(红皮书)标准-nokey.doc

第 1 页 共 100 页Standards for the Professional Practice ofInternal Auditing (SPPIA)内部审计实务标准标准创立：Standard Board of The Institute of Internal Auditors翻译编辑：CIA 中文站，西雅图版权所有：© 2004 IIA, CIA 中文站第 2 页 共 100 页内部审计实务标准(SPPIA)作为内部审计师协会(IIA)创立的审计标准之一，获得全球业界的广泛认可本书为该标准的中文译本，对于注册内部审计师(CIA)考试和业内人士从事 审计执业具有重要的参考价值创立：内部审计师协会(IIA)译者：CIA 中文站 ()打印：西雅图，美国属性标准1000—宗旨、权力和职责 内部审计活动的宗旨、权力和职责应在章程中进行正式的界定，这样的界定应与《标准》保持一致，并须经董事会通过1000.A1—章程中应明确向机构和第三方提供的保证服务的性质1000.C1—章程中应对咨询服务的性质加以定义1100—独立性与客观性 内部审计活动应该独立，内部审计师在开展工作时应做到客观。

1110—机构独立性 审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告1110.A1—内部审计活动在确定内部审计范围、实施审计及报告审计结果时应不受干扰1120—个人的客观性 内部审计师应有公正的态度，避免利益冲突1130—对独立性或客观性的损害 无论独立性或客观性受损，都应将损害的具体情况向有关方面反映反映的性质取决于损害的具体情况1130.A1—内部审计师应避免评价他们以前负责过的工作审计师在上年度负责一项工 作之后，本年度又对该工作提供保证服务，则可以假定客观性受到了损害1130.A2—对审计执行主管负责的工作提供保证服务时，应由独立于内部审计活动以外 的有关方面进行监督1130.C1—内部审计师可以提供与他们以前负责过的工作相关的咨询服务1130.C2—在内部审计师本人可能损害所要提供的咨询服务的独立性时，内部审计师在 接受这项工作之前，应向客户说明此情况第 3 页 共 100 页1200—熟练性与应有的职业审慎性 内部审计师应以熟练性与应有的职业审慎性开展审计业务1210—熟练性 内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力。

1210.A1—当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技巧或其 他能力时，审计执行主管应向他人寻求有力的建议或帮助1210.A2—内部审计师应具有发现舞弊线索所需的足够知识但并不希望内部审计师具 备主要责任是发现和调查舞弊的人员的专门技能1210.A3--内部审计师应该了解关键的信息技术风险和控制以及可用的审计技术使师审 计业务但不是所有的内部审计师都具备信息技术审计的专长1210.C1—当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他 能力时，审计执行主管应婉言拒绝开展此项业务或向他人寻求有力的建议或帮助1220—应有的职业审慎性 内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技能应有的职业审慎性并不意味着永不出错1220.A1—内部审计师应考虑到以下几个因素，以应有的职业审慎性开展工作：·为实现审计目标而需要开展的审计工作的范围；·所要保证事项的相对复杂性、重大性和重要性；·风险管理、控制与治理过程的充分性和有效性；·严重错误、违规或不守法的概率；·与潜在利益相对的审计成本1220.A.2-在运用应有的职业谨慎时，内部审计师应该考虑使用计算机辅助审计工具和其 他数据分析技术。

1220.A3—内部审计师应警惕可能影响目标、运营或资源的重大风险但是，即使是以应有 的职业审慎性开展工作，只依靠保证程序本身并不能保证发现所有的重大风险1220.C1—在开展咨询业务时，内部审计师应考虑到以下几个因素，以应有的职业审慎性开 展工作：·客户的需求与期望，包括咨询结果的性质、时间选择与报告·为实现咨询目标而需要开展的工作的相对复杂性与工作范围·与潜在利益相对的开展咨询业务的成本1230—继续职业发展 内部审计师应通过继续职业发展来增长知识、提高技能及他方面第 4 页 共 100 页的能力1300—质量保证与改进项目 审计执行主管应制定并坚持开展质量保证与改进项目，该项目应涵盖内部审计活动的方方面面并不断监督内部审计活动的效果该项目包括定期的内部和外部质量评价和持续的内 部检查 设计该项目要有助于内部审计活动增加价值、改善机构的经营状况、并确保内部审计活动遵 循《标准》与《职业道德规范》 1310—质量项目评价 内部审计部门应采取一种程序，监督、评价质量项目的整体效用该过程应包括内部与外 部评价1311—内部评价 内部评价应包括：．不断对内部审计活动的开展情况进行检查．定期的检察可以通过自我评价进行，也可以由机构内部了解内部审计实务与《标准》的人员进行。

1312—外部评价 诸如质量保证检查的外部评价应至少每五年开展一次，由合格的、机构外部的独立评价员或评价小组来进行1320—质量项目的报告 审计执行主管应把外部评价结果报告给董事会1330—使用“内部审计工作依据《标准》开展”的声明鼓励内部审计师以内部审计活动“依据《内部审计实务标准》开展”来报告他们的活动但是，只有在质量改进项目的评价 结果表明内部审计活动是遵循了《标准》的情况下，内部审计师才可使用此声明1340—披露违规行为 尽管内部审计活动的开展应完全与《标准》保持一致，内部审计师也应充分遵守《职业道 德规范》 ，但偶尔也会出现不能完全遵守的情况当不合规的行为影响到全局或影响内部审 计活动的开展时，就应向高级管理层和董事会进行披露工作标准工作标准2000—管理内部审计活动 审计执行主管应有效地管理内部审计活动，确保内部审计活动为机构增加价值2010—制定审计计划 审计执行主管应根据风险制定计划，来确定符合机构目标的、内部审计的工作重点2010.A1—内部审计活动的业务计划应至少一年进行一次，并在风险评估的基础上制定第 5 页 共 100 页在 制定计划的过程中，应考虑到高级管理层和委员会的意见。

2010.C1—审计执行主管应根据以下标准考虑是否接受所提议开展的咨询工作，即该工作在 改善风险管理、增加价值、改善机构的运营方面的潜在作用应在计划中罗列出已经接受的 咨询工作2020—报告与通过 审计执行主管应把内部审计活动的计划与资源要求(包括重要的、临时性变化)提交高级管 理层和委员会报告、审议通过审计执行主管还应说明资源方面的限制可能带来的后果2030—资源管理 审计执行主管应确保内部审计资源的适当性、充分性及有效利用，以完成所通过的计划2040—政策与程序 审计执行主管应制定政策与程序，指导内部审计活动2050—协调 审计执行主管应与提供相关保证与咨询服务的其他内外部人员分享信息、相互协调，以确 保工作的全面性，最大限度地减少重复工作2060—向董事会与高级管理层报告情况 审计主管应定期向董事会与高级管理层报告与计划有关的内部审计活动的目的、权力、责任与工作业绩另外还应报告重要的风险揭示与控制问题、公司治理问题以及委员会和高 级管理层需要或要求知晓的其他事项2100—工作性质 内部审计采取系统的、规范的方法来评价并帮助改进机构的风险管理、控制和治理程序2110—风险管理 内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。

2110.A1—内部审计部门应监督、评价机构风险管理体系的有效性2110.A2—内部审计部门应评价机构的治理、运营及信息系统方面的风险因素：·财务与运营信息的可靠性与完整性；·运营的效果与效率；·资产的护卫；·法律、法规及合同的遵守情况2110.C1—在开展咨询业务时，内部审计师应根据业务目标解决风险方面的问题，还 应对其他的严重风险保持警惕2110.C2—内部审计师应结合开展咨询服务时了解到的风险情况，查找、评价机构的 重大风险因素2120—控制 内部审计活动应该评价控制的效率与效果、促进控制的不断改善，以此来帮助机构保持有 效的控制第 6 页 共 100 页2120.A1—在风险评估结果的基础上，评价控制的充分性与有效性，范围包括机构的治理、运营及信息系统；此类评价应当包括：·财务与运营资料的可靠性与完整性；·运营的效果与效率；·遵守法律、法规与合同的情况；·资产的护卫情况2120.A2—内部审计师应检查运营与项目目标的确定程度、检查它们与机构目标的一 致程度2120.A3—内部审计师应对运营与项目进行评价，检查其结果与既定目标的一致程度、 判断这些运营和项目是否按计划得到执行或操作。

2120.A4—评价控制需要遵循适当的标准内部审计师应检查管理层已制定的、用于 判断目标是否实现的标准的适当性如果此标准适当，内部审计师应在评价中加以应用如 果不适当，内部审计师应与管理层合作，制定适当的评价标准2120.C1—在开展咨询工作的时候，内部审计师应该解决与此工作目标相一致的控制 事项，并且应警惕是否存在控制薄弱环节2120.C2—内部审计师应利用从咨询工作中了解到的控制情况，将其用于发现并评价 机构的重大风险2130—治理 内部审计活动应该评价并为改进机构的治理程序提出适当的建议2130.A1—内部审计师应评价与道德相关的组织目标、计划和行动的设计、实施和效果2130.C1—咨询业务的目标应与机构的整体价值和目标相一致·促进组织形成恰当的道德和文化；·保证有效的组织绩效管理和相应责任·向组织内适当的阶层有效地沟通风险和控制信息；·有效地协调董事会、外部审计师、内部审计师和管理层之间的信息交流2200-审计业务计划内部审计师在开展每项审计业务时都应制定并记录审计计划，包括范围、目标、时间和资源分配2201—计划制定过程中应考虑的因素 在制定审计业务计划时，内部审计师应考虑到：·被评估活动的目标及对活动的实施进行控制的方式。

·被评估活动存在的风险、目标、资源与运营以及将风险的潜在影响控制在可接受 水平的方式·与相关的控制框架或模式相比较，该活动的风险管理与控制系统的充分性与有效 性第 7 页 共 100 页·对该活动的风险管理与控制系统进行重大改进的机会2201.A1-内部审计师应与组织外部机构达成书面协议，内容包括业务目标、范围、 各自的责任以及对其的期望，包括业务结果发送和获取业务纪录的限制2201.C1—内部审计师应与咨询业务的客户达成协议，内容包括业务目标、范围、 各自的责任及其他客户的期望对于重要的咨询业务，此类协议应制作成书面文件2210-审计业务目标 每个审计业务都要建立目标2210.A1—内部审计师应该对被检查活动相关风险进行初步评估审计业务工作的 目标应该反映风险评估的结果2210.A2—在制定审计业务计划时，内部审计师应考虑到存在严重错误、不合规、违规及其他风险的可能性2210.C1—咨询业务的目标是解决风险、控制与治理过程的有关事项，实现程度是 以与客户达成的协定为准2220—审计业务范围 划分的审计业务范围应足以实现审计业务目标2220.A1—确定审计业务范围时应考虑到相关的系统、记录、人力及包括受第三方 控制的实物财产。

2220.A2—如果在保证业务过程中产生了重大的咨询业务，应该对要达到的目标、 范围中各自责任和其他期望以及按照标准报告的咨询业无结果形成书面文件2220.C1—在开展咨询业务时，内部审计师应确保业务范围的充分性，以实现协定 的目标如果内部审计师在开展工作时对业务范围有保留，应与客户就这些保留进行讨论， 决定是否继续进行审计工作2230—审计业务资源的分配 内部审计师应确定适当的资源，以。