人关系;
(三)外部专家与审计事项之间是否存在专业相关性;
(四)外部专家是否正在或者即将为组织提供其他服务;
(五)其他可能影响独立性、客观性的因素。
第十条 在聘请外部专家时,内部审计机构应当对外部专家的专业胜任能力进行评价,考虑其专业资格、专业经验与声望等。
第十一条 在利用外部专家服务前,内部审计机构应当与外部专家签订书面协议。书面协议主要包括下列内容:
(一)外部专家服务的目的、范围及相关责任;
(二)外部专家服务结果的预定用途;
(三)在审计报告中可能提及外部专家的情形;
(四)外部专家利用相关资料的范围;
(五)报酬及其支付方式;
(六)对保密性的要求;
(七)违约责任。
第四章 对外部专家服务结果的评价和利用
第十二条 内部审计机构在利用外部专家服务结果作为审计证据时,应当评价其相关性、可靠性和充分性。
第十三条 内部审计机构在评价外部专家服务结果时,应当考虑下列影响因素:
(一)外部专家选用的假设和方法的适当性;
(二)外部专家所用资料的相关性、可靠性和充分性。
第十四条 在利用外部专家服务时,如果有必要,应当在审计报告中提及。
第十五条 内部审计机构对外部专家服务评价后,如果认为其服务的结果无法形成相关、可靠和充分的审计证据,应当通过实施其他替代审计程序补充获取相应的审计证据。
第五章 附则
第十六条 本准则由中国内部审计协会发布并负责解释。
第十七条 本准则自2014年1月1日起施行。
第2305号内部审计具体准则——人际关系
第一章 总则
第一条 为了规范内部审计人员与组织内、外相关机构和人员建立和保持良好的人际关系,保证内部审计工作顺利而有效地进行,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称人际关系,是指内部审计人员与组织内外相关机构和人员之间的相互交往与联系。
第三条 本准则适用于各类组织的内部审计机构中的内部审计人员。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计人员在从事内部审计活动中,需要与下列机构和人员建立人际关系:
(一)组织适当管理层和相关人员;
(二)被审计单位和相关人员;
(三)组织内部各职能部门和相关人员;
(四)组织外部相关机构和人员;
(五)内部审计机构中的其他成员。
第五条 内部审计人员应当与组织内外相关机构和人员进行必要的沟通,保持良好的人际关系,以实现下列目的:
(一)在内部审计工作中与相关机构和人员建立相互信任的关系,促进彼此的交流与沟通;
(二)在内部审计工作中取得相关机构和人员的理解和配合,及时获得相关、可靠和充分的信息,提高内部审计效率;
(三)保证内部审计意见得到有效落实,实现内部审计目标。
第六条 内部审计人员应当具备建立良好人际关系的意识和能力。
第七条 内部审计人员在人际关系的处理中应当注意保持独立性和客观性。
第八条 内部审计人员应当在遵循有关法律、法规的情况下灵活、妥善地处理人际关系。
第九条 内部审计机构负责人应当定期对内部审计人员的人际关系进行评价,并根据评价结果及时采取措施改进人际关系。
第三章 处理人际关系的方式和方法
第十条 内部审计人员在处理人际关系时,应当主动、及时、有效地进行沟通,以保证信息的快捷传递和充分交流。
第十一条 内部审计人员处理人际关系时采用的沟通类型包括:
(一)人员沟通,即内部审计人员与相关人员之间的沟通。
(二)组织沟通,即内部审计机构在特定组织环境下的沟通,主要包括与上下级部门之间的信息交流,与组织内各平行部门之间的信息交流,信息在非平行、非隶属部门之间的交流。
第十二条 内部审计人员处理人际关系时采用的主要沟通方式有口头沟通和书面沟通两种。
口头沟通,即内部审计人员利用口头语言进行信息交流。书面沟通,即内部审计人员利用书面语言进行信息交流。
第十三条 内部审计人员人际关系冲突的原因主要包括:
(一)缺乏必要、及时的信息沟通;
(二)对同一事物的认识存在分歧,导致不同的评价;
(三)各自的价值观、利益观不一致;
(四)职业道德信念的差异。
第十四条 内部审计人员应当及时、妥善地化解人际冲突,可以采取的方法主要包括:
(一)暂时回避,寻找适当的时机再进行协调;
(二)说服、劝导;
(三)适当的妥协;
(四)互相协作;
(五)向适当管理层报告,寻求协调;
(六)其他。
第十五条 内部审计人员应当积极、主动地与对内部审计工作负有领导责任的组织适当管理层进行沟通,可以采取的沟通途径主要包括:
(一)与组织适当管理层就审计计划进行沟通,以达成共识;
(二)咨询组织适当管理层,了解内部控制环境;
(三)根据审计发现的问题和作出的审计结论,及时向组织适当管理层提出审计意见和建议;
(四)出具书面审计报告之前,利用各种沟通方式征求组织适当管理层对审计结论、意见和建议的意见。
第十六条 内部审计人员应当与被审计单位建立并保持良好的人际关系,可以采取下列沟通途径获得被审计单位的理解、配合和支持:
(一)在了解被审计单位基本情况时,应当进行及时、有效的沟通和协调;
(二)通过询问、会谈、会议、问卷调查等沟通方式,了解被审计单位业务活动、内部控制和风险管理的情况;
(三)通过口头方式或者其他非正式方式,与被审计单位交流审计中发现的问题;
(四)在审计报告提交之前,以书面方式与被审计单位进行结果沟通。
第十七条 内部审计人员应当与组织内其他职能部门建立并保持良好的人际关系,确保在下列方面得到支持与配合:
(一)了解组织及相关职能部门的情况;
(二)寻求审计中发现问题的解决方法;
(三)落实审计结论、意见和建议;
(四)有效利用审计成果;
(五)其他。
第十八条 内部审计人员应当与组织外部相关机构和人员之间建立并保持良好的人际关系,以获得更多的认同、支持及协助。
第十九条 内部审计人员应当重视内部审计机构成员间的人际关系,相互协作,相互包容。
第四章 附则
第二十条 本准则由中国内部审计协会发布并负责解释。
第二十一条 本准则自2014年1月1日起施行。
第2306号内部审计具体准则——内部审计质量控制
第一章 总则
第一条 为了规范内部审计质量控制工作,保证内部审计质量,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称内部审计质量控制,是指内部审计机构为保证其审计质量符合内部审计准则的要求而制定和执行的制度、程序和方法。
第三条 本准则适用于各类组织的内部审计机构和内部审计人员。
第二章 一般原则
第四条 内部审计机构负责人对制定并实施系统、有效的质量控制制度与程序负主要责任。
第五条 内部审计质量控制主要包括下列目标:
(一)保证内部审计活动遵循内部审计准则和本组织内部审计工作手册的要求;
(二)保证内部审计活动的效率和效果达到既定要求;
(三)保证内部审计活动能够增加组织的价值,促进组织实现目标。
第六条 内部审计质量控制分为内部审计机构质量控制和内部审计项目质量控制。
第七条 内部审计机构负责人和审计项目负责人通过督导、分级复核、质量评估等方式对内部审计质量进行控制。
第三章 内部审计机构质量控制
第八条 内部审计机构负责人对内部审计机构质量负责。
第九条 内部审计机构质量控制需要考虑下列因素:
(一)内部审计机构的组织形式及授权状况;
(二)内部审计人员的素质与专业结构;
(三)内部审计业务的范围与特点;
(四)成本效益原则的要求;
(五)其他。
第十条 内部审计机构质量控制主要包括下列措施:
(一)确保内部审计人员遵守职业道德规范;
(二)保持并不断提升内部审计人员的专业胜任能力;
(三)依据内部审计准则制定内部审计工作手册;
(四)编制年度审计计划及项目审计方案;
(五)合理配置内部审计资源;
(六)建立审计项目督导和复核机制;
(七)开展审计质量评估;
(八)评估审计报告的使用效果;
(九)对审计质量进行考核与评价。
第四章 内部审计项目质量控制
第十一条 内部审计项目负责人对审计项目质量负责。
第十二条 内部审计项目质量控制应当考虑下列因素:
(一)审计项目的性质及复杂程度;
(二)参与项目审计的内部审计人员的专业胜任能力;
(三)其他。
第十三条 内部审计项目质量控制主要包括下列措施:
(一)指导内部审计人员执行项目审计方案;
(二)监督审计实施过程;
(三)检查已实施的审计工作。
第十四条 内部审计项目负责人在指导内部审计人员开展项目审计时,应当告知项目组成员下列事项:
(一)项目组成员各自的责任;
(二)被审计项目或者业务的性质;
(三)与风险相关的事项;
(四)可能出现的问题;
(五)其他。
第十五条 内部审计项目负责人监督内部审计实施过程时,应当履行下列职责:
(一)追踪业务的过程;
(二)解决审计过程中出现的重大问题,根据需要修改原项目审计方案;
(三)识别在审计过程中需要咨询的事项;
(四)其他。
第十六条 内部审计项目负责人在检查已实施的审计工作时,应当关注下列内容:
(一)审计工作是否已按照审计准则和职业道德规范的规定执行;
(二)审计证据是否相关、可靠和充分;
(三)审计工作是否实现了审计目标。
第五章 附则
第十七条 本准则由中国内部审计协会发布并负责解释。
第十八条 本准则自2014年1月1日起施行。
第2307号内部审计具体准则——评价外部审计工作质量
第一章 总则
第一条 为规范内部审计机构对外部审计工作质量的评价工作,有效利用外部审计成果,提高内部审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称评价外部审计工作质量,是指由内部审计机构对外部审计工作过程及结果的质量所进行的评价活动。
第三条 本准则适用于各类组织的内部审计机构。
第二章 一般原则
第四条 内部审计机构应当根据适当的标准对外部审计工作质量进行客观评价,合理利用外部审计成果。
第五条 评价外部审计工作质量,可以按照评价准备、评价实施和评价报告三个阶段进行。
第六条 内部审计机构应当挑选具有足够专业胜任能力的人员对外部审计工作质量进行评价。
第三章 评价准备
第七条 在评价外部审计工作质量之前,内部审计机构应当考虑下列因素:
(一)评价活动的必要性;
(二)评价活动的可行性;
(三)评价活动预期结果的有效性。
第八条 在决定对外部审计工作质量进行评价后,内部审计机构应当编制适当的评价方案。评价方案应当包括下列主要内容:
(一)评价目的;
(二)评价的主要内容与步骤;
(三)评价的依据;
(四)评价工作的主要方法;
(五)评价工作的时间安排;
(六)评价人员的分工。
第九条 内部审计机构应当取得反映外部审计工作质量的审计报告及其他相关资料。
第十条 内部审计机构应当详细了解外部审计所采用的审计依据、实施的审计过程及其在审计过程中与组织之间进行协调的情况。
第十一条 如有必要,内部审计机构可以与外部审计机构就评价事项进行适当的沟通。
第四章 评价实施
第十二条 内部审计机构在评价外部审计工作质量时,应当重点关注下列内容:
(一)外部审计机构和人员的独立性与客观性;
(二)外部审计人员的专业胜任能力;
(三)外部审计人员的职业谨慎性;
(四)外部审计机构的信誉;
(五)外部审计所采用审计程序及方法的适当性;
(六)外部审计所采用审计依据的有效性;
(七)外部审计所获取审计证据的相关性、可靠性和充分性。
第十三条 内部审计机构在评价外部审计工作质量时,应当充分考虑其与内部审计活动的差异。
第十四条 内部审计机构在评价外部审计工作质量时,可以采用审核、观察、询问等常用方法,以及与有关方面进行沟通、协调的方法。
第十五条 内部审计机构应当将评价工作过程及结果记录于审计工作底稿中。
第五章 评价报告
第十六条 内部审计机构做出外部审计工作质量评价结论之前,应当征求组织内部有关部门和人员的意见。必要时,内部审计人员也可以就评价结论与被评价的外部审计机构进行沟通。
第十七条 内部审计机构完成外部审计工作质量评价之后,应当编制评价报告。评价报告一般包括下列要素:
(一)评价报告的名称;
(二)被评价外部审计机构的名称;
(三)评价目的;
(四)评价的主要内容及方法;
(五)评价结果;
(六)评价报告编制人员及编制时间。
第六章 附则
第十八条 本准则由中国内部审计协会发布并负责解释。
第十九条 本准则自2014年1月1日起施行。