《中国内部审计准则【精选5篇】》

内部审计具体准则——信息系统审计 篇1

第一章 总 则

第一条 为了规范信息系统审计工作，提高审计质量和效率，根据《内部审计基本准则》，制定本准则。

第二条 本准则所称信息系统审计，是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章 一般原则

第四条 信息系统审计的目的是通过实施信息系统审计工作，对组织是否实现信息技术管理目标进行审查和评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括：

(一)保证组织的信息技术战略充分反映组织的战略目标；

(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；

(三)提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规以及相关监管要求。

第五条 组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护，以及与信息技术相关的内部控制的设计、执行和监控；信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

第六条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时，实施信息系统审计可以利用外部专家服务。

第七条 信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时，信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

第八条 内部审计人员应当采用以风险为基础的审计方法进行信息系统审计，风险评估应当贯穿于信息系统审计的全过程。

第三章 信息系统审计计划

第九条 内部审计人员在实施信息系统审计前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或者专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的`职责，编制信息系统审计方案。

第十条 编制信息系统审计方案时，除遵循相关内部审计具体准则的规定，还应当考虑下列因素：

(一)高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标；

(二)信息技术管理的组织架构；

(三)信息系统框架和信息系统的长期发展规划及近期发展计划；

(四)信息系统及其支持的业务流程的变更情况；

(五)信息系统的复杂程度；

(六)以前年度信息系统内、外部审计所发现的问题及后续 审计情况；

(七)其他影响信息系统审计的因素。

第十一条 当信息系统审计作为综合性内部审计项目的一部分时，内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。

第四章 信息技术风险评估

第十二条 内部审计人员进行信息系统审计时，应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析和评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。

第十三条 信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险，包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。

第十四条 内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时，需要关注下列内容：

(一)业务关注度，即组织的信息技术战略与组织整体发展 战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度；

(二)信息资产的重要性；

(三)对信息技术的依赖程度；

(四)对信息技术部门人员的依赖程度；

(五)对外部信息技术服务的依赖程度；

(六)信息系统及其运行环境的安全性、可靠性；

(七)信息技术变更；

(八)法律规范环境；

(九)其他。

第十五条 业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言，内部审计人员应当了解业务流程，并关注下列信息技术风险：

(一)数据输入；

(二)数据处理；

(三)数据输出。

第十六条 内部审计人员应当充分考虑风险评估的结果，以合理确定信息系统审计的内容及范围，并对组织的信息技术内部控制设计合理性和运行有效性进行测试。

第五章 信息系统审计的内容

第十七条 信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。

第十八条 信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式，内部审计人员应当根据不同的控制形式采取恰当的审计程序。

第十九条 组织层面信息技术控制，是指董事会或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。内部审计人员应当考虑下列控制要素中与信息技术相关的内容：

(一)控制环境。内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面。

(二)风险评估。内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况，信息资产的分类以及信息资产所有者的职责等方面。

(三)信息与沟通。内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。

(四)内部监督。内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。

第二十条 信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。对信息技术一般性控制的审计应当考虑下列控制活动：

(一)信息安全管理。内部审计人员应当关注组织的信息安全管理政策，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。

(二)系统变更管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试，变更移植到生产环境的流程控制等。

(三)系统开发和采购管理。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发的方法论，开发环境、测试环境、生产环境严格分离情况，系统的测试、审核、移植到生产环境等环节。

(四)系统运行管理。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。

第二十一条 业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动：

(一)授权与批准；

(二)系统配置控制；

(三)异常情况报告和差错报告；

(四)接口/转换控制；

(五)一致性核对；

(六)职责分离；

(七)系统访问权限；

(八)系统计算；

(九)其他。

第二十二条 信息系统审计除上述常规的审计内容外，内部审计人员还可以根据组织当前面临的特殊风险或者需求，设计专项审计以满足审计战略，具体包括(但不限于)下列领域：

(一)信息系统开发实施项目的专项审计；

(二)信息系统安全专项审计；

(三)信息技术投资专项审计；

(四)业务连续性计划的专项审计；

(五)外包条件下的专项审计；

(六)法律、法规、行业规范要求的内部控制合规性专项审计；

(七)其他专项审计。

第六章 信息系统审计的方法

第二十三条 内部审计人员在进行信息系统审计时，可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据，以评估信息系统内部控制的设计合理性和运行有效性：

(一)询问相关控制人员；

(二)观察特定控制的运用；

(三)审阅文件和报告及计算机文档或者日志；

(四)根据信息系统的特性进行穿行测试，追踪交易在信息 系统中的处理过程；

(五)验证系统控制和计算逻辑；

(六)登录信息系统进行系统查询；

(七)利用计算机辅助审计工具和技术；

(八)利用其他专业机构的审计结果或者组织对信息技术内 部控制的自我评估结果；

(九)其他。

第二十四条 信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等；内部审计人员在充分考虑安全的前提下，可以利用可靠的信息安全侦测工具进行渗透性测试等。

第二十五条 内部审计人员在对信息系统内部控制进行评估时，应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标，并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点，在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下，可以考虑适当降低审计频率。

第二十六条 内部审计人员在审计过程中应当在风险评估的基础上，依据信息系统内部控制评估的结果重新评估审计风险，并根据剩余风险设计进一步的审计程序。

第七章 附 则

第二十七条 本准则由中国内部审计协会发布并负责解释。

第二十八条 本准则自2014年1月1日起施行。

内部审计具体准则——审计报告 篇2

第一章 总 则

第一条 为了规范审计报告的编制、复核和报送，根据《内部审计基本准则》，制定本准则。

第二条 本准则所称审计报告，是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后，就被审计事项作出审计结论，提出审计意见和审计建议的书面文件。

第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章 一般原则

第四条 内部审计人员应当在审计实施结束后，以经过核实的审计证据为依据，形成审计结论、意见和建议，出具审计报告。如有必要，内部审计人员可以在审计过程中提交期中报告，以便及时采取有效的纠正措施改善业务活动、内部控制和风险管理。

第五条 审计报告的编制应当符合下列要求：

(一)实事求是、不偏不倚地反映被审计事项的事实；

(二)要素齐全、格式规范，完整反映审计中发现的重要问题；

(三)逻辑清晰、用词准确、简明扼要、易于理解；

(四)充分考虑审计项目的重要性和风险水平，对于重要事 项应当重点说明；

(五)针对被审计单位业务活动、内部控制和风险管理中存在的主要问题或者缺陷提出可行的改进建议，以促进组织实现目标。

第六条 内部审计机构应当建立健全审计报告分级复核制度，明确规定各级复核人员的要求和责任。

第三章 审计报告的内容

第七条 审计报告主要包括下列要素：

(一)标题；

(二)收件人；

(三)正文；

(四)附件：

(五)签章；

(六)报告日期；

(七)其他。

第八条 审计报告的正文主要包括下列内容：

(一)审计概况，包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及审计时间等；

(二)审计依据，即实施审计所依据的相关法律法规、内部审计准则等规定；

(三)审计发现，即对被审计单位的业务活动、内部控制和风险管理实施审计过程中所发现的主要问题的事实；

(四)审计结论，即根据已查明的事实，对被审计单位业务活动、内部控制和风险管理所作的评价；

(五)审计意见，即针对审计发现的主要问题提出的处理意见；

(六)审计建议，即针对审计发现的主要问题，提出的改善业务活动、内部控制和风险管理的建议。

第九条 审计报告的附件应当包括针对审计过程、审计中发现问题所作出的具体说明，以及被审计单位的反馈意见等内容。

第四章 审计报告的编制、复核与报送

第十条 审计组应当在实施必要的审计程序后，及时编制审计报告，并征求被审计对象的意见。

第十一条 被审计单位对审计报告有异议的，审计项目负责人及相关人员应当核实，必要时应当修改审计报告。

第十二条 审计报告经过必要的修改后，应当连同被审计单位的反馈意见及时报送内部审计机构负责人复核。

第十三条 内部审计机构应当将审计报告提交被审计单位和组织适当管理层，并要求被审计单位在规定的期限内落实纠正措施。

第十四条 已经出具的审计报告如果存在重要错误或者遗漏，内部审计机构应当及时更正，并将更正后的审计报告提交给原审计报告接收者。

第十五条 内部审计机构应当将审计报告及时归入审计档案，妥善保存。

第五章 附 则

第十六条 本准则由中国内部审计协会发布并负责解释。

第十七条 本准则自2014年1月1日起施行。

内部审计具体准则——审计计划 篇3

第一章 总 则

第一条 为了规范审计计划的编制与执行，保证有计划、有重点地开展审计业务，提高审计质量和效率，根据《内部审计基本准则》，制定本准则。

第二条 本准则所称审计计划，是指内部审计机构和内部审计人员为完成审计业务，达到预期的审计目的，对审计工作或者具体审计项目作出的安排。

第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章 一般原则

第四条 审计计划一般包括年度审计计划和项目审计方案。

年度审计计划是对年度预期要完成的审计任务所作的工作安排，是组织年度工作计划的重要组成部分。

项目审计方案是对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等作出的安排。

第五条 内部审计机构应当在本年度编制下年度审计计划，并报经组织董事会或者最高管理层批准；审计项目负责人应当在审计项目实施前编制项目审计方案，并报经内部审计机构负责人批准。

第六条 内部审计机构应当根据批准后的审计计划组织开展内部审计活动。在审计计划执行过程中，如有必要，应当按照规定的程序对审计计划进行调整。

第七条 内部审计机构负责人应当定期检查审计计划的执行情况。

第三章 年度审计计划

第八条 内部审计机构负责人负责年度审计计划的编制工作。

第九条 编制年度审计计划应当结合内部审计中长期规划，在对组织风险进行评估的基础上，根据组织的风险状况、管理需要和审计资源的配置情况，确定具体审计项目及时间安排。

第十条 年度审计计划应当包括下列基本内容：

(一)年度审计工作目标；

(二)具体审计项目及实施时间；

(三)各审计项目需要的审计资源；

(四)后续审计安排。

第十一条 内部审计机构在编制年度审计计划前，应当重点调查了解下列情况，以评价具体审计项目的风险：

(一)组织的战略目标、年度目标及业务活动重点；

(二)对相关业务活动有重大影响的法律、法规、政策、计划和合同；

(三)相关内部控制的有效性和风险管理水平；

(四)相关业务活动的复杂性及其近期变化；

(五)相关人员的能力及其岗位的近期变动；

(六)其他与项目有关的重要情况。

第十二条 内部审计机构负责人应当根据具体审计项目的性质、复杂程度及时间要求，合理安排审计资源。

第四章 项目审计方案

第十三条 内部审计机构应当根据年度审计计划确定的审计项目和时间安排，选派内部审计人员开展审计工作。

第十四条 审计项目负责人应当根据被审计单位的下列情况，编制项目审计方案：

(一)业务活动概况；

(二)内部控制、风险管理体系的设计及运行情况；

(三)财务、会计资料；

(四)重要的合同、协议及会议记录；

(五)上次审计结论、建议及后续审计情况；

(六)上次外部审计的审计意见；

(七)其他与项目审计方案有关的重要情况。

第十五条 项目审计方案应当包括下列基本内容：

(一)被审计单位、项目的名称；

(二)审计目标和范围；

(三)审计内容和重点；

(四)审计程序和方法；

(五)审计组成员的组成及分工；

(六)审计起止日期；

(七)对专家和外部审计工作结果的利用；

(八)其他有关内容。

第五章 附 则

第十六条 本准则由中国内部审计协会发布并负责解释。

第十七条 本准则自2014年1月1日起施行。

内部审计具体准则——人际关系 篇4

第一章 总 则

第一条 为了规范内部审计人员与组织内、外相关机构和人员建立和保持良好的人际关系，保证内部审计工作顺利而有效地进行，提高审计效率和效果，根据《内部审计基本准则》，制定本准则。

第二条 本准则所称人际关系，是指内部审计人员与组织内外相关机构和人员之间的相互交往与联系。

第三条 本准则适用于各类组织的内部审计机构中的内部审计人员。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章 一般原则

第四条 内部审计人员在从事内部审计活动中，需要与下列机构和人员建立人际关系：

(一)组织适当管理层和相关人员；

(二)被审计单位和相关人员；

(三)组织内部各职能部门和相关人员；

(四)组织外部相关机构和人员；

(五)内部审计机构中的其他成员。

第五条 内部审计人员应当与组织内外相关机构和人员进行必要的沟通，保持良好的人际关系，以实现下列目的：

(一)在内部审计工作中与相关机构和人员建立相互信任的 关系，促进彼此的交流与沟通；

(二)在内部审计工作中取得相关机构和人员的理解和配合，及时获得相关、可靠和充分的信息，提高内部审计效率；

(三)保证内部审计意见得到有效落实，实现内部审计目标。

第六条 内部审计人员应当具备建立良好人际关系的意识和能力。

第七条 内部审计人员在人际关系的处理中应当注意保持独立性和客观性。

第八条 内部审计人员应当在遵循有关法律、法规的情况下灵活、妥善地处理人际关系。

第九条 内部审计机构负责人应当定期对内部审计人员的人际关系进行评价，并根据评价结果及时采取措施改进人际关系。

第三章 处理人际关系的方式和方法

第十条 内部审计人员在处理人际关系时，应当主动、及时、有效地进行沟通，以保证信息的快捷传递和充分交流。

第十一条 内部审计人员处理人际关系时采用的沟通类型包括：

(一)人员沟通，即内部审计人员与相关人员之间的沟通。

(二)组织沟通，即内部审计机构在特定组织环境下的沟通，主要包括与上下级部门之间的信息交流，与组织内各平行部门之间的信息交流，信息在非平行、非隶属部门之间的交流。

第十二条 内部审计人员处理人际关系时采用的主要沟通方式有口头沟通和书面沟通两种。

口头沟通，即内部审计人员利用口头语言进行信息交流。书面沟通，即内部审计人员利用书面语言进行信息交流。

第十三条 内部审计人员人际关系冲突的原因主要包括：

(一)缺乏必要、及时的信息沟通；

(二)对同一事物的认识存在分歧，导致不同的评价；

(三)各自的价值观、利益观不一致；

(四)职业道德信念的差异。

第十四条 内部审计人员应当及时、妥善地化解人际冲突，可以采取的方法主要包括：

(一)暂时回避，寻找适当的时机再进行协调；

(二)说服、劝导；

(三)适当的妥协；

(四)互相协作；

(五)向适当管理层报告，寻求协调；

(六)其他。

第十五条 内部审计人员应当积极、主动地与对内部审计工作负有领导责任的组织适当管理层进行沟通，可以采取的沟通途径主要包括：

(一)与组织适当管理层就审计计划进行沟通，以达成共识；

(二)咨询组织适当管理层，了解内部控制环境；

(三)根据审计发现的问题和作出的审计结论，及时向组织 适当管理层提出审计意见和建议；

(四)出具书面审计报告之前，利用各种沟通方式征求组织 适当管理层对审计结论、意见和建议的意见。

第十六条 内部审计人员应当与被审计单位建立并保持良好的人际关系，可以采取下列沟通途径获得被审计单位的理解、配合和支持：

(一)在了解被审计单位基本情况时，应当进行及时、有效 的沟通和协调；

(二)通过询问、会谈、会议、问卷调查等沟通方式，了解 被审计单位业务活动、内部控制和风险管理的情况；

(三)通过口头方式或者其他非正式方式，与被审计单位交 流审计中发现的问题；

(四)在审计报告提交之前，以书面方式与被审计单位进行 结果沟通。

第十七条 内部审计人员应当与组织内其他职能部门建立并保持良好的人际关系，确保在下列方面得到支持与配合：

(一)了解组织及相关职能部门的情况；

(二)寻求审计中发现问题的解决方法；

(三)落实审计结论、意见和建议；

(四)有效利用审计成果；

(五)其他。

第十八条 内部审计人员应当与组织外部相关机构和人员之间建立并保持良好的人际关系，以获得更多的认同、支持及协助。

第十九条 内部审计人员应当重视内部审计机构成员间的人际关系，相互协作，相互包容。

第四章 附 则

第二十条 本准则由中国内部审计协会发布并负责解释。

第二十一条 本准则自2014年1月1日起施行。

内部审计具体准则——内部审计与外部审计的协调 篇5

第一章 总 则

第一条 为了规范内部审计与外部审计的协调工作，提高审计效率和效果，根据《内部审计基本准则》，制定本准则。

第二条 本准则所称内部审计与外部审计的协调，是指内部审计机构与社会审计组织、国家审计机关在审计工作中的沟通与合作。

第三条 本准则适用于各类组织的内部审计机构。

第二章 一般原则

第四条 内部审计应当做好与外部审计的协调工作，以实现下列目的：

(一)保证充分、适当的审计范围；

(二)减少重复审计，提高审计效率；

(三)共享审计成果，降低审计成本；

(四)持续改进内部审计机构工作。

第五条 内部审计与外部审计的协调工作，应当在组织董事会或者最高管理层的支持和监督下，由内部审计机构负责人具体组织实施。

第六条 内部审计机构负责人应当定期对内外部审计的协调工作进行评估，并根据评估结果及时调整、改进内外部审计协调工作。

第七条 内部审计机构应当在外部审计对本组织开展审计时做好协调工作。

第三章 协调的方法和内容

第八条 内部审计与外部审计之间的协调，可以通过定期会议、不定期会面或者其他沟通方式进行。

第九条 内部审计与外部审计的协调工作包括下列方面：

(一)与外部审计机构和人员的沟通；

(二)配合外部审计工作；

(三)评价外部审计工作质量；

(四)利用外部审计工作成果。

第十条 内部审计与外部审计应当在审计范围上进行协调。在编制年度审计计划和项目审计方案时，应当考虑双方的工作，以确保充分、适当的审计范围，最大限度减少重复性工作。

第十一条 在条件允许的情况下，内部审计与外部审计应当在必要的范围内互相交流相关审计工作底稿，以便利用对方的工作成果。

第十二条 内部审计与外部审计应当相互参阅审计报告。

第十三条 内部审计与外部审计应当在具体审计程序和方法上相互沟通，达成共识，以促进双方的合作。

第四章 附 则

第十四条 本准则由中国内部审计协会发布并负责解释。

第十五条 本准则自2014年1月1日起施行。