1内部审计详解.pptVIP

第五条 内部控制审计应当以风险评估为基础，根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度，确定审计的范围和重点。 内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。 第八条 内部控制审计按其范围划分，分为全面内部控制审计和专项内部控制审计 第九条 内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定，根据组织的实际情况和需要，通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对组织层面内部控制的设计与运行情况进行审查和评价。（10-14条解释五要素） 第十五条 内部审计人员根据管理需求和业务活动的特点，可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等，对业务层面内部控制的设计和运行情况进行审查和评价。 第十六条 内部控制审计主要包括下列程序： （一）编制项目审计方案； （二）组成审计组； （三）实施现场审查； （四）认定控制缺陷； （五）汇总审计结果； （六）编制审计报告。 第二十一条 内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果，结合相关管理层的自我评估，综合分析后提出内部控制缺陷认定意见，按照规定的权限和程序进行审核后予以认定。 第二十二条 内部审计人员应当根据获取的证据，对内部控制缺陷进行初步认定，并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷，是指一个或者多个控制缺陷的组合，可能导致组织严重偏离控制目标。 重要缺陷，是指一个或者多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致组织偏离控制目标。 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 第二十三条 内部审计人员应当编制内部控制缺陷认定汇总表，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向组织适当管理层报告。 重大缺陷应当及时向组织董事会或者最高管理层报告 内部控制结束 第二条 本准则所称绩效审计，是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。 第2202号内部审计具体准则——绩效审计 第八条 绩效审计主要审查和评价下列内容： （一）有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠； （二）相关经营管理活动的人、财、物、信息、技术等资源取得、配置和使用的合法性、合理性、恰当性和节约性； （三）经营管理活动既定目标的适当性、相关性、可行性和实现程度，以及未能实现既定目标的情况及其原因； （四）研发、财务、采购、生产、销售等主要业务活动的效率； （五）计划、决策、指挥、控制及协调等主要管理活动的效率； （六）经营管理活动预期的经济效益和社会效益等的实现情况； （七）组织为评价、报告和监督特定业务或者项目的经济性、效率性和效果性所建立的内部控制及风险管理体系的健全性及其运行的有效性； （八）其他有关事项。 第十二条 绩效审计评价标准的来源主要包括 （一）有关法律法规、方针、政策、规章制度等的规定； （二）国家部门、行业组织公布的行业指标； （三）组织制定的目标、计划、预算、定额等 （四）同类指标的历史数据和国际数据； （五）同行业的实践标准、经验和做法。 第十三条 内部审计机构和内部审计人员在确定绩效审计评价标准时，应当与组织管理层进行沟通，在双方认可的基础上确定绩效审计评价标准。 第十六条 绩效审计报告中反映的合法、合规性问题，除进行相应的审计处理外，还应当侧重从绩效的角度对问题进行定性，描述问题对绩效造成的影响、后果及严重程度。 绩效审计结束 第2203号内部审计具体准则——信息系统审计 第二条 本准则所称信息系统审计，是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。 第六条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时，实施信息系统审计可以利用外部专家服务。 第七条 信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。 第十二条 内部审计人员进行信息系统审计时，应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析和评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。 第十三条 信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。 信息技术风险，包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。 信息系统审计结束 第2204号内部审计具体准则