导图社区 CIA-内部审计基础-CH1 强制性指南
国际注册内部审计师CIA考试应试指南科目一《内部审计基础》第一章强制性指南。介绍内部审计的相关概念和《国际内部审计专业实务框架》的基本内容。
编辑于2020-02-11 08:34:23CH1 强制性指南
1.1内部审计的定义
1.1.0内部审计师一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标
1.1.1独立、客观的活动
独立性是审计的基本原则
独立、客观是并列的
1.1.2确认和咨询活动
确认服务是为了对机构、业务、流程提供独立意见或结论而做出的客观评价
咨询服务是一种顾问服务,目的在于增加价值并提高组织的运作效率。必须明确内部审计师不承担具体的管理责任
确认服务涉及三方:(1)被审计单位或个人(2)内部审计师(3)应用服务的用户
咨询服务涉及双方:(1)提供服务的内部审计师(2)寻求并接受的客户
确认服务与咨询服务并不相互排斥
1.1.3增加价值和改善组织的运营
强调内部审计的使命是为了满足组织的要求
增加价值是为其所有者、利益相关者、顾客和客户创造价值
企业管理目标是企业价值最大化
为组织减少损耗和风险,改进生产经营和公司治理
1.1.4系统的、规范的方法
1.1.5评价和改善风险管理、控制及治理过程的效果
1.1.6帮助组织实现其目标
内部审计
治理
风险管理
控制过程
1.2内部审计专业实务的核心原则
展示正直
证明胜任能力和应有的职业审慎
客观,免受不当影响
与组织的战略、目标和风险保持一致
定位适当且资源充足
展示高质量和持续改进
有效沟通
提供基于风险的确认
见解深刻、积极主动、关注未来
推动组织的提升
1.3职业道德规范
1.3.1诚信
(1)应当诚实、勤恳并负责地开展工作
(2)应当遵循法律,按照法律及其职业要求进行披露
(3)不得虚已参加非法活动,或参加有损于内部审计职业或其所在组织的行为
(4)应当遵守并协助实现组织的法律和道德目标
1.3.2客观
(1)不应参与可能损害或被认为损害其公正评价的活动,包括参与与组织利益相冲突的活动
(2)不接受可能损害或被认为损害其职业判断的任何物品
(3)应当披露已知的,如果不予披露可能会歪曲检查工作报告的所有重大事实
1.3.3保密
(1)应当谨慎利用和保护履职过程中获取的信息
(2)不应当利用信息牟取私利,或以任何有悖法律规定规定或有损组织法律和道德目标的方式使用信息
1.3.4胜任
(1)应当只从事与其所具备的必要的知识、技能和经验相适应的服务活动
(2)应当依据《标准》开展内部审计服务
(3)应当持续提高专业能力和服务的效果、质量
第一层级为与实务相关的原则;第二层级为内审师预期行为规范的行为规则,目的在于知道内审师的行为。行为规则是《职业道德规范的灵魂》
1.4国际内部审计专业实务标准
1.4.0分类
(1)属性标准(1000序列,只有一套)
1000宗旨、权力、责任
1100独立性和客观性
1200专业能力与应有的职业审慎性
1300质量保证与改进程序
(2)工作标准(2000序列,只有一套)
2000内部审计活动的管理
2100工作性质
2200业务计划
2300业务的实施
2400结果的报告
2500监督进展
2600沟通对风险的接受
(3)实施标准(两套,A FOR确认活动,C for咨询活动)
1.4.1遵循国际内部审计师协会的《标准》
1.4.2内部审计活动的宗旨、权利和职责(1000)
首席审计官必定限期审查内部审计章程,并提交高级管理层和董事会审批。
1010 在内部审计章程中确认强制性指南
(1)宗旨、权力和职责
宗旨--内部审计为谁服务,向谁报告。
权力--达到审计目标所需的资源。首席审计官可以不受限制地与审计委员会接触,以最大限度加强组织独立性。
职责--体现内部审计的范围。(是咨询活动还是确认活动)
(2)内部审计章程--是确认上述的正式文件
确定内审部在组织的定位,包括报告关系
授权内审部接触与业务开展相关的记录、人员和实物资产
界定内审活动的范围
(3)营销内审(做好部门沟通)
宣传手册
公告和业务通讯
出刊物
内审开放日
客户培训
业务文档和会议
质量保证计划
建立以解决问题为导向的伙伴关系
1.4.3独立性和客观性(1100)
1110组织上的独立性
首席每年至少一次向董事会确认内审部组织上的独立性
1110.A1收到干预,首席必须向董事会汇报并讨论其影响
1111与董事会的直接互动
1112首席在内审工作外的作用,必须保障其独立性和客观性
1120个人的客观性,避免任何利益冲突
1130对独立性或客观性的损害(向适当的对象披露损害情形)
1130.A1必须避免评价以往负责的特定业务
1130.A2确认服务设计首席负责的职能领域,必须独立于内审部的一方进行监督
1130.A3可以对实施过咨询服务的领域提供确认服务
1130.C1可以对以往业务提供咨询服务
1130.C2存在独立性或客观性受损的潜在,必须接受前披露
(1)独立性原则
①组织上的独立
理想情况:首席职能上向董事会(审计委员会)汇报业务工作,行政上向CEO汇报行政工作
职能报告例子包括:章程、以风险为基础的内审计划、预算及资源计划、沟通事项、首席任免、首席薪酬、存在限制情形
②首席的独立性
③内审人员的独立性
专职人员,减少兼职
④内审业务的独立性
内审人员不办理经济业务、不参与生产经营活动
(2)客观性原则--避免利益冲突
(3)损害独立性或客观性的情形
①审范围限制
②个人利益冲突
经济利息关系、社会压力、人际关系、文化、种族和性别歧视、偏见
个人不得接受酬金、馈赠和款待,如有应立即向上级报告
③对以前负责的业务进行评价
离开原岗位至少一年
④开展非审计职能的责任
(4)独立性或客观性受损的披露
以出现利益冲突和偏见,内审师向首席汇报,由首席进行认定或评估
遇到审计限制,最好以书面形式向董事会、审计委员会报告收到的限制及其潜在影响
1.4.4专业能力与应有的职业审慎(1200)
1210专业能力
个人、部门整体必须具备履行其职责所必需的知识、技能和其他能力
1210.A1内审师缺乏时,首席必须向他人寻求充分的专业建议和协作
1210.A2内审师必须充分了解有关评估舞弊风险以及所在组织舞弊风险的知识,但不期望其有发现、调查舞弊为首要职责人员的必备专门知识
1210.A3内审师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法,但不期望其均掌握专门从事信息技术审计的内审师所具备的专门技术
1210.C1当内审师缺乏专业能力,首席必须谢绝该项业务或寻求充分的建议和协助
1220应有的职业审慎
必须应用合理的审慎水平和胜任能力所要求的谨慎和技能,但是应有的职业审慎并不意味着永不犯错。
1220.A1通过考虑以下因素,履行其应有的职业审慎
为实现业务目标而需开展工作的范围
所要确认事项的相对复杂性、重要性和严重性
治理、风险管控和控制过程的适当性和有效性
发生重大错误、舞弊或不合法的可能性
与潜在收益相对的确认成本
1220.A2履行职业审慎时,考虑从利用技术的审计方法和其他数据分析技术
1220.A3必须警惕可能影响目标、运营或资源的重大风险,但确认程序本身并不能保证发现所有的重大风险
1220.C1咨询业务需考虑以下内容
客户的需求与期望,包括咨询结构的性质、时间安排与结果沟通
实现咨询业务目标所需开展工作的相对复杂性和范围
与潜在效益相对的咨询业务成本
1230持续职业发展
(1)专业能力
可以应用外部服务提供者
(2)应有的职业审慎性
在复杂环境中,能运用自己的专业熟练性和技巧,识别出损害组织利益的行为,对故意作假犯错、发生错误和遗漏、消极怠工、浪费、工作无效、利益冲突和不正当行为,以及最可能发生违法乱纪的现象和活动保持警惕
1.4.5质量保证与改进程序(1300)
首席应鼓励董事会监督质量保证与改进程序的实施
涵盖内审活动的全部内容
能够连续监控内审活动的效果
遵循《标准》和《职业道德规范》
为组织增加价值并改善组织的运营
包括定期和持续性的内部评估
包括至少每五年一次的外部评估,并向董事会报告评估结果
1310质量保证与改进程序必须包括内部评估和外部评估
1311内部评估
对内审活动执行情况的持续监督
定期自我评估或由组织其他充分了解内审事务的人员进行的评估
1312外部评估
最少五年开展一次
必须有来自组织外部、合格且独立的评估人员负责实施
首席必须与董事会讨论
外部评估的形式和频率
外部评估人员的组织和独立性,包括任何潜在的利益冲突
1320对质量保证与改进程序的报告
首席必须向董事会汇报结果
内、外评估的范围与频率
评估人员的资质及独立性
评估人员的结论
整改计划
1321对“遵循《标准》”的应用
只有遵循了,首席才能发表声明
1322对为遵循情况的披露
向高级管理层和董事会披露未遵循事项及其影响
(1)内部评估
每年至少一次
①持续监督
②定期评估,抽样是否遵循《道德规范》《标准》
(2)外部评估
以下情况可免除外部评估
所属行业受到严格管理和监督
在治理和内部控制方面受到严格的外部监督
近期接受了外部检查或咨询服务,并与最佳实务进行了严格的对标
依据首席的判断,进行自我评估对员工益处以及内部质量保证与改进程序的优势超过了外部质量评估能给组织带来的收益。
(3)对遵循《标准》的应用
1.5《标准》在内部审计管理中的应用(2000)
2000内部审计活动的管理--确保为组织增加价值
1.5.1内部审计计划与审批
2010计划
2010.A1内审部的计划必须建立在有记录的风险评估基础上,至少每年一次,考虑高级管理层和董事会的意见
2010.A2首席必须考虑高级管理层、董事会以上其他利益相关者对内审意见或结论的预期
2010.C1首席考虑是否接受咨询业务时,充分考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已接受的咨询业务必须纳入计划。
2020沟通和批准
内审计划和资源需求(包括重大的临时性变化)报高级管理层和董事会审批
首席就资源受限制的影响向上沟通
2040政策与程序
制定政策与程序,为内审活动提供指导
(1)年度计划(重点关注)
需要管理层采取行动的、不可接受的流动风险
针对风险的关键控制非常薄弱或化解因素很少,高级管理层要求立即开展审计
组织依赖程度最高的控制系统
固有风险和剩余风险间的差别很大的领域
固有风险非常高的领域
(2)沟通业务计划
年度计划沟通,其中董事会或审计委员会的审批中对审计范围的限制不视为对内部审计独立性的损害
审计范围或资源受限时进行沟通
年度计划重大的临时变化沟通
重大审计事项出现时(违法行为、低效率、浪费、重大控制薄弱环节、利益冲突、以证实的舞弊行为)
(3)政策和程序
1.5.2资源管理
2030资源管理
首席必须确保内审资源适当、充分并得到有效配置,以完成获得批准的计划,涵盖以下内容:
部门雇员、外部服务提供者、资金支持和可利用的审计办法和技术
适当:是指计划所需的知识、技能和其他能力的组合
充分:是指计划所需的资源数量
资源有效配置:是指资源以能够最优实现方式被运用
高级管理层和董事会对充足的内审资源负有最终责任
首席对内审资源的充分性和有效性负有主要责任
(1)人员培训
充分考虑成本/效益原则,非常规项目优先考虑外部服务
(2)外部服务
董事会、高级管理层或首席可以聘用国外部服务提供者
首席评估外部服务者是否具备业务所需的知识、技能和其他能力及外部服务提供者的独立性与客观性
(3)业务外包
①外包类型
整体外包、部分外包、联合、特定业务外包(满足时间期限的约束,业务管理和监督由内审人员执行)
②外包方案分析
③外包合同和业务约定书
(4)人员配置模型
轮换模型(两三年轮换至其他经营单元)
优点:
内审被当做经历
资源能通过轮换吸收
缺点:
内审队伍总有部分是新人
总是在培训
流失率比较有规律性
职业模型(初级-中级-高级-首席)
优点
稳定且训练有素的队伍
可以长时间培训某专业方面的技巧
缺点
晋升空间受限
减少资源时裁员灵活性受限
以胜任力为中心模型(某项专长专攻该领域)
优点
受过高级培训的专家去实施专长的复杂审计
缺点
并不总是能胜任一般审计
(5)胜任能力框架
人际交往能力
工具和技术
运营和管理研究工具
预测
项目管理
经营过程分析
平和积分卡
风险和控制评估技术
治理、风险和控制工具与技术
数据收集和分析工具与技术
问题解决工具和技术
计算机辅助审计技术
内审标准、理论和方法
知识领域
(6)平衡计分卡--内部审计活动框架
1.5.3协调
2050协调对工作成果的信赖
首席与内外部确认和咨询服务的提供方共享信息,利用工作成果,减少重复工作
2070外部服务提供者与组织对内审的责任
内审活动外包给外部服务提供者的情况下,外部服务者必须是组织了解其对内部审计活动负有的责任
(1)协调外部审计
(2)法规监督机构
与法规部进行捆绑
(3)其他内部保证部门
(4)采购外部服务
1.5.4向董事会和高级管理层报告
2060向董事会和高级管理层报告
内审的宗旨、权力、职责
计划开展情况和《规范》《标准》遵循情况
重大风险和控制事项