美国萨班斯·奥克斯法案—302和404条款下内部审计师的职责.ppt

（一）咨询的源泉 内部审计师扮演一个咨询角色可能被要求帮助组织确认、评估和运用风险和控制评价方式以及对确定的相关风险建议控制措施。但是，决定采纳或运用建议，这些建议是内部审计建议服务的结果，应当由管理层做出。 * cia * 一个内部审计师可能被要求参与一个新程序的设计和运用过程，帮助管理层评价对于财务报告的内部控制。如果内部审计师的行为被限制在评价新的程序，对确定的相关风险的控制定义一个参考指南，内部审计师的客观性并不受到损害。 另外，如果内部审计师是项目组的一个成员，该项目组是用来选择管理层准备使用的评价方式和工具，或定义档案标准时，客观性不能被判断为受到损害。另一方面，如果内部审计师运用新的程序以弥补控制缺口，内部审计师的客观性可能被认为受到损害。 * cia * （二）作为管理层完成记录或测试的有力助手 如果管理层没有记录他们的控制环境，或者因为没有足够的资源在规定的时间里完成这项工作，那么内部审计师就要帮助管理层记录他们的内部控制。 但如果内部审计在帮助管理层记录他们的内控时关系过于紧密，以至于承担了一定决策角色（例如在记录程序中去执行内部控制），客观性将会受到妨害。 404条款要求管理层测试财务报告内部控制的设计和运行有效性，并就它们是否有效发表观点，来支持他们因为法律需要而做出的声明。 * cia * 理论上来讲，管理层应该设计测试程序来验证这些控制的有效性，这些测试应该由某些中立人士而非所有者和运营者来做。内部审计可以帮助管理层来设计和执行这些对内控有效性的测试，但其介入这种测试的程度应该被明确界定，并被管理层、内部审计师和审计委员会认可。 无论在何种情况下，管理层都应该就控制设计和运行的有效性做出最终决策，包括是否进行修正，怎样进行修正，以及支持管理层做出声明的信息是否充分。 * cia * （三）作为项目管理层 内部审计师一般在管理大型且复杂的项目、保证关键成果及时提供方面非常熟练。因此，内部审计师可能被要求在与404条款遵循相关的所有工作中扮演项目管理层的角色。 项目管理层将对如下工作负责：监督项目进程，及时协调沟通项目的阶段性结果，及时监控当前工作和预定时间表的一致性。如果内部审计师的角色被严格限制在这些管理任务中，客观性将不大可能受到妨害。 * cia * 然而，如果项目管理者成为下列工作中起决定作用的角色，如工作成果是否可以接受，项目的阶段性完成是否可以通过，项目组内的资源如何分配，或者其他类似的管理活动，内部审计的客观性将会受到妨害。 （四）作为内部控制培训或信息提供者 内部审计师可以提供培训以及内部控制界定和评估，风险管理，测试计划开发（在不妨害独立性的前提下）方面的信息。作为公司内部控制的专家，这是他们天然的角色。 * cia * （五）作为控制自我评估发起者 内部审计师经常作为控制自我评估的发起者，并对它有相当的促进。控制自我评估经常被管理者作为记录或评估内部控制的有效的、便利的手段。 如果内部审计师只是提供信息、培训或促进一项控制自我评估，独立性可能不会受到妨害。然后，如果在控制自我评估中，内部审计师掌握了评估结果或者成为记录的主要发起者，客观性将会受到妨害。 * cia * （六）作为披露程序证明者 内部审计师可能会被要求完成一些类型的证明，或者作为管理层302条款和404条款遵循程序的一部分就财务报告内部控制发表意见，首席审计师（CAE）必须保证任何声明和意见都有国际内审准则要求的足够的、适当的审计证据来支持。 * cia * 另外，根据404条款要求，外部审计师将会对管理层就关键的财务控制已经被确认并适当设计而做出的声明，以及管理层是否有足够的基础了解这些关键控制的运行情况，进行测试。外部审计师还将可能执行广泛的测试来验证管理层的声明的适当性。 * cia * 根据上市公司会计监管委员会（PCAOB）的审计准则，为了使外部审计师能够使用其他人执行的测试结果来改变控制测试的性质、时间和范围，他必须评估这些控制测试执行者的独立性和胜任性。 如果内部审计保持了独立性和客观性，外部审计师就能最大限度地使用他们的工作成果，也就是说，可以减少测试的范围，否则这些测试是外部审计师必须自己做的。在这种情况下，公司就能减少外部审计师费用。 * cia * 八、如何处理对内部审计客观性的妨害 CAE应该