培训课程
2011年国际内审师《实施内部审计业务》基础知识复习(1)
1.Research and apply appropriate standards
研究和采用适当的标准:
a.IIA Professional Practices Framework(Code of Ethics,Standards, Practice Advisories)
IIA职业实务框架(《职业道德规范》、《标准》、《实务公告》)
b.Other professional,legal,and regulatory standards
其他职业、法律和法规的标准
根据国际内部审计协会的最新定义,“内部审计是一种独立、客观的保证和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、风险控制和风险治理过程的效果,帮助组织实现其目标”。
1.1 不同的国家有不同的法律和不同的习惯,不同的组织拥有不同的文化、不同的组织结构以及不同的规模。
这些差异对在不同环境下实施审计业务的内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com都会产生一定的影响,因此,要实现内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com的职责,有必要制定一些统一标准,供内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com遵守。这些标准包括:
·《内部审计实务标准》
·《实务公告》
·《职业道德规范》
·其他相关标准
1.1.1 IIA职业实务框架是IIA为审计业务人员提供内部审计操作指南的职业规划,以应对不断扩大的对高质量内部审计服务的市场需求,具体包括《内部审计实务标准》(以下简称《标准》)、《实务公告》、《职业道德规范》。
1.1.1.1 《标准》与《职业道德规范》共同构成了职业实务框架的基础。
制定《标准》的目的是:
· 说明实施内部审计业务所应遵循的基本原则;
· 为实施各种增值型内部审计服务及扩大增值型内部审计服务范围提供基础;
· 建立衡量内部审计业绩的标准和依据;
· 促进组织经营与工作的改善。
《标准》由属性标准、工作标准和实施标准三部分构成。
· 属性标准主要说明实施内部审计活动的组织等有关方面的特点,重点内容包括内部审计章程、独立性和客观性;
· 工作标准阐述了内部审计工作的性质,并规定了评价内部审计活动的质量标准;
· 实施标准适用于各种特殊类型的业务,是为实施上述两类标准而制定的强制性操作指南。IIA努力为每一种主要内部审计活动(包括保证业务和咨询业务)都制定一系列实施标准。
正象我们所注意到的,《标准》正在得到逐步完善。IIA的内部审计标准委员会,作为具体负责《标准》颁布和发行的机构,依据全世界专家的建议来制定每项新标准。职业实务框架在方方面面都将这样的理念融入其中,即内部审计真正是全球化的职业领域。许多内部审计机构都将《标准》纳入其章程中。
1.1.1.2 《职业道德规范》是阐述内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com预期行为规范的行为准则,目的是促进内部审计职业领域的道德文化建设,适用于实施内部审计业务的所有个体及组织。
IIA根据以下四种基本职业准则来制定《职业道德规范》:
· 正直。要求内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com建立信任感,作为他人依赖其职业判断的基础。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com应该诚实、勤奋、有责任地工作;应该遵守法律并且揭示出法律和同业所期望公开的事项。不应该有意成为任何非法活动的参与者,或者参与有损内部审计职业声誉或组织利益的活动;应该重视并帮助实现组织建立的目标(这些目标符合法律及道德规范)。
· 客观。在收集、评估和沟通有关被检查活动或程序的信息资料过程中,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com要体现出高水平的职业客观性。当作出职业判断时,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com不要受到有关利益方或其他人的过多影响。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com不应该参与可能影响或被推断影响其作出公正评价的任何活动,并牵涉到这类包括那些与组织利益有冲突的活动或关系当中;不应该接受可能影响或被推断影响其职业判断的任何事物;应该揭示他们所了解的所有重要事项(这些事项如果不被披露,会影响对检查活动的报告内容)。
· 保密。内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com要充分考虑他们所收集信息的价值和所有权,除非法律或职业职责要求,否则不要未经授权就披露这些信息。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com在履行职责过程中应该审慎地使用和保护信息资料;不应该为了个人利益使用这些信息,或者采用违背法律或有损组织合法目标的方法来使用这些信息。
· 能力。内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com要具备提供内部审计服务所必要的知识、技能和经验。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com应该只参与那些他们具备必要知识、技能和经验的服务活动;在实施内部审计活动时,应该遵守《标准》;应该不断提高他们的服务质量、服务效果和业务精通度。
1.1.1.3 《实务公告》是对《标准》的进一步阐述,是在具体审计业务环境中,为满足特定行业、特定审计活动的需要而对《标准》进行的详细说明,是国际内部审计协会认可的“最好实务活动”。内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com协会提倡但不强制内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com在工作实践中必须实施《实务公告》。
上述三项标准的详细内容,请参考《内部审计在治理风险和控制中的作用》一书。
1.1.2其他相关标准
除了《标准》、《实务公告》、《职业道德规范》,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com还有责任了解和在工作中应用其他相关的法律和规定,包括:
· Racketeer Influenced and Corrupt Practices Act of 1970
· 1977年的《国外贿赂法案》
· 2002年的《萨班斯一奥克斯利法案》
· COSO出版的《综合框架》
· 美国政府为政府审计制定的“黄皮书”
· 《中华人民共和国审计法》
· 中国《国家审计准则》,等等
[补充内容]
SOX简介,COSO简介,COBIT简介, ITIL/ISO20000简介,ISO17799/27001简介
法案名称:SOX(Sarbanes-Oxley),又称《公众公司会计改革与投资者保护法案》
法案作用:遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的
隶属机构:美国国会众议院金融服务委员会
形成时间:2002年7月30日,美国总统布什颁发
SOX法案目的在于促进企业责任感(302 条款),完善内部控制(404 条款),加强信息向公众的披露(409 条款),提高财务报告和审计的质量及透明度,并对违反证券法律和其它法规的行为加大惩罚力度及加重其刑事责任(906 条款)。
302 条款主要是要求企业的高管签署对企业重要事情不存在遗留。
404 条款要求企业管理层对企业必须建立一个有效的内控 该内 容 由 中审网 校 所 属w w w.audi t c n. com体系,并且对这个内控 该内 容 由 中审网 校 所 属w w w.audi t c n. com体系要进行评估
COSO简介
标准名称:《内部控制-整体框架》
标准组织:发起组织委员会COSO(The Committee of Sponsoring Organization of the Treadway Commission)
隶属机构:美国国会的反对虚假财务报告委员会(NCFR)
标准作用:研究导致虚假财务报告的偶发因素,并为上市公司及其独立审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com,为SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议
形成时间:形成于1985年,报告1992年发布
COSO报告:1992年COSO委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated Framework)报告,即通称的COSO报告。
COSO 报告提出内部控制由五部分组成:
第一, 控制环境(Control environment environment)。它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。
第二, 风险评估(risk assessment assessment)。是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机来辨认和处理相应的风险制。
第三, 控制活动(control activities activities)。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
第四, 信息和交流(information and comunication comunication)。系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件活动状况的信息外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
第五, 监控(monitoring)。监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
COBIT简介
标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT)
隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广
标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用最新版本:《COBIT 4.0》,COBIT 第一版于1994年推出
COBIT的IT框架由四个部分组成:
规划和组织
获得和实施
交付和支持
监控和评估
研究和采用适当的标准:
a.IIA Professional Practices Framework(Code of Ethics,Standards, Practice Advisories)
IIA职业实务框架(《职业道德规范》、《标准》、《实务公告》)
b.Other professional,legal,and regulatory standards
其他职业、法律和法规的标准
根据国际内部审计协会的最新定义,“内部审计是一种独立、客观的保证和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、风险控制和风险治理过程的效果,帮助组织实现其目标”。
1.1 不同的国家有不同的法律和不同的习惯,不同的组织拥有不同的文化、不同的组织结构以及不同的规模。
这些差异对在不同环境下实施审计业务的内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com都会产生一定的影响,因此,要实现内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com的职责,有必要制定一些统一标准,供内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com遵守。这些标准包括:
·《内部审计实务标准》
·《实务公告》
·《职业道德规范》
·其他相关标准
1.1.1 IIA职业实务框架是IIA为审计业务人员提供内部审计操作指南的职业规划,以应对不断扩大的对高质量内部审计服务的市场需求,具体包括《内部审计实务标准》(以下简称《标准》)、《实务公告》、《职业道德规范》。
1.1.1.1 《标准》与《职业道德规范》共同构成了职业实务框架的基础。
制定《标准》的目的是:
· 说明实施内部审计业务所应遵循的基本原则;
· 为实施各种增值型内部审计服务及扩大增值型内部审计服务范围提供基础;
· 建立衡量内部审计业绩的标准和依据;
· 促进组织经营与工作的改善。
《标准》由属性标准、工作标准和实施标准三部分构成。
· 属性标准主要说明实施内部审计活动的组织等有关方面的特点,重点内容包括内部审计章程、独立性和客观性;
· 工作标准阐述了内部审计工作的性质,并规定了评价内部审计活动的质量标准;
· 实施标准适用于各种特殊类型的业务,是为实施上述两类标准而制定的强制性操作指南。IIA努力为每一种主要内部审计活动(包括保证业务和咨询业务)都制定一系列实施标准。
正象我们所注意到的,《标准》正在得到逐步完善。IIA的内部审计标准委员会,作为具体负责《标准》颁布和发行的机构,依据全世界专家的建议来制定每项新标准。职业实务框架在方方面面都将这样的理念融入其中,即内部审计真正是全球化的职业领域。许多内部审计机构都将《标准》纳入其章程中。
1.1.1.2 《职业道德规范》是阐述内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com预期行为规范的行为准则,目的是促进内部审计职业领域的道德文化建设,适用于实施内部审计业务的所有个体及组织。
IIA根据以下四种基本职业准则来制定《职业道德规范》:
· 正直。要求内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com建立信任感,作为他人依赖其职业判断的基础。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com应该诚实、勤奋、有责任地工作;应该遵守法律并且揭示出法律和同业所期望公开的事项。不应该有意成为任何非法活动的参与者,或者参与有损内部审计职业声誉或组织利益的活动;应该重视并帮助实现组织建立的目标(这些目标符合法律及道德规范)。
· 客观。在收集、评估和沟通有关被检查活动或程序的信息资料过程中,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com要体现出高水平的职业客观性。当作出职业判断时,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com不要受到有关利益方或其他人的过多影响。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com不应该参与可能影响或被推断影响其作出公正评价的任何活动,并牵涉到这类包括那些与组织利益有冲突的活动或关系当中;不应该接受可能影响或被推断影响其职业判断的任何事物;应该揭示他们所了解的所有重要事项(这些事项如果不被披露,会影响对检查活动的报告内容)。
· 保密。内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com要充分考虑他们所收集信息的价值和所有权,除非法律或职业职责要求,否则不要未经授权就披露这些信息。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com在履行职责过程中应该审慎地使用和保护信息资料;不应该为了个人利益使用这些信息,或者采用违背法律或有损组织合法目标的方法来使用这些信息。
· 能力。内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com要具备提供内部审计服务所必要的知识、技能和经验。具体来说,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com应该只参与那些他们具备必要知识、技能和经验的服务活动;在实施内部审计活动时,应该遵守《标准》;应该不断提高他们的服务质量、服务效果和业务精通度。
1.1.1.3 《实务公告》是对《标准》的进一步阐述,是在具体审计业务环境中,为满足特定行业、特定审计活动的需要而对《标准》进行的详细说明,是国际内部审计协会认可的“最好实务活动”。内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com协会提倡但不强制内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com在工作实践中必须实施《实务公告》。
上述三项标准的详细内容,请参考《内部审计在治理风险和控制中的作用》一书。
1.1.2其他相关标准
除了《标准》、《实务公告》、《职业道德规范》,内部审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com还有责任了解和在工作中应用其他相关的法律和规定,包括:
· Racketeer Influenced and Corrupt Practices Act of 1970
· 1977年的《国外贿赂法案》
· 2002年的《萨班斯一奥克斯利法案》
· COSO出版的《综合框架》
· 美国政府为政府审计制定的“黄皮书”
· 《中华人民共和国审计法》
· 中国《国家审计准则》,等等
[补充内容]
SOX简介,COSO简介,COBIT简介, ITIL/ISO20000简介,ISO17799/27001简介
法案名称:SOX(Sarbanes-Oxley),又称《公众公司会计改革与投资者保护法案》
法案作用:遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的
隶属机构:美国国会众议院金融服务委员会
形成时间:2002年7月30日,美国总统布什颁发
SOX法案目的在于促进企业责任感(302 条款),完善内部控制(404 条款),加强信息向公众的披露(409 条款),提高财务报告和审计的质量及透明度,并对违反证券法律和其它法规的行为加大惩罚力度及加重其刑事责任(906 条款)。
302 条款主要是要求企业的高管签署对企业重要事情不存在遗留。
404 条款要求企业管理层对企业必须建立一个有效的内控 该内 容 由 中审网 校 所 属w w w.audi t c n. com体系,并且对这个内控 该内 容 由 中审网 校 所 属w w w.audi t c n. com体系要进行评估
COSO简介
标准名称:《内部控制-整体框架》
标准组织:发起组织委员会COSO(The Committee of Sponsoring Organization of the Treadway Commission)
隶属机构:美国国会的反对虚假财务报告委员会(NCFR)
标准作用:研究导致虚假财务报告的偶发因素,并为上市公司及其独立审计师 该内 容 由 中审网 校 所 属w w w.audi t c n. com,为SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议
形成时间:形成于1985年,报告1992年发布
COSO报告:1992年COSO委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated Framework)报告,即通称的COSO报告。
COSO 报告提出内部控制由五部分组成:
第一, 控制环境(Control environment environment)。它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。
第二, 风险评估(risk assessment assessment)。是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机来辨认和处理相应的风险制。
第三, 控制活动(control activities activities)。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
第四, 信息和交流(information and comunication comunication)。系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件活动状况的信息外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
第五, 监控(monitoring)。监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
COBIT简介
标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT)
隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广
标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用最新版本:《COBIT 4.0》,COBIT 第一版于1994年推出
COBIT的IT框架由四个部分组成:
规划和组织
获得和实施
交付和支持
监控和评估
