《各类审计具体规范.docx》由会员分享,可在线阅读,更多相关《各类审计具体规范.docx(27页珍藏版)》请在三一办公上搜索。
1、各类审计具体规范本篇介绍的具体准则包括:内部控制审计、绩效审计、信息系统审计、对舞弊行为进行检查和报告、经济责任审计。内部控制审计第一章总则第一条为了规范内部审计人员实施内部控制审计的行为,保证内部控制审计质量,根据内部审计基本准则,制定本准则。第二条本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部控制审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。第二章一般原则第四条董事会及管理层的责任是建立、健全内部控制并使之有效运行。内部审计的责任是对内
2、部控制设计和运行的有效性进行审查和评价,出具客观、公正的审计报告,促进组织改善内部控制及风险管理。第五条内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。第六条内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制。第七条内部控制审计应当真实、客观地揭示经营管理的风险状况,如实反映内部控制设计和运行的情况。第八条内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。全面内部控制审计,是针对组织
3、所有业务活动的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。第三章内部控制审计的内容第九条内部审计机构可以参考企业内部控制基本规范及配套指引的相关规定,根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。第十条内部审计人员开展内部环境要素审计时,应当以企业内部控制基本规范和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、
4、社会责任等,结合本组织的内部控制,对内部环境进行审查和评价。第十一条内部审计人员开展风险评估要素审计时,应当以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。第十二条内部审计人员开展控制活动要素审计时,应当以企业内部控制基本规范和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。第十三条内部审计人员开展信息与沟通要素审计时,应当以企业内部控制基本规范和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合
5、本组织的内部控制,对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。第十四条内部审计人员开展内部监督要素审计时,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。第十五条内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息
6、系统等,对业务层面内部控制的设计和运行情况进行审查和评价。第四章内部控制审计的具体程序与方法第十六条内部控制审计主要包括下列程序:(一)编制项目审计方案;(二)组成审计组;(三)实施现场审查;(四)认定控制缺陷;(五)汇总审计结果;(六)编制审计报告。第十七条内部审计人员在实施现场审查之前,可以要求被审计单位提交最近一次的内部控制自我评估报告。内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。第十八条内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。第十九条内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分
7、析等方法,充分收集组织内部控制设计和运行是否有效的证据。第二十条内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。第五章内部控制缺陷的认定第二十一条内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。第二十二条内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或者多个控制缺陷的组合,可
8、能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。第二十三条内部审计人员应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。第六章内部控制审计报告第二十四条内部控制审计报告的内容,应当包括审计目标、依据、范围、程序与方法、内部控
9、制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。第二十五条内部审计机构应当向组织适当管理层报告内部控制审计结果。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事会或者最高管理层。第二十六条经董事会或者最高管理层批准,内部控制审计报告可以作为企业内部控制评价指引中要求的内部控制评价报告对外披露。第七章附则第二十七条本准则由中国内部审计协会发布并负责解释。第二十八条本准则自2014年1月1日起施行。绩效审计第一章总则第一条为了规范绩效审计工作,提高绩效审计质量和效
10、率,根据内部审计基本准则,制定本准则。第二条本准则所称绩效审计,是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。经济性,是指组织经营管理过程中获得一定数量和质量的产品或者服务及其他成果时所耗费的资源最少;效率性,是指组织经营管理过程中投入资源与产出成果之间的对比关系;效果性,是指组织经营管理目标的实现程度。第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的绩效审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。第二章一般原则第四条内部审计机构应当充分考虑实施绩效审计项目对内部审计人员专业胜任能力的需求,
11、合理配置审计资源。第五条组织各管理层根据授权承担相应的经营管理责任,对经营管理活动的经济性、效率性和效果性负责。内部审计机构开展绩效审计不能减轻或者替代管理层的责任。第六条内部审计机构和内部审计人员根据实际需要选择和确定绩效审计对象,既可以针对组织的全部或者部分经营管理活动,也可以针对特定项目和业务。第三章绩效审计的内容第七条根据实际情况和需要,绩效审计可以同时对组织经营管理活动的经济性、效率性和效果性进行审查和评价,也可以只侧重某一方面进行审查和评价。第八条绩效审计主要审查和评价下列内容:(一)有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠;(二)相关经营管理活动的人、财、物、信
12、息、技术等资源取得、配置和使用的合法性、合理性、恰当性和节约性;(三)经营管理活动既定目标的适当性、相关性、可行性和实现程度,以及未能实现既定目标的情况及其原因;(四)研发、财务、采购、生产、销售等主要业务活动的效率;(五)计划、决策、指挥、控制及协调等主要管理活动的效率;(六)经营管理活动预期的经济效益和社会效益等的实现情况;(七)组织为评价、报告和监督特定业务或者项目的经济性、效率性和效果性所建立的内部控制及风险管理体系的健全性及其运行的有效性;(八)其他有关事项。第四章绩效审计的方法第九条内部审计机构和内部审计人员应当依据重要性、审计风险和审计成本,选择与审计对象、审计目标及审计评价标准
13、相适应的绩效审计方法,以获取相关、可靠和充分的审计证据。第十条选择绩效审计方法时,除运用常规审计方法以外,还可以运用下列方法:(一)数量分析法,即对经营管理活动相关数据进行计算分析,并运用抽样技术对抽样结果进行评价的方法;(二)比较分析法,即通过分析、比较数据间的关系、趋势或者比率获取审计证据的方法;(三)因素分析法,即查找产生影响的因素,并分析各个因素的影响方向和影响程度的方法;(四)量本利分析法,即分析一定期间内的业务量、成本和利润三者之间变量关系的方法;(五)专题讨论会,即通过召集组织相关管理人员就经营管理活动特定项目或者业务的具体问题进行讨论的方法;(六)标杆法,即对经营管理活动状况进
14、行观察和检查,通过与组织内外部相同或者相似经营管理活动的最佳实务进行比较的方法;(七)调查法,即凭借一定的手段和方式(如访谈、问卷),对某种或者某几种现象、事实进行考察,通过对搜集到的各种资料进行分析处理,进而得出结论的方法;(八)成本效益(效果)分析法,即通过分析成本和效益(效果)之间的关系,以每单位效益(效果)所消耗的成本来评价项目效益(效果)的方法;(九)数据包络分析法,即以相对效率概念为基础,以凸分析和线性规划为工具,应用数学规划模型计算比较决策单元之间的相对效率,对评价对象做出评价的方法;(十)目标成果法,即根据实际产出成果评价被审计单位或者项目的目标是否实现,将产出成果与事先确定的
15、目标和需求进行对比,确定目标实现程度的方法;(十一)公众评价法,即通过专家评估、公众问卷及抽样调查等方式,获取具有重要参考价值的证据信息,评价目标实现程度的方法。第五章绩效审计的评价标准第十一条内部审计机构和内部审计人员应当选择适当的绩效审计评价标准。绩效审计评价标准应当具有可靠性、客观性和可比性。第十二条绩效审计评价标准的来源主要包括:(一)有关法律法规、方针、政策、规章制度等的规定;(二)国家部门、行业组织公布的行业指标;(三)组织制定的目标、计划、预算、定额等;(四)同类指标的历史数据和国际数据;(五)同行业的实践标准、经验和做法。第十三条内部审计机构和内部审计人员在确定绩效审计评价标准
16、时,应当与组织管理层进行沟通,在双方认可的基础上确定绩效审计评价标准。第六章绩效审计报告第十四条绩效审计报告应当反映绩效审计评价标准的选择、确定及沟通过程等重要信息,包括必要的局限性分析。第十五条绩效审计报告中的绩效评价应当根据审计目标和审计证据作出,可以分为总体评价和分项评价。当审计风险较大,难以做出总体评价时,可以只做分项评价。第十六条绩效审计报告中反映的合法、合规性问题,除进行相应的审计处理外,还应当侧重从绩效的角度对问题进行定性,描述问题对绩效造成的影响、后果及严重程度。第十七条绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源,兼顾短期目标和长期目标、个体利益和组织整体利益,
17、提出切实可行的建议。第七章附则第十八条本准则由中国内部审计协会发布并负责解释。第十九条本准则自2014年1月1日起施行。信息系统审计第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据内部审计基本准则,制定本准则。第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信
18、息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计
19、专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域
20、及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。第十条编制信息系统审计方案时,除遵循相关内部审计具体准则的规定,还应当考虑下列因素:(一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标;(二)信息技术管理的组织架构;(三)信息系统框架和信息系统的长期发展规划及近期发展计划;(四)信息系统及其支持的业务流程的变更情况;(五)信息系统的复杂程度;(六)以前年度信息系统内、外部审计所发现的问题及后续审计情况;(七)其他影响信息系统审计的因素。第十一条当信息系统审计作为综合性内部审计项目的一部分时,内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。第四章信息技术风
21、险评估第十二条内部审计人员进行信息系统审计时,应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析和评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。第十三条信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险,包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。第十四条内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时,需要关注下列内容:(一)业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)
22、对业务和用户需求的支持度;(二)信息资产的重要性;(三)对信息技术的依赖程度;(四)对信息技术部门人员的依赖程度;(五)对外部信息技术服务的依赖程度;(六)信息系统及其运行环境的安全性、可靠性;(七)信息技术变更;(八)法律规范环境;(九)其他。第十五条业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,内部审计人员应当了解业务流程,并关注下列信息技术风险:(一)数据输入;(二)数据处理;(三)数据输出。第十六条内部审计人员应当充分考虑风险评估的结果,以合理确定信息系统审计的内容及范围,并对组织的信息技术内部控制设
23、计合理性和运行有效性进行测试。第五章信息系统审计的内容第十七条信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。第十八条信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式,内部审计人员应当根据不同的控制形式采取恰当的审计程序。第十九条组织层面信息技术控制,是指董事会或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。内部审计人员应当考虑下列控制要素中与信息技术相关的内容:(一)控制环境。内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结
24、构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。(二)风险评估。内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。(三)信息与沟通。内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。(四)内部监督。内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。第二十条信息技术一般性控制是指与网络、操作系统、数据库
25、、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应当考虑下列控制活动:(一)信息安全管理。内部审计人员应当关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。(二)系统变更管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。(三)系统开发和采购管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境
26、、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。(四)系统运行管理。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。第二十一条业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:(一)授权与批准;(二)系统配置控制;(三)异常情况报告和差错报告;(四)接口/转换控制;(五)一致性核对;(六)职责分离;(七)系统访
27、问权限;(八)系统计算;(九)其他。第二十二条信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:(一)信息系统开发实施项目的专项审计;(二)信息系统安全专项审计;(三)信息技术投资专项审计;(四)业务连续性计划的专项审计;(五)外包条件下的专项审计;(六)法律、法规、行业规范要求的内部控制合规性专项审计;(七)其他专项审计。第六章信息系统审计的方法第二十三条内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效
28、性:(一)询问相关控制人员;(二)观察特定控制的运用;(三)审阅文件和报告及计算机文档或者日志;(四)根据信息系统的特性进行穿行测试,追踪交易在信息系统中的处理过程;(五)验证系统控制和计算逻辑;(六)登录信息系统进行系统查询;(七)利用计算机辅助审计工具和技术;(八)利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果;(九)其他。第二十四条信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。第二十五条内部审计人员在对信息系统
29、内部控制进行评估时,应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标,并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下,可以考虑适当降低审计频率。第二十六条内部审计人员在审计过程中应当在风险评估的基础上,依据信息系统内部控制评估的结果重新评估审计风险,并根据剩余风险设计进一步的审计程序。第七章附则第二十七条本准则由中国内部审计协会发布并负责解释。第二十八条本准则自2014年1月I日起施行。对舞弊行为进行检查和报告第一章总则第一条为了规范内部审计机构和内部审计人员在审计活动中对舞弊行为进行检查和报告,提高
30、审计效率和效果,根据内部审计基本准则,制定本准则。第二条本准则所称舞弊,是指组织内、外人员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个人带来不正当利益的行为。第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。第二章一般原则第四条组织管理层对舞弊行为的发生承担责任。建立、健全并有效实施内部控制,预防、发现及纠正舞弊行为是组织管理层的责任。第五条内部审计机构和内部审计人员应当保持应有的职业谨慎,在实施的审计活动中关注可能发生的舞弊行为,并对舞弊行为进行检查和报告。第六条内部审计机构
31、和内部审计人员在检查和报告舞弊行为时,应当从下列方面保持应有的职业谨慎:(一)具有识别、检查舞弊的基本知识和技能,在实施审计项目时警惕相关方面可能存在的舞弊风险;(二)根据被审计事项的重要性、复杂性以及审计成本效益,合理关注和检查可能存在的舞弊行为;(三)运用适当的审计职业判断,确定审计范围和审计程序,以检查、发现和报告舞弊行为;(四)发现舞弊迹象时,应当及时向适当管理层报告,提出进一步检查的建议。第七条由于内部审计并非专为检查舞弊而进行,即使审计人员以应有的职业谨慎执行了必要的审计程序,也不能保证发现所有的舞弊行为。第八条损害组织经济利益的舞弊,是指组织内、外人员为谋取自身利益,采用欺骗等违
32、法违规手段使组织经济利益遭受损害的不正当行为。具体包括下列情形:(一)收受贿赂或者回扣;(二)将正常情况下可以使组织获利的交易事项转移给他人;(三)贪污、挪用、盗窃组织资产;(四)使组织为虚假的交易事项支付款项;(五)故意隐瞒、错报交易事项;(六)泄露组织的商业秘密;(七)其他损害组织经济利益的舞弊行为。第九条谋取组织经济利益的舞弊,是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益,采用欺骗等违法违规手段,损害国家和其他组织或者个人利益的不正当行为。具体包括下列情形:(一)支付贿赂或者回扣;(二)出售不存在或者不真实的资产;(三)故意错报交易事项、记录虚假的交易事项,使财务
33、报表使用者误解而作出不适当的投融资决策;(四)隐瞒或者删除应当对外披露的重要信息;(五)从事违法违规的经营活动;(六)偷逃税款;(七)其他谋取组织经济利益的舞弊行为。第十条内部审计人员在检查和报告舞弊行为时,应当特别注意做好保密工作。第三章评估舞弊发生的可能性第十一条内部审计人员在审查和评价业务活动、内部控制和风险管理时,应当从以下方面对舞弊发生的可能性进行评估:(一)组织目标的可行性;(二)控制意识和态度的科学性;(三)员工行为规范的合理性和有效性;(四)业务活动授权审批制度的有效性;(五)内部控制和风险管理机制的有效性;(六)信息系统运行的有效性。第十二条内部审计人员除考虑内部控制的固有局
34、限外,还应当考虑下列可能导致舞弊发生的情况:(一)管理人员品质不佳;(二)管理人员遭受异常压力;(三)业务活动中存在异常交易事项;(四)组织内部个人利益、局部利益和整体利益存在较大冲突。第十三条内部审计人员应当根据可能发生的舞弊行为的性质,向组织适当管理层报告,同时就需要实施的舞弊检查提出建议。第四章舞弊的检查第十四条舞弊的检查是指实施必要的检查程序,以确定舞弊迹象所显示的舞弊行为是否已经发生。第十五条内部审计人员进行舞弊检查时,应当根据下列要求进行:(一)评估舞弊涉及的范围及复杂程度,避免向可能涉及舞弊的人员提供信息或者被其所提供的信息误导;(二)设计适当的舞弊检查程序,以确定舞弊者、舞弊程
35、度、舞弊手段及舞弊原因;(三)在舞弊检查过程中,与组织适当管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通;(四)保持应有的职业谨慎,以避免损害相关组织或者人员的合法权益。第五章舞弊的报告第十六条舞弊的报告是指内部审计人员以书面或者口头形式向组织适当管理层或者董事会报告舞弊检查情况及结果。第十七条在舞弊检查过程中,出现下列情况时,内部审计人员应当及时向组织适当管理层报告:(一)可以合理确信舞弊已经发生,并需要深入调查;(二)舞弊行为已经导致对外披露的财务报表严重失实;(三)发现犯罪线索,并获得了应当移送司法机关处理的证据。第十八条内部审计人员完成必要的舞弊检查程序后,应当从舞弊行为的
36、性质和金额两方面考虑其严重程度,并出具相应的审计报告。审计报告的内容主要包括舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施。第六章附则第十九条本准则由中国内部审计协会发布并负责解释。第二十条本准则自2014年1月1日起施行。经济责任审计第一章总则第一条为了规范经济责任审计工作,提高审计质量和效果,根据党政主要领导干部和国有企业领导人员经济责任审计规定、党政主要领导干部和国有企业领导人员经济责任审计规定实施细则和内部审计基本准则,制定本准则。第二条本准则所称经济责任,是指领导干部任职期间因其所任职务,依法对所在部门、单位、团体或企业(含金融机构)的财政、财务收
37、支以及有关经济活动应当履行的职责、义务。第三条本准则所称经济责任审计,是指内部审计机构对本组织所管理的领导干部经济责任的履行情况进行监督、评价和鉴证的行为。第四条本准则适用于各类组织的内部审计机构、内部审计人员所从事的经济责任审计活动。其他单位或者人员接受委托、聘用,承办或者参与经济责任审计业务,也应当遵守本准则。第二章一般原则第五条经济责任审计的对象包括:党政工作部门、事业单位和人民团体下属独立核算单位的主要领导人员,以及下属非独立核算但负有经济管理职能单位的主要领导人员;企业(含金融机构)下属全资或控股企业的主要领导人员,以及对经营效益产生重大影响或掌握重要资产的部门和机构的主要领导人员等
38、。第六条经济责任审计应当有计划地进行,一般由干部管理部门书面委托内部审计机构负责实施。内部审计机构应当结合干部管理部门提出的年度委托建议,拟定年度经济责任审计计划,报请主管领导批准后,纳入年度审计计划并组织实施。组织可以结合实际,建立经济责任审计工作联席会议制度,负责经济责任审计的委托和其他重大经济责任事项的审定。第三章审计内容第七条内部审计机构应当根据被审计领导干部的职责权限和履行经济责任情况,结合其所在组织或者原任职组织的实际情况,确定审计内容。第八条经济责任审计的主要内容一般包括:(一)贯彻执行党和国家有关经济方针政策和决策部署,推动组织可持续发展情况;(二)组织治理结构的健全和运转情况
39、;(三)组织发展战略的制定和执行情况及其效果;(四)遵守有关法律法规和财经纪律情况;(五)各项管理制度的健全和完善,特别是内部控制制度的制定和执行情况,以及对下属单位的监管情况;(六)财政、财务收支的真实、合法和效益情况;(七)有关目标责任制完成情况;(八)重大经济事项决策程序的执行情况及其效果;(九)重要项目的投资、建设、管理及效益情况;(十)资产的管理及保值增值情况;(十一)本人遵守廉洁从业规定情况;(十二)对以往审计中发现问题的整改情况;(十三)其他需要审计的内容。第四章审计程序和方法第九条经济责任审计可分为准备、实施、终结和后续审计四个阶段。(一)审计准备阶段主要工作包括:组成审计组、
40、开展审前调查、编制审计方案和下达审计通知书。审计通知书送达被审计领导干部及其所在组织,并抄送有关部门。(二)审计实施阶段主要工作包括:召开进场会议、收集有关资料、获取审计证据、编制审计工作底稿、与被审计领导干部及其所在组织交换意见。被审计领导干部应当参加审计进点会并做述职。(三)审计终结阶段主要工作包括:编制审计报告、征求意见、修改与审定审计报告、出具审计报告、建立审计档案。(四)后续审计阶段主要工作包括:检查审计发现问题的整改情况和审计建议的实施效果。第十条内部审计人员应当考虑审计目标、审计重要性、审计风险和审计成本等因素,综合运用审核、观察、监盘、访谈、调查、函证、计算和分析程序等方法,获
41、取相关、可靠和充分的审计证据。第五章审计评价第十一条内部审计机构应当依据法律法规、国家有关政策以及干部考核评价等规定,结合所在组织的实际情况,根据审计查证或者认定的事实,客观公正、实事求是地进行审计评价。第十二条审计评价应当遵循全面性、重要性、客观性、相关性和谨慎性原则。审计评价应当与审计内容相一致,一般包括被审计领导干部任职期间履行经济责任的业绩、主要问题以及应当承担的责任。第十三条审计评价可以综合运用多种方法,主要包括:进行纵向和横向的业绩比较分析;运用与被审计领导干部履行经济责任有关的指标量化分析;将被审计领导干部履行经济责任的行为或事项置于相关经济社会环境中进行对比分析等。内部审计机构
42、应当根据审计内容和审计评价的需要,合理选择和设定定性和定量评价指标。第十四条审计评价的依据一般包括:(一)法律、法规、规章、规范性文件;(二)国家和行业的有关标准;(三)组织的内部管理制度、发展战略、规划、目标;(四)有关领导的职责分工文件,有关会议记录、纪要、决议和决定,有关预算、决算和合同;(五)有关职能部门、主管部门发布或者认可的统计数据、考核结果和评价意见;(六)专业机构的意见和公认的业务惯例或者良好实务;(七)其他依据。第十五条对被审计领导干部履行经济责任过程中存在的问题,内部审计机构应当按照权责一致原则,根据领导干部的职责分工,结合相关事项的决策环境、决策程序等实际情况,依法依规进
43、行责任界定。被审计领导干部对审计中发现的问题应当承担的责任包括:直接责任、主管责任和领导责任。对被审计领导干部应当承担责任的问题或者事项,可以提出责任追究建议。第十六条被审计领导干部以外的其他人员对有关问题应当承担的责任,内部审计机构可以以适当方式向干部管理监督部门等提供相关情况。第六章审计报告第十七条内部审计机构实施经济责任审计项目后,应当出具审计报告。第十八条审计组实施审计后,应当将审计报告书面征求被审计领导干部及其所在组织的意见。内部审计机构应当针对收到的书面意见,进一步核实情况,对审计报告作出必要的修改。被审计领导干部及其所在组织应当自接到审计组的审计报告之日起10日内提出书面意见;1
44、0日内未提出书面意见的,视同无异议。第十九条经济责任审计报告的内容,主要包括:(一)基本情况,包括审计依据、实施审计的情况、被审计领导干部所在组织的基本情况、被审计领导干部的任职及分工情况等;(二)被审计领导干部履行经济责任的主要情况;(三)审计发现的主要问题和责任认定;(四)审计评价;(五)审计处理意见和建议;(六)其他必要的内容。审计中发现的有关重大事项,可以直接报送主管领导或者相关部门,不在审计报告中反映。第二十条内部审计机构应当将审计报告报送主管领导;提交委托审计的干部管理部门;抄送被审计领导干部及其所在组织和相关部门。内部审计机构可以根据实际情况撰写并向委托部门报送经济责任审计结果报
45、告。第七章审计结果运用第二十一条经济责任审计结果应当作为干部考核、任免和奖惩的重要依据。内部审计机构应当促进经济责任审计结果的充分运用,推进组织健全经济责任审计情况通报、责任追究、整改落实、结果公告等制度。第二十二条内部审计机构发现被审计领导干部及其所在组织违反内部规章制度时,可以建议由组织的权力机构或有关部门对责任单位和责任人员作出处理、处罚决定;发现涉嫌违法违规线索时,应当将线索移送纪检监察部门或司法机关查处并协助其落实、查处与审计项目相关的问题和事项。第二十三条内部审计机构应当及时跟踪、了解、核实被审计领导干部及其所在组织对于审计查实问题和审计建议的整改落实情况。必要时,内部审计机构应当开展后续审计,审查和评价被审计领导干部及其所在组织对审计发现的问题所采取的整改情况。第二十四条内部审计机构应当将经济责任审计结果和被审计领导干部及其所在组织的整改落实情况,在一定范围内进行公告;对审计发现的典型性、普遍性、倾向性问题和有关建议,以综合报告、专题报告等形式报送主要领导,提交有关部门。
