第2203号内部审计具体准则——信息系统审计
第一章总则
第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则
第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:
(一)保证组织的信息技术战略充分反映组织的战略目标;
(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;
(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划
第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
第十条编制信息系统审计方案时,除遵循相关内部审计具体准则的规定,还应当考虑下列因素:
(一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标;
(二)信息技术管理的组织架构;
(三)信息系统框架和信息系统的长期发展规划及近期发展计划;
(四)信息系统及其支持的业务流程的变更情况;
(五)信息系统的复杂程度;
(六)以前年度信息系统内、外部审计所发现的问题及后续审计情况;
(七)其他影响信息系统审计的因素。
第十一条当信息系统审计作为综合性内部审计项目的一部分时,内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。
第四章信息技术风险评估
第十二条内部审计人员进行信息系统审计时,应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析和评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。
第十三条信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险,包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。
第十四条内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时,需要关注下列内容:
(一)业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度;
(二)信息资产的重要性;
(三)对信息技术的依赖程度;
(四)对信息技术部门人员的依赖程度;
(五)对外部信息技术服务的依赖程度;
(六)信息系统及其运行环境的安全性、可靠性;
(七)信息技术变更;
(八)法律规范环境;
(九)其他。
第十五条业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,内部审计人员应当了解业务流程,并关注下列信息技术风险:
(一)数据输入;
(二)数据处理;
(三)数据输出。
第十六条内部审计人员应当充分考虑风险评估的结果,以合理确定信息系统审计的内容及范围,并对组织的信息技术内部控制设计合理性和运行有效性进行测试。
第五章信息系统审计的内容
第十七条信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。
第十八条信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式,内部审计人员应当根据不同的控制形式采取恰当的审计程序。
第十九条组织层面信息技术控制,是指董事会或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。内部审计人员应当考虑下列控制要素中与信息技术相关的内容:
(一)控制环境。内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。
(二)风险评估。内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。
(三)信息与沟通。内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。
(四)内部监督。内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。
第二十条信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应当考虑下列控制活动:
(一)信息安全管理。内部审计人员应当关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。
(二)系统变更管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。
(三)系统开发和采购管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。
(四)系统运行管理。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。
第二十一条业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:
(一)授权与批准;
(二)系统配置控制;
(三)异常情况报告和差错报告;
(四)接口/转换控制;
(五)一致性核对;
(六)职责分离;
(七)系统访问权限;
(八)系统计算;
(九)其他。
第二十二条信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:
(一)信息系统开发实施项目的专项审计;
(二)信息系统安全专项审计;
(三)信息技术投资专项审计;
(四)业务连续性计划的专项审计;
(五)外包条件下的专项审计;
(六)法律、法规、行业规范要求的内部控制合规性专项审计;
(七)其他专项审计。
第六章信息系统审计的方法
第二十三条内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:
(一)询问相关控制人员;
(二)观察特定控制的运用;
(三)审阅文件和报告及计算机文档或者日志;
(四)根据信息系统的特性进行穿行测试,追踪交易在信息系统中的处理过程;
(五)验证系统控制和计算逻辑;
(六)登录信息系统进行系统查询;
(七)利用计算机辅助审计工具和技术;
(八)利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果;
(九)其他。
第二十四条信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。
第二十五条内部审计人员在对信息系统内部控制进行评估时,应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标,并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下,可以考虑适当降低审计频率。
第二十六条内部审计人员在审计过程中应当在风险评估的基础上,依据信息系统内部控制评估的结果重新评估审计风险,并根据剩余风险设计进一步的审计程序。
第七章附则
第二十七条本准则由中国内部审计协会发布并负责解释。
第二十八条本准则自2014年1月1日起施行。
第2204号内部审计具体准则——对舞弊行为进行检查和报告
第一章总则
第一条为了规范内部审计机构和内部审计人员在审计活动中对舞弊行为进行检查和报告,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条本准则所称舞弊,是指组织内、外人员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个人带来不正当利益的行为。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则
第四条组织管理层对舞弊行为的发生承担责任。建立、健全并有效实施内部控制,预防、发现及纠正舞弊行为是组织管理层的责任。
第五条内部审计机构和内部审计人员应当保持应有的职业谨慎,在实施的审计活动中关注可能发生的舞弊行为,并对舞弊行为进行检查和报告。
第六条内部审计机构和内部审计人员在检查和报告舞弊行为时,应当从下列方面保持应有的职业谨慎:
(一)具有识别、检查舞弊的基本知识和技能,在实施审计项目时警惕相关方面可能存在的舞弊风险;
(二)根据被审计事项的重要性、复杂性以及审计成本效益,合理关注和检查可能存在的舞弊行为;
(三)运用适当的审计职业判断,确定审计范围和审计程序,以检查、发现和报告舞弊行为;
(四)发现舞弊迹象时,应当及时向适当管理层报告,提出进一步检查的建议。
第七条由于内部审计并非专为检查舞弊而进行,即使审计人员以应有的职业谨慎执行了必要的审计程序,也不能保证发现所有的舞弊行为。
第八条损害组织经济利益的舞弊,是指组织内、外人员为谋取自身利益,采用欺骗等违法违规手段使组织经济利益遭受损害的不正当行为。具体包括下列情形:
(一)收受贿赂或者回扣;
(二)将正常情况下可以使组织获利的交易事项转移给他人;
(三)贪污、挪用、盗窃组织资产;
(四)使组织为虚假的交易事项支付款项;
(五)故意隐瞒、错报交易事项;
(六)泄露组织的商业秘密;
(七)其他损害组织经济利益的舞弊行为。
第九条谋取组织经济利益的舞弊,是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益,采用欺骗等违法违规手段,损害国家和其他组织或者个人利益的不正当行为。具体包括下列情形:
(一)支付贿赂或者回扣;
(二)出售不存在或者不真实的资产;
(三)故意错报交易事项、记录虚假的交易事项,使财务报表使用者误解而作出不适当的投融资决策;
(四)隐瞒或者删除应当对外披露的重要信息;
(五)从事违法违规的经营活动;
(六)偷逃税款;
(七)其他谋取组织经济利益的舞弊行为。
第十条内部审计人员在检查和报告舞弊行为时,应当特别注意做好保密工作。
第三章评估舞弊发生的可能性
第十一条内部审计人员在审查和评价业务活动、内部控制和风险管理时,应当从以下方面对舞弊发生的可能性进行评估:
(一)组织目标的可行性;
(二)控制意识和态度的科学性;
(三)员工行为规范的合理性和有效性;
(四)业务活动授权审批制度的有效性;
(五)内部控制和风险管理机制的有效性;
(六)信息系统运行的有效性。
第十二条内部审计人员除考虑内部控制的固有局限外,还应当考虑下列可能导致舞弊发生的情况:
(一)管理人员品质不佳;
(二)管理人员遭受异常压力;
(三)业务活动中存在异常交易事项;
(四)组织内部个人利益、局部利益和整体利益存在较大冲 突。
第十三条内部审计人员应当根据可能发生的舞弊行为的性质,向组织适当管理层报告,同时就需要实施的舞弊检查提出建议。
第四章舞弊的检查
第十四条舞弊的检查是指实施必要的检查程序,以确定舞弊迹象所显示的舞弊行为是否已经发生。
第十五条内部审计人员进行舞弊检查时,应当根据下列要求进行:
(一)评估舞弊涉及的范围及复杂程度,避免向可能涉及舞弊的人员提供信息或者被其所提供的信息误导;
(二)设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因;
(三)在舞弊检查过程中,与组织适当管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通;
(四)保持应有的职业谨慎,以避免损害相关组织或者人员的合法权益。
第五章舞弊的报告
第十六条舞弊的报告是指内部审计人员以书面或者口头形式向组织适当管理层或者董事会报告舞弊检查情况及结果。
第十七条在舞弊检查过程中,出现下列情况时,内部审计人员应当及时向组织适当管理层报告:
(一)可以合理确信舞弊已经发生,并需要深入调查;
(二)舞弊行为已经导致对外披露的财务报表严重失实;
(三)发现犯罪线索,并获得了应当移送司法机关处理的证据。
第十八条内部审计人员完成必要的舞弊检查程序后,应当从舞弊行为的性质和金额两方面考虑其严重程度,并出具相应的审计报告。审计报告的内容主要包括舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施。
第六章附则
第十九条本准则由中国内部审计协会发布并负责解释。
第二十条本准则自2014年1月1日起施行。
第2301号内部审计具体准则——内部审计机构的管理
第一章总则
第一条为了规范内部审计机构的管理工作,保证审计质量,提高审计效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称内部审计机构的管理,是指内部审计机构对内部审计人员和内部审计活动实施的计划、组织、领导、控制和协调工作。
第三条本准则适用于各类组织的内部审计机构。
第二章一般原则
第四条内部审计机构的管理主要包括下列目的:
(一)实现内部审计目标;
(二)促使内部审计资源得到充分和有效的利用;
(三)提高内部审计质量,更好地履行内部审计职责;
(四)促使内部审计活动符合内部审计准则的要求。
第五条内部审计机构应当接受组织董事会或者最高管理层的领导和监督,内部审计机构负责人应当对内部审计机构管理的适当性和有效性负主要责任。
第六条内部审计机构应当制定内部审计章程,对内部审计的目标、职责和权限进行规范,并报经董事会或者最高管理层批准。
内部审计章程应当包括下列主要内容:
(一)内部审计目标;
(二)内部审计机构的职责和权限;
(三)内部审计范围;
(四)内部审计标准;
(五)其他需要明确的事项。
第七条内部审计机构应当建立合理、有效的组织结构,多层级组织的内部审计机构可以实行集中管理或者分级管理。
实行集中管理的内部审计机构可以对下级组织实行内部审计派驻制或者委派制。
实行分级管理的内部审计机构应当通过适当的组织形式和方式对下级内部审计机构进行指导和监督。
第八条内部审计机构管理的内容主要包括下列方面:
(一)审计计划;
(二)人力资源;
(三)财务预算;
(四)组织协调;
(五)审计质量;
(六)其他事项。
第九条内部审计机构的管理可以分为部门管理和项目管理。部门管理主要包括内部审计机构运行过程中的一般性行政管理。项目管理主要包括内部审计机构对审计项目业务工作的管理与控制。
第三章部门管理的内容和方法
第十条内部审计机构应当根据组织的风险状况、管理需要及审计资源的配置情况,编制年度审计计划。
第十一条内部审计机构应当根据内部审计目标和管理需要,加强人力资源管理,保证人力资源利用的充分性和有效性,主要包括下列内容:
(一)内部审计人员的聘用;
(二)内部审计人员的培训;
(三)内部审计人员的工作任务安排;
(四)内部审计人员专业胜任能力分析;
(五)内部审计人员的业绩考核与激励机制;
(六)其他有关事项。
第十二条内部审计机构负责人应当根据年度审计计划和人力资源计划编制财务预算。编制财务预算时应当考虑下列因素:
(一)内部审计人员的数量;
(二)内部审计工作的安排;
(三)内部审计机构的行政管理活动;
(四)内部审计人员的教育及培训要求;
(五)内部审计工作的研究和发展;
(六)其他有关事项。
第十三条内部审计机构应当根据组织的性质、规模和特点,编制内部审计工作手册,以指导内部审计人员的工作。内部审计工作手册主要包括下列内容:
(一)内部审计机构的目标、权限和职责的说明;
(二)内部审计机构的组织、管理及工作说明;
(三)内部审计机构的岗位设置及岗位职责说明;
(四)主要审计工作流程;
(五)内部审计质量控制制度、程序和方法;
(六)内部审计人员职业道德规范和奖惩措施;
(七)内部审计工作中应当注意的事项。
第十四条内部审计机构和内部审计人员应当在组织董事会或者最高管理层的支持和监督下,做好与组织其他机构和外部审计的协调工作。
第十五条内部审计机构应当接受组织董事会或者最高管理层的领导和监督,在日常工作中保持有效的沟通,向其定期提交工作报告,适时提交审计报告。
第十六条内部审计机构应当制定内部审计质量控制制度,通过实施督导、分级复核、审计质量内部评估、接受审计质量外部评估等,保证审计质量。
第四章项目管理的内容和方法
第十七条内部审计机构应当根据年度审计计划确定的审计项目,编制项目审计方案并组织实施,在实施过程中做好审计项目管理与控制工作。
第十八条在审计项目管理过程中,内部审计机构负责人与项目负责人应当充分履行职责,以确保审计质量,提高审计效率。
第十九条内部审计机构负责人在项目管理中应当履行下列职责:
(一)选派审计项目负责人并对其进行有效的授权;
(二)审定项目审计方案;
(三)督导审计项目的实施;
(四)协调、沟通审计过程中发现的重大问题;
(五)审定审计报告;
(六)督促被审计单位对审计发现问题的整改;
(七)其他有关事项。
第二十条审计项目负责人应当履行的职责包括下列方面:
(一)编制项目审计方案;
(二)组织审计项目的实施;
(三)对项目审计工作进行现场督导;
(四)向内部审计机构负责人及时汇报审计进展及重大审计发现;
(五)组织编制审计报告;
(六)组织实施后续审计;
(七)其他有关事项。
第二十一条内部审计机构可以采取下列辅助管理工具,完善和改进项目管理工作,保证审计项目管理与控制的有效性:
(一)审计工作授权表;
(二)审计任务清单;
(三)审计工作底稿检查表;
(四)审计文书跟踪表;
(五)其他辅助管理工具。
第二十二条内部审计机构应当建立审计项目档案管理制度,加强审计工作底稿的归档、保管、查询、复制、移交和销毁等环节的管理工作,妥善保存审计档案。
第五章附则
第二十三条本准则由中国内部审计协会发布并负责解释。
第二十四条本准则自2014年1月1日起施行。
第2302号内部审计具体准则——与董事会或者最高管理层的关系
第一章总则
第一条为了明确和协调内部审计机构与董事会或者最高管理层的关系,保证内部审计的独立性,增强内部审计工作的有效性,根据《内部审计基本准则》,制定本准则。
第二条本准则所称与董事会或者最高管理层的关系,是指内部审计机构因其隶属于董事会或者最高管理层所形成的接受其领导并向其报告的组织关系。
第三条本准则适用于各类组织的内部审计机构。
第二章一般原则
第四条内部审计机构应当接受董事会或者最高管理层的领导,保持与董事会或最高管理层的良好关系,实现董事会、最高管理层与内部审计在组织治理中的协同作用。
第五条对内部审计机构有管理权限的董事会或者类似的机构包括:
(一)董事会;
(二)董事会下属的审计委员会;
(三)非盈利组织的理事会。
第六条对内部审计机构有管理权限的最高管理层包括:
(一)总经理;
(二)与总经理级别相当的人员。
第七条内部审计机构与董事会或者最高管理层的关系主要包括:
(一)接受董事会或者最高管理层的领导;
(二)向董事会或者最高管理层报告工作。
第八条内部审计机构负责人应当积极寻求董事会或者最高管理层对内部审计工作的理解与支持。
第九条在设立监事会的组织中,内部审计机构应当在授权范围内配合监事会的工作。
第三章接受董事会或者最高管理层的领导
第十条内部审计机构接受董事会或者最高管理层领导的方式主要包括:
(一)报请董事会或者最高管理层批准审计工作事项;
(二)接受并完成董事会或者最高管理层的业务委派。
第十一条内部审计机构应当向董事会或者最高管理层报请批准的事项主要包括:
(一)内部审计章程;
(二)年度审计计划;
(三)人力资源计划;
(四)财务预算;
(五)内部审计政策的制定及变动。
第十二条内部审计机构除实施常规审计业务外,还可以接受董事会或者最高管理层委派的下列事项:
(一)进行舞弊检查;
(二)实施专项审计;
(三)开展经济责任审计;
(四)评价社会审计组织的工作质量;
(五)其他。
第四章向董事会或者最高管理层报告
第十三条内部审计机构应当与董事会或者最高管理层保持有效的沟通,除向董事会或者最高管理层提交审计报告之外,还应当定期提交工作报告,一般每年至少一次。
第十四条内部审计机构的工作报告应当概括、清晰地说明内部审计工作的开展以及内部审计资源的使用情况,主要包括下列内容:
(一)年度审计计划的执行情况;
(二)审计项目涉及范围及审计意见的总括说明;
(三)对组织业务活动、内部控制和风险管理的总体评价;
(四)审计中发现的差异和缺陷的汇总及其原因分析;
(五)审计发现的重要问题和建议;
(六)财务预算的执行情况;
(七)人力资源计划的执行情况;
(八)内部审计工作的效率和效果;
(九)董事会或者最高管理层要求或关注的其他内容。
第十五条内部审计机构提交工作报告时,还应当对年度审计计划、财务预算和人力资源计划执行中出现的重大偏差及原因做出说明,并提出改进措施。
第十六条内部审计机构应当及时向董事会或者最高管理层提交审计报告,审计报告应当清晰反映审计发现的重要问题、审计结论、意见和建议。
第十七条日常工作中,内部审计机构还应当与董事会或者最高管理层就下列事项进行交流:
(一)董事会或者最高管理层关注的领域;
(二)内部审计活动满足董事会或者最高管理层信息需求的程度;
(三)内部审计的新趋势和最佳实务;
(四)内部审计与外部审计之间的协调。
第五章附则
第十八条本准则由中国内部审计协会发布并负责解释。
第十九条本准则自2014年1月1日起施行。
第2303号内部审计具体准则——内部审计与外部审计的协调
第一章总则
第一条为了规范内部审计与外部审计的协调工作,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条本准则所称内部审计与外部审计的协调,是指内部审计机构与社会审计组织、国家审计机关在审计工作中的沟通与合作。
第三条本准则适用于各类组织的内部审计机构。
第二章一般原则
第四条内部审计应当做好与外部审计的协调工作,以实现下列目的:
(一)保证充分、适当的审计范围;
(二)减少重复审计,提高审计效率;
(三)共享审计成果,降低审计成本;
(四)持续改进内部审计机构工作。
第五条内部审计与外部审计的协调工作,应当在组织董事会或者最高管理层的支持和监督下,由内部审计机构负责人具体组织实施。
第六条内部审计机构负责人应当定期对内外部审计的协调工作进行评估,并根据评估结果及时调整、改进内外部审计协调工作。
第七条内部审计机构应当在外部审计对本组织开展审计时做好协调工作。
第三章协调的方法和内容
第八条内部审计与外部审计之间的协调,可以通过定期会议、不定期会面或者其他沟通方式进行。
第九条内部审计与外部审计的协调工作包括下列方面:
(一)与外部审计机构和人员的沟通;
(二)配合外部审计工作;
(三)评价外部审计工作质量;
(四)利用外部审计工作成果。
第十条内部审计与外部审计应当在审计范围上进行协调。在编制年度审计计划和项目审计方案时,应当考虑双方的工作,以确保充分、适当的审计范围,最大限度减少重复性工作。
第十一条在条件允许的情况下,内部审计与外部审计应当在必要的范围内互相交流相关审计工作底稿,以便利用对方的工作成果。
第十二条内部审计与外部审计应当相互参阅审计报告。
第十三条内部审计与外部审计应当在具体审计程序和方法上相互沟通,达成共识,以促进双方的合作。
第四章附则
第十四条本准则由中国内部审计协会发布并负责解释。
第十五条本准则自2014年1月1日起施行。
第2304号内部审计具体准则——利用外部专家服务
第一章总则
第一条为了规范内部审计机构利用外部专家服务的行为,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称利用外部专家服务,是指内部审计机构聘请在某一领域中具有专门技能、知识和经验的人员或者单位提供专业服务,并在审计活动中利用其工作结果的行为。
第三条本准则适用于各类组织的内部审计机构。
第二章一般原则
第四条内部审计机构可以根据实际需要利用外部专家服务。利用外部专家服务是为了获取相关、可靠和充分的审计证据,保证审计工作的质量。
第五条外部专家应当对其所选用的假设、方法及其工作结果负责。
第六条内部审计机构应当对利用外部专家服务结果所形成的审计结论负责。
第七条内部审计机构和内部审计人员可以在下列方面利用外部专家服务:
(一)特定资产的评估;
(二)工程项目的评估;
(三)产品或者服务质量问题;
(四)信息技术问题;
(五)衍生金融工具问题;
(六)舞弊及安全问题;
(七)法律问题;
(八)风险管理问题;
(九)其他。
第八条外部专家可以由内部审计机构从组织外部聘请,也可以在组织内部指派。
第三章对外部专家的聘请
第九条内部审计机构聘请外部专家时,应当对外部专家的独立性、客观性进行评价,评价时应当考虑下列影响因素:
(一)外部专家与被审计单位之间是否存在重大利益关系;
(二)外部专家与被审计单位董事会、最高管理层是否存在密切的私人关系;
(三)外部专家与审计事项之间是否存在专业相关性;
(四)外部专家是否正在或者即将为组织提供其他服务;
(五)其他可能影响独立性、客观性的因素。
第十条在聘请外部专家时,内部审计机构应当对外部专家的专业胜任能力进行评价,考虑其专业资格、专业经验与声望等。
第十一条在利用外部专家服务前,内部审计机构应当与外部专家签订书面协议。书面协议主要包括下列内容:
(一)外部专家服务的目的、范围及相关责任;
(二)外部专家服务结果的预定用途;
(三)在审计报告中可能提及外部专家的情形;
(四)外部专家利用相关资料的范围;
(五)报酬及其支付方式;
(六)对保密性的要求;
(七)违约责任。
第四章对外部专家服务结果的评价和利用
第十二条内部审计机构在利用外部专家服务结果作为审计证据时,应当评价其相关性、可靠性和充分性。
第十三条内部审计机构在评价外部专家服务结果时,应当考虑下列影响因素:
(一)外部专家选用的假设和方法的适当性;
(二)外部专家所用资料的相关性、可靠性和充分性。
第十四条在利用外部专家服务时,如果有必要,应当在审计报告中提及。
第十五条内部审计机构对外部专家服务评价后,如果认为其服务的结果无法形成相关、可靠和充分的审计证据,应当通过实施其他替代审计程序补充获取相应的审计证据。
第五章附则
第十六条本准则由中国内部审计协会发布并负责解释。
第十七条本准则自2014年1月1日起施行。
第2305号内部审计具体准则——人际关系
第一章总则
第一条为了规范内部审计人员与组织内、外相关机构和人员建立和保持良好的人际关系,保证内部审计工作顺利而有效地进行,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条本准则所称人际关系,是指内部审计人员与组织内外相关机构和人员之间的相互交往与联系。
第三条本准则适用于各类组织的内部审计机构中的内部审计人员。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则
第四条内部审计人员在从事内部审计活动中,需要与下列机构和人员建立人际关系:
(一)组织适当管理层和相关人员;
(二)被审计单位和相关人员;
(三)组织内部各职能部门和相关人员;
(四)组织外部相关机构和人员;
(五)内部审计机构中的其他成员。
第五条内部审计人员应当与组织内外相关机构和人员进行必要的沟通,保持良好的人际关系,以实现下列目的:
(一)在内部审计工作中与相关机构和人员建立相互信任的 关系,促进彼此的交流与沟通;
(二)在内部审计工作中取得相关机构和人员的理解和配合,及时获得相关、可靠和充分的信息,提高内部审计效率;
(三)保证内部审计意见得到有效落实,实现内部审计目标。
第六条内部审计人员应当具备建立良好人际关系的意识和能力。
第七条内部审计人员在人际关系的处理中应当注意保持独立性和客观性。
第八条内部审计人员应当在遵循有关法律、法规的情况下灵活、妥善地处理人际关系。
第九条内部审计机构负责人应当定期对内部审计人员的人际关系进行评价,并根据评价结果及时采取措施改进人际关系。
第三章处理人际关系的方式和方法
第十条内部审计人员在处理人际关系时,应当主动、及时、有效地进行沟通,以保证信息的快捷传递和充分交流。
第十一条内部审计人员处理人际关系时采用的沟通类型包括:
(一)人员沟通,即内部审计人员与相关人员之间的沟通。
(二)组织沟通,即内部审计机构在特定组织环境下的沟通,主要包括与上下级部门之间的信息交流,与组织内各平行部门之间的信息交流,信息在非平行、非隶属部门之间的交流。
第十二条内部审计人员处理人际关系时采用的主要沟通方式有口头沟通和书面沟通两种。
口头沟通,即内部审计人员利用口头语言进行信息交流。书面沟通,即内部审计人员利用书面语言进行信息交流。
第十三条内部审计人员人际关系冲突的原因主要包括:
(一)缺乏必要、及时的信息沟通;
(二)对同一事物的认识存在分歧,导致不同的评价;
(三)各自的价值观、利益观不一致;
(四)职业道德信念的差异。
第十四条内部审计人员应当及时、妥善地化解人际冲突,可以采取的方法主要包括:
(一)暂时回避,寻找适当的时机再进行协调;
(二)说服、劝导;
(三)适当的妥协;
(四)互相协作;
(五)向适当管理层报告,寻求协调;
(六)其他。
第十五条内部审计人员应当积极、主动地与对内部审计工作负有领导责任的组织适当管理层进行沟通,可以采取的沟通途径主要包括:
(一)与组织适当管理层就审计计划进行沟通,以达成共识;
(二)咨询组织适当管理层,了解内部控制环境;
(三)根据审计发现的问题和作出的审计结论,及时向组织适当管理层提出审计意见和建议;
(四)出具书面审计报告之前,利用各种沟通方式征求组织适当管理层对审计结论、意见和建议的意见。
第十六条内部审计人员应当与被审计单位建立并保持良好的人际关系,可以采取下列沟通途径获得被审计单位的理解、配合和支持:
(一)在了解被审计单位基本情况时,应当进行及时、有效的沟通和协调;
(二)通过询问、会谈、会议、问卷调查等沟通方式,了解被审计单位业务活动、内部控制和风险管理的情况;
(三)通过口头方式或者其他非正式方式,与被审计单位交流审计中发现的问题;
(四)在审计报告提交之前,以书面方式与被审计单位进行结果沟通。
第十七条内部审计人员应当与组织内其他职能部门建立并保持良好的人际关系,确保在下列方面得到支持与配合:
(一)了解组织及相关职能部门的情况;
(二)寻求审计中发现问题的解决方法;
(三)落实审计结论、意见和建议;
(四)有效利用审计成果;
(五)其他。
第十八条内部审计人员应当与组织外部相关机构和人员之间建立并保持良好的人际关系,以获得更多的认同、支持及协助。
第十九条内部审计人员应当重视内部审计机构成员间的人际关系,相互协作,相互包容。
第四章附则
第二十条本准则由中国内部审计协会发布并负责解释。
第二十一条本准则自2014年1月1日起施行。
第2306号内部审计具体准则——内部审计质量控制
第一章总则
第一条为了规范内部审计质量控制工作,保证内部审计质量,根据《内部审计基本准则》,制定本准则。
第二条本准则所称内部审计质量控制,是指内部审计机构为保证其审计质量符合内部审计准则的要求而制定和执行的制度、程序和方法。
第三条本准则适用于各类组织的内部审计机构和内部审计人员。
第二章一般原则
第四条内部审计机构负责人对制定并实施系统、有效的质量控制制度与程序负主要责任。
第五条内部审计质量控制主要包括下列目标:
(一)保证内部审计活动遵循内部审计准则和本组织内部审计工作手册的要求;
(二)保证内部审计活动的效率和效果达到既定要求;
(三)保证内部审计活动能够增加组织的价值,促进组织实现目标。
第六条内部审计质量控制分为内部审计机构质量控制和内部审计项目质量控制。
第七条内部审计机构负责人和审计项目负责人通过督导、分级复核、质量评估等方式对内部审计质量进行控制。
第三章内部审计机构质量控制
第八条内部审计机构负责人对内部审计机构质量负责。
第九条内部审计机构质量控制需要考虑下列因素:
(一)内部审计机构的组织形式及授权状况;
(二)内部审计人员的素质与专业结构;
(三)内部审计业务的范围与特点;
(四)成本效益原则的要求;
(五)其他。
第十条内部审计机构质量控制主要包括下列措施:
(一)确保内部审计人员遵守职业道德规范;
(二)保持并不断提升内部审计人员的专业胜任能力;
(三)依据内部审计准则制定内部审计工作手册;
(四)编制年度审计计划及项目审计方案;
(五)合理配置内部审计资源;
(六)建立审计项目督导和复核机制;
(七)开展审计质量评估;
(八)评估审计报告的使用效果;
(九)对审计质量进行考核与评价。
第四章内部审计项目质量控制
第十一条内部审计项目负责人对审计项目质量负责。
第十二条内部审计项目质量控制应当考虑下列因素:
(一)审计项目的性质及复杂程度;
(二)参与项目审计的内部审计人员的专业胜任能力;
(三)其他。
第十三条内部审计项目质量控制主要包括下列措施:
(一)指导内部审计人员执行项目审计方案;
(二)监督审计实施过程;
(三)检查已实施的审计工作。
第十四条内部审计项目负责人在指导内部审计人员开展项目审计时,应当告知项目组成员下列事项:
(一)项目组成员各自的责任;
(二)被审计项目或者业务的性质;
(三)与风险相关的事项;
(四)可能出现的问题;
(五)其他。
第十五条内部审计项目负责人监督内部审计实施过程时,应当履行下列职责:
(一)追踪业务的过程;
(二)解决审计过程中出现的重大问题,根据需要修改原项目审计方案;
(三)识别在审计过程中需要咨询的事项;
(四)其他。
第十六条内部审计项目负责人在检查已实施的审计工作时,应当关注下列内容:
(一)审计工作是否已按照审计准则和职业道德规范的规定执行;
(二)审计证据是否相关、可靠和充分;
(三)审计工作是否实现了审计目标。
第五章附则
第十七条本准则由中国内部审计协会发布并负责解释。
第十八条本准则自2014年1月1日起施行。
第2307号内部审计具体准则——评价外部审计工作质量
第一章总则
第一条为规范内部审计机构对外部审计工作质量的评价工作,有效利用外部审计成果,提高内部审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条本准则所称评价外部审计工作质量,是指由内部审计机构对外部审计工作过程及结果的质量所进行的评价活动。
第三条本准则适用于各类组织的内部审计机构。
第二章一般原则
第四条内部审计机构应当根据适当的标准对外部审计工作质量进行客观评价,合理利用外部审计成果。
第五条评价外部审计工作质量,可以按照评价准备、评价实施和评价报告三个阶段进行。
第六条内部审计机构应当挑选具有足够专业胜任能力的人员对外部审计工作质量进行评价。
第三章评价准备
第七条在评价外部审计工作质量之前,内部审计机构应当考虑下列因素:
(一)评价活动的必要性;
(二)评价活动的可行性;
(三)评价活动预期结果的有效性。
第八条在决定对外部审计工作质量进行评价后,内部审计机构应当编制适当的评价方案。评价方案应当包括下列主要内容:
(一)评价目的;
(二)评价的主要内容与步骤;
(三)评价的依据;
(四)评价工作的主要方法;
(五)评价工作的时间安排;
(六)评价人员的分工。
第九条内部审计机构应当取得反映外部审计工作质量的审计报告及其他相关资料。
第十条内部审计机构应当详细了解外部审计所采用的审计依据、实施的审计过程及其在审计过程中与组织之间进行协调的情况。
第十一条如有必要,内部审计机构可以与外部审计机构就评价事项进行适当的沟通。
第四章评价实施
第十二条内部审计机构在评价外部审计工作质量时,应当重点关注下列内容:
(一)外部审计机构和人员的独立性与客观性;
(二)外部审计人员的专业胜任能力;
(三)外部审计人员的职业谨慎性;
(四)外部审计机构的信誉;
(五)外部审计所采用审计程序及方法的适当性;
(六)外部审计所采用审计依据的有效性;
(七)外部审计所获取审计证据的相关性、可靠性和充分性。
第十三条内部审计机构在评价外部审计工作质量时,应当充分考虑其与内部审计活动的差异。
第十四条内部审计机构在评价外部审计工作质量时,可以采用审核、观察、询问等常用方法,以及与有关方面进行沟通、协调的方法。
第十五条内部审计机构应当将评价工作过程及结果记录于审计工作底稿中。
第五章评价报告
第十六条内部审计机构做出外部审计工作质量评价结论之前,应当征求组织内部有关部门和人员的意见。必要时,内部审计人员也可以就评价结论与被评价的外部审计机构进行沟通。
第十七条内部审计机构完成外部审计工作质量评价之后,应当编制评价报告。评价报告一般包括下列要素:
(一)评价报告的名称;
(二)被评价外部审计机构的名称;
(三)评价目的;
(四)评价的主要内容及方法;
(五)评价结果;
(六)评价报告编制人员及编制时间。
第六章附则
第十八条本准则由中国内部审计协会发布并负责解释。
第十九条本准则自2014年1月1日起施行。
当前位置首页?政策法规?审计准则?