COBIT简介
标准名称:《信息及相关技术的控制目标》(Control Objectives for Information and related Technology,COBIT)
隶属机构:美国IT治理研究院(IT Governance Institute)开发与推广
标准作用:信息、IT 以及相关风险控制方面的国际公认标准,COBIT 还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用
最新版本:《COBIT 4.1》,COBIT 第一版于1994年推出
COBIT的IT框架由四个部分组成:
在具体内部审计业务中,内部审计师有责任确定管理当局是否建立了适当的标准以衡量和评价组织目标(目的)的完成情况。
如果这些标准是适当的,内部审计师应该在评价过程中使用这些标准,并确定这些标准是否得到了贯彻执行。如果这些标准是模糊不清的,是不适当的,内部审计师应该同管理当局一道制定一个合适的评价标准。
当内部审计师被要求去解释或选择一套经营评价标准时,应该努力与管理部门就这些标准达成一致意见。
内部审计师可以寻求或采用的标准包括:工作指南、组织指示、预算、产品说明、行业惯例、内部控制的最低标准、公认会计准则、合同和著名的商业实务、以前年度制定的标准,等等。
如果内部审计师决定采用以前年度制定的标准,则需要对标准的适当性和适用性进行评估。因为以前年度制定的标准,尽管可能曾经是令人满意和完善的绩效标准,但是随着环境的变化和时间的推移,很可能已经不适用于当前的组织目标。
典型试题
例1:根据《标准》,报告中的审计发现应该以“应该是什么”和“是什么”相比较的形式说明。在对公司财务部门审计期间,决定“应该是什么”时,下列哪一项是用于对目前经营情况进行判断的最不理想的标准?
a.上次审计中记录的财务部门运行情况
b.公司关于授权和责任分配的政策、程序
c.财务课本中列举的一般公认的好的财务职能实例
d.相关行业财务职能运行方面最好的实例材料
答案:a
2.执行具体审计业务时的评价标准
评价组织建立的管理目标和标准
可以采用的标准
采用以前年度的标准:对其适当性和适用性进行评估
相关实务标准补充
主要涉及IIA两个实务标准和相应的实务公告:工作标准2300号业务的实施和相应的实务公告以及工作标准沟通结果。
工作标准2300号业务的实施内部审计师应该确认、分析、评价和记录充分的信息,从而实现业务目标。
2310-确认信息。内部审计师应该识别充分、可靠、相关和有用的信息,从而实现业务目标。
2320-分析和评价。内部审计师应该在适当的分析和评价基础上得出结论和业务结果。
2330-记录信息。内部审计师应该记录能支持结论和业务结果的相关信息。
2330.A1-审计执行主管应该控制对业务记录的接触。在将这些记录适当向外界披露之前,审计执行主管应该征得管理高层或者是法律顾问的批准。
2330.A2-审计执行主管应该制定业务记录的保留规定。这些保留规定应该和组织的指导方针以及任何相关的规章或其他的要求保持一致。
2330.C1-审计执行主管应该制定政策用于指导业务记录的保留和保管,以及用于业务记录对内对外的公布。这些政策应该和组织的指导方针以及任何相关的规定或其他要求保持一致。
2340-业务监督。业务要有适当的监督,以确保实现目标、保证质量,以及发展员工。
工作标准2400号结果的通报内部审计师应该及时向客户通报业务结果。
2410-通报的标准。通报应该包括业务的目标、范围、适用的结论、建议和行动计划。
2410.A1-在适当情况下,业务结果的最后通报应包含内部审计师的总体意见和(或)结论。
2410.A2-应当鼓励内部审计人员在业务通报中对令人满意的业绩予以承认。
2410.A3-在向机构外部有关方面发布业务结果时,应当说明对结果发送以及使用的限制。
2410.C1-咨询业务进展情况和结果通报的形式与内容应根据业务性质及客户要求来确定。
2420-沟通的质量。沟通应该准确、客观、清晰、简洁、完整、及时、富有建设性。
2421-错误和遗漏。如果在最后沟通中含有重大错误和遗漏,审计执行主管应将更正后的信息告知所有接到最初沟通信息的人员。
2430-对未遵守《标准》的业务披露。当不遵守《标准》的行为影响到某一具体业务时,在结果的通报中应披露:
没有得到完全遵守的《标准》条文;
未遵守《标准》的原因;
未遵守《标准》对业务造成的影响。
2440-结果的通报。审计执行主管应该将结果通报给适当的对象。
2440.A1-审计执行主管负责将最终结果通报给能够对该结果给予应有考虑的人员。
2440.A2-如果法律、法规或其他规章未做出相关规定,在向组织外部发布结果前,审计执行主管应该:
评估组织面临的潜在风险;
必要时向高级管理层或者法律顾问咨询;
限制结果的使用,对结果发布进行控制。
2440.C1-审计执行主管负责将咨询业务的最终结果向客户沟通。
2440.C2-在开展咨询业务时,可能会发现风险管理、控制和治理方面的事项。只要这些事项对组织是至关重要的,就应向高级管理层和董事会报告。
2500条是有关进程的监督。内部审计执行主管应该要建立和保留一个系统来用于监控一项管理层沟通的业务的结果的处理情况以及监控和确保管理措施以得到有效开展的跟进的程序,或者是管理高层已经决定接受因为不采取措施所带来的风险。
第2600条,管理层接受风险的解决方案。当内部审计执行主管认为管理高层接受了组织所不能接受的风险时候,内部审计执行主管就应该要同管理的高层来讨论这些事件。
编者推荐:
更多国际注册内审师信息请关注读书人网(http://www.reader8.com/)
国际注册内审师频道(http://www.reader8.com/exam/nss/)
