为了推进内部审计规范化建设，中国内部审计协会自2000年开始，先后发布了29个具体准则，5个实务指南，1个基本准则，1个职业道德规范，共37个准则，基本形成了中国内部审计准则体系，取得了阶段性成果。现作如下解读：

 

第一部分  内部审计准则（程序）

 

　　按照审计过程，主要掌握程序性的准则，主要包括计划、实施（通知书、证据、底稿）、报告、后续审计四个阶段的准则。主要有6个。

　　一、审计计划

　　对一段时期审计工作任务或具体审计项目的安排。

　　三个层次：年度审计计划、项目审计计划、审计方案

　　（一）年度审计计划

　　1．风险评估（调查了解）：

　　部门或单位发展目标及工作重点；

　　严重影响相关经营活动的法规、政策、计划和合同；

　　相关内部控制的质量、相关经营活动的复杂性及近期的变化；

　　相关人员能力、品质及岗位变化；

　　其他与项目有关的重要事项。

　　2．内容：

　　目标；

　　执行的审计项目及先后顺序；

　　审计资源的分配；

　　后续审计的安排。

　　3．关注3点：

　　年度审计计划由内部审计机构负责人制定；

　　年度审计计划报部门或单位适当管理层批准；

　　以风险程度规划审计项目的先后顺序。

　　（二）项目审计计划与审计方案

　　1.审前调查：

　　经营活动概况；

　　内部控制的设计及运行情况；

　　财务、会计资料；

　　重要合同、协议及会议记录；

　　上次审计执行情况；

　　外部审计审计意见；

　　其他与审计有关的重要事项。

　　2.项目计划内容:

　　目的和范围；

　　重要性和审计风险评估；

　　审计小组和审计时间的分配；

　　对专家和外部审计工作结果的利用；

　　其他有关内容。

　　3.审计方案的内容：

　　具体审计目的；

　　审计方法和程序；

　　预定的执行人及执行日期；

　　其他有关事项。

　　二、审计通知书

　　（一）审计通知书应包括以下基本内容：

　　1.被审计单位及审计项目名称；

　　2.审计目的及审计范围；

　　3.审计时间；

　　4.被审计单位应提供的具体资料和其他必要的协助；

　　5.审计小组名单；

　　6.内部审计机构及其负责人的签章和签发日期。

　　（二）关注的事项

　　1．内部审计机构应根据经过批准后的审计计划编制审计通知书。

　　2.内部审计机构应在实施审计前，向被审计单位送达审计通知书。特殊审计业务可在实施审计时送达。

　　3.审计通知书主送被审计单位，必要时可抄送组织内部相关部门。涉及组织内个人责任的审计项目，应抄送被审计者本人。

　　三、审计证据

　　（一） 内部审计人员获取的审计证据应当具备充分性、相关性和可靠性。

　　1.充分性是指证据数量足以证实审计事项，作出审计结论和建议；

　　2.相关性是指证据和审计目标相关联，所反映的内容能够支持审计结论和建议；

　　3.可靠性是指证据能够反映审计事项的客观事实。

　　4.审计项目的各级复核人应在各自责任范围内对审计证据的充分性、相关性和可靠性予以复核。

　　（二）值得关注的几个事项

　　1.内部审计人员应将获取审计证据的名称、来源、内容、时间等清晰、完整地记录在工作底稿中。

　　2.内部审计人员可聘请其他专业机构或人士对审计项目的某些特殊问题进行鉴定，以鉴定结论作为审计证据。内部审计人员应对引用该证据的可靠性负责。

　　3.内部审计人员获取的审计证据，如有必要，应当由证据提供者签名或盖章。如果证据提供者拒绝，内部审计人员应当注明原因和日期，该证据依然可作为支持审计结论和建议的依据。

　　4.在评价审计证据时，应当考虑证据之间的相互印证及证据来源的可靠程度。

　　四、审计工作底稿

　　（一）审计工作底稿的目的

　　内部审计人员在审计工作中应编制审计工作底稿，以达到以下目的：

　　1.为形成审计报告提供依据；

　　2.说明审计目标的实现程度；

　　3.为评价内部审计工作质量提供依据；

　　4.证实内部审计机构及人员是否遵循内部审计准则；

　　5.为以后的审计工作提供参考；

　　6.提高内部审计人员的专业素质。

　　（二）要求

　　审计工作底稿应内容完整、记录清晰、结论明确，客观反映项目审计计划与审计方案的制定及实施情况，并包括与形成审计结论和建议有关的所有重要事项。

　　（三）形式

　　审计工作底稿的形式可以是纸质、磁带、磁盘、胶片或其他有效的信息载体。无纸化的工作底稿应制作备份。

　　（四）审计工作底稿记录的内容

　　1.内部审计通知书、项目审计计划、审计方案及其调整的记录；

　　2.审计程序执行过程和结果的记录；

　　3.获取的各种类型审计证据的记录；

　　4.其他与审计事项有关的记录。

　　内部审计机构应当建立审计工作底稿的分级复核制度，明确规定各级复核的要求和责任。内部审计机构负责人对审计工作底稿的复核负完全责任。

　　（五）审计工作底稿应载明的事项：

　　1.被审计单位的名称；

　　2.审计事项及其期间或截止日期；

　　3.审计程序的执行过程和执行结果记录；

　　4.审计结论；

　　5.执行人员姓名和执行日期；

　　6.复核人员姓名、复核日期和复核意见；

　　7.索引号及页次；

　　8.审计标识与其他符号及其说明等。

　　审计工作底稿应注明索引编号和顺序编号。相关工作底稿之间如存在勾稽关系应予以清晰反映，相互引用时应交叉注明索引编号。

　　审计工作底稿的复核应由内部审计机构中比工作底稿编制人员职位更高或具有丰富经验的人担任。

　　在审计作业中，审计项目负责人应加强对工作底稿的现场复核。

　　（六）审计工作底稿的整理与使用

　　1.内部审计人员在审计项目完成后，应及时对审计工作底稿进行分类整理，按相关法规的要求归档、管理和使用。

　　2.审计工作底稿归组织所有，由内部审计机构或组织内部有关部门保管。

    3.内部审计机构应建立工作底稿保密制度。如果内部审计机构以外的组织或个人要求查阅工作底稿，必须由内部审计机构负责人或其主管领导批准。但法院、检察院和其他有权部门依法进行查阅的除外。

　　五、审计报告

　　（一）审计报告要求

　　应当客观、完整、清晰、及时、具有建设性，并体现重要性原则。

　　1.审计报告的编制应实事求是、不偏不倚地反映审计事项；

　　2.审计报告应按照规定的格式及内容编制，作到要素齐全、格式规范，不遗漏审计中发现的重大事项；

　　3.审计报告应突出重点、简明扼要、易于理解；

　　4.审计报告应及时编制，以便适时采取有效纠正措施；

　　5.审计报告应针对被审计单位经营活动和内部控制的缺陷提出可行的改进建议，促进组织目标的实现；

　　6.审计报告形成的审计结论与建议应当充分考虑审计项目的重要性和风险水平。

　　内部审计机构应该建立健全审计报告分级复核制度，明确规定各级复核的要求和责任。

　　审计报告是对被审计单位经营活动及内部控制的适当性、合法性和有效性所做出的相对保证。

　　（二） 审计报告基本要素

　　1.标题；

　　2.收件人；

　　3.正文；

　　4.附件：

　　5.签章；

　　6.报告日期。

　　（三）审计报告的主要内容

　　1.审计概况：说明审计立项依据、审计目的和范围、审计重点和审计标准等内容；

　　2.审计依据：应声明内部审计是按照内部审计准则的规定实施，若存在未遵循该准则的情形，应对其做出解释和说明；

　　3.审计结论：根据已查明的事实，对被审计单位经营活动和内部控制所作的评价；

　　4.审计决定：针对审计发现的主要问题提出的处理、处罚意见；

　　5.审计建议：针对审计发现的主要问题提出的改善经营活动和内部控制的建议。

　　审计报告的附件应包括对审计过程与审计发现问题的具体说明、被审计单位的反馈意见等内容。

　　（四）审计报告的编制、复核与分发

　　1.审计项目负责人应在实施必要的审计程序后，编制审计报告，并向被审计单位征求反馈意见。

　　2.被审计单位对审计报告持有异议的，审计项目负责人及相关人员应进行研究、核实，必要时应修改审计报告。

　　3.审计报告经过必要的修改后，应连同被审计单位的反馈意见及时送内部审计机构负责人复核。

　　4.内部审计机构应将审计报告提交被审计单位和组织适当管理层，并要求被审计单位在规定的期限内落实纠正措施。

　　5.内部审计机构应当及时地将审计报告归入审计档案，妥善保存。

 

第二部分  内部控制审计(准则)

 

　　一、内部控制

　　是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。

　　二、内部控制目标

　　内部控制审计的目的是合理地保证组织实现以下目标：

　　（一） 遵守国家有关法律法规和组织内部规章制度；

　　（二） 信息的真实、可靠；

　　（三） 资产的安全、完整；

　　（四） 经济有效地使用资源；

　　（五） 提高经营效率和效果。

　　三、内部控制要素

　　包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。

　　（一）控制环境主要包括以下内容：（精神层面的事务、是态度、是影响力）

　　1.经济性质和经营类型；

　　2.管理层的经营理念；

　　3.管理层倡导的组织文化；

　　4.法人治理结构；

　　5.各项职责的分工及相应人员的胜任能力；

　　6.人力资源政策及其执行。

　　（二）风险管理

　　主要包括以下内容：（确认、分析、管理过程）

　　1.识别影响组织目标实现的各类风险；

　　2. 建立风险管理机制。

　　（三） 控制活动主要包括以下内容：

　　1.所有经营活动应有适当的授权；

　　2.不相容职务应当分离；

　　3.有效控制凭证和记录的真实性；

　　4.资产和记录的接近限制；

　　5.独立的业务审核。

　　（四） 信息与沟通主要包括以下内容：

　　1.及时、准确、完整地记录所有信息；

　　2.保证管理信息系统的有序运行；

　　3.保证管理信息系统的安全可靠。

　　（五） 监督

　　主要包括以下内容：

　　1.内部审计机构实施的独立监督；

　　2.管理层对内部控制的自我评估。

四、内部控制的审查与评价

　　（一）评价控制环境

　　内部审计人员应实施适当的审查程序，以评价被审计单位的控制环境。其审查重点为以下内容：

　　1.经营活动的复杂程度；（被审计单位规模的大小、所在行业的情况、经营活动的多样性和复杂性。）单位经营活动越复杂，发生的风险的可能性越大。

　　2.管理权限的集中程度；（集中度越大，风险越大）

　　3.管理行为守则的健全性和有效性；（制度化）

　　4.管理层对逾越既定控制程序的态度；（制度的不执行）

　　5.组织文化的内容及组织成员对此的理解与认同；（健康、积极、良好道德的文化）

　　6.法人治理结构的健全性和有效性；（权力制衡机制）

　　7.组织各阶层人员的知识与技能；（素质决定执行）

　　8.组织结构和职责划分的合理性；（管理幅度、合理性）

　　9.重要岗位人员的权责相称程度及其胜任能力；

　　10.员工聘用程序及培训制度；

　　11.员工业绩考核与激励机制。

　　（二）评价分析管理机制

　　内部审计人员应实施适当的审查程序，评价组织风险管理机制的健全性和有效性。其审查重点为以下内容：

　　1.可能引发风险的内外因素；（识别风险）

　　2.风险发生的可能性和预计带来的后果；（分析带来的严重性）

　　3.对抗风险的能力；（风险管理制度是否建立）

　　4.风险管理的具体方法及效果。（控制活动、执行力、效果）

　　（三）评价控制活动

　　内部审计人员应实施适当的审查程序，评价控制活动的适当性、合法性、有效性。其审查重点为以下内容：

　　1.控制活动建立的适当性；（各环节是否建立内部控制制度）

　　2.控制活动对风险的识别和规避；（控制活动对风险的识、规避能力）

　　3.控制活动对组织目标实现的作用；

　　4.控制活动执行的有效性。

　　（四）评价获取信息能力

内部审计人员应实施适当的审查程序，评价组织获取及处理信息的能力。其审查重点为以下内容：

　　1.获取财务信息、非财务信息的能力；（信息系统设计、运行情况，管理层的支持力）

　　2.信息处理的及时性和适当性；（信息传递的时间、速度及处理）

　　3.信息传递渠道的便捷与畅通；（各部门信息沟通途径、管理层对信息的反映能力）

　　4.管理信息系统的安全可靠性。（采取的措施）

　　五、 内部审计评价的标准

　　（一）内部审计人员首先应判断组织已有标准的适当性。如果认为已有标准不合适，应向适当管理层报告；

　　（二）如果管理层没有制定合适的标准，内部审计人员可以基于组织利益最大化的原则选择适当的评价标准。

　　关注：

　　1.内部审计人员在评价内部控制时，按照项目的性质和需要，既可以对全部控制要素进行评价，也可以只对部分控制要素进行评价。

　　2.内部审计人员可以采用文字叙述、调查问卷、流程图等方法对内部控制进行描述和评价，并记录于审计工作底稿中。

　　六、 内部控制审计的报告

　　内部审计人员应向组织的适当管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议；并应当包括被审计单位的反馈意见。

　　内部审计人员应在必要时进行内部控制的后续审计。

 

第三部分  风险管理审计（准则）

 

　　一、风险管理

　　是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。

　　二、风险管理主要阶段：

（一）风险识别，即根据组织目标、战略规划等识别所面临的风险；

（二）风险评估，即对已识别的风险，评估其发生的可能性及影响程度；

（三）风险应对，即采取应对措施，将风险控制在组织可接受的范围内。

关注：

　　1.内部审计机构和人员应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。

　　2.风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价，也可对职能部门风险管理进行审查与评价。

三、风险管理的审查与评价

  　内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。

（一）　外部风险

　　是指外部环境中对组织目标的实现产生影响的不确定性，其主要来源于以下因素：

    1.国家法律、法规及政策的变化；

    2.经济环境的变化；

    3.科技的快速发展；

    4.行业竞争、资源及市场变化；

    5.自然灾害及意外损失；

    6.其他。

　　（二）内部风险

　　是指内部环境中对组织目标的实现产生影响的不确定性，其主要来源于以下因素：

    1.组织治理结构的缺陷；

    2.组织经营活动的特点；

    3.组织资产的性质以及资产管理的局限性；

    4.组织信息系统的故障或中断；

    5.组织人员的道德品质、业务素质未达到要求；

    6.其他。

   （三）分析评估关注的要素

　　内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，重点关注以下两个要素：

    1.风险发生的可能性；

    2.风险对组织目标的实现产生影响的严重程度。

   （四）分析评估的方法

　　内部审计人员应当充分了解风险评估的方法。风险评估可以采用定性或定量的方法进行。

    1.定性方法，是指运用定性术语评估并描述风险发生的可能性及其影响程度。

    2.定量方法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。

　　（五）评估时注重因素

　　内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：

    1.已识别的风险的特征；

    2.相关历史数据的充分性与可靠性；

    3.管理层进行风险评估的技术能力；

    4.成本效益的考核与衡量；

    5.其他。

   （六）遵循的原则

 

　　内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：

    1.定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

    2.在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

    3.定量方法一般情况下会比定性方法提供更为客观的评估结果。

    （七）应对风险的措施

　　内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。根据风险评估结果作出的风险应对措施主要包括以下几个方面：

    1.回避。是指采取措施避免进行可产生风险的活动；

    2.接受。是指由于风险已在组织可接受的范围内，因而可以不采取任何措施；

    3.降低。是指采取适当措施将风险降低到组织可接受的范围内；

    4.分担。是指采取措施将风险转移给其他组织或保险机构。

    （八）应考虑的要素

　　内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：

    1.采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；

    2.采取的风险应对措施是否适合本组织的经营、管理特点；

    3.成本效益的考核与衡量。

    4.内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。

    5.风险管理的审查和评价结果应反映在内部控制审计报告中，必要时应出具专项审计报告。（来源甘肃审计网）