遵守国家有关法律法规和组织内部标准的内容;原第16号准则《风险管理审计》具体规范内部控制中风险评估要素的审查和评价,原第21号准则《内部审计的控制自我评估法》规范了控制自我评估这一具体方法,以及内部审计人员如何运用该方法协助管理层对内部控制进行评估。遵循性审计、风险管理审计、内部审计的控制自我评估法等三个准则从内容或逻辑上都应当属于内部控制审计的组成部分,因此此次修订将原分属四个准则的内容进行了整合和补充,并充分借鉴《企业内部控制基本规范》及配套指引的相关内容,制定了《内部控制审计准则》。
二是内部控制审计概念。第二条 本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。
三是内部控制审计按其范围的分类。第八条 内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。
全面内部控制审计,是针对组织所有业务活动的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。
专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。
四是内部控制审计的内容 。此次修订按照审计范围将内部控制审计分为全面内部控制审计和专项内部控制审计,并从组织层面和业务层面对内部控制审计的内容作了较为细致的规定。其中组织层面内部控制的内容主要是按照内部控制五要素进行规范,同时借鉴、吸收
31
了《企业内部控制评价指引》中有关内部控制评价内容的规定,力求与《企业内部控制基本规范》及配套指引相衔接。
第九条 内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定,根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。
第十条 内部审计人员开展内部环境要素审计时,应当以《企业内部控制基本规范》和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、社会责任等,结合本组织的内部控制,对内部环境进行审查和评价。
第十一条 内部审计人员开展风险评估要素审计时,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。
第十二条 内部审计人员开展控制活动要素审计时,应当以《企业内部控制基本规范》和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。
第十三条 内部审计人员开展信息与沟通要素审计时,应当以《企业内部控制基本规范》和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、
32
信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。
第十四条 内部审计人员开展内部监督要素审计时,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十五条 内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等,对业务层面内部控制的设计和运行情况进行审查和评价。
五是内部控制审计的具体程序与方法。内部控制审计的程序和方法。强调了人员在实施现场审查前,应当要求相关管理人员开展内部控制自我评估工作,内审人员应当结合内部控制自我评估报告,确定审计内容及重点,实施全面内部控制审计。第十六条 内部控制审计主要包括下列程序:
(1)编制项目审计方案;(2)组成审计组;(3)实施现场审查;(4)认定控制缺陷;(5)汇总审计结果;(6)编制审计报告。
第十七条 内部审计人员在实施现场审查之前,可以要求被审计单位提交最近一次的内部控制自我评估报告。
内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。
33
第十八条 内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。
第十九条 内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集组织内部控制设计和运行是否有效的证据。
六是内部控制缺陷的认定。规定了内部控制缺陷的认定,对认定的方法、缺陷的种类和缺陷的报告等内容进行了规定。
第二十一条 内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。
第二十二条 内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
第二十三条 内部审计人员应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。
七是内部控制审计报告的内容。要求全面内部控制审计报告一般应当报送组织董事会或最高管理层;包含有重大缺陷认定的专项内部控制
34
审计报告应当报送董事会或最高管理层;经董事会或者最高管理层批准,内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。第二十四条 内部控制审计报告的内容,应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。
第二十五条 内部审计机构应当向组织适当管理层报告内部控制审计结果。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事会或者最高管理层。
第二十六条 经董事会或者最高管理层批准,内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。
(十三)绩效审计(第2202号)
本准则共分七章十九条。应当掌握以下重点:
一是本准则与原准则的变化情况。将原25号经济性审计、26号效果性审计、27号效率性审计三个具体准则,合并修订为第2202号具体准则——绩效审计
按照经济性、效率性和效果性等三个方面分别制定具体准则是我国准则制定工作的有益探索。然而,由于经济性、效率性和效果性均为绩效审计的目标,实践中往往需要对某一事项或项目的经济性、效率性和效果性同时做出评价,因而原准则存在内容重复、实践中不好操作等弊端。因此,此次修订将原来的三个具体准则进行了合并,修
35