10.協(xié)助董事會評估外部審計師的獨立性。
    內(nèi)部審計機構(gòu)有責(zé)任協(xié)助董事會確認和評估外部審計師的獨立性。一般一年，并將結(jié)果報告董事會和審計委員會。包括外部審計師有沒有對本組織投資，與本組織有無雇傭關(guān)系等。薩班斯法案規(guī)定，表明外部審計師開展了導(dǎo)致缺乏獨立性的非審計業(yè)務(wù)：參與審計客戶的會計記錄或與財務(wù)報表有關(guān)的記賬等業(yè)務(wù)，財務(wù)信息系統(tǒng)的設(shè)計和實施等。只要外部審計師以管理層或者組織雇員的身份開展工作，其獨立性就會受到損害。
    11.評估董事會的道德氛圍。
    解釋：董事會是公司治理實務(wù)中的焦點，盡管董事會不擔(dān)負直接的管理責(zé)任，但是可以通過設(shè)立高基調(diào)（佳行為規(guī)范）和監(jiān)督所有治理活動來為組織描繪整體遠景，終，董事會為公司的風(fēng)險和業(yè)績承擔(dān)責(zé)任。
    如果股東對董事會有任何不信任或者董事會出現(xiàn)了違反組織行為規(guī)范和道德標(biāo)準的事情發(fā)生，那么有效的公司治理就無法存在了。
    12.評估組織的道德氛圍。
    解釋：內(nèi)部審計機構(gòu)應(yīng)該評價并幫助改進組織的治理過程。治理過程是組織的投資人代表，所遵循的程序，目的在于對管理層執(zhí)行的風(fēng)險和控制進行監(jiān)督。主要是所有者及其代表對管理者的監(jiān)督。組織的治理部門及高級管理層都對治理的效果負責(zé)。治理過程是否有效很大程度上取決于組織的文化。如組織的道德氛圍和董事會的道德氛圍。
    內(nèi)部審計機構(gòu)有責(zé)任定期評估組織和董事會的道德氛圍
    例如：董事會是否倡導(dǎo)并建立道德文化，道德文化是否有清晰的道德規(guī)范，董事會執(zhí)行道德文化的效果如何，是否定期對董事會道德氛圍進行檢查評估等。
    組織是否有清晰易懂的道德規(guī)范和相關(guān)說明，是否有影響力的領(lǐng)導(dǎo)經(jīng)常宣傳鼓勵良好的道德文化，是否有支持并加強道德文化的具體措施等。
    13.評估特定領(lǐng)域政策的遵循程度（如，衍生產(chǎn)品）。
    解釋：內(nèi)部審計機構(gòu)要評估法律、法規(guī)、政策和合同的遵守情況，包括特定領(lǐng)域的政策，如電子商務(wù)，環(huán)境，健康和安全風(fēng)險等方面。評價持續(xù)經(jīng)營和災(zāi)難恢復(fù)計劃的設(shè)計、全面性和充分性。衍生產(chǎn)品包括期權(quán)等方面的金融工具安排。（需要細化）
    14.評估組織向董事會報告的機制。
    組織內(nèi)部向董事會報告的機制是保障組織的有效和高效運行的政策、方法、程序、技術(shù)的總稱。報告機制就是要明確規(guī)定報告的事項、負責(zé)人員、報告形式、時限、問題的解決和上報、各個管理層承擔(dān)的責(zé)任。
    評估內(nèi)容：
    是否建立了報告機制，有明確的書面政策；
    報告機制是否充分有效；能否滿足組織與董事會進行及時、暢通而充分溝通的需要；
    報告機制的實際效果如何，實際報告工作是否如機制確定的政策執(zhí)行。
    15.跟蹤并報告管理層對法規(guī)監(jiān)管機構(gòu)檢查結(jié)果的落實情況。
    16.跟蹤并報告管理層對外部審計結(jié)果的落實情況。
    解釋：
    遵守法律和相關(guān)法規(guī)的要求已經(jīng)成為全球范圍內(nèi)商業(yè)活動中的常規(guī)性活動。組織必須確保其切實遵守了證券交易機構(gòu)，行業(yè)監(jiān)管部門，法規(guī)監(jiān)管部門，和其他監(jiān)管機構(gòu)的合規(guī)性要求。大多數(shù)組織通過設(shè)立良好的組織結(jié)構(gòu)和實施相應(yīng)的管理流程來履行合規(guī)責(zé)任。
    評估結(jié)果提交給董事會，報告包括現(xiàn)行機制的運行效果和改進意見。首席審計執(zhí)行官要建立并維持一項制度，對提交給管理層的結(jié)果的處理情況進行監(jiān)測，并開展追蹤檢查，監(jiān)督保障建議得到考慮和落實。
    跟蹤檢查的三個階段：
    1高級管理層與被審計單位協(xié)商，決定是否或如何按照內(nèi)部審計師建議采取糾正行動。
    2被審計單位按照決定采取行動。
    3經(jīng)過合理時間后，內(nèi)部審計人員對被審計單位進行復(fù)查，落實效果。如果不采取糾正行動，是否是高級管理層和董事會的責(zé)任。
    17.評估業(yè)績測評系統(tǒng)的充分性和公司目標(biāo)的實現(xiàn)情況。
    內(nèi)部審計的目的是為組織增加價值并提高組織的運作效率，通過保證和咨詢服務(wù)，幫助組織實現(xiàn)目標(biāo)。目標(biāo)實現(xiàn)與否，組織必須制定一套業(yè)務(wù)評價系統(tǒng)，包括衡量的標(biāo)準和評測的程序。內(nèi)部審計機構(gòu)要對評測系統(tǒng)本身進行評估，另外，通過檢查和評估工作，判斷組織整體目標(biāo)是否得到實現(xiàn)。內(nèi)容包括：
    是否建立業(yè)績評測系統(tǒng)，如果沒有，審計師應(yīng)該建議建立，或與審計客戶尋求雙方都能接受的評測標(biāo)準。
    評測系統(tǒng)是否充分，如果評測標(biāo)準模糊，應(yīng)該尋求權(quán)威解釋。
    是否有效運行，根據(jù)評估可以得出業(yè)績測評系統(tǒng)是否可以被接受的結(jié)論。
    18.樹立舞弊防范意識，鼓勵報告不正當(dāng)?shù)男袨椤?BR>    解釋：防范舞弊的首要機制是控制，是管理人員的責(zé)任。內(nèi)部審計機構(gòu)的作用是通過評估相關(guān)控制的充分性和有效性來協(xié)助防止舞弊。因此，內(nèi)部審計師在勝任能力上要求要有足夠的舞弊知識來確認舞弊線索，警惕舞弊可能產(chǎn)生的機會，保持足夠的職業(yè)審慎，樹立舞弊防范的意識。另外培養(yǎng)良好的企業(yè)文化，對舞弊防范也有作用。如：對合理的舉報行為進行獎勵，對被舉報情況進行調(diào)查和處理，在保密前提下舉報不正當(dāng)行為的渠道等。
    組織建立和維持一套舞弊控制機制包括三個基本活動：
    創(chuàng)設(shè)誠實和高標(biāo)準道德規(guī)范的組織文化；
    評估舞弊防范流程與控制；
    建立恰當(dāng)?shù)谋O(jiān)督機制。
    擁有舞弊證據(jù)的合法的舉報人應(yīng)當(dāng)被合理保護，免受報復(fù)。
    D.執(zhí)行其他內(nèi)部審計任務(wù)和職責(zé)（0～10%）（要求熟練掌握）
    1.道德規(guī)范/合規(guī)性：
    a.對有關(guān)道德規(guī)范/合規(guī)性的投訴進行調(diào)查并提出解決辦法。
    b.確定對違反道德規(guī)范的處理。
    c.培養(yǎng)健康的道德氛圍。
    d.維護和管理經(jīng)營行為政策（如，利益沖突）。
    e.報告合規(guī)情況。
    解釋：
    管理層要負責(zé)調(diào)查可能違反道德、規(guī)范或者商業(yè)行為慣例的情況，并負責(zé)聲明如何處理錯誤行為，包括行政手段。有些公司的道德規(guī)范由一個首席道德官來負責(zé)，是管理層的代表。
    內(nèi)部審計活動要制定適當(dāng)?shù)臅嬲吆土鞒虒Φ赖乱?guī)范和合規(guī)性情況的投訴進行調(diào)查，并提出解決方法。為內(nèi)部員工和外部人士或機構(gòu)提供投訴的途徑，以便及時發(fā)現(xiàn)和解決問題。
    薩班斯法案806提出了對提供舞弊證據(jù)的上市公司員工的保護的規(guī)定。
    內(nèi)部審計活動根據(jù)書面流程和政策，對相應(yīng)投訴提出解決辦法，并監(jiān)督管理層落實有關(guān)決定。
    組織的治理實踐反映了其不斷變化的獨特文化，影響著組織的價值、作用和行為。全面治理流程在實現(xiàn)預(yù)期目標(biāo)的有效性很大程度上取決于組織文化。應(yīng)當(dāng)鼓勵組織的每個人都成為本組織道德規(guī)范的擁護者。內(nèi)部審計師和內(nèi)部審計活動應(yīng)該積極支持本組織的道德文化建設(shè)。
    要定期評價戰(zhàn)略、戰(zhàn)術(shù)、溝通和其他過程的有效性。
    遵循薩班斯法案有關(guān)條款，報告有關(guān)的合規(guī)情況。
    402：強化的利益沖突條款規(guī)定，禁止上市公司直接或間接為其經(jīng)理人員或高級主管以個人借款形式提供貸款。
    403：對管理層和主要持股人所參與交易的披露規(guī)定，主管、高級職員和主要持股人應(yīng)該報告其間接或直接持有的超過發(fā)行在外總股份10%的股票。
    406：高級財務(wù)官員道德規(guī)范規(guī)定：必須披露公司是否存在適用于高級財務(wù)官員、總會計師、高級會計官員以及履行相似職能人員的道德規(guī)范，以及對道德規(guī)范的修改。
    組織的治理實踐反應(yīng)了特殊的不斷變化的文化，全面治理是否有效，很大程度上也取決于組織文化。與組織相關(guān)的所有人員都對道德文化的狀態(tài)承擔(dān)部分責(zé)任。組織存進道德氛圍的做法：行為規(guī)范，道德訪談，實施道德培訓(xùn)，發(fā)布道德信息等。
    2.風(fēng)險管理：
    a.建立和實施一個全組織的風(fēng)險和控制框架。
    b.協(xié)調(diào)全公司的風(fēng)險評估。
    c.向董事會報告公司的風(fēng)險評估情況。
    d.檢查經(jīng)營持續(xù)性計劃程序。
    解釋：　
    風(fēng)險管理是管理層的職責(zé)，要實現(xiàn)經(jīng)營目標(biāo)，管理層要確保本組織具有良好的風(fēng)險管理流程，并運轉(zhuǎn)正常。董事會和審計委員會對其具有監(jiān)督責(zé)任。管理層和董事會對本組織的風(fēng)險管理和控制流程負責(zé)，內(nèi)部審計師以咨詢的方式幫助本組織識別、評價和實施風(fēng)險管理方法和控制，從而解決風(fēng)險。內(nèi)部審計部門定期評價，并協(xié)助其他部分進行風(fēng)險管理。
    內(nèi)部審計的一項重要工作是對本組織的風(fēng)險管理過程進行評估并做出書面報告。評估重點是組織風(fēng)險管理過程的充分性和有效性。起到咨詢作用的審計師能夠通過風(fēng)險評估并運用風(fēng)險管理的方法和控制措施，幫助組織解決風(fēng)險問題。對于沒有建立風(fēng)險管理流程的組織，首席審計師要提請管理層注意，并提出建議。但所有的協(xié)助工作不能超出保證和咨詢范圍，不能損害獨立性。即可以協(xié)助促進風(fēng)險管理過程的建立，但不負風(fēng)險責(zé)任。
    定期審計本單位的經(jīng)營持續(xù)和災(zāi)難恢復(fù)計劃，目標(biāo)是驗證這些計劃對于確保在發(fā)生不利情況后，及時恢復(fù)業(yè)務(wù)和流程是充分有效的。并且能夠反映當(dāng)前的企業(yè)運營環(huán)境。經(jīng)營持續(xù)和災(zāi)難恢復(fù)計劃可能很短時間就過時了。負責(zé)人的輪換，軟件的變化都可能對這些計劃產(chǎn)生重要影響。
    災(zāi)難前：業(yè)務(wù)中斷會對財務(wù)和經(jīng)營的方方面面都產(chǎn)生影響。審計師要對組織處理業(yè)務(wù)中斷的情況進行評價。
    災(zāi)難后：恢復(fù)期間，審計師對經(jīng)營活動恢復(fù)和控制的有效性進行監(jiān)督，對經(jīng)營持續(xù)計劃的改進提供建議，可對恢復(fù)活動提供支持。通常災(zāi)難發(fā)生幾個月內(nèi)，審計師能夠幫助發(fā)現(xiàn)吸取教訓(xùn)。加強恢復(fù)活動，更新以后的經(jīng)營持續(xù)計劃。
    補充知識點講解
    1.災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)
    信息，作為企業(yè)寶貴的資源，其重要性已經(jīng)得到了人們的充分認識。但是我們該如何保護這一資源？假設(shè)您就是某企業(yè)的一位高級管理人員，當(dāng)您的企業(yè)遭遇以下事故時，您將如何去面對：
    1.一天，證券公司的交易數(shù)據(jù)因操作失誤而損壞；
    2.一天，保險公司的所有保單數(shù)據(jù)因電源故障而丟失；
    3.油勘探公司辛苦一年獲取的地質(zhì)數(shù)據(jù)因人為的惡意操作而丟失；
    4.醫(yī)院保存的所有病歷因為磁帶的損壞而無法使用；
    2001年9月11日，美國世貿(mào)中心雙子大廈遭受了誰也無法預(yù)料的恐怖打擊。災(zāi)難發(fā)生前，約有350家企業(yè)在世貿(mào)大廈中工作。事故發(fā)生一年后，有200家企業(yè)由于重要信息系統(tǒng)的破壞，關(guān)鍵數(shù)據(jù)的丟失而永遠的關(guān)閉、消失了。其中的一家公司稱，自己要恢復(fù)到災(zāi)難前的狀態(tài)需要50年的時間。
    2003年，國內(nèi)某電信運營商的計費存儲系統(tǒng)僅發(fā)生了兩個小時的故障，就造成400多萬元的損失。這些尚不包括對公司聲譽的影響所導(dǎo)致的無形資產(chǎn)流失。
    據(jù)IDC的統(tǒng)計數(shù)字表明，美國在2000年以前的10年間發(fā)生過災(zāi)難的公司中，有55%當(dāng)時倒閉。剩下的45%中，因為數(shù)據(jù)丟失，有29%也在兩年之內(nèi)倒閉，生存下來的僅占16%。國際調(diào)查機構(gòu)Gartner Group的數(shù)據(jù)表明，在由于經(jīng)歷大型災(zāi)難而導(dǎo)致系統(tǒng)停運的公司中，有2/5再也沒有恢復(fù)運營，剩下的公司中也有1/3在兩年內(nèi)破產(chǎn)。
    美國德克薩斯州大學(xué)的調(diào)查顯示：“只有6%的公司可以在數(shù)據(jù)丟失后生存下來，43%的公司會徹底關(guān)門，51%的公司會在兩年之內(nèi)消失?！?BR>    另一份針對這一課題的研究報告也顯示：在災(zāi)難之后，如果無法在14天內(nèi)恢復(fù)信息作業(yè)，有75%的公司業(yè)務(wù)會完全停頓，43%的公司再也無法重新開業(yè)，20%的企業(yè)在兩年之內(nèi)被迫宣告破產(chǎn)。
    信息系統(tǒng)是組織的業(yè)務(wù)持續(xù)難恢復(fù)計劃的重要組成部分，信息系統(tǒng)過程有戰(zhàn)略重要性，因為現(xiàn)在所有業(yè)務(wù)的完成要依靠不同的使用自動化的信息資源以達到組織的目標(biāo)，信息系統(tǒng)必須要能支持關(guān)鍵的業(yè)務(wù)操作，為業(yè)務(wù)持續(xù)提供持續(xù)的支持和保證。
    內(nèi)部審計師需要關(guān)注的問題
    ■ 評估備份和恢復(fù)準備的充分性，確保恢復(fù)運營所需要信息的可用性
    ■ 評估組織的災(zāi)難恢復(fù)計劃，確保發(fā)生災(zāi)難后，IT處理的恢復(fù)能力
    ■ 評估組織的業(yè)務(wù)連續(xù)性計劃，確保IT服務(wù)中斷期間，基本業(yè)務(wù)運營不間斷的能力
    具體的內(nèi)容：
    ■ 數(shù)據(jù)備份、存儲、維護、保留和恢復(fù)流程，實務(wù)
    ■ 業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)有關(guān)的法律、規(guī)章、協(xié)議和保險
    ■ 業(yè)務(wù)影響分析 BIA
    ■ 開發(fā)和維護災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃
    ■ 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計劃測試途徑和方法
    ■ 與災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性有關(guān)的人力資源管理
    ■ 啟用災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計劃的程序
    ■ 備用業(yè)務(wù)處理站點的類型，監(jiān)督有關(guān)協(xié)議/合同的方法