2011年CIA《實施內部審計業(yè)務》復習1：研究和采用適當的標準

　　1.Research and apply appropriate standards研究和采用適當的標準：

　　a.IIA Professional Practices Framework（Code of Ethics，Standards， Practice Advisories）

　　IIA職業(yè)實務框架（《職業(yè)道德規(guī)范》、《標準》、《實務公告》）

　　b.Other professional，legal，and regulatory standards其他職業(yè)、法律和法規(guī)的標準

　　根據國際內部審計協(xié)會的定義，“內部審計是一種獨立、客觀的保證和咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統(tǒng)的、規(guī)范的方法，評價并改善風險管理、風險控制和風險治理過程的效果，幫助組織實現其目標”。

　　1.1 不同的國家有不同的法律和不同的習慣，不同的組織擁有不同的文化、不同的組織結構以及不同的規(guī)模。

　　這些差異對在不同環(huán)境下實施審計業(yè)務的內部審計師都會產生一定的影響，因此，要實現內部審計師的職責，有必要制定一些統(tǒng)一標準，供內部審計師遵守。這些標準包括：

　　·《內部審計實務標準》

　　·《實務公告》

　　·《職業(yè)道德規(guī)范》

　　·其他相關標準

　　1.1.1 IIA職業(yè)實務框架是IIA為審計業(yè)務人員提供內部審計操作指南的職業(yè)規(guī)劃，以應對不斷擴大的對高質量內部審計服務的市場需求，具體包括《內部審計實務標準》（以下簡稱《標準》）、《實務公告》、《職業(yè)道德規(guī)范》。

　　1.1.1.1 《標準》與《職業(yè)道德規(guī)范》共同構成了職業(yè)實務框架的基礎。

　　制定《標準》的目的是：

　　· 說明實施內部審計業(yè)務所應遵循的基本原則；

　　· 為實施各種增值型內部審計服務及擴大增值型內部審計服務范圍提供基礎；

　　· 建立衡量內部審計業(yè)績的標準和依據；

　　· 促進組織經營與工作的改善。

　　《標準》由屬性標準、工作標準和實施標準三部分構成。

　　· 屬性標準主要說明實施內部審計活動的組織等有關方面的特點，重點內容包括內部審計章程、獨立性和客觀性；

　　· 工作標準闡述了內部審計工作的性質，并規(guī)定了評價內部審計活動的質量標準；

　　· 實施標準適用于各種特殊類型的業(yè)務，是為實施上述兩類標準而制定的強制性操作指南。IIA努力為每一種主要內部審計活動（包括保證業(yè)務和咨詢業(yè)務）都制定一系列實施標準。

　　正如我們所注意到的，《標準》正在得到逐步完善。IIA的內部審計標準委員會，作為具體負責《標準》頒布和發(fā)行的機構，依據全世界專家的建議來制定每項新標準。職業(yè)實務框架在方方面面都將這樣的理念融入其中，即內部審計真正是全球化的職業(yè)領域。許多內部審計機構都將《標準》納入其章程中。

　　1.1.1.2 《職業(yè)道德規(guī)范》是闡述內部審計師預期行為規(guī)范的行為準則，目的是促進內部審計職業(yè)領域的道德文化建設，適用于實施內部審計業(yè)務的所有個體及組織。

　　IIA根據以下四種基本職業(yè)準則來制定《職業(yè)道德規(guī)范》：

　　· 正直。要求內部審計師建立信任感，作為他人依賴其職業(yè)判斷的基礎。具體來說，內部審計師應該誠實、勤奮、有責任地工作；應該遵守法律并且揭示出法律和同業(yè)所期望公開的事項。不應該有意成為任何非法活動的參與者，或者參與有損內部審計職業(yè)聲譽或組織利益的活動；應該重視并幫助實現組織建立的目標（這些目標符合法律及道德規(guī)范）。

　　· 客觀。在收集、評估和溝通有關被檢查活動或程序的信息資料過程中，內部審計師要體現出高水平的職業(yè)客觀性。當作出職業(yè)判斷時，內部審計師不要受到有關利益方或其他人的過多影響。具體來說，內部審計師不應該參與可能影響或被推斷影響其作出公正評價的任何活動，并牽涉到這類包括那些與組織利益有沖突的活動或關系當中；不應該接受可能影響或被推斷影響其職業(yè)判斷的任何事物；應該揭示他們所了解的所有重要事項（這些事項如果不被披露，會影響對檢查活動的報告內容）。

　　· 保密。內部審計師要充分考慮他們所收集信息的價值和所有權，除非法律或職業(yè)職責要求，否則不要未經授權就披露這些信息。具體來說，內部審計師在履行職責過程中應該審慎地使用和保護信息資料；不應該為了個人利益使用這些信息，或者采用違背法律或有損組織合法目標的方法來使用這些信息。

　　· 能力。內部審計師要具備提供內部審計服務所必要的知識、技能和經驗。具體來說，內部審計師應該只參與那些他們具備必要知識、技能和經驗的服務活動；在實施內部審計活動時，應該遵守《標準》；應該不斷提高他們的服務質量、服務效果和業(yè)務精通度。

　　1.1.1.3 《實務公告》是對《標準》的進一步闡述，是在具體審計業(yè)務環(huán)境中，為滿足特定行業(yè)、特定審計活動的需要而對《標準》進行的詳細說明，是國際內部審計協(xié)會認可的“至好實務活動”。內部審計師協(xié)會提倡但不強制內部審計師在工作實踐中必須實施《實務公告》。

　　上述三項標準的詳細內容，請參考《內部審計在治理風險和控制中的作用》一書。

　　1.1.2其他相關標準除了《標準》、《實務公告》、《職業(yè)道德規(guī)范》，內部審計師還有責任了解和在工作中應用其他相關的法律和規(guī)定，包括：

　　· Racketeer Influenced and Corrupt Practices Act of 1970

　　· 1977年的《國外賄賂法案》

　　· 2002年的《薩班斯一奧克斯利法案》

　　· COSO出版的《綜合框架》· 美國政府為政府審計制定的“黃皮書”

　　· 《中華人民共和國審計法》

　　· 中國《國家審計準則》，等等

　　[補充內容]

　　SOX簡介，COSO簡介，COBIT簡介， ITIL/ISO20000簡介，ISO17799/27001簡介

　　法案名稱：SOX（Sarbanes-Oxley），又稱《公眾公司會計改革與投資者保護法案》。

　　法案作用：遵守證券法律以提高公司披露的準確性和可靠性，從而保護投資者及其他目的。

　　隸屬機構：美國國會眾議院金融服務委員會。

　　形成時間：2002年7月30日，美國總統(tǒng)布什頒發(fā)。

　　SOX法案目的在于促進企業(yè)責任感（302 條款），完善內部控制（404 條款），加強信息向公眾的披露（409 條款），提高財務報告和審計的質量及透明度，并對違反證券法律和其它法規(guī)的行為加大懲罰力度及加重其刑事責任（906 條款）。

　　302 條款主要是要求企業(yè)的高管簽署對企業(yè)重要事情不存在遺留。

　　404 條款要求企業(yè)管理層對企業(yè)必須建立一個有效的內控體系，并且對這個內控體系要進行評估。

　　COSO簡介

　　標準名稱：《內部控制-整體框架》

　　標準組織：發(fā)起組織委員會COSO（The Committee of Sponsoring Organization of the Treadway Commission）

　　隸屬機構：美國國會的反對虛假財務報告委員會（NCFR）

　　標準作用：研究導致虛假財務報告的偶發(fā)因素，并為上市公司及其獨立審計師，為SEC（美國證券交易委員會）和其他監(jiān)管機構以及教育機構提供建議。

　　形成時間：形成于1985年，報告1992年發(fā)布。

　　COSO報告：1992年COSO委員會經過多年研究，針對公司行政總裁、其他高級執(zhí)行官、董事、立法部門和監(jiān)管部門的內部控制進行高度概括，發(fā)布《內部控制一整體框架》（Interna Control－Integrated Framework）報告，即通稱的COSO報告。

　　COSO 報告提出內部控制由五部分組成：

　　第一， 控制環(huán)境（Control environment environment）。它包括組織人員的誠實、倫理價值和能力；管理層哲學和經營模式；管理層分配權限和責任、組織、發(fā)展員工的方式；董事會提供的關注和方向。控制環(huán)境影響員工的管理意識，是其他部分的基礎。

　　第二， 風險評估（risk assessment assessment）。是確認和分析實現目標過程中的相關風險，是形成管理何種風險的依據。它隨經濟、行業(yè)、監(jiān)管和經營條件而不斷變化，需建立一套機來辨認和處理相應的風險制。

　　第三， 控制活動（control activities activities）。是幫助執(zhí)行管理指令的政策和程序。它貫穿整個組織、各種層次和功能，包括各種活動如批準、授權、證實、調整、經營績效評價、資產保護和職責分離等。

　　第四， 信息和交流（information and comunication comunication）。系統(tǒng)產生各種報告，包括經營、財務、守規(guī)等方面，使得對經營的控制成為可能。處理的信息包括內部生成的數據，也包括可用于經營決策的外部事件活動狀況的信息外部報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關系；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監(jiān)管機構和股東進行有效的溝通。

　　第五， 監(jiān)控（monitoring）。監(jiān)控在經營過程中進行，通過對正常的管理和控制活動以及員工執(zhí)行職責過程中的活動進行監(jiān)控，來評價系統(tǒng)運作的質量。不同評價的范圍和步驟取決于風險的評估和執(zhí)行中的監(jiān)控程序的有效性。對于內部控制的缺陷要及時向上級報告，嚴重的問題要報告到管理層高層和董事會。

　　COBIT簡介

　　標準名稱：《信息及相關技術的控制目標》（Control Objectives for Information and related Technology，COBIT）

　　隸屬機構：美國IT治理研究院（IT Governance Institute）開發(fā)與推廣

　　標準作用：信息、IT 以及相關風險控制方面的國際公認標準，COBIT 還被作為一種遵從SOX（Sarbanes-Oxley）法案的工具而廣泛采用版本：《COBIT 4.0》，COBIT 第一版于1994年推出。

　　COBIT的IT框架由四個部分組成：

　　規(guī)劃和組織

　　獲得和實施

　　交付和支持

　　監(jiān)控和評估

　　1.2在具體內部審計業(yè)務中，內部審計師有責任確定管理當局是否建立了適當的標準以衡量和評價組織目標（目的）的完成情況。

　　如果這些標準是適當的，內部審計師應該在評價過程中使用這些標準，并確定這些標準是否得到了貫徹執(zhí)行。如果這些標準是模糊不清的，是不適當的，內部審計師應該同管理當局一道制定一個合適的評價標準。

　　1.2.1 當內部審計師被要求去解釋或選擇一套經營評價標準時，應該努力與管理部門就這些標準達成一致意見。

　　1.2.2 內部審計師可以尋求或采用的標準包括：工作指南、組織指示、預算、產品說明、行業(yè)慣例、內部控制的至低標準、公認會計準則、合同和著名的商業(yè)實務、以前年度制定的標準，等等。

　　如果內部審計師決定采用以前年度制定的標準，則需要對標準的適當性和適用性進行評估。因為以前年度制定的標準，盡管可能曾經是令人滿意和完善的績效標準，但是隨著環(huán)境的變化和時間的推移，很可能已經不適用于當前的組織目標。

　　典型例題

　　【例題】根據《標準》，報告中的審計發(fā)現應該以“應該是什么”和“是什么”相比較的形式說明。在對公司財務部門審計期間，決定“應該是什么”時，下列（?。┦怯糜趯δ壳敖洜I情況進行判斷的至不理想的標準？

　　a.上次審計中記錄的財務部門運行情況

　　b.公司關于授權和責任分配的政策、程序

　　c.財務課本中列舉的一般公認的好的財務職能實例

　　d.相關行業(yè)財務職能運行方面至好的實例材料

　　【例題】某公司有許多分店，它決定以一家分店為樣本分析各分店財務報告的精確性與可靠性。下列（?。┲笜酥劣锌赡鼙话谠O定的財務基準指標中？

　　a.高雇員流動率

　　b.雇員在預算制訂中的高參與度

　　c.高壞賬核銷金額

　　d.高供應商數量

　　【例題】下列有關衡量雇員工作業(yè)績質量的標準中，（　）適合用來衡量專業(yè)人士，比如說學院教員？

　　I.產出的數量　 II.產出的質量　 III.成本　 IV.產出的及時性　 V.資金需求　 VI.產生的收益

　　a.只有I、II和III

　　b.只有I、II和IV

　　c.只有III、V和VI

　　d.I、II、III、IV、V和VI全是

　　【例題】如果一被審計單位的經營準則含糊不清，并且需要作出解釋，審計師應該（?。?。

　　a.尋求與被審計單位共同認定的標準來衡量經營業(yè)績

　　b.決定用本領域至好的實例作為評價標準

　　c.從他們至嚴格的角度來解釋標準，因為標準僅僅是可接受的至低的衡量尺度

　　d.省略有關標準及與這些標準相關聯的被審計單位業(yè)績方面的任何評論，因為這種分析沒有任何意義

　　相關鏈接：2011年CIA《實施內部審計業(yè)務》復習2：防范舞弊

　　參與論壇討論>>