内部审计基本规则
内审:确认和咨询活动,对组织的业务活动、内部控制和风险管理的适当性和有效性。 内审章程:明确内审的目标、职责和权限。 应当保持独立性和客观性,不得负责被审计单位的业务活动、内控和风险管理的决策与执行。
充分运用重要性原则,合理确定重要性水平。
在审计工作底稿中记录审计程序的执行过程,获取的审计证据。作出的审计结论 关注舞弊风险,对舞弊行为进行检查和报告。 审计报告应当包含是否遵循内审准则的声明。 制定内审工作手册。
对内审质量实施有效控制,建立指导、监督、分级复核和内审质量评估制度 编制中长期审计规划、年度审计计划、本机构人力资源计划和财务预算。 2014年1月1日起实行。
内审人员职业道德规范
应当诚实、守信,不应有下列行为:
(一)歪曲事实;
(二)隐瞒审计发现的问题;
(三)进行缺少证据支持的判断;
(四)做误导性的或者含糊的陈述。
内部审计人员在实施内部审计业务时,应当廉洁、正直,不应有下列行为:
(一)利用职权谋取私利;
(二)屈从于外部压力,违反原则。
内部审计人员实施内部审计业务前,应当采取下列步骤对客观性进行评估:
(一)识别可能影响客观性的因素;
(二)评估可能影响客观性因素的严重程度;
(三) 向审计项目负责人或者内部审计机构负责人报告客观 性受损可能造成的影响。
内部审计人员应当识别下列可能影响客观性的因素:
(一)审计本人曾经参与过的业务活动;
(二)与被审计单位存在直接利益关系;
(三)与被审计单位存在长期合作关系;
(四)与被审计单位管理层有密切的私人关系;
(五)遭受来自组织内部和外部的压力;
(六)内部审计范围受到限制;
(七)其他。
当内部审计人员的客观性受到严重影响,且无法采取适当措施降低影响时,停止实施有关业务,并及时向董事会或者最高管理层报告。
审计计划
审计计划包括年度审计计划和项目审计方案。 年度审计计划应包括:
(一)年度审计工作目标;
(二)具体审计项目及实施时间;
(三)各审计项目需要的审计资源;
(四)后续审计安排。
编制年度审计计划前,重点了解:
(一)组织的战略目标、年度目标及业务活动重点;
(二)对相关业务活动有重大影响的法律、法规、政策、计划和合同;
(三)相关内部控制的有效性和风险管理水平;
(四)相关业务活动的复杂性及其近期变化;
(五)相关人员的能力及其岗位的近期变动; 六)其他与项目有关的重要情况。 编制审计方案前,重点了解:
(一)业务活动概况;
(二)内部控制、风险管理体系的设计及运行情况;
(三)财务、会计资料;
(四)重要的合同、协议及会议记录;
(五)上次审计结论、建议及后续审计情况;
(六)上次外部审计的审计意见;
(七)其他与项目审计方案有关的重要情况。
审计通知书
3日前送达被审计单位。
经责审计送达被审计人员及其所在单位,并抄送有关部门。 审计通知书内容:需要被审计单位提供的资料及其他必要的协助要求;审计组组长及其审计组成员名单。
审计证据
获取审计证据应当考虑:
(一)具体审计事项的重要性。内部审计人员应当从数量和性
质两个方面判断审计事项的重要性,以做出获取审计证据的决策。
(二)可以接受的审计风险水平。证据的充分性与审计风险水平密切相关。可以接受的审计风险水平越低,所需证据的数量越多。
(三)成本与效益的合理程度。获取审计证据应当考虑成本与效益的对比,但对于重要审计事项,不应当将审计成本的高低作为减少必要审计程序的理由。
(四)适当的抽样方法。
审计证据的名称、来源、内容、时间等完整、清晰地记录于工作底稿中。 对被审计单位有异议的审计证据,内审人员应当进一步核实。
内审获取的审计证据如有必要,应当由证据提供者签名或签章。如其拒绝签名或签章,内审人员应当注明原因和日期。内审人员应当对获取的审计证据进行分类、筛选和汇总,保证审计证据相关性、可靠性和充分性。
评价审计证据时,应当考虑审计证据之间的互相印证及证据来源的可靠程度。 审计工作底稿
建立工作底稿的分级复核制度,明确各级复核人员的要求和责任。 项目审计方案的编制及调整情况应当编制审计工作底稿。
审计工作底稿可以使用各种审计标识,但应当注明含义并保持前后一致。 审计复核应当由比底稿编制人员职位更高或经验更为丰富的人员承担,如发现底稿存在问题,复核人员应当在复核意见中说明,并要求相关人员补充或修改审计工作底稿。 内部审计机构以外的组织和个人要求查阅工作底稿,必须经内审机构负责人或主管领导批准。
结果沟通
就审计概况、审计依据、审计发现、审计结论、审计意见和审计建议与被审计单位进行讨论和交流。
内审机构应当建立审计结果沟通制度,明确各级人员的责任,进行积极有效的沟通。 沟通一般采取书面或口头方式。
在审计报告正式提交之前进行审计结果的沟通。
将结果沟通的有关书面材料作为工作底稿归档保存。 被审计单位对审计结果有异议,应当进行核实和答复。
内审机构负责人发现的重大问题及时与组织管理层进行沟通。
审计报告
如有必要,可以在审计过程中提交期中报告,以便及时采取有效的纠正措施改善业务活动\\内控和风险管理。
建立健全审计报告分级复核制度,明确规定各级复核人员的要求和责任。 审计报告的附件包括对审计过程、审计中发现问题所作出的具体说明,及被审计单位的反馈意见的内容。
被审计单位对审计报告有异议的,应当核实,必要时修改审计报告。经修改后的审计报告,应当连同被审计单位的反馈意见及时报送内审机构负责人复核。
后续审计
内审机构负责人如果初步认定被审计单位管理层对审计发现的问题已采取了有效的纠正措施,可以将后续审计作为下次审计工作的一部分。
如被审计单位决定对审计发现的问题不采取纠正措施并作出书面承诺时,内审机构负责人应当向最高管理层报告。
项目审计负责人应当编制后续审计方案,对后续审计作出安排。
审计抽样
抽样总体的确定应当遵循相关性、充分性和经济性原则。 审计抽样包括统计抽样和非统计抽样。实际使用时可以采取统计抽样、非统计抽样或两种方法结合使用。 选取的样本应当有代表性,具有与审计总体相似的特征。 选取样本时,应当对业务活动中存在的重大差异或缺陷的风险以及审计过程中的检查风险进行评估,并充分考虑因抽样引起的抽样风险及其他因素引起的非抽样风险。
抽样结果的评价应当从定量和定性两个方面进行,并以此为依据合理推断审计总体特征。
内审人员应当根据审计重要性水平,合理确定预计总体误差、可容忍误差和可靠程度。 审计人员根据审计总体、可容忍误差、预计总体误差、抽样风险和可靠程度确定样本量。 抽样程序:制定审计抽样方案、选取样本、对样本进行审查、评价抽样结果(根据样本误差,采取适当方法推断审计总体误差,如推断的总体误差超过可容忍误差,应当增加样本量或执行替代审计程序。)、根据抽样结果推断总体特征、形成审计结论。
分析程序
发现业务活动的合理性。发现差异;分析潜在的差异和漏洞;发现不合法和不合规行为的线索。 分析内容(当期信息与历史信息相比较,分析其波动情况及发展趋势;当期信息与预测、计划或预算信息相比较,并作差异分析;当期信息与内审人员预期信息相比较,分析差异;被审计单位信息与组织其他部门类似信息相比较,分析差异;被审计单位信息与行业相关信息相比较,分析差异;对财务信息与非财务信息之间的关系、比率的计算与分析;对重要信息内部组成因素的关系、比率的计算与分析。) 分析程序可以单独或综合运用多种具体方法。 需要执行分析程序的时间:审计计划阶段(了解被审计事项的基本情况,确定审计重点); 审计实施阶段(审查业务活动、内控和风险管理,获取审计证据);审计终结阶段(验证其他审计程序所得结论的合理性,以保证审计质量)
影响分析程序的因素:被审计事项的重要性;内控、风险管理的适当性和有效性;获取信息的便捷性和可靠性;分析程序执行人员的专业素质;分析程序操作的规范性。 发现差异时:询问管理层获取其解释和答复;实施必要的审计程序,确认管理层解释和答复的合理性与可靠性;如果管理层没有做出恰当解释,应当扩大审计范围,执行其他审计程序,以便得出审计结论。
对舞弊行为进行检查和报告
内审人员在实施审计活动中关注可能发生的舞弊行为,并对其进行检查和报告。 发现舞弊迹象时,应当及时向适当管理层报告,提出进一步检查的建议。 不能保证发现所有的舞弊行为。
从以下方面对舞弊发生的可能性进行评估:组织目标的可行性;控制意识和态度的科学性;员工行为规范的合理性和有效性;业务活动授权审批制度的有效性;内部控制和风险管理机制的有效性;信息系统运行的有效性。
除了考虑内控的固有局限外还应考虑下列可能导致舞弊发生的情况:管理人员品质不佳;管理人员遭受异常压力;业务活动中存在异常交易事项;组织内部个人利益、局部利益和整体利益存在较大冲突。 进行舞弊检查应根据以下进行:评估舞弊涉及的范围及复杂程度,避免向可能涉及舞弊的人员提供信息或被其所提供的信息误导;设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因;在舞弊检查过程中,与组织适当管理层、专业舞弊调查人员\\法律顾问及其他专家保持必要的沟通;保持应有的职业谨慎,以避免损害相关组织或人员的合法权益。 出现下列情况时,内审人员应当及时向组织适当管理层报告:可以合理确信舞弊已经发生,并需要深入调查;舞弊行为已经导致对外披露的财务报表严重失实;发现犯罪线索,并获得了应当移送司法机关处理的证据。
审计报告的内容包括:舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施。
内部审计机构的管理
内部审计工作手册包括:内部审计机构的目标、权限和职责的说明;内部审计机构的组织、管理及工作说明;内部审计机构的岗位设置及岗位职责说明;主要审计工作流程;内部审计质量控制制度、程序和方法;内部审计人员职业道德规范和奖惩措施;其他。 内部审计机构应当制定内部审计质量控制制度,通过实施督导、分级复核、审计质量内部评估、接受审计质量外部评估等,保证审计质量。
内部审计机构负责人:审定项目审计方案;审定审计报告;督促被审计单位对审计发现问题的整改——
审计项目负责人:编制项目审计方案;组织审计项目实施;——
采取辅助管理工具:审计工作授权表;审计任务清单;审计工作底稿检查表;审计文书跟踪表;其他。
人际关系
内部审计人员应当与对内审工作负有领导责任的组织适当管理层进行沟通,沟通途径包括:与组织适当管理层就审计计划进行沟通,达成共识;咨询组织适当管理层,了解内控环境;根据审计发现的问题和作出的审计结论,及时向组织适当管理层提出审计意见和建议;出具书面审计报告之前,利用各种沟通方式征求组织适当管理层对审计结论、意见和建议的意见。
加上:在了解被审计单位基本情况时,应当进行及时、有效的沟通和协调;通过询问、会谈、会议、问卷调查等沟通方式,了解被审计单位业务活动、内控和风险管理的情况。 与组织内其他职能部门建立良好的人际关系,确保在以下方面得到支持与配合:了解组织及相关职能部门的情况;寻求审计中发现问题的解决方法;落实审计结论、意见和建议;有效利用审计成果;其他。
内部审计质量控制
分为内部审计机构质量控制和内部审计项目质量控制。
通过督导、分级复核、质量评估等方式对内部审计质量进行控制。 内部审计机构质量控制包括下列措施:——制定内审工作手册;编制年度审计计划及项目审计方案;建立审计项目督导和复核机制;开展审计质量评估;对审计质量进行考核与评估——
内部审计项目质量控制:内部审计项目负责人对审计项目质量负责。 内部审计项目负责人在检查已实施的审计工作是,应当关注下列内容:审计工作是否已按照审计准则和职业道德规范的规定执行;审计证据是否相关、可靠和充分;审计工作是否实现了审计目标。
绩效审计
绩效审计:对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。 经济性:获得的一定数量和质量的产品或服务及其他成果所耗费的资源最少; 效率性:投入资源与产出成果之间的对比关系; 效果性:经营目标的实现程度。
内部审计机构应当充分考虑实施绩效审计对内部审计人员专业胜任能力的需求,合理配置审计资源。
在确定绩效审计对象时,既可以针对组织的全部或部分经营管理活动,也可以针对特定项目和业务。
绩效审计可以同时对组织经营管理活动的经济性、效率性和效果性进行审查和评价,也可以只侧重某一方面进行审查和评价。 绩效审计主要审查和评价下列内容:
1.有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠;
2.相关经营管理活动的资源取得、配置和使用的合法性、合理性、恰当性和节约性; 3.经营活动既定目标的适当性、相关性、可行性和实现程度,以及未能实现的情况及其原因;
4.主要业务活动的效率;
5.计划、决策、指挥、控制及协调等主要管理活动的效率; 6.经营管理活动预期的经济效益和社会效益等的实现情况;
7.组织所建立的内部控制及风险管理体系的健全性及其运行的有效性; 8.其他
绩效审计的方法:应当依据重要性、审计风险和审计成本,选择与审计对象、审计目标及审计评价标准相适应的绩效审计方法。除运用常规审计方法外,还运用下列方法:数量分析法(对经营管理活动相关数据进行计算分析,并运用抽样技术对抽样结果进行评价的方法);比较分析法(通过分析、比较数据间的关系、趋势或比率获取审计证据的方法);因素分析法(查找产生影响的因素,并分析各个因素的影响方向和影响程度的方法);量本利分析法(分析一定期间内的业务量、成本和利润三者之间变量关系的方法);专题讨论会(召集组织相关管理人员就特定项目或业务的具体问题进行讨论的方法);标杆法(与组织内外部的最佳实务进行比较的方法);调查法(通过访谈、问卷对某种或某几种现象、事实进行考察,对搜集到的各种资料进行分析处理,得出结论的方法);成本效益(效果)分析法(分析成本和效益(效果)之间的关系,以每单位效益(效果)所消耗的成本来评价项目效益(效果)的方法;数据包络分析法(以相对效率概念为基础,以凸分析和线性规划为工具,应用数学规划模型计算比较决策单元之间的相对效率,对评价对象做出评价的方法);目标成果法(根据实际产出成果评价被审计单位或项目的目标是否实现,将产出成果与事先确定的目标和需求进行对比,确定目标实现程度的方法;)公众评价法(通过专家评估、公众问卷及抽样调查等方式,获取证据,评价目标实现程度的方法。 绩效审计的评价标准:应当选择适当的绩效审计评价标准,该标准应当具有可靠性、客观性和可比性。评价标准的来源主要包括:
1.有关法律法规、方针、政策、规章制度等的规定; 2.国家部门、行业组织公布的行业指标; 3.组织制定的目标、计划、预算、定额等; 4.同类指标的历史数据和国际数据; 5.同行业的实践标准、经验和做法。
在内部机构和内审人员确定绩效审计评价标准时应当与组织管理层进行沟通,在双方认可的基础上确定。
审计报告应当反映绩效审计评价标准的选择、确定及沟通过程等重要信息,包括必要的局限性分析。
绩效评价应当根据审计目标和审计证据作出,可以分为总体评价和分项评价。当审计风险较大,难以做出总体评价时,可以只做分项评价。
绩效审计报告中反映的合法、合规性问题,除进行相应的审计处理外,还应当侧重从绩效的角度对问题进行定性,描述问题对绩效造成的影响、后果及严重程度。
绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源,兼顾短期目标和长期目标、个体利益和组织整体利益,提出切实可行的建议。
需要订立:
内审章程:明确内审的目标、职责和权限。
内部审计工作手册包括:内部审计机构的目标、权限和职责的说明;内部审计机构的组织、管理及工作说明;内部审计机构的岗位设置及岗位职责说明;主要审计工作流程;内部审计质量控制制度、程序和方法;内部审计人员职业道德规范和奖惩措施;其他。 建立工作底稿的分级复核制度,明确各级复核人员的要求和责任。
内审机构应当建立审计结果沟通制度,明确各级人员的责任,进行积极有效的沟通。 建立健全审计报告分级复核制度,明确规定各级复核人员的要求和责任。
内部审计机构应当制定内部审计质量控制制度,通过实施督导、分级复核、审计质量内部评估、接受审计质量外部评估等,保证审计质量。
