内审实务手册(又称“红皮书”)-

1、内审实务标准化属性1000-宗旨、权力和职责内部审计活动的宗旨、权力和职责应在章程中进行正式的界定,这样的界定应与标准保持一致,并须经董事会通过。1、“内部审计”是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。2、“宗旨、权力和职责”是指内部审计工作的目的和责任,以及为达致目的、完成职责所需的权力和条件。明确内部审计的宗旨、权力和职责是内部审计工作最重要的问题之一,整本标准都是围绕内部审计的宗旨、权力和职责展开的,或者说标准就是用来说明内部审计的宗旨、权力和职责及其实现的

2、。3、“章程”是用以确定内部审计部门的宗旨、权力和职责的正式书面文件,它应该:(1确定内部审计部门在机构中的地位;(2授权审计人员接触与开展内部审计工作相关的资料、人员和实物财产;(3规定内部审计活动的范围。审计执行主管应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理机构对章程的认可。章程一经批准便形成管理当局与内部审计机构双方的协议,内部审计机构可以根据章程的授权不受限制地开展工作。章程同时也是内部审计机构和管理当局评价内部审计工作质量的依据。审计执行主管应该定期评价章程中所规定的宗旨、权力和职责是否足以使内部审计活动实现其目标,评价的结果必须通报给高级管理层和董事会。1000

3、.A1章程中应明确向机构和第三方提供的保证服务的性质。1000.C1章程中应对咨询服务的性质加以定义。咨询服务范围很广,包括有书面协议规定的正式的咨询服务和诸如参加常务或临时的管理委员会或项目小组等咨询服务。内部审计师应该利用自己的专业判断,决定标准中的指导原则的适用程度。在一些特殊的咨询业务中(如参与收购、兼并项目或检查灾难恢复活动等紧急工作,可能需要偏离常规或规定的程序开展咨询服务。审计执行主管应该确定对机构内部业务进行分类的方法,有些情况下比较适合开展将咨询和保证服务综合成一体的“合并”业务。内部审计师可能应管理层的要求,将咨询服务作为日常业务来开展。每个机构都应该考虑将要提供的咨询业务

4、的类别,并确定是否应该为每种业务开发专门的政策或程序。如果对服务内容开展保证性工作更为合适,而且提出进行咨询的目的是逃避或使他人逃避保证性业务的有关要求,审计师一般不应该同意开展咨询服务。但这并不排除在更适合开展咨询服务的情形下,调整有关方法,对曾经作为保证性业务领域的内容提供咨询服务。一、开展咨询活动的原则内部审计师应考虑以下事项:1、内部审计活动的价值主张价值主张在内部审计定义中有所体现。2、与内部审计定义保持一致。3、保证与咨询服务之外的审计活动。4、保证与咨询之间的相互关系它们并非相互排斥的,多数审计服务既包括咨询活动也包括保证活动。咨询服务通常是由保证服务直接产生的,但它也可能衍生出

5、保证服务。5 、通过内部审计章程赋予内部审计部门开展咨询服务的权力。6、客观性审计师通过开展咨询服务,会对与保证性审计业务有关的工作程序或问题有更深入的了解。咨询服务不一定损害内部审计的客观性。内部审计不起管理决策作用。是否采纳或实施内部审计咨询服务所提出的建议由管理层决定。7、内部审计提供咨询服务的基础内部审计部门遵守最高客观性标准,而且它对机构的程序、风险及战略有全面的了解。8、基本信息的传达内部审计的首要存在价值是给高级管理层和审计委员会提供保证服务。如果隐瞒审计执行主管认为应该报告的信息,就无法开展咨询工作。9、机构所理解的咨询工作的原则机构必须制定并公布一些被全体成员所了解的基本规定

6、,这些规定应该在章程中体现出来。10、正式的咨询业务管理层经常聘请外部顾问开展正式的、时间跨度很长的咨询工作,但是,内部审计部门拥有完成某些正式咨询任务的独特优势。11、审计执行主管的职责咨询服务使审计执行主管得以与管理层交换意见,解决一些具体的管理问题,审计项目的广度和时间范围也会根据管理层的需要灵活安排,但是,审计执行主管保留确定审计技术的特权,并且在审计结果的性质和重大性程度足以带来重大风险时,保留向高级管理层和审计委员会报告的权利。12、解决冲突或新问题的标准IIA的职业道德规范及内部审计实务标准。二、开展正式咨询业务的其他考虑本部分的内容与多条咨询标准相关。(一内部审计师在咨询业务中

7、的独立性和客观性(第1130.C1条标准1、内部审计师有时被要求为他们曾经负责的或提供过保证服务的运营领域提供咨询服务。在开展服务前,审计执行主管应该核实董事会已经理解并批准提供咨询服务的概念。一旦获得批准,就应该修改内部审计章程,规定开展咨询服务的权力和责任,并制定相关的政策和程序。2、内部审计师应该在得出结论并向管理层提出建议时维护其独立性。如果在咨询服务开始之前就存在、或者在服务过程中发生损害独立性或客观性的情况,内部审计师应该马上向管理层披露。3、如果在开展正式咨询业务后的一年内又对同一领域提供保证性服务,内部审计师的独立性和客观性就会受到损害。可以通过以下措施来尽量降低不良影响:分配

8、不同的审计师对同一领域开展不同的业务、建立独立的管理和监督机制、为项目的不同结果确定独立的责任机制、披露假设的损害情况。管理层应该负责接受和实施这些建议。4、在涉及持续性的咨询业务时,内部审计师应该格外小心,以避免不恰当地或在无意中承担咨询业务的最初目标和范围中都没有提及的管理责任。(二咨询业务中的应有的专业审慎性问题(第1210.C1条标准、第1220.C1条标准、第2130.C1条标准、第2201.C1条标准1、在开展正式咨询业务时,内部审计师应该保持应有的专业审慎性,理解以下内容:(1管理人员的需要,包括咨询业务结果的性质、时间安排和报告;(2要求提供服务的动机和原因;(3工作的范围;(

9、4所需的技能和资源;(5咨询业务对审计委员会以前批准的审计计划的影响;(6对未来审计任务和业务的潜在影响;(7可以为机构带来的潜在好处。2、除了对独立性、客观性和应有的专业审慎性的考虑,内部审计师还应该:(1举办合适的会议并收集必要的信息,以评价将要提供服务的性质和范围;(2证实接收服务的人员理解并同意内部审计章程中所包括的相关指导内容、内部审计部门的政策和程序以及其他管辖咨询业务的指南。内部审计师应该拒绝从事章程禁止开展的、或与本部门政策和程序相冲突的以及不能为机构增值或不能服务于机构最大利益的咨询业务;(3评价咨询业务是否与内部审计部门的总体业务计划相一致;(4以书面协议或计划的形式记录正

10、式咨询业务的一般条件、共识、产品和其他关键因素。(三咨询业务的工作范围(第2010.C1条标准、第2110.C1和C2条标准、第2120.C1和C2条标准、第2130.C1条标准、第2201.C1条标准、第2210.C1条标准、第2220.C1条标准、第2240.C1条标准、第2330.C1条标准、第2410.Cl 条标准、第2440.C1和C2条标准1、内部审计师应该就咨询业务的目标和范围与接收服务的人员达成共识。内部审计师应该设计工作范围,以维护内部审计部门的可信度和声誉等。2、在计划正式咨询业务时,内部审计师应该设计相关目标。在管理层提出特殊要求时,如果内部审计师认为应该追求的目标超出了

11、管理层所要求的目标,可采取以下行动:(1说服管理层包括其他目标;(2在文件中记录没有追求有关目标的情况,并在最终报告中披露;(3在随后单独开展的保证性业务中包括这些目标。3、正式咨询业务的工作方案应该记录目标、范围以及为实现目标而采取的方法。方案的形式和内容可根据咨询业务的性质有所不同。内部审计师应该根据管理层的要求来扩展或限制业务范围,但应确保工作范围足以实现咨询业务的目标。咨询业务目标、范围和条件应该在工作过程中定期得到重新评价和调整。4、内部审计师应该留意风险管理和控制过程的效果,并提请管理层注意他们发现的风险或重大控制薄弱环节。在有些情形下,内部审计师也应该将自己关注的问题报告管理层、

12、审计委员会和/或董事会。内部审计师还应该:(1确定风险或薄弱环节的严重性,以及已经采取或考虑采取的行动;(2证实管理层、审计委员会和/或董事会在要求报告这些事项方面的期望。(四报告正式咨询业务的结果(第2410.C1条标准、第2440.C1条标准1、对工作进度和结果的报告在形式和内容上根据业务的性质和客户需要的不同而不同。报告的要求一般由提出服务请求的人员决定,而且应该实现既定的目标,并得到管理层的同意。但是,报告的格式应该明确说明业务的性质和有关限制、约束或其他信息用户应该明白的因素。2、在某些情形下,内部审计师会认为应该扩展报告接收对象范围,此时可采取以下步骤:(1确定协议中关于咨询业务和

13、相关报告的规定;(2努力说服接收或要求服务的人员自愿将报告内容传达给相关方面;(3确定内部审计章程或内部审计部门政策/程序关于咨询报告的指导内容;测(第2500.C1条内部审计部门应该根据和客户达成的一致意见监测咨询业务的结果。对于不同的咨询业务可以采取不同类型的监测手段。监测工作取决于管理层对咨询业务的明确兴趣或内部审计师对项目风险或对机构价值的分析等。1100-独立性与客观性内部审计活动应该独立,内部审计师在开展工作时应做到客观。内部审计师在他们能自由、客观地进行工作时是独立的。独立性可使内部审计师提出公正的、不偏不倚的判断意见,这对审计工作的恰当开展是必不可少的。这一点要通过机构的状况和

14、客观性来获得。1110-机构独立性审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告。1、内部审计师应该取得高级管理层和董事会的支持。2、审计执行主管应该对机构中拥有充分权力的人负责,理想的情况是:对审计委员会、董事会或其他相关治理机构报告业务工作,向首席执行官报告行政工作。3、在董事会、审计委员会或其他相关治理机构举行的有关对审计、财务报告、机构治理和控制系统的监督职责的会议时,如果审计执行主管定期出席,就可获得直接交流的机会。审计执行主管每年至少应与董事会、审计委员会或其他相关治理机构单独会晤一次。4、审计执行主管的任免,应由董事会一致同意之后确定。1110.A1内部审计活动在确

15、定内部审计范围、实施审计及报告审计结果时应不受干扰。有时,审计客户与其他各方可能会要求内部审计师解释索要文件的原因,审计师应该根据具体情况确定是否披露原因。如果出现重大的不合规情况,就可能表明被审计环境不很公开,不利于合作氛围的形成。但是,这样的判断应该由审计执行主管根据具体的环境来作出。1120-个人的客观性内部审计师应有公正的态度,避免利益冲突。1、“利益冲突”指任何表面上或事实上都不符合机构的最大利益的各种关系。利益冲突会妨害个人客观地履行其职责。2、客观性是内部审计师在执行审计工作时必须保持的一种独立的精神状态。内部审计师不能在对有关审计事务作出判断时依附于他人的意向。3、客观性要求内

16、部审计师对他们的工作成果要有一种诚实的信条,而且不作重大的质量妥协。不得将内部审计师置于他们感觉无法做出客观的专业判断的处境中。4、分配职责时应避免潜在的或实际出现的利益冲突和偏见。审计执行主管应该定期获取这方面的信息。在可行的情况下,内部审计师被指派的工作应定期轮换。5、在提交审计报告之前,应该审查内部审计工作的结果,以合理保证审计工作的客观进行。6、内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的。审计工作所处的地位不应该成为接受酬金或礼物的理由。如果有人提供数目很大的酬金或贵重的礼品时,内部审计师应立即向领导报告。上述要求不包括接受一些一般公众都能得到

17、的或价值极小的宣传性的物品(例如钢笔、年历或样品等。1130-对独立性或客观性的损害无论独立性或客观性受损,都应将损害的具体情况向有关方面反映。反映的性质取决于损害的具体情况。1、如果已经出现或经合理推断认为可能出现利益冲突和偏见,内部审计师应该向审计执行主管进行报告。然后,审计执行主管应该重新指派审计师。2、审计范围的界限是对内部审计部门的一种限制,范围界限可能来自:(1章程对审计范围的规定。(2接触相关记录、人员和实物财产的规定。(3经批准的审计工作项目计划。(4必须实施的审计程序。(5经批准的人员配置计划和财务预算。3、最好以书面形式向董事会、审计委员会或其他相关治理机构报告审计范围受到

18、的限制及其潜在影响。如果机构、委员会、高级管理层或其他方面有变动,尤其需要进行这种报告。1130.A1内部审计师应避免评价他们以前负责过的工作。审计师在上年度负责一项工作之后,本年度又对该工作提供保证服务,则可以假定客观性受到了损害。一、评价内部审计师以前负责的运营工作1.内部审计师不应该承担机构运营责任。如果管理高层指示内部审计师开展非审计工作,他们必须明白,后者不是在以内部审计师的身份开展工作。而且,当内部审计师对他们在上一年度负责的或管辖的运营活动进行保证性检查时,其客观性就受到了损害。在交流宣传审计业务结果时,必须考虑这种损害。2、只要内部审计部门得到的任务涉及履行运营职责,在此领域的

19、审计客观性就受到了损害。3、对于借调或临时聘用的人员,只有在离开原岗位至少一年之后,才能分配他们参与审计他们以前负责的运营领域,否则将损害审计的客观性。如果已经这样分配了任务,则需要在监督审计任务和宣传审计结果时格外小心。4、如果内部审计师建议在实施系统控制或检查程序之前采用控制标准,不会损害其客观性。但是,如果审计师参与了这些系统的设计、安装、程序起草或操作工作,客观性就受到了损害。5、内部审计师偶尔开展非审计工作并在报告中全面披露不一定会损害独立性。但是,管理人员和内部审计师都需要对这种情况进行仔细考虑。二、内部审计师开展其他(非审计工作1、评估对独立性和客观性的影响的依据有:(1IIA的

20、职业道德规范与标准的规定;(2利益关系方(包括股东、董事会、审计委员会、管理层、立法机构、公共实体、管理机构及公众利益团体的期望;(3内部审计章程所允许和限制的内容;(4标准披露的要求;(5内部审计师接受的属于审计范围的活动或任务。2、如果内部审计师面临着接受一项非审计工作的机会,他应考虑到以下因素,以确定合适的行动方案。(1IIA的职业道德规范与标准要求内部审计活动具有独立性,内部审计师在开展工作时应该客观。A、如有可能,应避免接受非审计工作或任务。B、如果无法避免,就要求将独立性与客观性受损这一情况向有关方面进行披露。C、如果内部审计师在上年度负责一项工作之后,本年度又对该工作提供保证服务

21、,则可以假设其客观性受到了损害。D、如果有时管理层让内部审计师转向开展非审计性的工作,应该明白他们不是以内部审计师的身份开展此类工作。(2应根据潜在的损害性对包括法律、法规要求在内的各利益关系方的期望进行评估和分析。(3如果内部审计部门章程中对内部审计师开展非审计性的任务有具体的限制条款或限制性语言,应披露这些限制并与管理层商讨。如果管理层坚持这样的任务分配,审计师应向审计委员会或有关的公司治理机构报告并同其商讨。如果章程中没有规定,应考虑到以下几个指导方针。(4是否进行了评估?应与管理层、审计委员会和/或其他有关的利益关系方讨论评估的结果。应确定以下事项(其中一些事项是相互影响的:A、评估运

22、营性任务对于机构(在收支、声誉及影响方面的意义。B、评估该工作的持续时间长度及职责范围。C、评估职责分工的充分性。D、在报告审计结果时应考虑到对独立性或客观性的潜在损害,或损害出现的迹象。(5对运营任务的审计是否进行了披露?如果内部审计活动承担运营性的任务,并且审计计划中涵盖了该任务,那么审计师可以考虑以下几种方法。A、审计可以由合同规定的第三方实体、外部审计师或内部审计部门来进行。前两种情况可以使客观性的损害降到最低限度。在后一种情况下,客观性将受到损害。B、负有运营责任的审计师个人不应该参加到审计该运营的项目中。如果有可能,进行评估的审计师应该受到监督,并报告评估结果。C、应披露下列情况:

23、审计师所承担的运营责任、该运营对机构的重要性以及审计师与对该运营性任务进行审计的人员的关系。D、在相关的审计报告及常规性报告中,应对审计师承担运营性任务进行披露。1130.A2对审计执行主管负责的工作提供保证服务时,应由独立于内部审计活动以外的有关方面进行监督。1130.C1内部审计师可以提供与他们以前负责过的工作相关的咨询服务。1130.C2在内部审计师本人可能损害所要提供的咨询服务的独立性时,内部审计师在接受这项工作之前,应向客户说明此情况。1200-熟练性与应有的职业审慎性内部审计师应以熟练性与应有的职业审慎性开展审计业务。1、审计执行主管和每位内部审计师都有责任保证开展审计业务所必需的

24、专业水平,包括知识、技能和其他有关能力。2、内部审计师应该遵守专业行为标准。国际内部审计协会的职业道德规范通过包括以下两项主要内容,拓展了这方面的定义内容:(1与内部审计这一职业以及内部审计实务相关的原则:品德高尚、客观、保密、能力出众;(2行为标准说明了期望内部审计师遵守的行为规范。1210-熟练性内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力。开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力。每名内部审计师都应该:1、掌握一定的知识、技能和其他能力,包括:(1应用内部审计标准、程序和技术所必须的专业水平;(2与会计原则和技术有关的专业水平(广泛涉

25、及财务报告和记录的审计师必须拥有;(3对管理原则的理解;(4对会计、经济学、商法、税收、金融、量化方法和信息技术等领域的基本内容的深入领会。2、拥有开展有效人际交流的技能。3、拥有出色的口头和书面表达能力。审计执行主管应该在充分考虑工作范围和责任层次的前提下确定各职位的教育程度和工作经验要求,并获取每位未来审计师的资历和专业水平的合理保证。所有内部审计人员作为一个集体应该掌握开展内部审计所必须的知识和技能。1210.A1当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技巧或其他能力时,审计执行主管应向他人寻求有力的建议或帮助。1、内部审计部门应该拥有履行职责所必须的在会计、审计、经济

26、学、金融、统计、信息技术、工程、税收、法律、环境事务等学科获得资格证书的合格雇员,或应用合格的外部人员所提供的相关服务。2、外部服务提供者是指独立于内部审计部门所在机构、拥有某一学科或领域的专门知识、技能和经验的个人或公司,可以是精算师、会计师、评估师、证券专家、统计师、信息技术专家、机构外部审计师和其他审计机构。可以通过董事会、管理高层或审计执行主管来聘用外部服务提供者。3、下列情况可应用外部服务提供者:(1审计业务需要信息技术、统计学、税收、语言翻译等专门技能和知识,或者需要实现审计工作方案所确定的目标;(2对土地、建筑物、艺术品、宝石、投资和复杂的金融工具进行资产评估:(3确定矿藏和原油

27、储存等资产的数量或实际情况;(4衡量根据正在履行的合同而完成的和即将完成的工作;(5开展舞弊和安全调查;(6通过应用精算确定雇员福利欠款等专门方式来确定有关金额;(7解释法律、技术和管理要求;(8根据标准第1300条评估内部审计部门的质量改善项目;(9兼并和收购。4、审计执行主管如果希望应用并依赖外部服务提供者的工作,就应该对外部服务提供者的能力、独立性和客观性进行评价,评价的结果应该向管理高层或董事会进行恰当通报。(1价外部服务提供者的知识、技能和其他能力可从以下几个方面评价:专业证明、执照等能力证明;在有关专业机构的会员资格和遵守职业道德规范的情况;声誉;知识和经验;在相关学科接受的教育和

28、培训;(2评价外部服务提供者的独立性和客观性审计执行主管应该分析外部服务提供者与机构和内部审计部门的关系,确定不存在会妨碍外部服务提供者公正地进行判断和得出结论的财务、机构或私人关系。应该考虑外部服务提供者:可能在机构拥有的经济利益;可能与机构董事会成员、管理高层或其他人员发生的私人或专业关系;可能已经与机构或被审计活动发生的关系;可能正在为机构提供的其他持续服务的范围;可能拥有的赔偿机制或其他优惠条件。如果外部服务提供者同时也是机构的外部审计师,而审计业务的性质又是延伸审计服务,审计执行主管应该保证所开展的工作不会损害外部审计师的独立性。延伸审计服务指外部审计师一般公认的审计标准所定要求范围

29、之外的服务业务。如果外部审计师以管理高层或机构雇员的身份开展工作,其独立性就会受到损害。此外,外部审计师可以为机构提供诸如税收和咨询等其他服务。但是,应该从外部服务提供者提供的所有服务的角度全面评价其独立性。审计执行主管应该获取关于外部服务提供者所开展工作的充分信息。可以以审计业务函或审计合同的方式对相关事项进行文字记录。审计执行主管应该与外部服务提供者一起检查以下内容:工作的目标和范围;希望在审计业务交流工作中覆盖的具体事项;对相关记录、人力资源和实物财产的获取情况;关于拟应用的假设和程序的信息;工作底稿的所有权和监护权;信息的保密和限制要求。如果外部服务提供者开展内部审计工作,审计执行主管

30、应该具体说明并保证这些工作遵守标准的要求。在检查他们的工作时,应该评价其工作是否充分。(3通报在进行审计业务情况通报时,审计执行主管可以指出外部服务提供者所提供的具体服务,并将通报意图通知外部服务提供者。在合适的情形下,审计执行主管应该在指出这些服务内容之前与外部服务提供者就有关方面达成一致意见。1210.A2内部审计师应具有发现舞弊线索所需的足够知识。但并不希望内部审计师具备主要责任是发现和调查舞弊的人员的专门技能。“舞弊”指所有具有欺骗、隐瞒或破坏信任特征的非法行为。这些行为不依靠暴力或武力威胁。个人和机构为获取金钱、财产或服务,避免付费或失去服务,或获取个人或商业优势都会犯下舞弊罪。1、

31、舞弊可以是为机构谋利,也可以给机构带来损害。机构内外部的人都可以进行舞弊。(1为机构谋利的舞弊这类舞弊一般通过利用不公正的或不诚实的优势欺骗外部有关方面,从而产生期望利益。舞弊者经常会获取间接的个人利益。例如:·出售或分配子虚乌有的或错报的资产;·进行非法政治捐款、行贿、提供回扣、向政府官员/政府官员的中介/客户/供应商支付酬金等不当行为;·故意错报或错误评估业务交易、资产、负债或收入;·对转移支付故意进行不当定价;·进行故意的不当关联方交易;·故意没有记录或披露重要信息;·开展明令禁止的商业活动;·税务欺诈。(2

32、危害机构的舞弊这类舞弊一般是为了直接或间接地给机构雇员、外部人员或其他机构谋利,例如:·收受贿赂和回扣;·将在正常情况下会给机构带来利润的潜在赢利交易转给雇员或外部人员;·贪污;·故意隐藏或错报事项或数据;·要求为实际上并未提供给机构的服务或商品支付款项。2、遏制舞弊遏制舞弊包括采取行动防止舞弊的发生,并在舞弊确实发生时限制其涉及范围。遏制舞弊的首要机制是控制。管理人员负有建立并维护控制的首要责任。内部审计师负责根据机构经营活动各方面的潜在风险水平,通过检查和评估内部控制系统的充分性和有效性来协助遏制舞弊。在履行这种职责时,内部审计师应该确定:

33、(1机构环境是否有助于培养控制意识;(2机构目标是否切实可行;(3是否拥有书面政策,对明令禁止的活动和发现违法现象时需要采取的行动进行说明;(4是否已经为开展业务交易制定并维护恰当的授权政策;(5机构是否开发有关政策、实务、程序、报告和其他机制,以便监测有关活动和护卫资产(尤其是在高风险领域;(6交流沟通渠道能否为管理人员提供充分可靠的信息;(7是否需要为建立或加强具有成本效益的控制措施提供建议。当内部审计师怀疑机构内部存在错误做法时,应告知机构有关主管人员,并就需要开展何种调查提出建议。此后,审计师应该不断追踪,确定内部审计部门的职责是否得到了履行。3、舞弊调查舞弊调查包括延伸实施必要的程序

34、,确定是否确实发生了舞弊,以及收集已发现舞弊的具体细节。内部审计师、律师、调查人员、安全人员和其他来自机构内部或外部的专家都经常开展或参与舞弊调查。在开展舞弊调查时,内部审计师应该:(1评价机构内部发生舞弊的概率和同谋程度;(2保证调查工作确实是由拥有恰当技术专长的人员来开展,而且这些人员与被调查人员或机构的任何雇员和管理人员都没有任何关系;(3设计相关程序,确认舞弊者、舞弊程度、所用技术和舞弊原因;(4只要条件合适就应该与管理人员、法律顾问和其他专家协调活动;(5认识到舞弊嫌疑人和调查范围内有关人员的权利以及机构本身的名誉。4、对舞弊的报告舞弊调查结束后,内部审计师就应该评价已知事实,并向管

35、理人员提供关于舞弊调查情况和结果的各种口头或书面、中期或最终的报告。报告应该包括调查发现、结论和建议意见。标准第2400条可用于解释作为舞弊调查结果公布的调查报告。对于舞弊报告的额外解释性指导如下:(1当审计师已在合理程度上确认机构发生了严重的舞弊现象时,应及时通知管理高层和董事会;(2调查结果可能表明舞弊在一年或几年中对机构的财务状况和经营成果已经产生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。内部审计师应该将此发现通知管理高层和董事会;(3关于舞弊的最终报告的草稿应该提交机构法律顾问审查。5、舞弊的发现舞弊的发现包括确认充分的舞弊迹象,以保证有充分的理由推荐开展舞弊调查。通

36、过管理人员建立的控制、审计师开展的测试和其他机构内外部渠道可能会使这些迹象浮出水面。内部审计师在发现舞弊方面的责任是:(1充分了解舞弊,包括舞弊的种类、特点、进行舞弊的技术等;(2警惕诸如控制薄弱环节等可以引发舞弊的机会。如果发现了严重的控制薄弱环节,内部审计师所开展的额外测试就应该包括旨在发现其他舞弊现象的测试。此类舞弊迹象包括:未经授权开展的交易、无视控制措施、未经解释的定价例外情形以及异常的巨额产品亏损。同时存在一种以上舞弊迹象增加了可能发生舞弊的概率;(3评估表示可能存在舞弊的有关迹象,并确定是否需要采取进一步的措施,或应该推荐开展调查;(4如果审计师确定已有充分迹象表明发生了舞弊,因

37、而推荐进行舞弊调查,那么,审计师就应通报机构主管人员。不指望内部审计师拥有与主要责任是发现和调查舞弊的人员相当的知识。而且,即使审计师以应有的职业审慎执行审计程序,审计程序本身并不能保证舞弊一定会被发现。管理层和内部审计部门在发现舞弊方面扮演了不同的角色。内部审计部门的常规工作程序是作为一项服务为机构提供独立的评价、检查和评估。在发现舞弊的过程中,内部审计的目标是向机构的有关成员提供对被审计活动的分析、评估、建议、咨询和信息,从而帮助其履行职责。审计工作的目标包括在合理的成本基础上促成有效的控制。管理层有责任在合理的成本基础上建立和维持有效的控制系统。在某种程度上,舞弊可能会出现在上述所定义的

38、常规审计过程中。内部审计师有责任履行“应尽的责任”,这点在第1220条标准中有定义。内部审计师应有足够的舞弊知识来确认可能发生舞弊的线索,警惕可能引起舞弊的机会,评估额外调查的需要并通报有关的管理层。一个设置良好的内部控制系统不应有益于舞弊的发生。审计人员实施的测试与管理层建立的合理控制相结合将会提升发现和进一步调查任何现存的舞弊线索的可能性。1210.C1当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他能力时,审计执行主管应婉言拒绝开展此项业务或向他人寻求有力的建议或帮助。1220-应有的职业审慎性内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技

39、能。应有的职业审慎性并不意味着永不出错。1、应有的职业审慎性应该适合正在开展的审计业务的复杂程度。内部审计师应该警惕故意犯错、发生错误和遗漏、消极怠工、浪费、工作无效和利益冲突等情况的可能性,以及最可能发生违法乱纪现象的情形和活动。此外,还应该确认控制不够充分的领域,并提出促进遵守可接受程序和实务的改进建议。2、应有的职业审慎性意味着合理的谨慎和能力,而不是永不出错或永不出现反常工作表现。她要求审计师在合理程度上开展检查和核证工作,但不要求对所有交易进行详细检查。相应地,内部审计师不能绝对保证机构不存在不遵守规定或违法乱纪现象。然而,无论何时开展内部审计,审计师都应该考虑存在重大违法乱纪现象或

40、不遵守有关规定的现象的可能性。1220.A1内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:·为实现审计目标而需要开展的审计工作的范围;·所要保证事项的相对复杂性、重大性和重要性;·风险管理、控制与治理过程的充分性和有效性;·严重错误、违规或不守法的概率;·与潜在利益相对的审计成本。“风险”是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。“控制”是指管理层、委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。管理层计划、组织并指导诸多方案的实施,以合理地保证目标得以实现。1220

41、.A2内部审计师应警惕可能影响目标、运营或资源的重大风险。但是,即使是以应有的职业审慎性开展工作,只依靠保证程序本身并不能保证发现所有的重大风险。1220.C1在开展咨询业务时,内部审计师应考虑到以下几个因素,以应有的职业审慎性开展工作:·客户的需求与期望,包括咨询结果的性质、时间选择与报告。·为实现咨询目标而需要开展的工作的相对复杂性与工作范围。·与潜在利益相对的开展咨询业务的成本。1230-继续职业发展内部审计师应通过继续职业发展来增长知识、提高技能及其他方面的能力。1、内部审计师有责任继续接受教育,维持其专业水平。2、鼓励内部审计师通过获得恰当的专业资格证书

42、(如:注册内部审计师头衔和其他国际内部审计师协会授予的头衔来展示其专业水平。3、拥有专业资格证书的内部审计师应该获得充分的继续专业教育,来满足与所持专业资格证书相关的要求。4、鼓励目前尚未拥有专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目。1300-质量保证与改进项目审计执行主管应制定并坚持开展质量保证与改进项目,该项目应涵盖内部审计活动的方方面面并不断监督内部审计活动的效果。设计该项目要有助于内部审计活动增加价值、改善机构的经营状况、并确保内部审计活动遵循标准与职业道德规范。“增加价值”指机构的设立,是为其所有者、其他利益关系方、顾客和客户创造价值或谋取利益。此概念说明了

43、它们存在的目的。他们通过开发产品和服务,利用资源推出这些产品和服务来提供价值。内部审计师在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些都应传达给相应的经营管理人员。1310-质量项目评价内部审计部门应采取一种程序,监督、评价质量项目的整体效用。该过程应包括内部与外部评价。1、质量项目的目的是在合理程度上保证内部审计工作遵守标准、职业道德规范、内部审计部门章程和其他适用标准。质量项目应该包括监督、内部评价及外部评价三个因素。2、上文所提及的合理保证既要满足审计执

44、行主管的需要,也要满足其他人员和机构的需要,如高级管理人员、外部审计师、董事会和管理机构。3、遵守适用的标准不仅仅是遵守既定的政策和程序,它还意味着必须迅速有效地开展工作。而质量对于迅速高效地开展工作以及维护内部审计部门的声誉都具有重要意义。4、衡量内部审计部门工作的一个关键标准是部门章程。可根据标准第1000条所具体说明的因素对章程进行评价。其他一些适用标准有:·职业道德规范;·内部审计部门的目的、政策和程序;·适用于内部审计部门工作的机构政策和程序;·具体说明审计和报告要求的法律、规定和政府/行业标准;·确定可审计活动、评价风险和确定审计业

45、务频率及范围的方法;·审计业务计划文件,尤其是提交给高级管理人员和董事会的计划文件;·机构计划以及内部审计部门的岗位要求说明、职位说明、职业发展计划。1311-内部评价内部评价应包括:·不断对内部审计活动的开展情况进行检查。·定期的检查可以通过自我评价进行,也可以由机构内部了解内部审计实务与标准的人员进行。1、对内部审计师的工作进行监督是为了保证遵守内部审计标准和审计方案。充分的监督是质量保证项目最重要的内容,是开展内部和外部评价的基础。标准第2340条和相关指南中规定了监督的性质和责任。2、应该由内部审计部门的人员定期开展正式的内部评价,评价工作的方法

46、应该与其他评价业务的方法一致,而且一般应由审计执行主管挑选的小组或个人来完成。大型内部审计部门可能指定专人担任质量保证经理或履行类似职责。3、内部质量评价主要服务于审计执行主管的需求,但也可以为高级管理人员和董事会服务。这些评价工作应该得到规划,以便指出内部审计部门对标准、政策的遵守程度及审计的有效性,并为改进审计工作提供建议。4、内部评价项目,特别是小型内部审计部门的内部评价项目,要求得到适当的调整,这些调整应考虑内部审计部门的结构以及审计执行主管在各审计项目中的参与程度。5、审计执行主管应该倡导并监测内部评价过程。挑选工作小组时,应该保证各成员在素质上合格,在工作上尽量独立。审计执行主管应

47、该检查每次正式内部评价的结果,并保证采取恰当的行为。虽然内部评价的目的是从内部评估内部审计部门工作的有效性,但是,审计执行主管将评价结果与部门外部有关人员(如高级管理人员、董事会和外部审计师分享可能比较合适。内部评价还可以作为自我评价过程的一部分协助外部评价的准备工作。6、以下方法可以提供对正式内部检查起补充作用的评价内容:(1由审计执行主管、审计经理或审计管理人员对其他审计管理人员指导开展的审计业务(审计管理进行抽样检查。(2在每项审计完成后或定期挑选有关审计业务,通过使用问卷或进行调查来获得客户对审计的反馈意见。1312-外部评价诸如质量保证检查的外部评价应至少每五年开展一次,由合格的、机

48、构外部的独立评价员或评价小组来进行。1、开展外部评价是为了评价内部审计部门的操作质量,它可以提供相当有价值的信息。它的另一重要目的是为高级管理人员、董事会和其他人员(包括需要依赖内部审计工作的外部审计师提供独立质量保证。审计执行主管应该与高级管理人员、董事会一起根据总的质量项目讨论外部评价工作的性质,并请高级管理人员、董事会参加外部检查人员的挑选工作。2、外部评价应该由独立于机构、并且在表面上和实际上与机构都没有利益冲突的合格人员开展。评价小组可以由来自机构外部的内部审计师、外部咨询顾问或外部审计师组成。在挑选外部检查人员时,应该考虑,鉴于检查人员过去或现在与机构或其内部审计部门的关系,可能存

49、在实际的或表面的利益冲突。3、由机构其他部门(如法律或财务部门的人员开展的评价,不是独立的外部评价,尽管这些部门在机构上独立于内部审计部门,但这些评价人员可能会引发实际的或表面的利益冲突。4、各国的外部审计机构已经具体说明了他们在评价和应用内部审计部门工作时应该考虑的某些有限检查程序。这些程序主要与内部审计的工作质量以及独立程度有关,而且经常与外部审计师对机构财务报表的审计有关,因而一般不会构成外部评价。1320-质量项目的报告审计执行主管应把外部评价结果报告给董事会。1、在完成外部评价后,检查小组应该出具包括关于内部审计部门对标准遵守情况的意见的正式报告。报告还应该涉及内部审计部门对本部门章

50、程和其他价的个人或机构。审计执行主管应该响应外部评价报告中的重要评论和建议,编制书面行动计划,并采取恰当的跟踪措施。2、对内部审计部门遵守标准情况的评价是外部评价的关键内容。但是,正如上文所述,评价时还应该考虑其他标准。1330-使用“内部审计工作依据标准开展”的声明鼓励内部审计师以内部审计活动“依据内部审计实务标准开展”来报告他们的活动。但是,只有在质量改进项目的评价结果表明内部审计活动是遵循了标准的情况下,内部审计师才可使用此声明。1、在世界各国,开展内部审计的环境(包括法律、风俗习惯、机构的目标、规模和结构等各不相同,标准的实施受到环境的管束。内部审计师在履行职责前遵守标准的有关规定是至

51、关重要的。2、标准为内部审计师提供了开展实际工作的框架。伴随标准的实务公告则对这些标准进行了解释,并说明了遵守这些标准的恰当手段。3、审计执行主管应该确定内部审计部门是否遵守标准,可以应用第1300-1340条标准和相关指南所确定的技术。1340-披露违规行为尽管内部审计活动的开展应完全与标准保持一致,内部审计师也应充分遵守职业道德规范,但偶尔也会出现不能完全遵守的情况。当不合规的行为影响到全局或影响内部审计活动的开展时,就应向高级管理层和董事会进行披露。内审实务标准:工作标准之一(2000-2240序列号2000-管理内部审计活动审计执行主管应有效地管理内部审计活动,确保内部审计活动为机构增

52、加价值。目的是实现由管理高层批准、董事会认可的内部审计部门章程所规定的总体目标和职责,高效利用内部审计部门的资源,并使内审活动符合标准的要求。 2010-制定审计计划审计执行主管应根据风险制定计划,来确定符合机构目标的、内部审计的工作1、计划包括以下内容:(1附带衡量标准和实现日期的目标;(2审计工作安排,如将开展哪些活动、计划审计日期、预计完成时间;(3人员配置计划和财务预算;(4部门报告。2、审计工作安排的重点应考虑以下事项:(1最近一次审计的日期和结果;(2对风险的评价;(3管理层的要求;(4与机构治理有关的问题;(5企业经营、制度、系统的主要变化;(6实现营业利益的机会;(7审计人员的

53、变动和工作能力。3、将审计计划与风险相联系(1应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划。(2审计范围可以包含机构战略性计划的组成部分,从而考虑并反映整个公司的计划目标。战略性计划也可能反映出机构对待风险的态度和实现既定目标的困难程度。建议至少每年对审计范围进行一次评估,以反映机构的最新战略和方针。(3应该在评估风险优先次序的基础上安排审计工作。风险因素有:金额的重大性、资产的折现力、管理能力、内部控制的质量、变化或稳定程度、上次审计业务开展的时间、复杂性、与雇员及政府的关系等。(4更新审计范围与计划的内容时,应该反映管理层的方针、目标、工作重心出现的变化。(5用于

54、检测、证实风险的技术与方法应该能够反映出风险的重大性与发生的(6在向管理层的报告中应该传达对风险管理的结论和建议,以降低风险。(7审计执行主管应该至少每年准备一份关于内部控制充分性的声明,以减少风险。声明应该对未防范风险的重大性及管理层对此风险的接受情况发表意见。2010.A1内部审计活动的业务计划应至少一年进行一次,并在风险评估的基础上制定。在制定计划的过程中,应考虑到高级管理层和委员会的意见。2010.C1审计执行主管应根据以下标准考虑是否接受所提议开展的咨询工作,即该工作在改善风险管理、增加价值、改善机构的运营方面的潜在作用。应在计划中罗列出已经接受的咨询工作。2020-报告与通过审计执

55、行主管应把内部审计活动的计划与资源要求(包括重要的、临时性变化提交高级管理层和委员会报告、审议通过。审计执行主管还应说明资源方面的限制可能带来的后果。1、每年,审计执行主管都应将内部审计部门关于工作安排、人员配备和财务计划等方面的总结、所有重要的中期变化报管理高层审批,报董事会参考。审计工作安排、人员配备和财务计划应该将内部审计工作的范围以及对这种范围的限制告知管理高层。2、经过审批的审计工作安排、人员配备和财务计划和所有重要的中期变化都应该包括充分的信息,使董事会能够确定内部审计部门的目标和计划能否支持机构和董事会的目标和计划。2203-资源管理审计执行主管应确保内部审计资源的适当性、充分性

56、及有效利用,以完成所通过的计划。1、评估内部审计资源(1人员配置计划和财务预算包括审计人员的数量以及开展审计工作所需要的知识、技巧和其他能力,应根据审计工作日程安排、管理活动、教育和培训需求以及审计研究和发展的情况来确定。规定:为每一个层次的审计人员制订书面的岗位说明;选择合格的和能够胜任工作的人员;培训每一位内部审计人员,并为提供后续教育的机会;至少每年一次对每个内部审计人员的业绩进行鉴定;向内部审计人员提供业绩和专业发展方面的咨询建议。2、美国证券监督委员会对外部审计师提供内部审计服务的独立性要求。(1美国证券监督委员会于2001年2月5日通过了关于外部审计师独立性的修正条例,以根据以下内

57、容确定审计师是否独立:.审计师或其家庭成员有没有对审计客户投资;.审计师或其家庭成员和审计客户之间有无雇佣关系;.审计公司向其审计客户提供的服务范围。服务范围的规定并不延伸至向非审计客户提供的服务。(2修正条例。.大大减少审计公司中相关雇员及其亲属的数目:在确定外部审计师的独立性时,这些人对审计客户的投资都归到审计师身上;.缩小其任职会影响外部审计师独立性的前任公司雇员数目及其亲戚圈;.确认一旦由外部审计师向公募公司审计客户提供会损害审计师独立性的某些非审计业务;.要求大多数公募公司在其年度代理投票声明中披露与外部审计师在最近一个财务年度提供的非审计服务有关的某些信息;.如果会计公司拥有质量控制并满足其他有关条件,那么即使它们无意出现独立性受损情况,也可以作为例外情形,不认为这些会计公司没有独立性。(3实施新条例的过渡日期如下:2002年8月5日以前:提供与评价、评估、发表公允性意见和内部审计服务有关的非审计服务不会影响会计师对此审计客户的独立性,条件是根据美国证券监督委员会、独立标准委员会或美国会计行业以前的要求开展这些业务不损害外部审计师的独立性。条在美国证券监督委员会登记上市的公司提供审计、检查或