国际内部审计师手册.pdf

1 职业道德规范 简介 协会职业道德规范的目的是促进内部审计职业道德文化的发展 内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营它通 过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实 现其目标 职业道德规范的建立对于内部审计职业必要而又适用，它是给予内部审计对风险管 理、控制和治理作出的客观确认以信任的基础协会的职业道德规范延展了内部审计 的定义，包括两个基本部分： 1、与内部审计职业和实务相关的原则； 2、描述内部审计是由行为规范的行为规则这些规则有助于将上述原则运用于实践 中，目的在于指导内部审计师的道德行为 职业道德规范与协会的实务框架和其他相关的公告一起，为服务于他人的内部审计 师提供指导内部审计师”指协会会员，IIA 职业资格的获得者或申请者以及那些在内部 审计定义范围内提供内部审计服务的人 适用性与执行 职业道德规范既适用于提供内部审计服务的个人，也适用于提供内部审计服务的团 体 对于协会会员、IIA 职业资格的获得者或申请者，违反职业道德规范将根据协会的 规章和行政指南予以评价和管理在行为规则中没有提及的特殊行为，如果其无法接受或 有损信誉，会员、资格获得者或申请者有责任接受纪律处罚。

原则 内部审计师应运用与信守以下原则： 1、公正 内部审计师的公正建立信用，从而为对其判断的信任提供基础 2、客观 在收集、评价和沟通有关被检查的活动或过程的信息时，内部审计师展示其最大限度的 职业客观在作出判断时，内部审计师不受其个人喜好或他人的不适当影响，对所有相关 环境做出公正的评价 3、保密 内部审计师尊重其获取的信息的价值和所有权，没有适当授权不得披露信息，除非是在 有法律或职业义务的情况下 4、胜任 内部审计师在执行内部审计业务时能够使用所需要的知识、技能和经验 行为规则 1公正 内部审计师： 11 应当诚实、勤恳并负责地开展工作 12 应当遵守法律、按照法律及其职业要求进行披露 13 不得蓄意参与非法活动，或参加有损于内部审计职业或其所在组织的行为 14 应当遵守并贡献于组织的法律和道德目标 2客观 内部审计师： 2 21 不应参与可能妨碍或被认为妨碍其公正评价的活动或关系包括参与与组织 利益相冲突的活动与和关系 22 不能接受可能妨碍或被认为会妨碍其职业判断的任何物品 23 应当披露已知的，如果不予披露、可能歪曲检查工作报告的所有重大事实 3保密 内部审计师： 31 应当谨慎利用和保护履行职责过程中获取的信息。

32 不应当利用信息牟取私利，或者以任何有悖法律规定或有损于组织法律和道 德目标的方式使用信息 4胜任 内部审计师： 4.1 应当只从事与其所具备的知识、技能和经验相适应的服务活动 42 应当根据国际内部审计专业实务标准开展内部审计服务 43 应当持续提高能力和服务的效果、质量 3 属性标准 1000宗旨、权力和职责 内部审计活动的宗旨、权力和职责应在章程中进行正式确定，这一确定应与标准保 持一致，并须经董事会批准 1000.A1审计章程中应明确向组织提供的确认服务的性质如果确认服务是由组织外 部的团体提供，则章程中也应当对此加以明确 1000.C1咨询服务的性质应在审计章程中得到确定 1100独立性与客观性 内部审计活动应该独立，内部审计师在开展工作时应做到客观 1110组织的独立性 首席审计执行官在组织内应向能使内部审计活动履行其职责的层级报告 1110.A1在确定内部审计范围、实施审计及通报结果时，内部审计活动应免受干扰 1120个人的客观性 内部审计师应有公正的态度，避免利益冲突 1130对独立性或客观性的损害 如果独立性或客观性在形式上或实质上受到损害，都应将损害的具体情况向有关方面披 露。

披露的性质取决于损害的具体情况 1130.A1内部审计师应避免评价他们以前负责过的工作如果内部审计师为他在上年 度负责的工作提供确认服务，则可以假定客观性受到了损害 1130.A2对首席审计执行官负责的职能提供确认服务时，应由独立于内部审计活动以 外的有关方面进行监督 1130.C1内部审计师可以就曾经负责过的工作提供咨询服务 1130.C2在内部审计师本人可能损害所要提供的咨询服务的独立性或客观性时，内部 审计师在接受这项工作之前，应向客户说明此情况 1200专业能力与应有的职业审慎 内部审计师在开展业务时，应具备专业能力和应有的职业审慎性 1210专业能力 内部审计师应具备履行其各自职责所需要的知识、技能与其他能力开展内部审计活动 的人员整体上应具有或获得履行其职责所需要的知识、技能及其他能力 1210.A1当内部审计人员缺乏完成全部或部分的业务所应具备的知识、技巧或其他能 力时，首席审计执行官应向他人寻求充分的建议或帮助 1210.A2内部审计师应具备识别舞弊线索所需的相应知识但不要求内部审计师具备 那些主要责任是识别和调查舞弊的人员所具备的专门技能 1210.A3--内部审计师应当具有关键信息技术风险与控制知识以及相应的审计技术以执 行指派给他的工作。

但并期望所有内部审计师都具备那些主要负责信息技术审计的内部审 计师所具有的专门技能 1210.C1当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、技巧或其他 能力时，首席审计执行官应拒绝开展此项业务或向他人寻求充分的建议或帮助 1220应有的职业审慎 内部审计师应保持人们期望谨慎出色的内部审计师应该具备的谨慎态度和技能但是， 应有的职业审慎并不意味着永无过失 1220.A1考虑到以下事项时，内部审计师应保持应有的职业审慎： ? 为实现审计目标而需要开展的审计工作的范围； ? 所要确认事项的相对复杂性、重要性和重要性； 4 ? 风险管理、控制与治理过程的适当性和有效性； ? 严重错误、违规或不守法的可能性； ? 与潜在利益相对应的审计成本 1220.A2在运用应有的职业审慎时，内部审计师应该考虑利用计算机辅助审计工具和 其他数据分析技术 1220.A3内部审计师应警惕可能影响目标、运营或资源的重大风险但是，即使是以 应有的职业审慎开展工作，确认程序本身并不能保证发现所有的重大风险 1220.C1在开展咨询业务，考虑到以下事项时，内部审计师应保持应有的职业审慎： ? 客户的需求与期望，包括咨询结果的性质、时间选择与报告。

? 为实现咨询目标所需开展工作的相对复杂性与范围 ? 与潜在利益相对应的咨询业务的成本 1230职业发展 内部审计师应通过继续职业发展来增加知识、提高技能及他方面的能力 1300质量评价与改进程序 首席审计执行官应建立并坚持开展质量评价与改进程序，该程序应当涵盖内部审计活动 的所有方面并能持续监控内部审计活动的效果该程序包括定期的内部、外部质量评估和 持续内部监控该程序每一部分应按照有助于内部审计活动增加价值、改善组织的经营状 况、并确保内部审计活动的开展遵循标准与职业道德规范的要求来设计 1310质量程序评估 内部审计活动应采取一个监控、评估质量程序整体效用的流程该流程应包括内部与外 部评估 1311内部评估 内部评估应包括： ? 对内部审计活动开展情况的持续检查 ? 通过自我评估或由组织内部其他了解内部审计实务与标准的人员进行的定期检 查 1312外部评估 如质量评价的检查等外部评估应当由组织外部合格的、独立的检查人员或检查小组至少 每五年开展一次 1320质量项目的报告 首席审计执行官应将外部评估结果向董事会报告 1330“依据标准开展工作”的使用 鼓励内部审计师以“依据国际内部审计专业实务标准开展”内部审计活动的表达方 式来报告其活动。

但是，只有在质量改进程序的评估结果表明内部审计活动是遵循了标 准的情况下，内部审计师才可使用此声明 1340对未遵守标准行为的披露 尽管内部审计活动应做到完全与标准保持一致，内部审计师也应充分遵守职业道 德规范，但也会出现不能完全遵守的情况当未遵守的行为影响到内部审计活动的整体 范围或活动时，就应向高级管理层和董事会进行披露 5 工作标准 2000内部审计活动的管理 首席审计执行官应当有效地管理内部审计活动，以保证其为组织增加价值 2010计划的制定 首席审计执行官应当制定以风险为基础的计划，以确定与组织目标相一致的内部审计活 动重点 2010.A1内部审计活动的业务计划应建立在风险评估的基础上，并至少每年制定一 次在制定过程中，应考虑到高级管理层和董事会的意见 2010.C1首席审计执行官应根据以下标准考虑是否接受拟议开展的咨询业务，即该业 务在改善风险管理、增加价值、改善组织的运营方面的潜在作用已经接受的咨询工作应 包括在计划内 2020沟通与批准 首席审计执行官应当向高级管理层和董事会报告内部审计活动的计划与资源需求，包括 重大的临时性变化，供高级管理层和董事会审查、批准。

首席审计执行官还应就资源限制 的影响与高级管理层和董事会沟通 2030资源管理 首席审计执行官应确保内部审计资源的适当、充分及有效地用于完成已获批准的计划 2040政策与程序 首席审计执行官应制定政策与程序，以指导内部审计活动 2050协调 首席审计执行官应与相关确认和咨询服务的其他内、外部提供方共享信息、相互协调， 以保证适当的覆盖面，尽可能地减少重复工作 2060向董事会和高级管理层报告 首席审计执行官应定期向董事会与高级管理层报告内部审计活动的目的、职权、责任， 以及与计划有关的工作开展情况，报告中还应当包括重要风险披露与控制事项、公司治理 事项以及董事会和高级管理层需要或要求的其他事项 2100工作性质 内部审计活动应当应用系统的、规范的方法，评价并改善风险管理、控制和治理程序 2110风险管理 内部审计活动应协助组织识别和评价重大风险问题、并帮助组织改进风险管理与控制系 统 2110.A1内部审计部门应监督、评价组织风险管理体系的有效性 ， 2110.A2内部审计部门应当对组织的治理、经营及信息系统方面的风险进行评价： ? 财务与经营信息的可靠性与完整性； ? 运营的效果与效率； ? 资产的保护； ? 遵循法律、法规及合同的情况。

2110.C1在开展咨询业务时，内部审计师不仅应当关注与业务目标有关的风险，还要 警惕其他重大风险 2110.C2内部审计师应将开展咨询业务时了解到的风险情况，运用于识别并评价组织 的重大风险的过程中 2120控制 内部审计活动应通过评价控制的效率与效果、促进其持续改善等工作，帮助组织维持有 效的控制系统 2120.A1内部审计活动应该在风险评估结果的基础上，评价组织与治理、运营及信息 系统有关的控制程序的健全性与有效性，具体包括： 6 ? 财务与运营信息的可靠性与完整性； ? 运营的效率与效果； ? 资产的保护情况； ? 遵守法律、法规与合同的情况 2120.A2内部审计师应审定查明已确定的运营与项目目标的内容及其与组织目标的一 致程度 2120.A3内部审计师应对运营与项目进行检查，查明其结果与既定目标的一致程度、 以判断这些运营和项目是否按计划得到执行或操作 2120.A4评价控制需要遵循适当的标准内部审计师应检查管理层已制定的、用于判 断目标是否实现的标准的适当性如果此标准适当，内部审计师应在评价中加以应用如 果不适当，内部审计师应与管理层合作，制定适当的评价标准 2120.C1在开展咨询工作的时候，内部审计师应该了解与此工作目标相一致的控制事 项，并且应警惕是否存在控制薄弱环节。

2120.C2内部审计师应将开展咨询业务时了解到的控制情况，运用于识别并评价组织 的重大风险的过程中 2130治理 内部审计活动应当评价公司治理过程并提出改进公司治理的恰当建议，以实现下列目 标：(1)在组织内部推广恰当的道德和价值观，(2)保证有效的绩效管理和责任。