审计观察 |《国际内部审计专业实务框架》的十大新变化
《国际内部审计专业实务框架》(以下简称“IPPF”)是国际内部审计师协会(以下简称“IIA”)发布的权威标准的概念性框架,为全球范围内的内部审计师及利益相关方提供了统一的内部审计专业标准体系。为确保IPPF的内容符合内部审计职业发展的需求,以及与内部审计职业有关的重要事项,包括组织经营环境及外部法律法规的变化等能够及时在标准中得以体现和反映,IIA于2009年发布IPPF之后,陆续对内容进行了修订。尤其是从 2020年起,对2017版的IPPF进行了重大修订。修订后的IPPF拟包括三个部分的内容:《全球内部审计准则》、专项要求和职业指南。目前,IIA已经完成了《全球内部审计准则》2023年征求意见公示稿,并翻译为多种语言,正在向广大内部审计从业人员和各相关方广泛征求意见。
《全球内部审计准则》总体框架
《全球内部审计准则》征求意见稿包括5个领域、15项原则和53个标准,原框架中内部审计的使命、内部审计实务的核心原则、内部审计定义、职业道德规范、标准、执行指南等内容均纳入准则中,逻辑结构和具体内容如下。
新修订的重点内容
一、简化了IPPF框架层级结构,使之更加清晰明了
此次修订在2017版IPPF三个层次结构的基础上,重新梳理全部内容,划分为内部审计的宗旨、职业道德和专业素养、内部审计治理、内部审计管理、实施内部审计业务五大领域,作为第一层级;在每个领域下设置若干项原则,对同一类内部审计的内容进行总体和总结描述,作为第二层级;在每项原则下设置若干个标准,对该项原则包括的内容进行细化和说明,作为第三层级。
二、进一步明确内部审计的价值定位,强调内部审计对促进组织功能成功发挥的重要作用
内部审计的宗旨这一领域只有第一层级,以下不再设原则和具体的标准。其宗旨在于帮助内部审计人员和内部审计利益相关方理解内部审计价值。在为组织强化价值创造、保护组织的价值和可持续发展,治理、风险管理和控制过程,维护组织的声誉等基础上,增加了内部审计服务公共利益的宗旨,扩充了内部审计的价值属性,对内部审计人员提出更高的职业要求和期望。
三、增加了内部审计人员履行应有职业审慎的原则
在2017版IPPF“职业道德规范”诚信、客观、保密、胜任四个原则的基础上,增加了第五个原则“履行应有的职业审慎”,要求内部审计人员在计划和开展内部审计服务时应保持应有的职业审慎,遵循《全球内部审计准则》;考虑组织的战略和目标、内部审计服务对象和其他利益相关方的最佳利益,治理、风险管理和控制过程的充分性和有效性,与开展内部审计服务潜在收益相关的成本,实现业务目标所需的工作范围和时限要求,与审计对象相关风险的复杂性、严重性或重要性,发生可能影响目标、运营或资源的重大错误、舞弊、不合规行为以及其他风险的可能性等。
四、首次明确了董事会支持内部审计有效发挥作用的职责
为更好保障内部审计职责和权限在组织内部落实落地,内部审计治理这一领域的标准进一步明确了董事会和首席审计执行官各自的责任以及双方共同承担的责任。董事会的责任是必须考虑首席审计执行官提供的信息,至少每年对内部审计职责和权限进行一次审核,关注组织面对的风险类型、严重程度和关联情况发生变化等因素。首席审计执行官的责任是必须为董事会提供确立内部审计职责和权限必需的信息,包括内部审计服务的范围和类型,以及其他内部审计履行的职责等。董事会和首席审计执行官共同承担的责任是必须就内部审计职责和权限进行讨论,评估权力、角色和责任是否能够继续保证内部审计职能实现其目标。
五、将内部审计质量外部评估提升为治理层的职责
董事会必须确保至少每五年开展一次对内部审计质量的外部评估,同时决定外部质量评估的范围和频率。在确定范围时,必须考虑内部审计章程,以及适用于内部审计监管要求规定的内部审计职能和首席审计执行官的责任。董事会还必须从评估组直接接收外部质量评估报告,审核和批准首席审计执行官针对评估发现的缺陷和改进机会提出的行动计划,并根据经批准的行动计划的时间表,监督首席审计执行官的整改进度。
六、健全了制定有效内部审计战略的流程
为制定有效的内部审计战略、章程和计划,首席审计执行官必须了解组织的治理、风险管理和控制过程,并至少每年与高级管理层和董事会一起审阅内部审计战略。为了解治理过程,首席审计执行官必须考虑组织的各个方面,包括建立战略目标并作出战略和运营决策,对风险管理和控制的监督,宣贯职业道德文化,确保有效的绩效管理和问责制,构建管理和运营职能,在全组织范围内传达风险和控制信息,确保董事会、内部和外部确认服务提供方,以及管理层之间工作协调和有效沟通。
七、细化了审计方法和技术资源
修改后的准则细化了审计方法,要求首席审计执行官必须建立一套方法(政策、流程和程序),以指导内部审计实现其职责和权限并符合标准。这些方法必须指导内部审计流程和服务,包括评估整个组织和每个审计项目的风险、制定内部审计计划、确定确认和咨询项目之间的平衡、与内外部确认服务提供方之间的协调、如有利用外部服务提供方对其进行管理、对内部审计人员可以访问的数据和信息加以保护。审计方法还阐述了除确认项目之外的沟通、运营事项和执行服务的流程和程序。同时,在以往常规内部审计的人财物资源里,增加了技术资源,包括审计管理系统、工作流程映射应用、辅助数据科学和分析的工具、辅助沟通和协作的工具。首席审计执行官必须确保内部审计机构拥有适当的技术来支持内部审计程序,定期评估内部审计使用的技术,确保内部审计人员接受适当的培训,与本组织的信息技术和信息安全部门合作以确保技术资源得到正确利用,向高级管理层和董事会提出所需技术的充分资金需求。
八、明确了沟通的具体要求并贯穿审计全过程
沟通必须准确、客观、清晰、简明、富有建设性、完整、及时。为确保内部审计沟通达到上述效果,首席审计执行官应制定一套包括政策、标准和程序等内容的方法,便于内部审计人员进行沟通。沟通方法应考虑高级管理层、董事会和其他利益相关方的期望。首席审计执行官可以向内部审计人员提供沟通方面的培训,制定关键绩效指标,以衡量和监督内部审计沟通的有效性,并将其作为内部审计质量保证和改进程序的一部分。
九、丰富了绩效评价指标的量化要素
首席审计执行官在质量管理环节,必须充分考虑高级管理层和董事会的意见和期望,制定评估内部审计绩效的目标,绩效标准和绩效评价指标。制定绩效指标对于确定内部审计是否根据准则及内部审计章程实现绩效目标至关重要。首席审计执行官应当确定内部审计的关键绩效指标,包括运营和战略成果,对改进风险管理、控制和治理过程的贡献度,主要目标和目标的实现,对照内部审计计划评估进展情况,覆盖被确认为重大的风险,员工劳动生产率的提升,审计效率的提升,流程改进行动计划数量的增加,项目计划和督导的充分性,评估利益相关方的需求是否得到满足,质量评估结果和内部审计的质量改进程序,与利益相关方沟通的清晰性,从完成审计测试到发布项目结果的平均时间间隔,管理层接受建议的百分比,投资回报率和实施项目时对公平性的关注程度等要素。
十、设置了审计结论的评价等级
审计结论是内部审计人员在综合审视审计发现后从整体上对其重要性作出的判断,包括与审计目标和范围相关的审计发现和结果的概述。在项目开展之前,首席审计执行官与高级管理层和董事会共同审核确定审计人员使用的评价标准和审计方法,包括评级体系。而评级体系应当以组织的总体风险偏好和审计对象的风险容忍度为基础,为所有审计项目的审计结论和评级提供依据。基于审计结论,内部审计人员须针对审计发现整体上给出一个评级、排名或其他重要性指标。审计对象的总体审计结论或总结应当按单个审计发现的评级汇总确定。根据内部审计人员的评价,把评级确定为满意、部分满意、需要改进或不满意。(作者单位系中国内部审计协会)
来源:《审计观察》杂志2023年第6期
