202X年内审实务标准化红皮书

《202X年内审实务标准化红皮书》由会员分享，可在线阅读，更多相关《202X年内审实务标准化红皮书（42页珍藏版）》请在金锄头文库上搜索。

1、内审实务标准化 属性1 1000宗旨、权力和职责 - 内部审计活动的宗旨、权力和职责应在章程中进行正式的界定，这样的界定应与标准保持一致，并须经董事会通过可以保证内审的独立性同时也是评价内审工作的依据。1、“内部审计”是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现它的目标。2、“宗旨、权力和职责”是指内部审计工作的目的和责任，以及为达致目的、完成职责所需的权力和条件。明确内部审计的宗旨、权力和职责是内部审计工作最重要的问题之一，整本标准都是围绕内部审计的宗旨、权力和职责展开的，或

2、者说标准就是用来说明内部审计的宗旨、权力和职责及其实现的。3、“章程”是用以确定内部审计部门的宗旨、权力和职责的正式书面文件，它应该：（1）确定内部审计部门在机构中的地位；（2）授权例在应付账款审计中，与供应商联系以便核实余额，对这类与组织之外的联系在何处进行授权？审计人员接触与开展内部审计工作相关的资料、人员和实物财产；（3）规定内部审计活动的范围审计活动包括保证与咨询，但组织会有很多意外的事（合并，收购等，）在章程中未被规定。审计执行主管应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理机构对章程的认可。章程一经批准便形成管理当局与内部审计机构双方的协议，内部审计机构可以根据章

3、程的授权不受限制地开展工作。章程同时也是内部审计机构和管理当局评价内部审计工作质量的依据。审计执行主管应该定期评价章程中所规定的宗旨、权力和职责是否足以使内部审计活动实现其目标，评价的结果必须通报给高级管理层和董事会。 1000A1章程中应明确向机构和第三方提供的保证服务的性质。 1000C1章程中应对咨询服务的性质加以定义。咨询服务范围哪些是内审可适当实施的咨询活动：1、设计控制2、起草控制流程3、在实施前检查控制，4、安装控很广，包括有书面协议规定的正式的咨询服务和诸如参加常务或临时的管理委员会或项目小组等咨询服务。内部审计师应该利用自己的专业判断，决定标准中的指导原则的适用程度。在一些特

4、殊的咨询业务中（如参与收购、兼并项目或检查灾难恢复活动等紧急工作），可能需要偏离常规或规定的程序开展咨询服务。审计执行主管应该确定对机构内部业务进行分类保证业务P 舞弊调查P 风险和控制的自我评价P 第三方审计和合同审计P 质量审计P 尽职调查审计P 安全审计P 保密审计P 绩效（主要业绩指标）审计P 经营（效率和效果）审计P 财务审计P 信息技术（IT）审计P 合规性审计咨询业务种类包括：| 正式的咨询业务计划内且经书面协议规定的业务；| 非正式的咨询业务各种日常性活动，例如，参加常务会议、临时项目、专门会议及日常信息交流；| 特殊的咨询业务参加兼并或收购小组，参加流程再造小组等；| 紧急的

5、咨询业务参加灾后恢复或重建小组，参加非正常经营事件的恢复或重建小组，参加为满足特殊需要而建立的小组活动的方法，有些情况下比较适合开展将咨询和保证服务综合成一体的“合并”业务。内部审计师可能应管理层的要求，将咨询服务作为日常业务来开展。每个机构都应该考虑将要提供的咨询业务的类别，并确定是否应该为每种业务开发专门的政策或程序。如果对服务内容开展保证性工作更为合适，而且提出进行咨询的目的是逃避或使他人逃避保证性业务的有关要求，审计师一般不应该同意开展咨询服务。但这并不排除在更适合开展咨询服务的情形下，调整有关方法，对曾经作为保证性业务领域的内容提供咨询服务。一、开展咨询活动的原则内部审计师应考虑以下

6、事项：1、 内部审计活动的价值主张价值主张在内部审计定义中有所体现。2、 与内部审计定义保持一致。3、 保证与咨询服务之外的审计活动。4、 保证与咨询之间的相互关系它们并非相互排斥的，多数审计服务既包括咨询活动也包括保证活动。咨询服务通常是由保证服务直接产生的，但它也可能衍生出保证服务。5、 通过内部审计章程赋予内部审计部门开展咨询服务的权力。6、 客观性审计师通过开展咨询服务，会对与保证性审计业务有关的工作程序或问题有更深入的了解。咨询服务不一定损害内部审计的客观性。内部审计不起管理决策作用。是否采纳或实施内部审计咨询服务所提出的建议由管理层决定。例、内部审计师可以提供能够增值且改进组织经营

7、的咨询服务。这些服务的开展：A会损害内审的独立性，在审计师卷入相同业务客户的确认服务时A 会排除确认服务从咨询业务中产生的可能；B 这些服务应与内部审计部门章程授权保持一致；C 这些服务不应给内部审计师施加向业务客户以外的其他对象反映情况的责任。7、 内部审计提供咨询服务的基础内部审计部门遵守最高客观性标准，而且它对机构的程序、风险及战略有全面的了解。8、 基本信息的传达内部审计的首要存在价值是给高级管理层和审计委员会提供保证服务。如果隐瞒审计执行主管认为应该报告的信息，就无法开展咨询工作。9、 机构所理解的咨询工作的原则机构必须制定并公布一些被全体成员所了解的基本规定，这些规定应该在章程中体

8、现出来。10、 正式的咨询业务管理层经常聘请外部顾问开展正式的、时间跨度很长的咨询工作，但是，内部审计部门拥有完成某些正式咨询任务的独特优势。11、 审计执行主管的职责咨询服务使审计执行主管得以与管理层交换意见，解决一些具体的管理问题，审计项目的广度和时间范围也会根据管理层的需要灵活安排，但是，审计执行主管保留确定审计技术的特权拥有特权，并且在审计结果的性质和重大性程度足以带来重大风险时，保留向高级管理层和审计委员会报告的权利。12、 解决冲突或新问题的标准IIA的职业道德规范报告的标准，正直，客观。及内部审计实务标准。 二、开展正式咨询业务的其他考虑本部分的内容与多条咨询标准相关。（一）内部

9、审计师在咨询业务中的独立性和客观性(第1130C1条标准)1、内部审计师有时被要求为他们曾经负责的或提供过保证服务的运营领域提供咨询服务。在开展服务前，审计执行主管应该核实董事会已经理解并批准提供咨询服务的概念。一旦获得批准，就应该修改内部审计章程，规定开展咨询服务的权力和责任，并制定相关的政策和程序。2、内部审计师应该在得出结论并向管理层提出建议时维护其独立性。如果在咨询服务开始之前就存在、或者在服务过程中发生损害独立性或客观性的情况，内部审计师应该马上向管理层披露。3、如果在开展正式咨询业务后的一年内又对同一领域提供保证服务，内部审计师内部审计师的独立性不等同于内部审计部门的独立性。内审部

10、门可以通过下面的方法降低。的独立性和客观性就会受到损害。可以通过以下措施来尽量降低不良影响：分配不同的审计师对同一领域开展不同的业务、建立独立的管理和监督机制、为项目的不同结果确定独立的责任机制、披露假设的损害情况。管理层应该负责接受和实施这些建议。 但是，审计师可以为自己过去负责的运营工作提供咨询服务。导读16页4、在涉及持续性的咨询业务时，内部审计师应该格外小心，以避免不恰当地或在无意中承担咨询业务的最初目标和范围中都没有提及的管理责任。 （二）咨询业务中的应有的专业审慎性问题(第1210C1条标准、第1220C1条标准、第2130C1条标准、第2201C1条标准)1、在开展正式咨询业务时

11、，内部审计师应该保持应有的专业审慎性，理解以下内容：（1）管理人员的需要，包括咨询业务结果的性质、时间安排和报告；（2）要求提供服务的动机和原因；（3）工作的范围；（4）所需的技能和资源； （5）咨询业务对审计委员会以前批准的审计计划的影响；（6）对未来审计任务和业务的潜在影响；（7）可以为机构带来的潜在好处。 2、除了对独立性、客观性和应有的专业审慎性的考虑，内部审计师还应该：（1）举办合适的会议并收集必要的信息，以评价将要提供服务的性质和范围； （2）证实接收服务的人员理解66并同意内部审计章程中所包括的相关指导内容、内部审计部门的政策和程序以及其他管辖咨询业务的指南。内部审计师应该拒绝从

12、事章程禁止开展的、或与本部门政策和程序相冲突的以及不能为机构增值或不能服务于机构最大利益的咨询业务；（3）评价咨询业务是否与内部审计部门的总体业务计划相一致；（4）以书面协议或计划的形式记录正式咨询业务的一般条件、共识、产品和其他关键因素。 （三）咨询业务的工作范围(第2010C1条标准、第2110C1和C2条标准、第2120C1和C2条标准、第2130C1条标准、第2201C1条标准、第2210C1条标准、第2220C1条标准、第2240C1条标准、第2330C1条标准、第2410Cl条标准、第2440C1和C2条标准) 1、内部审计师应该就咨询业务的目标和范围与接收服务的人员达成共识。内部

13、审计师应该设计工作范围，以维护内部审计部门的可信度和声誉等。2、在计划正式咨询业务时，内部审计师应该设计相关目标。在管理层提出特殊要求时，如果内部审计师认为应该追求的目标超出了管理层所要求的目标，可采取以下行动：（1）说服管理层包括其他目标；（2）在文件中记录没有追求有关目标的情况，并在最终报告中披露；（3）在随后单独开展的保证性业务中包括这些目标。 3、正式咨询业务的工作方案应该记录目标、范围以及为实现目标而采取的方法。方案的形式和内容可根据咨询业务的性质有所不同。内部审计师应该根据管理层的要求来扩展或限制业务范围，但应确保工作范围足以实现咨询业务的目标。咨询业务目标、范围和条件应该在工作过

14、程中定期得到重新评价和调整。4、内部审计师应该留意风险管理和控制过程的效果，并提请管理层注意他们发现的风险或重大控制薄弱环节。在有些情形下，内部审计师也应该将自己关注的问题报告管理层、审计委员会和或董事会。内部审计师还应该：(1)确定风险或薄弱环节的严重性，以及已经采取或考虑采取的行动；(2)证实管理层、审计委员会和或董事会在要求报告这些事项方面的期望。 （四）报告正式咨询业务的结果(第2410C1条标准、第2440C1条标准)1、对工作进度和结果的报告在形式和内容上根据业务的性质和客户需要的不同而不同。报告的要求一般由提出服务请求的人员决定，而且应该实现既定的目标，并得到管理层的同意。但是，报告的格式应该明确说明业务的性质和有关限制、约束或其他信息用户应该明白的因素。2、在某些情形下，内部审计师会认为应该扩展报告接收对象范围，此时可采取以下步骤：（1）确定协议中关于咨询业务和相关报告的规定；（2）努力说服接收或要求服务的人员自愿将报告内容传达给相关方面；（3）确定内部审计章程或内部审计部门政策/程序关于咨询报告的指导内容；（4）确定机构道德规范、职业道德规范、其他相关政策、行政指令或程序所提供的指导内容；（5）确定IIA标准和职业道德规