TOPIC A-1　研究和采用適當的標準

　　綱內容 

　　1.Research 
　　a.研究和采用適當的標準：
　　IIA職業實務框架（《職業道德規范》、《標準》、《實務公告》）
　　b.Other professional，legal，and regulatory standards
　　其他職業、法律和法規的標準
　　根據國際內部審計協會的最新定義，“內部審計是一種獨立、客觀的保證和咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統的、規范的方法，評價并改善風險管理、風險控制和風險治理過程的效果，幫助組織實現其目標”。

　　1.1 不同的國家有不同的法律和不同的習慣，不同的組織擁有不同的文化、不同的組織結構以及不同的規模。
　　這些差異對在不同環境下實施審計業務的內部審計師都會產生一定的影響，因此，要實現內部審計師的職責，有必要制定一些統一標準，供內部審計師遵守。這些標準包括：
　　《內部審計實務標準》
　　《實務公告》
　　《職業道德規范》
　　其他相關標準
　　1.1.1 IIA職業實務框架是IIA為審計業務人員提供內部審計操作指南的職業規劃，以應對不斷擴大的對高質量內部審計服務的市場需求，具體包括《內部審計實務標準》（以下簡稱《標準》）、《實務公告》、《職業道德規范》。

　　1.1.1.1 《標準》與《職業道德規范》共同構成了職業實務框架的基礎。
　　制定《標準》的目的是：
　　　說明實施內部審計業務所應遵循的基本原則；
　　為實施各種增值型內部審計服務及擴大增值型內部審計服務范圍提供基礎；
　　建立衡量內部審計業績的標準和依據；
　　促進組織經營與工作的改善。
　　《標準》由屬性標準、工作標準和實施標準三部分構成。
　　屬性標準主要說明實施內部審計活動的組織等有關方面的特點，重點內容包括內部審計章程、獨立性和客觀性；
　　工作標準闡述了內部審計工作的性質，并規定了評價內部審計活動的質量標準；
　　實施標準適用于各種特殊類型的業務，是為實施上述兩類標準而制定的強制性操作指南。IIA努力為每一種主要內部審計活動（包括保證業務和咨詢業務）都制定一系列實施標準。
　　正象我們所注意到的，《標準》正在得到逐步完善。IIA的內部審計標準委員會，作為具體負責《標準》頒布和發行的機構，依據全世界權威專家的建議來制定每項新標準。職業實務框架在方方面面都將這樣的理念融入其中，即內部審計真正是全球化的職業領域。許多內部審計機構都將《標準》納入其章程中。

　　1.1.1.2 《職業道德規范》是闡述內部審計師預期行為規范的行為準則，目的是促進內部審計職業領域的道德文化建設，適用于實施內部審計業務的所有個體及組織。
　　IIA根據以下四種基本職業準則來制定《職業道德規范》：
　　正直。要求內部審計師建立信任感，作為他人依賴其職業判斷的基礎。具體來說，內部審計師應該誠實、勤奮、有責任地工作；應該遵守法律并且揭示出法律和同業所期望公開的事項。不應該有意成為任何非法活動的參與者，或者參與有損內部審計職業聲譽或組織利益的活動；應該重視并幫助實現組織建立的目標（這些目標符合法律及道德規范）。
　　客觀。在收集、評估和溝通有關被檢查活動或程序的信息資料過程中，內部審計師要體現出高水平的職業客觀性。當作出職業判斷時，內部審計師不要受到有關利益方或其他人的過多影響。具體來說，內部審計師不應該參與可能影響或被推斷影響其作出公正評價的任何活動，并牽涉到這類包括那些與組織利益有沖突的活動或關系當中；不應該接受可能影響或被推斷影響其職業判斷的任何事物；應該揭示他們所了解的所有重要事項（這些事項如果不被披露，會影響對檢查活動的報告內容）。
　　保密。內部審計師要充分考慮他們所收集信息的價值和所有權，除非法律或職業職責要求，否則不要未經授權就披露這些信息。具體來說，內部審計師在履行職責過程中應該審慎地使用和保護信息資料；不應該為了個人利益使用這些信息，或者采用違背法律或有損組織合法目標的方法來使用這些信息。
　　能力。內部審計師要具備提供內部審計服務所必要的知識、技能和經驗。具體來說，內部審計師應該只參與那些他們具備必要知識、技能和經驗的服務活動；在實施內部審計活動時，應該遵守《標準》；應該不斷提高他們的服務質量、服務效果和業務精通度。

　　1.1.1.3 《實務公告》是對《標準》的進一步闡述，是在具體審計業務環境中，為滿足特定行業、特定審計活動的需要而對《標準》進行的詳細說明，是國際內部審計協會認可的“最好實務活動”。內部審計師協會提倡但　　不強制內部審計師在工作實踐中必須實施《實務公告》。
　　上述三項標準的詳細內容，請參考《內部審計在治理風險和控制中的作用》一書。
　　1.1.2其他相關標準
　　除了《標準》、《實務公告》、《職業道德規范》，內部審計師還有責任了解和在工作中應用其他相關的法律和規定，包括：
　　Racketeer Influenced and Corrupt Practices Act of 1970
　　1977年的《國外賄賂法案》
　　2002年的《薩班斯一奧克斯利法案》
　　COSO出版的《綜合框架》
　　美國政府為政府審計制定的“黃皮書”
　　《中華人民共和國審計法》
　　中國《國家審計準則》，等等
　　[補充內容]
　　SOX簡介，COSO簡介，COBIT簡介， ITIL/ISO20000簡介，ISO17799/27001簡介
　　法案名稱：SOX（Sarbanes-Oxley），又稱《公眾公司會計改革與投資者保護法案》
　　法案作用：遵守證券法律以提高公司披露的準確性和可靠性，從而保護投資者及其他目的
　　隸屬機構：美國國會眾議院金融服務委員會
　　形成時間：2002年7月30日，美國總統布什頒發
　　SOX法案目的在于促進企業責任感（302 條款），完善內部控制（404 條款），加強信息向公眾的披露（409 條款），提高財務報告和審計的質量及透明度，并對違反證券法律和其它法規的行為加大懲罰力度及加重其刑事責任（906 條款）。
　　302 條款主要是要求企業的高管簽署對企業重要事情不存在遺留。
　　404 條款要求企業管理層對企業必須建立一個有效的內控體系，并且對這個內控體系要進行評估
　　COSO簡介
　　標準名稱：《內部控制-整體框架》
　　標準組織：發起組織委員會COSO（The Committee of Sponsoring Organization of the Treadway Commission）
　　隸屬機構：美國國會的反對虛假財務報告委員會（NCFR）
　　標準作用：研究導致虛假財務報告的偶發因素，并為上市公司及其獨立審計師，為SEC（美國證券交易委員會）和其他監管機構以及教育機構提供建議
　　形成時間：形成于1985年，報告1992年發布
　　COSO報告：1992年COSO委員會經過多年研究，針對公司行政總裁、其他高級執行官、董事、立法部門和監管部門的內部控制進行高度概括，發布《內部控制一整體框架》（Interna Control－Integrated Framework）報告，即通稱的COSO報告。 　　
　　COSO 報告提出內部控制由五部分組成：
　　第一， 控制環境（Control environment environment）。它包括組織人員的誠實、倫理價值和能力；管理層哲學和經營模式；管理層分配權限和責任、組織、發展員工的方式；董事會提供的關注和方向。控制環境影響員工的管理意識，是其他部分的基礎。
　　第二， 風險評估（risk assessment assessment）。是確認和分析實現目標過程中的相關風險，是形成管理何種風險的依據。它隨經濟、行業、監管和經營條件而不斷變化，需建立一套機來辨認和處理相應的風險制。
　　第三， 控制活動（control activities activities）。是幫助執行管理指令的政策和程序。它貫穿整個組織、各種層次和功能，包括各種活動如批準、授權、證實、調整、經營績效評價、資產保護和職責分離等。
　　第四， 信息和交流（information and comunication comunication）。系統產生各種報告，包括經營、財務、守規等方面，使得對經營的控制成為可能。處理的信息包括內部生成的數據，也包括可用于經營決策的外部事件活動狀況的信息外部報告。所有人員都要理解自己在控制系統中所處的位置，以及相互的關系；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監管機構和股東進行有效的溝通。
　　第五， 監控（monitoring）。監控在經營過程中進行，通過對正常的管理和控制活動以及員工執行職責過程中的活動進行監控，來評價系統運作的質量。不同評價的范圍和步驟取決于風險的評估和執行中的監控程序的有效性。對于內部控制的缺陷要及時向上級報告，嚴重的問題要報告到管理層高層和董事會。
　　COBIT簡介
　　標準名稱：《信息及相關技術的控制目標》（Control Objectives for Information and related Technology，COBIT）
　　隸屬機構：美國IT治理研究院（IT Governance Institute）開發與推廣
　　標準作用：信息、IT 以及相關風險控制方面的國際公認標準，COBIT 還被作為一種遵從SOX（Sarbanes-Oxley）法案的工具而廣泛采用最新版本：《COBIT 4.0》，COBIT 第一版于1994年推出
　　COBIT的IT框架由四個部分組成：
　　規劃和組織
　　獲得和實施
　　交付和支持
　　監控和評估

（責任編輯：中大編輯）

共2頁,當前第1頁  第一頁  前一頁  下一頁