国际内审师考试内部审计实务标准(红皮书)(22)-国际内审师.doc

实务公告

2100—4：内部审计在尚未建立风险管理过程的组织中的作用

解释《国际内部审计专业实务标准》中的第2100条标准

本实务公告性质

内部审计的定义要求应用“系统的、规范的方法，评价并改善风险管理、控制和治理程序的效果。”为了依据《国际内部审计专业实务标准》开展内部审计，内部审计师应该在组织的风险管理过程中起关键作用。但是，有些组织可能尚未建立风险管理过程。本实务公告希望为内部审计师确定其在尚未建立风险管理过程的组织中应起的作用提供指导。内部审计师需要考虑本实务公告以外的其他要求。

1．风险管理是一项重要的管理责任。要实现其业务目标，管理层应该保证组织拥有健全的风险管理过程，并能发挥作用。董事会和审计委员会应该在确定组织是否建立恰当的风险管理过程以及这些程序适当有效运作等方面起监督作用。内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。但是，以咨询顾问身份开展工作的内部审计师可以协助组织确定、评价并应用处理风险的管理方法和控制措施。

2．一般来讲，对组织的风险管理过程进行评价和报告是审

计的重点。评价管理风险程序有别于审计师应用风险分析进行审计的计划工作。但是，来自全面风险管理过程的信息(包括对管理层和董事会所关心问题的确认)有助于内部审计师制定审计工作计划。

3．首席审计执行官应该理解管理层和董事会期望内部审计活动在组织的风险管理过程中发挥的作用。这种理解应该在内部审计活动和审计委员会各自的章程中得到规定。

4．如果组织尚未建立风险管理过程，内部审计师应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。内部审计师应该就内部审计活动在风险管理过程中应起的作用获得管理层和董事会的领导支持。内部审计活动和审计委员会的章程应该规定各方在风险管理过程中的作用。

5．如果有关方面提出要求，内部审计师可以积极协助初步建立风险管理过程的工作中发挥积极作用。内部审计师更为积极的作用是通过咨询方式改善基础过程，以此作为对传统确认活动的补充。如果这些协助活动超出了内部审计师正常的确认和咨询工作范围，审计的独立性就会受到损害。在这些情形下，内部审计师应该遵守《国际内部审计专业实务标准》的披露要求。《实务公告1130.A1—2：内部审计在其他(非审计)领域的作用》为此问题提供了进一步的指导。

6．内部审计师在建立和管理风险管理过程中所起的积极作用有别于在“风险所有者”的作用。为了避免起到“风险所有者”的作用，内部审计师应该要求管理层证实其在确定、防范、监测风险以及风险“所有者”的责任。

7．总之，内部审计师可以促进风险管理过程的建立或使风险管理过程的建立成为可能，

但是，他们不应该“拥有”已确认的风险或负责对这些风险的管理。

实务公告

2100—5：在评价合规程序时的法律考虑

解释《国际内部审计专业实务标准》中的第2100条标准

本实务公告性质

在评价组织的合规程序时，内部审计师应该考虑以下建议。本实务公告无意囊开展与合规性有关的综合性确认或咨询业务需要考虑的所有方面。

警告：鉴于不同司法制度的要求可能会大相径庭，鼓励内部审计师就所有涉及法律事务的事项咨询法律顾问。本实务公告的指导内容主要以美国法律制度为基础。

1．合规程序可以协助组织防止雇员过失违法，发现违法行为并打击雇员的故意违法行为，还可以协助证明保险索赔，确定董事和高级职员的义务，建立或提高组织认同，决定相应的惩罚性赔偿。内部审计师应该按照以下建议步骤评价组织的合规程序，促进合规程序的有效执行。

2．组织应该制定合规性标准和程序，供其雇员和其他有可

能合理减少犯罪概率的代理机构或代理人遵守。

组织应该制定书面的、明令禁止某些活动的业务行为道德规范。这种规范应该用所有雇员都能理解的语言撰写，避免深奥难懂的法律术语。

良好的行为道德规范可以在相关方面为雇员提供指导。检查清单、问题解答和参考信息都能使行为道德规范更便于使用。

组织应该建立机构图，明确董事会董事、高级管理层、合规程序高级管理人员和各部门负责执行合规程序的人员的职责和关系。

被雇员视为教条主义和“有偏见”的行为道德规范可能会增加雇员进行不道德或违法行为的可能性；而被视为简单易懂的行为道德规范则有助于降低雇员参与此类行为的可能

性。

有些公司采用的用物质手段鼓励明显的不道德或违法行为的奖励制度，会造成极坏的合规环境。

进行国际经营活动的公司应该在全球范围内建立合规程序，而不仅仅是为所挑选的几个地方建立合规程序。这些程序应该恰当反映当地的实际情况、法律制度和有关规定。

3．组织高层的特定人员应该总体负责监督对标准和程序的

遵守情况。

组织的高层人员是指能对组织进行实质性控制的个人，或在制定组织内部政策方面起实质性作用的个人。

组织的高层人员包括：董事、执行官员、负责主要业务或执行部门(如：销售部门、行政管理部门或财务部门)的个人和拥有实质性权益的个人。

要全面有效地开展工作，首席执行官和其他高级管理层必须实质性参与合规程序。

在有些组织，将主要合规责任分配给公司的法律顾问可能给雇员造成以下印象：管理人员并没有真正参与到程序中，程序的重要性仅限于法律部门而非整个公司。而在其他组织，情况可能正好相反。

在拥有多个业务部门的大型公司，每个部门的高层人员都负责合规性事项。

公司仅仅设立首席合规官的职位并选择合规部门的其他人员是远远不够的。公司还应该保证这些人员拥有恰当的权力，并取得履行职责必需的资源。负责合规事项的人员应该有

充分的途径接触高级管理层。而首席合规官应该直接向首席执行官报告。

4．组织应该审慎度事，避免将实质性的自主决策权授予组织已知道或通过审慎度事应该知道有违法乱纪企图的人员。

公司应该对所有职位的申请人进行筛选，以寻找关于申请人犯错记录，尤其是在组织所在行业犯错记录的证据。

就职申请表格应该问询申请人过去的犯罪记录。对于申请职位的专业人士，应了解他们是否有过被所在专业执照委员会处分的历史。

公司应该谨慎行事，避免侵犯有关法律赋予雇员和职位申请人的隐私权。许多司法制度有专门的法律，限制公司在对雇员开展背景调查时可以获取的信息数量。

5．组织应该采取步骤将其标准和程序向所有雇员和其他有关代理人进行有效宣传。如：

要求雇员参与培训项目，或散发对有关要求进行解释的出版物。

合规程序的有效性取决于将程序向雇员传达的方式。一般而言，交互式形式比讲座更有效。由有关人员亲自沟通的程序比完全通过录像或游戏形式沟通的程序更有效。定期重复的程序比一次性程序更有效。