国际内部审计专业实务框架 国际内部审计师协会 月修订 红皮书

1IIAInternationalProfessionalPracticeFramework(IPPF)国际内部审计专业实务框架（国际内部审计师协会2013年1月修订）（红皮书）中国内部审计协会译★内部审计定义★职业道德规范★国际内部审计专业实务标准★实务公告前言IPPF包括下列内容：强制指南内部审计定义阐明内部审计的基本宗旨，性质和工作范围职业道德规范阐明开展内部审计的个人或机构需要遵循的原则和行为规范， 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 明了对执业行为规范的最低要求，而不是具体活动国际内部审计专业实务标准以原则为导向的强制性要求，为实施和推动内部审计提供了框架，包括：一、关于内部审计专业实务和评价内部审计工作效果的基本要求的条款，这些要求普遍使用于全球范围内的组织和个人。二、释义，对标准中名词或者概念作出解释，使表达更加规范和统一。强力推荐指南立场公告立场公告表明内部审计在特定事项中的角色、职责、所持的立场以及观点。立场公告有助于对内部审计感兴趣的社会各界了解重大治理、风险和控制事项，以及内部审计在其中扮演的角色和发挥的作用实务公告实务公告主要帮助内部审计师适用“内部审计定义”，职业道德规范和标准，同时推动良好的实践。实务公告用于实施内部审计业务的方式，方法和需要考虑的因素，但是不包括详细的过程和程序。实务公告包括的内部审计实务与跨国、国内或特定行业的事项，特定业务类型以及法律法规事宜相关实务指南实务指南为开展内部审计活动提供详细的指引，包括具体的过程和程序，例如工具，技术，程序以及分步骤的方法和形成书面文件的范例IPPF包括两类指南：1.强制性指南，包括：·内部审计定义；·职业道德规范；·内部审计实务标准。《标准》的强制性质通过使用“必须”一词加以强调。《标准》中“必须”特指无条件的强制性要求。在某些例外情况下使用“应当”一词来表示期待相关要求得到遵守，除非根据专业判断所涉情形允许偏离《标准》的要求。遵循强制性指南的要求对于内部审计师和内部审计部门有效地履行职责是必须且重要的。《职业道德规范》要求内部审计师依据《标准》提供内部审计服务。内部审计师是指国际内部审计师协会会员，已经或正在获取IIA职业教育资格的人员以及按照内部审计定义的界定提供内部审计服务的人员。首席审计官（CAE）负责对《标准》的全面遵循。强制性指南适用于提供内部审计服务的个人或机构。2.强力推荐的指南，包括：·立场公告；·实务公告；·实务指南。强力推荐的指南通过了IIA的认可，由IIA国际技术委员会按照规定的流程制定。这类指南不具强制性，但它有助于对《标准》进行解释，或将《标准》应用于特定内部审计环境中。强力推荐的指南可以由胜任的内部审计师凭借其专业判断加以运用。AdministratorPencilAdministratorPencil2一、内部审计定义内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。二、职业道德规范1.简介国际内部审计师协会的《职业道德规范》目的是促进内部审计职业道德文化的发展。《职业道德规范》对于内部审计职业必要而又适用，它是内部审计对治理、风险管理和控制作出的客观确认之所以被信任的基础。《职业道德规范》延展了内部审计的定义，包括两个基本部分：1.与内部审计职业和实务相关的原则（共四条原则：诚信、客观、保密、胜任）。2.描述内部审计师预期行为规范的行为规则（在四条原则下共有十二条行为规则）。这些规则有助于将上述原则运用于实践中，目的在于指导内部审计师的行为。2.适用性与执行《职业道德规范》既适用于提供内部审计服务的个人，也适用于提供内部审计服务的团体。规范中的“内部审计师”指协会会员、IIA职业资格的获得者或申请者以及那些在内部审计定义范围内提供内部审计服务的人。对于违反《职业道德规范》的协会会员、IIA职业资格的获得者或申请者，将根据协会的规章的 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 予以评价和管理。3.职业道德规范1)原则内部审计师应运用并信守以下原则：1．诚信。内部审计师的诚信确立信用，从而为信任其判断提供基础。2．客观。内部审计师在收集、评价和沟通有关被检查活动或过程的信息时，要显示出最高程度的职业客观性。在作出判断时，内部审计师不受其个人喜好或他人的不适当影响，对所有相关环境作出公正的评价。3．保密。内部审计师尊重所获取信息的价值和所有权，没有适当授权不得披露信息，除非是在有法律或职业义务的情况下。4．胜任。内部审计师在执行内部审计业务时能够使用所需要的知识、技能和经验。2)行为规则1．诚信。内部审计师：1.1应当诚实、勤恳并负责地开展工作。1.2应当遵守法律，按照法律和职业要求进行披露。1.3不得蓄意参与非法活动，或参加有损于内部审计职业或其所在组织的行为。1.4应当遵守并协助实现组织的法律和道德目标。2．客观。内部审计师：2.1不应参与可能损害或被认为会损害其公正评价的活动或关系，包括参与与组织利益相冲突的活动。2.2不能接受可能损害或被认为会损害其职业判断的任何物品。2.3应当披露已知的，如果不予披露，可能会歪曲检查工作报告的所有重大事实。3．保密。内部审计师：3.1应当谨慎利用和保护履行职责过程中获取的信息。3.2不应当利用信息牟取私利，或者以任何有悖法律规定或有损组织法律和道德目标的方式使用信息。4．胜任。内部审计师：AdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencil34.1应当只从事与其所具备的知识、技能或经验相适应的服务活动。4.2应当依据《国际内部审计专业实务标准》开展内部审计报务。4.3应当持续提高专业能力和服务的效果、质量。三、国际内部审计专业实务标准《标准》既是内部审计专业的基础，也是《框架》的核心。其目标是：·描述反映内部审计实务的基本原则；·为开展和推动各类具有增值效应的内部审计业务提供框架；·建立评估内部审计业绩的依据；·促进组织流程和运营的改善。《标准》包括属性标准、工作标准和实施标准。属性标准（1000序列）说明内部审计部门特点和对人员的要求，主要描述了执行内部审计活动的组织和个人的特征，共有四条一般准则。工作标准（2000序列）描述内部审计工作的性质，并提供了衡量内部审计活动质量的准绳，从总体上说明内部审计服务，共有七条一般准则。实施标准（实务公告nnnn.Xn）是前两者在特定审计活动中的具体体现，可以更具体地指导内部审计人员将属性标准和工作标准应用于特定的内部审计活动中，分为针对确认活动（A）和咨询活动（C）两种主要的内部审计活动类型。确认服务指内部审计师为了对机构、业务、流程、系统或其他对象提供独立意见或结论而作出的客观评价。确认服务的性质和范围由内部审计师确定。咨询服务本质上是一种顾问服务，一般应客户的具体要求而开展。咨询服务的性质和范围需与客户协商确定。在开展咨询业务时，内部审计师应保持客观性，不承担管理责任。1.属性标准A、目标、权限和责任1000—宗旨、权力和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中正式确定，并与“内部审计定义”、《职业道德规范》和《标准》保持一致。首席审计官必须定期审查内部审计章程，并提交高级管理层和董事会审批。释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位，授权内部审计部门接触与业务开展相关的记录、人员和实物资产，界定内部审计活动的范围。内部审计章程的最终审批权在董事会。1000.A1—向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果内部审计部门向组织外部的有关方面提供确认服务，则此类确认服务的性质也必须在内部审计章程中确定。1000.C1—咨询服务的性质必须在内部审计章程中确定。1010—在内部审计章程中确认“内部审计定义”、《职业道德规范》和《标准》“内部审计定义”、《职业道德规范》和《标准》的强制性质必须在内部审计章程中得到确认。首席审计官应当向高级管理层和董事会解释并讨论“内部审计定义”、《职业道德规范》和《标准》。B、独立性和客观性1100—独立性和客观性内部审计部门必须保持其独立性，内部审计师必须客观地开展工作。释义独立性指内部审计部门或首席审计官不偏不倚地履行职责，免受任何威胁其履职能力的情况影响。要达到有效履行内部审计部门职责所必须的独立程度，首席审计官需要直接且无限制地与高级管理层和董事会接触。这一要求可以通过建立双重报告关系来实现。独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上AdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencil4得到解决。客观性指不偏不倚的工作态度，保持客观性，内部审计师方可在开展业务时确信其工作成果，不做任何质量方面的妥协。客观性要求内部审计师对于审计事项的判断不得屈服于他人。客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。1110—组织的独立性首席审计官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。1110.A1—内部审计部门在确定内部审计范围、开展工作和报告结果时，必须免受干预。1111—与董事会的直接互动首席审计官必须与董事会直接沟通和互动。1120—个人的客观性内部审计师必须有公正、不偏不倚的态度，避免任何利益冲突。释义利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象，削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计师个人客观履行其职责的能力。1130—对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害，必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。释义对组织独立性和个人客观性的损害可能包括但不限于：个人利益冲突，工作范围限制，接触记录、人员和实物资产的限制，在经费等资源方面受到约束等。独立性或客观性受损的细节必须披露的适当对象，取决于内部审计章程所记载的内部审计部门和首席执行官应当对高级管理层和董事会承担的责任，以及损害的性质。1130.A1—内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务，则其客观性视为受到损害。1130.A2—确认服务涉及首席审计官负责的职能领域时，必须由独立于内部审计部门的某一方进行监督。1130.C1—内部审计师可以对其以往负责的业务提供咨询服务。1130.C2—若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时，必须在接受该业务之前向客户披露。C、熟练程度和应有的职业审慎1200—专业能力与应有的职业审慎内部审计师在开展业务时，必须具备专业能力和应有的职业审慎。1210—专业能力内部审计师应具备履行其职责所必需的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必需的知识、技能和其他能力。释义“知识、技能和其他能力”是一个集合术语，是内部审计师有效履行其职责所必须的专业水平。鼓励内部审计师通过取得适当的专业资格证书和认证，例如国际内部审计协会和其他相关专业组织提供的“注册内部审计师”和其他认证，以证明其专业能力。1210.A1—当内部审计师缺乏完成全部或部分业务所必需的知识、技能或其他能力时，首席审计官必须向他人寻求充分的专业建议和协助。1210.A2—内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识，但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专业技AdministratorPencilAdministratorPencil5能。1210.A3—内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法，以开展工作，但不期望所有内部审计师均掌握专门从事信息技术审计的内部审计师所具备的专门技能。1210.C1—当内部审计师缺乏完成全部或部分咨询业务所必需的知识、技能或其他能力时，首席审计官必须谢绝开展此项业务或寻求充分的建议和协助。1220—应有的职业审慎内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。但是，应有的职业审慎并不意味着永不犯错。1220.A1—内部审计师必须考虑以下因素，履行其应有的职业审慎：·为实现业务目标而需要开展工作的范围；·所要确认事项的相对复杂性、重要性或严重性；·治理、风险管理和控制过程的适当性和有效性；·发生重大错误、舞弊或不合法的可能性；·与潜在效益相对的确认成本。1220.A2—在履行应有的职业审慎时，内部审计师必须考虑利用技术的审计方法和其他数据 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 技术。1220.A3—内部审计师必须警惕可能影响目标、运营或资源的重大风险。但是，即使是以应有的职业审慎开展工作，确认程序本身并不能保证发现所有的重大风险。1220.C1—开展咨询业务时，内部审计师必须考虑以下因素，履行其应有的职业审慎：·客户的需要与愿望，包括咨询结果的性质、时间安排与结果沟通；·实现咨询业务目标所需开展工作的相对复杂性和范围；·与潜在效益相对的咨询业务成本。1230—持续职业发展内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。D、质量保障和改进方案1300—质量保证与改进程序首席审计官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。释义质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和《标准》以及内部审计师是否遵守《职业道德规范》进行评估，还可以用来评价内部审计活动的效果和效率，并识别改进的机会。1310—质量保证与改进程序的要求质量保证与改进程序必须包括内部评估和外部评估。1311—内部评估内部评估必须包括：·对内部审计活动执行情况的持续监督；·定期自我评估或由组织内部其他充分了解内部审计实务的人员进行定期检查。释义持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中。持续监督应纳入管理内部审计活动的日常政策和实践，运用必要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》作出评估。定期检查是针对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》而开展的评估工作。充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。1312—外部评估外部评估必须至少每五年开展一次，必须由来自组织外部、合格且独立的评估人员或评估小组负责实施。首席审计官必须与董事会讨论：·外部评估的形式和频率；AdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencil6·外部评估人员或评估小组的资格和独立性，包括任何潜在的利益冲突。释义合格的评估人员或评估小组由能够胜任内部审计专业实务和外部评估工作的人员组成。对检查人员或检查小组胜任能力的评估属于一种判断，需考虑选定人员的内部审计专业经验和专业资格证书，还需要考虑就接受评估的内部审计部门所在组织而言，检查人员所属机构的相对规模和复杂程度，以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突，不隶属于或受控于被评估的内部审计部门所在的组织。1320—对质量保证与改进程序的报告首席审计官必须向高级管理层和董事会报告质量保证与改进程序的结果。释义质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定，同时要考虑内部审计章程明确的关于内部审计部门和首席审计官的职责。为反映内部审计活动对“内部审计定义”、《职业道德规范》和《标准》的遵循情况，外部评估和定期内部评估的结果在评估完成时应立即报告，持续监督的结果至少每年报告一次。上述结果包括检查人员或检查小组对遵循程度的评估。1321—对“遵循《标准》”的应用只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时，首席审计官才可以进行“遵循《标准》”的声明。1322—对未遵循情况的披露若未遵循“内部审计定义”、《职业道德规范》和《标准》的情况影响到内部审计活动的整体范围或运作，首席审计官必须向高级管理层和董事会披露未遵循事项及其影响。2.工作标准2000—内部审计活动的管理首席审计官必须有效地管理内部审计活动，确保为组织增加价值。释义内部审计活动符合下列情况时，属于得到了有效的管理：·内部审计部门的工作结果达到了内部审计章程所包含的目的和责任；·内部审计活动遵循了“内部审计定义”和《标准》；·内部审计人员遵循了《职业道德规范》和《标准》。2010—计划首席审计官必须以风险为基础制定计划，以确定与组织目标相一致的内部审计活动重点。释义首席审计官负责以风险为基础制定计划。制定计划时，首席审计官需考虑组织的风险管理框架，包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架，首席审计官可以与高级管理层和董事会磋商后，自行作出风险判断。2010.A1—内部审计部门的计划必须建立在有记录的风险评估基础上，并至少每年制定一次。在计划制定过程中，必须考虑高级管理层和董事会的意见。2010.A2—首席审计官必须考虑高级管理层、董事会以及其他利益相关方对于内部审计意见或其他结论的预期。2010.C1—首席审计官在考虑是否接受拟开展的咨询业务时，应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计划。2020—沟通与批准首席审计官必须将内部审计活动的计划和资源需求，包括重大的临时性变化，报高级管理层和董事会审批。首席审计官还必须就资源受限制的影响与高级管理层和董事会进行沟通。2030—资源管理首席审计官必须确保内部审计资源适当、充分并得到有效配置，以完成获得批准的计划。释义“适当”是指实施计划所必需的知识、技能和其他能力的组合。“充分”是完成AdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencilAdministratorPencil7计划所必需的资源数量。资源有效配置是指资源以能够最优实现获批计划的方式被运用。2040—政策与程序首席审计官必须制定政策和程序，为内部审计活动提供指导。释义政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。2050—协调首席审计官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调，以确保适当的工作覆盖面，并尽可能减少重复工作。2060—向董事会和高级管理层报告首席审计官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况，报告中还必须包括重大风险披露和控制事项，其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。释义报告频率和内容要经过与高级管理层和董事会的讨论后确定，同时取决于所报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。2070—外部服务提供者与组织对内部审计的责任在内部审计活动外包给外部服务提供者的情况下，外部服务者必须使组织了解其对有效的内部审计活动负有责任。2100—工作性质内部审计活动必须应用系统、规范的方法，评估并协助改善治理、风险管理和控制过程。2110—治理内部审计活动必须评价并提出适当的改进建议，以改善组织为实现下列目标的治理过程：·在组织内部推广适当的道德和价值观；·确保整个组织开展有效的业绩管理、建立有效的问责机制；·向组织内部有关方面通报风险和控制信息；·协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。2110.A1—内部审计部门必须针对组织内与职业道德相关的目标、计划和业务，评估其设计、实施和效果。2110.A2—内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标。2120—风险管理内部审计活动必须评估风险管理过程的有效性，并对其改善做出贡献。释义确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断：·组织目标支持组织的使命并与其保持一致；·重大风险得到识别和评估；·选定适当的风险应对方案，并符合组织的风险偏好；·获取相关的风险信息并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责。风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。2120.A1—内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险：·组织战略目标的实现；·财务和运营信息的可靠性和完整性；·运营和程序的效果和效率·资产的安全·对法律、法规、政策、程序及合同的遵循情况。2120.A2—内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险；2120.C1—在开展咨询业务时，内部审计师必须关注与业务目标相关的风险，并警惕其他重大风险的存在。AdministratorPencil82120.C2—内部审计师必须将开展咨询业务过程中了解到的风险情况，运用于评估组织的风险管理过程。2120.C3—协助管理层建立或改善风险管理过程时，内部审计师必须避免在实际工作中对风险进行管理，从而承担任何管理层的责任。2130—控制内部审计部门必须评估控制的效果和效率，并促进控制持续改进，从而协助组织维持有效的控制。2130.A1—内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性：·组织战略目标的实现；·财务和运营信息的可靠性和完整性；·运营和程序的效果和效率；·资产的安全；·对法律、法规、政策、程序及合同的遵循情况。2130.C1—内部审计师必须将开展咨询业务过程中了解到的控制知识，运用于评估组织的控制过程。2200—业务计划内部审计师开展每项业务都必须制定书面计划，其内容包括业务目标、范围、时间安排以及资源分配等。2201—制定计划时的考虑因素制定业务计划时，内部审计师必须考虑到：·被检查活动的目标及控制其实施的方式；·被检查活动及其目标、资源和运营等存在的重大风险以及将风险的潜在影响控制在可接受水平的方式；·与相关的控制框架或模式相比，被检查活动的治理、风险管理和控制过程的适当性和有效性；·对被检查活动的治理、风险管理和控制过程进行重大改进的可能性。2201.A1—在为组织外部的有关方面制定业务计划时，内部审计师必须与其达成书面协议，明确业务目标、范围、各自的职责和其他要求，包括对发布业务结果和对接触业务记录的限制。2201.C1—内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。对于重要的咨询业务，该协议必须为书面形式。2210—业务目标必须为每项业务确定目标。2210.A1—内部审计师必须对与被检查活动相关的风险进行初步评估，业务目标中必须反映该评估结果。2210.A2—内部审计师确定业务目标时，必须考虑存在重大差错、舞弊、违规和其他风险的可能性。2210.A3—评估治理、风险管理和控制需要依据适当的标准。内部审计师必须确认管理层和/或董事会制定适当标准的程度，以确定目标和目的是否实现。如果标准适当，内部审计师必须使用该标准进行评估。如果不适当，内部审计师必须与管理层和/或董事共同制定适当的评估标准。2210.C1—咨询业务的目标必须在客户同意的范围内，针对治理、风险管理和控制过程等确定。2210.C2—咨询业务的目标必须与组织的价值、战略及目标保持一致。2220—业务范围确定的业务范围必须满足实现业务目标的要求。2220.A1—确定业务范围必须考虑相关的制度、记录、人员和实物资产，包括由第三方控制的相关制度、记录、人员和实物资产。AdministratorPencilAdministratorPencilAdministratorPencil92220.A2—在开展确认业务时，如果出现重要的咨询机会，应当与客户达成具体的书面协议，规定业务目标、范围、各自的职责和其他要求，并遵循咨询业务相关标准沟通咨询业务的结果。2220.C1—在开展咨询业务时，内部审计师必须确保业务范围足以实现与客户协商确定的目标。如果内部审计师在开展咨询业务过程中对该范围有所保留，必须与客户进行讨论，决定是否继续开展此项业务。2220.C2—在开展咨询业务时，内部审计师必须关注与业务目标相关的控制，并警惕重大的控制问题。2230—业务资源的分配内部审计师必须根据每项业务的性质、复杂程度、时间限制以及可获资源的评估，确定实现业务目标所需要的适当、充分的资源。2240—业务工作方案内部审计师必须制定用以实现业务目标的书面工作方案2240.A1—工作方案中必须包括识别、分析、评估和记录信息的程序。工作方案必须在实施前得到批准，对方案的任何调整都必须及时报批。2240.C1—咨询业务工作方案的形式与内容取决于咨询业务的性质。2300—业务的实施内部审计师必须识别、分析、评价并记录充分的信息，从而实现业务目标。2310—识别信息内部审计师必须识别充分、可靠、相关且有用的信息，从而实现业务目标。释义充分的信息是指符合事实、满足条件、具备说服力，可以使审慎的、具备相关知识的人员得出与内部审计师相同的结论的信息。可靠的信息是指通过采用适当的技术可以获得的最佳信息。相关的信息是指支持内部审计师发现的问题和建议，并与业务目标一致的信息。有用的信息有助于组织实现其目标。2320—分析评价内部审计师必须基于适当的分析和评价，得出结论和业务结果。2330—记录信息内部审计师必须记录相关信息，以支持结论和业务结果。2330.A1—首席审计官必须控制对业务记录的接触。在对外界提供记录之前，首席审计官必须征得高级管理层和/或法律顾问的同意。2330.A2—无论业务记录采用何种存储介质，首席审计官必须规定其存档要求。这些存档要求必须符合组织的规定以及相关法规或其他要求。2330.C1—首席审计官必须制定政策以规定咨询业务记录的保管、存档和对内对外发布。这些政策必须符合组织的规定以及相关法规或其他要求。2340—业务的督导必须对业务实施加以适当的督导，以确保目标得以实现，质量得到保证，员工得到发展。释义所需督导的程度取决于内部审计师的胜任能力和经验水平以及业务本身的复杂程度。无论业务是由内部审计部门负责开展，首席审计官都需对业务的督导负全面责任，但可以指定具备适当经验的内部审计部门成员具体复核。适当的督导证据应予以记录和保留。2400—结果的报告内部审计师必须及时报告业务结果。2410—报告标准报告内容必须包括业务目标、范围以及适用的结论、建议和行动计划。2410.A1—业务结果的最终报告必须包含内部审计师的意见和/或结论，发表的审计意见或结论必须考虑到高级管理层、董事会及其他利益相关方的预期，必须有充分、可靠、相关及有用的信息支持。2410.A2—鼓励内部审计师在业务结果报告中对令人满意的业绩予以认可。2410.A3—在向组织外部有关方面发布业务结果时，必须告知对分发和使用业务结果的10限制。2410.C1—咨询业务进展和结果报告的形式与内容取决于所涉及业务的性质和客户的需求。2420—报告的质量报告必须准确、客观、清晰、简洁、富有建设性、完整和及时。释义准确的报告是指没有错误和歪曲，忠于相关事实的报告。客观的报告是指公正、不偏不倚、不带偏见的报告，是公正地对所有相关事实和情况统筹评估的结果。清晰的报告是指易于理解，符合逻辑，避免使用不必要的技术性语言，并提供所有重要的相关信息的报告。简洁的报告是指针对性强，避免不必要的阐述、细节和冗余的报告。富有建设性的报告是指可以帮助客户和整个组织，并促进其改善工作。完整的报告是指未遗漏任何重要信息的报告，包括所有支持建议和结论的重要且相关的信息和观察结果。及时的报告是指根据事项的重要程度，适时快速地提供报告，以便于管理层采取适当的纠正措施。2421—错误与遗漏如果最终报告存在重大错误或遗漏，首席审计官必须将更正后的信息传达给所有的原报告接收者。2430—对“遵循《标准》”的应用只有在质量保证与改进程序的结果证实《标准》已被遵循时，内部审计师才可以在业务报告中声明“内部审计活动遵循了《国际内部审计专业实务标准》”。2431—对未遵循情况的披露未遵循内部审计定义、《职业道德规范》或《标准》的情况影响到某一特定业务时，结果报告中必须披露：·未能完全遵循的《职业道德规范》所规定的原则、行为规则或《标准》；·未遵循的原因；·“未遵循”这一事实对于该业务及已报告结果的影响。2440—结果的发送首席审计官必须向适当对象通报结果。释义首席审计官或其指定人员对最终业务报告予以复核及批准后签发，并决定该报告的发送对象和发送方式。2440.A1—首席审计官负责将最终结果报告给能够确保对结果给予应有考虑的对象。2440.A2—除非法律、法规或其他规章另有规定，首席审计官向组织外部通报结果之前必须：·评估组织面临的潜在风险；·必要时向高级管理层和/或法律顾问咨询；·通过限制结果的使用，控制对结果的发送。2440.C1—首席审计官负责向客户通报咨询业务的最终结果。2440.C2—在开展咨询业务时，可能会发现治理、风险管理和控制方面的问题，只要这些问题对组织是重要的，就必须向高级管理层和董事会报告。2500—监督进展首席审计官必须制定并维护系统或制度，监督已通报结果的处理情况。2500.A1—首席审计官必须建立后续程序，监督及确保管理层已采取有效措施，或高级管理层已接受不采取行动的风险。2500.C1—内部审计部门必须在客户同意的范围内，监督咨询业务结果的处理情况。2600—沟通对风险的接受首席审计官认为管理层接受的风险超过组织可接受水平时，必须就此事与高级管理层讨论。如果首席审计官确信问题未得到解决，必须与董事会进行沟通。3.词汇表增加价值内部审计活动通过客观和相关的保证，改善和提高治理、风险管理和控制过程的效果与效率，为组织（及其利益相关方）增加价值。11适当的控制如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理，组织的目标和目的以经济高效的方式实现，那么可以认为已建立适当的控制。确认服务指一种旨在对组织的治理、风险管理和控制过程作出独立评价，而对证据进行的客观检查。例如财务、绩效、合规性、系统安全和尽职调查等业务。董事会最高层次的治理机构，负责指导和监督组织的经营活动和管理情况。典型的董事会由若干独立的董事组成（例如董事会、监事会、主管或托管人）。如果不存在这样一个群体，那么“董事会”可以指组织的首脑或负责人。“董事会”可以是治理机构授予特定职能的审计委员会。章程内部审计章程是确定内部审计活动宗旨、权力和职责的正式书面文件，它确定了内部审计部门在组织内部的地位，授权内部审计部门接触与业务实施相关的记录、人员和实物资产，界定内部审计活动的范围。首席审计官负责按照内部审计章程以及“内部审计定义”、《职业道德规范》和《标准》有效地开展内部审计活动的高级职位人员。首席审计官和其他向首席审计官报告的人员需要具备适当的职业资格和资质。首席审计官的特定称谓可以根据所在组织的情况而有所不同（如首席审计执行官、审计总监等）《职业道德规范》国际内部审计师协会（IIA）的《职业道德规范》是指与内部审计职业及实务相关的原则，以及内部审计师应有的行为规范。《职业道德规范》的适用对象包括提供内部审计服务的个人和机构，其目的是增进全球内部审计职业的道德文化。遵循指遵守各项政策、计划、程序、法律、法规、合同或其他要求。利益冲突指任何表面上或实际上不符合组织最佳利益的关系。利益冲突会损害个人客观履行其职责的能力。咨询服务指咨询及相关的客户服务活动，其性质和范围需要与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、引导、培训等均属于咨询服务。控制指管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动，为实现目标和目的提供合理保证。控制环境指董事会和管理层对组织内部控制重要性的态度及行动。控制环境为实现内部控制体系的主要目标提供规范和架构。控制环境包括以下要素：·诚信和职业道德价值观；·管理层的理念和经营风格；·组织结构；·权力和责任的划分；·人力资源政策和实物；·人员的胜任能力。控制过程指政策、程序（包括手 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 序和自动化程序）和控制活动等控制框架的组成部分，其设计和执行用以确保将风险控制在组织愿意接受的水平之内。业务指具体的内部审计项目、任务或检查活动，如内部审计、内部控制自我评估、复核、舞弊调查或咨询等。一项业务可能包括多项任务或活动，用以实现一组特定的相关目标。业务目标指内部审计师为界定项目预期完成情况而作的概要陈述。项目意见指针对单个内部审计项目，在项目目标和项目范围以内作出的评级、结论或其他关于结果的描述。业务工作方案指记录项目实施过程中所应遵循的程序或步骤的文件，编制项目工作12方案的目的是为完成项目计划。外部服务提供者指组织以外具备特定领域的专门知识、技能和经验的个人或公司。舞弊指任何以欺骗、隐瞒或违背信用为特征的非法行为。这些行为不依靠暴力或胁迫。个人或组织为获取金钱、财产或服务，为避免付款或提供服务，或为获得个人或组织私利等目的都有可能舞弊。治理指董事会实施的各种流程和框架的组合，用以告知、指导、管理和监督组织的活动，以实现组织目标。损害指对组织独立性和个人客观性造成的损害，可包括个人利益冲突，工作范围受限制，获取记录、人员和实物资产的制约以及资源（经费）限制等。独立性指免于受到对内部审计活动公正的履行内部审计职责构成威胁的情况影响。信息技术控制指支持业务管理和治理，以及针对信息技术基础设施（例如应用程序、信息、基础设施和人员等）提供一般控制和技术性控制的各种控制措施。信息技术治理包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。内部审计部门/活动指为增加组织价值，改进组织运营而提供独立、客观的确认和咨询服务的部门、处室、咨询专家团队或其他专业人员。内部审计活动采用系统、规范的方法，评价并改善组织的治理、风险观管理和控制过程的有效性，从而帮助组织实现目标。国际内部审计专业实务框架指用以组织国际内部审计师协会发布的权威指引的概念性框架。该权威指引包括两类：（1）强制性内容；（2）认可并强力推荐的内容。必须《标准》使用“必须”一词要求无条件地遵循该项准则客观性是一种公正的态度，使得内部审计师开展业务时相信其工作成果，并且不作任何质量妥协。客观性要求内部审计师对于审计事项的判断不得屈从于其他因素。总体意见首席审计官在广泛的层面上对组织治理、风险管理和控制过程作出的评级、结论或其他关于结果的描述。总体意见是首席审计官在特定时间间隔内，以若干业务和其他活动的结果为基础而作出的职业判断。风险指对实现目标有影响的事件实际发生的可能性。风险通过影响程度和发生的可能性来衡量。剩余风险指管理层采取措施（包括用于应对某项风险的控制活动）以减少负面事件的影响及可能性之后仍然存在的风险。风险偏好指组织愿意承受的风险水平。风险管理指识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。应当《标准》使用“应当”表示某项准则预期得到遵循，除非根据专业判断，所涉情形允许偏离《标准》的要求。重要性指某一事项在其考虑范围内的相对重要性，包括定性和定量因素，例如程度、性质、效果、相对性和影响。专业判断有助于内部审计师评估所涉事项相对于相关目标的重要性。《标准》指内部审计标准委员会发布的专业公告，阐述开展各类内部审计活动及评估内部审计业绩的要求。利用技术的审计方法指所有自动化审计工具，如通用审计软件、测试数据生成程序、计算机化的审计方案、专用审计工具以及计算机辅助审计方法（CAAT）等。四、实务公告1.属性标准A、目标、权限和责任13实务公告1000—1内部审计章程主要相关标准：1000—宗旨、权利和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中按照“内部审计定义”、《职业道德规范》和《标准》的相关内容正式确定。首席审计官必须定期审查内部审计章程，并提交高级管理层和董事会审批。释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位，授权内部审计部门接触与业务开展相关的记录、人员和实物资产，界定内部审计活动的范围。内部审计章程的最终审批权在董事会。1.正式的书面章程对内部审计部门的管理十分重要。章程提供了公认的陈述，供管理层检查和接受，并报董事会以会议纪要形式予以批准。章程也为定期检查内部审计部门宗旨、权力和职责的适当性，确立内部审计的角色提供了便利。如果出现问题，章程就是一份与管理层和董事会达成的关于本组织内部审计部门的正式书面协议。2.首席审计官有责任定期评估章程中规定的内部审计宗旨、权力和职责是否仍足以使内部审计部门实现其目标，也有责任将定期评估的结果报告给高级管理层和董事会。B、独立性和客观性实务公告1110—1组织的独立性主要相关标准：1110—组织的独立性首席审计官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。1.高级管理层和董事会的支持可以帮助内部审计部门获得业务客户的协作并在不受干扰的情况下开展工作。2.首席审计官在职能上和行政上分别向董事会和首席执行官汇报工作，可以增强组织的独立性。至少首席审计官应向组织内拥有充分权力、能够促进独立性并保证广泛的审计范围、能充分考虑审计报告并依据审计意见采取适当行动的人报告。3.职能上向董事会报告。董事会的职能主要包括：·批准内部审计部门的章程；·批准内部审计风险评估及相关审计计划；·接受首席审计官关于内部审计工作结果和其认为有必要的其他事务的报告，包括在管理层不在场的情况下与首席审计官进行单独会晤以及每年确认内部审计部门在组织中的独立性；·批准有关首席审计官业绩评估和任免的决定；·批准对首席审计官年度薪酬工资的调整；·适当地询问管理层和首席审计官，以确定是否由于审计范围和预算受到限制而阻碍了内部审计部门履行其职责。4.行政上的报告指组织管理结构内部的报告关系，其作用是加强内部审计部门的日常运作。行政上报告主要包括：·预算和财务；·人力资源管理，包括人员评价和薪酬；·内部沟通和信息交流；·内部审计部门政策与程序的管理。实务公告1111—1与董事会的直接互动主要相关标准：1111—与董事会的直接互动首席审计官必须与董事会直接沟通和互动1.如果首席审计官定期出席或参加董事会举行的有关它对审计、财务报告、组织治理和14控制系统的监督职责的会议，就有直接交流的机会。首席审计官参加此类会议，可以获取战略性业务发展的信息，尽早提出高风险、系统、流程或者控制等事项，也可以利用这样的机会就内部审计部门的计划和活动，以及其他共同关心的事项交换意见。2.这种沟通和互动也可以通过首席审计官与董事会至少每年一次的单独会晤进行。实务公告1120—1个人客观性主要相关标准：1120—个人的客观性内部审计师必须有公正、不偏不倚的态度，避免任何利益冲突。释义利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象，削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计个人客观履行其职责的能力。1.个人的客观性是指内部审计师在执行业务时信任其工作成果且未作出重大质量妥协。内部审计师不应被置于有损其客观的职业判断能力的情形中。2.个人的客观性要求首席审计官在分配工作任务时，应避免潜在的或现实的利益冲突和偏见。首席审计官应当定期从内部审计人员中获取有关潜在利益冲突和偏见的信息，并在可行的情况下，定期轮换指派给内部审计人员的工作。3.在进行相关业务的沟通之前审查内部审计工作结果，这有助于为此项工作的客观性提供合理保证。4.如果内部审计师为系统推荐控制标准或在程序实施前对其进行复核，不会对其客观性产生负面的影响。但是，如果内部审计师参与了这些系统的设计、安装、程序起草或操作，就可以认为其客观性受到损害。5.内部审计师偶尔开展的非审计工作，只要在报告过程中作了充分的披露，并不必然会损害客观性。但是，管理层和内部审计师都应当对这种情况认真考虑，以免对内部审计师的客观性产生负面影响。实务公告1130—1对独立性或客观性的损害主要相关标准：1130—对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害，必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。释义对组织独立性和客观性的损害可能包括但不限于：个人利益冲突，工作范围限制，接触记录、人员和实物资产的限制，在经费等资源方面受到约束等。独立性或客观性受损的细节必须披露的适当对象，取决于内部审计章程所记载的内部审计部门和首席审计官应当对高级管理层和董事会承担的责任，以及损害的性质。1.在任何情形下，当可以合理推断对独立性和客观性存在实际的或者潜在的损害，或者内部审计师对某种情况是否对客观性和独立性有损害存在疑问时，应当向首席审计官报告。如果首席审计官认定或判断损害存在，他需要重新分配内部审计师。2.审计范围限制是对内部审计活动的一种限定，它会妨碍内部审计部门实现其目标和计划。审计范围限制可能包括：·内部审计章程所规定的范围；·内部审计部门接触与业务开展相关的记录、人员和实物资产；·经批准的审计工作进度；·实施必要的业务程序；·经批准的人员配置计划和财务预算。3.审计范围限制及其潜在影响，最好以书面形式与董事会沟通。首席审计官必须考虑，AdministratorPencilAdministratorPencil15对曾经与董事会沟通并已被接受的审计范围限制再次与其沟通是否合适。在组织、董事会、高级管理层或其他方面发生变动时，更有必要进行此项沟通。4.内部审计师不得接受公司雇员、客户、顾客、供应商或者业务伙伴的酬金、馈赠和款待，接受这些会导致内部审计师的客观性受损。这种现象在审计师目前或未来执行的业务中都有可能出现。业务的重要性不能作为收受酬金、礼物和款待的借口。接受雇员和一般公众也可获得的价值极小的 宣传 免费孕前优生健康检查孕期保健知识宣传1冬季预防流感知识宣传手足口病防知识宣传森林防火宣传内容 物品（如钢笔、日历或样品等），不会妨碍内部审计师的职业判断。如有人提供数额较大的酬金或贵重礼物，内部审计师应立即向上级报告。实务公告1130.A1—评价内部审计师以前负责的运营主要相关标准：1130.A1—内部审计师必须避免评价其以前负责的特定业务。如果内部审计师为其在上一年度负责的业务提供确认服务，则其客观性视为受到损害。内部审计部门调入或临时聘用的人员，只有在调入或聘用至少一年以后，才能分配他们参与审计曾经负责或运营的领域，否则将被视为有损客观性，在监督审计工作和沟通审计结果时应进一步审议。实务公告1130.A2—1内部审计对其他（非审计）职能的责任主要相关标准：1130.A2—确认服务涉及首席审计官负责的职能领域时，必须由独立于内部审计部门的某一方进行监督。1.对于那些接受定期内部审计评估的非审计职能或职责，内部审计师并不承担其责任。如果他们确实承担了上述责任，那也不是以内部审计师的身份。2.如果内部审计部门、首席审计官或内部审计师负责一项，或管理层正在