第一條 為了規範內部審計人員審查與評價被審計單位的內部控制,根據《內部審計基本準則》制定本準則。
第二條 本準則所稱內部控制,是指組織內部為實現經營目標,保護資產安全完整,保證遵循國家法律法規,提高組織運營的效率及效果,而採取的各種政策和程式。
第三條 本準則適用於各類組織的內部審計機構、內部審計人員及其從事的內部審計活動。
第二章 一般原則
第四條 內部控制審計的目的是合理地保證組織實現以下目標:
(一) 遵守國家有關法律法規和組織內部規章制度;
(二) 信息的真實、可靠;
(三) 資產的安全、完整;
(四) 經濟有效地使用資源;
(五) 提高經營效率和效果。
第五條 內部控制包括控制環境、風險管理、控制活動、信息與溝通、監督等五個要素。
第六條 控制環境主要包括以下內容:
(一) 經濟性質和經營類型;
(二) 管理層的經營理念;
(三) 管理層倡導的企業文化;
(四) 法人治理結構;
(五) 各項職責的分工及相應人員的勝任能力;
(六) 人力資源政策及其執行。
第七條 風險管理主要包括以下內容:
(一) 識別影響組織目標實現的各類風險;
(二) 建立風險管理機制。
第八條 控制活動主要包括以下內容:
(一) 所有經營活動應有適當的授權;
(二) 不相容職務應當分離;
(三) 有效控制憑證和記錄的真實性;
(四) 資產和記錄的接近限制;
(五) 獨立的業務審核。
第九條 信息與溝通主要包括以下內容:
(一) 及時、準確、完整地記錄所有信息;
(二) 保證管理信息系統的有序運行;
(三) 保證管理信息系統的安全可靠。
第十條 監督主要包括以下內容:
(一)內部審計機構實施的獨立監督;
(二)管理層對內部控制的自我評估。
第十一條 建立、健全內部控制並使之有效運行是組織高級管理層的責任。內部控制目標的實現有賴於組織所有人員的參與。
第十二條 內部控制是對組織目標實現的相對保證。由於人為錯誤、串通舞弊、超越制度、環境變化及成本效益原則等因素的影響,內部控制可能無法發揮其應有作用。
第三章 內部控制的審查與評價
第十三條 內部審計人員應實施適當的審查程式,以評價被審計單位的控制環境。其審查重點為以下內容:
(一) 經營活動的複雜程度;
(二) 管理許可權的集中程度;
(三) 管理行為守則的健全性和有效性;
(四) 管理層對逾越既定控制程式的態度;
(五) 企業文化的內容及組織成員對此的理解與認同;
(六) 法人治理結構的健全性和有效性;
(七) 組織各階層人員的知識與技能;
(八) 組織結構和職責劃分的合理性;
(九) 重要崗位人員的權責相稱程度及其勝任能力;
(十) 員工聘用程式及培訓制度;
(十一) 員工業績考核與激勵機制。
第十四條 內部審計人員應實施適當的審查程式,評價組織風險管理機制的健全性和有效性。其審查重點為以下內容:
(一) 可能引發風險的內外因素;
(二) 風險發生的可能性和預計帶來的後果;
(三) 對抗風險的能力;
(四) 風險管理的具體方法及效果。
第十五條 內部審計人員應實施適當的審查程式,評價控制活動的適當性、合法 性、有效性。其審查重點為以下內容:
(一) 控制活動建立的適當性;
(二) 控制活動對風險的識別和規避;
(三) 控制活動對組織目標實現的作用;
(四) 控制活動執行的有效性。
第十六條 內部審計人員應實施適當的審查程式,評價組織獲取及處理信息的能力。其審查重點為以下內容:
(一) 獲取財務信息、非財務信息的能力;
(二) 信息處理的及時性和適當性;
(三) 信息傳遞渠道的便捷與暢通;
(四) 管理信息系統的安全可靠性。
第十七條 內部審計人員對內部控制做出評價時,應選擇適當的評價標準。
(一)內部審計人員首先應判斷組織已有標準的適當性。如果認為已有標準不合適,應向適當管理層報告;
(二)如果管理層沒有制定合適的標準,內部審計人員可以基於組織利益最大化的原則選擇適當的評價標準。
第十八條 內部審計人員在評價內部控制時,按照項目的性質和需要,既可以對全部控制要素進行評價,也可以只對部分控制要素進行評價。
第十九條 內部審計人員可以採用文字敘述、調查問卷、流程圖等方法對內部控制進行描述和評價,並記錄於審計工作底稿中。
第四章 內部控制審計的報告
第二十條 內部審計人員應向組織的適當管理層報告內部控制的審計結果。審計報告應說明審查和評價內部控制的目的、範圍、審計結論、審計決定及對改善內部控制的建議;並應當包括被審計單位的反饋意見。
第二十一條 內部審計人員應在必要時進行內部控制的後續審計。
第五章 附 則
第二十二條 本準則由中國內部審計協會發布並負責解釋。