中国内部审计质量评估手册(试行)
目 录
一、制定本手册的目的..................................................2
二、内部审计质量评估的涵义和作用………………………………………………2
三、内部审计质量评估的形式及特点………………………………………………2
四、内部审计质量评估的原则和内容………………………………………………2
一、组建评估组………………………………………………………………………2
二、制定评估方案……………………………………………………………………2
三、召开进点会………………………………………………………………………2
四、现场评估…………………………………………………………………………2
五、汇总评估结果……………………………………………………………………2
六、召开出点会………………………………………………………………………2
七、出具质量评估报告………………………………………………………………2
一、内部审计质量评估标准体系……………………………………………………2
二、依据评估标准作出评估结论……………………………………………………2
一、质量评估需准备的资料清单……………………………………………………2
二、调查问卷…………………………………………………………………………2
三、访谈提纲…………………………………………………………………………2
四、评估工作底稿……………………………………………………………………2
五、内部审计质量评估报告…………………………………………………………2
本手册旨在指导和规范内部审计质量评估(以下简称“质量评估”)的具体组织和实施工作,是具有较普遍适用性的技术指南。制定本手册的依据是中国内部审计协会制定的《中国内部审计准则》、《内部审计人员职业道德规范》(以下简称《准则》)以及《内部审计质量评估办法(试行)》(以下简称《办法》)等规定。本手册的主要内容包括阐述质量评估的涵义和作用、质量评估的形式及特点、质量评估应遵循的原则和内容,开展质量评估的流程和采用的标准。此外,本手册还列举了多种评估工具并举例说明其使用方法。这些评估工具不但能够帮助评估人员准确了解质量评估的内容和流程,而且能够依据本手册的指引开展具体工作,发现接受评估单位内部审计活动在哪些方面做得好,哪些领域有差距,并有针对性地提出改进意见和建议,推动接受评估单位及其内部审计机构有效贯彻《准则》,不断提高内部审计工作的质量。
质量评估是由具备专业胜任能力的人员,以《准则》为标准,对组织的内部审计活动进行检查,评价内部审计的管理和实施情况是否遵循《准则》,同时针对存在的不足提出改进建议,帮助内部审计机构更好地履行职责,提高内部审计工作的质量,增加内部审计工作的有效性。
质量评估以评估内部审计价值贡献为导向、以内部审计实现目标的程度为衡量标准,主要作用是提高内部审计机构和人员履行职责的规范化水平,促进内部审计工作有效开展,推动内部审计的专业化管理,具体包括:
1、促进内部审计机构和人员遵循《准则》,规范内部审计工作。质量评估是以全面评估内部审计活动是否遵循《准则》为主要内容,评价遵循程度,找差距,求改进。通过开展质量评估,将体现在《准则》中的内部审计职业理念、执业原则、实务标准、技术方法和人员胜任能力等各项要求,全面宣传至组织各层级的有关人员,从而引导和推动《准则》的广泛应用;不断提高内部审计的质量,从而提高内部审计行业的职业化水平。
2、提高内部审计人员的专业胜任能力。内部审计要为组织增加价值,需要合格、胜任的内部审计人员采用合理、适用的程序和方法开展工作,才能在组织治理、内部控制和风险管理等领域发挥作用,为组织加强内部控制、降低风险、改善运营、实现有效治理作出贡献。质量评估关注内部审计为组织增加价值的能力,通过这一活动能够全面、客观地了解内部审计人员的执业情况,从而推动其不断增强专业胜任能力。
3、提高组织内部各层级对内部审计工作的认可度和满意度,改善内部审计环境。内部审计质量评估人员(以下简称“评估人员”)本着客观公正的原则,通过采用问卷调查、访谈和现场测试等方法获取充分的证据,尤其是治理层、管理层或其他利益相关方的意见和建议,帮助内部审计在组织架构、工作程序、工作方法、工作内容等方面改进和完善。实践证明,高水平的质量评估,能够提高组织各层级对内部审计工作的关注度,增强内部审计在组织中的认可度和权威性,同时,内部审计机构自身也为达到各层级的要求和期望而不断努力。因此,质量评估工作为各层级提供了一个有效的沟通途径,增进对彼此工作的深入理解,获取支持和帮助,从而为内部审计活动的顺利开展创造更为理想的执业环境,为内部审计机构帮助组织实现目标提供有利保障。
4、促进内部审计更好地顺应经济全球化的趋势,适应资本市场发展的需要。应用质量评估的方法和技术手段,有助于推广国际、国内的行业最佳实务,分享先进的内部审计管理经验,加强内部审计质量管理,推动内部审计工作持续改进,达到国际先进水平。
质量评估包括内部评估和外部评估两种形式。
(一)内部评估
内部评估是由组织内部的有关人员对内部审计管理和实施情况进行检查和评价的活动。内部审计、人力资源、内控合规、风险管理等部门中了解和熟悉内部审计工作的人员都可以参与内部评估。内部评估的优点是评估人员来自组织内部,对组织文化及各项具体业务活动的了解较为深入。实践中,由于各个组织的内部审计活动在规模、权限、工作范围、人员技能等方面存在差异,因此,内部评估程序可以根据不同的情况灵活运用。通常,内部评估主要通过以下方式进行:
1、对审计业务实施日常监督(如审计项目质量管理);
2、通过审计管理系统对审计项目实施情况的实时跟踪;
3、审计工作结束后,由被审计单位和其他利益相关方做出评价或反馈;
4、由未参与审计项目的其他内部审计人员有选择地进行审计工作底稿互查;
5、对利益相关方进行深入访谈和调查;
6、对审计绩效衡量指标(例如审计项目预算的控制情况、审计计划完成情况、审计建议采纳情况)考核评估等。
(二)外部评估
外部评估是由组织外部独立第三方对内部审计管理和实施情况进行检查和评价的活动。外部评估需要在经验丰富的专业人员领导下、由胜任的评估人员组成团队独立负责实施。评估人员的具体要求见本手册第二部分“组建评估组”的相关内容。外部评估的优点是评估的专业性和独立性能够得到有效保证,有利于对组织的内部审计活动作出更为客观的评价。外部评估在为内部审计机构负责人和内部审计机构提供有价值信息的同时,也为组织治理层、管理层和外部审计等其他利益相关方提供独立质量保证。
确定外部评估的范围时应注意,时间范围应不少于一年,业务范围应涵盖与内部审计相关的所有活动,即包括全部确认和咨询业务。外部评估应定期进行,通常至少每五年进行一次。依据《准则》,如果内部审计机构的组织结构较为合理,规章制度较完善,人员素质较高,审计质量控制较为完备,或者组织内部适当管理层在近期对内部审计质量的相关内容进行过考核与评价,则外部评估的时间间隔可以适当延长。
外部评估可采用“内部评估基础上的完全外部评估”和“对内部评估的独立审定”两种形式。这两种形式都要求接受评估单位在外部评估之前参照外部评估程序在内部审计机构负责人的领导下开展并全面记录内部评估工作,这既能够充分发挥接受评估单位内部评估和自我管理的主动性和灵活性,同时又能获得评估专家对内部审计的技术监督与指导,使内部评估过程和结果的专业性、客观性和权威性得到外部确认,所不同的是:“内部评估基础上的完全外部评估”是由外部评估人员对内部审计管理和实施情况进行全面的外部评估,而“对内部评估的独立审定”则是由外部评估人员对内部评估过程及结果做出审定,形成审定结论,这种方式要求外部评估人员实施现场测试后,单独出具独立审定报告,明确对内部评估报告的意见,并在适当的范围内,增加评估中发现的问题及建议。
采用“对内部评估的独立审定”所需的评估人员数量较少,评估时间较短,因而这种评估形式的成本较低,但由于其重点关注对《准则》的遵循情况,而对其他领域,如与最佳实务的对比、提供咨询意见、与高级管理层和运营管理层的访谈等较为简化,因此能够获得的信息也比较有限。
本手册所述各项内容均以外部评估为例,内部评估可以参照执行。
(一)原则
1、独立性原则。评估工作应由评估组独立进行,评估组成员应独立于接受评估单位,以避免利益冲突。
2、客观性原则。评估工作的开展应当以事实为基础,以《准则》、《办法》和相关法律法规为依据,客观公正,实事求是。
3、全面性原则。评估范围应当涵盖有关内部审计的全面工作,对内部审计机构的所有确认和咨询业务进行检查和评价。
4、一致性原则。开展评估时,应根据本手册制定相关的评估方案,对评估标准的理解和适用应统一,消除分歧,以保证评估过程和结果的准确性和可比性。
5、重要性原则。评估工作应根据评估内容确定评估重点,关注重点业务,并根据重要性原则对评估过程和结果进行判断。
6、实质重于形式原则。评估工作可以根据行业的特殊性和适用性,选择适用的评估方法和技术,目的是使评估结果更接近实际情况。
7、保密性原则。评估人员对评估过程中获取或知悉的商业秘密应当保密,不得对外泄漏取得的资料、数据及文件;对评估的结果,不得向无关人员透露。
内部审计质量评估的内容涵盖内部审计管理和实施的全过程,主要包括以下方面:
1、《准则》和内部审计章程等的遵循情况;
2、内部审计组织架构及运行机制的合理性、健全性;
3、内部审计管理的规范性;
4、审计工具和技术的适用性;
5、内部审计人员的知识结构、工作经验和不同专业的组合搭配;
6、各利益相关方对内部审计机构的满意程度;
7、内部审计工作是否为组织增加了价值、改进了组织运营。
本手册将评估内容分为内部审计环境和内部审计业务两大类,其中,内部审计环境评估的内容包括内部审计的独立性与客观性、内部审计机构与治理层或最高管理层的关系、内部审计机构管理、内部审计质量控制、内部审计督导、人际关系管理、结果沟通、后续教育、内部审计与外部审计协调、评价外部审计(外部专家)工作质量和内部审计人员职业道德规范等11项评估要素、19个评估要点。内部审计业务评估的内容包含审计计划、审计通知书、重要性和审计风险、审计工具和技术、审计证据、审计工作底稿、审计报告和后续审计等8项评估要素、15个评估要点。各评估要素和评估要点的细化内容参见内部审计质量评估工具——《评估工作底稿》(附录四)。
第二部分 内部审计质量评估流程
内部审计质量评估流程通常分为前期准备、现场实施和出具报告三个阶段。其中,前期准备阶段包含组建评估组、编制评估方案;现场实施阶段包含召开进点会、现场评估、汇总评估结果、召开出点会;出具报告阶段包括在现场评估结束后的一定时间内出具质量评估报告。实践中,评估流程会因具体情况不同略有差别。
不论采用何种方式开展质量评估,评估实施主体确定后的首要任务是组建评估组,这是开展质量评估的初始环节和基础环节,关系到质量评估结果的客观性与专业性,因此,评估组成员不能与接受评估单位存在任何实质上或形式上的利益冲突。组建评估组包括选定评估组组长、确定组内其他成员两项工作。
评估组组长是质量评估工作的核心成员,负责评估工作的组织、协调、监督和指导。无论是内部评估还是外部评估,对于评估组组长的选择不仅要考虑其业务胜任能力和经验,还要考察其在项目组织方面的整体掌控能力、协调能力和沟通能力。因此,评估组组长除了具备一般评估人员应有的素质之外,还应具有大型企事业单位内部审计负责人、社会审计组织负责人或类似的工作经历。
(二)选择评估组成员
评估人员应当具备较高的职业素质,通常需具备以下条件:
1、具有良好的审计职业道德,从业经历无不良记录;
2、具有国际注册内部审计师等执业资格或高级审计师、高级会计师等专业技术职称;
3、从事内部审计或外部审计工作六年以上,或担任过内部审计机构负责人,或从事审计相关咨询工作六年以上;
4、深入理解中国内部审计准则,熟悉和了解审计流程与方法;
5、参加过中国内部审计协会的内部审计质量评估培训。
除此之外,评估组应保证其成员中至少有一人熟悉接受评估单位所在行业或领域的相关知识或具有相关从业经验,也可利用其他领域的专家,例如企业风险管理、IT审计、统计抽样或控制自我评估方面的专家,参与评估工作的特定环节,以协助评估组开展工作。
评估方案是整个质量评估过程中依据的重要文件。评估组应在了解和熟悉接受评估单位基本情况的基础上,按照评估标准和评估流程制定评估方案。一般情况下,评估方案可以在前期准备阶段编制完成,在现场实施过程中,可以根据实际情况进行调整。制定评估方案的实施要点如下:
(一)准备工作
评估组应围绕质量评估目标,充分做好制定评估方案前的准备工作。首先,应将质量评估需准备的资料清单(见附录一)提交给接受评估单位,以便其及时收集整理相关资料,同时,初步与接受评估单位沟通评估工作的基本事项,如评估的时间安排、评估的一般性流程、拟参与本次评估的评估组成员是否与接受评估单位存在利益冲突等。这一阶段还可以有针对性地发放调查问卷(见附录二),帮助评估组获得有关内部审计活动的相关信息。
(二)制定评估方案
在详细了解接受评估单位的经营管理环境、组织架构、业务运行机制、风险管理与内部控制状况以及内部评估情况,尤其是治理层、高级管理层的工作期望和特定工作要求的基础上,评估组将结合评估目标制定评估方案,对具体评估范围、时间及资源需求等内容作出详细安排,重点考虑现场评估阶段调查问卷的发放范围和访谈时间安排。评估方案的内容主要包括评估目的、接受评估单位的基本状况、评估依据、评估标准、评估程序、评估范围及方法、评估组成员构成及分工、评估时间安排以及评估重点等。
评估方案编制完成后,应当以内部培训或讨论的形式使评估组成员进一步了解接受评估单位的基本情况,明确本次评估的目标、基本内容、评估方法及步骤,并按照评估方案的进度要求和任务分工,明确评估组成员的职责。
进点会是与接受评估单位的管理层、内部审计机构负责人和其他利益相关方建立正式联系的第一次正式会议。成功的进点会是双方良好合作的开端。评估组应根据评估方案的安排,与接受评估单位确定召开进点会的具体时间和内容。召开进点会的实施要点如下:
评估双方应相互介绍参加会议人员,熟悉评估领域的情况,询问限制条件,对评估组不宜实地了解的区域或特殊情况,应协商做好安排。
向接受评估单位介绍此次评估工作实施的整体情况,如评估目标、评估依据、评估标准、评估程序,说明评估方法、评估范围,提示特别注意事项等。
(三)接受评估单位介绍内部评估情况
接受评估单位就以前开展过的内部评估情况,包括评估人员构成、评估所花费的时间、评估范围、评估中发现的问题及整改情况逐一介绍。
除了说明对评估过程中知悉的接受评估单位商业秘密予以保密之外,更要强调评估组将对问卷调查和访谈所获得的具体内容予以保密,但可将其汇总结果运用到评估报告中。
(五)落实后勤保障
就现场评估中评估组有关办公、后勤保障等事项与接受评估单位协商落实,并要求其指定一名协调人或成立工作组具体配合,以便评估工作顺利实施。
现场评估的重点在于发现和验证。对于内部审计环境类的评估,通常采用问卷调查、访谈等评估技术获得信息和线索,并通过核对审计管理文件、审计工作报告、会议记录等相关资料予以印证;对于内部审计业务类的评估则通过抽取具有代表性的审计业务工作档案等资料,检查其程序执行是否到位、归档是否完整等。现场评估的实施要点如下:
(一)编制评估工作底稿
现场评估过程中需要编制评估工作底稿,对内部审计活动在遵循《准则》中做得好的方面和存在的差距加以记录,同时还要反映出有关改进内部审计工作有效性的意见或建议。需注意,不要求对接受评估单位已符合评估标准要求的每项做法予以记录。评估工作底稿应当内容完整、记录清晰、结论明确、客观形成评估结论。本手册附录四中,针对每个评估要点设计了一张评估工作底稿,评估人员可以据此完成相关工作,有关内部审计质量评估工作底稿的编制见本手册第三部分“内部审计质量评估标准”关于“如何量化打分”中的示例。
(二)运用问卷调查和访谈技术
问卷调查是一种客观收集接受评估单位各利益相关方对内部审计质量的观点、意见和建议的评估方法。问卷调查的使用方式较为灵活,可以在现场评估时使用,也可以作为评估前的调查工具。有关问卷调查的使用方法参见本手册第四部分“内部审计质量评估工具”中的介绍。
访谈是现场评估阶段的一项重要工作,主要是根据评估需要有选择地进行面对面的交流,深入了解接受评估单位的各方面人员对于内部审计工作的认识和理解,深化和拓展前期调查的有关结果,同时获取更详细的信息。通过访谈,可以促进评估人员与访谈对象相互熟悉和理解,使访谈对象对质量评估的目的有更充分的认识,从而认真对待,帮助形成客观的评估结果。选定访谈对象后,应当提前联系并落实访谈时间、以便相关人员做好准备。为了能在短暂的访谈时间内获得更多有价值的信息,评估人员应在访谈前针对不同的访谈对象拟定不同的访谈提纲、选择适宜的访谈场所,以保证访谈的顺利进行,并取得预期的效果。本手册提供了用于“治理层、高级管理层、运营管理层、内部审计机构负责人、员工代表、外部审计人员和内部审计人员”等七类人员的访谈提纲,具体使用方法在第四部分“内部审计质量评估工具”中详细介绍。
需要注意的是:问卷调查和访谈收集的信息和线索均需要加以证实。其重点是了解情况,收集评估线索,评估人员应认真分析和整理访谈和问卷调查反馈的内容,计划并实施严谨的验证程序,确保相关信息的可信度。
1、评估组进驻接受评估单位后,可根据评估关注点确定调阅内部审计章程(或同样性质的内部审计管理制度等资料)、审计工作手册等制度文件,查阅审计计划、审计工作底稿、审计报告等相关资料,同时可以根据评估发现情况延伸调阅审计工作底稿对应的原始凭证、会计账证、报表、会议记录和其他相关资料。
2、评估组应就接受评估单位所开展的每个审计业务类型,至少选取一个较近期的审计项目档案用于测试。对于已开展审计项目质量管理的组织,现场评估时可以参考日常审计监督和跟踪的结果。
3、评估组可以要求接受评估单位指定专人负责评估组调阅、退还资料事宜,具体办理资料的调、退手续。评估组调阅资料完毕后,应及时归还接受评估单位。通常,评估组不需复印所调阅的资料。
汇总评估结果是评估组组长召集评估组成员对现场评估阶段的情况逐一进行分析、确认和汇总,主要目的是确定针对各评估要点的评估意见和建议是否准确、所打分值是否合理,同时汇总得出评估结论,为出点会做充分准备。汇总评估结果时应注意:
确认评估程序和评估方法恰当性的目的是为了验证产生评估结论过程的正确性。重点是核实是否按照规定的评估程序和步骤实施评估,是否采用了合理适用的评估技术方法,以避免因为评估程序和技术方法使用不当而导致做出错误评估结论的风险。
确认评估证据的准确性,重点是核实支持评估意见和建议的评估工作底稿、相关资料以及接受评估单位的反馈意见等是否真实、充分、可靠,据以确认评估意见和建议是否客观、合理。
核对评估目标、评估设定的时间和业务范围,以确认评估问题符合本次评估目标,并具有相关性。
现场评估结束后,评估组应召集接受评估单位管理层、内部审计机构负责人和其他利益相关方人员召开出点会,就评估发现的需关注事项、相关意见和建议等交换意见,确定事实是否清楚,证据是否恰当,评估结论是否客观等。
评估组组长应控制出点会的时间及会议的合作气氛,在沟通信息、达成共识的基础上,明确内部审计工作的改进方向。召集出点会的实施要点:
介绍评估工作的整体开展情况,重申评估目的、评估依据、评估范围和评估方法,对接受评估单位的支持与合作致谢。
(二)提出评估意见和建议
向接受评估单位提出评估意见和建议及主要的评估发现,肯定接受评估单位内部审计管理的成效及特点,提出发现的需关注事项,与接受评估单位交换意见。
与接受评估单位就出具质量评估报告、后续跟踪事项进行沟通,以保持整个评估过程的完整,确保质量评估对组织内部审计工作切实产生促进作用。
质量评估报告是在综合评估的基础上,对接受评估单位遵循《准则》的情况、审计管理的健全性和规范性、审计业务的效果和效率等方面发表评估意见,并提出改进建议。质量评估报告应采用规范的格式,本手册第四部分“内部审计质量评估工具”中给出了内部审计质量外部评估报告的模板供参考。质量评估报告草稿通常应在现场实施结束后的10个工作日内提交给接受评估单位征求意见,待其书面反馈后的10个工作日内应出具正式报告。
内部审计质量评估标准是质量评估的核心内容,本手册以《准则》为基础设计了涵盖内部审计管理和实施全过程的标准体系。该标准体系将评估内容分为两大类别,一是内部审计环境类,主要对照《准则》中内部审计管理方面的要求,对组织的内部审计环境和管理情况进行评估;二是内部审计业务类,主要对照《准则》中内部审计实施方面的要求,对组织的内部审计方法和流程进行评估。两大类别分别细化,形成包含19个评估要素、34个评估要点的内部审计质量评估标准体系(见表一)。它将《准则》与内部审计工作联系起来,逐项梳理内部审计活动各关键环节的质量要求,为处于不同组织中的内部审计机构评价自身工作提供了一个统一的衡量尺度。
评估类别 |
评估要素 |
评估要点及标准分值 |
内部审计环境 |
1、内部审计的独立性与客观性 |
独立性(3分) |
客观性(3分) |
||
2、内部审计机构与治理层或最高管理层的关系 |
工作关系(3分) |
|
3、内部审计机构的管理 |
内部审计章程(3分) |
|
部门管理(3分) |
||
年度审计计划(3分) |
||
项目管理(3分) |
||
4、内部审计质量控制 |
机构质量控制(3分) |
|
项目质量控制(3分) |
||
外部评估(3分) |
|
|
内部评估(1分) |
5、内部审计督导 |
内部审计督导方法与内容(3分) |
|
内部审计督导执行效果(3分) |
||
6、人际关系 |
人际关系管理(3分) |
|
7、结果沟通 |
审计结果沟通(3分) |
|
8、后续教育 |
后续教育的管理(3分) |
|
9、内部审计与外部审计的协调 |
内外部审计协调机制及效果(3分) |
|
10、评价外部审计(外部专家)工作质量 |
内审外包的质量控制(3分) |
|
11、内部审计人员职业道德规范 |
内部审计人员的履职表现(3分) |
|
内部审计业务 |
1、审计计划 |
年度审计计划执行情况(3分) |
项目审计计划与审计工作方案(3分) |
||
2、审计通知书 |
审计通知书的规范性(3分) |
|
3、重要性与审计风险 |
重要性(3分) |
|
审计风险(3分) |
||
4、主要审计工具与技术
|
审计抽样的应用(3分) |
|
分析性复核的应用(3分) |
||
计算机辅助审计技术的应用(3分) |
||
5、审计证据 |
审计证据的基本要求(3分) |
|
审计证据的管理(3分) |
||
|
6、审计工作底稿 |
审计工作底稿的基本要求(3分) |
审计工作底稿的复核与管理(3分) |
||
7、审计报告 |
审计报告的编制要求(3分) |
|
审计报告的主要内容与管理(3分) |
||
8、后续审计 |
后续审计的管理(3分) |
评估标准体系的各要点总分为100分,每个评估要点的标准分值均设定为3分,只有“内部评估”的标准分值设定为1分;需要说明的是,如果接受评估单位已参照外部评估的程序全面开展了详细的内部评估,该评估要点可得1分,否则,就不得分。
评估实践中,每位评估组成员按照分工对评估要点逐项打出分数,然后汇总得出接受评估单位的总分,再根据总分所处区间得出相应的评估结论:
总分在80-100分的属于“总体遵循”;
总分在61-79分的属于“部分遵循”;
总分低于60分属于“未遵循”。
(一) 如何理解三种评估结论
(1)“总体遵循”——表明接受评估单位组织架构、审计管理、审计技术方法和审计流程与《准则》要求总体一致,内部审计活动符合本组织实际并得到有效执行,且无明显瑕疵,实现了审计目标,但仍有改进空间。总体遵循并不要求完全遵循《准则》,或达到理想状态、“最佳实务”等,存在改进空间并不代表内部审计机构没有有效执行《准则》或没有达到既定目标。
(2)“部分遵循”——表明接受评估单位审计组织架构、审计管理、审计技术方法或审计流程等方面存在违反或偏离《准则》要求的情形或者被认为不能有效执行。内部审计活动有明显瑕疵,但尚未妨碍审计目标的实现。“有明显瑕疵”通常意味着在有效执行《准则》方面还有很大的改进空间,甚至有些不足或缺陷可能已经超过了内部审计机构所能控制的范围,需要向治理层(审计委员会)和高级管理层提出建议。
(3)“未遵循”——表明接受评估单位审计组织架构、审计管理、审计技术方法或审计流程等方面与《准则》的要求差距较大,内部审计活动有明显缺陷,影响内部审计机构充分开展其职责范围内所有或重要领域的工作,严重妨碍审计目标的实现。这些缺陷是内部审计改进和提高的机会,也包括治理层(审计委员会)和高级管理层需要采取的措施。
需要注意的是:质量评估通过对《准则》遵循情况的评估,要重点考虑存在的改进空间,帮助内部审计机构发现潜能,提高审计工作的有效性,为组织增加价值。
(二)如何量化打分
对各评估要点的量化打分直接影响到对接受评估单位的评估结论,是评估工作的重点和难点,需要综合考虑影响每个评估要点的各方面因素,做出客观的专业判断。具体操作时可参照下列说明(见表二):
得分 (分数保留到小数点后一位) |
评估要点状况 |
2-3 |
该评估要点对应的组织架构、审计管理、审计技术、审计方法或审计流程的设计健全、合理,总体遵循《准则》和相关监管制度要求,符合本组织管理实际,并得到有效执行,相关内部审计活动无明显瑕疵,实现了审计目标,但仍有优化空间。 |
1-2 |
该评估要点对应的组织架构、审计管理、审计技术、审计方法或审计流程的设计部分遵循《准则》和相关监管制度要求,基本符合组织管理实际,但仍存在违反中国内部审计准则和监管制度要求或不符合本组织实际的情况,政策、方法和程序不能有效执行,相关内部审计活动存在明显瑕疵,不能完全满足审计目标需要,有待较大幅度改进。 |
0-1 |
该评估要点对应的组织架构、审计管理、审计技术、审计方法或审计流程的设计未遵循《准则》和相关监管制度要求,不符合组织管理实际,相关内部审计活动有明显瑕疵,这些瑕疵对审计目标实现造成重大影响,不能实现审计目标。 |
表二:各评估要点量化打分表
就如何量化打分并形成内部审计质量评估工作底稿举例说明如下:
对“内部审计环境”类的“内部审计督导”要素中“内部审计督导执行效果”这一评估要点进行评估时,首先依据本手册评估要点的提示,结合接受评估单位质量控制的相关规定,有针对性地进行访谈,核实内部审计机构负责人和审计项目负责人的督导重点,然后结合对“内部审计业务”类的“审计工作底稿”“审计证据”等要素的评估结果,由评估组采用观察、审阅、验证等方法评价督导流程的执行过程和效果,包括审计工作底稿是否实行分级复核、各级督导工作是否采取书面形式记录,即督导者是否将其阅读审计计划与审计方案、复核审计工作底稿,考察审计证据,确认审计报告及与被审计单位交流等各个环节后的疑问和要求,以书面的形式记录下来,要求被督导人员及时修订和完善其工作环节并记录于审计工作底稿等。在此基础上,我们综合评价“内部审计督导”在管理和执行效果方面是否有瑕疵。根据上述“各评估要点量化打分表”的要求,如果上述“内部审计督导”在管理和执行效果上无明显瑕疵,则评分在2-3分之间,如果有明显瑕疵,则评分为1-2分,如果基本未执行,则评分则为0-1分。(见表三)
如果某一项评估要点存在不适用的情况,则现场评估阶段该项按不得分处理,汇总评估结论的过程中可根据总体情况予以考虑,原则上,在不影响评估结论的情况下,可以不对该项要点的分值做重新分配。如果影响评估结论,可以考虑对该项要点的分值做重新分配,但应将这一调整事项在评估工作底稿中专项说明。
内部审计质量评估工作底稿
内部审计督导
接受评估单位: 评估时间范围:
评估人/日期: 复核人/日期: 索引号:D1-5-2
评估要点 |
评估记录 |
评估意见及建议 |
得分 0-3 |
|
内部审计督导执行效果 |
1. 运用调查、访谈等评估工具核实部门负责人和项目负责人督导重点; 2. 结合对“内部审计业务”类“审计工作底稿”“审计证据”等评估要素的评估结果,由评估人员采用观察、审阅、验证等方法评价督导流程的执行过程和效果; 3. 重点关注工作底稿是否实行分级复核,各级督导工作是否采取书面形式记录,即督导者是否将其阅读审计计划与审计方案、复核审计工作底稿,考察审计证据,确认审计报告及与被审计单位交流等各个环节后的疑问和要求,以书面的形式记录下来,要求被督导人员及时修订和完善其工作环节并记录于工作底稿中。 4. 综合评价“内部审计督导”在执行效果是否有瑕疵。 |
1) 访谈中了解到各层级负责人在审计过程中采取召开审计业务会议方式对审计方案的落实情况进行检查,但没有形成书面记录。 2) 详细审阅工作底稿时也没有看到正式的分级复核记录。 3) 适当增加对相关项目负责人的调查、访谈,了解、验证督导过程的实际执行情况,发现个别项目可在负责人的审计日志中找到督导复核记录,但并不完整。 |
1) 从最终的审计结果来看,审计部实施了督导程序,但工作底稿中未留下正式书面记录,“内部审计督导”在执行效果上存在瑕疵。这种做法不利于分清责任,控制风险。 2) 建议通过培训进一步明确督导者的职责,树立审计风险意识,并结合自身有关质量控制的管理制度,有针对性地采取措施加大督导流程的执行力度。 |
2.7 |
表三:内部审计质量评估工作底稿示例
为使评估工作能够顺利、有效地开展,本手册设计了质量评估需准备的资料清单(见附录一)、调查问卷(见附录二)、访谈提纲(见附录三)、评估工作底稿(见附录四)以及内部审计质量评估报告模板(见本部分“内部审计质量评估报告”的相关示例)等多种评估工具。这些工具既是对评估方法的指引,也是记录评估过程的载体。评估人员可以根据评估项目的实际需要选择使用不同的工具,也可以随着质量评估实践的丰富和完善开发出更多的工具,更好地用于评估活动。本部分主要对上述工具进行介绍并举例说明如何使用。
本手册将质量评估需准备的资料清单索引为A类、调查问卷索引为B类、访谈提纲索引为C类、评估工作底稿索引为D类。
按照质量评估需准备的资料清单及时准备好相关资料,是评估工作顺利进行的必要保障。由于质量评估将涉及到内部审计管理和实施的方方面面,因此,准备资料的过程也是接受评估单位自我梳理内部审计工作的过程。
本手册所提供的评估工具—质量评估需准备的资料清单从内部审计所处的组织与环境、内部审计管理和实施等诸多方面列示了质量评估将关注的各项内容,为现场评估工作的有效开展打下了坚实的基础。一次仔细认真的资料准备过程,同时也是接受评估单位自我教育和培训的过程。如果其已开展过内部评估,则更容易理解相关的要求。
调查问卷是用于广泛收集相关信息的评估工具。本手册设计了封闭式和开放式两种类型的问卷,其中,封闭式调查问卷采用客观评分的方式,问题简洁,回答明确,便于进行分析和汇总,在使用时可以根据评估范围广泛地发放给调查对象,覆盖到组织各个层级;开放式调查问卷可以根据评估重点,有针对性地发至重要的管理层级和部门,以便能够获取特定的评估意见和建议,并且可以将问卷调查结果和访谈结论进行比较、互相补充、印证;也可以用来对内部审计人员进行专门调查。使用问卷调查时应注意:
通常有两种调查方式:一是通过电子邮件将调查问卷发给接受评估单位的联络人员,由其转发给相关调查对象,完成问卷后直接反馈给评估组。这种方式的优点是效率较高、覆盖面较大、评估成本较低,缺点是问卷回收率较低。二是现场评估阶段,由评估组直接发放给调查对象填写并当场回收。这种方式的优点是评估组可以与调查对象充分沟通,说明调查意图,问卷回收率较高;缺点是调查的覆盖面较为有限。实践中,评估组应根据项目特点选择恰当的调查方式,也可以将两种方式结合使用。
调查时间应根据调查目的灵活确定,如果是以信息收集为目的,可以考虑在现场评估开始前两周左右发出,为现场评估做好资料准备。如果是为了与现场测试相互印证的目的,可以考虑评估组进驻接受评估单位后,先听取部分调查对象的意见,然后再有针对性地设计和发放调查问卷,确保调查更加有效。
问卷调查对象应选择参与内部审计项目计划、执行、后续管理的中高层管理人员以及与内部审计项目直接相关的参与者(包括内部审计人员)。这些人员对项目有直接的体会,对项目中存在的问题有较为深刻的见解,选择这些人员有利于提高调查结果的可信度和效果。
问卷调查的数据处理,即整理回收的问卷,将每份问卷每个问项的答案加总得到一个分数量表,并据此计算出相应的比例。根据这一数据处理结果,可以挑出得分较高和较低的项目。以下表为例,根据在某单位获得的问卷调查反馈情况统计出的结果,可以看出被调查者对审计部门的审前沟通情况打分较高,对这方面表示满意,而对审计用时和内部审计人员在行业/组织/流程/IT等方面的知识则打分较低,表示对现状不满意。
5、信息有效性判别
有的调查对象在填写问卷时,可能对问项理解有误而作出明显错误的选择,如将单项选择当作多项选择等。对此,应将其对该问项的答案作无效处理,但其他问项的答案仍视为有效。如果调查对象完全是漫不经心地填写问卷,且选择的答案存在明显的前后矛盾或大量无效选择,那么应将该问卷视为无效问卷。
评估组可以将数据处理得到的结论与通过现场评估、访谈等其他评估方法得到的评估结果相比较,判断两者之间是否呈现一致性。如果两者存在较大差异,那么应该通过扩大问卷调查覆盖面等方式进一步增加问卷调查结论的可信程度。
访谈对于评估内部审计工作的有效性非常有帮助,同时还能对提出改进建议提供参考。本手册根据不同访谈对象的职责范围及与内部审计之间的关系,分类设计了一系列访谈提纲,评估人员应结合具体情况运用这一工具,并且可以对有关内容进行有针对性的补充和完善。
1、充分准备
确定访谈提纲前需要进行充分的准备工作,包括:了解接受评估单位的行业性质、组织规模、组织架构、内部审计机构地位及权限、内部审计活动类型等基本情况。针对事先确定的访谈对象及访谈范围收集背景资料,可以帮助对访谈所要了解的内容进行有针对性的设计和安排。评估人员只有对评估重点内容和访谈对象进行一定程度的调查了解,才能恰当、准确地提出问题,收集到有用的证据或线索,同时与访谈对象建立起平等、互信的关系。
2、突出不同侧重点
应明确针对不同的访谈对象预期达到的主要访谈目的,如,访谈治理层和高级管理层的主要目的是了解内部审计履职情况和为组织增加价值的信息;访谈运营管理层的主要目的是了解其作为被审计对象在审计过程中的切身感受;访谈内部审计机构负责人,重点是就已收集到的信息进行讨论,确认相关内容并适当进行延伸;访谈内部审计人员的主要目的是听取其关于审计工作更细致、更多样的意见;访谈外部审计人员的主要目的是获得有关内、外审协调、相互利用工作成果以及改进方法等方面的意见;访谈员工代表的主要目的是从各个方面听取对内部审计的了解、认识和评价。
3、访谈问题的设计原则
访谈问题列示应按照由简到繁,由易到难的基本顺序,当然,访谈对象常常会自由发挥,这时就需要评估人员能够准确捕捉其中有价值的信息,灵活掌握访谈的节奏和主题,合理安排时间、提高访谈效率。
本手册根据设定的评估标准体系,设计了用于评估内部审计活动各个方面的工作底稿,逐项细化了内部审计活动的各关键控制点,按照34个评估要点进一步明确了评估要素中的主要质量要求,如D1-1内部审计独立性与客观性、D1-2内部审计机构与治理层或最高管理层的关系以及D1-9内部审计与外部审计的协调主要用于评价内部审计机构的组织结构和特征,D1-3内部审计机构管理、D1-4内部审计质量控制、D1-5内部审计督导以及D1-10评价外部审计(外部专家)工作质量主要用于评价内部审计管理工作的有效性;D1-6人际关系、D1-7结果沟通、D1-8后续教育和D1-11内部审计人员遵守职业道德规范主要用于评估内部审计人员遵守职业道德规范和专业胜任能力;D2-1审计计划、D2-2审计通知书、D2-3重要性与审计风险、D2-4审计工具和技术、D2-5审计证据、D2-6审计工作底稿、D2-7审计报告和D2-8后续审计主要用于评价和验证内部审计工作的执行效果、审计技术方法的合理性和适用性以及审计流程的标准化程度等。
评估人员在填写评估工作底稿时,应注意下列要求:
1、“评估记录”栏主要记录接受评估单位内部审计活动在哪些方面做得好(包括高于《准则》要求的良好实务事项)、哪些领域有差距,不要求详细记录每项已符合评估标准的事项;
2、“评估意见和建议”栏主要记录对各评估发现做出的专业判断,形成评估意见、提出改进建议等;
3、“得分”栏主要用于对每一评估要点在0-3的区间内进行量化打分,以便最终根据汇总值得出总体评估结论(“内部评估”评估要点则根据具体情形判断得分与否);
4、评估工作底稿的其他内容,如,接受评估单位名称、评估时间范围、评估人员姓名及评估日期、复核人员姓名及复核日期等应填列完整。
内部审计质量评估报告反映了评估工作的最终成果,应采用规范的报告格式。通常,内部审计质量评估报告应包括:
1、标题,应明确体现出所采用的评估形式,包括内部审计质量外部评估报告、内部审计质量外部独立审定报告、内部审计质量内部评估报告三种。
2、目录,是对报告正文的索引提示,便于阅读和关注重要事项。
3、评估概要段,介绍委托方、评估时间和评估目的等。
4、评估依据及范围,介绍本次评估的依据、评估覆盖的期间和业务类型等。
5、评估方法,介绍评估程序和使用的评估工具等。
6、评估结论,应高度总结和概括,语言力求简练、规范,首先表明评估结论,然后列示各评估要点的评估结果,使得评估报告的阅读者对各评估要点的遵循情况一目了然。另外,可以根据实际情况,加上“良好实务”的内容,主要体现接受评估单位在遵循《准则》的基础上较为突出的做法或经验。
7、需关注事项及改进建议,反映接受评估单位存在的不足之处及相应的改进建议,这一部分可分为两方面阐述,一方面是管理层需关注的事项及建议,另一方面是内部审计机构需关注的事项及建议。如果管理层或内部审计机构对该项内容已反馈了意见,也应包括在内。
8、评估组组长签字、评估机构盖章、评估报告日期(通常为评估机构批准评估报告的时间)。
本手册以ABC公司为例介绍内部审计质量外部评估报告:
示例:
ABC公司内部审计质量外部评估报告
***评字【201X】第 号
ABC公司:
受ABC公司委托,本评估组于****年**月**日至****年**月**日对ABC公司的内部审计质量进行了外部评估。目的是通过评估ABC公司内部审计工作遵循《中国内部审计准则》及《内部审计人员职业道德规范》(以下简称《准则》)的情况,从内部审计的管理和实施两方面,客观评价其审计组织架构的健全性、审计管理的规范性、审计技术和方法的适用性以及审计流程的标准化等,发现改进空间,提出改进建议,以提高内部审计工作效率和效果,为组织增加价值。
一、评估依据及范围
本次评估是依据《中国内部审计质量评估办法(试行)》和《中国内部审计质量评估手册》(以下简称《评估手册》)进行的,其范围覆盖了****年**月至****年**月内部审计的各种业务类型,并现场查阅了ABC公司截止****年**月的内部审计制度和程序。ABC公司提供的相关资料为做出本次评估结论提供了合理的基础。
二、评估方法
依据《评估手册》对质量评估程序的要求,在前期准备阶段,评估组对接受评估单位进行了初步调查,收集了相关的背景信息,并在此基础上设计出调查问卷、确定了访谈人员与内容。在现场评估阶段,评估组获取了与公司内部审计环境相关的资料和证据,并根据业务类型选取样本,按照评估要点针对每个样本进行打分,完成评估工作底稿,汇总分析,综合评价,形成评估结论,并征求接受评估单位反馈意见,出具评估报告。
三、评估结论
按照《评估手册》的评估标准,评估组逐一对内部审计环境和内部审计业务两大类别、19个评估要素、34个评估要点进行了量化评分,在此基础上,得出ABC公司遵循程度的评估结论如下,具体遵循情况见“评估结果汇总表”:(注:此处评估结论三选一)
(1)ABC公司总体遵循《准则》,审计组织架构、审计管理、审计技术方法和审计流程与《准则》要求总体一致,内部审计活动符合本组织实际并得到有效执行,且无明显瑕疵,实现了审计目标,但仍有改进空间。
(2)ABC公司部分遵循《准则》,审计组织架构、审计管理、审计技术方法或审计流程等方面存在违反或偏离《准则》要求的情形或者被认为不能有效执行。内部审计活动有明显瑕疵,但尚未妨碍审计目标的实现。
(3)ABC公司未遵循《准则》,审计组织架构、审计管理、审计技术方法或审计流程等方面与《准则》的要求差距较大,内部审计活动有明显缺陷,影响内部审计机构充分开展其职责范围内所有或重要领域的工作,严重妨碍审计目标的实现。
评估结果汇总表
评估类别 |
评估要素 |
评估要点 |
得分(0-3) |
内部审计环境 |
1、内部审计的独立性与客观性 |
独立性 |
|
客观性 |
|
||
2、内部审计机构与治理层或最高管理层的关系 |
工作关系 |
|
|
3、内部审计机构的管理 |
内部审计章程 |
|
|
部门管理 |
|
||
年度审计计划 |
|
||
项目管理 |
|
||
4、内部审计质量控制 |
机构质量控制 |
|
|
项目质量控制 |
|
||
外部评估 |
|
||
内部评估 |
|
||
5、内部审计督导 |
内部审计督导方法与内容 |
|
|
内部审计督导执行效果 |
|
||
6、人际关系 |
人际关系管理 |
|
|
7、结果沟通 |
审计结果沟通 |
|
|
8、后续教育 |
后续教育 |
|
|
9、内部审计与外部审计的协调 |
内外部审计协调机制及效果 |
|
|
10、评价外部审计(外部专家)工作质量 |
内审外包的质量控制 |
|
|
11、内部审计人员职业道德规范 |
内部审计人员的履职表现 |
|
|
内部审计业务 |
1、审计计划 |
年度审计计划执行情况 |
|
内部审计业务 |
1、审计计划 |
项目审计计划与审计工作方案 |
|
2、审计通知书 |
审计通知书的规范性 |
|
|
3、重要性与审计风险 |
重要性 |
|
|
审计风险 |
|
||
4、主要审计工具与技术
|
审计抽样的应用 |
|
|
分析性复核的应用 |
|
||
计算机辅助审计技术的应用 |
|
||
5、审计证据 |
审计证据的基本要求 |
|
|
审计证据的管理 |
|
||
6、审计工作底稿 |
审计工作底稿的基本要求 |
|
|
审计工作底稿的复核与管理 |
|
||
7、审计报告 |
审计报告的编制要求 |
|
|
审计报告的主要内容与管理 |
|
||
8、后续审计 |
后续审计的管理 |
|
|
总分 |
|
|
|
通过评估,我们认为ABC公司内部审计活动在以下方面提供了良好实务范例,具体包括:
管理层方面
内部审计工作方面
四、需关注事项及改进建议
我们注意到ABC公司的内部审计工作仍存在一些有待改进和完善的地方,需要引起ABC公司管理层和内部审计机构关注。
(一)公司管理层需关注的事项
审计独立性与客观性方面:
内部审计章程及制度方面:
内部审计人员与资源配置方面:
……
针对以上情况,评估组建议:
管理层的反馈意见:
(二)内部审计机构需关注的事项
审计技术方法方面:
审计流程标准化方面:
内部审计人员胜任能力方面:
……
针对以上情况,评估组建议:
内部审计机构的反馈意见:
感谢ABC公司审计委员会、高级管理层、运营管理层、内部审计机构的每一位成员以及其他员工代表和外部审计师给予评估工作的配合和支持。
评估组组长:(姓名)*** CIA (签字)
评估组组员:(姓名)*** CIA (签字)
(姓名)*** CIA CISA (签字)
******评估机构(盖章)
****年**月**日
附录一:质量评估需准备的资料清单
以下资料应尽量在现场评估开始前准备完毕。如果简短的回答就能够说明问题,只需在空白处记录,不必提供附件。
A1组织与环境
A1-1组织背景
1 简要描述组织的主要业务活动,并附上最近的年度财务报告。
2 请提供组织机构图及下列信息:
员工的大致人数
运营场所数目
主要经营场所的地点
收入
资产
A1-2治理、风险管理、监督、责任等
1.描述识别、衡量和管理企业风险的过程。列出已被识别的重大风险。
2.描述最近颁布的法律或规章对内部审计的影响。
3.附上组织的控制政策文件(如管理控制政策、授权、责任等),并对预计的或潜在的变化提出意见。
4.附上组织监督和指导内部审计工作的文件。
5.描述组织的战略是如何确定的,目标是如何建立、评价并报告的,以及管理层如何实现其工作目标。
A2内部审计活动
A2-1内部审计机构的背景
1.内部审计机构负责人的姓名与职务、职称
2.内部审计机构主要处室的名称
3.简要描述内部审计机构的历史,包括成立时间、过去十年间内部审计机构负责人变更情况、内部审计机构设置、工作范围、报告途径等方面的发展情况。评价上述发展过程对内部审计效果带来的影响。
4.内部审计机构负责人向其报告的对象的姓名与职务、职称
5.负责监督和指导内部审计机构工作的人员的姓名与职务、职称
姓名:
地址:
电话:
6.有关外部审计的情况
外部审计师的姓名
外部审计负责人(如合伙人或审计经理)
外部审计师事务所的地址与电话号码:
地址:
邮编:
电话:
传真:
A2-2内部审计的实务环境(包括支持、授权及范围)
1.附上整个组织以及内部审计机构自身的设置和职责分配情况。对这种设置能够确保内部审计机构的独立性、与适当管理层沟通以及是否有利于资源的配置进行评价,并就该领域中存在哪些潜在的改进之处发表意见。
2.附上内部审计章程以及类似的权威性文件,并就内部审计章程是如何确保内部审计机构的独立性、顺畅的沟通渠道以及所需资源,以提高内部审计的效果发表意见,请指出内部审计章程中存在哪些需要改进的地方。
3.提供内部审计政策及程序手册,请指出内部审计政策及程序中任何需要修改的部分。
4.内部审计能否接触组织的所有领域?是 否
如果不能,描述一下内部审计机构在获取审计业务所需的必要信息时受到的约束情况,以及与有关人员沟通时受到的约束情况。
5.描述确保内部审计人员保持客观性的程序(如,利益冲突声明、内部审计人员的轮岗等)。描述向内部审计机构负责人报告的利益冲突或偏见,以及处理这些问题的程序。
6.描述内部审计的理念、核心价值及其使命和目标。
7.对定期评价内部审计工作业绩的目标进行描述,并指出组织的治理层和管理层等是如何评价内部审计工作业绩的。
8.填写目前内部审计机构的最佳实务清单,并指出这些实务是如何提高内部审计工作的效果;对预计会为组织增加价值或提高内部审计效果的实务工作发表意见,如果内部审计机构不打算开展这类工作(或者开展这些工作受到限制),那么就要讨论不开展这项工作的原因以及带来的潜在影响。
9.列出组织中其他在内部审计机构之外的监督部门,对它们的权限、工作范围与职能(如环境、安全部门等)进行描述。
A2-3内部审计机构与治理层及高级管理层的关系
1.描述内部审计机构负责人与治理层及高级管理层在参与管理层战略制定与规划的会议、获取重要信息等方面的互动情况。
2.描述治理层及高级管理层是如何了解内部审计工作情况的。包括内部审计机构负责人多长时间与他们召开一次会议,哪些人员参加会议,会议的主题是什么,以及治理层和高级经理层一般多长时间收到一次审计情况报告等。对其它正式或非正式接触进行评价。
A2-4内部审计活动的管理和实施
1.提供如下资料:
1)当前审计计划与实际情况的比较,包括正在开展的审计业务、已完成的审计业务和发布最终报告的详细资料。
2)前一阶段审计计划与实际情况的比较,包括已完成的审计业务与发布最终报告的详细资料。
3)本阶段,内部审计的财务预算与实际情况的比较。
4)前一阶段,内部审计的财务预算与实际情况的比较。
2.请提供近一年来的审计业务清单
业务类型
被审计单位名称
业务的起始日期与报告发布日期
审计人员花费的工时数
项目的具体审计负责人
3.提供一份内部审计机构人员名单,此名单已按照员工的级别和类型进行了分类,并注明了从事内部审计工作的时间和之前具备的经验。准备有关职位描述、技术要求、人员具备的资格、人员来源、空缺职位、对外部服务的利用、最近的人员轮岗及闲置员工等方面的记录,以供评估。
4.对风险评估和审计计划(年度)的编制进行简单的描述。讨论如何界定内部审计的确认和咨询领域,并且考虑这些计划是如何编制的。包括:
内部审计机构的风险评估与审计计划(年度)的编制与组织的战略计划、目标及风险框架的一致性;
信息技术计划、当前的系统以及不断发展的技术问题;
控制环境评价;
管理层对审计计划(年度)、关注点和优先审计领域的意见;
与管理层合作的可能性及其他增值活动;
所需员工数量与技能,应通过授权、与被审计单位的共同努力、内审外包、鼓励自我评估等,以支持内部审计工作的开展;
为了涵盖适当的内部审计领域所编制的长期业务计划。
5.描述内部审计机构的权限、工作范围以及资源利用方面与企业风险管理框架相吻合的程度。描述内部审计机构是如何为实现组织目标作贡献的。就内部审计的优先权、范围、资源利用等方面存在的潜在或预计的变化进行评价。
6.说明在下列确认与咨询业务中,内部审计人员的工作时间与外包业务时间的百分比。(注意:如果内部审计的时间控制系统不便于以上述方式对时间进行分类,那么粗略的估计一下,并列示基于内部审计系统的单独的细目分类。内部审计的时间管理系统,将会在评估组现场调查期间得到进一步检查。)
业务类型 百分比
绩效审计
财务审计
合规性审计
舞弊调查
IT审计
咨询服务
其他由审计人员支配的直接工时(描述)
培训、假期、常规管理及其他“未分派事项”
总计 100%
7.描述内部审计机构与外部审计师之间的关系,包括审计工作的协调、审计领域和年度计划的对照检查、外部审计师对内部审计工作成果的利用、人员的调换、联合培训、合作业务、审计方法与手段的兼容性、报告的共享以及后续措施。
8.描述内部审计人员的职业发展政策与方案,包括准备员工培训课程、工作业绩评价与职业生涯规划、员工调查及相关记录的信息,以供评估。
9.简要描述(给随后的评估准备详细的信息)内部审计的计划、管理、监督、沟通结果以及对确认、咨询业务进行的后续行动。
10.简要描述(准备相关文件并为现场评估期间的深入讨论作准备)内部审计的质量改进程序,包括内部审计质量评估、评价指标、授权政策以及责任机制。请提供内部和外部质量评估报告(如果已开展)。
A2-5信息技术
1.谁为组织提供信息技术服务?子公司、设有内部信息技术中心的分支机构还是第三方提供?请尽可能的详述。
2.提供信息技术审计的战略及其理念。
3.组织正在使用控制框架吗?如果是,请描述是如何应用的。
附录二:内部审计活动调查问卷
B1 内部审计活动调查问卷(封闭式)
请对内部审计活动在以下方面进行评分。对您不能回答的问题,请用线把它划掉。每个问题只能选一个评分。
评估分值(4=优秀, 3=良好, 2=一般, 1=差)
1.对公司治理的影响程度 4 3 2 1
2.协助管理层评估风险/解决内部控制问题 4 3 2 1
3.内部审计独立履行其职责,不受干扰 4 3 2 1
4.在执行审计时能不受限制地接触相关的记录、实物和人员 4 3 2 1
5.内部审计通过高质量的工作达到管理层预期 4 3 2 1
6.客观性/职业道德 4 3 2 1
7.专业性和对行业/组织/流程/IT方面的知识 4 3 2 1
8.沟通能力 4 3 2 1
9.内部审计与您单位的关系及和谐程度 4 3 2 1
10.选择重要领域或专题进行审计 4 3 2 1
11.审计前告知审计目的和范围 4 3 2 1
12.采纳他人建议 4 3 2 1
13.通报/沟通审计发现 4 3 2 1
14.审计结论的准确性 4 3 2 1
15.审计报告的及时性/清晰性 4 3 2 1
16.审计效率 4 3 2 1
17.审计对业务流程和控制的提高是否有帮助 4 3 2 1
18.审计部门对审计意见和建议整改落实的后续跟踪 4 3 2 1
19.内部审计自身管理情况 4 3 2 1
20.为单位培养/输送高质量人才 4 3 2 1
签名(可选):
一、内部审计旨在减少风险,改进运营,通过专业服务帮助各单位改进缺陷,提供建议,为整个组织作出自己的贡献,您觉得内部审计在这方面是否发挥了应有的作用?目前的内部审计工作对您单位的管理和业务是否有帮助?无论是肯定还是否定评价,都请详细评述,可以例举。
二、目前审计领域和项目安排能否满足您单位的需求?如果不能,请详述您对未来的需求和期望。
三、您对目前内部审计人员的执业能力有何评价?可从职业道德、专业能力和综合素质等各方面评价,在实际业务处理中,您觉得内部审计人员及其技能在哪些方面还要提高?
B3:内部审计活动调查问卷(开放式)— 内部审计人员
一、您认为审计部门是否被赋予了足够的权力,以保证有效开展内部审计?内部审计的工作范围、资源安排是否满足了组织高层及各个部门的需要?
二、您负责的业务领域或审计项目的风险是如何发现并控制的?您对内部审计风险评估和计划提供过信息和建议吗?如果有,详述一下,如果没有,可以提供具体想法。
三、您认为自己是否有恰当的知识和专业技能(包括计算机运用能力),哪方面的技能还要提高?对于本行业审计,您认为最关键的技能是什么?可以通过哪些方式充分获得这些技能?
四、您所做的工作是否能够得到被审计单位的认可和信赖?您与被审计单位的关系有没有影响过您的客观判断?为保持独立性和客观性,对于关系紧密或者冲突矛盾的情形,您是如何处理的?
附录三: 内部审计质量评估访谈提纲
被访谈者: 日期:
职位: 时间:
访谈者: 地点:
Ø 在采访之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.组织如何保证把质量意识、道德规范和价值观贯穿于组织经营活动中?
2.内部审计活动应该发挥什么作用?请从总体上评价内部审计活动。
3.您认为内部审计有助于重大风险的识别、改善组织的控制和治理架构吗?
4.您是否要求内部审计机构负责人报告质量评估的结果?
5.您从内部审计机构获得哪些报告?这些报告中的信息是否符合您的需要?您认为这些报告能在哪些方面应出改进?
6.内部审计对上述报告中提出的问题解决情况、建议采纳情况进行跟踪吗?
7.内部审计机构负责人和内部审计人员的能力如何?(专业性、沟通能力、对经营业务及相关的业务流程的了解程度)
8.内部审计能够为组织增加价值吗?如果能,是如何增加价值的?
C2访谈提纲 — 高级管理层成员
被访谈者: 日期:
职位: 时间:
访谈者: 地点:
Ø 在访谈之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.组织中是否有书面的内部控制制度?您认为这些是否足够?
2.您如何知道组织的最新风险状况?最重要的风险和机会是什么?内部审计活动在风险识别和应对中的作用是什么? 内部审计活动的风险评估和计划是否有足够的资源投入?
3.目前内部审计机构的设置能否使其充分发挥职能并保持足够的独立性?
4.内部审计机构与组织内其它监督部门及外部审计如何协调工作?
5.内部审计机构负责人和内部审计人员的胜任能力怎么样?(专业性、沟通能力、对公司经营业务及相关的业务流程的了解程度、IT 方面的知识)
6.您从内部审计机构获得哪些报告?这些报告中的信息是否符合您的需要?您对审计发现的问题及内部审计报告的内容有何看法?审计报告是否披露了需要关注的重要问题?审计的时效性如何?您认为这些报告应在哪些方面做出改进?
7.高级管理层与内部审计意见不一致的时候是如何解决的?
8.内部审计机构对审计报告中提出的问题和建议解决情况进行后续跟踪了吗?
9.内部审计在公司治理中的作用如何?如在公司治理结构,内部控制系统的完善,信息技术安全,公司文化建设及舞弊预防等方面的作用?
10.内部审计在哪些方面还需要进一步提高?
C3 访谈提纲——运营管理层成员
访谈者: 日期:
职位: 时间:
访谈者: 地点:
在访谈之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.请描述您所负责的领域中风险是如何识别、衡量和管理的。在您所负责的领域里最重要的风险和机会是什么?您决定采取哪些方式(接受、减轻、分担、转移)应对这些风险?您所在领域的风险管理如何适当的与组织风险相结合的?
2.您认为内部审计活动应该发挥什么作用?您对内部审计活动的总体评价是什么?
3.内部审计有助于重大风险的识别、有助于改善您所负责领域的控制体系吗?请举例说明。
4.内部审计计划和审计范围是否与运营部门沟通?
5.内部审计是否保持独立性?是否满足管理需要?
6.您认为内部审计机构负责人和内部审计人员的能力怎么样?(专业性、沟通能力、对公司经营业务及相关的业务流程的了解)
7.您能收到与己有关的内部审计报告吗?
8.内部审计报告的结论公允吗?审计发现是否与您沟通过?您认为内部审计提出的建议有价值吗?
9.您会考虑送有潜质的高级员工去内部审计机构工作吗?
10.内部审计与组织里其他监督部门及外部审计协调性如何?有没有重复的审计和监督?
C4 访谈提纲——内部审计机构负责人
被访谈者: 日期:
职位: 时间:
访谈者: 地点:
在访谈之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.对组织来说,目前最重要的风险和机会是什么?
2.内部审计如何协助管理层对重要的风险进行识别和管理?
3.治理层参与内部审计机构每年的计划/预算活动吗?以何种方式参与?
4.您在组织中的地位和作用是通过参与战略规划会议,其它行政管理会议,以及及时沟通的方式体现出来的吗?
5.内部审计章程是否规定了内部审计活动的任务、定期与治理层和高级管理层沟通等事项,并取得他们的正式认可?
6.请说出内部审计如何与其它内部监督部门协调以确保审计覆盖面充分且不重复?内部审计对其它监督部门提出的建议负责跟踪或协助跟踪吗?
7.内部审计与外部审计师或政府有关部门的协调是否足以减少重复的工作?
8.在内部审计的年度风险评估和审计计划过程中,是否征求了各利益相关方,包括治理层、高级管理层和外部审计师的意见?是否考虑了组织的风险框架、战略经营规划?
9.对内部审计活动运用信息技术是否给予足够的重视?内部审计活动是否需要广泛、多成果的运用信息技术?
10.为充分实现审计计划,所需资金、人员技能、技术和其他相关资源是否能得到保障?
11.每个项目是否有具体的审计计划,包括审计范围、时间和相关资源分配等?
12.组织架构是否有助于内部审计活动任务和目标的实现?
13.内部审计是否积极参与到运营人员的职业发展、轮换制或相似的项目,是否将内部审计作为组织的一种管理资源?请给予解释说明。
14.内部审计人员是否拥有审计所需要的相关知识?
15.是否开展用来评估所有重大风险和控制的业务流程审计,以帮助组织增加价值?
16.审计业务的所有重大发现事项都被恰当披露了吗?
17.是否由内部审计机构决定采取及时的后续审计,以确定管理层的纠正行为是否达到预期结果?
18.外部审计对内部审计工作的依赖程度是否令人满意?
19.描述内部审计活动的质量保证和改进程序。是否有外部评估?多长时间一次?
20.内部审计机构计划在客户关系、减少审计周期、改进审计方法和技术,学习最佳实务等面采取哪些质量保证和改进措施?
C5 访谈提纲 — 内部审计人员
被访谈者: 日期:
职位: 时间:
访谈者: 地点:
在访谈之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.是否存在影响内部审计独立性的障碍?您是否遇到过影响您报告事实的不当干预?
2.内部审计章程是否赋予内部审计足够的权限,以保证有效开展内部审计活动?
3.内部审计工作范围是否满足组织需要?内部审计活动是否充分利用了审计资源?
4.您认为内部审计活动的重要性次序是与组织的目标相一致的吗?
5.内部审计是否帮助组织识别重要的风险和改善组织的控制与治理系统?
6.您认为内部审计为组织增加价值吗?如果是,请举例说明是如何增加价值?
7.除了计划的审计外,内部审计是否帮助管理层解决业务问题或改善业务流程?如果没有,请解释为什么没有?
8.内部审计有没有得到管理层对其活动有效性的意见反馈?
9.内部审计有没有对审计报告提到的审计问题整改情况进行跟踪?
10.您认为内部审计机构负责人及内部审计人员有能力吗?专业吗?沟通技巧如何?与人交往的能力如何?
11.您的上级是如何对您的工作进行管理的?对您的管理和指导充足吗?
12.您认为是否需要改善针对建议采取的后续跟踪程序?
13.您有哪些关于内部审计机构改进审计流程的建议?
C6 访谈提纲 — 外部审计人员
被访谈者: 日期:
职位: 时间:
访谈者: 地点:
在访谈之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.内部审计活动发挥了什么作用或者应该发挥什么作用?
2.内部审计为组织提供服务的质量以及您对内部审计的依赖程度如何?
3.内部审计人员是否公正、不偏不倚并避免利益冲突?
4.内部审计与您对重大问题存在不一致的看法吗?如果有,那么这些问题和不一致看法有没有得到解决?怎么解决的?
5.您认为内部审计机构负责人和内部审计人员的能力怎么样?(专业性、沟通能力、对公司经营业务及相关的业务流程的了解)
6.您被告知外部质量评估的结果吗?
7.您为内部审计活动的风险评估过程提供过信息吗?
C7 访谈提纲 — 员工代表
被访谈者: 日期:
职位: 时间:
访谈者: 地点:
在访谈之前需熟悉被访谈者的背景。重要的背景信息记录如下:
Ø 告知被访谈者本访谈内容对访谈小组之外的人员保密。
Ø 简要说明质量评估的目的以及访谈对达成这些目的的重要性。
1.您对内部审计工作或者人员有何印象?您是否欢迎内部审计人员来审计?无论持肯定还是否定的态度,请详述原因。
2.有没有经过内部审计之后,根据审计建议得到改进的情形?您在经过审计之后有没有得到过一些启发,在工作中自觉地改善?请举例说明。
3.您对内部审计的意见和建议提供了适当的反馈信息了吗?您会在多大程度上信赖内部审计的工作?有没有哪些方面您不信赖?为什么?
4.您认为内部审计来现场进行审计所花费的时间是否合理?针对具体的业务环节是否有必要缩短审计时间?您是否认为某些审计流程不必要或者是负担?如果有,请举例说明。