(红皮书)标准nokey

《(红皮书)标准nokey》由会员分享，可在线阅读，更多相关《(红皮书)标准nokey（103页珍藏版）》请在装配图网上搜索。

1、Standards for the Professional Practice ofInternal Auditing (SPPIA)内部审计实务标准标准创立：Standard Board of The Institute of Internal Auditors翻译编辑：CIA 中文站，西雅图版权所有： 2004 IIA, CIA 中文站第 103 页 共 103 页内部审计实务标准(SPPIA)作为内部审计师协会(IIA)创立的审计标准之一，获得全球业界的广泛认可。本书为该标准的中文译本，对于注册内部审计师(CIA)考试和业内人士从事 审计执业具有重要的参考价值。创立：内部审计师协会(II

2、A)译者：CIA 中文站 ()打印：西雅图，美国属性标准1000宗旨、权力和职责 内部审计活动的宗旨、权力和职责应在章程中进行正式的界定，这样的界定应与标准保持一致，并须经董事会通过。1000.A1章程中应明确向机构和第三方提供的保证服务的性质。1000.C1章程中应对咨询服务的性质加以定义。1100独立性与客观性 内部审计活动应该独立，内部审计师在开展工作时应做到客观。1110机构独立性 审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。1110.A1内部审计活动在确定内部审计范围、实施审计及报告审计结果时应不受干扰。1120个人的客观性 内部审计师应有公正的态度，避免利益冲突。

3、1130对独立性或客观性的损害 无论独立性或客观性受损，都应将损害的具体情况向有关方面反映。反映的性质取决于损害的具体情况。1130.A1内部审计师应避免评价他们以前负责过的工作。审计师在上年度负责一项工 作之后，本年度又对该工作提供保证服务，则可以假定客观性受到了损害。1130.A2对审计执行主管负责的工作提供保证服务时，应由独立于内部审计活动以外 的有关方面进行监督。1130.C1内部审计师可以提供与他们以前负责过的工作相关的咨询服务。1130.C2在内部审计师本人可能损害所要提供的咨询服务的独立性时，内部审计师在 接受这项工作之前，应向客户说明此情况。1200熟练性与应有的职业审慎性 内

4、部审计师应以熟练性与应有的职业审慎性开展审计业务。1210熟练性 内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力。开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力。1210.A1当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技巧或其 他能力时，审计执行主管应向他人寻求有力的建议或帮助。1210.A2内部审计师应具有发现舞弊线索所需的足够知识。但并不希望内部审计师具 备主要责任是发现和调查舞弊的人员的专门技能。1210.A3-内部审计师应该了解关键的信息技术风险和控制以及可用的审计技术使师审 计业务。但不是所有的内部审计师都具备信息技术审计

5、的专长。1210.C1当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他 能力时，审计执行主管应婉言拒绝开展此项业务或向他人寻求有力的建议或帮助。1220应有的职业审慎性 内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技能。应有的职业审慎性并不意味着永不出错。1220.A1内部审计师应考虑到以下几个因素，以应有的职业审慎性开展工作：为实现审计目标而需要开展的审计工作的范围；所要保证事项的相对复杂性、重大性和重要性；风险管理、控制与治理过程的充分性和有效性；严重错误、违规或不守法的概率；与潜在利益相对的审计成本。1220.A.2-在运用应有的职业谨慎时

6、，内部审计师应该考虑使用计算机辅助审计工具和其 他数据分析技术。1220.A3内部审计师应警惕可能影响目标、运营或资源的重大风险。但是，即使是以应有 的职业审慎性开展工作，只依靠保证程序本身并不能保证发现所有的重大风险。1220.C1在开展咨询业务时，内部审计师应考虑到以下几个因素，以应有的职业审慎性开 展工作：客户的需求与期望，包括咨询结果的性质、时间选择与报告。为实现咨询目标而需要开展的工作的相对复杂性与工作范围。与潜在利益相对的开展咨询业务的成本1230继续职业发展 内部审计师应通过继续职业发展来增长知识、提高技能及他方面的能力。1300质量保证与改进项目 审计执行主管应制定并坚持开展质

7、量保证与改进项目，该项目应涵盖内部审计活动的方方面面并不断监督内部审计活动的效果。该项目包括定期的内部和外部质量评价和持续的内 部检查。 设计该项目要有助于内部审计活动增加价值、改善机构的经营状况、并确保内部审计活动遵 循标准与职业道德规范。1310质量项目评价 内部审计部门应采取一种程序，监督、评价质量项目的整体效用。该过程应包括内部与外 部评价。1311内部评价 内部评价应包括：不断对内部审计活动的开展情况进行检查定期的检察可以通过自我评价进行，也可以由机构内部了解内部审计实务与标准 的人员进行。1312外部评价 诸如质量保证检查的外部评价应至少每五年开展一次，由合格的、机构外部的独立评价

8、员或评价小组来进行。1320质量项目的报告 审计执行主管应把外部评价结果报告给董事会。1330使用“内部审计工作依据标准开展”的声明鼓励内部审计师以内部审计活动“依据内部审计实务标准开展”来报告他们的活动。但是，只有在质量改进项目的评价 结果表明内部审计活动是遵循了标准的情况下，内部审计师才可使用此声明。1340披露违规行为 尽管内部审计活动的开展应完全与标准保持一致，内部审计师也应充分遵守职业道 德规范，但偶尔也会出现不能完全遵守的情况。当不合规的行为影响到全局或影响内部审 计活动的开展时，就应向高级管理层和董事会进行披露。工作标准2000管理内部审计活动 审计执行主管应有效地管理内部审计活

9、动，确保内部审计活动为机构增加价值。2010制定审计计划 审计执行主管应根据风险制定计划，来确定符合机构目标的、内部审计的工作重点。2010.A1内部审计活动的业务计划应至少一年进行一次，并在风险评估的基础上制定。在 制定计划的过程中，应考虑到高级管理层和委员会的意见。2010.C1审计执行主管应根据以下标准考虑是否接受所提议开展的咨询工作，即该工作在 改善风险管理、增加价值、改善机构的运营方面的潜在作用。应在计划中罗列出已经接受的 咨询工作。2020报告与通过 审计执行主管应把内部审计活动的计划与资源要求(包括重要的、临时性变化)提交高级管 理层和委员会报告、审议通过。审计执行主管还应说明资

10、源方面的限制可能带来的后果。2030资源管理 审计执行主管应确保内部审计资源的适当性、充分性及有效利用，以完成所通过的计划。2040政策与程序 审计执行主管应制定政策与程序，指导内部审计活动。2050协调 审计执行主管应与提供相关保证与咨询服务的其他内外部人员分享信息、相互协调，以确 保工作的全面性，最大限度地减少重复工作。2060向董事会与高级管理层报告情况 审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。另外还应报告重要的风险揭示与控制问题、公司治理问题以及委员会和高 级管理层需要或要求知晓的其他事项。2100工作性质 内部审计采取系统的、规范的

11、方法来评价并帮助改进机构的风险管理、控制和治理程序。2110风险管理 内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。2110.A1内部审计部门应监督、评价机构风险管理体系的有效性。，2110.A2内部审计部门应评价机构的治理、运营及信息系统方面的风险因素：财务与运营信息的可靠性与完整性；运营的效果与效率；资产的护卫；法律、法规及合同的遵守情况。2110.C1在开展咨询业务时，内部审计师应根据业务目标解决风险方面的问题，还 应对其他的严重风险保持警惕。2110.C2内部审计师应结合开展咨询服务时了解到的风险情况，查找、评价机构的 重大风险因素。2120控制 内部审计

12、活动应该评价控制的效率与效果、促进控制的不断改善，以此来帮助机构保持有 效的控制。2120.A1在风险评估结果的基础上，评价控制的充分性与有效性，范围包括机构的治理、运营及信息系统；此类评价应当包括：财务与运营资料的可靠性与完整性；运营的效果与效率；遵守法律、法规与合同的情况；资产的护卫情况。2120.A2内部审计师应检查运营与项目目标的确定程度、检查它们与机构目标的一 致程度。2120.A3内部审计师应对运营与项目进行评价，检查其结果与既定目标的一致程度、 判断这些运营和项目是否按计划得到执行或操作。2120.A4评价控制需要遵循适当的标准。内部审计师应检查管理层已制定的、用于 判断目标是否

13、实现的标准的适当性。如果此标准适当，内部审计师应在评价中加以应用。如 果不适当，内部审计师应与管理层合作，制定适当的评价标准。2120.C1在开展咨询工作的时候，内部审计师应该解决与此工作目标相一致的控制 事项，并且应警惕是否存在控制薄弱环节。2120.C2内部审计师应利用从咨询工作中了解到的控制情况，将其用于发现并评价 机构的重大风险。2130治理 内部审计活动应该评价并为改进机构的治理程序提出适当的建议2130.A1内部审计师应评价与道德相关的组织目标、计划和行动的设计、实施和效果2130.C1咨询业务的目标应与机构的整体价值和目标相一致。促进组织形成恰当的道德和文化；保证有效的组织绩效管

14、理和相应责任向组织内适当的阶层有效地沟通风险和控制信息；有效地协调董事会、外部审计师、内部审计师和管理层之间的信息交流。2200-审计业务计划内部审计师在开展每项审计业务时都应制定并记录审计计划，包括范围、目标、时间和资源分配。2201计划制定过程中应考虑的因素 在制定审计业务计划时，内部审计师应考虑到：被评估活动的目标及对活动的实施进行控制的方式。被评估活动存在的风险、目标、资源与运营以及将风险的潜在影响控制在可接受 水平的方式。与相关的控制框架或模式相比较，该活动的风险管理与控制系统的充分性与有效 性。对该活动的风险管理与控制系统进行重大改进的机会。2201.A1-内部审计师应与组织外部机

15、构达成书面协议，内容包括业务目标、范围、 各自的责任以及对其的期望，包括业务结果发送和获取业务纪录的限制。2201.C1内部审计师应与咨询业务的客户达成协议，内容包括业务目标、范围、 各自的责任及其他客户的期望。对于重要的咨询业务，此类协议应制作成书面文件。2210-审计业务目标 每个审计业务都要建立目标。2210.A1内部审计师应该对被检查活动相关风险进行初步评估。审计业务工作的 目标应该反映风险评估的结果。2210.A2在制定审计业务计划时，内部审计师应考虑到存在严重错误、不合规、违规及其他风险的可能性。2210.C1咨询业务的目标是解决风险、控制与治理过程的有关事项，实现程度是 以与客户

16、达成的协定为准。2220审计业务范围 划分的审计业务范围应足以实现审计业务目标。2220.A1确定审计业务范围时应考虑到相关的系统、记录、人力及包括受第三方 控制的实物财产。2220.A2如果在保证业务过程中产生了重大的咨询业务，应该对要达到的目标、 范围中各自责任和其他期望以及按照标准报告的咨询业无结果形成书面文件。2220.C1在开展咨询业务时，内部审计师应确保业务范围的充分性，以实现协定 的目标。如果内部审计师在开展工作时对业务范围有保留，应与客户就这些保留进行讨论， 决定是否继续进行审计工作。2230审计业务资源的分配 内部审计师应确定适当的资源，以实现审计业务目标。人员的配置应依据对

17、每项审计工作的性质和复杂性、时间限制以及可获得的资源的评价。2240审计业务工作方案 内部审计师应制定实现审计业务目标的工作方案。应对这些工作方案予以记录。2240.Al工作方案中应规定在审计过程中查找、分析、评价和记录信息的程序。 工作方案应在工作开始之前得到批准，方案的任何调整都应立即得到批准。2240.C1咨询业务的工作方案的形式与内容取决于咨询业务的性质。2300开展审计业务 内部审计师应收集、分析、评价并记录足够的信息，实现审计业务目标。2310查找信息 内部审计师应收集到充分、可靠、相关、有用的信息，实现审计业务目标。2320分析与评价 内部审计师应在适当的分析和评价的基础上得出审

18、计结论和审计结果。2330记录信息 内部审计师应记录相关的信息，支持审计结论和审计结果。2330.A1审计执行主管应对审计业务记录的使用加以管理。审计执行主管在把这 些记录适当向外界公布之前，应征得高级管理层或和法律顾问的同意。2330.A2审计执行主管应制定审计记录的存档规定。这些存档规定应与机构的方 针和有关规定或其他规定相一致。2330.C1审计执行主管应制定政策，规定业务记录的保管以及对内对外公布这些 记录的要求。这些政策应与机构的方针和有关规定或其他规定相一致。2340审计业务的监督 应对审计业务进行适当的监督，以确保实现目标、保证质量、提高职员素质。2400报告审计结果 内部审计师

19、应及时报告审计结果。2410报告的标准 报告内容包括审计的目标、审计范围及适用的审计结论、建议和行动计划。2410.A1在适当情况下，、审计结果的最后报告中应包含内部审计师的总体意见或结论。2410.A2审计报告中应对令人满意的业绩予以承认。2410.A3在向组织外部发布业务结果时，报告中应包括发送限制和业务结果的使用限制。2410.C1咨询业务进展情况和结果报告的形式与内容可根据业务性质及客户需求 的不同而变化。2420-报告的质量 报告时要做到精确、客观、清晰、简洁、完整、及时、富有建设性。2421错误与遗漏 如果最后报告中有重大错误和遗漏，审计执行主管应把更正后的信息传达给所有接到最初报

20、告的人员。2430对违反标准的审计披露 当违反标准的行为影响具体审计活动时，审计结果的报告中就应披露：没有得到完全遵守的标准条文；未遵守的原因；未遵守标准对审计活动造成的影响。2440发布审计结果 审计执行主管应将审计结果发布给适当的对象。2440.A1审计执行主管负责将最终审计结果报告给那些能保证对审计结果进行应 有考虑的人员。2440.A2 除了法律、法规、规章等法定要求，在向组织外发布业务结果前，审计 执行主管应：评估对组织的潜在风险在适当适于高级管理层和/或法律顾问咨询通过限制结果的适用来控制发布。2440.C1审计执行主管负责向客户发布咨询业务的最终结果。2440.C2在开展咨询业务

21、时，可能会发现风险管理控制及治理方面的问题。只要 这些问题对机构是至关重要的，就应将其报告给高级管理层和委员会。2500监测进程 审计执行主管应设立并维持一个体系，对报告给管理层的审计结果的处理情况进行监测。2500.A1审计执行主管应规定后续审计过程，以监督、保证管理行为能够得到有效落实，或高级管理层已接受了不采取行动所带来的风险。2500.C1内部审计活动应当监督咨询业务结果的处理情况。2600管理层对风险的接受 在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下，审计执行主管应就此与高级管理层进行讨论。如果无法决定剩余风险问题，审计执行主 管与高级管理层应将此事

22、报告董事会加以解决。术语表增加价值通过保证和咨询服务来增强组织目标达成的机会，识别运营过程的改善方面， 降低风险水平。充分的控制如果管理层作出的计划、进行的机构(设计)能够合理保证机构的风险得到了 有效管理，目标和任务得到经济有效的完成，那么就可以说存在充分的控制。保证服务 一种为了对机构的风险管理、控制或治理过程进行独立评价而客观地审查证 据的行为。例如，对财务、绩效、合规性、系统安全和应尽责任的审查等。董事会是指董事会、董事会下属的审计委员会、内部审计人员向其报告的机构或法规部 门的领导、非盈利机构的理事会或受托人董事会、机构内部其他指定治理机构。章程内部审计部门的章程是用以确定审计部门的

23、宗旨、权限和职责的正式书面文件。该 章程应该：(1)规定内部审计部门在该机构中的地位；(2)授权可以接触与执行审计工作有关 的资料、人员和实物资产；(3)确定内部审计活动的范围。审计执行主管是指机构内负责内部审计活动的最高职位。在传统的内部审计活动中就 是指内部审计主任。在内部审计活动由外部服务提供者开展的情况下，审计执行主管就指负 责监督审计活动的服务合同及活动的整体质量保证、向高级管理层和董事会报告有关内部审 计活动的情况、对审计结果进行后续跟踪的人员。该词还包括一些头衔，如总审计师、首席 内审师和总检查官等。职业道德规范内部审计师协会(IIA) 职业道德规范是关于内部审计职业和实践的原则

24、， 行为规范表明期望的内部审计师的行为。合规性与政策、计划、程序、法律、规章、合同及其其他要求的符合性和一致性。利益冲突指任何表面上或事实上都不符合机构的最大利益的各种关系。利益冲突会妨害 个人客观地履行其职责。咨询服务提供建议以及相关的客户服务活动，这种服务的性质与范围通过与客户协商确 定，它的目的是增加价值并提高机构的治理、风险管理和控制程序。该活动是管理层的责任。 这样的服务包括顾问服务、建议、协调、培训等。控制是指管理层、委员会及其他各方进行的、旨在加犟风险管理、增大实现既定目标的 可能性的行为。管理层计划、组织并指导诸多方案的实施，以合理地保证目标得以实现。控制环境机构内董事会和管理

25、层对控制的重要性所持的态度及所采取的行动。控制环境 为实现内部控制系统的基本目标提供了规范和框架。控制环境包括以下要素：(1)诚实性和道德价值观；(2)经营管理理念和经营风格；(3)机构结构；(4)权力的分配和责任的划分；(5)人力资源政策和惯例；(6)人员的能力。控制过程即控制框架的组成成分，包括政策、程序及控制活动，控制过程的设计旨在保 证把风险控制在风险管理过程规定的风险容忍度之内。审计业务指一项特定的内部审计工作、任务或评审活动，例如，内部审计、控制自我评 价复核、舞弊检查或咨询。为实现一套特定的相关目标，审计业务可以包括多个任务或活动。审计业务目标指由内部审计师通过概括性声明确定的、

26、希望实现的审计业务成果。审计业务工作方案指一份说明开展审计业务时所应遵循的步骤的文件。设计审计业务工 作方案的目的是完成审计业务计划。外部服务提供者独立于内审部门所在机构且在某一特定学科领域内有专门的知识、技术 与经验的个人或公司。舞弊所有具有欺骗、隐瞒或破坏信任特征的非法行为。这些行为不依靠暴力或武力威胁。 个人和机构为获取金钱、财产或服务，避免付费或失去服务，或获取个人或商业优势都会犯 下舞弊罪。治理为告知、值规、管理和监督组织完成目标的活动而由董事会实施的程序和组织结构 的组合。损害对个人的客观性和机构的独立性造成的损害。此类损害包括个人的利益冲突 i 审计 范围的限制，对资料的接触、人

27、员和财产的制约及资源(资金划拨)的限制。内部审计部门为了增加价值并改善机构的运营而提供独立、客观的保证与咨询服务的部 门、处或小组的顾问或其他从业人员。内部审计部门通过系统化、规范化的方法，对风险管 理、控制与治理程序进行评价，进而提高它们的效果。客观性是一种公正的、不偏不倚的态度；它要求内部审计师在执行审计工作时，对他们 的工作成果抱有诚实的信条，不会与任何方面达成重大的质量妥协。客观性要求内部审计师 不能把对其他事务的判断凌驾于对审计事务的判断之上。风险是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与 可能性。内部审计师职业道德规范原则内部审计师应使用和信守以下原则

28、： 正直内部审计师的正直建立起信用，从而为其判断的可靠度提供基础。 客观在收集、评价和沟通有关被检查的活动或过程的信息中，内部审计师展示其最大限度的 职业客观性。在其作出判断的过程中，不受其个人喜好或他人的不适当影响，内部审计师对 所有相关环境做出公正的评价。保密:内部审计师尊重其收到的信息的价值和所有权，除非是在合法或有职责的情况下，否则没有 适当授权不披露信息。能力 内部审计师在工作中应使用在内部审计业务中所需要的知识、技能和经验。行为规则1正直 内部审计师：11应当诚实、勤奋并负责地完成工作。12应当按照法律及其职业要求，遵守法律和做出披露。13不得故意参与非法活动，或参加有损于内部审计

29、职业或其机构的行为。14应当遵守并贡献于机构的合法道德目标。2客观 内部审计师：21不应参与可能妨碍或被认为妨碍其公正评价的一些活动或关系。这种参与包括那 些与机构的目标相冲突的活动与和关系。22不接受可能妨碍或被认为妨碍其职业判断的任何东西。23应当揭示其知道的所有重要事实，如果不予揭示，可能歪曲对所复核活动的报告。3保密 内部审计师：31应当谨慎利用和保护在其职责中获取的信息。32不应当为个人目的，或者以任何有悖于法律或有害于机构的合法道德目标而利用信息。4合格 内部审计师：4.1应当只从事他们具备必要的知识、技能和经验的服务42应当根据完成内部审计。43应当持续地提高其服务的熟练程度、效

30、率和质量。实务文本实务公告 10001：内部审计章程解释内部审计专业实务标准中的第 1000 条标准 相关标准：第 1000 条标准宗旨、权力和职责内部审计活动的宗旨、权力和职责应在章程中进行正式的界定，这样的界定应与标准 保持一致，并须经董事会批准。本实务公告性质在采纳内部审计活动的章程时，内部审计师应考虑以下建议。本实务指导无意囊括开展 审计业务可能需要考虑的所有方面，仅推荐一系列应该考虑的事项。是否遵守实务公告由审 计师自行选择决定。1内部审计部门的宗旨、权力和职责应在章程中进行确定。审计执行主管应征得高级 管理层对章程的批准以及董事会、审计委员会和相关的治理机构对章程的认可。章程应该(

31、1) 确定内部审计活动在机构中的地位；(2)授权审计人员接触与开展审计工作相关的记录、人 员和实物财产；(3)规定内部审计活动的范围。2内部审计活动的章程应该以书面形式存在。书面声明使审计师得以将章程正式提交 管理层审批，并交董事会认可。它还有助于定期评估内部审计活动的宗旨、权力和职责的充 分性。在机构的内部审计工作的管理中，提供一份包括内部审计活动章程的正式书面文件是 很关键的。应该确定并宣传这些宗旨、权力和职责，以确立内部审计部门的作用并为管理层 和董事会提供评价内部审计工作开展情况的依据。如果出现问题，章程也能提供与管理层和 董事会达成的关于内部审计活动在机构中作用和职责的正式书面协议。

32、3审计执行主管应该定期评价章程中所规定的宗旨、权力和职责，评价其是否还足以 使内部审计活动实现其目标。这种定期评价的结果必须通报给高级管理层和董事会。实务公告 1000.C11：内部审计师开展咨询活动的原则解释内部审计专业实务标准中的第 1000.C1 条标准相关标准：第 1000.C1 条标准(咨询实施标准草案于 2001 年 5 月 1 日公布实施，8 月 31 日 修改完毕)目前是：章程中应对向本机构和第三方的咨询服务的性质加以定义。 此实务公告性质内部审计的定义是“内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加 价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管

33、理、控制及治理程序 进行评估和改善，从而帮助机构实现它的目标。”这就提醒内部审计师属性标准与工作标准 对开展保证与咨询审计业务的内部审计师都适用。本公告的重点是所有的咨询审计业务中要考虑到的一般情况。咨询审计业务包括书面协 议规定的正式的咨询业务，还包括诸如参与常务或临时性的管理委员会或项目小组等咨询活 动。要求内部审计师运用专业判断，确定在不同情况下本公告中的指导的适用范围。一些特 别的咨询审计业务，例如参与到收购或兼并交易中时，或在一些紧急性的审计业务中，例如 灾害恢复活动，就要求不能按常规的或规定的程序来开展咨询审计业务。在开展咨询审计业务时，内部审计师应考虑到以下指导性原则。本实务指导

34、无意囊括开展审计业务可能需要考虑的所有方面，仅推荐一系列应该考虑的事项。内部审计师应格外注意，确定管理层与委员会是否了解和同意开展咨询服务必须的理念、操作方针以及报告过程。 是否遵守实务公告由审计师自行选择决定。1内部审计活动的价值主张内部审计部门的价值主张在所有以适应该机构文化与 资源的方式雇佣内部审计师的机构内都会得到实现。价值主张在内部审计定义中有所体现， 它包括保证与咨询活动，目的是在治理、风险与控制领域内采取系统化、规范化的方法为机 构增加价值。2与内部审计定义保持一致每种内部审计部门都应采取系统化、规范化的评估方 法。这些服务总体上可分为两类：保证服务与咨询服务。但是，这些服务还可

35、以包括与内部 审计的广义定义相一致的、新兴的增值型服务。3保证与咨询服务之外的审计活动内部审计提供的服务不止一种。保证与咨询服 务并不是相互排斥的，也不排除其他一些审计服务，(比如，调查以及非审计性质的工作)多 数的审计服务既包含保证活动，也包含咨询活动。4保证与咨询之间的相互关系内部审计的咨询服务丰富了增值型的内部审计的内 容。咨询服务通常是由保证服务直接产生的，但同时应认识到，咨询审计业务也可能衍生出 保证服务。5通过内部审计章程赋予内部审计部门开展咨询服务的权力在传统意义上，内部 审计师开展的内部审计服务有以下多种形式：对体系建立过程中的控制的分析、对安全产品 的分析、与工作小组一起分析

36、运营情况并提出建议等。委员会(或审计委员会)应授权内部审 计部门开展其他一些服务，只要这些服务不引起利益冲突，也不影响内部审计部门对审计委 员会的责任。这样的授权应在内部审计章程中反映出来。6客观性审计师通过开展咨询服务，可能会对与保证性审计业务有关的工作程序 或问题有更深入的了解，咨询服务也不一定损害审计师或内部审计部门的客观性。内部审计 不起管理决策作用。是否采纳或实施内部审计咨询服务所提出的建议由管理层决定。因此， 管理层的决策不应损害内部审计的客观性。7内部审计提供咨询服务的基础许多咨询服务都是保证服务与调查服务的自然延 伸，它们可以是正式或非正式的建议、分析或评估。由于以下原因，内部

37、审计活动开展此种 咨询服务享有独特优势，即：(1)内部审计部门遵守最高客观性标准；(2)它对机构的程序、 风险及战略有全面的了解。8基本信息的传达内部审计的首要存在价值是给高级管理层和审计委员会提供保 证服务。如果隐瞒审计执行主管(CAE)认为应向高级行政官及董事会董事进行传达的信息， 就无法开展咨询工作。应该根据这种条件来理解所有咨询工作。9机构所理解的咨询工作的原则对于咨询服务工作的开展，机构必须制定一些被 机构内全体成员所了解的基本规定，这些规定应该在审计委员会通过的章程中体现出来，并 在机构内进行公布。10正式的咨询业务管理层经常聘请外部顾问，开展正式的、时间跨度很长的咨询 工作。但是

38、，机构会发现，内部审计部门拥有完成某些正式的咨询任务的独特优势。11审计执行主管的职责咨询服务使审计执行主管得以与管理层交换意见，解决一 些具体的管理问题。在此意见交换中，审计项目的广度及时间范围根据管理层的需要而灵活 安排。但是，审计执行主管保留确定审计技术的特权，并且在审计结果的性质和重大性程度 足以给机构带来重大风险时，审计执行主管保留向高级管理层和审计委员会成员报告的权 利。12解决冲突或新问题的标准内部审计师的首要责任是当好内部审计师。因此，在 开展各项服务的过程中，内部审计师遵循 IIA 的职业道德规范及内部审计实务标准中的属性标准与工作标准。所有不可预见的冲突或活动都应按照职业道

39、德规范及标准来解决。实务公告 1000.C12：内部审计师开展正式咨询业务的其他考虑解释内部审计专业实务标准的第 1000.C1 条标准(和其他相关咨询实施标准)相关标准：第 1000.C1 条标准 咨询服务的性质应该在审计章程中得到规定。关于本实务公告的特别注释和相关标准本实务公告包括与多条咨询标准相关的指导。除了第 1000.C1 条标准，指导内容还涉及 以下标准：第 1130.C1 和 C2 条标准、第 1210.C1 条标准、第 1220.C1 条标准、第 2010.C1 条标准、第 2110.C1 和 C2 条标准、第 2120.C1 和 C2 条标准、第 2130.Cl 条标准、第

40、 2201.C1 条标准、第 2210.C1 条标准、第 2220.Cl 条标准、第 2240.C1 条标准、第 2330.C1 条标准、第 2410.C1 条标准、第 2440.C1 和 C2 条标准和第 2500.C1 条标准。本实务公告性质在内容上，本实务公告与实务公告 1000.C1l 类似。实务公告 l000.C11 讨论的是指 导内部审计师开展咨询服务的原则。上述两条实务公告都有助于内部审计师开展咨询服务。 内部审计的定义指出：“内部审计是一种独立客观的保证和咨询活动，目的是为机构增值并 改善机构的运作。它通过采用系统化、规范化的方法对风险管理、控制及治理程序进行评价 并改善它们的

41、效果，从而帮助机构实现其目标”。要提醒内部审计师的是与内部审计有关的 属性标准和工作标准对开展保证和咨询服务的审计师都适用。本实务公告的重点是在开展正式咨询服务时需要考虑的一般因素。咨询的范围很广，可 以是书面协议规定的正式咨询业务，也可以是参加常务或临时管理委员会或项目小组等咨询 活动。在实际工作中，我们希望内部审计师能够应用自己的专业判断能力，决定本实务公告 内容的适用程度。在一些特殊的咨询业务中(如：参加兼并或收购项目，或检查灾难恢复活 动等紧急工作)，可能需要内部审计师在提供咨询时偏离正规的或既定的程序。内部审计师在开展正式咨询服务时应该考虑以下建议。本实务指导无意囊括开展这种服 务可

42、能需要考虑的所有方面。在确定管理层和董事会理解并同意开展正式咨询服务所要求的 概念、运作指南和报告过程时，内部审计师需要持特别谨慎的态度。是否遵守实务公告由审 计师自行选择决定。对咨询服务的定义1标准中的词汇表如此定义咨询服务：“咨询服务是建议性的相关客户服务活动， 其性质和范围已与客户达成一致意见，目的是为机构增值并改善机构的运营。咨询服务的范 例包括顾问、建议、协调、过程设计和培训等。”2审计执行主管应该确定用以对机构内部业务分类的方法。在有些情形下，可能比较 适合开展将咨询和保证服务综合成一体的“合并”业务。在其他情形下，可能将保证和咨询 业务加以区分更为合适。3内部审计师可能应管理层的

43、要求、将咨询服务作为其正常或日常业务的一部分来开 展。每个机构都应该考虑将要提供的咨询业务的类别，并确定是否应该为每种业务开发专门 的政策或程序。可能建立的类别包括：正式的咨询服务：属于计划内的工作并有书面协议规定。非正式的咨询服务：日常性活动，如：参加常务委员会、周期有限的项目、专门会议、 日常的信息交流等。特别咨询服务：参加兼并或收购小组或系统转化小组。紧急咨询服务：参加为灾难过后恢复灾难或维护运营或其他非常业务而建立的小组、 或参加为满足特别要求或非常期限提供临时帮助而建立的小组。4如果对服务内容开展保证性工作更为合适，而且提出请审计师进行咨询的目的是逃 避或使他人逃避保证性业务的有关要

44、求，审计师一般不应该同意开展咨询服务。但这并不排 除在更适合开展咨询服务的情形下，调整有关方法，对曾经作为保证性业务领域的内容提供 咨询服务。内部审计师在咨询业务中的独立性和客观性(第 1130.C1 条标准)5内部审计师有时被要求为他们曾经负责的或提供过保证性服务的运营领域提供咨询 服务。在提出开展咨询服务之前，审计执行主管应该核实董事会已经理解并批准提供咨询服 务的概念。一旦获得批准，就应该修改内部审计章程，以便在章程中包括开展咨询服务的权 力和责任。此外，内部审计部门应该为开展咨询服务制定相关的政策和程序。6内部审计师应该在得出结论并向管理层提出建议时雏护其独立性。如果在内部审计 师咨询

45、服务开始之前就存在损害独立、性或客观性的情况，或者在开展咨询服务的过程中发 生这样的情况，应该马上向管理层披露这些情况。7如果在开展正式咨询业务后的一年内又对同一领域提供保证性服务，内部审计师的 独立性或和客观性就会受到损害。可以通过以下措施来尽量降低这种损害所产生的影响：分 配不同的审计师对同一领域开展不同的业务、建立独立的管理和监督机制、为项目的不同结 果确定独立的责任机制、披露假设的损害情况。管理层应该负责接受和实施这些建议。8在涉及持续性的咨询业务时，内部审计师应该格外小心，以避免不恰当地或在无意 中承担咨询业务的最初目标和范围中都没有提及的管理责任。咨询业务中的应有的专业审慎性问题(

46、第 1210.C1 条标准、第 1220.C1 条标准、第 2130.C1 条标准、第 2201.C1 条标准)9在开展正式咨询业务时，内部审计师应该保持应有的专业审慎性，具体方式是理解 以下内容：管理人员的需要，包括咨询业务结果的性质、时间安排和报告；要求内部审计师提供咨询业务的动机和原因；实现咨询业务目标需要开展的工作的范围；开展咨询业务所需的技能和资源；咨询业务对审计委员会以前批准的审计计划的影响；对未来审计任务和业务的潜在影响；咨询业务可以为机构带来的潜在好处。10除了对独立性、客观性和应有的专业审慎性的考虑，内部审计师应该：举办合适的会议并收集必要的信息，以评价将要提供服务的性质和范

47、围；证实接收服务的人员理解并同意内部审计章程中所包括的相关指导内容、内部审计 部门的政策和程序以及其他管辖咨询业务的指南。内部审计师应该拒绝从事内部审计 章程禁止开展的咨询业务、与内部审计部门的政策和程序相冲突的咨询业务以及不能 为机构增值或不能服务于机构最大利益的咨询业务。评价咨询业务是否与内部审计部门的总体业务计划相一致。内部审计部门以风险为 基础制定的业务计划可能会在恰当的程度上包括并依赖咨询业务，以便为机构提供必 要的审计覆盖面；以书面协议或计划的形式记录正式咨询业务的一般条件、共识、产品和其他关键因素。内部审计师和接收咨询服务的人员都理解并同意咨询业务的报告和沟通要求是非常重要的。咨

48、询业务的工作范围(第 2010.C1 条标准、第 2110.C1 和 C2 条标准、第 2120.C1 和 C2 条标 准、第 2130.C1 条标准、第 2201.Cl 条标准、第 2210.C1 条标准、第 2220.C1 条标准、第2240.C1 条标准、第 2330.C1 条标准、第 2410.C1 条标准、第 2440.C1 和 C2 条标准)11如上所述，内部审计师应该就咨询业务的目标和范围与接收咨询服务的人员达成共 识。任何对咨询业务的价值、利益或可能产生的负面影响所持的保留意见都应该告知接收咨 询服务的人员。内部审计师应该设计咨询业务的工作范围，以保证维护内部审计部门的专业 态

49、度、诚信精神、可信度和声誉。12在计划正式咨询业务时，内部审计师应该设计相关目标，以满足接收咨询服务的管 理人员的需要。在管理层提出特殊要求时，如果内部审计师认为应该追求的目标超出了管理 层所要求的目标，就可以考虑采取以下行动：说服管理层在咨询业务中包括其他目标；在文件中记录没有追求有关目标的情况，并在咨询业务的最终报告中披露这种情况；在随后单独开展的保证性业务中包括这些目标。13正式咨询业务的工作方案应该记录业务的目标和范围以及为实现目标而采取的方 法。方案的形式和内容可以根据咨询业务性质的不同而不同。在确定业务范围时，内部审计 师应该根据管理层的要求来扩展或限制范围。但是，内部审计师应该确

50、保所预测的工作范围 应该足以实现咨询业务的目标。咨询业务目标、范围和条件应该在工作过程中定期得到重新 评价和调整。14内部审计师应该在开展正式咨询业务时留意风险管理和控制过程的效果性，并提请 管理层注意他们发现的风险或重大控制薄弱环节。在有些情形下，内部审计师也应该将自己 关注的问题报告执行层的管理人员、审计委员会和或董事会。内部审计师还应该应用专业 判断：(1)确定风险或薄弱环节的严重性，以及已经采取或正在考虑采取的用于降低风险或 纠正薄弱环节的行动；(2)证实执行层管理人员、审计委员会和或董事会在要求报告这些 事项方面的期望。报告正式咨询业务的结果(第 2410.C1 条标准、第 2440

51、.C1 条标准)15对正式咨询业务工作进度和结果的报告在形式和内容上根据业务的性质和客户需要 的不同而不同。报告的要求一般由提出服务请求的人员决定，而且应该实现既定的目标，并 得到管理层的同意。但是，报告咨询业务结果的格式应该明确说明业务的性质和有关限制、 约束或其他信息用户应该明白的因素。16在有些情形下，内部审计师可能认为，咨询业务的结果不应该只向接收服务或要求 服务的人员报告。在这些情形下，内部审计师应该扩展报告接收对象范围，将结果向有关其 他方面报告。在这么做时，内部审计师应该循序渐进，直至对结果满意。具体步骤如下：确定协议中关于咨询业务和相关报告的规定是什么；努力说服接收服务或要求服

52、务的人员自愿将报告内容传达给相关方面；确定内部审计章程或内部审计部门政策程序关于咨询报告的指导内容；确定机构道德规范、职业道德规范、其他相关政策、行政指令或程序所提供的指导 内容；确定 IIA标准和职业道德规范、其他对内部审计师适用的标准或规范以及 与所考虑事项有关的法律或管理要求对咨询报告的指导内容。17在提出内部审计部门的其他报告时，内部审计师应该向管理层、审计委员会、董事会或其他机构治理部门披露正式咨询业务的性质、范围和总体结果。但不要求披露咨询业务 的详细报告、详细结果或建议。内部审计师需要恰当说明这些咨询业务的类别和重要的建议， 这是内部审计师履行第 2060 条标准“向董事会和高层

53、管理人员报告”所规定职责的要求。咨询业务的文件记录要求(第 2330 条标准)18内部审计师应该记录所开展的工作，以实现正式咨询业务的目标并支持其结果。但 是，适用于保证性业务的文件记录要求不一定适用于咨询业务。19鼓励内部审训师采取恰当的记录保留政策并处理咨询业务记录的所有权等问题， 以便充分保护机构、避免由于有人提出查看记录要求而引起的误会。涉及法律诉讼、管理要 求、税收和会计问题的情形可能要求对某些咨询业务记录进行特殊处理。对咨询业务的监测(第 2550.Cl 条标准)20内部审计部门应该根据和客户达成的一致意见监测咨询业务的结果。对于不同的咨 询业务可以采取不同类型的监测手段。监测工作

54、取决于管理层对咨询业务的明确兴趣或内部 审计师对咨询业务项目风险或对机构价值的分析等。实务标准 11001：独立性与客观性解释内部审计专业实务标准)中的第 1100 条标准相关标准：第 1110 条标准 独立性与客观性内部审计活动应该独立，内部审计师在开展工作时应做到客观。 本实务公告性质在评估独立性与客观性时，内部审计师应考虑以下建议。本实务指导无意囊括开展审计 业务可能需要考虑的所有方面，仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师 自行选择决定。1内部审计师在他们能自由地和客观地进行工作时是独立的。独立性可使内部审计师 提出公正的和不偏不倚的判断意见，这对审计工作的恰当开展是必不

55、可少的。这一点要通过 机构的状况和客观性来获得。实务公告 11101：机构的独立性解释内部审计专业实务标准中的第 1110 条标准 相关标准：第 1110 条标准机构的独立性 审计执行主管在机构内应向能使内部审计部门履行其职责的阶层报告。本实务公告性质 在评估机构的独立性时，内部审计师应该考虑以下建议。本实务指导无意囊括开展审计业务可能需要考虑的所有方面，仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师 自行选择决定。1内部审计师应该取得高级管理层和董事会的支持，这样他们才能得到被审计者的合作，并且在不受干扰的条件下开展他们的工作。2审计执行主管应该对机构内在以下方面拥有充分权力的人负责：

56、促进独立性、保证 广泛的审计范围、充分考虑审计报告、依据审计提出的建议采取适当的行动。3理想的情况是，审计执行主管应该对审计委员会、董事会或其他相关治理机构报告 业务工作，向机构的首席执行官报告行政工作。4审计执行主管和董事会审计委员会或其他相关治理机构必须能直接交流信息。与董 事会定期交流有助于保证独立性，并为董事会和审计执行主管提供了一种就共同关心的事项 相互沟通的方式。5.在董事会、审计委员会或其他相关治理机构举行的有关它对审计、财务报告、机构治 理和控制系统的监督职责的会议时，如果审计执行主管定期出席或参加此类会议，就有直接 交流的机会。审计执行主管参加此类会议，就有机会交流内部审计部

57、门的计划和开展的活动。 审计执行主管每年至少应与董事会、审计委员会或其他相关治理机构单独会晤一次。6.审计执行主管的任免，应由董事会一致同意之后确定，这样做是为了加强独立性。实务公告 11102：审计执行主管的报告对象解释内部审计实务标准中的第 1110 条标准 相关标准：第 1110 条标准机构独立性 审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。 本实务公告性质在确定或评估审计执行主管在机构内的报告对象及其关系时，内部审计师应该考虑以下 建议。本实务指导无意囊括可能需要考虑的所有方面，仅推荐一系列审计师应该考虑的事项。 是否遵守实务公告由审计师自行选择决定。1、IIA 的内

58、部审计实务标准（标准）要求审计执行主管在机构内应向能使内 部审计活动履行其职责的阶层报告。IIA 认为，为实现必要的独立性，审计执行主管在职能 上应向审计委员会或同类部门报告。为了行政管理的需要，在大多数情况下，审计执行主管 应直接向机构的首席执行官（CEO）报告。为了有助于本公告的讨论，正面对职能性报告 和行政性报告分别加以说明。 职能性报告-内部审计工作的职能性报告关系是内部审计工作独立性和权力的 根本保障。因此，IIA 建议，审计执行主管在职能上向审计委员会、董事会或其它适当的治 理机构报告。在此，职能性的报告是指 治理机构批准内部审计工作章程 治理机构批准内部审计风险评估和相关审计计划

59、 治理机构批准接受审计执行主管对于内部审计活动结果或其认为必要的其它事 项的报告，包括与审计执行主管召开的没有经理层参加的单方会议。 治理机构批准任免审计执行主管的决定 治理机构批准审计执行主管年度薪酬和工资调整 治理机构批准适当问询管理层和审计执行主管，确定是否存在影响内部审计工 作范围和预算的限制 行政性报告-此报告关系存在于机构管理层，它有助于协调内部审计日常工作。 行政性报告主要包括： 预算制定与管理会计 人力资源管理，包括人员评估与薪酬 内部沟通和信息流通 机构内部政策与程序的管理2、公告重点讨论在确定或评估审计执行主管的报告关系时应当考虑的因素。恰当的 报告关系对实现独立性、客观性

60、及在机构中的地位是至关重要的，它们是内部审计有效履行 其义务的必要因素。审计执行主管的报告关系对于保证适当的信息流通、与关键经理进行沟 通也是重要的，这两者是开展风险评估和报告审计工作结果的基础。相反，对于任何损害内 部审计工作独立性和效果的报告关系，审计执行主管应将其视为对范围的严重限制，应提请 审计委员会或同类部门的重视。3、本公告同时认为，审计执行主管的报告关系受下列因素的影响：机构性质（公 有、私有及相关规模）；各国的一般做法；机构的日益复杂化（合资企业、含子公司的跨国 集团）；随着与客户在工作重点和范围合作程度的提高，内部审计部门提供增值服务的趋势。 因此，尽管 IIA 认为职能上向

61、审计委员会报告、行政上向 CEO 报告是一种理想的结构，但 是，其他报告结构也可以是有效的，只要此报告结构能清晰区别职能性报告关系和行政性报 告关系，且每种关系都有恰当的内容，以确保审计工作的独立性和范围。内部审计师应根据 自己的专业判断，决定在特定情况下本公告的适用范围。4、标准强调，为促进审计工作的独立性，保证工作范围的充分性，审计执行主 管应向有足够权力的人报告工作。因为标准是为规模不同、情况各异的各机构而制定的， 所以标准在报告关系方面的规定特意体现了一定程度的普遍性。有些因素，包括机构规 模、类型（私营机构、政府部门、社团）使放之四海而皆准的目标无法实现。因此，审计 执行主管在评估行

62、政性报告关系的恰当性时应考虑下列因素。 报告对象有无充分权力，保证审计工作的有效性。 报告对象有无适当的控制与治理理念，帮助审计执行主管发挥其作用。 报告对象有无积极帮助审计执行主管解决有关审计问题的时间和兴趣 报告对象是否理解职能性的报告关系并支持此关系5. 如果行政性报告对象同时负责该机构的其它部门，而这些部门也是被审计单位， 那么审计执行主管应该确保适当的独立性没有受到损害。例如，一些审计执行主管行政上向 首席财务官报告，而首席财务官同时负责机构的财务部门。如果认为审计计划的范围是适当 的，那么审计部门对其行政性报告对象负责的其他部门的审计和报告不应当受到限制。任何 对于审计范围和审计结果报告的限制都应提请审计委员会的注意。6. 最近，世界各国趋向于制定更加严格的财务报告法规，在此环境下，审计执行 主管报告关系的确立应该恰当，使内部审计活动满足审计委员会或其它重要股东的更多需 求。越来越多的机构要求审计执行主管在机构治理和风险管理方面发挥更重要的作用。审计 执行主管的报告关系应该促进内部审计活动满足这些期望。7. 无论机构选择了哪种报告关系，如果采取一