2410.A2-应当鼓励内部审计人员在业务通报中对令人满意的业绩予以承认。 2410.A3-在向机构外部有关方面发布业务结果时,应当说明对结果发送以及使用的限制。
2410.C1-咨询业务进展情况和结果通报的形式与内容应根据业务性质及客户要求来确定。
工作标准第2420号通报的质量
通报应该准确、客观、清晰、简洁、完整、及时、富有建设性。
工作标准第2421-错误和遗漏。 如果在最后沟通中含有重大错误和遗漏,审计执行主管应将更正后的信息告知所有接到最初沟通信息的人员。
工作标准第2430号对未遵守《标准》的业务披露.当不遵守《标准》的行为影响到某一具体业务时,在结果的通报中应披露: 没有得到完全遵守的《标准》条文; 未遵守《标准》的原因;
未遵守《标准》对业务造成的影响。
工作标准第2440号结果的通报。审计执行主管应该将结果通报给适当的对象。 2440.A1-审计执行主管负责将最终结果通报给能够对该结果给予应有考虑的人员。 2440.A2-如果法律、法规或其他规章未做出相关规定,在向组织外部发布结果前,审计执行主管应该:
评估组织面临的潜在风险;
必要时向高级管理层或者法律顾问咨询;
通过限制结果的使用,对结果发布进行控制。
2440.C1-审计执行主管负责将咨询业务的最终结果向客户沟通。
2440.C2-在开展咨询业务时,可能会发现风险管理、控制和治理方面的事项。只要这些事项对组织是至关重要的,就应向高级管理层和董事会报告。 实务公告第2400-1通报结果时的法律考虑 根据美国的司法制度来制定的。
(1)内部审计师在审计、通报和审计工作底稿中包括与违法、违规行为和其他法律问题有关的审计结果,并就此发表意见时,应该要非常谨慎,积极鼓励建立处理这些事项的有关政策和程序,并与有关方面建立紧密的工作联系。
(2)内部审计师应该按要求收集证据,进行分析性判断报告结果,并保证采取纠正性措施。内部是审计师对于用文档保存业务记录的要求可能与法律顾问希望不留下任何可能不利于辩护的可发现证据的要求可能是相冲突的。 即使内部审计师调查的方式是正确的,那么所披露的事实也可能会有损组织的法律顾问所经手的案子。这种情况下,正确的计划和政策是至关重要的,这样即使在遇到突然披露某些事实的情况时,公司的法律顾问和内部审计师也不至于发生矛盾,这些政策应该包括角色的定位和通报方法,内部审计师和公司法律顾问还应该通过使管理层了解既定政策并对产生政策敏感,而在整个组织内部培养一种讲求道德的、预防性的气氛。 内部审计师应该考虑以下因素:
在开展可能需要对外披露或者是通报结果的业务时更应如此。
(3)规定保护律师和客户保密权,能够被纳入到律师客户保密权保护的,需要满足四个必要的因素: ①沟通;
②在享有保密权的人之间;
③必须以保密形式;
④目的是为客户寻找、获取或者提供法律援助。
(4)近一步的明确规定,有些法院已经认为一种使审计工作成果等自我批评资料免于披露的批评性的自我分析的保密权。总而言之,认可这种权力所依据的假设是对所涉及情况的检查结果进行保密,重于大家真实的公众利益。
有一家法院曾经这样解释:自我分析保密权已被认可为一种使某些批评性的自我评估信息免于披露的保密权,允许个人或企业坦率的评价其遵纪守法情况,又不会产生在未来的诉讼中被其对手用作反击武器的证据的可能性。这种规定的原理就是这种批评性自我评估有助于强迫公众利益服从于法律。
(5)一般来说,要应用上述保密权,需要满足三个要求:
①受此种保密权管辖的信息必须来自坚持这一权力的团体所开展的自我批评分析; ②公众必须对保护自我批评分析中所包括信息的自我流动表现出强烈兴趣; ③这种信息必须属于一旦被发现,这种信息的流动就会终止。
(6)如果要求获取文件的是政府机构而不是私人起诉者,那么法院一般就更不愿意承认自我评估保密权,可以认为这种态度源于对政府更强的利益趋动去实施法律的结果。 自我评估保密权特别适用于已经建立起自我管制程序的职能和活动,通常来说,医院证券经济人以及私人会计师事务所都已经建立起此种程序。此种程序大多与不得不增加给经营活动的质量确认程序有关,如财务审计。
(7)根据工作产品的规定保护文件不会向外披露,必须要满足三项要求: ①这些文件必须是某种形式的产品; ②在预料诉讼时编制的;
③编制方必须是律师的代理人。
(8)在律师客户关系存在之前编制的文件不受工作产品规定的保护,向律师发送在律师客户关系形成之前编制的文件不会在工作产品规定下得到保护,此外这项规定是有条件的,如果存在对信息实质性需要,并且通过其他方式无法轻易获得这种信息,那么这种文件就不会受到工作产品规定的保护。比如某公司审计委员会通过面谈来确定是否进行了可疑的海外付款,除包括与去世人员进行面谈的结果部分外,他们的报告受到工作产品规定的保护。
实务公告第2410-1通报标准
(1)虽然业务最终通报了形式和内容可能随组织不同而不同,它们至少都要包括业务的目的、范围和结果。
(2)业务最终报告还要包括背景信息和总结,背景信息可能明确被检查的部门和活动并提供相关的解释性信息,还可以包括来自以前检查的发现、结论、建议的情况以及表明报告是否包括计划的业务,是否应有关方面的要求而编制。如果是包括在报告中,总结内容应该能够代表业务通报的内容。
(3)包含在业务报告中的目的,在必要时告知读者开展业务的原因以及期望实现的目标。
(4)范围。应该要明确被审计活动,在适当的情况下还应该包括被检查的时间段等辅助信息。如果有必要说明业务的界限,还应该明确未经检查相关活动,开展业务工作的性质和范围也应该得到描述。
(5)结果。结果应该包括发现结论、意见、建议和行动计划。
(6)发现是对事实的相关声明,那些对支持内部审计师结论和建议以及避免误解这些结论和目的是必要的发现,应该包括在最终的业务通报中。比较次要的发现和建议和通过非正式形式来进行通报。
(7)通过应该达到的目标和实际的作法来比较就可以得出发现和建议。不管两者之间是否存在差异,内部审计师都有编制报告的基础,如果情况符合标准,在业务通报中肯定出色的业绩也是恰当的。发现和建议应该以下述内容为依据: 标准; 情况; 原因; 效果。
(8)结论和意见是内部审计师对发现和建议影响到被检查活动的情况所进行的评价,它们经常根据总体印象合理的提出业务发现和建议。如果业务报告包括业务结论,应该明确指出那些是业务结论,结论可能覆盖整个业务范围或具体方面,它们可以包括但是不限于以下内容:
运营或者项目目标是否与组织的目标保持一致; 组织目标是否得以实现;
被检查活动是否是按照计划来运作的。
(9)业务通报包括改进建议,对出色业绩的肯定以及纠正的措施。经营的基础是内部审计师的发现和结论,他们要求采取措施,纠正存在的问题或改进操作。作为对管理层实现预期结果的一项指导,建议可以提议纠正或者改进业绩的方法,建议可以是概括性的也可以是具体的。比如说在有些情况下,推荐采取一般性措施并提出具体实施建议可能是比较可取的,而在另外的情况下只建议开展调查或者研究可能是比较恰当的做法。 (10)自上次业务以来或建立良好的控制措施以后,业务客户所取得的成绩可以包括在最终业务通报中,这种信息可能是公正表述现有情况,并为最终业务通报提供恰当角度和平衡所必须的。
(11)业务客户关于业务结论和建议的观点也可以收入在业务通报中。
(12)作为内部审计师与业务客户的一部分讨论内容,内部审计师应该要努力争求对方同意业务结果和为改进运营而建议采取的行动计划。如果同部审计师和业务客户对于业务结果存在意见分歧,业务通报应该说明具体情况和原因,业务客户的书面意见可以作为附录收录进业务报告,也可以直接在报告主体部分得到表述或者是以信函的方式得到表述。
(13)由于保密权,所有权问题或者与不当或者违法行为有关,有些信息可能不适合向所有报告接触人披露,但是这些信息可以在单独的报告中披露。如果所报告的情况涉及到高级管理层应该将报告分发给组织中的董事会。
(14)中期报告可以是书面的也可以是口头的,可以是正式的也可以是非正式的。中期通报可以用于通报需要马上注意的情况,通报被检查业务活动范围的变化或当业务延较长时,将业务的进展情况通报给管理层。中期报告的运用并不减少或消除对最终报告的需求。
(15)署名报告应该在业务完成以后发布,强调业务结果的总结报告可能适合于向高于被检查部门的管理层提高。
实务公告第2420-1通报的质量
通报应该准确、客观、清晰、简洁、完整、及时和富有建设性。
(1)准确的通报,是指无差错和歪曲,忠实于事实,数据和证据的收集、评价以及归纳应该要做到谨慎、精确。
(2)客观的通报,是指公正、中立,无偏见。客观多数是一种心态,而这种心态是在具体环境下的一种表达。
(3)清晰的通报,是指利于理解,富有逻辑,避免使用不必要的技术语言,提供所
有重要且相关的信息,可以使报告更清楚。
(4)简洁的通报,避免不必要的细节,对文字反复修改编辑的结果,目的是简要且完整的表达想法。
(5)建设性通报应该要帮助业务客户和组织,促进其改进工作,表达的语气和内容应该是实用、积极、善意的,并且有助于实现企业的目标。
(6)完整的通报。包含所有重要的和相关的信息,以及所观察到的资料,用来支持建议和业务结论。
(7)及时的通报。有利对建议采取行动的人进行认真的考虑。 一般情况不得提交业务成果的时间以有利于采取及时有效的行动。 实务公告第2440-1业务结果的接收者
(1)发布最终业务通报之前,内部审计师必须与适当层次的业务审计人员共同结论和建议。
(2)对结论和建议的讨论通常在业务过程中或者业务结束后,召开了会议。
(3)虽然对与讨论和审阅管理人员的层次可以依组织和报告的性质而有所变化,但是他们通常是了解业务详细情况和有权实行纠正措施的人。
(4)首席审计执行官或其指定代表在公布最终业务通报之前,应当对其进行审查和批准,并决定应向哪些人发布报告。首席审计执行官或其指定代表应该审批并签署所有最终报告,在特殊情况下应考虑由审计负责人、监督人员代表首席审计执行人来签署最终的审计报告。
(5)应该把最终业务通报发布给那些能够保证对业务结果及于应有注意的人员,这意味着报告要发布给那些能够采取纠正措施或能够保证采取纠正措施职位的这些人员。最终的业务通报应该发送给被审计部门的管理层,被审计部门中较高层次的人员可能只收到一份总结报告。这些报告也可以发送给其他感兴趣或受报告影响的人员,比如说外部审计师以及公司董事会的董事。
实务公告第2440-2对外通报
(1)内部审计师应该检查业务协议或者组织政策程序中所包含的与对外发布信息有关的规定,内部审计和审计委员会的章程可能都有这些方面的规定,如果缺乏这种规定,内部审计师应该促使组织采取恰当的政策,政策可以包括的信息有对外报告信息所需要的授权,对外报告的批准过程,区分可以发布和不可以发布信息的指南,得到授权的外部信息接收者,他们可以接受的信息种类。那么,与对外发布信息有关的隐私权的规定,管理要求和法律考虑,对外发布信息的结果通报中可以包括的确认、意见、建议、观点、指南和其他信息的性质。
(2)有关方面可能要求获取已有的信息,比如说以前所发布的内部审计报告,也可能要求获取必须通过新的内部审计业务产生或确定的信息。如果要求获取的是已有信息和报告,那么内部审计师应该要对信息进行检查以确定这些信息是否适合对外发布。
(3)在有些情形下,现有的报告或信息可以在修改之后对外发布,在其他情况下,则可以在以前开展的审计工作基础上形成新的报告,根据以前开展的工作来修改或形成新的报告时,应该要行使应有的职业谨慎。 (4)对外发布信息时要考虑以下事项:
就被发布信息签定书面协议的需要是否需要签定书面协议;
确定信息提供者信息来源,报告署名人,信息接受人以及与报告或者所发布信息相关的人员;
确认为产生适用信息而执行的业务的目标、范围和程序;
需要提供的报告或其他发布形式的性质以及提供的确认和评价的类别,版权问题以及
对近一步发布或者分享信息的限制。
(5)为了出具对外发布的内部审计报告或其他形式的信息而开展的业务,应该要遵守适用的国际内部审计专业实务标准,并在报告或者其他形式信息中(包括对这些标准的引用说明)。
(6)如果是在为了出具对外发布的内部审计报告或其他形式信息而开展的业务过程中,内部审计师发现了需要向管理层或者审计委员会报告的信息,那么内部审计师应该向适当的人员进行适当的通报。
实务公告第2440-3敏感信息在报送渠道内外的通报
二、概述
(一)审计报告的目的和作用 (二)审计报告的时间 (三)审计报告的内容 (四)审计报告的表述 (五)审计报告的分发 (六)口头审计报告
(七)审计综述报告
(一)报告的目的与作用
1.书面审计报告服务于多重目的
(1)将审计工作的结果传递给被审计单位以及其他人 (2)减少对审计结果产生误解的可能
(3)有助于跟踪复核以确定是否采取了适当的纠正措施 具体作用
1.对内部审计师来说 2.对管理层来说
3.对最高管理者来说 4.对其他组织来说
1.对内部审计师来说
(1)审计报告总结概括了审计工作的目的、范围和结果 (2)审计报告鼓励被审计单位采取行动来加强控制 (3)审计报告促进对内部审计师的教育和培训
(4)审计报告为评价内部审计师的工作业绩提供了方便 (5)审计报告为后续审计的进行提供了便利条件 2.对管理层来说
(1)审计报告提出了行动计划, 可以促进管理层采取必要的改进措施 (2)审计报告为需要最高管理层关注的事情得到关注提供了支持 (3)审计报告有助于繁忙的管理层了解经营情况 (4)审计报告有助于评价经营业绩 3.对最高管理者来说
(1)审计报告提供了其他报告不能提供的、有关经营和控制的详细情况 (2)审计报告提供了一些高层管理者不可能从其他途径获得的客观信息
(3)审计报告提供的有关审计活动信息,可以使最高管理层判断是否很重要或高风险的事件正在接受审计
(4)审计报告可以促进经营活动的规范化