【正文】 .如何針對外部審計師可以提供的內部審計服務計算40%的限額（注意：條例自2002年8月5日起生效，將只包括最初實施階段的一年中部分時間的小時數(shù)）； .40%的限額計算應該在審計階段開始時進行，并以當年所計劃的內部審計活動為依據(jù)。審計執(zhí)行主管應該建立恰當?shù)谋O(jiān)測系統(tǒng)，定期評價對40%限額的遵守情況，并對內部審計活動進行適當?shù)恼{整。 2040政策與程序 審計執(zhí)行主管應制定政策與程序，指導內部審計活動。 政策與程序的內容和形式應與內部審計活動的規(guī)模和結構及其工作的復雜性相適合。大的內部審計機構可制定內部審計手冊，小的內部審計機構可通過日常的工作指導和備忘錄來指例，以下哪項表述是錯誤的？所有的內審活動都應有詳細的政策程序手冊。導。 2050協(xié)調 審計執(zhí)行主管應與提供相關保證與咨詢服務的其他內外部人員分享信息、相互協(xié)調，以確保工作的全面性，最大限度地減少重復工作。協(xié)調（1）內部審計和外部審計工作范圍的區(qū)別內部審計工作范圍——用系統(tǒng)化、規(guī)范化的方法評估并增強風險管理、控制和公司治理的有效性。外部審計工作范圍——為獲取充分的證據(jù)以支持其對年度財務報表的公允性發(fā)表審計意見。（2）對內部審計工作與外部審計工作的協(xié)調與監(jiān)督，是董事會的責任。審計執(zhí)行主管在董事會的支持下負責實際的協(xié)調工作。在與外部審計人員協(xié)調時內部審計人員必須在遵守《標準》的原則下進行，盡可能采取能實現(xiàn)最大審計協(xié)調和效率的檢查方式。（3）協(xié)調的內容包括：協(xié)助外部審計師進行財務報表審計；評估內外部審計人員的審計職責；評價雙方的工作協(xié)調情況和外部審計師的工作情況，并向管理高層和董事會匯報；就特定事項與外部審計師交流；定期商討雙方關心的事項，如協(xié)調雙方的審計范圍、互相接觸審計方案和工作底稿、交換審計報告和管理建議書、互相理解對方使用的審計技術、方法和術語等互相協(xié)調，確保充分的審計范圍，最大的減少重復工作。 采購外部審計師的服務（1）內審部門在機構聘任內部或外部專家過程中的參與程度，取決于高級管理層和董事會的意愿?？赡苁遣粎⑴c、提供建議和協(xié)助、參與管理、乃至審計聘任的全過程。董事會和審計委員會要對聘任內部或外部審計人員制定一項政策，說明是定期需要，是組織的正常業(yè)務活動，以消除內審人員的疑惑。如沒有該項政策，審計執(zhí)行主管應當促成這項政策。（2）選擇或保留公司外部審計服務的恰當政策應該考慮以下內容：.董事會或審計委員會對政策的批準；.政策所管轄服務的性質和種類；.合同期限、正式提出服務請求的頻率和/或保留現(xiàn)有服務提供者的決心；.選擇和評價小組的參與人員或成員；.評價時應該考慮的關鍵或首要標準；.對服務收費的限制以及批準政策例外情形的程序；.具體行業(yè)或國家特有的管理或其他治理要求。 （3）董事會政策可能還會涉及采購外部審計公司可以提供的財務報表審計以外的其他服務。包括：.稅務服務；.咨詢和其他非審計服務；.從外部采購內部審計服務和/或聯(lián)合采辦審計服務；.特別服務（如已達成協(xié)議的服務內容）；.評估、評價和精算業(yè)務；.招聘、簿記、技術服務等臨時業(yè)務；.外部審計小組提供的法律服務。 （4）內部審計師在參與聘任過程中，可采取以下程序：由管理層召開會議說明需要提供的服務和條件；與候選人舉行現(xiàn)場會議；要求候選人提供背景信息和其他信息；篩選候選人；簽訂書面協(xié)議，明確權責。 2060向董事會與高級管理層報告情況 審計主管應定期向董事會與高級管理層報告與計劃有關的內部審計活動的目的、權力、責任與工作業(yè)績。另外還應報告重要的風險揭示與控制問題、公司治理問題以及委員會和高級管理層需要或要求知曉的其他事項。 審計執(zhí)行主管應至少每年向高級管理層和董事會提交一次工作報告。工作報告工作報告與審計報告區(qū)別？應突出重要的審計發(fā)現(xiàn)和建議，應通報已批準的審計工作項目計劃、人員配置計劃、財務預算在執(zhí)行中出現(xiàn)的任何重要偏離及其原因。 重要的審計發(fā)現(xiàn)指那些根據(jù)審計執(zhí)行主管的判斷，可能對機構產(chǎn)生不利影響的情況，包括處理違章、違法、差錯、低效率、浪費、無效、利益沖突和控制系統(tǒng)的薄弱環(huán)節(jié)。 管理層的職責是對重大的審計發(fā)現(xiàn)和建議所應采取的適當改進措施作出決定，有可能因考慮到成本費用和其他原因，而不采取整改措施，承擔因此產(chǎn)生的風險當管理層決定承擔風險時，審計師應評價其合理性。應將高級管理層作出的決定通知董事會。 如管理層決定不采取整改措施，審計執(zhí)行主管應考慮將原先已報告的重要審計發(fā)現(xiàn)和建議再向董事會報告是否恰當。尤其是機構、董事會、高級管理層或其他方面有變動時。 審計報告還應該將內部審計的實際業(yè)績與工作目標和審計工作日程比較，將支出與財務預算相比較。 2100工作性質 內部審計活動評價并幫助改進機構的風險管理、控制和治理體系。 工作性質 （1）內部審計的工作性質是要應用系統(tǒng)化、規(guī)范化的方法，來評價和改進風險管理、控制和治理過程的充分性、有效性和履行職責的質量，以保證這些程序按預期進行，改善生活機構的運營狀況，實現(xiàn)機構的目標和目的。 充分性—管理層已經(jīng)計劃和設置了風險管理、控制和治理程序，能夠為有效實現(xiàn)機構目標和目的提供合理的保證。 有效性—準確、及時和經(jīng)濟地實現(xiàn)機構的目標和目的。 經(jīng)濟性—根據(jù)風險程度用最少的資源實現(xiàn)機構的目標和目的。 （2）如果管理層提供指導的方式能夠確保機構的目標、目的得以實現(xiàn)，那么風險管理、控制和治理程序就是有效的。管理層還應通過授權開展業(yè)務和交易，監(jiān)督業(yè)績監(jiān)督業(yè)績，從業(yè)務計劃開始持續(xù)業(yè)務檢查，評價，溝通，它是持續(xù)的而非定期的。，證實機構的程序按設計如期運營管理機構。 （3）廣泛地說，管理層既要對整個機構的可持續(xù)發(fā)展能力負責，也要對機構的活動、行為作出解釋，同時要對所有者、利益關系方、管理機構、普通公眾負責。整個管理程序的目標是： .財務和運營信息的相關性、可信賴性和可靠性； .高效率有成果地利用機構資源； .護衛(wèi)機構的資產(chǎn)； .遵守法律、規(guī)章、道德和業(yè)務規(guī)范及合同； .識別風險并利用有效的戰(zhàn)略控制風險； .為運營或方案建立目標和目的。 （4）為確保實現(xiàn)目標，管理層除要計劃、組織和指導實施大量的活動外，還要定期檢查目標和目的并修改程序，以及建立和保持機構的文化。 （5）控制—管理層開展的用以增強實現(xiàn)既定目標和目的實現(xiàn)可能性的一切活動。包括：預防性的、發(fā)現(xiàn)性的、指導性的預防性：防止錯誤而采取的控制，如：信用審核，招標，職責分離，使用密碼，授權。檢查性：為了發(fā)現(xiàn)錯誤而采取的控制，如：檢查，比較，核對銀行對賬單，實物清點指導性：為了確保實現(xiàn)有利結果而采取的控制，如：政策，指南，手冊。 控制系統(tǒng)—機構用以實現(xiàn)其目的和目標的所有控制要素和活動的整合。 （6）內部審計師要評價計劃、組織和指導的整個管理過程，以確定是否能合理保證任務和目標的實現(xiàn)。內部審計師應警惕在內外部環(huán)境中影響提供保證服務的實際或潛在的變化，并應處理可能使業(yè)績惡化的風險。 （7）總的來說，內部審計評估能夠提供信息，評價整個管理過程，以合理保證管理層的風險管理系統(tǒng)有效，內部控制系統(tǒng)高效率、有效果，治理程序有效。 信息安全性 內部審計師應確定管理層是否明確信息安全性是一種管理責任；應確定內部審計活動擁有或有辦法獲取相關的審計資源，對信息安全性和有關風險進行評價；應確定管理人員是否保證一旦出現(xiàn)威脅機構的侵害信息安全的情況會馬上告知內部審計人員；應評價對侵害行為采取措施的有效性和核證董事會、審計委員會或其他治理機構已通過恰當途徑獲知侵害行為等的具體情況；應定期評價機構的信息安全實務，在合適的條件下，加強或實施新的控制和保衛(wèi)措施，并根據(jù)評價結果為董事會、審計委員會或其他治理機構提供保證報告。 內部審計在風險管理過程中的作用 風險管理是管理人員的關鍵職責，管理人員應該保證機構的風險管理過程健全有效，并發(fā)揮作用。 董事會和審計委員會負責監(jiān)督、判斷機構是否有適當?shù)娘L險管理過程，以及是否充分、有效。 內部審計師的職責運用內審的定義最合適。是，運用風險管理方法和控制措施，對風險管理過程的充分性和有效性進行檢查、評價和報告，提出改進建議，為管理層和審計委員會提供幫助。作為咨詢顧問身份開展工作的內部審計師可以協(xié)助機構確定、評價并實施針對風險的管理方法和控制措施。 對機構的風險管理過程進行評價和報告一般是審計的重點。評價管理風險程序有別于審計師應用風險分析對審計進行的計劃工作。但是，來自綜合性風險管理過程的信息有助于內部審計師計劃審計工作。 審計執(zhí)行主管應理解管理層和董事會對內審部門在風險管理過程中起何作用的期望。這種理解應該在內部審計部門和審計委員會各自的章程中得到規(guī)定。 風險管理過程中，在一個組織內部應當有職責分工，各司其職。如戰(zhàn)略方向的確定由董事會或委員會負責；風險的歸屬可以由管理高層分配；對剩余風險末被管理的風險。風險的管理就是采取一定的措施對風險進行檢測評估，使風險降低到可以接受的程度的接受可以由執(zhí)行管理層決定；持續(xù)的確認、評價、減緩和監(jiān)測活動可以由操作層人員分配決定；定期評價和保證工作由內審部門負責。 內部審計部門在風險管理過程中的作用有一個發(fā)展過程，即從不在風險管理過程中起任何作用；到作為內部審計工作計劃的一部分對風險管理過程進行審計；到積極持續(xù)地支持并參與風險管理過程。至于起多大作用要由管理層和審計委員會決定。 內部審計在尚未建立風險管理過程的機構中的作用 這種情況下，審計執(zhí)行主管應提請管理層注意，并提出建議。內部審計師應該就內部審計部門在風險管理過程中應起的作用獲得管理層和董事會的領導支持，并在章程中作出規(guī)定。 如果有關方面提出要求，內部審計師可以積極協(xié)助機構風險管理過程的初步建立工作。內部審計師更為積極的作用是通過改善基本程序的咨詢方式對傳統(tǒng)保證活動進行補充。如果這些協(xié)助活動設計，起草，操作，運行。等超出了內部審計師正常的保證和咨詢工作范圍，審計的獨立性就會受到損害。在這種情況下，內部審計師應該遵守《標準》的披露要求。 內部審計師在開發(fā)和管理風險管理過程中所起的積極作用有別于在“風險歸屬”問題上所起的作用。為了避免參與“風險歸屬承擔管理風險，有損其獨立性也”問題，內部審計師應該要求管理層證實其在確定、防范、監(jiān)測以及決定風險“歸屬”方面的責任。 總之，內部審計師可以促進風險管理過程的建立或使建立成為可能，但是，不應該“擁有”已確認的風險或負責對這些風險的管理。 在評價合規(guī)項目時的法律考慮 合規(guī)項目可以協(xié)助機構防止雇員過失違法，發(fā)現(xiàn)違法行為并打擊雇員的故意違法亂紀行為，還可以協(xié)助證明保險索賠，確定董事和高級職員的責任，創(chuàng)建并加強機構身份并決定懲罰性賠償?shù)暮线m性。內部審計師應該按照以下建議步驟評價機構的合規(guī)項目，促進合規(guī)項目的有效執(zhí)行。 （1）機構應制定合規(guī)性標準在沒有標準時應和管理層一起制定。和程序，供其雇員和其他有可能合理減少犯罪概率的代理機構或代理人遵守。 （2）機構高層的具體人員應該總體負責監(jiān)督對標準和程序的遵守情況。 （3）機構應該審慎度事，避免將實質性的自主權授予機構知道或通過審慎度事應該知道有違法亂紀企圖的人員。 （4）機構應采取步驟將其標準和程序向所有雇員和其他有關代理人進行有效宣傳。 （5）機構應該采取合理步驟促成對其標準的遵守。 （6）應該通過恰當?shù)募o律機制連貫一致地實施標準。 （7）在發(fā)現(xiàn)違法行為后，機構應該采取合理步驟對違法行為做出恰當反應并防止類似的錯誤再次發(fā)生。 2110風險管理 內部審計活動應幫助機構發(fā)現(xiàn)并評價重要的風險因素、幫助改進風險管理與控制體系。評估風險管理過程的充分性內部審計師可能會被委以就機構的風險管理過程是否充分向管理層和審計委員會提供保證的職責，對機構風險管理過程是否足以保護其資產(chǎn)、聲譽以及持續(xù)運營能力發(fā)表意見。內部審計師必須確認機構的風險管理過程是否著眼于5個主要目標：（1）找出經(jīng)營戰(zhàn)略與業(yè)務活動的風險，并將風險排序；（2）了解管理層和審計委員會確定的、能夠接受的風險水平；（3）制定并實施降低風險計劃，把風險降到可以接受的水平上；（4）定期對風險和控制進行評估，以降低管理風險；（5）定期向董事會和管理層報告風險管理過程的結果。