中国内部审计准则

第1101号（内部审计基本准则） 规模、治理结构等相适应的内部审计机构，并配备具有相应资格的内部审计人员.

2.第6条：内部审计机构和没办实际人员应当保持独立性和客观性，不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。

第2101号（内部审计具体准则——审计14.第4条：审计计划一般包括年度审计计划和项目审计方案。

年度审计计划:是对年度预期要完成的审计任务所作的工作安排，是组织年度工作计划的重要组成部分。

项目审计方案：是对实施具体审计项目所计组组长及审计组成员名单；⑦内部审计机构的印章和签发日期。

24. 第6条：内部审计机构应当在实施审计三日前，向被审计单位或者被审计人员送达审计通知书。特殊审计业务的审计通知书可以在实施审计时送达。

第2103号内部审计具体准则—审计证据 25. 第5条：内部审计人员获取的审计证1.第4条：组织应当设置与其目标、性质、计划）

需要的审计内容、审计程序、人员分工、据应当具备相关性、可靠性和充分性。

3.第10条：内部审计机构和内部审计人员应当全面关注组织风险，以风险为基础组织实施内部审计业务。

4.第13条：内部审计人员根据年度审计计划确定的审计项目，编制项目审计方案。

5.第14条：内部审计机构应当在实施审计三日前，向被审计单位或者被审计人员送达审计通知书，做好审计准备工作。 6.第15条：内部审计人员应当深入了解被审计单位的情况，审查和评价业务活动、内部控制和风险管理的适当性和有效性，关注信息系统对业务活动、内部控制和风险管理的影响。

7.第19条：内部审计人员应当以适当方式提供咨询服务，改善组织的业务活动、内部控制和风险管理。

8.第22条：审计报告应当包括审计概况、审计依据、审计发现、审计结论、审计意见和审计建议。

9.第25条：内部审计机构应当建立合理、有效的组织结构，多层级组织的内部审计机构可以实行集中管理或者分级管理。 10．第28条：内部审计机构应当编制中长期审计规划、年度审计计划、本机构人力资源计划和财务预算。

11．第31条：内部审计机构负责人应当对内部审计机构管理的适当性和有效性负主要责任。

第1201号（内部审计人员职业道德规范） 12.第4条：内内部审计人员在从事内部审计活动是，应当保持诚信正直。 13.第9条：内部审计人员在实施内部审计业务时，应当诚实、守信，不应有下列行为：①歪曲事实；②隐瞒审计发现的问题；③进行缺少证据支持的判断；④做误导性的或者含糊的陈述。

审计时间等作出的安排。

15. 第5条：内部审计机构应当在本年度编制下年度审计计划，并报经董事会或者最高管理层批准；审计项目负责人应当在审计项目实施前编制项目审计方案，并报经内部审计机构负责人批准。

16.第7条：内部审计机构负责人应当定期检查审计计划的执行情况。

18. 第8条：内部审计机构负责人负责年度审计计划的编制工作。

19. 第9条：编制年度审计计划应当计划内部审计中长期规划，在对组织风险进行评估的基础上，根据组织的风险状况、管理需要和审计资源的配置情况，确定具体审计项目及时间安排。

20. 第10条：年度审计计划应当包括下列基本内容：①年度审计工作目标；②具体审计项目及实施时间；③各审计项目需

要的审计资源；④后续审计安排。 21. 第12条：内部审计机构负责人应当根据具体审计项目的性质、复杂程度及时

间要求，合理安排审计资源。

22. 第14条：审计项目负责人应当根据被审计单位的下列情况，编制项目审计方案：①业务活动概况；②内部控制、风险管理体系的设计及运行情况；③财务、会计资料；④重要的合同、协议及会议记录；⑤上次审计结论、建议及后续审计情况；⑥上次外部审计的审计意见；⑦其他与项目审计方案有关的重要情况。

第2102号内部审计具体准则（审计通知书）

23. 第4条： 审计通知书应当包括下列内容：①审计项目名称；②被审计单位名称或者被审计人员姓名；③审计范围和审计内容；④审计时间；⑤需要被审计单位提供的资料及其他必要的协助要求；⑥审

相关性，即审计证据与审计事项及其具体审计目标之间具有实质性联系。 可靠性，即审计证据真实、可信。 充分性，即审计证据在数量上足以支持审计结论、意见和建议。

26. 第6条：审计项目的各级复核人员应当在各自职责范围内对审计证据的相关性、可靠性和充分性予以复核。 27. 第7条：内部审计人员在获取审计证据时，应当考虑下列基本因素：①具体审计事项的重要性。内部审计人员应当从数量和性质两个方面判断审计事项的重要性，以做出获取审计证据的决策。②可以接受的审计风险水平。证据的充分性与审计风险水平密切相关。可以接受的审计风险水平越低，所需证据的数量越多。③成本与效益的合理程度。获取审计证据应当考虑成本与效益的对比，但对于重要审计事项，不应当将审计成本的高低作为减少必要审计程序的理由。④适当的抽样方法。

28. 第9条：内部审计人员应当将获取的审计证据名称、来源、内容、时间等完整、清晰地记录于审计工作底稿中。 采集被审计单位电子数据作为审计证据的，内部审计人员应当记录电子数据的采集和处理过程。

29. 第10条：内部审计机构可以聘请其他专业机构或者人员对审计项目的某些特殊问题进行鉴定，并将鉴定结论作为审计证据。内部审计人员应当对所引用鉴定结论的可靠性负责。

第2104号内部审计具体准则—审计工作底稿

30. 第2条：本准则所称审计工作底稿，是指内部审计人员在审计过程中所形成的工作记录。

31. 第4条：内部审计人员在审计工作中应当编制审计工作底稿，以达到下列目的：①为编制审计报告提供依据；②证明审计目标的实现程度；③为检查和评价内部审计工作质量提供依据；④证明内部审计机构和内部审计人员是否遵循内部审32. 第6条：内部审计机构应当建立审计工作底稿的分级复核制度，明确规定各级复核人员的要求和责任。

施审计所依据的相关法律法规、内部审计准则等规定；③审计发现，即对被审计单位的业务活动、内部控制和风险管理实施审计过程中所发现的主要问题的事实；④审计结论，即根据已查明的事实，对被审计单位业务活动、内部控制和风险管理所的主要问题提出的处理意见⑥审计建议，即针对审计发现的主要问题，提出的改善的专业判断和经验抽取样本进行审查，并对总体特征进行推断的审计抽样方法。 统计抽样和非统计抽样审计方法相互结合使用，可以降低抽样风险。 49. 第15条：内部审计人员可以运用下列方法选取样本：①随机数表选样法； ②系统选样法；③分层选样法；④整群选样法；④任意选样法。

50. 第19条：抽样风险主要包括两类： 计 准则；⑤为以后的审计工作提供参考。 作的评价；⑤审计意见，即针对审计发现

业务活动、内部控制和风险管理的建议。 误受风险，是指样本结果表明审计项目不

33. 第12条：如果发现审计工作底稿存在问题，复核人员应当在复核意见中加以说明，并要求相关人员补充或者修改审计工作底稿。

34. 第13条：在审计业务执行过程中，审计项目负责人应当加强对审计工作底稿的现场复核。

35. 第16条：内部审计机构应当建立审计工作底稿保管制度。如果内部审计机构以外的组织或者个人要求查阅审计工作底稿，必须经内部审计机构负责人或者其主管领导批准，但国家有关部门依法进行查阅的除外。

第2105号内部审计具体准则—结果沟通

36. 第4条：结果沟通的目的，是提高审计结果的客观性、公正性，并取得被审计单位、组织适当管理层的理解和认同。 37. 第7条：结果沟通一般采取书面或者口头方式。

38. 第10条：结果沟通主要包括下列内容：①审计概况；②审计依据；③审计发现；④审计结论；⑤审计意见；⑥审计建议。

39. 第12条：内部审计机构负责人应当与组织适当管理层就审计过程中发现的重大问题及时进行沟通。

第2106号内部审计具体准则—审计报告

40. 第7条：审计报告主要包括下列要素： 标题、收件人、正文、附件、签章、报告日期、其他。

41. 第8条：审计报告的正文主要包括下列内容：①审计概况，包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及审计时间等；②审计依据，即实

42. 第12条：审计报告经过必要的修改后，应当连同被审计单位的反馈意见及时报送内部审计机构负责人复核。 第2107号内部审计具体准则—后续审计

43. 第6条：内部审计机构负责人可以适时安排后续审计工作，并将其列入年度审计计划。

44. 第7条：内部审计机构负责人如果初步认定被审计单位管理层对审计发现的问题已采取了有效的纠正措施，可以将后续审计作为下次审计工作的一部分。 45. 第9条：审计项目负责人应当编制后续审计方案，对后续审计作出安排 第2108号内部审计具体准则—审计抽样

46. 第5条：抽样总体的确定应当遵循相关性、充分性和经济性原则。

相关性是指抽样总体与审计对象及其审计目标相关；充分性是指抽样总体能够在数量上代表审计项目的实际情况；经济性是指抽样总体的确定符合成本效益原则。 47. 第6条：审计抽样方法包括统计抽样和非统计抽样。在审计抽样过程中，可以采用统计抽样方法，也可以采用非统计抽样方法，或者两种方法结合使用。 48. 第13条：内部审计人员应当根据审计目标和审计对象的特征，选择确定审计抽样方法。

统计抽样，是指以数理统计方法为基础，按照随机原则从总体中选取样本进行审查，并对总体特征进行推断的审计抽样方法。主要包括发现抽样、连续抽样等属性抽样方法，以及单位均值抽样、差异估计抽样和货币单位抽样等变量抽样方法。 非统计抽样，是指内部审计人员根据自己

存在重大差异或者缺陷，而实际上却存在着重大差异或者缺陷的可能性； 误拒风险，是指样本结果表明审计项目存在重大差异或者缺陷，而实际上并没有存在重大差异或者缺陷的可能性。 第2109号内部审计具体准则——分析程序

51. 第5条：内部审计人员执行分析程序，有助于实现下列目标：①确认业务活动信息的合理性；②发现差异；③分析潜在的差异和漏洞；④发现不合法和不合规行为的线索。

52. 第7条：分析程序所使用的信息按其存在的形式划分，主要包括下列内容：①财务信息和非财务信息；②实物信息和货币信息；③电子数据信息和非电子数据信息；④绝对数信息和相对数信息。 53. 第9条：内 内部审计人员应当保持应有的职业谨慎，在确定对分析程序结果的依赖程度时，需要考虑下列因素：①分析程序的目标；②被审计单位的性质及其业务活动的复杂程度；③已收集信息资料的相关性、可靠性和充分性；④以往审计中对被审计单位内部控制、风险管理的评价结果；⑤以往审计中发现的差异和漏洞。

54. 第12条：内部审计人员需要在审计计划阶段执行分析程序，以了解被审计事项的基本情况，确定审计重点。 55. 第14条：内部审计人员需要在审计

终结阶段执行分析程序，验证其他审计程序所得结论的合理性，以保证审计质量。

第2201号内部审计具体准则—内

部控制审计

56. 第4条 董事会及管理层的责任是建立、健全内部控制并使之有效运行。

内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。

经济性，是指组织经营管理过程中获得一定数量和质量的产品或者服务及其他成果时所耗费的资源最少；效率性，是指组织经营管理过程中投入资源与产出成果信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险，包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。 57. 第8条：内部控制审计按其范围划分，之间的对比关系；效果性，是指组织经营

分为全面内部控制审计和专项内部控制审计。

全面内部控制审计，是针对组织所有业务活动的内部控制，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。

58. 第16条 内部控制审计主要包括下列程序：

（一）编制项目审计方案； （二）组成审计组； （三）实施现场审查； （四）认定控制缺陷； （五）汇总审计结果； （六）编制审计报告。

59. 第22条: 内部审计人员应当根据获取的证据，对内部控制缺陷进行初步认定，并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或者多个控制缺陷的组合，可能导致组织严重偏离控制目标。重要缺陷，是指一个或者多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致组织偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

重大缺陷、重要缺陷和一般缺陷的认定标准，由内部审计机构根据上述要求，结合本组织具体情况确定。

60. 第23条: 内部审计人员应当编制内部控制缺陷认定汇总表，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。

第2202号内部审计具体准则——绩效审计

61. 第2条: 本准则所称绩效审计，是指内部审计机构和内部审计人员对本组织经营管理活动的经济性、效率性和效果性进行的审查和评价。

管理目标的实现程度。

62. 第5条: 组织各管理层根据授权承担相应的经营管理责任，对经营管理活动的经济性、效率性和效果性负责。内部审计机构开展绩效审计不能减轻或者替代管理层的责任。

63. 第8条: 绩效审计主要审查和评价下

列内容：（一）有关经营管理活动经济性、效率性和效果性的信息是否真实、可靠； 64. 第10条: 选择绩效审计方法时，除运用常规审计方法以外，还可以运用下列方法： （八）成本效益（效果）分析法，即通过分析成本和效益（效果）之间的关系，以每单位效益（效果）所消耗的成本来评价项目效益（效果）的方法；（九）数据包络分析法，即以相对效率概念为基础，以凸分析和线性规划为工具，应用数学规划模型计算比较决策单元之间的相对效率，对评价对象做出评价的方法； 65. 第11条: 内部审计机构和内部审计人员应当选择适当的绩效审计评价标准。 绩效审计评价标准应当具有可靠性、客观性和可比性。

66. 第12条： 绩效审计评价标准的来源主要包括：①有关法律法规、方针、政策、规章制度等的规定；②国家部门、行业组织公布的行业指标；③组织制定的目标、计划、预算、定额等；④同类指标的历史数据和国际数据；⑤同行业的实践标准、经验和做法。

67. 第17条： 绩效审计报告应当注重从体制、机制、制度上分析问题产生的根源，兼顾短期目标和长期目标、个体利益和组织整体利益，提出切实可行的建议。

第2203号内部审计具体准则——

信息系统审计

68. 第11条：当信息系统审计作为综合性内部审计项目的一部分时，内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。

69. 第13条：信息技术风险是指组织在

70. 第15条：业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言，内部审计人员应当了解业务流程，并关注下列信息技术风险：

数据输入、数据处理、数据输出。

71. 第19条：组织层面信息技术控制，是指董事会或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。内部审计人员应当考虑下列控制要素中与信息技术相关的内容：①控制环境②风险评估③信息与沟通④内部监督。

72. 第20条：信息技术一般性控制是指

与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。对信息技术一般性控制的审计应当考虑下列控制活动： （一）信息安全管理。（二）系统变更管

理。（三）系统开发和采购管理。（四）系统运行管理。

73. 第21条：业务流程层面应用控制是指在业务流程层面为了合理保证应用系

统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动： ①授权与批准；②）系统配置控制；③异常情况报告和差错报告；④接口/转换控

制；⑤一致性核对；⑥职责分离；⑦系统访问权限；⑧系统计算；⑨其他。

第2204号内部审计具体准则—对

舞弊行为进行检查和报告

74. 第2条：本准则所称舞弊，是指组织内、外人员采用欺骗等违法违规手段，损害或者谋取组织利益，同时可能为个人带来不正当利益的行为。

75. 第12条：内部审计人员除考虑内部

控制的固有局限外，还应当考虑下列可能导致舞弊发生的情况： ①管理人员品质不佳；②管理人员遭受异常压力；③业务活动中存在异常交易事项；④组织内部个人利益、局部利益和整体利益存在较大冲 突。

76. 第16条：舞弊的报告是指内部审计利组织的理事会。

83. 第6条：对内部审计机构有管理权限的最高管理层包括：①总经理；②与总经理级别相当的人员。

84 第11条：内部审计机构应当向董事会或者最高管理层报请批准的事项主要包念的差异。

91. 第14条：内部审计人员应当及时、妥善地化解人际冲突，可以采取的方法主要包括：①暂时回避，寻找适当的时机再进行协调；② 说服、劝导；③适当的妥协；④互相协作；⑤向适当管理层报告，括：①内部审计章程；②年度审计计划； 寻求协调；⑥其他。

人员以书面或者口头形式向组织适当管理层或者董事会报告舞弊检查情况及结果。

第2301号内部审计具体准则——内部审计机构的管理

77. 第4条： 内部审计机构的管理主要包括下列目的：①实现内部审计目标；② 促使内部审计资源得到充分和有效的利用；③提高内部审计质量，更好地履行内部审计职责；④促使内部审计活动符合内部审计准则的要求。

78. 第5条：内部审计机构应当接受组织董事会或者最高管理层的领导和监督，内部审计机构负责人应当对内部审计机构管理的适当性和有效性负主要责任。 79. 第8条：内部审计机构管理的内容主要包括下列方面：

审计计划、人力资源、财务预算、组织协调、审计质量、其他事项。

80. 第12条： 内部审计机构负责人应当根据年度审计计划和人力资源计划编制财务预算。编制财务预算时应当考虑下列因素：①内部审计人员的数量；②内部审计工作的安排；③内部审计机构的行政管理活动；④内部审计人员的教育及培训要求；⑤ 内部审计工作的研究和发展；⑥其他有关事项。

81. 第20条：审计项目负责人应当履行的职责包括下列方面：①编制项目审计方案；②组织审计项目的实施；③对项目审计工作进行现场督导；④向内部审计机构负责人及时汇报审计进展及重大审计 发现；⑤组织编制审计报告；⑥组织实施后续审计；⑦其他有关事项。

第2302号内部审计具体准则——

与董事会或者最高管理层的关系

82. 第5条：对内部审计机构有管理权限的董事会或者类似的机构包括：①董事会；②董事会下属的审计委员会；③非盈

③人力资源计划；④财务预算；⑤内部审计政策的制定及变动。

第2303号内部审计具体准则—内

部审计与外部审计的协调

85 第5条： 内部审计与外部审计的协调工作，应当在组织董事会或者最高管理层的支持和监督下，由内部审计机构负责人具体组织实施。

86. 第9条：内部审计与外部审计的协调工作包括下列方面： ①与外部审计机构和人员的沟通；② 配合外部审计工作；③评价外部审计工作质量；④利用外部审计工作成果。

第2306号内部审计具体准则 ——内部审计质量控制

87. 第4条：内部审计机构负责人对制定并实施系统、有效的质量控制制度与程序负主要责任。

88 第6条；内部审计质量控制分为内部审计机构质量控制和内部审计项目质量控制。

第2304号内部审计具体准则——

利用外部专家服务

89. 第11条：第十一条 在利用外部专家服务前，内部审计机构应当与外部专家签订书面协议。书面协议主要包括下列内容：①外部专家服务的目的、范围及相关责任；②外部专家服务结果的预定用途；③在审计报告中可能提及外部专家的情形；④外部专家利用相关资料的范围；⑤ 报酬及其支付方式；⑥对保密性的要求；⑦违约责任。

第2305号内部审计具体准则——

人际关系

90. 第13条：第十三条 内部审计人员人际关系冲突的原因主要包括：①缺乏必要、及时的信息沟通；②对同一事物的认识存在分歧，导致不同的评价；③各自的价值观、利益观不一致；④ 职业道德信

92. 第15条内部审计人员应当积极、主动地与对内部审计工作负有领导责任的组织适当管理层进行沟通，可以采取的沟通途径主要包括： ①与组织适当管理层就审计计划进行沟通，以达成共识； ②咨询组织适当管理层，了解内部控制环境； ③根据审计发现的问题和作出的审计结论，及时向组织 适当管理层提出审计意见和建议；④出具书面审计报告之前，利用各种沟通方式征求组织 适当管理层对审计结论、意见和建议的意见。 93. 第16条内部审计人员应当与被审计单位建立并保持良好的人际关系，可以采

取下列沟通途径获得被审计单位的理解、

配合和支持：①在了解被审计单位基本情况时，应当进行及时、有效 的沟通和协调；② 通过询问、会谈、会议、问卷调查等沟通方式，了解 被审计单位业务活动、内部控制和风险管理的情况；③通过口头方式或者其他非正式方式，与被审计单位交 流审计中发现的问题；④在审计报告提交之前，以书面方式与被审计单位进行 结果沟通。

第 2307号内部审计具体准则 —

评价外部审计工作质量

94. 第5条评价外部审计工作质量，可以按照评价准备、评价实施和评价报告三个阶段进行。

95. 第7条在评价外部审计工作质量之前，内部审计机构应当考虑下列因素： ①评价活动的必要性；②评价活动的可行性；③评价活动预期结果的有效性。 96. 第8条在决定对外部审计工作质量进行评价后，内部审计机构应当编制适当的评价方案。评价方案应当包括下列主要内容：①评价目的；②评价的主要内容与步骤；③评价的依据；④评价工作的主要方法；⑤评价工作的时间安排；⑥评价人员的分工。