《标准》简介
内部审计在宗旨、规模、复杂程度和组织架构各异的组织内部开展,其所涉及的法律和文化环境丰富多样,而其从业人员既可来自组织内部,亦可来自组织外部。虽然这些差异可能会影响各种不同环境下开展的具体内部审计实务,但是遵守国际内部审计师协会的《国际内部审计专业实务标准》(以下简称《标准》)是内部审计师和内部审计部门履行职责的基本要求。 《标准》的宗旨是:
●指导内部审计人员遵循《标准》中的强制性内容;●为开展和推动各类具有增值效应的内部审计服务提供框架;●建立评估内部审计业绩的依据;●促进组织流程和运营的改善。
《标准》是一系列基于原则的强制性要求,其组成内容包括:
●对组织和个人普遍适用的关于内部审计专业实务及其业绩评价核心要求的阐述;
●对《标准》中所含术语或概念进行说明的释义。
《标准》与《职业道德规范》组成了《国际内部审计专业实务框架》(IPPF)的强制性要素,因此遵循《职业道德规范》和《标准》就意味着遵循了IPPF的强制性要求。
本《标准》所用术语具有特定含义,详细解释见“词汇表”部分,要正确理解并适用《标准》,需要考虑相关阐述和释义以及“词汇表”的特定含义。《标准》
第 1 页,共 35 页
用“必须”一词来表示无条件的强制性要求,并用“应当”一词来表示期待相关要求得到遵守,除非根据专业判断所涉情形允许偏离《标准》的要求。 《标准》主要由两部分内容组成:属性标准和工作标准。属性标准说明开展内部审计活动的组织和个人的特征。工作标准描述内部审计活动的性质,并提供了衡量内部审计活动实施质量的准绳。属性标准和工作标准适用于所有的内部审计服务。实施标准是对属性标准和工作标准的扩充,提供适用于确认服务(A)或咨询服务(C)的相关要求。
确认服务指内部审计师为了对机构、运营、职能、流程、系统或其他对象提供意见或结论而作出的客观评价。确认服务的性质和范围由内部审计师确定。一般而言,确认服务涉及三方:(1) 与接受确认服务的机构、运营、职能、流程或其他对象存在直接关系的个人或机构,即被审计单位或个人;(2)开展确认服务的个人或机构,即内部审计师;(3)应用确认服务的个人或机构,即用户。
咨询服务本质上是一种顾问服务,一般应客户的具体要求而开展。咨询服务的性质和范围需与客户协商确定。咨询服务一般涉及两方:(1)提供咨询建议的个人或机构,即内部审计师;(2)寻求并接受咨询服务的个人或机构,即客户。在开展咨询业务时,内部审计师应保持客观性,不承担管理职责。 《标准》适用于内部审计师和内部审计活动。所有内部审计师都有责任遵循《标准》所规定的有关客观性、专业能力、应有的职业审慎负有责任和与其履行职业责任相关的《标准》。首席审计执行官负责内部审计活动对《标准》的全面遵循。
如果存在法律或法规禁止内部审计人员或内部审计活动遵循《标准》的某些
第 2 页,共 35 页
内容,内部审计人员或活动应当遵循《标准》的其他要求,并对有关信息进行适当的披露。
若在适用《标准》的同时也适用了其他权威机构发布的准则,则内部审计报告中也可提及对这些准则的适用情况。如果《标准》与其他权威机构发布的准则存在不一致,内部审计师和内部审计部门必须遵守《标准》,但是在其他权威机构的规定更为严格的情况下,也可遵守该权威机构的准则。
《标准》的审视和发展是一个持续的过程。在正式发布之前,国际内部审计标准委员会进行了广泛的咨询和论证,包括在全世界范围内公布草案征求公众意见。所有草案都可以通过国际内部审计师协会网站获取,任何有关的意见和建议可以寄至:
国际内部审计师协会标准和指导委员会 The Institute of Internal Auditors Standards and Guidance
地址:1035 Greenwood Blvd, Suite 401, Lake Mary, FL 32746
电子信箱:guidance@theiia.org 网址:www.globaliia.org
第 3 页,共 35 页
《国际内部审计专业实务标准(标准)》 属性标准
1000 — 宗旨、权力和职责
内部审计部门的宗旨、权力和职责必须在内部审计章程中正式确定,并与内部审计的使命和《国际内部审计专业实务标准》强制性要素(内部审计专业实务的核心原则、《职业道德规范》、《标准》和“内部审计定义”)的要求保持一致。首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。 释义
内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位,包括首席审计执行官与董事会之间职能性报告关系的性质,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。内部审计章程的最终审批权在董事会。 1000.A1 —向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。
1000.C1 —咨询服务的性质必须在内部审计章程中确定。
1010 — 在内部审计章程中确认强制性指南
内部审计专业实务的核心原则、《职业道德规范》、《标准》和“内部审计定义”的强制性质必须在内部审计章程中得到确认。首席审计执行官应当与高级管理层和董事会讨论内部审计的使命和《国际内部审计专业实务框架》中的强
第 4 页,共 35 页
制性内容。
1100 — 独立性与客观性
内部审计活动必须保持其独立性,内部审计师必须客观地开展工作。 释义
独立性指内部审计活动公正地履行职责时免受任何威胁其履职能力的情况影响。要达到有效履行内部审计职责所必须的独立程度,首席审计执行官需要直接且不受限制地与高级管理层和董事会接触。这一要求可以通过建立双重报告关系来实现。独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。
客观性指不偏不倚的心态,使得内部审计师在开展业务时相信其工作成果并且不会做出质量方面的妥协。客观性要求内部审计师对审计事项做出判断时不屈从于其他因素。客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。
1110 — 组织上的独立性
首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织上的独立性。 释义
组织上的独立性只有当首席审计执行官在职能上向董事会报告的情况下才能够有效实现。职能上向董事会报告的例子包括,董事会:
第 5 页,共 35 页
● 批准内部审计章程;
● 批准以风险为基础的内部审计计划; ● 批准内部审计预算和所需资源计划;
● 与首席审计执行官就内部审计部门实施审计计划或开展其他事项的情况进行沟通;
● 批准关于首席审计执行官任免的决定; ● 批准首席审计执行官的薪酬;
● 适当询问管理层和首席审计执行官以确定是否存在不适当的审计范围或资源限制。
1110.A1 —内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干预。遇有受到干预的情况,首席审计执行官必须向董事会汇报并讨论其意义。
1111 — 与董事会的直接互动
首席审计执行官必须与董事会直接沟通和互动。 1112—首席审计执行官在内部审计工作以外的作用
首席审计执行官在内部审计以外的工作中发挥作用或承担职责的情况下,必须有保障措施,以限制对独立性或客观性的损害。 释义
首席审计执行官有可能被要求在内部审计之外扮演角色或承担职责,例如合规或风险管理方面的责任。这些角色或职责可能会损害、或看上去损害内部审计机构的机构独立性或内部审计人员的个人客观性。保障措施通常是由董事会实施针对这类潜在损害的监督活动,包括定期评估报告路径及责任,和
第 6 页,共 35 页
制定替代步骤对额外责任的相关领域进行确认。 1120 — 个人的客观性
内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。 释义
利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计师个人客观履行其职责的能力。
1130 — 对独立性或客观性的损害
如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。 释义
对组织独立性和个人客观性的损害可能包括但不限于:个人利益冲突,工作范围限制,接触记录、人员和实物资产的限制,在经费等资源方面受到约束等。
独立性或客观性受损的细节必须披露,披露的适当对象,取决于内部审计章程中明确的内部审计部门和首席审计执行官应当对高级管理层和董事会承担的责任,以及损害的性质。
1130.A1 —内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到损害。
第 7 页,共 35 页
1130.A2 —确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督。
1130.A3—在咨询服务的性质不会损害客观性,并且个人的客观性在调配业务资源时得到有效管理的前提下,内部审计可以对实施过咨询服务的领域提供确认服务。
1130.C1 — 内部审计师可以对其以往负责的业务提供咨询服务。
1130.C2 — 如果内部审计师对于拟开展的咨询服务的独立性或客观性存在潜在损害,必须在接受该业务之前向客户披露。
1200 — 专业能力与应有的职业审慎
内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。
1210 — 专业能力
内部审计师必须具备履行其职责所必需的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必需的知识、技能和其他能力。 释义
专业能力是反映内部审计师有效履行职责所必需的知识、技能和其他能力。它包含对当前活动、趋势和新兴趋势的思考,使得内部审计人员能够出具具有相关性的建议,且建议能够落实。鼓励内部审计师通过取得适当的专业资格证书和认证,例如国际内部审计师协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力。
1210.A1 —当内部审计师缺乏完成全部或部分业务所必需的知识、技能或其
第 8 页,共 35 页
他能力时,首席审计执行官必须向他人寻求充分的专业建议和协助。 1210.A2 — 内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专门技能。
1210.A3 —内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法,以开展工作,但不期望所有内部审计师均掌握专门从事信息技术审计的内部审计师所具备的专门技能。
1210.C1 —当内部审计师缺乏完成全部或部分咨询业务所必需的知识、技能或其他能力时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助。
1220 — 应有的职业审慎
内部审计师必须应用合理的审慎水平和胜任能力所要求的谨慎和技能。但是,应有的职业审慎并不意味着永不犯错。
1220.A1 —内部审计师必须通过考虑以下因素,履行其应有的职业审慎: ● 为实现业务目标而需要开展工作的范围; ● 所要确认事项的相对复杂性、重要性或严重性; ● 治理、风险管理和控制过程的适当性和有效性; ● 发生重大错误、舞弊或不合规的可能性; ● 与潜在效益相对的确认成本。
1220.A2 —在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法和其他数据分析技术。
第 9 页,共 35 页
1220.A3 —内部审计师必须警惕可能影响目标、运营或资源的重大风险。但是,即使是以应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险。
1220.C1 — 开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:
● 客户的需求与期望,包括咨询结果的性质、时间安排与结果沟通; ● 实现咨询业务目标所需开展工作的相对复杂性和范围; ● 与潜在效益相对的咨询业务成本。
1230 — 持续职业发展
内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。
1300 — 质量保证与改进程序
首席审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。 释义
质量保证与改进程序旨在对内部审计活动是否遵循《标准》以及内部审计师是否遵守《职业道德规范》进行评估,还可以用来评价内部审计活动的效率和效果,并识别改进的机会。首席审计执行官应当鼓励董事会监督质量保证和改进程序的实施。
1310 — 质量保证与改进程序的要求
第 10 页,共 35 页
质量保证与改进程序必须包括内部评估和外部评估。 1311 — 内部评估 内部评估必须包括:
● 对内部审计活动执行情况的持续监督;
● 定期自我评估或由组织内部其他充分了解内部审计实务的人员进行的评估。 释义
持续监督是对内部审计活动进行日常监督、检查和测试的组成部分。持续监督应纳入管理内部审计活动的日常政策和实践,运用必要的流程、工具和信息对内部审计活动是否遵循《职业道德规范》和《标准》作出评估。 定期评估是针对内部审计活动是否遵循《职业道德规范》和《标准》而开展的评估工作。
充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。
1312 — 外部评估
外部评估必须至少每五年开展一次,必须由来自组织外部、合格且独立的评估人员或评估小组负责实施。首席审计执行官必须与董事会讨论: ● 外部评估的形式和频率;
● 外部评估人员或评估小组的资质和独立性,包括任何潜在的利益冲突。 释义
外部评估可以通过完全外部评估或对自我评估的独立外部审定来完成。外部评估人员必须对是否遵循《职业道德规范》和《标准》出具意见。外部评估
第 11 页,共 35 页
还可以包含对运营和战略提出意见。
合格的评估人员或评估小组需要两方面的胜任能力:内部审计专业实务和外部评估程序。胜任能力可以通过经验和理论学习来证明。经验来源于在类似规模、复杂程度、所属部门或行业等组织的工作,类似程度高的经验更有价值。对于评估小组而言,并非小组内的每个成员都必须具备所有的胜任能力,只要评估小组作为一个整体具备胜任能力就是合格的。首席审计执行官利用职业判断鉴别评估人员或评估小组是否充分胜任。
独立的评估人员或评估小组意味着没有任何实际或认为可能存在的利益冲突,不隶属于或受控于被评估的内部审计部门所在组织。首席审计执行官应当鼓励董事会对外部评估进行监督,以减少认为可能存在的或潜在的利益冲突。
1320 — 对质量保证与改进程序的报告
首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果。报告的内容应当包括:
● 内部评估和外部评估的范围与频率;
● 评估人员或评估小组的资质及独立性,包括潜在的利益冲突; ● 评估人员的结论; ● 整改计划。 释义
质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和首席
第 12 页,共 35 页
审计执行官的职责。为反映内部审计活动对《职业道德规范》和《标准》的遵循情况,外部评估和定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次。上述结果包括评估人员或评估小组对遵循程度的评价。
1321— 对“遵循《标准》”的应用
只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,才可以出具“遵循《标准》”的声明。 释义
内部审计活动遵循《标准》是指其取得了《职业道德规范》以及《标准》要求的结果。所谓质量保证与改进程序的结果既包括内部评估的结果,也包括外部评估的结果。所有内部审计活动都需要有内部评估的结果,已存在至少五年的内部审计活动则还要有外部评估的结果。
1322— 对未遵循情况的披露
若未遵循《职业道德规范》或《标准》的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层和董事会披露未遵循事项及其影响。
工作标准
2000 — 内部审计活动的管理
首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。
第 13 页,共 35 页
释义
内部审计活动符合下列情况时,属于得到了有效的管理: ● 工作结果达到了内部审计章程所包含的目的和责任; ● 遵循了《标准》;
● 内部审计人员遵循了《职业道德规范》和《标准》; ● 充分考虑了可能对组织造成影响的发展趋势和新兴事项。
当内部审计活动充分考虑了战略、目标及风险,努力提供加强治理、风险管理和控制过程的渠道,客观做出相关确认时,内部审计活动就是为组织及其利益相关方增加价值。
2010 — 计划
首席审计执行官必须制订以风险为基础的计划,以确定与组织目标相一致的内部审计活动重点。 释义
为制定以风险为基础的计划,首席审计执行官需征询高级管理层和董事会的意见,了解组织的战略、关键经营目标、相关风险和风险管理程序。首席审计执行官必须在必要时检查和调整计划,以应对组织的业务、风险、运营、程序、系统和控制的变化。
2010.A1 — 内部审计部门的业务计划必须建立在有记录的风险评估基础上,并至少每年制订一次。在计划制订过程中,必须考虑高级管理层和董事会的意见。
2010.A2 —首席审计执行官必须识别和考虑高级管理层、董事会以及其他利
第 14 页,共 35 页
益相关方对于内部审计意见或其他结论的预期。
2010.C1 —首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营等方面的潜在作用。已经接受的咨询业务必须纳入计划。
2020 — 沟通与批准
首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。首席审计执行官还必须就资源受限制的影响与高级管理层和董事会进行沟通。
2030 — 资源管理
首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。 释义
“适当”是指实施计划所必需的知识、技能和其他能力的组合。“充分”是完成计划所必需的资源数量。资源有效配置是指资源以能够最优实现获批计划的方式被运用。
2040 — 政策与程序
首席审计执行官必须制订政策和程序,为内部审计活动提供指导。 释义
政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂
第 15 页,共 35 页
程度。
2050 — 协调和对工作成果的信赖
首席审计执行官应当与其他内部和外部确认和咨询服务的提供方共享信息、相互协调,并考虑利用他们的工作成果,以确保适当的工作覆盖面,并尽可能减少重复工作。 释义
在协调业务活动的过程中,首席审计执行官可能需要依赖其他确认和咨询服务提供方的工作成果。应当建立一个统一的流程作为依赖工作成果的基础,首席审计执行官应当对确认和咨询服务提供方的胜任能力、客观性和应有的职业审慎进行评估。首席审计执行官还应当对其他确认和咨询服务提供方工作的范围、目标和结果有清晰的了解。在依赖其他确认和咨询服务提供方工作成果的时候,首席审计执行官还是要对确保内部审计活动能够获得充分支持来出具结论和意见负责。
2060 — 向高级管理层和董事会报告
首席审计执行官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权力、职责、根据计划开展工作的情况和对《标准》的遵循情况。报告中还必须包括重大风险和控制事项,其中包括舞弊风险、治理以及其他需要高级管理层和/或董事会关注的事项。 释义
报告频率和内容由首席审计执行官、高级管理层和董事会协商后后确定。报
第 16 页,共 35 页
告的频率和内容取决于所报告信息的重要性以及高级管理层和/或董事会采取相关行动的紧迫程度。
首席审计执行官向高级管理层和董事会报告和沟通的信息必须包括: ● 审计章程
● 内部审计活动的独立性 ● 审计计划和进度 ● 资源需求 ● 审计结果
● 对《职业道德规范》和《标准》的遵循情况以及应对遵循《职业道德规范》和《标准》方面重大问题的措施
● 首席审计执行官认为管理层应对风险的方式不符合组织要求的情况 上述和其他对首席审计执行官进行沟通的要求在整个《标准》中都有所提及。
2070 — 外部服务提供者与组织对内部审计的责任
在内部审计活动外包给外部服务提供者的情况下,外部服务者必须使组织了解其对有效的内部审计活动负有责任。 释义
组织通过质量保证与改进程序,评估遵循《职业道德规范》和《标准》的情况,从而证明对这一责任的履行。
2100 — 工作性质
内部审计活动必须应用系统、规范、基于风险的方法,评估并协助改善组织
第 17 页,共 35 页
的治理、风险管理和控制过程。当内部审计师积极主动开展工作,其评价结果提供新的深刻见解并考虑到未来的影响时,内部审计的可信度和价值就能得到提升。
2110 — 治理
内部审计活动必须评价并提出适当的改进建议,以改善组织实现下列目标的治理过程:
● 做出战略决策和运营决策; ● 监督风险管理和控制;
● 在组织内部推广适当的道德和价值观;
● 确保整个组织开展有效的业绩管理、建立有效的问责机制; ● 向组织内部有关方面通报风险和控制信息;
● 协调董事会、外部审计师、内部审计师、其他确认服务提供方和管理层之间的工作和信息沟通。
2110.A1 — 内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果。
2110.A2 — 内部审计活动必须评估组织的信息技术治理是否支持组织的战略和目标。
2120 — 风险管理
内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献。 释义
第 18 页,共 35 页
确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断: ● 组织目标支持组织的使命并与其保持一致; ● 重大风险得到识别和评估;
● 选定适当的风险应对方案,并符合组织的风险偏好;
● 获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责。
内部审计活动可以在多项业务实施过程中收集信息以支持上述判断,综合审视这些业务的结果,可以对组织的风险管理过程及其有效性有所了解。 风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。 2120.A1 — 内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:
● 组织战略目标的实现;
● 财务和运营信息的可靠性和完整性; ● 运营和程序的效率与效果; ● 资产的安全;
● 对法律、法规、政策、程序及合同的遵循情况。
2120.A2 — 内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。
2120.C1 — 在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。
2120.C2 — 内部审计师必须将开展咨询业务过程中了解到的风险情况运用于评估组织的风险管理过程。
第 19 页,共 35 页
2120.C3 — 协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。
2130 — 控制
内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的控制。
2130.A1 —内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性: ● 组织战略目标的实现;
● 财务和运营信息的可靠性和完整性; ● 运营和程序的效率和效果; ● 资产的安全;
● 对法律、法规、政策、程序及合同的遵循情况。
2130.C1 —内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程。
2200 — 业务计划
内部审计师开展每项业务都必须制订书面计划,其内容包括业务目标、范围、时间安排以及资源分配等。制订的计划必须考虑和业务有关的组织战略、目标和风险。
2201 — 制订计划时的考虑因素
第 20 页,共 35 页
制订业务计划时,内部审计师必须考虑到: ● 被检查活动的战略、目标及控制其实施的方式;
● 被检查活动的目标、资源和运营等方面存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;
● 与相关框架或模式相比,被检查活动的治理、风险管理和控制过程的适当性和有效性;
● 对被检查活动的治理、风险管理和控制过程作出重大改进的可能性。 2201.A1 — 在为组织外部的有关方面制订业务计划时,内部审计师必须与其达成书面协议,明确业务目标、范围、各自的职责和其他要求,包括对发布业务结果和对接触业务记录的限制。
2201.C1 — 内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。对于重要的咨询业务,该协议必须为书面形式。
2210 — 业务目标
必须为每项业务确定目标。
2210.A1 — 内部审计师必须对与被检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果。
2210.A2 — 内部审计师确定业务目标时,必须考虑存在重大差错、舞弊、违规和其他风险的可能性。
2210.A3 — 评估治理、风险管理和控制需要依据适当的标准。内部审计师必须确认管理层和/或董事会制订适当标准的程度以确定目标和目的是否实现。如果标准适当,内部审计师必须使用该标准进行评估。如果不适当,内
第 21 页,共 35 页
部审计师必须与管理层和/或董事会进行讨论,并确认适当的评估标准。 释义
内部审计人员可以利用不同种类的评估标准,例如: ● 内部标准(如组织的政策和流程); ● 外部标准(如监管机构颁布的法律法规); ● 领先实务标准(如行业和职业指引)。
2210.C1 — 咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定。
2210.C2 — 咨询业务的目标必须与组织的价值、战略及目标保持一致。
2220 — 业务范围
确定的业务范围必须足以实现业务目标。
2220.A1 — 确定业务范围必须考虑相关的制度、记录、人员和实物资产,包括由第三方控制的相关制度、记录、人员和实物资产。
2220.A2 — 在开展确认业务时,如果出现重要的咨询机会,应当与客户达成具体的书面协议,规定业务目标、范围、各自的职责和其他要求,并遵循咨询业务相关标准沟通咨询业务的结果。
2220.C1 — 在开展咨询业务时,内部审计师必须确保业务范围足以实现与客户协商确定的目标。如果内部审计师在开展咨询业务过程中对该范围有所保留,必须与客户进行讨论,决定是否继续开展此项业务。
2220.C2 — 开展咨询业务时,内部审计师必须关注与业务目标一致的控制,
第 22 页,共 35 页
并警惕重大的控制问题。
2230 — 业务资源的分配
内部审计师必须根据对每项业务的性质、复杂程度、时间限制以及可获资源的评估,确定实现业务目标所需要的适当、充分的资源。 释义
适当是指开展业务所需的知识、技能和其他胜任能力的组合。充分是指按照审慎原则,完成业务所需资源的数量。
2240 — 业务工作方案
内部审计师必须制订用以实现业务目标的书面工作方案。
2240.A1 — 工作方案中必须包括识别、分析、评估和记录信息的程序。工作方案必须在实施前得到批准,对方案的任何调整都必须及时报批。 2240.C1 — 咨询业务工作方案的形式和内容会因咨询业务的不同性质而有所差异。
2300 — 业务的实施
内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标。
2310 — 识别信息
内部审计师必须识别充分、可靠、相关且有用的信息,从而实现业务目标。 释义
第 23 页,共 35 页
充分的信息是指符合事实、满足条件、具备说服力,可以使审慎的、具备相关知识的人员得出与内部审计师相同的结论的信息。可靠的信息是指通过采用适当的技术可以获得的最佳信息。相关的信息是指支持内部审计师发现的问题和建议,并与业务目标一致的信息。有用的信息有助于组织实现其目标。
2320 — 分析与评价
内部审计师必须基于适当的分析和评价,得出结论和业务结果。
2330 — 记录信息
内部审计师必须记录充分、可靠、相关且有用的信息,以支持业务结果和结论。
2330.A1 — 首席审计执行官必须控制对业务记录的接触。在对外界提供记录之前,首席审计执行官必须酌情征得高级管理层和/或法律顾问的同意。 2330.A2 — 无论业务记录采用何种存储介质,首席审计执行官必须规定其保存要求。这些保存要求必须符合组织的规定以及相关法规或其他要求。 2330.C1 — 首席审计执行官必须制定政策以规定咨询业务记录的照管、保存和对内对外发布。这些政策必须符合组织的规定以及相关法规或其他要求。
2340 — 业务的督导
必须对业务实施加以适当的督导,以确保目标得以实现,质量得到保证,员工得到发展。
第 24 页,共 35 页
释义
所需督导的程度取决于内部审计师的胜任能力和经验水平以及业务本身的复杂程度。无论业务是否由内部审计部门负责开展,首席审计执行官都需对业务的督导负全面责任,但可以指定具备适当经验的内部审计部门成员具体复核。适当的督导证据应予记录并保留。
2400 — 结果的报告
内部审计师必须及时报告业务的结果。
2410 — 报告标准
报告内容必须包括业务目标、范围和结果。
2410.A1 —业务结果的最终报告必须包含适当的结论以及适当的建议和/或改进计划。在适用的情况下,内部审计人员应当出具审计意见。发表的审计意见必须考虑到高级管理层、董事会及其他利益相关方的预期,必须有充分、可靠、相关及有用的信息支持。 释义
业务层面的意见可以是评级、结论或其他对结果的表述,该业务可能与围绕特定流程、风险或业务部门的控制相关。这些意见的形成需要同时考虑业务结果及其重要性。
2410.A2 — 鼓励内部审计师在业务结果报告中对令人满意的业绩予以认可。
2410.A3 — 在向组织外部有关方面发布业务结果时,必须告知对业务结果
第 25 页,共 35 页
分发和使用的限制。
2410.C1 — 咨询业务进展和结果报告的形式和内容会因所涉及业务的性质和客户需求的不同而有差异。 2420 — 报告的质量
报告必须准确、客观、清晰、简洁、富有建设性、完整和及时。 释义
准确的报告是指没有错误和歪曲,忠于相关事实的报告。客观的报告是指公正、不偏不倚、不带偏见的报告,是公正地对所有相关事实和情况统筹评估的结果。清晰的报告是指易于理解,符合逻辑,避免使用不必要的技术性语言,并提供所有重要的相关信息的报告。简洁的报告是指针对性强,避免不必要的阐述、细节和冗余的报告。富有建设性的报告可以帮助客户和整个组织,并促使其改善工作。完整的报告是指未遗漏任何重要信息的报告,包括所有支持建议和结论的重要且相关的信息和观察结果。及时的报告是指根据事项的重要程度,适时快速地提供报告,以便于管理层采取适当的纠正措施。
2421 — 错误与遗漏
如果最终报告存在重大错误或遗漏,首席审计执行官必须将更正后的信息传达给所有的原报告接收者。
2430 — 对“遵循《标准》”的应用
只有在通过质量保证与改进程序的结果得到证实的前提下,在业务报告中声明“内部审计活动遵循了《国际内部审计专业实务标准》”才是适当的。
第 26 页,共 35 页
2431 — 对未遵循情况的披露
未遵循《职业道德规范》或《标准》的情况影响到某一特定业务时,结果报告中必须披露:
● 未能完全遵循的《职业道德规范》或《标准》所规定的原则、行为规则; ● 未遵循的原因;
● “未遵循”这一事实对于该业务及已报告结果的影响。
2440 — 结果的发送
首席审计执行官必须向适当对象通报结果。 释义
首席审计执行官负责在签发前审核和批准最终业务报告,并决定报告的发送对象和发送方式。首席审计执行官将此职责授权的情况下,仍保持总体责任。 2440.A1 — 首席审计执行官负责将最终结果报告给能够确保对结果给予应有考虑的对象。
2440.A2 — 除非法律、法规或其他规章另有规定,首席审计执行官向组织外部各方通报结果之前必须 : ● 评估组织面临的潜在风险;
● 必要时向高级管理层和/或法律顾问咨询; ● 通过限制结果的使用,控制对结果的发送。
2440.C1 — 首席审计执行官负责向客户通报咨询业务的最终结果。 2440.C2 — 在开展咨询业务时,可能会发现治理、风险管理和控制方面的
第 27 页,共 35 页
问题。只要这些问题对组织是重要的,就必须向高级管理层和董事会报告。 2450 — 总体意见
发表总体意见时,必须考虑到组织的战略、目标和风险,以及高级管理层、董事会及其他利益相关方的预期,总体意见的发表必须有充分、可靠、相关及有用的信息支持。 释义 报告要包括:
● 审计范围,包括意见所涵盖的时间段; ● 范围受限制的情况;
● 对所有相关业务的考虑,包括对其他确认提供者的依赖程度; ● 用来作为形成总体意见基础的风险或控制框架或者其他标准; ● 用以支持审计意见的信息汇总; ● 形成的总体意见、判断或结论; ● 形成不利的总体意见时必须说明原因。
2500 — 监督进展
监督已通报结果的处理情首席审计执行官必须制定并维护一个系统或制度,况。
2500.A1 — 首席审计执行官必须建立后续程序,监督及确保管理层已采取有效措施,或高级管理层已接受不采取行动的风险。
2500.C1 — 内部审计部门必须在客户同意的范围内,监督咨询业务结果的处理情况。
第 28 页,共 35 页
2600 — 沟通对风险的接受
首席审计执行官认为管理层接受的风险水平可能无法被组织接受时,必须就此与高级管理层进行讨论。如果首席审计执行官确信问题未得到解决,必须与董事会进行沟通。 释义
识别管理层接受的风险可以通过开展确认或咨询业务、监督管理层落实以前整改措施的进度或其他方式。解决风险不是首席审计执行官的责任。 词汇表
增加价值
内部审计活动通过客观和相关的保证,改善和提高治理、风险管理和控制过程的效果和效率,为组织(及其利益相关方)增加价值。 适当的控制
如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理,组织的目标和目的以经济高效的方式实现,那么可以认为已建立适当的控制。 确认服务
指一种旨在对组织的治理、风险管理和控制过程作出独立评价,而对证据进行的客观检查。例如,财务、绩效、合规性、系统安全和尽职调查等业务。 董事会
第 29 页,共 35 页
最高层次的治理机构(例如董事会、监事会、主管或托管人等),负责指导和监督组织的经营活动,并负责追究高级管理层的责任。尽管在不同地区和行业中治理机构的组成会有所不同,但典型的董事会的组成成员一般不会是管理人员。如果组织没有设立董事会,那么《标准》中的“董事会”一词可以指负责组织治理工作的团队或个人。此外,《标准》中的“董事会”也可以是治理机构授予特定职能的委员会或其他机构(如审计委员会)。 章程
内部审计章程是确定内部审计活动宗旨、权力和职责的正式书面文件,它确定了内部审计部门在组织内部的地位,授权内部审计部门接触与业务实施相关的记录、人员和实物资产,界定内部审计活动的范围。 首席审计执行官
指负责按照内部审计章程以及《职业道德规范》和《标准》有效地开展内部审计活动的高级职位。首席审计执行官和其他向首席审计执行官报告的人员需要具备适当的职业资格和资质。首席审计执行官的特定称谓和/或具体职责可以根据所在组织的情况而有所不同。 《职业道德规范》
国际内部审计师协会(IIA)的《职业道德规范》是指与内部审计职业及实务相关的原则,以及内部审计师应有的行为规范。《职业道德规范》的适用对象包括提供内部审计服务的个人和机构,其目的是增进全球内部审计职业的道德文化。 遵循
指遵守各项政策、计划、程序、法律、法规、合同或其他要求。
第 30 页,共 35 页
利益冲突
指任何表面上或实际上不符合组织最佳利益的关系。利益冲突会损害个人客观履行其职责的能力。 咨询服务
指咨询及相关的客户服务活动,其性质和范围需与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、引导、培训等均属于咨询服务。 控制
指管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动,为实现目标和目的提供合理保证。 控制环境
指董事会和管理层对组织内部控制重要性的态度和措施。控制环境为达到内部控制体系的主要目标提供规范和框架。控制环境包括以下要素: ● 诚信和职业道德价值观; ● 管理层的理念和经营风格; ● 组织结构; ● 权力和责任的划分; ● 人力资源政策和实务; ● 人员的胜任能力。 控制过程
指政策、程序(包括手工程序和自动化程序)和控制活动等控制框架的组成
第 31 页,共 35 页
部分,其设计和执行用来确保将风险控制在组织愿意接受的水平之内。 内部审计专业实务的核心原则
内部审计专业实务的核心原则(核心原则)是《国际内部审计专业实务框架》的基础,也是支撑内部审计有效性的关键要素。 业务
指具体的内部审计项目、任务或检查活动,如内部审计、内部控制自我评估、复核、舞弊调查或咨询等。一项业务可能包括多项任务或活动,用以实现一组特定的相关目标。 业务目标
指内部审计师为界定项目预期完成情况而作的概要陈述。 项目意见
指针对单个内部审计项目,在项目目标和项目范围以内作出的评级、结论或其他关于结果的描述。 项目工作方案
指记录项目实施过程中需遵循的程序或步骤的文档,编制项目工作方案的目的是为完成项目计划。 外部服务提供者
指组织以外具备特定领域的专门知识、技能和经验的个人或公司。 舞弊
指任何以欺骗、隐瞒或违背信用为特征的非法行为。这些行为不依靠暴力或胁迫。个人或组织为获取金钱、财产或服务,为避免付款或提供服务,或为获得个人或组织私利等目的都有可能舞弊。
第 32 页,共 35 页
治理
指董事会实施的各种流程和架构的组合,用以告知、指导、管理和监督组织的活动,以实现组织目标。 损害
指对组织独立性和个人客观性造成的损害,可包括个人利益冲突,工作范围受限制,获取记录、人员和实物资产的制约以及资源(经费)限制等。 独立性
指免于受到对内部审计活动公正地履行内部审计职责构成威胁的情况影响。 信息技术控制
指支持业务管理和治理,以及针对信息技术基础设施(例如应用程序、信息、基础设施和人员等)提供一般控制和技术性控制的各种控制措施。 信息技术治理
包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。
内部审计部门/活动
指为增加组织价值,改进组织运营而提供独立、客观的确认和咨询服务的部门、处室、咨询专家团队或其他专业人员。内部审计活动采用系统的、规范的方法,评价并改善组织的治理、风险管理和控制过程的有效性,从而帮助组织实现目标。
国际内部审计专业实务框架
指用以组织国际内部审计师协会发布的权威指引的概念性框架。该权威指引包括两类:(1)强制性内容;(2)推荐性内容。
第 33 页,共 35 页
必须
《标准》使用“必须”一词要求无条件地遵循该项准则。 客观性
是指一种公正的态度,使得内部审计师开展业务时相信其工作成果并且不会作出质量妥协。客观性要求内部审计师对审计事项作出判断时不屈从于其他因素。 总体意见
指首席审计执行官在广泛的层面上对组织治理、风险管理和控制过程做出的评级、结论或其他关于结果的描述。总体意见是首席审计执行官在特定时间间隔内,以若干业务和其他活动的结果为基础而作出的职业判断。 风险
指对实现目标有影响的事件实际发生的可能性。风险通过影响程度和发生的可能性来衡量。 风险偏好
指组织愿意接受的风险水平。 风险管理
指识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。 应当
《标准》使用“应当”表示某项准则预期得到遵循,除非根据专业判断,所涉情形允许偏离《标准》的要求。 重要性
第 34 页,共 35 页
指某一事项在其考虑范围内的相对重要性,包括定性和定量因素,例如程度、性质、效果、相关性和影响。专业判断有助于内部审计师评估所涉事项相对于相关目标的重要性。 《标准》
指内部审计标准委员会发布的专业公告,阐述开展各类内部审计活动及评估内部审计业绩的要求。 利用技术的审计方法
指所有自动化审计工具,如通用审计软件、测试数据生成程序、计算机化的审计方案、专用审计工具以及计算机辅助审计方法(CAATs)等。
第 35 页,共 35 页
因篇幅问题不能全部显示,请点此查看更多更全内容