内部审计专业实务标准

国际内部审计专业实务标准 属性标准

1000—宗旨、权力和职责 内部审计活动的宗旨、 权力和职责应在章程中进行正式确定， 这一确定应与 《标准》保持一致，并须经董事会批准。 1000.A1—审计章程中应明确向组织提供的确认服务的性质。如果确认服务 是由组织外部的团体提供，则章程中也应当对此加以明确。 1000.C1—咨询服务的性质应在审计章程中得到确定。

1100—独立性与客观性 内部审计活动应该独立，内部审计师在开展工作时应做到客观。 1110—组织的独立性 首席审计执行官在组织内应向能使内部审计活动履行其职责的层级报告。 1110.A1—在确定内部审计范围、实施审计及通报结果时，内部审计活动应 免受干扰。 1120—个人的客观性 内部审计师应有公正的态度，避免利益冲突。 1130—对独立性或客观性的损害 如果独立性或客观性在形式上或实质上受到损害， 都应将损害的具体情况向 有关方面披露。披露的性质取决于损害的具体情况。 1130.A1—内部审计师应避免评价他们以前负责过的工作。如果内部审计师 为他在上年度负责的工作提供确认服务，则可以假定客观性受到了损害。 1130.A2—对首席审计执行官负责的职能提供确认服务时，应由独立于内部 审计活动以外的有关方面进行监督。 1130.C1—内部审计师可以就曾经负责过的工作提供咨询服务。 1130.C2—在内部审计师本人可能损害所要提供的咨询服务的独立性或客观 性时，内部审计师在接受这项工作之前，应向客户说明此情况。 1200—专业能力与应有的职业审慎 内部审计师在开展业务时，应具备专业能力和应有的职业审慎性。 1210—专业能力 内部审计师应具备履行其各自职责所需要的知识、 技能与其他能力。 开展内 部审计活动的人员整体上应具有或获得履行其职责所需要的知识、技能及其他 能力。 1210.A1—当内部审计人员缺乏完成全部或部分的业务所应具备的知识、技 巧或其他能力时，首席审计执行官应向他人寻求充分的建议或帮助。 1210.A2—内部审计师应具备识别舞弊线索所需的相应知识。但不要求内部 审计师具备那些主要责任是识别和调查舞弊的人员所具备的专门技能。 1210.A3--内部审计师应当具有关键信息技术风险与控制知识以及相应的审 计技术以执行指派给他的工作。但并期望所有内部审计师都具备那些主要负责

信息技术审计的内部审计师所具有的专门技能。 1210.C1—当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、 技巧或其他能力时，首席审计执行官应拒绝开展此项业务或向他人寻求充分的 建议或帮助。 1220—应有的职业审慎 内部审计师应保持

人们期望谨慎出色的内部审计师应该具备的谨慎态度和 技能。但是，应有的职业审慎并不意味着永无过失。 1220.A1—考虑到以下事项时，内部审计师应保持应有的职业审慎： 为实现审计目标而需要开展的审计工作的范围； 所要确认事项的相对复杂性、重要性和重要性； 风险管理、控制与治理过程的适当性和有效性； 严重错误、违规或不守法的可能性； 与潜在利益相对应的审计成本。 1220.A2—在运用应有的职业审慎时，内部审计师应该考虑利用计算机辅助 审计工具和其他数据分析技术。 1220.A3—内部审计师应警惕可能影响目标、 运营或资源的重大风险。 但是， 即使是以应有的职业审慎开展工作，确认程序本身并不能保证发现所有的重大 风险。 1220.C1—在开展咨询业务，考虑到以下事项时，内部审计师应保持应有的 职业审慎： 客户的需求与期望，包括咨询结果的性质、时间选择与报告。 为实现咨询目标所需开展工作的相对复杂性与范围。 与潜在利益相对应的咨询业务的成本。 1230—职业发展 内部审计师应通过继续职业发展来增加知识、提高技能及他方面的能力。 1300—质量评价与改进程序 首席审计执行官应建立并坚持开展质量评价与改进程序， 该程序应当涵盖内 部审计活动的所有方面并能持续监控内部审计活动的效果。该程序包括定期的 内部、外部质量评估和持续内部监控。该程序每一部分应按照有助于内部审计 活动增加价值、改善组织的经营状况、并确保内部审计活动的开展遵循《标准》 与《职业道德规范》的要求来设计。 1310—质量程序评估 内部审计活动应采取一个监控、 评估质量程序整体效用的流程。 该流程应包 括内部与外部评估。 1311—内部评估 内部评估应包括： 对内部审计活动开展情况的持续检查 通过自我评估或由组织内部其他了解内部审计实务与《标准》的人员进 行的定期检查。 1312—外部评估 如质量评价的检查等外部评估应当由组织外部合格的、 独立的检查人员或检 查小组至少每五年开展一次。 1320—质量项目的报告

首席审计执行官应将外部评估结果向董事会报告。 1330—“依据《标准》开展工作”的使用 鼓励内部审计师以“依据《国际内部审计专业实务标准》开展”内部审计活 动的表达方式来报告其活动。但是，只有在质量改进程序的评估结果表明内部 审计活动是遵循了《标准》的情况下，内部审计师才可使用此声明。 1340—对未遵守标准行为的披露 尽管内部审计活动应做到完全与《标准》保持一致，内部审计师也应充分遵 守《职业道德规范》，但也会出现不能完全遵守的情况。当未遵守的行

为影响 到内部审计活动的整体范围或活动时，就应向高级管理层和董事会进行披露。

工作标准

2000—内部审计活动的管理 首席审计执行官应当有效地管理内部审计活动，以保证其为组织增加价值。 2010—计划的制定 首席审计执行官应当制定以风险为基础的计划， 以确定与组织目标相一致的 内部审计活动重点。 2010.A1—内部审计活动的业务计划应建立在风险评估的基础上，并至少每 年制定一次。在制定过程中，应考虑到高级管理层和董事会的意见。 2010.C1—首席审计执行官应根据以下标准考虑是否接受拟议开展的咨询业 务，即该业务在改善风险管理、增加价值、改善组织的运营方面的潜在作用。 已经接受的咨询工作应包括在计划内。 2020—沟通与批准 首席审计执行官应当向高级管理层和董事会报告内部审计活动的计划与资 源需求，包括重大的临时性变化，供高级管理层和董事会审查、批准。首席审 计执行官还应就资源限制的影响与高级管理层和董事会沟通。 2030—资源管理 首席审计执行官应确保内部审计资源的适当、 充分及有效地用于完成已获批 准的计划。 2040—政策与程序 首席审计执行官应制定政策与程序，以指导内部审计活动。 2050—协调 首席审计执行官应与相关确认和咨询服务的其他内、外部提供方共享信息、 相互协调，以保证适当的覆盖面，尽可能地减少重复工作。 2060—向董事会和高级管理层报告 首席审计执行官应定期向董事会与高级管理层报告内部审计活动的目的、 职 权、责任，以及与计划有关的工作开展情况，报告中还应当包括重要风险披露 与控制事项、公司治理事项以及董事会和高级管理层需要或要求的其他事项。

2100—工作性质 内部审计活动应当应用系统的、规范的方法，评价并改善风险管理、控制和 治理程序。 2110—风险管理 内部审计活动应协助组织识别和评价重大风险问题、 并帮助组织改进风险管 理与控制系统。 2110.A1—内部审计部门应监督、评价组织风险管理体系的有效性。 ， 2110.A2—内部审计部门应当对组织的治理、经营及信息系统方面的风险进 行评价： 财务与经营信息的可靠性与完整性； 运营的效果与效率； 资产的保护； 遵循法律、法规及合同的情况。

2110.C1—在开展咨询业务时，内部审计师不仅应当关注与业务目标有关的 风险，还要警惕其他重大风险。 2110.C2—内部审计师应将开展咨询业务时了解到的风险情况，运用于识别 并评价组织的重大风险的过程中。 2120—控制 内部审计活动应通过评价控制的效率与效果、 促进其持续改善等工作， 帮助 组织维持有效的控制系统。 2120.A1—

内部审计活动应该在风险评估结果的基础上，评价组织与治理、 运营及信息系统有关的控制程序的健全性与有效性，具体包括： 财务与运营信息的可靠性与完整性； 运营的效率与效果； 资产的保护情况； 遵守法律、法规与合同的情况。 2120.A2—内部审计师应审定查明已确定的运营与项目目标的内容及其与组 织目标的一致程度。 2120.A3—内部审计师应对运营与项目进行检查，查明其结果与既定目标的 一致程度、以判断这些运营和项目是否按计划得到执行或操作。 2120.A4—评价控制需要遵循适当的标准。内部审计师应检查管理层已制定 的、用于判断目标是否实现的标准的适当性。如果此标准适当，内部审计师应 在评价中加以应用。如果不适当，内部审计师应与管理层合作，制定适当的评 价标准。 2120.C1—在开展咨询工作的时候，内部审计师应该了解与此工作目标相一 致的控制事项，并且应警惕是否存在控制薄弱环节。 2120.C2—内部审计师应将开展咨询业务时了解到的控制情况，运用于识别 并评价组织的重大风险的过程中。 2130—治理 内部审计活动应当评价公司治理过程并提出改进公司治理的恰当建议， 以实 现下列目标：(1)在组织内部推广恰当的道德和价值观，(2)保证有效的绩效管 理和责任性，(3)向组织内部有关部门有效传达风险和控制信息，(4)有效协调 董事会、外部审计师以及管理层与内部审计师之间的工作和信息沟通。 2130.A1—内部审计师应当对组织内与道德相关的目标、项目以及活动的设 计、实施和效果进行评价。 2130.C1—咨询业务的目标应与组织的整体价值和目标相一致。 2200-业务计划 内部审计师在开展每项业务时都应制定并保存计划，包括范围、目标、时间 安排以及资源分配。 2201—计划制定时应考虑的因素 在制定业务计划时，内部审计师应考虑到： 被检查活动的目标及对活动的实施进行控制的方式。 被检查活动目标、资源与运营存在的重大风险以及将风险的潜在影响控 制在可接受水平的方式。 与相关的控制框架或模式相比较，该活动的风险管理与控制系统的适当 性与有效性。

对该活动的风险管理与控制系统进行重大改进的可能性。 2201.A1-在为组织外部有关方面制定业务计划时， 内部审计师应与其达成一 份书面协议，明确业务的目标、范围、 各自的责任以及其他要求，包括业务结 果的发布以及对业务纪录的接触。 2201.C1—内部审计师应与咨询业务的客户达成协议，内容包括业务目标、 范围、 各自的责任及其他客户的要求。对于重要的咨询业务，此类协议应当存 档。 2210-业务目标 应当为每项业务确定目标。

2210.A1—在制定业务计划时，内部审计师应初步评估与被检查活动相关的 风险。业务工作的目标应该反映风险评估的结果。 2210.A2—在制定业务计划时，内部审计师应考虑到存在重大差错、例外、 违规及其他风险的可能性。 2210.C1—咨询业务的目标应根据与客户协定的内容，处理与风险、控制与 治理过程的有关的事项。 2220—业务范围 确定的业务范围应满足实现业务目标的要求。 2220.A1—确定业务范围时应考虑到相关的系统、记录、人力及包括受第三 方控制的实物财产。 2220.A2—在开展确认业务时，如果出现重要的咨询机会，应当特别制定一 份书面协议，规定目标、 范围、各自职责以及其他要求，咨询业务结果的沟通 应该遵照咨询业务标准。 2220.C1—在开展咨询业务时，内部审计师应确保业务范围能够实现与客户 协商确定的目标。如果内部审计师在开展工作时对业务范围有保留，应与客户 就这些保留进行讨论， 决定是否继续开展此项业务。 2230—业务资源的分配 内部审计师应确定为实现业务目标所需的资源。 应依据对每项业务的性质和 复杂性、时间限制以及可获得的资源的评价配置所需人员。 2240—业务工作方案 内部审计师应制定实现业务目标的工作方案。这些工作方案应该得到记录。 2240.Al—工作方案中应确定业务工作中收集、分析、评价和记录信息的程 序。 工作方案应在工作开始之前得到批准， 方案的任何调整都应及时报请批准。 2240.C1—咨询业务的工作方案的形式与内容取决于咨询业务的性质。 2300—业务的实施 为实现审计业务目标,内部审计师应收集、分析、评价并记录充分的信息。 2310—收集信息 内部审计师为实现审计业务目标，应收集充分、可靠、相关和有用的信息。 2320—分析与评价 内部审计师应在适当的分析和评价的基础上得出结论和业务结果。 2330—记录信息 内部审计师应记录相关的信息，以支持结论和业务结果。 2330.A1—首席审计执行官应控制对业务记录的接触。在把这些记录向外界 提供之前，首席审计执行官应征得高级管理层或／和法律顾问的同意。

2330.A2—首席审计执行官应制定业务记录的存档规定。这些存档规定应与 组织的方针和有关规定一致。 2330.C1—首席审计执行官应制定政策，规定业务记录的保管以及对内对外 发布这些记录的要求。这些政策应与组织的方针和有关规定或其他要求相一致。 2340—业务的监督 应对业务进行适当的监督，以确保目标得以实现、质量得到保证、职员得到 发展。 2400—报告审计结果 内部审计师应及时通报审计结果。 2410—通报标准 通报内容包括业务目标、范围及

相应的业务结论、建议和行动计划。 2410.A1—在适当情况下，业务结果的最后通报中应包含内部审计师的总体 意见和(或)结论。 2410.A2—应当鼓励内部审计人员在业务结果通报中对令人满意的业绩予以 承认。 2410.A3—在向机构外部有关方面发布业务结果时，应当说明对结果发送以 及使用的限制。 2410.C1—咨询业务进展情况和结果报告的形式与内容应根据业务性质及客 户要求确定。 2420-通报的质量 通报应当准确、客观、清晰、简洁、完整、及时、富有建设性。 2421—错误与遗漏 如果在最后通报中有重大错误和遗漏， 首席审计执行官应把更正后的信息传 达给所有接到最初通报的用户。 2430—对未遵守《标准》的业务披露 当未遵守《标准》的行为影响具体业务活动时，结果的通报中应披露： 没有得到完全遵守的《标准》条文； 未遵守的原因； 未遵守《标准》对业务活动造成的影响。 2440—结果的通报 首席审计执行官应当向适当的用户通报结果。 2440.A1—首席审计执行官负责将最终结果通报给能够保证对该结果给予应 有考虑的用户。 2440.A2—如果法律、法规或其他规章未做出相关规定，在向组织外发布结 果前，首席审计执行官应当： 评估组织面临的潜在风险； 必要时向高级管理层和/或法律顾问咨询； 通过限制结果的使用，对结果发布进行控制。 2440.C1—首席审计执行官负责向客户通报咨询业务的最终结果。 2440.C2—在开展咨询业务时，可能会发现风险管理、控制及治理方面的问 题。只要这些问题对组织是至关重要的，就应向高级管理层和董事会报告。

2500—监测进展 首席审计执行官应建立并开展一项制度， 对通报给管理层的结果的处理情况 进行监督。 2500.A1—首席审计执行官应建立后续程序，以监督、保证管理措施得到有 效落实，或高级管理层已接受了不采取行动所带来的风险。 2500.C1—内部审计活动应当按照与客户的约定， 监督咨询结果的处理情况。 2600—管理层对风险的接受 当首席审计执行官认为高级管理层接受了组织可能无法接受的剩余风险水 平时，应当与高级管理层就此进行讨论。如果仍无法决定剩余风险问题，首席 审计执行官和高级管理层应将此事报告董事会解决。

词汇表

增加价值——内部审计师在提供确认和咨询服务的过程中，通过以下方式来增 强价值：改进实现组织目标的机会，确认运营的改进，和/或降低风险。 适当的控制——如果管理层的计划、组织(设计)行为能够合理保证组织的风险 得到有效管理，目标和任务得到经济有效地完成，那么就可以认为存在适当的 控制。 确认服务——一种为了对组织的风险

管理、控制或治理过程进行独立评价而客 观地审查证据的行为。例如，对财务、绩效、合规性、系统安全和应尽责任的 审查等。 董事会——董事会是泛指一个组织的治理结构，如公司董事会、监事会、部门 或立法机构的首脑，非盈利组织的董事会、托管人或组织内部任何其他相应的 机构，包括审计委员会。从职责上讲，首席审计执行官应当向这些机构报告。 章程——内部审计活动章程是用以确定内部审计活动的宗旨、权限和职责的正 式书面文件。该章程应该包括：(1)对内部审计活动在该组织中的地位的规定； (2)可以接触与执行业务工作有关的资料、人员和实物资产的授权；(3)内部审 计活动范围的确定。 首席审计执行官——指组织内负责内部审计活动的最高职位。一般情况下是指 内部审计经理。在内部审计活动由外部服务提供者开展的情况下，首席审计执 行官就指负责监督服务合同及活动的整体质量保证、向高级管理层和董事会报 告有关内部审计活动的情况、对业务结果进行后续跟踪的人员。该词还包括一 些头衔，如总审计师、首席内审师和检查长等。 职业道德规范——国际内部审计师协会(IIA)《职业道德规范》是由与内部审计 职业和实务相关的原则以及内部审计师应遵守的行为规则组成的，《职业道德 规范》对提供内部审计服务的个人与实体都适用。《职业道德规范》的宗旨是 在全球内部审计职业中提倡一种道德文化。 合规性——符合并遵守政策、计划、程序、法律、规章或其他要求。 利益冲突——指任何表面上或事实上都不符合组织的最大利益的各种关系。利 益冲突会妨害个人客观地履行其职责的能力。 咨询服务——提供建议以及相关的客户服务活动，这种服务的性质与范围是与 客户协商确定的，目的是在内部审计师不承担管理层职责的前提下，增加价值 并改进组织的治理、风险管理以及控制过程，例如顾问、建议、协调、培训等。 控制——指管理层、董事会及其他团体采取的、旨在管理风险、增大实现既定

目标的可能性的行为。管理层计划、组织并指导适当的行动的实施，以合理地 保证目标的实现。 控制环境——董事会和管理层对控制的重要性所持的态度及所采取的行动。控 制环境为实现内部控制系统的基本目标提供了原则和组织结构。控制环境包括 以下要素： (1)公正和道德价值观； (2)经营管理理念和经营风格； (3)组织结构； (4)权力的分配和责任的划分； (5)人力资源政策和惯例； (6)人员的能力。 控制过程——即控制构架的组成成分，包括政策、程序及控制活动，控制过程 的设计旨在保证把风险控

制在风险管理过程规定的风险容忍度之内。 业务——指一项具体的内部审计职责、任务或检查活动，例如，内部审计、控 制自我评估检查、舞弊调查或咨询。为实现一系列具体的目标，业务可以包括 多项任务或活动。 业务目标——指由内部审计师通过概括性声明确定的、希望实现的业务成果。 业务工作方案——指一份说明开展业务时所应遵循的的文件，目的是完成业务 计划。 外部服务提供者——在组织外部的，且在某一特定学科领域内有专门知识、技 术与经验的个人或公司。 舞弊——所有以欺骗、隐瞒或破坏信任为特征的非法行为。这些行为不依靠暴 力或武力威胁。个人和组织为获取金钱、财产或服务，避免付费或失去服务， 或获取个人或商业优势都有可能舞弊。 治理——董事会实施的各种程序和架构的结合，用以指导、管理、监督组织的 各项活动，使其朝着实现组织目标的方向发展。 损害——对个人的客观性和组织的独立性造成的损害可能包括个人的利益冲 突，审计范围的限制，对资料的接触、人员的财产的制约及资源(资金提供)的 限制。 独立性——指不存在威胁客观性的情况。必须由不同方面对客观性所面临的威 胁进行控制，包括内部审计师、具体业务、职能部门以及组织等层次。 内部审计活动——一个部门、处室，咨询小组或其他从业人员为增加和改进组 织运营而提供的独立的、客观的确认和咨询服务。内部审计活动通过采用系统、

规范的方法，评价并改进风险管理，控制和治理过程的效果，帮助组织实现其 目标。 客观性——是一种公正的、不偏不倚的态度，它要求内部审计师在执行业务的， 对他们的工作成果抱有诚实的信条，不做重大的质量妥协。客观性要求内部审 计师不能把对其他事务的判断凌驾于对审计事务的判断之上。 剩余风险——是指在管理层采取了有关措施，包括采取应对某项风险的控制活 动降低负面事件的影响的可能性之后仍然存在的风险。 风险——指对目标的实现会产生影响的事项发生的可能性。风险的衡量标准是 后果与可能性。 风险管理——指确认、评价、管理和控制潜在事件或尾部的一个过程，其目的 是为实现组织目标提供合理保证。 应当——《标准》中“应当”一词的使用代表强制性义务。

国际内部审计专业实务标准 属性标准

1000—宗旨、权力和职责 内部审计活动的宗旨、 权力和职责应在章程中进行正式确定， 这一确定应与 《标准》保持一致，并须经董事会批准。 1000.A1—审计章程中应明确向组织提供的确认服务的性质。如果确认服务 是由组织外部的团体提供，则章程中也应当对此加以明确。 1000.C1—咨询服务的性质应在审计章程中得到确定。

1100—独立性与客观性 内部审计活动应该独立，内部审计师在开展工作时应做到客观。 1110—组织的独立性 首席审计执行官在组织内应向能使内部审计活动履行其职责的层级报告。 1110.A1—在确定内部审计范围、实施审计及通报结果时，内部审计活动应 免受干扰。 1120—个人的客观性 内部审计师应有公正的态度，避免利益冲突。 1130—对独立性或客观性的损害 如果独立性或客观性在形式上或实质上受到损害， 都应将损害的具体情况向 有关方面披露。披露的性质取决于损害的具体情况。 1130.A1—内部审计师应避免评价他们以前负责过的工作。如果内部审计师 为他在上年度负责的工作提供确认服务，则可以假定客观性受到了损害。 1130.A2—对首席审计执行官负责的职能提供确认服务时，应由独立于内部 审计活动以外的有关方面进行监督。 1130.C1—内部审计师可以就曾经负责过的工作提供咨询服务。 1130.C2—在内部审计师本人可能损害所要提供的咨询服务的独立性或客观 性时，内部审计师在接受这项工作之前，应向客户说明此情况。 1200—专业能力与应有的职业审慎 内部审计师在开展业务时，应具备专业能力和应有的职业审慎性。 1210—专业能力 内部审计师应具备履行其各自职责所需要的知识、 技能与其他能力。 开展内 部审计活动的人员整体上应具有或获得履行其职责所需要的知识、技能及其他 能力。 1210.A1—当内部审计人员缺乏完成全部或部分的业务所应具备的知识、技 巧或其他能力时，首席审计执行官应向他人寻求充分的建议或帮助。 1210.A2—内部审计师应具备识别舞弊线索所需的相应知识。但不要求内部 审计师具备那些主要责任是识别和调查舞弊的人员所具备的专门技能。 1210.A3--内部审计师应当具有关键信息技术风险与控制知识以及相应的审 计技术以执行指派给他的工作。但并期望所有内部审计师都具备那些主要负责

信息技术审计的内部审计师所具有的专门技能。 1210.C1—当内部审计师缺乏完成全部或部分的咨询业务所应具备的知识、 技巧或其他能力时，首席审计执行官应拒绝开展此项业务或向他人寻求充分的 建议或帮助。 1220—应有的职业审慎 内部审计师应保持

人们期望谨慎出色的内部审计师应该具备的谨慎态度和 技能。但是，应有的职业审慎并不意味着永无过失。 1220.A1—考虑到以下事项时，内部审计师应保持应有的职业审慎： 为实现审计目标而需要开展的审计工作的范围； 所要确认事项的相对复杂性、重要性和重要性； 风险管理、控制与治理过程的适当性和有效性； 严重错误、违规或不守法的可能性； 与潜在利益相对应的审计成本。 1220.A2—在运用应有的职业审慎时，内部审计师应该考虑利用计算机辅助 审计工具和其他数据分析技术。 1220.A3—内部审计师应警惕可能影响目标、 运营或资源的重大风险。 但是， 即使是以应有的职业审慎开展工作，确认程序本身并不能保证发现所有的重大 风险。 1220.C1—在开展咨询业务，考虑到以下事项时，内部审计师应保持应有的 职业审慎： 客户的需求与期望，包括咨询结果的性质、时间选择与报告。 为实现咨询目标所需开展工作的相对复杂性与范围。 与潜在利益相对应的咨询业务的成本。 1230—职业发展 内部审计师应通过继续职业发展来增加知识、提高技能及他方面的能力。 1300—质量评价与改进程序 首席审计执行官应建立并坚持开展质量评价与改进程序， 该程序应当涵盖内 部审计活动的所有方面并能持续监控内部审计活动的效果。该程序包括定期的 内部、外部质量评估和持续内部监控。该程序每一部分应按照有助于内部审计 活动增加价值、改善组织的经营状况、并确保内部审计活动的开展遵循《标准》 与《职业道德规范》的要求来设计。 1310—质量程序评估 内部审计活动应采取一个监控、 评估质量程序整体效用的流程。 该流程应包 括内部与外部评估。 1311—内部评估 内部评估应包括： 对内部审计活动开展情况的持续检查 通过自我评估或由组织内部其他了解内部审计实务与《标准》的人员进 行的定期检查。 1312—外部评估 如质量评价的检查等外部评估应当由组织外部合格的、 独立的检查人员或检 查小组至少每五年开展一次。 1320—质量项目的报告

首席审计执行官应将外部评估结果向董事会报告。 1330—“依据《标准》开展工作”的使用 鼓励内部审计师以“依据《国际内部审计专业实务标准》开展”内部审计活 动的表达方式来报告其活动。但是，只有在质量改进程序的评估结果表明内部 审计活动是遵循了《标准》的情况下，内部审计师才可使用此声明。 1340—对未遵守标准行为的披露 尽管内部审计活动应做到完全与《标准》保持一致，内部审计师也应充分遵 守《职业道德规范》，但也会出现不能完全遵守的情况。当未遵守的行

为影响 到内部审计活动的整体范围或活动时，就应向高级管理层和董事会进行披露。

工作标准

2000—内部审计活动的管理 首席审计执行官应当有效地管理内部审计活动，以保证其为组织增加价值。 2010—计划的制定 首席审计执行官应当制定以风险为基础的计划， 以确定与组织目标相一致的 内部审计活动重点。 2010.A1—内部审计活动的业务计划应建立在风险评估的基础上，并至少每 年制定一次。在制定过程中，应考虑到高级管理层和董事会的意见。 2010.C1—首席审计执行官应根据以下标准考虑是否接受拟议开展的咨询业 务，即该业务在改善风险管理、增加价值、改善组织的运营方面的潜在作用。 已经接受的咨询工作应包括在计划内。 2020—沟通与批准 首席审计执行官应当向高级管理层和董事会报告内部审计活动的计划与资 源需求，包括重大的临时性变化，供高级管理层和董事会审查、批准。首席审 计执行官还应就资源限制的影响与高级管理层和董事会沟通。 2030—资源管理 首席审计执行官应确保内部审计资源的适当、 充分及有效地用于完成已获批 准的计划。 2040—政策与程序 首席审计执行官应制定政策与程序，以指导内部审计活动。 2050—协调 首席审计执行官应与相关确认和咨询服务的其他内、外部提供方共享信息、 相互协调，以保证适当的覆盖面，尽可能地减少重复工作。 2060—向董事会和高级管理层报告 首席审计执行官应定期向董事会与高级管理层报告内部审计活动的目的、 职 权、责任，以及与计划有关的工作开展情况，报告中还应当包括重要风险披露 与控制事项、公司治理事项以及董事会和高级管理层需要或要求的其他事项。

2100—工作性质 内部审计活动应当应用系统的、规范的方法，评价并改善风险管理、控制和 治理程序。 2110—风险管理 内部审计活动应协助组织识别和评价重大风险问题、 并帮助组织改进风险管 理与控制系统。 2110.A1—内部审计部门应监督、评价组织风险管理体系的有效性。 ， 2110.A2—内部审计部门应当对组织的治理、经营及信息系统方面的风险进 行评价： 财务与经营信息的可靠性与完整性； 运营的效果与效率； 资产的保护； 遵循法律、法规及合同的情况。

2110.C1—在开展咨询业务时，内部审计师不仅应当关注与业务目标有关的 风险，还要警惕其他重大风险。 2110.C2—内部审计师应将开展咨询业务时了解到的风险情况，运用于识别 并评价组织的重大风险的过程中。 2120—控制 内部审计活动应通过评价控制的效率与效果、 促进其持续改善等工作， 帮助 组织维持有效的控制系统。 2120.A1—

内部审计活动应该在风险评估结果的基础上，评价组织与治理、 运营及信息系统有关的控制程序的健全性与有效性，具体包括： 财务与运营信息的可靠性与完整性； 运营的效率与效果； 资产的保护情况； 遵守法律、法规与合同的情况。 2120.A2—内部审计师应审定查明已确定的运营与项目目标的内容及其与组 织目标的一致程度。 2120.A3—内部审计师应对运营与项目进行检查，查明其结果与既定目标的 一致程度、以判断这些运营和项目是否按计划得到执行或操作。 2120.A4—评价控制需要遵循适当的标准。内部审计师应检查管理层已制定 的、用于判断目标是否实现的标准的适当性。如果此标准适当，内部审计师应 在评价中加以应用。如果不适当，内部审计师应与管理层合作，制定适当的评 价标准。 2120.C1—在开展咨询工作的时候，内部审计师应该了解与此工作目标相一 致的控制事项，并且应警惕是否存在控制薄弱环节。 2120.C2—内部审计师应将开展咨询业务时了解到的控制情况，运用于识别 并评价组织的重大风险的过程中。 2130—治理 内部审计活动应当评价公司治理过程并提出改进公司治理的恰当建议， 以实 现下列目标：(1)在组织内部推广恰当的道德和价值观，(2)保证有效的绩效管 理和责任性，(3)向组织内部有关部门有效传达风险和控制信息，(4)有效协调 董事会、外部审计师以及管理层与内部审计师之间的工作和信息沟通。 2130.A1—内部审计师应当对组织内与道德相关的目标、项目以及活动的设 计、实施和效果进行评价。 2130.C1—咨询业务的目标应与组织的整体价值和目标相一致。 2200-业务计划 内部审计师在开展每项业务时都应制定并保存计划，包括范围、目标、时间 安排以及资源分配。 2201—计划制定时应考虑的因素 在制定业务计划时，内部审计师应考虑到： 被检查活动的目标及对活动的实施进行控制的方式。 被检查活动目标、资源与运营存在的重大风险以及将风险的潜在影响控 制在可接受水平的方式。 与相关的控制框架或模式相比较，该活动的风险管理与控制系统的适当 性与有效性。

对该活动的风险管理与控制系统进行重大改进的可能性。 2201.A1-在为组织外部有关方面制定业务计划时， 内部审计师应与其达成一 份书面协议，明确业务的目标、范围、 各自的责任以及其他要求，包括业务结 果的发布以及对业务纪录的接触。 2201.C1—内部审计师应与咨询业务的客户达成协议，内容包括业务目标、 范围、 各自的责任及其他客户的要求。对于重要的咨询业务，此类协议应当存 档。 2210-业务目标 应当为每项业务确定目标。

2210.A1—在制定业务计划时，内部审计师应初步评估与被检查活动相关的 风险。业务工作的目标应该反映风险评估的结果。 2210.A2—在制定业务计划时，内部审计师应考虑到存在重大差错、例外、 违规及其他风险的可能性。 2210.C1—咨询业务的目标应根据与客户协定的内容，处理与风险、控制与 治理过程的有关的事项。 2220—业务范围 确定的业务范围应满足实现业务目标的要求。 2220.A1—确定业务范围时应考虑到相关的系统、记录、人力及包括受第三 方控制的实物财产。 2220.A2—在开展确认业务时，如果出现重要的咨询机会，应当特别制定一 份书面协议，规定目标、 范围、各自职责以及其他要求，咨询业务结果的沟通 应该遵照咨询业务标准。 2220.C1—在开展咨询业务时，内部审计师应确保业务范围能够实现与客户 协商确定的目标。如果内部审计师在开展工作时对业务范围有保留，应与客户 就这些保留进行讨论， 决定是否继续开展此项业务。 2230—业务资源的分配 内部审计师应确定为实现业务目标所需的资源。 应依据对每项业务的性质和 复杂性、时间限制以及可获得的资源的评价配置所需人员。 2240—业务工作方案 内部审计师应制定实现业务目标的工作方案。这些工作方案应该得到记录。 2240.Al—工作方案中应确定业务工作中收集、分析、评价和记录信息的程 序。 工作方案应在工作开始之前得到批准， 方案的任何调整都应及时报请批准。 2240.C1—咨询业务的工作方案的形式与内容取决于咨询业务的性质。 2300—业务的实施 为实现审计业务目标,内部审计师应收集、分析、评价并记录充分的信息。 2310—收集信息 内部审计师为实现审计业务目标，应收集充分、可靠、相关和有用的信息。 2320—分析与评价 内部审计师应在适当的分析和评价的基础上得出结论和业务结果。 2330—记录信息 内部审计师应记录相关的信息，以支持结论和业务结果。 2330.A1—首席审计执行官应控制对业务记录的接触。在把这些记录向外界 提供之前，首席审计执行官应征得高级管理层或／和法律顾问的同意。

2330.A2—首席审计执行官应制定业务记录的存档规定。这些存档规定应与 组织的方针和有关规定一致。 2330.C1—首席审计执行官应制定政策，规定业务记录的保管以及对内对外 发布这些记录的要求。这些政策应与组织的方针和有关规定或其他要求相一致。 2340—业务的监督 应对业务进行适当的监督，以确保目标得以实现、质量得到保证、职员得到 发展。 2400—报告审计结果 内部审计师应及时通报审计结果。 2410—通报标准 通报内容包括业务目标、范围及

相应的业务结论、建议和行动计划。 2410.A1—在适当情况下，业务结果的最后通报中应包含内部审计师的总体 意见和(或)结论。 2410.A2—应当鼓励内部审计人员在业务结果通报中对令人满意的业绩予以 承认。 2410.A3—在向机构外部有关方面发布业务结果时，应当说明对结果发送以 及使用的限制。 2410.C1—咨询业务进展情况和结果报告的形式与内容应根据业务性质及客 户要求确定。 2420-通报的质量 通报应当准确、客观、清晰、简洁、完整、及时、富有建设性。 2421—错误与遗漏 如果在最后通报中有重大错误和遗漏， 首席审计执行官应把更正后的信息传 达给所有接到最初通报的用户。 2430—对未遵守《标准》的业务披露 当未遵守《标准》的行为影响具体业务活动时，结果的通报中应披露： 没有得到完全遵守的《标准》条文； 未遵守的原因； 未遵守《标准》对业务活动造成的影响。 2440—结果的通报 首席审计执行官应当向适当的用户通报结果。 2440.A1—首席审计执行官负责将最终结果通报给能够保证对该结果给予应 有考虑的用户。 2440.A2—如果法律、法规或其他规章未做出相关规定，在向组织外发布结 果前，首席审计执行官应当： 评估组织面临的潜在风险； 必要时向高级管理层和/或法律顾问咨询； 通过限制结果的使用，对结果发布进行控制。 2440.C1—首席审计执行官负责向客户通报咨询业务的最终结果。 2440.C2—在开展咨询业务时，可能会发现风险管理、控制及治理方面的问 题。只要这些问题对组织是至关重要的，就应向高级管理层和董事会报告。

2500—监测进展 首席审计执行官应建立并开展一项制度， 对通报给管理层的结果的处理情况 进行监督。 2500.A1—首席审计执行官应建立后续程序，以监督、保证管理措施得到有 效落实，或高级管理层已接受了不采取行动所带来的风险。 2500.C1—内部审计活动应当按照与客户的约定， 监督咨询结果的处理情况。 2600—管理层对风险的接受 当首席审计执行官认为高级管理层接受了组织可能无法接受的剩余风险水 平时，应当与高级管理层就此进行讨论。如果仍无法决定剩余风险问题，首席 审计执行官和高级管理层应将此事报告董事会解决。

词汇表

增加价值——内部审计师在提供确认和咨询服务的过程中，通过以下方式来增 强价值：改进实现组织目标的机会，确认运营的改进，和/或降低风险。 适当的控制——如果管理层的计划、组织(设计)行为能够合理保证组织的风险 得到有效管理，目标和任务得到经济有效地完成，那么就可以认为存在适当的 控制。 确认服务——一种为了对组织的风险

管理、控制或治理过程进行独立评价而客 观地审查证据的行为。例如，对财务、绩效、合规性、系统安全和应尽责任的 审查等。 董事会——董事会是泛指一个组织的治理结构，如公司董事会、监事会、部门 或立法机构的首脑，非盈利组织的董事会、托管人或组织内部任何其他相应的 机构，包括审计委员会。从职责上讲，首席审计执行官应当向这些机构报告。 章程——内部审计活动章程是用以确定内部审计活动的宗旨、权限和职责的正 式书面文件。该章程应该包括：(1)对内部审计活动在该组织中的地位的规定； (2)可以接触与执行业务工作有关的资料、人员和实物资产的授权；(3)内部审 计活动范围的确定。 首席审计执行官——指组织内负责内部审计活动的最高职位。一般情况下是指 内部审计经理。在内部审计活动由外部服务提供者开展的情况下，首席审计执 行官就指负责监督服务合同及活动的整体质量保证、向高级管理层和董事会报 告有关内部审计活动的情况、对业务结果进行后续跟踪的人员。该词还包括一 些头衔，如总审计师、首席内审师和检查长等。 职业道德规范——国际内部审计师协会(IIA)《职业道德规范》是由与内部审计 职业和实务相关的原则以及内部审计师应遵守的行为规则组成的，《职业道德 规范》对提供内部审计服务的个人与实体都适用。《职业道德规范》的宗旨是 在全球内部审计职业中提倡一种道德文化。 合规性——符合并遵守政策、计划、程序、法律、规章或其他要求。 利益冲突——指任何表面上或事实上都不符合组织的最大利益的各种关系。利 益冲突会妨害个人客观地履行其职责的能力。 咨询服务——提供建议以及相关的客户服务活动，这种服务的性质与范围是与 客户协商确定的，目的是在内部审计师不承担管理层职责的前提下，增加价值 并改进组织的治理、风险管理以及控制过程，例如顾问、建议、协调、培训等。 控制——指管理层、董事会及其他团体采取的、旨在管理风险、增大实现既定

目标的可能性的行为。管理层计划、组织并指导适当的行动的实施，以合理地 保证目标的实现。 控制环境——董事会和管理层对控制的重要性所持的态度及所采取的行动。控 制环境为实现内部控制系统的基本目标提供了原则和组织结构。控制环境包括 以下要素： (1)公正和道德价值观； (2)经营管理理念和经营风格； (3)组织结构； (4)权力的分配和责任的划分； (5)人力资源政策和惯例； (6)人员的能力。 控制过程——即控制构架的组成成分，包括政策、程序及控制活动，控制过程 的设计旨在保证把风险控

制在风险管理过程规定的风险容忍度之内。 业务——指一项具体的内部审计职责、任务或检查活动，例如，内部审计、控 制自我评估检查、舞弊调查或咨询。为实现一系列具体的目标，业务可以包括 多项任务或活动。 业务目标——指由内部审计师通过概括性声明确定的、希望实现的业务成果。 业务工作方案——指一份说明开展业务时所应遵循的的文件，目的是完成业务 计划。 外部服务提供者——在组织外部的，且在某一特定学科领域内有专门知识、技 术与经验的个人或公司。 舞弊——所有以欺骗、隐瞒或破坏信任为特征的非法行为。这些行为不依靠暴 力或武力威胁。个人和组织为获取金钱、财产或服务，避免付费或失去服务， 或获取个人或商业优势都有可能舞弊。 治理——董事会实施的各种程序和架构的结合，用以指导、管理、监督组织的 各项活动，使其朝着实现组织目标的方向发展。 损害——对个人的客观性和组织的独立性造成的损害可能包括个人的利益冲 突，审计范围的限制，对资料的接触、人员的财产的制约及资源(资金提供)的 限制。 独立性——指不存在威胁客观性的情况。必须由不同方面对客观性所面临的威 胁进行控制，包括内部审计师、具体业务、职能部门以及组织等层次。 内部审计活动——一个部门、处室，咨询小组或其他从业人员为增加和改进组 织运营而提供的独立的、客观的确认和咨询服务。内部审计活动通过采用系统、

规范的方法，评价并改进风险管理，控制和治理过程的效果，帮助组织实现其 目标。 客观性——是一种公正的、不偏不倚的态度，它要求内部审计师在执行业务的， 对他们的工作成果抱有诚实的信条，不做重大的质量妥协。客观性要求内部审 计师不能把对其他事务的判断凌驾于对审计事务的判断之上。 剩余风险——是指在管理层采取了有关措施，包括采取应对某项风险的控制活 动降低负面事件的影响的可能性之后仍然存在的风险。 风险——指对目标的实现会产生影响的事项发生的可能性。风险的衡量标准是 后果与可能性。 风险管理——指确认、评价、管理和控制潜在事件或尾部的一个过程，其目的 是为实现组织目标提供合理保证。 应当——《标准》中“应当”一词的使用代表强制性义务。