订为《绩效审计准则》。
二是绩效审计的概念。第二条 本准则所称绩效审计,是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。
经济性,是指组织经营管理过程中获得一定数量和质量的产品或者服务及其他成果时所耗费的资源最少;
效率性,是指组织经营管理过程中投入资源与产出成果之间的对比关系;
效果性,是指组织经营管理目标的实现程度。
三是明确了绩效审计主要审查和评价的内容。第七条 根据实际情况和需要,绩效审计可以同时对组织经营管理活动的经济性、效率性和效果性进行审查和评价,也可以只侧重某一方面进行审查和评价。
第八条 绩效审计主要审查和评价下列内容:
(1)有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠;
(2)相关经营管理活动的人、财、物、信息、技术等资源取得、配置和使用的合法性、合理性、恰当性和节约性;
(3)经营管理活动既定目标的适当性、相关性、可行性和实现程度,以及未能实现既定目标的情况及其原因;
(4)研发、财务、采购、生产、销售等主要业务活动的效率; (5)计划、决策、指挥、控制及协调等主要管理活动的效率; (6)经营管理活动预期的经济效益和社会效益等的实现情况;
36
(7)组织为评价、报告和监督特定业务或者项目的经济性、效率性和效果性所建立的内部控制及风险管理体系的健全性及其运行的有效性;
(8)其他有关事项。
四是规定了选择绩效审计方法的要求,列举了常规审计方法以外的常用绩效审计方法。(第十条介绍了十一种方法)
五是规定了绩效审计评价标准的来源,以及确定绩效审计评价标准时应当注意的原则。
第十二条 绩效审计评价标准的来源主要包括:
(1)有关法律法规、方针、政策、规章制度等的规定; (2)国家部门、行业组织公布的行业指标; (3)组织制定的目标、计划、预算、定额等; (4)同类指标的历史数据和国际数据; (5)同行业的实践标准、经验和做法。
第十三条 内部审计机构和内部审计人员在确定绩效审计评价标准时,应当与组织管理层进行沟通,在双方认可的基础上确定绩效审计评价标准。
六是根据绩效审计的特点,细化了对绩效审计报告内容的要求。
第十四条 绩效审计报告应当反映绩效审计评价标准的选择、确定及沟通过程等重要信息,包括必要的局限性分析。
第十五条 绩效审计报告中的绩效评价应当根据审计目标和审计证据作出,可以分为总体评价和分项评价。当审计风险较大,难以做出总体评价时,可以只做分项评价。
37
第十六条 绩效审计报告中反映的合法、合规性问题,除进行相应的审计处理外,还应当侧重从绩效的角度对问题进行定性,描述问题对绩效造成的影响、后果及严重程度。
第十七条 绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源,兼顾短期目标和长期目标、个体利益和组织整体利益,提出切实可行的建议。
(十四)信息系统审计(第2203号)
原28号具体准则——信息系统审计,是八章三十二条,现修订为七章二十八条。应当掌握以下重点:
一是信息系统审计概念,第二条 本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
二是信息系统审计的目的。第四条 信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:
(1)保证组织的信息技术战略充分反映组织的战略目标; (2)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;
(3)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
38
三是信息系统审计的技能要求。第六条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。
第七条 信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条 内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。 四是信息系统审计的内容。
第十七条 信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。
第十八条 信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式,内部审计人员应当根据不同的控制形式采取恰当的审计程序。
五是信息系统审计的方法。第二十三条 内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:
(1)询问相关控制人员; (2)观察特定控制的运用;
(3)审阅文件和报告及计算机文档或者日志;
39
(4)根据信息系统的特性进行穿行测试,追踪交易在信息系统中的处理过程;
(5)验证系统控制和计算逻辑; (6)登录信息系统进行系统查询; (7)利用计算机辅助审计工具和技术;
(8)利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果;
(9)其他。
(十五)对舞弊行为进行检查和报告(第2204号)
原6号具体准则——舞弊的预防、检查与报告,是六章二十四条,现修订为六章二十条。基于实践中内部审计部门在组织舞弊行为中发挥的作用,此次修订将原 “舞弊的预防、检查与报告”准则的名称改为“对舞弊行为进行检查和报告”准则,同时将原“舞弊的预防”一章的内容修改为“评估舞弊发生的可能性”,以使该准则更具科学性和可操作性。应当掌握以下重点:
一是舞弊的概念。第二条 本准则所称舞弊,是指组织内、外人员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个人带来不正当利益的行为。
二是检查和报告舞弊行为时,应当保持应有的职业谨慎。第六条 内部审计机构和内部审计人员在检查和报告舞弊行为时,应当从下列方面保持应有的职业谨慎:
(1)具有识别、检查舞弊的基本知识和技能,在实施审计项目时警惕相关方面可能存在的舞弊风险;
40