2011年CIA《实施内部审计业务》复习1：研究和采用适当的标准

　　1.Research and apply appropriate standards研究和采用适当的标准：

　　a.IIA Professional Practices Framework（Code of Ethics，Standards， Practice Advisories）

　　IIA职业实务框架（《职业道德规范》、《标准》、《实务公告》）

　　b.Other professional，legal，and regulatory standards其他职业、法律和法规的标准

　　根据国际内部审计协会的定义，“内部审计是一种独立、客观的保证和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、风险控制和风险治理过程的效果，帮助组织实现其目标”。

　　1.1 不同的国家有不同的法律和不同的习惯，不同的组织拥有不同的文化、不同的组织结构以及不同的规模。

　　这些差异对在不同环境下实施审计业务的内部审计师都会产生一定的影响，因此，要实现内部审计师的职责，有必要制定一些统一标准，供内部审计师遵守。这些标准包括：

　　·《内部审计实务标准》

　　·《实务公告》

　　·《职业道德规范》

　　·其他相关标准

　　1.1.1 IIA职业实务框架是IIA为审计业务人员提供内部审计操作指南的职业规划，以应对不断扩大的对高质量内部审计服务的市场需求，具体包括《内部审计实务标准》（以下简称《标准》）、《实务公告》、《职业道德规范》。

　　1.1.1.1 《标准》与《职业道德规范》共同构成了职业实务框架的基础。

　　制定《标准》的目的是：

　　· 说明实施内部审计业务所应遵循的基本原则；

　　· 为实施各种增值型内部审计服务及扩大增值型内部审计服务范围提供基础；

　　· 建立衡量内部审计业绩的标准和依据；

　　· 促进组织经营与工作的改善。

　　《标准》由属性标准、工作标准和实施标准三部分构成。

　　· 属性标准主要说明实施内部审计活动的组织等有关方面的特点，重点内容包括内部审计章程、独立性和客观性；

　　· 工作标准阐述了内部审计工作的性质，并规定了评价内部审计活动的质量标准；

　　· 实施标准适用于各种特殊类型的业务，是为实施上述两类标准而制定的强制性操作指南。IIA努力为每一种主要内部审计活动（包括保证业务和咨询业务）都制定一系列实施标准。

　　正如我们所注意到的，《标准》正在得到逐步完善。IIA的内部审计标准委员会，作为具体负责《标准》颁布和发行的机构，依据全世界专家的建议来制定每项新标准。职业实务框架在方方面面都将这样的理念融入其中，即内部审计真正是全球化的职业领域。许多内部审计机构都将《标准》纳入其章程中。

　　1.1.1.2 《职业道德规范》是阐述内部审计师预期行为规范的行为准则，目的是促进内部审计职业领域的道德文化建设，适用于实施内部审计业务的所有个体及组织。

　　IIA根据以下四种基本职业准则来制定《职业道德规范》：

　　· 正直。要求内部审计师建立信任感，作为他人依赖其职业判断的基础。具体来说，内部审计师应该诚实、勤奋、有责任地工作；应该遵守法律并且揭示出法律和同业所期望公开的事项。不应该有意成为任何非法活动的参与者，或者参与有损内部审计职业声誉或组织利益的活动；应该重视并帮助实现组织建立的目标（这些目标符合法律及道德规范）。

　　· 客观。在收集、评估和沟通有关被检查活动或程序的信息资料过程中，内部审计师要体现出高水平的职业客观性。当作出职业判断时，内部审计师不要受到有关利益方或其他人的过多影响。具体来说，内部审计师不应该参与可能影响或被推断影响其作出公正评价的任何活动，并牵涉到这类包括那些与组织利益有冲突的活动或关系当中；不应该接受可能影响或被推断影响其职业判断的任何事物；应该揭示他们所了解的所有重要事项（这些事项如果不被披露，会影响对检查活动的报告内容）。

　　· 保密。内部审计师要充分考虑他们所收集信息的价值和所有权，除非法律或职业职责要求，否则不要未经授权就披露这些信息。具体来说，内部审计师在履行职责过程中应该审慎地使用和保护信息资料；不应该为了个人利益使用这些信息，或者采用违背法律或有损组织合法目标的方法来使用这些信息。

　　· 能力。内部审计师要具备提供内部审计服务所必要的知识、技能和经验。具体来说，内部审计师应该只参与那些他们具备必要知识、技能和经验的服务活动；在实施内部审计活动时，应该遵守《标准》；应该不断提高他们的服务质量、服务效果和业务精通度。

　　1.1.1.3 《实务公告》是对《标准》的进一步阐述，是在具体审计业务环境中，为满足特定行业、特定审计活动的需要而对《标准》进行的详细说明，是国际内部审计协会认可的“至好实务活动”。内部审计师协会提倡但不强制内部审计师在工作实践中必须实施《实务公告》。

　　上述三项标准的详细内容，请参考《内部审计在治理风险和控制中的作用》一书。

　　1.1.2其他相关标准除了《标准》、《实务公告》、《职业道德规范》，内部审计师还有责任了解和在工作中应用其他相关的法律和规定，包括：

　　· Racketeer Influenced and Corrupt Practices Act of 1970

　　· 1977年的《国外贿赂法案》

　　· 2002年的《萨班斯一奥克斯利法案》

　　· COSO出版的《综合框架》· 美国政府为政府审计制定的“黄皮书”

　　· 《中华人民共和国审计法》

　　· 中国《国家审计准则》，等等

　　[补充内容]

　　SOX简介，COSO简介，COBIT简介， ITIL/ISO20000简介，ISO17799/27001简介

　　法案名称：SOX（Sarbanes-Oxley），又称《公众公司会计改革与投资者保护法案》。

　　法案作用：遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。

　　隶属机构：美国国会众议院金融服务委员会。

　　形成时间：2002年7月30日，美国总统布什颁发。

　　SOX法案目的在于促进企业责任感（302 条款），完善内部控制（404 条款），加强信息向公众的披露（409 条款），提高财务报告和审计的质量及透明度，并对违反证券法律和其它法规的行为加大惩罚力度及加重其刑事责任（906 条款）。

　　302 条款主要是要求企业的高管签署对企业重要事情不存在遗留。

　　404 条款要求企业管理层对企业必须建立一个有效的内控体系，并且对这个内控体系要进行评估。

　　COSO简介

　　标准名称：《内部控制-整体框架》

　　标准组织：发起组织委员会COSO（The Committee of Sponsoring Organization of the Treadway Commission）

　　隶属机构：美国国会的反对虚假财务报告委员会（NCFR）

　　标准作用：研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，为SEC（美国证券交易委员会）和其他监管机构以及教育机构提供建议。

　　形成时间：形成于1985年，报告1992年发布。

　　COSO报告：1992年COSO委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（Interna Control－Integrated Framework）报告，即通称的COSO报告。

　　COSO 报告提出内部控制由五部分组成：

　　第一， 控制环境（Control environment environment）。它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。

　　第二， 风险评估（risk assessment assessment）。是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机来辨认和处理相应的风险制。

　　第三， 控制活动（control activities activities）。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。

　　第四， 信息和交流（information and comunication comunication）。系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件活动状况的信息外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。

　　第五， 监控（monitoring）。监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。

　　COBIT简介

　　标准名称：《信息及相关技术的控制目标》（Control Objectives for Information and related Technology，COBIT）

　　隶属机构：美国IT治理研究院（IT Governance Institute）开发与推广

　　标准作用：信息、IT 以及相关风险控制方面的国际公认标准，COBIT 还被作为一种遵从SOX（Sarbanes-Oxley）法案的工具而广泛采用版本：《COBIT 4.0》，COBIT 第一版于1994年推出。

　　COBIT的IT框架由四个部分组成：

　　规划和组织

　　获得和实施

　　交付和支持

　　监控和评估

　　1.2在具体内部审计业务中，内部审计师有责任确定管理当局是否建立了适当的标准以衡量和评价组织目标（目的）的完成情况。

　　如果这些标准是适当的，内部审计师应该在评价过程中使用这些标准，并确定这些标准是否得到了贯彻执行。如果这些标准是模糊不清的，是不适当的，内部审计师应该同管理当局一道制定一个合适的评价标准。

　　1.2.1 当内部审计师被要求去解释或选择一套经营评价标准时，应该努力与管理部门就这些标准达成一致意见。

　　1.2.2 内部审计师可以寻求或采用的标准包括：工作指南、组织指示、预算、产品说明、行业惯例、内部控制的至低标准、公认会计准则、合同和著名的商业实务、以前年度制定的标准，等等。

　　如果内部审计师决定采用以前年度制定的标准，则需要对标准的适当性和适用性进行评估。因为以前年度制定的标准，尽管可能曾经是令人满意和完善的绩效标准，但是随着环境的变化和时间的推移，很可能已经不适用于当前的组织目标。

　　典型例题

　　【例题】根据《标准》，报告中的审计发现应该以“应该是什么”和“是什么”相比较的形式说明。在对公司财务部门审计期间，决定“应该是什么”时，下列（　）是用于对目前经营情况进行判断的至不理想的标准？

　　a.上次审计中记录的财务部门运行情况

　　b.公司关于授权和责任分配的政策、程序

　　c.财务课本中列举的一般公认的好的财务职能实例

　　d.相关行业财务职能运行方面至好的实例材料

　　【例题】某公司有许多分店，它决定以一家分店为样本分析各分店财务报告的精确性与可靠性。下列（　）指标至有可能被包含在设定的财务基准指标中？

　　a.高雇员流动率

　　b.雇员在预算制订中的高参与度

　　c.高坏账核销金额

　　d.高供应商数量

　　【例题】下列有关衡量雇员工作业绩质量的标准中，（　）适合用来衡量专业人士，比如说学院教员？

　　I.产出的数量　 II.产出的质量　 III.成本　 IV.产出的及时性　 V.资金需求　 VI.产生的收益

　　a.只有I、II和III

　　b.只有I、II和IV

　　c.只有III、V和VI

　　d.I、II、III、IV、V和VI全是

　　【例题】如果一被审计单位的经营准则含糊不清，并且需要作出解释，审计师应该（　）。

　　a.寻求与被审计单位共同认定的标准来衡量经营业绩

　　b.决定用本领域至好的实例作为评价标准

　　c.从他们至严格的角度来解释标准，因为标准仅仅是可接受的至低的衡量尺度

　　d.省略有关标准及与这些标准相关联的被审计单位业绩方面的任何评论，因为这种分析没有任何意义

　　相关链接：2011年CIA《实施内部审计业务》复习2：防范舞弊

　　参与论坛讨论>>