第一章 總則
第一條 為了規范內部審計人員實施內部控制審計的行為,保 證內部控制審計質量,根據《內部審計基本準則》,制定本準則。
第二條 本準則所稱內部控制審計,是指內部審計機構對組織內部控制設計和運行的有效性進行的審查和評價活動。
第三條 本準則適用于各類組織的內部審計機構、內部審計人 員及其從事的內部控制審計活動。其他組織或者人員接受委托、聘 用,承辦或者參與內部審計業務,也應當遵守本準則。
第二章 一般原則
第四條 董事會及管理層的責任是建立、健全內部控制并使之 有效運行。
內部審計的責任是對內部控制設計和運行的有效性進行審查 和評價,出具客觀、公正的審計報告,促進組織改善內部控制及風 險管理。
第五條 內部控制審計應當以風險評估為基礎,根據風險發生 的可能性和對組織單個或者整體控制目標造成的影響程度,確定審 計的范圍和重點。
內部審計人員應當關注串通舞弊、濫用職權、環境變化和成本 效益等內部控制的局限性。
第六條 內部控制審計應當在對內部控制全面評價的基礎上,關注重要業務單位、重大業務事項和高風險領域的內部控制。
第七條 內部控制審計應當真實、客觀地揭示經營管理的風險 狀況,如實反映內部控制設計和運行的情況。
第八條 內部控制審計按其范圍劃分,分為全面內部控制審計 和專項內部控制審計。
全面內部控制審計,是針對組織所有業務活動的內部控制,包 括內部環境、風險評估、控制活動、信息與溝通、內部監督五個要素所進行的全面審計。
專項內部控制審計,是針對組織內部控制的某個要素、某項業 務活動或者業務活動某些環節的內部控制所進行的審計。
第三章 內部控制審計的內容
第九條 內部審計機構可以參考《企業內部控制基本規范》及 配套指引的相關規定,根據組織的實際情況和需要,通過審查內部 環境、風險評估、控制活動、信息與溝通、內部監督等要素,對組織層面內部控制的設計與運行情況進行審查和評價。
第十條 內部審計人員開展內部環境要素審計時,應當以《企 業內部控制基本規范》和各項應用指引中有關內部環境要素的規定 為依據,關注組織架構、發展戰略、人力資源、組織文化、社會責任等,結合本組織的內部控制,對內部環境進行審查和評價。
第十一條 內部審計人員開展風險評估要素審計時,應當以《企業內部控制基本規范》有關風險評估的要求,以及各項應用指 引中所列主要風險為依據,結合本組織的內部控制,對日常經營管理過程中的風險識別、風險分析、應對策略等進行審查和評價。
第十二條 內部審計人員開展控制活動要素審計時,應當以《企業內部控制基本規范》和各項應用指引中關于控制活動的規定 為依據,結合本組織的內部控制,對相關控制活動的設計和運行情況進行審查和評價。
第十三條 內部審計人員開展信息與溝通要素審計時,應當以《企業內部控制基本規范》和各項應用指引中有關內部信息傳遞、 財務報告、信息系統等規定為依據,結合本組織的內部控制,對信 息收集處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真 實性、信息系統的安全性,以及利用信息系統實施內部控制的有效 性進行審查和評價。
第十四條 內部審計人員開展內部監督要素審計時,應當以《企業內部控制基本規范》有關內部監督的要求,以及各項應用指 引中有關日常管控的規定為依據,結合本組織的內部控制,對內部 監督機制的有效性進行審查和評價,重點關注監事會、審計委員會、 內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。
第十五條 內部審計人員根據管理需求和業務活動的特點,可 以針對采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、信息系統等,對業務層面內部控制的設計和運行情況進行審查和評價。
第四章 內部控制審計的具體程序與方法
第十六條 內部控制審計主要包括下列程序:
(一)編制項目審計方案;
(二)組成審計組;
(三)實施現場審查;
(四)認定控制缺陷;
(五)匯總審計結果;
(六)編制審計報告。
第十七條 內部審計人員在實施現場審查之前,可以要求被審 計單位提交最近一次的內部控制自我評估報告。
內部審計人員應當結合內部控制自我評估報告,確定審計內容 及重點,實施內部控制審計。
第十八條 內部審計機構可以適當吸收組織內部相關機構熟 悉情況的業務人員參加內部控制審計。
第十九條 內部審計人員應當綜合運用訪談、問卷調查、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法,充分收集組織內部控制設計和運行是否有效的證據。
第二十條 內部審計人員編制審計工作底稿應當詳細記錄實 施內部控制審計的內容,包括審查和評價的要素、主要風險點、采 取的控制措施、有關證據資料,以及內部控制缺陷認定結果等。
第五章 內部控制缺陷的認定
第二十一條 內部控制缺陷包括設計缺陷和運行缺陷。內部審計人員應當根據內部控制審計結果,結合相關管理層的自我評估, 綜合分析后提出內部控制缺陷認定意見,按照規定的權限和程序進行審核后予以認定。
第二十二條 內部審計人員應當根據獲取的證據,對內部控制 缺陷進行初步認定,并按照其性質和影響程度分為重大缺陷、重要 缺陷和一般缺陷。
重大缺陷,是指一個或者多個控制缺陷的組合,可能導致組織 嚴重偏離控制目標。重要缺陷,是指一個或者多個控制缺陷的組合, 其嚴重程度和經濟后果低于重大缺陷,但仍有可能導致組織偏離控 制目標。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的認定標準,由內部審計機構 根據上述要求,結合本組織具體情況確定。
第二十三條 內部審計人員應當編制內部控制缺陷認定匯總 表,對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析 和全面復核,提出認定意見,并以適當的形式向組織適當管理層報 告。重大缺陷應當及時向組織董事會或者最高管理層報告。
第六章 內部控制審計報告
第二十四條 內部控制審計報告的內容,應當包括審計目標、 依據、范圍、程序與方法、內部控制缺陷認定及整改情況,以及內部控制設計和運行有效性的審計結論、意見、建議等相關內容。
第二十五條 內部審計機構應當向組織適當管理層報告內部 控制審計結果。一般情況下,全面內部控制審計報告應當報送組織 董事會或者最高管理層。包含有重大缺陷認定的專項內部控制審計 報告在報送組織適當管理層的同時,也應當報送董事會或者最高管理層。
第二十六條 經董事會或者最高管理層批準,內部控制審計報 告可以作為《企業內部控制評價指引》中要求的內部控制評價報告對外披露。
第七章 附則
第二十七條 本準則由中國內部審計協會發布并負責解釋。
第二十八條 本準則自2014年1月1日起施行。
