1国际内审师(CIA)红皮书-属性标准(1)属性标准1000-宗旨、权力和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中按照内部审计定义、《职业道德规范》和《标准》的相关内容正式确定。首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。内部审计章程的最终审批权在董事会。1000.A1——向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果内部审计部门向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。1000.C1——咨询服务的性质必须在内部审计章程中确定。1010-在内部审计章程中确认“内部审计定义”、《职业道德规范》和《标准》“内部审计定义”、《职业道德规范》和《标准》的强制性质必须在内部审计章程中得到确认。首席审计执行官应当向高级管理层和董事会解释并讨论“内部审计定义”、《职业道德规范》和《标准》。1100-独立性和客观性内部审计部门必须保持其独立性,内部审计师必须客观地开展工作。释义独立性指内部审计部门或首席审计执行官不偏不倚地履行职责,免受任何威胁其履职能力的情况影响。要达到有效履行内部审计部门职责所必须的独立程度,首席审计执行官需要直接且无限制地与高级管理层和董事会接触。这一要求可以通过建立双重报告关系来实现。独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。客观性指不偏不倚的工作态度,保持客观性,内部审计师方可在开展业务时确信其工作成果,不做任何质量方面的妥协。客观性要求内部审计师对于审计事项的判读不得屈服于他人。客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。1110-组织的独立性首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。21110.A1——内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干扰。1111-与董事会的直接互动首席审计执行官必须与董事会直接沟通和互动。国际内审师(CIA)红皮书-属性标准(2)1120-个人的客观性内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。释义利益冲突时备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计师个人客观履行其职责的能力。1130-对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。释义对组织独立性和个人客观性的损害可能包括但不限于:个人利益冲突,工作范围限制,接触记录、个人和实物资产的限制,在经费等资源方面受到约束等。独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门和首席执行官应当对高级管理层和董事会承担的责任,以及损害的性质。1130.A1——内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到损害。1130.A2——确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方面进行监督。1130.C1内部审计师可以对其以往负责的业务提供咨询服务。1130.C2若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露。1200-专业能力与应有的职业审慎3内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。1210-专业能力内部审计师必须具备履行其职责所必须的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必须的知识、技能和其他能力。释义“知识、技能和其他能力”是一个集合术语,是内部审计师有效履行其职责所必须的专业水平。鼓励内部审计师通过确定适当的专业资格证书和认证,例如国际内部审计协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力。1210.A1——当内部审计师缺乏完成全部或部分业务所必须的知识、技能或其他能力时,首席审计执行官必须向他人寻求充分的专业建议和协助。1210.A2——内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专业技能。1210.A3——内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其他能力时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助。国际内审师(CIA)红皮书-属性标准(3)1220-应有的职业审慎内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。但是,应有的职业审慎并不意味着永不犯错。1220.A1——内部审计师必须通过考虑以下因素,履行其应有的职业审慎:●为实现业务目标而需要开展工作的范围;●所要确认事项的相对复杂性、重要性或严重性;●治理、风险管理和控制过程的适当性和有效性;●发生重大错误、舞弊或不合法的可能性;●与潜在效益相对的确认成本。1220.A2——在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法和其他数据分析技术。41220.A3——内部审计师必须警惕可能影响目标、运营或资源的重大风险。但是,即使是应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险。1220.C1——开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:●客户的需要与愿望,包括咨询结果的性质、时间安排与结果沟通;●实现咨询业务目标所需开展工作的相对复杂性和范围;●与潜在效益相对的咨询业务成本。1230-持续职业发展内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。1300-质量保证与改进程序内部审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。释义质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和《标准》以及内部审计师是否遵守《职业道德规范》进行评估,还可以用来评价内部审计活动的效果和效率,并识别改进的机会。1310-质量保证与改进程序的要求质量保证与改进程序必须包括内部评估和外部评估。1311-内部评估内部评估必须包括:●对内部审计活动执行情况的持续监督;●通过自我评估或由组织内部其他充分了解内部审计实务的人员进行定期检查。释义持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中。持续监督应纳入管理内部审计活动的日常政策和实践,运用不要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》作出评估。定期检查是针对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》而开展的评估工作。充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。5国际内审师(CIA)红皮书-属性标准(4)1312-外部评估外部评估必须至少每五年开展一次,必须由来之组织外部、合格且独立的检查人员或检查小组负责实施。首席审计执行官必须与董事会讨论:●更为平凡地开展外部评估的必要性;●检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。释义合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成。对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑就接受评估的内部审计部门所在组织而言,检查人员所属机构的相对规模和复杂程度,以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在的组织。1320-对质量保证与改进程序的报告首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果。释义质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和首席审计执行官的职责。为反映内部审计活动对“内部审计定义”、《职业道德规范》和《标准》的遵循情况,外部评估和定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次。上述结果包括检查人员或检查小组对遵循程度的评估。1321-对“遵循《标准》”的应用只有在质量保证与改进程序的结果证实内部审计活动遵循了《标准》时,首席审计执行官才可以进行“遵循《标准》”的声明。1322-对未遵循情况的披露若未遵循“内部审计定义”、《职业道德规范》和《标准》的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层和董事会披露未遵循事项及其影响。国际内审师(CIA)红皮书-工作标准(1)6工作标准2000-内部审计活动的管理首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。释义内部审计活动符合下列情况时,属于得到了有效的管理:■内部审计部门的工作结果达到了内部审计章程所包含的目的和责任;■内部审计活动遵循了“内部审计定义”和《标准》■内部审计人员遵循了《职业道德规范》和《标准》2010-计划首席审计执行官必须以分享为基础制定计划,以确定与组织目标相一致的内部审计活动重点。释义首席审计执行官负责以分享为基础制定计划。制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。2010.A1——内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次。在计划制定过程中,必须考虑高级管理层和董事会的意见2010.C1——首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计划。2020-沟通与批准首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。首席审计执行官还必须就支援受限制的影响与高级管理层和董事会进行沟通。2030-资源管理首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。释义“适当”是指实施计划所必须的知识、技能和其他能力的组合。“充分”是完成计划所必需的资源数量。资源有效配置是指资源以能够最优实现获批计划的方式被运用。(不理解)72040-政策与程序首席审计执行官必须制定政策和程序,为内部审计活动提供指导。释义政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。2050-协调首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。2060-向高级管理层和董事会报告首席审计执行官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况,报告中还必须包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。释义报告频率和内容要经过与高级管理层和董事会的讨论后确定,同时取决于说报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。国际内审师(CIA)红皮书-工作标准(2)2100-工作性质内部审计活动必须应用系统、规范的方法,评估并协助改善治理、风险管理和控制过程。2110-治理内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:●在组织内部推广适当的道德和价值观;●确保整个组织开展有效的业绩管理、建立有效的问责机制;●向组织内部有关方面通报风险和控制信息;