2013版《国际内部审计专业实务框架》修订的内容

2013版《国际内部审计专业实务框架》修订的内容

（1）1110-组织上的独立性：修改释义

1110-组织上的独立性

首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。 【释义】

组织上的独立性只有当首席审计执行官在职能上向董事会报告的情况下才能够有效实现。职能上向董事会报告的例子包括董事会： ? 批准内部审计章程；

? 批准以风险为基础编制的内部审计计划； ? 批准内部审计预算和所需资源计划；

? 与首席审计执行官就内部审计计划实施情况或其他事项进行沟通； ? 批准关于首席审计执行官任免的决定； ? 批准首席审计执行官的薪酬；

? 适当询问管理层和首席审计执行官以确定是否存在不适当的审计范围或资源限制。 1110.A1---内部审计部门在确定内部审计范围、开展工作和报告结果时，必须免受干扰。

（2）1311-内部评估：修改标准和释义

1311-内部评估 内部评估必须包括：

? 对内部审计活动执行情况的持续监督；

? 定期自我评估或由组织内部其他充分了解内部审计实务的人员进行的评估。 【释义】

持续监督是对内部审计活动进行日常监督、检查和测试的组成部分。持续监督应纳入管理内部审计活动的日常政策和实践，运用必要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》做出评估。

定期评估是针对内部审计活动是否遵循“内部审计定义”、《职业道德规范》和《标准》而开展的评估工作。

充分了解内部审计实务要求至少理解《国际内部审计专业实务框架》的所有要素。

（3）1312-外部评估：修改标准和释义

1312-外部评估

外部评估必须至少每五年开展一次，必须由来自组织外部、合格且独立的评估人员或评估小组负责实施。首席审计执行官必须与董事会讨论：

1

? 外部评估的方式和频率；

? 外部评估人员或评估小组的资格和独立性，包括任何潜在的利益冲突。 【释义】

外部评估的形式可以是完全外部评估，或者是对自我评估的独立外部审定。

合格的评估人员或评估小组需要两方面的胜任能力：内部审计专业实务和外部评估程序。胜任能力可以通过经验和理论学习来证明。经验来源于在类似规模、复杂程度、所属部门或行业等组织的工作，类似程度高的经验更有价值。对于评估小组而言，并非小组内的每个成员都必须具备所有的胜任能力，只要评估小组作为一个整体具备胜任能力就是合格的。首席审计执行官利用职业判断鉴别评估人员或评估小组是否充分胜任。

独立的评估人员或评估小组意味着与检查工作不存在任何实质或形式上的利益冲突，不隶属于或受控于被评估的内部审计部门所在组织。

（4）1320-对质量保证与改进程序的报告：修改释义

1320-对质量保证与改进程序的报告

首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果。 【释义】

质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定，同时要考虑内部审计章程明确的关于内部审计部门和首席审计执行官的职责。为反映内部审计活动对“内部审计定义”、《职业道德规范》和《标准》的遵循情况，外部评估和定期内部评估的结果在评估完成时应立即报告，持续监督的结果至少每年报告一次。上述结果包括评估人员或评估小组对遵循程度的评估。

（5）2010-计划：修改标准和释义

2010-计划

首席审计执行官必须制定以风险为基础的计划，以确定与组织目标相一致的内部审计活动重点。 【释义】

首席审计执行官负责以风险为基础制定计划。制定计划时，首席审计执行官需考虑组织的风险管理框架，包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架，首席审计执行官在考虑高级管理层和董事会的意见后，自行作出风险判断。首席审计执行官必须在必要时检查和调整计划，以适应组织的业务、风险、运营、程序、系统和控制的变化。

2010.A1---内部审计部门的业务计划必须建立在有记录的风险评估基础上，并至少每年制订一次。在计划制订过程中，必须考虑高级管理层和董事会的意见。

2010.A2---首席审计执行官必须考虑高级管理层、董事会以及其他利益相关方对于内部审计意见或其他结论的预期。

2

2010.C1---首席审计执行官在考虑是否接受拟开展的咨询业务时，应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计划。

（6）2120.A1-修改标准

2120-风险管理

内部审计活动必须评估风险管理过程的有效性，并对其改善做出贡献。 【释义】

确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断： ? 组织目标支持组织的使命并与其保持一致； ? 重大风险得到识别和评估；

? 选定适当的风险应对方案，并符合组织的风险偏好；

? 获取相关的风险信息并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责。

内部审计活动可以在多项业务实施过程中收集信息以支持上述判断，综合审视这些业务的结果，可以对组织的风险管理过程及其有效性有所了解。

风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。 2120.A1---内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险： ? 组织战略目标的实现；

? 财务和运营信息的可靠性和完整性； ? 运营和程序的效率与效果； ? 资产的安全；

? 对法律、法规、政策、程序及合同的遵循情况。

（7）2130.A1-修改标准

内部审计部门必须评估控制的效果和效率，并促进控制持续改进，从而协助组织维持有效的控制。 2130.A1---内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性：

? 组织战略目标的实现；

? 财务和运营信息的可靠性和完整性； ? 运营和程序的效率和效果； ? 资产的安全；

? 对法律、法规、政策、程序及合同的遵循情况。 （8）2201-制定计划时的考虑因素：修改标准 2201-制订计划时的考虑因素

制订业务计划时，内部审计师必须考虑到： ? 被检查活动的目标及控制其实施的方式；

? 被检查活动及其目标、资源和运营等存在的重大风险以及将风险的潜在影响控制在可接受水平的方式； ? 与相关框架或模式相比，被检查活动的治理、风险管理和控制过程的适当性和有效性； ? 对被检查活动的治理、风险管理和控制过程作出重大改进的可能性。

2201.A1---在为组织外部的有关方面制定业务计划时，内部审计师必须与其达成书面协议，明确业务目标、范围、各自的职责和其他要求，包括对发布业务结果和对接触业务记录的限制。

2201.C1---内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成共识。对于重要的咨询业务，该协议必须为书面形式。

（9）2210.A3-修改标准

3

2210-业务目标

必须为每项业务确定目标。

2210.A1---内部审计师必须对与被检查活动相关的风险进行初步评估，业务目标中必须反映该评估结果。 2210.A2---内部审计师确定业务目标时，必须考虑存在重大差错、舞弊、违规和其他风险的可能性。 2210.A3---评估治理、风险管理和控制需要依据适当的标准。内部审计师必须确认管理层和／或董事会制订适当标准的程度，以确定目标和目的是否实现。如果标准适当，内部审计师必须使用该标准进行评估。如果不适当，内部审计师必须与管理层和／或董事会共同制订适当的评估标准。

2210.C1---咨询业务的目标必须在客户同意的范围内，针对治理、风险管理和控制过程等确定。 2210.C2---咨询业务的目标必须与组织的价值、战略及目标保持一致。

（10）2220-业务范围，修改标准

2220-业务范围

确定业务范围必须足以实现业务目标的要求。

2220.A1---确定业务范围必须考虑相关的制度、记录、人员和实物资产，包括由第三方控制的相关制度、记录、人员和实物资产。

2220.A2---在开展确认业务时，如果出现重要的咨询机会，应当与客户达成具体的书面协议，规定业务目标、范围、各自的职责和其他要求，并遵循咨询业务相关标准沟通咨询业务的结果。

2220.C1---在开展咨询业务时，内部审计师必须确保业务范围足以实现与客户协商确定的目标。如果内部审计师在开展咨询业务过程中对该范围有所保留，必须与客户进行讨论，决定是否继续开展此项业务。 2220.C2---开展咨询业务时，内部审计师必须关注与业务目标相关的控制，并警惕重大的控制问题。

（11）2440-结果的发送：修改释义

2440-结果的发送

首席审计执行官必须向适当对象通报结果。 【释义】

首席审计执行官负责在签发前审核和批准最终业务报告，并决定报告的发送对象和发送方式。首席审计执行官将此职责授权的情况下，仍然保持总体责任。

2440.A1---首席审计执行官负责将最终结果报告给能够确保对结果给予应有考虑的对象。

2440.A2---除非法律、法规或其他规章另有规定，首席审计执行官向组织外部通报结果之前必须： ? 评估组织面临的潜在风险；

? 必要时向高级管理层和/或法律顾问咨询； ? 通过限制结果的使用，控制对结果的发送。

2440.C1---首席审计执行官负责向客户通报咨询业务的最终结果。

2440.C2---在开展咨询业务时，可能会发现治理、风险管理和控制方面的问题。只要这些问题对组织是重要的，就必须向高级管理层和董事会报告。

（12）2600-修改标准和释义 2600-沟通对风险的接受

首席审计执行官认为管理层接受的风险超过组织可接受的水平时，必须就此事与高级管理层进行讨论。如果首席审计执行官确信问题未得到解决，必须与董事会进行沟通。 【释义】

4

识别管理层接受的风险可以通过开展确认或咨询业务、监督管理层落实以前整改措施的进度或其他方式。解决风险不是首席审计执行官的责任。

5