国际内部审计师协会(IIA)分别于2004年2月和5月对以前发布的73个《实务公告》(下文简称“公告”)重新进行审视,提出删除、保留或修改的意见。其中:删除公告2421-1:“错误和疏漏”,1个;保留35个;修改37个。在这37个当中有11个是属性标准的公告;其余26个是工作标准的公告。由于有的公告修改的内容相同(如1000-1:“内部审计章程”修改的内容)不一一赘述。
一、与属性准则有关公告
㈠ 1000-1:内部审计章程
对本号公告做了两处修改:
⒈ 将公告中“board”(董事会)一词的“b”改为大写“B”。以示庄重和尊重。
⒉ 将“首席审计执行官必须取得‘董事会、审计委员会或者适当的管理机构’的支持”,改为:“首席审计执行官必须取得高级管理层和董事会的支持”。
上述修改表明:⑴ 强调首席审计执行官必须取得‘高级管理层的支持’,而不是其它管理机构的支持;⑵ 明确区分首席执行官的行政领导责任;与董事会(含审计委员会)的监督责任。这个观点贯彻于所有公告中。
㈡ 1110-1:组织的独立性
将公告中“董事会、审计委员会或其它相关治理机构”一词,一律以“董事会”取代。(其它公告同,不赘)并强调本公告是提倡首席审计执行官参加董事会有关会议,而不是参加审计委员会或其它相关治理机构的会议。
㈢ 1120-1:个人的客观性
1. 本公告的第5段原条文为:“内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的”。改为:在礼物之后加上“娱乐”一项,因为用“娱乐”的名义拉拢内部审计人员,已经证明有害于内部审计师的判断。
2. 第6段:在原文:“内部审计应当采取政策,以解决其对业务执行的承诺,避免利益冲突,披露可能发生利益冲突的活动”。改为:在原文的末尾加上:“因此,内部审计机构应当制定政策,承担这种义务,公开可能发生利益冲突的活动。”
㈣ 1210.A1-1:获取有关服务为内部审计工作提供支持或补充
1. 在本公告第3段第2点下增加一点:“·风险管理和其它事项的咨询”。即为了开展风险管理和其它业务,内部审计可以聘用外部人员。
2. 在第10段下增加一段:“利用外部服务时,首席审计执行官应当指出:外部服务提供者应该遵守审计机构的操作标准。”(请参阅下文㈧ 1312-1:外部评估)
㈤ 1300-1:质量评估与改进程序
本公告是协会在2004年5月2日新发布的,但在2004年1月修订的《内部审计实务标准》已将其收集。
【注】《标准》1300条有7个公告,其中1300-1和1312-2是2004年新发布的,发布前已收集在2004年1月版《标准》中。其它5个公告(包括下文1310-1、1311-1、1312-1和1330-1)在2004年做了修改。详情请参阅《广东审计》2005年第4期李月贤、李学柔编译的:“关于质量保证与改进项目的新的《实务公告》”一文。
㈥ 1310-1:质量程序评估
本公告在2001年1月版《内部审计实务标准》已有收集。2004年2月12日和2004年5月25日又两次做了修改,将其更新或发展。
㈦ 1311-1:内部评估
本公告在2001年版《内部审计实务标准》里就有。2004年2月12日和2004年5月25日两次做了修改,将其更新或发展。
㈧ 1312-1:外部评估
本公告在2001年版《内部审计实务标准》里就有,2004年2月12日和2004年5月25日两次做了修改,将其更新或发展。修改处包括:
1. 第8段:胜任。第4点:原文是“外部评估小组负责人和独立的证明人员应当具有高水平的胜任能力和更多的经验,…圆满完成IIA的质量评估培训课程或类似培训。”本次修改时加上:“外部审计师亦应接受协会规定的教育”而无例外。
2. 第10段原来是:“首席审计执行官应当介入高级管理层和董事会负责对外部检查人员的挑选过程,并由他们批准。”本次修改时将董事会放在高级管理层的前面,以示在外部检查工作中董事会居于重要位置。
3. 第11段:外部评估的范围——外部评估的覆盖范围包括内部审计活动的以下要素。其中:
⑴ 第一段的原文是:外部评估范围应包括“遵守《内部审计实务标准》、《职业道德规范》,内部审计活动章程、目标、政策、程序、实务,以及相关法律、法规要求等情况”。这暗示评估既要评价《内部审计实务标准》和《职业道德规范》的遵守情况;又要评价内部审计活动章程的遵守情况,即存在两个标准。本次修改时加上:“这种情况在评估报告中要加以说明和评论”。
⑵ 本段在原文的最后一点指出:“决定内部审计活动是否增加了组织的价值,改进了组织的营运状况。” 本次修改时指出:内部审计应该以书面形式建立具体的量化指标,来衡量内部审计活动的效果;不要去做那些不能增加组织价值,不能改善营运状况的活动。
⑶ 增加一点。“·通报评价结果时应该阐明检查的属性:是全部检查还是局部检查;是外部评估,还是自我评价与外部独立验证相结合”。
4. 第12段:通报结果。原文是:“最终结果最好直接送交高级管理层和董事会的相关人员。” 修改时将董事会放在高级管理层的前面,显示董事会是最重要的检查结果的接收者。
㈨ 1330-1:“依据《标准》开展工作”的使用
本公告有两处修改:
1. 第2段删去与1312-1重复的部分:“要求在2002年1月1日之后的5年内开展一次外部评估活动。鼓励尽早实施这条开展外部评估的新条款。对于已经开展外部评估的织织,鼓励其在评估之后的5年内进行下一次外部检查”。
2. 第3段原文为:“对于不遵循行为影响到内部审计活动开展或总体范围的情况,包括至2007年1月1日之前还未进行外部评估的情况,应向高级管理层和董事会披露”。改为:“对于不采取改正措施和不遵循行为,应该及时向董事会和高级管理层披露,披露不需要报给被评单位,因为他们是被报告人。”
二、工作标准
(一) 2000-1:内部审计活动管理
本公告第1段第2点原来规定为:“审计工作应实现经高级管理层批准和董事会通过的内部审计活动章程…。”现改为“审计工作应实现经董事会和高级管理层批准的内部审计活动章程……”。这意味着董事会在高级管理层之上,内部审计活动章程应先由董事会批准,高级管理层在董事会批准的框架内批准审计工作。
(二) 2010-2:审计计划对风险和风险暴露的关注
本次修改时内容没有变更,而是通过这种方式提纲挈领地明确公告的内容,以便读者掌握其中要领,修改意见指出:
1. 原文第一点是描述组织面临的风险可能有正面影响和负面影响。加强内部控制可以减少负面影响。
2. 原文第二点描述:① 内部审计机构应在风险评估的基础上制定审计计划;② 内部审计机构可以通过向管理层提供信息来减少负面影响;③ 内部审计机构可以通过评价内部控制制度,来降低风险带来的负面影响。
(三) 2100-1:工作性质
本公告第8段第2点原文是:“内部控制系统是高效率、有效果的;”。修改为:“ 内部审计必须确保内部控制系统不仅是高效率的、有效果的,还必须达到风险暴露所要求的水平”。
(四) 2100-2:信息安全
本公告第1段:原文是“内部审计师应该确定管理人员、董事会是否明确理解信息安全是一种管理责任。” 改为“信息安全由董事会和高级管理层负责。”
(五) 2110-1:评估风险管理过程的适当性
对本公告第3段做了以下修改:
1. 将原文:“各个织组都可以选择一套特定的方法去实施风险管理过程 。内部审计师应该确定所有参与公司治理的团队与个人,包括董事会和审计委员会,都了解此方法”的第二句改为“内部审计师应该确定,实施风险管理过程的方法,是否被公司管理层的关键人物所了解。”
2. 本段第5点原文是: “·董事会和管理层定期接收风险管理过程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况”。修改为:“审计委员会应该定期向董事会报告风险管理过程的结果。南非的实践表明,董事会并非只能依赖审计委员会的报告,在许多设有风险管理委员会的公司,风险管理委员会也可以直接向董事会报告风险管理过程的结果。然后由董事会比较风险管理委员会和审计委员会的报告。至于采用什么方法,可由董事会与审计委员会沟通。”
(六) 2120.A1-1:控制过程的评价和报告
本次修改时增加一点:风险管理过程优先于其它控制过程,内部审计师要像内部控制评价那样,报告风险管理过程的评价结果。
(七) 2120.A4-1:控制标准
本公告第1段原文是:“评价控制之前,管理层应当确定被检查业务可接受的风险水平。内部审计师应确认这一风险水平。”修改时在末尾加上:“以便确认关键的威胁和控制,降低风险的负面影响,达致在风险管理框架内的目标。”
(八) 2210.A1-1:业务计划中的风险评估
1. 此次修改时将“本公告的性质”一段的最后一句话修改为:“内部审计师应运用他们的判断来确定,为获得一项具体业务相关风险的充分保证,需要了解哪些风险事项。
2. 对第1段第一句话的原文:“内部审计师应当考虑管理层对与被检查业务相关的风险的评估情况。内部审计师将考虑以下因素:”修改为:“内部审计师应当考虑管理层对风险的评估,并找出风险的关键点。内部审计师需要考虑的因素包括:…”
3. 第6段第一句话原文为“调查结束时应编写对管理部门风险评估、背景信息进行检查的结果以及调查工作发现的总结。”修改为:“调查结束时应撰写总结。总结包括:管理层对风险的评估、背景信息和调查工作的发现。”
(九)2340-1:业务的监督
在本公告的第5段第3句后面增加了一点内容。这句话的原文是:“其它提供监督检查证据的技术包括:填写审计工作底稿的检查清单,和/或编制具体说明检查性质、范围和结果的备忘录。”修改时在备忘录后面加上“以及审计软件的电子工作底稿”。
(十)2400-1通报结果时的法律考虑
在“注意:”的末尾加上一句:“本公告仅仅在美国适用。”
(十一)2410-1:通报标准
对本公告的第8段最后一句做了修改。这句话的原文是:“出具的意见可以是对控制情况或被审业务事项的全面评价,也可仅限于对部分控制情况或审计事项的评价。”修改为:“出具的意见可以是对控制做全面的评价,也可以只对协议规定的那部分控制做出评价,或对整个审计事项做出评价。”
(十二)2440-2:对外通报
本公告和2440-1号公告全部删除“传递”一词,代之以“报告”这个概念。 协会表明审计结果不是用来在组织外部散布的,如果需要向组织外部通报,那是报告。报告意味着结论或观点通过正式的方式与外界沟通,而不是大概的或非正式的。
