内部审计具体准则第28号——信息系统审计
2018-11-25
关于第28号、29号内部审计具体准则和第3号内部审计实务指南发布的通知
各会员单位:
第28号、29号内部审计具体准则和第3号内部审计实务指南已经审议通过,现予以发布,自2009年1月1日起施行。
各省、自治区、直辖市和计划单列市内部审计(师)协会,中国内部审计协会各分会,各会员单位应认真组织学习,加强宣传,以确保内部审计准则与指南的全面贯彻实施。
附件:1. 内部审计具体准则第28号—信息系统审计
2. 内部审计具体准则第29号―内部审计人员后续教育
3. 内部审计实务指南第3号—审计报告
内部审计具体准则第28 号—信息系统审计
第一章 总 则
第一条 为了规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,根据《内部审计基本准则》制定本准则。
第二条 本准则所称信息系统审计,是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
第二章 一般原则
第四条 信息系统审计的目的是通过实施信息系统审计工作,对组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
第五条 组织中信息技术管理人员的责任是信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条 从事信息系统审计人员的专业胜任能力是指在信息系统审计领域,胜任管理层与其他利益方的委托、履行其信息系统审计职能所应拥有的相关知识、技能和素质。信息系统审计人员应当熟悉内部审计业务并具备必要的信息技术及信息系统审计的专业知识。此外,审计项目负责人员应具有三年以上信息系统审计相关工作经验,或六年以上相关业务的从业经验。由于组织特殊性而产生的例外情况,应当获得组织管理层的特别授权。组织应当建立信息系统审计人员培训制度,鼓励审计人员取得注册信息系统审计师等执业资格,以保证审计人员的专业胜任能力。必要时,信息系统审计可利用外部专家的服务。
第七条 信息系统审计可作为独立的审计项目组织实施、或作为综合性内部审计项目的组成部分实施。
第八条 信息系统审计划分为以下阶段:审计计划阶段、审计实施阶段、审计报告与后续工作阶段。
第九条 审计人员应采用以风险为导向的审计方法进行信息系统审计,风险评估应贯穿审计的计划、实施、报告与后续工作各个阶段。
第三章 审计计划
第十条 内部审计人员在执行信息系统审计之前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,并以此制定信息系统审计计划。
第十一条 制定信息系统审计计划时,应遵循其他相关内部审计具体准则规定的因素,同时针对信息系统审计的特殊性,审计人员还应充分考虑以下因素:
(一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标;(二)信息技术管理的组织架构;(三)信息系统框架和信息系统的长期发展规划及近期发展计划;(四)信息系统及其支持的业务流程的变更情况;(五)信息系统的复杂程度;(六)以前年度信息系统内、外部审计等相关的审计发现及后续审计情况。
第十二条 信息系统审计作为综合性内部审计项目的一部分时,审计人员在审计计划阶段还应综合考虑相关内部审计的审计目标及要求。
第四章 信息技术风险评估
第十三条 进行信息系统审计时,审计人员应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析及评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。
第十四条 信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。
第十五条 审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注以下几方面:
(一)业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度;(二)信息资产的重要性;(三)对信息技术的依赖程度;(四)对信息技术部门人员的依赖程度;(五)对外部信息技术服务的依赖程度;(六)信息系统及其运行环境的安全性、可靠性;(七)信息技术变更;(八)法律规范环境;(九)其他。
第十六条 业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,审计人员应了解业务流程并关注以下几方面信息技术风险:
(一)数据输入;(二)数据处理;(三) 数据输出。
第十七条 审计人员应充分考虑风险评估的结果,以合理确定信息系统审计的内容及范围,并对组织的信息技术内部控制的设计有效性和执行有效性进行测试。
第五章 信息系统审计的内容
第十八条 信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
第十九条 信息技术内部控制的各个层面都包括人工控制、自动控制和人工、自动相结合的控制形式,审计人员应根据不同的控制形式采取恰当的审计程序。
第二十条 组织层面信息技术控制是指管理层及治理层对信息技术治理职能及内部控制的重要性的态度、认识和措施,审计人员应考虑以下控制要素中与信息技术相关的内容:
(一)控制环境
审计人员应关注该组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面;
(二)风险评估
审计人员应关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况、信息资产的分类以及信息资产所有者的职责等方面;
(三)信息与沟通
审计人员应关注组织的信息系统架构及其对财务、业务流程的支持度、管理层及治理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面;
(四)监控
审计人员应关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。
第二十一条 信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应考虑以下控制活动:
(一)信息安全管理
审计人员应关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等;
(二)系统变更管理
审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等;
(三)系统开发和采购管理
审计人员应关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节;
(四)系统运行管理
审计人员应关注组织的信息技术资产管理、系统容量管理、系统物理环境控制,系统和数据备份及恢复管理,问题管理和系统的日常运行管理等。
第二十二条 业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑以下与数据输入、数据处理以及数据输出环节相关的控制活动:
(一)授权与批准;(二)系统配置控制;(三)异常情况报告和差错报告;(四)接口/转换控制;(五)一致性核对;(六)职责分离;(七)系统访问权限;(八)系统计算;(九)其他。
第二十三条 信息系统审计除上述常规的审计内容外,审计人员还可以根据组织当前面临的特殊风险或需求,设计专项审计以满足审计战略,具体包括但不限于下列领域:
(一)信息系统开发实施项目的专项审计;(二)信息系统安全专项审计;(三)信息技术投资专项审计;(四)业务连续性计划的专项审计;(五)外包条件下的专项审计;(六)法律法规、行业规范要求的内部控制的合规性的专项审计;(七)其他专项审计。
第六章 信息系统审计的方法
第二十四条 审计人员在进行审计与信息技术相关内部控制及流程中可以单独或综合应用下列的审计方法来获取充分、适当的审计证据以评估信息技术内部控制的设计有效性和执行有效性:
(一)询问相关的控制人员;(二)观察特定控制的运用;(三)审阅文件和报告;(四)根据信息系统的特性,进行穿行测试,追踪交易在信息系统中的处理过程; (五)验证系统控制和计算逻辑;(六)登录信息系统进行系统查询;(七)利用计算机辅助审计工具和技术;(八)保证独立性、客观性及职业技能的质量控制前提下,利用其他专业机构的审计结果或组织对信息技术内部控制的自我评估结果;(九)其他
第二十五条 信息系统审计人员可以根据需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑的验证、审计样本选取等;审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。
第二十六条 审计人员在对信息技术内部控制进行评估时,应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标,并应充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可根据情况适当减少样本量。在系统未发生变更的情况下,可考虑适当降低审计频率。
第二十七条 审计人员在审计过程中进行风险评估,并在此基础上依据信息技术内部控制评估的结果重新评估审计风险,并根据剩余风险来进一步设计审计程序。
第二十八条 审计工作底稿应以正式的书面或电子形式进行记录,其中应包含审计程序、审计发现和审计结论以及支持审计结论的审计工作细节及审计证据。审计过程中获取的电子数据应建立严格的电子数据归档措施,并对敏感数据进行严格的保密管理。
第七章 审计报告与后续工作
第二十九条 在审计实施结束后,审计人员应以充分、可靠及相关的审计证据为依据形成审计结论与建议,出具审计报告,形成审计结果,追踪审计建议的落实并执行相应后续审计程序。
第三十条 当信息系统审计作为综合性内部审计项目的一部分时,审计人员应及时与其它相关内部审计人员沟通信息系统内部审计的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八章 附则
第三十一条 本准则由中国内部审计协会负责解释。
第三十二条 本准则自2009年1月1日起施行。
内部审计具体准则第29 号——内部审计人员后续教育
第一章 总则
第一条 为了规范内部审计人员后续教育,保持和提高内部审计人员的专业胜任能力,根据《内部审计基本准则》、《内部审计人员职业道德规范》制定本准则。
第二条 本准则所称的后续教育,是指内部审计人员为保持和提高其专业胜任能力,掌握和运用相关新知识、新技能和新法规所进行的学习与研究。
本准则所称的内部审计人员,是指取得内部审计人员岗位资格证书或国际注册内部审计师(CIA)资格证书的人员。
第三条 本准则积极引导其他从事内部审计活动的人员参加后续教育,以增强其专业知识和业务能力。
第四条 本准则适用于各级各类的内部审计(师)协会,各类组织的内部审计机构、内部审计人员进行的后续教育。
第二章 一般原则
第五条 内部审计人员应当根据职业发展需要,确定合理的后续教育内容,选择适当的后续教育形式。
第六条 中国内部审计协会、省级内部审计(师)协会应当明确划分其在后续教育中的职责与权限,合理组织并有效实施后续教育。
市、县级内部审计(师)协会,经中国内部审计协会或省级内部审计(师)协会授权,也可组织实施管辖范围内的后续教育。
内部审计机构应当为内部审计人员接受后续教育提供必要的保障。
第七条 中国内部审计协会、省级内部审计(师)协会应当定期检查与考核后续教育情况,确保后续教育质量。
第三章 内容与形式
第八条 后续教育应当讲求实效、学以致用。主要内容包括:
(一)国家颁布的有关法律法规;(二)内部审计准则及内部审计人员职业道德规范;(三)内部审计理论与实务;(四)会计理论与方法;(五)信息技术理论与应用技术;(六)公司治理、内部控制和风险管理理论;(七)其他相关专业知识与技能。
第九条 后续教育应当区分内部审计机构负责人、审计项目负责人和审计助理人员三个层次,突出重点、按需施教。具体内容包括:
(一)内部审计机构负责人应当学习和研究组织领导本单位(部门)内部审计工作方面的知识和技能,包括:相关法律法规、内部审计准则和会计准则及其最新变化,内部审计在公司治理、内部控制、风险管理和企业流程再造过程中的作用及其最新发展,内部审计章程拟订,审计关系处理与协调,审计管理案例,组织文化与政策,以及开展咨询服务业务的有关理论和实务等;
(二)审计项目负责人应当学习和研究独立完成一个审计项目方面的知识和技能,包括:内部审计准则和会计准则,财务管理理论与方法,经济管理理论,项目审计计划与审计方案制定,审计评价标准解读和选择,审计报告撰写与提出,审计案例分析,审计助理人员监督和指导,人际关系沟通等;
(三)审计助理人员应当学习和研究参与完成一个审计项目方面的知识和技能,包括:内部审计准则和会计准则,审计基本理论与技术方法,计算机基础知识,逻辑推理,相关人际关系沟通等。
第十条 内部审计人员接受培训是后续教育的主要方式。一般应当采取以下形式:
(一)参加国际内部审计师协会和亚洲内部审计联合会组织的专业会议及培训活动;
(二)参加中国内部审计协会和省级内部审计(师)协会举办的各种培训及考察活动;
(三)参加中国内部审计协会和省级内部审计(师)协会召开的专业会议及经验交流;
(四)参加中国内部审计协会和省级内部审计(师)协会认可的有关大专院校的专业课程进修;
(五)参加经中国内部审计协会或省级内部审计(师)协会授权的市、县级内部审计(师)协会组织的专业培训及经验交流。
第十一条 内部审计人员自学是后续教育的重要补充方式。一般应当包括以下形式:
(一)参加中国内部审计协会和省级内部审计(师)协会开办的网络教育;
(二)参加由本单位(部门)内部审计机构开展的业务技术培训;
(三)主持或参与完成省级以上内部审计(师)协会发布的课题研究,并取得研究成果;
(四)公开出版专业著作或发表专业论文;
(五)个人专业学习和实务研究;
(六)其他形式。
第四章 组织与实施
第十二条 内部审计人员后续教育由中国内部审计协会和省级内部审计(师)协会负责组织、实施。行业审计协会实施的有关培训活动实行年度认证制,认证工作由中国内部审计协会实施。
第十三条 中国内部审计协会负责组织、实施全国内部审计人员的后续教育。主要职责是:
(一)制定全国后续教育规划;(二)制定全国后续教育制度、规定、办法;(三)制定全国后续教育年度培训计划,提出教学大纲;(四)组织全国后续教育教材的开发、评估、推荐;(五)组织全国后续教育活动;(六)组织全国后续教育检查、考核;(七)指导、督促省级内部审计(师)协会的后续教育工作。
第十四条 省级内部审计(师)协会负责组织、实施管辖范围内的内部审计人员后续教育。主要职责是:
(一)制定管辖范围内后续教育规划;(二)制定管辖范围内后续教育制度、规定、办法;(三)制定管辖范围内后续教育年度培训计划,设置教学内容;(四)组织管辖范围内后续教育教材的评估、遴选;(五)组织管辖范围内后续教育活动;(六)组织管辖范围内后续教育检查、考核;(七)指导、督促市、县级内部审计(师)协会的后续教育工作。
第十五条 市、县级内部审计(师)协会同时符合下列条件的,经中国内部审计协会或省级内部审计(师)协会授权,也可组织实施管辖范围内的后续教育:
(一)具有承担后续教育工作的教学场所和设施;
(二)拥有与承担后续教育工作相适应的师资队伍和管理力量;
(三)能够完成所承担的后续教育任务,保证后续教育质量。
被授权的市、县级内部审计(师)协会在组织后续教育前,应当将实施方案报送相应授权协会备案。实施方案内容包括:教学目的、教学内容、教学方式、教材遴选、教师情况、考核形式、质量控制办法等。
第十六条 内部审计机构应当支持、督促本单位(部门)内部审计人员参加后续教育,保证学习时间和学习费用,提供必要的学习条件。
内部审计机构开展的本单位(部门)业务技术培训,如需申请确认为内部审计人员后续教育学时的,应当提请中国内部审计协会或省级内部审计(师)协会进行评估。评估内容包括:培训条件、培训计划、培训内容、师资来源、教学水平、管理水平、学员满意度和质量监控措施等。
第五章 检查与考核
第十七条 中国内部审计协会负责检查、考核全国内部审计人员的后续教育情况;省级内部审计(师)协会负责检查、考核管辖范围内的内部审计人员后续教育情况;内部审计机构负责检查,并如实填报本单位(部门)的内部审计人员后续教育情况。
第十八条 检查与考核的标准,按内部审计人员接受学习的时间计算,每两年为一个周期,时间不得少于80学时,其中每年接受后续教育的时间不得少于30小时。后续教育的学时计算标准是:
(一)属本准则第十条第(二)项、第(三)项、第(四)项的,第十一条第(一)项的,按设定的学时计算已完成后续教育学时;
(二)属本准则第十条第(五)项的,由市、县级内部审计(师)协会与中国内部审计协会或省级内部审计(师)协会协商后,确定已完成后续教育学时;
(三)属本准则第十条第(一)项的,其设定的学时报中国内部审计协会认定;
(四)属本准则第十一条第(二)项的,由内部审计机构提出申请,经中国内部审计协会或省级内部审计(师)协会评估后,确认已完成后续教育学时;
(五)属本准则第十一条第(三)项、第(四)项的,按每千字2学时计算已完成后续教育学时,全年累计不得超过40学时;
(六)荣获省级以上学术成果奖励的,当年按20学时计算已完成后续教育学时,全年累计不得超过40学时;
(七)取得相关中级以上专业技术职称和国家级执业资格的,当年按2 0学时计算已完成后续教育学时,全年累计不得超过40学时。
第十九条 有下列情形之一的,内部审计人员后续教育时间可以顺延,在下一年度一并完成规定的后续教育时间:
(一)年度内在境外工作超过六个月的;(二)年度内病假超过六个月的;(三)休产假的;(四)其他情况。
有上述情形的内部审计人员须由个人提出申请,所在单位(部门)人事部门证明,报经中国内部审计协会或省级内部审计(师)协会审核后确认。
第二十条 内部审计人员接受检查、考核时,应当提交记录其后续教育情况的《内部审计人员岗位资格证书》、《国际注册内部审计师资格证书》;其他从事内部审计活动的人员应当提交记录其后续教育情况的《内部审计人员后续教育证书》。
后续教育情况由中国内部审计协会或省级内部审计(师)协会负责记录,包括:培训内容、培训时间、培训地点,以及教师的姓名、职称(职务)和累计培训学时等。
第二十一条 除本准则第十九条列示的情形外,内部审计人员未能提供其后续教育有效记录或无故未达到后续教育要求的,考核时不予通过;考核未予通过的内部审计人员,其所在单位(部门)内部审计机构应当督促其接受后续教育。
(一)年度内未接受后续教育或未按有关规定完成后续教育学时的内部审计人员,由省级内部审计(师)协会予以警告;
(二)连续二年未接受后续教育或连续二年未按有关规定完成后续教育学时的内部审计人员,省级内部审计(师)协会不予办理内部审计人员岗位资格证书、国际注册内部审计师(CIA)资格证书年检;
(三)连续三年未接受后续教育或连续三年未按有关规定完成后续教育学时的内部审计人员,由省级内部审计(师)协会作出或建议作出吊消其内部审计人员岗位资格证书、国际注册内部审计师(CIA)资格证书。
第二十二条 被授权的市、县级内部审计(师)协会,丧失组织后续教育条件的,由相应授权协会收回其组织实施后续教育的权力。
第二十三条 内部审计机构无故未按规定提供后续教育机会和条件、未按规定如实填报本单位(部门)内部审计人员后续教育情况的,内部审计(师)协会不予受理其申请内部审计先进集体评比,严重的可以取消其会员资格。
第六章 附则
第二十四条 本准则由中国内部审计协会发布并负责解释。
第二十五条 本准则自2009年1月1日起施行。
内部审计实务指南第3号——审计报告
第一章 总则
第一条 为了指导内部审计人员编制和出具审计报告,规范内部审计报告及相关活动,根据《内部审计基本准则》和《内部审计具体准则第7号—审计报告》制定本指南。
第二条 本指南所称审计报告是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后,就被审计单位经营活动和内部控制的适当性、合法性和有效性出具的书面文件。
第三条 本指南适用于各类企业的内部审计机构、内部审计人员及其从事的内部审计活动。政府及非盈利组织的内部审计活动,可结合行政管理程度的要求,参照执行。
第四条 内部审计报告应当体现内部审计项目目标的要求,并有助于组织增加价值。内部审计项目目标的要求主要包括但不限于对以下方面的评价:
(一)经营活动合法性;(二)经营活动的经济性、效果性和效率性;(三)组织内部控制的健全性和有效性;(四)组织负责人的经济责任履行状况;(五)组织财务状况与会计核算状况;(六)组织的风险管理状况。
第五条 正式立项的审计项目应当在终结审计后编制审计报告;如果存在下述情况之一时,应当根据组织适当管理层的要求和内部审计工作的需要编制并报送中期审计报告:
(一)审计周期过长;(二)被审计项目内容特别庞杂;(三)被审计期间比较长;(四)突发事件引起特殊要求;(五)组织适当管理层需要审计项目进展情况的信息;(六)其他需要提供中期审计报告的情况。
中期审计报告不能取代终结审计报告,但中期审计报告能够作为终结审计报告的编制依据。中期审计报告不具有终结审计报告的效力。
第六条 编制审计报告应当遵循以下原则:
(一)客观性。审计报告应以可靠的证据为依据,实事求是地反映审计事项,做出客观、公正的审计结论。
(二)完整性。审计报告应当做到要素齐全,内容完整,不遗漏审计发现的重大事项。
(三)清晰性。审计报告应当做到逻辑性强、突出重点,简明扼要地阐明事实和结论。避免使用不必要的过于专业性和技术性的复杂语言。文字应当通顺流畅,用词准确,避免使用“几个、少数、大量”等模糊字眼说明情况。
(四)及时性。审计报告应当及时编制,以便组织适当管理层适时采取有效纠正措施。在保证审计报告质量的前提下,审计报告应当在完成现场审计后尽快编制,经过征求意见和补充修改后分别送达各有关方面。
(五)实用性。审计报告所提供的信息,应当有利于解决经营管理中存在的重要问题,并有助于组织实现预定的目标。
(六)建设性。审计报告不仅应当发现问题和评价过去,而且还应能解决问题和指导未来,应当针对被审计单位经营活动和内部控制的缺陷提出适当的改进建议。
(七)重要性。在形成审计结论与建议时,应充分考虑审计项目相关的风险水平和重要性,对于被审计单位经营活动和内部控制中存在的严重差异和漏洞以及审计风险高的领域应当在审计报告中有重点的详细说明。同时,内部审计人员还要考虑被审单位接受审计建议、采取相应措施的成本与效益关系。
第七条 内部审计机构应该建立健全审计报告分级复核制度,明确规定各级复核岗位的要求和责任。复核层次级别的具体设置应当视审计项目的复杂程度和内部审计机构的规模、人员配置等各种因素而定。
第八条 审计报告可以手工编制,也可以使用计算机软件自动编制。
第九条 内部审计人员需用联系及综合性的思维方式、以高超的沟通与合作技能来组织和编写审计报告。
第二章 审计报告的构成要素
第十条 内部审计报告因审计项目预定目的的不同而存在差异,一般的内部审计报告应包括以下基本要素:
(一)标题;(二)收件人;(三)正文;(四)附件;(五)签章;(六)报告日期;(七)其它。
第十一条 内部审计报告的标题应能反映审计的性质,力求言简意赅并有利于归档和索引。一般应当主要包括以下内容:
(一)被审计单位名称;(二)审计事项(类别);(三)审计期间;(四)其他。
第十二条 内部审计报告的收件人应当是与审计项目有管理和监督责任的机构或个人。一般应当包括:
(一)被审计单位适当管理层;(二)董事会或其下设的审计委员会或者组织中的主要负责人;(三)组织最高管理当局;(四)上级主管部门的机构或人员;(五)其它相关人员。
考虑到各个组织的法人治理结构、管理方式差异,审计报告的送达单位或个人应当根据具体情况确定。
第十三条 内部审计报告的正文是审计报告的核心内容。一般应当包括以下项目:
(一)审计概况;(二)审计依据;(三) 审计发现;(四)审计结论;(五)审计建议;(六)其它方面。
第十四条 内部审计报告的附件是对审计报告正文进行补充说明的文字和数字材料。一般应当包括:
(一)相关问题的计算及分析性复核审计过程;(二)审计发现问题的详细说明;(三)被审计单位及被审计责任人的反馈意见;(四)记录审计人员修改意见、明确审计责任、体现审计报告版本的审计清单;(五)需要提供解释和说明的其它内容。
第十五条 内部审计报告应当由主管的内部审计机构盖章,并由以下人员签字:
(一)审计机构负责人;(二)审计项目负责人;(三)其他经授权的人员。
第十六条 审计报告日期一般采用内部审计机构负责人批准送出日作为报告日期。以下情况下使用相关的日期:
(一)因采纳组织主管负责人的某些修改意见时;(二)内部审计人员在本机构负责人审批之后又发现被审计单位存在新的重大问题时;(三) 内部审计报告存在重要疏忽时;(四)其它情况。
第三章 审计报告的主要内容
第十七条 审计概况是对审计项目的总体情况的介绍和说明。一般主要包括:
(一)立项依据。在审计报告中应当根据实际情况说明审计项目的来源:
1、审计计划安排的项目;2、有关机构(外部审计机构、组织有关部门)委托的项目;3、根据工作需要临时安排的项目;4、其它项目。
(二)背景介绍。在审计报告中,应当对有助于理解审计项目立项以及审计评价的以下情况进行简要描述:
1、选择审计项目的目的和理由;2、被审计单位的规模、业务性质与特点、组织机构、管理方式、员工数量、主要管理人员等;3、上次同类审计的评价情况;4、与审计项目相关的环境情况;5、与被审计事项有关的技术性文件;6、其它情况。
(三)整改情况。如有必要,应当将上次审计后的整改情况在审计报告中加以说明。
(四)审计目标与范围。审计报告中应当明确地陈述本次审计的目标,并应与审计计划中提出的目标相一致;还应当指出本次审计的活动内容和所包含的期间。如果存在未进行审计的领域,应当在报告中指出,特别是某些受到限制无法进行检查的项目,应说明受限制无法审查的原因。
(五)审计重点。审计报告应当对本次审计项目的重点、难点进行详细说明,并指出针对这些方面采取了何种措施及其所产生的效果,也可以对审计中所发现的重点问题做出简短的叙述及评论。
(六)审计标准。财务审计的标准主要是国家有关部门所颁布的会计准则、会计制度以及其它相关规范制度。管理审计的标准主要是组织管理层已制定或已认可的各项标准。
第十八条 审计依据是审计报告应声明内部审计程序是按照内部审计准则的规定实施审计的。当确实无法按照审计准则要求执行必要的审计程序时,应在审计报告中陈述理由,并对由此可能导致的对审计结论和整个审计项目质量的影响做出必要的说明。
第十九条 审计发现是内部审计人员在对被审计单位的经营活动与内部控制的检查和测试过程中所得到的积极或消极的事实,一般应包括以下内容:
(一)所发现事实的现状,即审计发现的具体情况;(二)所发现事实应遵照的标准,如政策、程序和相关法律法规;(三)所发现事实与预定标准的差异;(四)所发现事实已经或可能造成的影响;(五)所发现事实在目前现状下产生的原因(包括内在原因与环境原因)。
第二十条 审计结论是内部审计人员对审计发现所做出的职业判断和评价结果,表明内部审计人员对被审计单位的经营活动和内部控制所持有的态度和看法。
在做出审计结论时,内部审计人员应针对本次审计的目的和要求,根据已掌握的证据和已查明的事实,对被审计单位的经营活动和内部控制做出评价。内部审计人员提出的结论可以是对经营活动或内部控制的全面评价,也可仅限于对部分经营活动和内部控制进行评价。如果必要,审计结论还应包括对出色业绩的肯定。
第二十一条 审计建议是内部审计人员针对审计发现提出的方案、措施和办法。审计建议可以是对被审计单位经营活动和内部控制存在的缺陷和问题提出的改善和纠正的建议;也可以是对显著经济效益和有效内部控制提出的表彰和奖励的建议。
内部审计人员应该依据审计发现和审计证据,结合组织的实际情况和审计结论的性质,提出审计建议。审计建议可分为以下几种类型:
(一)现有系统运行良好,无需改变;
(二)现有系统需要全部或局部改变:
1、改进的方案设计;2、方案实施的要求;3、方案实施效果的预计;4、未实施此方案的后果分析。
第四章 审计报告的基本格式
第二十二条 内部审计人员在确认有较大必要性的条件下编制规范的中期审计报告。一般中期审计报告篇幅较短,应当清楚地说明审计发现的事实、不良状况的影响,并提出审计建议。中期审计报告的格式可以根据实际需要选择以下所列格式之一:
(一)中期审计报告的基本格式包括:(1)标题,可由审计项目和“中期审计报告”两部分组成;(2)收件人;(3)审计发现;(4)审计建议;(5)附件;(6)签章;(7)报告日期。
中期审计报告一般格式参考范例如下:
关于“出纳付款程序”的中期审计报告(标题)
公司总经理:(收件人)
从正在进行的公司××年度财务收支审计中,我们发现公司财务部付款内部控制程序存在严重缺陷。出纳员××保管着公司财务专用章及财务经理私章,可随时支取公司款项,在我们的初步审核中,已经发现未经审批的付款××笔,共计××万元,如果不采取紧急措施,将可能导致更大的舞弊风险。(审计发现)
根据上述情况,我们建议财务经理收回相关印鉴,对每一笔公司款项的支付严格审核后才能签发,同时责成出纳员说清××万元款项的去向,采取各种手段追回款项,并建议临时停止出纳员的职务工作。(审计建议)
附件:1. ××
2. ××
3. ××(附件)
审计项目负责人:××
审计小组成员:××、××
××审计机构(签章)
××年××月××日(报告日期)
(二)中期审计报告的备忘格式包括:(1)标题,只简单列示审计项目即可;(2)收件人;(3)审计发现;(4)审计建议;(5)审计人员签章;(6)报告日期。
中期审计报告备忘格式参考范例如下:
资本性支出授权的中期报告(标题)
供销部经理:(收件人)
在审计贵单位资本性项目的过程中,我们发现目前所发生的资本性支出没有取得相应的批准文件。在××个资本性项目中,我们抽取了××个进行检查。累计支出××万元人民币。在档案资料中,均没有发现取得相应的批准文件。(审计发现的事件)
造成这种结果的原因是:最近改组重建的会计部门还没有在项目建设之前授权专门的人员负责批准;另外,采购订单的复核、批准还没有建立相应的程序。(审计发现的原因)
为了确保按照企业管理当局的意图对资本性支出业务进行有效的控制,我们建议贵单位应该授权专门人员负责采购业务的批准;另外,在实施采购之前,采购订单应该与经过批准的文件进行核对验证。(审计建议)
审计员:×××
×××(签章)
××年××月××日(报告日期)
第二十三条 内部审计人员应当编制终结审计报告。终结审计报告的基本格式包括:(1)标题;(2)收件人;(3)审计概况(立项依据及背景介绍,上次审计后的整改情况说明,审计目的和范围,审计重点等);(4)审计依据;(5)审计发现;(6)审计结论;(7)审计建议;(8)附件;(9)签章;(10)报告日期。
终结审计报告基本格式参考范例如下:
关于××公司内部会计控制的审计报告(标题)
××公司总经理:(收件人)
为了配合今年年底公司组织的行业检查活动,我们临时调整了审计计划,组成了以王××为项目负责人的5人审计小组,对公司内部会计控制制度进行了局部审计,旨在自我评价,消除内部控制的弱点,改善公司管理水平,争取在行业评比中获得优异成绩。我们的审计目标是测试内部会计控制方面是否存在漏洞,寻找与同行业其他企业的差距。审计涉及的期间是20××年1月1日至20××年12月31日。审核的范围包括会计制度设计、会计核算程序、会计工作机构和人员职责,财务管理制度等方面。(审计概况)
我们按照内部审计准则的规定计划和实施本项内部审计工作,并采用了我们认为应当采用的必要的审计程序,根据抽查结果,我们认为,下列情况应当予以关注:
1、没有定期进行银行对账单调节。截至我们进行审计时,银行对账单的调节工作已延误了四个月,严重削弱了公司对资金安全性的控制。(见附件第××页)
2、由于没有防止投资收益账户上舞弊行为的控制程序,导致超过100,000元的股利被非法挪用。(见附件第××页)
3、···。(审计发现)
除上述问题外,我们认为,组织管理层对内部会计控制的设计在整体上是符合公司的实际情况的,其运行取得了预期的效果。(审计结论)
我们认为,上述问题的发生,主要原因是相关职位人员配备不足,不相容职务未予以分离。建议财务部门健全资金控制制度,并招聘一名有经验的会计人员充实相关职位。(审计建议)
附件:1. ××
2. ××
3. ××(附件)
审计项目负责人:×××
审计小组成员:×××
×××
××审计机构(签章)
××年××月××日(报告日期)
第五章 审计报告编制的程序和方法
第二十四条 内部审计报告的编制应当在结束现场审计工作之后进行。内部审计人员应当按照以下程序编制审计报告:
(一)做好相关准备工作;(二)编制审计报告初稿;(三)征求被审计单位意见;(四)复核、修订审计报告并最后定稿。
第二十五条 内部审计人员在进行审计报告的准备工作时,应重点关注以下事项:
(一)报告的整体或具体格式;(二)可能的发送对象,以及报告收件人的姓名和职位;(三)审计目的、范围等的表述;(四)审计计划或审计委托书;(五)审计发现的描述;(六)用以支持审计发现和建议的各种信息,包括:附录、说明和图表;(七)特别敏感的内容,包括:在报告中对于机密内容的披露程度;被审计单位对审计发现的可能性反应,以及内部政策等;(八)其他需要考虑的重要报告事项。
第二十六条 审计报告初稿由审计项目负责人或者由其授权的审计项目小组其他成员起草。如由其他人员起草时,应当由审计项目负责人进行复核。审计报告初稿应当在审计项目小组进行讨论,并根据讨论结果进行适当的修订。编制审计报告充分应当体现审计报告的质量要求。
第二十七条 在审计报告正式提交之前,审计项目小组应与被审计单位及其相关人员进行及时、充分的沟通。
审计项目小组与被审计单位的沟通,应当根据沟通内容的要求,选择会议形式或个人交谈形式。内部审计机构和人员在与被审计单位进行沟通时,应注意沟通技巧,进行平等、诚恳、恰当、充分的交流。
审计项目小组应当根据沟通结果对审计报告适当进行处理。
第二十八条 审计报告应当由被授权的审计项目小组成员以及审计项目负责人、审计机构负责人等相关人员进行严格的复核和适当的修订。审计报告复核、修改后,再经与组织适当管理层充分沟通后,由经授权人员签章,提交给审计项目有责任的机构或个人。
第二十九条 内部审计人员应当在实施必要的审计程序后,采用以下方法编制审计报告:
(一)考虑审计报告使用者的各种合理需求。有些事项或后续审计结果与本次审计结论没有直接关系或关系不重要,但需审计人员向报告收件人如组织管理当局反映提请关注,此类事项和情况应适当写入审计报告。
(二)反映被审计对象的相关成绩。对被审计单位的突出业绩应当在审计报告中予以适当说明。
(三)反映改进的计划和行动。由于受到审计目标和准备工作的制约,或受到审计过程中新发生情况的影响,审计范围可能与年度审计计划或最初拟定的范围不一致,必要时可在审计报告中指出所改进的计划与所采取的行动。
(四)揭示导致问题产生的外部不利因素的影响。
(五)采用正面的、积极的语言。对审计过程中揭示的消极的审计发现,在不损害内部审计独立性和声誉的前提下,应当充分考虑被审计单位的意见及可能对其造成的不利影响,客观准确地以被审计单位可接受的语言写入审计报告。
(六)运用恰当的图表和脚注。审计报告可以运用适当的图表和脚注,以增强灵活性,快速准确直观地揭示和传递提供审计信息。
第六章 审计报告的复核、发送和保存
第三十条 内部审计机构应当建立审计报告的三级复核制度。由审计项目负责人主持现场全面复核;由内部审计机构的业务主管主持非现场重点复核;由内部审计机构负责人主持非现场总体复核。三级复核的分工,可由组织的内部审计机构自行决定。各级复核的主持人在必要时可以授权他人行使权力,但责任仍由主持人承担。
第三十一条 审计报告复核主要包括形式复核和内容复核。
(一)形式复核。一般包括:
1、审计项目名称是否准确,描述是否恰当;2、被审计单位的名称和地址是否可靠;3、审计日期是否准确,审计报告格式是否规范;4、审计报告收件人是否为适当的发送对象,职位、名称、地址是否正确;5、审计报告是否表示希望获得被审计单位的回应;6、审计报告是否需要目录页,目录页的位置是否恰当,页码索引是否前后一致;7、审计报告中的附件序号与附件的实际编号是否对应;8、审计报告是否征求被审计单位意见;9、审计报告的复核手续是否完整。
(二)内容复核。一般包括:
1、背景情况的介绍是否真实,语气是否适当;2、审计范围和目标是否明确,审计范围是否受限;3、审计发现的描述是否真实,证据是否充分; 4、签发人是否恰当,签发人与收件人的级别是否相称5、参与审计人员的名单是否列示完整,排名是否正确;6、报告收件人是否恰当,有无遗漏,姓名与职位是否正确;7、标题的使用是否适当;8、审计结论的表述是否准确;9、审计评价的依据的引用是否适当;10、审计建议是否可行。
第三十二条 审计报告的发送范围一般限于组织内部,通常可根据组织的一般要求和审计活动本身的性质来确定发送对象。
第三十三条 内部审计机构应根据具体情况,决定是否将内部审计报告送交组织外部的相关部门和人员,或者是将审计报告的部分内容呈送组织外部的相关部门和人员。在决定对外报送内部审计报告时,应当经过内部审计机构负责人或组织适当管理层的批准程序。
第三十四条 内部审计人员应当根据审计报告的保密性要求,充分考虑审计报告传递方式的恰当性。一般应当采取派专人直接传递、特快专递、邮政服务和办公室当面传递等方式进行报告传递。
第三十五条 组织应当制定制度性文件,对审计报告的发送对象和各种传递方式做出规定,防止报告在传递过程中被延误、丢失或误投。
第三十六条 内部审计机构应当保留审计报告副本。审计报告以及其它业务文档应当按照内部审计机构或组织管理层制定的审计档案管理制度纳入档案管理,加以分类并且妥善保存。
第三十七条 内部审计报告应在适当的范围予以公开。
第七章 附则
第三十八条 本指南由中国内部审计协会发布并负责解释。
第三十九条 本指南自2009年1月1日起施行。