《现代企业内部审计实务标准.docx》由会员分享,可在线阅读,更多相关《现代企业内部审计实务标准.docx(253页珍藏版)》请在三一办公上搜索。
1、Standards for the Professional Practice ofInternal Auditing (SPPIA)内部审计实务标准标准创立:Standard Board of The Institute of Internal Auditors翻译编辑:CIA 中文站,西雅图版权所有: 2004 IIA, CIA 中文站SPPIA 中文版内部审计实务标准(SPPIA)作为内部审计师协会(IIA)创立的审计标准之一,获得全球业界的广泛认可。本书为该标准的中文译本,对于注册内部审计师(CIA)考试和业内人士从事 审计执业具有重要的参考价值。创立:内部审计师协会(IIA)译者:C
2、IA 中文站 ()打印:西雅图,美国UPC: 107-1630-N07046PN: IIA-CKS-06271X7CIA 中文站第 2 页SPPIA 中文版Index属性标准. 5 工作标准. 7 术语表. 11 内部审计师职业道德规范. 13 实务文本. 14 实务公告 10001:内部审计章程 . 14 实务公告 1000.C11:内部审计师开展咨询活动的原则 . 14 实务公告 1000.C12:内部审计师开展正式咨询业务的其他考虑 . 16 实务标准 11001:独立性与客观性 . 19 实务公告 11101:机构的独立性 . 19 实务公告 11102:审计执行主管的报告对象 . 2
3、0 实务公告 1110.A11:披露要求获取信息的原因 . 22 实务公告 11201:审计师个人的客观性 . 22 实务公告 11301:对独立性或客观性的损害 . 23 实务公告 1130.A11:评价内部审计师以前负责的运营工作 . 24 实务公告 1130.A12:内部审计开展其他(非审计工作). 24 实务公告 12001:专业水平和应有的职业审慎性 . 26 实务公告 12101:专业水平 . 26 实务公告 1210.A11:获取有关服务为内部审计工作提供支持或补充. 27 实务公告 1210.A21:发现舞弊 . 29 实务公告 1210.A22:发现舞弊的职责 . 31 实务
4、公告 12201:应有的职业审慎性 . 32 实务公告 12301:继续职业发展 . 32 实务公告 13101:质量项目评价 . 33 实务公告 13111:内部评价 . 33 实务公告 13121:外部评价 . 34 实务公告 13201:质量项目的报告过程 . 35 实务公告 13301:使用“内部审计工作依据标准开展”的声明 . 36 实务公告 20001:管理内部审计部门 . 36 实务公告 20101:为内部审计部门制定计划 . 37 实务标准 20102:将审计计划与风险相联系 . 37 实务公告 20201:内部审计部门计划的报告和审批 . 38 实务公告 20301:资源管理
5、 . 39 实务公告 20302:美国证券监督委员会对外部审计师提供内部审计服务的独立性要求. 39 实务公告 20401:政策和程序 . 41 实务公告 2050l:协调. 42 实务公告 20502:采购外部审计师的服务 . 44 实务公告 20601:向董事会和高级管理层报告 . 46 实务公告 20602:与审计委员会的关系 . 46 实务公告 21001:工作性质 . 48CIA 中文站第 3 页SPPIA 中文版实务公告 21002:信息安全性 . 50实务公告 21003:内部审计在风险管理过程中的作用 . 50 实务公告 21004:内部审计 . 51 实务公告 21005:在
6、评价合规项目时的法律考虑 . 52 实务公告 21101:评估风险管理过程的充分性 . 55 实务公告 2120.A11:对控制过程的评价和报告 . 57 实务公告 2120.A12:应用控制自我评价 . 59 实务公告 2120.A13:内部审计在季度财务报告、披露和管理层证明方面的作用 . 61 实务公告 2120.A41:控制标准 . 64 实务公告 21301:内部审计部门 . 64 实务公告 22001:审计业务计划 . 66 实务公告 22101:审计目标 . 67 实务公告 2210.A11:审计业务计划过程中的风险评价 . 67 实务公告 22301:审计业务资源的分配 . 6
7、8 实务公告 22401:审计工作方案 . 69 实务公告 2240.A11:审计工作方案的审批 . 69 实务公告 23101:收集信息 . 70 实务公告 23201:分析与评价 . 70 实务公告 23301:记录信息 . 71 实务公告 2330.A11:对审计记录的控制 . 72 实务公告 2330.A12:对授权接触审计记录的法律考虑 . 73 实务公告 2330.A21:对记录的保留 . 75 实务公告 23401:对审计的监督 . 75 实务公告 24001:报告审计结果时的法律考虑 . 76 实务公告 24101:报告标准 . 77 实务公告 24201:审计报告的质量 .
8、79 实务公告 24211:错误与遗漏 . 80 实务公告 24401:发布审计结果 . 80 实务公告 24402:对外发布审计报告 . 81 实务公告 25001:对审计结果处理情况的监督 . 82 实务公告 2500.A11:后续审计过程 . 82 实务公告 26001:管理层对风险的接受 . 83 读者反馈. 84CIA 中文站第 4 页SPPIA 中文版属性标准1000宗旨、权力和职责 内部审计活动的宗旨、权力和职责应在章程中进行正式的界定,这样的界定应与标准保持一致,并须经董事会通过。1000.A1章程中应明确向机构和第三方提供的保证服务的性质。1000.C1章程中应对咨询服务的性
9、质加以定义。1100独立性与客观性 内部审计活动应该独立,内部审计师在开展工作时应做到客观。1110机构独立性 审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。1110.A1内部审计活动在确定内部审计范围、实施审计及报告审计结果时应不受干扰。1120个人的客观性 内部审计师应有公正的态度,避免利益冲突。1130对独立性或客观性的损害 无论独立性或客观性受损,都应将损害的具体情况向有关方面反映。反映的性质取决于损害的具体情况。1130.A1内部审计师应避免评价他们以前负责过的工作。审计师在上年度负责一项工 作之后,本年度又对该工作提供保证服务,则可以假定客观性受到了损害。1130.
10、A2对审计执行主管负责的工作提供保证服务时,应由独立于内部审计活动以外 的有关方面进行监督。1130.C1内部审计师可以提供与他们以前负责过的工作相关的咨询服务。1130.C2在内部审计师本人可能损害所要提供的咨询服务的独立性时,内部审计师在 接受这项工作之前,应向客户说明此情况。1200熟练性与应有的职业审慎性 内部审计师应以熟练性与应有的职业审慎性开展审计业务。1210熟练性 内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力。开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力。1210.A1当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技
11、巧或其 他能力时,审计执行主管应向他人寻求有力的建议或帮助。1210.A2内部审计师应具有发现舞弊线索所需的足够知识。但并不希望内部审计师具 备主要责任是发现和调查舞弊的人员的专门技能。1210.A3-内部审计师应该了解关键的信息技术风险和控制以及可用的审计技术使师审 计业务。但不是所有的内部审计师都具备信息技术审计的专长。1210.C1当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他 能力时,审计执行主管应婉言拒绝开展此项业务或向他人寻求有力的建议或帮助。1220应有的职业审慎性 内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技能。应有的职业审慎
12、性并不意味着永不出错。1220.A1内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:为实现审计目标而需要开展的审计工作的范围;所要保证事项的相对复杂性、重大性和重要性;CIA 中文站第 5 页SPPIA 中文版风险管理、控制与治理过程的充分性和有效性;严重错误、违规或不守法的概率;与潜在利益相对的审计成本。1220.A.2-在运用应有的职业谨慎时,内部审计师应该考虑使用计算机辅助审计工具和其 他数据分析技术。1220.A3内部审计师应警惕可能影响目标、运营或资源的重大风险。但是,即使是以应有 的职业审慎性开展工作,只依靠保证程序本身并不能保证发现所有的重大风险。1220.C1在开展
13、咨询业务时,内部审计师应考虑到以下几个因素,以应有的职业审慎性开 展工作:客户的需求与期望,包括咨询结果的性质、时间选择与报告。为实现咨询目标而需要开展的工作的相对复杂性与工作范围。与潜在利益相对的开展咨询业务的成本1230继续职业发展 内部审计师应通过继续职业发展来增长知识、提高技能及他方面的能力。1300质量保证与改进项目 审计执行主管应制定并坚持开展质量保证与改进项目,该项目应涵盖内部审计活动的方方面面并不断监督内部审计活动的效果。该项目包括定期的内部和外部质量评价和持续的内 部检查。 设计该项目要有助于内部审计活动增加价值、改善机构的经营状况、并确保内部审计活动遵 循标准与职业道德规范
14、。1310质量项目评价 内部审计部门应采取一种程序,监督、评价质量项目的整体效用。该过程应包括内部与外 部评价。1311内部评价 内部评价应包括:不断对内部审计活动的开展情况进行检查定期的检察可以通过自我评价进行,也可以由机构内部了解内部审计实务与标准 的人员进行。1312外部评价 诸如质量保证检查的外部评价应至少每五年开展一次,由合格的、机构外部的独立评价员或评价小组来进行。1320质量项目的报告 审计执行主管应把外部评价结果报告给董事会。1330使用“内部审计工作依据标准开展”的声明鼓励内部审计师以内部审计活动“依据内部审计实务标准开展”来报告他们的活动。但是,只有在质量改进项目的评价 结
15、果表明内部审计活动是遵循了标准的情况下,内部审计师才可使用此声明。1340披露违规行为 尽管内部审计活动的开展应完全与标准保持一致,内部审计师也应充分遵守职业道 德规范,但偶尔也会出现不能完全遵守的情况。当不合规的行为影响到全局或影响内部审 计活动的开展时,就应向高级管理层和董事会进行披露。CIA 中文站第 6 页SPPIA 中文版工作标准2000管理内部审计活动 审计执行主管应有效地管理内部审计活动,确保内部审计活动为机构增加价值。2010制定审计计划 审计执行主管应根据风险制定计划,来确定符合机构目标的、内部审计的工作重点。2010.A1内部审计活动的业务计划应至少一年进行一次,并在风险评
16、估的基础上制定。在 制定计划的过程中,应考虑到高级管理层和委员会的意见。2010.C1审计执行主管应根据以下标准考虑是否接受所提议开展的咨询工作,即该工作在 改善风险管理、增加价值、改善机构的运营方面的潜在作用。应在计划中罗列出已经接受的 咨询工作。2020报告与通过 审计执行主管应把内部审计活动的计划与资源要求(包括重要的、临时性变化)提交高级管 理层和委员会报告、审议通过。审计执行主管还应说明资源方面的限制可能带来的后果。2030资源管理 审计执行主管应确保内部审计资源的适当性、充分性及有效利用,以完成所通过的计划。2040政策与程序 审计执行主管应制定政策与程序,指导内部审计活动。205
17、0协调 审计执行主管应与提供相关保证与咨询服务的其他内外部人员分享信息、相互协调,以确 保工作的全面性,最大限度地减少重复工作。2060向董事会与高级管理层报告情况 审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。另外还应报告重要的风险揭示与控制问题、公司治理问题以及委员会和高 级管理层需要或要求知晓的其他事项。2100工作性质 内部审计采取系统的、规范的方法来评价并帮助改进机构的风险管理、控制和治理程序。2110风险管理 内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。2110.A1内部审计部门应监督、评价机构风险管理体
18、系的有效性。,2110.A2内部审计部门应评价机构的治理、运营及信息系统方面的风险因素:财务与运营信息的可靠性与完整性;运营的效果与效率;资产的护卫;法律、法规及合同的遵守情况。2110.C1在开展咨询业务时,内部审计师应根据业务目标解决风险方面的问题,还 应对其他的严重风险保持警惕。2110.C2内部审计师应结合开展咨询服务时了解到的风险情况,查找、评价机构的 重大风险因素。2120控制 内部审计活动应该评价控制的效率与效果、促进控制的不断改善,以此来帮助机构保持有 效的控制。2120.A1在风险评估结果的基础上,评价控制的充分性与有效性,范围包括机构的CIA 中文站第 7 页SPPIA 中
19、文版治理、运营及信息系统;此类评价应当包括:财务与运营资料的可靠性与完整性;运营的效果与效率;遵守法律、法规与合同的情况;资产的护卫情况。2120.A2内部审计师应检查运营与项目目标的确定程度、检查它们与机构目标的一 致程度。2120.A3内部审计师应对运营与项目进行评价,检查其结果与既定目标的一致程度、 判断这些运营和项目是否按计划得到执行或操作。2120.A4评价控制需要遵循适当的标准。内部审计师应检查管理层已制定的、用于 判断目标是否实现的标准的适当性。如果此标准适当,内部审计师应在评价中加以应用。如 果不适当,内部审计师应与管理层合作,制定适当的评价标准。2120.C1在开展咨询工作的
20、时候,内部审计师应该解决与此工作目标相一致的控制 事项,并且应警惕是否存在控制薄弱环节。2120.C2内部审计师应利用从咨询工作中了解到的控制情况,将其用于发现并评价 机构的重大风险。2130治理 内部审计活动应该评价并为改进机构的治理程序提出适当的建议2130.A1内部审计师应评价与道德相关的组织目标、计划和行动的设计、实施和效果2130.C1咨询业务的目标应与机构的整体价值和目标相一致。促进组织形成恰当的道德和文化;保证有效的组织绩效管理和相应责任向组织内适当的阶层有效地沟通风险和控制信息;有效地协调董事会、外部审计师、内部审计师和管理层之间的信息交流。2200-审计业务计划内部审计师在开
21、展每项审计业务时都应制定并记录审计计划,包括范围、目标、时间和资源 分配。2201计划制定过程中应考虑的因素 在制定审计业务计划时,内部审计师应考虑到:被评估活动的目标及对活动的实施进行控制的方式。被评估活动存在的风险、目标、资源与运营以及将风险的潜在影响控制在可接受 水平的方式。与相关的控制框架或模式相比较,该活动的风险管理与控制系统的充分性与有效 性。对该活动的风险管理与控制系统进行重大改进的机会。2201.A1-内部审计师应与组织外部机构达成书面协议,内容包括业务目标、范围、 各自的责任以及对其的期望,包括业务结果发送和获取业务纪录的限制。2201.C1内部审计师应与咨询业务的客户达成协
22、议,内容包括业务目标、范围、 各自的责任及其他客户的期望。对于重要的咨询业务,此类协议应制作成书面文件。2210-审计业务目标 每个审计业务都要建立目标。2210.A1内部审计师应该对被检查活动相关风险进行初步评估。审计业务工作的 目标应该反映风险评估的结果。CIA 中文站第 8 页SPPIA 中文版2210.A2在制定审计业务计划时,内部审计师应考虑到存在严重错误、不合规、违规及其他风险的可能性。2210.C1咨询业务的目标是解决风险、控制与治理过程的有关事项,实现程度是 以与客户达成的协定为准。2220审计业务范围 划分的审计业务范围应足以实现审计业务目标。2220.A1确定审计业务范围时
23、应考虑到相关的系统、记录、人力及包括受第三方 控制的实物财产。2220.A2如果在保证业务过程中产生了重大的咨询业务,应该对要达到的目标、 范围中各自责任和其他期望以及按照标准报告的咨询业无结果形成书面文件。2220.C1在开展咨询业务时,内部审计师应确保业务范围的充分性,以实现协定 的目标。如果内部审计师在开展工作时对业务范围有保留,应与客户就这些保留进行讨论, 决定是否继续进行审计工作。2230审计业务资源的分配 内部审计师应确定适当的资源,以实现审计业务目标。人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可获得的资源的评价。2240审计业务工作方案 内部审计师应制定实现审计业
24、务目标的工作方案。应对这些工作方案予以记录。2240.Al工作方案中应规定在审计过程中查找、分析、评价和记录信息的程序。 工作方案应在工作开始之前得到批准,方案的任何调整都应立即得到批准。2240.C1咨询业务的工作方案的形式与内容取决于咨询业务的性质。2300开展审计业务 内部审计师应收集、分析、评价并记录足够的信息,实现审计业务目标。2310查找信息 内部审计师应收集到充分、可靠、相关、有用的信息,实现审计业务目标。2320分析与评价 内部审计师应在适当的分析和评价的基础上得出审计结论和审计结果。2330记录信息 内部审计师应记录相关的信息,支持审计结论和审计结果。2330.A1审计执行主
25、管应对审计业务记录的使用加以管理。审计执行主管在把这 些记录适当向外界公布之前,应征得高级管理层或和法律顾问的同意。2330.A2审计执行主管应制定审计记录的存档规定。这些存档规定应与机构的方 针和有关规定或其他规定相一致。2330.C1审计执行主管应制定政策,规定业务记录的保管以及对内对外公布这些 记录的要求。这些政策应与机构的方针和有关规定或其他规定相一致。2340审计业务的监督 应对审计业务进行适当的监督,以确保实现目标、保证质量、提高职员素质。2400报告审计结果 内部审计师应及时报告审计结果。2410报告的标准 报告内容包括审计的目标、审计范围及适用的审计结论、建议和行动计划。241
26、0.A1在适当情况下,、审计结果的最后报告中应包含内部审计师的总体意见或结论。2410.A2审计报告中应对令人满意的业绩予以承认。CIA 中文站第 9 页SPPIA 中文版2410.A3在向组织外部发布业务结果时,报告中应包括发送限制和业务结果的使用限制。2410.C1咨询业务进展情况和结果报告的形式与内容可根据业务性质及客户需求 的不同而变化。2420-报告的质量 报告时要做到精确、客观、清晰、简洁、完整、及时、富有建设性。2421错误与遗漏 如果最后报告中有重大错误和遗漏,审计执行主管应把更正后的信息传达给所有接到最初报告的人员。2430对违反标准的审计披露 当违反标准的行为影响具体审计活
27、动时,审计结果的报告中就应披露:没有得到完全遵守的标准条文;未遵守的原因;未遵守标准对审计活动造成的影响。2440发布审计结果 审计执行主管应将审计结果发布给适当的对象。2440.A1审计执行主管负责将最终审计结果报告给那些能保证对审计结果进行应 有考虑的人员。2440.A2 除了法律、法规、规章等法定要求,在向组织外发布业务结果前,审计 执行主管应:评估对组织的潜在风险在适当适于高级管理层和/或法律顾问咨询通过限制结果的适用来控制发布。2440.C1审计执行主管负责向客户发布咨询业务的最终结果。2440.C2在开展咨询业务时,可能会发现风险管理控制及治理方面的问题。只要 这些问题对机构是至关重要的,就应将其报告给高级管理层和委员会。2500监测进程 审计执行主管应设立并维持一个体系,对报告给管理层的审计结果的处理情况进行监测。2500.A1审计执行主管应规定后续审计过程,以监督、保证管理行为能够得
