第2203号内部审计具体准则——信息系统审计
内部审计业务知识概述
《标准》
标准被分为三类:属性标准、工作标准和实施标准。 属性标准反映提供内部审计服务的组织和个人的属性;(1000宗旨权利和职责;
1100独立性和客观性;1200专业能力与应有的职业谨慎;1300质量评价与改进程序) 工作标准对内部审计服务的本质进行说明,并提供了可以衡量绩效的审计服务的标
准。(2000内部审计活动管理;2100工作性质;2200业务计划;2300业务的实施; 2400结果的通报;2500监督进展;2600管理层对风险的接受) 属性标准与工作标准适用于所有的内部审计服务。 实施标准对属性标准与工作标准进行扩展,为内部审计开展确认和咨询活动的具体 业务提供标准。这些标准最终将指导解决一些具体行业、具体区域或具体审计服务 的问题。(包含在属性标准和工作标准中,标志A,C)
2. 内部审计客体
内部审计客体,其实质是指内部审计对象和 内部审计业务范围。
IIA最近发布的调查报告将内部审计职能涉及 到的活动分为三大类25项:
内部控制活动(14项) 风险管理活动(5项) 公司治理活动(6项)。
内部控制活动
合规性审计
控制系统的有效性评价 经营审计
项目管理审计
安全评价和调查
业务类
第2204号内部审计具体准则——对舞弊行为进行检 查和报告
第2203号内部审计具体准则——信息系统审计 第2202号内部审计具体准则——绩效审计(原第 25号
、第 26号、第 27号合并修订)
第2201号内部审计具体准则——内部控制审计(原来
12号【遵循性审计】、16号【风险管理审计】、21号【内部审计的控 制自我评估法】、(23%) 风险管理程序审计(20.4%) 战略和绩效的结合评价(19.9%) 道德审计(19.9%) 与国际财务报告标准(IFRS)标准接轨(
内部审计具体准则(2014年1月1日施行)(DOC)
第2101号内部审计具体准则——审计计划第一章总则第一条为了规范审计计划的编制与执行,保证有计划、有重点地开展审计业务,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称审计计划,是指内部审计机构和内部审计人员为完成审计业务,达到预期的审计目的,对审计工作或者具体审计项目作出的安排。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条审计计划一般包括年度审计计划和项目审计方案。
年度审计计划是对年度预期要完成的审计任务所作的工作安排,是组织年度工作计划的重要组成部分。
项目审计方案是对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等作出的安排。
第五条内部审计机构应当在本年度编制下年度审计计划,并报经组织董事会或者最高管理层批准;审计项目负责人应当在审计项目实施前编制项目审计方案,并报经内部审计机构负责人批准。
第六条内部审计机构应当根据批准后的审计计划组织开展内部审计活动。
在审计计划执行过程中,如有必要,应当按照规定的程序对审计计划进行调整。
第七条内部审计机构负责人应当定期检查审计计划的执行情况。
第三章年度审计计划第八条内部审计机构负责人负责年度审计计划的编制工作。
第九条编制年度审计计划应当结合内部审计中长期规划,在对组织风险进行评估的基础上,根据组织的风险状况、管理需要和审计资源的配置情况,确定具体审计项目及时间安排。
第十条年度审计计划应当包括下列基本内容:(一)年度审计工作目标;(二)具体审计项目及实施时间;(三)各审计项目需要的审计资源;(四)后续审计安排。
第十一条内部审计机构在编制年度审计计划前,应当重点调查了解下列情况,以评价具体审计项目的风险:(一)组织的战略目标、年度目标及业务活动重点;(二)对相关业务活动有重大影响的法律、法规、政策、计划和合同;(三)相关内部控制的有效性和风险管理水平;(四)相关业务活动的复杂性及其近期变化;(五)相关人员的能力及其岗位的近期变动;(六)其他与项目有关的重要情况。
内部审计具体准则概述
内部审计具体准则概述第一章总那么第一条为了规范内部审计人员实施内部操纵审计的行为,保证内部操纵审计质量,依照«内部审计差不多准那么»,制定本准那么。
第二条本准那么所称内部操纵审计,是指内部审计机构对组织内部操纵设计和运行的有效性进行的审查和评判活动。
第三条本准那么适用于各类组织的内部审计机构、内部审计人员及其从事的内部操纵审计活动。
其他组织或者人员同意托付、聘用,承办或者参与内部审计业务,也应当遵守本准那么。
第二章一样原那么第四条董事会及治理层的责任是建立、健全内部操纵并使之有效运行。
内部审计的责任是对内部操纵设计和运行的有效性进行审查和评判,出具客观、公平的审计报告,促进组织改善内部操纵及风险治理。
第五条内部操纵审计应当以风险评估为基础,依照风险发生的可能性和对组织单个或者整体操纵目标造成的阻碍程度,确定审计的范畴和重点。
内部审计人员应当关注串通舞弊、滥用职权、环境变化和成本效益等内部操纵的局限性。
第六条内部操纵审计应当在对内部操纵全面评判的基础上,关注重要业务单位、重大业务事项和高风险领域的内部操纵。
第七条内部操纵审计应当真实、客观地揭示经营治理的风险状况,如实反映内部操纵设计和运行的情形。
第八条内部操纵审计按其范畴划分,分为全面内部操纵审计和专项内部操纵审计。
全面内部操纵审计,是针对组织所有业务活动的内部操纵,包括内部环境、风险评估、操纵活动、信息与沟通、内部监督五个要素所进行的全面审计。
专项内部操纵审计,是针对组织内部操纵的某个要素、某项业务活动或者业务活动某些环节的内部操纵所进行的审计。
第三章内部操纵审计的内容第九条内部审计机构能够参考«企业内部操纵差不多规范»及配套指引的相关规定,依照组织的实际情形和需要,通过审查内部环境、风险评估、操纵活动、信息与沟通、内部监督等要素,对组织层面内部操纵的设计与运行情形进行审查和评判。
第十条内部审计人员开展内部环境要素审计时,应当以«企业内部操纵差不多规范»和各项应用指引中有关内部环境要素的规定为依据,关注组织架构、进展战略、人力资源、组织文化、社会责任等,结合本组织的内部操纵,对内部环境进行审查和评判。
中国内部审计具体准则最新版全
中国内部审计准则第1101号——内部审计基本准则第一章总则第一条为了规范内部审计工作,保证内部审计质量,明确内部审计机构和内部审计人员的责任,根据《审计法》及其实施条例,以及其他有关法律、法规和规章,制定本准则。
第二条本准则所称内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般准则第四条组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员。
第五条内部审计的目标、职责和权限等内容应当在组织的内部审计章程中明确规定。
第六条内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。
第七条内部审计人员应当遵守职业道德,在实施内部审计业务时保持应有的职业谨慎。
第八条内部审计人员应当具备相应的专业胜任能力,并通过后续教育加以保持和提高。
第九条内部审计人员应当履行保密义务,对于实施内部审计业务中所获取的信息保密。
第三章作业准则第十条内部审计机构和内部审计人员应当全面关注组织风险,以风险为基础组织实施内部审计业务。
第十一条内部审计人员应当充分运用重要性原则,考虑差异或者缺陷的性质、数量等因素,合理确定重要性水平。
第十二条内部审计机构应当根据组织的风险状况、管理需要及审计资源的配置情况,编制年度审计计划。
第十三条内部审计人员根据年度审计计划确定的审计项目,编制项目审计方案。
第十四条内部审计机构应当在实施审计三日前,向被审计单位或者被审计人员送达审计通知书,做好审计准备工作。
第十五条内部审计人员应当深入了解被审计单位的情况,审查和评价业务活动、内部控制和风险管理的适当性和有效性,关注信息系统对业务活动、内部控制和风险管理的影响。
信息系统审计管理办法
信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作,明确审计职责及工作范围,根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求,制定本办法。
第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条信息系统审计的目的是通过实施信息系统审计,对公司是否实现信息技术管理目标进行审查和评价,提出管理建议,协助信息技术管理人员有效地履行职责。
公司的信息技术管理目标主要包括:(一)保证公司的信息技术战略充分反映公司整体战略目标;(二)提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效率与效果,合理保证信息系统的运行符合法律法规及监管机构的要求。
第四条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。
第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施,也可聘请具备相关资质的外部审计机构开展。
第七条公司在审计部设立信息审计岗位,负责信息科技审计制度制订和信息系统审计工作。
第八条根据工作需要,经公司管理层批准,可以聘请外部审计机构开展信息系统审计,所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力,并遵守公司审计作业管理规定。
公司按照采购规定进行外部审计机构选聘工作,审计部负责协调外部审计人员实施信息系统审计工作。
第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验,以及应有的职业审慎。
第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。
第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作,其他相关部门应按要求协助开展信息系统审计工作。
第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训,培训方式可采用自主或委外方式开展。
信息系统审计审计准则和内部控制评估
信息系统审计审计准则和内部控制评估1. 介绍信息系统在如今的商业环境中扮演着至关重要的角色。
它们不仅能提高组织的效率和灵活性,还能保护敏感数据免受未经授权的访问。
为了确保信息系统的安全和有效性,审计准则和内部控制评估成为了必要的工具。
本文将探讨信息系统审计的准则和内部控制评估的重要性以及如何有效实施。
2. 信息系统审计准则信息系统审计准则是一组指导原则和标准,旨在确保信息系统的安全性、完整性和准确性。
以下是一些常见的信息系统审计准则:- 保密性:确保只有授权人员可以访问敏感信息。
- 完整性:保证数据在传输和处理过程中不被篡改。
- 可用性:确保信息系统在需要时始终可用。
- 可审计性:信息系统的操作和活动可以被审计和监测。
- 权责分离:将关键职能分配给不同的个体,以减少潜在的内部欺诈风险。
3. 内部控制评估内部控制评估是一种系统性的过程,用于评估和改进组织的风险管理和控制措施。
以下是进行内部控制评估的一般步骤:步骤一:制定内部控制评估计划。
确定审计的范围、目标和时间安排。
步骤二:评估内部控制的设计有效性。
审查组织的政策、程序和流程,确定是否存在设计缺陷。
步骤三:评估内部控制的操作有效性。
通过对关键控制活动的抽样测试来确定控制措施是否按照设计要求运作。
步骤四:识别潜在的风险和问题。
根据评估结果,识别可能存在的风险和问题,并提出改进建议。
步骤五:制定改进计划。
根据潜在风险和问题,制定改进内部控制的具体计划,并安排执行。
4. 实施信息系统审计和内部控制评估的好处有效实施信息系统审计和内部控制评估可以带来以下好处:- 潜在风险的识别和减轻:通过审计和评估,组织能够识别潜在的信息系统安全漏洞和内部控制缺陷,并采取措施加以弥补。
- 提高信息系统的可靠性和完整性:审计和评估有助于确保信息系统的数据和交易的准确性和完整性,从而提高组织信息系统的可靠性。
- 符合合规要求:信息系统审计和内部控制评估有助于确保组织遵守适用的法律法规和行业标准,从而降低法律风险。
第2203号内部审计具体准则——信息系统审计
第2203号内部审计具体准则——信息系统审计2013-08-28 08:34:46第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
《中国新内部审计准则》解读2019
17
二、准则的使用范围
[条文] 第三条 本准则适用于各类组织的内部审计机构、内 部审计人员及其从事的内部审计活动。其他组织或者人员接受 委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
[解读] 扩大了审计主体的范围,旧准则表述为适用于各类组 织的内部审计机构、内部审计人员及其从事的内部审计活动。 《新准则》增加了适用范围。“其他组织或者人员接受委托、 聘用,承办或者参与内部审计业务,也应当遵守本准则。”表 明,除内审机构和内审人员外,还有两类不属内部审计的人员, 如:聘请委托中介机构及社会审计人员、其他临时参与内审业 务的人员,在履行职责期间也应遵守《基本准则》。
[解读] (1)老准则:第十一条 内部审计人员应在考虑组织风险、管 理需要及审计资源的基础上,制定审计计划,对审计工作做出 合理安排。
(2)《新准则》文字上作了适当修改; (3)《新准则》第十条、第十二条两次提到“组织风险”问 题,由此可能,内部审计的开展要充分重视和考虑“组织风 险”。
23
八、项目审计方案
(三)准则讨论修改阶段
2012年8月,准则委员会召开会议对准则修订稿初稿进行讨 论,对初稿进行了修改和完善。2012年10-11月,对准则体系结构、 内容6 再次进行了调整,于2013年1月形成了准则征求意见稿。
企业内部控制体系中信息系统审计的内容和方法
企业内部控制体系中信息系统审计的内容和方法一、在内部控制体系中开展信息系统审计的内容信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计,或者根据企业实际情况可以分为总体控制和应用控制(如图1所示)。
图1在内部控制体系中开展信息系统审计内容1、信息系统总体控制制度体系,旨在保证整个公司范围内更加科学、规范地应用信息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,增强日常信息工作效率,更好地保护信息资产,提高信息技术对业务的支持力度,其目标是对信息技术管理和运行有效性的检查。
信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价,保证其有效地发挥作用。
信息系统总体控制审计应重点关注六个方面:一是控制环境。
包括信息系统总体控制环境、信息与沟通、风险评估、监控等。
二是信息安全情况。
包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。
三是项目建设管理。
包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。
四是系统变更管理。
包括变更管理、日常变更流程、紧急变更流程等。
五是信息系统日常运作。
包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。
六是最终用户操作。
包括最终用户计算机操作安全制度、电子表格管理等。
其中,对最终用户操作的检查,并在关键环节建立关键控制点,通过手工测试或者开发计算机软件来证明其内部控制的有效性。
由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程,且越来越复杂。
但是电子表格使用存在一些缺点,91%的电子表格存在错误,超过200行的表格将100%地存在错误。
这些问题可能导致巨大的风险,因此,必须关注与财务报表相关的电子表格,即电子表格将直接或间接影响财务报表或信息披露事项。
内部审计具体准则
内部审计具体准则目录内部审计具体准则第1号——审计计划 (2)内部审计具体准则第2 号——审计通知书 (3)内部审计具体准则第3 号——审计证据 (4)内部审计具体准则第4 号——审计工作底稿 (5)内部审计具体准则第5 号——内部控制审计 (6)内部审计具体准则第6 号——舞弊的预防、检查与报告 (8)内部审计具体准则第7 号——审计报告 (10)内部审计具体准则第8 号——后续审计 (12)内部审计具体准则第9 号——内部审计督导 (12)内部审计具体准则第10 号——内部审计与外部审计的协调 (13)内部审计具体准则第11号——结果沟通 (14)内部审计具体准则第12号——遵循性审计 (15)内部审计具体准则第13号——评价外部审计工作质量 (16)内部审计具体准则第14号——利用外部专家服务 (18)内部审计具体准则第15号——分析性复核 (19)内部审计具体准则第16号--风险管理审计 (21)内部审计具体准则第17号--重要性与审计风险 (22)内部审计具体准则第18号--审计抽样 (24)内部审计具体准则第19号--内部审计质量控制 (26)内部审计具体准则第20号--人际关系 (28)内部审计具体准则第21号--内部审计的控制自我评估法 (30)内部审计具体准则第22号--内部审计的独立性与客观性 (32)内部审计具体准则第23号--内部审计机构与董事会或最高管理层的关系 (33)内部审计具体准则第24号――内部审计机构的管理 (35)内部审计具体准则第25号——经济性审计 (38)内部审计具体准则第26号——效果性审计 (40)内部审计具体准则第27号——效率性审计 (42)内部审计具体准则第28号——信息系统审计 (45)内部审计具体准则第29号——内部审计人员后续教育 (48)内部审计具体准则第1号——审计计划第一章总则第一条为了规范内部审计人员编制审计计划,保证及时、有效地执行审计业务,提高审计效率,根据《内部审计基本准则》制定本准则。
第2203号内部审计具体准则——信息系统审计
第2203号内部审计具体准则——信息系统审计哎呀,说起这第 2203 号内部审计具体准则——信息系统审计,我可得跟您好好唠唠。
我先给您讲讲我之前碰到的这么一件事儿。
有一次,我去一家企业参观,他们正为信息系统的事儿头疼呢。
这系统吧,运行得时好时坏,数据还老是出错。
就拿他们的销售系统来说,明明已经卖出了一批货,可系统里显示的库存数量却没减少,这可把销售和仓库的人急坏了,差点闹了大乌龙。
咱说回这信息系统审计的准则。
您知道吗,这就像是给信息系统做了一次全面的“体检”。
它得检查系统的安全性,就好比给家门上把牢固的锁,不能让坏人随便进来偷东西或者搞破坏。
还得看看系统的可靠性,别今天能用明天就崩溃,那可不得了。
比如说,一个学校的成绩管理系统,如果不可靠,学生的成绩一会儿有一会儿没的,那老师和家长不得急疯了呀。
再比如,一个公司的财务系统,要是不可靠,账记错了或者丢了,那公司的钱不就乱套了嘛。
还有啊,信息系统审计得关注系统的有效性。
这就像是您做饭,得保证做出来的饭能让人吃饱、吃好。
一个信息系统得能真正解决业务中的问题,提高工作效率,不然弄它干啥呢?而且,这审计还得看系统的经济性。
不能花了大价钱弄个系统,结果效果还不如便宜的好用,那不是浪费钱嘛。
就像有的小公司,为了跟风,花大价钱买了一套特别高级的客户管理系统,结果员工用起来特别复杂,还不如以前简单的表格好用,这钱花得就冤枉了。
另外,信息系统审计也得留意系统的合规性。
这就好比开车得遵守交通规则,系统的运行也得符合各种法律法规和企业的规定。
要是不合规,出了问题可就麻烦啦。
总之,这第 2203 号内部审计具体准则——信息系统审计,真的太重要啦!它就像是一个细心的医生,给信息系统把好脉、开好方,让信息系统能健健康康地为咱们服务。
就像我开头说的那家企业,后来请了专业的审计人员按照这些准则来检查和改进他们的信息系统,现在系统运行得可顺溜了,再也没出过那些让人头疼的问题。
所以说啊,不管是大企业还是小单位,都得重视这信息系统审计的准则,让信息系统更好地为咱们的工作和生活服务。
内部审计基本准则+具体准则+实务指南等)
内部审计相关准则汇编——基本准则——职业道德规范——具体准则——实务指南——审计署关于内部审计工作的规定2020年5月第1101号内部审计基本准则 (3)第1201号内部审计人员职业道德规范 (7)第2101号内部审计具体准则——审计计划 (11)第2102号内部审计具体准则——审计通知书 (14)第2103号内部审计具体准则——审计证据 (16)第2104号内部审计具体准则——审计工作底稿 (19)第2105号内部审计具体准则——结果沟通 (22)第2106号内部审计具体准则——审计报告 (24)第2107号内部审计具体准则——后续审计 (27)第2108号内部审计具体准则——审计抽样 (29)第2109号内部审计具体准则——分析程序 (34)第2201号内部审计具体准则——内部控制审计 (38)第2202号内部审计具体准则——绩效审计 (44)第2203号内部审计具体准则——信息系统审计 (48)第2204号内部审计具体准则——对舞弊行为进行检查和报告 (57)第2205号内部审计具体准则——经济责任审计 (62)第2301号内部审计具体准则——内部审计机构的管理 (69)第2302号内部审计具体准则——与董事会或者最高管理层的关系 (74)第2303号内部审计具体准则——内部审计与外部审计的协调 (78)第2304号内部审计具体准则——利用外部专家服务 (80)第2305号内部审计具体准则——人际关系 (83)第2306号内部审计具体准则——内部审计质量控制 (88)第2307号内部审计具体准则——评价外部审计工作质量 (91)第2308号内部审计具体准则——审计档案工作 (95)第2308号内部审计具体准则——审计档案工作 (102)第2309号内部审计具体准则——内部审计业务外包管理 (109)第3101号内部审计实务指南——审计报告 (114)内部审计实务指南第1号——建设项目内部审计 (137)内部审计实务指南第2号——物资采购审计 (167)内部审计实务指南第4号——高校内部审计 (195)内部审计实务指南第5号——企业内部经济责任审计指南 (301)审计署关于内部审计工作的规定 (329)第1101号内部审计基本准则第一章总则第一条为了规范内部审计工作,保证内部审计质量,明确内部审计机构和内部审计人员的责任,根据《审计法》及其实施条例,以及其他有关法律、法规和规章,制定本准则。
中国内部审计准则及具体准则(最新2014版全)
中国内部审计准则第1201号——内部审计人员职业道德规范第一章总则第一条为了规范内部审计人员的职业行为,维护内部审计职业声誉,根据《审计法》及其实施条例,以及其他有关法律、法规和规章,制定本规范。
第二条内部审计人员职业道德是内部审计人员在开展内部审计工作中应当具有的职业品德、应当遵守的职业纪律和应当承担的职业责任的总称。
第三条内部审计人员从事内部审计活动时,应当遵守本规范,认真履行职责,不得损害国家利益、组织利益和内部审计职业声誉。
第二章一般原则第四条内部审计人员在从事内部审计活动时,应当保持诚信正直。
第五条内部审计人员应当遵循客观性原则,公正、不偏不倚地作出审计职业判断。
第六条内部审计人员应当保持并提高专业胜任能力,按照规定参加后续教育。
第七条内部审计人员应当遵循保密原则,按照规定使用其在履行职责时所获取的信息。
第八条内部审计人员违反本规范要求的,组织应当批评教育,也可以视情节给予一定的处分。
第三章诚信正直第九条内部审计人员在实施内部审计业务时,应当诚实、守信,不应有下列行为:(一)歪曲事实;(二)隐瞒审计发现的问题;(三)进行缺少证据支持的判断;(四)做误导性的或者含糊的陈述。
第十条内部审计人员在实施内部审计业务时,应当廉洁、正直,不应有下列行为:(一)利用职权谋取私利;(二)屈从于外部压力,违反原则。
第四章客观性第十一条内部审计人员实施内部审计业务时,应当实事求是,不得由于偏见、利益冲突而影响职业判断。
第十二条内部审计人员实施内部审计业务前,应当采取下列步骤对客观性进行评估:(一)识别可能影响客观性的因素;(二)评估可能影响客观性因素的严重程度;(三)向审计项目负责人或者内部审计机构负责人报告客观性受损可能造成的影响。
第十三条内部审计人员应当识别下列可能影响客观性的因素:(一)审计本人曾经参与过的业务活动;(二)与被审计单位存在直接利益关系;(三)与被审计单位存在长期合作关系;(四)与被审计单位管理层有密切的私人关系;(五)遭受来自组织内部和外部的压力;(六)内部审计范围受到限制;(七)其他。
中国内部审计准则(完整版)
中国内部审计准则目录第1101号——内部审计基本准则 (2)第1201号——内部审计人员职业道德规范 (5)第2101号内部审计具体准则——审计计划 (8)第2102号内部审计具体准则——审计通知书 (10)第2103号内部审计具体准则——审计证据 (12)第2104号内部审计具体准则——审计工作底稿 (14)第2105号内部审计具体准则——结果沟通 (17)第2106号内部审计具体准则——审计报告 (18)第2107号内部审计具体准则——后续审计 (21)第2108号内部审计具体准则——审计抽样 (22)第2109号内部审计具体准则——分析程序 (26)第2201号内部审计具体准则——内部控制审计 (30)第2202号内部审计具体准则——绩效审计 (34)第2203号内部审计具体准则——信息系统审计 (38)第2204号内部审计具体准则——对舞弊行为进行检查和报告 (45)第2301号内部审计具体准则——内部审计机构的管理 (49)第2302号内部审计具体准则——与董事会或者最高管理层的关系 (54)第2303号内部审计具体准则——内部审计与外部审计的协调 (57)第2304号内部审计具体准则——利用外部专家服务 (58)第2305号内部审计具体准则——人际关系 (61)第2306号内部审计具体准则——内部审计质量控制 (65)第2307号内部审计具体准则——评价外部审计工作质量 (67)第1101号——内部审计基本准则第一章总则第一条为了规范内部审计工作,保证内部审计质量,明确内部审计机构和内部审计人员的责任,根据《审计法》及其实施条例,以及其他有关法律、法规和规章,制定本准则。
第二条本准则所称内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。
信息系统审计准则
第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
中国内部审计准则第2203号内部审计具体准则——信息系统审计
中国内部审计准则第2203号内部审计具体准则——信息系统审计发文机关:中国内部审计协会发布日期:2013.08.20生效日期:2014.01.01时效性:现行有效中国内部审计准则第2203号内部审计具体准则——信息系统审计第一章 总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第2203号内部审计具体准则——信息系统审计2013-08-28 08:34:46第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
第十条编制信息系统审计方案时,除遵循相关内部审计具体准则的规定,还应当考虑下列因素:(一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标;(二)信息技术管理的组织架构;(三)信息系统框架和信息系统的长期发展规划及近期发展计划;(四)信息系统及其支持的业务流程的变更情况;(五)信息系统的复杂程度;(六)以前年度信息系统内、外部审计所发现的问题及后续审计情况;(七)其他影响信息系统审计的因素。
第十一条当信息系统审计作为综合性内部审计项目的一部分时,内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。
第四章信息技术风险评估第十二条内部审计人员进行信息系统审计时,应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析和评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。
第十三条信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。
信息技术风险,包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。
第十四条内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时,需要关注下列内容:(一)业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度;(二)信息资产的重要性;(三)对信息技术的依赖程度;(四)对信息技术部门人员的依赖程度;(五)对外部信息技术服务的依赖程度;(六)信息系统及其运行环境的安全性、可靠性;(七)信息技术变更;(八)法律规范环境;(九)其他。
第十五条业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。
一般而言,内部审计人员应当了解业务流程,并关注下列信息技术风险:(一)数据输入;(二)数据处理;(三)数据输出。
第十六条内部审计人员应当充分考虑风险评估的结果,以合理确定信息系统审计的内容及范围,并对组织的信息技术内部控制设计合理性和运行有效性进行测试。
第五章信息系统审计的内容第十七条信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。
第十八条信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式,内部审计人员应当根据不同的控制形式采取恰当的审计程序。
第十九条组织层面信息技术控制,是指董事会或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。
内部审计人员应当考虑下列控制要素中与信息技术相关的内容:(一)控制环境。
内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。
(二)风险评估。
内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。
(三)信息与沟通。
内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。
(四)内部监督。
内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。
第二十条信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。
对信息技术一般性控制的审计应当考虑下列控制活动:(一)信息安全管理。
内部审计人员应当关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。
(二)系统变更管理。
内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。
(三)系统开发和采购管理。
内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。
(四)系统运行管理。
内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。
第二十一条业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。
对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:(一)授权与批准;(二)系统配置控制;(三)异常情况报告和差错报告;(四)接口/转换控制;(五)一致性核对;(六)职责分离;(七)系统访问权限;(八)系统计算;(九)其他。
第二十二条信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:(一)信息系统开发实施项目的专项审计;(二)信息系统安全专项审计;(三)信息技术投资专项审计;(四)业务连续性计划的专项审计;(五)外包条件下的专项审计;(六)法律、法规、行业规范要求的内部控制合规性专项审计;(七)其他专项审计。
第六章信息系统审计的方法第二十三条内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:(一)询问相关控制人员;(二)观察特定控制的运用;(三)审阅文件和报告及计算机文档或者日志;(四)根据信息系统的特性进行穿行测试,追踪交易在信息系统中的处理过程;(五)验证系统控制和计算逻辑;(六)登录信息系统进行系统查询;(七)利用计算机辅助审计工具和技术;(八)利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果;(九)其他。
第二十四条信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。
第二十五条内部审计人员在对信息系统内部控制进行评估时,应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标,并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可以根据情况适当减少样本量。
在系统未发生变更的情况下,可以考虑适当降低审计频率。
第二十六条内部审计人员在审计过程中应当在风险评估的基础上,依据信息系统内部控制评估的结果重新评估审计风险,并根据剩余风险设计进一步的审计程序。
第七章附则第二十七条本准则由中国内部审计协会发布并负责解释。
第二十八条本准则自2014年1月1日起施行。