神马文学网内部审计实务标准
来源:百度文库 编辑:神马文学网 时间:2024/04/28 14:39:10
本文目录:
内部审计师协会职业道德规范
内审实务标准 简介
IIA颁布《内部审计实务标准》修订本的补充实务公告
内部审计师协会职业道德规范
1、基本内容
2、重点难点和和疑点
基本内容
--------------------------------------------------------------------------------
《道德规范》的目的是促进内部审计职业领域内的道德文化的发展。
国际注册内部审计师协会理事会在1999年6月通过的《道德规范》中指出:道德规范对于内部审计职业来说是必要的和适当的,因为它是建立信任的基础。这种基础为评价和改进风险管理、控制和治理过程,帮助组织实现其目标,提供了保证。
《道德规范》既适用于提供内部审计服务的个人,也适用于提供内部审计服务的团体。对于协会会员、IIA职业资格的接受者或参加者,对《道德规范》的违背将根据协会的规章和行政指南予以评价和管理。
2000年6月通过的新《道德规范》包括两个基本部分:一是与内部审计职业和实务相关的原则(共4条原则:正直、客观、保密、能力);二是描述内部审计师预期行为规范的行为规则(在4条原则之下共有12条行为规则)。这些规则有助于将上述原则运用于实践中,目的在于指导内部审计师的行为。
内部审计师应使用和信守以下原则:
1、正直
内部审计师的正直建立起信用,从而为其判断的可靠度提供基础。这条原则包括4条行为规则:
1.1 应当诚实、勤奋并负责地完成工作。
这是审计师个人品质的基础。不诚实就不能将职责和权限委托给他;不勤奋就可能增加错误、疏忽和误解;没有责任感就得不到他人的信任,这样审计师就将失去对组织的价值。
1.2 应当按照法律及其职业要求,遵守法律和做出披露。
这一条有两点要求:
(1)如果内部审计师了解到一些对组织重要的信息,他依照法律和职业的要求,负有报告该信息的责任。
(2)反之,如果审计师没有足够的证据来说明他的判断,就不应该作出评价。
1.3 不得故意参与非法活动,或参加有损于内部审计职业或其机构的行为。
1.4 应当遵守并贡献于组织的合法道德目标。
2、客观
内部审计师在收集、评价和沟通有关被检查的活动或过程的信息中,应展示其最大限度的职业客观性。在其作出判断的过程中,不受其个人喜好或他人的不适当影响,内部审计师对所有相关环境作出公正的评价。这条原则包括3条行为规则:
2.1 不应参与可能妨碍或被认为妨碍其公正评价的一些活动或关系。这种参与包括那些与组织的目标相冲突的活动和关系。
2.2 不接受可能妨碍或被认为妨碍其职业判断的任何东西。
2.3 应当揭示其知道的所有重要事实,如果不予揭示,可能歪曲对所复核活动的报告。
3、保密
内部审计师应尊重其收到的信息的价值和所有权。除非法律允许或有适当的授权,不能披露获取的信息。这条原则包括2条行为规则:
3.1 应当谨慎利用和保护在其职责中获取的信息。
3.2 不应当为个人目的,或者以任何有悖于法律或有害于机构的合法道德目标而利用信息。
4、能力
内部审计师在工作中应使用在内部审计业务中所需要的知识、技能和经验。这条原则包括3条行为规则:
4.1 应当只从事他们具备必要的知识、技能和经验的服务活动。
4.2 应当根据《内部审计实务标准》完成内部审计。
重点、难点和疑点
--------------------------------------------------------------------------------
在《内部审计师职业道德规范》中,“行为规则”是灵魂,应重点掌握这一部分的内容,尤其是其中的:内部审计师协会成员和注册内部审计师不应参与可能妨碍或被认为妨碍其公正评价的一些活动。内部审计师协会成员和注册内部审计师不能接受可能妨碍或被认为妨碍其职业判断的任何东西。内部审计师协会成员和注册内部审计师只能开展那些以他们的专业能力预计可以恰当地加以完成的服务工作。在汇报其工作成果时,内部审计师协会成员和注册内部审计师应揭示他们了解的所有重要事实。否则,有可能歪曲正在审查的经营报告或隐瞒非法的事实。
另外,在应用这些行为规则时,需要协会成员及其内部审计师的判断,以保持审计行为的高标准。这些对审计人员素质要求较高,因国情不同,思维方式有异,而且遇到的情况各种各样,因此就要求根据《道德规范》的精神正确把握。
内审实务标准 简介
一、《标准》的宗旨
-------------------------------------------------------------------------------
1、说明内部审计实务的基本原则;
2、为开展并促进多种不同的、具有增值作用的内部审计活动制定框架;
3、为衡量内部审计行为的标准提供依据;
4、帮助改善机构的运营与工作。
二、《标准》的构成
-------------------------------------------------------------------------------
《标准》由属性标准(1000序列号),工作标准(2000序列号)及实施标准(实务公告)(nnnn.Xn)三部分构成。
属性标准说明了开展内部审计活动的机构及人员的特点,共有四条一般准则;工作标准描述了内部审计活动的性质并提出了衡量内部审计活动开展的质量准绳,共有七条一般准则;它们从总体上说明内部审计服务。实施标准是前两者在特定的审计活动中的具体体现(例如合规性审计、舞弊调查或控制自我评价项目等)。
属性标准与工作标准只有一套,但实施标准却有很多套:每种主要类型的内部审计活动都有一套实施标准。目前已为保证服务和咨询服务制定了实施标准。
保证服务(《标准》的序列号之后冠以“A”,如1130.A1)是一种为了对机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为。例如,对财务、绩效、合规性、系统安全和应尽责任的审查等。保证服务共有26条指南。
咨询服务(《标准》的序列号之后冠以“C”,如1000.C1)提供建议以及相关的客户服务活动,这种服务的性质与范围通过与客户协商确定,它的目的是增加价值并提高机构的运作效率。包括顾问服务、建议、协调、程序设计及培训等。咨询服务共有20条指南。
三、《标准》是内部审计实务框架的组成部分 。
-------------------------------------------------------------------------------
内部审计实务框架包括内部审计的定义、《职业道德规范》、《标准》以及其他方面的指导。
四、说明
-------------------------------------------------------------------------------
《内部审计实务标准》是一部权威性的国际内部审计标准,是国际现代内部审计经验的结晶,它在内部审计活动中具有普遍的实用意义。深刻体会《标准》的精髓是通过考试的关键。应试考生应仔细通读并掌握标准的所有内容。
内部审计师实务标准
目录
内审实务标准 简介:宗旨、简介、说明
属性标准一:1000-1340序列号
1000宗旨、权力和责任
1100独立性和客观性
1110机构的独立性1120个人的独立性1130对独立性或客观性的损害
1200熟练性和应有的职业审慎性
1210熟练性1220应有的职业审慎性1230继续职业发展
1300质量保证与改进项目
1310质量项目评价1311内部评价1312外部评价
1320质量项目的报告
1330使用“内部审计工作依据《标准》开展”的声明
1340披露违规行为
工作标准一:2000-2240序列号
2000管理内部审计活动
2010制定审计计划2020报告与通过2030资源与管理2040政策与程序2050协调2060向董事会与高级管理层报告情况
2100工作性质
2110风险管理2120控制2130治理
2200审计业务计划
2201计划制定过程中应考虑的因素
2210审计业务目标2220审计业务范围2230审计业务资源的分配2240审计业务工作方案
工作标准二:2300-2600序列号
2300开展审计业务
2310收集信息2320分析与评价2330记录信息2340审计业务的监督
2400报告审计结果
2410报告的标准2420报告的质量2421错误与遗漏
2430对违反《标准》的审计披露2440发布审计结果
2500监测进程
2600管理层对风险的接受
重点难点和和疑点
-------------------------------------------------------------------------------
1、 内部审计的宗旨、权利和职责;内部审计部门章程
2、 独立性与客观性
3、 熟练性:对外部服务提供者的应用、舞弊的发现与调查等
4、 应有的职业审慎性
5、 质量项目评价:内部评价、外部评价
6、 风险管理
7、 控制
8、 审计任务的计划
9、 开展审计业务:信息记录等
10、报告审计结果:报告的标准等
11、监测进程
12、管理层对风险的接受
IIA颁布《内部审计实务标准》修订本的补充实务公告
发布时间:
中国内部审计协会2002年5月编译出版国际内部审计师协会《内部审计实务标准》(2001年)修订本后,截止到2003年3月,国际内部审计审计师协会又陆续颁布了4个实务公告。
这4个实务公告分别是:
实务公告1110-2:审计执行主管的报告对象,
实务公告1330-1:使用"内部审计工作依据《标准》开展" 的声明(对原实务公告1330-1的修订)
实务公告2060-2:与审计委员会的关系
实务公告2120.A1-3:内部审计在季度财务报告、披露和管理层证明方面的作用
由于这些实务公告是《内部审计实务标准》(2001年)修订本的组成部分,中国内部审计协会对这4个公告进行了编译并公布出来,以及时满足广大内部审计人员和CIA考生的需要。
实务公告1110-2:审计执行主管的报告对象
解释《内部审计实务标准》中的第1110条标准
相关标准:第1110条标准
机构独立性
审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。
本实务公告性质
在确定或评估审计执行主管在机构内的报告对象及其关系时,内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面,仅推荐一系列审计师应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
1、IIA的《内部审计实务标准》(《标准》)要求审计执行主管在机构内应向能使内部审计活动履行其职责的阶层报告。IIA认为,为实现必要的独立性,审计执行主管在职能上应向审计委员会或同类部门报告。为了行政管理的需要,在大多数情况下,审计执行主管应直接向机构的首席执行官(CEO)报告。为了有助于本公告的讨论,正面对"职能性报告"和"行政性报告"分别加以说明。
※职能性报告--内部审计工作的职能性报告关系是内部审计工作独立性和权力的根本保障。因此,IIA建议,审计执行主管在职能上向审计委员会、董事会或其它适当的治理机构报告。在此,职能性的报告是指--
※ 治理机构批准内部审计工作章程
※ 治理机构批准内部审计风险评估和相关审计计划
※ 治理机构批准接受审计执行主管对于内部审计活动结果或其认为必要的其它事项的报告,包括与审计执行主管召开的没有经理层参加的单方会议。
※ 治理机构批准任免审计执行主管的决定
※ 治理机构批准审计执行主管年度薪酬和工资调整
※ 治理机构批准适当问询管理层和审计执行主管,确定是否存在影响内部审计工作范围和预算的限制
※ 行政性报告--此报告关系存在于机构管理层,它有助于协调内部审计日常工作。行政性报告主要包括:
※ 预算制定与管理会计
※ 人力资源管理,包括人员评估与薪酬
※ 内部沟通和信息流通
※ 机构内部政策与程序的管理
2、 公告重点讨论在确定或评估审计执行主管的报告关系时应当考虑的因素。恰当的报告关系对实现独立性、客观性及在机构中的地位是至关重要的,它们是内部审计有效履行其义务的必要因素。审计执行主管的报告关系对于保证适当的信息流通、与关键经理进行沟通也是重要的,这两者是开展风险评估和报告审计工作结果的基础。相反,对于任何损害内部审计工作独立性和效果的报告关系,审计执行主管应将其视为对范围的严重限制,应提请审计委员会或同类部门的重视。
3、 本公告同时认为,审计执行主管的报告关系受下列因素的影响:机构性质(公有、私有及相关规模);各国的一般做法;机构的日益复杂化(合资企业、含子公司的跨国集团);随着与客户在工作重点和范围合作程度的提高,内部审计部门提供增值服务的趋势。因此,尽管IIA认为职能上向审计委员会报告、行政上向CEO报告是一种理想的结构,但是,其他报告结构也可以是有效的,只要此报告结构能清晰区别职能性报告关系和行政性报告关系,且每种关系都有恰当的内容,以确保审计工作的独立性和范围。内部审计师应根据自己的专业判断,决定在特定情况下本公告的适用范围。
4、 《标准》强调,为促进审计工作的独立性,保证工作范围的充分性,审计执行主管应向有足够权力的人报告工作。因为《标准》是为规模不同、情况各异的各机构而制定的,所以《标准》在报告关系方面的规定特意体现了一定程度的普遍性。有些因素,包括机构规模、类型(私营机构、政府部门、社团)使"放之四海而皆准"的目标无法实现。因此,审计执行主管在评估行政性报告关系的恰当性时应考虑下列因素。
※ 报告对象有无充分权力,保证审计工作的有效性。
※ 报告对象有无适当的控制与治理理念,帮助审计执行主管发挥其作用。
※ 报告对象有无积极帮助审计执行主管解决有关审计问题的时间和兴趣
※ 报告对象是否理解职能性的报告关系并支持此关系
5. 如果行政性报告对象同时负责该机构的其它部门,而这些部门也是被审计单位,那么审计执行主管应该确保适当的独立性没有受到损害。例如,一些审计执行主管行政上向首席财务官报告,而首席财务官同时负责机构的财务部门。如果认为审计计划的范围是适当的,那么审计部门对其行政性报告对象负责的其他部门的审计和报告不应当受到限制。任何对于审计范围和审计结果报告的限制都应提请审计委员会的注意。
6. 最近,世界各国趋向于制定更加严格的财务报告法规,在此环境下,审计执行主管报告关系的确立应该恰当,使内部审计活动满足审计委员会或其它重要股东的更多需求。越来越多的机构要求审计执行主管在机构治理和风险管理方面发挥更重要的作用。审计执行主管的报告关系应该促进内部审计活动满足这些期望。
7. 无论机构选择了哪种报告关系,如果采取一些重要行动,就可以保证此报告关系有助于内部审计活动,并使其具有有效性和独立性。
※ 职能性报告:
※ 职能性报告应直接面向审计委员会或同类机构,保证恰当的独立性和沟通能力。
※ 审计委员会或同类机构应与审计执行主管召开没有管理层参加的单方会议,以强化职能性报告关系的独立性,突出其实质。
※ 审计委员会对于审议并通过年度审计计划和所有重大变化有最终权力。
※ 审计执行主管在任何时候都应当能随时、直接与审计委员会主席和委员进行沟通;在适当情况下,可以向董事会主席及全体董事会报告。
※ 审计委员会对审计执行主管的业绩评估应当至少一年一次,并通过年度薪资福利和薪水调整。
※ 内部审计工作章程应该明确说明审计工作的职能性报告和行政性报告关系,以及每种报告关系所含的主要内容。
※ 行政性报告:
※ 审计执行主管的行政性报告应当面向CEO或另一位有充分权力的高级管理人员,使日常审计工作得到适当的支持。这包括确立审计部门和审计执行主管在机构中的位置,以确保内部审计部门在机构中的恰当地位。报告对象在机构中的地位太低会对内部审计工作的地位和有效性产生负面影响。
※ 行政性报告关系不应对内部审计工作范围或结果的报告有最终权力。
※ 行政性报告关系应使管理层能够随时、直接听取审计执行主管的报告。审计执行主管应当能够与任何管理层,包括CEO直接沟通。
※ 行政性报告关系应当实现适当的沟通和信息流通,使审计执行主管和内部审计部门获得有关机构活动、计划和新业务方面的信息。
※ 行政性报告关系对预算控制和预算方面的意见不能阻碍内部审计工作。
8. 审计执行主管也应当考虑他们与其它控制与监督部门(风险管理、合规、安全、法律、道德、环境、外部审计)的关系,并帮助其向审计委员会报告重大风险和控制问题。
实务公告1330-1:使用"内部审计工作依据《标准》开展" 的声明
(对原实务公告1330-1的修订)
解释《内部审计实务标准》中的第1330条标准
相关标准:第1330条标准
使用"内部审计工作依据《标准》开展"的声明
鼓励内部审计师以内部审计活动"依据《内部审计实务标准》开展"来报告他们的活动。 但是,只有在质量改进项目的评价结果表明内部审计活动是遵循了《标准》的情况下,内部审计师才可使用此声明。
本实务公告性质
在使用"内部审计工作依据《标准》开展"的声明时,内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面,仅仅是对《标准》的补充。是否遵守实务公告由审计师自行选择决定。
1. 概述-应对内部审计活动进行外部和内部评估,并就内部审计活动遵循《内部审计实务标准》的情况出具意见,适当情况下应当包括改进的建议。这些评估活动对于机构的治理过程、审计执行主管(CAE)和内部审计活动的其他成员有巨大价值。只有合格的人员才能开展这些评估活动。
2. 要求在2002年1月1日之后的五年内开展一次外部评估活动。鼓励尽早实施这条开展外部评估的新条款。对于已经开展外部评估的机构,鼓励其在评估之后的五年内开展下一次外部评估活动。
3. 使用 "遵循"语句-只有在对质量改进项目进行定期评估,并且得出内部审计活动是遵循了《标准》的结论后,才能使用 "遵循"语句。对于影响内部审计活动开展或总体范围的不遵循《标准》行为,包括至2007年1月1日前还未实施外部评估活动,应该向高级管理层和董事会进行披露。
4. 如果有重大的不遵循《标准》行为,只有对其进行改正之后才能使用 "遵循"语句。对于质量评估活动(内部的或外部的)披露的或相关建议所提及的不遵循《标准》行为,在内部审计活动使用 "遵循"语句之前,必须首先对其进行充分改正,并将改正措施反馈给相关的评估人、高级管理层和董事会。
实务公告2060-2:与审计委员会的关系
解释《内部审计实务标准》中的第2060条标准
相关标准:第2060条标准
独立性与客观性
审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。另外还应报告重要的风险与控制问题、公司治理问题以及委员会和高级管理层需要或要求知晓的其它事项。
本实务公告性质
对于内部审计活动和审计委员会之间的关系,内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面,仅对审计委员会和内部审计恰当关系相关的主要信息进行了概述。是否遵守实务公告由审计师自行选择决定。
1. 本文件中的"审计委员会"指负责监督机构的审计和控制工作的治理层。尽管此工作通常是委派给董事会的审计委员会,但在本实务公告中,它也指具有相同权力和职责的其它监督实体,例如托管会、立法机构,所有人经营实体的负责人,内部控制委员会,或整个董事会。
2. 国际内部审计师协会认为审计委员会和内部审计师有互相交织的目标。加强与审计委员会的工作关系对于其履行对高级管理层、董事会、股东和其它外部人员的职责是重要的。本实务公告总结了协会如何看待审计委员会和内部审计部门关系的。协会认为审计委员会职责还包括本公告范围之外的其它活动,本公告无意囊括审计委员会的所有职责。
3. 以下三种活动对于实现审计委员会与内部审计部门良好关系是非常重要的,它们主要是通过审计执行主管(CAE)实施:
※ 协助审计委员会,确保其章程、内部审计活动和各项过程对于履行其职责是恰当的。
※ 确保内部审计章程、作用和各项活动得以清晰阐述,且能反映审计委员会和董事会需求。
※ 与审计委员会和主席保持开放、有效的沟通。
审计委员会职责
4. 审计执行主管应帮助委员会,确保委员会的章程、作用和活动对于履行其职责是恰当的。审计执行主管可以通过帮助委员会定期评估其活动、提出改进建议发挥重要作用。这样,审计执行主管可以在审计委员会事务和规章事务方面向委员会提供有价值的咨询服务。审计执行主管可以开展的活动有:
※ 至少每年评估一次审计委员会章程,审核章程是否充分体现了董事会有关审计委员会职责的规定和相关条文,并将此告知委员会。
※ 评估或保存一份详细列出所有规定开展活动的审计委员会会议日程计划,用来判断这些活动是否被完成,这可以帮助委员会每年向董事会报告,已经完成了所有委派的任务。
※ 起草审计委员会会议日程,呈交委员会主席审阅,帮助审计委员会将此资料分发给各委员,记录审计委员会会议内容。
※ 鼓励审计委员会比照当前最佳实务,定期评估其工作和活动,确保该活动与最先进的实务保持一致。
※ 定期与委员会主席会面,讨论向委员会提供的材料和信息是否满足委员会的需求。
※ 征求审计委员会意见,判断其是否需要培训性会议或报告,例如对新委员进行风险和控制方面的培训。
※ 征求委员会意见,判断为委员会分配的工作频率和时间是否充分。
内部审计工作的作用
5. 审计执行主管与审计委员会的关系应围绕审计执行主管的核心作用确保审计委员会理解、支持并接受内部审计部门所需要的帮助。IIA的观点是,良好的治理是由有效公司治理系统的四个主要部分协同实现的:即董事会、管理层、内部审计师和外部审计师。在此结构中,内部审计师和审计委员会是互为支持的。审计委员会要对机构运营有完整的了解,必须考虑内部审计师的工作。审计执行主管对于委员会的一个主要作用是确保实现此目标和成为委员会可以信赖的顾问。审计执行主管可以通过开展一系列的活动来发挥此作用:
※ 请求委员会每年审核并批准内部审计章程。(您可以通过国际内部审计师协会网站的http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383查看内部审计部门章程的模板)
※ 与审计委员会一起评估内部审计的职能性和行政性报告关系,保证机构现有的组织结构可以使内部审计师拥有充分的独立性。(实务公告1110-2:审计执行主管(CAE)的报告关系)
※ 在章程中列入委员会审核任免决定的条款,包括任命、薪酬、评价、续任、解雇审计执行主管等。
※ 在章程中列入由审计委员会审核并批准外包内部审计活动提议的条款。
※ 帮助审计委员会评估人员、预算的充分性,以及内部审计活动的范围和结果,确保不存在预算和范围方面的限制,以免阻碍内部审计履行其职能。
※ 报告与其它监督部门(例如,风险管理、合规性、安全、业务连贯性、法律、道德、环境、外部审计)的协调情况及对其监督的情况。
※ 报告与本机构和下属机构活动的控制过程相关的重大事项,包括对这些过程进行改进的可能性,报告这些事项的处理情况。
※ 报告年度审计计划情况和结果,以及部门资源对于高级管理层和审计委员会的充足性。
※ 通过适当的风险基础方法,制定灵活的年度审计计划,包括管理层关心的风险和控制事项。将计划呈交审计委员会评估及批准,并进行定期更新。
※ 报告所通过的年度审计计划的执行情况,适当情况下,还应包括管理层和审计委员会要求的特别任务或项目。
※ 在内部审计章程中明确,及时向审计委员会报告与公司内部控制有重大关联管理层或雇员的可疑舞弊行为,是内部审计部门的职责。协助开展机构内部重大可疑舞弊活动调查,并将结果报告管理层和审计委员会。
※ 应该使审计委员会意识到,为了使审计活动满足国际内部审计师协会的《内部审计实务标准》要求,应该每五年开展一次内部审计活动的质量评估复核。定期的质量评估复核将为审计委员会和管理层就内部审计活动遵循《标准》要求方面提供保证。
与审计委员会的交流
6. 审计执行主管和审计委员会关系的总体效果在很大程度上取决于双方的交流,这并不是要否定以上所提的所有活动。今天的审计委员会希望有一个高水平的开放、坦率的交流。如果要使审计执行主管在委员会的眼中成为可信赖的顾问,交流是关键的因素。根据定义,内部审计通过在审计活动中采取系统化、规范化的方法来帮助审计委员会实现其目标,但是,如果没有适当的交流,委员会是无法相信这一点的。审计执行主管应该考虑在下列方面与审计委员会进行交流。
※ 审计委员会应该定期与审计执行主管单独会谈,讨论敏感的事项。
※ 针对与确定的审计任务和范围相关的审计活动的结果,每年提供一个总结性报告或评估情况。
※ 定期向审计委员会和管理层提交报告,总结审计活动的结果。
※ 不断向审计委员会报告内部审计的新趋势和新的成功实务。
※ 与外部审计师一起讨论委员会信息需求的满足情况。
※ 复核提交给审计委员会的信息的完整性和准确性。
※ 确认内部审计师和外部审计师之间工作的协调是有效率和有效果的。判断内部和外部审计师的工作有无重复性,并指出出现重复的原因。
实务公告2120.A1-3:内部审计在季度财务报告、披露和管理层证明方面的作用
解释《内部审计实务标准》第2120.A1条标准
相关标准:2120.A1
在风险评估结果的基础上,评价控制的充分性与有效性,范围包括机构的治理、运营及信息系统;此类评价应当包括:
※ 财务与运营资料的可靠性与完整性
※ 运营的效果与效率
※ 资产的护卫情况
※ 遵守法律、法规与合同的情况
本实务公告性质
对于与美国证券交易委员会(SEC)规定相关的季度财务报告、信息披露和管理层证明方面的事项,内部审计师应当考虑以下建议。虽然这些规定是特别针对在SEC注册的美国机构,但是它同样适用1300多个外国注册机构。为给股东更大的信心,越来越多的非上市机构也正自愿采取SEC的部分规定,以展现季度报告披露和控制的最佳实务。内部审计师也可以参考其它的相关标准:实务公告2120.A1-1:对控制过程的评价和报告。是否遵守实务公告由审计师自行选择决定。
1. 金融市场的强劲与否依赖于投资者信心。一些针对公司经理、独立审计师和其他市场参与者罪行的指控事件都已动摇了投资者信心。作为对这种威胁的回应,美国国会和越来越多国家的立法机构和规章部门都通过了法律和规定,影响到公司披露和财务报告。尤其是在美国,2002年《索克斯法案》("Sarbanes-Oxley Act")规定进行全面改革,要求加强由主要执行官和财务官对财务报表的披露和证明。
2. 该项新法律对公司提出了过程设计的挑战,此过程是高级官员对个人证明进行必要保证的基础。证明过程的一个关键因素是对财务信息记账和汇总的风险管理和内部控制。
新法案的规定
3. 《索克斯法案》第302条款列出公司在财务报告方面的责任,SEC已经颁布了实施该法案的细则。根据《交易法》第13(a)或第15(d)条,发行机构申报或递交季度或年度报告,包括过渡期报告。SEC第13a-14和第15d-14条规定要求,签发机构的主要执行官和主要财务官、或履行类似职能的人员在报告中应该证明:
他或她已审阅了该报告;
根据他或她的知识,报告中没有提供重大事项的虚假信息,没有忽略报告时所须考虑的重大背景事项,没有对报告期内的情况造成误导;
根据他或她的知识,报告中的财务声明和其它财务信息正确反映了报告期内发行机构的财务状况、运营结果和现金流动情况;
他或她及其他提供证明的领导人:
※ 负责制定并维护"披露控制与程序"(这是新词汇,体现了该法案第302(a)(4)条关于披露的规定,反映了控制和程序的概念。)
※ 已经设计了披露控制与程序,保证他们知晓重大信息,尤其是在定期性报告准备期内;
※ 已经评估了到报告申报前的90天内为止,发行机构的披露控制和程序的有效性;
※ 在报告中已经说明,到该日为止,他们根据强制性评估的结果,对披露控制和程序效果的看法。 他或她及其他提供证明的领导人已经向发行机构的审计师和董事会下属的审计委员会(或履行类似职能的人员)披露以下情况:
※ 内部控制(是有关财务报告内部控制的既有词汇)的设计或实施的所有重大缺陷,这些缺陷可能对发行机构财务数据的记录、处理、总结及报告能力造成负面影响,同时为发行者的审计师指出内部控制的所有重大弱点;
※ 无论重大与否,所有与发行机构内部控制有重大关联的管理层或其他雇员的舞弊行为;
※ 在他们评估之日后,内部控制或可能对内部控制产生重大影响的其它因素是否出现重大变化,包括针对重大缺陷和弱点采取的纠正措施。
建议内部审计师应该采取的行动
4.本公告向内部审计师提供以下行动措施和考虑事项,以提供与SEC和索克斯法案要求相关的季度财务报告、披露和管理层证明方面的增值性服务。对于非上市公司和其他希望采纳类似季度财务报告过程的机构,这些推荐的行动措施也可以作为最佳实务。
a. 内部审计师在此过程中的作用可包括:最初的过程设计、参加披露委员会、在管理层和审计师之间进行联络协调、独立对过程进行评估。
b. 所有与季度报告和披露过程相关的内部审计师都应遵循适当的"IIA咨询活动和保证工作的标准",遵循相关实务公告的指导,明确自己的角色和评估方面的职责;
c. 内部审计师应当确保机构有正式的政策和程序文件,管理季度财务报告、相关披露及法规对报告的要求这三个过程。律师、外部审计师和其他专家对政策和程序进行适当评估,这可以进一步保证政策和程序的全面性并准确反映适用的要求。
d. 内部审计师应当鼓励机构成立"披露委员会",协调此过程并对参与者进行监督。机构内部重要领域代表都应当参加该委员会,这包括主要财务经理、法律顾问、风险管理者、内部审计及对申报文件和披露提供意见或数据的其它领域人员。通常情况下,审计执行主管(CAE)应当是披露委员会委员。应当考虑CAE在委员会中的地位。CAE如果担任该委员会主席、一般委员或"投票"委员,需要注意独立性问题,他应当参照IIA《标准》和相关实务公告,作为指导并用于强制性的披露工作中。如果他的地位是"当然"委员,则通常不会产生独立性问题。
e. 内部审计师应当定期复核并评估季度报告和披露过程、披露委员会的活动以及相关文件,向管理层和审计委员会报告对该过程的评估情况,并在整体运作情况及遵守政策与程序情况两方面提供保证。如果内部审计师在此过程中的角色使其独立性可能受到损害,那么内部审计师应当确保管理层和审计委员会能够从其它来源获得对此过程适当的保证。其它来源可以包括内部自我评估和第三方,如外部审计师和咨询师。
f. 内部审计师应当根据对相关活动的评估结果,就季度报告和相关批露的政策、程序及过程提出恰当的改进建议。此类活动的最佳实务包括以下全部或部分方法和程序,各机构应用时可根据所采用的特定过程加以选择。
※ 恰当文档化的政策、程序、控制及监测报告
※ 程序与关键控制环节的季度核对表
※ 关键披露控制情况的标准化报告
※ 管理层自我评估(例如控制自我评估)
※ 关键管理人员的签章或代表陈述
※ 在申报前对申报文件草案的复核
※ 记录数据源的过程图,主要面向申报文件、关键控制点以及各数据的有关责任人
※ 以前报告的突出问题的跟踪情况
※ 对此期间签发的内部审计报告的考虑情况
※ 特别针对高风险、复杂领域及有问题领域的评估情况;包括重大的会计估计、准备金估价、资产负债表外活动、主要附属机构、合资企业、特别实体
※ 财务报表和相关调整分录,包括免除调整项目对"结束过程"的遵循情况
※ 与关键管理人员召开远程电话会议,目的是保证考虑到机构的所有主要人员并使其得以参加会议
※ 审核潜在诉讼和未决诉讼以及或有负债
※ CAE至少每年一次,有时每季度签发的的内部控制报告
※ 定期召开的披露会议和审计委员会会议
g.内部审计师应当将索克斯法案302条款的实施过程与有关管理层的年度评估和内部控制公告的404条款的实施过程相比较。如果这些过程相似或兼容,将有助于运营效率,减少问题和错误发生或忽视的风险或可能性。虽然这些过程和程序是相似的,但内部审计师的作用可能有所不同。有些机构,内部审计师的工作可以成为管理层对内部控制看法的基础,其它机构可能会请内部审计师评价管理层的评估活动。
※ 内部审计工作性质及对其工作的利用能对外部审计师对待内部审计师的工作或其依赖内部审计工作的程度产生潜在影响。内部审计师应当保证明确所有参与者的角色、协调活动、并与管理层和外部审计师就活动事项达成一致。
※ 如果管理层独立评估控制情况,作为意见形成的基础,在此类机构中,内部审计师应当评价管理层的评估情况和辅助证明文件。
※ 内部审计师应当评价内部审计报告中意见的分类情况,对于在季度证明或年度内部控制报告中可能受到披露的意见,应当保证向管理层和审计委员会进行恰当报告。应格外注意保证此类意见得到及时、恰当的解决。
内部审计实务标准
目录
内审实务标准: 属性标准. 5
1000宗旨、权力和职责. 5
1000.A1 5
1000.C1 5
1100独立性与客观性. 9
1110机构独立性. 9
1110.A1 10
1120个人的客观性. 10
1130对独立性或客观性的损害. 10
1130.A1 11
1130.A2 13
1130.C1 13
1130.C2 13
1200熟练性与应有的职业审慎性. 13
1210熟练性. 13
1210.A1 14
1210.A2 16
1210.C1 19
1220应有的职业审慎性. 19
1220.A1 19
1220.A2 20
1220.C1 20
1230继续职业发展. 20
1300质量保证与改进项目. 21
1310质量项目评价. 21
1311内部评价. 22
1312外部评价. 22
1320质量项目的报告. 23
1330使用“内部审计工作依据《标准》开展”的声明. 23
1340披露违规行为. 23
内审实务标准: 工作标准. 25
2000管理内部审计活动. 25
2010制定审计计划. 25
2010.A1 26
2010.C1 26
2020报告与通过. 26
2030资源管理. 26
2040政策与程序. 28
2050协调. 28
2060向董事会与高级管理层报告情况. 30
2100工作性质. 30
2110风险管理. 33
2110.A1 33
2110.A2 33
2110.C1 34
2110.C2 34
2120控制. 34
2120.A1 34
2120.A2 36
2120.A3 36
2120.A4 36
2120.C1 36
2120.C2 36
2130治理. 36
2130.A1 37
2130.C1 37
2200审计业务计划. 37
2201计划制定过程中应考虑的因素. 37
2201.C1 38
2210审计业务目标. 38
2210.A1 38
2210.A2 39
2210.C1 39
2220审计业务范围. 39
2220.A1 40
2220.C1 40
2230审计业务资源的分配. 40
2240审计业务工作方案. 40
2240.A1 40
2240.C1 41
2300开展审计业务. 41
2310收集信息. 41
2320分析与评价. 41
2330记录信息. 42
2330.A1 43
2330.A2 44
2330.C1 44
2340审计业务的监督. 45
2400报告审计结果. 45
2410报告的标准. 46
2410.A1 46
2410.A2 48
2410.C1 48
2420报告的质量. 48
2421错误与遗漏. 48
2430对违反《标准》的审计披露. 49
2440发布审计结果. 49
2440.A1 50
2440.C1 50
2440.C2 50
2500监测进程. 50
2500.A1 51
2500.C1 52
2600管理层对风险的接受. 52
属性标准
--------------------------------------------------------------------------------
内部审计活动的宗旨、权力和职责应在章程中进行正式的界定,这样的界定应与《标准》保持一致,并须经董事会通过。
1、“内部审计”是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。
2、“宗旨、权力和职责”是指内部审计工作的目的和责任,以及为达致目的、完成职责所需的权力和条件。明确内部审计的宗旨、权力和职责是内部审计工作最重要的问题之一,整本《标准》都是围绕内部审计的宗旨、权力和职责展开的,或者说《标准》就是用来说明内部审计的宗旨、权力和职责及其实现的。
3、“章程”是用以确定内部审计部门的宗旨、权力和职责的正式书面文件,它应该:(1)确定内部审计部门在机构中的地位;(2)授权审计人员接触与开展内部审计工作相关的资料、人员和实物财产;(3)规定内部审计活动的范围。审计执行主管应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理机构对章程的认可。章程一经批准便形成管理当局与内部审计机构双方的协议,内部审计机构可以根据章程的授权不受限制地开展工作。章程同时也是内部审计机构和管理当局评价内部审计工作质量的依据。审计执行主管应该定期评价章程中所规定的宗旨、权力和职责是否足以使内部审计活动实现其目标,评价的结果必须通报给高级管理层和董事会。
.A1
—章程中应明确向机构和第三方提供的保证服务的性质。
.C1
—章程中应对咨询服务的性质加以定义。
咨询服务范围很广,包括有书面协议规定的正式的咨询服务和诸如参加常务或临时的管理委员会或项目小组等咨询服务。内部审计师应该利用自己的专业判断,决定《标准》中的指导原则的适用程度。在一些特殊的咨询业务中(如参与收购、兼并项目或检查灾难恢复活动等紧急工作),可能需要偏离常规或规定的程序开展咨询服务。
审计执行主管应该确定对机构内部业务进行分类的方法,有些情况下比较适合开展将咨询和保证服务综合成一体的“合并”业务。
内部审计师可能应管理层的要求,将咨询服务作为日常业务来开展。每个机构都应该考虑将要提供的咨询业务的类别,并确定是否应该为每种业务开发专门的政策或程序。
如果对服务内容开展保证性工作更为合适,而且提出进行咨询的目的是逃避或使他人逃避保证性业务的有关要求,审计师一般不应该同意开展咨询服务。但这并不排除在更适合开展咨询服务的情形下,调整有关方法,对曾经作为保证性业务领域的内容提供咨询服务。
一、开展咨询活动的原则
内部审计师应考虑以下事项:
1、 内部审计活动的价值主张——价值主张在内部审计定义中有所体现。
2、 与内部审计定义保持一致。
3、 保证与咨询服务之外的审计活动。
4、 保证与咨询之间的相互关系——它们并非相互排斥的,多数审计服务既包括咨询活动也包括保证活动。咨询服务通常是由保证服务直接产生的,但它也可能衍生出保证服务。
5、 通过内部审计章程赋予内部审计部门开展咨询服务的权力。
6、 客观性——审计师通过开展咨询服务,会对与保证性审计业务有关的工作程序或问题有更深入的了解。咨询服务不一定损害内部审计的客观性。内部审计不起管理决策作用。是否采纳或实施内部审计咨询服务所提出的建议由管理层决定。
7、 内部审计提供咨询服务的基础——内部审计部门遵守最高客观性标准,而且它对机构的程序、风险及战略有全面的了解。
8、 基本信息的传达——内部审计的首要存在价值是给高级管理层和审计委员会提供保证服务。如果隐瞒审计执行主管认为应该报告的信息,就无法开展咨询工作。
9、 机构所理解的咨询工作的原则——机构必须制定并公布一些被全体成员所了解的基本规定,这些规定应该在章程中体现出来。
10、 正式的咨询业务——管理层经常聘请外部顾问开展正式的、时间跨度很长的咨询工作,但是,内部审计部门拥有完成某些正式咨询任务的独特优势。
11、 审计执行主管的职责——咨询服务使审计执行主管得以与管理层交换意见,解决一些具体的管理问题,审计项目的广度和时间范围也会根据管理层的需要灵活安排,但是,审计执行主管保留确定审计技术的特权,并且在审计结果的性质和重大性程度足以带来重大风险时,保留向高级管理层和审计委员会报告的权利。
12、 解决冲突或新问题的标准——IIA的《职业道德规范》及《内部审计实务标准》。
二、开展正式咨询业务的其他考虑
本部分的内容与多条咨询标准相关。
(一)内部审计师在咨询业务中的独立性和客观性(第1130.C1条标准)
1、内部审计师有时被要求为他们曾经负责的或提供过保证服务的运营领域提供咨询服务。在开展服务前,审计执行主管应该核实董事会已经理解并批准提供咨询服务的概念。一旦获得批准,就应该修改内部审计章程,规定开展咨询服务的权力和责任,并制定相关的政策和程序。
2、内部审计师应该在得出结论并向管理层提出建议时维护其独立性。如果在咨询服务开始之前就存在、或者在服务过程中发生损害独立性或客观性的情况,内部审计师应该马上向管理层披露。
3、如果在开展正式咨询业务后的一年内又对同一领域提供保证性服务,内部审计师的独立性和客观性就会受到损害。可以通过以下措施来尽量降低不良影响:分配不同的审计师对同一领域开展不同的业务、建立独立的管理和监督机制、为项目的不同结果确定独立的责任机制、披露假设的损害情况。管理层应该负责接受和实施这些建议。
4、在涉及持续性的咨询业务时,内部审计师应该格外小心,以避免不恰当地或在无意中承担咨询业务的最初目标和范围中都没有提及的管理责任。
(二)咨询业务中的应有的专业审慎性问题(第1210.C1条标准、第1220.C1条标准、第2130.C1条标准、第2201.C1条标准)
1、在开展正式咨询业务时,内部审计师应该保持应有的专业审慎性,理解以下内容:
(1)管理人员的需要,包括咨询业务结果的性质、时间安排和报告;
(2)要求提供服务的动机和原因;
(3)工作的范围;
(4)所需的技能和资源;
(5)咨询业务对审计委员会以前批准的审计计划的影响;
(6)对未来审计任务和业务的潜在影响;
(7)可以为机构带来的潜在好处。
2、除了对独立性、客观性和应有的专业审慎性的考虑,内部审计师还应该:
(1)举办合适的会议并收集必要的信息,以评价将要提供服务的性质和范围;
(2)证实接收服务的人员理解并同意内部审计章程中所包括的相关指导内容、内部审计部门的政策和程序以及其他管辖咨询业务的指南。内部审计师应该拒绝从事章程禁止开展的、或与本部门政策和程序相冲突的以及不能为机构增值或不能服务于机构最大利益的咨询业务;
(3)评价咨询业务是否与内部审计部门的总体业务计划相一致;
(4)以书面协议或计划的形式记录正式咨询业务的一般条件、共识、产品和其他关键因素。
(三)咨询业务的工作范围(第2010.C1条标准、第2110.C1和C2条标准、第2120.C1和C2条标准、第2130.C1条标准、第2201.C1条标准、第2210.C1条标准、第2220.C1条标准、第2240.C1条标准、第2330.C1条标准、第2410.Cl条标准、第2440.C1和C2条标准)
1、内部审计师应该就咨询业务的目标和范围与接收服务的人员达成共识。内部审计师应该设计工作范围,以维护内部审计部门的可信度和声誉等。
2、在计划正式咨询业务时,内部审计师应该设计相关目标。在管理层提出特殊要求时,如果内部审计师认为应该追求的目标超出了管理层所要求的目标,可采取以下行动:
(1)说服管理层包括其他目标;
(2)在文件中记录没有追求有关目标的情况,并在最终报告中披露;
(3)在随后单独开展的保证性业务中包括这些目标。
3、正式咨询业务的工作方案应该记录目标、范围以及为实现目标而采取的方法。方案的形式和内容可根据咨询业务的性质有所不同。内部审计师应该根据管理层的要求来扩展或限制业务范围,但应确保工作范围足以实现咨询业务的目标。咨询业务目标、范围和条件应该在工作过程中定期得到重新评价和调整。
4、内部审计师应该留意风险管理和控制过程的效果,并提请管理层注意他们发现的风险或重大控制薄弱环节。在有些情形下,内部审计师也应该将自己关注的问题报告管理层、审计委员会和/或董事会。内部审计师还应该:(1)确定风险或薄弱环节的严重性,以及已经采取或考虑采取的行动;(2)证实管理层、审计委员会和/或董事会在要求报告这些事项方面的期望。
(四)报告正式咨询业务的结果(第2410.C1条标准、第2440.C1条标准)
1、对工作进度和结果的报告在形式和内容上根据业务的性质和客户需要的不同而不同。报告的要求一般由提出服务请求的人员决定,而且应该实现既定的目标,并得到管理层的同意。但是,报告的格式应该明确说明业务的性质和有关限制、约束或其他信息用户应该明白的因素。
2、在某些情形下,内部审计师会认为应该扩展报告接收对象范围,此时可采取以下步骤:
(1)确定协议中关于咨询业务和相关报告的规定;
(2)努力说服接收或要求服务的人员自愿将报告内容传达给相关方面;
(3)确定内部审计章程或内部审计部门政策/程序关于咨询报告的指导内容;
(4)确定机构道德规范、职业道德规范、其他相关政策、行政指令或程序所提供的指导内容;
(5)确定IIA《标准》和《职业道德规范》、其他对内部审计师适用的标准或规范以及有关的法律或管理要求对咨询报告的指导内容。
3、在提出其他报告时,内部审计师应该向管理层、审计委员会、董事会或其他机构治理部门披露正式咨询业务的性质、范围和总体结果。但不要求披露详细结果或建议。
(五)咨询业务的文件记录要求(第2330条标准)
1、内部审计师应该记录所开展的工作,以实现正式咨询业务的目标并支持其结果。但是,适用于保证性业务的文件记录要求不一定适用于咨询业务。
2、鼓励内部审计师采取恰当的记录保留政策并处理记录的所有权等问题,以便充分保护机构、避免由于有人要求查看记录而引起误会。涉及法律诉讼、管理要求、税收和会计问题的情形可能要求对某些记录进行特殊处理。
(六)对咨询业务的监测(第2500.C1条)
内部审计部门应该根据和客户达成的一致意见监测咨询业务的结果。对于不同的咨询业务可以采取不同类型的监测手段。监测工作取决于管理层对咨询业务的明确兴趣或内部审计师对项目风险或对机构价值的分析等。
--------------------------------------------------------------------------------
1100-独立性与客观性
内部审计活动应该独立,内部审计师在开展工作时应做到客观。
内部审计师在他们能自由、客观地进行工作时是独立的。独立性可使内部审计师提出公正的、不偏不倚的判断意见,这对审计工作的恰当开展是必不可少的。这一点要通过机构的状况和客观性来获得。
机构独立性
--------------------------------------------------------------------------------
审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。
1、内部审计师应该取得高级管理层和董事会的支持。
2、审计执行主管应该对机构中拥有充分权力的人负责,理想的情况是:对审计委员会、董事会或其他相关治理机构报告业务工作,向首席执行官报告行政工作。
3、在董事会、审计委员会或其他相关治理机构举行的有关对审计、财务报告、机构治理和控制系统的监督职责的会议时,如果审计执行主管定期出席,就可获得直接交流的机会。审计执行主管每年至少应与董事会、审计委员会或其他相关治理机构单独会晤一次。
4、审计执行主管的任免,应由董事会一致同意之后确定。
.A1
—内部审计活动在确定内部审计范围、实施审计及报告审计结果时应不受干扰。
有时,审计客户与其他各方可能会要求内部审计师解释索要文件的原因,审计师应该根据具体情况确定是否披露原因。如果出现重大的不合规情况,就可能表明被审计环境不很公开,不利于合作氛围的形成。但是,这样的判断应该由审计执行主管根据具体的环境来作出。
个人的客观性
--------------------------------------------------------------------------------
内部审计师应有公正的态度,避免利益冲突。
1、“利益冲突”指任何表面上或事实上都不符合机构的最大利益的各种关系。利益冲突会妨害个人客观地履行其职责。
2、客观性是内部审计师在执行审计工作时必须保持的一种独立的精神状态。内部审计师不能在对有关审计事务作出判断时依附于他人的意向。
3、客观性要求内部审计师对他们的工作成果要有一种诚实的信条,而且不作重大的质量妥协。不得将内部审计师置于他们感觉无法做出客观的专业判断的处境中。
4、分配职责时应避免潜在的或实际出现的利益冲突和偏见。审计执行主管应该定期获取这方面的信息。在可行的情况下,内部审计师被指派的工作应定期轮换。
5、在提交审计报告之前,应该审查内部审计工作的结果,以合理保证审计工作的客观进行。
6、内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的。审计工作所处的地位不应该成为接受酬金或礼物的理由。如果有人提供数目很大的酬金或贵重的礼品时,内部审计师应立即向领导报告。上述要求不包括接受一些一般公众都能得到的或价值极小的宣传性的物品(例如钢笔、年历或样品等)。
对独立性或客观性的损害
--------------------------------------------------------------------------------
无论独立性或客观性受损,都应将损害的具体情况向有关方面反映。反映的性质取决于损害的具体情况。
1、如果已经出现或经合理推断认为可能出现利益冲突和偏见,内部审计师应该向审计执行主管进行报告。然后,审计执行主管应该重新指派审计师。
2、审计范围的界限是对内部审计部门的一种限制,范围界限可能来自:
(1)章程对审计范围的规定。
(2)接触相关记录、人员和实物财产的规定。
(3)经批准的审计工作项目计划。
(4)必须实施的审计程序。
(5)经批准的人员配置计划和财务预算。
3、最好以书面形式向董事会、审计委员会或其他相关治理机构报告审计范围受到的限制及其潜在影响。如果机构、委员会、高级管理层或其他方面有变动,尤其需要进行这种报告。
.A1
—内部审计师应避免评价他们以前负责过的工作。审计师在上年度负责一项工作之后,本年度又对该工作提供保证服务,则可以假定客观性受到了损害。
一、评价内部审计师以前负责的运营工作
1.内部审计师不应该承担机构运营责任。如果管理高层指示内部审计师开展非审计工作,他们必须明白,后者不是在以内部审计师的身份开展工作。而且,当内部审计师对他们在上一年度负责的或管辖的运营活动进行保证性检查时,其客观性就受到了损害。在交流宣传审计业务结果时,必须考虑这种损害。
2、只要内部审计部门得到的任务涉及履行运营职责,在此领域的审计客观性就受到了损害。
3、对于借调或临时聘用的人员,只有在离开原岗位至少一年之后,才能分配他们参与审计他们以前负责的运营领域,否则将损害审计的客观性。如果已经这样分配了任务,则需要在监督审计任务和宣传审计结果时格外小心。
4、如果内部审计师建议在实施系统控制或检查程序之前采用控制标准,不会损害其客观性。但是,如果审计师参与了这些系统的设计、安装、程序起草或操作工作,客观性就受到了损害。
5、内部审计师偶尔开展非审计工作并在报告中全面披露不一定会损害独立性。但是,管理人员和内部审计师都需要对这种情况进行仔细考虑。
二、内部审计师开展其他(非审计)工作
1、评估对独立性和客观性的影响的依据有:
(1)IIA的《职业道德规范》与《标准》的规定;
(2)利益关系方(包括股东、董事会、审计委员会、管理层、立法机构、公共实体、管理机构及公众利益团体)的期望;
(3)内部审计章程所允许和限制的内容;
(4)《标准》披露的要求;
(5)内部审计师接受的属于审计范围的活动或任务。
2、如果内部审计师面临着接受一项非审计工作的机会,他应考虑到以下因素,以确定合适的行动方案。
(1)IIA的《职业道德规范》与《标准》要求内部审计活动具有独立性,内部审计师在开展工作时应该客观。
A、如有可能,应避免接受非审计工作或任务。
B、如果无法避免,就要求将独立性与客观性受损这一情况向有关方面进行披露。
C、如果内部审计师在上年度负责一项工作之后,本年度又对该工作提供保证服务,则可以假设其客观性受到了损害。
D、如果有时管理层让内部审计师转向开展非审计性的工作,应该明白他们不是以内部审计师的身份开展此类工作。
(2)应根据潜在的损害性对包括法律、法规要求在内的各利益关系方的期望进行评估和分析。
(3)如果内部审计部门章程中对内部审计师开展非审计性的任务有具体的限制条款或限制性语言,应披露这些限制并与管理层商讨。如果管理层坚持这样的任务分配,审计师应向审计委员会或有关的公司治理机构报告并同其商讨。如果章程中没有规定,应考虑到以下几个指导方针。
(4)是否进行了评估?应与管理层、审计委员会和/或其他有关的利益关系方讨论评估的结果。应确定以下事项(其中一些事项是相互影响的):
A、评估运营性任务对于机构(在收支、声誉及影响方面)的意义。
B、评估该工作的持续时间长度及职责范围。
C、评估职责分工的充分性。
D、在报告审计结果时应考虑到对独立性或客观性的潜在损害,或损害出现的迹象。
(5)对运营任务的审计是否进行了披露?如果内部审计活动承担运营性的任务,并且审计计划中涵盖了该任务,那么审计师可以考虑以下几种方法。
A、审计可以由合同规定的第三方实体、外部审计师或内部审计部门来进行。前两种情况可以使客观性的损害降到最低限度。在后一种情况下,客观性将受到损害。
B、负有运营责任的审计师个人不应该参加到审计该运营的项目中。如果有可能,进行评估的审计师应该受到监督,并报告评估结果。
C、应披露下列情况:审计师所承担的运营责任、该运营对机构的重要性以及审计师与对该运营性任务进行审计的人员的关系。
D、在相关的审计报告及常规性报告中,应对审计师承担运营性任务进行披露。
.A2
—对审计执行主管负责的工作提供保证服务时,应由独立于内部审计活动以外的有关方面进行监督。
.C1
—内部审计师可以提供与他们以前负责过的工作相关的咨询服务。
.C2
—在内部审计师本人可能损害所要提供的咨询服务的独立性时,内部审计师在接受这项工作之前,应向客户说明此情况。
--------------------------------------------------------------------------------
内部审计师应以熟练性与应有的职业审慎性开展审计业务。
1、审计执行主管和每位内部审计师都有责任保证开展审计业务所必需的专业水平,包括知识、技能和其他有关能力。
2、内部审计师应该遵守专业行为标准。国际内部审计协会的《职业道德规范》通过包括以下两项主要内容,拓展了这方面的定义内容:
(1)与内部审计这一职业以及内部审计实务相关的原则:品德高尚、客观、保密、能力出众;
(2)行为标准说明了期望内部审计师遵守的行为规范。
熟练性
--------------------------------------------------------------------------------
内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力。开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力。
每名内部审计师都应该:
1、掌握一定的知识、技能和其他能力,包括:
(1)应用内部审计标准、程序和技术所必须的专业水平;
(2)与会计原则和技术有关的专业水平(广泛涉及财务报告和记录的审计师必须拥有);
(3)对管理原则的理解;
(4)对会计、经济学、商法、税收、金融、量化方法和信息技术等领域的基本内容的深入领会。
2、拥有开展有效人际交流的技能。
3、拥有出色的口头和书面表达能力。
审计执行主管应该在充分考虑工作范围和责任层次的前提下确定各职位的教育程度和工作经验要求,并获取每位未来审计师的资历和专业水平的合理保证。
所有内部审计人员作为一个集体应该掌握开展内部审计所必须的知识和技能。
.A1
—当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技巧或其他能力时,审计执行主管应向他人寻求有力的建议或帮助。
1、内部审计部门应该拥有履行职责所必须的在会计、审计、经济学、金融、统计、信息技术、工程、税收、法律、环境事务等学科获得资格证书的合格雇员,或应用合格的外部人员所提供的相关服务。
2、外部服务提供者是指独立于内部审计部门所在机构、拥有某一学科或领域的专门知识、技能和经验的个人或公司,可以是精算师、会计师、评估师、证券专家、统计师、信息技术专家、机构外部审计师和其他审计机构。可以通过董事会、管理高层或审计执行主管来聘用外部服务提供者。
3、下列情况可应用外部服务提供者:
(1)审计业务需要信息技术、统计学、税收、语言翻译等专门技能和知识,或者需要实现审计工作方案所确定的目标;
(2)对土地、建筑物、艺术品、宝石、投资和复杂的金融工具进行资产评估:
(3)确定矿藏和原油储存等资产的数量或实际情况;
(4)衡量根据正在履行的合同而完成的和即将完成的工作;
(5)开展舞弊和安全调查;
(6)通过应用精算确定雇员福利欠款等专门方式来确定有关金额;
(7)解释法律、技术和管理要求;
(8)根据《标准》第1300条评估内部审计部门的质量改善项目;
(9)兼并和收购。
4、审计执行主管如果希望应用并依赖外部服务提供者的工作,就应该对外部服务提供者的能力、独立性和客观性进行评价,评价的结果应该向管理高层或董事会进行恰当通报。
(1)价外部服务提供者的知识、技能和其他能力
可从以下几个方面评价:
①专业证明、执照等能力证明;
②在有关专业机构的会员资格和遵守职业道德规范的情况;
③声誉;
④知识和经验;
⑤在相关学科接受的教育和培训;
(2)评价外部服务提供者的独立性和客观性
审计执行主管应该分析外部服务提供者与机构和内部审计部门的关系,确定不存在会妨碍外部服务提供者公正地进行判断和得出结论的财务、机构或私人关系。
应该考虑外部服务提供者:
①可能在机构拥有的经济利益;
②可能与机构董事会成员、管理高层或其他人员发生的私人或专业关系;
③可能已经与机构或被审计活动发生的关系;
④可能正在为机构提供的其他持续服务的范围;
⑤可能拥有的赔偿机制或其他优惠条件。
如果外部服务提供者同时也是机构的外部审计师,而审计业务的性质又是延伸审计服务,审计执行主管应该保证所开展的工作不会损害外部审计师的独立性。延伸审计服务指外部审计师一般公认的审计标准所定要求范围之外的服务业务。如果外部审计师以管理高层或机构雇员的身份开展工作,其独立性就会受到损害。此外,外部审计师可以为机构提供诸如税收和咨询等其他服务。但是,应该从外部服务提供者提供的所有服务的角度全面评价其独立性。
审计执行主管应该获取关于外部服务提供者所开展工作的充分信息。可以以审计业务函或审计合同的方式对相关事项进行文字记录。审计执行主管应该与外部服务提供者一起检查以下内容:
①工作的目标和范围;
②希望在审计业务交流工作中覆盖的具体事项;
③对相关记录、人力资源和实物财产的获取情况;
④关于拟应用的假设和程序的信息;
⑤工作底稿的所有权和监护权;
⑥信息的保密和限制要求。
如果外部服务提供者开展内部审计工作,审计执行主管应该具体说明并保证这些工作遵守《标准》的要求。在检查他们的工作时,应该评价其工作是否充分。
(3)通报
在进行审计业务情况通报时,审计执行主管可以指出外部服务提供者所提供的具体服务,并将通报意图通知外部服务提供者。在合适的情形下,审计执行主管应该在指出这些服务内容之前与外部服务提供者就有关方面达成一致意见。
.A2
—内部审计师应具有发现舞弊线索所需的足够知识。但并不希望内部审计师具备主要责任是发现和调查舞弊的人员的专门技能。
“舞弊”指所有具有欺骗、隐瞒或破坏信任特征的非法行为。这些行为不依靠暴力或武力威胁。个人和机构为获取金钱、财产或服务,避免付费或失去服务,或获取个人或商业优势都会犯下舞弊罪。
1、舞弊可以是为机构谋利,也可以给机构带来损害。机构内外部的人都可以进行舞弊。
(1)为机构谋利的舞弊
这类舞弊一般通过利用不公正的或不诚实的优势欺骗外部有关方面,从而产生期望利益。舞弊者经常会获取间接的个人利益。例如:
·出售或分配子虚乌有的或错报的资产;
·进行非法政治捐款、行贿、提供回扣、向政府官员/政府官员的中介/客户/供应商支付酬金等不当行为;
·故意错报或错误评估业务交易、资产、负债或收入;
·对转移支付故意进行不当定价;
·进行故意的不当关联方交易;
·故意没有记录或披露重要信息;
·开展明令禁止的商业活动;
·税务欺诈。
(2)危害机构的舞弊
这类舞弊一般是为了直接或间接地给机构雇员、外部人员或其他机构谋利,例如:
·收受贿赂和回扣;
·将在正常情况下会给机构带来利润的潜在赢利交易转给雇员或外部人员;
·贪污;
·故意隐藏或错报事项或数据;
·要求为实际上并未提供给机构的服务或商品支付款项。
2、遏制舞弊
遏制舞弊包括采取行动防止舞弊的发生,并在舞弊确实发生时限制其涉及范围。遏制舞弊的首要机制是控制。管理人员负有建立并维护控制的首要责任。
内部审计师负责根据机构经营活动各方面的潜在风险水平,通过检查和评估内部控制系统的充分性和有效性来协助遏制舞弊。在履行这种职责时,内部审计师应该确定:
(1)机构环境是否有助于培养控制意识;
(2)机构目标是否切实可行;
(3)是否拥有书面政策,对明令禁止的活动和发现违法现象时需要采取的行动进行说明;
(4)是否已经为开展业务交易制定并维护恰当的授权政策;
(5)机构是否开发有关政策、实务、程序、报告和其他机制,以便监测有关活动和护卫资产(尤其是在高风险领域);
(6)交流沟通渠道能否为管理人员提供充分可靠的信息;
(7)是否需要为建立或加强具有成本效益的控制措施提供建议。
当内部审计师怀疑机构内部存在错误做法时,应告知机构有关主管人员,并就需要开展何种调查提出建议。此后,审计师应该不断追踪,确定内部审计部门的职责是否得到了履行。
3、舞弊调查
舞弊调查包括延伸实施必要的程序,确定是否确实发生了舞弊,以及收集已发现舞弊的具体细节。内部审计师、律师、调查人员、安全人员和其他来自机构内部或外部的专家都经常开展或参与舞弊调查。
在开展舞弊调查时,内部审计师应该:
(1)评价机构内部发生舞弊的概率和同谋程度;
(2)保证调查工作确实是由拥有恰当技术专长的人员来开展,而且这些人员与被调查人员或机构的任何雇员和管理人员都没有任何关系;
(3)设计相关程序,确认舞弊者、舞弊程度、所用技术和舞弊原因;
(4)只要条件合适就应该与管理人员、法律顾问和其他专家协调活动;
(5)认识到舞弊嫌疑人和调查范围内有关人员的权利以及机构本身的名誉。
4、对舞弊的报告
舞弊调查结束后,内部审计师就应该评价已知事实,并向管理人员提供关于舞弊调查情况和结果的各种口头或书面、中期或最终的报告。报告应该包括调查发现、结论和建议意见。
《标准》第2400条可用于解释作为舞弊调查结果公布的调查报告。对于舞弊报告的额外解释性指导如下:
(1)当审计师已在合理程度上确认机构发生了严重的舞弊现象时,应及时通知管理高层和董事会;
(2)调查结果可能表明舞弊在一年或几年中对机构的财务状况和经营成果已经产生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。内部审计师应该将此发现通知管理高层和董事会;
(3)关于舞弊的最终报告的草稿应该提交机构法律顾问审查。
5、舞弊的发现
舞弊的发现包括确认充分的舞弊迹象,以保证有充分的理由推荐开展舞弊调查。通过管理人员建立的控制、审计师开展的测试和其他机构内外部渠道可能会使这些迹象浮出水面。
内部审计师在发现舞弊方面的责任是:
(1)充分了解舞弊,包括舞弊的种类、特点、进行舞弊的技术等;
(2)警惕诸如控制薄弱环节等可以引发舞弊的机会。如果发现了严重的控制薄弱环节,内部审计师所开展的额外测试就应该包括旨在发现其他舞弊现象的测试。此类舞弊迹象包括:未经授权开展的交易、无视控制措施、未经解释的定价例外情形以及异常的巨额产品亏损。同时存在一种以上舞弊迹象增加了可能发生舞弊的概率;
(3)评估表示可能存在舞弊的有关迹象,并确定是否需要采取进一步的措施,或应该推荐开展调查;
(4)如果审计师确定已有充分迹象表明发生了舞弊,因而推荐进行舞弊调查,那么,审计师就应通报机构主管人员。
不指望内部审计师拥有与主要责任是发现和调查舞弊的人员相当的知识。而且,即使审计师以应有的职业审慎执行审计程序,审计程序本身并不能保证舞弊一定会被发现。
管理层和内部审计部门在发现舞弊方面扮演了不同的角色。内部审计部门的常规工作程序是作为一项服务为机构提供独立的评价、检查和评估。在发现舞弊的过程中,内部审计的目标是向机构的有关成员提供对被审计活动的分析、评估、建议、咨询和信息,从而帮助其履行职责。审计工作的目标包括在合理的成本基础上促成有效的控制。
管理层有责任在合理的成本基础上建立和维持有效的控制系统。在某种程度上,舞弊可能会出现在上述所定义的常规审计过程中。内部审计师有责任履行“应尽的责任”,这点在第1220条标准中有定义。内部审计师应有足够的舞弊知识来确认可能发生舞弊的线索,警惕可能引起舞弊的机会,评估额外调查的需要并通报有关的管理层。
一个设置良好的内部控制系统不应有益于舞弊的发生。审计人员实施的测试与管理层建立的合理控制相结合将会提升发现和进一步调查任何现存的舞弊线索的可能性。
.C1
—当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他能力时,审计执行主管应婉言拒绝开展此项业务或向他人寻求有力的建议或帮助。
应有的职业审慎性
--------------------------------------------------------------------------------
内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技能。应有的职业审慎性并不意味着永不出错。
1、应有的职业审慎性应该适合正在开展的审计业务的复杂程度。内部审计师应该警惕故意犯错、发生错误和遗漏、消极怠工、浪费、工作无效和利益冲突等情况的可能性,以及最可能发生违法乱纪现象的情形和活动。此外,还应该确认控制不够充分的领域,并提出促进遵守可接受程序和实务的改进建议。
2、应有的职业审慎性意味着合理的谨慎和能力,而不是永不出错或永不出现反常工作表现。她要求审计师在合理程度上开展检查和核证工作,但不要求对所有交易进行详细检查。相应地,内部审计师不能绝对保证机构不存在不遵守规定或违法乱纪现象。然而,无论何时开展内部审计,审计师都应该考虑存在重大违法乱纪现象或不遵守有关规定的现象的可能性。
.A1
—内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:
·为实现审计目标而需要开展的审计工作的范围;
·所要保证事项的相对复杂性、重大性和重要性;
·风险管理、控制与治理过程的充分性和有效性;
·严重错误、违规或不守法的概率;
·与潜在利益相对的审计成本。
“风险”是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。
“控制”是指管理层、委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。管理层计划、组织并指导诸多方案的实施,以合理地保证目标得以实现。
.A2
—内部审计师应警惕可能影响目标、运营或资源的重大风险。但是,即使是以应有的职业审慎性开展工作,只依靠保证程序本身并不能保证发现所有的重大风险。
.C1
—在开展咨询业务时,内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:
·客户的需求与期望,包括咨询结果的性质、时间选择与报告。
·为实现咨询目标而需要开展的工作的相对复杂性与工作范围。
·与潜在利益相对的开展咨询业务的成本。
继续职业发展
--------------------------------------------------------------------------------
内部审计师应通过继续职业发展来增长知识、提高技能及其他方面的能力。
1、内部审计师有责任继续接受教育,维持其专业水平。
2、鼓励内部审计师通过获得恰当的专业资格证书(如:注册内部审计师头衔和其他国际内部审计师协会授予的头衔)来展示其专业水平。
3、拥有专业资格证书的内部审计师应该获得充分的继续专业教育,来满足与所持专业资格证书相关的要求。
4、鼓励目前尚未拥有专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目。
--------------------------------------------------------------------------------
审计执行主管应制定并坚持开展质量保证与改进项目,该项目应涵盖内部审计活动的方方面面并不断监督内部审计活动的效果。设计该项目要有助于内部审计活动增加价值、改善机构的经营状况、并确保内部审计活动遵循《标准》与《职业道德规范》。
“增加价值”指机构的设立,是为其所有者、其他利益关系方、顾客和客户创造价值或谋取利益。此概念说明了它们存在的目的。他们通过开发产品和服务,利用资源推出这些产品和服务来提供价值。内部审计师在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些都应传达给相应的经营管理人员。
质量项目评价
--------------------------------------------------------------------------------
内部审计部门应采取一种程序,监督、评价质量项目的整体效用。该过程应包括内部与外部评价。
1、质量项目的目的是在合理程度上保证内部审计工作遵守《标准》、《职业道德规范》、内部审计部门章程和其他适用标准。质量项目应该包括监督、内部评价及外部评价三个因素。
2、上文所提及的合理保证既要满足审计执行主管的需要,也要满足其他人员和机构的需要,如高级管理人员、外部审计师、董事会和管理机构。
3、遵守适用的标准不仅仅是遵守既定的政策和程序,它还意味着必须迅速有效地开展工作。而质量对于迅速高效地开展工作以及维护内部审计部门的声誉都具有重要意义。
4、衡量内部审计部门工作的一个关键标准是部门章程。可根据《标准》第1000条所具体说明的因素对章程进行评价。其他一些适用标准有:
·《职业道德规范》;
·内部审计部门的目的、政策和程序;
·适用于内部审计部门工作的机构政策和程序;
·具体说明审计和报告要求的法律、规定和政府/行业标准;
·确定可审计活动、评价风险和确定审计业务频率及范围的方法;
·审计业务计划文件,尤其是提交给高级管理人员和董事会的计划文件;
·机构计划以及内部审计部门的岗位要求说明、职位说明、职业发展计划。
内部评价
--------------------------------------------------------------------------------
内部评价应包括:
·不断对内部审计活动的开展情况进行检查。
·定期的检查可以通过自我评价进行,也可以由机构内部了解内部审计实务与《标准》的人员进行。
1、对内部审计师的工作进行监督是为了保证遵守内部审计标准和审计方案。充分的监督是质量保证项目最重要的内容,是开展内部和外部评价的基础。《标准》第2340条和相关指南中规定了监督的性质和责任。
2、应该由内部审计部门的人员定期开展正式的内部评价,评价工作的方法应该与其他评价业务的方法一致,而且一般应由审计执行主管挑选的小组或个人来完成。大型内部审计部门可能指定专人担任质量保证经理或履行类似职责。
3、内部质量评价主要服务于审计执行主管的需求,但也可以为高级管理人员和董事会服务。这些评价工作应该得到规划,以便指出内部审计部门对《标准》、政策的遵守程度及审计的有效性,并为改进审计工作提供建议。
4、内部评价项目,特别是小型内部审计部门的内部评价项目,要求得到适当的调整,这些调整应考虑内部审计部门的结构以及审计执行主管在各审计项目中的参与程度。
5、审计执行主管应该倡导并监测内部评价过程。挑选工作小组时,应该保证各成员在素质上合格,在工作上尽量独立。审计执行主管应该检查每次正式内部评价的结果,并保证采取恰当的行为。虽然内部评价的目的是从内部评估内部审计部门工作的有效性,但是,审计执行主管将评价结果与部门外部有关人员(如高级管理人员、董事会和外部审计师)分享可能比较合适。内部评价还可以作为自我评价过程的一部分协助外部评价的准备工作。
6、以下方法可以提供对正式内部检查起补充作用的评价内容:
(1)由审计执行主管、审计经理或审计管理人员对其他审计管理人员指导开展的审计业务(审计管理)进行抽样检查。
(2)在每项审计完成后或定期挑选有关审计业务,通过使用问卷或进行调查来获得客户对审计的反馈意见。
外部评价
--------------------------------------------------------------------------------
诸如质量保证检查的外部评价应至少每五年开展一次,由合格的、机构外部的独立评价员或评价小组来进行。
1、开展外部评价是为了评价内部审计部门的操作质量,它可以提供相当有价值的信息。它的另一重要目的是为高级管理人员、董事会和其他人员(包括需要依赖内部审计工作的外部审计师)提供独立质量保证。审计执行主管应该与高级管理人员、董事会一起根据总的质量项目讨论外部评价工作的性质,并请高级管理人员、董事会参加外部检查人员的挑选工作。
2、外部评价应该由独立于机构、并且在表面上和实际上与机构都没有利益冲突的合格人员开展。评价小组可以由来自机构外部的内部审计师、外部咨询顾问或外部审计师组成。在挑选外部检查人员时,应该考虑,鉴于检查人员过去或现在与机构或其内部审计部门的关系,可能存在实际的或表面的利益冲突。
3、由机构其他部门(如法律或财务部门)的人员开展的评价,不是独立的外部评价,尽管这些部门在机构上独立于内部审计部门,但这些评价人员可能会引发实际的或表面的利益冲突。
4、各国的外部审计机构已经具体说明了他们在评价和应用内部审计部门工作时应该考虑的某些有限检查程序。这些程序主要与内部审计的工作质量以及独立程度有关,而且经常与外部审计师对机构财务报表的审计有关,因而一般不会构成外部评价。
质量项目的报告
--------------------------------------------------------------------------------
审计执行主管应把外部评价结果报告给董事会。
1、在完成外部评价后,检查小组应该出具包括关于内部审计部门对《标准》遵守情况的意见的正式报告。报告还应该涉及内部审计部门对本部门章程和其他适用标准的遵守情况,并提出恰当的改进建议。报告接收人应该是要求开展评价的个人或机构。审计执行主管应该响应外部评价报告中的重要评论和建议,编制书面行动计划,并采取恰当的跟踪措施。
2、对内部审计部门遵守《标准》情况的评价是外部评价的关键内容。但是,正如上文所述,评价时还应该考虑其他标准。
使用“内部审计工作依据《标准》开展”的声明
--------------------------------------------------------------------------------
鼓励内部审计师以内部审计活动“依据《内部审计实务标准》开展”来报告他们的活动。但是,只有在质量改进项目的评价结果表明内部审计活动是遵循了《标准》的情况下,内部审计师才可使用此声明。
1、在世界各国,开展内部审计的环境(包括法律、风俗习惯、机构的目标、规模和结构等)各不相同,《标准》的实施受到环境的管束。内部审计师在履行职责前遵守《标准》的有关规定是至关重要的。
2、《标准》为内部审计师提供了开展实际工作的框架。伴随标准的实务公告则对这些标准进行了解释,并说明了遵守这些标准的恰当手段。
3、审计执行主管应该确定内部审计部门是否遵守《标准》,可以应用第1300-1340条标准和相关指南所确定的技术。
披露违规行为
--------------------------------------------------------------------------------
尽管内部审计活动的开展应完全与《标准》保持一致,内部审计师也应充分遵守《职业道德规范》,但偶尔也会出现不能完全遵守的情况。当不合规的行为影响到全局或影响内部审计活动的开展时,就应向高级管理层和董事会进行披露。
工作标准
--------------------------------------------------------------------------------
审计执行主管应有效地管理内部审计活动,确保内部审计活动为机构增加价值。
目的是实现由管理高层批准、董事会认可的内部审计部门章程所规定的总体目标和职责,高效利用内部审计部门的资源,并使内审活动符合《标准》的要求。
制定审计计划
--------------------------------------------------------------------------------
审计执行主管应根据风险制定计划,来确定符合机构目标的、内部审计的工作重点。
1、计划包括以下内容:(1)附带衡量标准和实现日期的目标;(2)审计工作安排,如将开展哪些活动、计划审计日期、预计完成时间;(3)人员配置计划和财务预算;(4)部门报告。
2、审计工作安排的重点应考虑以下事项:(1)最近一次审计的日期和结果;(2)对风险的评价;(3)管理层的要求;(4)与机构治理有关的问题;(5)企业经营、制度、系统的主要变化;(6)实现营业利益的机会;(7)审计人员的变动和工作能力。
3、将审计计划与风险相联系
(1)应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划。
(2)审计范围可以包含机构战略性计划的组成部分,从而考虑并反映整个公司的计划目标。战略性计划也可能反映出机构对待风险的态度和实现既定目标的困难程度。建议至少每年对审计范围进行一次评估,以反映机构的最新战略和方针。
(3)应该在评估风险优先次序的基础上安排审计工作。风险因素有:金额的重大性、资产的折现力、管理能力、内部控制的质量、变化或稳定程度、上次审计业务开展的时间、复杂性、与雇员及政府的关系等。
(4)更新审计范围与计划的内容时,应该反映管理层的方针、目标、工作重心出现的变化。
(5)用于检测、证实风险的技术与方法应该能够反映出风险的重大性与发生的可能性。
(6)在向管理层的报告中应该传达对风险管理的结论和建议,以降低风险。
(7)审计执行主管应该至少每年准备一份关于内部控制充分性的声明,以减少风险。声明应该对未防范风险的重大性及管理层对此风险的接受情况发表意见。
.A1
—内部审计活动的业务计划应至少一年进行一次,并在风险评估的基础上制定。在制定计划的过程中,应考虑到高级管理层和委员会的意见。
.C1
—审计执行主管应根据以下标准考虑是否接受所提议开展的咨询工作,即该工作在改善风险管理、增加价值、改善机构的运营方面的潜在作用。应在计划中罗列出已经接受的咨询工作。
报告与通过
--------------------------------------------------------------------------------
审计执行主管应把内部审计活动的计划与资源要求(包括重要的、临时性变化)提交高级管理层和委员会报告、审议通过。审计执行主管还应说明资源方面的限制可能带来的后果。
1、每年,审计执行主管都应将内部审计部门关于工作安排、人员配备和财务计划等方面的总结、所有重要的中期变化报管理高层审批,报董事会参考。审计工作安排、人员配备和财务计划应该将内部审计工作的范围以及对这种范围的限制告知管理高层。
2、经过审批的审计工作安排、人员配备和财务计划和所有重要的中期变化都应该包括充分的信息,使董事会能够确定内部审计部门的目标和计划能否支持机构和董事会的目标和计划。
资源管理
--------------------------------------------------------------------------------
审计执行主管应确保内部审计资源的适当性、充分性及有效利用,以完成所通过的计划。
1、 评估内部审计资源
(1)人员配置计划和财务预算包括审计人员的数量以及开展审计工作所需要的知识、技巧和其他能力,应根据审计工作日程安排、管理活动、教育和培训需求以及审计研究和发展的情况来确定。
(2)审计执行主管应制订方案以选择和开发内部审计部门的人力资源。方案应规定:为每一个层次的审计人员制订书面的岗位说明;选择合格的和能够胜任工作的人员;培训每一位内部审计人员,并为提供后续教育的机会;至少每年一次对每个内部审计人员的业绩进行鉴定;向内部审计人员提供业绩和专业发展方面的咨询建议。
2、美国证券监督委员会对外部审计师提供内部审计服务的独立性要求。
(1)美国证券监督委员会于2001年2月5日通过了关于外部审计师独立性的修正条例,以根据以下内容确定审计师是否独立:
.审计师或其家庭成员有没有对审计客户投资;
.审计师或其家庭成员和审计客户之间有无雇佣关系;
.审计公司向其审计客户提供的服务范围。服务范围的规定并不延伸至向非审计客户提供的服务。
(2)修正条例。
.大大减少审计公司中相关雇员及其亲属的数目:在确定外部审计师的独立性时,这些人对审计客户的投资都归到审计师身上;
.缩小其任职会影响外部审计师独立性的前任公司雇员数目及其亲戚圈;
.确认一旦由外部审计师向公募公司审计客户提供会损害审计师独立性的某些非审计业务;
.要求大多数公募公司在其年度代理投票声明中披露与外部审计师在最近一个财务年度提供的非审计服务有关的某些信息;
.如果会计公司拥有质量控制并满足其他有关条件,那么即使它们无意出现独立性受损情况,也可以作为例外情形,不认为这些会计公司没有独立性。
(3) 实施新条例的过渡日期如下:
2002年8月5日以前:提供与评价、评估、发表公允性意见和内部审计服务有关的非审计服务不会影响会计师对此审计客户的独立性,条件是根据美国证券监督委员会、独立标准委员会或美国会计行业以前的要求开展这些业务不损害外部审计师的独立性。
2002年12月31日以前:对于每年为500多家根据《1934年证券交易法》第12条在美国证券监督委员会登记上市的公司提供审计、检查或鉴证服务的会计公司,如果它们在美国以外的办事处没有建立具备新条例所要求特征的质量控制系统,仍然不会认为它们缺乏独立性。
(4)如果会计师为其审计客户提供了以下非审计服务,那么外部审计师就缺乏独立性。包括:与审计客户的会计记录或财务报表有关的记账或其他业务;财务信息系统的设计和实施;提供评价、评估、公允性意见;精算服务;内部审计服务;管理职能;人力资源;经纪人服务;法律服务。
(5)如果发生以下情况,外部审计师的独立性就受到了损害:
①外部审计师在任意一个财务年度提供的内部审计服务超过了在审计客户内部审计部门所花总时间的40%,除非审计客户的总资产少于2亿美元。
②外部审计师可以提供任何内部审计服务或与内部会计控制、财务系统或财务报表无关的操作性内部审计服务,除非:
.审计客户的管理层已以书面形式向会计公司和审计客户的审计委员会或董事会确认客户有责任根据《1934年证券交易法》建立并维护内部会计控制系统;
.审计客户的管理层指定主管职员或一般雇员负责内部审计部门;
.审计客户的管理层确定了内部审计业务的范围、风险和频率;
.审计客户的管理层评价内部审计业务所发现的问题和取得的结果;
.审计客户的管理层通过从会计那里获取报告评价审计程序和审计发现的充分性;
.审计客户的管理层不能将会计的工作作为确定内部控制充分性的主要依据而依赖这些工作。
(6)审计执行主管应该就美国证券监督委员会关于外部审计师独立性要求的条例协调内部审计部门、管理层、审计委员会和外部审计师的关系。
(7)审计执行主管应该证实并在必要时协助上述第(5)条第②小点中的6条标准得到实现。
(8)审计执行主管应该确定就美国证券监督委员会条例要求的定义和应用与各方达成一致意见。
(9)以下范例代表了应该得到评价和达成一致意见的部分考虑内容:
.如何定义“内部审计活动”;
.在拥有多个或分散化内部审计部门的公司中,美国证券监督委员条例会应该应用于这些部门的总体服务;
.公司应该就如何定义内部会计控制、财务系统、财务报表和操作性内部审计服务达成一致意见(注意:美国证监会条例没有排除所有操作性内部审计服务,只是排除了与内部会计控制、财务系统、财务报表无关的内部审计服务);
.如何针对外部审计师可以提供的内部审计服务计算40%的限额(注意:条例自2002年8月5日起生效,将只包括最初实施阶段的一年中部分时间的小时数);
.40%的限额计算应该在审计阶段开始时进行,并以当年所计划的内部审计活动为依据。审计执行主管应该建立恰当的监测系统,定期评价对40%限额的遵守情况,并对内部审计活动进行适当的调整。
政策与程序
--------------------------------------------------------------------------------
审计执行主管应制定政策与程序,指导内部审计活动。
政策与程序的内容和形式应与内部审计活动的规模和结构及其工作的复杂性相适合。大的内部审计机构可制定内部审计手册,小的内部审计机构可通过日常的工作指导和备忘录来指导。
协调
--------------------------------------------------------------------------------
审计执行主管应与提供相关保证与咨询服务的其他内外部人员分享信息、相互协调,以确保工作的全面性,最大限度地减少重复工作。
1、协调
(1)内部审计和外部审计工作范围的区别
内部审计工作范围——用系统化、规范化的方法评估并增强风险管理、控制和公司治理的有效性。
外部审计工作范围——为获取充分的证据以支持其对年度财务报表的公允性发表审计意见。
(2)对内部审计工作与外部审计工作的协调与监督,是董事会的责任。审计执行主管在董事会的支持下负责实际的协调工作。在与外部审计人员协调时内部审计人员必须在遵守《标准》的原则下进行,尽可能采取能实现最大审计协调和效率的检查方式。
(3)协调的内容包括:协助外部审计师进行财务报表审计;评估内外部审计人员的审计职责;评价双方的工作协调情况和外部审计师的工作情况,并向管理高层和董事会汇报;就特定事项与外部审计师交流;定期商讨双方关心的事项,如协调双方的审计范围、互相接触审计方案和工作底稿、交换审计报告和管理建议书、互相理解对方使用的审计技术、方法和术语等。
2、采购外部审计师的服务
(1)内审部门在机构聘任内部或外部专家过程中的参与程度,取决于高级管理层和董事会的意愿。可能是不参与、提供建议和协助、参与管理、乃至审计聘任的全过程。
董事会和审计委员会要对聘任内部或外部审计人员制定一项政策,说明是定期需要,是组织的正常业务活动,以消除内审人员的疑惑。如没有该项政策,审计执行主管应当促成这项政策。
(2)选择或保留公司外部审计服务的恰当政策应该考虑以下内容:
.董事会或审计委员会对政策的批准;
.政策所管辖服务的性质和种类;
.合同期限、正式提出服务请求的频率和/或保留现有服务提供者的决心;
.选择和评价小组的参与人员或成员;
.评价时应该考虑的关键或首要标准;
.对服务收费的限制以及批准政策例外情形的程序;
.具体行业或国家特有的管理或其他治理要求。
(3)董事会政策可能还会涉及采购外部审计公司可以提供的财务报表审计以外的其他服务。包括:
.税务服务;
.咨询和其他非审计服务;
.从外部采购内部审计服务和/或联合采办审计服务;
.特别服务(如已达成协议的服务内容);
.评估、评价和精算业务;
.招聘、簿记、技术服务等临时业务;
.外部审计小组提供的法律服务。
(4)内部审计师在参与聘任过程中,可采取以下程序:由管理层召开会议说明需要提供的服务和条件;与候选人举行现场会议;要求候选人提供背景信息和其他信息;筛选候选人;签订书面协议,明确权责。
向董事会与高级管理层报告情况
--------------------------------------------------------------------------------
审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。另外还应报告重要的风险揭示与控制问题、公司治理问题以及委员会和高级管理层需要或要求知晓的其他事项。
1、审计执行主管应至少每年向高级管理层和董事会提交一次工作报告。工作报告应突出重要的审计发现和建议,应通报已批准的审计工作项目计划、人员配置计划、财务预算在执行中出现的任何重要偏离及其原因。
2、重要的审计发现指那些根据审计执行主管的判断,可能对机构产生不利影响的情况,包括处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。
3、管理层的职责是对重大的审计发现和建议所应采取的适当改进措施作出决定,有可能因考虑到成本费用和其他原因,而不采取整改措施,承担因此产生的风险。应将高级管理层作出的决定通知董事会。
4、如管理层决定不采取整改措施,审计执行主管应考虑将原先已报告的重要审计发现和建议再向董事会报告是否恰当。尤其是机构、董事会、高级管理层或其他方面有变动时。
5、审计报告还应该将内部审计的实际业绩与工作目标和审计工作日程比较,将支出与财务预算相比较。
--------------------------------------------------------------------------------
内部审计活动评价并帮助改进机构的风险管理、控制和治理体系。
1、工作性质
(1)内部审计的工作性质是要应用系统化、规范化的方法,来评价和改进风险管理、控制和治理过程的充分性、有效性和履行职责的质量,以保证这些程序按预期进行,改善生活机构的运营状况,实现机构的目标和目的。
充分性—管理层已经计划和设置了风险管理、控制和治理程序,能够为有效实现机构目标和目的提供合理的保证。
有效性—准确、及时和经济地实现机构的目标和目的。
经济性—根据风险程度用最少的资源实现机构的目标和目的。
(2)如果管理层提供指导的方式能够确保机构的目标、目的得以实现,那么风险管理、控制和治理程序就是有效的。管理层还应通过授权开展业务和交易,监督业绩,证实机构的程序按设计如期运营管理机构。
(3)广泛地说,管理层既要对整个机构的可持续发展能力负责,也要对机构的活动、行为作出解释,同时要对所有者、利益关系方、管理机构、普通公众负责。整个管理程序的目标是:
.财务和运营信息的相关性、可信赖性和可靠性;
.高效率有成果地利用机构资源;
.护卫机构的资产;
.遵守法律、规章、道德和业务规范及合同;
.识别风险并利用有效的战略控制风险;
.为运营或方案建立目标和目的。
(4)为确保实现目标,管理层除要计划、组织和指导实施大量的活动外,还要定期检查目标和目的并修改程序,以及建立和保持机构的文化。
(5)控制—管理层开展的用以增强实现既定目标和目的实现可能性的一切活动。包括:预防性的、发现性的、指导性的。
控制系统—机构用以实现其目的和目标的所有控制要素和活动的整合。
(6)内部审计师要评价计划、组织和指导的整个管理过程,以确定是否能合理保证任务和目标的实现。内部审计师应警惕在内外部环境中影响提供保证服务的实际或潜在的变化,并应处理可能使业绩恶化的风险。
(7)总的来说,内部审计评估能够提供信息,评价整个管理过程,以合理保证管理层的风险管理系统有效,内部控制系统高效率、有效果,治理程序有效。
2、信息安全性
内部审计师应确定管理层是否明确信息安全性是一种管理责任;应确定内部审计活动拥有或有办法获取相关的审计资源,对信息安全性和有关风险进行评价;应确定管理人员是否保证一旦出现威胁机构的侵害信息安全的情况会马上告知内部审计人员;应评价对侵害行为采取措施的有效性和核证董事会、审计委员会或其他治理机构已通过恰当途径获知侵害行为等的具体情况;应定期评价机构的信息安全实务,在合适的条件下,加强或实施新的控制和保卫措施,并根据评价结果为董事会、审计委员会或其他治理机构提供保证报告。
3、内部审计在风险管理过程中的作用
风险管理是管理人员的关键职责,管理人员应该保证机构的风险管理过程健全有效,并发挥作用。
董事会和审计委员会负责监督、判断机构是否有适当的风险管理过程,以及是否充分、有效。
内部审计师的职责是,运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议,为管理层和审计委员会提供帮助。作为咨询顾问身份开展工作的内部审计师可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
对机构的风险管理过程进行评价和报告一般是审计的重点。评价管理风险程序有别于审计师应用风险分析对审计进行的计划工作。但是,来自综合性风险管理过程的信息有助于内部审计师计划审计工作。
审计执行主管应理解管理层和董事会对内审部门在风险管理过程中起何作用的期望。这种理解应该在内部审计部门和审计委员会各自的章程中得到规定。
风险管理过程中,在一个组织内部应当有职责分工,各司其职。如战略方向的确定由董事会或委员会负责;风险的归属可以由管理高层分配;对剩余风险的接受可以由执行管理层决定;持续的确认、评价、减缓和监测活动可以由操作层人员分配决定;定期评价和保证工作由内审部门负责。
内部审计部门在风险管理过程中的作用有一个发展过程,即从不在风险管理过程中起任何作用;到作为内部审计工作计划的一部分对风险管理过程进行审计;到积极持续地支持并参与风险管理过程。至于起多大作用要由管理层和审计委员会决定。
4、内部审计在尚未建立风险管理过程的机构中的作用
这种情况下,审计执行主管应提请管理层注意,并提出建议。内部审计师应该就内部审计部门在风险管理过程中应起的作用获得管理层和董事会的领导支持,并在章程中作出规定。
如果有关方面提出要求,内部审计师可以积极协助机构风险管理过程的初步建立工作。内部审计师更为积极的作用是通过改善基本程序的咨询方式对传统保证活动进行补充。如果这些协助活动超出了内部审计师正常的保证和咨询工作范围,审计的独立性就会受到损害。在这种情况下,内部审计师应该遵守《标准》的披露要求。
内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上所起的作用。为了避免参与“风险归属”问题,内部审计师应该要求管理层证实其在确定、防范、监测以及决定风险“归属”方面的责任。
总之,内部审计师可以促进风险管理过程的建立或使建立成为可能,但是,不应该“拥有”已确认的风险或负责对这些风险的管理。
5、在评价合规项目时的法律考虑
合规项目可以协助机构防止雇员过失违法,发现违法行为并打击雇员的故意违法乱纪行为,还可以协助证明保险索赔,确定董事和高级职员的责任,创建并加强机构身份并决定惩罚性赔偿的合适性。内部审计师应该按照以下建议步骤评价机构的合规项目,促进合规项目的有效执行。
(1)机构应制定合规性标准和程序,供其雇员和其他有可能合理减少犯罪概率的代理机构或代理人遵守。
(2)机构高层的具体人员应该总体负责监督对标准和程序的遵守情况。
(3)机构应该审慎度事,避免将实质性的自主权授予机构知道或通过审慎度事应该知道有违法乱纪企图的人员。
(4)机构应采取步骤将其标准和程序向所有雇员和其他有关代理人进行有效宣传。
(5)机构应该采取合理步骤促成对其标准的遵守。
(6)应该通过恰当的纪律机制连贯一致地实施标准。
(7)在发现违法行为后,机构应该采取合理步骤对违法行为做出恰当反应并防止类似的错误再次发生。
风险管理
--------------------------------------------------------------------------------
内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。
1、评估风险管理过程的充分性
内部审计师可能会被委以就机构的风险管理过程是否充分向管理层和审计委员会提供保证的职责,对机构风险管理过程是否足以保护其资产、声誉以及持续运营能力发表意见。
内部审计师必须确认机构的风险管理过程是否着眼于5个主要目标:(1)找出经营战略与业务活动的风险,并将风险排序;(2)了解管理层和审计委员会确定的、能够接受的风险水平;(3)制定并实施降低风险计划,把风险降到可以接受的水平上;(4)定期对风险和控制进行评估,以降低管理风险;(5)定期向董事会和管理层报告风险管理过程的结果。
内部审计师应该认识到不同的机构由于活动性质不同在实施风险管理上有很大差别,风险管理过程可能是:(1)正式或非正式的;(2)定量或主观的;(3)分散在各个业务部门或集中在公司层次上。
研究、评估风险管理方法的参考资料和背景信息,在此基础上评估机构所应用的过程是否适当、是否代表了本行业的最佳实务。
-内部审计部门应监督、评价机构风险管理与控制体系的有效性。
.A2
-内部审计部门应评价机构的治理、运营及信息系统方面的风险因素:
·财务与运营信息的可靠性与完整性;
·运营的效果与效率;
·资产的护卫;
·法律、法规及合同的遵守情况。
.C1
-在开展咨询业务时,内部审计师应根据业务目标解决风险方面的问题,还应对其他的严重风险保持警惕。
.C2
-内部审计师应结合开展咨询服务时了解到的风险情况,查找、评价机构的重大风险因素。
控制
--------------------------------------------------------------------------------
内部审计活动应该评价控制的效率与效果、促进控制的不断改善,以此来帮助机构保持有效的控制。
.A1
-在风险评估结果的基础上,评价控制的充分性与有效性,范围包括机构的治理、运营及消息系统;此类评价应当包括:
·财务和运营资料的可靠性与完整性;
·运营的效果与效率;
·遵守法律、法规与合同的情况;
·资产的护卫情况。
1、对控制过程的评价和报告
机构管理高层和审计委员会一般希望审计执行主管在当年开展充分的审计工作,并收集其他可以获取的信息,以便就控制过程的充分性和效果性形成判断意见。审计执行主管应该将关于机构控制系统的总体判断意见向机构管理高层和审计委员会报告。越来越多的机构在提交外部利益关系方的年度报告或定期报告中收入管理层关于内部控制系统的报告。
审计执行主管应该为来年开发审计计划草案,保证获取充分证据,对控制过程的有效性进行评价。计划应该呼吁通过审计业务或其他程序,收集关于所有主要操作部门和业务部门的相关信息。还应该特别考虑最受近期或期望变化影响的运营领域。确定计划时,审计执行主管应该考虑其他人开展的相关工作,包括管理层和外部审计师计划的工作。最后,计划的范围应考虑是否充分涉及机构各部门和是否包括各种交易和业务过程。
内部审计所面临的挑战是在许多单项评价汇总的基础上评价机构控制过程的有效性,并及时将审计发现向恰当层次的管理人员通报,以便及时采取行动。在总体评价时,应考虑三大关键因素:(1)是否发现了漏洞或薄弱环节;(2)发现后是否进行了改进;(3)是否可以得出组织存在无法接受的普遍的风险的结论。
一般情况下,审计执行主管每年应该向机构管理层和审计委员会提交一份关于机构控制过程状况的报告。报告的意见部分一般采用否定形式的保证意见,报告的保证部分可采用有保留的或反面意见的形式。
有充分的证据表明,围绕内部审计部门在评价控制和就控制过程的运作状况提供保证方面存在期望差距。一种差距是,管理人员和审计委员会一般对内部审计服务的价值抱有较高期望,而内部审计师了解审计范围所受的实际限制,而且对于能否产生足够的证据、为形成客观知情的判断意见提供支持抱怀疑态度,因此,内部审计师对内部审计工作的期望比较适度。另一差距是,报告读者的期望和当年实际发生的情况之间可能存在的差距。审计执行主管应该将报告变成协调不同期望的手段,并通过报告建议改进机构的能力并减少审计师在获取信息和实现审计效果方面受到的限制。
2、应用控制自我评价对控制过程的充分性进行评价
(1)控制自我评价的定义和作用
控制自我评价—管理人员和内部审计师合作评价控制程序有效性的一种方法。
通过控制自我评价可以发挥管理人员积极性,他们可以学到风险管理和控制的知识,熟悉本部门的控制过程,使风险更易于发现,使纠正措施更易于落实。同时,通过控制自我评价内部审计师可以更好地了解控制程序的运作等,以及减少控制程序信息的收集。
(2)控制自我评价的目标和组织形式
控制自我评价有四个目标:确认风险;评价为减少风险而设置的风险管理和控制措施的有效性;制定把风险减少到可以接受程度的计划;确定实现业务目标的可能性。
为实现以上目标,可以综合运用三种组织形式:举办协调小组研讨班,包括分别以业务目标、风险、控制、过程为基础的方式;调查形式;管理人员分析会的形式。
3、内部审计机构在控制自我评价中的作用:
(1) 对某些自评项目进行投资;
(2) 为工作小组配备协调员和专家;
(3) 担任自评项目顾问,最终核实小组评价报告;
(4) 通过自评协助管理人员建立和完善风险管理和控制系统。
.A2
-内部审计师应检查运营与项目目标的确定程度、检查它们与机构目标的一致程度。
.A3
-内部审计师应对运营与项目进行评价,检查其结果与既定目标的一致程度、判断这些运营和项目是否按计划得到执行或操作。
.A4
-评价控制需要遵循适当的标准。内部审计师应检查管理层已制定的、用于判断目标是否实现的标准的适当性。如果此标准适当,内部审计师应在评价中加以应用。如果不适当,内部审计师应与管理层合作,制定适当的评价标准。
内部审计部门需要恰当的标准对控制进行评价。如本机构制定的标准恰当,应予采用。如果机构没有制定标准或标准不恰当,应和管理层一起开发恰当的标准,建议采用行业标准、专业组织标准、协会标准、法律和政府标准。如果管理目标和标准模糊,审计师应寻求权威性解释。衡量业绩的标准应与被审单位达成一致意见。
-在开展咨询工作的时候,内部审计师应该解决与此工作目标相一致的控制事项,并且应警惕是否存在控制薄弱环节。
-内部审计师应利用从咨询工作中了解到的控制情况,将其用于发现并评价机构的重大风险。
治理
--------------------------------------------------------------------------------
内部审计活动应该评价并改进机构的治理程序,为机构的治理作贡献,公司治理有助于(1)制定、传达目标和价值,(2)监控目标的实现情况,(3)确保责任制,(4)维护价值。
治理过程—组织的投资人代表,如股东等,所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。
内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献:1、制定、传达目标和价值;2、监控目标的实现情况;3、确保责任制;4、维护价值。内部审计师应对运营和项目进行评价,以确保与组织的价值保持一致。
内部审计部门和内部审计师由于在组织中得到高度的信任,有良好的道德操守和技能,有能力提请领导层、管理人员和员工遵守法律、道德规范和社会责任,应当支持组织在道德文化建设中发挥积极作用。
内部审计部门至少应该定期评价机构的道德气候以及机构战略、战术、信息流通等过程的有效性。
.A1
-内部审计师应对运营与项目进行评价,以确保与机构的价值保持一致。
.C1
-咨询业务的目标应与机构的整体价值和目标相一致。
--------------------------------------------------------------------------------
内部审计师在开展每项审计业务时都应制定并记录审计计划。
计划制定过程中应考虑的因素
--------------------------------------------------------------------------------
在制定审计业务计划时,内部审计师应考虑到:
·被评估活动的目标和对活动实施进行控制的方式。
·被评估活动存在的风险、目标、资源与运营以及将风险的潜在影响控制在可接受水平的方式。
·与相关的控制框架或模式相比较,该活动的风险管理与控制系统的充分性与有效性。
·对该活动的风险管理与控制系统进行重大改进的机会。
1、内部审计师负责计划并实施审计业务,同时接受有关人员的监督检查和审批。审计方案应该:(1)将内部审计师在开展业务过程中收集、分析、解释并记录信息的程序进行文件记录;(2)说明审计业务的目标;(3)说明在审计业务的每个阶段实现工作目标所需的测试范围和程度;(4)确认应该检查的技术方面、风险、过程和交易;(5)说明所需测试的性质和范围;(6)在审计业务开始前制定完毕,并在审计过程中得到必要修改。
2、审计执行主管负责确定应该向谁报告审计结果,何时和如何进行报告。这种确定工作如果实际可行应该记录并向管理人员报告。随后影响审计结果出具时间和报告工作的变化也应该向管理人员报告。
3、应该确定审计业务的其他要求(如审计时间阶段和预计审计完成日期)和考虑最后的审计报告形式。
4、管理层需要了解审计业务的人都应该得到相关信息。内部审计部门应该就有关事项的概述与负责即将接受审计活动的管理人员一起开会讨论,记录其结果,并在合适的情形下分发给有关人员并保留在审计工作底稿中。讨论的课题可包括:(1)计划内的审计目标和工作范围;(2)审计工作的时间安排;(3)分配参加此项业务的内部审计师;(4)整个业务实施期间的报告过程,包括方法、时间框架以及负责人员;(5)被审计活动的业务条件和操作情况,包括管理或主要系统的最新变化;(6)管理人员所关心的事项和要求;(7)内部审计师特别关心或感兴趣的事项;(8)对内部审计部门报告程序和跟踪过程的说明。
—内部审计师应与咨询业务的客户达成协议,内容包括业务目标、范围、各自的责任以及客户的期望。对于重要的咨询业务,此类协议应制作成书面文件。
审计业务目标
--------------------------------------------------------------------------------
审计业务的目标应是对被评价活动的风险、控制及治理过程提出意见。
1、应该记录审计计划,确定审计目标和工作范围。审计目标是内部审计师开发的、确定审计业务希望实现内容的概要声明。审计程序是实现审计目标的手段。审计目标和审计程序的结合确定了内部审计师的工作范围。
2、审计目标和程序应该针对与被审计活动有关的风险。在审计计划阶段评价风险的目的是确认应该作为潜在审计目标得到检查的重要领域。
.A1
—当制定审计业务计划时,内部审计师应发现、评价与被检查活动相关的风险。审计业务工作的目标应该反映风险评估的结果。
1、内部审计师应该获取关于被审计活动的背景信息,并对背景信息进行检查,以确定其对审计业务的影响。这些信息包括(1)目标与目的;(2)可能对运营和报告产生重要影响的政策、计划、程序、法律、规定和合同;(3)机构信息,如雇员人数和姓名、岗位说明等;(4)被审计活动的预算信息、运营结果、财务数据;(5)审计业务开始前的工作底稿;(6)其他审计业务的结果,包括已完成的或正在进行的外部审计师的工作;(7)用来确定潜在重要审计业务问题的通讯文档;(8)适合被审计活动的权威性和技术性文字。
2、如果条件适合,内部审计师应该开展调查,以熟悉有关活动内容、风险和控制,确认审计需要强调的领域,征求客户的评论和建议。调查是在不加详细证明的前提下对被审计活动收集信息的过程。调查的主要目的一是理解被审计活动;二是确认需要特别注意的重要领域;三是获取可用于开展审计的信息;四是决定是否需要开展进一步的审计。
3、调查使内部审计师得以在知情的前提下进行计划并实施审计业务,而且是将内部审计部门资源用于最能发挥效用领域的有效工具。调查的重点要根据审计业务性质的不同而不同。调查的工作范围和时间要求也各不相同。造成这种情况的原因包括内部审计师的培训和工作经验、对被审计活动的了解、所开展的审计业务的种类以及调查是否属于多次进行的审计或跟踪审计的内容。时间要求还可以受到被审计活动规模、复杂性和地理分布的影响。
4、调查可应用以下程序:首先,与审计客户开展讨论;其次,与受被审计活动影响的个人(如:被审计活动产品的用户)面谈;最后要进行现场观察。
5、对管理报告和研究结果的检查包括分析性审计程序,绘制流程图,功能性“走查”和记录关键控制活动。
6、调查结束应编写调查结果总结。总结应明确以下六点:(1)重要的审计业务问题和进一步探索这些问题的原因;(2)调查过程中开发的相关信息;(3)审计业务目标程序和特殊方法(如:计算机辅助审计技术);(4)潜在的关键控制点、控制缺陷和/或控制过度情况;(5)对时间和资源要求的初步估计;(6)(在适用条件下)不继续进行审计的原因。
—在制定审计业务计划时,内部审计师应考虑到存在严重错误、不合规、违规以及其他风险的可能性。
—咨询业务的目标是解决风险、控制与治理过程的有关事项,实现程度是以与客户达成的协定为准。
审计业务范围
--------------------------------------------------------------------------------
划分审计业务范围应足以实现审计业务目标。
—确定审计业务范围时应考虑到相关的系统、记录、人力及包括受第三方控制的实物财产。
—在开展咨询业务时,内部审计师应确保业务范围的充分性,以实现协定的目标。如果内部审计师在开展工作时对业务范围有保留,应与客户就保留进行讨论,决定是否继续进行审计工作。
审计业务资源的分配
--------------------------------------------------------------------------------
内部审计师应确定适当的资源,以实现审计业务目标。人员配置应依据对每项审计工作的性质和复杂性、时间限制以及可获得的资源的评价。
在确定开展内部审计工作所需的资源时,应考虑并评估如下要素:
(1)所需的内部审计师人员的数量和经验水平应依据对每项审计业务的性质和复杂性、时间限制以及可获资源的评价;(2)按审计业务要求考虑内审人员的知识、技能和其他能力;(3)由于每一项委托的审计工作任务都是满足内部审计部门不断发展要求的基础,所以应考虑内部审计人员的培训要求;(4)出于利用外部资源的考虑,需要进一步的知识、技能和其他能力。
审计业务工作方案
--------------------------------------------------------------------------------
内部审计师应制定实现审计业务目标的工作方案。应对这些工作方案予以记录。
1、如果可行,应事先选择审计程序(包括应用测试和抽样技术),并在条件允许的情形下得到扩充或修改。
2、应该监督收集、分析、解释和记录信息的过程,以维护审计师的客观性,实现审计目标。
—工作方案中应规定在审计过程中查找、分析、评价和记录信息的程序。工作方案应在工作开始之前得到批准,方案的任何调整都应立即得到批准。
对审计工作方案的审批是指审计执行主管或其他指定人员在审计工作开始之前书面批准审计工作方案。对审计工作方案的调整应得到及时批准。如果无法在审计工作之前获得书面批准,可以先获取有关方面的口头同意。
—咨询业务的工作方案的形式与内容取决于咨询业务的性质。
--------------------------------------------------------------------------------
内部审计师应收集、分析、评价并记录足够的信息,实现审计业务的目标。
收集信息
--------------------------------------------------------------------------------
内部审计师应收集到充分、可靠、相关、有用的信息,实现审计业务目标。
1、内部审计师应收集与审计目标和工作范围有关的所有事项的信息。在收集和检查信息时要应用分析性审计程序,比较财务和非财务信息之间的关系。在收集和检查信息时应用分析性审计程序的依据是以下假设:在缺乏已知的相反情形(包括异常的或不重复发生的交易或事件、会计/机构/运营/环境/技术的变化、效率低下、缺乏效果、错误、不合规或违法行为)下,可以合理期望信息之间的关系不仅存在,而且会得到发展。
2、信息应该充分、有力、相关、有助于为审计发现和建议提供健全的依据。充分的信息指信息忠于事实、恰当、具有说服力。有力的信息指信息可靠,而且最能通过恰当应用审计技术而获取。相关的信息是指信息能够支持审计发现和建议,并与审计目标保持一致。有用的信息指有助于机构实现其目标。
分析与评价
--------------------------------------------------------------------------------
内部审计师应在适当的分析和评价的基础上得出审计结论和审计结果。
1、分析性审计程序为内部审计师评价审计过程中收集的信息提供迅速有效的手段。通过将收集的信息和内部审计师发现或开发的期望值相比较,可以得出评价结果。分析性审计程序在确认以下内容时非常有用:(1)意外差异;(2)期望的差异没有出现;(3)潜在的错误;(4)潜在的不合规或违法行为;(5)其他异常或不重复发生的交易或事件。
2、分析性审计程序可以包括以下内容:(1)将目前阶段的信息与前阶段的类似信息相比较;(2)将目前阶段的信息与预算或预测相比较;(3)研究财务信息与适合的非财务信息之间的关系(如:将所记录的工资开支与雇员平均人数的变化进行比较);(4)研究信息组成因素之间的关系(如:将所记录的利息开支的浮动与相关债务余额变化进行比较);(5)将本部门信息与机构其他部门的类似信息进行比较;(6)将本机构信息与机构所在行业的类似信息进行比较。
3、可以通过应用货币金额、实物数量、比率或百分比来开展分析性审计程序。具体的分析性审计程序包括但不限于以下内容:比率、趋势和回归分析,合理性测试,各阶段比较,与预算、预测和外部经济信息的比较。分析性审计程序有助于内部审计师确认需要随后开展审计的情形。
4、内部审计师还应该在审计过程中应用分析性审计程序,对信息进行检查和评价,以支持审计结果。内部审计师在确定多大程度上应用分析性审计程序时应考虑下述因素:(1)被审计领域的重要性;(2)内部控制系统的充分性;(3)财务和非财务信息的可获得性和可靠性;(4)预测分析性审计程序结果的准确度;(5)机构所在行业有关信息的可获得性和可比性;(6)其他审计程序为审计结果提供支持的程度;(7)在评价这些因素后,内部审计师应该考虑应用其他必要的审计程序来实现审计目标。
5、当分析性审计程序发现意外结果或关系时,内部审计师应检查和评价这些结果和关系:包括对管理人员进行问询,并应用其他审计程序,直到内部审计师相信这些结果或关系得到充分的解释。如果无法得到解释,则表明存在潜在错误、不合规现象或违法行为等严重情形。内部审计师应将无法得到充分解释的结果或关系通报给合适层次的管理人员,并可根据情况推荐后者采取恰当措施。
记录信息
--------------------------------------------------------------------------------
内部审计师应记录相关的信息,支持审计结论和审计结果。
1、记录审计情况的审计工作底稿应由内部审计师编制,并由内部审计部门的管理层进行审查。这些工作底稿应记录所获得的资料和做出的分析,并作为提出审计发现和建议的依据。审计工作底稿通常用于下述目的:(1)为内部审计报告提供主要依据;(2)帮助审计计划的制定、执行和审查;(3)用文件说明审计目的是否达到;(4)促进第三方审查;(5)为评价内部审计部门的项目质量提供依据;(6)在诸如保险赔偿、舞弊案件和向法院提出诉讼的情况下,提供有关支持;(7)证实内部审计部门是否遵循《标准》。
2、审计工作底稿的编制、设计和内容取决于审计业务的性质;审计工作底稿应记载下述审计过程的各个方面:(1)制定计划;(2)对内部控制系统的健全性和有效性所进行的检查和评价;(3)执行的审计程序、取得的资料及形成的审计结论;(4)审查;(5)报告;(6)后续审计。
3、审计工作底稿必须完整,应包括所得出的审计结论的依据。至于其他方面,也可包括:(1)计划文件和审计业务方案;(2)控制调查表,流程图,核对清单和叙述文字;(3)会谈的记录和备忘录;(4)机构系统数据,如机构系统图和岗位说明;(5)重要合同和协议的复本;(6)关于经营和财务政策的信息;(7)控制系统的评价结果;(8)函证信件和陈述文件;(9)对交易事项、处理过程和账户余额的分析和检查;(10)分析性审计程序的结果;(11)审计的最终报告和管理层的反应;(12)如果记载所得出的审计结论,应附有关审计信息的交流情况。
4、审计工作底稿的形式可以是纸、磁带、磁盘、软盘、胶片或其他介质。如果审计工作底稿采用无纸介质,应考虑制作备份。
5、如果内部审计师正在报告财务信息,则审计工作底稿中要记载会计记录是否与此财务信息一致。
6、审计执行主管应为已开展的各种审计业务制定有关工作底稿的政策。标准化的审计工作底稿,如调查表和审计方案,可以提高审计工作的效率,便于审计工作的委派。有些审计工作底稿可能属于永久性的或结转的审计档案。这些工作底稿通常包含具有持续重要意义的资料。
7、以下是典型的审计工作底稿的编制技术:(1)每份底稿必须确认审计业务并描述底稿的内容和目的;(2)每份底稿必须有执行审计工作的内部审计师的签名和日期记录;(3)每份底稿必须包含索引或参考编号;(4)审计核实的符号(记)号)应加以注释;(5)数据的来源应清楚标明。
—审计执行主管应对审计业务记录的使用加以管理。审计执行主管在把这些记录适当向外界公布之前,应征得高级管理层或/和法律顾问的同意。
一、对审计记录的控制
1、审计工作底稿是机构的财产。审计工作底稿文档应由内部审计部门控制,而且只有得到授权的人员才能接触工作底稿;
2、机构管理人员和其他成员可以要求接触审计工作底稿。这种接触对于充实或解释审计发现和建议或出于其他审计目的而应用审计文件记录可能是必要的。这种接触要求应该得到审计执行主管的审批。
3、内部审计师和外部审计师互相允许对方接触自己的工作底稿是常见的做法。接触外部审计师的工作底稿应得到审计执行主管的批准。
4、在有些情形下,机构外部的有关方面(外部审计师除外)要求接触审计工作底稿和审计报告。在公开这些文件之前,审计执行主管应获得管理高层和/或法律顾问的批准。
二、对授权接触审计记录的法律考虑
1、内部审计记录包括报告、辅助性文件、检查笔记以及不受存储媒介限制的通讯记录。内部审计师向管理层和董事会提供审计服务,并在后两者的支持下编制审计记录。编制审计记录的假设是,记录内容保密,而且能够结合事实和意见。但是,不能立刻熟悉机构或内部审计程序的人员可能会对这些事实或意见产生误解。在多种情况下,包括刑事诉讼、民事诉讼、税收审计、合规性检查、政府合同检查和自律机构的检查,外部有关方面都要求接触审计记录。机构内部不受律师—客户拒绝泄露内情权保护的所有记录在刑事诉讼中几乎都可以被外人获取。但在非刑事诉讼中,接触权就没有那么清楚。
2、内部审计部门可通过以下文件的编制,加强对接触审计记录的控制。(1)章程;(2)岗位说明;(3)内部审计部门的政策;(4)与法律顾问一起开展调查的程序。
3、不管机构记录和信息以何种媒介存储,内部审计章程都应涉及对机构记录和信息的接触和控制。
4、应该为内部审计部门编制书面岗位说明,说明中应包括审计师所履行的复杂多样的职责。这些说明可帮助内部审计师处理对审计记录的接触要求,还可以帮助内部审计师理解其工作范围,帮助外部有关方面理解内部审计师的职责。
5、应该开发与内部审计部门有关的内部审计政策,政策中应规定以下内容:(1)审计记录应该包括什么?(2)部门记录应该保留多长时间?(3)如何处理外部对部门记录的接触要求?(4)在与法律顾问一起开展调查时应该采取何种特殊做法?
6、与各种审计有关的政策应该具体说明审计记录的内容和格式,以及内部审计师应该如何处理其检查笔记(这些笔记作为所提问题的记录得到保留,随后得到处理和销毁,以免第三方接触它们)。而且,政策应该具体说明保留审计记录的时间阶段,应根据机构的需要和法律要求确定时间限制。
7、部门政策应该解释以下内容:(1)机构内部由谁负责保证部门记录的控制和安全?(2)谁可以获得接触审计记录的权利?(3)如何处理审计记录的接触要求?(4)这些政策可以依据机构所在行业或所在国家司法制度的有关做法。审计执行主管和内部审计的其他人员应该警惕行业做法的变化和法律先例的变化。他们应该预测哪些人会在将来的某一天要求接触其工作成果。
8、授权接触审计记录的政策还应该处理以下问题:(1)解决接触问题的过程;(2)保留每种工作成果的时间;(3)就接触审计成果所带来的风险和问题对内部审计人员进行教育和重新教育的过程;(4)定期调查行业,以确定谁可能在将来提出接触审计工作成果的要求。
9、政策应该指导内部审计师确定何时审计成为一种需要与律师一起开展的调查活动,并确定在与法律顾问沟通时内部审计师需要遵守哪些特殊程序。政策还应该规定签署恰当的留置函,以便使提供给律师的信息得到拒绝泄露内情权的保护。
10、内部审计师还应该使董事会和管理层了解接触审计记录所带来的风险。关于谁可以得到授权接触审计记录,如何处理这些接触要求,在审计成为调查时应该遵守哪些程序等问题的政策都应该得到董事会审计委员会(或其他相应管理机构)的审查。具体政策则根据机构性质和法律规定的接触权利的不同而不同。
11、如果要求披露信息,那么,谨慎编制审计记录是非常重要的。可以考虑以下步骤:(1)只披露要求披露的具体文件。带有意见和建议的审计记录一般不公开。揭示律师思路或战略的文件一般得到拒绝泄露内情权的保护,不能强迫它们公开。(2)保留原件,只公开复印件,当文件是用铅笔编写时更应如此。如果法院要求原件,内部审计部门应该保留复印件。(4)在每份文件上注明“保密”、“未经同意,不得分发”字样。
—审计执行主管应制定审计记录的存档规定。这些存档规定应与机构的方针和有关规定或其他规定相一致。
记录保留要求应适用于所有审计记录,不管审计记录以何种形式得到保存。
—审计执行主管应制定政策,规定业务记录的保管以及对内对外公布这些记录的要求。这些政策应与机构的方针和有关规定或其他规定相一致。
审计业务的监督
--------------------------------------------------------------------------------
应对审计业务进行适当的监督,以确保实现目标、保证质量、提高职员素质。
1、审计执行主管负责保证提供恰当的审计监督。监督过程从审计计划开始,持续审计检查、评价、报告和跟踪各阶段。监督包括以下内容:(1)保证分配参加审计工作的审计师拥有必须的知识、技能和开展审计工作所需的其他能力;(2)在审计计划阶段提供恰当的指导并批准审计方案;(3)监督批准后的审计方案按计划实施,除非有充分理由并得到授权改变审计方案;(4)保证审计工作底稿充分支持审计发现、审计结论和审计建议;(5)保证审计报告准确、客观、清楚、扼要、及时、富有建设性;(6)保证审计目标得到实现;(7)提供机会发展内部审计师的知识、技能和其他能力。
2、对审计进行监督的恰当证据应该得到文件记录和保留。所要求的监督程度取决于内部审计师的专业水平和经验以及审计的复杂程度。审计执行主管总体负责审查工作。可以请经验比较丰富的内部审计师检查经验不那么丰富的内部审计师所开展的审计工作。
3、所有内部审计项目、不管是否由内部审计部门开展,都由审计执行主管负责。审计执行主管还要为审计计划、检查、评价、报告和跟踪阶段作出的所有重要专业判断负责。审计执行总管应该采取恰当的手段,保证履行这些责任。恰当的手段包括用于以下目的的政策和程序:(1)最大限度地减少如下风险:内部审计师或其他为内部审计部门工作的人员所作出的专业判断可能与审计执行主管的专业判断不一致,从而导致对审计工作的反面影响。(2)解决审计执行主管和内部审计人员在与审计项目有关的重要问题上的专业判断分歧。有关解决办法如下:讨论相关事实;开展进一步问询和/或研究;在审计工作底稿中记录并处理不同意见。如果对道德问题存在专业意见分歧,合适的手段包括将问题提交机构内部负责道德事项的人员,等等。
4、审计监督范围可以延伸,从而包括人员培训和开发、雇员业绩评价、时间和费用控制以及类似管理领域。
5、应检查所有工作底稿,以保证它们恰当支持审计报告,并保证所有必须的审计程序都得到完成。监督检查的证据应该包括检查人员在检查完每份工作底稿后在底稿签署日期和自己的首字母。其他提供监督检查证据的检查技术包括完成审计工作底稿检查清单和/或编制具体说明检查性质、范围和结果的备忘录。
6、检查人员可以用书面形式记录检查过程中出现的问题。在清理检查笔记时,应该注意保证工作底稿提供关于检查过程中所提问题已经得到解决的充分证据。处理检查笔记有两种不同方法:(1)保留检查笔记,把笔记作为检查人员所提问题和解决问题所采取步骤的记录;(2)在所提问题得到解决、相应的审计工作底稿得到修改、要求的额外信息得到提供之后将检查笔记销毁。
--------------------------------------------------------------------------------
内部审计师应及时报告审计结果。
1、内部审计师在审计报告中应包括与违法行为和其他法律问题相关的审计结果,发表审计意见时应该非常谨慎。强烈鼓励遵循与处理这些事项有关的政策和程序,并与有关方面(法律顾问、稽核官员)建立紧密工作关系。
2、内部审计师应按要求收集证据、进行分析性判断、报告审计结果并保证采取纠正性措施。内部审计师对于用文档保存审计记录的要求可能与法律顾问希望不留下任何可能损害辩护的可发现证据的要求相冲突。比如,即使内部审计师开展调查的方式是正确的,所披露的事实也可能会伤害机构法律顾问所经手的案子。正确的计划和政策制定工作是至关重要的,这样,即使在遇到突然披露某些事实的情况时,公司法律顾问和内部审计师也不至于发生矛盾。内部审计师和公司法律顾问还应该通过使管理层了解既定政策、对政策敏感而在整个机构培养一种讲求道德的、预防性的气氛。内部审计师应该考虑以下因素,在开展可能需要对外披露或报告审计结果的审计业务时更应如此。
3、以下是保护律师—客户拒绝泄露内情权的四大必要因素:(1)必须以保密形式;(2)在“享有特权的人之间”;(3)进行交流沟通;(4)目的是为客户寻找、获取或提供法律援助。这种拒绝泄露内情权主要用于保护律师之间的交流沟通,也可以应用于与第三方的沟通。
4、有些法院已认可一种使审计工作成果等自我批评材料免遭发现的批评性自我分析的拒绝泄露内情权。总而言之,认可这种拒绝泄露内情权所依据的假设是:对所涉及情况的检查结果进行保密所带来的好处大于大家诊视的公众利益。
5、要应用上述拒绝泄露内情权,通常需要满足以下三种要求:(1)受此种拒绝泄露内情权管辖的信息必须来自维护此种拒绝泄露内情权的方面所开展的自我批评分析;(2)公众必须对自我批评分析中所包括的信息的自由流动表示出强烈兴趣;(3)这种信息必须属于一旦被发现,流动就会终止的类别;(4)在有些情形下,法院还考虑过,批评性分析是否在原告受到伤害前发生,或者导致了原告受到伤害;据说,如果批评性分析发生在后,要求享有拒绝泄露内情权的理由是最强烈的。
6、如果要求获取文件的是政府机构而不是起诉人,法院一般更不愿意承认自我评价拒绝泄露内情权。可以假设这种勉强态度是认可政府在实施法律更感兴趣的结果。自我评价拒绝泄露内情权特别适用于已经建立自我规范程序的部门。医院、证券经纪人和私人会计师事务所都已建立此种程序。这些程序大多与为财务审计等操作活动锦上添花的质量保证程序有关。
7、向律师发送在律师—客户关系形成之前编制的文件不会使文件在工作—产品规定下得到保护。此外,这条规定是有条件的。如果存在对信息的实质性需要,而且通过其他方式无法轻易获得这种信息,那么,这些文件就不会得到工作—产品规定的保护。比如:某公司审计委员会通过面谈来确定是否进行了可疑的海外付款。除了与已去世人员进行面谈的结果有关的章节,他们的报告受到工作—产品规定的保护。
报告的标准
--------------------------------------------------------------------------------
报告内容包括审计的目标、审计范围及适用的审计结论、建议和行动计划。
—在适当情况下,审计结果的最后报告中应包含内部审计师的总体意见。
1、虽然审计最终报告的形式和内容可能随机构或审计类别的不同而不同,它们至少都应该包括审计的目的、范围和结果。
2、审计的最终报告可能包括背景信息和总结。背景信息可能确认被检查的部门和活动,并提供相关说明性信息,还可以包括来自以前审计报告的审计发现、审计结论、审计建议,并表明报告内容是否是安排好的审计,是否是应有关方面的要求而编制。如果包括在报告中,总结内容应该均衡代表审计报告的内容。
3、目的声明应该说明审计的目标,而且可以在必要时告知读者开展审计的原因以及期望审计实现的目标。
4、范围声明应该确定被审计活动,并恰当包括被检查的审计阶段等辅助信息。如果必要,未经审计的相关活动也应该得到确认,以勾画审计的边界。所开展审计工作的性质和范围也应该描述。
5、审计结果应包括审计发现、审计结论、审计建议和行动计划。
6、审计发现是对事实的相关声明。最终审计报告应该包括支持内部审计师结论和建议以及预防误解这些结论和建议的必要审计发现。比较次要的审计发现或建议可以通过非正式形式报告。
7、通过比较应该达到的目标和实际的做法可以得出审计发现和审计建议。不管两者之间是否存在差异,内部审计师都有了编制报告的基础。如果情况符合标准,在审计报告中确认出色的业绩可能比较恰当。审计发现和审计建议应该以如下特征为依据:
(1)标准:在进行评价和/或核证时应用的标准、措施或期望值;(2)情况:内部审计师在检查中发现的事实证据;(3)原因:预期和实际情况之间存在差异的原因;(4)效果:由于情况与标准不一致,机构和/或其他部门面临的风险。在确定风险的程度时,内部审计师应考虑其审计发现和审计建议可能对机构运营和财务报表产生的影响。(5)审计发现和建议还可包括没有在其他地方反映的审计客户成绩、相关问题和辅助信息。
8、审计结论(审计意见)是内部审计师对审计发现和审计建议影响被审计活动的情况进行的评价。他们经常根据总体印象合理提出审计发现和审计建议。如果审计报告包括审计结论,应该明确指出哪些是审计结论。审计结论可能覆盖整个审计范围或具体审计方面。它们可以包括但不限于以下内容:(1)运营目标或项目目标是否与机构目标保持一致;(2)机构目标是否得到实现;(3)被审计活动是否按计划运作。
9、审计报告应包括改进建议、对出色业绩的认可以及纠正性措施。建议的基础是内部审计师的审计发现和审计结论,它们呼吁采取措施纠正存在的问题或改进操作。作为对管理层实现预期结果的指导,建议可以提议采取手段纠正或改进业绩。建议可以是概括性的也可以很具体。比如,在有些情况下,推荐采取一般性措施并提出具体实施建议比较可取。在另外的情形下,只建议开展调查或研究可能比较恰当。
10、自上次审计以来或建立良好控制措施以后审计客户所取得的成绩可以包括在最终审计报告中。这种信息可能是公正表述现有情况并为最终审计报告提供恰当的角度和平衡所必须的。
11、审计客户关于审计结论或建议的观点可以收入审计报告中。
12、作为内部审计师与审计客户的一部分讨论内容,内部审计师应该努力征求对方同意审计结果和为改进运营而建议采取的行动计划。如果内部审计师和审计客户对于审计结果存在意见分歧,审计报告可以说明分歧的具体情况和原因。审计客户的书面意见可以作为附录收进审计报告,也可以直接在报告主干部分得到表述。
13、由于受到拒绝泄露内情权保护、所有权问题或与违法乱纪行为有关,有些信息可能不适合向所有报告接受人披露。但是,这些信息可以在单独的报告中披露。如果所报告情况涉及管理高层,应将报告分发给机构董事会。
14、中期报告可以是书面的、也可以是口头的,可以正式、也可以不正式。中期报告可以用于报告需要马上注意的信息、报告被审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层。中期报告的应用并减少或消除对最终报告的需要。
15、署名报告应该在审计完成以后发布。强调审计结果的总结报告可能适合向高于被审计部门的管理层提交。总结报告可以与最终报告一起也可以单独发布。这种签名也可以在信函上出现。得到签署报告授权的内部审计师应该由审计执行主管指定。如果以电子形式发布审计报告,内部审计部门应该将署名报告存档。
—审计报告中应对令人满意的业绩予以承认。
—咨询业务进展情况和结果报告的形式与内容可根据业务性质及客户需求的不同而变化。
报告的质量
--------------------------------------------------------------------------------
报告时要做到精确、客观、清晰、简洁、完整、及时、富有建设性。
1、客观的审计报告具有实事求是、不偏不倚、不歪曲事实的特点,所包括的审计发现、审计结论和审计建议应该没有偏见。
2、内容清楚的审计报告易于理解,富有逻辑。通过避免应用不必要的技术语言,并提供充分的辅助信息,可以使报告更清楚。
3、扼要的审计报告一针见血,避免不必要的细节。它们以最少的文字完整地表述思想。
4、建设性的审计报告通过其内容和口气为审计客户和整个机构提供帮助,并促进必要改进工作的进行。
5、及时的审计报告在发布上没有延误,并能促进采取有效的行动。
错误与遗漏
--------------------------------------------------------------------------------
如果最后报告中有重大错误和遗漏,审计执行主管应把更正后的信息传达给所有接到最初报告的人员。
1、如果最终审计报告中确实有差错,那么审计执行主管应该考虑发布修正报告的必要性,修正报告中要指出被修正的资料。修正的审计报告要发送给所有收到要修改的审计报告的人员。
2、“差错”是指在最终审计报告中的非故意性的错误说明或重要信息的遗漏。
对违反《标准》的审计披露
--------------------------------------------------------------------------------
当违反《标准》的行为影响具体审计活动时,审计结果的报告中就应披露:
·没有得到完全遵守的《标准》条文;
·未遵守的原因;
·未遵守《标准》对审计活动造成的影响。
发布审计结果
--------------------------------------------------------------------------------
审计执行主管应将审计结果发布给适当的对象。
一、发布审计结果
1、发布最终审计结果之前,内部审计师必须向适当层次的管理人员征求对审计结论和建议的意见。
2、对审计结论和建议的讨论通常是在审计过程中或审计结束后召开的会议上讲的。另一种方式是由被审计部门的管理人员审阅审计问题草稿、审计发现和建议。这些讨论和审阅为被审计部门提供了澄清具体问题和表述他们对审计发现、结论和建议的意见的机会,从而有助于保证不会对事实产生误解和歪曲。
3、虽然参与讨论和审阅的管理人员的层次可以依据机构和报告的性质而有所变化,但他们通常是了解业务详细情况和有权执行纠正措施的人。
4、审计执行主管或其指定代表在发布最终审计报告之前应对其进行审批,并决定应向哪些人发布报告。审计执行主管或其指定代表应该审批所有最终报告,他们可以签署所有这些报告。在特殊情况下,应考虑由审计负责人、监督人员或首席审计师代表审计执行主管来签署最终的审计报告。
5、应该把最终审计结果报告发布给那些能保证对审计结果进行应有考虑的人员。这意味着报告要发布给那些能采取纠正措施或能保证采取纠正措施的职位的人员。最终的审计报告应发送给被审计部门的管理层。被审计部门中较高层次的成员可能只收到一份总结报告。这些报告还可以发送到其他感兴趣的或受审计报告影响的人员,如外部审计师和董事会董事。
二、对外发布审计报告
1、内部审计师应该检查审计协议或机构政策/程序中包含的与对外发布信息有关的指导。内部审计部门和审计委员会的章程可能都有这方面的指导。如果缺乏这种指导,内部审计师应该促使机构采取恰当的政策。政策包括的信息有:(1)对外发布信息需要的授权;(2)为对外发布信息而寻求批准的过程;(3)区分可以发布的和不可以发布的信息的指南;(4)得到授权的外部信息接收人以及他们可以接收的信息种类;(5)对外发布信息有关的隐私权规定、管理要求和法律考虑;(6)对外发布信息的结果报告中可以包括的保证、意见、建议、观点、指导和其他信息的性质。
2、有关方面可能要求获取已经存在的信息(如以前发布的内部审计报告),也可能要求获取必须创建或确定的信息,从而导致崭新内部审计业务的形成。如果要求获取的是已经存在的信息,内部审计师应该对信息进行检查,以确定这些信息是否适合对外发布。
3、在有些情形下,现有的报告或信息可以在修改之后对外发布。在其他情形下,则可以针对以前开展的审计工作形成新的报告。在根据以前开展的工作修改、按要求改造或创建新报告时应该行使应有的职业审慎。
4、对外发布信息时应考虑以下事项:(1)就被发布信息签定书面协议的需要;(2)确认信息提供者、信息来源、报告署名人、信息接收人以及与报告或所发布信息相关的人员;(3)确认产生适用信息的目标、范围和程序;(4)需要提供的报告或其他发布形式(审计意见、包括或不包括建议、拒绝发表意见、限制)的性质以及需要提供的保证或论断的类别;
5、为了出具对外发布的内部审计报告或其他形式的信息而开展的审计应该遵守适用的内部审计专业实务标准,并在报告或其他形式的信息中包括对这些标准的索引。
6、如果在为了出具对外发布的内部审计报告或其他形式的信息而开展的审计过程中,内部审计师发现了可向管理层或审计委员会报告的信息,就应该向适当的人员进行适当的报告。
—审计执行主管负责将最终审计结果报告给那些能保证对审计结果进行应有考虑的人员。
—审计执行主管负责向客户发布咨询业务的最终结果。
—在开展咨询业务时,可能会发现风险管理、控制及治理方面的问题。只要这些问题对机构是至关重要的,就应将其报告给高级管理层和委员会。
--------------------------------------------------------------------------------
审计执行主管应设立并维持一个体系,对报告给管理层的审计结果的处理情况进行监测。
1、审计执行主管应该建立包括以下内容的程序:(1)要求管理层对审计发现和审计建议作出反应的时间框架;(2)对管理层所作出反应的评价;(3)(在条件适合时)对管理层所作出反应的核证;(4)(在条件适合时)开展跟踪审计;(5)将审计师不满意的反应/措施(包括风险假设)升级报告给恰当层次的管理人员的报告程序。
2、有些被报告的审计发现和审计建议可能非常重要,因而需要管理层马上采取措施。由于这些情况可能对机构产生的影响,内部审计部门应该对它们进行持续监督,直到它们被纠正为止。
3、用以有效监督审计结果处理进展情况的技术包括:(1)将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告;(2)在审计过程中或在审计结果得到报告后的合理时间内接收并评价管理层对审计发现和审计建议的反应。如果这些反应包括帮助审计执行主管评价纠正性措施的充分性和时效性的充分信息,这些反应的用途将大大增加。(3)接收管理层对审计发现和审计建议反应的定期更新,以评价管理层纠正以前所报告情况的努力程度;(4)接收并评价来自机构内部负责采取跟踪或纠正性措施的其他部门的信息;(5)向高级管理层或董事会报告对审计发现和审计建议的反映情况。
—审计执行主管应规定后续审计过程,以监督、保证管理行为能够得到有效落实,或高级管理层已接受了不采取行动所带来的风险。
1、内部审计师应确认已经采取有关纠正行动并正在达到期望的结果,或者确认高级管理层或董事会已经承担了对所报告的审计发现不采取纠正行动而产生的风险。
2、内部审计师所进行的后续审计是指他们用以确认管理层针对报告中的审计发现和建议(包括外部审计师和其他人员的审计发现和建议)所采取的行动是否充分、有效和及时的工作过程。
3、后续审计的责任应在内部审计部门的书面章程中得到明确。审计执行主管应确定后续审计的性质、时间和范围。在确定合适的后续审计程序时应考虑以下因素:(1)所报告的审计发现和建议的重要性;(2)纠正所报告问题需要的努力程度和费用;(3)如果纠正措施失败,可能会产生的影响;(4)纠正性措施的复杂性;(5)所涉及的时间期限。
4、也可能存在这种情况,审计执行主管发现,比照审计发现和建议的重要程度,管理层的口头或书面答复已经说明采取了有效的措施。在这种情况下,后续审计工作可作为下次审计的部分内容。
5、内部审计师应确保根据审计发现和建议采取的措施解决了潜在的问题。
6、审计执行主管应负责安排后续审计工作,并把它作为制定审计工作计划的一部分。制定后续审计工作安排应以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据。
—内部审计活动应当监督咨询业务结果的处理情况。
--------------------------------------------------------------------------------
在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下,审计执行主管应就此与高级管理层进行讨论。如果无法决定剩余风险问题,审计执行主管与高级管理层应将此事报告董事会加以解决。
1、管理层负责决定针对报告中的审计发现和审计建议应要采取的适当行动,审计执行主管负责评价管理层为及时解决审计发现的问题和落实审计建议所采取的行动。在确定后续审计的范围时,内部审计师应考虑由该机构中的其他人员所进行的后续审计程序。
2、由于费用或其他方面的考虑,高级管理层可以决定不采取纠正行动并承担由此而产生的风险。高级管理层对所有重要审计发现和建议所做的决定都应报告董事会。
内部审计师协会职业道德规范
内审实务标准 简介
IIA颁布《内部审计实务标准》修订本的补充实务公告
内部审计师协会职业道德规范
1、基本内容
2、重点难点和和疑点
基本内容
--------------------------------------------------------------------------------
《道德规范》的目的是促进内部审计职业领域内的道德文化的发展。
国际注册内部审计师协会理事会在1999年6月通过的《道德规范》中指出:道德规范对于内部审计职业来说是必要的和适当的,因为它是建立信任的基础。这种基础为评价和改进风险管理、控制和治理过程,帮助组织实现其目标,提供了保证。
《道德规范》既适用于提供内部审计服务的个人,也适用于提供内部审计服务的团体。对于协会会员、IIA职业资格的接受者或参加者,对《道德规范》的违背将根据协会的规章和行政指南予以评价和管理。
2000年6月通过的新《道德规范》包括两个基本部分:一是与内部审计职业和实务相关的原则(共4条原则:正直、客观、保密、能力);二是描述内部审计师预期行为规范的行为规则(在4条原则之下共有12条行为规则)。这些规则有助于将上述原则运用于实践中,目的在于指导内部审计师的行为。
内部审计师应使用和信守以下原则:
1、正直
内部审计师的正直建立起信用,从而为其判断的可靠度提供基础。这条原则包括4条行为规则:
1.1 应当诚实、勤奋并负责地完成工作。
这是审计师个人品质的基础。不诚实就不能将职责和权限委托给他;不勤奋就可能增加错误、疏忽和误解;没有责任感就得不到他人的信任,这样审计师就将失去对组织的价值。
1.2 应当按照法律及其职业要求,遵守法律和做出披露。
这一条有两点要求:
(1)如果内部审计师了解到一些对组织重要的信息,他依照法律和职业的要求,负有报告该信息的责任。
(2)反之,如果审计师没有足够的证据来说明他的判断,就不应该作出评价。
1.3 不得故意参与非法活动,或参加有损于内部审计职业或其机构的行为。
1.4 应当遵守并贡献于组织的合法道德目标。
2、客观
内部审计师在收集、评价和沟通有关被检查的活动或过程的信息中,应展示其最大限度的职业客观性。在其作出判断的过程中,不受其个人喜好或他人的不适当影响,内部审计师对所有相关环境作出公正的评价。这条原则包括3条行为规则:
2.1 不应参与可能妨碍或被认为妨碍其公正评价的一些活动或关系。这种参与包括那些与组织的目标相冲突的活动和关系。
2.2 不接受可能妨碍或被认为妨碍其职业判断的任何东西。
2.3 应当揭示其知道的所有重要事实,如果不予揭示,可能歪曲对所复核活动的报告。
3、保密
内部审计师应尊重其收到的信息的价值和所有权。除非法律允许或有适当的授权,不能披露获取的信息。这条原则包括2条行为规则:
3.1 应当谨慎利用和保护在其职责中获取的信息。
3.2 不应当为个人目的,或者以任何有悖于法律或有害于机构的合法道德目标而利用信息。
4、能力
内部审计师在工作中应使用在内部审计业务中所需要的知识、技能和经验。这条原则包括3条行为规则:
4.1 应当只从事他们具备必要的知识、技能和经验的服务活动。
4.2 应当根据《内部审计实务标准》完成内部审计。
重点、难点和疑点
--------------------------------------------------------------------------------
在《内部审计师职业道德规范》中,“行为规则”是灵魂,应重点掌握这一部分的内容,尤其是其中的:内部审计师协会成员和注册内部审计师不应参与可能妨碍或被认为妨碍其公正评价的一些活动。内部审计师协会成员和注册内部审计师不能接受可能妨碍或被认为妨碍其职业判断的任何东西。内部审计师协会成员和注册内部审计师只能开展那些以他们的专业能力预计可以恰当地加以完成的服务工作。在汇报其工作成果时,内部审计师协会成员和注册内部审计师应揭示他们了解的所有重要事实。否则,有可能歪曲正在审查的经营报告或隐瞒非法的事实。
另外,在应用这些行为规则时,需要协会成员及其内部审计师的判断,以保持审计行为的高标准。这些对审计人员素质要求较高,因国情不同,思维方式有异,而且遇到的情况各种各样,因此就要求根据《道德规范》的精神正确把握。
内审实务标准 简介
一、《标准》的宗旨
-------------------------------------------------------------------------------
1、说明内部审计实务的基本原则;
2、为开展并促进多种不同的、具有增值作用的内部审计活动制定框架;
3、为衡量内部审计行为的标准提供依据;
4、帮助改善机构的运营与工作。
二、《标准》的构成
-------------------------------------------------------------------------------
《标准》由属性标准(1000序列号),工作标准(2000序列号)及实施标准(实务公告)(nnnn.Xn)三部分构成。
属性标准说明了开展内部审计活动的机构及人员的特点,共有四条一般准则;工作标准描述了内部审计活动的性质并提出了衡量内部审计活动开展的质量准绳,共有七条一般准则;它们从总体上说明内部审计服务。实施标准是前两者在特定的审计活动中的具体体现(例如合规性审计、舞弊调查或控制自我评价项目等)。
属性标准与工作标准只有一套,但实施标准却有很多套:每种主要类型的内部审计活动都有一套实施标准。目前已为保证服务和咨询服务制定了实施标准。
保证服务(《标准》的序列号之后冠以“A”,如1130.A1)是一种为了对机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为。例如,对财务、绩效、合规性、系统安全和应尽责任的审查等。保证服务共有26条指南。
咨询服务(《标准》的序列号之后冠以“C”,如1000.C1)提供建议以及相关的客户服务活动,这种服务的性质与范围通过与客户协商确定,它的目的是增加价值并提高机构的运作效率。包括顾问服务、建议、协调、程序设计及培训等。咨询服务共有20条指南。
三、《标准》是内部审计实务框架的组成部分 。
-------------------------------------------------------------------------------
内部审计实务框架包括内部审计的定义、《职业道德规范》、《标准》以及其他方面的指导。
四、说明
-------------------------------------------------------------------------------
《内部审计实务标准》是一部权威性的国际内部审计标准,是国际现代内部审计经验的结晶,它在内部审计活动中具有普遍的实用意义。深刻体会《标准》的精髓是通过考试的关键。应试考生应仔细通读并掌握标准的所有内容。
内部审计师实务标准
目录
内审实务标准 简介:宗旨、简介、说明
属性标准一:1000-1340序列号
1000宗旨、权力和责任
1100独立性和客观性
1110机构的独立性1120个人的独立性1130对独立性或客观性的损害
1200熟练性和应有的职业审慎性
1210熟练性1220应有的职业审慎性1230继续职业发展
1300质量保证与改进项目
1310质量项目评价1311内部评价1312外部评价
1320质量项目的报告
1330使用“内部审计工作依据《标准》开展”的声明
1340披露违规行为
工作标准一:2000-2240序列号
2000管理内部审计活动
2010制定审计计划2020报告与通过2030资源与管理2040政策与程序2050协调2060向董事会与高级管理层报告情况
2100工作性质
2110风险管理2120控制2130治理
2200审计业务计划
2201计划制定过程中应考虑的因素
2210审计业务目标2220审计业务范围2230审计业务资源的分配2240审计业务工作方案
工作标准二:2300-2600序列号
2300开展审计业务
2310收集信息2320分析与评价2330记录信息2340审计业务的监督
2400报告审计结果
2410报告的标准2420报告的质量2421错误与遗漏
2430对违反《标准》的审计披露2440发布审计结果
2500监测进程
2600管理层对风险的接受
重点难点和和疑点
-------------------------------------------------------------------------------
1、 内部审计的宗旨、权利和职责;内部审计部门章程
2、 独立性与客观性
3、 熟练性:对外部服务提供者的应用、舞弊的发现与调查等
4、 应有的职业审慎性
5、 质量项目评价:内部评价、外部评价
6、 风险管理
7、 控制
8、 审计任务的计划
9、 开展审计业务:信息记录等
10、报告审计结果:报告的标准等
11、监测进程
12、管理层对风险的接受
IIA颁布《内部审计实务标准》修订本的补充实务公告
发布时间:
中国内部审计协会2002年5月编译出版国际内部审计师协会《内部审计实务标准》(2001年)修订本后,截止到2003年3月,国际内部审计审计师协会又陆续颁布了4个实务公告。
这4个实务公告分别是:
实务公告1110-2:审计执行主管的报告对象,
实务公告1330-1:使用"内部审计工作依据《标准》开展" 的声明(对原实务公告1330-1的修订)
实务公告2060-2:与审计委员会的关系
实务公告2120.A1-3:内部审计在季度财务报告、披露和管理层证明方面的作用
由于这些实务公告是《内部审计实务标准》(2001年)修订本的组成部分,中国内部审计协会对这4个公告进行了编译并公布出来,以及时满足广大内部审计人员和CIA考生的需要。
实务公告1110-2:审计执行主管的报告对象
解释《内部审计实务标准》中的第1110条标准
相关标准:第1110条标准
机构独立性
审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。
本实务公告性质
在确定或评估审计执行主管在机构内的报告对象及其关系时,内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面,仅推荐一系列审计师应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
1、IIA的《内部审计实务标准》(《标准》)要求审计执行主管在机构内应向能使内部审计活动履行其职责的阶层报告。IIA认为,为实现必要的独立性,审计执行主管在职能上应向审计委员会或同类部门报告。为了行政管理的需要,在大多数情况下,审计执行主管应直接向机构的首席执行官(CEO)报告。为了有助于本公告的讨论,正面对"职能性报告"和"行政性报告"分别加以说明。
※职能性报告--内部审计工作的职能性报告关系是内部审计工作独立性和权力的根本保障。因此,IIA建议,审计执行主管在职能上向审计委员会、董事会或其它适当的治理机构报告。在此,职能性的报告是指--
※ 治理机构批准内部审计工作章程
※ 治理机构批准内部审计风险评估和相关审计计划
※ 治理机构批准接受审计执行主管对于内部审计活动结果或其认为必要的其它事项的报告,包括与审计执行主管召开的没有经理层参加的单方会议。
※ 治理机构批准任免审计执行主管的决定
※ 治理机构批准审计执行主管年度薪酬和工资调整
※ 治理机构批准适当问询管理层和审计执行主管,确定是否存在影响内部审计工作范围和预算的限制
※ 行政性报告--此报告关系存在于机构管理层,它有助于协调内部审计日常工作。行政性报告主要包括:
※ 预算制定与管理会计
※ 人力资源管理,包括人员评估与薪酬
※ 内部沟通和信息流通
※ 机构内部政策与程序的管理
2、 公告重点讨论在确定或评估审计执行主管的报告关系时应当考虑的因素。恰当的报告关系对实现独立性、客观性及在机构中的地位是至关重要的,它们是内部审计有效履行其义务的必要因素。审计执行主管的报告关系对于保证适当的信息流通、与关键经理进行沟通也是重要的,这两者是开展风险评估和报告审计工作结果的基础。相反,对于任何损害内部审计工作独立性和效果的报告关系,审计执行主管应将其视为对范围的严重限制,应提请审计委员会或同类部门的重视。
3、 本公告同时认为,审计执行主管的报告关系受下列因素的影响:机构性质(公有、私有及相关规模);各国的一般做法;机构的日益复杂化(合资企业、含子公司的跨国集团);随着与客户在工作重点和范围合作程度的提高,内部审计部门提供增值服务的趋势。因此,尽管IIA认为职能上向审计委员会报告、行政上向CEO报告是一种理想的结构,但是,其他报告结构也可以是有效的,只要此报告结构能清晰区别职能性报告关系和行政性报告关系,且每种关系都有恰当的内容,以确保审计工作的独立性和范围。内部审计师应根据自己的专业判断,决定在特定情况下本公告的适用范围。
4、 《标准》强调,为促进审计工作的独立性,保证工作范围的充分性,审计执行主管应向有足够权力的人报告工作。因为《标准》是为规模不同、情况各异的各机构而制定的,所以《标准》在报告关系方面的规定特意体现了一定程度的普遍性。有些因素,包括机构规模、类型(私营机构、政府部门、社团)使"放之四海而皆准"的目标无法实现。因此,审计执行主管在评估行政性报告关系的恰当性时应考虑下列因素。
※ 报告对象有无充分权力,保证审计工作的有效性。
※ 报告对象有无适当的控制与治理理念,帮助审计执行主管发挥其作用。
※ 报告对象有无积极帮助审计执行主管解决有关审计问题的时间和兴趣
※ 报告对象是否理解职能性的报告关系并支持此关系
5. 如果行政性报告对象同时负责该机构的其它部门,而这些部门也是被审计单位,那么审计执行主管应该确保适当的独立性没有受到损害。例如,一些审计执行主管行政上向首席财务官报告,而首席财务官同时负责机构的财务部门。如果认为审计计划的范围是适当的,那么审计部门对其行政性报告对象负责的其他部门的审计和报告不应当受到限制。任何对于审计范围和审计结果报告的限制都应提请审计委员会的注意。
6. 最近,世界各国趋向于制定更加严格的财务报告法规,在此环境下,审计执行主管报告关系的确立应该恰当,使内部审计活动满足审计委员会或其它重要股东的更多需求。越来越多的机构要求审计执行主管在机构治理和风险管理方面发挥更重要的作用。审计执行主管的报告关系应该促进内部审计活动满足这些期望。
7. 无论机构选择了哪种报告关系,如果采取一些重要行动,就可以保证此报告关系有助于内部审计活动,并使其具有有效性和独立性。
※ 职能性报告:
※ 职能性报告应直接面向审计委员会或同类机构,保证恰当的独立性和沟通能力。
※ 审计委员会或同类机构应与审计执行主管召开没有管理层参加的单方会议,以强化职能性报告关系的独立性,突出其实质。
※ 审计委员会对于审议并通过年度审计计划和所有重大变化有最终权力。
※ 审计执行主管在任何时候都应当能随时、直接与审计委员会主席和委员进行沟通;在适当情况下,可以向董事会主席及全体董事会报告。
※ 审计委员会对审计执行主管的业绩评估应当至少一年一次,并通过年度薪资福利和薪水调整。
※ 内部审计工作章程应该明确说明审计工作的职能性报告和行政性报告关系,以及每种报告关系所含的主要内容。
※ 行政性报告:
※ 审计执行主管的行政性报告应当面向CEO或另一位有充分权力的高级管理人员,使日常审计工作得到适当的支持。这包括确立审计部门和审计执行主管在机构中的位置,以确保内部审计部门在机构中的恰当地位。报告对象在机构中的地位太低会对内部审计工作的地位和有效性产生负面影响。
※ 行政性报告关系不应对内部审计工作范围或结果的报告有最终权力。
※ 行政性报告关系应使管理层能够随时、直接听取审计执行主管的报告。审计执行主管应当能够与任何管理层,包括CEO直接沟通。
※ 行政性报告关系应当实现适当的沟通和信息流通,使审计执行主管和内部审计部门获得有关机构活动、计划和新业务方面的信息。
※ 行政性报告关系对预算控制和预算方面的意见不能阻碍内部审计工作。
8. 审计执行主管也应当考虑他们与其它控制与监督部门(风险管理、合规、安全、法律、道德、环境、外部审计)的关系,并帮助其向审计委员会报告重大风险和控制问题。
实务公告1330-1:使用"内部审计工作依据《标准》开展" 的声明
(对原实务公告1330-1的修订)
解释《内部审计实务标准》中的第1330条标准
相关标准:第1330条标准
使用"内部审计工作依据《标准》开展"的声明
鼓励内部审计师以内部审计活动"依据《内部审计实务标准》开展"来报告他们的活动。 但是,只有在质量改进项目的评价结果表明内部审计活动是遵循了《标准》的情况下,内部审计师才可使用此声明。
本实务公告性质
在使用"内部审计工作依据《标准》开展"的声明时,内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面,仅仅是对《标准》的补充。是否遵守实务公告由审计师自行选择决定。
1. 概述-应对内部审计活动进行外部和内部评估,并就内部审计活动遵循《内部审计实务标准》的情况出具意见,适当情况下应当包括改进的建议。这些评估活动对于机构的治理过程、审计执行主管(CAE)和内部审计活动的其他成员有巨大价值。只有合格的人员才能开展这些评估活动。
2. 要求在2002年1月1日之后的五年内开展一次外部评估活动。鼓励尽早实施这条开展外部评估的新条款。对于已经开展外部评估的机构,鼓励其在评估之后的五年内开展下一次外部评估活动。
3. 使用 "遵循"语句-只有在对质量改进项目进行定期评估,并且得出内部审计活动是遵循了《标准》的结论后,才能使用 "遵循"语句。对于影响内部审计活动开展或总体范围的不遵循《标准》行为,包括至2007年1月1日前还未实施外部评估活动,应该向高级管理层和董事会进行披露。
4. 如果有重大的不遵循《标准》行为,只有对其进行改正之后才能使用 "遵循"语句。对于质量评估活动(内部的或外部的)披露的或相关建议所提及的不遵循《标准》行为,在内部审计活动使用 "遵循"语句之前,必须首先对其进行充分改正,并将改正措施反馈给相关的评估人、高级管理层和董事会。
实务公告2060-2:与审计委员会的关系
解释《内部审计实务标准》中的第2060条标准
相关标准:第2060条标准
独立性与客观性
审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。另外还应报告重要的风险与控制问题、公司治理问题以及委员会和高级管理层需要或要求知晓的其它事项。
本实务公告性质
对于内部审计活动和审计委员会之间的关系,内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面,仅对审计委员会和内部审计恰当关系相关的主要信息进行了概述。是否遵守实务公告由审计师自行选择决定。
1. 本文件中的"审计委员会"指负责监督机构的审计和控制工作的治理层。尽管此工作通常是委派给董事会的审计委员会,但在本实务公告中,它也指具有相同权力和职责的其它监督实体,例如托管会、立法机构,所有人经营实体的负责人,内部控制委员会,或整个董事会。
2. 国际内部审计师协会认为审计委员会和内部审计师有互相交织的目标。加强与审计委员会的工作关系对于其履行对高级管理层、董事会、股东和其它外部人员的职责是重要的。本实务公告总结了协会如何看待审计委员会和内部审计部门关系的。协会认为审计委员会职责还包括本公告范围之外的其它活动,本公告无意囊括审计委员会的所有职责。
3. 以下三种活动对于实现审计委员会与内部审计部门良好关系是非常重要的,它们主要是通过审计执行主管(CAE)实施:
※ 协助审计委员会,确保其章程、内部审计活动和各项过程对于履行其职责是恰当的。
※ 确保内部审计章程、作用和各项活动得以清晰阐述,且能反映审计委员会和董事会需求。
※ 与审计委员会和主席保持开放、有效的沟通。
审计委员会职责
4. 审计执行主管应帮助委员会,确保委员会的章程、作用和活动对于履行其职责是恰当的。审计执行主管可以通过帮助委员会定期评估其活动、提出改进建议发挥重要作用。这样,审计执行主管可以在审计委员会事务和规章事务方面向委员会提供有价值的咨询服务。审计执行主管可以开展的活动有:
※ 至少每年评估一次审计委员会章程,审核章程是否充分体现了董事会有关审计委员会职责的规定和相关条文,并将此告知委员会。
※ 评估或保存一份详细列出所有规定开展活动的审计委员会会议日程计划,用来判断这些活动是否被完成,这可以帮助委员会每年向董事会报告,已经完成了所有委派的任务。
※ 起草审计委员会会议日程,呈交委员会主席审阅,帮助审计委员会将此资料分发给各委员,记录审计委员会会议内容。
※ 鼓励审计委员会比照当前最佳实务,定期评估其工作和活动,确保该活动与最先进的实务保持一致。
※ 定期与委员会主席会面,讨论向委员会提供的材料和信息是否满足委员会的需求。
※ 征求审计委员会意见,判断其是否需要培训性会议或报告,例如对新委员进行风险和控制方面的培训。
※ 征求委员会意见,判断为委员会分配的工作频率和时间是否充分。
内部审计工作的作用
5. 审计执行主管与审计委员会的关系应围绕审计执行主管的核心作用确保审计委员会理解、支持并接受内部审计部门所需要的帮助。IIA的观点是,良好的治理是由有效公司治理系统的四个主要部分协同实现的:即董事会、管理层、内部审计师和外部审计师。在此结构中,内部审计师和审计委员会是互为支持的。审计委员会要对机构运营有完整的了解,必须考虑内部审计师的工作。审计执行主管对于委员会的一个主要作用是确保实现此目标和成为委员会可以信赖的顾问。审计执行主管可以通过开展一系列的活动来发挥此作用:
※ 请求委员会每年审核并批准内部审计章程。(您可以通过国际内部审计师协会网站的http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383查看内部审计部门章程的模板)
※ 与审计委员会一起评估内部审计的职能性和行政性报告关系,保证机构现有的组织结构可以使内部审计师拥有充分的独立性。(实务公告1110-2:审计执行主管(CAE)的报告关系)
※ 在章程中列入委员会审核任免决定的条款,包括任命、薪酬、评价、续任、解雇审计执行主管等。
※ 在章程中列入由审计委员会审核并批准外包内部审计活动提议的条款。
※ 帮助审计委员会评估人员、预算的充分性,以及内部审计活动的范围和结果,确保不存在预算和范围方面的限制,以免阻碍内部审计履行其职能。
※ 报告与其它监督部门(例如,风险管理、合规性、安全、业务连贯性、法律、道德、环境、外部审计)的协调情况及对其监督的情况。
※ 报告与本机构和下属机构活动的控制过程相关的重大事项,包括对这些过程进行改进的可能性,报告这些事项的处理情况。
※ 报告年度审计计划情况和结果,以及部门资源对于高级管理层和审计委员会的充足性。
※ 通过适当的风险基础方法,制定灵活的年度审计计划,包括管理层关心的风险和控制事项。将计划呈交审计委员会评估及批准,并进行定期更新。
※ 报告所通过的年度审计计划的执行情况,适当情况下,还应包括管理层和审计委员会要求的特别任务或项目。
※ 在内部审计章程中明确,及时向审计委员会报告与公司内部控制有重大关联管理层或雇员的可疑舞弊行为,是内部审计部门的职责。协助开展机构内部重大可疑舞弊活动调查,并将结果报告管理层和审计委员会。
※ 应该使审计委员会意识到,为了使审计活动满足国际内部审计师协会的《内部审计实务标准》要求,应该每五年开展一次内部审计活动的质量评估复核。定期的质量评估复核将为审计委员会和管理层就内部审计活动遵循《标准》要求方面提供保证。
与审计委员会的交流
6. 审计执行主管和审计委员会关系的总体效果在很大程度上取决于双方的交流,这并不是要否定以上所提的所有活动。今天的审计委员会希望有一个高水平的开放、坦率的交流。如果要使审计执行主管在委员会的眼中成为可信赖的顾问,交流是关键的因素。根据定义,内部审计通过在审计活动中采取系统化、规范化的方法来帮助审计委员会实现其目标,但是,如果没有适当的交流,委员会是无法相信这一点的。审计执行主管应该考虑在下列方面与审计委员会进行交流。
※ 审计委员会应该定期与审计执行主管单独会谈,讨论敏感的事项。
※ 针对与确定的审计任务和范围相关的审计活动的结果,每年提供一个总结性报告或评估情况。
※ 定期向审计委员会和管理层提交报告,总结审计活动的结果。
※ 不断向审计委员会报告内部审计的新趋势和新的成功实务。
※ 与外部审计师一起讨论委员会信息需求的满足情况。
※ 复核提交给审计委员会的信息的完整性和准确性。
※ 确认内部审计师和外部审计师之间工作的协调是有效率和有效果的。判断内部和外部审计师的工作有无重复性,并指出出现重复的原因。
实务公告2120.A1-3:内部审计在季度财务报告、披露和管理层证明方面的作用
解释《内部审计实务标准》第2120.A1条标准
相关标准:2120.A1
在风险评估结果的基础上,评价控制的充分性与有效性,范围包括机构的治理、运营及信息系统;此类评价应当包括:
※ 财务与运营资料的可靠性与完整性
※ 运营的效果与效率
※ 资产的护卫情况
※ 遵守法律、法规与合同的情况
本实务公告性质
对于与美国证券交易委员会(SEC)规定相关的季度财务报告、信息披露和管理层证明方面的事项,内部审计师应当考虑以下建议。虽然这些规定是特别针对在SEC注册的美国机构,但是它同样适用1300多个外国注册机构。为给股东更大的信心,越来越多的非上市机构也正自愿采取SEC的部分规定,以展现季度报告披露和控制的最佳实务。内部审计师也可以参考其它的相关标准:实务公告2120.A1-1:对控制过程的评价和报告。是否遵守实务公告由审计师自行选择决定。
1. 金融市场的强劲与否依赖于投资者信心。一些针对公司经理、独立审计师和其他市场参与者罪行的指控事件都已动摇了投资者信心。作为对这种威胁的回应,美国国会和越来越多国家的立法机构和规章部门都通过了法律和规定,影响到公司披露和财务报告。尤其是在美国,2002年《索克斯法案》("Sarbanes-Oxley Act")规定进行全面改革,要求加强由主要执行官和财务官对财务报表的披露和证明。
2. 该项新法律对公司提出了过程设计的挑战,此过程是高级官员对个人证明进行必要保证的基础。证明过程的一个关键因素是对财务信息记账和汇总的风险管理和内部控制。
新法案的规定
3. 《索克斯法案》第302条款列出公司在财务报告方面的责任,SEC已经颁布了实施该法案的细则。根据《交易法》第13(a)或第15(d)条,发行机构申报或递交季度或年度报告,包括过渡期报告。SEC第13a-14和第15d-14条规定要求,签发机构的主要执行官和主要财务官、或履行类似职能的人员在报告中应该证明:
他或她已审阅了该报告;
根据他或她的知识,报告中没有提供重大事项的虚假信息,没有忽略报告时所须考虑的重大背景事项,没有对报告期内的情况造成误导;
根据他或她的知识,报告中的财务声明和其它财务信息正确反映了报告期内发行机构的财务状况、运营结果和现金流动情况;
他或她及其他提供证明的领导人:
※ 负责制定并维护"披露控制与程序"(这是新词汇,体现了该法案第302(a)(4)条关于披露的规定,反映了控制和程序的概念。)
※ 已经设计了披露控制与程序,保证他们知晓重大信息,尤其是在定期性报告准备期内;
※ 已经评估了到报告申报前的90天内为止,发行机构的披露控制和程序的有效性;
※ 在报告中已经说明,到该日为止,他们根据强制性评估的结果,对披露控制和程序效果的看法。 他或她及其他提供证明的领导人已经向发行机构的审计师和董事会下属的审计委员会(或履行类似职能的人员)披露以下情况:
※ 内部控制(是有关财务报告内部控制的既有词汇)的设计或实施的所有重大缺陷,这些缺陷可能对发行机构财务数据的记录、处理、总结及报告能力造成负面影响,同时为发行者的审计师指出内部控制的所有重大弱点;
※ 无论重大与否,所有与发行机构内部控制有重大关联的管理层或其他雇员的舞弊行为;
※ 在他们评估之日后,内部控制或可能对内部控制产生重大影响的其它因素是否出现重大变化,包括针对重大缺陷和弱点采取的纠正措施。
建议内部审计师应该采取的行动
4.本公告向内部审计师提供以下行动措施和考虑事项,以提供与SEC和索克斯法案要求相关的季度财务报告、披露和管理层证明方面的增值性服务。对于非上市公司和其他希望采纳类似季度财务报告过程的机构,这些推荐的行动措施也可以作为最佳实务。
a. 内部审计师在此过程中的作用可包括:最初的过程设计、参加披露委员会、在管理层和审计师之间进行联络协调、独立对过程进行评估。
b. 所有与季度报告和披露过程相关的内部审计师都应遵循适当的"IIA咨询活动和保证工作的标准",遵循相关实务公告的指导,明确自己的角色和评估方面的职责;
c. 内部审计师应当确保机构有正式的政策和程序文件,管理季度财务报告、相关披露及法规对报告的要求这三个过程。律师、外部审计师和其他专家对政策和程序进行适当评估,这可以进一步保证政策和程序的全面性并准确反映适用的要求。
d. 内部审计师应当鼓励机构成立"披露委员会",协调此过程并对参与者进行监督。机构内部重要领域代表都应当参加该委员会,这包括主要财务经理、法律顾问、风险管理者、内部审计及对申报文件和披露提供意见或数据的其它领域人员。通常情况下,审计执行主管(CAE)应当是披露委员会委员。应当考虑CAE在委员会中的地位。CAE如果担任该委员会主席、一般委员或"投票"委员,需要注意独立性问题,他应当参照IIA《标准》和相关实务公告,作为指导并用于强制性的披露工作中。如果他的地位是"当然"委员,则通常不会产生独立性问题。
e. 内部审计师应当定期复核并评估季度报告和披露过程、披露委员会的活动以及相关文件,向管理层和审计委员会报告对该过程的评估情况,并在整体运作情况及遵守政策与程序情况两方面提供保证。如果内部审计师在此过程中的角色使其独立性可能受到损害,那么内部审计师应当确保管理层和审计委员会能够从其它来源获得对此过程适当的保证。其它来源可以包括内部自我评估和第三方,如外部审计师和咨询师。
f. 内部审计师应当根据对相关活动的评估结果,就季度报告和相关批露的政策、程序及过程提出恰当的改进建议。此类活动的最佳实务包括以下全部或部分方法和程序,各机构应用时可根据所采用的特定过程加以选择。
※ 恰当文档化的政策、程序、控制及监测报告
※ 程序与关键控制环节的季度核对表
※ 关键披露控制情况的标准化报告
※ 管理层自我评估(例如控制自我评估)
※ 关键管理人员的签章或代表陈述
※ 在申报前对申报文件草案的复核
※ 记录数据源的过程图,主要面向申报文件、关键控制点以及各数据的有关责任人
※ 以前报告的突出问题的跟踪情况
※ 对此期间签发的内部审计报告的考虑情况
※ 特别针对高风险、复杂领域及有问题领域的评估情况;包括重大的会计估计、准备金估价、资产负债表外活动、主要附属机构、合资企业、特别实体
※ 财务报表和相关调整分录,包括免除调整项目对"结束过程"的遵循情况
※ 与关键管理人员召开远程电话会议,目的是保证考虑到机构的所有主要人员并使其得以参加会议
※ 审核潜在诉讼和未决诉讼以及或有负债
※ CAE至少每年一次,有时每季度签发的的内部控制报告
※ 定期召开的披露会议和审计委员会会议
g.内部审计师应当将索克斯法案302条款的实施过程与有关管理层的年度评估和内部控制公告的404条款的实施过程相比较。如果这些过程相似或兼容,将有助于运营效率,减少问题和错误发生或忽视的风险或可能性。虽然这些过程和程序是相似的,但内部审计师的作用可能有所不同。有些机构,内部审计师的工作可以成为管理层对内部控制看法的基础,其它机构可能会请内部审计师评价管理层的评估活动。
※ 内部审计工作性质及对其工作的利用能对外部审计师对待内部审计师的工作或其依赖内部审计工作的程度产生潜在影响。内部审计师应当保证明确所有参与者的角色、协调活动、并与管理层和外部审计师就活动事项达成一致。
※ 如果管理层独立评估控制情况,作为意见形成的基础,在此类机构中,内部审计师应当评价管理层的评估情况和辅助证明文件。
※ 内部审计师应当评价内部审计报告中意见的分类情况,对于在季度证明或年度内部控制报告中可能受到披露的意见,应当保证向管理层和审计委员会进行恰当报告。应格外注意保证此类意见得到及时、恰当的解决。
内部审计实务标准
目录
内审实务标准: 属性标准. 5
1000宗旨、权力和职责. 5
1000.A1 5
1000.C1 5
1100独立性与客观性. 9
1110机构独立性. 9
1110.A1 10
1120个人的客观性. 10
1130对独立性或客观性的损害. 10
1130.A1 11
1130.A2 13
1130.C1 13
1130.C2 13
1200熟练性与应有的职业审慎性. 13
1210熟练性. 13
1210.A1 14
1210.A2 16
1210.C1 19
1220应有的职业审慎性. 19
1220.A1 19
1220.A2 20
1220.C1 20
1230继续职业发展. 20
1300质量保证与改进项目. 21
1310质量项目评价. 21
1311内部评价. 22
1312外部评价. 22
1320质量项目的报告. 23
1330使用“内部审计工作依据《标准》开展”的声明. 23
1340披露违规行为. 23
内审实务标准: 工作标准. 25
2000管理内部审计活动. 25
2010制定审计计划. 25
2010.A1 26
2010.C1 26
2020报告与通过. 26
2030资源管理. 26
2040政策与程序. 28
2050协调. 28
2060向董事会与高级管理层报告情况. 30
2100工作性质. 30
2110风险管理. 33
2110.A1 33
2110.A2 33
2110.C1 34
2110.C2 34
2120控制. 34
2120.A1 34
2120.A2 36
2120.A3 36
2120.A4 36
2120.C1 36
2120.C2 36
2130治理. 36
2130.A1 37
2130.C1 37
2200审计业务计划. 37
2201计划制定过程中应考虑的因素. 37
2201.C1 38
2210审计业务目标. 38
2210.A1 38
2210.A2 39
2210.C1 39
2220审计业务范围. 39
2220.A1 40
2220.C1 40
2230审计业务资源的分配. 40
2240审计业务工作方案. 40
2240.A1 40
2240.C1 41
2300开展审计业务. 41
2310收集信息. 41
2320分析与评价. 41
2330记录信息. 42
2330.A1 43
2330.A2 44
2330.C1 44
2340审计业务的监督. 45
2400报告审计结果. 45
2410报告的标准. 46
2410.A1 46
2410.A2 48
2410.C1 48
2420报告的质量. 48
2421错误与遗漏. 48
2430对违反《标准》的审计披露. 49
2440发布审计结果. 49
2440.A1 50
2440.C1 50
2440.C2 50
2500监测进程. 50
2500.A1 51
2500.C1 52
2600管理层对风险的接受. 52
属性标准
--------------------------------------------------------------------------------
内部审计活动的宗旨、权力和职责应在章程中进行正式的界定,这样的界定应与《标准》保持一致,并须经董事会通过。
1、“内部审计”是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。
2、“宗旨、权力和职责”是指内部审计工作的目的和责任,以及为达致目的、完成职责所需的权力和条件。明确内部审计的宗旨、权力和职责是内部审计工作最重要的问题之一,整本《标准》都是围绕内部审计的宗旨、权力和职责展开的,或者说《标准》就是用来说明内部审计的宗旨、权力和职责及其实现的。
3、“章程”是用以确定内部审计部门的宗旨、权力和职责的正式书面文件,它应该:(1)确定内部审计部门在机构中的地位;(2)授权审计人员接触与开展内部审计工作相关的资料、人员和实物财产;(3)规定内部审计活动的范围。审计执行主管应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理机构对章程的认可。章程一经批准便形成管理当局与内部审计机构双方的协议,内部审计机构可以根据章程的授权不受限制地开展工作。章程同时也是内部审计机构和管理当局评价内部审计工作质量的依据。审计执行主管应该定期评价章程中所规定的宗旨、权力和职责是否足以使内部审计活动实现其目标,评价的结果必须通报给高级管理层和董事会。
.A1
—章程中应明确向机构和第三方提供的保证服务的性质。
.C1
—章程中应对咨询服务的性质加以定义。
咨询服务范围很广,包括有书面协议规定的正式的咨询服务和诸如参加常务或临时的管理委员会或项目小组等咨询服务。内部审计师应该利用自己的专业判断,决定《标准》中的指导原则的适用程度。在一些特殊的咨询业务中(如参与收购、兼并项目或检查灾难恢复活动等紧急工作),可能需要偏离常规或规定的程序开展咨询服务。
审计执行主管应该确定对机构内部业务进行分类的方法,有些情况下比较适合开展将咨询和保证服务综合成一体的“合并”业务。
内部审计师可能应管理层的要求,将咨询服务作为日常业务来开展。每个机构都应该考虑将要提供的咨询业务的类别,并确定是否应该为每种业务开发专门的政策或程序。
如果对服务内容开展保证性工作更为合适,而且提出进行咨询的目的是逃避或使他人逃避保证性业务的有关要求,审计师一般不应该同意开展咨询服务。但这并不排除在更适合开展咨询服务的情形下,调整有关方法,对曾经作为保证性业务领域的内容提供咨询服务。
一、开展咨询活动的原则
内部审计师应考虑以下事项:
1、 内部审计活动的价值主张——价值主张在内部审计定义中有所体现。
2、 与内部审计定义保持一致。
3、 保证与咨询服务之外的审计活动。
4、 保证与咨询之间的相互关系——它们并非相互排斥的,多数审计服务既包括咨询活动也包括保证活动。咨询服务通常是由保证服务直接产生的,但它也可能衍生出保证服务。
5、 通过内部审计章程赋予内部审计部门开展咨询服务的权力。
6、 客观性——审计师通过开展咨询服务,会对与保证性审计业务有关的工作程序或问题有更深入的了解。咨询服务不一定损害内部审计的客观性。内部审计不起管理决策作用。是否采纳或实施内部审计咨询服务所提出的建议由管理层决定。
7、 内部审计提供咨询服务的基础——内部审计部门遵守最高客观性标准,而且它对机构的程序、风险及战略有全面的了解。
8、 基本信息的传达——内部审计的首要存在价值是给高级管理层和审计委员会提供保证服务。如果隐瞒审计执行主管认为应该报告的信息,就无法开展咨询工作。
9、 机构所理解的咨询工作的原则——机构必须制定并公布一些被全体成员所了解的基本规定,这些规定应该在章程中体现出来。
10、 正式的咨询业务——管理层经常聘请外部顾问开展正式的、时间跨度很长的咨询工作,但是,内部审计部门拥有完成某些正式咨询任务的独特优势。
11、 审计执行主管的职责——咨询服务使审计执行主管得以与管理层交换意见,解决一些具体的管理问题,审计项目的广度和时间范围也会根据管理层的需要灵活安排,但是,审计执行主管保留确定审计技术的特权,并且在审计结果的性质和重大性程度足以带来重大风险时,保留向高级管理层和审计委员会报告的权利。
12、 解决冲突或新问题的标准——IIA的《职业道德规范》及《内部审计实务标准》。
二、开展正式咨询业务的其他考虑
本部分的内容与多条咨询标准相关。
(一)内部审计师在咨询业务中的独立性和客观性(第1130.C1条标准)
1、内部审计师有时被要求为他们曾经负责的或提供过保证服务的运营领域提供咨询服务。在开展服务前,审计执行主管应该核实董事会已经理解并批准提供咨询服务的概念。一旦获得批准,就应该修改内部审计章程,规定开展咨询服务的权力和责任,并制定相关的政策和程序。
2、内部审计师应该在得出结论并向管理层提出建议时维护其独立性。如果在咨询服务开始之前就存在、或者在服务过程中发生损害独立性或客观性的情况,内部审计师应该马上向管理层披露。
3、如果在开展正式咨询业务后的一年内又对同一领域提供保证性服务,内部审计师的独立性和客观性就会受到损害。可以通过以下措施来尽量降低不良影响:分配不同的审计师对同一领域开展不同的业务、建立独立的管理和监督机制、为项目的不同结果确定独立的责任机制、披露假设的损害情况。管理层应该负责接受和实施这些建议。
4、在涉及持续性的咨询业务时,内部审计师应该格外小心,以避免不恰当地或在无意中承担咨询业务的最初目标和范围中都没有提及的管理责任。
(二)咨询业务中的应有的专业审慎性问题(第1210.C1条标准、第1220.C1条标准、第2130.C1条标准、第2201.C1条标准)
1、在开展正式咨询业务时,内部审计师应该保持应有的专业审慎性,理解以下内容:
(1)管理人员的需要,包括咨询业务结果的性质、时间安排和报告;
(2)要求提供服务的动机和原因;
(3)工作的范围;
(4)所需的技能和资源;
(5)咨询业务对审计委员会以前批准的审计计划的影响;
(6)对未来审计任务和业务的潜在影响;
(7)可以为机构带来的潜在好处。
2、除了对独立性、客观性和应有的专业审慎性的考虑,内部审计师还应该:
(1)举办合适的会议并收集必要的信息,以评价将要提供服务的性质和范围;
(2)证实接收服务的人员理解并同意内部审计章程中所包括的相关指导内容、内部审计部门的政策和程序以及其他管辖咨询业务的指南。内部审计师应该拒绝从事章程禁止开展的、或与本部门政策和程序相冲突的以及不能为机构增值或不能服务于机构最大利益的咨询业务;
(3)评价咨询业务是否与内部审计部门的总体业务计划相一致;
(4)以书面协议或计划的形式记录正式咨询业务的一般条件、共识、产品和其他关键因素。
(三)咨询业务的工作范围(第2010.C1条标准、第2110.C1和C2条标准、第2120.C1和C2条标准、第2130.C1条标准、第2201.C1条标准、第2210.C1条标准、第2220.C1条标准、第2240.C1条标准、第2330.C1条标准、第2410.Cl条标准、第2440.C1和C2条标准)
1、内部审计师应该就咨询业务的目标和范围与接收服务的人员达成共识。内部审计师应该设计工作范围,以维护内部审计部门的可信度和声誉等。
2、在计划正式咨询业务时,内部审计师应该设计相关目标。在管理层提出特殊要求时,如果内部审计师认为应该追求的目标超出了管理层所要求的目标,可采取以下行动:
(1)说服管理层包括其他目标;
(2)在文件中记录没有追求有关目标的情况,并在最终报告中披露;
(3)在随后单独开展的保证性业务中包括这些目标。
3、正式咨询业务的工作方案应该记录目标、范围以及为实现目标而采取的方法。方案的形式和内容可根据咨询业务的性质有所不同。内部审计师应该根据管理层的要求来扩展或限制业务范围,但应确保工作范围足以实现咨询业务的目标。咨询业务目标、范围和条件应该在工作过程中定期得到重新评价和调整。
4、内部审计师应该留意风险管理和控制过程的效果,并提请管理层注意他们发现的风险或重大控制薄弱环节。在有些情形下,内部审计师也应该将自己关注的问题报告管理层、审计委员会和/或董事会。内部审计师还应该:(1)确定风险或薄弱环节的严重性,以及已经采取或考虑采取的行动;(2)证实管理层、审计委员会和/或董事会在要求报告这些事项方面的期望。
(四)报告正式咨询业务的结果(第2410.C1条标准、第2440.C1条标准)
1、对工作进度和结果的报告在形式和内容上根据业务的性质和客户需要的不同而不同。报告的要求一般由提出服务请求的人员决定,而且应该实现既定的目标,并得到管理层的同意。但是,报告的格式应该明确说明业务的性质和有关限制、约束或其他信息用户应该明白的因素。
2、在某些情形下,内部审计师会认为应该扩展报告接收对象范围,此时可采取以下步骤:
(1)确定协议中关于咨询业务和相关报告的规定;
(2)努力说服接收或要求服务的人员自愿将报告内容传达给相关方面;
(3)确定内部审计章程或内部审计部门政策/程序关于咨询报告的指导内容;
(4)确定机构道德规范、职业道德规范、其他相关政策、行政指令或程序所提供的指导内容;
(5)确定IIA《标准》和《职业道德规范》、其他对内部审计师适用的标准或规范以及有关的法律或管理要求对咨询报告的指导内容。
3、在提出其他报告时,内部审计师应该向管理层、审计委员会、董事会或其他机构治理部门披露正式咨询业务的性质、范围和总体结果。但不要求披露详细结果或建议。
(五)咨询业务的文件记录要求(第2330条标准)
1、内部审计师应该记录所开展的工作,以实现正式咨询业务的目标并支持其结果。但是,适用于保证性业务的文件记录要求不一定适用于咨询业务。
2、鼓励内部审计师采取恰当的记录保留政策并处理记录的所有权等问题,以便充分保护机构、避免由于有人要求查看记录而引起误会。涉及法律诉讼、管理要求、税收和会计问题的情形可能要求对某些记录进行特殊处理。
(六)对咨询业务的监测(第2500.C1条)
内部审计部门应该根据和客户达成的一致意见监测咨询业务的结果。对于不同的咨询业务可以采取不同类型的监测手段。监测工作取决于管理层对咨询业务的明确兴趣或内部审计师对项目风险或对机构价值的分析等。
--------------------------------------------------------------------------------
1100-独立性与客观性
内部审计活动应该独立,内部审计师在开展工作时应做到客观。
内部审计师在他们能自由、客观地进行工作时是独立的。独立性可使内部审计师提出公正的、不偏不倚的判断意见,这对审计工作的恰当开展是必不可少的。这一点要通过机构的状况和客观性来获得。
机构独立性
--------------------------------------------------------------------------------
审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。
1、内部审计师应该取得高级管理层和董事会的支持。
2、审计执行主管应该对机构中拥有充分权力的人负责,理想的情况是:对审计委员会、董事会或其他相关治理机构报告业务工作,向首席执行官报告行政工作。
3、在董事会、审计委员会或其他相关治理机构举行的有关对审计、财务报告、机构治理和控制系统的监督职责的会议时,如果审计执行主管定期出席,就可获得直接交流的机会。审计执行主管每年至少应与董事会、审计委员会或其他相关治理机构单独会晤一次。
4、审计执行主管的任免,应由董事会一致同意之后确定。
.A1
—内部审计活动在确定内部审计范围、实施审计及报告审计结果时应不受干扰。
有时,审计客户与其他各方可能会要求内部审计师解释索要文件的原因,审计师应该根据具体情况确定是否披露原因。如果出现重大的不合规情况,就可能表明被审计环境不很公开,不利于合作氛围的形成。但是,这样的判断应该由审计执行主管根据具体的环境来作出。
个人的客观性
--------------------------------------------------------------------------------
内部审计师应有公正的态度,避免利益冲突。
1、“利益冲突”指任何表面上或事实上都不符合机构的最大利益的各种关系。利益冲突会妨害个人客观地履行其职责。
2、客观性是内部审计师在执行审计工作时必须保持的一种独立的精神状态。内部审计师不能在对有关审计事务作出判断时依附于他人的意向。
3、客观性要求内部审计师对他们的工作成果要有一种诚实的信条,而且不作重大的质量妥协。不得将内部审计师置于他们感觉无法做出客观的专业判断的处境中。
4、分配职责时应避免潜在的或实际出现的利益冲突和偏见。审计执行主管应该定期获取这方面的信息。在可行的情况下,内部审计师被指派的工作应定期轮换。
5、在提交审计报告之前,应该审查内部审计工作的结果,以合理保证审计工作的客观进行。
6、内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的。审计工作所处的地位不应该成为接受酬金或礼物的理由。如果有人提供数目很大的酬金或贵重的礼品时,内部审计师应立即向领导报告。上述要求不包括接受一些一般公众都能得到的或价值极小的宣传性的物品(例如钢笔、年历或样品等)。
对独立性或客观性的损害
--------------------------------------------------------------------------------
无论独立性或客观性受损,都应将损害的具体情况向有关方面反映。反映的性质取决于损害的具体情况。
1、如果已经出现或经合理推断认为可能出现利益冲突和偏见,内部审计师应该向审计执行主管进行报告。然后,审计执行主管应该重新指派审计师。
2、审计范围的界限是对内部审计部门的一种限制,范围界限可能来自:
(1)章程对审计范围的规定。
(2)接触相关记录、人员和实物财产的规定。
(3)经批准的审计工作项目计划。
(4)必须实施的审计程序。
(5)经批准的人员配置计划和财务预算。
3、最好以书面形式向董事会、审计委员会或其他相关治理机构报告审计范围受到的限制及其潜在影响。如果机构、委员会、高级管理层或其他方面有变动,尤其需要进行这种报告。
.A1
—内部审计师应避免评价他们以前负责过的工作。审计师在上年度负责一项工作之后,本年度又对该工作提供保证服务,则可以假定客观性受到了损害。
一、评价内部审计师以前负责的运营工作
1.内部审计师不应该承担机构运营责任。如果管理高层指示内部审计师开展非审计工作,他们必须明白,后者不是在以内部审计师的身份开展工作。而且,当内部审计师对他们在上一年度负责的或管辖的运营活动进行保证性检查时,其客观性就受到了损害。在交流宣传审计业务结果时,必须考虑这种损害。
2、只要内部审计部门得到的任务涉及履行运营职责,在此领域的审计客观性就受到了损害。
3、对于借调或临时聘用的人员,只有在离开原岗位至少一年之后,才能分配他们参与审计他们以前负责的运营领域,否则将损害审计的客观性。如果已经这样分配了任务,则需要在监督审计任务和宣传审计结果时格外小心。
4、如果内部审计师建议在实施系统控制或检查程序之前采用控制标准,不会损害其客观性。但是,如果审计师参与了这些系统的设计、安装、程序起草或操作工作,客观性就受到了损害。
5、内部审计师偶尔开展非审计工作并在报告中全面披露不一定会损害独立性。但是,管理人员和内部审计师都需要对这种情况进行仔细考虑。
二、内部审计师开展其他(非审计)工作
1、评估对独立性和客观性的影响的依据有:
(1)IIA的《职业道德规范》与《标准》的规定;
(2)利益关系方(包括股东、董事会、审计委员会、管理层、立法机构、公共实体、管理机构及公众利益团体)的期望;
(3)内部审计章程所允许和限制的内容;
(4)《标准》披露的要求;
(5)内部审计师接受的属于审计范围的活动或任务。
2、如果内部审计师面临着接受一项非审计工作的机会,他应考虑到以下因素,以确定合适的行动方案。
(1)IIA的《职业道德规范》与《标准》要求内部审计活动具有独立性,内部审计师在开展工作时应该客观。
A、如有可能,应避免接受非审计工作或任务。
B、如果无法避免,就要求将独立性与客观性受损这一情况向有关方面进行披露。
C、如果内部审计师在上年度负责一项工作之后,本年度又对该工作提供保证服务,则可以假设其客观性受到了损害。
D、如果有时管理层让内部审计师转向开展非审计性的工作,应该明白他们不是以内部审计师的身份开展此类工作。
(2)应根据潜在的损害性对包括法律、法规要求在内的各利益关系方的期望进行评估和分析。
(3)如果内部审计部门章程中对内部审计师开展非审计性的任务有具体的限制条款或限制性语言,应披露这些限制并与管理层商讨。如果管理层坚持这样的任务分配,审计师应向审计委员会或有关的公司治理机构报告并同其商讨。如果章程中没有规定,应考虑到以下几个指导方针。
(4)是否进行了评估?应与管理层、审计委员会和/或其他有关的利益关系方讨论评估的结果。应确定以下事项(其中一些事项是相互影响的):
A、评估运营性任务对于机构(在收支、声誉及影响方面)的意义。
B、评估该工作的持续时间长度及职责范围。
C、评估职责分工的充分性。
D、在报告审计结果时应考虑到对独立性或客观性的潜在损害,或损害出现的迹象。
(5)对运营任务的审计是否进行了披露?如果内部审计活动承担运营性的任务,并且审计计划中涵盖了该任务,那么审计师可以考虑以下几种方法。
A、审计可以由合同规定的第三方实体、外部审计师或内部审计部门来进行。前两种情况可以使客观性的损害降到最低限度。在后一种情况下,客观性将受到损害。
B、负有运营责任的审计师个人不应该参加到审计该运营的项目中。如果有可能,进行评估的审计师应该受到监督,并报告评估结果。
C、应披露下列情况:审计师所承担的运营责任、该运营对机构的重要性以及审计师与对该运营性任务进行审计的人员的关系。
D、在相关的审计报告及常规性报告中,应对审计师承担运营性任务进行披露。
.A2
—对审计执行主管负责的工作提供保证服务时,应由独立于内部审计活动以外的有关方面进行监督。
.C1
—内部审计师可以提供与他们以前负责过的工作相关的咨询服务。
.C2
—在内部审计师本人可能损害所要提供的咨询服务的独立性时,内部审计师在接受这项工作之前,应向客户说明此情况。
--------------------------------------------------------------------------------
内部审计师应以熟练性与应有的职业审慎性开展审计业务。
1、审计执行主管和每位内部审计师都有责任保证开展审计业务所必需的专业水平,包括知识、技能和其他有关能力。
2、内部审计师应该遵守专业行为标准。国际内部审计协会的《职业道德规范》通过包括以下两项主要内容,拓展了这方面的定义内容:
(1)与内部审计这一职业以及内部审计实务相关的原则:品德高尚、客观、保密、能力出众;
(2)行为标准说明了期望内部审计师遵守的行为规范。
熟练性
--------------------------------------------------------------------------------
内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力。开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力。
每名内部审计师都应该:
1、掌握一定的知识、技能和其他能力,包括:
(1)应用内部审计标准、程序和技术所必须的专业水平;
(2)与会计原则和技术有关的专业水平(广泛涉及财务报告和记录的审计师必须拥有);
(3)对管理原则的理解;
(4)对会计、经济学、商法、税收、金融、量化方法和信息技术等领域的基本内容的深入领会。
2、拥有开展有效人际交流的技能。
3、拥有出色的口头和书面表达能力。
审计执行主管应该在充分考虑工作范围和责任层次的前提下确定各职位的教育程度和工作经验要求,并获取每位未来审计师的资历和专业水平的合理保证。
所有内部审计人员作为一个集体应该掌握开展内部审计所必须的知识和技能。
.A1
—当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技巧或其他能力时,审计执行主管应向他人寻求有力的建议或帮助。
1、内部审计部门应该拥有履行职责所必须的在会计、审计、经济学、金融、统计、信息技术、工程、税收、法律、环境事务等学科获得资格证书的合格雇员,或应用合格的外部人员所提供的相关服务。
2、外部服务提供者是指独立于内部审计部门所在机构、拥有某一学科或领域的专门知识、技能和经验的个人或公司,可以是精算师、会计师、评估师、证券专家、统计师、信息技术专家、机构外部审计师和其他审计机构。可以通过董事会、管理高层或审计执行主管来聘用外部服务提供者。
3、下列情况可应用外部服务提供者:
(1)审计业务需要信息技术、统计学、税收、语言翻译等专门技能和知识,或者需要实现审计工作方案所确定的目标;
(2)对土地、建筑物、艺术品、宝石、投资和复杂的金融工具进行资产评估:
(3)确定矿藏和原油储存等资产的数量或实际情况;
(4)衡量根据正在履行的合同而完成的和即将完成的工作;
(5)开展舞弊和安全调查;
(6)通过应用精算确定雇员福利欠款等专门方式来确定有关金额;
(7)解释法律、技术和管理要求;
(8)根据《标准》第1300条评估内部审计部门的质量改善项目;
(9)兼并和收购。
4、审计执行主管如果希望应用并依赖外部服务提供者的工作,就应该对外部服务提供者的能力、独立性和客观性进行评价,评价的结果应该向管理高层或董事会进行恰当通报。
(1)价外部服务提供者的知识、技能和其他能力
可从以下几个方面评价:
①专业证明、执照等能力证明;
②在有关专业机构的会员资格和遵守职业道德规范的情况;
③声誉;
④知识和经验;
⑤在相关学科接受的教育和培训;
(2)评价外部服务提供者的独立性和客观性
审计执行主管应该分析外部服务提供者与机构和内部审计部门的关系,确定不存在会妨碍外部服务提供者公正地进行判断和得出结论的财务、机构或私人关系。
应该考虑外部服务提供者:
①可能在机构拥有的经济利益;
②可能与机构董事会成员、管理高层或其他人员发生的私人或专业关系;
③可能已经与机构或被审计活动发生的关系;
④可能正在为机构提供的其他持续服务的范围;
⑤可能拥有的赔偿机制或其他优惠条件。
如果外部服务提供者同时也是机构的外部审计师,而审计业务的性质又是延伸审计服务,审计执行主管应该保证所开展的工作不会损害外部审计师的独立性。延伸审计服务指外部审计师一般公认的审计标准所定要求范围之外的服务业务。如果外部审计师以管理高层或机构雇员的身份开展工作,其独立性就会受到损害。此外,外部审计师可以为机构提供诸如税收和咨询等其他服务。但是,应该从外部服务提供者提供的所有服务的角度全面评价其独立性。
审计执行主管应该获取关于外部服务提供者所开展工作的充分信息。可以以审计业务函或审计合同的方式对相关事项进行文字记录。审计执行主管应该与外部服务提供者一起检查以下内容:
①工作的目标和范围;
②希望在审计业务交流工作中覆盖的具体事项;
③对相关记录、人力资源和实物财产的获取情况;
④关于拟应用的假设和程序的信息;
⑤工作底稿的所有权和监护权;
⑥信息的保密和限制要求。
如果外部服务提供者开展内部审计工作,审计执行主管应该具体说明并保证这些工作遵守《标准》的要求。在检查他们的工作时,应该评价其工作是否充分。
(3)通报
在进行审计业务情况通报时,审计执行主管可以指出外部服务提供者所提供的具体服务,并将通报意图通知外部服务提供者。在合适的情形下,审计执行主管应该在指出这些服务内容之前与外部服务提供者就有关方面达成一致意见。
.A2
—内部审计师应具有发现舞弊线索所需的足够知识。但并不希望内部审计师具备主要责任是发现和调查舞弊的人员的专门技能。
“舞弊”指所有具有欺骗、隐瞒或破坏信任特征的非法行为。这些行为不依靠暴力或武力威胁。个人和机构为获取金钱、财产或服务,避免付费或失去服务,或获取个人或商业优势都会犯下舞弊罪。
1、舞弊可以是为机构谋利,也可以给机构带来损害。机构内外部的人都可以进行舞弊。
(1)为机构谋利的舞弊
这类舞弊一般通过利用不公正的或不诚实的优势欺骗外部有关方面,从而产生期望利益。舞弊者经常会获取间接的个人利益。例如:
·出售或分配子虚乌有的或错报的资产;
·进行非法政治捐款、行贿、提供回扣、向政府官员/政府官员的中介/客户/供应商支付酬金等不当行为;
·故意错报或错误评估业务交易、资产、负债或收入;
·对转移支付故意进行不当定价;
·进行故意的不当关联方交易;
·故意没有记录或披露重要信息;
·开展明令禁止的商业活动;
·税务欺诈。
(2)危害机构的舞弊
这类舞弊一般是为了直接或间接地给机构雇员、外部人员或其他机构谋利,例如:
·收受贿赂和回扣;
·将在正常情况下会给机构带来利润的潜在赢利交易转给雇员或外部人员;
·贪污;
·故意隐藏或错报事项或数据;
·要求为实际上并未提供给机构的服务或商品支付款项。
2、遏制舞弊
遏制舞弊包括采取行动防止舞弊的发生,并在舞弊确实发生时限制其涉及范围。遏制舞弊的首要机制是控制。管理人员负有建立并维护控制的首要责任。
内部审计师负责根据机构经营活动各方面的潜在风险水平,通过检查和评估内部控制系统的充分性和有效性来协助遏制舞弊。在履行这种职责时,内部审计师应该确定:
(1)机构环境是否有助于培养控制意识;
(2)机构目标是否切实可行;
(3)是否拥有书面政策,对明令禁止的活动和发现违法现象时需要采取的行动进行说明;
(4)是否已经为开展业务交易制定并维护恰当的授权政策;
(5)机构是否开发有关政策、实务、程序、报告和其他机制,以便监测有关活动和护卫资产(尤其是在高风险领域);
(6)交流沟通渠道能否为管理人员提供充分可靠的信息;
(7)是否需要为建立或加强具有成本效益的控制措施提供建议。
当内部审计师怀疑机构内部存在错误做法时,应告知机构有关主管人员,并就需要开展何种调查提出建议。此后,审计师应该不断追踪,确定内部审计部门的职责是否得到了履行。
3、舞弊调查
舞弊调查包括延伸实施必要的程序,确定是否确实发生了舞弊,以及收集已发现舞弊的具体细节。内部审计师、律师、调查人员、安全人员和其他来自机构内部或外部的专家都经常开展或参与舞弊调查。
在开展舞弊调查时,内部审计师应该:
(1)评价机构内部发生舞弊的概率和同谋程度;
(2)保证调查工作确实是由拥有恰当技术专长的人员来开展,而且这些人员与被调查人员或机构的任何雇员和管理人员都没有任何关系;
(3)设计相关程序,确认舞弊者、舞弊程度、所用技术和舞弊原因;
(4)只要条件合适就应该与管理人员、法律顾问和其他专家协调活动;
(5)认识到舞弊嫌疑人和调查范围内有关人员的权利以及机构本身的名誉。
4、对舞弊的报告
舞弊调查结束后,内部审计师就应该评价已知事实,并向管理人员提供关于舞弊调查情况和结果的各种口头或书面、中期或最终的报告。报告应该包括调查发现、结论和建议意见。
《标准》第2400条可用于解释作为舞弊调查结果公布的调查报告。对于舞弊报告的额外解释性指导如下:
(1)当审计师已在合理程度上确认机构发生了严重的舞弊现象时,应及时通知管理高层和董事会;
(2)调查结果可能表明舞弊在一年或几年中对机构的财务状况和经营成果已经产生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。内部审计师应该将此发现通知管理高层和董事会;
(3)关于舞弊的最终报告的草稿应该提交机构法律顾问审查。
5、舞弊的发现
舞弊的发现包括确认充分的舞弊迹象,以保证有充分的理由推荐开展舞弊调查。通过管理人员建立的控制、审计师开展的测试和其他机构内外部渠道可能会使这些迹象浮出水面。
内部审计师在发现舞弊方面的责任是:
(1)充分了解舞弊,包括舞弊的种类、特点、进行舞弊的技术等;
(2)警惕诸如控制薄弱环节等可以引发舞弊的机会。如果发现了严重的控制薄弱环节,内部审计师所开展的额外测试就应该包括旨在发现其他舞弊现象的测试。此类舞弊迹象包括:未经授权开展的交易、无视控制措施、未经解释的定价例外情形以及异常的巨额产品亏损。同时存在一种以上舞弊迹象增加了可能发生舞弊的概率;
(3)评估表示可能存在舞弊的有关迹象,并确定是否需要采取进一步的措施,或应该推荐开展调查;
(4)如果审计师确定已有充分迹象表明发生了舞弊,因而推荐进行舞弊调查,那么,审计师就应通报机构主管人员。
不指望内部审计师拥有与主要责任是发现和调查舞弊的人员相当的知识。而且,即使审计师以应有的职业审慎执行审计程序,审计程序本身并不能保证舞弊一定会被发现。
管理层和内部审计部门在发现舞弊方面扮演了不同的角色。内部审计部门的常规工作程序是作为一项服务为机构提供独立的评价、检查和评估。在发现舞弊的过程中,内部审计的目标是向机构的有关成员提供对被审计活动的分析、评估、建议、咨询和信息,从而帮助其履行职责。审计工作的目标包括在合理的成本基础上促成有效的控制。
管理层有责任在合理的成本基础上建立和维持有效的控制系统。在某种程度上,舞弊可能会出现在上述所定义的常规审计过程中。内部审计师有责任履行“应尽的责任”,这点在第1220条标准中有定义。内部审计师应有足够的舞弊知识来确认可能发生舞弊的线索,警惕可能引起舞弊的机会,评估额外调查的需要并通报有关的管理层。
一个设置良好的内部控制系统不应有益于舞弊的发生。审计人员实施的测试与管理层建立的合理控制相结合将会提升发现和进一步调查任何现存的舞弊线索的可能性。
.C1
—当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他能力时,审计执行主管应婉言拒绝开展此项业务或向他人寻求有力的建议或帮助。
应有的职业审慎性
--------------------------------------------------------------------------------
内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技能。应有的职业审慎性并不意味着永不出错。
1、应有的职业审慎性应该适合正在开展的审计业务的复杂程度。内部审计师应该警惕故意犯错、发生错误和遗漏、消极怠工、浪费、工作无效和利益冲突等情况的可能性,以及最可能发生违法乱纪现象的情形和活动。此外,还应该确认控制不够充分的领域,并提出促进遵守可接受程序和实务的改进建议。
2、应有的职业审慎性意味着合理的谨慎和能力,而不是永不出错或永不出现反常工作表现。她要求审计师在合理程度上开展检查和核证工作,但不要求对所有交易进行详细检查。相应地,内部审计师不能绝对保证机构不存在不遵守规定或违法乱纪现象。然而,无论何时开展内部审计,审计师都应该考虑存在重大违法乱纪现象或不遵守有关规定的现象的可能性。
.A1
—内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:
·为实现审计目标而需要开展的审计工作的范围;
·所要保证事项的相对复杂性、重大性和重要性;
·风险管理、控制与治理过程的充分性和有效性;
·严重错误、违规或不守法的概率;
·与潜在利益相对的审计成本。
“风险”是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。
“控制”是指管理层、委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。管理层计划、组织并指导诸多方案的实施,以合理地保证目标得以实现。
.A2
—内部审计师应警惕可能影响目标、运营或资源的重大风险。但是,即使是以应有的职业审慎性开展工作,只依靠保证程序本身并不能保证发现所有的重大风险。
.C1
—在开展咨询业务时,内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:
·客户的需求与期望,包括咨询结果的性质、时间选择与报告。
·为实现咨询目标而需要开展的工作的相对复杂性与工作范围。
·与潜在利益相对的开展咨询业务的成本。
继续职业发展
--------------------------------------------------------------------------------
内部审计师应通过继续职业发展来增长知识、提高技能及其他方面的能力。
1、内部审计师有责任继续接受教育,维持其专业水平。
2、鼓励内部审计师通过获得恰当的专业资格证书(如:注册内部审计师头衔和其他国际内部审计师协会授予的头衔)来展示其专业水平。
3、拥有专业资格证书的内部审计师应该获得充分的继续专业教育,来满足与所持专业资格证书相关的要求。
4、鼓励目前尚未拥有专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目。
--------------------------------------------------------------------------------
审计执行主管应制定并坚持开展质量保证与改进项目,该项目应涵盖内部审计活动的方方面面并不断监督内部审计活动的效果。设计该项目要有助于内部审计活动增加价值、改善机构的经营状况、并确保内部审计活动遵循《标准》与《职业道德规范》。
“增加价值”指机构的设立,是为其所有者、其他利益关系方、顾客和客户创造价值或谋取利益。此概念说明了它们存在的目的。他们通过开发产品和服务,利用资源推出这些产品和服务来提供价值。内部审计师在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些都应传达给相应的经营管理人员。
质量项目评价
--------------------------------------------------------------------------------
内部审计部门应采取一种程序,监督、评价质量项目的整体效用。该过程应包括内部与外部评价。
1、质量项目的目的是在合理程度上保证内部审计工作遵守《标准》、《职业道德规范》、内部审计部门章程和其他适用标准。质量项目应该包括监督、内部评价及外部评价三个因素。
2、上文所提及的合理保证既要满足审计执行主管的需要,也要满足其他人员和机构的需要,如高级管理人员、外部审计师、董事会和管理机构。
3、遵守适用的标准不仅仅是遵守既定的政策和程序,它还意味着必须迅速有效地开展工作。而质量对于迅速高效地开展工作以及维护内部审计部门的声誉都具有重要意义。
4、衡量内部审计部门工作的一个关键标准是部门章程。可根据《标准》第1000条所具体说明的因素对章程进行评价。其他一些适用标准有:
·《职业道德规范》;
·内部审计部门的目的、政策和程序;
·适用于内部审计部门工作的机构政策和程序;
·具体说明审计和报告要求的法律、规定和政府/行业标准;
·确定可审计活动、评价风险和确定审计业务频率及范围的方法;
·审计业务计划文件,尤其是提交给高级管理人员和董事会的计划文件;
·机构计划以及内部审计部门的岗位要求说明、职位说明、职业发展计划。
内部评价
--------------------------------------------------------------------------------
内部评价应包括:
·不断对内部审计活动的开展情况进行检查。
·定期的检查可以通过自我评价进行,也可以由机构内部了解内部审计实务与《标准》的人员进行。
1、对内部审计师的工作进行监督是为了保证遵守内部审计标准和审计方案。充分的监督是质量保证项目最重要的内容,是开展内部和外部评价的基础。《标准》第2340条和相关指南中规定了监督的性质和责任。
2、应该由内部审计部门的人员定期开展正式的内部评价,评价工作的方法应该与其他评价业务的方法一致,而且一般应由审计执行主管挑选的小组或个人来完成。大型内部审计部门可能指定专人担任质量保证经理或履行类似职责。
3、内部质量评价主要服务于审计执行主管的需求,但也可以为高级管理人员和董事会服务。这些评价工作应该得到规划,以便指出内部审计部门对《标准》、政策的遵守程度及审计的有效性,并为改进审计工作提供建议。
4、内部评价项目,特别是小型内部审计部门的内部评价项目,要求得到适当的调整,这些调整应考虑内部审计部门的结构以及审计执行主管在各审计项目中的参与程度。
5、审计执行主管应该倡导并监测内部评价过程。挑选工作小组时,应该保证各成员在素质上合格,在工作上尽量独立。审计执行主管应该检查每次正式内部评价的结果,并保证采取恰当的行为。虽然内部评价的目的是从内部评估内部审计部门工作的有效性,但是,审计执行主管将评价结果与部门外部有关人员(如高级管理人员、董事会和外部审计师)分享可能比较合适。内部评价还可以作为自我评价过程的一部分协助外部评价的准备工作。
6、以下方法可以提供对正式内部检查起补充作用的评价内容:
(1)由审计执行主管、审计经理或审计管理人员对其他审计管理人员指导开展的审计业务(审计管理)进行抽样检查。
(2)在每项审计完成后或定期挑选有关审计业务,通过使用问卷或进行调查来获得客户对审计的反馈意见。
外部评价
--------------------------------------------------------------------------------
诸如质量保证检查的外部评价应至少每五年开展一次,由合格的、机构外部的独立评价员或评价小组来进行。
1、开展外部评价是为了评价内部审计部门的操作质量,它可以提供相当有价值的信息。它的另一重要目的是为高级管理人员、董事会和其他人员(包括需要依赖内部审计工作的外部审计师)提供独立质量保证。审计执行主管应该与高级管理人员、董事会一起根据总的质量项目讨论外部评价工作的性质,并请高级管理人员、董事会参加外部检查人员的挑选工作。
2、外部评价应该由独立于机构、并且在表面上和实际上与机构都没有利益冲突的合格人员开展。评价小组可以由来自机构外部的内部审计师、外部咨询顾问或外部审计师组成。在挑选外部检查人员时,应该考虑,鉴于检查人员过去或现在与机构或其内部审计部门的关系,可能存在实际的或表面的利益冲突。
3、由机构其他部门(如法律或财务部门)的人员开展的评价,不是独立的外部评价,尽管这些部门在机构上独立于内部审计部门,但这些评价人员可能会引发实际的或表面的利益冲突。
4、各国的外部审计机构已经具体说明了他们在评价和应用内部审计部门工作时应该考虑的某些有限检查程序。这些程序主要与内部审计的工作质量以及独立程度有关,而且经常与外部审计师对机构财务报表的审计有关,因而一般不会构成外部评价。
质量项目的报告
--------------------------------------------------------------------------------
审计执行主管应把外部评价结果报告给董事会。
1、在完成外部评价后,检查小组应该出具包括关于内部审计部门对《标准》遵守情况的意见的正式报告。报告还应该涉及内部审计部门对本部门章程和其他适用标准的遵守情况,并提出恰当的改进建议。报告接收人应该是要求开展评价的个人或机构。审计执行主管应该响应外部评价报告中的重要评论和建议,编制书面行动计划,并采取恰当的跟踪措施。
2、对内部审计部门遵守《标准》情况的评价是外部评价的关键内容。但是,正如上文所述,评价时还应该考虑其他标准。
使用“内部审计工作依据《标准》开展”的声明
--------------------------------------------------------------------------------
鼓励内部审计师以内部审计活动“依据《内部审计实务标准》开展”来报告他们的活动。但是,只有在质量改进项目的评价结果表明内部审计活动是遵循了《标准》的情况下,内部审计师才可使用此声明。
1、在世界各国,开展内部审计的环境(包括法律、风俗习惯、机构的目标、规模和结构等)各不相同,《标准》的实施受到环境的管束。内部审计师在履行职责前遵守《标准》的有关规定是至关重要的。
2、《标准》为内部审计师提供了开展实际工作的框架。伴随标准的实务公告则对这些标准进行了解释,并说明了遵守这些标准的恰当手段。
3、审计执行主管应该确定内部审计部门是否遵守《标准》,可以应用第1300-1340条标准和相关指南所确定的技术。
披露违规行为
--------------------------------------------------------------------------------
尽管内部审计活动的开展应完全与《标准》保持一致,内部审计师也应充分遵守《职业道德规范》,但偶尔也会出现不能完全遵守的情况。当不合规的行为影响到全局或影响内部审计活动的开展时,就应向高级管理层和董事会进行披露。
工作标准
--------------------------------------------------------------------------------
审计执行主管应有效地管理内部审计活动,确保内部审计活动为机构增加价值。
目的是实现由管理高层批准、董事会认可的内部审计部门章程所规定的总体目标和职责,高效利用内部审计部门的资源,并使内审活动符合《标准》的要求。
制定审计计划
--------------------------------------------------------------------------------
审计执行主管应根据风险制定计划,来确定符合机构目标的、内部审计的工作重点。
1、计划包括以下内容:(1)附带衡量标准和实现日期的目标;(2)审计工作安排,如将开展哪些活动、计划审计日期、预计完成时间;(3)人员配置计划和财务预算;(4)部门报告。
2、审计工作安排的重点应考虑以下事项:(1)最近一次审计的日期和结果;(2)对风险的评价;(3)管理层的要求;(4)与机构治理有关的问题;(5)企业经营、制度、系统的主要变化;(6)实现营业利益的机会;(7)审计人员的变动和工作能力。
3、将审计计划与风险相联系
(1)应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划。
(2)审计范围可以包含机构战略性计划的组成部分,从而考虑并反映整个公司的计划目标。战略性计划也可能反映出机构对待风险的态度和实现既定目标的困难程度。建议至少每年对审计范围进行一次评估,以反映机构的最新战略和方针。
(3)应该在评估风险优先次序的基础上安排审计工作。风险因素有:金额的重大性、资产的折现力、管理能力、内部控制的质量、变化或稳定程度、上次审计业务开展的时间、复杂性、与雇员及政府的关系等。
(4)更新审计范围与计划的内容时,应该反映管理层的方针、目标、工作重心出现的变化。
(5)用于检测、证实风险的技术与方法应该能够反映出风险的重大性与发生的可能性。
(6)在向管理层的报告中应该传达对风险管理的结论和建议,以降低风险。
(7)审计执行主管应该至少每年准备一份关于内部控制充分性的声明,以减少风险。声明应该对未防范风险的重大性及管理层对此风险的接受情况发表意见。
.A1
—内部审计活动的业务计划应至少一年进行一次,并在风险评估的基础上制定。在制定计划的过程中,应考虑到高级管理层和委员会的意见。
.C1
—审计执行主管应根据以下标准考虑是否接受所提议开展的咨询工作,即该工作在改善风险管理、增加价值、改善机构的运营方面的潜在作用。应在计划中罗列出已经接受的咨询工作。
报告与通过
--------------------------------------------------------------------------------
审计执行主管应把内部审计活动的计划与资源要求(包括重要的、临时性变化)提交高级管理层和委员会报告、审议通过。审计执行主管还应说明资源方面的限制可能带来的后果。
1、每年,审计执行主管都应将内部审计部门关于工作安排、人员配备和财务计划等方面的总结、所有重要的中期变化报管理高层审批,报董事会参考。审计工作安排、人员配备和财务计划应该将内部审计工作的范围以及对这种范围的限制告知管理高层。
2、经过审批的审计工作安排、人员配备和财务计划和所有重要的中期变化都应该包括充分的信息,使董事会能够确定内部审计部门的目标和计划能否支持机构和董事会的目标和计划。
资源管理
--------------------------------------------------------------------------------
审计执行主管应确保内部审计资源的适当性、充分性及有效利用,以完成所通过的计划。
1、 评估内部审计资源
(1)人员配置计划和财务预算包括审计人员的数量以及开展审计工作所需要的知识、技巧和其他能力,应根据审计工作日程安排、管理活动、教育和培训需求以及审计研究和发展的情况来确定。
(2)审计执行主管应制订方案以选择和开发内部审计部门的人力资源。方案应规定:为每一个层次的审计人员制订书面的岗位说明;选择合格的和能够胜任工作的人员;培训每一位内部审计人员,并为提供后续教育的机会;至少每年一次对每个内部审计人员的业绩进行鉴定;向内部审计人员提供业绩和专业发展方面的咨询建议。
2、美国证券监督委员会对外部审计师提供内部审计服务的独立性要求。
(1)美国证券监督委员会于2001年2月5日通过了关于外部审计师独立性的修正条例,以根据以下内容确定审计师是否独立:
.审计师或其家庭成员有没有对审计客户投资;
.审计师或其家庭成员和审计客户之间有无雇佣关系;
.审计公司向其审计客户提供的服务范围。服务范围的规定并不延伸至向非审计客户提供的服务。
(2)修正条例。
.大大减少审计公司中相关雇员及其亲属的数目:在确定外部审计师的独立性时,这些人对审计客户的投资都归到审计师身上;
.缩小其任职会影响外部审计师独立性的前任公司雇员数目及其亲戚圈;
.确认一旦由外部审计师向公募公司审计客户提供会损害审计师独立性的某些非审计业务;
.要求大多数公募公司在其年度代理投票声明中披露与外部审计师在最近一个财务年度提供的非审计服务有关的某些信息;
.如果会计公司拥有质量控制并满足其他有关条件,那么即使它们无意出现独立性受损情况,也可以作为例外情形,不认为这些会计公司没有独立性。
(3) 实施新条例的过渡日期如下:
2002年8月5日以前:提供与评价、评估、发表公允性意见和内部审计服务有关的非审计服务不会影响会计师对此审计客户的独立性,条件是根据美国证券监督委员会、独立标准委员会或美国会计行业以前的要求开展这些业务不损害外部审计师的独立性。
2002年12月31日以前:对于每年为500多家根据《1934年证券交易法》第12条在美国证券监督委员会登记上市的公司提供审计、检查或鉴证服务的会计公司,如果它们在美国以外的办事处没有建立具备新条例所要求特征的质量控制系统,仍然不会认为它们缺乏独立性。
(4)如果会计师为其审计客户提供了以下非审计服务,那么外部审计师就缺乏独立性。包括:与审计客户的会计记录或财务报表有关的记账或其他业务;财务信息系统的设计和实施;提供评价、评估、公允性意见;精算服务;内部审计服务;管理职能;人力资源;经纪人服务;法律服务。
(5)如果发生以下情况,外部审计师的独立性就受到了损害:
①外部审计师在任意一个财务年度提供的内部审计服务超过了在审计客户内部审计部门所花总时间的40%,除非审计客户的总资产少于2亿美元。
②外部审计师可以提供任何内部审计服务或与内部会计控制、财务系统或财务报表无关的操作性内部审计服务,除非:
.审计客户的管理层已以书面形式向会计公司和审计客户的审计委员会或董事会确认客户有责任根据《1934年证券交易法》建立并维护内部会计控制系统;
.审计客户的管理层指定主管职员或一般雇员负责内部审计部门;
.审计客户的管理层确定了内部审计业务的范围、风险和频率;
.审计客户的管理层评价内部审计业务所发现的问题和取得的结果;
.审计客户的管理层通过从会计那里获取报告评价审计程序和审计发现的充分性;
.审计客户的管理层不能将会计的工作作为确定内部控制充分性的主要依据而依赖这些工作。
(6)审计执行主管应该就美国证券监督委员会关于外部审计师独立性要求的条例协调内部审计部门、管理层、审计委员会和外部审计师的关系。
(7)审计执行主管应该证实并在必要时协助上述第(5)条第②小点中的6条标准得到实现。
(8)审计执行主管应该确定就美国证券监督委员会条例要求的定义和应用与各方达成一致意见。
(9)以下范例代表了应该得到评价和达成一致意见的部分考虑内容:
.如何定义“内部审计活动”;
.在拥有多个或分散化内部审计部门的公司中,美国证券监督委员条例会应该应用于这些部门的总体服务;
.公司应该就如何定义内部会计控制、财务系统、财务报表和操作性内部审计服务达成一致意见(注意:美国证监会条例没有排除所有操作性内部审计服务,只是排除了与内部会计控制、财务系统、财务报表无关的内部审计服务);
.如何针对外部审计师可以提供的内部审计服务计算40%的限额(注意:条例自2002年8月5日起生效,将只包括最初实施阶段的一年中部分时间的小时数);
.40%的限额计算应该在审计阶段开始时进行,并以当年所计划的内部审计活动为依据。审计执行主管应该建立恰当的监测系统,定期评价对40%限额的遵守情况,并对内部审计活动进行适当的调整。
政策与程序
--------------------------------------------------------------------------------
审计执行主管应制定政策与程序,指导内部审计活动。
政策与程序的内容和形式应与内部审计活动的规模和结构及其工作的复杂性相适合。大的内部审计机构可制定内部审计手册,小的内部审计机构可通过日常的工作指导和备忘录来指导。
协调
--------------------------------------------------------------------------------
审计执行主管应与提供相关保证与咨询服务的其他内外部人员分享信息、相互协调,以确保工作的全面性,最大限度地减少重复工作。
1、协调
(1)内部审计和外部审计工作范围的区别
内部审计工作范围——用系统化、规范化的方法评估并增强风险管理、控制和公司治理的有效性。
外部审计工作范围——为获取充分的证据以支持其对年度财务报表的公允性发表审计意见。
(2)对内部审计工作与外部审计工作的协调与监督,是董事会的责任。审计执行主管在董事会的支持下负责实际的协调工作。在与外部审计人员协调时内部审计人员必须在遵守《标准》的原则下进行,尽可能采取能实现最大审计协调和效率的检查方式。
(3)协调的内容包括:协助外部审计师进行财务报表审计;评估内外部审计人员的审计职责;评价双方的工作协调情况和外部审计师的工作情况,并向管理高层和董事会汇报;就特定事项与外部审计师交流;定期商讨双方关心的事项,如协调双方的审计范围、互相接触审计方案和工作底稿、交换审计报告和管理建议书、互相理解对方使用的审计技术、方法和术语等。
2、采购外部审计师的服务
(1)内审部门在机构聘任内部或外部专家过程中的参与程度,取决于高级管理层和董事会的意愿。可能是不参与、提供建议和协助、参与管理、乃至审计聘任的全过程。
董事会和审计委员会要对聘任内部或外部审计人员制定一项政策,说明是定期需要,是组织的正常业务活动,以消除内审人员的疑惑。如没有该项政策,审计执行主管应当促成这项政策。
(2)选择或保留公司外部审计服务的恰当政策应该考虑以下内容:
.董事会或审计委员会对政策的批准;
.政策所管辖服务的性质和种类;
.合同期限、正式提出服务请求的频率和/或保留现有服务提供者的决心;
.选择和评价小组的参与人员或成员;
.评价时应该考虑的关键或首要标准;
.对服务收费的限制以及批准政策例外情形的程序;
.具体行业或国家特有的管理或其他治理要求。
(3)董事会政策可能还会涉及采购外部审计公司可以提供的财务报表审计以外的其他服务。包括:
.税务服务;
.咨询和其他非审计服务;
.从外部采购内部审计服务和/或联合采办审计服务;
.特别服务(如已达成协议的服务内容);
.评估、评价和精算业务;
.招聘、簿记、技术服务等临时业务;
.外部审计小组提供的法律服务。
(4)内部审计师在参与聘任过程中,可采取以下程序:由管理层召开会议说明需要提供的服务和条件;与候选人举行现场会议;要求候选人提供背景信息和其他信息;筛选候选人;签订书面协议,明确权责。
向董事会与高级管理层报告情况
--------------------------------------------------------------------------------
审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。另外还应报告重要的风险揭示与控制问题、公司治理问题以及委员会和高级管理层需要或要求知晓的其他事项。
1、审计执行主管应至少每年向高级管理层和董事会提交一次工作报告。工作报告应突出重要的审计发现和建议,应通报已批准的审计工作项目计划、人员配置计划、财务预算在执行中出现的任何重要偏离及其原因。
2、重要的审计发现指那些根据审计执行主管的判断,可能对机构产生不利影响的情况,包括处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。
3、管理层的职责是对重大的审计发现和建议所应采取的适当改进措施作出决定,有可能因考虑到成本费用和其他原因,而不采取整改措施,承担因此产生的风险。应将高级管理层作出的决定通知董事会。
4、如管理层决定不采取整改措施,审计执行主管应考虑将原先已报告的重要审计发现和建议再向董事会报告是否恰当。尤其是机构、董事会、高级管理层或其他方面有变动时。
5、审计报告还应该将内部审计的实际业绩与工作目标和审计工作日程比较,将支出与财务预算相比较。
--------------------------------------------------------------------------------
内部审计活动评价并帮助改进机构的风险管理、控制和治理体系。
1、工作性质
(1)内部审计的工作性质是要应用系统化、规范化的方法,来评价和改进风险管理、控制和治理过程的充分性、有效性和履行职责的质量,以保证这些程序按预期进行,改善生活机构的运营状况,实现机构的目标和目的。
充分性—管理层已经计划和设置了风险管理、控制和治理程序,能够为有效实现机构目标和目的提供合理的保证。
有效性—准确、及时和经济地实现机构的目标和目的。
经济性—根据风险程度用最少的资源实现机构的目标和目的。
(2)如果管理层提供指导的方式能够确保机构的目标、目的得以实现,那么风险管理、控制和治理程序就是有效的。管理层还应通过授权开展业务和交易,监督业绩,证实机构的程序按设计如期运营管理机构。
(3)广泛地说,管理层既要对整个机构的可持续发展能力负责,也要对机构的活动、行为作出解释,同时要对所有者、利益关系方、管理机构、普通公众负责。整个管理程序的目标是:
.财务和运营信息的相关性、可信赖性和可靠性;
.高效率有成果地利用机构资源;
.护卫机构的资产;
.遵守法律、规章、道德和业务规范及合同;
.识别风险并利用有效的战略控制风险;
.为运营或方案建立目标和目的。
(4)为确保实现目标,管理层除要计划、组织和指导实施大量的活动外,还要定期检查目标和目的并修改程序,以及建立和保持机构的文化。
(5)控制—管理层开展的用以增强实现既定目标和目的实现可能性的一切活动。包括:预防性的、发现性的、指导性的。
控制系统—机构用以实现其目的和目标的所有控制要素和活动的整合。
(6)内部审计师要评价计划、组织和指导的整个管理过程,以确定是否能合理保证任务和目标的实现。内部审计师应警惕在内外部环境中影响提供保证服务的实际或潜在的变化,并应处理可能使业绩恶化的风险。
(7)总的来说,内部审计评估能够提供信息,评价整个管理过程,以合理保证管理层的风险管理系统有效,内部控制系统高效率、有效果,治理程序有效。
2、信息安全性
内部审计师应确定管理层是否明确信息安全性是一种管理责任;应确定内部审计活动拥有或有办法获取相关的审计资源,对信息安全性和有关风险进行评价;应确定管理人员是否保证一旦出现威胁机构的侵害信息安全的情况会马上告知内部审计人员;应评价对侵害行为采取措施的有效性和核证董事会、审计委员会或其他治理机构已通过恰当途径获知侵害行为等的具体情况;应定期评价机构的信息安全实务,在合适的条件下,加强或实施新的控制和保卫措施,并根据评价结果为董事会、审计委员会或其他治理机构提供保证报告。
3、内部审计在风险管理过程中的作用
风险管理是管理人员的关键职责,管理人员应该保证机构的风险管理过程健全有效,并发挥作用。
董事会和审计委员会负责监督、判断机构是否有适当的风险管理过程,以及是否充分、有效。
内部审计师的职责是,运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议,为管理层和审计委员会提供帮助。作为咨询顾问身份开展工作的内部审计师可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
对机构的风险管理过程进行评价和报告一般是审计的重点。评价管理风险程序有别于审计师应用风险分析对审计进行的计划工作。但是,来自综合性风险管理过程的信息有助于内部审计师计划审计工作。
审计执行主管应理解管理层和董事会对内审部门在风险管理过程中起何作用的期望。这种理解应该在内部审计部门和审计委员会各自的章程中得到规定。
风险管理过程中,在一个组织内部应当有职责分工,各司其职。如战略方向的确定由董事会或委员会负责;风险的归属可以由管理高层分配;对剩余风险的接受可以由执行管理层决定;持续的确认、评价、减缓和监测活动可以由操作层人员分配决定;定期评价和保证工作由内审部门负责。
内部审计部门在风险管理过程中的作用有一个发展过程,即从不在风险管理过程中起任何作用;到作为内部审计工作计划的一部分对风险管理过程进行审计;到积极持续地支持并参与风险管理过程。至于起多大作用要由管理层和审计委员会决定。
4、内部审计在尚未建立风险管理过程的机构中的作用
这种情况下,审计执行主管应提请管理层注意,并提出建议。内部审计师应该就内部审计部门在风险管理过程中应起的作用获得管理层和董事会的领导支持,并在章程中作出规定。
如果有关方面提出要求,内部审计师可以积极协助机构风险管理过程的初步建立工作。内部审计师更为积极的作用是通过改善基本程序的咨询方式对传统保证活动进行补充。如果这些协助活动超出了内部审计师正常的保证和咨询工作范围,审计的独立性就会受到损害。在这种情况下,内部审计师应该遵守《标准》的披露要求。
内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上所起的作用。为了避免参与“风险归属”问题,内部审计师应该要求管理层证实其在确定、防范、监测以及决定风险“归属”方面的责任。
总之,内部审计师可以促进风险管理过程的建立或使建立成为可能,但是,不应该“拥有”已确认的风险或负责对这些风险的管理。
5、在评价合规项目时的法律考虑
合规项目可以协助机构防止雇员过失违法,发现违法行为并打击雇员的故意违法乱纪行为,还可以协助证明保险索赔,确定董事和高级职员的责任,创建并加强机构身份并决定惩罚性赔偿的合适性。内部审计师应该按照以下建议步骤评价机构的合规项目,促进合规项目的有效执行。
(1)机构应制定合规性标准和程序,供其雇员和其他有可能合理减少犯罪概率的代理机构或代理人遵守。
(2)机构高层的具体人员应该总体负责监督对标准和程序的遵守情况。
(3)机构应该审慎度事,避免将实质性的自主权授予机构知道或通过审慎度事应该知道有违法乱纪企图的人员。
(4)机构应采取步骤将其标准和程序向所有雇员和其他有关代理人进行有效宣传。
(5)机构应该采取合理步骤促成对其标准的遵守。
(6)应该通过恰当的纪律机制连贯一致地实施标准。
(7)在发现违法行为后,机构应该采取合理步骤对违法行为做出恰当反应并防止类似的错误再次发生。
风险管理
--------------------------------------------------------------------------------
内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。
1、评估风险管理过程的充分性
内部审计师可能会被委以就机构的风险管理过程是否充分向管理层和审计委员会提供保证的职责,对机构风险管理过程是否足以保护其资产、声誉以及持续运营能力发表意见。
内部审计师必须确认机构的风险管理过程是否着眼于5个主要目标:(1)找出经营战略与业务活动的风险,并将风险排序;(2)了解管理层和审计委员会确定的、能够接受的风险水平;(3)制定并实施降低风险计划,把风险降到可以接受的水平上;(4)定期对风险和控制进行评估,以降低管理风险;(5)定期向董事会和管理层报告风险管理过程的结果。
内部审计师应该认识到不同的机构由于活动性质不同在实施风险管理上有很大差别,风险管理过程可能是:(1)正式或非正式的;(2)定量或主观的;(3)分散在各个业务部门或集中在公司层次上。
研究、评估风险管理方法的参考资料和背景信息,在此基础上评估机构所应用的过程是否适当、是否代表了本行业的最佳实务。
-内部审计部门应监督、评价机构风险管理与控制体系的有效性。
.A2
-内部审计部门应评价机构的治理、运营及信息系统方面的风险因素:
·财务与运营信息的可靠性与完整性;
·运营的效果与效率;
·资产的护卫;
·法律、法规及合同的遵守情况。
.C1
-在开展咨询业务时,内部审计师应根据业务目标解决风险方面的问题,还应对其他的严重风险保持警惕。
.C2
-内部审计师应结合开展咨询服务时了解到的风险情况,查找、评价机构的重大风险因素。
控制
--------------------------------------------------------------------------------
内部审计活动应该评价控制的效率与效果、促进控制的不断改善,以此来帮助机构保持有效的控制。
.A1
-在风险评估结果的基础上,评价控制的充分性与有效性,范围包括机构的治理、运营及消息系统;此类评价应当包括:
·财务和运营资料的可靠性与完整性;
·运营的效果与效率;
·遵守法律、法规与合同的情况;
·资产的护卫情况。
1、对控制过程的评价和报告
机构管理高层和审计委员会一般希望审计执行主管在当年开展充分的审计工作,并收集其他可以获取的信息,以便就控制过程的充分性和效果性形成判断意见。审计执行主管应该将关于机构控制系统的总体判断意见向机构管理高层和审计委员会报告。越来越多的机构在提交外部利益关系方的年度报告或定期报告中收入管理层关于内部控制系统的报告。
审计执行主管应该为来年开发审计计划草案,保证获取充分证据,对控制过程的有效性进行评价。计划应该呼吁通过审计业务或其他程序,收集关于所有主要操作部门和业务部门的相关信息。还应该特别考虑最受近期或期望变化影响的运营领域。确定计划时,审计执行主管应该考虑其他人开展的相关工作,包括管理层和外部审计师计划的工作。最后,计划的范围应考虑是否充分涉及机构各部门和是否包括各种交易和业务过程。
内部审计所面临的挑战是在许多单项评价汇总的基础上评价机构控制过程的有效性,并及时将审计发现向恰当层次的管理人员通报,以便及时采取行动。在总体评价时,应考虑三大关键因素:(1)是否发现了漏洞或薄弱环节;(2)发现后是否进行了改进;(3)是否可以得出组织存在无法接受的普遍的风险的结论。
一般情况下,审计执行主管每年应该向机构管理层和审计委员会提交一份关于机构控制过程状况的报告。报告的意见部分一般采用否定形式的保证意见,报告的保证部分可采用有保留的或反面意见的形式。
有充分的证据表明,围绕内部审计部门在评价控制和就控制过程的运作状况提供保证方面存在期望差距。一种差距是,管理人员和审计委员会一般对内部审计服务的价值抱有较高期望,而内部审计师了解审计范围所受的实际限制,而且对于能否产生足够的证据、为形成客观知情的判断意见提供支持抱怀疑态度,因此,内部审计师对内部审计工作的期望比较适度。另一差距是,报告读者的期望和当年实际发生的情况之间可能存在的差距。审计执行主管应该将报告变成协调不同期望的手段,并通过报告建议改进机构的能力并减少审计师在获取信息和实现审计效果方面受到的限制。
2、应用控制自我评价对控制过程的充分性进行评价
(1)控制自我评价的定义和作用
控制自我评价—管理人员和内部审计师合作评价控制程序有效性的一种方法。
通过控制自我评价可以发挥管理人员积极性,他们可以学到风险管理和控制的知识,熟悉本部门的控制过程,使风险更易于发现,使纠正措施更易于落实。同时,通过控制自我评价内部审计师可以更好地了解控制程序的运作等,以及减少控制程序信息的收集。
(2)控制自我评价的目标和组织形式
控制自我评价有四个目标:确认风险;评价为减少风险而设置的风险管理和控制措施的有效性;制定把风险减少到可以接受程度的计划;确定实现业务目标的可能性。
为实现以上目标,可以综合运用三种组织形式:举办协调小组研讨班,包括分别以业务目标、风险、控制、过程为基础的方式;调查形式;管理人员分析会的形式。
3、内部审计机构在控制自我评价中的作用:
(1) 对某些自评项目进行投资;
(2) 为工作小组配备协调员和专家;
(3) 担任自评项目顾问,最终核实小组评价报告;
(4) 通过自评协助管理人员建立和完善风险管理和控制系统。
.A2
-内部审计师应检查运营与项目目标的确定程度、检查它们与机构目标的一致程度。
.A3
-内部审计师应对运营与项目进行评价,检查其结果与既定目标的一致程度、判断这些运营和项目是否按计划得到执行或操作。
.A4
-评价控制需要遵循适当的标准。内部审计师应检查管理层已制定的、用于判断目标是否实现的标准的适当性。如果此标准适当,内部审计师应在评价中加以应用。如果不适当,内部审计师应与管理层合作,制定适当的评价标准。
内部审计部门需要恰当的标准对控制进行评价。如本机构制定的标准恰当,应予采用。如果机构没有制定标准或标准不恰当,应和管理层一起开发恰当的标准,建议采用行业标准、专业组织标准、协会标准、法律和政府标准。如果管理目标和标准模糊,审计师应寻求权威性解释。衡量业绩的标准应与被审单位达成一致意见。
-在开展咨询工作的时候,内部审计师应该解决与此工作目标相一致的控制事项,并且应警惕是否存在控制薄弱环节。
-内部审计师应利用从咨询工作中了解到的控制情况,将其用于发现并评价机构的重大风险。
治理
--------------------------------------------------------------------------------
内部审计活动应该评价并改进机构的治理程序,为机构的治理作贡献,公司治理有助于(1)制定、传达目标和价值,(2)监控目标的实现情况,(3)确保责任制,(4)维护价值。
治理过程—组织的投资人代表,如股东等,所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。
内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献:1、制定、传达目标和价值;2、监控目标的实现情况;3、确保责任制;4、维护价值。内部审计师应对运营和项目进行评价,以确保与组织的价值保持一致。
内部审计部门和内部审计师由于在组织中得到高度的信任,有良好的道德操守和技能,有能力提请领导层、管理人员和员工遵守法律、道德规范和社会责任,应当支持组织在道德文化建设中发挥积极作用。
内部审计部门至少应该定期评价机构的道德气候以及机构战略、战术、信息流通等过程的有效性。
.A1
-内部审计师应对运营与项目进行评价,以确保与机构的价值保持一致。
.C1
-咨询业务的目标应与机构的整体价值和目标相一致。
--------------------------------------------------------------------------------
内部审计师在开展每项审计业务时都应制定并记录审计计划。
计划制定过程中应考虑的因素
--------------------------------------------------------------------------------
在制定审计业务计划时,内部审计师应考虑到:
·被评估活动的目标和对活动实施进行控制的方式。
·被评估活动存在的风险、目标、资源与运营以及将风险的潜在影响控制在可接受水平的方式。
·与相关的控制框架或模式相比较,该活动的风险管理与控制系统的充分性与有效性。
·对该活动的风险管理与控制系统进行重大改进的机会。
1、内部审计师负责计划并实施审计业务,同时接受有关人员的监督检查和审批。审计方案应该:(1)将内部审计师在开展业务过程中收集、分析、解释并记录信息的程序进行文件记录;(2)说明审计业务的目标;(3)说明在审计业务的每个阶段实现工作目标所需的测试范围和程度;(4)确认应该检查的技术方面、风险、过程和交易;(5)说明所需测试的性质和范围;(6)在审计业务开始前制定完毕,并在审计过程中得到必要修改。
2、审计执行主管负责确定应该向谁报告审计结果,何时和如何进行报告。这种确定工作如果实际可行应该记录并向管理人员报告。随后影响审计结果出具时间和报告工作的变化也应该向管理人员报告。
3、应该确定审计业务的其他要求(如审计时间阶段和预计审计完成日期)和考虑最后的审计报告形式。
4、管理层需要了解审计业务的人都应该得到相关信息。内部审计部门应该就有关事项的概述与负责即将接受审计活动的管理人员一起开会讨论,记录其结果,并在合适的情形下分发给有关人员并保留在审计工作底稿中。讨论的课题可包括:(1)计划内的审计目标和工作范围;(2)审计工作的时间安排;(3)分配参加此项业务的内部审计师;(4)整个业务实施期间的报告过程,包括方法、时间框架以及负责人员;(5)被审计活动的业务条件和操作情况,包括管理或主要系统的最新变化;(6)管理人员所关心的事项和要求;(7)内部审计师特别关心或感兴趣的事项;(8)对内部审计部门报告程序和跟踪过程的说明。
—内部审计师应与咨询业务的客户达成协议,内容包括业务目标、范围、各自的责任以及客户的期望。对于重要的咨询业务,此类协议应制作成书面文件。
审计业务目标
--------------------------------------------------------------------------------
审计业务的目标应是对被评价活动的风险、控制及治理过程提出意见。
1、应该记录审计计划,确定审计目标和工作范围。审计目标是内部审计师开发的、确定审计业务希望实现内容的概要声明。审计程序是实现审计目标的手段。审计目标和审计程序的结合确定了内部审计师的工作范围。
2、审计目标和程序应该针对与被审计活动有关的风险。在审计计划阶段评价风险的目的是确认应该作为潜在审计目标得到检查的重要领域。
.A1
—当制定审计业务计划时,内部审计师应发现、评价与被检查活动相关的风险。审计业务工作的目标应该反映风险评估的结果。
1、内部审计师应该获取关于被审计活动的背景信息,并对背景信息进行检查,以确定其对审计业务的影响。这些信息包括(1)目标与目的;(2)可能对运营和报告产生重要影响的政策、计划、程序、法律、规定和合同;(3)机构信息,如雇员人数和姓名、岗位说明等;(4)被审计活动的预算信息、运营结果、财务数据;(5)审计业务开始前的工作底稿;(6)其他审计业务的结果,包括已完成的或正在进行的外部审计师的工作;(7)用来确定潜在重要审计业务问题的通讯文档;(8)适合被审计活动的权威性和技术性文字。
2、如果条件适合,内部审计师应该开展调查,以熟悉有关活动内容、风险和控制,确认审计需要强调的领域,征求客户的评论和建议。调查是在不加详细证明的前提下对被审计活动收集信息的过程。调查的主要目的一是理解被审计活动;二是确认需要特别注意的重要领域;三是获取可用于开展审计的信息;四是决定是否需要开展进一步的审计。
3、调查使内部审计师得以在知情的前提下进行计划并实施审计业务,而且是将内部审计部门资源用于最能发挥效用领域的有效工具。调查的重点要根据审计业务性质的不同而不同。调查的工作范围和时间要求也各不相同。造成这种情况的原因包括内部审计师的培训和工作经验、对被审计活动的了解、所开展的审计业务的种类以及调查是否属于多次进行的审计或跟踪审计的内容。时间要求还可以受到被审计活动规模、复杂性和地理分布的影响。
4、调查可应用以下程序:首先,与审计客户开展讨论;其次,与受被审计活动影响的个人(如:被审计活动产品的用户)面谈;最后要进行现场观察。
5、对管理报告和研究结果的检查包括分析性审计程序,绘制流程图,功能性“走查”和记录关键控制活动。
6、调查结束应编写调查结果总结。总结应明确以下六点:(1)重要的审计业务问题和进一步探索这些问题的原因;(2)调查过程中开发的相关信息;(3)审计业务目标程序和特殊方法(如:计算机辅助审计技术);(4)潜在的关键控制点、控制缺陷和/或控制过度情况;(5)对时间和资源要求的初步估计;(6)(在适用条件下)不继续进行审计的原因。
—在制定审计业务计划时,内部审计师应考虑到存在严重错误、不合规、违规以及其他风险的可能性。
—咨询业务的目标是解决风险、控制与治理过程的有关事项,实现程度是以与客户达成的协定为准。
审计业务范围
--------------------------------------------------------------------------------
划分审计业务范围应足以实现审计业务目标。
—确定审计业务范围时应考虑到相关的系统、记录、人力及包括受第三方控制的实物财产。
—在开展咨询业务时,内部审计师应确保业务范围的充分性,以实现协定的目标。如果内部审计师在开展工作时对业务范围有保留,应与客户就保留进行讨论,决定是否继续进行审计工作。
审计业务资源的分配
--------------------------------------------------------------------------------
内部审计师应确定适当的资源,以实现审计业务目标。人员配置应依据对每项审计工作的性质和复杂性、时间限制以及可获得的资源的评价。
在确定开展内部审计工作所需的资源时,应考虑并评估如下要素:
(1)所需的内部审计师人员的数量和经验水平应依据对每项审计业务的性质和复杂性、时间限制以及可获资源的评价;(2)按审计业务要求考虑内审人员的知识、技能和其他能力;(3)由于每一项委托的审计工作任务都是满足内部审计部门不断发展要求的基础,所以应考虑内部审计人员的培训要求;(4)出于利用外部资源的考虑,需要进一步的知识、技能和其他能力。
审计业务工作方案
--------------------------------------------------------------------------------
内部审计师应制定实现审计业务目标的工作方案。应对这些工作方案予以记录。
1、如果可行,应事先选择审计程序(包括应用测试和抽样技术),并在条件允许的情形下得到扩充或修改。
2、应该监督收集、分析、解释和记录信息的过程,以维护审计师的客观性,实现审计目标。
—工作方案中应规定在审计过程中查找、分析、评价和记录信息的程序。工作方案应在工作开始之前得到批准,方案的任何调整都应立即得到批准。
对审计工作方案的审批是指审计执行主管或其他指定人员在审计工作开始之前书面批准审计工作方案。对审计工作方案的调整应得到及时批准。如果无法在审计工作之前获得书面批准,可以先获取有关方面的口头同意。
—咨询业务的工作方案的形式与内容取决于咨询业务的性质。
--------------------------------------------------------------------------------
内部审计师应收集、分析、评价并记录足够的信息,实现审计业务的目标。
收集信息
--------------------------------------------------------------------------------
内部审计师应收集到充分、可靠、相关、有用的信息,实现审计业务目标。
1、内部审计师应收集与审计目标和工作范围有关的所有事项的信息。在收集和检查信息时要应用分析性审计程序,比较财务和非财务信息之间的关系。在收集和检查信息时应用分析性审计程序的依据是以下假设:在缺乏已知的相反情形(包括异常的或不重复发生的交易或事件、会计/机构/运营/环境/技术的变化、效率低下、缺乏效果、错误、不合规或违法行为)下,可以合理期望信息之间的关系不仅存在,而且会得到发展。
2、信息应该充分、有力、相关、有助于为审计发现和建议提供健全的依据。充分的信息指信息忠于事实、恰当、具有说服力。有力的信息指信息可靠,而且最能通过恰当应用审计技术而获取。相关的信息是指信息能够支持审计发现和建议,并与审计目标保持一致。有用的信息指有助于机构实现其目标。
分析与评价
--------------------------------------------------------------------------------
内部审计师应在适当的分析和评价的基础上得出审计结论和审计结果。
1、分析性审计程序为内部审计师评价审计过程中收集的信息提供迅速有效的手段。通过将收集的信息和内部审计师发现或开发的期望值相比较,可以得出评价结果。分析性审计程序在确认以下内容时非常有用:(1)意外差异;(2)期望的差异没有出现;(3)潜在的错误;(4)潜在的不合规或违法行为;(5)其他异常或不重复发生的交易或事件。
2、分析性审计程序可以包括以下内容:(1)将目前阶段的信息与前阶段的类似信息相比较;(2)将目前阶段的信息与预算或预测相比较;(3)研究财务信息与适合的非财务信息之间的关系(如:将所记录的工资开支与雇员平均人数的变化进行比较);(4)研究信息组成因素之间的关系(如:将所记录的利息开支的浮动与相关债务余额变化进行比较);(5)将本部门信息与机构其他部门的类似信息进行比较;(6)将本机构信息与机构所在行业的类似信息进行比较。
3、可以通过应用货币金额、实物数量、比率或百分比来开展分析性审计程序。具体的分析性审计程序包括但不限于以下内容:比率、趋势和回归分析,合理性测试,各阶段比较,与预算、预测和外部经济信息的比较。分析性审计程序有助于内部审计师确认需要随后开展审计的情形。
4、内部审计师还应该在审计过程中应用分析性审计程序,对信息进行检查和评价,以支持审计结果。内部审计师在确定多大程度上应用分析性审计程序时应考虑下述因素:(1)被审计领域的重要性;(2)内部控制系统的充分性;(3)财务和非财务信息的可获得性和可靠性;(4)预测分析性审计程序结果的准确度;(5)机构所在行业有关信息的可获得性和可比性;(6)其他审计程序为审计结果提供支持的程度;(7)在评价这些因素后,内部审计师应该考虑应用其他必要的审计程序来实现审计目标。
5、当分析性审计程序发现意外结果或关系时,内部审计师应检查和评价这些结果和关系:包括对管理人员进行问询,并应用其他审计程序,直到内部审计师相信这些结果或关系得到充分的解释。如果无法得到解释,则表明存在潜在错误、不合规现象或违法行为等严重情形。内部审计师应将无法得到充分解释的结果或关系通报给合适层次的管理人员,并可根据情况推荐后者采取恰当措施。
记录信息
--------------------------------------------------------------------------------
内部审计师应记录相关的信息,支持审计结论和审计结果。
1、记录审计情况的审计工作底稿应由内部审计师编制,并由内部审计部门的管理层进行审查。这些工作底稿应记录所获得的资料和做出的分析,并作为提出审计发现和建议的依据。审计工作底稿通常用于下述目的:(1)为内部审计报告提供主要依据;(2)帮助审计计划的制定、执行和审查;(3)用文件说明审计目的是否达到;(4)促进第三方审查;(5)为评价内部审计部门的项目质量提供依据;(6)在诸如保险赔偿、舞弊案件和向法院提出诉讼的情况下,提供有关支持;(7)证实内部审计部门是否遵循《标准》。
2、审计工作底稿的编制、设计和内容取决于审计业务的性质;审计工作底稿应记载下述审计过程的各个方面:(1)制定计划;(2)对内部控制系统的健全性和有效性所进行的检查和评价;(3)执行的审计程序、取得的资料及形成的审计结论;(4)审查;(5)报告;(6)后续审计。
3、审计工作底稿必须完整,应包括所得出的审计结论的依据。至于其他方面,也可包括:(1)计划文件和审计业务方案;(2)控制调查表,流程图,核对清单和叙述文字;(3)会谈的记录和备忘录;(4)机构系统数据,如机构系统图和岗位说明;(5)重要合同和协议的复本;(6)关于经营和财务政策的信息;(7)控制系统的评价结果;(8)函证信件和陈述文件;(9)对交易事项、处理过程和账户余额的分析和检查;(10)分析性审计程序的结果;(11)审计的最终报告和管理层的反应;(12)如果记载所得出的审计结论,应附有关审计信息的交流情况。
4、审计工作底稿的形式可以是纸、磁带、磁盘、软盘、胶片或其他介质。如果审计工作底稿采用无纸介质,应考虑制作备份。
5、如果内部审计师正在报告财务信息,则审计工作底稿中要记载会计记录是否与此财务信息一致。
6、审计执行主管应为已开展的各种审计业务制定有关工作底稿的政策。标准化的审计工作底稿,如调查表和审计方案,可以提高审计工作的效率,便于审计工作的委派。有些审计工作底稿可能属于永久性的或结转的审计档案。这些工作底稿通常包含具有持续重要意义的资料。
7、以下是典型的审计工作底稿的编制技术:(1)每份底稿必须确认审计业务并描述底稿的内容和目的;(2)每份底稿必须有执行审计工作的内部审计师的签名和日期记录;(3)每份底稿必须包含索引或参考编号;(4)审计核实的符号(记)号)应加以注释;(5)数据的来源应清楚标明。
—审计执行主管应对审计业务记录的使用加以管理。审计执行主管在把这些记录适当向外界公布之前,应征得高级管理层或/和法律顾问的同意。
一、对审计记录的控制
1、审计工作底稿是机构的财产。审计工作底稿文档应由内部审计部门控制,而且只有得到授权的人员才能接触工作底稿;
2、机构管理人员和其他成员可以要求接触审计工作底稿。这种接触对于充实或解释审计发现和建议或出于其他审计目的而应用审计文件记录可能是必要的。这种接触要求应该得到审计执行主管的审批。
3、内部审计师和外部审计师互相允许对方接触自己的工作底稿是常见的做法。接触外部审计师的工作底稿应得到审计执行主管的批准。
4、在有些情形下,机构外部的有关方面(外部审计师除外)要求接触审计工作底稿和审计报告。在公开这些文件之前,审计执行主管应获得管理高层和/或法律顾问的批准。
二、对授权接触审计记录的法律考虑
1、内部审计记录包括报告、辅助性文件、检查笔记以及不受存储媒介限制的通讯记录。内部审计师向管理层和董事会提供审计服务,并在后两者的支持下编制审计记录。编制审计记录的假设是,记录内容保密,而且能够结合事实和意见。但是,不能立刻熟悉机构或内部审计程序的人员可能会对这些事实或意见产生误解。在多种情况下,包括刑事诉讼、民事诉讼、税收审计、合规性检查、政府合同检查和自律机构的检查,外部有关方面都要求接触审计记录。机构内部不受律师—客户拒绝泄露内情权保护的所有记录在刑事诉讼中几乎都可以被外人获取。但在非刑事诉讼中,接触权就没有那么清楚。
2、内部审计部门可通过以下文件的编制,加强对接触审计记录的控制。(1)章程;(2)岗位说明;(3)内部审计部门的政策;(4)与法律顾问一起开展调查的程序。
3、不管机构记录和信息以何种媒介存储,内部审计章程都应涉及对机构记录和信息的接触和控制。
4、应该为内部审计部门编制书面岗位说明,说明中应包括审计师所履行的复杂多样的职责。这些说明可帮助内部审计师处理对审计记录的接触要求,还可以帮助内部审计师理解其工作范围,帮助外部有关方面理解内部审计师的职责。
5、应该开发与内部审计部门有关的内部审计政策,政策中应规定以下内容:(1)审计记录应该包括什么?(2)部门记录应该保留多长时间?(3)如何处理外部对部门记录的接触要求?(4)在与法律顾问一起开展调查时应该采取何种特殊做法?
6、与各种审计有关的政策应该具体说明审计记录的内容和格式,以及内部审计师应该如何处理其检查笔记(这些笔记作为所提问题的记录得到保留,随后得到处理和销毁,以免第三方接触它们)。而且,政策应该具体说明保留审计记录的时间阶段,应根据机构的需要和法律要求确定时间限制。
7、部门政策应该解释以下内容:(1)机构内部由谁负责保证部门记录的控制和安全?(2)谁可以获得接触审计记录的权利?(3)如何处理审计记录的接触要求?(4)这些政策可以依据机构所在行业或所在国家司法制度的有关做法。审计执行主管和内部审计的其他人员应该警惕行业做法的变化和法律先例的变化。他们应该预测哪些人会在将来的某一天要求接触其工作成果。
8、授权接触审计记录的政策还应该处理以下问题:(1)解决接触问题的过程;(2)保留每种工作成果的时间;(3)就接触审计成果所带来的风险和问题对内部审计人员进行教育和重新教育的过程;(4)定期调查行业,以确定谁可能在将来提出接触审计工作成果的要求。
9、政策应该指导内部审计师确定何时审计成为一种需要与律师一起开展的调查活动,并确定在与法律顾问沟通时内部审计师需要遵守哪些特殊程序。政策还应该规定签署恰当的留置函,以便使提供给律师的信息得到拒绝泄露内情权的保护。
10、内部审计师还应该使董事会和管理层了解接触审计记录所带来的风险。关于谁可以得到授权接触审计记录,如何处理这些接触要求,在审计成为调查时应该遵守哪些程序等问题的政策都应该得到董事会审计委员会(或其他相应管理机构)的审查。具体政策则根据机构性质和法律规定的接触权利的不同而不同。
11、如果要求披露信息,那么,谨慎编制审计记录是非常重要的。可以考虑以下步骤:(1)只披露要求披露的具体文件。带有意见和建议的审计记录一般不公开。揭示律师思路或战略的文件一般得到拒绝泄露内情权的保护,不能强迫它们公开。(2)保留原件,只公开复印件,当文件是用铅笔编写时更应如此。如果法院要求原件,内部审计部门应该保留复印件。(4)在每份文件上注明“保密”、“未经同意,不得分发”字样。
—审计执行主管应制定审计记录的存档规定。这些存档规定应与机构的方针和有关规定或其他规定相一致。
记录保留要求应适用于所有审计记录,不管审计记录以何种形式得到保存。
—审计执行主管应制定政策,规定业务记录的保管以及对内对外公布这些记录的要求。这些政策应与机构的方针和有关规定或其他规定相一致。
审计业务的监督
--------------------------------------------------------------------------------
应对审计业务进行适当的监督,以确保实现目标、保证质量、提高职员素质。
1、审计执行主管负责保证提供恰当的审计监督。监督过程从审计计划开始,持续审计检查、评价、报告和跟踪各阶段。监督包括以下内容:(1)保证分配参加审计工作的审计师拥有必须的知识、技能和开展审计工作所需的其他能力;(2)在审计计划阶段提供恰当的指导并批准审计方案;(3)监督批准后的审计方案按计划实施,除非有充分理由并得到授权改变审计方案;(4)保证审计工作底稿充分支持审计发现、审计结论和审计建议;(5)保证审计报告准确、客观、清楚、扼要、及时、富有建设性;(6)保证审计目标得到实现;(7)提供机会发展内部审计师的知识、技能和其他能力。
2、对审计进行监督的恰当证据应该得到文件记录和保留。所要求的监督程度取决于内部审计师的专业水平和经验以及审计的复杂程度。审计执行主管总体负责审查工作。可以请经验比较丰富的内部审计师检查经验不那么丰富的内部审计师所开展的审计工作。
3、所有内部审计项目、不管是否由内部审计部门开展,都由审计执行主管负责。审计执行主管还要为审计计划、检查、评价、报告和跟踪阶段作出的所有重要专业判断负责。审计执行总管应该采取恰当的手段,保证履行这些责任。恰当的手段包括用于以下目的的政策和程序:(1)最大限度地减少如下风险:内部审计师或其他为内部审计部门工作的人员所作出的专业判断可能与审计执行主管的专业判断不一致,从而导致对审计工作的反面影响。(2)解决审计执行主管和内部审计人员在与审计项目有关的重要问题上的专业判断分歧。有关解决办法如下:讨论相关事实;开展进一步问询和/或研究;在审计工作底稿中记录并处理不同意见。如果对道德问题存在专业意见分歧,合适的手段包括将问题提交机构内部负责道德事项的人员,等等。
4、审计监督范围可以延伸,从而包括人员培训和开发、雇员业绩评价、时间和费用控制以及类似管理领域。
5、应检查所有工作底稿,以保证它们恰当支持审计报告,并保证所有必须的审计程序都得到完成。监督检查的证据应该包括检查人员在检查完每份工作底稿后在底稿签署日期和自己的首字母。其他提供监督检查证据的检查技术包括完成审计工作底稿检查清单和/或编制具体说明检查性质、范围和结果的备忘录。
6、检查人员可以用书面形式记录检查过程中出现的问题。在清理检查笔记时,应该注意保证工作底稿提供关于检查过程中所提问题已经得到解决的充分证据。处理检查笔记有两种不同方法:(1)保留检查笔记,把笔记作为检查人员所提问题和解决问题所采取步骤的记录;(2)在所提问题得到解决、相应的审计工作底稿得到修改、要求的额外信息得到提供之后将检查笔记销毁。
--------------------------------------------------------------------------------
内部审计师应及时报告审计结果。
1、内部审计师在审计报告中应包括与违法行为和其他法律问题相关的审计结果,发表审计意见时应该非常谨慎。强烈鼓励遵循与处理这些事项有关的政策和程序,并与有关方面(法律顾问、稽核官员)建立紧密工作关系。
2、内部审计师应按要求收集证据、进行分析性判断、报告审计结果并保证采取纠正性措施。内部审计师对于用文档保存审计记录的要求可能与法律顾问希望不留下任何可能损害辩护的可发现证据的要求相冲突。比如,即使内部审计师开展调查的方式是正确的,所披露的事实也可能会伤害机构法律顾问所经手的案子。正确的计划和政策制定工作是至关重要的,这样,即使在遇到突然披露某些事实的情况时,公司法律顾问和内部审计师也不至于发生矛盾。内部审计师和公司法律顾问还应该通过使管理层了解既定政策、对政策敏感而在整个机构培养一种讲求道德的、预防性的气氛。内部审计师应该考虑以下因素,在开展可能需要对外披露或报告审计结果的审计业务时更应如此。
3、以下是保护律师—客户拒绝泄露内情权的四大必要因素:(1)必须以保密形式;(2)在“享有特权的人之间”;(3)进行交流沟通;(4)目的是为客户寻找、获取或提供法律援助。这种拒绝泄露内情权主要用于保护律师之间的交流沟通,也可以应用于与第三方的沟通。
4、有些法院已认可一种使审计工作成果等自我批评材料免遭发现的批评性自我分析的拒绝泄露内情权。总而言之,认可这种拒绝泄露内情权所依据的假设是:对所涉及情况的检查结果进行保密所带来的好处大于大家诊视的公众利益。
5、要应用上述拒绝泄露内情权,通常需要满足以下三种要求:(1)受此种拒绝泄露内情权管辖的信息必须来自维护此种拒绝泄露内情权的方面所开展的自我批评分析;(2)公众必须对自我批评分析中所包括的信息的自由流动表示出强烈兴趣;(3)这种信息必须属于一旦被发现,流动就会终止的类别;(4)在有些情形下,法院还考虑过,批评性分析是否在原告受到伤害前发生,或者导致了原告受到伤害;据说,如果批评性分析发生在后,要求享有拒绝泄露内情权的理由是最强烈的。
6、如果要求获取文件的是政府机构而不是起诉人,法院一般更不愿意承认自我评价拒绝泄露内情权。可以假设这种勉强态度是认可政府在实施法律更感兴趣的结果。自我评价拒绝泄露内情权特别适用于已经建立自我规范程序的部门。医院、证券经纪人和私人会计师事务所都已建立此种程序。这些程序大多与为财务审计等操作活动锦上添花的质量保证程序有关。
7、向律师发送在律师—客户关系形成之前编制的文件不会使文件在工作—产品规定下得到保护。此外,这条规定是有条件的。如果存在对信息的实质性需要,而且通过其他方式无法轻易获得这种信息,那么,这些文件就不会得到工作—产品规定的保护。比如:某公司审计委员会通过面谈来确定是否进行了可疑的海外付款。除了与已去世人员进行面谈的结果有关的章节,他们的报告受到工作—产品规定的保护。
报告的标准
--------------------------------------------------------------------------------
报告内容包括审计的目标、审计范围及适用的审计结论、建议和行动计划。
—在适当情况下,审计结果的最后报告中应包含内部审计师的总体意见。
1、虽然审计最终报告的形式和内容可能随机构或审计类别的不同而不同,它们至少都应该包括审计的目的、范围和结果。
2、审计的最终报告可能包括背景信息和总结。背景信息可能确认被检查的部门和活动,并提供相关说明性信息,还可以包括来自以前审计报告的审计发现、审计结论、审计建议,并表明报告内容是否是安排好的审计,是否是应有关方面的要求而编制。如果包括在报告中,总结内容应该均衡代表审计报告的内容。
3、目的声明应该说明审计的目标,而且可以在必要时告知读者开展审计的原因以及期望审计实现的目标。
4、范围声明应该确定被审计活动,并恰当包括被检查的审计阶段等辅助信息。如果必要,未经审计的相关活动也应该得到确认,以勾画审计的边界。所开展审计工作的性质和范围也应该描述。
5、审计结果应包括审计发现、审计结论、审计建议和行动计划。
6、审计发现是对事实的相关声明。最终审计报告应该包括支持内部审计师结论和建议以及预防误解这些结论和建议的必要审计发现。比较次要的审计发现或建议可以通过非正式形式报告。
7、通过比较应该达到的目标和实际的做法可以得出审计发现和审计建议。不管两者之间是否存在差异,内部审计师都有了编制报告的基础。如果情况符合标准,在审计报告中确认出色的业绩可能比较恰当。审计发现和审计建议应该以如下特征为依据:
(1)标准:在进行评价和/或核证时应用的标准、措施或期望值;(2)情况:内部审计师在检查中发现的事实证据;(3)原因:预期和实际情况之间存在差异的原因;(4)效果:由于情况与标准不一致,机构和/或其他部门面临的风险。在确定风险的程度时,内部审计师应考虑其审计发现和审计建议可能对机构运营和财务报表产生的影响。(5)审计发现和建议还可包括没有在其他地方反映的审计客户成绩、相关问题和辅助信息。
8、审计结论(审计意见)是内部审计师对审计发现和审计建议影响被审计活动的情况进行的评价。他们经常根据总体印象合理提出审计发现和审计建议。如果审计报告包括审计结论,应该明确指出哪些是审计结论。审计结论可能覆盖整个审计范围或具体审计方面。它们可以包括但不限于以下内容:(1)运营目标或项目目标是否与机构目标保持一致;(2)机构目标是否得到实现;(3)被审计活动是否按计划运作。
9、审计报告应包括改进建议、对出色业绩的认可以及纠正性措施。建议的基础是内部审计师的审计发现和审计结论,它们呼吁采取措施纠正存在的问题或改进操作。作为对管理层实现预期结果的指导,建议可以提议采取手段纠正或改进业绩。建议可以是概括性的也可以很具体。比如,在有些情况下,推荐采取一般性措施并提出具体实施建议比较可取。在另外的情形下,只建议开展调查或研究可能比较恰当。
10、自上次审计以来或建立良好控制措施以后审计客户所取得的成绩可以包括在最终审计报告中。这种信息可能是公正表述现有情况并为最终审计报告提供恰当的角度和平衡所必须的。
11、审计客户关于审计结论或建议的观点可以收入审计报告中。
12、作为内部审计师与审计客户的一部分讨论内容,内部审计师应该努力征求对方同意审计结果和为改进运营而建议采取的行动计划。如果内部审计师和审计客户对于审计结果存在意见分歧,审计报告可以说明分歧的具体情况和原因。审计客户的书面意见可以作为附录收进审计报告,也可以直接在报告主干部分得到表述。
13、由于受到拒绝泄露内情权保护、所有权问题或与违法乱纪行为有关,有些信息可能不适合向所有报告接受人披露。但是,这些信息可以在单独的报告中披露。如果所报告情况涉及管理高层,应将报告分发给机构董事会。
14、中期报告可以是书面的、也可以是口头的,可以正式、也可以不正式。中期报告可以用于报告需要马上注意的信息、报告被审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层。中期报告的应用并减少或消除对最终报告的需要。
15、署名报告应该在审计完成以后发布。强调审计结果的总结报告可能适合向高于被审计部门的管理层提交。总结报告可以与最终报告一起也可以单独发布。这种签名也可以在信函上出现。得到签署报告授权的内部审计师应该由审计执行主管指定。如果以电子形式发布审计报告,内部审计部门应该将署名报告存档。
—审计报告中应对令人满意的业绩予以承认。
—咨询业务进展情况和结果报告的形式与内容可根据业务性质及客户需求的不同而变化。
报告的质量
--------------------------------------------------------------------------------
报告时要做到精确、客观、清晰、简洁、完整、及时、富有建设性。
1、客观的审计报告具有实事求是、不偏不倚、不歪曲事实的特点,所包括的审计发现、审计结论和审计建议应该没有偏见。
2、内容清楚的审计报告易于理解,富有逻辑。通过避免应用不必要的技术语言,并提供充分的辅助信息,可以使报告更清楚。
3、扼要的审计报告一针见血,避免不必要的细节。它们以最少的文字完整地表述思想。
4、建设性的审计报告通过其内容和口气为审计客户和整个机构提供帮助,并促进必要改进工作的进行。
5、及时的审计报告在发布上没有延误,并能促进采取有效的行动。
错误与遗漏
--------------------------------------------------------------------------------
如果最后报告中有重大错误和遗漏,审计执行主管应把更正后的信息传达给所有接到最初报告的人员。
1、如果最终审计报告中确实有差错,那么审计执行主管应该考虑发布修正报告的必要性,修正报告中要指出被修正的资料。修正的审计报告要发送给所有收到要修改的审计报告的人员。
2、“差错”是指在最终审计报告中的非故意性的错误说明或重要信息的遗漏。
对违反《标准》的审计披露
--------------------------------------------------------------------------------
当违反《标准》的行为影响具体审计活动时,审计结果的报告中就应披露:
·没有得到完全遵守的《标准》条文;
·未遵守的原因;
·未遵守《标准》对审计活动造成的影响。
发布审计结果
--------------------------------------------------------------------------------
审计执行主管应将审计结果发布给适当的对象。
一、发布审计结果
1、发布最终审计结果之前,内部审计师必须向适当层次的管理人员征求对审计结论和建议的意见。
2、对审计结论和建议的讨论通常是在审计过程中或审计结束后召开的会议上讲的。另一种方式是由被审计部门的管理人员审阅审计问题草稿、审计发现和建议。这些讨论和审阅为被审计部门提供了澄清具体问题和表述他们对审计发现、结论和建议的意见的机会,从而有助于保证不会对事实产生误解和歪曲。
3、虽然参与讨论和审阅的管理人员的层次可以依据机构和报告的性质而有所变化,但他们通常是了解业务详细情况和有权执行纠正措施的人。
4、审计执行主管或其指定代表在发布最终审计报告之前应对其进行审批,并决定应向哪些人发布报告。审计执行主管或其指定代表应该审批所有最终报告,他们可以签署所有这些报告。在特殊情况下,应考虑由审计负责人、监督人员或首席审计师代表审计执行主管来签署最终的审计报告。
5、应该把最终审计结果报告发布给那些能保证对审计结果进行应有考虑的人员。这意味着报告要发布给那些能采取纠正措施或能保证采取纠正措施的职位的人员。最终的审计报告应发送给被审计部门的管理层。被审计部门中较高层次的成员可能只收到一份总结报告。这些报告还可以发送到其他感兴趣的或受审计报告影响的人员,如外部审计师和董事会董事。
二、对外发布审计报告
1、内部审计师应该检查审计协议或机构政策/程序中包含的与对外发布信息有关的指导。内部审计部门和审计委员会的章程可能都有这方面的指导。如果缺乏这种指导,内部审计师应该促使机构采取恰当的政策。政策包括的信息有:(1)对外发布信息需要的授权;(2)为对外发布信息而寻求批准的过程;(3)区分可以发布的和不可以发布的信息的指南;(4)得到授权的外部信息接收人以及他们可以接收的信息种类;(5)对外发布信息有关的隐私权规定、管理要求和法律考虑;(6)对外发布信息的结果报告中可以包括的保证、意见、建议、观点、指导和其他信息的性质。
2、有关方面可能要求获取已经存在的信息(如以前发布的内部审计报告),也可能要求获取必须创建或确定的信息,从而导致崭新内部审计业务的形成。如果要求获取的是已经存在的信息,内部审计师应该对信息进行检查,以确定这些信息是否适合对外发布。
3、在有些情形下,现有的报告或信息可以在修改之后对外发布。在其他情形下,则可以针对以前开展的审计工作形成新的报告。在根据以前开展的工作修改、按要求改造或创建新报告时应该行使应有的职业审慎。
4、对外发布信息时应考虑以下事项:(1)就被发布信息签定书面协议的需要;(2)确认信息提供者、信息来源、报告署名人、信息接收人以及与报告或所发布信息相关的人员;(3)确认产生适用信息的目标、范围和程序;(4)需要提供的报告或其他发布形式(审计意见、包括或不包括建议、拒绝发表意见、限制)的性质以及需要提供的保证或论断的类别;
5、为了出具对外发布的内部审计报告或其他形式的信息而开展的审计应该遵守适用的内部审计专业实务标准,并在报告或其他形式的信息中包括对这些标准的索引。
6、如果在为了出具对外发布的内部审计报告或其他形式的信息而开展的审计过程中,内部审计师发现了可向管理层或审计委员会报告的信息,就应该向适当的人员进行适当的报告。
—审计执行主管负责将最终审计结果报告给那些能保证对审计结果进行应有考虑的人员。
—审计执行主管负责向客户发布咨询业务的最终结果。
—在开展咨询业务时,可能会发现风险管理、控制及治理方面的问题。只要这些问题对机构是至关重要的,就应将其报告给高级管理层和委员会。
--------------------------------------------------------------------------------
审计执行主管应设立并维持一个体系,对报告给管理层的审计结果的处理情况进行监测。
1、审计执行主管应该建立包括以下内容的程序:(1)要求管理层对审计发现和审计建议作出反应的时间框架;(2)对管理层所作出反应的评价;(3)(在条件适合时)对管理层所作出反应的核证;(4)(在条件适合时)开展跟踪审计;(5)将审计师不满意的反应/措施(包括风险假设)升级报告给恰当层次的管理人员的报告程序。
2、有些被报告的审计发现和审计建议可能非常重要,因而需要管理层马上采取措施。由于这些情况可能对机构产生的影响,内部审计部门应该对它们进行持续监督,直到它们被纠正为止。
3、用以有效监督审计结果处理进展情况的技术包括:(1)将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告;(2)在审计过程中或在审计结果得到报告后的合理时间内接收并评价管理层对审计发现和审计建议的反应。如果这些反应包括帮助审计执行主管评价纠正性措施的充分性和时效性的充分信息,这些反应的用途将大大增加。(3)接收管理层对审计发现和审计建议反应的定期更新,以评价管理层纠正以前所报告情况的努力程度;(4)接收并评价来自机构内部负责采取跟踪或纠正性措施的其他部门的信息;(5)向高级管理层或董事会报告对审计发现和审计建议的反映情况。
—审计执行主管应规定后续审计过程,以监督、保证管理行为能够得到有效落实,或高级管理层已接受了不采取行动所带来的风险。
1、内部审计师应确认已经采取有关纠正行动并正在达到期望的结果,或者确认高级管理层或董事会已经承担了对所报告的审计发现不采取纠正行动而产生的风险。
2、内部审计师所进行的后续审计是指他们用以确认管理层针对报告中的审计发现和建议(包括外部审计师和其他人员的审计发现和建议)所采取的行动是否充分、有效和及时的工作过程。
3、后续审计的责任应在内部审计部门的书面章程中得到明确。审计执行主管应确定后续审计的性质、时间和范围。在确定合适的后续审计程序时应考虑以下因素:(1)所报告的审计发现和建议的重要性;(2)纠正所报告问题需要的努力程度和费用;(3)如果纠正措施失败,可能会产生的影响;(4)纠正性措施的复杂性;(5)所涉及的时间期限。
4、也可能存在这种情况,审计执行主管发现,比照审计发现和建议的重要程度,管理层的口头或书面答复已经说明采取了有效的措施。在这种情况下,后续审计工作可作为下次审计的部分内容。
5、内部审计师应确保根据审计发现和建议采取的措施解决了潜在的问题。
6、审计执行主管应负责安排后续审计工作,并把它作为制定审计工作计划的一部分。制定后续审计工作安排应以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据。
—内部审计活动应当监督咨询业务结果的处理情况。
--------------------------------------------------------------------------------
在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下,审计执行主管应就此与高级管理层进行讨论。如果无法决定剩余风险问题,审计执行主管与高级管理层应将此事报告董事会加以解决。
1、管理层负责决定针对报告中的审计发现和审计建议应要采取的适当行动,审计执行主管负责评价管理层为及时解决审计发现的问题和落实审计建议所采取的行动。在确定后续审计的范围时,内部审计师应考虑由该机构中的其他人员所进行的后续审计程序。
2、由于费用或其他方面的考虑,高级管理层可以决定不采取纠正行动并承担由此而产生的风险。高级管理层对所有重要审计发现和建议所做的决定都应报告董事会。
内部审计实务标准
内部审计实务标准2
内部审计实务标准1
内部审计实务标准术语表
众盛论坛-〖 审计实务 〗-银行内部审计为工商银行的发展服务
众盛论坛-〖 审计实务 〗-银行内部审计为工商银行的发展服务
内部审计
专项资金审计特征 - 实务操作
美国内部审计过程
江苏内部审计
内审实务标准
衡阳技师学院《审计实务》教学大纲
增值税查账进行审计 - 审计实务探讨 - 中国会计社区
如何对增值税查账进行审计 - 审计实务探讨
内部控制审计程序2
内部审计岗工作流程
离任审计报告格式 - 【审计综合讨论】 - 【审计实务】 - 无忧审计论坛 审计软件|计算...
离任审计报告格式 - 【审计综合讨论】 - 【审计实务】 - 无忧审计论坛 审计软件|计算...
审计风暴将刮向审计系统内部
商业银行资产负债损益审计实务研究与探讨
增值税查账- 审计实务探讨 - 中国会计社区
内部审计具体准则第29 号——内部审计人员后续教育
独立审计实务公告第7号--商业银行会计报表审计
厦门会计网 - 审核实务(政府审计)-金融企业的违纪行为及其审计方法