国际内部审计专业实务框架.docx
《国际内部审计专业实务框架.docx》由会员分享,可在线阅读,更多相关《国际内部审计专业实务框架.docx(80页珍藏版)》请在冰豆网上搜索。
国际内部审计专业实务框架
国际内部审计专业实务框架
IIAInternationalProfessionalPracticeFramework(IPPF)
国际内部审计专业实务框架
(国际内部审计师协会2009年1月修订)
(红皮书)
中国内部审计协会译
★内部审计定义
★职业道德规范
★国际内部审计专业实务标准
★实务公告
修订说明
作为整合IIA所发布标准的概念性框架,《国际内部审计专业实务框架》的范围缩减到只包括由IIA国际技术委员会按照适当程序制定的权威标准。
该权威标准由以下两部分构成:
强制性指南。
遵循强制性指南的原则对于内部审计专业实务是必须且重要的。
强制性指南的制定遵循既定的尽职审查程序,包括公布征求意见稿,广泛听取各界的意见。
《国际内部审计专业实务框架》的三个强制部分为“内部审计定义”、《职业道德规范》和《国际内部审计专业实务标准》(以下简称《标准》)。
强力推荐的指南。
强力推荐的指南是IIA通过正式批准程序认可的,阐述有效执行“内部审计定义”、《职业道德规范》和《标准》的实务,包括立场公告、实务公告和实务指南。
《内部审计专业实务框架》(PPF)
强制性
强力推荐
IIA认可或制定
内部审计定义
√
职业道德规范
√
标准
√
实务公告
√
发展与实务帮助
√
↓
《国际内部审计专业实务框架》(IPPF)
强制性
强力推荐
内部审计定义
√
职业道德规范
√
标准和释义
√
立场公告
√
实务公告
√
服务的团体。
对于违反《职业道德规范》的协会会员,IIA职业资格的获得者或申请者,将根据协会的规章的制度予以评价和管理。
在行为规则中没有提及的特殊行为,如果其无法被接受或有损信誉,协会会员、IIA职业资格的获得者或申请者将接受纪律处罚。
职业道德规范
原则
内部审计师应运用并信守以下原则:
1.诚信。
内部审计师的诚信确立信用,从而为信任其判断提供基础。
2.客观。
内部审计师在收集、评价和沟通有关被检查活动或过程的信息时,要显示出最高程度的职业客观性。
在作出判断时,内部审计师不受其个人喜好或他人的不适当影响,对所有相关环境作出公正的评价。
3.保密。
内部审计师尊重所获取信息的价值和所有权,没有适当授权不得披露信息,除非是在有法律或职业义务的情况下。
4.胜任。
内部审计师在执行内部审计业务时能够使用所需要的知识、技能和经验。
行为规则
1.诚信。
内部审计师:
1.1应当诚实、勤恳并负责地开展工作。
1.2应当遵守法律,按照法律和职业要求进行披露。
1.3不得蓄意参与非法活动,或参加有损于内部审计职业或其所在组织的行为。
1.4应当遵守并协助实现组织的法律和道德目标。
2.客观。
内部审计师:
2.1不应参与可能损害或被认为会损害其公正评价的活动或关系,包括参与与组织利益相冲突的活动和关系。
2.2不能接受可能损害或被认为会损害其职业判断的任何物品。
2.3应当披露已知的,如果不予披露,可能会歪曲检查工作报告的所有重大事实。
3.保密。
内部审计师:
3.1应当谨慎利用和保护履行职责过程中获取的信息。
3.2不应当利用信息牟取私利,或者以任何有悖法律规定或有损组织法律和道德目标的方式使用信息。
4.胜任。
内部审计师:
4.1应当只从事与其所具备的知识、技能或经验相适应的服务活动。
4.2应当依据《国际内部审计专业实务标准》开展内部审计报务。
4.3应当持续提高专业能力和服务的效果、质量。
国际内部审计专业实务标准
《标准》的宗旨是:
·描述反映内部审计实务的基本原则;
·为开展和推动各类具有增值效应的内部审计业务提供框架;
·建立评估内部审计业绩的依据;
·促进组织流程和运营的改善。
《标准》是以原则为导向的强制性要求,其组成内容包括:
·对组织和个人普遍适用的关于内部审计专业实务及其业绩评价基本要求的阐述;
·对阐述中所含术语或概念的释义。
《标准》用“必须”一词来表示无条件的强制性要求,并用“应当”一词来表示期待相关要求得到遵守,除非根据专业判断所涉情形允许偏离《标准》的要求。
《标准》由属性标准和工作标准组成。
属性标准说明开展内部审计活动的组织和个人的特征。
工作标准描述内部审计活动的性质,并提供了衡量内部审计活动的实施质量的准绳。
属性标准和工作标准适用于所有的内部审计服务。
实施标准是对属性标准和工作标准的扩充,提供适用于确认服务(A)和咨询服务(C)的相关要求。
确认服务指内部审计师为了对机构、业务、流程、系统或其他对象提供独立意见或结论而作出的客观评价。
确认服务的性质和范围由内部审计师确定。
咨询服务本质上是一种顾问服务,一般应客户的具体要求而开展。
咨询服务的性质和范围需与客户协商确定。
在开展咨询业务时,内部审计师应保持客观性,不承担管理责任。
属性标准
1000—宗旨、权力和职责
内部审计部门的宗旨、权力和职责必须在内部审计章程中按照内部审计定义、《职业道德规范》和《标准》的相关内容正式确定。
首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。
释义
内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。
它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。
内部审计章程的最终审批权在董事会。
1000.A1—向组织提供的确认服务的性质必须在内部审计章程中明确规定。
如果内部审计部门向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。
1000.C1—咨询服务的性质必须在内部审计章程中确定。
1010—在内部审计章程中确认“内部审计定义”、《职业道德规范》和《标准》
“内部审计定义”、《职业道德规范》和《标准》的强制性质必须在内部审计章程中得到确认。
首席审计执行官应当向高级管理层和董事会解释并讨论“内部审计定义”、《职业道德规范》和《标准》。
1100—独立性和客观性
内部审计部门必须保持其独立性,内部审计师必须客观地开展工作。
释义
独立性指内部审计部门或首席审计执行官不偏不倚地履行职责,免受任何威胁其履职能力的情况影响。
要达到有效履行内部审计部门职责所必须的独立程度,首席审计执行官需要直接且无限制地与高级管理层和董事会接触。
这一要求可以通过建立双重报告关系来实现。
独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。
客观性指不偏不倚的工作态度,保持客观性,内部审计师方可在开展业务时确信其工作成果,不做任何质量方面的妥协。
客观性要求内部审计师对于审计事项的判断不得屈服于他人。
客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。
1110—组织的独立性
首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。
首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。
1110.A1—内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干预。
1111—与董事会的直接互动
首席审计执行官必须与董事会直接沟通和互动。
1120—个人的客观性
内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。
释义
利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。
这些职业或个人利益会影响内部审计师公正地履行职责。
在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。
利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。
利益冲突更可损害内部审计师个人客观履行其职责的能力。
1130—对独立性或客观性的损害
如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。
披露的性质视受损情况而定。
释义
对组织独立性和个人客观性的损害可能包括但不限于:
个人利益冲突,工作范围限制,接触记录、人员和实物资产的限制,在经费等资源方面受到约束等。
独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门和首席执行官应当对高级管理层和董事会承担的责任,以及损害的性质。
1130.A1—内部审计师必须避免评价其以往负责的特定业务。
如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到损害。
1130.A2—确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督。
1130.C1—内部审计师可以对其以往负责的业务提供咨询服务。
1130.C2—若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露。
1200—专业能力与应有的职业审慎
内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。
1210—专业能力
内部审计师必须具备履行其职责所必须的知识、技能和其他能力。
内部审计部门整体必须具备或获得履行其职责所必须的知识、技能和其他能力。
释义
“知识、技能和其他能力”是一个集合术语,是内部审计师有效履行其职责所必须的专业水平。
鼓励内部审计师通过取得适当的专业资格证书和认证,例如国际内部审计协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力。
1210.A1—当内部审计师缺乏完成全部或部分业务所必须的知识、技能或其他能力时,首席审计执行官必须向他人寻求充分的专业建议和协助。
1210.A2—内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专业技能。
1210.A3—内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法,以开展工作,但不期望所有内部审计师均掌握专门从事信息技术审计的内部审计师所具备的专门技能。
1210.C1—当内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其他能力时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助。
1220—应有的职业审慎
内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。
但是,应有的职业审慎并不意味着永不犯错。
1220.A1—内部审计师必须通过考虑以下因素,履行其应有的职业审慎:
·为实现业务目标而需要开展工作的范围;
·所要确认事项的相对复杂性、重要性或严重性;
·治理、风险管理和控制过程的适当性和有效性;
·发生重大错误、舞弊或不合法的可能性;
·与潜在效益相对的确认成本。
1220.A2—在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法和其他数据分析技术。
1220.A3—内部审计师必须警惕可能影响目标、运营或资源的重大风险。
但是,即使是以应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险。
1220.C1—开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:
·客户的需要与愿望,包括咨询结果的性质、时间安排与结果沟通;
·实现咨询业务目标所需开展工作的相对复杂性和范围;
·与潜在效益相对的咨询业务成本。
1230—持续职业发展
内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。
1300—质量保证与改进程序
内部审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。
释义
质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和《标准》以及内部审计师是否遵守《职业道德规范》进行评估,还可以用来评价内部审计活动的效果和效率,并识别改进的机会。
1310—质量保证与改进程序的要求
质量保证与改进程序必须包括内部评估和外部评估。
1311—内部评估
内部评估必须包括:
·对内部审计活动执行情况的持续监督;
·通过自我评估或由组织内部其他充分了解内部审计实务的人员进行定期检查。
释义
持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中。
持续监督应纳入管理内部审计活动的日常政策和实践,运用必要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》作出评估。
定期检查是针对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》而开展的评估工作。
充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。
1312—外部评估
外部评估必须至少每五年开展一次,必须由来自组织外部、合格且独立的检查人员或检查小组负责实施。
首席审计执行官必须与董事会讨论:
·更为频繁地开展外部评估的必要性;
·检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。
释义
合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成。
对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑就接受评估的内部审计部门所在组织而言,检查人员所属机构的相对规模和复杂程度,以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。
独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在的组织。
1320—对质量保证与改进程序的报告
首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果。
释义
质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和首席审计执行官的职责。
为反映内部审计活动对“内部审计定义”、《职业道德规范》和《标准》的遵循情况,外部评估和定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次。
上述结果包括检查人员或检查小组对遵循程度的评估。
1321—对“遵循《标准》”的应用
只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,首席审计执行官才可以进行“遵循《标准》”的声明。
1322—对未遵循情况的披露
若未遵循“内部审计定义”、《职业道德规范》和《标准》的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层和董事会披露未遵循事项及其影响。
工作标准
2000—内部审计活动的管理
首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。
释义
内部审计活动符合下列情况时,属于得到了有效的管理:
·内部审计部门的工作结果达到了内部审计章程所包含的目的和责任;
·内部审计活动遵循了“内部审计定义”和《标准》;
·内部审计人员遵循了《职业道德规范》和《标准》。
2010—计划
首席审计执行官必须以风险为基础制定计划,以确定与组织目标相一致的内部审计活动重点。
释义
首席审计执行官负责以风险为基础制定计划。
制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。
如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。
2010.A1—内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次。
在计划制定过程中,必须考虑高级管理层和董事会的意见
2010.C1—首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。
已经接受的咨询业务必须纳入计划。
2020—沟通与批准
首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。
首席审计执行官还必须就资源受限制的影响与高级管理层和董事会进行沟通。
2030—资源管理
首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。
释义
“适当”是指实施计划所必需的知识、技能和其他能力的组合。
“充分”是完成计划所必需的资源数量。
资源有效配置是指资源以能够最优实现获批计划的方式被运用。
2040—政策与程序
首席审计执行官必须制定政策和程序,为内部审计活动提供指导。
释义
政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。
2050—协调
首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。
2060—向高级管理层和董事会报告
首席审计执行官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况,报告中还必须包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。
释义
报告频率和内容要经过与高级管理层和董事会的讨论后确定,同时取决于所报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。
2100—工作性质
内部审计活动必须应用系统、规范的方法,评估并协助改善治理、风险管理和控制过程。
2110—治理
内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:
·在组织内部推广适当的道德和价值观;
·确保整个组织开展有效的业绩管理、建立有效的问责机制;
·向组织内部有关方面通报风险和控制信息;
·协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。
2110.A1—内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果。
2110.A2—内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标。
2110.C1—咨询业务的目标必须与组织的总体价值和目标保持一致。
2120—风险管理
内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献。
释义
确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断:
·组织目标支持组织的使命并与其保持一致;
·重大风险得到识别和评估;
·选定适当的风险应对方案,并符合组织的风险偏好;
·获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责。
风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。
2120.A1—内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:
·财务和运营信息的可靠性和完整性;
·运营的效果和效率
·资产的安全
·对法律、法规及合同的遵循情况。
2120.A2—内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险;
2120.C1—在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。
2120.C2—内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。
2120.C3—协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。
2130—控制
内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的控制。
2130.A1—内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性:
·财务和运营信息的可靠性和完整性;
·运营的效率和效果;
·资产的安全;
·对法律、法规及合同的遵循情况。
2130.A2—内部审计师应当确定各项运营及程序的目标和目的制定的情况及其与组织目标和目的符合的程度。
2130.A3—内部审计师应当复核各项运营和程序,以确定其结果与既定目标和目的保持一致的程度,并确定运营和程序按计划实施或执行。
2130.C1—在开展咨询业务时,内部审计师必须关注与业务目标相关的控制,并警惕重大的控制问题。
2130.C2—内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程。
2200—业务计划
内部审计师开展每项业务都必须制定书面计划,其内容包括业务目标、范围、时间安排以及资源分配等。
2201—制定计划时的考虑因素
制定业务计划时,内部审计师必须考虑到:
·被检查活动的目标及控制其实施的方式;
·被检查活动及其目标、资源和运营等存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;
·与相关的控制框架或模式相比,被检查活动的风险管理和控制过程的适当性和有效性;
·对被检查活动的风险管理和控制过程进行重大改进的可能性。
2201.A1—在为组织外部的有关方面制定业务计划时,内部审计师必须与其达成书面协议,明确业务目标、范围、各自的职责和其他要求,包括对发布业务结果和对接触业务记录的限制。
2201.C1—内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。
对于重要的咨询业务,该协议必须为书面形式。
2210—业务目标
必须为每项业务确定目标。
2210.A1—内部审计师必须对与被检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果。
2210.A2—内部审计师确定业务目标时,必须考虑存在重大差错、舞弊、违规和其他风险的可能性。
2210.A3—评估控制需要依据适当的标准,以确定目标和目的是否实现。
内部审计师必须确认管理层制定适当标准的程度。
如果标准适当,内部审计师必须使用该标准进行评估。
如果不适当,内部审计师必须与管理层共同制定适当的评估标准。
2210.C1—咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定。
2220—业务范围
确定业务范围必须满足实现业务目标的要求。
2220.A1—确定业务范围必须考虑相关的制度、记录、人员和实物资产,包括由第三方控制的相关制度、记录、人员和实物资产。
2220.A2—在开展确认业务时,如果出现重要的咨询机会,应当与客户达成具体的书面协议,规定业务目标、范围、各自的职责和其他要求,并遵循咨询业务相关标准沟通咨询业务的结果。
2220.C1—在开展咨询业务时,内部审计师必须确保业务范围足以实现与客户协商确定的目标。
如果内部审计师在开展咨询业务过程中对该范围有所保留,必须与客户进行讨论,决定是否继续开展此项业务。
2230—业务资源的分配
内部审计师必须根据每项业务的性质、复杂程度、时间限制以及可获资源的评估,确定实现业务目标所需要的适当、充分的资源。
2240—业务工作方案
内部审计师必须制定用以实现业务目标的书面工作方案
2240.A1—工作方案中必须包括识别、分析、评估和记录信息的程序。
工作方案必须在实施前得到批准,对方案的任何调整都必须及时报批。
2240.C1—咨询业务工作方案的形式与内容取决于咨询业务的性质。
2300—业务的实施
内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标。
2310—识别信息
内部审计师必须识别充分、可靠、相关且有用的信息,从而实现业务目标。
释义
充分的信息是指符合事实、满足条件、具备说服力,可以使审慎的、具备相关知识的人员得出与内部审计师相同的结论的信息。
可靠的信息是指通过采用适当的技术可以获得的最佳信息。
相关的信息是指支持内部审计师发现的问题和建议,并与业务目标一致的信息。
有用的信息有助于组织实现其目标。
2320—分析评价
内部审计师必须基于适当的分析和评价,得出结论和业务结果。
2330—记录信息
内部审计师必须记录相关信息,以支持结论和业务结果。
2330.A1—首席审计执行官必须控制对业务记录的接触。
在对外界提供记录之前,首席审计执行官必须征得高级管理层和/或法律顾问的同意。
2330.A2—首席审计执行官必须规定业务记录的存档要求而无论其采用何种存储介质。
这些存档要求必须符合组织的