内部质量体系审核实务标准

《内部质量体系审核实务标准》由会员分享，可在线阅读，更多相关《内部质量体系审核实务标准（64页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第64页 共64页内部审计实务标准本文目录：内部审计师协会职业道德规范内审实务标准 简介IIA颁布内部审计实务标准修订本的补充实务公告 内部审计师协会职业道德规范1、基本内容2、重点难点和和疑点 基本内容 - 道德规范的目的是促进内部审计职业领域内的道德文化的发展。国际注册内部审计师协会理事会在1999年6月通过的道德规范中指出：道德规范对于内部审计职业来说是必要的和适当的，因为它是建立信任的基础。这种基础为评价和改进风险管理、控制和治理过程，帮助组织实现其目标，提供了保证。道德规范既适用于提供内部审计服务的个人，也适用于提供内

2、部审计服务的团体。对于协会会员、IIA职业资格的接受者或参加者，对道德规范的违背将根据协会的规章和行政指南予以评价和管理。2000年6月通过的新道德规范包括两个基本部分：一是与内部审计职业和实务相关的原则（共4条原则：正直、客观、保密、能力）；二是描述内部审计师预期行为规范的行为规则（在4条原则之下共有12条行为规则）。这些规则有助于将上述原则运用于实践中，目的在于指导内部审计师的行为。内部审计师应使用和信守以下原则：1、正直内部审计师的正直建立起信用，从而为其判断的可靠度提供基础。这条原则包括4条行为规则：11 应当诚实、勤奋并负责地完成工作。这是审计师个人品质的基础。不诚实就不能将职责和权

3、限委托给他；不勤奋就可能增加错误、疏忽和误解；没有责任感就得不到他人的信任，这样审计师就将失去对组织的价值。12 应当按照法律及其职业要求，遵守法律和做出披露。这一条有两点要求：（1）如果内部审计师了解到一些对组织重要的信息，他依照法律和职业的要求，负有报告该信息的责任。（2）反之，如果审计师没有足够的证据来说明他的判断，就不应该作出评价。13 不得故意参与非法活动，或参加有损于内部审计职业或其机构的行为。14 应当遵守并贡献于组织的合法道德目标。2、客观内部审计师在收集、评价和沟通有关被检查的活动或过程的信息中，应展示其最大限度的职业客观性。在其作出判断的过程中，不受其个人喜好或他人的不适当

4、影响，内部审计师对所有相关环境作出公正的评价。这条原则包括3条行为规则：21 不应参与可能妨碍或被认为妨碍其公正评价的一些活动或关系。这种参与包括那些与组织的目标相冲突的活动和关系。22 不接受可能妨碍或被认为妨碍其职业判断的任何东西。23 应当揭示其知道的所有重要事实，如果不予揭示，可能歪曲对所复核活动的报告。3、保密内部审计师应尊重其收到的信息的价值和所有权。除非法律允许或有适当的授权，不能披露获取的信息。这条原则包括2条行为规则：31 应当谨慎利用和保护在其职责中获取的信息。32 不应当为个人目的，或者以任何有悖于法律或有害于机构的合法道德目标而利用信息。4、能力内部审计师在工作中应使用

5、在内部审计业务中所需要的知识、技能和经验。这条原则包括3条行为规则：41 应当只从事他们具备必要的知识、技能和经验的服务活动。42 应当根据内部审计实务标准完成内部审计。 重点、难点和疑点 - 在内部审计师职业道德规范中，“行为规则”是灵魂，应重点掌握这一部分的内容，尤其是其中的：内部审计师协会成员和注册内部审计师不应参与可能妨碍或被认为妨碍其公正评价的一些活动。内部审计师协会成员和注册内部审计师不能接受可能妨碍或被认为妨碍其职业判断的任何东西。内部审计师协会成员和注册内部审计师只能开展那些以他们的专业能力预计可以恰当地加以完成的服务工作。在汇报其工作成果时，内部审计师协会成员和注册内部审计师

6、应揭示他们了解的所有重要事实。否则，有可能歪曲正在审查的经营报告或隐瞒非法的事实。另外，在应用这些行为规则时，需要协会成员及其内部审计师的判断，以保持审计行为的高标准。这些对审计人员素质要求较高，因国情不同，思维方式有异，而且遇到的情况各种各样，因此就要求根据道德规范的精神正确把握。内审实务标准 简介一、标准的宗旨 -1、说明内部审计实务的基本原则；2、为开展并促进多种不同的、具有增值作用的内部审计活动制定框架；3、为衡量内部审计行为的标准提供依据；4、帮助改善机构的运营与工作。 二、标准的构成 - 标准由属性标准（1000序列号），工作标准（2000序列号）及实施标准（实务公告）（nnnn.

7、Xn）三部分构成。属性标准说明了开展内部审计活动的机构及人员的特点，共有四条一般准则；工作标准描述了内部审计活动的性质并提出了衡量内部审计活动开展的质量准绳，共有七条一般准则；它们从总体上说明内部审计服务。实施标准是前两者在特定的审计活动中的具体体现（例如合规性审计、舞弊调查或控制自我评价项目等）。属性标准与工作标准只有一套，但实施标准却有很多套：每种主要类型的内部审计活动都有一套实施标准。目前已为保证服务和咨询服务制定了实施标准。保证服务（标准的序列号之后冠以“A”，如1130.A1）是一种为了对机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为。例如，对财务、绩效、合规性、系

8、统安全和应尽责任的审查等。保证服务共有26条指南。咨询服务（标准的序列号之后冠以“C”，如1000.C1）提供建议以及相关的客户服务活动，这种服务的性质与范围通过与客户协商确定，它的目的是增加价值并提高机构的运作效率。包括顾问服务、建议、协调、程序设计及培训等。咨询服务共有20条指南。三、标准是内部审计实务框架的组成部分 。-内部审计实务框架包括内部审计的定义、职业道德规范、标准以及其他方面的指导。 四、说明 -内部审计实务标准是一部权威性的国际内部审计标准，是国际现代内部审计经验的结晶，它在内部审计活动中具有普遍的实用意义。深刻体会标准的精髓是通过考试的关键。应试考生应仔细通读并掌握标准的所

9、有内容。内部审计师实务标准目录内审实务标准 简介：宗旨、简介、说明属性标准一：1000-1340序列号1000宗旨、权力和责任1100独立性和客观性1110机构的独立性1120个人的独立性1130对独立性或客观性的损害1200熟练性和应有的职业审慎性1210熟练性1220应有的职业审慎性1230继续职业发展1300质量保证与改进项目1310质量项目评价1311内部评价1312外部评价1320质量项目的报告1330使用“内部审计工作依据标准开展”的声明1340披露违规行为工作标准一：2000-2240序列号2000管理内部审计活动2010制定审计计划2020报告与通过2030资源与管理2040政

10、策与程序2050协调2060向董事会与高级管理层报告情况2100工作性质2110风险管理2120控制2130治理2200审计业务计划2201计划制定过程中应考虑的因素2210审计业务目标2220审计业务范围2230审计业务资源的分配2240审计业务工作方案工作标准二：2300-2600序列号2300开展审计业务2310收集信息2320分析与评价2330记录信息2340审计业务的监督2400报告审计结果2410报告的标准2420报告的质量2421错误与遗漏2430对违反标准的审计披露2440发布审计结果2500监测进程2600管理层对风险的接受 重点难点和和疑点 -1、 内部审计的宗旨、权利和职

11、责；内部审计部门章程2、 独立性与客观性3、 熟练性：对外部服务提供者的应用、舞弊的发现与调查等4、 应有的职业审慎性5、 质量项目评价：内部评价、外部评价6、 风险管理7、 控制8、 审计任务的计划9、 开展审计业务：信息记录等10、报告审计结果：报告的标准等11、监测进程12、管理层对风险的接受IIA颁布内部审计实务标准修订本的补充实务公告 发布时间： 中国内部审计协会2002年5月编译出版国际内部审计师协会内部审计实务标准（2001年）修订本后，截止到2003年3月，国际内部审计审计师协会又陆续颁布了4个实务公告。这4个实务公告分别是：实务公告1110-2：审计执行主管的报告对象，实务公

12、告13301：使用内部审计工作依据标准开展 的声明（对原实务公告13301的修订）实务公告2060-2：与审计委员会的关系实务公告2120A13：内部审计在季度财务报告、披露和管理层证明方面的作用由于这些实务公告是内部审计实务标准（2001年）修订本的组成部分，中国内部审计协会对这4个公告进行了编译并公布出来，以及时满足广大内部审计人员和CIA考生的需要。 实务公告1110-2：审计执行主管的报告对象解释内部审计实务标准中的第1110条标准相关标准：第1110条标准机构独立性 审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。本实务公告性质在确定或评估审计执行主管在机构内的报告对象

13、及其关系时，内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面，仅推荐一系列审计师应该考虑的事项。是否遵守实务公告由审计师自行选择决定。1、IIA的内部审计实务标准（标准）要求审计执行主管在机构内应向能使内部审计活动履行其职责的阶层报告。IIA认为，为实现必要的独立性，审计执行主管在职能上应向审计委员会或同类部门报告。为了行政管理的需要，在大多数情况下，审计执行主管应直接向机构的首席执行官（CEO）报告。为了有助于本公告的讨论，正面对职能性报告和行政性报告分别加以说明。职能性报告-内部审计工作的职能性报告关系是内部审计工作独立性和权力的根本保障。因此，IIA建议，审计执行主管

14、在职能上向审计委员会、董事会或其它适当的治理机构报告。在此，职能性的报告是指- 治理机构批准内部审计工作章程 治理机构批准内部审计风险评估和相关审计计划 治理机构批准接受审计执行主管对于内部审计活动结果或其认为必要的其它事项的报告，包括与审计执行主管召开的没有经理层参加的单方会议。 治理机构批准任免审计执行主管的决定 治理机构批准审计执行主管年度薪酬和工资调整 治理机构批准适当问询管理层和审计执行主管，确定是否存在影响内部审计工作范围和预算的限制 行政性报告-此报告关系存在于机构管理层，它有助于协调内部审计日常工作。行政性报告主要包括： 预算制定与管理会计 人力资源管理，包括人员评估与薪酬 内

15、部沟通和信息流通 机构内部政策与程序的管理2、 公告重点讨论在确定或评估审计执行主管的报告关系时应当考虑的因素。恰当的报告关系对实现独立性、客观性及在机构中的地位是至关重要的，它们是内部审计有效履行其义务的必要因素。审计执行主管的报告关系对于保证适当的信息流通、与关键经理进行沟通也是重要的，这两者是开展风险评估和报告审计工作结果的基础。相反，对于任何损害内部审计工作独立性和效果的报告关系，审计执行主管应将其视为对范围的严重限制，应提请审计委员会或同类部门的重视。3、 本公告同时认为，审计执行主管的报告关系受下列因素的影响：机构性质（公有、私有及相关规模）；各国的一般做法；机构的日益复杂化（合资

16、企业、含子公司的跨国集团）；随着与客户在工作重点和范围合作程度的提高，内部审计部门提供增值服务的趋势。因此，尽管IIA认为职能上向审计委员会报告、行政上向CEO报告是一种理想的结构，但是，其他报告结构也可以是有效的，只要此报告结构能清晰区别职能性报告关系和行政性报告关系，且每种关系都有恰当的内容，以确保审计工作的独立性和范围。内部审计师应根据自己的专业判断，决定在特定情况下本公告的适用范围。4、 标准强调，为促进审计工作的独立性，保证工作范围的充分性，审计执行主管应向有足够权力的人报告工作。因为标准是为规模不同、情况各异的各机构而制定的，所以标准在报告关系方面的规定特意体现了一定程度的普遍性。

17、有些因素，包括机构规模、类型（私营机构、政府部门、社团）使放之四海而皆准的目标无法实现。因此，审计执行主管在评估行政性报告关系的恰当性时应考虑下列因素。 报告对象有无充分权力，保证审计工作的有效性。 报告对象有无适当的控制与治理理念，帮助审计执行主管发挥其作用。 报告对象有无积极帮助审计执行主管解决有关审计问题的时间和兴趣 报告对象是否理解职能性的报告关系并支持此关系5. 如果行政性报告对象同时负责该机构的其它部门，而这些部门也是被审计单位，那么审计执行主管应该确保适当的独立性没有受到损害。例如，一些审计执行主管行政上向首席财务官报告，而首席财务官同时负责机构的财务部门。如果认为审计计划的范围

18、是适当的，那么审计部门对其行政性报告对象负责的其他部门的审计和报告不应当受到限制。任何对于审计范围和审计结果报告的限制都应提请审计委员会的注意。6. 最近，世界各国趋向于制定更加严格的财务报告法规，在此环境下，审计执行主管报告关系的确立应该恰当，使内部审计活动满足审计委员会或其它重要股东的更多需求。越来越多的机构要求审计执行主管在机构治理和风险管理方面发挥更重要的作用。审计执行主管的报告关系应该促进内部审计活动满足这些期望。 7. 无论机构选择了哪种报告关系，如果采取一些重要行动，就可以保证此报告关系有助于内部审计活动，并使其具有有效性和独立性。 职能性报告： 职能性报告应直接面向审计委员会或

19、同类机构，保证恰当的独立性和沟通能力。 审计委员会或同类机构应与审计执行主管召开没有管理层参加的单方会议，以强化职能性报告关系的独立性，突出其实质。 审计委员会对于审议并通过年度审计计划和所有重大变化有最终权力。 审计执行主管在任何时候都应当能随时、直接与审计委员会主席和委员进行沟通；在适当情况下，可以向董事会主席及全体董事会报告。 审计委员会对审计执行主管的业绩评估应当至少一年一次，并通过年度薪资福利和薪水调整。 内部审计工作章程应该明确说明审计工作的职能性报告和行政性报告关系，以及每种报告关系所含的主要内容。 行政性报告： 审计执行主管的行政性报告应当面向CEO或另一位有充分权力的高级管理

20、人员，使日常审计工作得到适当的支持。这包括确立审计部门和审计执行主管在机构中的位置，以确保内部审计部门在机构中的恰当地位。报告对象在机构中的地位太低会对内部审计工作的地位和有效性产生负面影响。 行政性报告关系不应对内部审计工作范围或结果的报告有最终权力。 行政性报告关系应使管理层能够随时、直接听取审计执行主管的报告。审计执行主管应当能够与任何管理层，包括CEO直接沟通。 行政性报告关系应当实现适当的沟通和信息流通，使审计执行主管和内部审计部门获得有关机构活动、计划和新业务方面的信息。 行政性报告关系对预算控制和预算方面的意见不能阻碍内部审计工作。8. 审计执行主管也应当考虑他们与其它控制与监督

21、部门（风险管理、合规、安全、法律、道德、环境、外部审计）的关系，并帮助其向审计委员会报告重大风险和控制问题。 实务公告13301：使用内部审计工作依据标准开展 的声明（对原实务公告13301的修订）解释内部审计实务标准中的第1330条标准相关标准：第1330条标准使用内部审计工作依据标准开展的声明鼓励内部审计师以内部审计活动依据内部审计实务标准开展来报告他们的活动。 但是，只有在质量改进项目的评价结果表明内部审计活动是遵循了标准的情况下，内部审计师才可使用此声明。本实务公告性质在使用内部审计工作依据标准开展的声明时，内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面，仅仅是对

22、标准的补充。是否遵守实务公告由审计师自行选择决定。1. 概述应对内部审计活动进行外部和内部评估，并就内部审计活动遵循内部审计实务标准的情况出具意见，适当情况下应当包括改进的建议。这些评估活动对于机构的治理过程、审计执行主管（CAE）和内部审计活动的其他成员有巨大价值。只有合格的人员才能开展这些评估活动。2 要求在2002年1月1日之后的五年内开展一次外部评估活动。鼓励尽早实施这条开展外部评估的新条款。对于已经开展外部评估的机构，鼓励其在评估之后的五年内开展下一次外部评估活动。 3 使用 遵循语句只有在对质量改进项目进行定期评估，并且得出内部审计活动是遵循了标准的结论后，才能使用 遵循语句。对于

23、影响内部审计活动开展或总体范围的不遵循标准行为，包括至2007年1月1日前还未实施外部评估活动，应该向高级管理层和董事会进行披露。4 如果有重大的不遵循标准行为，只有对其进行改正之后才能使用 遵循语句。对于质量评估活动（内部的或外部的）披露的或相关建议所提及的不遵循标准行为，在内部审计活动使用 遵循语句之前，必须首先对其进行充分改正，并将改正措施反馈给相关的评估人、高级管理层和董事会。实务公告2060-2：与审计委员会的关系解释内部审计实务标准中的第2060条标准相关标准：第2060条标准独立性与客观性审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩。

24、另外还应报告重要的风险与控制问题、公司治理问题以及委员会和高级管理层需要或要求知晓的其它事项。本实务公告性质对于内部审计活动和审计委员会之间的关系，内部审计师应该考虑以下建议。本实务指导无意囊括可能需要考虑的所有方面，仅对审计委员会和内部审计恰当关系相关的主要信息进行了概述。是否遵守实务公告由审计师自行选择决定。 1 本文件中的审计委员会指负责监督机构的审计和控制工作的治理层。尽管此工作通常是委派给董事会的审计委员会，但在本实务公告中，它也指具有相同权力和职责的其它监督实体，例如托管会、立法机构，所有人经营实体的负责人，内部控制委员会，或整个董事会。2 国际内部审计师协会认为审计委员会和内部审

25、计师有互相交织的目标。加强与审计委员会的工作关系对于其履行对高级管理层、董事会、股东和其它外部人员的职责是重要的。本实务公告总结了协会如何看待审计委员会和内部审计部门关系的。协会认为审计委员会职责还包括本公告范围之外的其它活动，本公告无意囊括审计委员会的所有职责。 3 以下三种活动对于实现审计委员会与内部审计部门良好关系是非常重要的，它们主要是通过审计执行主管（CAE）实施： 协助审计委员会，确保其章程、内部审计活动和各项过程对于履行其职责是恰当的。 确保内部审计章程、作用和各项活动得以清晰阐述，且能反映审计委员会和董事会需求。 与审计委员会和主席保持开放、有效的沟通。审计委员会职责4. 审计

26、执行主管应帮助委员会，确保委员会的章程、作用和活动对于履行其职责是恰当的。审计执行主管可以通过帮助委员会定期评估其活动、提出改进建议发挥重要作用。这样，审计执行主管可以在审计委员会事务和规章事务方面向委员会提供有价值的咨询服务。审计执行主管可以开展的活动有： 至少每年评估一次审计委员会章程，审核章程是否充分体现了董事会有关审计委员会职责的规定和相关条文，并将此告知委员会。 评估或保存一份详细列出所有规定开展活动的审计委员会会议日程计划，用来判断这些活动是否被完成，这可以帮助委员会每年向董事会报告，已经完成了所有委派的任务。 起草审计委员会会议日程，呈交委员会主席审阅，帮助审计委员会将此资料分发

27、给各委员，记录审计委员会会议内容。 鼓励审计委员会比照当前最佳实务，定期评估其工作和活动，确保该活动与最先进的实务保持一致。 定期与委员会主席会面，讨论向委员会提供的材料和信息是否满足委员会的需求。 征求审计委员会意见，判断其是否需要培训性会议或报告，例如对新委员进行风险和控制方面的培训。 征求委员会意见，判断为委员会分配的工作频率和时间是否充分。内部审计工作的作用5 审计执行主管与审计委员会的关系应围绕审计执行主管的核心作用确保审计委员会理解、支持并接受内部审计部门所需要的帮助。IIA的观点是，良好的治理是由有效公司治理系统的四个主要部分协同实现的：即董事会、管理层、内部审计师和外部审计师。

28、在此结构中，内部审计师和审计委员会是互为支持的。审计委员会要对机构运营有完整的了解，必须考虑内部审计师的工作。审计执行主管对于委员会的一个主要作用是确保实现此目标和成为委员会可以信赖的顾问。审计执行主管可以通过开展一系列的活动来发挥此作用： 请求委员会每年审核并批准内部审计章程。（您可以通过国际内部审计师协会网站的http:/www.theiia.org/ecm/guide-ia.cfm?doc_id=383查看内部审计部门章程的模板） 与审计委员会一起评估内部审计的职能性和行政性报告关系，保证机构现有的组织结构可以使内部审计师拥有充分的独立性。（实务公告11102：审计执行主管（CAE）的报

29、告关系） 在章程中列入委员会审核任免决定的条款，包括任命、薪酬、评价、续任、解雇审计执行主管等。 在章程中列入由审计委员会审核并批准外包内部审计活动提议的条款。 帮助审计委员会评估人员、预算的充分性，以及内部审计活动的范围和结果，确保不存在预算和范围方面的限制，以免阻碍内部审计履行其职能。 报告与其它监督部门（例如，风险管理、合规性、安全、业务连贯性、法律、道德、环境、外部审计）的协调情况及对其监督的情况。 报告与本机构和下属机构活动的控制过程相关的重大事项，包括对这些过程进行改进的可能性，报告这些事项的处理情况。 报告年度审计计划情况和结果，以及部门资源对于高级管理层和审计委员会的充足性。

30、通过适当的风险基础方法，制定灵活的年度审计计划，包括管理层关心的风险和控制事项。将计划呈交审计委员会评估及批准，并进行定期更新。 报告所通过的年度审计计划的执行情况，适当情况下，还应包括管理层和审计委员会要求的特别任务或项目。 在内部审计章程中明确，及时向审计委员会报告与公司内部控制有重大关联管理层或雇员的可疑舞弊行为，是内部审计部门的职责。协助开展机构内部重大可疑舞弊活动调查，并将结果报告管理层和审计委员会。 应该使审计委员会意识到，为了使审计活动满足国际内部审计师协会的内部审计实务标准要求，应该每五年开展一次内部审计活动的质量评估复核。定期的质量评估复核将为审计委员会和管理层就内部审计活动

31、遵循标准要求方面提供保证。与审计委员会的交流6 审计执行主管和审计委员会关系的总体效果在很大程度上取决于双方的交流，这并不是要否定以上所提的所有活动。今天的审计委员会希望有一个高水平的开放、坦率的交流。如果要使审计执行主管在委员会的眼中成为可信赖的顾问，交流是关键的因素。根据定义，内部审计通过在审计活动中采取系统化、规范化的方法来帮助审计委员会实现其目标，但是，如果没有适当的交流，委员会是无法相信这一点的。审计执行主管应该考虑在下列方面与审计委员会进行交流。 审计委员会应该定期与审计执行主管单独会谈，讨论敏感的事项。 针对与确定的审计任务和范围相关的审计活动的结果，每年提供一个总结性报告或评估

32、情况。 定期向审计委员会和管理层提交报告，总结审计活动的结果。 不断向审计委员会报告内部审计的新趋势和新的成功实务。 与外部审计师一起讨论委员会信息需求的满足情况。 复核提交给审计委员会的信息的完整性和准确性。 确认内部审计师和外部审计师之间工作的协调是有效率和有效果的。判断内部和外部审计师的工作有无重复性，并指出出现重复的原因。实务公告2120A13：内部审计在季度财务报告、披露和管理层证明方面的作用解释内部审计实务标准第2120A1条标准相关标准：2120A1在风险评估结果的基础上，评价控制的充分性与有效性，范围包括机构的治理、运营及信息系统；此类评价应当包括： 财务与运营资料的可靠性与完

33、整性 运营的效果与效率 资产的护卫情况 遵守法律、法规与合同的情况本实务公告性质对于与美国证券交易委员会（SEC）规定相关的季度财务报告、信息披露和管理层证明方面的事项，内部审计师应当考虑以下建议。虽然这些规定是特别针对在SEC注册的美国机构，但是它同样适用1300多个外国注册机构。为给股东更大的信心，越来越多的非上市机构也正自愿采取SEC的部分规定，以展现季度报告披露和控制的最佳实务。内部审计师也可以参考其它的相关标准：实务公告2120.A1-1:对控制过程的评价和报告。是否遵守实务公告由审计师自行选择决定。1. 金融市场的强劲与否依赖于投资者信心。一些针对公司经理、独立审计师和其他市场参与

34、者罪行的指控事件都已动摇了投资者信心。作为对这种威胁的回应，美国国会和越来越多国家的立法机构和规章部门都通过了法律和规定，影响到公司披露和财务报告。尤其是在美国，2002年索克斯法案（Sarbanes-Oxley Act）规定进行全面改革，要求加强由主要执行官和财务官对财务报表的披露和证明。2. 该项新法律对公司提出了过程设计的挑战，此过程是高级官员对个人证明进行必要保证的基础。证明过程的一个关键因素是对财务信息记账和汇总的风险管理和内部控制。新法案的规定3. 索克斯法案第302条款列出公司在财务报告方面的责任，SEC已经颁布了实施该法案的细则。根据交易法第13（a）或第15（d）条，发行机构

35、申报或递交季度或年度报告，包括过渡期报告。SEC第13a-14和第15d-14条规定要求，签发机构的主要执行官和主要财务官、或履行类似职能的人员在报告中应该证明：他或她已审阅了该报告；根据他或她的知识，报告中没有提供重大事项的虚假信息，没有忽略报告时所须考虑的重大背景事项，没有对报告期内的情况造成误导；根据他或她的知识，报告中的财务声明和其它财务信息正确反映了报告期内发行机构的财务状况、运营结果和现金流动情况；他或她及其他提供证明的领导人： 负责制定并维护披露控制与程序（这是新词汇，体现了该法案第302（a）（4）条关于披露的规定，反映了控制和程序的概念。） 已经设计了披露控制与程序，保证他们

36、知晓重大信息，尤其是在定期性报告准备期内； 已经评估了到报告申报前的90天内为止，发行机构的披露控制和程序的有效性； 在报告中已经说明，到该日为止，他们根据强制性评估的结果，对披露控制和程序效果的看法。 他或她及其他提供证明的领导人已经向发行机构的审计师和董事会下属的审计委员会（或履行类似职能的人员）披露以下情况： 内部控制（是有关财务报告内部控制的既有词汇）的设计或实施的所有重大缺陷，这些缺陷可能对发行机构财务数据的记录、处理、总结及报告能力造成负面影响，同时为发行者的审计师指出内部控制的所有重大弱点； 无论重大与否，所有与发行机构内部控制有重大关联的管理层或其他雇员的舞弊行为； 在他们评估

37、之日后，内部控制或可能对内部控制产生重大影响的其它因素是否出现重大变化，包括针对重大缺陷和弱点采取的纠正措施。 建议内部审计师应该采取的行动4.本公告向内部审计师提供以下行动措施和考虑事项，以提供与SEC和索克斯法案要求相关的季度财务报告、披露和管理层证明方面的增值性服务。对于非上市公司和其他希望采纳类似季度财务报告过程的机构，这些推荐的行动措施也可以作为最佳实务。a. 内部审计师在此过程中的作用可包括：最初的过程设计、参加披露委员会、在管理层和审计师之间进行联络协调、独立对过程进行评估。b. 所有与季度报告和披露过程相关的内部审计师都应遵循适当的IIA咨询活动和保证工作的标准，遵循相关实务公

38、告的指导，明确自己的角色和评估方面的职责； c. 内部审计师应当确保机构有正式的政策和程序文件，管理季度财务报告、相关披露及法规对报告的要求这三个过程。律师、外部审计师和其他专家对政策和程序进行适当评估，这可以进一步保证政策和程序的全面性并准确反映适用的要求。d. 内部审计师应当鼓励机构成立披露委员会，协调此过程并对参与者进行监督。机构内部重要领域代表都应当参加该委员会，这包括主要财务经理、法律顾问、风险管理者、内部审计及对申报文件和披露提供意见或数据的其它领域人员。通常情况下，审计执行主管（CAE）应当是披露委员会委员。应当考虑CAE在委员会中的地位。CAE如果担任该委员会主席、一般委员或投

39、票委员，需要注意独立性问题，他应当参照IIA标准和相关实务公告，作为指导并用于强制性的披露工作中。如果他的地位是当然委员，则通常不会产生独立性问题。e. 内部审计师应当定期复核并评估季度报告和披露过程、披露委员会的活动以及相关文件，向管理层和审计委员会报告对该过程的评估情况，并在整体运作情况及遵守政策与程序情况两方面提供保证。如果内部审计师在此过程中的角色使其独立性可能受到损害，那么内部审计师应当确保管理层和审计委员会能够从其它来源获得对此过程适当的保证。其它来源可以包括内部自我评估和第三方，如外部审计师和咨询师。f. 内部审计师应当根据对相关活动的评估结果，就季度报告和相关批露的政策、程序及

40、过程提出恰当的改进建议。此类活动的最佳实务包括以下全部或部分方法和程序，各机构应用时可根据所采用的特定过程加以选择。 恰当文档化的政策、程序、控制及监测报告 程序与关键控制环节的季度核对表 关键披露控制情况的标准化报告 管理层自我评估（例如控制自我评估） 关键管理人员的签章或代表陈述 在申报前对申报文件草案的复核 记录数据源的过程图，主要面向申报文件、关键控制点以及各数据的有关责任人 以前报告的突出问题的跟踪情况 对此期间签发的内部审计报告的考虑情况 特别针对高风险、复杂领域及有问题领域的评估情况；包括重大的会计估计、准备金估价、资产负债表外活动、主要附属机构、合资企业、特别实体 财务报表和相

41、关调整分录，包括免除调整项目对结束过程的遵循情况 与关键管理人员召开远程电话会议，目的是保证考虑到机构的所有主要人员并使其得以参加会议 审核潜在诉讼和未决诉讼以及或有负债 CAE至少每年一次，有时每季度签发的的内部控制报告 定期召开的披露会议和审计委员会会议g内部审计师应当将索克斯法案302条款的实施过程与有关管理层的年度评估和内部控制公告的404条款的实施过程相比较。如果这些过程相似或兼容，将有助于运营效率，减少问题和错误发生或忽视的风险或可能性。虽然这些过程和程序是相似的，但内部审计师的作用可能有所不同。有些机构，内部审计师的工作可以成为管理层对内部控制看法的基础，其它机构可能会请内部审计

42、师评价管理层的评估活动。 内部审计工作性质及对其工作的利用能对外部审计师对待内部审计师的工作或其依赖内部审计工作的程度产生潜在影响。内部审计师应当保证明确所有参与者的角色、协调活动、并与管理层和外部审计师就活动事项达成一致。 如果管理层独立评估控制情况，作为意见形成的基础，在此类机构中，内部审计师应当评价管理层的评估情况和辅助证明文件。 内部审计师应当评价内部审计报告中意见的分类情况，对于在季度证明或年度内部控制报告中可能受到披露的意见，应当保证向管理层和审计委员会进行恰当报告。应格外注意保证此类意见得到及时、恰当的解决。 内部审计实务标准目录内审实务标准： 属性标准51000宗旨、权力和职责

43、51000A151000C151100独立性与客观性91110机构独立性91110A1101120个人的客观性101130对独立性或客观性的损害101130A1111130A2131130C1131130C2131200熟练性与应有的职业审慎性131210熟练性131210A1141210A2161210C1191220应有的职业审慎性191220A1191220A2201220C1201230继续职业发展201300质量保证与改进项目211310质量项目评价211311内部评价221312外部评价221320质量项目的报告231330使用“内部审计工作依据标准开展”的声明231340披露违规

44、行为23内审实务标准： 工作标准252000管理内部审计活动252010制定审计计划252010A1262010C1262020报告与通过262030资源管理262040政策与程序282050协调282060向董事会与高级管理层报告情况302100工作性质302110风险管理332110.A1332110A2332110C1342110C2342120控制342120A1342120A2362120A3362120A4362120.C1362120.C2362130治理362130A1372130C1372200审计业务计划372201计划制定过程中应考虑的因素372201.C1382210审

45、计业务目标382210A1382210.A2392210.C1392220审计业务范围392220.A1402220.C1402230审计业务资源的分配402240审计业务工作方案402240.A1402240.C1412300开展审计业务412310收集信息412320分析与评价412330记录信息422330.A1432330.A2442330.C1442340审计业务的监督452400报告审计结果452410报告的标准462410.A1462410.A2482410.C1482420报告的质量482421错误与遗漏482430对违反标准的审计披露492440发布审计结果492440.A1

46、502440.C1502440.C2502500监测进程502500.A1512500.C1522600管理层对风险的接受52内审实务标准： 属性标准1000宗旨、权力和职责 - 内部审计活动的宗旨、权力和职责应在章程中进行正式的界定，这样的界定应与标准保持一致，并须经董事会通过。1、“内部审计”是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现它的目标。2、“宗旨、权力和职责”是指内部审计工作的目的和责任，以及为达致目的、完成职责所需的权力和条件。明确内部审计的宗旨、权力和职责是内

47、部审计工作最重要的问题之一，整本标准都是围绕内部审计的宗旨、权力和职责展开的，或者说标准就是用来说明内部审计的宗旨、权力和职责及其实现的。3、“章程”是用以确定内部审计部门的宗旨、权力和职责的正式书面文件，它应该：（1）确定内部审计部门在机构中的地位；（2）授权审计人员接触与开展内部审计工作相关的资料、人员和实物财产；（3）规定内部审计活动的范围。审计执行主管应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理机构对章程的认可。章程一经批准便形成管理当局与内部审计机构双方的协议，内部审计机构可以根据章程的授权不受限制地开展工作。章程同时也是内部审计机构和管理当局评价内部审计工作质量的

48、依据。审计执行主管应该定期评价章程中所规定的宗旨、权力和职责是否足以使内部审计活动实现其目标，评价的结果必须通报给高级管理层和董事会。 1000A1章程中应明确向机构和第三方提供的保证服务的性质。 1000C1章程中应对咨询服务的性质加以定义。咨询服务范围很广，包括有书面协议规定的正式的咨询服务和诸如参加常务或临时的管理委员会或项目小组等咨询服务。内部审计师应该利用自己的专业判断，决定标准中的指导原则的适用程度。在一些特殊的咨询业务中（如参与收购、兼并项目或检查灾难恢复活动等紧急工作），可能需要偏离常规或规定的程序开展咨询服务。审计执行主管应该确定对机构内部业务进行分类的方法，有些情况下比较适

49、合开展将咨询和保证服务综合成一体的“合并”业务。内部审计师可能应管理层的要求，将咨询服务作为日常业务来开展。每个机构都应该考虑将要提供的咨询业务的类别，并确定是否应该为每种业务开发专门的政策或程序。如果对服务内容开展保证性工作更为合适，而且提出进行咨询的目的是逃避或使他人逃避保证性业务的有关要求，审计师一般不应该同意开展咨询服务。但这并不排除在更适合开展咨询服务的情形下，调整有关方法，对曾经作为保证性业务领域的内容提供咨询服务。一、开展咨询活动的原则内部审计师应考虑以下事项：1、 内部审计活动的价值主张价值主张在内部审计定义中有所体现。2、 与内部审计定义保持一致。3、 保证与咨询服务之外的审

50、计活动。4、 保证与咨询之间的相互关系它们并非相互排斥的，多数审计服务既包括咨询活动也包括保证活动。咨询服务通常是由保证服务直接产生的，但它也可能衍生出保证服务。5、 通过内部审计章程赋予内部审计部门开展咨询服务的权力。6、 客观性审计师通过开展咨询服务，会对与保证性审计业务有关的工作程序或问题有更深入的了解。咨询服务不一定损害内部审计的客观性。内部审计不起管理决策作用。是否采纳或实施内部审计咨询服务所提出的建议由管理层决定。7、 内部审计提供咨询服务的基础内部审计部门遵守最高客观性标准，而且它对机构的程序、风险及战略有全面的了解。8、 基本信息的传达内部审计的首要存在价值是给高级管理层和审计

51、委员会提供保证服务。如果隐瞒审计执行主管认为应该报告的信息，就无法开展咨询工作。9、 机构所理解的咨询工作的原则机构必须制定并公布一些被全体成员所了解的基本规定，这些规定应该在章程中体现出来。10、 正式的咨询业务管理层经常聘请外部顾问开展正式的、时间跨度很长的咨询工作，但是，内部审计部门拥有完成某些正式咨询任务的独特优势。11、 审计执行主管的职责咨询服务使审计执行主管得以与管理层交换意见，解决一些具体的管理问题，审计项目的广度和时间范围也会根据管理层的需要灵活安排，但是，审计执行主管保留确定审计技术的特权，并且在审计结果的性质和重大性程度足以带来重大风险时，保留向高级管理层和审计委员会报告

52、的权利。12、 解决冲突或新问题的标准IIA的职业道德规范及内部审计实务标准。 二、开展正式咨询业务的其他考虑本部分的内容与多条咨询标准相关。（一）内部审计师在咨询业务中的独立性和客观性(第1130C1条标准)1、内部审计师有时被要求为他们曾经负责的或提供过保证服务的运营领域提供咨询服务。在开展服务前，审计执行主管应该核实董事会已经理解并批准提供咨询服务的概念。一旦获得批准，就应该修改内部审计章程，规定开展咨询服务的权力和责任，并制定相关的政策和程序。2、内部审计师应该在得出结论并向管理层提出建议时维护其独立性。如果在咨询服务开始之前就存在、或者在服务过程中发生损害独立性或客观性的情况，内部审

53、计师应该马上向管理层披露。3、如果在开展正式咨询业务后的一年内又对同一领域提供保证性服务，内部审计师的独立性和客观性就会受到损害。可以通过以下措施来尽量降低不良影响：分配不同的审计师对同一领域开展不同的业务、建立独立的管理和监督机制、为项目的不同结果确定独立的责任机制、披露假设的损害情况。管理层应该负责接受和实施这些建议。4、在涉及持续性的咨询业务时，内部审计师应该格外小心，以避免不恰当地或在无意中承担咨询业务的最初目标和范围中都没有提及的管理责任。 （二）咨询业务中的应有的专业审慎性问题(第1210C1条标准、第1220C1条标准、第2130C1条标准、第2201C1条标准)1、在开展正式咨

54、询业务时，内部审计师应该保持应有的专业审慎性，理解以下内容：（1）管理人员的需要，包括咨询业务结果的性质、时间安排和报告；（2）要求提供服务的动机和原因；（3）工作的范围；（4）所需的技能和资源； （5）咨询业务对审计委员会以前批准的审计计划的影响；（6）对未来审计任务和业务的潜在影响；（7）可以为机构带来的潜在好处。 2、除了对独立性、客观性和应有的专业审慎性的考虑，内部审计师还应该：（1）举办合适的会议并收集必要的信息，以评价将要提供服务的性质和范围； （2）证实接收服务的人员理解并同意内部审计章程中所包括的相关指导内容、内部审计部门的政策和程序以及其他管辖咨询业务的指南。内部审计师应该拒

55、绝从事章程禁止开展的、或与本部门政策和程序相冲突的以及不能为机构增值或不能服务于机构最大利益的咨询业务；（3）评价咨询业务是否与内部审计部门的总体业务计划相一致；（4）以书面协议或计划的形式记录正式咨询业务的一般条件、共识、产品和其他关键因素。 （三）咨询业务的工作范围(第2010C1条标准、第2110C1和C2条标准、第2120C1和C2条标准、第2130C1条标准、第2201C1条标准、第2210C1条标准、第2220C1条标准、第2240C1条标准、第2330C1条标准、第2410Cl条标准、第2440C1和C2条标准) 1、内部审计师应该就咨询业务的目标和范围与接收服务的人员达成共识。

56、内部审计师应该设计工作范围，以维护内部审计部门的可信度和声誉等。2、在计划正式咨询业务时，内部审计师应该设计相关目标。在管理层提出特殊要求时，如果内部审计师认为应该追求的目标超出了管理层所要求的目标，可采取以下行动：（1）说服管理层包括其他目标；（2）在文件中记录没有追求有关目标的情况，并在最终报告中披露；（3）在随后单独开展的保证性业务中包括这些目标。 3、正式咨询业务的工作方案应该记录目标、范围以及为实现目标而采取的方法。方案的形式和内容可根据咨询业务的性质有所不同。内部审计师应该根据管理层的要求来扩展或限制业务范围，但应确保工作范围足以实现咨询业务的目标。咨询业务目标、范围和条件应该在工

57、作过程中定期得到重新评价和调整。4、内部审计师应该留意风险管理和控制过程的效果，并提请管理层注意他们发现的风险或重大控制薄弱环节。在有些情形下，内部审计师也应该将自己关注的问题报告管理层、审计委员会和或董事会。内部审计师还应该：(1)确定风险或薄弱环节的严重性，以及已经采取或考虑采取的行动；(2)证实管理层、审计委员会和或董事会在要求报告这些事项方面的期望。 （四）报告正式咨询业务的结果(第2410C1条标准、第2440C1条标准)1、对工作进度和结果的报告在形式和内容上根据业务的性质和客户需要的不同而不同。报告的要求一般由提出服务请求的人员决定，而且应该实现既定的目标，并得到管理层的同意。但是，报告的格式应该明确说明业务的性质和有关限制、约束或其他信息用户应该明白的因素。2、在某些情形下，内部审计师会认为应该扩展报告接收对象范围，此时可采取以下步骤：（1）确定协议中关于咨询业务和相关报告的规定；（2）努力说服接收或要求服务的人员自愿将报告内容传达给相关方面；（3）确定内部审计章程或内部审计部门政策/程序关于咨询报告的指导内容；（4）确定机