国际内审师
国际内审师(CIA)红皮书-属性标准(1) 属性标准
1000-宗旨、权力和职责
内部审计部门的宗旨、权力和职责必须在内部审计章程中按照内部审计定义、《职业道德规范》和《标准》的相关内容正式确定。首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。
释义
内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。内部审计章程的最终审批权在董事会。
1000.A1——向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果内部审计部门向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。
1000.C1——咨询服务的性质必须在内部审计章程中确定。
1010-在内部审计章程中确认“内部审计定义”、《职业道德规范》和《标准》“内部审计定义”、《职业道德规范》和《标准》的强制性质必须在内部审计章程中得到确认。首席审计执行官应当向高级管理层和董事会解释并讨论“内部审计定义”、《职业道德规范》和《标准》。 1100-独立性和客观性
内部审计部门必须保持其独立性,内部审计师必须客观地开展工作。 释义
独立性指内部审计部门或首席审计执行官不偏不倚地履行职责,免受任何威胁其履职能力的情况影响。要达到有效履行内部审计部门职责所必须的独立程度,首席审计执行官需要直接且无限制地与高级管理层和董事会接触。这一要求可以通过建立双重报告关系来实现。 独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。
客观性指不偏不倚的工作态度,保持客观性,内部审计师方可在开展业务时确信其工作成果,不做任何质量方面的妥协。客观性要求内部审计师对于审计事项的判读不得屈服于他人。客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。
1110-组织的独立性
首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。
1110.A1——内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干扰。
1111-与董事会的直接互动
首席审计执行官必须与董事会直接沟通和互动。
国际内审师(CIA)红皮书-属性标准(2)
1120-个人的客观性
内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。
释义
利益冲突时备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计师个人客观履行其职责的能力。 1130-对独立性或客观性的损害
如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。
释义
对组织独立性和个人客观性的损害可能包括但不限于:个人利益冲突,工作范围限制,接触记录、个人和实物资产的限制,在经费等资源方面受到约束等。
独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门和首席执行官应当对高级管理层和董事会承担的责任,以及损害的性质。
1130.A1——内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到损害。
1130.A2——确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方面进行监督。
1130.C1 内部审计师可以对其以往负责的业务提供咨询服务。
1130.C2 若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露。
1200-专业能力与应有的职业审慎
内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。
1210-专业能力
内部审计师必须具备履行其职责所必须的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必须的知识、技能和其他能力。
释义
“知识、技能和其他能力”是一个集合术语,是内部审计师有效履行其职责所必须的专业水平。鼓励内部审计师通过确定适当的专业资格证书和认证,例如国际内部审计协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力。
1210.A1——当内部审计师缺乏完成全部或部分业务所必须的知识、技能或其他能力时,首席审计执行官必须向他人寻求充分的专业建议和协助。
1210.A2——内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专业技能。 1210.A3——内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其他能力
时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助。
国际内审师(CIA)红皮书-属性标准(3) 1220-应有的职业审慎
内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。但是,应有的职业审慎并不意味着永不犯错。
1220.A1——内部审计师必须通过考虑以下因素,履行其应有的职业审慎:
●为实现业务目标而需要开展工作的范围;
●所要确认事项的相对复杂性、重要性或严重性;
●治理、风险管理和控制过程的适当性和有效性;
●发生重大错误、舞弊或不合法的可能性;
●与潜在效益相对的确认成本。
1220.A2——在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法和其他数据分析技术。
1220.A3——内部审计师必须警惕可能影响目标、运营或资源的重大风险。但是,即使是应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险。
1220.C1——开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎: ●客户的需要与愿望,包括咨询结果的性质、时间安排与结果沟通;
●实现咨询业务目标所需开展工作的相对复杂性和范围;
●与潜在效益相对的咨询业务成本。
1230-持续职业发展
内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。
1300-质量保证与改进程序
内部审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。 释义
质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和《标准》以及内部审计师是否遵守《职业道德规范》进行评估,还可以用来评价内部审计活动的效果和效率,并识别改进的机会。
1310-质量保证与改进程序的要求
质量保证与改进程序必须包括内部评估和外部评估。
1311-内部评估
内部评估必须包括:
●对内部审计活动执行情况的持续监督;
●通过自我评估或由组织内部其他充分了解内部审计实务的人员进行定期检查。 释义
持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中。持续监督应纳入管理内部审计活动的日常政策和实践,运用不要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》作出评估。
定期检查是针对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》而开展的评估工作。
充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。
国际内审师(CIA)红皮书-属性标准(4)
1312-外部评估
外部评估必须至少每五年开展一次,必须由来之组织外部、合格且独立的检查人员或检查小组负责实施。首席审计执行官必须与董事会讨论:
●更为平凡地开展外部评估的必要性;
●检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。
释义
合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成。 对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑就接受评估的内部审计部门所在组织而言,检查人员所属机构的相对规模和复杂程度,以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。
独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在的组织。
1320-对质量保证与改进程序的报告
首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果。 释义
质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和首席审计执行官的职责。为反映
内部审计活动对“内部审计定义”、《职业道德规范》和《标准》的遵循情况,外部评估和定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次。上述结果包括检查人员或检查小组对遵循程度的评估。
1321-对“遵循《标准》”的应用
只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,首席审计执行官才可以进行“遵循《标准》”的声明。
1322-对未遵循情况的披露
若未遵循“内部审计定义”、《职业道德规范》和《标准》的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层和董事会披露未遵循事项及其影响。
国际内审师(CIA)红皮书-工作标准(1)
工作标准
2000-内部审计活动的管理
首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。
释义
内部审计活动符合下列情况时,属于得到了有效的管理:
■内部审计部门的工作结果达到了内部审计章程所包含的目的和责任;
■内部审计活动遵循了“内部审计定义”和《标准》
■内部审计人员遵循了《职业道德规范》和《标准》
2010-计划
首席审计执行官必须以分享为基础制定计划,以确定与组织目标相一致的内部审计活动重点。
释义
首席审计执行官负责以分享为基础制定计划。制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。 2010.A1——内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次。
在计划制定过程中,必须考虑高级管理层和董事会的意见
2010.C1——首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计
划。
2020-沟通与批准
首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。首席审计执行官还必须就支援受限制的影响与高级管理层和董事会进行沟通。
2030-资源管理
首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。
释义
“适当”是指实施计划所必须的知识、技能和其他能力的组合。“充分”是完成计划所必需的资源数量。资源有效配置是指资源以能够最优实现获批计划的方式被运用。(不理解) 2040-政策与程序
首席审计执行官必须制定政策和程序,为内部审计活动提供指导。
释义
政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。 2050-协调
首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。
2060-向高级管理层和董事会报告
首席审计执行官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况,报告中还必须包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。
释义
报告频率和内容要经过与高级管理层和董事会的讨论后确定,同时取决于说报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。
国际内审师(CIA)红皮书-工作标准(2)
2100-工作性质
内部审计活动必须应用系统、规范的方法,评估并协助改善治理 、风险管理和控制过程。
2110-治理
内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:
●在组织内部推广适当的道德和价值观;
●确保整个组织开展有效的业绩管理、建立有效的问责机制;
●向组织内部有关方面通报风险和控制信息;
●协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。
2110.A1——内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果。
2110.A2——内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标。
2110.C1——咨询业务的目标必须与组织的总体价值和目标保持一致。
2120-风险管理
内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献。
释义
确定风险管理过程是否有效时内部审计师对下列事项进行评估后的判断:
●组织目标支持组织的使命并与其保持一致;
●重大风险得到识别和评估;
●选定适当的风险应对方案,并符合组织的风险偏好;
●获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责。
风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。
2120.A1——内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险: ●财务和运营信息的可靠性和完整性;
●运营的效果和效率
●资产的安全
●对法律、法规及合同的遵循情况。
2120.A2——内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险;
2120.C1——在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。
2120.C2——内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。
2120.C3——协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。
国际内审师(CIA)红皮书-工作标准(3)
2130-控制
内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的制。
2130.A1——内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性:
●财务运营信息的可靠性和完整性;
●运营的效率和效果;
●资产的安全;
●对法律、法规及合同的遵循情况
2130.A2——内部审计师应当确定各项运营及程序的目。和目的的制定情。及其与……目。和目的符合的程度。
2130.A3——内部审计师应当复核各项运营和程序,以确定其结果与既定目标和目的保持一致的程度,并确定运营和程序按计划实施或执行。
2130.C1——在开展咨询业务时,内部审计师必须关注与业务目标相关的控制,并警惕重大的控制问题。
2130.C2——内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程。
2200-业务计划
内部审计师开展每项业务都必须制定书面计划,其内容包括业务目标、范围、时间安排以及资源分配等。
2201-制定计划时的考虑因素
制定业务计划时,内部审计师必须考虑到:
●被检查活动的目标及控制其实施的方式;
●被检查活动及其目标、资源和运营等存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;
●与相关的控制框架或模式相比,被检查活动的风险管理和控制过程的适当性和有效性;
●对被检查活动的风险管理和控制过程进行重大改进的可能性。
2201.A1——在为组织外部的有关方面制定业务计划时,内部审计师必须与其达成书面协议,明确业务目标、范围、各自的职责和其他要求,包括对发布业务结果和对接触业务记录的限制。
2201.C1——内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。对于重要的咨询业务,该协议必须为书面形式。
2210-业务目标
必须为每项业务确定目标。
2210.A1——内部审计师必须对与被检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果。
2210.A2——内部审计师确定业务目标时,必须考虑存在重大差错、舞弊、违规和其他风险的可能性。
2210.A3——评估控制需要依据适当的标准,以确定目标和目的时候实现。内部审计师必须确认管理层制定适当标准的程度。如果标准适当,内部审计师必须使用该标准进行评估。如果不适当,内部审计师必须与管理层共同制定适当的评估标准。
2210.C1——咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定。
国际内审师(CIA)红皮书-工作标准(4)
2220-业务范围
确定业务范围必须满足实现业务目标的要求。
2220.A1——确定业务范围必须考虑相关的制度、记录、人员和实物资产,包括由第三方控制的相关制度、记录、人员和实物资产。
2220.A2——在开展确认业务时,如果出现重要的咨询机会,应当与客户达成具体的书面协议,规定业务目标、范围、各自的职责和其他要求,并遵循咨询业务相关标准沟通咨询业务的记过。
2220.C1——在开展咨询业务时,内部审计师必须确保业务范围足以实现与客户协商确定的目标。如果内部审计师在开展咨询业务过程中对该范围有所保留,必须与客户进行讨论,决定是否继续开展此项业务。
2230-业务资源的分配
内部审计师必须根据每项业务的性质、复杂程度、时间限制以及可获资源的评估,确定业务目标所需要的适当、充分的资源。
2240-业务工作方案
内部审计师必须制定用以实现业务目标的书面工作方案
2240.A1——工作方案中必须包括识别、分析、评估和记录信息的程序。工作方案必须
在实施前得到批准,对方案的任何调整都必须及时报批。
2240.C1——咨询业务工作方案的形式与内容取决于咨询业务的性质。
2300-业务的实施
内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标。 2310-识别信息
内部审计师必须识别充分、可靠、相关且有用的信息,从而实现业务目标。 释义
充分的信息是指符合事实、满足条件、具备说服力,可以使审慎的、具备相关知识的人员得出与内部审计师相同的结论的信息。可靠的信息是指通过采用适当的技术可以获得的最佳信息。相关的信息是指支持内部审计师发现的问题和建议,并与业务目标一致的信息。有用的信息有助于组织实现其目标。
2320-分析评价
内部审计师必须基于适当的分析和评价,得出结论和业务结果。
2330-记录信息
内部审计师必须记录相关信息,以支持结论和业务结果。
2330.A1——首席审计执行官必须控制对业务记录的接触。在对外界提供记录之前,首席审计执行官必须征得高级管理层和/或法律顾问的同意。
2330.A2——首席审计执行官必须规定业务记录的存档要求而无论其采用何种存储介质。这些存档要求必须符合组织的规定以及相关法规或其他要求。
2330.C1——首席审计执行官必须制定政策以规定咨询业务记录的保管、存档和对内对外发布。
这些政策必须符合组织的规定以及相关法规或其他要求。
国际内审师(CIA)红皮书-工作标准(5) 2340-业务的督导
必须对业务实施加以适当的督导,以确保目标得以实现,质量得到保证,员工得到发展。 释义
所需督导的程度取决于内部审计师的胜任能力和经验水平以及业务本身的复杂程度。无论业务是由内部审计部门负责开展,首席审计执行官都需对业务的督导负全面责任,但可以指定具备适当经验的内部审计部门成员具体复核。适当的督导证据应予以记录和保留。 2400-结果的报告
内部审计师必须及时报告业务结果。
2410-报告标准
报告内容必须包括业务目标、范围以及适用的结论、建议和行动计划。
2410.A1——只适当的情况下,关于业务结果的最终报告必须包含内部审计师的中体意见和/或结论。
2410.A2——鼓励内部审计师在业务结果报工作对令人满意的业绩予以认可。
2410.A3——在向组织外部有关方面发布业务结果时,必须告知对分发和使用业务结果的限制。
2410.C1——对咨询业务的进展和结果进行报告的形势与内容取决于所涉及业务的性质和客户的需求。
2420-报告的质量
报告必须准确、客观、清晰、简洁、富有建设性、完整和及时。
释义
准确的报告是指没有错误和歪曲,忠于相关事实的报告。客观的报告是指公正、不偏不倚、不带偏见的报告,是公正地对所有相关事实和情况统筹评估的结果。清晰的报告是指易于理解,符合逻辑,避免使用不必要的技术性语言,并提供所有重要的相关信息的报告。简洁的报告是指针对性强,避免不必要的阐述、细节和冗余的报告。富有建设性的报告是指可以帮助客户和整个组织,并促进其改善工作。完整的报告是指未遗漏任何重要信息的报告,包括所有支持建议和结论的重要且相关的信息和观察结果。及时的报告是指根据事项的重要程度,适时快速地提供报告,以便于管理层采取适当的纠正措施。
2421-错误与遗漏
如果最终报告存在重大错误或遗漏,首席审计执行官必须将更正后的信息传达给所有原报告的接收者。
2430-对“遵循《标准》”的应用
只有在质量保证与改进程序的结果证实《标准》已被遵循时,内部审计师才可以在业务报告中声明“内部审计活动遵循了《国际内部审计专业实务标准》”
2431-对未遵循情况的披露
未遵循内部审计定义、《职业道德规范》或《标准》的情况影响到某一特定业务时,结果报告中必须披露:
●未能完全遵循的《职业道德规范》所规定的原则、行为规则或《标准》;
●未遵循的原因;
●“未遵循”这一事实对于该业务及已报告结果的影响。
国际内审师(CIA)红皮书-工作标准(6)
2440-结果的发送
首席审计执行官必须向适当对象通报结果。
释义
首席审计执行官或其指定人员对最终业务报告予以复核及批准后签发,并决定该报告的
发送对象和发送方式。
2440.A1——首席审计执行官负责将最终结果报告给能够确保对结果给予应有考虑的对象。
2440.A2——除非法律、法规或其他规章另有规定,首席审计执行官向组织外部通报结果之前必须:
●评估组织面临的潜在风险;
●必要时向高级管理层和/或法律顾问咨询;
●通过限制结果的使用,控制对结果的发送。
2440.C1——首席审计执行官负责向客户通报咨询业务的最终结果。
2440.C2——在开展咨询业务时,可能会发现治理、风险管理和控制方面的问题,只要这些问题对组织是重要的,就必须向高级管理层和董事会报告。
2500-监督进展
首席审计执行官必须制定并维护系统或制度,监督已通报结果的处理情况。
2500.A1——首席审计执行官必须建立后续程序,监督及确保管理层已采取有效措施,或高级管理层已接受不采取行动的风险。
2500.C1——内部审计部门必须在客户同意的范围内,监督咨询业务结果的处理情况。 2600-高级管理层接受风险的决定
首席审计执行官认为高级管理层接受的剩余风险超过组织可接受的水平时,必须就此事与高级管理层讨论。如果经过讨论双方仍无法就剩余风险作出决定,首席审计执行官必须报请董事会解决。
国际内审师(CIA)红皮书-词汇表(1)
词汇表
增加价值
内部审计通过确认和咨询服务,增加组织实现既定目标的机会,确认运营的改进,并/或降低风险暴漏的程度,从而为组织创造价值。
适当的控制
如果管理层的计划和组织行为能够合理保证组织的风险得到有效的管理,组织的目标和目的以经济高效的方式实现,那幺可以认为已建立适当的控制。
确认服务
为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如财务、绩
效、合规性、系统安全和尽职调查等业务。
董事会
泛指组织的治理机构,例如董事会、监事会、非盈利组织的理事会、信托人、机构负责人,或该组织指定的其他机构,包括首席审计执行官在职能上可向其报告的审计委员会。 章程
内部审计章程是确定内部审计活动宗旨、权力和职责的正式书面文件,它确定了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。
首席审计执行官
首席审计执行官是组织内部负责审计工作的高级职位,该职位通常为内部审计经理。如果内部审计业务由外部服务提供者负责开展,则首席审计执行官负责监督服务合同及内部审计业务的整体质量保证、向高级管理层和董事会报告有关内部审计业务开展情况并对业务结果进行后续跟踪。该称谓亦可包括总审计师、内部审计主任、内部审计总监等其他头衔。 《职业道德规范》
国际内部审计师协会(IIA)的《职业道德规范》是指与内部审计职业及实物相关的原则,以及内部审计师应有的行为规范。《职业道德规范》的适用对象包括提供内部审计服务的个人和机构,其目的是增进全球内部审计职业的道德文化。
遵循
指遵守各项政策、计划、程序、法律、法规、合同或其他要求。
利益冲突
指任何表面上或实际上不符合组织最佳利益的关系。利益冲突会损害个人客观履行其职责的能力。
国际内审师(CIA)红皮书-词汇表(2)
咨询服务
指咨询及相关的客户服务活动,其性质和范围需要与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。
控制
只管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动,为实现目标和目的提供合理保证。 控制环境
只董事会和管理层对组织内部控制重要性的态度及行动。控制环境为实现内部控制制度的主要目标提供规范和组织架构。控制环境包括以下要素:
※ 诚信和职业道德价值观;
※ 管理层的理念和经营风格;
※ 组织结构;
※ 权力和责任的划分;
※ 人力资源政策和实物;
※ 人员的胜任能力。
控制过程
只政策、程序和控制活动等控制框架的组成部分,用以确保将风险控制在风险管理过程设定的风险容忍范围之内。
业务
指具体的内部审计项目、任务或检查活动,如内部审计、内部控制自我评估、复核、舞弊调查或咨询等。一项业务可能包括多项任务或活动,用以实现一组特定的相关目标。 业务目标
指内部审计师为界定业务预期完成情况而作的概要陈述。
业务工作方案
指列举业务开展过程中无哦应遵循程序的文件,拟定业务工作方案的目的是为完成业务计划。
外部服务提供者
指组织以外具备特定领域的专门知识、技能和经验的个人或公司。
舞弊
指任何以欺骗、隐瞒或违背信用为特征的非法行为。这些行为不依靠暴力或胁迫。个人或组织为获取金钱、财产或服务。为避免付款或提供服务,或为获得个人或组织私利等目的都有可能舞弊。
治理
指董事会实施的各种流程和框架的组合,用以告知、指导、管理和监督组织的活动,以实现组织目标。
损害
指对组织独立性和个人客观性造成的损害,可包括个人利益冲突,工作范围受限制,获
取记录、人员和实物资产的制约以及资源(经费)限制等。
独立性
指避免客观性或形式上的客观受到威胁的各种情况。这种对客观性的威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上加以管理。
信息技术控制
指支持业务管理和治理,以及针对信息技术基础设施(例如应用程序、信息、基础设施和人员等)提供一般控制和技术性控制的各种控制措施。
信息技术治理
包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。 内部审计部门/活动
指为增加组织价值,改进组织运营而提供独立、客观的确认和咨询服务的部门、处室、咨询专家团队或其他专业人员。内部审计活动采用系统、规范的方法,评价并改善组织的治理、风险观管理和控制过程的有效性,从而帮助组织实现目标。
国际内审师(CIA)红皮书-词汇表(3)
内部审计专业实务框架
指用以组织国际内部审计师协会发布的权威指引的概念性框架。该权威指引包括两类——(1)强制性内容;(2)认可并强力推荐的内容。
必须
《标准》使用“必须”一词要求无条件地遵循该项准则
客观性
是一种公正、不偏不倚的态度,可使内部审计师开展业务时确信其工作成果、不作任何重大的质量妥协。客观性要求内部审计师对于审计事项的判断不得屈服于他人。 剩余风险
指管理层采取措施(包括用于应对某项风险的控制活动)以减少负面事件的影响及可能性之后仍然存在的风险。
风险
指对实现目标有影响的事件实际发生的可能性。风险通过影响程度和发生的可能性来衡量。
风险偏好
指组织愿意承受的风险水平。
风险管理
指识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。
应当
《标准》使用“应当”表示某项准则预期得到遵循,除非根据专业判断,所涉情形允许偏离《标准》的要求。
重要性
指某一事项在其考虑范围内的相对重要性,包括定性和定量因素,例如程度、性质、效果、相对性和影响。专业判断有助于内部审计师评估所涉事项相对于相关目标的重要性。 《标准》
指内部审计标准委员会发布的专业公告,阐述开展各类内部审计活动及评估内部审计业绩的要求。
利用技术的审计方法
指所有自动化审计工具,如通用审计软件、测试数据生成程序、计算机化的审计方案、专用审计工具以及计算机辅助审计方法(CAAT)等。
国际内审师(CIA)红皮书-实务公告(1)
实务公告
实务公告1000-1 内部审计章程
主要相关标准:
1000-宗旨、权利和职责
内部审计部门的宗旨、权力和职责必须在内部审计章程中按照“内部审计定义”、《职业道德规范》和《标准》的相关内容真实确定。首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。
释义
内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。内部审计章程的最终审批权在董事会。
1、 正式的书面章程对内部审计部门的管理十分重要。章程提供了公认的陈述,供管理层检查和接受,并报董事会以会议纪要形式予以批准。章程也为定期检查内部审计部门宗旨、权力和职责的适当性,确立内部审计的角色提供了便利。如果出现问题,章程就是一份与管理层和董事会达成的关于本组织内部审计部门的正式书面协议。
2、 首席审计执行官有责任定期评估章程中规定的内部审计宗旨、权力和职责是否仍足以使内部审计部门实现其目标,也有责任将定期评估的结果报告给高级管理层和董事会。 实务公告1110-1 组织的独立性
主要相关标准:
1110-组织的独立性
首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少一年向董事会确认内部审计部门在组织中的独立性。
1、高级管理层和董事会的支持可以帮助内部审计部门获得业务客户的协作并在不受干扰的情况下开展工作。
2、首席审计执行官在职能上和行政上分别向董事会和首席执行官汇报工作,可以增强组织的独立性。至少首席审计执行官应向组织内拥有充分权力、能够促进独立性并保证广泛的审计范围、能充分考虑审计报告并依据审计意见采取适当行动的人报告。
3、职能上向董事会报告。董事会的职能主要包括:
●批准内部审计部门的章程;
●批准内部审计风险评估及相关审计计划;
●接受首席审计执行官关于内部审计工作结果和其认为有必要的其他事务的报告,包括在管理层不在场的情况下与首席审计执行官进行单独会晤以及每年确认内部审计部门在组织中的独立性;
●批准有关首席审计执行官业绩评估和任免的决定;
●批准对首席审计执行官年度薪酬工资的调整;
●适当地询问管理层和首席审计执行官,以确定是否由于审计范围和预算受到限制而阻碍了内部审计部门履行其职责。
4、行政上的报告指组织管理结构内部的报告关系,其作用是加强内部审计部门的日常运作。行政上报告主要包括:
●预算和财务;
●人力资源管理,包括人员评价和薪酬;
●内部沟通和信息交流;
●内部沟通和信息交流;
国际内审师(CIA)红皮书-实务公告(2)
实务公告1111-1 与董事会的直接互动
1111-与董事会的直接互动
首席审计执行官必须与董事会直接沟通和互动。
1、如果首席审计执行官定期出席或参加董事会举行的有关它对审计、财务报告、组织治理和控制系统的监督职责的会议,就有直接交流的机会。首席审计执行官参加此类会议,可以获取战略性业务发展的信息,尽早提出高风险、系统、流产或者控制等事项,也可以利用这样的机会就内部审计部门的计划和活动,以及其他共同关心的事项交换意见。
2、这种沟通和互动也可以通过首席审计执行官与董事会至少每年一次的单独会晤进行。 实务公告1120-1 个人客观性
1120-个人的客观性
内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。
释义
利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计是个人履行其职责的能力。
1、个人的客观性是指内部审计师在执行业务时信任其工作成果且未作出重大质量妥协。 内部审计师不应被置于有损其客观性的职业判断能力的情形中。
2、个人的客观性要求首席审计执行官在分配工作任务时,应避免潜在的或现实的利益冲突和偏见。首席审计执行官应当定期从内部审计人员中获取有关潜在利益冲突和偏见的信息,并在可执行的情况下,定期轮换指派给内部审计人员的工作。
3、在进行相关业务的沟通之前审查内部审计工作结果,这有助于为此项工作的客观性提供合理保证。
4、如果内部审计师为系统推荐控制标准或在程序实施前对其进行复核,不会对其客观性产生负面的影响。但是,如果内部审计师参与了这些系统的设计、安装、程序起草或操作,就可以认为其客观性受到损害。
5、内部审计师偶尔开展的非审计工作,只要在报告过程中作了充分的披露,并不必然会损害客观性。但是,管理层和内部审计师都应当对这种情况认真考虑,以免对内部审计师的客观性产生负面影响。
国际内审师(CIA)红皮书-实务公告(3)
实务公告1130-1 对独立性或客观性的损害
1130-对独立性或客观性的损害
如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。
释义
对组织独立性和客观性的损害可能包括但不限于:个人利益冲突,工作范围限制,接触记录、人员和实物资产的限制,在经费等资源方面受到约束等。
独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门和首席审计执行官应当对高级管理层和董事会承担的责任,以及损害的性质。
1、在任何情形下,但可以合理推断对独立性和客观性存在实际的或者潜在的损害,或者内部审计师对某种情况是否对客观性和独立性有损害存在疑问时,应当向首席审计执行官报告。如果首席审计执行官认定或判断算还存在,他需要重新分配内部审计师。
2、审计范围限制是对内部审计活动的一种限定,它会妨碍内部审计部门实现其目标和计划。审计范围限制可能包括:
●内部审计章程所规定的范围;
●内部审计部门接触与业务开展相关的记录、人员和实物资产;
●经批准的审计工作进度;
●实施必要的业务程序;
●经批准的人员配置计划和财务预算。
3、审计范围限制及其潜在影响,最好以书面形式与董事会沟通。首席审计执行官必须考虑,对曾经与董事会沟通并已被接受的审计范围限制再次与其沟通是否合适。在组织、董事会、高级管理层或其他方面发生变动时,更有必要进行此项沟通。
4、内部审计师不得接受公司雇员、客户、顾客、供应商或者业务伙伴的酬金、馈赠和款待,接受这些会导致内部审计师的客观性受损。这种现象在审计师目前或未来执行的业务中都有可能出现。业务的 不能作为收受酬金、礼物和款待的借口。接受雇员和一般公众也可获得的价值极小的宣传物品(如钢笔、日历或样品等),不会妨碍内部审计师的职业判断。如有人提供数额较大的酬金或贵重礼物,内部审计师应立即向上级报告。
实物公告1130.A1——评价内部审计师以前负责的运营
主要相关标准:
1130.A1——内部审计师必须避免评价其以前负责的特定业务。如果内部审计师为其在上一年度负责的业务提供q 确认服务,则其客观性视为受到损害。
1、内部审计部门调入或临时聘用的人员,只有在调入或聘用至少一年以后,才能分配
他们参与审计曾经负责或运营的领域,否则将被视为有损客观性,在监督审计工作和沟通审计结果时应进一步审议。
实物公告1130.A2-1 内部审计对其他(非审计)智能的责任
主要相关标准:
1130.A2——确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督。
1、对于那些接受定期内部审计评估的非审计职能或职责,内部审计师并不承担其责任。如果他们确实承担了上述责任,那也不是以内部审计师的身份。
2、如果内部审计部门、首席审计执行官或内部审计师负责一项,或管理层正在考虑分配他们一项可能受到内部审计部门审计的运营性工作,则内部审计师的独立性和客观性可能受到损害。首席审计执行官在评估某项业务分派对独立性和客观性的影响时,至少应当考虑以下因素:
●《职业道德规范》和《标准》的要求;
●利益相关方,可能包括股东、董事会、审计委员会、管理层、立法机构、公共实体、监管机构和公众利益团体的期望;
●内部审计章程包含的允许和限制规定;
●《标准》关于披露的要求;
●内部审计师承担的业务审计范围和职责;
●运营职能(在收入、支出、声誉和影响力方面)对组织的重要性;
●该项审计业务持续的时间和职责范围;
●职责分离的适当性;
●是否存在内部审计师的客观性受到威胁的历史或其他证据。
3、如果内部审计章程中对给内部审计师分配非审计性业务有具体限制条款或者限制性语句,则需向管理层进行披露并与其讨论这些限制的必要性。如果管理层依然坚持这样的任务分配,则有必要与董事会就该事项进行讨论。如果章程中对此没有规定,则应该参考以下提到的几点指导意见,但这些意见应以章程的措辞为准。
4、当内部审计部门承担了某项运营责任,并且审计计划中涵盖了该任务,则首席审计执行官需要:
●通过由合同规定的第三方或者外部审计师来审计向首席审计执行官报告的领域,将对客观性的损害降到最低;
●确保承担向首席审计执行官报告领域的运营职责的人员不参加对该运营项目的审计; ●确保开展向首席审计执行官报告领域的确认业务的审计师受高级管理层和董事会的
监督,并向高级管理层和董事会汇报评估结果;
●披露审计师承担的运营职责、该运营(在收支或其他相关信息方面)对组织的重要性以及审计师和对该运营职能进行升级的人员的关系。
5、需要在向首席审计执行官汇报的领域的相关报告和给董事会的常规性通报中,披露审计师承担的运营职责,也可以与管理层和/或其他适当的利益相关方讨论审计结果。
披露损害不应否认这样的要求,及确认业务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督。
国际内审师(CIA)红皮书-实务公告(4)
实务公告1200-1 专业能力与应有的职业审慎主要相关标准
1200-专业能力与应有的职业审慎
内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。
1、具备专业能力和应有的职业审慎时首席审计执行官及每一名内部审计师的责任。同样的,首席审计执行官应保证,分配给每项业务的人员整体上具有适当地开展业务所必须的知识、技能和其他相关能力。
2、应有的职业审慎包括遵守《职业道德规范》、组织的行为规范以及内部审计师持有的其他职业资格的行为规范。《职业道德规范》包括以下两方面核心内容,其拓展了内部审计的定义:
●与内部审计职业和实物相关的原则:诚信、客观、保密、胜任;
●行为标准说明了内部审计师应当遵守的行为规则。这些规则旨在帮助将上述原则解释为实际可行的应用内容,并指导内部审计师的道德行为。
实务公告1210-1 专业能力
主要相关标准:
1210-专业能力
内部审计师必须具备履行其职责所必须的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其这则所必需的知识、技能和其他能力。
释义
“知识、技能和其他能力”是一个集合术语,是内部审计师有效履行其职责所必须的专业水平。鼓励内部审计师通过取得适当的专业资格证书和认证,例如国际内部审计师协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力。
1、《标准》中提到的知识、技能和其他能力包括:
●在开展业务过程中应用内部审计标准、程序和技术所必须的专业能力。专业能力是指
针对可能出现的情形应用已有知识,并在未广泛借助他人技术研究和协助的条件下适当地处理这些情形的能力。
●在工作中广泛涉及财务报告和记录的内部审计师必须拥有的、与会计原则和技术有关的专业能力。
●识别舞弊信号的知识。
●有关信息技术风险和控制的技术以及利用技术的审计方法。
●确认和评价偏离良好实务之行为的重大性和重要性所必需的对管理原则的理解,这种理解是指针对可能出现的情形应用已有的知识、确认严重偏离情况、开展研究以合理解决问题所必需的能力。
●对开展审计业务所必需的会计学、经济学、商法、税收、金融、计量方法、信息技术、风险管理和舞弊等领域的基本内容的了解,这种了解指确认问题或潜在问题的存在,并确认需要进一步开展的研究或获取帮助的能力。
●交流沟通技巧,理解人及关系,与业务客户保持良好关系。
●口头和书面表达能力,能够清楚有效地表达业务目标、工作评价、结论和建议等事项。
2、首席审计执行官应该在允许考虑各职位的工作范围和责任的前提下为内部审计各职位确立适当的教育程度和工作经验的标准,并取得关于继任审计师的资格和专业能力的合理保证。
3、内部审计整体上应该具备在组织内履行职能所必需的知识、技能和其他能力。应当每年对内部审计部门的知识、技能和其他能力的构成进行分析,这有助于找出那些可以通过持续职业发展、招聘或资源整合加以改进的领域。
4、持续的职业发展对确保内部审计人员保持其专业水平时至关重要的。
5、首席审计执行官可以获取外部的内部审计专家的帮助,对内部审计薄弱领域给予支持或补充。
国际内审师(CIA)红皮书-实务公告(5)
实物公告1210.A1-1 获取外部服务提供者为内部审计部门提供的支持或补充
主要相关标准:
1210.A1-当内部审计师缺乏完成全部或部分业务所必需的知识、技能或其他能力时,首席审计执行官必需向他人寻求充分的专业建业和协助。
1、内部审计部门的每个成员不需要获取所有学科的资格证书。内部审计部门可以根据需要利用外部服务提供者或者内部资源在会计、审计、经济、金融、统计、信息技术、工程、税务、法律、环境事务和其他领域的知识来履行内部审计部门的职责。
2、外部服务提供者指独立于组织之外的,拥有某一学科或领域的专门知识、技能和经验的个人或公司。外部服务提供者包括精算师、会计师、评估师、文化或语言专家、环境专家、舞弊调查员、律师、工程师、地质专家、安全专家、统计学家、信息技术专家、组织外部审计师和其他审计组织。可以由董事会、高级管理层或者首席审计执行官聘用外部服务提供者。
3、内部审计部门可以在下列情况下利用外部服务提供者:
●实现业务工作安排的目标;
●开展审计业务需要信息技术、统计、税收、语言翻译等专门技能和知识;
●对土地、建筑物、艺术品、宝石、投资和复合金融工具等资产的评估;
●确定矿藏和原油储存等资产的数量和实际情况;
●衡量根据正在履行的合同而完成的和即将完成的工作;
●舞弊和安全调查;
●通过专门方式来确定有关金额,例如应用精算确定职员福利欠款等;
●法律、技术和规定要求的解释;
●根据《标准》评估内部审计部门的质量保证与改进程序;
●兼并和收购;
●风险管理和其他事项的咨询。
4、当首席审计执行官希望利用并依赖外部服务提供者的工作时,他需要根据开展的具体业务的要求考虑外部服务提供者的能力、独立性和客观性。当高级管理层或董事会选择聘用外部服务提供者,且首席审计执行官希望利用并依赖所选外部服务提供者的工作时,也应该开展这种评价工作。当他人选择聘用外部服务提供者,而首席审计执行官决定不使用也不依赖所选外部服务提供者的工作时,需要酌情向高级管理层和董事会进行恰当通报。
5、首席审计执行官确定外部服务提供者是否具备开展业务所必需的知识、技能和其他能力时,需要考虑:
●外部服务提供者的声誉,如可以通过与熟悉该外部服务提供者工作的其他人员来了解;
●外部服务提供者在被要求提供服务领域的经验;
●外部服务提供者在与所涉及业务相关的学科接受的教育和培训;
●外部服务提供者对组织所在行业的知识和经验。
6、首席审计执行官需要评估外部服务提供者与组织和内部审计部门的关系,保证在开展业务期间审计的独立性和客观性得到维护。在评估过程中,首席审计执行官应核实,不存在任何妨碍外部服务提供者在开展业务或提交工作报告时作出公正判断和结论的财务、组织
或私人关系。
7、在评估外部服务提供者的独立性和客观性时,首席审计执行官应该考虑: ●外部服务提供者可能在组织内拥有经济利益;
●外部服务提供者可能与董事会、高级管理层或组织内其他人员拥有的私人或专业关系;
●外部服务提供者可能已经与组织或被审计工作发生的关系;
●外部服务提供者可能正在为组织提供的其他服务的内容;
●外部服务提供者可能获得的津贴或其他奖励。
8、如果外部服务提供者同时也是组织的外部审计师,而业务的性质是拓展审计服务,首席审计执行官需要确认所开展的业务不会损害外部审计师的独立性。拓展审计业务之外部审计师从事的一般公认审计标准要求范围以外的服务业务。如果组织的外部审计师以或似乎以高级管理层或组织雇员的身份开展工作,其独立性就会受到损害。此外,外部审计师可以为组织提供诸如税收和咨询等其他服务,应该从外部服务提供者为组织的所有服务来全面评估其独立性。
9、为了保证所开展工作的范围足以实现内部审计活动目标,首席审计执行官应该充分获取关于外部服务提供者工作范围的信息。比较谨慎的做法是以业务函或合同的形式记录这些事项和其他有关事项。未来实现这一目标,首席审计执行官应该与外部服务提供者一起检查以下内容:
●工作的目标和范围,包括可提交结果及时间表;
●工作的目标和范围,包括可提交结果及时间表;
●对相关记录、人员和实物资产的接触;
●关于拟应用的假设和程序的信息;
●适当时,审计业务工作底稿的所有权和保管权;
●业务中获取的信息的保密和限制要求;
●适当时,对《标准》和内部审计部门工作规范的遵循情况。
10、首席审计执行官在检查外部服务提供者的工作时,要评价其所开展工作的适当性,包括获取的信息是否足以提供合理的依据,以支持所得出的结论及对例外或反常事项的处理方案。
11、当首席审计执行官在应用外部服务提供者的情况下进行审计业务通报时,他可以引用后者所提供的具体服务,并将此引用告知外部服务提供者。在适当情形下,首席审计执行官应该在引用这些服务内容之前,与外部服务提供者就有关方面内容达成一致意见。
国际内审师(CIA)红皮书-实务公告(6)
实物公告1220-1 应有的职业审慎
主要相关标准:
1220-应有的职业审慎
内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。但是,应有的职业审慎并不意味着永不犯错。
1、应有的职业审慎要求相当谨慎且胜任的内部审计师在相同或相似的情形下应具备的审慎态度和技能。因此,应有的审慎应该与所开展业务的复杂程度相适应。在行使应有的职业审慎时,内部审计师应该警惕故意不当行为、错误和遗漏、怠工、浪费、无效工作和利益冲突等情况存在的可能性,还应该警惕最可能发生的违法乱纪现象的情形和活动。内部审计师还应该识别不适当的控制,并提出促进遵守可接受的程序和实务的改进建议。
2、应有的职业审慎意味着合理的谨慎和能力,而不是绝无差错或者业绩优异。应有的职业审慎要求内部审计师合理地开展检查和验证工作。同样地,内部审计师不能绝对保证组织不存在违规或违法现象。然而,无论何时开展内部审计业务,内部审计师都应注意存在重大违法违纪现象或不遵守有关规定的可能性。
实务公告1230-1 持续职业发展
主要相关标准:
1230-持续职业发展
内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。
1、内部审计师有责任在接受继续教育加强和维持其专业能力。内部审计师需要了解内部审计标准、程序和技术的改进和发展包括国际内部审计师协会发部的《国际内部审计专业实务框架》。持续职业发展可以通过参加国际内部审计师协会这样的专业协会、获得会员资格、在专业协会中担任志愿者、参加会议和研讨会、参加内部培训项目、进修大学和自学课程以及参加研究项目等途径获得。
2、鼓励内部审计师通过获得相应的专业资格证书,例如国际内部审计师协会授予的国际内部审计师和其他的资格来证明其专业能力。
3、鼓励内部审计师通过接受(与其所在组织和行业相关的)继续执业教育,保持其在所属组织的治理、风险和控制过程方面的执业能力。
4、从事专业审计和咨询业务(如信息技术、税务、精算或者系统设计等)的内部审计师,可以接受专门的继续职业教育,保证其在内部审计工作中的职业能力。
5、持有专业资格证书的内部审计师有责任获得充分的继续职业教育,以满足与所持专业资格证书相关的要求。
6、鼓励目前尚未取得专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目和/或进行个人学习。
国际内审师(CIA)红皮书-实务公告(7)
实物公告1300-1 质量保证与改进程序
主要相关标准:
1300-质量保证与改进程序
首席审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。 释义
质量保证与改进程序旨在内部审计活动时候遵循“内部审计定义”和《标准》以及内部审计师是否遵守《职业道德规范》进行评估,还可以用来评价内部审计活动的效率和效果,并识别改进的机会。
1、首席审计执行官负责建立内部审计部门,其工作范围包括《标准》以及“内部审计定义”中所指的所有活动。为确保该工作的实施,《标准》第1300 条要求首席审计执行官建立并维护质量保证与改进程序(QAIP)。
2、首席审计执行官负责实施为内部审计活动的以下方面制定的程序,以便向各利益相关方提供合理保证:
●根据内部审计章程开展工作,该章程与“内部审计定义”\《职业道德规范》和《标准》一直;
●有效果、高效率地开展内部审计工作;
●使利益相关方认为内部审计工作可以增加价值,并改善组织的运营状况。
这些程序包括适当的监督、定期的内部评估、对质量保证的持续监督和定期的外部评估。
3、质量保证与改进程序应当足够详尽,涵盖“内部审计定义”、《职业道德规范》、《标准》和最佳实务中所指的内部审计实施与管理的所有方面。质量保证与改进程序由首席审计执行官实施,或在其直接监督下实施。除了小规模的内部审计部门,首席审计执行官通常将大部分履行质量保证与改进程序的职责授权给下属单位。在规模大且复杂的环境中(例如有大量的业务部门或营业场所),首席审计执行官应在内部审计部门建立独立于审计和咨询分部的、正式的质量保证与改进程序职能。首席审计执行官(和少数员工)负责管理并监督为实现成功的质量保证与改进程序所需开展的工作。
实务公告1310-1 质量保证与改进程序的要求
主要相关标准
1310-质量保证与改进程序的要求
质量保证与改进程序必须包括内部评估和外部评估。
1、质量保证与改进程序师对内部审计部门开展的审计和咨询业务的整体情况进行持续和定期的评估。这些持续和定期的评估包括:严格而全面的程序、对内部审计和咨询持续的监控和测试以及对是否遵循“内部审计定义”、《职业道德规范》和《标准》的定期验证。评估还包括对业绩指标(如审计计划完成情况、循环周期、被采纳的建议、客户满意度)的持续评价和分析。若评估结果指出了应由内部审计部门进行改进的领域,首席审计执行官将通过质量保证与改进程序实施改进工作。
2、评估是评价内部审计工作的质量,并得出结论,同时提出适当的改进建议。质量保证与改进程序包括对一下项目的评估:
●遵循“内部审计定义”、《职业道德规范》和《标准》的情况,包括即时采取措施纠正重大的不遵循的情况;
●内部审计部门章程、目标、政策和程序的适当性;
●对组织的管理、风险管理和控制程序的共享;
●遵守适当的法律、法规、政府或行业标准;
●持续改进工作的有效性和对最佳实务的采纳;
●内部审计工作为组织增加价值、改善组织运营的程度。
3、质量保证与改进程序还包括对建议的后续追踪,涉及对资源、技术、过程和程序作出适当即时的调整。
4、为明确责任,确保透明度,首席审计执行官应当与各利益相关方(如高级管理层、董事会和外部审计师)分享内、外部质量评估的结果。首席审计执行官应至少每年一次向高级管理层和董事会报告质量评估的结果。 国际内审师(CIA)红皮书-实务公告(8)
实务公告1311-1 内部评估
主要相关标准:
1311-内部评估
内部评估必须包括:
●对内部审计活动执行情况的持续监督;
●通过自我评估或由组织内部其他充分了解内部审计实务的人员进行的定期检查。 释义
持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中。持续监督应纳入管理内部审计活动的日常政策和实践,运用必要的流程、工具和信息对内部审计活动时候遵循“内部审计定义”、《职业道德规范》和《标准》作出评估。
定期检查室针对内部审计活动时候遵循“内部审计定义”、《职业道德规范》和《标准》而开展的评估工作。
充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。
1、持续内部评估采用的程序和工具包括:
●业务监督;
●依据任务列表或其他程序(如审计工作手册中规定的)开展工作;
●审计客户和其他利益相关方的反馈意见;
●由不参与审计的人员有选择地对工作底稿进行同业互查;
●项目预算、计时系统、审计计划完成情况、成本回收情况;
●对其他业绩衡量指标的分析(如业务周期、建议采纳情况)。
2、对工作业绩的质量作出评价,并采取后续措施确保适当的改进得以实施。
3、IIA 质量评估手册或一系列类似的指南和工具应当作为定期内部评估的依据。
4、定期内部评估可以:
●包括对利益相关方进行的深入访谈和调查;
●由内部审计部门的人员开展(自我评估);
●由国际注册内部审计师或目前在组织内部从事其他他工作的有胜任能力的审计专业人员开展;
●包含自我评估和经过国际注册内部审计师或其他具有审计专业能力的人员充分检查后提供的资料;
●包括将内部审计的实务及业绩指标与相关的内部审计最佳实务进行对比。
5、外部评估之前短期内开展过的内部评估,有助于外部评估的开展并降低成本。如果定期内部评估是由合格的、独立的外部检查人员或检查小组开展的,评估结果不应成为随后的外部质量评估结果的保证。评估报告可以为提高内部审计业务水平提供建议。
如果外部评估采用“独立审定的自我评估”方式,定期的内部评估可以作为该过程中的自我评估部分。
6、对审计工作的质量作出评价,必要时,采取适当的措施改进工作,并与《标准》保持一致。
7、首席审计执行官应当建立具备适当可信度和客观性的定期评估的结果报告体系。通常情况下,接受委派从事持续和定期检查的人员,应在实施检查时向首席审计执行官报告,并将检查的结果直接向首席审计执行官报告。
8、首席审计执行官应至少每年一次向高级管理层和董事会报告内部评估的结果、必要的行动方案以及行动方案的成功实施情况。
国际内审师(CIA)红皮书-实务公告(9)
实务公告1312-1 外部评估
主要相关标准:
1312-外部评估
外部评估必须至少每五年开展一次,必须由来自组织外部、合格且独立的检查人员或检查小组负责实施。首席审计执行官必须与董事会讨论:
●更为频繁地开展外部评估的必要性;
●检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。
释义
合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成。 对检查人员或检查小组胜任能力的评估属于一种判断,需要考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑接受评估的内部审计部门所在组织的情况,检查人员所属机构的相对规模和负责程度以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。
独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在组织。
1、外部评估涵盖内部审计部门开展的所有审计和咨询业务,不应局限于评估质量保证与改进程序。为了从外部评估中获取最佳收益,其工作范围应该包括与最佳实务对比、确认和报告,从而提高内部审计工作的效率和效果。上述目标可以通过由合格的、独立的外部检查人员或检查小组实施的完全的外部评估来实现,也可以通过开展全面的内部自我评估并由合格的、独立的外部检查人员或小组独立审定来实现。无论采用哪种方式,首席审计执行官要确保其工作范围清晰地传达外部评估的预期结果。
2、对内部审计工作的外部评估包括为内部审计部门开展的全部确认和咨询工作给定意见,包括内部审计工作对“内部审计定义”、《职业道德规范》和《标准》的遵循以及适当的改进建议。除了评估内部审计工作是否遵循“内部审计定义”、《职业道德规范》和《标准》,评估的范围可以根据首席审计执行官、高级管理层或董事会的意图进行调整。评估对于首席审计执行官和内部审计部门的其他人员有重要价值,尤其在共享与最佳实务的对比时更是如此。
3、评估结束后,应向高级管理层和董事会提交正式报告。
4、外部评估有两种方式。第一种是由合格的、独立的外部检查人员或检查小组实施的完全的外部评估。这种方式需要在经验丰富的专业项目经理领导下、由有能力的专业人士组成的外部团队负责实施。第二种方式是由合格的、独立的外部检查人员或检查小组对内部审计部门开展的自我评估和出具的报告进行独立审定。独立的外部检查人员应当精通最新的内部审计实务。
5、对内部审计部门开展外部评估的人员对该内部审计部门所在的组织及其人员应不存在义务或利益关系。在选择合格独立的外部检查人员或检查小组时,首席审计执行官要认真考虑独立性问题,并与董事会磋商。对独立性应给予特别关注的事项包括:
●任何实质上货形式上的利益冲突是指提供如下服务:
----对财务报表的外部审计;
----在治理、风险管理、财务报告、内部控制和其他相关领域的重要咨询服务;
----为内部审计部门提供的帮助。由专业服务提供者开展的工作的重要性和数量也在考虑之列。
●以前在该公司任职的员工参与评估而产生的任何实质上或形式上的利益冲突。应该考虑评估人员与组织保持独立的时间长短。
●检查人员独立于接受评估的内部审计部门所属的组织,并与之没有任何实质上或形式上的利益冲突。“独立于组织”意味着既不是内部审计部门所属组织的一部分,也不受其控制。在选择合格、独立的外部检查人员或检查小组时,应考虑检查人员过去或现在与组织或其内部审计部门的关系可能引起的实质上或形式上的利益冲突。检查人员参与内部质量评估的情况也应在考虑之列。
●若检查人员来自组织的其他部门或相关组织,尽管在组织结构上独立于内部审计部门,但从开展外部评估的目的角度看,仍不能任务其是独立的。“相关组织”可以是母公司、隶属于同意组织机构的分子机构、与内部审计部门所在组织存在定期监督和质量保证责任的机构。
●同业互查中存在的实质上或形式上的利益冲突。在三个或更多组织之间(例如,在行业或其他类似组织、地区协会、其他团体——前述“相关组织”定义中已排除的除外)相互开展同业互查,可以缓解对独立性的影响,但是要保证不发生独立性方面的问题。两个组织之间相互开展同业互查,不能通过独立性测试。
●为消除上述在形式上或实质上损害独立性的顾虑,一名或多名独立检察人员可以作为
外部评估小组的一部分,独立地验证外部评估小组的工作。
6、诚信要求检查人员在保密的约束下保持诚实和坦率。服务和公众信任不应服从于个人利益和所得。客观是一种精神状态,也是为检查人员的服务赋予价值的品质。客观的原则是要求做到公正、诚实,没有利益冲突。
7、开展外部评估并报告其结果要求运用职业判断。因而,作为外部评估人员应当是: ●能够深入理解《标准》、胜任的、有资格的内部审计专业人员;
●精通内部审计最佳实务;
●具有至少三年内部审计或相关咨询工作方面担任管理职位的经验。
独立检察小组的组长和独立审定自我评估结果的外部检查人员应当具备胜任能力和丰富的经验。例如以前曾参与过外部质量评估,圆满完成了IIA 的质量评估培训课程或类似培训,具有首席审计执行官类似的内部审计管理职位的经验。
8、检查人员应当具备相关的技术专长或行业经验。其他领域的专家可以协助外部检查小组的工作。例如企业风险管理、IT 审计、统计抽样、运营监督系统或控制自我评估方面的专家可以参与评估工作的特定环节。
9、首席审计执行官应参与高级管理层和董事会对外部质量评估方式和外部质量评估人员的选择。
10、外部评估涵盖面广,包括内部审计工作的以下要素:
●对“内部审计定义”、《职业道德规范》、《标准》和内部审计部门章程、计划、政策、程序、实务以及相应法律法规的遵循情况;
●董事会、高级管理层和运营管理层对内部审计的期望;
●将内部审计工作于组织治理过程进行整合,包括参与治理过程的主要部门之间及部门内部的关系;
●内部审计工作中运用的工具和技术;
●员工知识结构、工作经验和不同专业的组合搭配,包括侧重流程改进的员工; ●确定内部审计工作是否为组织增加了价值,改进了组织的运营状况。
11、检查的初步结果应当在实施评估过程中以及做出结论时与首席审计执行官进行讨论。
最终结果应当报告给首席审计执行官或其他批准开展检查的人员,最好直接送交高级管理层和董事会的相关成员。
12、评估报告包括:
●在综合评分的基础上,对内部审计工作遵循“内部审计定义”、《职业道德规范》和《标准》的情况发表意见。“总体遵循”意味着从整体上看,内部审计工作满足“内部审计定义”、《职业道德规范》和《标准》的要求。同样的,“未遵循”意味着内部审计工作存在的不足所带来的影响和严重程度损害了内部审计部门履行职责的能力。“部分遵循” “内部审计定义”、《职业道德规范》和《标准》的程度,如果与总体意见相关,也应当在独立评估报告中表述。对外部评估结果发表意见要求运用良好的业务判断、诚信和应有的职业审慎;
●对运用最佳实务的评估,包括评估过程中观察到的做法和其他潜在的可适用的做法; ●适当的改进建议。
●首席审计执行官的反馈,包括行动计划和实施日期。
13、为明确责任,确保透明度,首席审计执行官应就外部质量评估的结果,包括重大事项的纠正措施以及这些计划措施的完成情况与各利益相关方(如高级管理层、董事会和外部审计师)进行沟通。
国际内审师(CIA)红皮书-实务公告(10)
实务公告1312-2 外部评估:独立审定的自我评估
主要相关标准:
1312-外部评估
外部评估必须至少每五年开展一次,必须由来自组织外部的、合格且独立的检查人员或检查小组负责实施。首席审计执行官必须与董事会讨论:
●更为频繁地开展外部评估的必要性;
●检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。
释义
合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成。 对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑就接受评估的内部审计部门所在组织的情况,检查人员所属机构的相对规模和负责程度以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。
独立的检查人员或检查小组意味着与检查工作不存在任何实质或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在组织。
1、由合格、独立的检查人员或检查小组开展的外部评估,对小型的内部审计部门而言比较繁琐。或者在某些情况下不适合,也没有必要开展由独立的检查小组实施的全面外部评估。例如,内部审计部门:(1)所属行业受到严格管理和监督;(2)在治理和内部控制方面受到严格的外部监督;(3)近期接受了外部检查或咨询服务,并与最佳实务进行了严格的对标;(4)依据首席审计执行官的判断,进行自我评估对员工发展的益处以及内部质量保证与改进程序的优势超过了进行外部质量评估所能为组织带来的收益。
2、独立(外部)审定的自我评估:
●是一个详细、全面记录的自我评估过程,至少在评估对“内部审计定义”、《职业到得规范》和《标准》的遵循情况方面,应参照外部评估的程序;
●由合格、独立的检查人员实施的独立现场审定;
●较少的时间和资源需求,例如,关注对《标准》的遵循情况;
●对其他领域有限的关注,例如,与最佳实务的对比、检查和咨询,与高级管理层和运营管理层的访谈可能被简化,而从这些领域获得的信息则是外部评估的优势之一。
3、《实务公告》1312-1 中提出的指南和标准也适用于独立审定的自我评估。
4、评估小组在首席审计执行官的领导下开展并全面记录自我评估工作。报告草案与外部评估相似,也要包括首席审计执行官对《标准》遵循情况的判断。
5、合格的、独立的检查人员或检查小组实施充分的自我评估测试,以验证评估结果,并对内部审计工作遵循“内部审计定义”、《职业到得规范》和《标准》的水平发表意见。 应当按照IIA 质量评估手册列明的程序或类似的全面程序进行独立审定。
6、作为独立审定的一部分,独立的外部检查人员对自我评估小组就遵循“内部审计定义”、《职业到得规范》和《标准》所作的评估进行严格检查后,应立即:
●检查报告草案,如有任何未尽事宜,争取尽快解决;
●如果同意对遵循“内部审计定义”、《职业到得规范》和《标准》情况的意见,独立的外部检查人员应当视需要,在报告中增加对该评价表示同意的内容,并在适当的范围内,增加对检查发现、结论及建议表示同意的内容;
●如果不同意所作的评价,独立审定人员应当在报告中增加不同意的内容,明确不同意之处,并在认为适当的范围内,指出报告的重大发现、结论和建议;
●独立审定人员也可以出具一份单独的独立审定报告,如前款所述表明同意或反对意见,附在自我评估报告之后。
7、最终的独立审定的自我评估报告应当由评估小组和独立的外部检查人员签字,由首席审计执行官签发并提交高级管理层和董事会。
8、为明确责任,确保透明度,首席审计执行官应当就外部质量评估的结果与各利益相关方(如高级管理层、董事会及外部审计师)交换意见,同时还应就重大事项计划采取的纠正措施以及这些计划措施的完成情况进行沟通。
国际内审师(CIA)红皮书-实务公告(11) 实务公告1321-1 对“遵循《标准》”的应用
主要相关标准:
1321-对“遵循《标准》”的应用
只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,首席审计执行官才可以进行“遵循《标准》”的声明。
1、对内部审计部门的持续监督以及内外部评估,应评价内部审计工作对“内部审计定义”、《职业到得规范》和《标准》的遵循情况,并出具意见,适当情况下还应包括改进的建议。
2、“遵循”的使用可以是“遵守了《标准》”或者是“与《标准》一致”。预使用上述短语之一,要求每五年至少开展一次外部评估,同时伴有持续监督、定期的内部评估,并且得出的结论是:内部审计工作遵循了“内部审计定义”、《职业到得规范》和《标准》。只有外部评估证明内部审计工作遵循了“内部审计定义”、《职业到得规范》和《标准》之后,方可首次使用“遵循”一词。
3、首席审计执行官有责任向高级管理层和董事会披露影响内部审计工作的整体范围和运营的为遵循情况,这包括五年之内未接受外部评估的情况。
4、在“遵循”的应用方面,如果通过自然评估(内部或外部)发现了不遵循的情况,而且这种情况有损内部审计部门履行其职责,则:
●必须对其进行适当纠正;
●应当记录改进措施,并向相关评估者进行报告,获取其对于不遵循情况已得到适当改进的认可;
●改进措施和评估意见应当反馈给高级管理层和董事会。
实务公告2010-1 审计计划对风险和风险暴露的关注
主要相关标准:
2010-计划
首席审计执行官必须以分享为基础制定计划,以确定与组织目标相一致的内部审计活动重点。
释义
首席审计执行官负责以风险为基础制定计划。制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。
1、在制定内部审计部门的审计计划时,许多首席审计执行官发现,先制定或更新审计范围是很有效的方法。审计范围是指所有可能进行的审计。首席审计执行官可以听取高级管理层和董事会关于审计范围的意见。
2、审计范围可以吸收组织战略计划的成分。通过吸收战略计划,审计范围将考虑并反映出总体业务目标。战略计划也可能反映出组织对待风险和实现既定目标困难程度的态度。一般来说,风险管理过程的结果会对审计范围产生影响。组织战略计划的制定会考虑到组织运营的环境,而环境因素很可能对审计范围和对相关风险的评估产生影响。
3、首席审计执行官在准备内部审计部门的审计计划时,要以从高级管理层和董事会获取的审计范围以及风险、风险暴露对组织的影响进行的评估为基础。审计目标的关键常常是向高级管理层和董事会提供确认和相关信息,包括对管理层的风险管理活动效果的评估,以帮助他们实现组织目标。
4、审计范围和相关审计计划内容的更新,应该反映出管理层的方针、目标、重点和焦点出现的变化。建议至少每年对审计范围评估一次,以反映组织最新的战略和方针。在某些情况下,审计计划需要进行比较频繁(例如,每季度)的更新,目的是对组织的主管业务、程序、系统和控制等方面的变化作出反应。
5、应该在评估风险和风险暴露优先次序的基础上安排审计工作。只有对风险进行优先排序之后,才能根据风险暴露的重要性分配相关的资源。多种风险模型的存在对首席审计执行官是很有帮助的。大多数的风险模型都利用了影响力、可能性、重要性、资产流动性、管理能力、内部控制的质量和内涵、变化或稳定程度、上次审计业务开展的时间和结果、复杂性、与雇员及政府的关系等风险因素。
国际内审师(CIA)红皮书-实务公告(13)
实务公告2040-1 政策与程序
主要相关标准:
2040——政策与程序
首席审计执行官必须制定政策和程序,为内部审计活动提供指导。
释义
政策与程序的形式和内容取决于内部审计部门的规模、架构与、及其工作的复杂程度。
1、首席审计执行官制定政策与程序。并非所有的内部审计活动都需要真实的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的。可以通过日常的、密切的监督和
遵循政策与程序的备忘录来指导和控制审计人员。在大型的内部审计活动中,更加正规、综合的政策与程序对指导内部审计人员执行年度审计计划时必不可少的。
实务公告2050-1 协调
主要相关标准:
2050—协调
首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。
1、对外部审计师工作的监督,包括其与内部审计部门的协调时董事会的责任,实际的内外部审计协调工作由首席审计执行官负责。首席审计执行官需得到董事会对审计工作有效协调的支持。
2、组织可以利用外部审计师的成果来提供内部审计范围内的相关确认服务。在这种情况下,首席审计执行官应采取必要的步骤了解外部审计师从事的工作,包括:
●外部审计师计划的工作性质、范围和时间,加上内部审计师计划的工作,应符合《标准》2100 条的要求:
●外部审计师对风险和重要性的评估;
●外部审计师的技术、方法和术语使首席审计执行官能够:
(1)协调内部与外部审计工作;
(2)评估决定是否信赖外部审计工作;
(3)与外部审计师进行有效的沟通;
●通过获取外部审计师的审计方案和工作底稿,能够把外部审计的工作可靠地运用到内部审计工作中,内部审计人员有责任保证这些方案和工作底稿不被泄露。
3、外部审计师在升级时可以利用内部审计工作的成果。在这种情况下,首席审计执行官需要给外部审计师提供充分的信息,以使外部审计师理解内部审计师的技术、方法和术语,并应用到他们的工作中。内部审计师的审计方案和工作底稿要提供给外部审计师,以便外部审计师能够借鉴内部审计师的工作成果来满足外部审计的目标。
4、对内、外部审计师而言,运用相同的技术、方法和术语有助于有效地协调他们之间的工作。
5、应对内、外部审计师计划的审计工作进行讨论,以确保适当的审计覆盖面和最大限度地减少重复工作。在审计过程中,应召开相当数量的会议以确保审计工作的协调,并有效、及时地完成审计工作。同时,还要依据从工作开始后到目前为止的审计发现和建议,确定是否需要调整计划内的工作范围。
6、外部审计师应可以得到内部审计的最终报告、管理层对报告的回应及对内部审计活动的后续审查。这些报告将帮助外部审计师决定和调整工作范围及时间。此外,内部审计师
需要得到外部审计师的管理建议书和相关报告。首席审计执行官需要理解管理建议书和相关报告中探讨的事项,并帮助内部审计师在计划中确定将来内部审计工作的重点。在高级管理层和董事会的有关人员审查了管理建议书并提出需采取的纠正行动之后,首席审计执行官应确保采取恰当的后续措施及纠正行动。
7、首席审计执行官应经常评估内、外部审计人员之间的工作协调情况。这种评估也可以包括对内、外部审计总成本、总体效率和效果的评估。首席审计执行官应向高级管理层和董事会会汇报评估结果,也可一并上报对外部审计师工作的相关意见。
国际内审师(CIA)红皮书-实务公告(14)
实务公告2060-1 向高级管理层和董事会报告
相关标准:
2060-向高级管理层和董事会报告
首席审计执行官必须定期向高级管理层和董事会报告内部审计活动宗旨、权力、职责及与其计划有关的工作开展情况,报告中还必须包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。
释义
报告频率和内容要经过与高级管理层和董事会讨论后确定,同时取决于所报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。
1、首席审计执行官应定期向高级管理层和董事会提交工作报告。工作报告应强调重要的业务发现和建议,并向高级管理层和董事会通报已批准的审计工作项目计划、人员配置计划以及财务预算在执行中出现的重要偏离及其出现偏离的原因和是否已采取或需要采取行动。
2、重要的业务发现是指那些根据首席审计执行官的判断,可能对组织产生不利影响的情况。重要的业务发现应包括舞弊、违法、差错、低效率、浪费、无效、利益冲突和控制薄弱环节等情况。
3、高级管理层和董事会对重要的业务发现和建议所应采取的适当改进措施作出决定。高级管理层和董事会可能会在考虑到成本费用和其他原因后,决定不采取报告中提出的改进措施,并承担由此引起的风险。首席审计执行官应将高级管理层对所有重要的业务发现和建议所做的决定通知董事会。
4、在高级管理层和董事会决定不采取行动纠正报告中提出的重要问题并承担由此而产生的风险时,首席审计执行官应考虑是否应将原先已报告的重要审计发现和建议再次向董事会报告。这一点在风险因素发生重大变动时可能是必要的。