标准7.1

组织上的独立性

1要求

首席审计执行官必须每年至少向董事会确认一次内部审计职能在组织上的独立性。这样的确认包括报告可能损害独立性的事件以及针对损害采取的保障措施。

首席审计执行官必须在内部审计章程中记录董事会批准的内部审计职能的报告关系和组织地位。(参见标准6.2内部审计章程。)

如果要求首席审计执行官当前或未来承担的职责事实上或表面上会损害内部审计职能的独立性,首席审计执行官必须与董事会和高级管理层进行讨论。首席审计执行官必须告知董事会和高级管理层可采用何种保障措施管理现实存在、潜在和被视为存在的损害。

当首席审计执行官长期承担一项或多项内部审计以外的职责时,必须将这些责任及其工作性质,以及建立的保障措施记录在内部审计章程中。如果这些领域需要内部审计,则应当采用替代方法为上述领域提供确认,例如聘请客观、胜任的外部确认服务提供方,由其独立向董事会进行报告。

如果首席审计执行官承担的非审计职责是临时的,在其承担上述职责期间及之后的12个月,必须由独立第三方对相关领域提供确认。同时,首席审计执行官必须制定向管理层移交上述职责的计划。

如果治理结构无法支持组织上的独立性,首席审计执行官必须以书面方式记录治理结构中限制独立性的特征,以及可以采取哪些保障措施来满足本原则的要求。

基本条件
董事会

•确立与首席审计执行官和内部审计职能的直接报告关系,帮助内部审计职能履行其职责和权限。

•批准任命和解聘首席审计执行官。

•向高级管理层提出意见,以支持对首席审计执行官的绩效评价和薪酬确定。

• 为首席审计执行官提供与董事会讨论重大和敏感事项的机会,包括高级管理层不参加的会议。

•要求首席审计执行官在组织中的地位能够使内部审计服务开展和职责履行不受管理层的干扰。这样的地位使内部审计具有足够的权威,可以直接向高级管理层汇报,并在必要的情况下直接上报董事会。

• 在批准首席审计执行官承担内部审计以外的职责时,充分了解实际上或可能会对内部审计职能独立性造成的损害。

•在首席审计执行官承担的职责事实上或表面上会损害内部审计职能独立性的情况下,与高级管理层和首席审计执行官沟通,建立适当的保障措施。

•与高级管理层沟通,确保内部审计职能在确定其工作范围、实施内部审计业务和沟通结果时免受干扰。

高级管理层

•确保内部审计职能在组织内的层级能够按照董事会的要求不受干扰地实施业务和履行职责。

•认可首席审计执行官与董事会之间的直接报告关系。

•在首席审计执行官承担的职责实际上或可能会损害内部审计职能独立性的情况下,与董事会和首席审计执行官沟通,并支持执行适当的保障措施,以管理此类损害。

•就任命和解聘首席审计执行官事项向董事会提出意见。

•征求董事会对于首席审计执行官绩效评价和薪酬确定的意见。

2执行标准的考虑因素

相对于直接对接受确认和咨询服务的管理层负责,内部审计直接对董事会负责(也称为“职能上向董事会报告”)是最有效的。首席审计执行官和董事会之间的直接报告关系使得董事会有能力确保内部审计职能能够在不受干扰或不当限制的情况下提供内部审计服务和报告项目结果。干扰的示例包括管理层不及时提供信息、限制获取信息或接触人员和实物资产等。限制预算或资源,导致内部审计职能无法有效开展工作,也应被视为不当限制。(参见标准11.3 沟通结果。)

在首席审计执行官职能上向董事会报告的同时,行政上的报告对象一般是管理层的成员。这样可以帮助首席   审计执行官接触高级管理层,并具备质疑管理层观点的权威。为了获得这样的权威,首席审计执行官在行政上向首席执行官或履行同等职责的人员报告被认为是领先实务;如果建立了适当的保障措施,向其他高级管理   人员报告也可实现这一目标。子公司、分支机构和区域的内部审计负责人也应当有权向其分管相关领域的高级管理层直接报告。

在评估独立性是否遭到损害时,首席审计执行官应当考虑报告关系、角色和职责,从而确认是否存在实际的、潜在的或被视为存在的损害。此外,首席审计执行官还可以通过与相关方进行讨论,解决该方认为独立性受 损,但实际并未影响内部审计职能公正履职能力的情形。

可能会对独立性造成损害的情形包括:

•首席审计执行官缺少与董事会的直接沟通和互动。

•管理层试图限制内部审计服务的范围,尽管上述工作范围已经得到了董事会的批准,并在内部审计章程中进行了记录。

•管理层试图限制获取内部审计服务所需的数据、记录和信息,限制接触所需的人员和实物资产。

•管理层向内部审计人员施压,要求隐瞒或修改内部审计发现。

•内部审计职能的预算被削减到不能履行内部审计章程规定的职责的程度。

•内部审计职能对某个职能领域实施了确认项目,或对该领域的确认项目在首席审计执行官的督导下
实施,但首席审计执行官同时负责该职能领域,或者能够以其他方式对该领域施加重大影响。

•内部审计职能针对某项活动实施确认项目,或首席审计执行官负责督导该确认项目的实施,但该项活动由作为首席审计执行官行政上报告对象的某高级管理层成员(非CEO)负责。例如,首席审计执行官向首席财务官报告,首席财务官同时分管资金管理部门,但首席审计执行官需要对该部门进行审计。

除了管理内部审计职能外,首席审计执行官有时还被要求承担非审计职责,这就有可能对内部审计职能的独立性造成或看似造成损害。非审计职责的具体示例包括:

•新的监管规定出台,要求立即推出相关的政策、程序、控制和风险管理活动以确保对规定的遵循。

•首席审计执行官具备最适当的专业知识,对现有风险管理活动进行调整,以适应新业务板块或新市场的要求。

•组织的资源有限,或者规模很小,无法设立独立的合规职能。

在与董事会和高级管理层讨论非审计职责时,首席审计执行官应当根据上述职责是否需要长期承担和是否计划移交给管理层,来确定适当的保障措施。

如果董事会认为确实造成了损害,首席审计执行官应当向董事会和高级管理层提出建议,说明可采用何种保障措施来管理风险。同样重要的是,要确定将临时承担的非审计职责移交给管理层的时间表。

如果首席审计执行官曾经负责过某个业务领域,一般要求在移交职责后的12个月内由独立第三方对该领域的确认活动进行监督。但具体情况仍然需要基于职业判断,因为可能存在12个月以后对独立性的损害(或被认为造成了损害)仍然存在的情形。首席审计执行官应与董事会和高级管理层讨论12个月的期限是否适当。

为了确定应当向哪些相关方披露独立性受到了损害,首席审计执行官应当充分考虑损害的性质、损害对内部   审计结果可靠性的影响以及有关利益相关方的期待。如果损害情况在项目完成后才被发现,且实际上或被视   为对项目发现、建议和/或结论的可靠性造成了影响,首席审计执行官应当与负责审计对象的管理层、董事会、高级管理层和/或其他受影响的利益相关方进行讨论,确定解决问题的适当措施。(参见标准2.3 披露对客观性的损害和11.4 错误与遗漏。)

在首席审计执行官被聘用前,董事会应当参与聘用和任命程序。例如,董事会可以讨论管理内部审计职能和履行组织期待的职责所需的资格和胜任能力。此外,董事会应当在确定人选前,审阅候选人的简历和参与面试。

 

3证明遵循性的示例

•内部审计章程中记录了内部审计职能的报告关系。

•首席审计执行官直接与董事会和高级管理层进行沟通的会议纪要或其他证据,包括讨论对独立性的潜在损害和拟采取的保障措施。

•董事会会议纪要,显示了首席审计执行官向董事会确认内部审计职能的持续独立性,或者讨论了对内 部审计职能履行其职责和权限造成的损害以及管理损害的保障措施。

•内部审计章程,其中记录了董事会批准首席审计执行官长期承担非审计职责以及对应的保障措施,包括预计承担有关职责的期限、职责的具体内容、采取的保障措施以及定期评价保障措施有效性的方式。

•记录了怀疑或发现损害时的应对方法的文件。

•正式的行动计划,其中列出了应对独立性受损的具体保障措施。

•为保障独立性,由其他内部或外部服务提供方提供确认服务的书面记录。

•证明董事会批准任命或解聘首席审计执行官的会议纪要或其他文件。