第九条 信息与沟通主要包括以下内容:
(一)及时、准确、完整地记录所有信息;
(二)保证管理信息系统的有序运行;
(三)保证管理信息系统的安全可靠。
第十条 监督主要包括以下内容:
(一)内部审计机构实施的独立监督;
(二)管理层对内部控制的自我评估。
第十一条 建立、健全内部控制并使之有效运行是组织高级管理层的责任。内部控制目标的实现有赖于组织所有人员的参与。
第十二条 内部控制是对组织目标实现的相对保证。由于人为错误、串通舞弊、超越制度、环境变化及成本效益原则等因素的影响,内部控制可能无法发挥其应有作用。
第三章 内部控制的审查与评价
第十三条 内部审计人员应实施适当的审查程序,以评价被审计单位的控制环境。其审查重点为以下内容:
(一)经营活动的复杂程度;
(二)管理权限的集中程度;
(三)管理行为守则的健全性和有效性;
(四)管理层对逾越既定控制程序的态度;
(五)组织文化的内容及组织成员对此的理解与认同;
(六)法人治理结构的健全性和有效性;
(七)组织各阶层人员的知识与技能;
(八)组织结构和职责划分的合理性;
(九)重要岗位人员的权责相称程度及其胜任能力;
(十)员工聘用程序及培训制度;
(十一)员工业绩考核与激励机制。
第十四条 内部审计人员应实施适当的审查程序,评价组织风险管理机制的健全性和有效性。其审查重点为以下内容:
(一)可能引发风险的内外因素;
(二)风险发生的可能性和预计带来的后果;
(三)对抗风险的能力;
(四)风险管理的具体方法及效果。
第十五条 内部审计人员应实施适当的审查程序,评价控制活动的适当性、合法性、有效性。其审查重点为以下内容:
(一)控制活动建立的适当性;
(二)控制活动对风险的识别和规避;
(三)控制活动对组织目标实现的作用;
