了解內(nèi)部審計活動在組織治理中的角色

1、第3章 了解內(nèi)部審計活動在組織治理中的角色3.1 獲得董事會對內(nèi)部審計章程的批準3.2 溝通審計業(yè)務計劃3.3 報告重大審計事項3.4 定期向董事會報告關鍵績效指標3.5 討論重大風險領域3.6 支持董事會開展風險評估3.7 檢查內(nèi)部審計部門在組織內(nèi)風險管理框架中的定位3.8 監(jiān)督遵守公司行為規(guī)范和商業(yè)慣例情況3.9 報告控制框架的有效性3.10 協(xié)助董事會評估外部審計師的獨立性3.11 評估董事會的道德氛圍3.12 評估組織的道德氛圍3.13 評估在特定領域遵守政策的情況3.14 評估組織向董事會報告的機制3.15 跟蹤并報告管理層對法規(guī)監(jiān)管機構和外部審計檢查結(jié)果的落實情況3.16 評估業(yè)績

2、測評系統(tǒng)的充分性和整體目標的實現(xiàn)情況3.17 樹立舞弊防范意識，鼓勵報告不正當行為3.1 獲得董事會對內(nèi)部審計章程的批準內(nèi)部審計章程是確定內(nèi)部審計活動宗旨、權力和職責的正式文件，是內(nèi)部審計部門開展工作的基本政策聲明。內(nèi)部審計章程的作用確立內(nèi)部審計活動在組織中的地位；描述內(nèi)部審計的報告路徑；授予內(nèi)部審計權力：可接觸與業(yè)務開展相關的記錄、人員和實物資產(chǎn)的權力；規(guī)定內(nèi)部審計活動的范圍：組織所有的經(jīng)營活動；提供公認的陳述，管理層與內(nèi)部審計活動相關的一切問題，都將依據(jù)經(jīng)過批準的章程規(guī)定的內(nèi)容來解決。 3.1 獲得董事會對內(nèi)部審計章程的批準內(nèi)部審計章程的編寫一般由內(nèi)部審計部門參考框架中的相關要求，加以編寫

3、。內(nèi)部審計章程的批準首席審計執(zhí)行官負責將內(nèi)部審計章程提交董事會、審計委員會、相關治理機構和管理層批準或認可。但是經(jīng)過高級管理層的批準并不是硬性要求，章程的最終批準權在董事會。章程一經(jīng)批準，便形成管理當局與內(nèi)部審計部門雙方的協(xié)議，內(nèi)部審計部門可以根據(jù)章程的授權不受限制地開展工作，也可為消除與審計客戶間就審計氛圍、審計職責等方面的分歧提供依據(jù)。作為董事會和管理層評價內(nèi)部審計工作質(zhì)量的依據(jù)。3.1 獲得董事會對內(nèi)部審計章程的批準內(nèi)部審計章程的定期評估首席審計執(zhí)行官要定期對內(nèi)部審計章程進行評估，確保章程符合內(nèi)部審計工作的實際需要，足以實現(xiàn)內(nèi)部審計目標。首席審計執(zhí)行官應將內(nèi)部審計章程評價的結(jié)果通報給高級

4、管理層和董事會。 注：首席審計執(zhí)行官的任期與內(nèi)部審計的宗旨、權利和職責并不直接相關，因此不屬于章程建議內(nèi)容。3.2 溝通審計業(yè)務計劃首席審計執(zhí)行官負責與高級管理層和董事會進行審計業(yè)務計劃溝通工作，內(nèi)容包括：報告內(nèi)部審計部門的工作計劃和資源要求。報告審計資源不足和審計范圍受限的情況及其可能帶來的后果。報告審計計劃執(zhí)行過程中的任何重大變化。報告的信息應充分，包括工作安排、人員配備、財務計劃、工作范圍、范圍限制。 3.3 報告重大審計事項每年至少向高級管理層和董事會提交一次工作報告。及時向董事會報告出現(xiàn)的重大審計事項（指根據(jù)首席審計執(zhí)行官的判斷可能對組織產(chǎn)生不利影響的情況，如處理違章、違法、差錯、低

5、效、浪費、無效、利益沖突和控制系統(tǒng)薄弱環(huán)節(jié)）。向董事會報告前，應與高級管理層進行討論。即便討論取得滿意的結(jié)果，也需要向董事會報告。將高級管理層對重大審計事項所做的決定通知董事會。若高級管理層決定不采取任何行動并承擔由此產(chǎn)生的風險，或者組織、董事會、高級管理層或其他方面有任何變動，應將原先報告的事項再次向董事會報告。3.4 定期向董事會報告關鍵績效指標內(nèi)部審計應評估組織的績效管理系統(tǒng)及核心工作目標的完成情況。應考慮的基本要素：確定衡量績效的相關標準；將績效成果與已確定標準相比較；評估績效差距。實施業(yè)績評估的對象是控制每一個層次工作目標達成情況的關鍵業(yè)績指標。評價關鍵業(yè)績指標需要判斷：指標是否正確

6、（能否涵蓋組織的全部目標？能否反映組織實際績效的變化？使用者能否理解這些指標？指標反映是否及時？）指標作用的發(fā)揮是否充分？（數(shù)字精確、信息來源可靠）關鍵業(yè)績指標包括：產(chǎn)出（銷售收入、產(chǎn)量）、流程特征（及時性、精確性）、關鍵風險指標（過錯發(fā)生率、錯誤發(fā)展趨勢）、可持續(xù)指標、社會責任指標等。3.5討論重大風險領域?qū)M織的風險管理過程進行評估和報告是內(nèi)部審計工作的一項重要內(nèi)容。首席審計執(zhí)行官應與管理層、審計委員會和董事會討論風險和風險管理的薄弱環(huán)節(jié)。若首席審計執(zhí)行官認為管理層接受的風險水平與機構的風險管理戰(zhàn)略和政策不一致，或該水平不能被機構接受，應就此與高級管理層進行討論。若討論不能解決問題，則應報

7、告董事會解決。管理層負責對重大風險采取行動，首席審計執(zhí)行官負責評價這些行動，對管理層決定不采取行動而承擔的后果，應向董事會報告。3.6支持董事會開展全面風險評估風險管理責任應當在組織的風險管理流程中負有責任的全體和個人之間協(xié)調(diào)一致，并在該組織的戰(zhàn)略規(guī)劃、董事會政策、管理層指導方針、操作流程和其他治理工具中被適當記載。風險管理責任分配：董事會和審計委員會：對于確定本組織具備良好的風險管理流程且運轉(zhuǎn)正常負有監(jiān)督責任。管理層：負責確保本組織具備良好的風險管理流程，且運轉(zhuǎn)正常。內(nèi)部審計：運用風險管理方法和控制措施，采用適當?shù)膶徲嫵绦?，收集足夠的審計證據(jù)，檢查、評價風險管理過程的充分性、有效性和所選擇風

8、險管理方式的適當性,發(fā)表審計意見，提出改進建議，向適當管理層進行報告，為管理層和審計委員會提供幫助。風險管理過程充分性的主要目標找出組織戰(zhàn)略與業(yè)務活動領域的風險并進行優(yōu)先排序；管理層和審計委員會已經(jīng)確定了組織可以接受的風險水平，包括為實現(xiàn)組織戰(zhàn)略計劃而承受的風險；設計、實施了降低風險的活動，把風險降低并管理在上述可接受的水平上；開展持續(xù)的監(jiān)督活動，定期對風險和控制的有效性進行再評估，以管理風險；董事會和管理層定期收到風險管理過程的結(jié)果報告。3.7 檢查內(nèi)部審計部門在組織風險管理框架中的定位對于尚未建立風險管理流程的組織，首席審計執(zhí)行官應提醒管理層注意，并提出建議；如果有關方面提出要求，內(nèi)部審計

9、師可以積極協(xié)助組織進行風險管理過程的初步建立工作，但更為積極的工作是通過改善組織基本程序的咨詢工作對傳統(tǒng)保證業(yè)務進行補充，不能超出正常的保證和咨詢工作，以免損害獨立性，即內(nèi)部審計師可以促進、協(xié)助風險管理過程的建立，但不負責風險管理的責任。3.8 監(jiān)督遵守公司行為規(guī)范和商業(yè)慣例情況公司行為規(guī)范是由組織制定的、旨在規(guī)范員工行為、防止過失和違法違紀行為的正式書面規(guī)章制度，它強化了組織的道德要求，通常包括下列內(nèi)容：利益沖突、保密、公平交易、恰當使用資產(chǎn)、禮品及酬金、遵守法律規(guī)則及監(jiān)管制度、報告違法及不道德行為。商業(yè)慣例是在商業(yè)活動中形成的被廣泛接受的通用做法，一般是非正式的，但一旦違反，則會給組織帶來

10、不利影響。3.8 監(jiān)督遵守公司行為規(guī)范和商業(yè)慣例情況內(nèi)部審計有責任評價公司行為規(guī)范和商業(yè)慣例的建立情況、執(zhí)行情況和執(zhí)行效果，具體審查內(nèi)容：評估組織是否建立了相關行為規(guī)范和商業(yè)慣例：書面的、可理解的、有指導性的。相關控制和保證系統(tǒng)是否充分建立：采取多種形式（培訓、手冊、公告），利用多種場合，針對不同層次和部門強調(diào)不同重點。運行是否充分和恰當：保證員工已經(jīng)閱讀、理解并遵守公司行為規(guī)范和商業(yè)慣例，運用監(jiān)督和審計機制以發(fā)現(xiàn)不遵守情況，建立舉報機制，設立獎懲制度。系統(tǒng)的執(zhí)行效果如何。3.9 報告控制框架的有效性評價的內(nèi)容和范圍：控制系統(tǒng)的充分性，即控制系統(tǒng)能否適當保證機構的任務和目標有效完成（考慮成本效

11、益問題）；控制系統(tǒng)的有效性：即是否取得預期效果，達到預期的控制目標（包括財務和運營信息可靠完整；運營工作高效率有成效；資產(chǎn)得到保護；遵守了相關法律法規(guī)和合同）。評價的標準：如果本組織制定的標準適用，應予以采用；如果本組織沒有制定標準，或者不適用，應向管理層報告，建議采用行業(yè)標準、專業(yè)組織標準、協(xié)會標準、法律等標準；如果管理層標準模糊，審計師應尋求權威性解釋；衡量標準應與被審單位達成一致意見。評價的程序：在檢查和評價內(nèi)部控制的基礎上制定審計計劃。開展審計工作，收集充分證據(jù)。與管理人員一起進行控制自我評價。對運營性管理者的控制過程進行單項評價。對戰(zhàn)略性管理者的控制過程進行總體評價（控制整體效果的評

12、價）。考慮三個關鍵問題：是否發(fā)現(xiàn)了漏洞或薄弱環(huán)節(jié)；是否進行了改進；是否存在組織無法接受的普遍風險。表達審計意見：肯定意見（經(jīng)過審計沒有發(fā)現(xiàn)控制系統(tǒng)存在普遍的嚴重薄弱環(huán)節(jié)）；保留意見（審計發(fā)現(xiàn)存在控制系統(tǒng)薄弱環(huán)節(jié)，但整體上不至于控制失效）；否定意見（控制系統(tǒng)有重大漏洞或嚴重的薄弱環(huán)節(jié)，控制系統(tǒng)整體上作用很小甚至失效）。向高級管理層和董事會提交評價結(jié)果報告。3.10 協(xié)助董事會評估外部審計師的獨立性評估外部服務提供者的能力專業(yè)證明、執(zhí)照和其他相關學科能力的證明；在有關專業(yè)機構的會員資格和對這些機構職業(yè)道德規(guī)范的遵循情況；聲譽（與其熟悉的人員聯(lián)系）；在所提供服務領域的經(jīng)驗；對與所涉及業(yè)務相關的學科接

13、受的教育和培訓；對組織所在行業(yè)的知識和經(jīng)驗。評估外部服務提供者的獨立性和客觀性可能在組織擁有的經(jīng)濟利益；可能與組織董事會成員、高級管理層或其他人員發(fā)生的私人或?qū)I(yè)的關系；可能與機構或被審活動發(fā)生的關系；可能正在為機構提供的其他持續(xù)服務的范圍；可能擁有的報酬或其他激勵機制。3.10 協(xié)助董事會評估外部審計師的獨立性薩班斯奧克斯利法案規(guī)定，外部審計師提供下列非審計業(yè)務表明其缺乏獨立性：參與客戶的會計記錄或與財務報表有關的記賬或其他業(yè)務；財務信息系統(tǒng)的設計和實施；提供評價、評估、發(fā)表公允性意見；精算服務；內(nèi)部審計服務（外部審計師在任一財務年度為某審計客戶提供的內(nèi)部審計服務超過了該客戶全部內(nèi)部審計活動

14、所花時間的40%，除非該客戶的資產(chǎn)少于2億美元）；人力資源、管理職能、經(jīng)紀人服務、法律服務。3.11 評估董事會的道德氛圍董事會通過設立組織最高基調(diào)（最佳行為規(guī)范）和監(jiān)督所有治理活動來為組織描繪了整體愿景，并最終為公司的風險和業(yè)績承擔責任（不承擔直接的管理責任）。組織的道德與核心價值觀是其所有治理實踐的基礎。如果股東對董事會有任何的不信任或董事會出現(xiàn)任何違反組織行為規(guī)范和道德標準的事情，有效的治理將不復存在。內(nèi)部審計通過對董事會某些領域進行評估并提出建議的方式對改善董事會治理活動中的道德方面給予重大的支持。具體關注：董事會結(jié)構、目標和活力：合理的董事會構成（人數(shù)、利益沖突回避、勝任能力），充分

15、的會議頻率（必要時召開秘密會議），開放式的討論，與管理層健康的交流，重大議題在董事會會議上得到考慮。董事會成員職能：會議進度、日程安排、信息提前發(fā)布、對董事會章程的遵守、董事會成員擁有記錄工作職責的日常記錄，定期監(jiān)督組織表現(xiàn)與規(guī)定職責相符。董事會方針手冊：完善和保持方針手冊的工作流程；合規(guī)性程序。了解治理要求的程序：組織具備保證外部人員知悉治理守則和合規(guī)要求的工作流程。董事會教育與培訓：董事會新成員履職前的教育與培訓的規(guī)定；對組織、技術變革和突發(fā)風險領域等重要事項進行持續(xù)性教育的規(guī)定。3.12 評估組織的道德氛圍良好道德文化的特征清晰易懂的道德規(guī)范及相關說明、政策和其他道德理想表述；有影響力的

16、領導經(jīng)常宣傳并踐行期望達到的良好的道德文化態(tài)度和行為；有支持并加強道德文化的具體戰(zhàn)略和更新、改進的經(jīng)常性程序；設有接受舉報的機構和保護檢舉人的制度（設有在保密前提下通暢地舉報不正當行為的渠道）；對合理舉報行為進行鼓勵，對被舉報情況進行調(diào)查和處理；要求雇員、供應商、顧客定期聲明遵守組織道德規(guī)范的制度；明確的責任分配，保證評價得到結(jié)果，提供可信的咨詢服務，調(diào)查不當?shù)男袨橄右?，報告發(fā)現(xiàn)的情況；有學習的機會，使員工都能成為良好道德的倡導者；積極鼓勵每位雇員為組織道德氛圍做出貢獻的人事管理制度；定期對雇員、供應商、顧客進行調(diào)查，以確定組織的道德氛圍狀況；正式或非正式地定期檢查損害道德文化的壓力和偏見；把

17、背景調(diào)查作為招聘員工的一部分內(nèi)容，包括誠實性測試。舉報者：報告舞弊和權力濫用的人。典型的舉報者：通常是雇員，或前雇員、組織外部人員。舉報熱線是報告舞弊的最普遍的工作手段。那些擁有舞弊證據(jù)的合法舉報人應受到合理保護，免受報復（解雇、降職、停職、威脅、騷擾、歧視）。內(nèi)部審計師應當對組織內(nèi)與道德相關的目標、項目及活動的設計、實施、效果進行評價。至少應該定期評價組織的道德氛圍以及為了實現(xiàn)期望的遵紀守德水平而采取的組織戰(zhàn)略、戰(zhàn)術、信息溝通和其他過程的有效性。內(nèi)部審計師評估組織道德氛圍的措施評價組織道德政策和行為守則的健全性；檢查支持組織道德環(huán)境的積極的人事政策的充分性；檢查組織是否建立和實施了恰當?shù)臏贤?/p>

18、機制以使員工和股東理解道德信息；評價雇員在道德程度上真正確信組織的信息；確定組織是否建立明確戰(zhàn)略支持和強化組織的道德文化；確定是否存在恰當?shù)某绦虼_保不良行為被調(diào)查且舞弊發(fā)現(xiàn)被恰當報告。3.13 評估在特定領域遵守政策的情況內(nèi)部審計部門需要評估法律、法規(guī)、政策和合同的遵守情況，應關注的重點是：組織內(nèi)是否建立了監(jiān)督遵守相關法規(guī)政策的監(jiān)管控制系統(tǒng)；這些系統(tǒng)是否充分、有效；相關的業(yè)務活動是否遵守了那些法規(guī)政策、效果如何。內(nèi)部審計在經(jīng)營持續(xù)和災難恢復計劃中的作用業(yè)務中斷對于財務和經(jīng)營會產(chǎn)生嚴重影響，可能由于自然事件或意外、故意犯罪行為而導致。組織應該制定詳細的緊急或災難準備計劃，以提供緊急反應程序，替代

19、通訊系統(tǒng)和現(xiàn)場設施，信息備份，災難恢復，業(yè)務影響評價和恢復計劃，功能恢復程序，確保組織有準備應對緊急或災難事件的日常維持程序。內(nèi)部審計在經(jīng)營持續(xù)和災難恢復計劃中的作用協(xié)助開展風險分析；對已草擬計劃的設計和詳細程度做出評價；定期開展確認業(yè)務，證明計劃及時得到更新并傳遞。經(jīng)營持續(xù)和災難恢復計劃的審計內(nèi)容計劃更新及時，更新流程存在；計劃包含了所有關鍵的經(jīng)營職能和系統(tǒng)，其遺漏的理由；計劃的制定基礎依據(jù)營業(yè)中斷的風險和潛在的后果；計劃有書面記載，與組織政策和流程一致，職責得到指派；計劃實施的能力和準備情況；計劃得到定期測試并根據(jù)測試結(jié)果進行修訂；計劃得到妥善保管并被管理層知曉；員工知道備選設施地點；計劃

20、與當?shù)貞狈詹块T相互協(xié)調(diào)3.14 評估組織向董事會報告的機制報告機制需要明確的規(guī)定：需要報告的事項，負責報告的人員，報告的形式和時限，問題的解決和逐級上報，各個管理層承擔的責任。董事會的任務：建立并維護組織的治理程序，并獲取關于風險管理和控制過程有效性的保證。高級管理層的作用：監(jiān)督風險管理和控制系統(tǒng)的建立、管理和評價。管理層受董事會委托開展管理活動，有必要向董事會報告工作。內(nèi)部審計的責任：對報告機制進行檢查和評價：是否建立了相關報告機制（良好、明確的書面政策）；報告機制是否充分、有效，滿足董事會及時、暢通、充分溝通的需要；機制的運轉(zhuǎn)情況和效果如何，實際的報告機制是否如機制確定的政策進行。3.

21、15 跟蹤并報告管理層對法規(guī)監(jiān)管機構檢查結(jié)果和外部審計結(jié)果的落實情況審計委員會對外部審計師提供信息的充分理解外部審計師關于財務政策質(zhì)量的評價；外部審計師關于管理層會計估計合理性的判斷；因外部審計對財務報表產(chǎn)生重大影響的重要調(diào)整事項；對財務報表的重大影響的否定性審計意見以及是否妥善解決；實施審計過程中管理層面臨的困難；內(nèi)部控制重大缺陷和實質(zhì)性薄弱環(huán)節(jié)；舞弊或違法行為。3.15 跟蹤并報告管理層對法規(guī)監(jiān)管機構檢查結(jié)果和外部審計結(jié)果的落實情況內(nèi)部審計對管理層應對外部審計結(jié)果的支持：同外部審計師討論，確定其對相關事項和糾正措施等內(nèi)容有充分正確的理解；同管理層討論已識別的風險事項，確保對應用措施予以充分

22、的理解；確定是否需要額外的咨詢資源協(xié)助；建立一個合理的時間底線來關注并解決重要事項；建立工作清單和其他必要的工具來監(jiān)督問題的解決；同管理層和外部審計師一同討論相關事項的解決方案。3.15 跟蹤并報告管理層對法規(guī)監(jiān)管機構檢查結(jié)果和外部審計結(jié)果的落實情況首席審計執(zhí)行官應設立并維持一項制度，開展跟蹤檢查，以監(jiān)督、檢查外部法規(guī)監(jiān)管機構和外部審計檢查結(jié)果的處理情況，保證管理行為能夠得到有效落實，或高級管理層已經(jīng)接受了不采取行動所帶來的風險，包括對外部審計發(fā)現(xiàn)和建議所采取的行動是否充分、有效和及時。用以有效監(jiān)督審計結(jié)果處理進展情況的技術將審計發(fā)現(xiàn)和審計建議以及外部法規(guī)部門的檢查結(jié)果向負責采取糾正性措施的恰當管理層報告；在合理時間內(nèi)接受并評價管理層對審計發(fā)現(xiàn)和審計建議以及法規(guī)部門檢查結(jié)果的反應；收集管理層對審計發(fā)現(xiàn)和審計建議以及法規(guī)部門檢查結(jié)果反應的最新信息，以評價管理層糾正以前報告情況的努力情況；接收并評價來自組織內(nèi)部負責采取跟蹤糾正措施的其他部門的信息；向高級管理層或董事會報告對審計發(fā)現(xiàn)和審計建議以及法規(guī)部門檢查結(jié)果的反應情況。3.15 跟蹤并報告管理層對法規(guī)監(jiān)管機構檢查結(jié)果和外部審計結(jié)果的落實情況跟蹤檢查的步驟高級管理層與被審單位進行協(xié)商，決定是否、何時、怎樣按照內(nèi)部審計師和法規(guī)部門的