审计署关于内部审计工作的规定第一章总则第二章内部审计机构和人员管理第三章内部审计职责权限和程序第四章审计结果运用第五章对内部审计工作的指导和监督第六章责任追究第七章附则总则第三条:“本规定所称内部审计,是指对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,以促进单位完善治理、实现目标的活动。”原定义:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为,以促进加强经济管理和实现经济目标。”与原定义相比较,有以下三个显著的亮点:亮点一:拓展了内部审计职责范围将内部审计监督范围由传统的财务收支领域拓展至内部控制、风险管理领域。财务收支内部审计的历史是一部审计职责演进的历史。财政财务收支及经济活动会将内部审计的工作目标锁定在真实性、合法性上,其实效益性一直难以发挥。真实性、合法性审计目标的指向,会将内部审计定位于问题导向式的专项审计工作,并且往往侧重于外部监管政策与制度的执行,审计所到之处以监督查处为主,强调行为的合法性至于行为是否讲效率,有效果,则无暇顾及。所以,内部控制与风险管理是内部审计的根基。内部控制实质是一个流程化管理工具,它是将共性的问题通过流程化管理的模式固化下来,通过标准化、规范化的表单形式,明确部门、岗位职责权限,尤其是价值链条中各种不同角色的职责权限,并最终通过文字、图表等形式固化流程,提升内部控制体系运行的效率。内部控制建设与评价工作仅解决了组织内部的风险问题,还需要借助于风险管理体系建设识别、评估、应对那些外部可能存在的风险问题。随着内部审计职责范围拓展到内部控制与风险管理,会将内部审计从一个点延伸到整个面,将短期目标与长远目标相结合,有利于促进被审计单位运用内部控制与风险管理体系建设系统解决财政财务收支、经济活动中存在的突出问题,避免屡审屡犯。同时,这种系统化的建设也为审计流程的切入提供了很多审计线索和痕迹。而最终内部控制与风险管理的信息化程度越高,内部审计随之的信息化程度就会越高,被审计单位因此构建的大数据运用的效果也会更加明显。亮点二:内部审计职能由监督评价向服务建议转变2003版的《规定》将内部审计的职能限定在了监督与评价。2018版的《规定》则增加了建议功能。这反映出内部审计的本质不仅是监督与评价,更重要的是从服务的角度提供建议。这一点,也与《国际内部审计实务标准》的咨询服务不谋而合。如何把握审计建议与审计独立性关系?发现与建议审计发现通常是描述以前或现在的错误,也可能是尚未发生的错误的潜在风险。包括:(1)应采取而实际未采取的行动;(2)被禁止的行为。如舞弊行为、违法行为。(3)不适当的行为。包括业务处置不当、业务处理差错、遗漏业务等(4)令人不满意的制度或系统;(5)未考虑到的风险暴露;(6)低效率、浪费、无效;(7)利益冲突等。审计建议是内部审计人员提出的方案、措施和办法。审计建议与审计发现并不必然存在联系。审计发现和建议应该包括四个要素:标准情况后果原因情况是指由内部审计师通过观察、询问、分析、复核和调查所得到的事实(目前情形)。情况是审计发现的核心,其信息应该是充分、可靠和相关的,并应能够经得起任何质疑。被审计单位可能会不同意审计发现的结论或解释,但绝不能对作出审计结论依据的审计事实有异议。并非内部审计师确认的每一项缺点都应当报告,有一些缺点是次要的和不值得管理层注意的。所有值得报告的审计发现有如下特征:(1)足够重要,值得报告给管理层;(2)能用事实而非判断来证明,并有充分、有力和相关的证据支持;(3)能客观地提出,不带任何偏见或个人成见;(4)有足够的说服力,促使他们采取行动去纠正不足之处。确认审计发现应考虑的其他因素(1)对管理层的决策作“事后诸葛亮”式的评价是不公平和不切实际的。(2)提供审计证据的责任在于内部审计师,而非客户。(3)内部审计师很自然关注其个人业绩的提...
