(七)对重要信息内部组成因素的关系、比率的计算与分析。 第十一条 分析程序主要包括下列具体方法: (一)比较分析; (二)比率分析; (三)结构分析; (四)趋势分析; (五)回归分析; (六)其他技术方法。
内部审计人员可以根据审计目标和审计事项单独或者综合运用以上方法。 第十二条 内部审计人员需要在审计计划阶段执行分析程序,以了解被审计事项的基本情况,确定审计重点。
第十三条 内部审计人员需要在审计实施阶段执行分析程序,对业务活动、内部控制和风险管理进行审查,以获取审计证据。
第十四条 内部审计人员需要在审计终结阶段执行分析程序,验证其他审计程序所得结论的合理性,以保证审计质量。
第四章 对分析程序结果的利用
第十五条 内部审计人员应当考虑下列影响分析程序效率和效果的因素: (一)被审计事项的重要性;
(二)内部控制、风险管理的适当性和有效性; (三)获取信息的便捷性和可靠性; (四)分析程序执行人员的专业素质; (五)分析程序操作的规范性。
第十六条 内部审计人员执行分析程序发现差异时,应当采用下列方法对其进行调查和评价:
(一)询问管理层获取其解释和答复;
(二)实施必要的审计程序,确认管理层解释和答复的合理性与可靠性; (三)如果管理层没有作出恰当解释,应当扩大审计范围,执行其他审计程序,实施进一步审查,以便得出审计结论。
第五章 附 则
第十七条 本准则由中国内部审计协会发布并负责解释。 第十八条 本准则自2014年1月1日起施行。
第2201号内部审计具体准则——内部控制审计
第一章 总 则
第一条 为了规范内部审计人员实施内部控制审计的行为,保证内部控制审计质量,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部控制审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 董事会及管理层的责任是建立、健全内部控制并使之有效运行。 内部审计的责任是对内部控制设计和运行的有效性进行审查和评价,出具客观、公正的审计报告,促进组织改善内部控制及风险管理。
第五条 内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。
内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。
第六条 内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制。
第七条 内部控制审计应当真实、客观地揭示经营管理的风险状况,如实反映内部控制设计和运行的情况。
第八条 内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。
全面内部控制审计,是针对组织所有业务活动的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。
专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。
第三章 内部控制审计的内容
第九条 内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定,根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。
第十条 内部审计人员开展内部环境要素审计时,应当以《企业内部控制基本规范》和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、社会责任等,结合本组织的内部控制,对内部环
境进行审查和评价。
第十一条 内部审计人员开展风险评估要素审计时,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。
第十二条 内部审计人员开展控制活动要素审计时,应当以《企业内部控制基本规范》和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。
第十三条 内部审计人员开展信息与沟通要素审计时,应当以《企业内部控制基本规范》和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。
第十四条 内部审计人员开展内部监督要素审计时,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十五条 内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等,对业务层面内部控制的设计和运行情况进行审查和评价。
第四章 内部控制审计的具体程序与方法
第十六条 内部控制审计主要包括下列程序: (一)编制项目审计方案; (二)组成审计组; (三)实施现场审查; (四)认定控制缺陷; (五)汇总审计结果; (六)编制审计报告。
第十七条 内部审计人员在实施现场审查之前,可以要求被审计单位提交最近一次的内部控制自我评估报告。
内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。
第十八条 内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。
第十九条 内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集组织内部控制设计和运行是否有效的证据。
第二十条 内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。
第五章 内部控制缺陷的认定
第二十一条 内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。
第二十二条 内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。
第二十三条 内部审计人员应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。
第六章 内部控制审计报告
第二十四条 内部控制审计报告的内容,应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。
第二十五条 内部审计机构应当向组织适当管理层报告内部控制审计结果。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事会或者最高管理层。
第二十六条 经董事会或者最高管理层批准,内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。
第七章 附 则
第二十七条 本准则由中国内部审计协会发布并负责解释。 第二十八条 本准则自2014年1月1日起施行。
第2202号内部审计具体准则——绩效审计
第一章 总 则
第一条 为了规范绩效审计工作,提高绩效审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称绩效审计,是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。
经济性,是指组织经营管理过程中获得一定数量和质量的产品或者服务及其他成果时所耗费的资源最少;效率性,是指组织经营管理过程中投入资源与产出成果之间的对比关系;效果性,是指组织经营管理目标的实现程度。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的绩效审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 内部审计机构应当充分考虑实施绩效审计项目对内部审计人员专业胜任能力的需求,合理配臵审计资源。
第五条 组织各管理层根据授权承担相应的经营管理责任,对经营管理活动的经济性、效率性和效果性负责。内部审计机构开展绩效审计不能减轻或者替代管理层的责任。
第六条 内部审计机构和内部审计人员根据实际需要选择和确定绩效审计对象,既可以针对组织的全部或者部分经营管理活动,也可以针对特定项目和业务。
第三章 绩效审计的内容
第七条 根据实际情况和需要,绩效审计可以同时对组织经营管理活动的经济性、效率性和效果性进行审查和评价,也可以只侧重某一方面进行审查和评价。
第八条 绩效审计主要审查和评价下列内容:
(一)有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠; (二)相关经营管理活动的人、财、物、信息、技术等资源取得、配臵和使用的合法性、合理性、恰当性和节约性;
(三)经营管理活动既定目标的适当性、相关性、可行性和实现程度,以及未能实现既定目标的情况及其原因;