国际内部审计专业实务框架.docx

国际内部审计专业实务框架.docx

《国际内部审计专业实务框架.docx》由会员分享，可在线阅读，更多相关《国际内部审计专业实务框架.docx（81页珍藏版）》请在冰豆网上搜索。

国际内部审计专业实务框架

IIAInternationalProfessionalPracticeFramework（IPPF）

国际内部审计专业实务框架

（国际内部审计师协会2009年1月修订）

（红皮书）

中国内部审计协会译

★内部审计定义

★职业道德规范

★国际内部审计专业实务标准

★实务公告

修订说明

作为整合IIA所发布标准的概念性框架,《国际内部审计专业实务框架》的范围缩减到只包括由IIA国际技术委员会按照适当程序制定的权威标准。

该权威标准由以下两部分构成:

强制性指南。

遵循强制性指南的原则对于内部审计专业实务就是必须且重要的。

强制性指南的制定遵循既定的尽职审查程序,包括公布征求意见稿,广泛听取各界的意见。

《国际内部审计专业实务框架》的三个强制部分为“内部审计定义”、《职业道德规范》与《国际内部审计专业实务标准》（以下简称《标准》）。

强力推荐的指南。

强力推荐的指南就是IIA通过正式批准程序认可的,阐述有效执行“内部审计定义”、《职业道德规范》与《标准》的实务,包括立场公告、实务公告与实务指南。

《内部审计专业实务框架》（PPF）

强制性

强力推荐

IIA认可或制定

内部审计定义

√

职业道德规范

√

标准

√

实务公告

√

发展与实务帮助

√

↓

《国际内部审计专业实务框架》（IPPF）

强制性

强力推荐

内部审计定义

√

职业道德规范

√

标准与释义

√

立场公告

√

实务公告

√

实务指南

√

新版IPPF所作的重大改变就是:

（1）程序改进。

加强了IPPF的各个部分,提高了透明度并确定了权威标准与修订周期。

标准的修订周期目前确定为三年,尽管并非每三年都需要进行修改,IIA仍致力于确保对标准作全面的审核,并视需要进行修订。

（2）发展与实务帮助。

这一部分不再纳入柜架体系。

它曾经包含了内部审计师在工作过程中可能会用到的所有资源（例如培训、出版物与研究报告等）。

由于新版IPPF的范围只包括上述的权威标准,这项内容不再适合于新的框架。

（3）释义。

这就是新增的对标准中的术语与短语作出的进一步阐释,置于需要加以解释的相关标准条款之下。

（4）实务公告。

这部分内容在范围上已经缩减为只包括用于实施“内部审计定义”,《职业道德规范》与《标准》的技术与方法。

原框架中涉及工具及技术方法的内容已经移至实务指南部分。

（5）实务指南的立场公告。

这就是IPPF新增的内容,实务指南侧重于在工具与技术的具体运用方面提供指引,包括详细的流程、程序、方案与步骤（例如每一步所形成的结果的范例）。

立场公告表明IIA关于内部审计在特定事项中的角色及职责所持的立场或观点。

前言

IPPF包括下列内容:

强制性指南

内部审计定义

阐明内部审计的基本宗旨、性质与工作范围。

职业道德规范

阐明开展内部审计活动的个人或机构需要遵循的原则与行为规范,表明了对执业行为规范的最低要求,而不就是具体活动。

内部审计实务标准（《标准》）

以原则为导向的强制性要求,为实施与推动内部审计提供了柜架,其组成内容包括:

·关于内部审计专业实务与评价内部审计工作效果的基本要求的条款,这些要求普遍适用于全球范围内的组织与个人。

·释义,对《标准》中名词或概念作出解释。

为了正确理解与适用《标准》,需要同时考虑相关阐述与释义,《标准》所用术语的特定含义在“词汇表”部分有详细解释。

强力推荐指南

立场公告

立场公告有助于对内部审计感兴趣的社会各界了解重大治理、风险或控制事项以及内部审计在其中扮演的角色与作用。

实务公告

实务公告主要帮助内部审计师适用内部审计定义、《职业道德规范》与《标准》,同时推动良好的实践。

实务公告涉及开展内部审计的方式、方法与需要考虑的因素,但就是不包括详细的过程与程序。

实务公告包含的内部审计实务与跨国、国内或特定行业的事项、特定业务类型以及法律法规事宜相关。

实务指南

实务指南为开展内部审计活动提供详细的指引,包括具体的过程与程序,例如工具、技术、程序以及分步骤的方法与形成书面文件的范例。

IPPF包括两类指南。

1、强制性指南,包括:

·内部审计定义;

·职业道德规范;

·内部审计实务标准。

《标准》的强制性质通过使用“必须”一词加以强调。

《标准》中“必须”特指无条件的强制性要求。

在某些例外情况下使用“应当”一词来表示期待相关要求得到遵守,除非根据专业判断所涉情形允许偏离《标准》的要求。

遵循强制性指南的要求对于内部审计师与内部审计部门有效地履行职责就是至关重要的。

《职业道德规范》要求内部审计师依据《标准》提供内部审计服务。

内部审计师就是指国际内部审计师协会会员,已经或正在获取IIA职业教育资格的人员以及按照内部审计定义的界定提供内部审计服务的人员。

强制性指南适用于提供内部审计服务的个人或机构。

2、强力推荐的指南,包括:

·立场公告;

·实务公告;

·实务指南。

强力推荐的指南通过了IIA的认可,由IIA国际技术委员会按照规定的流程制定。

这类指南不具强制性,而就是为满足强制性指南的要求提供一系列适用的解决方案。

强力推荐的指南并非旨在为特定情况给出明确的答案,因此更宜于用作指引。

针对特定的具体情况,IIA建议可以寻求独立专家的意见。

强力推荐的指南可以由胜任的内部审计师凭借其专业判断加以运用。

内部审计定义

内部审计就是一种独立、客观的确认与咨询活动,旨在增加价值与改善组织的运营。

它通过应用系统的、规范的方法,评价并改善风险管理、控制与治理过程的效果,帮助组织实现其目标。

职业道德规范

简介

国际内部审计师协会的《职业道德规范》目的就是促进内部审计职业道德文化的发展。

内部审计就是一种独立、客观的确认与咨询活动,旨在增加价值与改善组织的运营。

它通过应用系统的、规范的方法,评价并改善风险管理、控制与治理过程的效果,帮助组织实现其目标。

《职业道德规范》对于内部审计职业必要而又适用,它就是内部审计对治理、风险管理与控制作出的客观确认之所以被信任的基础。

《职业道德规范》延展了内部审计的定义,包括两个主要部分:

1、与内部审计职业与内部审计实务相关的原则。

2、描述内部审计师行为规范的行为规则。

这些规则有助于将上述原则运用于实践中,目的在于指导内部审计师的道德行为。

“内部审计师”指协会会员、IIA职业资格的获得者或申请者以及那些在内部审计定义范围内提供内部审计服务的人。

适用性与执行

《职业道德规范》既适用于提供内部审计服务的个人、也适用于提供内部审计服务的团体。

对于违反《职业道德规范》的协会会员,IIA职业资格的获得者或申请者,将根据协会的规章的制度予以评价与管理。

在行为规则中没有提及的特殊行为,如果其无法被接受或有损信誉,协会会员、IIA职业资格的获得者或申请者将接受纪律处罚。

职业道德规范

原则

内部审计师应运用并信守以下原则:

1.诚信。

内部审计师的诚信确立信用,从而为信任其判断提供基础。

2.客观。

内部审计师在收集、评价与沟通有关被检查活动或过程的信息时,要显示出最高程度的职业客观性。

在作出判断时,内部审计师不受其个人喜好或她人的不适当影响,对所有相关环境作出公正的评价。

3.保密。

内部审计师尊重所获取信息的价值与所有权,没有适当授权不得披露信息,除非就是在有法律或职业义务的情况下。

4.胜任。

内部审计师在执行内部审计业务时能够使用所需要的知识、技能与经验。

行为规则

1.诚信。

内部审计师:

1、1应当诚实、勤恳并负责地开展工作。

1、2应当遵守法律,按照法律与职业要求进行披露。

1、3不得蓄意参与非法活动,或参加有损于内部审计职业或其所在组织的行为。

1、4应当遵守并协助实现组织的法律与道德目标。

2.客观。

内部审计师:

2、1不应参与可能损害或被认为会损害其公正评价的活动或关系,包括参与与组织利益相冲突的活动与关系。

2、2不能接受可能损害或被认为会损害其职业判断的任何物品。

2、3应当披露已知的,如果不予披露,可能会歪曲检查工作报告的所有重大事实。

3.保密。

内部审计师:

3、1应当谨慎利用与保护履行职责过程中获取的信息。

3、2不应当利用信息牟取私利,或者以任何有悖法律规定或有损组织法律与道德目标的方式使用信息。

4.胜任。

内部审计师:

4、1应当只从事与其所具备的知识、技能或经验相适应的服务活动。

4、2应当依据《国际内部审计专业实务标准》开展内部审计报务。

4、3应当持续提高专业能力与服务的效果、质量。

国际内部审计专业实务标准

《标准》的宗旨就是:

·描述反映内部审计实务的基本原则;

·为开展与推动各类具有增值效应的内部审计业务提供框架;

·建立评估内部审计业绩的依据;

·促进组织流程与运营的改善。

《标准》就是以原则为导向的强制性要求,其组成内容包括:

·对组织与个人普遍适用的关于内部审计专业实务及其业绩评价基本要求的阐述;

·对阐述中所含术语或概念的释义。

《标准》用“必须”一词来表示无条件的强制性要求,并用“应当”一词来表示期待相关要求得到遵守,除非根据专业判断所涉情形允许偏离《标准》的要求。

《标准》由属性标准与工作标准组成。

属性标准说明开展内部审计活动的组织与个人的特征。

工作标准描述内部审计活动的性质,并提供了衡量内部审计活动的实施质量的准绳。

属性标准与工作标准适用于所有的内部审计服务。

实施标准就是对属性标准与工作标准的扩充,提供适用于确认服务（A）与咨询服务（C）的相关要求。

确认服务指内部审计师为了对机构、业务、流程、系统或其她对象提供独立意见或结论而作出的客观评价。

确认服务的性质与范围由内部审计师确定。

咨询服务本质上就是一种顾问服务,一般应客户的具体要求而开展。

咨询服务的性质与范围需与客户协商确定。

在开展咨询业务时,内部审计师应保持客观性,不承担管理责任。

属性标准

1000—宗旨、权力与职责

内部审计部门的宗旨、权力与职责必须在内部审计章程中按照内部审计定义、《职业道德规范》与《标准》的相关内容正式确定。

首席审计执行官必须定期审查内部审计章程,并提交高级管理层与董事会审批。

释义

内部审计章程就是确定内部审计活动宗旨、权力与职责的正式文件。

它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员与实物资产,界定内部审计活动的范围。

内部审计章程的最终审批权在董事会。

1000、A1—向组织提供的确认服务的性质必须在内部审计章程中明确规定。

如果内部审计部门向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。

1000、C1—咨询服务的性质必须在内部审计章程中确定。

1010—在内部审计章程中确认“内部审计定义”、《职业道德规范》与《标准》

“内部审计定义”、《职业道德规范》与《标准》的强制性质必须在内部审计章程中得到确认。

首席审计执行官应当向高级管理层与董事会解释并讨论“内部审计定义”、《职业道德规范》与《标准》。

1100—独立性与客观性

内部审计部门必须保持其独立性,内部审计师必须客观地开展工作。

释义

独立性指内部审计部门或首席审计执行官不偏不倚地履行职责,免受任何威胁其履职能力的情况影响。

要达到有效履行内部审计部门职责所必须的独立程度,首席审计执行官需要直接且无限制地与高级管理层与董事会接触。

这一要求可以通过建立双重报告关系来实现。

独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门与整个组织等不同层面上得到解决。

客观性指不偏不倚的工作态度,保持客观性,内部审计师方可在开展业务时确信其工作成果,不做任何质量方面的妥协。

客观性要求内部审计师对于审计事项的判断不得屈服于她人。

客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门与整个组织等不同层面上得到解决。

1110—组织的独立性

首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。

首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。

1110、A1—内部审计部门在确定内部审计范围、开展工作与报告结果时,必须免受干预。

1111—与董事会的直接互动

首席审计执行官必须与董事会直接沟通与互动。

1120—个人的客观性

内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。

释义

利益冲突就是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。

这些职业或个人利益会影响内部审计师公正地履行职责。

在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。

利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。

利益冲突更可损害内部审计师个人客观履行其职责的能力。

1130—对独立性或客观性的损害

如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。

披露的性质视受损情况而定。

释义

对组织独立性与个人客观性的损害可能包括但不限于:

个人利益冲突,工作范围限制,接触记录、人员与实物资产的限制,在经费等资源方面受到约束等。

独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门与首席执行官应当对高级管理层与董事会承担的责任,以及损害的性质。

1130、A1—内部审计师必须避免评价其以往负责的特定业务。

如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到损害。

1130、A2—确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方进行监督。

1130、C1—内部审计师可以对其以往负责的业务提供咨询服务。

1130、C2—若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露。

1200—专业能力与应有的职业审慎

内部审计师在开展业务时,必须具备专业能力与应有的职业审慎。

1210—专业能力

内部审计师必须具备履行其职责所必须的知识、技能与其她能力。

内部审计部门整体必须具备或获得履行其职责所必须的知识、技能与其她能力。

释义

“知识、技能与其她能力”就是一个集合术语,就是内部审计师有效履行其职责所必须的专业水平。

鼓励内部审计师通过取得适当的专业资格证书与认证,例如国际内部审计协会与其她相关专业组织提供的“注册内部审计师”与其她认证,以证明其专业能力。

1210、A1—当内部审计师缺乏完成全部或部分业务所必须的知识、技能或其她能力时,首席审计执行官必须向她人寻求充分的专业建议与协助。

1210、A2—内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现与调查舞弊为首要职责的人员所具备的专业技能。

1210、A3—内部审计师必须充分了解关键信息技术风险与控制以及可以获得的利用技术的审计方法,以开展工作,但不期望所有内部审计师均掌握专门从事信息技术审计的内部审计师所具备的专门技能。

1210、C1—当内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其她能力时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议与协助。

1220—应有的职业审慎

内部审计师必须具备并保持合理的审慎水平与胜任能力所要求的谨慎与技能。

但就是,应有的职业审慎并不意味着永不犯错。

1220、A1—内部审计师必须通过考虑以下因素,履行其应有的职业审慎:

·为实现业务目标而需要开展工作的范围;

·所要确认事项的相对复杂性、重要性或严重性;

·治理、风险管理与控制过程的适当性与有效性;

·发生重大错误、舞弊或不合法的可能性;

·与潜在效益相对的确认成本。

1220、A2—在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法与其她数据分析技术。

1220、A3—内部审计师必须警惕可能影响目标、运营或资源的重大风险。

但就是,即使就是以应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险。

1220、C1—开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:

·客户的需要与愿望,包括咨询结果的性质、时间安排与结果沟通;

·实现咨询业务目标所需开展工作的相对复杂性与范围;

·与潜在效益相对的咨询业务成本。

1230—持续职业发展

内部审计师必须通过持续职业发展来增加知识、提高技能与其她能力。

1300—质量保证与改进程序

内部审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。

释义

质量保证与改进程序旨在对内部审计活动就是否遵循“内部审计定义”与《标准》以及内部审计师就是否遵守《职业道德规范》进行评估,还可以用来评价内部审计活动的效果与效率,并识别改进的机会。

1310—质量保证与改进程序的要求

质量保证与改进程序必须包括内部评估与外部评估。

1311—内部评估

内部评估必须包括:

·对内部审计活动执行情况的持续监督;

·通过自我评估或由组织内部其她充分了解内部审计实务的人员进行定期检查。

释义

持续监督包含在对内部审计活动进行日常监督、检查与测试的过程中。

持续监督应纳入管理内部审计活动的日常政策与实践,运用必要的流程、工具与信息对内部审计活动就是否遵循“内部审计定义”、《职业道德规范》与《标准》作出评估。

定期检查就是针对内部审计活动就是否遵循“内部审计定义”、《职业道德规范》与《标准》而开展的评估工作。

充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。

1312—外部评估

外部评估必须至少每五年开展一次,必须由来自组织外部、合格且独立的检查人员或检查小组负责实施。

首席审计执行官必须与董事会讨论:

·更为频繁地开展外部评估的必要性;

·检查人员或检查小组的资格与独立性,包括任何潜在的利益冲突。

释义

合格的检查人员或检查小组由能够胜任内部审计专业实务与外部评估工作的人员组成。

对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验与专业资格证书,还需要考虑就接受评估的内部审计部门所在组织而言,检查人员所属机构的相对规模与复杂程度,以及就是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。

独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在的组织。

1320—对质量保证与改进程序的报告

首席审计执行官必须向高级管理层与董事会报告质量保证与改进程序的结果。

释义

质量保证与改进程序结果的报告形式、内容与频率需要通过与高级管理层与董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门与首席审计执行官的职责。

为反映内部审计活动对“内部审计定义”、《职业道德规范》与《标准》的遵循情况,外部评估与定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次。

上述结果包括检查人员或检查小组对遵循程度的评估。

1321—对“遵循《标准》”的应用

只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,首席审计执行官才可以进行“遵循《标准》”的声明。

1322—对未遵循情况的披露

若未遵循“内部审计定义”、《职业道德规范》与《标准》的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层与董事会披露未遵循事项及其影响。

工作标准

2000—内部审计活动的管理

首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。

释义

内部审计活动符合下列情况时,属于得到了有效的管理:

·内部审计部门的工作结果达到了内部审计章程所包含的目的与责任;

·内部审计活动遵循了“内部审计定义”与《标准》;

·内部审计人员遵循了《职业道德规范》与《标准》。

2010—计划

首席审计执行官必须以风险为基础制定计划,以确定与组织目标相一致的内部审计活动重点。

释义

首席审计执行官负责以风险为基础制定计划。

制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。

如果尚未建立风险管理框架,首席审计执行官可以与高级管理层与董事会磋商后,自行作出风险判断。

2010、A1—内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次。

在计划制定过程中,必须考虑高级管理层与董事会的意见

2010、C1—首席审计执行官在考虑就是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。

已经接受的咨询业务必须纳入计划。

2020—沟通与批准

首席审计执行官必须将内部审计活动的计划与资源需求,包括重大的临时性变化,报高级管理层与董事会审批。

首席审计执行官还必须就资源受限制的影响与高级管理层与董事会进行沟通。

2030—资源管理

首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。

释义

“适当”就是指实施计划所必需的知识、技能与其她能力的组合。

“充分”就是完成计划所必需的资源数量。

资源有效配置就是指资源以能够最优实现获批计划的方式被运用。

2040—政策与程序

首席审计执行官必须制定政策与程序,为内部审计活动提供指导。

释义

政策与程序的形式与内容取决于内部审计部门的规模、架构及其工作的复杂程度。

2050—协调

首席审计执行官应当与相关确认与咨询服务的其她内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。

2060—向高级管理层与董事会报告

首席审计执行官必须定期向高级管理层与董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况,报告中还必须包括重大风险披露与控制事项,其中包括舞弊风险、治理以及高级管理层与董事会需要或要求的其她事项。

释义

报告频率与内容要经过与高级管理层与董事会的讨论后确定,同时取决于所报告信息的重要性以及高级管理层与董事会采取相关行动的紧迫程度。

2100—工作性质

内部审计活动必须应用系统、规范的方法,评估并协助改善治理、风险管理与控制过程。

2110—治理

内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:

·在组织内部推广适当的道德与价值观;

·确保整个组织开展有效的业绩管理、建立有效的问责机制;

·向组织内部有关方面通报风险与控制信息;

·协调董事会、外部审计师、内部审计师与管理层之间的工作与信息沟通。

2110、A1—内部审计部门必须针对组织内与职业道德相关的目标、计划与业务,评估其设计、实施与效果。

2110、A2—内部审计活动必须评估组织的信息技术治理就是否持续支持组织的战略与目标。

2110、C1—咨询业务的目标必须与组织的总体价值与目标保持一致。

2120—风险管理

内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献。

释义

确定风险管理过程就是否有效就是内部审计师对下列事项进行评估后的判断:

·组织目标支持组织的使命并与其保持一致;

·重大风险得到识别与评估;

·选定适当的风险应对方案,并符合组织的风险偏好;

·获取相关的风险信息并在组织内部及时沟通,以便员工、管理层与董事会履行其相关职责。

风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。

2120、A1—内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:

·财务与运营信息的可靠性与完整性;

·运营的效果与效率

·资产的安全

·对法律、法规及合同的遵循情况。

2120、A2—内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险;

2120、C1—在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,