(一)信息安全管理。内部审计人员应当关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设臵的职责分离控制等。
(二)系统变更管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设臵变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。
(三)系统开发和采购管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。
(四)系统运行管理。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。
第二十一条 业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:
(一)授权与批准; (二)系统配臵控制;
(三)异常情况报告和差错报告; (四)接口/转换控制; (五)一致性核对; (六)职责分离; (七)系统访问权限; (八)系统计算; (九)其他。
第二十二条 信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:
(一)信息系统开发实施项目的专项审计; (二)信息系统安全专项审计; (三)信息技术投资专项审计; (四)业务连续性计划的专项审计; (五)外包条件下的专项审计;
(六)法律、法规、行业规范要求的内部控制合规性专项审计;
(七)其他专项审计。
第六章 信息系统审计的方法
第二十三条 内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:
(一)询问相关控制人员; (二)观察特定控制的运用;
(三)审阅文件和报告及计算机文档或者日志;
(四)根据信息系统的特性进行穿行测试,追踪交易在信息 系统中的处理过程;
(五)验证系统控制和计算逻辑; (六)登录信息系统进行系统查询; (七)利用计算机辅助审计工具和技术;
(八)利用其他专业机构的审计结果或者组织对信息技术内 部控制的自我评估结果;
(九)其他。
第二十四条 信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。
第二十五条 内部审计人员在对信息系统内部控制进行评估时,应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标,并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下,可以考虑适当降低审计频率。
第二十六条 内部审计人员在审计过程中应当在风险评估的基础上,依据信息系统内部控制评估的结果重新评估审计风险,并根据剩余风险设计进一步的审计程序。
第七章 附 则
第二十七条 本准则由中国内部审计协会发布并负责解释。 第二十八条 本准则自2014年1月1日起施行。
第2204号内部审计具体准则——对舞弊行为进行检查和报告
第一章 总 则
第一条 为了规范内部审计机构和内部审计人员在审计活动中对舞弊行为进行检查和报告,提高审计效率和效果,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称舞弊,是指组织内、外人员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个人带来不正当利益的行为。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 组织管理层对舞弊行为的发生承担责任。建立、健全并有效实施内部控制,预防、发现及纠正舞弊行为是组织管理层的责任。
第五条 内部审计机构和内部审计人员应当保持应有的职业谨慎,在实施的审计活动中关注可能发生的舞弊行为,并对舞弊行为进行检查和报告。
第六条 内部审计机构和内部审计人员在检查和报告舞弊行为时,应当从下列方面保持应有的职业谨慎:
(一)具有识别、检查舞弊的基本知识和技能,在实施审计项目时警惕相关方面可能存在的舞弊风险;
(二)根据被审计事项的重要性、复杂性以及审计成本效益,合理关注和检查可能存在的舞弊行为;
(三)运用适当的审计职业判断,确定审计范围和审计程序,以检查、发现和报告舞弊行为;
(四)发现舞弊迹象时,应当及时向适当管理层报告,提出进一步检查的建议。
第七条 由于内部审计并非专为检查舞弊而进行,即使审计人员以应有的职业谨慎执行了必要的审计程序,也不能保证发现所有的舞弊行为。
第八条 损害组织经济利益的舞弊,是指组织内、外人员为谋取自身利益,采用欺骗等违法违规手段使组织经济利益遭受损害的不正当行为。具体包括下列情形:
(一)收受贿赂或者回扣;
(二)将正常情况下可以使组织获利的交易事项转移给他人; (三)贪污、挪用、盗窃组织资产; (四)使组织为虚假的交易事项支付款项; (五)故意隐瞒、错报交易事项; (六)泄露组织的商业秘密;
(七)其他损害组织经济利益的舞弊行为。
第九条 谋取组织经济利益的舞弊,是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益,采用欺骗等违法违规手段,损害国家和其他组织或者个人利益的不正当行为。具体包括下列情形:
(一)支付贿赂或者回扣;
(二)出售不存在或者不真实的资产;
(三)故意错报交易事项、记录虚假的交易事项,使财务报表使用者误解而作出不适当的投融资决策;
(四)隐瞒或者删除应当对外披露的重要信息; (五)从事违法违规的经营活动; (六)偷逃税款;
(七)其他谋取组织经济利益的舞弊行为。
第十条 内部审计人员在检查和报告舞弊行为时,应当特别注意做好保密工作。
第三章 评估舞弊发生的可能性
第十一条 内部审计人员在审查和评价业务活动、内部控制和风险管理时,应当从以下方面对舞弊发生的可能性进行评估:
(一)组织目标的可行性; (二)控制意识和态度的科学性; (三)员工行为规范的合理性和有效性; (四)业务活动授权审批制度的有效性; (五)内部控制和风险管理机制的有效性; (六)信息系统运行的有效性。
第十二条 内部审计人员除考虑内部控制的固有局限外,还应当考虑下列可能导致舞弊发生的情况:
(一)管理人员品质不佳; (二)管理人员遭受异常压力; (三)业务活动中存在异常交易事项;
(四)组织内部个人利益、局部利益和整体利益存在较大冲 突。 第十三条 内部审计人员应当根据可能发生的舞弊行为的性质,向组织适当管理层报告,同时就需要实施的舞弊检查提出建议。
第四章 舞弊的检查
第十四条 舞弊的检查是指实施必要的检查程序,以确定舞弊迹象所显示的舞弊行为是否已经发生。
第十五条 内部审计人员进行舞弊检查时,应当根据下列要求进行: (一)评估舞弊涉及的范围及复杂程度,避免向可能涉及舞弊的人员提供信息或者被其所提供的信息误导;
(二)设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因;
(三)在舞弊检查过程中,与组织适当管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通;
(四)保持应有的职业谨慎,以避免损害相关组织或者人员的合法权益。
第五章 舞弊的报告
第十六条 舞弊的报告是指内部审计人员以书面或者口头形式向组织适当管理层或者董事会报告舞弊检查情况及结果。
第十七条 在舞弊检查过程中,出现下列情况时,内部审计人员应当及时向组织适当管理层报告:
(一)可以合理确信舞弊已经发生,并需要深入调查; (二)舞弊行为已经导致对外披露的财务报表严重失实; (三)发现犯罪线索,并获得了应当移送司法机关处理的证据。
第十八条 内部审计人员完成必要的舞弊检查程序后,应当从舞弊行为的性质和金额两方面考虑其严重程度,并出具相应的审计报告。审计报告的内容主要包括舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施。
第六章 附 则
第十九条 本准则由中国内部审计协会发布并负责解释。 第二十条 本准则自2014年1月1日起施行。
第2205号内部审计具体准则——经济责任审计
第一章 总 则
第一条 为了规范经济责任审计工作,提高审计质量和效果,根据《党政主要领导干部和国有企业领导人员经济责任审计规定》、《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》和《内部审计基本准则》,制定本准则。
第二条 本准则所称经济责任,是指领导干部任职期间因其所任职务,依法对所在部门、单位、团体或企业(含金融机构)的财政、财务收支以及有关经济活动应当履行的职责、义务。