征求被审计对象的意见。
第十一条被审计单位对审计报告有异议的,审计项目负责人及相关人员应当核实,必要时应当修改审计报告。第十二条审计报告经过必要的修改后,应当连同被审计单位的反馈意见及时报送内部审计机构负责人复核。第十三条内部审计机构应当将审计报告提交被审计单位和组织适当管理层,并要求被审计单位在规定的期限内落实纠正措施。第十四条已经出具的审计报告如果存在重要错误或者遗漏,内部审计机构应当及时更正,并将更正后的审计报告提交给原审计报告接收者。第十五条内部审计机构应当将审计报告及时归入审计档案,妥善保存。
第2201 号内部审计具体准则——内部控制审计 第三章内部控制审计的内容
第九条内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定,根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。
第十条内部审计人员开展内部环境要素审计时,应当以《企
业内部控制基本规范》和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、社会责任等,结合本组织的内部控制,对内部环境进行审查和评价。
第十一条内部审计人员开展风险评估要素审计时,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。
第十二条内部审计人员开展控制活动要素审计时,应当以《企业内部控制基本规范》和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。 第十三条内部审计人员开展信息与沟通要素审计时,应当以
《企业内部控制基本规范》和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。
第十四条内部审计人员开展内部监督要素审计时,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十五条内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等,对业务层面内部控制的设计和运行情况进行审查和评价。 第四章内部控制审计的具体程序与方法 第十六条内部控制审计主要包括下列程 (一)编制项目审计方案; (二)组成审计组; (三)实施现场审查; (四)认定控制缺陷; (五)汇总审计结果; (六)编制审计报告。
第十七条内部审计人员在实施现场审查之前,可以要求被审计单位提交最近一次的内部控制自我评估报告。 内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。 第十八条内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。 第十九条内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽
样和比较分析等方法,充分收集组织内部控制设计和运行是否有效的证据。
5
第二十条内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。 第五章内部控制缺陷的认定
第二十一条内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结
果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。
第二十二条内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。 第2203 号内部审计具体准则——信息系统审计
第十四条内部审计人员在识别和评估组织层面、一般性控制 层面的信息技术风险时,需要关注下列内容:
(一)业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度; (二)信息资产的重要性; (三)对信息技术的依赖程度; (四)对信息技术部门人员的依赖程度; (五)对外部信息技术服务的依赖程度; (六)信息系统及其运行环境的安全性、可靠性; (七)信息技术变更; (八)法律规范环境; (九)其他。
第十五条业务流程层面的信息技术风险受行业背景、业务流
程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,内部审计人员应当了解业务流程, 并关注下列信息技术风险: (一)数据输入; (二)数据处理; (三)数据输出。
第十六条内部审计人员应当充分考虑风险评估的结果,以合 理确定信息系统审计的内容及范围,并对组织的信息技术内部控制 设计合理性和运行有效性进行测试。 第五章信息系统审计的内容
内部审计人员应当考虑下列控制要素中与信息技术相关的内容:(一)控制环境。内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。(二)风险评估。内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。(三)信息与沟通。内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。(四)内部监督。内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。
6
——对舞弊行为进行检查和报告
舞弊,是指组织内、外人员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个人带来不正当利益的行为。
第六条内部审计机构和内部审计人员在检查和报告舞弊行为时,应当从下列方面保持应有的职业谨慎: (一)具有识别、检查舞弊的基本知识和技能,在实施审计项目时警惕相关方面可能存在的舞弊风险; (二)根据被审计事项的重要性、复杂性以及审计成本效益,合理关注和检查可能存在的舞弊行为; (三)运用适当的审计职业判断,确定审计范围和审计程序,以检查、发现和报告舞弊行为; (四)发现舞弊迹象时,应当及时向适当管理层报告,提出进一步检查的建议。
第十二条内部审计人员除考虑内部控制的固有局限外,还应当考虑下列可能导致舞弊发生的情况: (一)管理人员品质不佳; (二)管理人员遭受异常压力; (三)业务活动中存在异常交易事项;
(四) 组织内部个人利益、局部利益和整体利益存在较大冲突。 进行:
(一)评估舞弊涉及的范围及复杂程度,避免向可能涉及舞弊的人员提供信息或者被其所提供的信息误导; (二)设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因; (三)在舞弊检查过程中,与组织适当管理层、专业舞弊调查 人员、法律顾问及其他专家保持必要的沟通;
(四)保持应有的职业谨慎,以避免损害相关组织或者人员的合法权益。 第2303 号内部审计具体准则——内部审计与外部审计的协调 第三章协调的方法和内容
第八条内部审计与外部审计之间的协调,可以通过定期会议、不定期会面或者其他沟通方式进行。 第九条内部审计与外部审计的协调工作包括下列方面: (一)与外部审计机构和人员的沟通; (二)配合外部审计工作; (三)评价外部审计工作质量; (四)利用外部审计工作成果。
第2304 号内部审计具体准则——利用外部专家服务
第七条内部审计机构和内部审计人员可以在下列方面利用外部专家服务: (一)特定资产的评估; (二)工程项目的评估; (三)产品或者服务质量问题; (四)信息技术问题; (五)衍生金融工具问题; (六)舞弊及安全问题; (七)法律问题; (八)风险管理问题; (九)其他。
第八条外部专家可以由内部审计机构从组织外部聘请,也可以在组织内部指派。 第三章对外部专家的聘请
第九条内部审计机构聘请外部专家时,应当对外部专家的独立性、客观性进行评价,评价时应当考虑下列影响因素:
(一)外部专家与被审计单位之间是否存在重大利益关系;
(二)外部专家与被审计单位董事会、最高管理层是否存在密切的私人关系;
7
(三)外部专家与审计事项之间是否存在专业相关性; (四)外部专家是否正在或者即将为组织提供其他服务; (五)其他可能影响独立性、客观性的因素。
第十条在聘请外部专家时,内部审计机构应当对外部专家的专业胜任能力进行评价,考虑其专业资格、专业经验与声望等。
第十一条在利用外部专家服务前,内部审计机构应当与外部专家签订书面协议。书面协议主要包括下列内容:
(一)外部专家服务的目的、范围及相关责任; (二)外部专家服务结果的预定用途; (三)在审计报告中可能提及外部专家的情形; (四)外部专家利用相关资料的范围; (五)报酬及其支付方式; (六)对保密性的要求; (七)违约责任。
第十三条内部审计人员人际关系冲突的原因主要包括: (一)缺乏必要、及时的信息沟通;
(二)对同一事物的认识存在分歧,导致不同的评价; (三)各自的价值观、利益观不一致; (四)职业道德信念的差异。
第十四条内部审计人员应当及时、妥善地化解人际冲突,可以采取的方法主要包括: (一)暂时回避,寻找适当的时机再进行协调; (二)说服、劝导; (三)适当的妥协; (四)互相协作;
(五)向适当管理层报告,寻求协调; (六)其他。
第十五条内部审计人员应当积极、主动地与对内部审计工作负有领导责任的组织适当管理层进行沟通,可以采取的沟通途径主要包括:
(一)与组织适当管理层就审计计划进行沟通,以达成共识; (二)咨询组织适当管理层,了解内部控制环境;
(三)根据审计发现的问题和作出的审计结论,及时向组织适当管理层提出审计意见和建议;
(四)出具书面审计报告之前,利用各种沟通方式征求组织适当管理层对审计结论、意见和建议的意见。 第2306 号内部审计具体准则——内部审计质量控制
内部审计质量控制,是指内部审计机构为保证其审计质量符合内部审计准则的要求而制定和执行的制度、程序和方法。
第五条内部审计质量控制主要包括下列目标:
(一) 保证内部审计活动遵循内部审计准则和本组织内部审计工作手册的要求; (二)保证内部审计活动的效率和效果达到既定要求;
(三) 保证内部审计活动能够增加组织的价值,促进组织实现目标。
第六条内部审计质量控制分为内部审计机构质量控制和内部审计项目质量控制。
第七条内部审计机构负责人和审计项目负责人通过督导、分级复核、质量评估等方式对内部审计质量进行控制。
第九条内部审计机构质量控制需要考虑下列因素: (一)内部审计机构的组织形式及授权状况;
8
相关推荐:
loading