《2023年内审准则系列之“内部控制审计”.pdf》由会员分享,可在线阅读,更多相关《2023年内审准则系列之“内部控制审计”.pdf(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内审准则系列之“内部控制审计”内部控制审计是确认、评价企业内部控制有效性的过程,包括确认和评价企业控制设计和控制运行缺陷和缺陷等级,分析缺陷形成原因,提出改进内部控制建议。一、内部控制相关责任 内部控制的设计运行是管理层的相关职责;内部审计的责任是对内控设计和运行有效性进行审查和评价,出具客观公正的审计报告,促进组织改善内部控制及风险管理。二、内部控制审计分类 全面内部控 制审计 是针对所有业务活动的内部控制,包括内部环 境、风险评估、控制活动、信息与沟通、内部监 督五个要素所进行的全面审计;专项内部控 制审计 针对内部控制的某个要素、某项业务活动或者业 务活动某些环节的内部控制所进行的审计。
2、三、内部控制审计程序 注意点:1、审查前,可以要求被审计单位最近一次的内部控制自我评价报告;2、审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员;四、内部控制审计的内容 1、内部环境:组织架构、发展战略、人力资源、组织文化、社会责任 内 部 环 境 治理结构 治理结构是由股东大会、董事会、监事会和 管理层组成的,决定公司内部决策过程和利 益相关者参与公司治理的办法,主要作用在 于协调公司内部不同产权主体之间的经济利 益矛盾,减少代理成本。机构设置 与权重分 配 公司制企业中股东大会(权力机构)、董事 会(决策机构)、监事会(监督机构)、总 经理层(日常管理机构)这四个法定刚性机 构为内
3、部控制机构的建立、职责分工与制约 提供了基本的组织框架,但并不能满足内部 控制对企业组织结构的要求,内部控制机制 的运作还必须在这一组织框架下设立满足企 业生产经营所需要的职能机构。内部审计 机制 内部审计的范围主要包括财务会计、管理会 计和内部控制检查。内部审计机制的设立包 括内部审计机构设置、人员配备、工作开展 及其独立性的保证等。人力资源 是影响企业内部环境的关键因素,它所包括 的雇用、培训、评价、考核、晋升、奖惩等 业务,向员工传达着有关诚信、道德行为和 胜任能力的期望水平方面的信息,这些业务 都与公司员工密切相关,而员工正是公司中 执行内部控制的主体。理层的相关职责内部审计的责任是对
4、内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环组织文化 为人本管理理论的最高层次。企业文化重视 人的因素,强调精神文化的力量,希望用一 种无形的文化力量形成一种行为准则、价值 观念和道德规范,凝聚企业员工的归属感、积极性和创造性,引导企业员工为企业和社 会的发展而努力,并通过各种渠道对社会文 化的大环境产生作用。2、风险评估:日常经营管理过程的风险识别、风险分析、应对策
5、略 目标设定 风险是指一个潜在事项的发生对目标实现 产生的影响。风险与可能被影响的控制目 标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分 析和管理相关风险的机制,以了解企业所 面临的来自内部和外部的各种不同风险。风 险 评 估 风险识别 风险识别实际上是收集有关损失原因、危 险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些 风险应予以考虑,引起风险的主要因素是 什么,这些风险所引起的后果及严重程度 如何,风险识别的方法有哪些等。而其中 企业在风险评估过程中,更应当关注引起 风险的主要因素,应当准确识别与实现控
6、 制目标有关的内部风险和外部风险。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环 风险分析 风险分析是在风险识别的基础上对风险发 生的可能性、影响程度等进行描述、分 析、判断,并确定风险重要性水平的过 程。企业应当在充分识别各种潜在风险因 素的基础上,对固有风险,即不采取任何 防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即
7、采取了相应 应对措施之后仍可能造成的损失程度。企 业应当采用定性与定量相结合的方法,按 照风险发生的可能性及其影响程度等,对 识别的风险进行分析和排序,确定关注重 点和优先控制的风险。风险应对 企业应当在分析相关风险的可能性和影响 程度基础上,结合风险承受度,权衡风险 与收益,确定风险应对策略。企业应合理 分析、准确掌握董事、经理及其他高级管 理人员、关键岗位员工的风险偏好,采取 适当的控制措施,避免因个人风险偏好给 企业经营带来重大损失。企业管理层在评 估了相关风险的可能性和后果,以及成本 效益之后要选择一系列策略使剩余风险处 于期望的风险容限以内。常用方法有风险 规避、风险降低、风险分担、
8、风险承受。3、控制活动:是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。主要在采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、全面预算、合同管理等,对业务层面内部控制的设计和运行情况进行审查和评价。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环控 制 活 动 不相容
9、职务分 离控制 是指那些如果由一个人担任既可能发生错 误和舞弊行为,又可能掩盖其错误和舞弊 行为的职务。授权审批控制 是指企业在办理各项经济业务时,必须经 过规定程序的授权批准。授权审批控制要 求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。会计系统控制 会计系统控制主要是通过对会计主体所发 生的各项能用货币计量的经济业务进行记 录、归集、分类、编报等进行的控制。财产保护控制 是指为了确保企业财产物资安全、完整所 采用的各种方法和措施。财产是企业开展 各项生产经营活动的物质基础,企业应采 取有效措施,加强对企业财产物资的保 护。预算控制 预算是企业未
10、来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总 体计划。预算控制是内部控制中使用得较 为广泛的一种控制措施。通过预算控制,使得企业的经营目标转化为各部门、各个 岗位以至个人的具体行为目标,作为各责 任企业的约束条件,能够从根本上保证企 业经营目标的实现。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环运营分析控制 运营分析是对
11、企业内部各项业务、各类机 构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续 的优化调整奠定基础。企业运营活动分析 的方法包括定性分析法和定量分析法。定 性分析法可以有专家建议法、专家会议 法、主观概率法和特尔菲法(通过函询的 方式收集专家意见,对未来进行直观预测 的一种定性方法)。定量分析法可以有对 比分析法、趋势分析法、因素分析法和比 率分析法。运营分析控制要求企业建立运 营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因 素分析、对比分析、趋势分析等方面,定 期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。绩效考评控制 绩效考评是对
12、所属企业及个人占有、使 用、管理与配置企业经济资源的效果进行 的评价。绩效考评是一个过程,即首先明 确企业要做什么(目标和计划),然后找 到衡量工作做得好坏的标准进行监测(构 建指标体系并进行监测),发现做得好的(绩效考核),进行奖励(激励机制),使其继续保持或者做得更好,能够完成更 高的目标。更为重要的是,发现不好的地 方,通过分析找到问题所在,进行改正,使得工作做得更好(绩效改进)。这个过 程就是绩效考评过程。企业为了完成这个 管理过程所构建起来的管理体系,就是绩 效考评体系。4、信息与沟通:针对有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信息理层的相关职责内
13、部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。信 息 与 沟 通 信息质量 企业日常生产经营需要收集各种内部信息和外 部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务 会计资料、经营管理资料、
14、调研报告、专项信 息、内部刊物、办公网络等渠道,获取内部信 息;还可以通过行业协会组织、社会中介机 构、业务往来企业、市场调查、来信来访、网 络媒体以及有关监管部门等渠道,获取外部信 息。沟通制度 企业应当建立信息沟通制度,将内部控制相关 信息在企业内部各管理级次、责任企业、业务 环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方 面之间进行沟通和反馈。信息沟通过程中发现 的问题,应当及时报告并加以解决。重要信息 须及时传递给董事会、监事会和经理层。信息系统 企业利用信息技术对信息进行集成和共享的同 时,还应加强对信息系统开发与维护、访问与 变更、数据输入与输出、
15、文件储存与保管、网 络安全等方面的控制,保证信息系统安全稳定 运行。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环反舞弊机 制 舞弊是指企业董事、监事、经理、其他高级管 理人员、员工或第二方使用欺骗手段获取不当 或非法利益的故意行为,它是需要企业重点加 以控制的领域之一。企业应当建立反舞弊机 制,坚持惩防并举、重在预防的原则,明确反 舞弊
16、工作的重点领域、关键环节和有关机构在 反舞弊工作中的职责权限,规范舞弊案件的举 报、调查、处理、报告和补救程序。为确保反舞弊工作落到实处,企业应当建立举 报投诉制度和举报人保护制度,设置举报专 线,明确举报投诉处理程序、办理时限和办理 要求,确保举报、投诉成为企业有效掌握信息 的重要途径。举报投诉制度和举报人保护制度 应当及时传达至全体员工。5、内部监督:关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。内 部 监 督 制度层 企业应当制定内部控制监督制度,明确内部 审计机构(或经授权的其他监督机构)和其 他内部机构在内部监督中的职责权限,规范 内部监督的程序、
17、方法和要求。但是内部审 计机构应该独立于被监督部门。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环日常监督 日常监督是指企业对建立与实施内部控制的 情况进行常规、持续的监督检查。日常监督 的常见方式包括;在日常生产经营活动中获 得能够判断内部控制设计与运行情况的信 息;在与外部有关方面沟通过程中获得有关 内部控制设计与运行情况的验证信息;
18、在与 员工沟通过程中获得内部控制是否有效执行 的证据;通过账面记录与实物资产的检查比 较对资产的安全性进行持续监督;通过内部 审计活动对内部控制有效性进行持续监督。专项监督 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生 较大调整或变化的情况下,对内部控制的某 一或某些方面进行有针对性的监督检查。专 项监督的范围和频率根据风险评估结果以及 日常监督的有效性等予以确定。自我评价 企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出 具自我评价报告。内部控制自我评价的方 式、范围、程序和频率,除法律法规有特别 规定的,一般由企业根据经营业务调整
19、、经营环境变化、业务发展状况、实际风险水平等自行确定。总结:内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。关注重要业务单位、重大业务事项和高风险领域的内部控制。关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部
20、环五、内部控制审计的方法 访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等。内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。六、缺陷认定 1、设计缺陷、运行缺陷;2、重大缺陷、重要缺陷、一般缺陷;重大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机
21、构根据上述要求,结合本组织具体情况确定。举例:1、定量标准:理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环 项目重 要程度 重大缺陷 重要缺陷 一般缺陷 资产总 额 潜在错 报 错报金额资 产总额的1%资产总额的 0.5%W错报 金额 W资产总 额的1%错报金额(资产总额 的 0.5%利润总 额 潜在错 报 错报金额利 润总额的10%利润
22、总额的 5%与错报金 额3利润总额 的10%错报金额利润总额 的5%2、定性标准:财务报告 重大缺陷:董事、监事和高级管理人员舞弊;当期财务报告存在重大错报,而内部控制在运行过 程中未能发现该错报;审计委员会以及内部审计 部门对财务报告内部控制监督无效。重要缺陷:未依照公认会计准则选择和应用会计 政策;未建立反舞弊程序和控制措施;对于非 常规或特殊交易的账务处理没有建立相应的控制机 制或没有实施且没有相应的补偿性控制;对于期 末财务报告过程的控制存在一项或多项缺陷且不能 合理保证编制的财务报表达到真实、准确的目标。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的
23、审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环非财务报 告 重大缺陷:公司决策程序导致重大损失;严重 违反法律、法规;公司重要业务缺乏制度控制或 制度体系失效,重要的经济业务虽有内控制度,但 没有有效的运行;公司内部控制重大或重要缺陷 未得到整改;公司遭受证监会处罚或证券交易所 警告。重要缺陷:公司决策程序导致出现重大失误;公司重要业务制度或系统存在缺陷;公司内部控制重要缺陷未在合理期间内得到整改。内部审计人员应当编
24、制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。七、内控审计报告的编制 内部控制审计报告应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进
25、组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环事会或者最高管理层。经董事会或者最高管理层批准,内部控制审计报告可以作为企业内部控制评价指引中要求的内部控制评价报告对外披露。第 2201 号内部审计具体准则内部控制审计第一章总则 第一条为了规范内部审计人员实施内部控制审计的行为,保证内部控制审计质量,根据内部审计基本准则,制定本准则。第二条本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动
26、。第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部控制审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。第二章一般原则 第四条董事会及管理层的责任是建立、健全内部理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环控制并使之有效运行。内部审计的责任是对内部控制设计和运行的有效性进行审查和评
27、价,出具客观、公正的审计报告,促进组织改善内部控制及风险管理。第五条内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。第六条内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制。第七条内部控制审计应当真实、客观地揭示经营管理的风险状况,如实反映内部控制设计和运行的情况。第八条内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。全面内部控制审计,是针对组织所有业务活动的内部理层的相关职责内部
28、审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。第三章内部控制审计的内容 第九条内部审计机构可以参考企业内部控制基本规范及配套指引的相关规定,根据组织的实际情况和需要,通
29、过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。第十条内部审计人员开展内部环境要素审计时,应当以企业内部控制基本规范和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、发展战略、人力资源、组织文化、社会责任等,结合本组织的内部控制,对内部环境进行审查和评价。第十一条内部审计人员开展风险评估要素审计时,应当以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公
30、正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环应对策略等进行审查和评价。第十二条内部审计人员开展控制活动要素审计时,应当以企业内部控制基本规范和各项应用指引中关于控制活动的规定为依据,结合本组织的内部控制,对相关控制活动的设计和运行情况进行审查和评价。第十三条内部审计人员开展信息与沟通要素审计时,应当以企业内部控制基本规范和各项应用指引中有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信
31、息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。第十四条内部审计人员开展内部监督要素审计时,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本组织的内部控制,对内部监督机制的有效性进行审查和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。第十五条内部审计人员根据管理需求和业务活动的特点,可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预理层的相关职责内部审计的责任是对内控设计
32、和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环算、合同管理、信息系统等,对业务层面内部控制的设计和运行情况进行审查和评价。第四章内部控制审计的具体程序与方法 第十六条内部控制审计主要包括下列程序:(一)编制项目审计方案;(二)组成审计组;(三)实施现场审查;(四)认定控制缺陷;(五)汇总审计结果;(六)编制审计报告。第十七条内部审计人员在实施现场审查之前,可以要求被审计单位提交
33、最近一次的内部控制自我评估报告。内部审计人员应当结合内部控制自我评估报告,确定审计内容及重点,实施内部控制审计。第十八条内部审计机构可以适当吸收组织内部相关机构熟悉情况的业务人员参加内部控制审计。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环第十九条内部审计人员应当综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法
34、,充分收集组织内部控制设计和运行是否有效的证据。第二十条内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。第五章内部控制缺陷的认定 第二十一条内部控制缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据内部控制审计结果,结合相关管理层的自我评估,综合分析后提出内部控制缺陷认定意见,按照规定的权限和程序进行审核后予以认定。第二十二条内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或者多个控制缺陷的组合,可能导致
35、组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。第二十三条内部审计人员
36、应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。第六章内部控制审计报告 第二十四条内部控制审计报告的内容,应当包括审计目 标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。第二十五条内部审计机构应当向组织适当管理层报告内部控制审计结果。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事
37、会或者最高管理层。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环第二十六条经董事会或者最高管理层批准,内部控制审计报告可以作为企业内部控制评价指引中要求的内部控制评价报告对外披露。第七章附则 第二十七条本准则由中国内部审计协会发布并负责解释。第二十八条本准则自 202*年 1 月 1 日起施行。理层的相关职责内部审计的责任是对内控设计和运行有效性进行审查和评价出具客观公正的审计报告促进组织改善内控制活动信息与沟通内部监督五个要素所进行的全面审计专项内部控制审计针对内部控制的某个要素某项业务活动或内部控制自我评价报告审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员四内部控制审计的内容内部环