2010年國際內(nèi)審師輔導(dǎo)：實施內(nèi)部審計業(yè)務(wù)（2）

1.1. 其他職業(yè)的、法律的和法規(guī)的標(biāo)準(zhǔn)
    除了《標(biāo)準(zhǔn)》、《實務(wù)公告》、《職業(yè)道德規(guī)范》，內(nèi)部審計師還有責(zé)任了解和在工作中應(yīng)用其他相關(guān)的法律和規(guī)定，包括：
    ¡ Racketeer Influenced and Corrupt Practices Act of 1970
    ¡ 1977年的《國外賄賂法案》
    ¡ 2002年的《薩班斯一奧克斯利法案》
    ¡ COSO出版的《綜合框架》
    ¡ 美國政府為政府審計制定的“黃皮書”
    ¡ 《中華人民共和國審計法》
    ¡ 中國《國家審計準(zhǔn)則》，等等
    1.1.1. SOX
    ¡ 法案名稱：SOX（Sarbanes-Oxley），又稱《公眾公司會計改革與投資者保護(hù)法案》
    ¡ 法案作用：遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的
    ¡ 隸屬機(jī)構(gòu)：美國國會眾議院金融服務(wù)委員會
    ¡ 形成時間：2002年7月30日，美國總統(tǒng)布什頒發(fā)
    SOX法案目的在于促進(jìn)企業(yè)責(zé)任感（302 條款），完善內(nèi)部控制（404 條款），加強(qiáng)信息向公眾的披露（409 條款），提高財務(wù)報告和審計的質(zhì)量及透明度，并對違反證券法律和其它法規(guī)的行為加大懲罰力度及加重其刑事責(zé)任（906 條款）。
    302 條款主要是要求企業(yè)的高管簽署對企業(yè)重要事情不存在遺留。
    404 條款要求企業(yè)管理層對企業(yè)必須建立一個有效的內(nèi)控體系，并且對這個內(nèi)控體系要進(jìn)行評估。
    1.1.2. COSO（The Committee of Sponsoring Organization of the Treadway Commission）
    ¡ 標(biāo)準(zhǔn)名稱：《內(nèi)部控制-整體框架》
    ¡ 標(biāo)準(zhǔn)組織：發(fā)起組織委員會COSO
    ¡ 隸屬機(jī)構(gòu)：美國國會的反對虛假財務(wù)報告委員會（NCFR）
    ¡ 標(biāo)準(zhǔn)作用：研究導(dǎo)致虛假財務(wù)報告的偶發(fā)因素，并為上市公司及其獨立審計師，為SEC（美國證券交易委員會）和其他監(jiān)管機(jī)構(gòu)以及教育機(jī)構(gòu)提供建議
    ¡ 形成時間：形成于1985年，報告1992年發(fā)布
    ¡ COSO報告：1992年COSO委員會經(jīng)過多年研究，針對公司行政總裁、其他高級執(zhí)行官、董事、立法部門和監(jiān)管部門的內(nèi)部控制進(jìn)行高度概括，發(fā)布《內(nèi)部控制一整體框架》（Internal Control－Integrated Framework）報告，即通稱的COSO報告。
    COSO 報告提出內(nèi)部控制由五部分組成：
    ¡ 第一，控制環(huán)境。它包括組織人員的誠實、倫理價值和能力；管理層哲學(xué)和經(jīng)營模式；管理層分配權(quán)限和責(zé)任、組織、發(fā)展員工的方式；董事會提供的關(guān)注和方向。控制環(huán)境影響員工的管理意識，是其他部分的基礎(chǔ)。
    ¡ 第二，風(fēng)險評估。是確認(rèn)和分析實現(xiàn)目標(biāo)過程中的相關(guān)風(fēng)險，是形成管理何種風(fēng)險的依據(jù)。它隨經(jīng)濟(jì)、行業(yè)、監(jiān)管和經(jīng)營條件而不斷變化，需建立一套機(jī)來辨認(rèn)和處理相應(yīng)的風(fēng)險制。
    ¡ 第三，控制活動。是幫助執(zhí)行管理指令的政策和程序。它貫穿整個組織、各種層次和功能，包括各種活動如批準(zhǔn)、授權(quán)、證實、調(diào)整、經(jīng)營績效評價、資產(chǎn)保護(hù)和職責(zé)分離等。
    ¡ 第四，信息和交流。系統(tǒng)產(chǎn)生各種報告，包括經(jīng)營、財務(wù)、守規(guī)等方面，使得對經(jīng)營的控制成為可能。處理的信息包括內(nèi)部生成的數(shù)據(jù)，也包括可用于經(jīng)營決策的外部事件活動狀況的信息外部報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關(guān)系；必須認(rèn)真對待控制賦予自己的責(zé)任，同時也必須同外部團(tuán)體如客戶、供貨商、監(jiān)管機(jī)構(gòu)和股東進(jìn)行有效的溝通。
    ¡ 第五，監(jiān)控。監(jiān)控在經(jīng)營過程中進(jìn)行，通過對正常的管理和控制活動以及員工執(zhí)行職責(zé)過程中的活動進(jìn)行監(jiān)控，來評價系統(tǒng)運作的質(zhì)量。不同評價的范圍和步驟取決于風(fēng)險的評估和執(zhí)行中的監(jiān)控程序的有效性。對于內(nèi)部控制的缺陷要及時向上級報告，嚴(yán)重的問題要報告到管理層高層和董事會。
    1.1.3. COBIT（Control Objectives for Information and related Technology）
    ¡ 標(biāo)準(zhǔn)名稱：《信息及相關(guān)技術(shù)的控制目標(biāo)》
    ¡ 隸屬機(jī)構(gòu)：美國IT治理研究院（IT Governance Institute）開發(fā)與推廣
    ¡ 標(biāo)準(zhǔn)作用：信息、IT 以及相關(guān)風(fēng)險控制方面的國際公認(rèn)標(biāo)準(zhǔn)，COBIT 還被作為一種遵從SOX（Sarbanes-Oxley）法案的工具而廣泛采用
    ¡ 最新版本：《COBIT 4.1》，COBIT 第一版于1994年推出
    COBIT的IT框架由四個部分組成：
    ¡ 規(guī)劃和組織
    ¡ 獲得和實施
    ¡ 交付和支持
    ¡ 監(jiān)控和評估
    在具體內(nèi)部審計業(yè)務(wù)中，內(nèi)部審計師有責(zé)任確定管理*是否建立了適當(dāng)?shù)臉?biāo)準(zhǔn)以衡量和評價組織目標(biāo)（目的）的完成情況。
    如果這些標(biāo)準(zhǔn)是適當(dāng)?shù)?，?nèi)部審計師應(yīng)該在評價過程中使用這些標(biāo)準(zhǔn)，并確定這些標(biāo)準(zhǔn)是否得到了貫徹執(zhí)行。如果這些標(biāo)準(zhǔn)是模糊不清的，是不適當(dāng)?shù)?，?nèi)部審計師應(yīng)該同管理*一道制定一個合適的評價標(biāo)準(zhǔn)。
    當(dāng)內(nèi)部審計師被要求去解釋或選擇一套經(jīng)營評價標(biāo)準(zhǔn)時，應(yīng)該努力與管理部門就這些標(biāo)準(zhǔn)達(dá)成一致意見。
    內(nèi)部審計師可以尋求或采用的標(biāo)準(zhǔn)包括：工作指南、組織指示、預(yù)算、產(chǎn)品說明、行業(yè)慣例、內(nèi)部控制的最低標(biāo)準(zhǔn)、公認(rèn)會計準(zhǔn)則、合同和的商業(yè)實務(wù)、以前年度制定的標(biāo)準(zhǔn)，等等。
    如果內(nèi)部審計師決定采用以前年度制定的標(biāo)準(zhǔn)，則需要對標(biāo)準(zhǔn)的適當(dāng)性和適用性進(jìn)行評估。因為以前年度制定的標(biāo)準(zhǔn)，盡管可能曾經(jīng)是令人滿意和完善的績效標(biāo)準(zhǔn)，但是隨著環(huán)境的變化和時間的推移，很可能已經(jīng)不適用于當(dāng)前的組織目標(biāo)。