內部稽核執業準則,國際內部稽核協會為促進內部稽核功能之有效發揮,特發布「內部稽核執業準則」(Standards for the Professional Practice of Internal Auditing),供內部稽核從業人員遵循。
基本介紹
- 中文名:內部稽核執業準則
- 外文名:Standards for the Professional Practice of Internal Auditing
- 一般準則:目的、職權及責任
- 作用:內部稽核從業人員遵循
一般準則(Attribute Standards),目的、職權及責任,內部稽核定義、職業道德規範及本準則之確認,獨立性與客觀性,機構之獨立性,個別人員客觀性,獨立性或客觀性受損,技能專精及專業上應有之注意,專業上應有之注意,持續專業發展,質量保證與改善計畫,質量保證與改善計畫之要求,內部評核,外部評核,質量保證與改善計畫之報告,遵循國際內部稽核執業準則一詞之使用,未遵循之揭露,內部稽核單位之管理,規劃,溝通及核准,資源管理,政策及程式,協調,向高階管理階層及董事會報告,外部服務提供商與機構對於內部稽核之責任,工作性質,治理,風險管理,控制,項目之規劃,規劃之考慮,項目之目的,項目之範圍,項目之資源分配,項目之工作程式,項目之執行,辨識信息,分析與評估,記錄信息,項目之督導,結果之溝通,溝通之標準,溝通之品質,錯誤與遺漏,依照國際內部稽核執準則執行一詞之使用,專案未遵循之揭露,結果之傳送,整體意見,進度之監控,高階管理階層承受風險之處理,
一般準則(Attribute Standards)
目的、職權及責任
內部稽核單位之目的、職權及責任,須明訂於內部稽核制度,其內容須符合內部稽核之定義、職業道德規範及本準則之要求。內部稽核主管須定期檢討內部稽核制度,並將其提報高階管理階層及董事會通過。
內部稽核制度系一份正式檔案,用以界定內部稽核單位之目的、職權及責任。內部稽核制度確立內部稽核單位在機構內之地位、包括內部稽核主管向董事會進行功能性報告之關係的性質;授權其接觸與項目執行有關之紀錄、人員及實體財產,以及界定內部稽核業務之範圍。內部稽核制度之最終核定權屬於董事會。
對機構提供確認性服務之性質須於內部稽核制度明定。若確認性服務系提供給機構外之對象,此等服務之性質亦須於內部稽核制度明定。
諮詢服務之性質須於內部稽核制度明定。
內部稽核定義、職業道德規範及本準則之確認
內部稽核定義、職業道德規範及本準則之強制性須於內部稽核制度中確認。內部稽核主管應與高階管理階層及董事會討論內部稽核定義、職業道德規範及本準則。
獨立性與客觀性
內部稽核單位須具超然獨立之地位,內部稽核人員執行業務須保持客觀。
獨立性系指內部稽核單位以無偏袒方式執行內部稽核職責之能力,免於受到威脅。為達到有效執行內部稽核單位職責所需之獨立性程度,內部稽核主管可以直接及無限制地與高階管理階層及董事會接觸。此項需求可透過雙重之報告關係予以達成。對於獨立性之威脅須從個別稽核人員、項目、功能性及機構別等層級,加以管理。
客觀性系指無偏袒之心態,使內部稽核人員得以一定方式執行項目,而對其工作結果具有信心,且無質量上之妥協。客觀性要求內部稽核人員對於稽核事項之判斷,不受他人影響。對於客觀性之威脅須從個別稽核人員、項目、功能性及機構別等層級,加以管理。
機構之獨立性
內部稽核主管須向機構內能使內部稽核單位完成其責任之層級報告。內部稽核主管須至少每年一次向董事會確認內部稽核單位在機構內之獨立性。
解釋:
內部稽核在功能上向董事會報告時,即有效達到其機構獨立性。向董事會進行之功能性報告,例如董事會: 核准內部稽核制度。 核准以風險為基礎之內部稽核計畫。 接受內部稽核主管有關內部稽核單位執行其計畫及其他事項之報告。
核准有關內部稽核主管聘任及解職之決策;以及 向管理階層及內部稽核主管進行適當的詢問,以確認是否有不當之稽核範圍或資源限制。
內部稽核單位於決定內部稽核範圍、執行工作及溝通結果時,須能免於受到干擾。
內部稽核主管須與董事會直接溝通及互動。
個別人員客觀性
內部稽核人員須秉持公正無私之態度,並避免任何利害衝突。
解釋:
利害衝突系指受到信任之內部稽核人員面臨專業競業利益或個人競業利益之情況。該項競業利益可能導致內部稽核人員難以無偏地履行其職責。即使並未發生違反倫理或不當之行為,仍存在著利害衝突。利害衝突會導致形式上之不當,從而降低他人對於該內部稽核人員、內部稽核單位,以及內部稽核專業之信心。利害衝突可能損害個人客觀執行其職責之能力。
獨立性或客觀性受損
獨立性或客觀性如有形式上或實質上受損時,須向適當對象揭露,揭露之性質視受損情形而定。 6
解釋:
內部稽核單位獨立性及個人客觀性之受損可能包含(但不局限於)個人利害衝突、範圍限制、資源受限(例如經費),以及對於紀錄、人員及財產接觸之限制。
獨立性或客觀性受損細節須揭露之適當對象,取決於內部稽核制度記載之內部稽核單位及內部稽核主管對於高階管理階層及董事會應負之責任,以及該項損害之性質。
A1 – 內部稽核人員須避免評估其先前負責之特定業務。若內部稽核人員對過去一年所負責之業務提供確認性服務,其客觀性視為受損。
A2 – 確認性服務項目涉及內部稽核主管負責之職務時,須由獨立於內部稽核單位以外之人士督導。
C1 – 內部稽核人員可對其先前負責或查核之業務提供諮詢服務。
C2 – 若內部稽核人員對擬提供之諮詢服務之獨立性或客觀性有潛在受損之虞,須於接受項目的前期向委任客戶揭露。
技能專精及專業上應有之注意
內部稽核工作之執行,須具備熟練之專業技能,並盡專業上應有之注意。 7
1210 – 技能專精
內部稽核人員須具備執行其個別職責所需之知識、技能及其他能力。內部稽核單位整體須具備或取得履行其職責所需之知識、技能及其他能力。
解釋:
知識、技能及其他能力為一項集合名詞,系指內部稽核人員有效履行其專業責任所需專業上之精通。內部稽核人員宜取得適當之專業證照及資格,例如國際內部稽核協會及其他適當專業機構所提供之內部稽核師頭銜或其他頭銜,以顯示其專精。
A1 – 內部稽核人員欠缺執行確認性項目所需之知識、技能或其他能力時,內部稽核主管須取得適切之專業建議及協助。
A2 – 內部稽核人員須具備足以評估舞弊風險及機構如何管理舞弊風險之知識,但無須具備與主要負責舞弊偵測及調查者相當之專精能力。
A3 – 內部稽核人員須充分了解信息科技之主要風險與控制,及以科技為基礎之可用稽核技術,俾執行其被指派之工作。但並非所有內部稽核人員皆應具備與主要負責信息科技稽核者相當之專精能力。 8
C1 – 內部稽核人員欠缺執行諮詢項目所需之知識、技能或其他能力時,內部稽核主管須拒絕接受該項委任,或取得適切之專業建議及協助。
專業上應有之注意
內部稽核人員須實行合理謹慎及適任之內部稽核人員所應有之注意及技能。盡專業上應有之注意並非意指完全無錯誤或失敗。
A1 – 為善盡專業上應有之注意,內部稽核人員執行確認性項目時,須考慮下列事項:
達成項目目的所需工作之程度或範圍。
所涉及事項之相對複雜性、重大性或重要性。
治理、風險管理及控制過程之適足性與有效性。
重大錯誤、舞弊或未遵循之可能性。
項目成本與潛在效益之關係。
A2 – 內部稽核人員在善盡專業上應有之注意時,須考慮採用以科技為基礎之稽核及其他數據分析技術。
A3 – 內部稽核人員對可能影響機構目標、營運或資源之重大風險,須保持警覺。縱使已善盡專業上應有之注意,確認性程式之執行仍不能保證辨識所有重大風險。
C1 – 內部稽核人員提供諮詢服務時,須考慮下列事項,以盡專業上應有之注意: 9
客戶之需要及期望,包括項目結果之性質、提出時機及溝通方式。
達成項目目的所需工作之複雜性及其程度或範圍。
項目成本與潛在效益之關係。
持續專業發展
內部稽核人員須持續其專業發展,以增進知識、技能及其他能力。
質量保證與改善計畫
內部稽核主管須訂定及維持一套涵蓋內部稽核單位所有層面之質量保證與改善計畫。
解釋:
質量保證與改善計畫系用以促使評估內部稽核單位對於內部稽核定義及本準則之遵循情形,以及評估內部稽核人員是否遵守職業道德規範。該項計畫亦評估內部稽核單位之效率及效果,並辨識改善之機會。
質量保證與改善計畫之要求
質量保證與改善計畫須同時包含內部評核及外部評核。
內部評核
內部評核須包括:
對內部稽核單位之績效作持續性監控,以及 透過自我評估或由機構內充分了解內部稽核實務及本準則之其他人員執行定期覆核。
解釋:
內部稽核單位日常之督導、覆核及衡量,應包含持續性監控。持續性監控應併入用於管理內部稽核單位之例行政策及實務,並使用必要之流程、工具及信息,以評估對於內部稽核定義、職業道德規範,以及本準則之遵循情形。
定期覆核系屬一種評核,藉以評估內部稽核定義、職業道德規範,以及本準則之遵循情形。
充分了解內部稽核實務系指至少了解國際專業實務架構之所有組成要素。
外部評核
外部評核須每五年至少進行一次,由機構外適任、獨立之評核者或評核團隊執行。內部稽核主管須與董事會討論:
更為頻繁之外部評核需求。
外部評核者或評核團隊之資格及獨立性,包含潛在之利害衝突。
解釋:
適任之評核者或評核團隊展現其專精於兩個領域:內部稽核專業實務及外部評核過程。專精可透過經驗及理論學習之綜合,予以展現。在類似規模、複雜度、部門或產業之機構所獲得之經驗,優於較不攸關之經驗。若使用評核團隊,並非該團隊所有成員需要具備全部之能力,而是整個團隊適任。內部稽核主管套用專業判斷,以評估評核者或評核團隊是否展現適任所需之專精。
獨立之評核者或評核團隊系指並無實質或明顯之利害衝突,且不屬於或不受制於受評內部稽核單位所屬之機構。
質量保證與改善計畫之報告
內部稽核主管須將質量保證與改善計畫之結果向高階管理階層及董事會報告。
解釋:
質量保證與改善計畫結果溝通之形式、內容及頻率之決定,系透過與高階管理階層及董事會之討論,並考慮內部稽核制度有關內部稽核單位及內部稽核主管之職責。為呈現對於內部稽核定義、職業道德規範,以及本準則之遵循,外部評核及定期性內部評核之結果於該項評核完成時進行溝通,持續性監控之結果至少每年溝通一次。上述結果包含評核者或評核團隊對於遵循程度之評估。
遵循國際內部稽核執業準則一詞之使用
惟有在質量保證與改善計畫之結果證實內部稽核單位遵循國際內部稽核執業準則時,內部稽核主管才能做此聲明。
解釋:
內部稽核單位達到內部稽核定義、職業道德規範及執業準則描述之成果時,即為遵循本準則。質量保證與改善計畫之結果同時包含內部評核及外部評核之結果。所有內部稽核業務皆有內部評核之結果。至少存在五年之內部稽核業務亦有外部評核之結果。
未遵循之揭露
若未能遵循內部稽核定義、職業道德規範或本準則,而影響內部稽核單位之整體範圍或運作時,內部稽核主管須向高階管理階層及董事會揭露未遵循之事項及其影響。 13
作業準則(Performance Standards)
內部稽核單位之管理
內部稽核主管須有效管理內部稽核單位,以確保對機構產生價值。
解釋:
內部稽核單位符合下列情況時,其管理系屬有效:
內部稽核單位工作結果達到內部稽核制度所含之目的及責任。
內部稽核單位遵循內部稽核定義及本準則。
內部稽核單位成員顯示其遵守職業道德規範及本準則。
內部稽核單位對於治理、風險管理及控制過程提供客觀及攸關的確認,且對其效果及效率做出貢獻,即為機構(及其利害關係人)增加價值。
規劃
內部稽核主管須依據機構目標及風險評估結果,訂定工作計畫,以決定稽核業務之優先權。
解釋:
內部稽核主管負責制定一套以風險為基礎之計畫。內部稽核主管考慮機構之風險管理架構,包含使用管理階層針對機構之不同作業或層面所設定之風險胃納水平。若無該項架構,內部稽核主管可於諮詢高階管理階層及董事會之後,自行判斷。
A1 – 內部稽核單位之工作計畫須基於至少每年一次之書面風險評估,並須考慮高階管理階層及董事會提供之意見。
A2 – 內部稽核主管須辨識及考慮高階管理階層、董事會及其他利害關係人對於內部稽核意見及其他結論之期望。
C1 – 內部稽核主管於決定是否接受提議之諮詢項目時,應考慮該項目對改善風險管理、增加價值及改善機構營運之潛力。已接受之諮詢項目須納入工作計畫。
溝通及核准
內部稽核主管須將內部稽核單位之工作計畫、所需資源及後續之重大變更,報請高階管理階層及董事會核閱及通過。若稽核資源受到限制,須將其影響加以溝通。
資源管理
內部稽核主管須確保所需資源之適當、充分及有效配置,以完成既定之工作計畫。
解釋:
所謂適當,系指執行該項計畫所需之知識、技能及其他能力之組合。所謂充分,系指完成該項計畫所需資源之數量。若資源之使15
用得以最佳方式完成既定之工作計畫,則資源之配置有效。
政策及程式
內部稽核主管須建立政策及程式,以作為稽核業務之指引。
解釋:
政策及程式之形式及內容取決於內部稽核單位之規模及架構,以及其工作之複雜度。
協調
內部稽核主管應與稽核業務之其他內部及外部服務提供商分享信息及協調作業,以確保工作範圍之適當及減少工作之重複。
向高階管理階層及董事會報告
內部稽核主管須將內部稽核單位之目的、職權、責任及工作計畫執行情形,定期向高階管理階層及董事會提出報告。報告內容另須包括重大之暴險與控制問題(包含舞弊風險)、治理問題及高階管理階層與董事會所要求之其他事項。
解釋:
報告頻率及內容之決定,系經由與高階管理階層及董事會之討論,並取決於所欲溝通信息之重要性以及高階管理階層或董事會所應採取相關行動之急迫性。 16
外部服務提供商與機構對於內部稽核之責任
外部服務提供商扮演內部稽核單位之角色時,該服務提供商須讓該機構知悉,該機構具有維持有效內部稽核單位之責任。
解釋:
上述責任之展現,系透過質量保證與改善計畫,以評估內部稽核定義、職業道德規範及執業準則之遵循情形。
工作性質
內部稽核單位須以有系統、有紀律之方法,評估及協助改善治理、風險管理及控制過程。
治理
內部稽核單位須評估機構之治理過程,並提出適當之改善建議,以達成下列目標:
提倡機構合宜之倫理與價值觀。
確保機構有效之績效管理及責任歸屬。
對機構內之適當對象溝通風險及控制信息。
確保董事會、外部稽核人員、內部稽核人員與管理階層間作業協調及信息溝通。
A1 – 內部稽核單位須對與機構倫理有關之目的、計畫及活動,評估其設計、執行及成效。
A2 – 內部稽核單位須評估機構之信息科技治理是否17
支持機構之策略及目標。
風險管理
內部稽核單位須評估風險管理過程之有效性,並對其改善做出貢獻。
解釋:
風險管理過程是否有效之決定,源自於內部稽核人員針對下列項目的判斷:
機構之目標支持及符合機構之使命。
重大風險業已辨識及評估。
選擇適當之風險回響,使得風險符合機構之風險胃納。
攸關之風險信息業已及時取得,並於機構內溝通,以便於工作人員、管理階層及董事會履行其職責。
內部稽核單位執行多項項目時,可蒐集上述信息,以支持此項評估。這些項目結果的整體檢視,有助於了解機構的風險管理過程及其成效。
風險管理過程系透過持續性管理活動、個別評估,或兩者同時實行之方式,予以監控。
A1 – 內部稽核單位須評估下列與機構之治理、營運及信息系統有關之暴險:
財務及營運信息之可靠性及完整性。
營運及計畫之效果及效率。
資產之保全。
法令、政策、程式及契約之遵循。
A2 – 內部稽核單位須評估舞弊發生之可能性,以及機構如何管理舞弊風險。
C1 – 執行諮詢項目時,內部稽核人員須著重項目目的之相關風險,並注意其他重大風險。
C2 – 內部稽核人員須將執行諮詢項目所獲得之風險知識,運用於評估機構之風險管理過程。
C3 – 協助管理階層建立或改善風險管理過程時,內部稽核人員須避免實際管理風險,而承擔管理階層之責任。
控制
內部稽核單位須評估各項控制之效果及效率,並促進控制之持續改善,以協助機構維持有效之控制。
A1 – 內部稽核單位須評估用於回響機構治理、營運及信息系統下列風險控制措施之適足性與有效性:
財務及營運信息之可靠性及完整性。
營運及計畫之效果及效率。
資產之保全。
法令、政策、程式及契約之遵循。
C1 – 內部稽核人員須將執行諮詢項目所獲得之控制知識,運用於評估機構之控制流程。
項目之規劃
內部稽核人員須就每項項目擬訂書面計畫,其內容應包含該項目之目的、範圍、時程及資源分配。
規劃之考慮
內部稽核人員規劃項目時,須考慮:
項目對象之目的及其控制績效之方法。
項目對象及其目的、資源與營運所面臨之重大風險,以及其將風險之潛在影響維持在可接受水平之方法。
項目對象風險管理及控制過程之妥當性及有效性。
項目對象風險管理及控制過程重大改善之可能性。
A1 – 為機構外之對象規劃確認性項目時,內部稽核人員須與該對象就項目目的、範圍、相對責任,以及其他期望,包含項目結果分送及紀錄使用之限制,建立書面共識。
C1 – 內部稽核人員須與諮詢項目客戶就項目目的、範圍、相對責任及其他期望,建立共識。重大項目之共識,須以書面為之。
項目之目的
每項項目皆須設定其目的。
A1 – 內部稽核人員須針對項目對象之風險,進行初步評估。項目之目的須反映風險評估之結果。
A2 – 內部稽核人員擬定項目目的時,須考慮發生重大錯誤、舞弊、未遵循及其他暴險之可能性。
A3 – 各項控制之評估需要適當標準。內部稽核人員須確認管理階層已建立適當標準,以決定目的及目標達成之情形。若標準適當,內部稽核人員須使用該標準進行評估;若不適當,內部稽核人員須與管理階層共同研訂合宜之評估標準。
C1 – 諮詢項目之目的須在客戶同意之範圍內,檢討治理、風險管理及控制過程。
C2 – 諮詢項目之目的須與機構之價值、策略及目標一致。 21
項目之範圍
項目範圍之設定須足以達成項目目的。
A1 – 項目之範圍須考慮相關制度、紀錄、人員及實體財產,包括由第三者所掌控者。
.A2 – 進行確認性項目時,若有重大諮詢機會,應就諮詢項目之目的、範圍、相對責任及其他期望,達成具體共識,作成書面紀錄,並依照諮詢相關準則溝通該項諮詢項目之結果。
C1 – 執行諮詢項目時,內部稽核人員須確保項目範圍足以達成約定之目的。若內部稽核人員在項目執行過程中,對該範圍有所保留,須與客戶討論,以決定是否繼續進行此項項目。
C2 – 執行諮詢項目時,內部稽核人員應著重與項目目的相關之控制,並留意任何重大之控制缺失。
項目之資源分配
內部稽核人員須決定達成項目目的所需之適當及充分之資源。人員之指派應基於對項目性質與複雜度、時間限制及可用資源之評22
估。
項目之工作程式
內部稽核人員須擬訂達成項目目的之書面工作程式。
A1 – 工作程式須包含執行項目過程中,用以辨識、分析、評估及記錄信息之程式。工作程式執行前須先經核准,其調整亦須迅速取得核准。
C1 – 諮詢項目工作程式之格式及內容,得視項目之性質而異。
項目之執行
內部稽核人員須辨識、分析、評估及記錄充分之信息,以達成項目之目標。
辨識信息
內部稽核人員須辨識充分、可靠、攸關及有用之信息,以達成項目之目標。
解釋:
充分之信息系指其符合事實、適切及具說服力,可使審慎、具備相關知識之人士做出與稽核人員相同之結論。可靠之信息系指利用適當之項目技術所取得之最佳信息。攸關之信息支持項目之觀察與建議,並與項目目的一致。有用之信息協助機構達成其目標。 23 24
分析與評估
內部稽核人員作成之結論及項目結果,須基於適當之分析與評估。
記錄信息
內部稽核人員須記錄攸關之信息,以支持其結論及項目結果。
A1 – 內部稽核主管須控制確認性項目紀錄之使用。內部稽核主管於提供此等紀錄予外部人士前,須視需要徵得高階管理階層及法律顧問之同意。
A2 – 內部稽核主管須制定確認性項目紀錄保存之規定,無論其使用何種媒介儲存。該項規定須符合機構之相關規範及有關之法令。
C1 – 內部稽核主管須針對諮詢項目紀錄之保管、保存及提供內部及外部人士使用,訂定相關政策,並須符合機構之相關規範及有關之法令。
項目之督導
項目之執行須加以適當督導,以確保目的之達成、質量之保證及人員之養成。
解釋:
所需之督導程度取決於內部稽核人員之專精及經驗,以及項目之複雜度。無論項目是否由內部稽核單位執行,內部稽核主管對於該項目之督導負起全責,但可以指定具備適當經驗之內部稽核單位成員執行該項覆核。適當之督導證據應予記錄及保留。
結果之溝通
內部稽核人員須與有關人員溝通項目結果。
]b]
溝通之標準
溝通內容須包含項目之目的與範圍,以及合適之結論、建議與行動計畫。
A1 – 項目結果之最終溝通,須視情況包含內部稽核人員之意見或結論。上述溝通須包含符合高階管理階層、董事會及其他利害關係人期望之意見或結論,並以充分、可靠、攸關及有用之信息為左證。
解釋:
項目層級之意見可能為評等、結論、或項目結果之其他描述。此種項目可能與某項特定流程、風險或業務單位之控制有關。此種意見之形成,需考慮項目結果及其重大性。
A2 – 內部稽核人員在項目溝通時,對令人滿意之績效宜予肯定。
A3 – 提供項目結果給機構外人士時,須告知其有關26
轉送及使用之限制。
C1 – 諮詢項目進度及結果之溝通,其形式及內容視項目性質及客戶之需求而異。
溝通之品質
溝通須正確、客觀、明確、簡潔、具建設性、完整與及時。
解釋:
正確之溝通為無錯誤及扭曲,並忠於相關之事實。客觀之溝通為公平、無私及不偏,且為公正及平衡地評估所有攸關事實及情況之結果。明確之溝通為易於了解且合乎邏輯,避免不必要之專業術語及提供所有重要及攸關信息。簡潔之溝通為切題及避免不必要之闡述、過度瑣碎、冗辭及贅語。具建設性之溝通可以幫助項目客戶及機構,並促成必要之改善。完整之溝通應未遺漏對溝通對象重要之信息,且包含所有支持建議及結論之重大與攸關之信息與觀察。及時之溝通就議題之重要性而言,系屬時機恰當及適時,便於管理階層採取適當之改正行動。
錯誤與遺漏
若原項目報告含有重大錯誤或遺漏,內部稽核主管須將更正之信息與原報告收受者溝通。
依照國際內部稽核執準則執行一詞之使用
惟有在質量保證與改善計畫之結果證實本準則已被遵循時,內部稽核人員才能聲明其項目系「依照國際內部稽核執業準則執行」。
專案未遵循之揭露
未遵循職業道德規範或本準則而影響特定項目時,項目結果之溝通須揭露:
未能完全遵循之職業道德規範之原則或行為準則或本準則。
未遵循之理由。
未遵循對於該項目及已溝通項目結果之影響。
結果之傳送
內部稽核主管須將項目報告傳送適當對象。
解釋:
內部稽核主管或其指定人員在項目報告傳送前,予以覆核及核准,並決定該報告之傳送對象及方式。
A1 – 內部稽核主管須負責將項目報告傳送給能適當考慮該報告內容之對象。
A2 – 若法規未強制要求揭露,內部稽核主管向外界揭露項目報告內容前,須: 評估其對機構可能產生之風險。 於必要時,與高階管理階層及法律顧問進行咨商。 限制該項目報告內容之使用,以控制其傳送。
C1 – 內部稽核主管負責向委任客戶提出諮詢項目報告。
C2 – 執行諮詢項目時,若發現重大之治理、風險管理及控制問題,內部稽核主管須向高階管理階層及董事會報告。
整體意見
提出整體意見時,須考慮高階管理階層、董事會及其他利害關係人之期望,並以充分、可靠、攸關及有用之信息為左證。
解釋:
上述溝通會指出:
該項意見之範圍,包含與該意見有關之期間。 範圍之限制。 所有相關項目的考慮,包含對於其他確認性服務提供商之依賴。 該項整體意見所依據之風險或控制架構,或其他標準;以及 所達成之整體意見、判斷或結論。 不利之整體意見須陳述其原因。
進度之監控
內部稽核主管須建立並維持監控制度,以追蹤管理階層收受項目報告後之處理情形。
A1 – 內部稽核主管須建立一套追蹤程式,以監控及確保管理階層業已採取有效之行動或高階管理階層業已接受不採取行動之風險。
C1 – 內部稽核單位須在委任客戶同意之範圍內,監控諮詢項目報告之處理情形。
高階管理階層承受風險之處理
內部稽核主管若認為高階管理階層決定承擔之剩餘風險超過機構可承受之水平,須就此事與高階管理階層討論,如未能獲得共識,內部稽核主管須報請董事會處理。
