国际内部审计实务框架(IPPF-2017)

《国际内部审计专业实务标准（标准）》《标准》简介内部审计在宗旨、规模、复杂程度和组织架构各异的组织内部开展，其所涉及的法律和文化环境丰富多样，而其从业人员既可来自组织内部，亦可来自组织外部。虽然这些差异可能会影响各种不同环境下开展的具体内部审计实务，但是遵守国际内部审计师协会的《国际内部审计专业实务标准》（以下简称《标准》）是内部审计师和内部审计部门履行职责的基本要求。《标准》的宗旨是：●指导内部审计人员遵循《标准》中的强制性内容；●为开展和推动各类具有增值效应的内部审计服务提供框架；●建立评估内部审计业绩的依据；●促进组织流程和运营的改善。《标准》是一系列基于原则的强制性要求，其组成内容包括：●对组织和个人普遍适用的关于内部审计专业实务及其业绩评价核心要求的阐述；●对《标准》中所含术语或概念进行说明的释义。《标准》与《职业道德规范》组成了《国际内部审计专业实务框架》（IPPF）的强制性要素，因此遵循《职业道德规范》和《标准》就意味着遵循了IPPF的强制性要求。本《标准》所用术语具有特定含义，详细解释见“词汇表”部分，要正确理解并适用《标准》，需要考虑相关阐述和释义以及“词汇表”的特定含义。《标准》用“必须”一词来表示无条件的强制性要求，并用“应当”一词来表示期待相关要求得到遵守，除非根据专业判断所涉情形允许偏离《标准》的要求。《标准》主要由两部分内容组成：属性标准和工作标准。属性标准说明开展内部审计活动的组织和个人的特征。工作标准描述内部审计活动的性质，并提供了衡量内部审计活动实施质量的准绳。属性标准和工作标准适用于所有的内部审计服务。实施标准是对属性标准和工作标准的扩充，提供适用于确认服务（A）或咨询服务（C）的相关要求。确认服务指内部审计师为了对机构、运营、职能、流程、系统或其他对象提供意见或结论而作出的客观评价。确认服务的性质和范围由内部审计师确定。一般而言，确认服务涉及三方：(1)与接受确认服务的机构、运营、职能、流程或其他对象存在直接关系的个人或机构，即被审计单位或个人；(2)开展确认服务的个人或机构，即内部审计师；(3)应用确认服务的个人或机构，即用户。咨询服务本质上是一种顾问服务，一般应客户的具体要求而开展。咨询服务的性质和范围需与客户协商确定。咨询服务一般涉及两方：(1)提供咨询建议的个人或机构，即内部审计师；(2)寻求并接受咨询服务的个人或机构，即客户。在开展咨询业务时，内部审计师应保持客观性，不承担管理职责。《标准》适用于内部审计师和内部审计活动。所有内部审计师都有责任遵循《标准》所规定的有关客观性、专业能力、应有的职业审慎负有责任和与其履行职业责任相关的《标准》。首席审计执行官负责内部审计活动对《标准》的全面遵循。如果存在法律或法规禁止内部审计人员或内部审计活动遵循《标准》的某些内容，内部审计人员或活动应当遵循《标准》的其他要求，并对有关信息进行适当的披露。若在适用《标准》的同时也适用了其他权威机构发布的准则，则内部审计报告中也可提及对这些准则的适用情况。如果《标准》与其他权威机构发布的准则存在不一致，内部审计师和内部审计部门必须遵守《标准》，但是在其他权威机构的规定更为严格的情况下，也可遵守该权威机构的准则。《标准》的审视和发展是一个持续的过程。在正式发布之前，国际内部审计标准委员会进行了广泛的咨询和论证，包括在全世界范围内公布草案征求公众意见。所有草案都可以通过国际内部审计师协会网站获取，任何有关的意见和建议可以寄至：国际内部审计师协会标准和指导委员会TheInstituteofInternalAuditorsStandardsandGuidance地址：1035GreenwoodBlvd,Suite401,LakeMary,FL32746电子信箱：guidance@theiia.org网址：《国际内部审计专业实务标准（标准）》属性标准1000—宗旨、权力和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中正式确定，并与内部审计的使命和《国际内部审计专业实务标准》强制性要素（内部审计专业实务的核心原则、《职业道德规范》、《标准》和“内部审计定义”）的要求保持一致。首席审计执行官必须定期审查内部审计章程，并提交高级管理层和董事会审批。释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位，包括首席审计执行官与董事会之间职能性报告关系的性质，授权内部审计部门接触与业务开展相关的记录、人员和实物资产，界定内部审计活动的范围。内部审计章程的最终审批权在董事会。1000.A1—向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果向组织外部的有关方面提供确认服务，则此类确认服务的性质也必须在内部审计章程中确定。1000.C1—咨询服务的性质必须在内部审计章程中确定。1010—在内部审计章程中确认强制性指南内部审计专业实务的核心原则、《职业道德规范》、《标准》和“内部审计定义”的强制性质必须在内部审计章程中得到确认。首席审计执行官应当与高级管理层和董事会讨论内部审计的使命和《国际内部审计专业实务框架》中的强制性内容。1100—独立性与客观性内部审计活动必须保持其独立性，内部审计师必须客观地开展工作。释义独立性指内部审计活动公正地履行职责时免受任何威胁其履职能力的情况影响。要达到有效履行内部审计职责所必须的独立程度，首席审计执行官需要直接且不受限制地与高级管理层和董事会接触。这一要求可以通过建立双重报告关系来实现。独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。客观性指不偏不倚的心态，使得内部审计师在开展业务时相信其工作成果并且不会做出质量方面的妥协。客观性要求内部审计师对审计事项做出判断时不屈从于其他因素。客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。1110—组织上的独立性首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织上的独立性。释义组织上的独立性只有当首席审计执行官在职能上向董事会报告的情况下才能够有效实现。职能上向董事会报告的例子包括，董事会：●批准内部审计章程；●批准以风险为基础的内部审计计划；●批准内部审计预算和所需资源计划；●与首席审计执行官就内部审计部门实施审计计划或开展其他事项的情况进行沟通；●批准关于首席审计执行官任免的决定；●批准首席审计执行官的薪酬；●适当询问管理层和首席审计执行官以确定是否存在不适当的审计范围或资源限制。1110.A1—内部审计部门在确定内部审计范围、开展工作和报告结果时，必须免受干预。遇有受到干预的情况，首席审计执行官必须向董事会汇报并讨论其意义。1111—与董事会的直接互动首席审计执行官必须与董事会直接沟通和互动。1112—首席审计执行官在内部审计工作以外的作用首席审计执行官在内部审计以外的工作中发挥作用或承担职责的情况下，必须有保障措施，以限制对独立性或客观性的损害。释义首席审计执行官有可能被要求在内部审计之外扮演角色或承担职责，例如合规或风险管理方面的责任。这些角色或职责可能会损害、或看上去损害内部审计机构的机构独立性或内部审计人员的个人客观性。保障措施通常是由董事会实施针对这类潜在损害的监督活动，包括定期评估报告路径及责任，和制定替代步骤对额外责任的相关领域进行确认。1120—个人的客观性内部审计师必须有公正、不偏不倚的态度，避免任何利益冲突。释义利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象，削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突更可损害内部审计师个人客观履行其职责的能力。1130—对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害，必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。释义对组织独立性和个人客观性的损害可能包括但不限于：个人利益冲突，工作范围限制，接触记录、人员和实物资产的限制，在经费等资源方面受到约束等。独立性或客观性受损的细节必须披露，披露的适当对象，取决于内部审计章程中明确的内部审计部门和首席审计执行官应当对高级管理层和董事会承担的责任，以及损害的性质。1130.A1—内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务，则其客观性视为受到损害。1130.A2—确认服务涉及首席审计执行官负责的职能领域时，必须由独立于内部审计部门的某一方进行监督。1130.A3—在咨询服务的性质不会损害客观性，并且个人的客观性在调配业务资源时得到有效管理的前提下，内部审计可以对实施过咨询服务的领域提供确认服务。1130.C1—内部审计师可以对其以往负责的业务提供咨询服务。1130.C2—如果内部审计师对于拟开展的咨询服务的独立性或客观性存在潜在损害，必须在接受该业务之前向客户披露。1200—专业能力与应有的职业审慎内部审计师在开展业务时，必须具备专业能力和应有的职业审慎。1210—专业能力内部审计师必须具备履行其职责所必需的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必需的知识、技能和其他能力。释义专业能力是反映内部审计师有效履行职责所必需的知识、技能和其他能力。它包含对当前活动、趋势和新兴趋势的思考，使得内部审计人员能够出具具有相关性的建议，且建议能够落实。鼓励内部审计师通过取得适当的专业资格证书和认证，例如国际内部审计师协会和其他相关专业组织提供的“注册内部审计师”和其他认证，以证明其专业能力。1210.A1—当内部审计师缺乏完成全部或部分业务所必需的知识、技能或其他能力时，首席审计执行官必须向他人寻求充分的专业建议和协助。1210.A2—内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识，但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专门技能。1210.A3—内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法，以开展工作，但不期望所有内部审计师均掌握专门从事信息技术审计的内部审计师所具备的专门技能。1210.C1—当内部审计师缺乏完成全部或部分咨询业务所必需的知识、技能或其他能力时，首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助。1220—应有的职业审慎内部审计师必须应用合理的审慎水平和胜任能力所要求的谨慎和技能。但是，应有的职业审慎并不意味着永不犯错。1220.A1—内部审计师必须通过考虑以下因素，履行其应有的职业审慎：●为实现业务目标而需要开展工作的范围；●所要确认事项的相对复杂性、重要性或严重性；●治理、风险管理和控制过程的适当性和有效性；●发生重大错误、舞弊或不合规的可能性；●与潜在效益相对的确认成本。1220.A2—在履行应有的职业审慎时，内部审计师必须考虑利用技术的审计方法和其他数据分析技术。1220.A3—内部审计师必须警惕可能影响目标、运营或资源的重大风险。但是，即使是以应有的职业审慎开展工作，确认程序本身并不能保证发现所有的重大风险。1220.C1—开展咨询业务时，内部审计师必须考虑以下因素，履行其应有的职业审慎：●客户的需求与期望，包括咨询结果的性质、时间安排与结果沟通；●实现咨询业务目标所需开展工作的相对复杂性和范围；●与潜在效益相对的咨询业务成本。1230—持续职业发展内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。1300—质量保证与改进程序首席审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。释义质量保证与改进程序旨在对内部审计活动是否遵循《标准》以及内部审计师是否遵守《职业道德规范》进行评估，还可以用来评价内部审计活动的效率和效果，并识别改进的机会。首席审计执行官应当鼓励董事会监督