评论详情
返回
关闭
设置
社区首页
*_*雪*_*
实务公告2130—1:内部审计部门
和内部审计师在机构道德文化中的作用
解释《内部审计专业实务标准》中的第2130条标准
相关标准:第2130条标准
治理
内部审计部门应通过评价并改进以下程序为机构治理过程作出贡献:
(1)制定和宣传目标和价值的程序;
(2)监控目标实现情况的程序;
(3)确保责任机制的程序;
(4)维护价值的程序。
相关标准:第2130.A1条标准
内部审计师应检查机构运营与项目,确保它们与机构价值的一致性。
本实务公告性质
在确定自己在机构道德文化中的作用时,内部审计师应该考虑以下建议。这种作用因机构道德文化的存在情况、缺乏情况或发展程度等的不同而不同。本实务公告无意囊括开展与机构道德文化有关的综合性保证工作或咨询业务可能需要考虑的所有程序。是否遵守实务公告由审计师自行选择决定。
(1)本实务公告强调机构文化在建立公司道德气候中的重要性,并建议内部审计师在改进道德气候过程中可以起到的作用。
•;说明治理过程的性质;
•;将治理过程与机构道德文化相联系;
•;指出,所有与机构有关的人员,尤其是内部审计师,应该充当道德倡导者的角色;
•;列举得到加强后的道德文化的特点。
(2)机构应用各种法律形式、结构、战略和程序来保证自己。
•;遵守法律和管理规定;
•;遵守一般公认的业务规范、道德观念,并满足社会期望;
•;为社会提供总体福利,并加强具体利益关系方的长期和短期利益;
•;全面真实地向业主、执法人员、其他利益关系方和一般公众报告,保证对其决定、行为、行动和业绩负责。
机构所选择的用以履行上述四种责任的行为方式一般被称为治理过程。机构的治理部门(如:董事会或受托人或管理委员会)及其管理高层都对治理过程的效果性负责。
(3)机构的治理实务反映了影响各方作用、具体规定行为模式、确定目标与战略、衡量业绩并定义“责任机制”概念的不断变化的独特文化。这种文化对机构声明并容忍的价值、作用和行为产生影响,并确定机构在履行其对社会的责任时的敏感程度(考虑周到还是无动于衷)。因此,机构治理过程在履行其期望职能时的有效性在很大程度上取决于机构的文化。
(4)所有与机构有关的人员共同分享对机构道德文化状况的责任。鉴于大多数机构决策过程的复杂性和分散性,鼓励每个人都成为良好文化的倡导者,而这种作用是通过正式方式委托还是非正式表达则无关紧要。道德规范和机构展望/政策说明是关于机构价值和目标、期望行为、机构战略(这种战略是为了维护与机构法律/道德/社会责任相辅相成的文化)等内容的重要声明。越来越多的机构已指定道德主管担任行政人员、管理人员和其他有关人员的顾问,并将他们称为机构内部“做正确事情”的能手。
(5)内部审计师和内部审计部门应该在支持机构道德文化中起积极作用。他们在机构内部得到高度信任,道德操守得到公认,并且拥有成为良好道德倡导者所需的技术。内部审计师和内部审计部门有能力提请机构领导、管理人员和其他雇员遵守机构的法律、道德和社会责任。
(6)内部审计部门作为良好道德倡导者可能会起多种不同作用,包括道德主管(举报调查官、首席稽核官、管理道德顾问或道德专家)、内部道德理事会会员或机构道德气候的评价者。在有些情形下,道德主管的作用可能与内部审计部门的独立性相冲突。
(7)内部审计部门至少应该定期评价机构的道德气候以及机构战略、战术、信息流通和为了实现期望的遵纪守法水平而采取的其他过程的有效性。得到发扬光大的、高度有效的道德文化一般拥有以下特征,内部审计师应该评价这些特征是否有效:
•;清楚易懂的正式道德规范以及相关的说明、政策(包括覆盖舞弊和腐败的程序)和其他道德理想的表达形式;
•;有影响力的机构领导经常宣传并展示的、期望达到的良好道德态度和行为;
•;支持并加强道德文化的具体战略,附有更新延续机构道德文化承诺的经常性项目;
•;人们可以通过多种容易采纳的方式在保密的前提下举报违反道德规范、政策和其他不当行为的嫌疑;
•;雇员、供应商和顾客定期声明,他们知道在与机构进行交易时应该遵守的道德行为要求;
•;明确的责任授权,以保证道德结果得到评价,保密性顾问服务给予提供,不当行为嫌疑得到调查,所发现的情况得到恰当报告;
•;学习机会容易获得,从而使所有雇员都可能成为道德倡导者;
•;鼓励每名雇员为机构的道德气候作出贡献,从而创建积极的人事管理实务;
•;对雇员、供应商和顾客进行定期调查,以确定机构道德气候的状况;
•;对机构内部可能会造成逐渐损害道德文化的压力和偏见的正式和非正式过程进行定期检查;
•;将常规参考和背景检查作为招聘过程的一部分内容,包括诚实性测试和其他类似措施。
实务公告2200一1:审计业务计划
解释《内部审计专业实务标准》中的第2200条标准
相关标准:第2200条标准
审计业务计划
内部审计师在开展每项审计业务时都应制定并记录审计计划。(信息来源:红皮书410)
相关标准:第2201条标准
制定审计业务计划时应该考虑的因素
在制定审计业务计划时,内部审计师应考虑以下内容:
•;被审计活动的目标及控制具体实施情况的方式。
•;被审计活动存在的重大风险、目标、资源与运营以及将风险的潜在影响控制在可接受水平的方式。
•;与相关的控制框架或模式相比较,该活动的风险管理与控制系统的适当性与有效性。
•;对该活动的风险管理与控制系统进行重要改进的机会。
(信息来源:新)
本实务公告性质
在制定审计计划时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师负责计划并实施审计业务,同时接受有关人员的监督检查和审批。审计方案应该:
•;将内部审计师在开展业务过程中收集、分析、解释并记录
信息的程序进行文件记录;
•;说明审计业务的目标;
•;说明在审计业务的每个阶段实现工作目标所需的测试范围和程度;
•;确认应该检查的技术方面、风险、过程和交易;
•;说明所需测试的性质和范围;
•;在审计业务开始前制定完毕,并在审计过程中得到必要修改。
(2)审计执行主管负责确定应该向谁报告审计结果,何时和如何进行报告。如果实际可行,这种确定工作应该得到记录并向管理人员报告。如果合适,随后影响审计结果出具时间和报告工作的变化也应该向管理人员报告。
(3)审计业务的其他要求(如:审计的时间阶段和预计审计完成日期)应该得到确定。最后的审计报告形式也应该得到考虑,因为本阶段进行的恰当计划工作有助于最后审计报告的编制。(信息来源:红皮书410.01.2.b)
(4)管理层中需要了解审计业务的人都应该得到相关信息。内部审计部门应该与负责即将接受审计的活动的管理人员一起开会。会上应该讨论对有关事项的概述,而讨论得出的结论应该得到记录、在合适的情形下分发给有关人员并保留在审计工作底稿中。讨论的课题可以包括:
•;计划内的审计目标和工作范围;
•;审计工作的时间安排;
•;分配参加此项业务的内部审计师;
•;整个业务实施期间的报告过程,包括方法、时间框架以及负责人员;
•;被审计活动的业务条件和操作情况,包括管理或主要系统的最新变化;
•;管理人员所关心的事项或要求;
•;内部审计师特别关心或感兴趣的事项;
•;对内部审计部门报告程序和跟踪过程的说明。(信息来源:
红皮书410.01.2.b)
实务公告2210—1:审计目标
解释《内部审计专业实务标准》中的第2210条标准
相关标准:第2210条标准
审计目标
审计目标应该是对被审计活动的风险、控制及治理过程发表意见。(信息来源:红皮书410.01.1)
本实务公告性质
在确定审计目标时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)审计计划应该得到记录。审计目标和工作范围应该得到确定。审计目标是内部审计师开发的、确定审计业务希望实现内容的概要声明。审计程序是实现审计目标的手段。审计目标和审计程序的结合确定了内部审计师的工作范围。(信息来源:红皮书410.01.1)
(2)审计目标和程序应该针对与被审计活动有关的风险。“风险”这一概念是指可能影响目标实现的事件发生的不确定性。风险根据后果和可能性衡量。在审计计划阶段评价风险的目的是确认应该作为潜在审计目标得到检查的重要领域。(信息来源:红皮书410.01.1.c)
实务公告2210.A1—1:
审计业务计划过程中的风险评价
解释《内部审计专业实务标准》中的第2210.A1条标准
相关标准:第2210.A1条标准
在制定审计业务计划时,内部审计师应确认并评价与被审计活动相关的风险。审计业务工作的目标应该反映风险评价的结果。(信息来源:红皮书410.01)
本实务公告性质
在审计业务计划过程中评价风险时,内部审计师应该考虑以下建议。本实务公告无意囊括开展这种评价工作可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应该获取关于被审计活动的背景信息。应该对背景信息进行检查,以确定其对审计业务的影响。这些信息包括:
•;目标与目的;
•;可能对运营和报告产生重要影响的政策、计划、程序、法律、规定和合同;
•;机构信息,如:雇员的人数和姓名、骨干人员、岗位说明、包括主要系统变化的机构最新变化的细节;
•;被审计活动的预算信息、运营结果、财务数据;
•;审计业务开始前的工作底稿;
•;其他审计业务的结果,包括已完成的或正在进行的外部审计师的工作;
•;用以确定潜在重要审计业务问题的通讯文档;
•;适合被审计活动的权威性和技术性文字。(信息来源:红皮书410.01.2.a)
(2)如果条件合适,内部审计师应该开展调查,以熟悉有关活动内容、风险和控制,确认审计需要强调的领域,征求客户的评论和建议。调查是在不加详细证明的前提下对被审计活动收集信息的过程。调查的主要目的是:
•;理解被审计活动;
•;确认需要特别注意的重要领域;
•;获取可用于开展审计的信息;
•;决定是否需要开展进一步的审计。 (信息来源:红皮书410.01.5)
(3)调查使内部审计师得以在知情的前提下进行计划并实施审计业务,而且是将内部审计部门资源用于最能发挥效用领域的有效工具。调查的重点根据审计业务性质的不同而不同。调查的工作范围和时间要求也各不相同。造成这种情况的原因包括内部审计师的培训和工作经验、对被审计活动的了解、所开展的审计业务的种类以及调查是否属于多次进行的审计或跟踪审计的内容。时间要求还可以受到被审计活动规模、复杂性和地理分布的影响。(信息来源:红皮书410.01.5.d)
(4)调查可以应用以下程序:
•;与审计客户开展讨论;
•;与受被审计活动影响的个人(如:被审计活动产品的用户)进行面谈;
•;进行现场观察。
(5)对管理报告和研究结果的检查。
•;分析性审计程序;
•;绘制流程图;
•;功能性“走查”(从头至尾对具体工作活动进行测试);
•;记录关键控制活动。(信息来源:红皮书410.01.5.e)
(6)调查结束时应编写调查结果总结。总结应该明确:
•;重要的审计业务问题和进一步探索这些问题的原因;
•;调查过程中开发的相关信息;
•;审计业务目标、程序和特殊方法(如:计算机辅助审计技术);
•;潜在的关键控制点、控制缺陷和/或控制过度情况;
•;对时间和资源要求的初步估计;
•;(在适用条件下,)不继续进行审计的原因。(信息来源:红皮书410.01.5.f)
实务公告2230—1:审计业务资源的分配
解释《内部审计专业实务标准》中的第2230条标准
相关标准:第2230条标准
审计业务资源的分配
内部审计师应确定适当的资源,以实现审计业务目标。人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可获得资源的评价。(来源:红皮书410.01.3)
本实务公告性质
当内部审计人员决定审计业务资源的分配情况时,应考虑下列建议。此公告并不试图代表所有必须要考虑的因素,仅提供一系列建议审计师考虑的事项,并不要求必须遵守本实务公告。
在确定开展内部审计工作所需的资源时,对下列要素的评估是非常重要的:
(1)所需的内部审计人员的数量和经验水平应依据对每项审计业务的性质和复杂性、时间限制以及可获得资源的评价。
(2)在为审计任务选择内部审计人员时,应考虑内审人员的知识、技能和其他能力。
(3)由于每一项委托的审计工作任务都是满足内部审计部门不断发展要求的基础,所应考虑内部审计人员的培训要求。
(4)出于利用外部资源的考虑,需要进一步的知识、技能和其他能力。(来源:红皮书410.01.3)
实务公告2240—1:审计工作方案
解释《内部审计专业实务标准》中的第2240条标准
相关标准:第2240条标准
审计工作方案
内部审计师应该编制有助于实现审计目标的审计工作方案。这些工作方案应该得到记录。(信息来源:红皮书410.01.6)
本实务公告性质
在编制审计工作方案时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)如果可行,审计程序(包括所应用的测试和抽样技术)应该事先得到选择,并在条件允许的情形下得到扩充或修改。实务公告2210.A1—1对此问题有更详细的指导。(信息来源:红皮书420.01.3)
(2)收集、分析、解释和记录信息的过程应该得到监督,以合理保证审计师的客观性得到维护,审计的目标得到实现。(信息来源:红皮书420.01.4)
实务公告2240.A1—1:
审计工作方案的审批
解释《内部审计专业实务标准》中的第2240.A1条标准
相关标准:第2240.A1条标准
审计工作方案应该建立用以在审计过程中发现、分析、评价和记录信息的程序。工作方案应该在审计开始之前得到批准,对审计工作方案的任何调整也应该及时得到批准。(信息来源:红皮书410.01.8)
本实务公告性质
在审批审计工作方案时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
对审计工作方案的审批是指审计执行主管或其指定人员在审计工作开始之前书面批准审计工作方案。对审计工作方案的调整应该及时得到批准。如果由于种种原因,无法在审计工作开始之前获得书面批准,可以先获取有关方面的口头同意。(信息来源:红皮书410.01.8)
实务公告2310—1:收集信息
解释《内部审计专业实务标准》中的第2310条标准
相关标准:第2310条标准
收集信息
内部审计师应该收集充分、可靠、相关和有用的信息,以实现审计目标。(信息来源:红皮书420)
本实务公告性质
在收集信息时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应该收集关于与审计目标和工作范围相关的所有事项的信息。内部审计师应该在收集和检查信息时应用分析性审计程序。分析性审计程序研究并比较财务和非财务信息之间的关系。在收集和检查信息时应用分析性审计程序的依据是以下假设:在缺乏已知的相反情形时,可以合理期望信息之间的关系不仅存在,而且会得到发展。相反情形包括异常的或不重复发生的交易或事件、会计/机构/运营/环境/技术的变化、效率低下、缺乏效果、错误、不合规或违法行为。 (信息来源:红皮书420.01.1)
(2)信息应该充分、有力、相关、有助于为审计发现和建议提供健全的依据。充分的信息是指信息忠于事实、恰当、具有说服力,在拥有此种信息的条件下,任何谨慎的知情人都会得出与审计师相同的结论。有力的信息是指信息可靠,而且最能通过恰当审计技术的应用而获取。相关的信息是指信息能够支持审计发现和建议,并与审计目标保持一致。有用的信息有助于机构实现其目标。(信息来源:红皮书420.01.2.d)
实务公告2320—1:分析与评价
解释《内部审计专业实务标准》中的第2320条标准
相关标准:第2320条标准
分析与评价
内部审计师应该在恰当分析和评价的基础上得出审计结论和审计结果。(信息来源:红皮书420)
本实务公告性质
在应用分析和评价得出审计结论时,内部审计师应该考虑以下建议。本实务公告无意囊括开展这种评价工作可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)分析性审计程序为内部审计师提供了评价审计过程中收集的信息的迅速有效的手段。通过将收集的信息和内部审计师发现或开发的期望值相比较,可以得出评价结果。分析性审计程序在确认以下内容时非常有用:(信息来源:红皮书420.01.1.d)
•;意外差异;
•;期望的差异没有出现;
•;潜在的错误;
•;潜在的不合规或违法行为;
•;其他异常或不重复发生的交易或事件。(信息来源:红皮书420.01.1.e)
(2)分析性审计程序可以包括以下内容:
•;将目前阶段的信息与前些阶段的类似信息进行比较;
•;将目前阶段的信息与预算或预测进行比较;
•;研究财务信息与合适的非财务信息之间的关系(如:将所记录的工资开支与雇员平均人数的变化进行比较);
•;研究信息组成因素之间的关系(如:将所记录的利息开支的浮动与相关债务余额变化进行比较);
•;将本部门信息与机构其他部门的类似信息进行比较;
•;将本机构信息与机构所在行业的类似信息进行比较。
(3)可以通过应用货币金额、实物数量、比率或百分比来开展分析性审计程序。具体的分析性审计程序包括但不限于以下内容:比率、趋势和回归分析,合理性测试,各阶段比较,与预算、预测和外部经济信息的比较。分析性审计程序有助于内部审计师确认需要随后开展审计的情形。内部审计师应该根据第2200条标准(实务公告2210—1)在审计计划过程中应用分析性审计程序。(信息来源:红皮书420.01.1.i)
(4)内部审计师还应该在审计过程中应用分析性审计程序,对信息进行检查和评价,以支持审计结果。内部审计师在确定在多大程度上应用分析性审计程序时应该考虑下述因素:
•;被审计领域的重要性;
•;内部控制系统的充分性;
•;财务和非财务信息的可获得性和可靠性;
•;预测分析性审计程序结果的准确度;
•;机构所在行业有关信息的可获得性和可比性;
•;其他审计程序为审计结果提供支持的程度。
•;在评价这些因素以后,内部审计师应该考虑应用其他必要的审计程序来实现审计目标。 (信息来源:红皮书420.01.1.j)
(5)当分析性审计程序发现意外结果或关系时,内部审计师应该检查并评价这些结果或关系。检查和评价通过应用分析性审计程序而发现的意外结果或关系应该包括对管理人员进行问询,并应用其他审计程序,直到内部审计师相信这些结果或关系得到充分的解释。如果此类结果或关系无法得到解释,则表明存在潜在错误、不合规现象或违法行为等严重情形。内部审计师应该将这些通过分析性审计程序发现的、无法得到充分解释的结果或关系通报给合适层次的管理人员。内部审计师可以根据情况,推荐后者采取恰当的措施。(信息来源:红皮书420.01.1.n)
实务公告2330—1:记录信息
解释《内部审计专业实务标准》中的第2330条标准
相关标准:第2330条标准
记录信息
内部审计师应记录相关的信息以支持审计结论和审计结果。(来源:红皮书420.01.5)
本实务公告性质
当记录信息时,内部审计师应考虑下列建议。本实务指导无意囊括开展这种评价可能需要考虑的所有方面,仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)记录审计情况的审计工作底稿应由内部审计师编制,并由内部审计部门的管理层进行审查。这些工作底稿应记录所获得的资料和做出的分析,并作为提出审计发现和建议的依据。审计工作底稿通常用于下述目的:
•;为内部审计报告提供主要依据;
•;帮助进行审计计划的制定、执行和审查;
•;用文件说明审计目的是否达到;
•;促进第三方审查;
•;为评价内部审计部门的质量项目提供依据;
•;在诸如保险索赔、舞弊案件和向法院提出诉讼的情况下,提供有关支持;
•;帮助内部审计人员的专业发展;
•;证实内部审计部门是否遵守《内部审计专业实务标准》。(来源:红皮书420.01.5a)
(2)审计工作底稿的编制、设计和内容取决于审计业务的性质。审计工作底稿应记载下述审计过程的各个方面:
•;制定计划;
•;对内部控制系统的健全性和有效性所进行的检查和评价;
•;执行的审计程序、取得的资料及形成的审计结论;
•;审查;
•;报告;
•;后续审计。
(来源:红皮书420.01.5.b)
(3)审计工作底稿必须完整,应包括所得出的审计结论的依据。至于其他方面,审计工作底稿也可包括:
•;计划文件和审计业务方案;
•;控制调查表,流程图,核对清单和叙述文字;
•;会谈的记录和备忘录;
•;机构系统数据,如机构系统图和岗位说明;
•;重要合同和协议的复本;
•;关于经营和财务政策的信息;
•;控制系统的评价结果;
•;函证信件和陈述文件;
•;对交易事项、处理过程和账户余额的分析和检查;
•;分析性审计程序的结果;
•;审计的最终报告和管理层的反应;
•;如果记载所得出的审计结论,应附有关审计信息的交流情况。
(来源:红皮书420.01.5.d)
(4)审计工作底稿的形式可以是纸、磁带、磁盘、软盘、胶片或其他介质。如果审计工作底稿采用无纸介质,应考虑制作备份。(来源:红皮书420.01.5.e)
(5)如果内部审计师正在报告财务信息,则审计工作底稿中要记载会计记录是否与此财务信息一致。 (来源:红皮书420.01.5.f)
(6)审计执行主管应为已开展的各种审计业务制定有关工作底稿的政策。标准化的审计工作底稿,如调查表和审计方案,可以提高审计工作的效率,便于审计工作的委派。有些审计工作底稿可能属于永久性的或结转的审计档案。这些工作底稿通常包含具有持续重要意义的资料。(来源:红皮书420.01.5.h)
(7)以下是典型的审计工作底稿的编制技术:
•;每份审计工作底稿必须确认审计业务并描述工作底稿的内容和目的;
•;每份审计工作底稿必须有执行审计工作的内部审计师的签名和日期记录;
•;每份审计工作底稿必须包含索引或参考编号;
•;审计核实的符号(记号)应加以注释;
•;数据的来源应清楚地标明。
(来源:红皮书420.01.5.i)
实务公告2330.A1—1:对审计记录的控制
解释《内部审计专业实务标准》中的第2330.A1条标准
相关标准:第2330.A1条标准
审计执行主管应控制对审计记录的接触。在把这些记录适当向外界公布之前,审计执行主管应征得管理高层和/或法律顾问的同意。(信息来源:红皮书420.01.5.n)
本实务公告性质
内部审计师应该考虑以下与控制审计记录有关的建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)审计工作底稿是机构的财产。审计工作底稿文档应该由内部审计部门控制,而且只有得到授权的人员才能接触工作底稿。(信息来源:红皮书420.01.5.o)
(2)机构管理人员和其他成员可以要求接触审计工作底稿。这种接触对于充实或解释审计发现和建议或出于其他业务目的而应用审计文件记录可能是必要的。这种接触要求应该得到审计执行主管的审批。(信息来源:红皮书420.01.5.p)
(3)内部审计师和外部审计师互相允许对方接触自己的工作底稿是常见的做法。接触外部审计师的工作底稿应该得到审计执行主管的批准。(信息来源:红皮书420.01.5.q)
(4)在有些情形下,机构外部的有关方面(外部审计师除外)要求接触审计工作底稿和审计报告。在公开这些文件之前,审计执行主管应该获得管理高层和/或法律顾问的批准。(信息来源:红皮书420.01.5.r)
实务公告:2330.A1—2:
对授权接触审计记录的法律考虑
解释《内部审计专业实务标准》中的第2330.A1条标准
相关标准:第2330.A1条标准
信息的记录
审计执行主管应控制对审计记录的接触。在把这些记录适当向外界公布之前,审计执行主管应征得管理高层和/或法律顾问的同意。(信息来源:红皮书420.01.5.n)
本实务公告性质
在考虑授权内部审计部门以外的有关方面接触审计记录时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
注意:由于不同司法制度的要求大相径庭,鼓励内部审计师就涉及法律问题的所有事项咨询法律顾问。本实务公告的指导内容主要依据美国的司法制度。
(1)内部审计记录包括报告、辅助性文件、检查笔记以及不受存储媒介限制的通讯记录。内部审计师向管理层和董事会提供审计服务,并在后两者的支持下编制审计记录。编制审计记录的假设是,记录内容保密,而且可能混合事实和意见。但是,不能立刻熟悉机构或其内部审计程序的人员可能会对这些事实和意见产生误解。在多种情形下,包括刑事诉讼、民事诉讼、税收审计、合规性检查、政府合同检查和自律机构的检查,外部有关方面都要求接触审计记录。机构内部不受律师一客户拒绝泄露内情权保护的所有记录在刑事诉讼中几乎都可以被外人获取。但在非刑事诉讼中,接触权问题就没有那么清楚。
(2)内部审计部门可以通过以下文件的编制,加强对接触审计记录的控制。
•;章程;
•;岗位说明;
•;内部审计部门的政策;
•;与法律顾问一起开展调查的程序。
这些内容将在以下篇幅中讨论。
(3)不管机构记录和信息以何种媒介储存,内部审计章程都应该涉及对机构记录和信息的接触和控制。
(4)应该为内部审计部门编制书面岗位说明,这些说明应该包括审计师所履行的复杂多样的职责。这些说明可以帮助内部审计师处理对审计记录的接触要求,还可以帮助内部审计师理解其工作范围,帮助外部有关方面理解内部审计师的职责。
(5)应该开发与内部审计部门有关的内部部门政策。这些书面做法应该规定以下内容:
•;审计记录应该包括什么?
•;部门记录应该保留多长时间?
•;如何处理外部对部门记录的接触要求?
•;在与法律顾问一起开展调查时应该采取何种特殊做法?
这些问题将在以下篇幅中得到讨论。
(6)与各种审计有关的政策应该具体说明审计记录的内容和格式,以及内部审计师应该如何处理其检查笔记(这些笔记作为对所提问题的记录得到保留,随后得到处理或销毁,以免第三方接触它们)。而且,政策应该具体说明保留审计记录的时间阶段,应根据机构的需要和法律要求确定时间限制。(就此问题咨询法律顾问是十分重要的。)
(7)部门政策应该解释以下内容:
•;机构内部由谁负责保证部门记录的控制和安全?
•;谁可以获得接触审计记录的权利?
•;如何处理对审计记录的接触要求?
•;这些政策可以依据机构所在行业或所在国家司法制度的有关做法。审计执行主管和内部审计的其他人应该警惕行业做法的变化和法律先例的变化。他们应该预测哪些人会在将来的某一天要求接触其工作成果。
(8)授权接触审计记录的政策还应该处理以下问题:
•;解决接触问题的过程;
•;保留每种工作成果的时间;
•;就接触审计工作成果所带来的风险和问题对内部审计人员进行教育和重新教育的过程;
•;定期调查行业、以确定谁可能在将来提出接触审计工作成果的要求。
(9)政策应该指导内部审计师确定何时审计成为一种需要与律师一起开展的调查活动,并确定在与法律顾问沟通时内部审计师需要遵守哪些特殊程序。政策还应该规定签署恰当的留置函,以便使提供给律师的信息得到拒绝泄露内情权的保护。
(10)内部审计师还应该使董事会和管理层了解接触审计记录所带来的风险。关于谁可以得到授权接触审计记录,如何处理这些接触要求,在审计成为调查时应该遵守哪些程序等问题的政策都应该得到董事会审计委员会(或其他相应管理机构)的审查。具体政策则根据机构性质和法律规定的接触权利的不同而不同。
(11)如果要求披露信息,那么,谨慎编制审计记录是非常重要的。可以考虑以下步骤:
•;只披露要求披露的具体文件。带有意见和建议的审计记录一般不公开。揭示律师思路或战略的文件一般得到拒绝泄露内情权的保护,不能强迫它们公开。
•;保留原件,只公开复印件,当文件是用铅笔编写时更应如此。如果法院要求原件,内部审计部门应该保留复印件。
•;在每份文件上注明“保密”字样,并在每份文件上注明:未经同意,不得分发。
实务公告:2330.A2—1:对记录的保留
解释《内部审计专业实务标准》中的第2330.A2条标准
相关标准:第2330.A2条标准
审计执行主管应该为审计记录确定保留要求。这些保留要求应该与机构的指南、管理要求和其他相关要求相一致。(信息来源:红皮书420.01.5.s)
本实务公告性质
在确定记录保留要求时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
记录保留要求应适用于所有审计记录,不管审计记录以何种形式得到保存。(信息来源:新)
实务公告:2340—1:对审计的监督
解释《内部审计专业实务标准》中的第2340条标准
相关标准:第2340条标准
对审计的监督
审计工作应该得到恰当监督,以确保审计目标得到实现,审计质量得到保证,审计人员得到发展。(信息来源:红皮书230)
本实务公告性质
在监督审计工作时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)审计执行主管负责保证提供恰当的审计监督。监督过程从审计计划开始,持续审计检查、评价、报告和跟踪各阶段。监督包括以下内容(信息来源:红皮书230.01):
•;保证分配参加审计工作的审计师拥有必须的知识、技能和开展审计工作所需的其他能力;
•;在审计计划阶段提供恰当的指导并批准审计方案;
•;监督批准后的审计方案按计划实施,除非有充分的理由并得到授权改变审计方案;
•;保证审计工作底稿充分支持审计发现、审计结论和审计建议;
•;保证审计报告准确、客观、清楚、扼要、及时、富有建设性:
•;保证审计目标得到实现;
•;提供机会发展内部审计师的知识、技能和其他能力。(信息来源:红皮书230.02)
(2)对审计进行监督的恰当证据应该得到文件记录和保留。所要求的监督程度取决于内部审计师的专业水平和经验以及审计的复杂程度。审计执行主管总体负责审查工作,但可以指定拥有恰当经验的内部审计部门成员来开展审查。可以请经验比较丰富的内部审计师检查经验不那么丰富的内部审计师所开展的审计工作。(信息来源:红皮书230.04,230.06)
(3)所有内部审计项目,不管是否由内部审计部门开展,都由审计执行主管负责。审计执行主管还要为审计计划、检查、评价、报告和跟踪阶段作出的所有重要专业判断负责。审计执行主管应该采取恰当的手段,保证履行这些责任。恰当的手段包括用于以下目的的政策和程序:
•;最大限度地减少以下风险:内部审计师或其他为内部审计部门工作的人员所作出的专业判断可能与审计执行主管的专业判断不一致,从而导致对审计工作的反面影响;
•;解决审计执行主管和内部审计人员在与审计项目有关的重要问题上的专业判断分歧。有关解决方法包括:
①讨论相关事实;
②开展进一步问询和/或研究;
③在审计工作底稿中记录并处理不同意见。
如果对道德问题存在专业意见分歧,合适的手段包括将问题提交机构内部负责道德事项的人员,等等。(信息来源:红皮书230.05)
(4)审计监督范围可以得到延伸,从而包括人员培训和开发、雇员业绩评价、时间和费用控制以及类似管理领域。(信息来源:红皮书230.06)
(5)所有的工作底稿都应该得到检查,以保证它们恰当支持审计报告,并保证所有必须的审计程序都得到完成。监督检查的证据应该包括检查人员在检查完每份工作底稿后在底稿上签署日期和自己的首字母。其他提供监督检查证据的检查技术包括完成审计工作底稿检查清单和/或编制具体说明检查性质、范围和结果的备忘录。(信息来源:红皮书420.01.5.1)
(6)检查人员可以以书面形式(检查笔记)记录检查过程中出现的问题。在清理检查笔记时,应该注意保证工作底稿提供关于检查过程中所提问题已经得到解决的充分证据。处理检查笔记有两种不同方法:
•;保留检查笔记,把笔记作为检查人员所提问题和解决问题所采取步骤的记录;
•;在所提问题得到解决、相应的审计工作底稿得到修改、要求的额外信息得到提供之后将检查笔记销毁。
实务公告:2400一1:
报告审计结果时的法律考虑
解释《内部审计专业实务标准》中的第2400条标准
相关标准:第2400条标准
报告审计结果
内部审计师应该及时报告审计结果。 (信息来源:红皮书430)
本实务公告性质
在报告审计结果时,内部审计师应该考虑以下建议。本实务公告无意囊括报告审计结果时可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
注意:由于不同司法制度的要求大相径庭,鼓励内部审计师就涉及法律问题的所有事项咨询法律顾问。本实务公告的指导内容主要依据美国的司法制度。
(1)内部审计师在审计报告中包括与违法违规行为和其他法律问题有关的审计结果,并发表审计意见时应该非常谨慎。强烈鼓励遵循与处理这些事项有关的政策和程序,并与有关方面(法律顾问、稽核官员)建立紧密工作关系。
(2)内部审计师应按要求收集证据、进行分析性判断、报告审计结果并保证采取纠正性措施。内部审计师对于用文档保存审计记录的要求可能与法律顾问希望不留下任何可能损害辩护的可发现证据的要求相冲突。比如,即使内部审计师开展调查的方式是正确的,所披露的事实也可能会伤害机构法律顾问所经手的案子。正确的计划和政策制定工作是至关重要的,这样,即使在遇到突然披露某些事实的情况时,公司法律顾问和内部审计师也不至于发生矛盾。内部审计师和公司法律顾问还应该通过使管理层了解既定政策、对政策敏感而在整个机构培养一种讲求道德的、预防性的气氛。内部审计师应该考虑以下因素,在开展可能需要对外披露或报告审计结果的审计业务时更应如此。
(3)以下是保护律师一客户拒绝泄露内情权的四大必要因素:
•;必须以保密形式;
•;在“享有特权的人之间”;
•;进行交流沟通;
•;目的是为客户寻找、获取或提供法律援助。
•;这种拒绝泄露内情权主要用于保护律师之间的交流沟通,也可以应用于与(和律师一起工作的)第三方的沟通。
(4)有些法院已认可一种使审计工作成果等自我批评材料免遭发现的批评性自我分析的拒绝泄露内情权。总而言之,认可这种拒绝泄露内情权所依据的假设是:对所涉及情况的检查结果进行保密所带来的好处大于大家珍视的公众利益。一家法院曾经这样解释:
“自我批评分析拒绝泄露内情权已被认可为一种使某些批评性自我评价信息免遭发现的有条件的拒绝泄露内情权。它允许个人或企业坦率地评价其遵纪守法情况,又不会产生可能在未来的诉讼中被其对手用做反击武器的证据。这种规定的原理是这种批评性自我评价有助于强迫公众利益让位于对法律的遵守。”
(5)一般说来,要应用上述拒绝泄露内情权,经常需要满足以下三种要求:
•;受此种拒绝泄露内情权管辖的信息必须来自维护此种拒绝泄露内情权的方面所开展的自我批评分析;
•;公众必须对自我批评分析中所包括的信息的自由流动表示出强烈兴趣;
•;这种信息必须属于一旦被发现,流动就会终止的类别。
•;在有些情形下,法院还考虑过,批评性分析是否在原告受到伤害前发生,或者导致了原告受到伤害;据说,如果批评性分析发生在后,要求享有拒绝泄露内情权的理由是最强烈的。
(6)如果要求获取文件的是政府机构而不是私人起诉人,法院一般更不愿意承认自我评价拒绝泄露内情权。可以假设这种勉强态度是认可政府在实施法律更感兴趣的结果。自我评价拒绝泄露内情权特别适用于已经建立自我规范程序的部门。医院、证券经纪人和私人会计师事务所都已建立此种程序。这些程序大多与为财务审计等操作活动锦上添花的质量保证程序有关。
(7)要根据工作一产品的规定保护文件不会随意向外披露必须满足3大要求。这些文件必须:
•;是某种形式的工作一产品(如:备忘录、电脑程序);
•;在预料诉讼时编制;
•;编制方必须是律师的代理人。
(8)在律师一客户关系存在之前编制的文件不受工作一产品规定的保护。向律师发送在律师一客户关系形成之前编制的文件不会使文件在工作一产品规定下得到保护。此外,这条规定是有条件的。如果存在对信息的实质性需要,而且通过其他方式无法轻易获得这种信息,那么,这些文件就不会得到工作一产品规定的保护。比如,某公司审汁委员会通过面谈来确定是否进行了可疑的海外付款。除了与已去世人员进行面谈的结果有关的章节,他们的报告受到工作一产品规定的保护。
实务公告:2410一1:报告标准
解释《内部审计专业实务标准》中的第2410条标准
相关标准:第2410条标准
报告标准
审计报告应该包括审计目标、审计范围、适用的审计结论、审计建议和行动计划。(信息来源:红皮书430.04)
相关标准:第2410.A1条标准
审计结果的最终报告应该恰当包括内部审计师的总体意见。(信息来源:红皮书430.04.8)
本实务公告性质
在报告审计结果时,内部审计师应该考虑以下建议。本实务公告无意囊括报告审计结果时可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)虽然审计最终报告的形式和内容可能随机构或审计类别的不同而不同,它们至少都应该包括审计的目的、范围和结果。(信息来源:红皮书430.04.1)
(2)审计的最终报告可能包括背景信息和总结。背景信息可能确认被检查的部门和活动,并提供相关说明性信息,还可以包括来自以前审计报告的审计发现、审计结论、审计建议,并表明报告内容是否是安排好的审计,是否是应有关方面的要求而编制。如果包括在报告中,总结内容应该均衡代表审计报告的内容。(信息来源:红皮书430.04.2)
(3)目的声明应该说明审计的目标,而且可以在必要时告知读者开展审计的原因以及期望审计实现的目标。(信息来源:红皮书430.04.3)
(4)范围声明应该确定被审计活动,并恰当包括被检查的审计阶段等辅助信息。如果必要,未经审计的相关活动也应该得到确认,以勾画审计的边界。所开展审计工作的性质和范围也应该得到描述。(信息来源:红皮书430.04.4)
(5)审计结果应该包括审计发现、审计结论(意见)、审计建议和行动计划。(信息来源:红皮书430.04.5)
(6)审计发现是对事实的相关声明。最终审计报告应该包括支持内部审计师结论和建议以及预防误解这些结论和建议的必要审计发现。比较次要的审计发现或建议可以通过非正式形式报告。(信息来源:红皮书430.04.6)
(7)通过比较应该达到的目标和实际的做法可以得出审计发现和审计建议。不管两者之间是否存在差异,内部审计师都有了编制报告的基础。如果情况符合标准,在审计报告中确认出色的业绩可能比较恰当。审计发现和审计建议应该以以下特征为依据:
•;标准:在进行评价和/或核证时应用的标准、措施或期望值;
•;情况:内部审计师在检查过程中发现的事实证据;
•;原因:预期和实际情况之间存在差异的原因;
•;效果:由于情况与标准不一致,机构和/或其他部门面临的风险(差异的影响)。在确定风险的程度时,内部审计师应该考虑其审计发现和审计建议可能对机构运营和财务报表产生的影响;
•;审计发现和审计建议还可以包括没有在其他地方反映的审计客户成绩、相关问题和辅助信息。(信息来源:红皮书430.04.7)
(8)审计结论(审计意见)是内部审计师对审计发现和审计建议影响被审计活动的情况进行的评价。他们经常根据总体印象合理提出审计发现和审计建议。如果审计报告包括审计结论,应该明确指出哪些是审计结论。审计结论可能覆盖整个审计范围或具体审计方面。它们可以包括但不限于以下内容:
•;运营目标或项目目标是否与机构目标保持一致;
•;机构目标是否得到实现;
•;被审计活动是否按计划运作。 (信息来源:红皮书430.04.8)
(9)审计报告应该包括改进建议、对出色业绩的认可以及纠正性措施。建议的基础是内部审计师的审计发现和审计结论,它们呼吁采取措施纠正存在的问题或改进操作。作为对管理层实现预期结果的指导,建议可以提议采取手段纠正或改进业绩。建议可以是概括性的也可以很具体。比如,在有些情况下,推荐采取一般性措施并提出具体实施建议比较可取。在另外的情形下,只建议开展调查或研究可能比较恰当。(信息来源:红皮书430.05和红皮书430.05.1)
(10)自上次审计以来或建立良好控制措施以后审计客户所取得的成绩可以包括在最终审计报告中。这种信息可能是公正表述现有情况并为最终审计报告提供恰当的角度和平衡所必需的。(信息来源:红皮书430.05.2)
(11)审计客户关于审计结论或建议的观点可以收入审计报告中。(信息来源:红皮书430.06)
(12)作为内部审计师与审计客户的一部分讨论内容,内部审计师应该努力征求对方同意审计结果和为改进运营而建议采取的行动计划。如果内部审计师和审计客户对于审计结果存在意见分歧,审计报告可以说明分歧的具体情况和原因。审计客户的书面意见可以作为附录收进审计报告,也可以直接在报告主干部分得到表述或以信函的形式得到表述。 (信息来源:红皮书430.06.1)
(13)由于受到拒绝泄露内情权保护、所有权问题或与违法乱纪行为有关,有些信息可能不适合向所有报告接收人披露。但是,这些信息可以在单独的报告中披露。如果所报告情况涉及管理高层,应将报告分发给机构董事会。(信息来源:红皮书430.07.3)
(14)中期报告可以是书面的、也可以是口头的,可以正式、也可以不正式。中期报告可以用于报告需要马上注意的信息、报告被审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层。中期报告的应用并不减少或消除对最终报告的需要。(信息来源:红皮书430.01.1)
(15)署名报告应该在审计完成以后发布。强调审计结果的总结报告可能适合向高于被审计部门的管理层提交。总结报告可以与最终报告一起也可以单独发布。署名意味着得到授权的内部审计师应该在报告上手工签署其姓名。这种签名也可以在信函上出现。得到签署报告授权的内部审计师应该由审计执行主管指定。如果以电子形式发布审计报告,内部审计部门应该将署名报告存档。(信息来源:红皮书430.01.4)
实务公告:2420—1:.审计报告的质量
解释《内部审计专业实务标准》中的第2420条标准
相关标准:第2420条标准
审计报告的质量
审汁报告应该准确、客观、清楚、扼要、完整、及时、富有建设性。(信息来源:红皮书430.03)
本实务公告性质
在编制审计报告时,内部审计师应该考虑塔下建议。本实务公告无意囊括编制审计报告时可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)客观的审计报告具有实事求是、不偏不倚、不歪曲事实的特点,所包括的审计发现、审计结论和审计建议应该没有偏见。(信息来源:红皮书430.03.1)
(2)内容清楚的审计报告易于理解,富有逻辑。通过避免应用不必要的技术语言,并提供充分的辅助信息,可以使报告更清楚。(信息来源:红皮书430.03.2)
(3)扼要的审计报告一针见血,避免不必要的细节。它们以最少的文字完整地表达思想。(信息来源:红皮书430.03.3)
(4)建设性的审计报告通过其内容和口气为审计客户和整个机构提供帮助,并促进必要改进工作的进行。(信息来源:红皮书430.03.4)
(5)及时的审计报告在发布上没有延误,并能促进采取有效的行动。(信息来源:红皮书430.03.5)
实务公告2421—1:错误与遗漏
解释《内部审计专业实务标准》中的第2421条标准
相关标准:第2421条标准
错误与遗漏
如果最终报告中有重大错误和遗漏,审计执行主管应把更正后的信息传达给所有接到最初报告的人员。
本实务公告性质
如果在审计报告中发现了错误和遗漏,内部审计师应考虑下列建议。本实务指导无意囊括开展这种评价可能需要考虑的所有方面,仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)如果最终审计报告中确实有差错,那么审计执行主管应该考虑发布修正报告的必要性,修正报告中要指出被修改的资料。修正的审计报告要发送给所有收到要修改的审计报告的人员。
(2)“差错”是指在最终审计报告中的非故意性的错误说明或重要信息的遗漏。
实务公告:2440一l:发布审计结果
解释《内部审计专业实务标准》中的第2440条标准
相关标准:第2440条标准
发布审计结果
审计执行主管应该将审计结果向合适的对象发布。(信息来源:红皮书430.07)
相关标准:2440A1
审计执行主管负责将最终审计结果报告给那些能保证对审计结果进行应有考虑的人员。(信息来源:红皮书430.07)
本实务公告性质
在发布审计结果时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)发布最终审计结果之前,内部审计师必须向适当层次的管理人员征求对审计结论和建议的意见。 (信息来源:红皮书430.02)
(2)对审计结论和建议的讨论通常是在审计过程中或审计结束后召开的会议(撤出会谈)上进行的。另一种方式是由被审计部门的管理人员审阅审计问题草稿、审计发现和建议。这些讨论和审阅为被审计部门提供了澄清具体问题和表述他们对审计发现、结论和建议的意见的机会,从而有助于保证不会对事实产生误解和歪曲。(信息来源:红皮书430.02.1)
(3)虽然参与讨论和审阅的管理人员的层次可以依据机构和报告的性质而有所变化,但他们通常是了解业务详细情况和有权执行纠正措施的人。(信息来源:红皮书430.02.2)
(4)审计执行主管或其指定代表在发布最终审计报告之前应对其进行审批,并决定应向哪些人发布报告。审计执行主管或其指定代表应该审批所有最终报告,他们可以签署所有这些报告。在特殊情况下,应考虑由审计负责人、监督人员或首席审计师代表审计执行主管来签署最终的审计报告。 (信息来源:红皮书430.07)
(5)应该把最终审计结果报告发布给那些能保证对审计结果进行应有考虑的人员。这意味着报告要发布给那些能采取纠正措施或能保证采取纠正措施的职位的人员。最终的审计报告应发送给被审计部门的管理层。被审计部门中较高层次的成员可能只收到一份总结报告。这些报告还可以发送到其他感兴趣的或受审计报告影响的人员,如外部审计师和董事会董事。
实务公告:2440一2:对外发布审计报告
解释《内部审计专业实务标准》中的第2440条标准
相关标准:第2440条标准
发布审计结果
审计执行主管应该将审计结果向合适的人员发布。(信息来源:红皮书430.07)
本实务公告性质
如果需要向机构外部发布信息,内部审计师应该考虑以下建议。如果有关方面要求内部审计师向审计服务所针对的机构以外的人员提供报告或其他信息,就出现了对外发布报告的情况。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应该检查审计协议或机构政策/程序中包含的与对外发布信息有关的指导。内部审计部门和审计委员会的章程可能都有这方面的指导。如果缺乏这种指导,内部审计师应该促使机构采取恰当的政策。政策可以包括的信息有:
•;对外发布信息需要的授权;
•;为对外发布信息而寻求批准的过程;
•;区分可以发布的和不可以发布的信息的指南;
•;得到授权的外部信息接收人以及他们可以接收的信息种类;
•;与对外发布信息有关的隐私权规定、管理要求和法律考虑;
•;对外发布信息的结果报告中可以包括的保证、意见、建议、观点、指导和其他信息的性质。
(2)有关方面可能要求获取已经存在的信息(如:以前发布的内部审计报告),也可能要求获取必须创建或确定的信息,从而导致崭新内部审计业务的形成。如果要求获取的是已经存在的信息,内部审计师应该对信息进行检查,以确定这些信息是否适合对外发布。
(3)在有些情形下,现有的报告或信息可以在修改之后对外发布。在其他情况下,则可以针对以前开展的审计工作形成新的报告。在根据以前开展的工作修改、按要求改造或创建新报告时应该行使应有的职业审慎。
(4)对外发布信息时应该考虑以下事项:
•;就被发布信息签订书面协议的需要;
•;确认信息提供者、信息来源、报告署名人、信息接收人以及与报告或所发布信息相关的人员;
•;确认产生适用信息的目标、范围和程序;
•;需要提供的报告或其他发布形式(审计意见、包括或不包括建议、拒绝发表意见、限制)的性质以及需要提供的保证或论断的类别;
•;版权问题以及对进一步发布或分享信息的限制。
(5)为了出具对外发布的内部审计报告或其他形式的信息而开展的审计应该遵守适用的内部审计专业实务标准,并在报告或其他形式的信息中包括对这些标准的索引。
(6)如果在为了出具对外发布的内部审计报告或其他形式的信息而开展的审计过程中,内部审计师发现了可向管理层或审计委员会报告的信息,内部审计师就应该向适当的人员进行适当的报告。
*实务公告2440—3:
报送渠道内外的敏感信息交流
解释《内部审计专业实务标准》中第2440条和第2600条标准以
及《职业道德规范》中有关正直和保密的行为规则
相关标准:2440——发布审计结果
审计执行主管应当将审计结果向合适的对象发布。
相关标准:2600——管理层对风险的接受
在审计执行主管认为高级管理层接受的剩余风险水平机构无法接受,审计执行主管应就此与高级管理层进行讨论。如果讨论结果仍不能解决问题,审计执行主管和高级管理层应将此事报告董事会解决。
相关职业道德行为规范
(1)正直
内部审计师:
1.1应当诚实、勤奋并负责地完成工作。
1.2应当遵守法律,按照法律及职业标准作出披露。
1.3不得故意参加非法活动,或从事有损内部审计职业或其机构的活动。
1.4应当维护并促成机构实现合法的、职业道德方面的目标。
相关职业道德行为规范
2.保密
内部审计师
3.1应当谨慎地利用并保护职责范围内获得的信息。
3.2不得出于个人利益或者以任何有悖法律、损害机构的合法、道德目标的方式使用信息。
本实务公告性质
内部审计师可能发现诸如揭露、威胁、不确定性、欺诈、浪费、管理不善、非法活动、滥用职权、疏忽职守危害公众健康和安全等方面的信息及其他不道德行为。某些情况下,新发现的信息将产生重要后果,相关的支持证据也是重要且可信的材料。内部审计师在这类情况下陷入的进退两难境地往往十分复杂,涉及文化及商业实践方面的差异,法制构架,国家和地方的具体法律,以及职业标准、道德准则和个人价值观。内部审计师试图解决问题的方式可能招致报复或其他潜在的不利影响。由于这些风险,内部审计师应当谨慎地评价证据和所支持结论的合理性,认真审查可能的各种方式,将敏感信息传达到有权解决问题、中止不当行为的人员。部分国家的地方法律法规对某些方式有所规定。
本公告旨在激发对内部审计师面临的诸多挑战的思考,虽然提供了有关信息并对内部审计师可能考虑的因素提出建议,但远非详尽,未能提供法律和专家的建议。在局势敏感并且有重大结果的情况下,内部审计师应寻求法律顾问的帮助。本实务公告的起草极其谨慎并且经过了充分的审议,但是,内部审计师协会不承担采用其中的信息或适用于特定情形而引发的责任,同时对所建议的措施能否成功不作保证。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师常常会掌握一些格外敏感、关键而且会产生重大后果的信息。这类信息涉及揭露、威胁、不确定性、欺诈、浪费、管理不善、非法活动、滥用职权、疏忽职守危害公众健康和安全及其他不道德行为。这些事件对机构的声誉、形象、竞争力、成功、市场价值、投资、无形资产、收益等可能产生负面影响,并很可能增加机构披露的风险。
在报告渠道内交流敏感信息
(2)内部审计师一旦决定新信息重要且可靠,通常会及时与管理层相关人员沟通。多数情况下,只要管理部门采取适当的措施处理相应的风险,这种沟通就能从内部审计师的角度解决问题。如果沟通后的结果由于管理层未采取措施或措施不力使机构暴露出不可接受的风险,审计执行主管应考虑其他的选择以获得满意的解决。
(3)在可能采取的措施中,审计执行主管可在正常通报范围内与高层管理人员讨论其对风险的关注。由于审计委员会和其他委员会也是审计执行主管的通报对象,委员会成员一般会获悉审计执行主管的想法。如果审计执行主管经过与高层管理人员的讨论后仍不满意,认为高管层将机构置于不可接受的风险水平,没有采取适当措施加以中止或纠正,那么高层管理人员和审计执行主管应向董事会委员会呈报关键信息及他们的分歧。
(4)简便的通报渠道式沟通可能由于一国法律、法规或一贯做法的影响而得到促进。例如,美国公开上市的公司如被发现欺诈的财务报告,即使高层管理人员和审计执行主管已经就需要采取何种措施达成高度一致,审计委员会成员根据有关法律要求也会马上获悉误导性财务报告的可能性的一切情况。一些国家的法律法规明确董事会委员会成员应当获知违反刑事、安全、食品、药品或污染方面法律的情况及其他非法行为如抢劫,对政府官员,供应商或顾客的不当支付。
报告渠道以外的信息交流
(5)内部审计师在某些情况下会因考虑是否将发现的信息告诉正常通报渠道以外的人甚至机构以外的人而陷入两难境地。将负面消息透露给本机构正常通报渠道以外的人或政府及其他部门的行为通常被视为“告发”。
(6)研究显示,大多数告发者即使在正常通报渠道以外透露有关敏感信息,也局限在机构内部,特别是在相信机构对于调查非法、不当行为的政策或机制的情况下。但是,有的知情者可能会决定将信息诉诸于外,尤其当他们担心来自雇主或同行的报复时,怀疑事情不会得到认真调查,有关危及机构或社区人员健康安全的非法行为证据会被隐瞒。大多数善意告发者的初衷是中止非法、有害或不当行为。
(7)面对类似为难情况的内部审计师需要评价所有可能与通报渠道以外的人员或团体沟通的途径。由于这些方法相应地都有风险,内部审计师应当谨慎地评价证据和结论的合理性,认真审查每种方式的利弊。内部审计师采取的措施如果能使高层管理人员或董事会、委员会的成员做出合理的反映则是适当的。内部审计师可能会保留与机构治理结构之外的交流作为最后选择,只有认为风险及后果非常严重,机构现有的管理和治理机制无法有效解决的少数情况下,才会考虑这一措施。
(8)很多经济合作与发展组织(OECD)成员国的法律或行政规章要求公务员了解非法或不道德行为需通告总检察长,其他政府官员或巡视官。一些涉及告发类行为的国家法律对揭露特定类型非法行为的公民加以保护,这些行为包括:
•;刑事犯罪和其他不遵守法律责任的行为;
•;审判不公;
•;危及个人健康安全状况;
•;破坏环境;
•;隐瞒或掩盖上述任何一种行为的活动。
其他国家没有此类指导或保护。内部审计师应当了解不同机构所在地的法律法规并按照法律要求采取措施。如果内部审计师对适用的法律要求不确定则应考虑获取相关的建议。
(9)很多职业性组织的成员有义务披露非法或不道德的行为。“职业”的显著标志是对公众的广泛责任的接受和保护总体社会福利。IIA成员和所有注册内部审计师除了考虑法律要求外,还应当遵守IIA职业道德规范中有关非法或不道德行为的要求.
内部审计师的决定
(10)内部审计师具有专业职责和职业道德责任去认真评价所有证据及结论的合理性,并决定是否采取进一步措施保护机构和外部各界的利益。同时,内部审计师需要考虑IIA职业道德规范关于保密的义务,注意信息的价值和所有权,除非有法律或专业义务,应避免未经授权的披露。在这一评价过程中,内部审计师应当寻求法律顾问或合适的专家的建议,这种探讨有助于对各种可能采取措施的潜在影响和后果提供不同的视角和看法。内部审计师处理这类复杂、敏感情况的方式可能会产生报复或其他潜在的不利影响。
(11)最后,内部审计师必须做出是否与外界沟通的个人决定。决定基于的认识是不当行为有重要、可靠的证据支持,法律、监管规定或职业道德责任要求采取进一步措施。内部审计师的目的应当为希望制止错误或不当行为。
实务公告:2500—1:
对审计结果处理情况的监督
解释《内部审计专业实务标准》中的第2500条标准
相关标准:第2500条标准
对审计结果处理情况的监督
审计执行主管应该建立并维护对向管理层报告的审计结果的处理情况进行监督的制度。(信息来源:红皮书440.01.12)
本实务公告性质
在监督报告给管理层的审计结果的处理情况时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由
审计师自行选择决定。
(1)审计执行主管应该建立包括以下内容的程序:
•;要求管理层对审计发现和审计建议作出反应的时间框架;
•;对管理层所作出反应的评价;
•;(在条件合适时)对管理层所作出反应的核证;
•;(在条件合适时)开展跟踪审计;
•;将审计师不满意的反应/措施(包括风险假设)升级报告给恰当层次的管理人员的报告程序。(信息来源:红皮书440.01.12)
(2)有些被报告的审计发现和审计建议可能非常重要,因而需要管理层马上采取措施。由于这些情况可能对机构产生的影响,内部审计部门应该对它们进行持续监督,直到它们被纠正为止。(信息来源:红皮书440.01.7)
(3)用以有效监督审计结果处理进展情况的技术包括:
•;将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告;
•;在审计过程中或在审计结果得到报告后的合理时间内接收并评价管理层对审计发现和审计建议的反应。如果这些反应包括帮助审计执行主管评价纠正性措施的充分性和时效性的充分信息,这些反映的用途将大大增加;
•;接收管理层对审计发现和审计建议反应的定期更新,以评价管理层纠正以前所报告情况的努力程度;
•;接收并评价来自机构内部负责采取跟踪或纠正性措施的其他部门的信息;
•;向管理高层或董事会报告对审计发现和审计建议的反映情况。(信息来源:红皮书440.01.13)
实务公告:2500A1—1:后续审计过程
解释《内部审计专业实务标准》的第2500条标准
相关标准:第2500.A1条标准
审计执行主管应建立后续审计过程,以监督、保证管理行为得到有效落实,或高级管理层已接受了不采取行动所带来的风险。(信息来源:红皮书440.01)
本实务公告性质
在建立后续审计过程时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应确认已经采取有关纠正行动并正在达到期望的结果,或者确认高级管理层或董事会已经承担了对所报告的审计发现不采取纠正行动而产生的风险。
(2)内部审计师所进行的后续审计是指他们用以确认管理层针对报告中的审计发现和建议(包括外部审计师和其他人员的审计发现和建议)所采取的行动是否充分、有效和及时的工作过程。
(3)后续审计的责任应在内部审计部门的书面章程中得到明确。审计执行主管应确定后续审计的性质、时间和范围。在确定合适的后续审计程序时应考虑以下因素:
•;所报告的审计发现和建议的重要性;
•;纠正所报告问题需要的努力程度和费用;
•;如果纠正措施失败,可能会产生的影响;
•;纠正措施的复杂性;
•;所涉及的时间期限。
(4)也可能存在这种情况,审计执行主管发现,比照审计发现和建议的重要程度,管理层的口头或书面答复已经说明采取了有效的措施。在这种情况下,后续审计工作就可以作为下一次审计的部分内容。
(5)内部审计师应确保根据审计发现和建议采取的措施解决了潜在的问题。
(6)审计执行主管应负责安排后续审计工作,并把它作为制订审计工作计划的一部分。制订后续审计工作安排应以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据。
实务公告2600—1:管理层对风险的接受
解释《内部审计专业实务标准》中的第2600条标准
相关标准:第2600条标准
管理层对风险的接受
在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下,审计执行主管应就此与高级管理层进行讨论。如果讨论仍然无法决定剩余风险问题,审计执行主管与高级管理层应将此事报告董事会解决。
本实务公告性质
在管理层对风险的接受方面,内部审计人员应考虑下列建议。本实务指导无意囊括开展这种评价可能需要考虑的所有方面,仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)管理层负责决定针对报告中的审计发现和审计建议应要采取的适当行动,审计执行主管负责评价管理层为及时解决审计发现的问题和落实审计建议所采取的行动。在确定后续审计的范围时,内部审计师应考虑由该机构中的其他人员所进行的后续审计的程序。(来源:红皮书440.01.3)
(2)如第2060条标准(实务公告2060—1)所述,由于费用或其他方面的考虑,高级管理层可以决定不采取纠正行动并承担由此而产生的风险。高级管理层对所有重要审计发现和建议所做的决定都应报告董事会。(来源:红皮书440.01.4)
19年前
暂无评论
我来回复
和内部审计师在机构道德文化中的作用
解释《内部审计专业实务标准》中的第2130条标准
相关标准:第2130条标准
治理
内部审计部门应通过评价并改进以下程序为机构治理过程作出贡献:
(1)制定和宣传目标和价值的程序;
(2)监控目标实现情况的程序;
(3)确保责任机制的程序;
(4)维护价值的程序。
相关标准:第2130.A1条标准
内部审计师应检查机构运营与项目,确保它们与机构价值的一致性。
本实务公告性质
在确定自己在机构道德文化中的作用时,内部审计师应该考虑以下建议。这种作用因机构道德文化的存在情况、缺乏情况或发展程度等的不同而不同。本实务公告无意囊括开展与机构道德文化有关的综合性保证工作或咨询业务可能需要考虑的所有程序。是否遵守实务公告由审计师自行选择决定。
(1)本实务公告强调机构文化在建立公司道德气候中的重要性,并建议内部审计师在改进道德气候过程中可以起到的作用。
•;说明治理过程的性质;
•;将治理过程与机构道德文化相联系;
•;指出,所有与机构有关的人员,尤其是内部审计师,应该充当道德倡导者的角色;
•;列举得到加强后的道德文化的特点。
(2)机构应用各种法律形式、结构、战略和程序来保证自己。
•;遵守法律和管理规定;
•;遵守一般公认的业务规范、道德观念,并满足社会期望;
•;为社会提供总体福利,并加强具体利益关系方的长期和短期利益;
•;全面真实地向业主、执法人员、其他利益关系方和一般公众报告,保证对其决定、行为、行动和业绩负责。
机构所选择的用以履行上述四种责任的行为方式一般被称为治理过程。机构的治理部门(如:董事会或受托人或管理委员会)及其管理高层都对治理过程的效果性负责。
(3)机构的治理实务反映了影响各方作用、具体规定行为模式、确定目标与战略、衡量业绩并定义“责任机制”概念的不断变化的独特文化。这种文化对机构声明并容忍的价值、作用和行为产生影响,并确定机构在履行其对社会的责任时的敏感程度(考虑周到还是无动于衷)。因此,机构治理过程在履行其期望职能时的有效性在很大程度上取决于机构的文化。
(4)所有与机构有关的人员共同分享对机构道德文化状况的责任。鉴于大多数机构决策过程的复杂性和分散性,鼓励每个人都成为良好文化的倡导者,而这种作用是通过正式方式委托还是非正式表达则无关紧要。道德规范和机构展望/政策说明是关于机构价值和目标、期望行为、机构战略(这种战略是为了维护与机构法律/道德/社会责任相辅相成的文化)等内容的重要声明。越来越多的机构已指定道德主管担任行政人员、管理人员和其他有关人员的顾问,并将他们称为机构内部“做正确事情”的能手。
(5)内部审计师和内部审计部门应该在支持机构道德文化中起积极作用。他们在机构内部得到高度信任,道德操守得到公认,并且拥有成为良好道德倡导者所需的技术。内部审计师和内部审计部门有能力提请机构领导、管理人员和其他雇员遵守机构的法律、道德和社会责任。
(6)内部审计部门作为良好道德倡导者可能会起多种不同作用,包括道德主管(举报调查官、首席稽核官、管理道德顾问或道德专家)、内部道德理事会会员或机构道德气候的评价者。在有些情形下,道德主管的作用可能与内部审计部门的独立性相冲突。
(7)内部审计部门至少应该定期评价机构的道德气候以及机构战略、战术、信息流通和为了实现期望的遵纪守法水平而采取的其他过程的有效性。得到发扬光大的、高度有效的道德文化一般拥有以下特征,内部审计师应该评价这些特征是否有效:
•;清楚易懂的正式道德规范以及相关的说明、政策(包括覆盖舞弊和腐败的程序)和其他道德理想的表达形式;
•;有影响力的机构领导经常宣传并展示的、期望达到的良好道德态度和行为;
•;支持并加强道德文化的具体战略,附有更新延续机构道德文化承诺的经常性项目;
•;人们可以通过多种容易采纳的方式在保密的前提下举报违反道德规范、政策和其他不当行为的嫌疑;
•;雇员、供应商和顾客定期声明,他们知道在与机构进行交易时应该遵守的道德行为要求;
•;明确的责任授权,以保证道德结果得到评价,保密性顾问服务给予提供,不当行为嫌疑得到调查,所发现的情况得到恰当报告;
•;学习机会容易获得,从而使所有雇员都可能成为道德倡导者;
•;鼓励每名雇员为机构的道德气候作出贡献,从而创建积极的人事管理实务;
•;对雇员、供应商和顾客进行定期调查,以确定机构道德气候的状况;
•;对机构内部可能会造成逐渐损害道德文化的压力和偏见的正式和非正式过程进行定期检查;
•;将常规参考和背景检查作为招聘过程的一部分内容,包括诚实性测试和其他类似措施。
实务公告2200一1:审计业务计划
解释《内部审计专业实务标准》中的第2200条标准
相关标准:第2200条标准
审计业务计划
内部审计师在开展每项审计业务时都应制定并记录审计计划。(信息来源:红皮书410)
相关标准:第2201条标准
制定审计业务计划时应该考虑的因素
在制定审计业务计划时,内部审计师应考虑以下内容:
•;被审计活动的目标及控制具体实施情况的方式。
•;被审计活动存在的重大风险、目标、资源与运营以及将风险的潜在影响控制在可接受水平的方式。
•;与相关的控制框架或模式相比较,该活动的风险管理与控制系统的适当性与有效性。
•;对该活动的风险管理与控制系统进行重要改进的机会。
(信息来源:新)
本实务公告性质
在制定审计计划时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师负责计划并实施审计业务,同时接受有关人员的监督检查和审批。审计方案应该:
•;将内部审计师在开展业务过程中收集、分析、解释并记录
信息的程序进行文件记录;
•;说明审计业务的目标;
•;说明在审计业务的每个阶段实现工作目标所需的测试范围和程度;
•;确认应该检查的技术方面、风险、过程和交易;
•;说明所需测试的性质和范围;
•;在审计业务开始前制定完毕,并在审计过程中得到必要修改。
(2)审计执行主管负责确定应该向谁报告审计结果,何时和如何进行报告。如果实际可行,这种确定工作应该得到记录并向管理人员报告。如果合适,随后影响审计结果出具时间和报告工作的变化也应该向管理人员报告。
(3)审计业务的其他要求(如:审计的时间阶段和预计审计完成日期)应该得到确定。最后的审计报告形式也应该得到考虑,因为本阶段进行的恰当计划工作有助于最后审计报告的编制。(信息来源:红皮书410.01.2.b)
(4)管理层中需要了解审计业务的人都应该得到相关信息。内部审计部门应该与负责即将接受审计的活动的管理人员一起开会。会上应该讨论对有关事项的概述,而讨论得出的结论应该得到记录、在合适的情形下分发给有关人员并保留在审计工作底稿中。讨论的课题可以包括:
•;计划内的审计目标和工作范围;
•;审计工作的时间安排;
•;分配参加此项业务的内部审计师;
•;整个业务实施期间的报告过程,包括方法、时间框架以及负责人员;
•;被审计活动的业务条件和操作情况,包括管理或主要系统的最新变化;
•;管理人员所关心的事项或要求;
•;内部审计师特别关心或感兴趣的事项;
•;对内部审计部门报告程序和跟踪过程的说明。(信息来源:
红皮书410.01.2.b)
实务公告2210—1:审计目标
解释《内部审计专业实务标准》中的第2210条标准
相关标准:第2210条标准
审计目标
审计目标应该是对被审计活动的风险、控制及治理过程发表意见。(信息来源:红皮书410.01.1)
本实务公告性质
在确定审计目标时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)审计计划应该得到记录。审计目标和工作范围应该得到确定。审计目标是内部审计师开发的、确定审计业务希望实现内容的概要声明。审计程序是实现审计目标的手段。审计目标和审计程序的结合确定了内部审计师的工作范围。(信息来源:红皮书410.01.1)
(2)审计目标和程序应该针对与被审计活动有关的风险。“风险”这一概念是指可能影响目标实现的事件发生的不确定性。风险根据后果和可能性衡量。在审计计划阶段评价风险的目的是确认应该作为潜在审计目标得到检查的重要领域。(信息来源:红皮书410.01.1.c)
实务公告2210.A1—1:
审计业务计划过程中的风险评价
解释《内部审计专业实务标准》中的第2210.A1条标准
相关标准:第2210.A1条标准
在制定审计业务计划时,内部审计师应确认并评价与被审计活动相关的风险。审计业务工作的目标应该反映风险评价的结果。(信息来源:红皮书410.01)
本实务公告性质
在审计业务计划过程中评价风险时,内部审计师应该考虑以下建议。本实务公告无意囊括开展这种评价工作可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应该获取关于被审计活动的背景信息。应该对背景信息进行检查,以确定其对审计业务的影响。这些信息包括:
•;目标与目的;
•;可能对运营和报告产生重要影响的政策、计划、程序、法律、规定和合同;
•;机构信息,如:雇员的人数和姓名、骨干人员、岗位说明、包括主要系统变化的机构最新变化的细节;
•;被审计活动的预算信息、运营结果、财务数据;
•;审计业务开始前的工作底稿;
•;其他审计业务的结果,包括已完成的或正在进行的外部审计师的工作;
•;用以确定潜在重要审计业务问题的通讯文档;
•;适合被审计活动的权威性和技术性文字。(信息来源:红皮书410.01.2.a)
(2)如果条件合适,内部审计师应该开展调查,以熟悉有关活动内容、风险和控制,确认审计需要强调的领域,征求客户的评论和建议。调查是在不加详细证明的前提下对被审计活动收集信息的过程。调查的主要目的是:
•;理解被审计活动;
•;确认需要特别注意的重要领域;
•;获取可用于开展审计的信息;
•;决定是否需要开展进一步的审计。 (信息来源:红皮书410.01.5)
(3)调查使内部审计师得以在知情的前提下进行计划并实施审计业务,而且是将内部审计部门资源用于最能发挥效用领域的有效工具。调查的重点根据审计业务性质的不同而不同。调查的工作范围和时间要求也各不相同。造成这种情况的原因包括内部审计师的培训和工作经验、对被审计活动的了解、所开展的审计业务的种类以及调查是否属于多次进行的审计或跟踪审计的内容。时间要求还可以受到被审计活动规模、复杂性和地理分布的影响。(信息来源:红皮书410.01.5.d)
(4)调查可以应用以下程序:
•;与审计客户开展讨论;
•;与受被审计活动影响的个人(如:被审计活动产品的用户)进行面谈;
•;进行现场观察。
(5)对管理报告和研究结果的检查。
•;分析性审计程序;
•;绘制流程图;
•;功能性“走查”(从头至尾对具体工作活动进行测试);
•;记录关键控制活动。(信息来源:红皮书410.01.5.e)
(6)调查结束时应编写调查结果总结。总结应该明确:
•;重要的审计业务问题和进一步探索这些问题的原因;
•;调查过程中开发的相关信息;
•;审计业务目标、程序和特殊方法(如:计算机辅助审计技术);
•;潜在的关键控制点、控制缺陷和/或控制过度情况;
•;对时间和资源要求的初步估计;
•;(在适用条件下,)不继续进行审计的原因。(信息来源:红皮书410.01.5.f)
实务公告2230—1:审计业务资源的分配
解释《内部审计专业实务标准》中的第2230条标准
相关标准:第2230条标准
审计业务资源的分配
内部审计师应确定适当的资源,以实现审计业务目标。人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可获得资源的评价。(来源:红皮书410.01.3)
本实务公告性质
当内部审计人员决定审计业务资源的分配情况时,应考虑下列建议。此公告并不试图代表所有必须要考虑的因素,仅提供一系列建议审计师考虑的事项,并不要求必须遵守本实务公告。
在确定开展内部审计工作所需的资源时,对下列要素的评估是非常重要的:
(1)所需的内部审计人员的数量和经验水平应依据对每项审计业务的性质和复杂性、时间限制以及可获得资源的评价。
(2)在为审计任务选择内部审计人员时,应考虑内审人员的知识、技能和其他能力。
(3)由于每一项委托的审计工作任务都是满足内部审计部门不断发展要求的基础,所应考虑内部审计人员的培训要求。
(4)出于利用外部资源的考虑,需要进一步的知识、技能和其他能力。(来源:红皮书410.01.3)
实务公告2240—1:审计工作方案
解释《内部审计专业实务标准》中的第2240条标准
相关标准:第2240条标准
审计工作方案
内部审计师应该编制有助于实现审计目标的审计工作方案。这些工作方案应该得到记录。(信息来源:红皮书410.01.6)
本实务公告性质
在编制审计工作方案时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)如果可行,审计程序(包括所应用的测试和抽样技术)应该事先得到选择,并在条件允许的情形下得到扩充或修改。实务公告2210.A1—1对此问题有更详细的指导。(信息来源:红皮书420.01.3)
(2)收集、分析、解释和记录信息的过程应该得到监督,以合理保证审计师的客观性得到维护,审计的目标得到实现。(信息来源:红皮书420.01.4)
实务公告2240.A1—1:
审计工作方案的审批
解释《内部审计专业实务标准》中的第2240.A1条标准
相关标准:第2240.A1条标准
审计工作方案应该建立用以在审计过程中发现、分析、评价和记录信息的程序。工作方案应该在审计开始之前得到批准,对审计工作方案的任何调整也应该及时得到批准。(信息来源:红皮书410.01.8)
本实务公告性质
在审批审计工作方案时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
对审计工作方案的审批是指审计执行主管或其指定人员在审计工作开始之前书面批准审计工作方案。对审计工作方案的调整应该及时得到批准。如果由于种种原因,无法在审计工作开始之前获得书面批准,可以先获取有关方面的口头同意。(信息来源:红皮书410.01.8)
实务公告2310—1:收集信息
解释《内部审计专业实务标准》中的第2310条标准
相关标准:第2310条标准
收集信息
内部审计师应该收集充分、可靠、相关和有用的信息,以实现审计目标。(信息来源:红皮书420)
本实务公告性质
在收集信息时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应该收集关于与审计目标和工作范围相关的所有事项的信息。内部审计师应该在收集和检查信息时应用分析性审计程序。分析性审计程序研究并比较财务和非财务信息之间的关系。在收集和检查信息时应用分析性审计程序的依据是以下假设:在缺乏已知的相反情形时,可以合理期望信息之间的关系不仅存在,而且会得到发展。相反情形包括异常的或不重复发生的交易或事件、会计/机构/运营/环境/技术的变化、效率低下、缺乏效果、错误、不合规或违法行为。 (信息来源:红皮书420.01.1)
(2)信息应该充分、有力、相关、有助于为审计发现和建议提供健全的依据。充分的信息是指信息忠于事实、恰当、具有说服力,在拥有此种信息的条件下,任何谨慎的知情人都会得出与审计师相同的结论。有力的信息是指信息可靠,而且最能通过恰当审计技术的应用而获取。相关的信息是指信息能够支持审计发现和建议,并与审计目标保持一致。有用的信息有助于机构实现其目标。(信息来源:红皮书420.01.2.d)
实务公告2320—1:分析与评价
解释《内部审计专业实务标准》中的第2320条标准
相关标准:第2320条标准
分析与评价
内部审计师应该在恰当分析和评价的基础上得出审计结论和审计结果。(信息来源:红皮书420)
本实务公告性质
在应用分析和评价得出审计结论时,内部审计师应该考虑以下建议。本实务公告无意囊括开展这种评价工作可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)分析性审计程序为内部审计师提供了评价审计过程中收集的信息的迅速有效的手段。通过将收集的信息和内部审计师发现或开发的期望值相比较,可以得出评价结果。分析性审计程序在确认以下内容时非常有用:(信息来源:红皮书420.01.1.d)
•;意外差异;
•;期望的差异没有出现;
•;潜在的错误;
•;潜在的不合规或违法行为;
•;其他异常或不重复发生的交易或事件。(信息来源:红皮书420.01.1.e)
(2)分析性审计程序可以包括以下内容:
•;将目前阶段的信息与前些阶段的类似信息进行比较;
•;将目前阶段的信息与预算或预测进行比较;
•;研究财务信息与合适的非财务信息之间的关系(如:将所记录的工资开支与雇员平均人数的变化进行比较);
•;研究信息组成因素之间的关系(如:将所记录的利息开支的浮动与相关债务余额变化进行比较);
•;将本部门信息与机构其他部门的类似信息进行比较;
•;将本机构信息与机构所在行业的类似信息进行比较。
(3)可以通过应用货币金额、实物数量、比率或百分比来开展分析性审计程序。具体的分析性审计程序包括但不限于以下内容:比率、趋势和回归分析,合理性测试,各阶段比较,与预算、预测和外部经济信息的比较。分析性审计程序有助于内部审计师确认需要随后开展审计的情形。内部审计师应该根据第2200条标准(实务公告2210—1)在审计计划过程中应用分析性审计程序。(信息来源:红皮书420.01.1.i)
(4)内部审计师还应该在审计过程中应用分析性审计程序,对信息进行检查和评价,以支持审计结果。内部审计师在确定在多大程度上应用分析性审计程序时应该考虑下述因素:
•;被审计领域的重要性;
•;内部控制系统的充分性;
•;财务和非财务信息的可获得性和可靠性;
•;预测分析性审计程序结果的准确度;
•;机构所在行业有关信息的可获得性和可比性;
•;其他审计程序为审计结果提供支持的程度。
•;在评价这些因素以后,内部审计师应该考虑应用其他必要的审计程序来实现审计目标。 (信息来源:红皮书420.01.1.j)
(5)当分析性审计程序发现意外结果或关系时,内部审计师应该检查并评价这些结果或关系。检查和评价通过应用分析性审计程序而发现的意外结果或关系应该包括对管理人员进行问询,并应用其他审计程序,直到内部审计师相信这些结果或关系得到充分的解释。如果此类结果或关系无法得到解释,则表明存在潜在错误、不合规现象或违法行为等严重情形。内部审计师应该将这些通过分析性审计程序发现的、无法得到充分解释的结果或关系通报给合适层次的管理人员。内部审计师可以根据情况,推荐后者采取恰当的措施。(信息来源:红皮书420.01.1.n)
实务公告2330—1:记录信息
解释《内部审计专业实务标准》中的第2330条标准
相关标准:第2330条标准
记录信息
内部审计师应记录相关的信息以支持审计结论和审计结果。(来源:红皮书420.01.5)
本实务公告性质
当记录信息时,内部审计师应考虑下列建议。本实务指导无意囊括开展这种评价可能需要考虑的所有方面,仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)记录审计情况的审计工作底稿应由内部审计师编制,并由内部审计部门的管理层进行审查。这些工作底稿应记录所获得的资料和做出的分析,并作为提出审计发现和建议的依据。审计工作底稿通常用于下述目的:
•;为内部审计报告提供主要依据;
•;帮助进行审计计划的制定、执行和审查;
•;用文件说明审计目的是否达到;
•;促进第三方审查;
•;为评价内部审计部门的质量项目提供依据;
•;在诸如保险索赔、舞弊案件和向法院提出诉讼的情况下,提供有关支持;
•;帮助内部审计人员的专业发展;
•;证实内部审计部门是否遵守《内部审计专业实务标准》。(来源:红皮书420.01.5a)
(2)审计工作底稿的编制、设计和内容取决于审计业务的性质。审计工作底稿应记载下述审计过程的各个方面:
•;制定计划;
•;对内部控制系统的健全性和有效性所进行的检查和评价;
•;执行的审计程序、取得的资料及形成的审计结论;
•;审查;
•;报告;
•;后续审计。
(来源:红皮书420.01.5.b)
(3)审计工作底稿必须完整,应包括所得出的审计结论的依据。至于其他方面,审计工作底稿也可包括:
•;计划文件和审计业务方案;
•;控制调查表,流程图,核对清单和叙述文字;
•;会谈的记录和备忘录;
•;机构系统数据,如机构系统图和岗位说明;
•;重要合同和协议的复本;
•;关于经营和财务政策的信息;
•;控制系统的评价结果;
•;函证信件和陈述文件;
•;对交易事项、处理过程和账户余额的分析和检查;
•;分析性审计程序的结果;
•;审计的最终报告和管理层的反应;
•;如果记载所得出的审计结论,应附有关审计信息的交流情况。
(来源:红皮书420.01.5.d)
(4)审计工作底稿的形式可以是纸、磁带、磁盘、软盘、胶片或其他介质。如果审计工作底稿采用无纸介质,应考虑制作备份。(来源:红皮书420.01.5.e)
(5)如果内部审计师正在报告财务信息,则审计工作底稿中要记载会计记录是否与此财务信息一致。 (来源:红皮书420.01.5.f)
(6)审计执行主管应为已开展的各种审计业务制定有关工作底稿的政策。标准化的审计工作底稿,如调查表和审计方案,可以提高审计工作的效率,便于审计工作的委派。有些审计工作底稿可能属于永久性的或结转的审计档案。这些工作底稿通常包含具有持续重要意义的资料。(来源:红皮书420.01.5.h)
(7)以下是典型的审计工作底稿的编制技术:
•;每份审计工作底稿必须确认审计业务并描述工作底稿的内容和目的;
•;每份审计工作底稿必须有执行审计工作的内部审计师的签名和日期记录;
•;每份审计工作底稿必须包含索引或参考编号;
•;审计核实的符号(记号)应加以注释;
•;数据的来源应清楚地标明。
(来源:红皮书420.01.5.i)
实务公告2330.A1—1:对审计记录的控制
解释《内部审计专业实务标准》中的第2330.A1条标准
相关标准:第2330.A1条标准
审计执行主管应控制对审计记录的接触。在把这些记录适当向外界公布之前,审计执行主管应征得管理高层和/或法律顾问的同意。(信息来源:红皮书420.01.5.n)
本实务公告性质
内部审计师应该考虑以下与控制审计记录有关的建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)审计工作底稿是机构的财产。审计工作底稿文档应该由内部审计部门控制,而且只有得到授权的人员才能接触工作底稿。(信息来源:红皮书420.01.5.o)
(2)机构管理人员和其他成员可以要求接触审计工作底稿。这种接触对于充实或解释审计发现和建议或出于其他业务目的而应用审计文件记录可能是必要的。这种接触要求应该得到审计执行主管的审批。(信息来源:红皮书420.01.5.p)
(3)内部审计师和外部审计师互相允许对方接触自己的工作底稿是常见的做法。接触外部审计师的工作底稿应该得到审计执行主管的批准。(信息来源:红皮书420.01.5.q)
(4)在有些情形下,机构外部的有关方面(外部审计师除外)要求接触审计工作底稿和审计报告。在公开这些文件之前,审计执行主管应该获得管理高层和/或法律顾问的批准。(信息来源:红皮书420.01.5.r)
实务公告:2330.A1—2:
对授权接触审计记录的法律考虑
解释《内部审计专业实务标准》中的第2330.A1条标准
相关标准:第2330.A1条标准
信息的记录
审计执行主管应控制对审计记录的接触。在把这些记录适当向外界公布之前,审计执行主管应征得管理高层和/或法律顾问的同意。(信息来源:红皮书420.01.5.n)
本实务公告性质
在考虑授权内部审计部门以外的有关方面接触审计记录时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
注意:由于不同司法制度的要求大相径庭,鼓励内部审计师就涉及法律问题的所有事项咨询法律顾问。本实务公告的指导内容主要依据美国的司法制度。
(1)内部审计记录包括报告、辅助性文件、检查笔记以及不受存储媒介限制的通讯记录。内部审计师向管理层和董事会提供审计服务,并在后两者的支持下编制审计记录。编制审计记录的假设是,记录内容保密,而且可能混合事实和意见。但是,不能立刻熟悉机构或其内部审计程序的人员可能会对这些事实和意见产生误解。在多种情形下,包括刑事诉讼、民事诉讼、税收审计、合规性检查、政府合同检查和自律机构的检查,外部有关方面都要求接触审计记录。机构内部不受律师一客户拒绝泄露内情权保护的所有记录在刑事诉讼中几乎都可以被外人获取。但在非刑事诉讼中,接触权问题就没有那么清楚。
(2)内部审计部门可以通过以下文件的编制,加强对接触审计记录的控制。
•;章程;
•;岗位说明;
•;内部审计部门的政策;
•;与法律顾问一起开展调查的程序。
这些内容将在以下篇幅中讨论。
(3)不管机构记录和信息以何种媒介储存,内部审计章程都应该涉及对机构记录和信息的接触和控制。
(4)应该为内部审计部门编制书面岗位说明,这些说明应该包括审计师所履行的复杂多样的职责。这些说明可以帮助内部审计师处理对审计记录的接触要求,还可以帮助内部审计师理解其工作范围,帮助外部有关方面理解内部审计师的职责。
(5)应该开发与内部审计部门有关的内部部门政策。这些书面做法应该规定以下内容:
•;审计记录应该包括什么?
•;部门记录应该保留多长时间?
•;如何处理外部对部门记录的接触要求?
•;在与法律顾问一起开展调查时应该采取何种特殊做法?
这些问题将在以下篇幅中得到讨论。
(6)与各种审计有关的政策应该具体说明审计记录的内容和格式,以及内部审计师应该如何处理其检查笔记(这些笔记作为对所提问题的记录得到保留,随后得到处理或销毁,以免第三方接触它们)。而且,政策应该具体说明保留审计记录的时间阶段,应根据机构的需要和法律要求确定时间限制。(就此问题咨询法律顾问是十分重要的。)
(7)部门政策应该解释以下内容:
•;机构内部由谁负责保证部门记录的控制和安全?
•;谁可以获得接触审计记录的权利?
•;如何处理对审计记录的接触要求?
•;这些政策可以依据机构所在行业或所在国家司法制度的有关做法。审计执行主管和内部审计的其他人应该警惕行业做法的变化和法律先例的变化。他们应该预测哪些人会在将来的某一天要求接触其工作成果。
(8)授权接触审计记录的政策还应该处理以下问题:
•;解决接触问题的过程;
•;保留每种工作成果的时间;
•;就接触审计工作成果所带来的风险和问题对内部审计人员进行教育和重新教育的过程;
•;定期调查行业、以确定谁可能在将来提出接触审计工作成果的要求。
(9)政策应该指导内部审计师确定何时审计成为一种需要与律师一起开展的调查活动,并确定在与法律顾问沟通时内部审计师需要遵守哪些特殊程序。政策还应该规定签署恰当的留置函,以便使提供给律师的信息得到拒绝泄露内情权的保护。
(10)内部审计师还应该使董事会和管理层了解接触审计记录所带来的风险。关于谁可以得到授权接触审计记录,如何处理这些接触要求,在审计成为调查时应该遵守哪些程序等问题的政策都应该得到董事会审计委员会(或其他相应管理机构)的审查。具体政策则根据机构性质和法律规定的接触权利的不同而不同。
(11)如果要求披露信息,那么,谨慎编制审计记录是非常重要的。可以考虑以下步骤:
•;只披露要求披露的具体文件。带有意见和建议的审计记录一般不公开。揭示律师思路或战略的文件一般得到拒绝泄露内情权的保护,不能强迫它们公开。
•;保留原件,只公开复印件,当文件是用铅笔编写时更应如此。如果法院要求原件,内部审计部门应该保留复印件。
•;在每份文件上注明“保密”字样,并在每份文件上注明:未经同意,不得分发。
实务公告:2330.A2—1:对记录的保留
解释《内部审计专业实务标准》中的第2330.A2条标准
相关标准:第2330.A2条标准
审计执行主管应该为审计记录确定保留要求。这些保留要求应该与机构的指南、管理要求和其他相关要求相一致。(信息来源:红皮书420.01.5.s)
本实务公告性质
在确定记录保留要求时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
记录保留要求应适用于所有审计记录,不管审计记录以何种形式得到保存。(信息来源:新)
实务公告:2340—1:对审计的监督
解释《内部审计专业实务标准》中的第2340条标准
相关标准:第2340条标准
对审计的监督
审计工作应该得到恰当监督,以确保审计目标得到实现,审计质量得到保证,审计人员得到发展。(信息来源:红皮书230)
本实务公告性质
在监督审计工作时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)审计执行主管负责保证提供恰当的审计监督。监督过程从审计计划开始,持续审计检查、评价、报告和跟踪各阶段。监督包括以下内容(信息来源:红皮书230.01):
•;保证分配参加审计工作的审计师拥有必须的知识、技能和开展审计工作所需的其他能力;
•;在审计计划阶段提供恰当的指导并批准审计方案;
•;监督批准后的审计方案按计划实施,除非有充分的理由并得到授权改变审计方案;
•;保证审计工作底稿充分支持审计发现、审计结论和审计建议;
•;保证审计报告准确、客观、清楚、扼要、及时、富有建设性:
•;保证审计目标得到实现;
•;提供机会发展内部审计师的知识、技能和其他能力。(信息来源:红皮书230.02)
(2)对审计进行监督的恰当证据应该得到文件记录和保留。所要求的监督程度取决于内部审计师的专业水平和经验以及审计的复杂程度。审计执行主管总体负责审查工作,但可以指定拥有恰当经验的内部审计部门成员来开展审查。可以请经验比较丰富的内部审计师检查经验不那么丰富的内部审计师所开展的审计工作。(信息来源:红皮书230.04,230.06)
(3)所有内部审计项目,不管是否由内部审计部门开展,都由审计执行主管负责。审计执行主管还要为审计计划、检查、评价、报告和跟踪阶段作出的所有重要专业判断负责。审计执行主管应该采取恰当的手段,保证履行这些责任。恰当的手段包括用于以下目的的政策和程序:
•;最大限度地减少以下风险:内部审计师或其他为内部审计部门工作的人员所作出的专业判断可能与审计执行主管的专业判断不一致,从而导致对审计工作的反面影响;
•;解决审计执行主管和内部审计人员在与审计项目有关的重要问题上的专业判断分歧。有关解决方法包括:
①讨论相关事实;
②开展进一步问询和/或研究;
③在审计工作底稿中记录并处理不同意见。
如果对道德问题存在专业意见分歧,合适的手段包括将问题提交机构内部负责道德事项的人员,等等。(信息来源:红皮书230.05)
(4)审计监督范围可以得到延伸,从而包括人员培训和开发、雇员业绩评价、时间和费用控制以及类似管理领域。(信息来源:红皮书230.06)
(5)所有的工作底稿都应该得到检查,以保证它们恰当支持审计报告,并保证所有必须的审计程序都得到完成。监督检查的证据应该包括检查人员在检查完每份工作底稿后在底稿上签署日期和自己的首字母。其他提供监督检查证据的检查技术包括完成审计工作底稿检查清单和/或编制具体说明检查性质、范围和结果的备忘录。(信息来源:红皮书420.01.5.1)
(6)检查人员可以以书面形式(检查笔记)记录检查过程中出现的问题。在清理检查笔记时,应该注意保证工作底稿提供关于检查过程中所提问题已经得到解决的充分证据。处理检查笔记有两种不同方法:
•;保留检查笔记,把笔记作为检查人员所提问题和解决问题所采取步骤的记录;
•;在所提问题得到解决、相应的审计工作底稿得到修改、要求的额外信息得到提供之后将检查笔记销毁。
实务公告:2400一1:
报告审计结果时的法律考虑
解释《内部审计专业实务标准》中的第2400条标准
相关标准:第2400条标准
报告审计结果
内部审计师应该及时报告审计结果。 (信息来源:红皮书430)
本实务公告性质
在报告审计结果时,内部审计师应该考虑以下建议。本实务公告无意囊括报告审计结果时可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
注意:由于不同司法制度的要求大相径庭,鼓励内部审计师就涉及法律问题的所有事项咨询法律顾问。本实务公告的指导内容主要依据美国的司法制度。
(1)内部审计师在审计报告中包括与违法违规行为和其他法律问题有关的审计结果,并发表审计意见时应该非常谨慎。强烈鼓励遵循与处理这些事项有关的政策和程序,并与有关方面(法律顾问、稽核官员)建立紧密工作关系。
(2)内部审计师应按要求收集证据、进行分析性判断、报告审计结果并保证采取纠正性措施。内部审计师对于用文档保存审计记录的要求可能与法律顾问希望不留下任何可能损害辩护的可发现证据的要求相冲突。比如,即使内部审计师开展调查的方式是正确的,所披露的事实也可能会伤害机构法律顾问所经手的案子。正确的计划和政策制定工作是至关重要的,这样,即使在遇到突然披露某些事实的情况时,公司法律顾问和内部审计师也不至于发生矛盾。内部审计师和公司法律顾问还应该通过使管理层了解既定政策、对政策敏感而在整个机构培养一种讲求道德的、预防性的气氛。内部审计师应该考虑以下因素,在开展可能需要对外披露或报告审计结果的审计业务时更应如此。
(3)以下是保护律师一客户拒绝泄露内情权的四大必要因素:
•;必须以保密形式;
•;在“享有特权的人之间”;
•;进行交流沟通;
•;目的是为客户寻找、获取或提供法律援助。
•;这种拒绝泄露内情权主要用于保护律师之间的交流沟通,也可以应用于与(和律师一起工作的)第三方的沟通。
(4)有些法院已认可一种使审计工作成果等自我批评材料免遭发现的批评性自我分析的拒绝泄露内情权。总而言之,认可这种拒绝泄露内情权所依据的假设是:对所涉及情况的检查结果进行保密所带来的好处大于大家珍视的公众利益。一家法院曾经这样解释:
“自我批评分析拒绝泄露内情权已被认可为一种使某些批评性自我评价信息免遭发现的有条件的拒绝泄露内情权。它允许个人或企业坦率地评价其遵纪守法情况,又不会产生可能在未来的诉讼中被其对手用做反击武器的证据。这种规定的原理是这种批评性自我评价有助于强迫公众利益让位于对法律的遵守。”
(5)一般说来,要应用上述拒绝泄露内情权,经常需要满足以下三种要求:
•;受此种拒绝泄露内情权管辖的信息必须来自维护此种拒绝泄露内情权的方面所开展的自我批评分析;
•;公众必须对自我批评分析中所包括的信息的自由流动表示出强烈兴趣;
•;这种信息必须属于一旦被发现,流动就会终止的类别。
•;在有些情形下,法院还考虑过,批评性分析是否在原告受到伤害前发生,或者导致了原告受到伤害;据说,如果批评性分析发生在后,要求享有拒绝泄露内情权的理由是最强烈的。
(6)如果要求获取文件的是政府机构而不是私人起诉人,法院一般更不愿意承认自我评价拒绝泄露内情权。可以假设这种勉强态度是认可政府在实施法律更感兴趣的结果。自我评价拒绝泄露内情权特别适用于已经建立自我规范程序的部门。医院、证券经纪人和私人会计师事务所都已建立此种程序。这些程序大多与为财务审计等操作活动锦上添花的质量保证程序有关。
(7)要根据工作一产品的规定保护文件不会随意向外披露必须满足3大要求。这些文件必须:
•;是某种形式的工作一产品(如:备忘录、电脑程序);
•;在预料诉讼时编制;
•;编制方必须是律师的代理人。
(8)在律师一客户关系存在之前编制的文件不受工作一产品规定的保护。向律师发送在律师一客户关系形成之前编制的文件不会使文件在工作一产品规定下得到保护。此外,这条规定是有条件的。如果存在对信息的实质性需要,而且通过其他方式无法轻易获得这种信息,那么,这些文件就不会得到工作一产品规定的保护。比如,某公司审汁委员会通过面谈来确定是否进行了可疑的海外付款。除了与已去世人员进行面谈的结果有关的章节,他们的报告受到工作一产品规定的保护。
实务公告:2410一1:报告标准
解释《内部审计专业实务标准》中的第2410条标准
相关标准:第2410条标准
报告标准
审计报告应该包括审计目标、审计范围、适用的审计结论、审计建议和行动计划。(信息来源:红皮书430.04)
相关标准:第2410.A1条标准
审计结果的最终报告应该恰当包括内部审计师的总体意见。(信息来源:红皮书430.04.8)
本实务公告性质
在报告审计结果时,内部审计师应该考虑以下建议。本实务公告无意囊括报告审计结果时可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)虽然审计最终报告的形式和内容可能随机构或审计类别的不同而不同,它们至少都应该包括审计的目的、范围和结果。(信息来源:红皮书430.04.1)
(2)审计的最终报告可能包括背景信息和总结。背景信息可能确认被检查的部门和活动,并提供相关说明性信息,还可以包括来自以前审计报告的审计发现、审计结论、审计建议,并表明报告内容是否是安排好的审计,是否是应有关方面的要求而编制。如果包括在报告中,总结内容应该均衡代表审计报告的内容。(信息来源:红皮书430.04.2)
(3)目的声明应该说明审计的目标,而且可以在必要时告知读者开展审计的原因以及期望审计实现的目标。(信息来源:红皮书430.04.3)
(4)范围声明应该确定被审计活动,并恰当包括被检查的审计阶段等辅助信息。如果必要,未经审计的相关活动也应该得到确认,以勾画审计的边界。所开展审计工作的性质和范围也应该得到描述。(信息来源:红皮书430.04.4)
(5)审计结果应该包括审计发现、审计结论(意见)、审计建议和行动计划。(信息来源:红皮书430.04.5)
(6)审计发现是对事实的相关声明。最终审计报告应该包括支持内部审计师结论和建议以及预防误解这些结论和建议的必要审计发现。比较次要的审计发现或建议可以通过非正式形式报告。(信息来源:红皮书430.04.6)
(7)通过比较应该达到的目标和实际的做法可以得出审计发现和审计建议。不管两者之间是否存在差异,内部审计师都有了编制报告的基础。如果情况符合标准,在审计报告中确认出色的业绩可能比较恰当。审计发现和审计建议应该以以下特征为依据:
•;标准:在进行评价和/或核证时应用的标准、措施或期望值;
•;情况:内部审计师在检查过程中发现的事实证据;
•;原因:预期和实际情况之间存在差异的原因;
•;效果:由于情况与标准不一致,机构和/或其他部门面临的风险(差异的影响)。在确定风险的程度时,内部审计师应该考虑其审计发现和审计建议可能对机构运营和财务报表产生的影响;
•;审计发现和审计建议还可以包括没有在其他地方反映的审计客户成绩、相关问题和辅助信息。(信息来源:红皮书430.04.7)
(8)审计结论(审计意见)是内部审计师对审计发现和审计建议影响被审计活动的情况进行的评价。他们经常根据总体印象合理提出审计发现和审计建议。如果审计报告包括审计结论,应该明确指出哪些是审计结论。审计结论可能覆盖整个审计范围或具体审计方面。它们可以包括但不限于以下内容:
•;运营目标或项目目标是否与机构目标保持一致;
•;机构目标是否得到实现;
•;被审计活动是否按计划运作。 (信息来源:红皮书430.04.8)
(9)审计报告应该包括改进建议、对出色业绩的认可以及纠正性措施。建议的基础是内部审计师的审计发现和审计结论,它们呼吁采取措施纠正存在的问题或改进操作。作为对管理层实现预期结果的指导,建议可以提议采取手段纠正或改进业绩。建议可以是概括性的也可以很具体。比如,在有些情况下,推荐采取一般性措施并提出具体实施建议比较可取。在另外的情形下,只建议开展调查或研究可能比较恰当。(信息来源:红皮书430.05和红皮书430.05.1)
(10)自上次审计以来或建立良好控制措施以后审计客户所取得的成绩可以包括在最终审计报告中。这种信息可能是公正表述现有情况并为最终审计报告提供恰当的角度和平衡所必需的。(信息来源:红皮书430.05.2)
(11)审计客户关于审计结论或建议的观点可以收入审计报告中。(信息来源:红皮书430.06)
(12)作为内部审计师与审计客户的一部分讨论内容,内部审计师应该努力征求对方同意审计结果和为改进运营而建议采取的行动计划。如果内部审计师和审计客户对于审计结果存在意见分歧,审计报告可以说明分歧的具体情况和原因。审计客户的书面意见可以作为附录收进审计报告,也可以直接在报告主干部分得到表述或以信函的形式得到表述。 (信息来源:红皮书430.06.1)
(13)由于受到拒绝泄露内情权保护、所有权问题或与违法乱纪行为有关,有些信息可能不适合向所有报告接收人披露。但是,这些信息可以在单独的报告中披露。如果所报告情况涉及管理高层,应将报告分发给机构董事会。(信息来源:红皮书430.07.3)
(14)中期报告可以是书面的、也可以是口头的,可以正式、也可以不正式。中期报告可以用于报告需要马上注意的信息、报告被审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层。中期报告的应用并不减少或消除对最终报告的需要。(信息来源:红皮书430.01.1)
(15)署名报告应该在审计完成以后发布。强调审计结果的总结报告可能适合向高于被审计部门的管理层提交。总结报告可以与最终报告一起也可以单独发布。署名意味着得到授权的内部审计师应该在报告上手工签署其姓名。这种签名也可以在信函上出现。得到签署报告授权的内部审计师应该由审计执行主管指定。如果以电子形式发布审计报告,内部审计部门应该将署名报告存档。(信息来源:红皮书430.01.4)
实务公告:2420—1:.审计报告的质量
解释《内部审计专业实务标准》中的第2420条标准
相关标准:第2420条标准
审计报告的质量
审汁报告应该准确、客观、清楚、扼要、完整、及时、富有建设性。(信息来源:红皮书430.03)
本实务公告性质
在编制审计报告时,内部审计师应该考虑塔下建议。本实务公告无意囊括编制审计报告时可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)客观的审计报告具有实事求是、不偏不倚、不歪曲事实的特点,所包括的审计发现、审计结论和审计建议应该没有偏见。(信息来源:红皮书430.03.1)
(2)内容清楚的审计报告易于理解,富有逻辑。通过避免应用不必要的技术语言,并提供充分的辅助信息,可以使报告更清楚。(信息来源:红皮书430.03.2)
(3)扼要的审计报告一针见血,避免不必要的细节。它们以最少的文字完整地表达思想。(信息来源:红皮书430.03.3)
(4)建设性的审计报告通过其内容和口气为审计客户和整个机构提供帮助,并促进必要改进工作的进行。(信息来源:红皮书430.03.4)
(5)及时的审计报告在发布上没有延误,并能促进采取有效的行动。(信息来源:红皮书430.03.5)
实务公告2421—1:错误与遗漏
解释《内部审计专业实务标准》中的第2421条标准
相关标准:第2421条标准
错误与遗漏
如果最终报告中有重大错误和遗漏,审计执行主管应把更正后的信息传达给所有接到最初报告的人员。
本实务公告性质
如果在审计报告中发现了错误和遗漏,内部审计师应考虑下列建议。本实务指导无意囊括开展这种评价可能需要考虑的所有方面,仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)如果最终审计报告中确实有差错,那么审计执行主管应该考虑发布修正报告的必要性,修正报告中要指出被修改的资料。修正的审计报告要发送给所有收到要修改的审计报告的人员。
(2)“差错”是指在最终审计报告中的非故意性的错误说明或重要信息的遗漏。
实务公告:2440一l:发布审计结果
解释《内部审计专业实务标准》中的第2440条标准
相关标准:第2440条标准
发布审计结果
审计执行主管应该将审计结果向合适的对象发布。(信息来源:红皮书430.07)
相关标准:2440A1
审计执行主管负责将最终审计结果报告给那些能保证对审计结果进行应有考虑的人员。(信息来源:红皮书430.07)
本实务公告性质
在发布审计结果时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)发布最终审计结果之前,内部审计师必须向适当层次的管理人员征求对审计结论和建议的意见。 (信息来源:红皮书430.02)
(2)对审计结论和建议的讨论通常是在审计过程中或审计结束后召开的会议(撤出会谈)上进行的。另一种方式是由被审计部门的管理人员审阅审计问题草稿、审计发现和建议。这些讨论和审阅为被审计部门提供了澄清具体问题和表述他们对审计发现、结论和建议的意见的机会,从而有助于保证不会对事实产生误解和歪曲。(信息来源:红皮书430.02.1)
(3)虽然参与讨论和审阅的管理人员的层次可以依据机构和报告的性质而有所变化,但他们通常是了解业务详细情况和有权执行纠正措施的人。(信息来源:红皮书430.02.2)
(4)审计执行主管或其指定代表在发布最终审计报告之前应对其进行审批,并决定应向哪些人发布报告。审计执行主管或其指定代表应该审批所有最终报告,他们可以签署所有这些报告。在特殊情况下,应考虑由审计负责人、监督人员或首席审计师代表审计执行主管来签署最终的审计报告。 (信息来源:红皮书430.07)
(5)应该把最终审计结果报告发布给那些能保证对审计结果进行应有考虑的人员。这意味着报告要发布给那些能采取纠正措施或能保证采取纠正措施的职位的人员。最终的审计报告应发送给被审计部门的管理层。被审计部门中较高层次的成员可能只收到一份总结报告。这些报告还可以发送到其他感兴趣的或受审计报告影响的人员,如外部审计师和董事会董事。
实务公告:2440一2:对外发布审计报告
解释《内部审计专业实务标准》中的第2440条标准
相关标准:第2440条标准
发布审计结果
审计执行主管应该将审计结果向合适的人员发布。(信息来源:红皮书430.07)
本实务公告性质
如果需要向机构外部发布信息,内部审计师应该考虑以下建议。如果有关方面要求内部审计师向审计服务所针对的机构以外的人员提供报告或其他信息,就出现了对外发布报告的情况。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应该检查审计协议或机构政策/程序中包含的与对外发布信息有关的指导。内部审计部门和审计委员会的章程可能都有这方面的指导。如果缺乏这种指导,内部审计师应该促使机构采取恰当的政策。政策可以包括的信息有:
•;对外发布信息需要的授权;
•;为对外发布信息而寻求批准的过程;
•;区分可以发布的和不可以发布的信息的指南;
•;得到授权的外部信息接收人以及他们可以接收的信息种类;
•;与对外发布信息有关的隐私权规定、管理要求和法律考虑;
•;对外发布信息的结果报告中可以包括的保证、意见、建议、观点、指导和其他信息的性质。
(2)有关方面可能要求获取已经存在的信息(如:以前发布的内部审计报告),也可能要求获取必须创建或确定的信息,从而导致崭新内部审计业务的形成。如果要求获取的是已经存在的信息,内部审计师应该对信息进行检查,以确定这些信息是否适合对外发布。
(3)在有些情形下,现有的报告或信息可以在修改之后对外发布。在其他情况下,则可以针对以前开展的审计工作形成新的报告。在根据以前开展的工作修改、按要求改造或创建新报告时应该行使应有的职业审慎。
(4)对外发布信息时应该考虑以下事项:
•;就被发布信息签订书面协议的需要;
•;确认信息提供者、信息来源、报告署名人、信息接收人以及与报告或所发布信息相关的人员;
•;确认产生适用信息的目标、范围和程序;
•;需要提供的报告或其他发布形式(审计意见、包括或不包括建议、拒绝发表意见、限制)的性质以及需要提供的保证或论断的类别;
•;版权问题以及对进一步发布或分享信息的限制。
(5)为了出具对外发布的内部审计报告或其他形式的信息而开展的审计应该遵守适用的内部审计专业实务标准,并在报告或其他形式的信息中包括对这些标准的索引。
(6)如果在为了出具对外发布的内部审计报告或其他形式的信息而开展的审计过程中,内部审计师发现了可向管理层或审计委员会报告的信息,内部审计师就应该向适当的人员进行适当的报告。
*实务公告2440—3:
报送渠道内外的敏感信息交流
解释《内部审计专业实务标准》中第2440条和第2600条标准以
及《职业道德规范》中有关正直和保密的行为规则
相关标准:2440——发布审计结果
审计执行主管应当将审计结果向合适的对象发布。
相关标准:2600——管理层对风险的接受
在审计执行主管认为高级管理层接受的剩余风险水平机构无法接受,审计执行主管应就此与高级管理层进行讨论。如果讨论结果仍不能解决问题,审计执行主管和高级管理层应将此事报告董事会解决。
相关职业道德行为规范
(1)正直
内部审计师:
1.1应当诚实、勤奋并负责地完成工作。
1.2应当遵守法律,按照法律及职业标准作出披露。
1.3不得故意参加非法活动,或从事有损内部审计职业或其机构的活动。
1.4应当维护并促成机构实现合法的、职业道德方面的目标。
相关职业道德行为规范
2.保密
内部审计师
3.1应当谨慎地利用并保护职责范围内获得的信息。
3.2不得出于个人利益或者以任何有悖法律、损害机构的合法、道德目标的方式使用信息。
本实务公告性质
内部审计师可能发现诸如揭露、威胁、不确定性、欺诈、浪费、管理不善、非法活动、滥用职权、疏忽职守危害公众健康和安全等方面的信息及其他不道德行为。某些情况下,新发现的信息将产生重要后果,相关的支持证据也是重要且可信的材料。内部审计师在这类情况下陷入的进退两难境地往往十分复杂,涉及文化及商业实践方面的差异,法制构架,国家和地方的具体法律,以及职业标准、道德准则和个人价值观。内部审计师试图解决问题的方式可能招致报复或其他潜在的不利影响。由于这些风险,内部审计师应当谨慎地评价证据和所支持结论的合理性,认真审查可能的各种方式,将敏感信息传达到有权解决问题、中止不当行为的人员。部分国家的地方法律法规对某些方式有所规定。
本公告旨在激发对内部审计师面临的诸多挑战的思考,虽然提供了有关信息并对内部审计师可能考虑的因素提出建议,但远非详尽,未能提供法律和专家的建议。在局势敏感并且有重大结果的情况下,内部审计师应寻求法律顾问的帮助。本实务公告的起草极其谨慎并且经过了充分的审议,但是,内部审计师协会不承担采用其中的信息或适用于特定情形而引发的责任,同时对所建议的措施能否成功不作保证。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师常常会掌握一些格外敏感、关键而且会产生重大后果的信息。这类信息涉及揭露、威胁、不确定性、欺诈、浪费、管理不善、非法活动、滥用职权、疏忽职守危害公众健康和安全及其他不道德行为。这些事件对机构的声誉、形象、竞争力、成功、市场价值、投资、无形资产、收益等可能产生负面影响,并很可能增加机构披露的风险。
在报告渠道内交流敏感信息
(2)内部审计师一旦决定新信息重要且可靠,通常会及时与管理层相关人员沟通。多数情况下,只要管理部门采取适当的措施处理相应的风险,这种沟通就能从内部审计师的角度解决问题。如果沟通后的结果由于管理层未采取措施或措施不力使机构暴露出不可接受的风险,审计执行主管应考虑其他的选择以获得满意的解决。
(3)在可能采取的措施中,审计执行主管可在正常通报范围内与高层管理人员讨论其对风险的关注。由于审计委员会和其他委员会也是审计执行主管的通报对象,委员会成员一般会获悉审计执行主管的想法。如果审计执行主管经过与高层管理人员的讨论后仍不满意,认为高管层将机构置于不可接受的风险水平,没有采取适当措施加以中止或纠正,那么高层管理人员和审计执行主管应向董事会委员会呈报关键信息及他们的分歧。
(4)简便的通报渠道式沟通可能由于一国法律、法规或一贯做法的影响而得到促进。例如,美国公开上市的公司如被发现欺诈的财务报告,即使高层管理人员和审计执行主管已经就需要采取何种措施达成高度一致,审计委员会成员根据有关法律要求也会马上获悉误导性财务报告的可能性的一切情况。一些国家的法律法规明确董事会委员会成员应当获知违反刑事、安全、食品、药品或污染方面法律的情况及其他非法行为如抢劫,对政府官员,供应商或顾客的不当支付。
报告渠道以外的信息交流
(5)内部审计师在某些情况下会因考虑是否将发现的信息告诉正常通报渠道以外的人甚至机构以外的人而陷入两难境地。将负面消息透露给本机构正常通报渠道以外的人或政府及其他部门的行为通常被视为“告发”。
(6)研究显示,大多数告发者即使在正常通报渠道以外透露有关敏感信息,也局限在机构内部,特别是在相信机构对于调查非法、不当行为的政策或机制的情况下。但是,有的知情者可能会决定将信息诉诸于外,尤其当他们担心来自雇主或同行的报复时,怀疑事情不会得到认真调查,有关危及机构或社区人员健康安全的非法行为证据会被隐瞒。大多数善意告发者的初衷是中止非法、有害或不当行为。
(7)面对类似为难情况的内部审计师需要评价所有可能与通报渠道以外的人员或团体沟通的途径。由于这些方法相应地都有风险,内部审计师应当谨慎地评价证据和结论的合理性,认真审查每种方式的利弊。内部审计师采取的措施如果能使高层管理人员或董事会、委员会的成员做出合理的反映则是适当的。内部审计师可能会保留与机构治理结构之外的交流作为最后选择,只有认为风险及后果非常严重,机构现有的管理和治理机制无法有效解决的少数情况下,才会考虑这一措施。
(8)很多经济合作与发展组织(OECD)成员国的法律或行政规章要求公务员了解非法或不道德行为需通告总检察长,其他政府官员或巡视官。一些涉及告发类行为的国家法律对揭露特定类型非法行为的公民加以保护,这些行为包括:
•;刑事犯罪和其他不遵守法律责任的行为;
•;审判不公;
•;危及个人健康安全状况;
•;破坏环境;
•;隐瞒或掩盖上述任何一种行为的活动。
其他国家没有此类指导或保护。内部审计师应当了解不同机构所在地的法律法规并按照法律要求采取措施。如果内部审计师对适用的法律要求不确定则应考虑获取相关的建议。
(9)很多职业性组织的成员有义务披露非法或不道德的行为。“职业”的显著标志是对公众的广泛责任的接受和保护总体社会福利。IIA成员和所有注册内部审计师除了考虑法律要求外,还应当遵守IIA职业道德规范中有关非法或不道德行为的要求.
内部审计师的决定
(10)内部审计师具有专业职责和职业道德责任去认真评价所有证据及结论的合理性,并决定是否采取进一步措施保护机构和外部各界的利益。同时,内部审计师需要考虑IIA职业道德规范关于保密的义务,注意信息的价值和所有权,除非有法律或专业义务,应避免未经授权的披露。在这一评价过程中,内部审计师应当寻求法律顾问或合适的专家的建议,这种探讨有助于对各种可能采取措施的潜在影响和后果提供不同的视角和看法。内部审计师处理这类复杂、敏感情况的方式可能会产生报复或其他潜在的不利影响。
(11)最后,内部审计师必须做出是否与外界沟通的个人决定。决定基于的认识是不当行为有重要、可靠的证据支持,法律、监管规定或职业道德责任要求采取进一步措施。内部审计师的目的应当为希望制止错误或不当行为。
实务公告:2500—1:
对审计结果处理情况的监督
解释《内部审计专业实务标准》中的第2500条标准
相关标准:第2500条标准
对审计结果处理情况的监督
审计执行主管应该建立并维护对向管理层报告的审计结果的处理情况进行监督的制度。(信息来源:红皮书440.01.12)
本实务公告性质
在监督报告给管理层的审计结果的处理情况时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由
审计师自行选择决定。
(1)审计执行主管应该建立包括以下内容的程序:
•;要求管理层对审计发现和审计建议作出反应的时间框架;
•;对管理层所作出反应的评价;
•;(在条件合适时)对管理层所作出反应的核证;
•;(在条件合适时)开展跟踪审计;
•;将审计师不满意的反应/措施(包括风险假设)升级报告给恰当层次的管理人员的报告程序。(信息来源:红皮书440.01.12)
(2)有些被报告的审计发现和审计建议可能非常重要,因而需要管理层马上采取措施。由于这些情况可能对机构产生的影响,内部审计部门应该对它们进行持续监督,直到它们被纠正为止。(信息来源:红皮书440.01.7)
(3)用以有效监督审计结果处理进展情况的技术包括:
•;将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告;
•;在审计过程中或在审计结果得到报告后的合理时间内接收并评价管理层对审计发现和审计建议的反应。如果这些反应包括帮助审计执行主管评价纠正性措施的充分性和时效性的充分信息,这些反映的用途将大大增加;
•;接收管理层对审计发现和审计建议反应的定期更新,以评价管理层纠正以前所报告情况的努力程度;
•;接收并评价来自机构内部负责采取跟踪或纠正性措施的其他部门的信息;
•;向管理高层或董事会报告对审计发现和审计建议的反映情况。(信息来源:红皮书440.01.13)
实务公告:2500A1—1:后续审计过程
解释《内部审计专业实务标准》的第2500条标准
相关标准:第2500.A1条标准
审计执行主管应建立后续审计过程,以监督、保证管理行为得到有效落实,或高级管理层已接受了不采取行动所带来的风险。(信息来源:红皮书440.01)
本实务公告性质
在建立后续审计过程时,内部审计师应该考虑以下建议。本实务公告无意囊括可能需要考虑的所有方面,仅提供一系列建议审计师考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)内部审计师应确认已经采取有关纠正行动并正在达到期望的结果,或者确认高级管理层或董事会已经承担了对所报告的审计发现不采取纠正行动而产生的风险。
(2)内部审计师所进行的后续审计是指他们用以确认管理层针对报告中的审计发现和建议(包括外部审计师和其他人员的审计发现和建议)所采取的行动是否充分、有效和及时的工作过程。
(3)后续审计的责任应在内部审计部门的书面章程中得到明确。审计执行主管应确定后续审计的性质、时间和范围。在确定合适的后续审计程序时应考虑以下因素:
•;所报告的审计发现和建议的重要性;
•;纠正所报告问题需要的努力程度和费用;
•;如果纠正措施失败,可能会产生的影响;
•;纠正措施的复杂性;
•;所涉及的时间期限。
(4)也可能存在这种情况,审计执行主管发现,比照审计发现和建议的重要程度,管理层的口头或书面答复已经说明采取了有效的措施。在这种情况下,后续审计工作就可以作为下一次审计的部分内容。
(5)内部审计师应确保根据审计发现和建议采取的措施解决了潜在的问题。
(6)审计执行主管应负责安排后续审计工作,并把它作为制订审计工作计划的一部分。制订后续审计工作安排应以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据。
实务公告2600—1:管理层对风险的接受
解释《内部审计专业实务标准》中的第2600条标准
相关标准:第2600条标准
管理层对风险的接受
在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下,审计执行主管应就此与高级管理层进行讨论。如果讨论仍然无法决定剩余风险问题,审计执行主管与高级管理层应将此事报告董事会解决。
本实务公告性质
在管理层对风险的接受方面,内部审计人员应考虑下列建议。本实务指导无意囊括开展这种评价可能需要考虑的所有方面,仅推荐一系列应该考虑的事项。是否遵守实务公告由审计师自行选择决定。
(1)管理层负责决定针对报告中的审计发现和审计建议应要采取的适当行动,审计执行主管负责评价管理层为及时解决审计发现的问题和落实审计建议所采取的行动。在确定后续审计的范围时,内部审计师应考虑由该机构中的其他人员所进行的后续审计的程序。(来源:红皮书440.01.3)
(2)如第2060条标准(实务公告2060—1)所述,由于费用或其他方面的考虑,高级管理层可以决定不采取纠正行动并承担由此而产生的风险。高级管理层对所有重要审计发现和建议所做的决定都应报告董事会。(来源:红皮书440.01.4)
19年前
暂无评论