2018年国际内审师考试《内部审计业务》知识重点（8）

小编整理了“2018年国际内审师考试《内部审计业务》知识重点（8）”，希望对大家复习有所帮助。

　　2.1 咨询业务指咨询及相关的客户服务活动，其性质和范围需与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询业务。咨询业务本质上是一种顾问服务，一般应客户的具体要求而开展。咨询业务的性质和范围需与客户协商确定。咨询业务一般涉及两方：(1)提供咨询建议的个人或机构，即内部审计师;(2)寻求并接受咨询业务的个人或机构，即客户。在开展咨询业务时，内部审计师应保持客观性，不承担管理责任。

　　咨询业务的性质必须在内部审计章程中确定。只有审计章程中明确了作用和责任，内部审计师才能采取行动。”

　　2.2 确认业务和咨询业务并不相互排斥，它们也不排斥内部审计师行为准则中规定的其他类型服务活动。咨询业务通常产生于确认业务(例如，业绩评估审计可能演变成咨询业务，即设计完善业绩水平的衡量标准)，反之亦然。

　　2.2.1 许多咨询业务是审计客户提出的特殊要求，目的是帮助检查由于组织变化、新技术应用等而需要强化的现行程序。许多其他要求是由于组织提供新产品或新服务而提出的，内部审计可以针对这些计划活动和程序提供一些客观建议。实施咨询业务的审计师在不损害客观性的情况下，可以更了解组织程序。

　　2.2.2首席审计执行官应该决定采用何种技术方法来对组织内部的各项业务进行归类。在一些情况下，实施“混合”业务可能比较妥当，即将咨询和确认业务中的一些内容融合到一起，形成一种混合方法。在其他情况下，区分业务中的确认和咨询内容可能是比较恰当的。

　　2.2.3如果客户委托的服务项目更适合内部审计师实施确认业务，那么内部审计师就应该实施确认业务，而不应该简单地实施咨询业务，以回避或允许其他人回避本适合确认业务的委托要求。作为确认业务实施的服务活动一旦被认定更适合作为咨询业务，那么就应该调整业务方法。

　　2.3咨询业务种类

　　咨询业务可以包括提供专业咨询和建议、开展优化促进活动、设计程序及开展培训等几方面内容。具体类型包括：

　　· 正式的咨询业务——计划内且经书面协议规定的业务;

　　· 非正式的咨询业务——各种日常性活动，例如，参加常务会议、临时项目、专门会议及日常信息交流;

　　· 特殊的咨询业务——参加兼并或收购小组，参加流程再造小组等;

　　· 紧急的咨询业务——参加灾后恢复或重建小组，参加非正常经营事件的恢复或重建小组，参加为满足特殊需要而建立的小组活动。

　　2.4 内部审计师在实施咨询业务时，应关注的事项

　　2.4.1保持独立性和客观性。

　　· 内部审计师有时被要求提供的咨询服务与他们以前负责的或实施过确认业务的经营活动有关。在提供这样的咨询业务前，首席审计执行官应该确认董事会了解并且批准要提供的咨询业务内容。一旦获得了批准，就应该修改内部审计章程，将咨询业务的授权及责任包含进去。同时，为实施此项业务，还需要为内部审计活动编制适当的政策和程序。

　　· 在得出结论和向管理层提供建议时，内部审计师要保持其客观公正性。当咨询业务开始前就存在损害客观性或独立性的情况，或者，在实施过程中出现有损客观性的情况时，内部审计师应该马上向管理层反映。

　　· 同一内部审计师，在咨询业务完成后的一年内，对同一审计业务客户实施确认业务，也会损害其独立性和客观性。因此，需要采取一些措施来减少这种损害的影响：(1)委派不同的内部审计师去完成每一项服务业务;(2)建立独立的管理和监督机制;(3)阐明对项目结果应承担的责任;(4)披露已认定的损害事实。管理层有责任接受且执行内部审计师提出的各项建议。

　　《标准》1130规定，内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务，则其客观性会被视为受到损害。但内部审计师可以对其以往负责的业务提供咨询服务。若内部审计师可能会损害拟开展的咨询业务的独立性或客观性时，必须在接受该业务之前向客户披露。

　　· 在实施咨询业务时，尤其是在正在进行的或自然延续下来的咨询业务过程中，内部审计师要特别注意：不要不适当地或下意识地去承担超出业务范围或脱离原定目标的管理责任。他或她应该提供建议，而不是作出决策。

　　2.4.2保持应有的职业审慎性。开展咨询业务时，内部审计师必须考虑以下因素，履行其应有的职业审慎：

　　? 客户的需求与期望，包括咨询结果的性质、时间安排与结果沟通;

　　? 实现咨询业务目标所需开展工作的相对复杂性和范围;

　　? 与潜在效益相对的咨询业务成本。

　　2.4.3关注与业务目标相关的风险。在开展咨询业务时，内部审计师必须关注与业务目标相关的风险，并警惕其他重大风险的存在。内部审计师必须将开展咨询业务过程中了解到的风险情况，运用于评估组织的风险管理过程。

　　管理层和董事会负责组织的风险管理和控制过程。但起咨询性作用的内部审计师也可以协助组织识别、评估并运用风险管理的方法和控制措施，解决这些风险问题。协助管理层建立或改善风险管理过程时，内部审计师必须避免在实际工作中对风险进行管理，从而承担任何管理层应承担的责任。

　　2.4.4　关注与业务目标相关的控制。在开展咨询业务时，内部审计师必须关注与业务目标相关的控制，并警惕重大的控制问题。内部审计师必须将开展咨询业务过程中了解到的控制知识，运用于评估组织的控制过程。重大的风险漏洞和重要的控制弱点都需要引起管理人员的注意。在一些情况下，内部审计师应该将其担心通报给执行经理层，或者向审计委员会和董事会汇报。审计师应该利用职业判断：(a)决定漏洞或控制弱点的重要程度，提出采取或预计采取的可以纠正或消除这些漏洞和弱点的措施;(b)确定执行经理层、审计委员会和董事会在得到这些报告后的反映和要求。

　　2.4.5　当内部审计师缺乏完成全部或部分咨询业务所必需的知识、技能或其他能力时，首席审计执行官必须谢绝开展此项业务的委托或寻求充分的建议和协助。此外，内部审计师还要注意以下几点：

　　· 召开适当的会议，收集必要的信息，评估将要提供业务的性质和范围;

　　· 确认那些接受服务的组织能够了解和同意内部审计章程中规定的相关条款、内部审计活动的政策和程序以及其他相关规定。内部审计师应该拒绝实施那些内部审计章程禁止的业务、与内部审计活动的政策和程序相冲突的业务，也不能实施那些不能达到增值作用或者不能使组织获得最佳利益的业务;

　　· 评估咨询业务与整体内部审计活动计划的兼容性。内部审计活动以风险为基础制定的业务计划应该尽可能地将咨询业务包含在内，并且制定计划时充分依赖咨询业务，以便提供必要的审计覆盖面。

　　· 以书面协议或计划书的形式，记录下与咨询业务有关的一般条款、解释、说明或者重要事实，这对于内部审计师和服务接受方了解业务，加强沟通都是必要的。

　　2.5咨询业务的工作范围

　　2.5.1　《标准》2210规定：“咨询业务的目标必须在客户同意的范围内，针对治理、风险管理和控制过程等确定” ，“咨询业务的目标必须与组织的价值、战略及目标保持一致”。因此，内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。对于重要的咨询业务，该协议必须采用书面形式。

　　2.5.2内部审计师应该制定适当的目标，以满足服务接受方管理人员的需要。如果管理人员有特殊要求，且内部审计师认为自己制定的目标要先于这些要求实现时，内部审计师可以考虑采取以下手段：

　　· 说服管理人员将提出的额外目标纳入到咨询业务中去;或，

　　· 将这些目标没有被实现的事实记录下来，然后在最后沟通业务结果时，揭示出这一问题;并且，

　　· 将这些目标纳入到一项独立的后续确认业务中完成。

　　2.5.3正式咨询业务的工作计划中应该记录有业务的目标和范围，以及为完成目标所使用的技术手段。计划的形式和内容依咨询业务的性质而定。在确定业务范围时，内部审计师可以增加或者缩减范围以满足管理部门的要求。不过，内部审计师确定的咨询工作范围对满足业务目标来说应该是适当的范围。在工作期间，内部审计师需要定期重新评估业务的目标、范围和完成期限。

　　2.6咨询业务结果的沟通

　　2.6.1 咨询业务结果和过程的沟通形式和内容多种多样，要依业务的性质和客户的要求而定。提供报告的要求通常是由要求进行咨询业务的组织或人员决定的，因此关于报告形式和内容的要求应该满足他们制定的目标并与他们取得一致意见。无论采取何种方式沟通业务结果，都要清楚地表明业务的性质、存在的任何限制因素、限制条件或者其他应该引起信息使用者关注的事实。

　　2.6.2在一些情况下，内部审计师可以决定哪些结果应该越过服务接受者直接与其上级沟通，或要求提供服务者与其上级沟通。这时，内部审计师要扩展报告上报范围，以便可以与适当方面沟通业务结果。当扩展报告范围，向适当方面报告业务结果时，审计师要按照下列步骤进行，直至达到解决问题的目的：

　　· 首先，确认涉及咨询业务和相关沟通过程的协议中提供了什么样的规定;

　　· 第二，努力说服那些接受服务或要求提供服务的组织或个人能够自愿将业务结果与适当方面进行沟通;

　　· 第三，确认内部审计章程或审计政策和程序中有关咨询业务的操作指南是什么;

　　· 第四，确认组织制定的操作规程、道德规范以及其他相关政策中有关咨询业务的操作指南是什么;

　　· 第五，确认内部审计协会制定的《标准》和《道德规范》、审计师应该遵守的其他准则和规范以及一些相关法规中有关咨询业务的指南是什么。

　　2.6.3首席审计执行官负责向客户通报咨询业务的最终结果。在开展咨询业务时，可能会发现治理、风险管理和控制方面的问题。只要这些问题对组织是重要的，就必须向高级管理层和董事会报告。

　　2.7咨询业务的记录要求

　　需要注意的是：适合确认业务的记录规定没有必要一定应用在咨询业务的记录工作上。

　　2.8咨询业务的监督

　　内部审计部门应该监督咨询业务结果以最大限度地满足客户要求。不同类型的咨询业务需要采取不同类型的监督手段。监督效果如何取决于一些因素，例如：管理层对咨询业务的明确关心程度、内部审计师对项目风险的评估或者内部审计师对该项目能够为企业所创造价值的评估。

　　2.9开展咨询活动的指导原则(《实务公告》1000.C1-1)

　　· 价值观：内部审计活动的价值观体现在每一个雇用内部审计师的组织内，以一种适合该组织文化和资源的方式实现的。这种价值观体现在内部审计定义中，并且包含了保证和咨询活动。这些活动通过在管理、风险和控制领域内采取系统化、规范化的方法，来达到增加组织价值的目的。

　　· 遵循内部审计定义：在每一项内部审计活动中都包含系统的、规范的评价方法。广义类型的保证和咨询业务中通常包含有服务清单，不过，这些服务中还包括与广义内部审计定义相一致的、演变进化出来的增值服务类型。

　　· 审计活动不只包括确认和咨询业务：内部审计服务的种类有很多。确认与咨询业务并不相互排斥，也不排斥其他的审计活动(例如，调查和非审计作用)。许多审计服务既发挥保证作用，又发挥咨询(建议)作用。

　　· 确认与咨询业务之间的相互关系：内部审计咨询业务丰富了增值型的内部审计内容。虽然咨询活动通常是由确认服务直接产生的，但也要认识到确认业务也可能产生自咨询业务。

　　· 内部审计章程授权实施咨询业务：传统上，内部审计师提供了许多类型的咨询服务，范围包括：分析已建立控制制度，分析证券交易产品，被派出到相关单位分析经营情况并提出建议，等等。董事会(或审计委员会)应该授权内部审计活动提供额外服务并且在内部审计章程中作出规定。内部审计师在提供额外服务时，不能出现利益冲突现象，也不能违背对审计委员会承担的责任。

　　· 客观性：咨询业务可以增强对与确认业务相关的经营过程或事项的了解，并且不一定会损害审计师或内部审计活动的客观性。内部审计不具有管理决策的职能，是否采纳或实施作为内部审计咨询服务结果的建议取决于管理层，因此，管理层制定决策不会损害内部审计的客观性。

　　提供咨询服务的基础：很多咨询业务是确认和调查业务活动的一个自然的工作延伸，可能就是内部审计师提出的正式或非正式的建议、分析和评价。内部审计活动被定位于实施这类咨询业务是基于内部审计活动：(1)对组织的经营、风险及战略的广泛了解;(2)具有高标准客观性。

　　· 基础信息的沟通：向高级管理层和审计委员会提供保证是内部审计的首要存在价值，如果依据首席审计执行官的判断应向高级管理层及董事会成员报告的信息受到隐瞒，就无法开展咨询活动。所有咨询业务都应该在这种背景下得到理解。

　　· 组织所了解的咨询业务原则：组织必须制定为所有成员所了解的咨询业务的基本实施规定，而且这些规定应该编入经审计委员会批准且组织已颁布的内部审计章程中。

　　· 正式咨询业务：管理层通常聘请外部咨询顾问实施正式咨询业务，这需要持续很长时间。不过，组织会发现内部审计部门是唯一有资格实施一些正式咨询任务的部门。当内部审计活动受命去执行一项正式咨询业务时，内部审计小组应该采用系统化、规范化的方法来实施这项业务。

　　· 首席审计执行官(CEA)的职责：咨询活动使首席审计执行官得以就特定的管理问题与管理层进行对话。在对话中，业务范围及时间期限要符合管理层的需要，但是，首席审计执行官有权决定采取什么样的审计技术，并且在审计结果的性质和严重程度会给组织带来重大风险时，有权向高级管理层和审计委员会成员报告。

　　· 解决冲突或新问题的标准：内部审计师首要的还是一名内部的审计师，因此，在开展服务活动中，也应遵循IIA的《道德规范》及《标准》中的属性标准与工作标准，所有不可预见的冲突或活动都应按照《道德规范》及《标准》的规定解决。