导图社区 CIA国际内部审计专业实务框架
- 385
- 20
- 5
- 举报
CIA国际内部审计专业实务框架
《国际内部审计专业实务框架》是国际内部审计师协会(IIA)发布的权威标准的概念性框架,是国际公认的内部审计专业实务标准体系,无论对于内部审计专业实务,还是国际注册内部审计师(CIA)考试都非常重要。
编辑于2021-08-05 23:10:32- CIA
- CIA国际内部审计专业实务框架
- 相似推荐
- 大纲
国际内部审计专业实务框架
内部审计定义
内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标
独立性与客观性
1100——内部审计活动必须保持其独立性,内部审计师必须客观地开展工作。 内在价值的根本
独立性原则
组织上的独立性
1110——组织上的客观性首席审计官必须向组织内部能够确保内部审计部门旅行职责的层级报告。首席审计官必须至少每年一次向董事会确认内部审计部门在组织上的独立性。 1110.A1——内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干预。遇有收到干预的情况,首席审计官必须向董事会汇报并讨论其影响。 1111——与董事会的直接互动首席审计官必须与董事会直接沟通和互动
(1)组织独立性
职能上,董事会/审计委员会/其他治理机构
行政上,CEO
(2)内部审计人员的独立性
专职人员
会计部门人员不得兼任
(3)内部审计业务的独立性
以第三者身份
检查、监督、分析、评价和服务于组织的各项经济业务
客观性原则
个人的客观性
1120——个人的客观性内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。
避免利益冲突是内部审计师保持客观性的重要途径之一
注意:利益冲突不一定会产生不道德或不恰当的行为后果,但即使那样,也必须去避免。
损害独立性或客观性的情形
对独立性或客观性的损害
1130——对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。 1130.A1——内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为收到损害。 1130.A2——确认服务涉及首席审计官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督。 1130.A3——在咨询服务的性质不会损害客观性,并且个人的客观性在调配业务资源时得到有效管理的前提下,内部审计可以对实施过咨询服务的领域提供确认服务。 1130.C1——内部审计师可以对其以往负责的业务提供咨询服务。 1130.C2——如果内部审计师对于拟开展的咨询服务的独立性或客观性存在潜在损害,必须在接受该业务之前向客户披露。
(1)审计范围限制
内部审计章程规定
接触与开展业务相关记录、人员和实物资产
经批准的审计工作进度
实施必要的业务程序
经批准的人员配置计划和财务预算
最好以书面形式与董事会沟通董事会、高管层或其他方面变动时,再次沟通
(2)个人利益冲突
经济利益
社会压力
人际关系
文化、种族和性别歧视
偏见
不得接受公司雇员、客户、顾客、供应商或上午伙伴的酬金、馈赠和款待。数目很大的酬金或贵重礼品——立即向上级报告雇员和一般公众都能得到的或价值极小的宣传物品——不影响
(3)对以前负责的业务进行评价
调人或临时聘用人员,只有在离开原岗位至少一年之后,才能分配审计参与审计以前从事过的运营业务;并在监督审计任务和沟通审计结果时进一步审议。
(4)开展非审计职能的责任
1112——关于首席审计官执行内部审计工作以外的工作首席审计官在内部审计以外的工作中发挥作用或承担职责的情况下,必须有保障措施,以限制对独立性或客观性的损害。 保障措施:通常是指董事会采取的针对这类潜在损害的监督活动,包括:(1)定期评估报告路径及职责;(2)制定替代程序确认其职责范围外工作的有效性。
不应承担运营责任
不以内部审计师的身份开展非审计工作
不参与控制系统的设计、程序起草、安装或操作工作
偶尔开展非审计工作并在报告过程中作充分披露;管理层和内部审计师需评估其对独立性或客观性的损害及其他负面影响
需注意:
(1)确认服务涉及首席审计官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督;
(2)内部审计师可以对其以往负责的业务提供咨询服务。
独立性或客观性受损的披露
适当的对象
取决于内部审计章程所记载的内部审计部门和首席审计官应当对高管层和董事会承担的责任,以及损害的性质。
若认为面临可能会损害拟开展的咨询服务独立性或客观性的情形时,必须在接受该业务之前向客户披露。
若已经出现或经合理推断认为可能出现利益冲突和偏见,或者不能判定是否会影响独立性或客观性时,应向首席审计官进行报告。
披露性质视受损情况而定
注意
遇到审计限制,最好以书面形式向董事会、审计委员会或其他相关治理机构报告受到的限制及其潜在影响。
确认和咨询业务
1000.A1——向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。 1000.C1——咨询服务的性质必须在内部审计章程中确定。
确认业务
定义
为了对机构、运营、职能、流程、系统或其他对象提供意见或结论而做出的客观评价。
类型
传统:财务审计、遵循性审计、运营审计
现代:绩效审计、第三方审计、合同审计、舞弊检查、风险和控制自我评估、尽职调查、质量审计、安全审计、信息技术审计、隐私审计等
咨询服务
基本概念
定义
咨询及相关的客户服务活动,本质上是一种顾问服务,应客户的具体要求而开展。
性质与范围
遵循内部审计章程所明确的业务范围原则,与客户协商确定
目的
在内部审计师不承担管理职责的前提下,未组织增加价值并改进组织的治理、风险管理和控制过程。
形式
顾问、建议、推动、协调、程序设计和培训等
步骤
定义问题、提出建议、形成可供选择的方法、选定最佳的替代方法、执行最佳的替代方法
内容
提供专业咨询和建议、开展优化促进活动、设计程序及开展培训等
类型
1)正式的咨询业务
2)非正式的咨询业务
3)专项咨询业务
4)应急事件咨询业务
指导性原则
(1)遵循内部审计定义
(2)确认与咨询业务的相互关系
内部审计咨询业务丰富了增值型的内部审计内容
通常咨询由确认直接产生,但也可能由咨询产生确认业务
(3)内部审计章程授权实施咨询业务
董事会/审计委员会应授权内部审计活动提供额外服务并且在内部审计章程中做出规定
额外服务不能出现利益冲突,也不能违背对审计委员会承担的责任
必须指定咨询业务的基本实施规定,编入章程并公告
(4)独立性与客观性
咨询业务可以增强对与确认业务相关的经营过程或事项的了解,不一定会损害客观性
提供咨询服务之前,首席审计官应当确认董事会已经理解并批准所提供咨询服务的内容。
正式咨询一年内又确认,损害独立性和客观性,管理层应采取以下措施以最小化受损影响
安排不同的内部审计师对同一领域开展不同的服务
建立独立的管理和监督机制
为项目的结果确定各自的责任
披露认定的受损情况
注意
内部审计师只提供建议,避免不恰当地或在无意中承担了超出业务范围或脱离原定目标的管理责任
对于内部审计章程禁止的业务、与内部审计活动的政策和程序相冲突的业务、没有增值作用的或不能使组织获得最佳利益的业务,应予以拒绝。
(5)提供咨询服务的基础
(咨询作为确认延伸的优势)内部审计活动遵守最高程度的客观性标准,并且对组织的流程、风险与战略具有深厚的了解。
(6)正式咨询业务
内审部门是唯一有资格实施一些正式咨询任务的部门
开展正式咨询时,内审师应对以下内容保持应有的职业审慎
1)高级管理层的要求,包括业务性质、时间安排和对业务结果的沟通
2)要求开展咨询服务的可能动机和理由
3)实现咨询业务目标需要的工作范围
4)开展咨询业务需要的技能和资源
5)咨询业务对审计委员会事前批准的审计计划的影响
6)对未来审计安排和业务的潜在影响
7)可以为组织带来的潜在好处
(7)首席审计官的职责
得以就特定问题与管理层对话
有权决定采取什么样的审计技术
在审计结果的性质和严重程度会给组织带来重大风险时,有权向高管层和审计委员会成员报告
(8)解决冲突或新问题的标准
《职业道德规范》
《标准》
确认业务与咨询服务的区别
1、定义的区别
确认
“独立评价”
性质和范围由内部审计师确定
对经济活动的真实性、合法性下结论
咨询
“服务的性质与范围需与客户协商确定”
经济活动的合理性
2、参与的区别
确认
内部审计师、审计对象、结果使用者
客户
内部:董事会、高级管理层、审计委员会
外部:消费者、股东、监管者和其他利益相关者
咨询
内部审计师和客户
3、结果的区别
确认
独立评价
结果使用者往往是审计委员会
向法定第三方正式且详尽地发表“意见”,确认和评估组织的经营或财务状况是否适当
咨询
意见和建议,客户对是否采用结果有最终决定权
客户通常是经营管理层
改善组织的效果或提高效率,帮助设计纠正措施,提供新系统设计所需的控制,提出衡量标准,在内部审计的技术范围内提供所请求的服务项目
增加价值和改善组织的运营
内部审计活动通过提供客观且相关的确认,对治理、风险管理和控制过程的效果和效率做出贡献,为组织(及其利益相关方)增加价值。
企业价值最大化——通过合理经营,在保证企业长期稳定发展的基础上使企业总值达到最大
系统的、规范的方法
具体方法:审计检查方法、审计分析方法、审计调查方法、审计现代化管理和数学分析方法等
内部审计人员可以运用审核、观察、监盘、访谈、调查、函证、计算和分析程序等方法,获取相关、可靠和充分的审计证据,以支持审计结论、意见和建议
评价并改善风险管理、控制及治理过程的效果
总体管理
把总体管理控制系统与组织的长远目标联系起来
立足组织的全局,更好地理解组织的整体目标和进程,从一个更广阔的视野来看待问题并指定出相应的解决方案,全面地评价和改进治理、风险管理和控制过程
帮助组织实现其目标
为完整实现内部审计活动的价值和目标,内部审计师需要组织指定强制性的规定,以明确他们的确立,并支持他们的独立性与客观性。
首席审计官
2000——内部审计活动的管理首席审计官必须有效地管理内部审计活动,确保为组织增加价值。 有效管理:工作结果达到了内部审计章程所包含的目的和责任;遵循《标准》;内部审计师遵循了《职业道德规范》和《标准》;充分考虑了可能对组织造成影响的发展趋势和新兴事项。 内部审计管理:内部审计机构为了有效地实现既定的审计目标而对内部审计人员和内部审计活动实施的计划、组织、领导、控制和协调工作。 《框架》要求CAE:确立制度(章程);确立上下报告关系(向董事会和高管层报告);对内事务(内部审计部门管理);对外协调(协调外部服务和其他部门工作);质量保证和改进程序等。 内部审计管理目的:实现内部审计目标促使内部审计资源得到充分和有效的利用提高内部审计质量,更好地履行内部审计职责促使内部审计活动符合内部审计准则的要求 内部审计管理主体:内部审计机构具体负责:首席审计官客体:内部审计业务活动那个及其相关的职能活动(内部审计计划的制定、内部审计项目的实施、审计报告的编制、做出审计意见或建议、审计资料的归档等审计业务活动;以及与审计业务相关的人力资源、内部审计质量控制、业绩管理等活动)
内部审计章程
1000——宗旨、权力和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中正式确定,并与《内部审计的使命》和《国际内部审计专业实务标准》强制性内容(《内部审计实务的核心原则》、《职业道德规范》、《标准》和《内部审计定义》)的要求保持一致。首席审计官必须定期审查内部审计章程,并提交高级管理层和董事会审批。 内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。内部审计章程的最终审批权在董事会。 1000.A1——向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。 1000.C1——咨询服务的性质必须在内部审计章程中确定。 内部审计章程应当明确:内部审计的目标和职责管理当局对内部审计部门的期望首席审计官的职能性和行政性报告路径内部审计部门开展业务、实现共同商定目标和履行职责所需的权限
章程的概念
1010——在内部审计章程中确认强制性指南《内部审计实务的核心原则》、《职业道德规范》、《标准》和《内部审计定义》的强制性必须在内部审计章程中得到确认。首席审计官应当与高级管理层和董事会讨论《内部审计的使命》和《国际内部审计专业实务框架》中的强制性内容。
内容包含
引言
说明内部审计活动的总体作用和专业特点
通常引用《国际内部审计专业实务框架》
权力
达到审计目标所需的资源
权力是实现审计目标的保证
具体说明内部审计部门有权全面接触开展业务所需的记录、实物资产和人员,并强调内部审计师保护资产和保密的责任。
组织和报告架构
描述首席审计官的报告架构
可对特定的职能性、行政性职责进行描述
独立性和客观性
描述内部审计独立性和客观性的重要性,以及如何保持独立性和客观性
职责
规定日常职责的主要内容
确定评估范围
起草内部审计计划
将计划提交董事会批准
开展业务
结果沟通
提供书面业务报告
监督管理层采取纠正措施
理想状况下,组织所有的经营活动都属于内部审计的范围
还应包括
后续审计的责任
外部机构向组织提供确认服务的性质
质量保证和改进
要求“建立、维护、评估和结果沟通”
应涵盖内部审计活动的各个方面
签名
首席审计官、被指派的董事会代表、首席审计官的报告对象
签字日期、签署者姓名和职级
要求
理想状况下,首席审计官在行政上向首席执行官报告,在职能上向审计委员会报告。
首席审计官的***与内部审计的宗旨、权力和职责并不直接相关。
章程的批准
章程的最终审批权在董事会
在审计实务或考试中,批准内部审计章程往往是审计委员会的主要职责
通常,首席审计官可以建议董事会在年度会议议程中增加一个固定的议题,用于根据需要讨论、更新和批准内部审计章程。
当章程得到批准后,首席审计官要定期对其进行评估。
报告关系
是内部审计有效履行其义务的必要因素。 恰当的报告关系对于保证适当的信息流通非常重要,是开展风险评估和报告审计工作结果的基础。 任何对于审计范围和审计结果报告的限制都应报告审计委员会。 如果行政性报告对象同时负责该组织的其他部门,而这些部门也是被审计单位,那么首席审计官应该确保这种报告关系没有损害到独立性。
向董事会和高级管理层报告
2060——向高级管理层和董事会报告首席审计官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权力、职责、根据计划开展工作的情况以及对《职业道德规范》和《标准》的遵循情况。报告中还必须包括重大风险和控制事项其中包括舞弊风险、治理以及其他需要高级管理层和/或董事会关注的事项。
目的
提供有关治理程序(标准2110)、风险管理(标准2010)及控制(标准2130)方面的保证。
报告频率和内容
由CAE、高管层和董事会协商后确定
取决于所报告信息的重要性以及高管层和/或董事会采取相关行动的紧迫程度
重大和重要事项
重大的风险披露和控制事项
根据CAE的判断,可能对组织及组织实现其战略目标、财务报告目标、经营目标、合规性目标的能力产生负面影响的事项。
重要事项
控制缺陷、舞弊、违规、违法、差错、效率低下、浪费、无效、利益冲突和财务方面的可行性等
超过组织容忍程度的重大风险
可能损害组织声誉的风险
可能对人员造成损害的风险
可能导致重大的监管罚款、限制经营行为,或者其他财务或违约惩罚的风险
重大错报
舞弊或者其他非法行为
实现战略目标的重大障碍
报告类型
(1)职能性的报告
直接面向审计委员会
没有管理层参加的单方会议
审计委员会对于审议并通过年度审计计划和所有重大变化有最终权力
审计委员会对CAE的业绩评估应当至少每年一次,并批准其年度薪资福利和薪酬调整。
(2)行政性的报告
CEO或另一位有充分权力的高级管理人员
目的:使日常审计工作得到适当的支持
报告对象在组织中的职位太低会对内部审计工作的地位和有效性产生负面影响
注
行政性报告关系不应对内部审计工作范围或结果的报告有最终权力
行政性报告关系对预算控制和预算方面的意见不能阻碍内部审计工作
与审计委员会的关系
概述
审计委员会指负责监督组织的审计和控制工作的治理层
IIA认为审计委员和内部审计师有互相交织的目标
通过CAE实现审计委员会与内部审计活动良好关系的活动
协助审计委员会,确保其章程、内部审计活动和各项过程对于履行其审计职责是恰当的
确保内部审计章程、作用和各项活动得以清晰阐述,且能反映审计委员会和董事会的需求
与审计委员会和主席保持开放、有效的沟通
CAE
(1)对审计委员会的职责
提供咨询服务——可通过帮助委员会定期评估其活动、提出改进建议发挥重要作用
(2)在内部审计活动中的作用
CAE的核心目标:确保审计委员会理解、支持并接受内部审计活动所需的帮助
对审计委员会的主要作用:确保实现此目标和成为委员会可以信赖的顾问
(3)与审计委员会的交流
内部审计部门管理
内部审计计划管理
2010——计划首席审计官必须制定以风险为基础的计划,以确定与组织目标相一致的内部审计活动重点。 2010.A1——内部审计部门的业务计划必须建立在有记录的风险评估基础上,并至少每年制定一次。在计划制定过程中,必须考虑高级管理层和董事会的意见。 2010.A2——首席审计官必须识别和考虑高级管理层、董事会以及其他利益相关方对于内部审计意见或其他结论的预期。 2010.C1——首席审计官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营等方面的潜在作用。已经接受的咨询业务必须纳入计划。
要求
年度计划应与内部审计部门章程和组织目标保持一致。
内容
1)审计目标
2)业务工作安排
3)人员配置计划和财务预算
4)行动报告
基础
对组织风险的评估
风险评估应考虑所有的治理过程
审计计划界定范围
所开展工作的性质
所要解决的治理过程
所要进行的评估性质
步骤
(1)确定审计范围
所有可能进行审计的领域,包括所有可能进行检查的风险领域,从而列出可供执行的审计业务清单。
应考虑因素
1)董事会和管理层的要求
2)公司战略
3)其他(一般为四个方面)
·需要采取管理措施的当前不可接受的风险
·组织依赖程度最高的控制系统
·固有风险和剩余风险间差别很大的领域
·固有风险非常高的领域
·法律法规的要求
·外部审计师报告中提到的问题
列入计划的理由
风险评级
自上次审计以来的时间
管理层变更
(2)确定内部审计活动的优先次序
目的
根据风险暴露的重要性分配相关的资源。
各风险模型共性因素
影响力
可能性
重要性
资产流动性
管理能力
内部控制的质量和内涵
变化或稳定程度
上次审计业务开展的时间和结果
复杂性
与雇员及政府的关系
首席审计官要考虑组织风险管理的成熟度。
成熟度较低的组织可以使用不太正式的风险管理手段。
确定审计共工作安排重点应考虑事项
·最近一次审计的日期和结果
·对风险和风险管理/控制过程效果的最新评价
·管理高层和董事会的要求
·当前与组织治理有关的问题
·企业业务、运营、程序、系统和控制发生的主要变化
·实现营业收益的机会
·审计人员的变化和能力
内部审计章程通常要求内部审计活动着重于高风险领域
内部审计活动要求识别固有风险高的领域、剩余风险高的领域以及对于组织而言最为可靠的关键控制系统。
内部审计计划还应当包括定期选择风险层级较低的业务部门或分支机构进行审计,并设计审计范围,确定这些业务部门或分支机构的风险未发生变化。
内部审计部门要制定一套应对计划外未解决风险的优先处理方案。
资源受限制也会影响内部审计计划的优先次序。
应及时向董事会汇报
(3)确定资源配置
资源需求
人员数量和配置
财务预算
开展工作所需的知识、技术和其他能力
(4)确定审计目标
应该能够在计划和预算范围内实现,并且是可衡量的。
制定时应附带衡量标准和实现日期。
关键:常常向高管层和董事会提供确认和相关信息,以帮助他们实现组织目标。
(5)审计范围和计划的更新
应当反映出管理层的方针、目标、重点和焦点出现的变化。
通常以年为单位制定审计计划
审计计划的重大变更必须报请董事会和高管层审核和批准
具有战略性的审计计划程序
1)控制检查/确认活动
适当性与效率
2)调查活动
不确定性与剩余风险
3)咨询活动
降低不可接受的流动风险,考虑成本效益
沟通与批准
2020——沟通与批准首席审计官必须将内部审计部门的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。首席审计官还必须就资源受限制的影响与高级管理层和董事会进行沟通。
首席审计官应每年提交内部审计活动的计划和资源需求,并报高级管理层和董事会审批
为量化绩效水平,许多CAE会使用关键绩效指标
完成审计计划的百分比
接受或实施审计建议的百分比
管理层整改措施的进展情况或发布报告的平均时间
对董事会/高管层提出的任何特殊要求所做的变更可在董事会会议上进行讨论
在审批以及后续执行过程中对计划和资源需求的重大临时性变化,也需要报高管层和董事会审批。
当高管层和董事会不全盘接受时,CAE必须就范围的变化、范围的限制和资源的限制产生的影响与高管层和董事会进行沟通。
内部审计资源管理
2030——资源管理首席审计官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。
内部审计资源包括
雇员(劳动时间和技能)
外部服务提供方
时间或日程表(资源可用性)
资金支持
可利用的技术和方法
(1)首席审计官的职责
对内部审计资源的充分性和有效性负有主要责任
充分性
制定适当的指标、目的和目标,以监督资源是否充足
有效性
确保资源能够得到有效应用,包括有能力和资格的审计人员,为业务结构、风险状况、地理位置相对分散的组织建立一个有效的资源途径和组织结构
适宜性
制定内部审计业务日程表时,须考虑组织的日程表、内部审计师个人 日程表以及被审计机构是否适用日程表的计划安排
(2)与高级管理层和董事会的沟通
对充足的内部审计资源负有最终责任
CAE要定期向高管及董事会提交关于资源需求现状和资源充足情况的简报,并就该情况保持经常沟通
(3)资源规划
考虑因素
审计范围
相关的风险水平
年度审计计划
审计覆盖面预期
对计划外业务的评估
预留资源以应对组织的意外风险或管理当局的临时要求等
内部审计资源必须足以实现审计业务的广度、深度和及时性,以符合高管和董事会的预期,并与内部审计章程保持一致。
解决资源需求的其他办法
培训
聘用外部服务提供方、公司内部其他部门的雇员或专业顾问
(4)内部审计部门人力资源管理
CAE对内部审计人事管理的有效性负责
聘用
培训
工作任务安排
胜任能力分析
业绩考核与激励机制
CAE会考虑在组织规定的工作期限内完成计划所需的内部审计师的数量和工作时数
工作时数通常不包括带薪休假、培训和管理所花费的时间等因素
CAE应进行定期的技能评估或清查
以风险评估中识别出的需要和审计计划为基础
从整体资源管理的角度看,CAE需考虑后续接替计划、人员评估与发展规划和其他人力资源培训事宜
(5)外部专家服务
目的:为了获取相关、可靠和充分的审计证据,保证审计工作的质量。
责任
外部专家应当对其选用的假设、方法及其工作结果负责。
CAE对利用外部专家服务结果所形成的审计结论负责。
内部审计部门在利用外部专家服务结果昨晚审计证据时,应当评价其相关性、可靠性和充分性
事前签订书面协议
目的、范围及相关责任
结果的预定用途
审计报告中可能提及外部专家的情形
外部专家利用相关资料的范围
报酬及其支付方式
对保密性的要求
违约责任
(6)内部审计外部资源配置的考量
2070——外部服务提供方与组织对内部审计的责任在内部审计活动外包给外部服务提供方的情况下,外部服务提供方必须使组织了解其对有效的内部审计活动负有责任。
外包方案
整体业务外包
部分业务外包
联合
将特定业务或将业务的某些部分分包给外部服务提供方
IIA认为,即使是法律、条例、规定允许,也不应当将内部审计业务外包给为组织出具财务审计报告的那家公司,否则将损害其独立性。
IIA认为,即使采取将整体内部审计业务外包的方式获取审计服务,也不能将内部审计部门监督和应承担的责任外包。
如果获取审计服务的方式或者资源的来源中任何一项即将发生重大变化,CAE应当向董事会提交关于此项建议的书面评估意见。
任何关于内部审计业务整体外包(或外包其重要部分)的建议都应当经过董事会审批
政策和程序
2040——政策与程序首席审计官必须制定政策和程序,为内部审计活动提供指导。
该标准中没有说明其具体的形式,仅规定了必须制定政策和程序
形式和内容取决于
内部审计部门的规模
内部审计部门的架构
内部审计工作的复杂程度
通常纳入内部审计手册中
内容
内部审计政策(遵循强制性指南、保护涉密信息等关键条款)
内部审计程序
质量保证与改进程序
行政事务
绩效评估、培训内部审计师的方法和工具、认证机会和持续教育要求
CAE应当定期审查相关变化以更新政策与程序,同时要求内部审计师签字确认他们已经阅读并理解了这些政策和程序。
根据中国内部审计协会《第2301号内部审计具体准则——内部审计机构的管理》,内部审计机构应当根据组织的性质、规模和特点,编制内审工作手册,以指导内部审计人员的工作。
内部审计工作手册
目标、权限和职责的说明
组织、管理及工作说明
岗位设置及岗位职责说明
主要审计工作流程
内审质量控制制度、程序和方法
内审人员职业道德规范和奖惩措施
内审工作中应当注意的事项
内部审计风险管理
背景:内审的作用和重要性不断提高,同时也面临着挑战(能否在全球劳动力市场获取合规的人员、日益增长的薪酬成本以及对信息系统、舞弊、衍生工具、税务等方面特定资源的较高要求)
(1)审计失效风险
表现:控制失效或发生舞弊
因素
未遵循《标准》
不恰当的质量保证与改进程序
缺乏有效的风险评估流程
未设计有效的内审程序来测试“真实的”风险和正确的控制
未评价控制设计的适当性和控制效果,并将其昨晚内审程序的组成部分
未采用恰当的胜任人员
未根据审计发现或控制缺陷,提出职业怀疑并扩展审计程序
无适当的内审监督
在掌握某些舞弊证据时,做出错误的判断和决定
未与适当人员沟通所怀疑事项
未恰当地进行报告
化解措施
1)质量保证与改进程序
2)定期对审计领域进行审核
3)定期对审计计划进行审核
4)有效的审计计划
5)有效的审计设计
了解和分析内部控制体系的设计
6)有效的管理人员审核和升级程序
7)适当的资源配置
(2)错误确认风险
运用内部审计资源,协助组织识别并评价重大的风险暴露,需要对项目进行清楚的界定,而不是对内部审计进行清楚的界定
无有效措施化解,但可积极管理
经常进行明确的沟通(关键)
就内部审计活动的作用和强制性积极地向审计委员会、高管层以及其他主要利益相关者沟通
就风险评估、内部审计计划和内审业务中涉及的事项进行明确沟通,并对风险评估和内审计划中没有涉及的范围进行明确沟通
设立一个“项目认可”流程,对每个项目相关的风险级别以及内部审计在每个项目中的作用进行评估
若将内部审计师扩充到某个项目的人员配备之中,要对其参与的角色和范围进行记录,还要对其客观性和独立性的问题进行记录,绝不能将内审师看作是借调来的“资源”,这可能会导致错误确认。
(3)审计声誉风险
化解策略
对内部审计活动涉及的各个流程实施强有力的质量保证与改进程序,包括人力资源和聘用流程
定期对内部审计活动进行风险评估,识别可能影响其“品牌”的潜在风险
强化行为规范和职业道德行为标准,包括IIA的《职业道德规范》
确保内部审计活动遵循组织所有适用的政策和实务
协调
2050——协调和信赖首席审计官应当与其他内部和外部确认和咨询服务的提供方共享信息、相互协调,并考虑利用他们的工作成果,以确保适当的工作覆盖面,并尽可能减少重复工作。
确认图谱
(1)确认提供方
渠道
管理层(最基本)
内部审计
其他第三方
确认提供方可分为三大类别
向管理层报告的人员或本身就是管理层的组成部分
向董事会报告的人员,包括内部审计师
向外部利益相关者报告的人员
传统上由独立审计人员/法定审计人员担任
(2)确认图谱
对应组织(或组织内每个重要的部门)的关键风险描绘出确认涵盖的领域,确认图谱通常以风险管理框架的结构为基础
作用
确认图谱描绘可以在整个组织范围内进行,从而了解总体风险情况以及确认活动的角色和相应责任
主要目的
保证具备全面的风险和确认过程,同时不存在重复工作或潜在差距
内容
重大风险类别
对风险承担责任的管理层角色(风险责任人)
固有风险评定结果
剩余风险评定结果
外部审计覆盖面
内部审计覆盖面
其他确认提供方的覆盖面
通常每项重大风险都有风险责任人或负责协调该风险确认活动的人员,这个人可以填写其他确认提供方覆盖面的栏目
(3)首席审计官的职责
通过确认图谱识别出缺乏适当确认的重大风险或存在重复确认活动的区域
高管和董事会针对这些风险考虑确认覆盖范围的改变
内部审计部门在制定审计计划时考虑未被适当覆盖的领域
责任
CAE的责任是了解董事会和组织对于独立确认的要求,明确内部审计部门扮演的角色及所提供确认的水平
董事会需要确信组织具备适当并且健全的全面确认过程,证明组织的风险得到有效的管理和报告
方式
在协调过程中,内部审计师可作为正式代表或列席参加,并可查看会议记录、工作计划和报告,以了解这些组织如何协调活动并进行沟通
董事会需针对每一类风险,取得已实施的或者已列入计划的确认活动信息
内部审计部门和其他确认提供方要针对各个类别的风险性质和级别,向董事会提供恰当程度的确认
协调流程
内审师可以依赖或采用其他内部或外部确认提供方的工作
确认提供方
内部确认提供方
环境
财务控制
健康和安全
IT安全
法律
风险管理
合规或质量保证
职能部门
负责监督上述部门活动的管理部门
外部确认提供方
外部审计师
合资企业各投资方
专家评审
第三方审计机构
包括根据鉴证业务(ISAE)第3402号:服务组织控制鉴证报告而出具报告的人员
协调方式
CAE协调方法
(1)CAE通过审查组织架构图和董事会会议纪要或会议记录,确定现有确认和咨询服务提供方的各种角色
(2)协调其工作
协调确认活动的程序因组织而异
较小组织中,可以是非正式的
在大型或受严格监管的组织中,协调可以是正式和复杂的
(1)采购服务
依赖其他确认提供方的理由
涉及内部审计部门不能胜任的领域
获取其他确认提供方传递的知识
为了有效拓宽内部审计计划的风险覆盖面
由于《标准》要求内审师与提供相关确认和咨询服务的其他内部或外部服务提供方分享信息、协调活动,建议内审师在选择或保留组织外部审计师及确认外部审计师工作范围的过程中起一定作用或由一定程度的参与
聘任过程
由管理层召开会议说明需要提供的服务和条件
与候选人举行现场会议
要求候选人提供背景信息和其他信息
筛选候选人
签订书面协议,明确权责
应当在聘用合同或协议中说明业务期望,最低期望应包括交付物的类型和所有权、方法/技术、程序类型及所使用的数据/信息,用于确定工作适当性的进度报告/监督,以及报告要求等
如果组织管理层指定了某个第三方确认提供方并给出合同,内部审计师应当确认该指令是适当的,并就此类安排对确认提供方的独立性和客观性的影响进行评价
(2)实施监督
无论在多大程度上采用其他确认提供方的工作,CAE都必须遵循“标准2310:识别信息”的要求
内部审计师应当确定其他确认提供方的工作得到了适当的计划、监督、记录和复核。
内部审计是依赖或采用其他确认提供方的工作,应当考察其独立性和客观性。必须建立一套统一的流程和标准
评估提供方的独立性和客观性
评估提供方的胜任能力
评估提供方应有的职业审慎
确定对提供方工作的依赖程度
(3)报告结果
其他确认提供方的结果——并入董事会或其他重要利益相关方的总体确认报告中
其他确认提供方提出的重要事项——详细汇总后并入内部审计报告
内审师应当在报告中包含此类信息的位置说明其出处
其他确认提供方对重大风险的评估——报告给组织的相关部门
以便在制定组织的风险管理框架和确认图谱时予以考虑
要考虑这些审计发现是否对风险评价产生了影响
考虑应对这类风险需要采取的审计工作级别
外部的确认服务提供方可向高管层或外部利益相关方报告,或者可能由CAE雇用并向其报告
(4)后续跟踪
评价管理层对报告的意见和建议所采取的行动的适当性、有效性和及时性的流程
应当确定管理层意见采取了行动,或愿意承担不采取行动的风险
协调外部审计
责任和职责
对内部审计工作与外部审计工作的协调与监督,是董事会的责任
实际的内外部审计协调工作由CAE负责,包括对外部审计工作进行监督和评价
只有当外部审计师参照《标准》开展工作时,内部审计部门才可以利用外部审计的结论
(1)内外部审计的协调
内外审计服务范围区别
内部:用系统化、规范化的方法评估并增强风险管理、控制和公司治理的有效性
外部:未获取充分的证据以支持其对年度财务报表的公允性发表审计意见。外部审计师的工作范围由他们的专业标准来规定,而且他们要负责判断所执行的审计程序和获取的审计证据是否充分,以对年度财务报表发表审计意见
具体协调内容
协助外部审计师进行财务报表审计
评估内、外部审计人员的审计职责
评价双方的工作协调情况和外部审计师的工作情况,并向高级管理层和董事会汇报
就特定事项与外部审计师交流
定期商讨双方关心的事项
1)审计覆盖面
2)互相接触审计方案和工作底稿(与外部审计师)
CAE应根据组织的保密要求,考虑共享信息的类型和数量尤其是保密信息的范围,特别是与外部的提供方之间。
3)交换审计报告和管理建议书
4)审计技巧、方法及术语的共识
CAE应确保内部审计师没有重复外部审计师的工作,内部审计师可以依靠外部审计师所做的工作,确定其审计范围。
(2)对外部审计的评价
董事会在行使其监督职能时,可以要求CAE评价外部审计师的工作情况
工作阶段
评价准备
评价实施
评价报告
评价内容
内外审计人员之间的协调
对外部审计师的独立性与客观性、专业胜任能力、职业审慎性、信誉、审计程序和审计依据的有效性和适当性、业绩的评价等
内部审计师应确定组织如何才能对外部审计师提供的持续服务获得进行监测
对外部审计师独立性的评价应当包括内部审计的参与,至少每年进行一次,应向审计委员会报告
(3)对外部审计师提供服务的独立性要求
CAE应就美国证券监督委员会关于外部审计师独立性要求的条例协调内部审计部门、管理层、审计委员会和外部审计师的关系
各方应理解美国证券监督委员会条例的应用并就此达成公司
公司应保留恰当的记录,说明如何定义条件、如何应用条例要求
可取做法
采纳相关政策,规定公司解释和遵守美国证券委员会条例所用的方法
确定审计师是否独立的内容
审计师/家庭成员是否对审计客户投资
审计师/家庭成员与审计客户间是否有雇佣关系
审计公司向其审计客户提供的服务范围
并不延伸至向非审计客户提供的服务
若外部审计师向公募公司审计客户提供会损害其独立性的非审计业务,要求大多数公募公司在其年度代理投票声明中披露与外部审计师在最近一个财务年度提供的非审计服务有关的某些信息
导致外部审计师缺乏独立性的非审计服务
与审计客户的会计记录或财务报表有关的记账或其他业务
财务信息系统的涉及和实施
提供评价、评估、公允性意见
精算服务
内部审计服务
人力资源
管理职能
经纪人服务
法律服务
协调其他部门
(1)法规监管机构
常见机构
证券交易机构
行业监管部门
法规监管部门
其他相关监管机构
内部审计活动应对那些违法风险较高的领域给予较多的关注,因此需与组织中的法规监管机构进行协调
同监管部门进行沟通的程度和方法取决于监管部门
(2)其他保证部门
承担了组织中某次方面的监督、控制和保证工作的部门
开展内部审计具体业务时,应充分考虑与这些业务相关的其他内部保证部门的合作,积极应用其成果和专业意见,并与其协调,以提高内审工作效率、完善内审工作成果
通常包括:企业风险管理和质量控制部门
质量保证与改进程序
1300——质量保证与改进程序首席审计官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。 1310——质量保证与改进程序的要求质量保证与改进程序必须包括内部评估和外部评估。 1320——对质量保证与改进程序的报告首席审计官必须向高级管理层和董事会报告质量保证与改进程序的结果。报告的内容应当包括:内部评估和外部评估的范围与频率;评估人员或评估小组的资质及独立性,包括潜在的利益冲突;评估人员的结论;整改计划。
内部评估
1311——内部评估内部评估必须包括:对内部审计活动执行情况的持续监督;定期自我评估或由组织内部其他充分了解内部审计实务的人员进行的评估。
通常定期开展,以评估所开展审计工作的质量
CAE应至少每年向高级管理层和董事会报告一次内部评估的结果、必要的行动方案以及行动方案的成功实施情况
作用
为CAE改进审计工作提供建议
为高管层和董事会评价内部审计部门提供依据
(1)持续监督
侧重于对工作标准对业务层面的评估
在计划阶段提供恰当的知道并批准审计方案
在实施阶段保证工作底稿充分支持审计发现、审计结论和审计建议
保证审计的得到实现
持续监督员工和业务关键绩效指标
应纳入管理内部审计活动的日常政策和实践,运用必要的流程、工具和信息对内部审计活动是否遵循《职业道德规范》和《标准》作出评估
充分的监督是质量保证项目最重要的内容,是开展内部和外部评价的基础
(2)定期检查
侧重于从总体上针对每项标准对《标准》和内部审计活动进行更全面、更深入的检查
一般由CAE挑选的小组或个人来完成
若外部评估采用“独立审定的自我评估”方式,定期的内部评估可以作为该过程的自我评估部分
CAE应将评估结果与各利益相关方分享
内部评估可以作为自我评估过程的一部分协助外部评估的准备工作,但不能成为外部评估结果的保证。
外部评估
1312——外部评估外部评估必须至少每五年开展一次,必须由来自组织外部、合格且独立的评估人员或评估小组负责实施。首席审计官必须与董事会讨论:外部评估的形式和频率;外部评估人员或评估小组的资质和独立性,包括任何潜在的利益冲突。
方式
由合格且独立的外部评估人员或评估小组实施完全的外部评估
由合格且独立的外部评估人员或评估小组对内部审计部门开展的自我评估和出具的报告进行独立审定,也称为“独立审定的自我评估”
至少在对《职业道德规范》和《标准》的遵循情况方面进行评估时应参照外部评估的程序
报告应当由检查小组和独立的外部检查人员签字,由CAE签发并提交高级管理层和董事会
(1)独立性
避免实质上或形式上的利益冲突
在三个或更多组织之间相互开展同业互查,一定程度上可以达到独立性目的,但必须保证不发生独立性方面的问题,并且所有成员可以不受制于条件限制充分地履行他们的职责
两个组织之间相互开展同业胡茬,不具有独立性
在同级政府所属的一个或多个内部审计部门向同一个CAE报告的情况下,即使评估人员在不同的内部审计部门工作,处于外部评估的目的,仍不认为其是独立的
只有独立于每个组织的评估人员,才能开展外部评估。
(2)胜任能力
判断依据
外部检查人员的内部审计专业经验
专业资格证书
熟悉外部质量评估流程
能够深入理解《标准》
精通内部审计最佳实务
具有至少三年在内部审计或相关咨询工作方面担任管理职位的经验
(3)评估实务
外部评估范围包括内审部门开展的所有确认和咨询业务,而不局限于评估质量保证与改进程序
内容
与最佳实务对比、确认和报告
对《职业道德规范》、《标准》和内部审计部门章程、计划、政策、程序、实务以及相应法律法规的遵循情况
内部审计活动的效率和效果
利益相关方对内部审计的期望以及为组织增加价值的程度
将内审工作与组织治理工作进行整合
内部审计运用的工具和技术
员工知识结构、工作经验和不同专业的组合搭配
评估范围
可以根据CAE、高管层或董事会的意图进行调整
评估结果
综合评分
遵循情况意见
总体遵循
未遵循
部分遵循
对运用最佳实务的评估
适当的改进建议
CAE的发布反馈
CAE应向高管层和董事会提交正式评估报告,并与董事会讨论是否需要更为频繁地开展外部评估,以及讨论评估人员或评估小组的资格和独立性。
若组织出现领导层变动、内审政策或程序的重大变化、两个或多个审计机构合并为一个内审部门、重要岗位员工离职、行业特定的或环境问题等变化是需要考虑提高检查的频率
CAE应当就外部质量评估的结果与各利益相关方交换意见,并就重大事项计划采取的纠正措施及其完成情况进行沟通。
遵循《准则》的应用
1321——对“遵循《标准》”的应用只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,才可以出具“遵循《标准》”的声明。 1322——对未遵循情况的披露若未遵循《职业道德规范》或《标准》的情况影响到内部审计活动的整体范围或运作,首席审计官必须向高级管理层和董事会披露未遵循事项及其影响。
遵循《标准》的要求
每五年至少开展一次外部评估
具有持续监督和定期的内部评估
上述结论为:内部审计工作遵循了《职业道德规范》和《标准》
若未遵循的情况影响到内审活动的整体范围或运作,CAE须向高管和董事会披露未遵循事项及其影响,包括五年内未接受外部评估的情况。
遵循性证明
完成持续监督活动的任何证据均可证明
可通过已完成的定期评估文档证明遵循性
质量保证与改进程序的结果也可作为遵循《标准》的证据
对于外部评估,其报告时最重要的证据
应用
若通过质量评估发现了不遵循的情况,且其有损内审部门履行其职责,必须对其进行适当纠正并记录改进措施,同时向相关评估者进行报告,获取其对于不遵循情况已得到适当改进的认可
CAE应当将改进措施和评估意见及时反馈给高管层和董事会
内部审计师
职业道德规范
诚信
应当诚实、勤奋并负责地完成工作
应当遵守法律,按照法律及其职业要求进行披露
若内审师了解到一些对组织重要的信息,依照法律和职业要求,负有报告该信息的责任
若内审师没有足够的证据来说明其判断,不应作出评价
不得蓄意参与非法活动,或参加有损于内部审计职业或其所在组织的行为
客观
在做出判断时,内审师不受其个人喜好或他人的不适当影响,对所有相关环境做出公正的评价
行为规则
不应参与可能损害或被认为会损害其公正评价的活动或关系
不接受可能损害或被认为会损害其职业判断的任何物品
应当披露已知的,如果不予披露,可能会歪曲检查工作报告的所有重大事实
保密
内审师尊重所获取信息的价值和所有权,没有适当授权不得披露信息,除非是在有法律或职业义务的情况下
行为规则
应当谨慎利用和保护履行职责过程中获取的信息
不应当利用信息谋取私利,或者以任何有悖法律规定或有损组织法律和道德目标的方式使用信息
一般来说,对外发布信息不是内审师的责任,而是董事会或审计委员会的职责
胜任
行为规则
应当只从事与其所具备必要的知识、技能和经验相适应的服务活动
应当依据《国际内部审计专业实务标准》开展内部审计服务
应当持续提高专业能力和服务的效果、质量
专业能力
1200——专业能力与应有的职业审慎内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。 1210——专业能力内部审计师必须具备履行其职责所必需的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必须的知识、技能和其他能力。 1210.A1——当内部审计师缺乏完成全部或部分业务所必需的知识、技能或其他能力时,首席审计官必须向他人寻求充分的专业建议和协助。1210.A2——内部审计是必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专门技能。1210.A3——内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法,以开展工作,但不期望所有内部审计师均掌握专门从事信息技术审计的内部审计师所具备的专门技能。1210.C1——当内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其他能力时,首席审计官必须谢绝开展此项业务或寻求充分的建议和协助。
可采用IIA的“内部审计师胜任能力框架”或类似标杆,制定评估内审师专业能力的标准,并用于编制岗位描述和内审部门所需胜任能力的清单
应掌握的知识、技能和其他能力
精通内部审计标准、程序和技术
熟悉会计原则和技术
理解管理原则
识别舞弊信号的知识
对会计、经济学、商法、税收、金融、量化方法和信息技术等领域的基本内容的深入领会
CAE应当定期对内部审计人员的人际关系进行评价,并根据评价结果及时采取措施改进人际关系
需要时,CAE必须向他人寻求充分的专业建议和协助,可通过董事会、高管层或CAE来聘用外部服务提供方
当他人选择聘用外部服提供方,而CAE决定不使用也不依赖所选外部服务提供方的工作时,需酌情向高管层和董事会进行恰当通报
应有的职业审慎
1220——应有的职业审慎内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。但是,应有的职业审慎并不意味着永不犯错。 1220.A1——内部审计师必须通过考虑以下因素,履行其应有的职业审慎:为实现业务目标而需要开展工作的范围所要确认事项的相对复杂性、重要性或严重性治理、风险管理和控制过程的适当性和有效性发生重大错误、舞弊或不合规的可能性与潜在效益相对的确认成本1220.A2——在履行应有的职业审慎时,内部审计是必须考虑利用技术的审计方法和其他数据分析技术。1220.A3——内部审计是必须警惕可能影响目标、运营或资源的重大风险。但是即使是以应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险。1220.C1——开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:客户的需求与期望,包括咨询结果的性质、时间安排与结果沟通实现咨询业务目标所需开展工作的相对复杂性和范围与潜在效益相对的咨询业务成本
应有的职业审慎并不要求决无差异或业绩优异;它要求审计师在合理程度上开展检查和验证工作,但不要求对所有交易进行详细检查。内审师不能绝对保证组织机构不存在不遵守规定或违法乱纪现象。
内部审计师必须警惕可能影响目标、运营或资源的重大风险,并考虑存在重大违法乱纪现象或不遵守有关规定的现象的可能性。
CAE对确保运用应有的职业审慎承担总体责任
履行应有的职业审慎需考虑因素
为实现业务目标而需要开展工作的范围
所要确认事项的相对复杂性、重要性或严重性
治理、风险管理和控制过程的适当性和有效性
发生重大错误、舞弊或不合规的可能性
与潜在效益相对的业务成本
持续职业发展
1230——持续专业发展内部审计师必须通过持续专业发展来增加知识、提高技能和其他能力。
内部审计师有责任接受继续教育以加强和维持其专业能力
方式
参加诸如IIA这样的专业协会
获得会员资格
在专业协会中担任志愿者
参加会议和研讨会
在线课程和网络研讨会
撰写专业论文
参加内部培训项目
进修大学和自学课程
参加研究项目
鼓励内部审计师通过获得恰当的专业资格证书
注意:IIA并没有对继续教育做出详细到具体多少学时的规定
内部审计程序
审计准备
2200——业务计划内部审计师开展每项业务都必须制定书面计划,其内容包括业务目标、范围、时间安排以及资源分配等。制定的计划必须考虑和业务有关的组织战略、目标和风险。 2201——制定计划时的考虑因素制定业务计划时,内部审计师必须考虑到被检查活动的战略、目标及控制其实施的方式;被检查活动的目标、资源和运营等方面存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;与相关框架或模式相比,被检查活动的治理、风险管理和控制过程的适当性和有效性;对被检查活动的治理、风险管理和控制过程做出重大改进的可能性。2201.A1——在为组织外部的有关方面制定业务计划时,内部审计师必须与其达成书面协议,明确业务目标、范围、各自的职责和其他要求,包括对发布业务结果和对接触业务记录的限制。2201.C1——内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。对于重要的咨询业务,该协议必须为书面形式。
审计准备阶段内审师和CAE的职责
内审师的职责
1)形成业务文件并与管理层进行适当程度的沟通。包括对随后发生会影响业务结果时间或报告的变化。
2)确定其他业务需求,比如需要的时间和预计完成日期,包括最终业务通报形式。此有助于加快业务结束阶段的沟通过程。
3)与待检查活动的管理处开会,并通知须了解该审计业务的管理层参加,以确保关键人员早期就能参与。通常要确定业务范围内所需的数据,并给管理层充分的准备时间。总结和分发会上的讨论过程和所得出的任何结论,并将文件保存在业务工作底稿中。
4)在开始实施业务前要准备好业务方案。
CAE的职责
1)确定何时、以何种方式、与谁沟通业务结果。这些内容反映在业务计划的时间安排上
2)应当对业务计划的编制程序和文件规范提出合乎实际的要求,须考虑:·工作执行和/或业务结果是否被其他人所利用;·工作是否与潜在或当前诉讼的事项相关;·内部审计人员的经验和对委托人督导能力的要求;·项目是否内部执行,是否通过特邀审计师或外部服务提供方执行;·项目的复杂性和范围;·内部审计部门的规模;·文件的价值。
审计立项
选择和确定内部审计项目的三个来源
首席审计官制定并报高级管理层和董事会批准的年度审计计划
董事会或高级管理层临时指派的审计任务
组织的职能部门或相关单位提出的审计需求
业务目标
2210——业务目标必须为每项业务确定目标。
内部审计师应针对与被检查活动相关的风险来确定业务目标。
在确认或咨询业务中,与业务目标相关的标准包括
(1)业务计划中的风险评估
2210.A1——内部审计师必须对于被检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果。
1)管理层的风险评估
2)背景信息
3)实地调查工作
4)总结(重要业务事项及进一步探索这些事项的原因、业务目标和程序、所用的方法、潜在的关键控制点及控制缺陷和/或控制过度情况、中断审计业务或对业务目标做重大修改的原因)
(2)内部审计师的深深性
2210.A2——内部审计师确定业务目标时,必须考虑存在重大差错、舞弊、违规和其他风险的可能性。
(3)为业务目标建立适当的评价标准
2210.A3——评估治理、风险管理和控制需要依据适当的标准。内部审计师必须确认管理层和/或董事会制定适当标准的程度以确定目标和目的是否实现。如果标准适当,内部审计师必须使用该标准进行评估。如果不适当,内部审计师必须于管理层和/或董事会进行讨论,并确认适当的评估标准。
通常来讲,标准应当同审计目标相一致,并最终为客户提供有用的信息。
内部审计师应当评价既定操作目标和期望结果,并确定操作标准是否可以接受并得到遵守。
(4)咨询业务的业务目标
2210.C1——咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定。2210.C2——咨询业务的目标必须与组织的价值、战略及目标保持一致。
业务范围
2220——业务范围确定的业务范围必须足以实现业务目标。2220.A1——确定业务范围必须考虑相关的制度、记录、人员和实物资产,包括由第三方控制的相关制度、记录、人员和实物资产。2220.A2——在开展确认业务时,如果出现重要的咨询机会,应当与客户达成具体的书面协议,规定业务目标、范围、各自的职责和其他要求,并遵循咨询业务相关标准沟通咨询业务的结果。2220.C1——在开展咨询业务时,内部审计师必须确保业务范围足以实现与客户协商确定的目标。如果内部审计师在开展咨询业务过程中对该范围有所保留,必须与客户进行讨论,决定是否继续开展此项业务。2220.C2——开展咨询业务时,内部审计师必须关注与业务目标一致的控制,并警惕重大的控制问题。
审计业务范围必须实现审计业务目标,其范围大小与被审计单位的信息系统或经营系统本身及所要求的审查深度有关。
遇到审计范围限制时,应以书面的形式向董事会报告。
内部审计范围需要涵盖为有效管理风险提供合理保证的所有控制。可与管理层协商是否评价非关键控制。
如果内部审计范围只包含了管理特定风险所需的一部分,而非全部关键控制,那么内部审计人员应当考虑所受到的范围限制,并在内部审计通知书和审计报告中明确标书
业务资源的分配
2230——业务资源的分配内部审计师必须根据对每项业务的性质、复杂程度、时间限制以及可获得资源的评估,确定实现业务目标所需要的适当、充分的资源。
审计通知书
内部审计部门应根据经过批准后的审计业务计划拟定审计通知书。
特殊审计业务可在实施审计时送达,如突击审计。
审计通知书除了送被审计单位,必要时可抄送组织内部相关部门。涉及组织内个人责任的审计项目应抄送被审计者本人。
被审计单位有选择权,可以推迟需要管理人员全身投入和支援协同工作的项目,也可以因为审计工作影响正常经营而要求推迟审计。但是,如果内审师确定要求推迟是逃避审计,内审师可以决定马上审计。
业务工作方案
2240——业务工作方案内部审计师必须制订用以实现业务目标的书面工作方案。2240.A1——工作方案必须包括识别、分析、评估和记录信息的程序。工作方案必须在实施前得到批准,对方案的任何调整都必须及时报批。2240.C1——咨询业务工作方案的形式和内容会因咨询业务的不同性质而有所差异。
(1)业务工作方案的内容
业务目标
待检查业务的技术要求、目标、风险、过程和交易
所需测试的性质和范围
收集、分析、解释及记录信息的程序
资源配置计划
(2)业务工作方案的审批
CAE或其指定委托人
(3)业务工作方案的调整
调整应及时得到批准
审计实施
2300——业务的实施内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标。
对个人信息的使用须注意
1)特别关注对开展审计业务期间收集的个人身份信息的保护。
2)了解并遵循其所在国家或地区以及组织营业地所在国家或地区的有关个人信息利用的法律。
3)在从事某项特定内部审计业务时,接触、审查、操纵或利用个人信息可能是不恰当的,在某些情况下甚至是非法的。
4)如果内审师对获取个人信息存在问题或顾虑,可以在审计工作开始之前寻求法律顾问的建议。
现场工作
(1)召集进点会议
(2)收集审计通知书要求准备的资料
(3)现场观察
收集信息
2310——识别信息内部审计师必须识别充分、可靠、相关且有用的信息,从而实现业务目标。
内审师应该在收集和检查信息时应用分析性审计程序
如果信息是最新的、具有证明力的,和/或内部审计师直接获取的,或者来自独立第三方的,作为审计证据的充分性和可靠性就会增强。如果从控制运行有效的系统中收集的信息就会更加可靠。
在获取审计证据时,应当考虑下列基本因素
具体审计事项的重要性
可以接受的审计风险水平
成本与效益的合理程度
适当的抽样方法
分析与评价
2320——分析与评价内部审计师必须基于适当的分析和评价,得出结论和业务结果。
(1)分析性审计程序的应用
应用前提:如果没有已知的相反情况,各种信息之间存在内在关系。
可以通过应用货币金额、实物数量、比率或百分比来开展分析性审计程序。
应根据审计目标在实施审计业务过程中应用分析性审计程序。
(2)深层原因分析
基于成本效益原则出发,为获取管理层支持,CAE可能需要解释和说明深层原因分析的合理性。
即使拥有很多定量和定性的数据分析,确定真正的深层原因也可能是困难的和主观的。
内部审计的价值在于其独立性和客观性评估、多样性数据和分析演示、管理层可能从最可能的深层原因得出结论。
(3)对分析结果的处理——评价
评价应包括:确定与预期之间的差异是否由舞弊、错误或条件变化引起。
注意:内审师要求管理层做出解释时,既要考虑变化的趋势,又要考虑差异数量。
工作底稿
2330——记录信息内部审计师必须记录充分、可靠、相关且有用的信息,以支持业务结果和结论。2330.A1——CAE必须控制对业务记录的接触。在对外界提供记录之前,CAE必须酌情征得高级管理层和/或法律顾问的同意。2330.A2——无论业务记录采用何种存储截止,CAE必须规定其保存要求。这些保存要求必须符合组织的规定以及相关法规或其他要求。2330.C1——CAE必须制定政策以规定咨询业务记录的照管、保存和对内对外发布。这些政策必须符合组织的规定以及相关法规或其他要求。
(1)记录信息
(2)对业务记录的控制
(3)对授权接触业务记录的法律考虑
(4)对业务记录的保存
过程监督
(1)业务督导
(2)培养工具性关系
(3)协调审计小组工作
(4)工作底稿的复核
审计报告
2400——结果的报告内部审计师必须及时报告业务的结果。
报告标准
2410——报告标准报告内容必须包括业务目标、范围和结果。2410.A1——业务结果的最终报告必须包含适当的结论以及适当的建议和/或改进计划。在适当的情况下,内部审计师应当出具审计意见。发表的审计意见或结论必须考虑到高级管理层、董事会以及其他利益相关方的预期,必须有充分、可靠、相关及有用的信息支持。2410.A2——鼓励内部审计师在业务结果报告中对令人满意的业绩予以认可。2410.A3——在向组织外部有关方面发布业务结果时,必须告知对业务结果分发和使用的限制。2410.C1——咨询业务进展和结果报告的形式和内容会因所涉业务的性质和客户需求的不同而有差异。
(1)编制业务报告
1)目的说明描述业务的目标
2)范围说明应明确被审计获得
3)结果包括发现、结论、意见、建议和行动计划
4)背景信息
5)摘要
(2)其他事项
报告的质量
2420——报告的质量报告必须准确、客观、清晰、简洁、富有建设性、完整和及时。2421——错误与遗漏如果最终报告存在重大错误或遗漏,CAE必须将更正后的信息传达给所有的原报告接收者。
报告中对《标准》遵循性的声明
2430——对“遵循《标准》”的应用只有在通过质量保证与改进程序的结果得到证实的前提下,在业务报告中声明“内部审计活动遵循了《国际内部审计专业实务标准》”才是适当的。2431——对未遵循情况的披露未遵循《职业道德规范》或《标准》的情况影响到某一特定业务时,结果报告中必须披露:未能完全遵循的《职业道德规范》或《标准》所规定的原则、行为规则;未遵循的原因;“未遵循”这一事实对于该业务及已报告结果的影响。
结果的发送
2440——结果的发送CAE必须向适当对象通报结果。
(1)业务结果的接收者
2440.A1——CAE负责将最终结果报告给能够确保对结果给予应有考虑的对象。
1)在CAE发布最终业务报告之前,内审师应与适当级别的管理层就结论和建议进行讨论,这通常是在业务过程中或业务结束会议上完成。
2)也可由被审计部门的管理层审阅业务草稿、发现和建议。
3)参与讨论和审阅成员的层次可依据组织和报告性质进行调整,通常包括了解具体业务的人和有权执行纠正行动的人。
4)CAE将最终业务报告分发给被审计部门的管理层和组织中能够给予适当的重视、采取纠正措施或保证纠正措施正常实施的人员。
(2)对外通报
2440.A2——除非法律、法规或其他规章另有规定,CAE向组织外部各方通报结果之前必须:评估组织面临的潜在风险;必要时向高级管理层和/或法律顾问咨询;通过限制结果的使用,控制对结果的发送。
1)CAE应该检查审计协议或机构政策/程序中包含的与对外发布信息有关的指导。
2)有关方面可能要求获取已经存在的信息,也可能要求获取必须创建或确定的信息。
3)在有些情形下,现有的报告或信息可以在修改之后对外发布。
4)对外发布信息时应该考虑就被发布信息签订书面协议、确认信息提供方等来源信息、确认产生适用信息的目标范围和程序、需要提供的报告或其他发布形式审计意见、版权问题及对进一步发布或分享信息的限制
(3)敏感信息在报送渠道内外的通报
(4)咨询业务结果的发送
2440.C1——CAE负责向客户通报咨询业务的最终结果。2440.C2——在开展咨询业务时,可能会发现治理、风险管理和控制方面的问题。只要这些问题对组织是重要的,就必须向高级管理层和董事会报告。
总体意见
2450——总体意见发表总体意见时,必须考虑到组织的战略、目标和风险,以及高级管理层、董事会及其他利益相关方的预期,总体意见的发表必须有充分、可靠、相关且有用的信息支持。
总体意见是CAE在广泛的层面上对组织治理、风险管理,和/或控制过程做出的评级、结论,和/或其他关于结果的描述。
后续审计
监督审计业务结果
2500——监督进展CAE必须制定并维护一个系统或制度,监督已通报结果的处理情况。
(1)监督方式
(2)监督手段
(3)监督咨询业务
(4)监督遵循性的证明
开展后续程序
2500.A1——CAE必须建立后续程序,监督及确保管理层已采取有效措施,或高级管理层已接受不采取行动的风险。
(1)管理层的反应
(2)内部审计师的反应
接受风险的决定
2600——沟通对风险的接受CAE认为管理层接受的风险水平可能无法被组织接受时,必须就此与高级管理层进行讨论。如果CAE确信问题未得到解决,必须与董事会进行沟通。
内部审计作用
2100——工作性质内部审计活动必须应用系统、规范、基于风险的方法,评估并协助改善组织的治理、风险管理和控制过程。当内部审计师积极主动开展工作,其评价结果提供新的深刻见解并考虑到未来的影响时,内部审计的可信度和价值就能得到提升。
治理
2110——治理内部审计活动必须评价并提出适当的改进建议,以改善组织实现下列目标的治理过程:做出战略决策和运营决策监督风险管理和控制在组织内部推广适当的道德和价值观确保整个组织开展有效的业绩管理、建立有效的问责机制向组织内部有关方面通报风险和控制信息协调董事会、外部审计师、内部审计师、其他确认服务提供方和管理层之间的工作和信息沟通 2110.A1——内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果。2110.A2——内部审计部门必须评估组织的信息技术治理是否支持组织的战略和目标。
概述
治理是指董事会实施的各种流程和架构的组合,用以告知、知道、管理和监督组织的活动,以实现组织的目标
内部审计师在组织中独有的地位能使其观察并正式评估治理结构设计和运行的有效性,同时保持其独立性。
公司治理的四大基石
董事会
高级管理层
外部审计师
审计委员会(内部审计师)
治理框架、模型和要求因组织类型和监管方式而异。
一般情况下,董事会负责督导治理过程,高级管理层负责领导实施风险管理和控制流程。
有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分
内部审计不仅应该评估与道德相关程序在设计与执行方面治理过程的有效性,而且有义务评估组织业绩管理与会计处理过程的有效性,并对重要的风险和控制信息是否已经有效地在组织内部传递进行评判
治理、风险管理和控制之间是相互关联的
有效的治理活动在设定战略时会考虑到风险
风险管理依赖于有效的治理
有效的治理有赖于内部控制以及将控制有效性向董事会沟通
内审工作在公司治理中地位的变化主要体现
内部审计在内部控制制度方面的职能进一步强化
内部审计成为改善公司治理的重要基础
内部审计活动设计整个业务与管理流程
促进文化建设
作用
说明治理过程的性质
将治理过程与组织道德文化相联系
指出所有与组织有关的人员,尤其是内审师,应该充当道德倡导者的角色
列举得到加强后的道德文化的特点
组织所选择的用以履行这四种责任的行为方式一般被称为治理过程
组织治理过程在履行其期望职能时的有效性在很大程度上取决于组织的文化
所有与组织有关的人员共同分享对组织道德文化状况的责任
内审师和内审活动有时可能作为道德主管在支持组织道德文化中起积极作用,但有些情形下道德主管的作用可能与内部审计活动的独立性相冲突。
内审活动至少应该定期评价组织的道德气候以及机构战略、战术、信息流通和为了实现期望的遵纪守法水平而采取的其他过程的有效性
评价这些特征是否有效
清楚易懂的正式道德规范以及相关的说明、政策
有影响力的组织领导经常宣传并展示期望达到的良好道德态度和行为
支持并加强道德文化的具体战略,附有更新延续组织道德文化承诺的经常性项目
人们可以通过多种易采纳的方式在保密的前提下举报违反道德规范、政策和其他不当行为的嫌疑
雇员、供应商和顾客定期声明,知道在与组织进行交易时应遵守的道德行为要求
明确的责任授权,以保证道德结果得到评价,保密性顾问服务给予提供,不当行为嫌疑得到调查,所发现的情况得到恰当报告
学习计划容易获得,从而使所有雇员都可能成为道德倡导者
鼓励每名雇员为组织的道德气候做出贡献,从而创建积极的人事管理实务
对雇员、供应商和顾客进行定期调查,以确定组织道德气候的状况
对组织内部可能会造成逐渐损害道德文化的压力和偏见的正式和非正式过程进行定期检查
将常规参考和背景检查作为招聘过程的一部分内容,包括诚实性测试和其他类似措施
隐私
风险隐私信息
个人隐私
空间隐私
沟通隐私
信息保密
组织的网站、电子化服务、信息技术系统、数据库、应用系统以及通过网络连接的网布服务提供方和第三方都需要关注隐私
隐私属于风险管理内容
内审师应当确定管理层和董事会清楚地认识到信息安全是管理层的一份责任
隐私审计业务
内审师对组织的隐私制度及其运行情况实施评价的过程
内审师主要关注
所在组织收集个人信息或隐私的类型及适当性
采用的收集方法
确认组织使用这些信息是否符合计划用途
是否遵守法律规定
是否在一定范围内收集、持有和使用信息
隐私制度评估应考虑
组织所在管辖范围内的相关法律、法规和政策
与内部法律顾问联系,确定适用于组织或经营活动所在国的上述法律、法规,以及其他标准实务的具体性质
与信息技术专家联系,确保有适当的信息安全和数据保护控制,并且定期对其适当性进行检查和评估
考虑组织的隐私工作的水平和完备程度
内审师可以协助制定和实施隐私计划,开展隐私风险评估,决定组织的需要及风险暴露情况,并检查组织现有的隐私方面的政策、实务和控制,对其有效性提供保证
若内审师承担任何制定和实施隐私方案的责任,则内部审计师的独立性将收到损害
信息安全
信息的可靠性和完整性
内审师应确定高管层和董事会是否明确信息的可靠性和完整性是一项管理责任
内审师应当评估针对过去侵害行为和可能发生的未来侵害企图或事件的预防性、检测性和减缓性措施的有效性。
内审师应核证董事会、审计委员会或其他治理组织已经通过恰当途径获知侵害行为造成的威胁、侵害事件的具体情况、受到攻击的薄弱环节以及纠正下措施
应定期评估组织的信息安全实务,在合适条件下,对加强或实施新的控制和安全保证措施提出建议,并根据评估结果为董事会、审计委员会或其他治理组织提供确认报告
可以以独立业务形式开展
也可包括在其他审计或业务中以审批后的审计计划的组成部分的形式开展
电子商务
类型
商务对商务 B2B
商务对消费者 B2C
商务对雇员 B2E
审计前应了解商务、信息系统及有关的风险,了解信息系统对业务的影响程度,了解企业的战略计划
审计目标
电子商务交易的证据
安全系统的可用性与可靠性
电子商务和财务系统的有效接口
货币交易的安全性
客户鉴定程序的有效性
业务持续过程的适当性,包括运营中断后的恢复
遵守常规的安全标准
有效地使用和控制数字签名
用于控制公钥证书系统、政策和程序的适当性
操作数据和信息的适当性和及时性
有效的内部控制系统的文件证明
主要内容
评估内控结构
对目的和目标的实现提供合理保证
确定是否可以接受风险
了解信息流动
审核接口问题、评价业务持续和灾难恢复计划
应考虑问题
电子商务项目或方案是否有业务计划
业务计划是否涵盖了电子商务系统的计划、设计和执行同组织战略的一体化过程
政府管制要求是否得到了分析和考虑
硬件和软件的安全性有多高
交易处理是否是当前的、准确的、完整的以及无可置疑的
风险评估是否包含内部和外部的力量
若采用外部供应商,是否由合格的受托第三方来评价供应商
“持续经营”情况
仅提供合理保证,不能绝对肯定目的和目标将能实现
《萨班斯法案》相关条款
301条款
审计委员会的独立性
所有上市公司必须设立审计委员会
所有的审计委员会成员必须是独立董事
CAE也是审计委员会顾问团的成员
302条款
公司对财务报告的责任
CEO和CFO必须对定期的财务报告给予保证
书面声明无误且承担相关法律责任的方面
已审核评价内控程序的报告
基于其了解,报告不包含对于重大事实的不真实陈述或遗漏,并且对于报告中所包含的财报和其他财务信息在所有重大方面的表达都是公允的
对那些负责签字的人员,建立和维护信息披露控制和流程负有直接责任,亲自设计和评估了这些信息披露控制和流程,并在报告中表明了对于这些信息披露控制和流程有效性的结论
已向外部审计师和审计委员会披露了内控的设计和运行过程中影响公司的报表编制的重大缺陷、涉及管理层或对内部控制存在重大影响的员工的欺诈行为,以及在评估之后内部控制的重大变化
404条款
内部控制报告
管理层要负责每年评价内部控制
内控报告要包含管理层在财务年度期末对公司财务报告相关内控体系及程序有效性的评估
对内控进行双层评价
管理控制评价;软性控制
流程或活动层面的评价:硬性控制
硬性测试生成的证据比软性控制生成的证据更有效和可靠
一个有效的内审部门应该在帮助企业做好遵循《塞班斯法案》及其404条款的工作中起主要作用
407条款
财务专家
审计委员会的一位董事必须是指定的财务专家
内审在有关影响企业的财务问题上,要承担向审计委员会的“财务专家”提建议的角色
409条款
实时披露
财务报告必须迅速以公开方式发布
内审师应当确保组织具备正式的政策和书面的记载的流程来管理财务报告以及相关监管机构要求的信息披露
风险管理
2120——风险管理内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献。 2120.A1——内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:组织战略目标的实现财务和运营信息的可靠性和完整性运营和程序的效率与效果资产的安全对法律、法规、政策、程序及合同的遵循情况2120.A2——内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。2120.C1——在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。2120.C2——内部审计师必须将开展咨询业务过程中了解到的风险情况运用于评估组织的风险管理过程。2120.C3——协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。
概述
风险管理是指识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。
由董事会、管理层以及其他人员共同实施,应用于战略制定及组织各个层次的活动,旨在识别可能影响组织目标的各种潜在事件,并按照组织的风险偏好即组织愿意承受的风险水平来管理风险,为组织既定目标的实现提供合理保证
组成要素
内部环境
目标设定
事件识别
风险评估
风险对策
控制活动
信息与沟通
监督
风险的衡量标准
后果
可能性
管理风险的方式
接受
回避
转移
控制
一般体现于制度中,比如建立权责分离机制
分类
固有风险
假定不存在相关的化解风险的控制措施,信息或数据对重大错报的敏感性
剩余风险
管理层采取措施以减少负面事件的影响及可能性后仍然存在的风险
风险管理基础
风险管理是高级管理层和董事会的重要职责
董事会和审计委员会监督、判断是否存在适当的风险管理过程以及这些过程是否充分、有效
内部审计师应该对管理层和审计委员会提供帮助,就管理层的风险过程的充分性和有效性进行检查、评估、报告并提出改进意见
应该记录的活动和责任
战略方向的确定由董事会或委员会负责
风险的归属可以由管理高层分配
对剩余风险的接受可以由执行管理层决定
持续的确认、评价、减缓和监测活动可以由操作层人员分配决定
定期评估和保证工作应该由内部审计活动负责
CAE和内审师首先要明晰组织的风险偏好、使命和目标,全面了解组织的经营战略和管理层识别的风险以及为应对之前风险所采取的纠正措施,还应理解高管层和董事会期望内部审计在组织的风险管理过程中起什么作用
内审在风险管理中的定位
不发挥作用
将风险管理过程的审计作为内部审计计划的一部分
积极、持续地支持并参与风险管理过程
管理和协调风险管理过程
内审在风险管理过程中承担管理性职责需要经过充分的讨论和董事会的审批,避免内部审计部门的独立性受到威胁
促进风险管理过程的建立
内审师在开发和管理风险过程中所起的积极作用有别于在“风险归属”问题上所起的作用
为避免参与风险归属问题,应要求管理层证实起在确定、防范、监测风险以及决定风险“归属”方面的责任
内审师可以促进风险管理过程的建立或使其成为可能,但不应该“拥有”已确认的风险或负责对这些风险的管理。
识别和报告环境风险
潜在风险
CAE应当在所有全面的组织风险管理评价中,对环境、健康和安全风险进行评估,并与经营过程中的其他类型风险联系起来进行评估
对首席审计官的建议
在环境审计职能不对首席审计官报告的情况下,CAE应对审计计划和审计项目的实施进行检查
环境、健康、安全审计方案可从中遵循性或管理体制,或以上两种方式的结合
风险评估管理过程的适当性
风险管理过程的五个主要目标
找出业务战略与活动领域的风险并进行优先排序
高管层和董事会已经确定了组织可以接受的风险水平
设计、实施了降低风险的活动,把风险降低、管理在管理层和董事会可以接受的水平上
开展持续的监督活动,定期对风险的控制的有效性进行再评估,以管理风险
董事会和高管层定期收到风险管理过程的结果报告
一个组织所应用的特定风险过程必须适合该组织的文化、管理风格以及工作目标
必经审计程序
研究、评估风险管理方法的参考资料和背景信息,在此基础上评估组织所应用的过程是否适当、是否代表了本行业的最佳实务
研究、评估与组织业务有关的当前发展情况、趋势、行业信息以及其他恰当的信息资源,确定是否存在可能影响组织的风险,用以解决、监督与再评估这些风险的相关控制程序
检查战略规划、业务计划、政策、董事会和审计委员会的会议记录,并与董事会和高管层进行讨论,确定组织的经营战略、风险管理理念和方法、对风险的兴趣以及对风险的接受,评估战略目标是否支持并符合组织的使命、愿景和风险偏好
检查最近完成的风险评估和管理层、内审师、外部审计师、监管机构以及其他有关方面以前发表的风险评估报告
通过与中层管理人员访谈,深入了解组织的使命、目标和风险偏好在业务部门层面的一致性
收集信息,独立评估降低风险、监督、风险报告和相关控制活动的有效性
评估针对风险监督活动建立报告专线的恰当性
评估风险管理结果报告的充分性和及时性
评估管理层的风险分析是否全面,为纠正风险管理过程中发现的问题而采取的措施的完整性,并提出改进建议
确定管理层的自我评估过程的有效性
评估与风险有关、可能说明风险管理实务中存在薄弱环节的问题,在适当情况下,与管理层、审计委员会和董事会就此进行讨论
企业全面风险管理(ERM)
(1)企业全面风险管理的责任
董事会对确保风险得到管理负全部责任
管理层对识别和管理风险负主要责任
组织中的每个人都要确保成功地在企业全面风险管理中发挥作用
(2)企业全面风险管理的好处
为实现组织目标提供更大的可能性
在董事会层面综合报告不同的风险
提高对主要风险及其广泛影响的认识
识别和分担跨业务风险
对重要事项集中管理
减少意外或危机
在组织内部更加关注用正确的方法做正确的事情
对将要采取的行动增加变更的可能性
具备为获取更高回报而承担更大风险的能力
更有依据的风险承受和决策
(3)企业全面风险管理活动
说明和沟通组织目标
确定组织的风险偏好
建立适当的内部环节
识别影响目标实现的潜在威胁
评估风险
选择和实施风险应对
采取控制和其他应对措施
组织中所有层级采用一致的方式进行风险信息沟通
集中监督和协调风险管理过程和结果
为风险管理效果提供确认
(4)内部审计的确认作用
内审与企业全面风险管理相关的核心功能是为董事会提供关于风险管理效果的客观确认
需要考虑的主要因素:该活动是否对内审部门的独立性和客观性产生任何威胁,是否可能改进组织的风险管理、控制和治理过程
确认活动
检查主要风险的管理
评价对主要风险的报告
评价风险管理过程
为风险评估的准确性提供确认
为风险管理过程提供确认
(5)内部审计的咨询作用
深入程度取决于
董事会能够获取的内部和外部资源
组织的风险成熟度
随着组织风险成熟度的增加和风险管理在业务操作中的不断深入,内审对企业全面风险管理的推动作用可能会减弱
可能随时间变化
咨询作用
将内审分析风险和控制所用的工具与技术提供给管理层
作为将企业全面风险管理引入组织的倡导者,充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势
提供建议,推动专题讨论会,指导组织风险和控制,促进共同语言、框架和理解的建立
作为协调、监督和报告风险的中心
协助管理者确定降低风险的最佳方式
确定咨询服务与确认作用是否能够共处的主要因素是 确定内部审计师是否承担了任何的管理责任
(6)参与企业全面风险管理的前提条件
明确管理层对风险管理的职责
内审师职责的性质应当写入内部审计章程并由审计委员会审批通过
内审不应代表管理层管理任何风险
内审应当提供建议、挑战并支持管理层作决定,而不是自行做出风险管理决定
内审不能同时为其所负责的风险管理框架的任何一部分提供客观确认
(7)应具备的技能和知识结构
内审师如果不能证明自己拥有适当技能和知识,就不应当承担风险管理领域的工作
若内审部门没有充分的技能和知识可以利用,也无法从其他地方获得,内审负责人不应当提供此领域的咨询服务
控制
2130——控制内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的控制。 2130.A1——内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性:组织战略目标的实现;财务和运营信息的可靠性和完整性;运营和程序的效率和效果;资产的安全;对法律、法规、政策、程序及合同的遵循情况。 2130.C1——内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程。
概述
管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动
类型
预防性
发现性
指导性
关键控制
有助于将不可接受的风险降低到可容忍水平的控制或控制群
识别时内审师应关注
1、从固有风险变为剩余风险后大大降低的单个风险因素
2、用于降低大量风险的控制措施
形式
组织整体层面的控制
业务过程的手工控制
业务过程的全自动化控制
业务过程的部分自动化控制(也被称作“混合”或IT-关联控制)
COSO内部控制框架
目标
运营目标——组织运营的效率和效果
运营和财务绩效目标
资产安全不受损失
报告目标——内、外部的财务和非财务报告的可靠性、及时性、透明度,以及其他监管者、公认的标准制定机构和组织政策所要求的方面
遵循目标——遵守对组织适用的法律法规
责任
内控主要是管理层的责任
高级管理层:监督风险管理系统和控制程序的建立、管理和评估
一线管理人员:评估所在领域的控制程序
组织中的每一位成员都应共同来承担这一责任
内部审计:对控制流出的有效性提供不同程度的确认,帮助管理层监督控制结构,提醒管理层关注鑫的控制问题,提出纠正和监督的建议和措施
基本要素
(1)控制环境
董事会和管理层对组织内部控制重要性的态度及行动。
为实现内部控制制度的主要目标提供规范和组织架构
包括
治理结构
组织结构
组织制度
人力资源政策和实务
文化建设
关注点
诚信意识
法律意识
职业操守意识
风险意识
(2)风险评估
先决条件:制定目标
及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程
包括
目标设定
风险识别
风险分析
风险应对
(3)控制活动
确保管理层的指令得以执行的政策及程序
管理层识别和评估风险后,对控制这些风险所实行的针对性措施
包括
管理层对绩效进行分析
直接部门管理
对信息处理的控制
实体控制
绩效指标的比较
分工
必须进行成本和收益的权衡
尽可能用书面方式予以规定和沟通
(4)信息与沟通
为管理层监督各项活动和在必要时采取纠正措施提供了保证
组织不仅应致力于提升内部沟通的有效性、以便控制责任人能够履行其职责,还应关注与组织外部的沟通问题。
(5)监督
对其内控制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内控的重要保证
三层次
企业价值链严格按照企业内部设计的程序和相互牵制的制度开展业务活动
经济业务最终的流向都是反映到财务报表中去,财务控制在事中和事后体现
内审部门建立起以监督检查为主的监督防线,通过内控测试来发现管理流程中的不足和风险,提出改进措施,促进内控体系建设趋于完善
包括
对建立并执行内控制度的整体情况进行持续性监督检查
对内控的某一方面或某些方面进行专项监督检查,并提交相应的检查报告、提出有针对性的改进措施
内部控制的威胁
1、管理层违规
内控应当约束组织的所有成员,任何个人都不得拥有超越内部控制的权力
2、对资产的接触
保护资产安全(包括信息安全)最有效的办法是限制对资产的接触
方法
使用接触资产的许可证
使用密码来防止非法接触和修改数据文件
建立多层次的限制接触资产的方法
3、形式主义与串通舞弊
4、利益冲突
高级管理人员与组织利益冲突
裙带关系
内审师需评估组织对员工的贡献与报酬、员工的兼职、财务利益、内幕信息和其他有关问题是否制定行为准则及其执行的情况
5、环境变化
环境的变迁和组织运行方式的变化要求不失时机地调整和改进内控系统
内部审计在控制中的作用
评价组织控制的效果和效率,促进控制的持续改进,以帮助组织保持有效的控制
方法
风险控制矩阵
访谈管理层
检查组织的计划、政策和流程
穿行测试
调查
内部控制调查问卷
流程图
利用检查、确认、持续审计和数据分析来测试控制效果
目标
确定目标和阻碍实现目标的风险
确定风险的重要性,同时考虑其影响的严重程度和发生的可能性
确定对重大风险的适当应对
确定用于管理风险的关键控制
评估控制设计的充分性,以帮助确定是否需要对控制效果进行测试
对被视为设计充分的控制进行测试,以确定他们是否按预期运行
关注
财务和运营信息的可靠性、完整性
运营的效果和效率
资产的安全保障
法律、法规及合同的遵守情况
作用
(1)监管机构对企业内部控制的要求
1992 美国COSO委员会《内部控制整合框架》
2002 美国国会《萨班斯法案》404条款:上市公司在年度报告中包含管理层对内部控制的评价,担任公司年报审计的会计公司应该对其进行测试和评价,并出具评价报告
2008 财政部联合证监会、审计署、银监会、保监会等五部委《企业内部控制基本规范》要求上市公司根据规范搭建内部控制框架,以持续保证内部控制设计的有效性和执行的有效性,在公司年报披露的同时披露内部控制自我评估报告
(2)内部审计师在控制中的作用
确定已建立的运营和程序的目标、目的的程度,并确定它们是否和组织的目标、目的保持一致
审核运营和程序,确定其结果与既定的目标、目的保持一致的程度,从而确定运营和程序是否按设想在执行和实施
CAE在评估组织控制程序的总体效果时应考虑是否发现重大差异或缺陷,发现后是否进行了纠正或改进,能否从这一发现及其钱财后果中得出“无法接受的风险水平普遍存在”这个结论
(3)不同的组织结构在控制中的作用
决定组织结构的主要因素包括
组织内部分工
部门设置:根据工作特征进行分工
正向关系
管理层级:高层、中层、基层
管理幅度:一个人或组织直接管理的下属人员或机构的数目
反向关系
管理责任
管理权限
控制的自我评估(CSA)
也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估等
指组织内部为实现目标、控制风险而对内部控制系统的有效性和恰当下实施自我评估的方法
基本特征
1. 关注业务的过程和控制的成效
2. 由管理部门和职员共同进行
3. 用结构化的方法开展自我评估
本质
由管理层或业务人员直接参与的考察和评估内部控制效果的过程
是一种检查和评估组织风险管理和控制系统有效性的方法
将传统内部审计概念与风险分析、自我评估方法结合
一定程度上,将内审师的一些责任转移给他人(与其他传统方法的主要区别)
目的
为组织目标的实现提供合理保证
方法(非单一,通常组合)
(1)推动小组研讨法
通过代表不同层次的经营单位或职能部门组成的小组来收集信息
工作小组推动者可由客户确定,也可由内审师担任
小组研讨班根据不用的目的主要分为
以风险为基础的方式,将注意力集中在确认实现目标的风险上
以控制为基础——现行的内部控制制度是否有效运行
以过程为基础——挑选构成过程链组成因素的各项活动
以目标为基础——完成业务目标的最佳方式
(2)调查法
利用编制的调查问卷收集信息
应设计“有/无”或“是否”类的问题
前提
预计评价参与者很多或很分散,不能集中参加研讨班
企业文化不利于开展坦诚公开的讨论
管理人员希望最大限度地降低收集信息所花费的时间和成本
(3)管理部门分析法
又称自我评估方法
在风险评价结果的基础上,评价覆盖机构治理、运营及信息系统等内容的控制程序的充分性与有效性。
应当包括
财务与运营信息的可靠性与完整性
运营的效率与效果
资产的护卫情况
对法律、法规与合同的遵守情况
不能完全替代内审师的测评活动
三道防线
三道防线模型
概念
适用于各类组织,甚至适用于一些尚未建立正式的风险管理和控制框架的组织。
也能帮助组织明确各个风险管理和控制职能的职责,提升风险管理和控制的效果。
虽然组织的治理机构、董事会、审计委员会或高管层没有在任何一层中担任角色,但任何关于风险管理和控制的讨论都离不开他们的参与。
董事会和高管层是各道防线的主要“利益相关者”,他们最能有效地帮助三道防线模型在风险管理和控制过程中发挥作用。
外部审计师、政府及其监管机构被考虑成“附加防线”
模型
(1)第一道防线:业务运营管理层
识别、评估、控制和处理风险
监督内部政策和流程的执行
保证各项措施对企业或组织经营目标的有效支撑
(2)第二道防线:风险管理和其他合规部门
协助管理层制定政策、定义角色和职责、制定目标
提供风险管理框架
识别已知的或新兴风险
识别企业也风险接受程度的变化
协助管理层设计管理风险和问题的流程、制度、控制机制
提供关于风险管理流程的指导和培训
促进和监督业务运营管理层执行有效的风险管理措施
提醒业务运营管理处新兴的业务风险和法律法规的最新变化
监督业务内部控制的充分性、报告机制的准确性和完整性、对法律法规的合规性、内控缺陷纠正的及时性
(3)第三道防线:内部审计
高度独立性和客观性
对企业治理、风险管理和内部控制的有效性提供独立的确认,包括第一道和第二道防线是否达到了风险管理和控制的目标
三道防线间的关联协助
无论三道防线模型如何被执行,董事会和高级管理层需要与各类职能部门沟通,传达对它们的期望,以及给它们共享必要的业务信息。
根据《框架》的规定,为保证各自工作范围的合理性以及防止工作的重复,首席审计官尤其需要与其他各个内部或外部风险管理及内控部门分享信息及沟通协作。
舞弊
舞弊的类型
按行为主体
雇员舞弊
管理层舞弊
按行为对象
侵占资产舞弊
财务报告舞弊
按舞弊者与公司的关系
内部舞弊
外部舞弊
按舞弊者的群体性
二人以上的集体合谋舞弊
单独舞弊
按受益对象
(1)为组织利益舞弊
舞弊者通常会获取间接的个人利益
(2)为个人利益舞弊
通常会损害组织利益
舞弊的三角理论
(1)压力
经济压力
恶癖的压力
工作相关的压力
其他压力
对权威的渴望、贪婪或成瘾
(2)机会
缺乏发现组织舞弊行为的内部控制
无法判断工作的质量
缺乏惩罚措施
信息不对称
能力不足
审计制度不健全
(3)借口
行为合理化
否认
合力作用,缺少任何一个要素舞弊都不能真正形成舞弊
舞弊的识别
危险信号(“红旗标志”)
发现舞弊的职责
1210.A2——内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专门知识。2120.A2——内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。
管理层有责任在合理的成本基础上建立和维持有效的控制系统。
内部审计师应评估额外调查的需要并通报有关的管理层。
在内部审计程序中,要求内审师在计划阶段制定审计计划时就充分考虑存在舞弊的潜在可能,从而使制订出来的审计计划更加切实科性,内部审计师在下一步的审计过程中如果遇到舞弊问题,就能够根据计划的指导开展工作。
内审师在实施一般的审计过程中,必须树立并保持防范潜在舞弊的意识,注意舞弊的迹象和征兆。同时还要加强与其他内部或外部机构的协调,充分发挥内部或外部机构专家的作用,共享审计成果,防止舞弊的发生。
即使审计师以应有的职业审慎执行审计程序,审计程序本身并不能保证舞弊一定会被发现。
舞弊的调查程序
(1)确定与调查有关的适当对象
目标:处理舞弊指控或投诉
确定何人实施了舞弊
在确定与舞弊调查有关的对象时,更为审慎和周全
(2)证实舞弊事实和程度
为证实舞弊的事实和程度,内审师应评价已知事实需要加强的控制环节,设计测试内容,披露未来出现类似舞弊现象,并协助其他人发现未来舞弊迹象。
具体方法
收集证明性证据、书面证据、实物证据和个人观察
盗窃行为调查法
隐蔽调查法
转变性调查法
询问调查法
调查过程中形成翔实的工作底稿。但为了避免在舞弊调查中诽谤主要嫌疑犯,如果舞弊行为得不到证实,CAE最为合适的做法是销毁相关调查工作底稿和报告。
(3)向适当方面报告结果
调查阶段结束时,建议提出最终书面报告。书面报告应包括调查发现、调查结论、调查建议和纠正性措施。
舞弊征兆,怀疑舞弊——报告组织内有关的管理人员——授权扩大范围,开展详细调查——合理确认,发生舞弊——报告高级管理层和董事会
在完成舞弊调查之后、公布正式书面报告之前,CAE应将最终审计报告的初稿提交给组织的法律顾问,尤其是报告内容涉及客户隐私方面的法律规定时,法律顾问能够在法律层面上考虑调查结果的影响,从而最大限度地减少法律纠纷或者诉讼。
(4)内部控制检查和改进建议
内部审计师应当检查和评估内部控制系统的适当性和有效性
组织管理层对舞弊行为的发生承担责任。