最新国际内审计准则.docx
《最新国际内审计准则.docx》由会员分享,可在线阅读,更多相关《最新国际内审计准则.docx(23页珍藏版)》请在冰豆网上搜索。
最新国际内审计准则
内部稽核定义
内部稽核为独立、客观之确认性服务及咨询服务,用以增加价值及改善机构营
运。
内部稽核协助机构透过有系统及有纪律之方法,评估及改善风险管理、控制
及治理过程之效果,以达成机构目标。
内部稽核人员职业道德规范
前言
本协会职业道德规范之目的在于增进内部稽核专业之道德文化。
内部稽核为独立、客观之确认性服务及咨询服务,用以增加价值及改善
机构营运。
内部稽核协助机构透过有系统及有纪律之方法,评估及改善风险
管理、控制及治理过程之效果,以达成机构目标。
内部稽核专业奠基于其对风险、控制与治理执行客观确认时所受到之信
任,因此一套职业道德规范是必需而且适当的。
本协会之职业道德规范超越
内部稽核之定义,而包含两个要素:
1.攸关内部稽核专业及实务之基本原则
2.对内部稽核人员行为标准表达期望之行为准则。
此等准则帮助对基本原则在
实际应用时之解释,及对内部稽核人员之伦理行为提供指引。
本职业道德规范连同本协会之国际专业实务架构及本协会已发布之其他
攸关数据,供作内部稽核人员提供服务之指引。
“内部稽核人员”系指本协
会之会员、本协会专业证照持有者或应试者,以及在内部稽核定义范围内提
供内部稽核服务者。
适用范围
本职业道德规范适用于提供内部稽核服务之个人及个体。
本协会会员及本协会专业证照持有者或应试者如有违反本规范,将依本
协会之内规及行政指引加以评估及处理。
如有行为准则未规范之特定行为发
生,并不排除其被视为不可接受或不名誉之行为,因而使会员、证照持有者
或应试者遭受纪律处分。
基本原则
内部稽核人员应遵守下列原则:
诚正-内部稽核人员之诚正树立了他人之信任,因而提供对其判断寄予信赖
之基础。
客观-内部稽核人员于搜集、评估及沟通有关检查活动或流程之信息时,应
表现最高度之专业客观性。
内部稽核人员对所有攸关情况之评估应力
求平衡,在作成判断时不受个人利益或他人之不当影响。
保密-内部稽核人员应尊重其所获得信息之价值及所有权,非经适当授权不
得揭露此等信息,但有法律或专业义务应予揭露者不在此限。
适任-内部稽核人员于提供内部稽核服务时,应能运用所需之知识、技能及
经验。
行为准则
1.诚正
内部稽核人员:
1.1应以诚实、严谨及负责之态度执行其任务。
1.2应遵守法律并依照法律及稽核专业之要求做适当揭露。
1.3不得明知而涉入任何不法活动,或从事有玷辱内部稽核专业或其服务
机构之行为或活动。
1.4应尊重其服务机构之既定及伦理目标并作出贡献。
2.客观
内部稽核人员:
2.1不得参与任何可能损害或被认为损害其公正评估之活动或关系。
此项
参与包括与其服务机构利益可能冲突之活动或关系。
2.2不得接受任何可能损害或被视为损害其专业判断之东西。
2.3应揭露所有获悉之重大事实,否则,可能使其对营运活动复核所提之
报告产生误导。
3.保密
内部稽核人员:
3.1应谨慎使用及保护其在执行任务过程所获得之信息。
3.2不得使用信息以图个人利益,亦不得以违法或有损其服务机构之既定
及伦理目标的任何方式使用信息。
4.适任
内部稽核人员:
4.1应仅从事其具有专业知识、技能及经验之服务。
4.2应依照内部稽核执业准则提供内部稽核服务。
4.3应持续改善其专业能力及服务之效果与质量。
1
一般准则
1000–目的、职权及责任
内部稽核单位之目的、职权及责任,须明订于内部稽核规程,其内容须符合内部稽核之定
义、职业道德规范及本准则之要求。
内部稽核主管须定期检讨内部稽核规程,并将其呈报
高阶管理阶层及董事会通过。
解释:
内部稽核规程系一份正式文件,用以界定内部稽核单位之目的、职权及责任。
内部稽核规
程确立内部稽核单位在机构内之地位、授权其接触与项目执行有关之纪录、人员及实体财
产,以及界定内部稽核业务之范围。
内部稽核规程之最终核定权属于董事会。
1000.A1–对机构提供确认性服务之性质须于内部稽核规程明定。
若确认性服务系
提供给机构外之对象,此等服务之性质亦须于内部稽核规程明定。
1000.C1–咨询服务之性质须于内部稽核规程明定。
1010–内部稽核定义、职业道德规范及本准则之确认
内部稽核定义、职业道德规范及本准则之强制性须于内部稽核规程中确认。
内部稽核主管
应与高阶管理阶层及董事会讨论内部稽核定义、职业道德规范及本准则。
1100–独立性与客观性
内部稽核单位须具超然独立之地位,内部稽核人员执行业务须保持客观。
解释:
独立性系指内部稽核单位或内部稽核主管以无偏袒方式执行内部稽核职责之能力,免于受
到威胁。
为达到有效执行内部稽核单位职责所需之独立性程度,内部稽核主管可以直接及
无限制地与高阶管理阶层及董事会接触。
此项需求可透过双重之报告关系予以达成。
对于
独立性之威胁须从个别稽核人员、项目、功能性及机构别等层级,加以管理。
客观性系指无偏袒之心态,使内部稽核人员得以一定方式执行项目,而对其工作结果具有
信心,且无质量上之妥协。
客观性要求内部稽核人员对于稽核事项之判断,不受他人影
响。
对于客观性之威胁须从个别稽核人员、项目、功能性及机构别等层级,加以管理。
1110–机构之独立性
内部稽核主管须向机构内能使内部稽核单位完成其责任之层级报告。
内部稽核主管须至少
每年一次向董事会确认内部稽核单位在机构内之独立性。
1110.A1–内部稽核单位于决定内部稽核范围、执行工作及沟通结果时,须能免于受到干
扰。
2
1111–与董事会之直接互动
内部稽核主管须与董事会直接沟通及互动。
1120–个别人员客观性
内部稽核人员须秉持公正无私之态度,并避免任何利害冲突。
解释:
利害冲突系指受到信任之内部稽核人员面临专业竞业利益或个人竞业利益之情况。
该项竞
业利益可能导致内部稽核人员难以无偏地履行其职责。
即使并未发生违反伦理或不当之行
为,仍存在着利害冲突。
利害冲突会导致形式上之不当,从而降低他人对于该内部稽核人
员、内部稽核单位,以及内部稽核专业之信心。
利害冲突可能损害个人客观执行其职责之
能力。
1130–独立性或客观性受损
独立性或客观性如有形式上或实质上受损时,须向适当对象揭露,揭露之性质视受损情形
而定。
解释:
内部稽核单位独立性及个人客观性之受损可能包含(但不局限于)个人利害冲突、范围限
制、资源受限(例如经费),以及对于纪录、人员及财产接触之限制。
独立性或客观性受损细节须揭露之适当对象,取决于内部稽核规程记载之内部稽核单位及
内部稽核主管对于高阶管理阶层及董事会应负之责任,以及该项损害之性质。
1130.A1–内部稽核人员须避免评估其先前负责之特定业务。
若内部稽核人员对过
去一年所负责之业务提供确认性服务,其客观性视为受损。
1130.A2–确认性服务项目涉及内部稽核主管负责之职务时,须由独立于内部稽核
单位以外之人士督导。
1130.C1–内部稽核人员可对其先前负责或查核之业务提供咨询服务。
1130.C2–若内部稽核人员对拟提供之咨询服务之独立性或客观性有潜在受损之
虞,须于接受项目前向委任客户揭露。
1200–技__________能专精及专业上应有之注意
内部稽核工作之执行,须具备熟练之专业技能,并尽专业上应有之注意。
3
1210–技能专精
内部稽核人员须具备执行其个别职责所需之知识、技能及其他能力。
内部稽核单位整体须
具备或取得履行其职责所需之知识、技能及其他能力。
解释:
知识、技能及其他能力为一项集合名词,系指内部稽核人员有效履行其专业责任所需专业
上之精通。
内部稽核人员宜取得适当之专业证照及资格,例如国际内部稽核协会及其他适
当专业机构所提供之内部稽核师头衔或其他头衔,以显示其专精。
1210.A1–内部稽核人员欠缺执行确认性项目所需之知识、技能或其他能力时,内
部稽核主管须取得适切之专业建议及协助。
1210.A2–内部稽核人员须具备足以评估舞弊风险及机构如何管理舞弊风险之知
识,但无须具备与主要负责舞弊侦测及调查者相当之专精能力。
1210.A3–内部稽核人员须充分了解信息科技之主要风险与控制,及以科技为基础
之可用稽核技术,俾执行其被指派之工作。
但并非所有内部稽核人员皆应具备与主
要负责信息科技稽核者相当之专精能力。
1210.C1–内部稽核人员欠缺执行咨询项目所需之知识、技能或其他能力时,内部
稽核主管须拒绝接受该项委任,或取得适切之专业建议及协助。
1220-专业上应有之注意
内部稽核人员须实行合理谨慎及适任之内部稽核人员所应有之注意及技能。
尽专业上应有
之注意并非意指完全无错误或失败。
1220.A1–为善尽专业上应有之注意,内部稽核人员执行确认性项目时,须考虑下
列事项:
•达成项目目的所需工作之程度或范围。
•所涉及事项之相对复杂性、重大性或重要性。
•治理、风险管理及控制过程之适足性与有效性。
•重大错误、舞弊或未遵循之可能性。
•项目成本与潜在效益之关系。
1220.A2–内部稽核人员在善尽专业上应有之注意时,须考虑采用以科技为基础之
稽核及其他数据分析技术。
1220.A3–内部稽核人员对可能影响机构目标、营运或资源之重大风险,须保持警
觉。
纵使已善尽专业上应有之注意,确认性程序之执行仍不能保证辨识所有重大风
险。
4
1220.C1–内部稽核人员提供咨询服务时,须考虑下列事项,以尽专业上应有之注
意:
•客户之需要及期望,包括项目结果之性质、提出时机及沟通方式。
•达成项目目的所需工作之复杂性及其程度或范围。
•项目成本与潜在效益之关系。
1230–持续专业发展
内部稽核人员须持续其专业发展,以增进知识、技能及其他能力。
1300–质量保证与改善计划
内部稽核主管须订定及维持一套涵盖内部稽核单位所有层面之质量保证与改善计划。
解释:
质量保证与改善计划系用以促使评估内部稽核单位对于内部稽核定义及本准则之遵循情
形,以及评估内部稽核人员是否遵守职业道德规范。
该项计划亦评估内部稽核单位之效率
及效果,并辨识改善之机会。
1310–质量保证与改善计划之要求
质量保证与改善计划须同时包含内部评核及外部评核。
1311–内部评核
内部评核须包括:
•对内部稽核单位之绩效作持续性监控,以及
•透过自我评估或由机构内充分了解内部稽核实务及本准则之其他人员执行定期复核。
解释:
内部稽核单位日常之督导、复核及衡量,应包含持续性监控。
持续性监控应并入用于管理
内部稽核单位之例行政策及实务,并使用必要之流程、工具及信息,以评估对于内部稽核
定义、职业道德规范,以及本准则之遵循情形。
定期复核系属一种评核,藉以评估内部稽核定义、职业道德规范,以及本准则之遵循情
形。
充分了解内部稽核实务系指至少了解国际专业实务架构之所有组成要素。
1312–外部评核
外部评核须每五年至少进行一次,由机构外适任、独立之评核者或评核团队执行。
内部稽
核主管须与董事会讨论:
•更为频繁之外部评核需求。
•外部评核者或评核团队之资格及独立性,包含潜在之利害冲突。
5
解释:
适任之评核者或评核团队系由专精于内部稽核专业实务及外部评核过程之人员所组成。
评
核者或评核团队专业能力之评估属于一种判断,宜考虑被选任执行评核人员之内部稽核专
业经验及专业证照。
该项资格之评估亦考虑就受评内部稽核单位所属之机构而言,评核团
队成员所属机构之相对规模及复杂度,以及所需之特定部门、产业或技术性知识。
独立之评核者或评核团队系指并无实质或明显之利害冲突,且不属于或不受制于受评内部
稽核单位所属之机构。
1320–质量保证与改善计划之报告
内部稽核主管须将质量保证与改善计划之结果向高阶管理阶层及董事会报告。
解释:
质量保证与改善计划结果沟通之形式、内容及频率之决定,系透过与高阶管理阶层及董事
会之讨论,并考虑内部稽核规程有关内部稽核单位及内部稽核主管之职责。
为呈现对于内
部稽核定义、职业道德规范,以及本准则之遵循,外部评核及定期性内部评核之结果于该
项评核完成时进行沟通,持续性监控之结果至少每年沟通一次。
上述结果包含评核者或评
核团队对于遵循程度之评估。
1321–「遵循国际内部稽核执业准则」一词之使用
惟有在质量保证与改善计划之结果证实内部稽核单位遵循国际内部稽核执业准则时,内部
稽核主管才能做此声明。
1322–未遵循之揭露
若未能遵循内部稽核定义、职业道德规范及本准则,而影响内部稽核单位之整体范围或运
作时,内部稽核主管须向高阶管理阶层及董事会揭露未遵循之事项及其影响。
6
作业准则
2000–内部稽核单位之管理
内部稽核主管须有效管理内部稽核单位,以确保对机构产生价值。
解释:
内部稽核单位符合下列情况时,其管理系属有效:
•内部稽核单位工作结果达到内部稽核规程所含之目的及责任。
•内部稽核单位遵循内部稽核定义及本准则。
•内部稽核单位成员显示其遵守职业道德规范及本准则。
2010–规划
内部稽核主管须依据机构目标及风险评估结果,订定工作计划,以决定稽核业务之优先顺
序。
解释:
内部稽核主管负责制定一套以风险为基础之计划。
内部稽核主管考虑机构之风险管理架
构,包含使用管理阶层针对机构之不同作业或层面所设定之风险胃纳水平。
若无该项架
构,内部稽核主管可于咨询高阶管理阶层及董事会之后,自行判断。
2010.A1–内部稽核单位之工作计划须基于至少每年一次之书面风险评估,并须考
量高阶管理阶层及董事会提供之意见。
2010.C1–内部稽核主管于决定是否接受提议之咨询项目时,应考虑该项目对改善
风险管理、增加价值及改善机构营运之潜力。
已接受之咨询项目须纳入工作计划。
2020–沟通及核准
内部稽核主管须将内部稽核单位之工作计划、所需资源及后续之重大变更,报请高阶管理
阶层及董事会核阅及通过。
若稽核资源受到限制,须将其影响加以沟通。
2030–资源管理
内部稽核主管须确保所需资源之适当、充分及有效配置,以完成既定之工作计划。
解释:
所谓适当,系指执行该项计划所需之知识、技能及其他能力之组合。
所谓充分,系指完成
该项计划所需资源之数量。
若资源之使用得以最佳方式完成既定之工作计划,则资源之配
置有效。
2040–政策及程序
内部稽核主管须建立政策及程序,以作为稽核业务之指引。
解释:
7
政策及程序之形式及内容取决于内部稽核单位之规模及架构,以及其工作之复杂度。
2050–协调
内部稽核主管应与稽核业务之其他内部及外部服务提供商分享信息及协调作业,以确保工
作范围之适当及减少工作之重复。
2060–向高阶管理阶层及董事会报告
内部稽核主管须将内部稽核单位之目的、职权、责任及工作计划执行情形,定期向高阶管
理阶层及董事会提出报告。
报告内容另须包括重大之暴险与控制问题(包含舞弊风险)、
治理问题及高阶管理阶层与董事会所要求之其他事项。
解释:
报告频率及内容之决定,系经由与高阶管理阶层及董事会之讨论,并取决于所欲沟通信息
之重要性以及高阶管理阶层或董事会所应采取相关行动之急迫性。
2100–工作性质
内部稽核单位须以有系统、有纪律之方法,评估及协助改善治理、风险管理及控制过程。
2110–治理
内部稽核单位须评估机构之治理过程,并提出适当之改善建议,以达成下列目标:
•提升机构之伦理与价值观。
•确保机构有效之绩效管理及责任归属。
•对机构内之适当对象沟通风险及控制信息。
•确保董事会、外部稽核人员、内部稽核人员与管理阶层间作业协调及信息沟通。
2110.A1–内部稽核人员须对与机构伦理有关之目的、计划及活动,评估其设计、
执行及成效。
2110.A2–内部稽核单位须评估机构之信息科技治理是否持续支持机构之策略及目
标。
2110.C1–咨询项目之目的须与机构整体价值及目标一致。
2120–风险管理
内部稽核单位须评估风险管理过程之有效性,并对其改善做出贡献。
解释:
风险管理过程是否有效之决定,源自于内部稽核人员针对下列项目的判断:
•机构之目标支持及符合机构之使命。
•重大风险业已辨识及评估。
•选择适当之风险响应,使得风险符合机构之风险胃纳。
8
•攸关之风险信息业已及时取得,并于机构内沟通,以便于工作人员、管理阶层及董事
会履行其职责。
风险管理过程系透过持续性管理活动、个别评估,或两者同时实行之方式,予以监控。
2120.A1–内部稽核单位须评估下列与机构之治理、营运及信息系统有关之暴险:
•财务及营运信息之可靠性及完整性。
•营运之效果及效率。
•资产之保全。
•法令及契约之遵循。
2120.A2–内部稽核单位须评估舞弊发生之可能性以及机构如何管理舞弊风险。
2120.C1–执行咨询项目时,内部稽核人员须着重项目目的之相关风险,并注意其
他重大风险。
2120.C2–内部稽核人员须将执行咨询项目所获得之风险知识,运用于评估机构之
风险管理过程。
2120.C3–协助管理阶层建立或改善风险管理过程时,内部稽核人员须避免实际管
理风险,而承担管理阶层之责任。
2130–控制
内部稽核单位须评估各项控制之效果及效率,并促进控制之持续改善,以协助机构维持有
效之控制。
2130.A1–内部稽核单位须评估用于响应机构治理、营运及信息系统下列风险控制
措施之适足性与有效性:
•财务及营运信息之可靠性及完整性。
•营运之效果及效率。
•资产之保全。
•法令及契约之遵循。
2130.A2–内部稽核人员应确认各项营运及计划目标与目的订定之情形,及其符合
机构相关目标与目的之程度。
2130.A3–内部稽核人员应复核各项营运及计划,以确认其结果与既定目标及目的
一致之程度,并决定营运及计划是否依预定方式执行。
2130.C1–内部稽核人员执行咨询项目时,须着重与项目目的相关之控制,并注意
重大之控制问题。
9
2130.C2–内部稽核人员须将执行咨询项目所获得之控制知识,运用于评估机构之
控制流程。
2200–项目之规划
内部稽核人员须就每项项目拟订书面计划,其内容应包含该项目之目的、范围、时程及资
源配置。
2201–规划之考虑
内部稽核人员规划项目时,须考虑:
•项目对象之目的及其控制绩效之方法。
•项目对象及其目的、资源与营运所面临之重大风险,以及其将风险之潜在影响维持
在可接受水平之方法。
•项目对象风险管理及控制过程之妥当性及有效性。
•项目对象风险管理及控制过程重大改善之可能性。
2201.A1–为机构外之对象规划确认性项目时,内部稽核人员须与该对象就项目目
的、范围、相对责任,以及其他期望,包含项目结果分送及纪录使用之限制,建立
书面共识。
2201.C1–内部稽核人员须与咨询项目客户就项目目的、范围、相对责任及其他期
望,建立共识。
重大项目之共识,须以书面为之。
2210–项目之目的
每项项目皆须设定其目的。
2210.A1–内部稽核人员须针对项目对象之风险,进行初步评估。
项目之目的须反
映风险评估之结果。
2210.A2–内部稽核人员拟定项目目的时,须考虑发生重大错误、舞弊、未遵循及
其他暴险之可能性。
2210.A3–评估控制需要依据适当之标准,以决定目的及目标是否达成。
内部稽核
人员须确认管理阶层建立适当标准之情形。
若标准适当,内部稽核人员须使用该标
准进行评估;若不适当,内部稽核人员须与管理阶层共同研订合宜之评估标准。
2210.C1–咨询项目之目的须在客户同意之范围内,检讨治理、风险管理及控制过
程。
2220–项目之范围
项目范围之设定须足以达成项目目的。
10
2220.A1–项目之范围须考虑相关制度、纪录、人员及实体财产,包括由第三者所
掌控者。
2220.A2–进行确认性项目时,若有重大咨询机会,应就咨询项目之目的、范围、
相对责任及其他期望,达成具体共识,作成书面纪录,并依照咨询相关准则沟通该
项咨询项目之结果。
2220.C1–执行咨询项目时,内部稽核人员须确保项目范围足以达成约定之目的。
若内部稽核人员在项目执行过程中,对该范围有所保留,须与客户讨论,以决定是
否继续进行此项项目。
2230–项目之资源分配
内部稽核人员须决定达成项目目的所需之适当及充分之资源。
人员之指派应基于对项目性
质与复杂度、时间限制及可用资源之评估。
2240–项目之工作程序
内部稽核人员须拟订达成项目目的之书面工作程序。
2240.A1–工作程序须包含执行项目过程中,用以辨识、分析、评估及记录信息之
程序。
工作程序执行前须先经核准,其调整亦须迅速取得核准。
2240.C1–咨询项目工作程序之格式及内容,得视项目之性质而异。
2300–项目之执行
内部稽核人员须辨识、分析、评估及记录充分之信息,以达成项目之目标。
2310–辨识信息
内部稽核人员须辨识充分、可靠、攸关及有用之信息,以达成项目之目标。
解释:
充分之信息系指其符合事实、适切及具说服力,可使审慎、具备相关知识之人士做出与稽
核人员相同之结论。
可靠之信息系指利用适当之项目技术所取得之最佳信息。
攸关之信息
支持项目之观察与建议,并与项目目的一致。
有用之信息协助机构达成其目标。
2320–分析与评估
内部稽核人员作成之结论及项目结果,须基于适当之分析与评估。
2330–记录信息
内部稽核人员须记录攸关之信息,以支持其结论及项目结果。
2330.A1–内部稽核主管须控制确认性项目纪录之使用。
内部稽核主管于提供此等
纪录予外部人士前,须视需要征得高阶管理阶层及法律顾问之同意。
11
2330.A2–内部稽核主管须制定确认性项目纪录保存之规定,无论其使用何种媒介
储存。
该项规定须符合机构之相关规范及有关之法令。
2330.C1–内部稽核主管须针对咨询项目纪录之保管、保存及提供内部及外部人士
使用,订定相关政策,并须符合机构之相关规范及有关之法令。
2340–项目之督导
项目之执行须加以适当督导,以确保目的之达成、质量之保证及人员之养成。
解释:
所需之督导程度取决于内部稽核人员之专精及经验,以及项目之复杂度。
无论项目是否由
内部稽核单位执行,内部稽核主管对于该项目之督导负起全责,但可以指定具备适当经验
之内部稽核单位成员执行该项复核。
适当之督导证据应予记录及保留。
2400–结果之沟通
内部稽核人员须与有关人员沟通项目结果。
2410–沟通之标准
沟通内容须包含项目之目的与范围,以及合适之结论、建议与行动计划。
2410.A1–项目结果之最终沟通,须视情况包含内部稽核人员之整体性意见或结
论。
2410.A2–内部稽核人员在项目沟通时,对令人满意之绩效宜予肯定。
2410.A3–提供项目结果给机构外人士时,须告知其有关转送及使用之限制。
2410.C1–咨询项目进度及结果之沟通,其形式及内容视项目性质及客户之需求而
异。
2420–沟通之品质
沟通须正确、客观、明确、简洁、具建设性、完整与及时。
解释:
正确之沟通为无错误及扭曲,并忠于相关之事实。
客观之沟通为公平、无私