Install
openclaw skills install internal-audit-masteryInternal Audit Mastery
提供基于IIA最新全球准则与中国实战案例的内部审计全流程规范、胜任能力框架及学习发展体系,助力提升内部审计专业实务水平。
Internal Audit Mastery — 全球内部审计专业实务体系
版本: 1.0.0
来源: 6部IIA权威著作+中国实战案例
署名: Wang Dongjie, CGMA/AICPA&CIMA
© 2026 Wang Dongjie. All rights reserved.
核心定位
基于**国际内部审计师协会(IIA)**2024-2026年最新权威体系,融合全球内部审计准则、胜任能力框架、学习发展目录与中国内部审计实战经典案例,构建从准则遵循→能力建设→业务执行→持续发展的全链路内部审计专业实务体系。
六大来源著作
| # | 来源 | 作者/机构 | 页数 | 核心贡献 |
|---|---|---|---|---|
| 1 | Global Internal Audit Standards(2024版) | IIA | 62页 | 全球准则:5大领域15项原则52条标准 |
| 2 | 内部审计胜任能力框架实务指南(2025中文版) | IIA | 28页 | 胜任能力:4大类别28个子类别+4级水平 |
| 3 | Internal Auditing Competency Framework(2025英文版) | IIA | 30页 | Competency Framework英文完整版 |
| 4 | 2026 Learning Catalog | IIA | 44页 | 学习发展:AI/ESG/网络安全/数据等课程体系 |
| 5 | 2025 Learning Catalog | IIA | 38页 | 2025年度认证与培训课程 |
| 6 | 增值:内部审计实战经典案例 | 中国作者 | 433页 | 中国视角:实战案例库(扫描件) |
一、全球内部审计准则五大领域
领域 I:内部审计宗旨(Purpose of Internal Auditing)
内部审计定义(IIA): 内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善治理、风险管理和控制过程的有效性,帮助组织实现其目标。
宗旨声明(Purpose Statement): 内部审计的宗旨是以风险为基础,提供客观的确认和咨询活动,旨在增加价值和改善组织的运营,帮助组织实现其目标。准则服务于公共利益。
领域 II:职业道德和职业素养(Ethics and Professionalism)
替代IIA原《职业道德准则》,明确专业内部审计师的行为期望
原则1:展现诚信(Demonstrate Integrity)
| 标准 | 核心要求 |
|---|---|
| 1.1 诚实与职业勇气 | 必须以诚实和职业勇气执行工作;真实、准确、清晰、开放和尊重地沟通;展现职业勇气——真实沟通并采取行动 |
| 1.2 组织的道德期望 | 必须理解、尊重、满足并促进组织合法和道德期望;促进道德文化 |
| 1.3 法律和道德行为 | 不得参与或成为任何非法或有损信誉活动的当事方;理解和遵守相关法律法规 |
原则2:保持客观(Maintain Objectivity)
| 标准 | 核心要求 |
|---|---|
| 2.1 个人客观性 | 执行内部审计工作时必须保持专业客观性;认识和管理潜在偏见 |
| 2.2 保护客观性 | 必须识别和避免或减轻实际、潜在和感知的客观性损害;不得接受可能损害客观性的有形或无形物品 |
| 2.3 披露客观性损害 | 必须披露实际或感知的客观性损害 |
原则3:展现胜任能力(Demonstrate Competency)
| 标准 | 核心要求 |
|---|---|
| 3.1 胜任能力 | 必须具备或获得履行职责所需的胜任能力;仅从事有或能达到必要能力的服务 |
| 3.2 持续职业发展 | 必须保持并持续发展胜任能力以提高内部审计服务质量 |
原则4:保持应有职业谨慎(Exercise Due Professional Care)
| 标准 | 核心要求 |
|---|---|
| 4.1 遵循全球内部审计准则 | 必须按照准则计划和执行内部审计服务 |
| 4.2 应有职业谨慎 | 必须通过评估事项的性质、情况、影响和理由来行使应有职业谨慎 |
| 4.3 职业怀疑 | 必须在计划和执行内部审计服务时行使职业怀疑 |
原则5:保持保密(Maintain Confidentiality)
| 标准 | 核心要求 |
|---|---|
| 5.1 信息使用 | 必须遵守相关政策、程序、法律和法规使用信息 |
| 5.2 信息保护 | 必须了解保护信息的责任;未经授权不得披露机密信息;管理信息无意暴露的风险 |
领域 III:内部审计治理(Governing the Internal Audit Function)
原则6:由董事会授权(Authorized by the Board)
| 标准 | 核心要求 |
|---|---|
| 6.1 内部审计职责和权限 | 必须通过内部审计章程确立内部审计职责和权限;章程须由董事会批准 |
| 6.2 内部审计章程 | 章程必须界定:内部审计宗旨/授权/范围/责任/报告关系/独立性保障 |
| 6.3 董事会和高级管理层支持 | 董事会和高级管理层必须支持内部审计职能 |
原则7:独立定位(Positioned Independently)
| 标准 | 核心要求 |
|---|---|
| 7.1 组织独立性 | 首席审计执行官必须在职能上向董事会报告;行政上向CEO报告但不妨碍独立性 |
| 7.2 首席审计执行官的资格 | CAE须具备领导和管理内部审计职能的资格和胜任能力;须向董事会提供必要信息 |
原则8:由董事会监督(Overseen by the Board)
| 标准 | 核心要求 |
|---|---|
| 8.1 与董事会的沟通 | CAE必须与董事会定期沟通,包括:内部审计计划/风险评估/资源需求/重大发现 |
| 8.2 资源 | 董事会必须确保内部审计职能拥有足够资源 |
| 8.3 质量 | CAE必须制定和实施质量保证与改进程序 |
| 8.4 外部质量评估 | 必须每5年至少进行一次外部质量评估;须由至少一名CIA持证人员领导 |
领域 IV:管理内部审计职能(Managing the Internal Audit Function)
原则9:制定战略规划(Plan Strategically)
| 标准 | 核心要求 |
|---|---|
| 9.1 了解治理、风险管理和控制过程 | CAE必须了解组织的治理、风险管理和控制过程 |
| 9.2 内部审计战略 | 战略必须包括愿景、战略目标和支持措施;至少一个目标应为每个胜任能力子类别设定能力水平目标 |
| 9.3 方法体系 | 必须建立内部审计方法体系,包括风险评估/工作程序/报告模板等 |
| 9.4 内部审计计划 | 计划必须基于风险评估;须经董事会批准;须包含确认和咨询服务 |
| 9.5 协调和依赖 | CAE须协调内部审计与其他确认服务提供者的工作;须评估可依赖程度 |
原则10:管理资源(Manage Resources)
| 标准 | 核心要求 |
|---|---|
| 10.1 财务资源管理 | CAE必须有效管理内部审计职能的财务资源 |
| 10.2 人力资源管理 | CAE必须确保内部审计人员具备适当胜任能力;须制定招聘/培训/绩效管理计划 |
| 10.3 技术资源 | CAE必须评估和利用技术资源以提升内部审计服务效果和效率 |
原则11:有效沟通(Communicate Effectively)
| 标准 | 核心要求 |
|---|---|
| 11.1 建立关系和沟通 | CAE须与董事会和高级管理层建立有效关系 |
| 11.2 有效沟通 | 沟通须及时/准确/完整/清晰/客观 |
| 11.3 沟通结果 | 必须沟通内部审计结果,包括发现/结论/建议 |
| 11.4 错误和遗漏 | 若已沟通的信息存在重大错误或遗漏,必须更正 |
| 11.5 沟通风险接受 | 若管理层接受了内部审计认为不可接受的风险,CAE须与董事会讨论 |
原则12:强化质量(Enhance Quality)
| 标准 | 核心要求 |
|---|---|
| 12.1 内部评估 | CAE须制定和实施内部评估程序,包括持续监督和定期自我评估 |
| 12.2 绩效评估 | CAE须建立绩效评估框架,包括内部审计职能和个人的绩效指标 |
| 12.3 监督和改进项目执行 | CAE须监督和改进内部审计项目的执行质量 |
领域 V:实施内部审计业务(Performing Internal Audit Services)
原则13:有效计划审计项目(Plan Engagements Effectively)
| 标准 | 核心要求 |
|---|---|
| 13.1 项目沟通 | 须与审计对象沟通项目目标/范围/时间安排 |
| 13.2 项目风险评估 | 须识别和评估与审计对象相关的风险,并据此确定项目重点 |
| 13.3 项目目标和范围 | 须确定项目目标和范围,并与审计对象协商确认 |
| 13.4 评价标准 | 须确定用于评估审计对象的评价标准 |
| 13.5 项目资源 | 须分配适当的资源以实现项目目标 |
| 13.6 工作方案 | 须制定书面工作方案,包括程序/方法/时间安排 |
原则14:执行审计项目工作(Conduct Engagement Work)
| 标准 | 核心要求 |
|---|---|
| 14.1 收集信息 | 须收集充分、可靠、相关和有用的信息用于分析和评价 |
| 14.2 分析和潜在发现 | 须对信息进行分析以识别潜在发现 |
| 14.3 评价发现 | 须根据评价标准评价审计发现 |
| 14.4 建议和行动计划 | 须制定建议和行动计划以解决审计发现 |
| 14.5 项目结论 | 须形成项目结论 |
| 14.6 项目文档 | 须记录充分信息以支持结论和发现 |
原则15:沟通项目结果和监督行动(Communicate Engagement Results and Monitor Actions)
| 标准 | 核心要求 |
|---|---|
| 15.1 最终项目沟通 | 须发布最终审计报告,包括目标/范围/发现/结论/建议 |
| 15.2 确认行动实施 | 须跟进和确认管理层是否已采取行动解决审计发现 |
二、内部审计胜任能力框架(2025版)
2.1 四大能力类别×28个知识与技能子类别
| 高层次类别 | 知识和技能子类别 |
|---|---|
| 内部审计胜任能力 | 国际内部审计专业实务框架(IPPF) / 职业道德和职业素养 / 质量保证和改进程序 / 审计方法 / 综合协调确认 / 报告结果 |
| 专业胜任能力 | 领导能力 / 专业交流 / 谈判与冲突管理 / 数据分析 / 项目管理 |
| 治理和风险管理胜任能力 | 治理 / 战略 / 企业风险管理 / 合规 / 舞弊 / 组织复原力 / 可持续发展 |
| 运营领域胜任能力 | 会计 / 客户关系管理 / 网络安全 / 财务 / 人力资源 / 信息技术 / 市场营销 / 销售 / 供应链管理 / 其他重要部门/职能/流程 |
2.2 四级胜任能力水平
| 水平 | 定义 | 对应角色 |
|---|---|---|
| 基础(Foundational) | 具备基本知识,能在督导下完成简单任务 | 入门级审计人员 |
| 中级(Intermediate) | 能独立完成标准任务,具备一定判断力 | 员工级/高级审计人员 |
| 高级(Advanced) | 能处理复杂问题,提供有价值的洞察和前瞻性意见 | 高级经理/主任级 |
| 专家(Expert) | 在某领域具有深度专业知识和创新能力 | CAE/主任级/质量评估负责人 |
2.3 角色与胜任能力期望
| 角色 | 内部审计胜任能力 | 专业胜任能力 | 治理/风险管理 | 运营领域 |
|---|---|---|---|---|
| 入门级审计人员 | 基础→中级 | 基础 | 基础 | 视背景定 |
| 高级审计人员 | 中级→高级 | 中级→高级 | 中级 | 部分高级 |
| 主任级审计人员 | 高级→专家 | 高级 | 高级→专家 | 部分专家 |
| 首席审计执行官 | 专家 | 专家 | 高级→专家 | 高级 |
| 质量评估负责人 | 专家 | 高级 | 高级 | 高级 |
2.4 胜任能力评估工具
| 模板 | 用途 |
|---|---|
| A1 胜任能力框架 | 知识与技能子类别×能力水平矩阵,含特征描述和示例 |
| A2 子类别示例 | 每个子类别包含的重要主题或流程示例 |
| A3 个人胜任能力评估 | 评估个人在指定子类别下的胜任能力水平 |
| A4 整体胜任能力评估 | 汇总团队整体能力水平,与目标对比,识别差距 |
2.5 资格认证与胜任能力
| 认证 | 颁发机构 | 核心领域 |
|---|---|---|
| CIA®(国际注册内部审计师) | IIA | 内部审计基础/实务/知识要素 |
| CRMA®(风险管理确认专业资格) | IIA | 治理/风险管理/组织控制 |
| IAP(内部审计从业者) | IIA | 内部审计基础知识与技能 |
关键要求: 外部质量评估必须由至少一名CIA持证人员领导或实施。
三、IIA学习发展体系(2025-2026)
3.1 专题分类与课程体系
| 专题领域 | 核心课程 | CPE学分 |
|---|---|---|
| 人工智能(AI) | AI审计/提示工程/ChatGPT治理/生成式AI | 1-14 |
| ESG/可持续发展 | ESG证书/ISSB准则/气候风险/可持续报告 | 1-40 |
| 业务复原力 | 业务连续性/危机管理/供应链复原力 | 1-8 |
| 核心胜任能力 | 审计基础/风险评估/内部控制/审计报告 | 1-24 |
| 网络安全 | 网络安全审计/事件响应/隐私保护 | 1-24 |
| 数据与分析 | 数据分析证书/数据素养/可视化 | 1-24 |
| 舞弊 | 舞弊调查/反舞弊控制/取证分析 | 1-16 |
| 治理/风险/控制 | 企业风险管理/合规/治理最佳实践 | 1-24 |
| IT审计 | IT一般控制/应用控制/云安全/DevOps | 1-24 |
| 敏捷审计 | 敏捷方法论/Scrum/迭代审计 | 1-8 |
3.2 认证项目
| 证书 | 类型 | 核心内容 |
|---|---|---|
| CIA® | 资格认证 | 三部分考试:内部审计基础/实务/知识要素 |
| CRMA® | 资格认证 | 风险管理确认专业知识 |
| ESG Certificate | 基于评估的证书 | ESG概念/报告/审计 |
| Data Literacy Certificate | 基于评估的证书 | 数据分析全旅程 |
| Quality Assessor Certificate | 基于评估的证书 | 质量评估方法论 |
| Cybersecurity Certificate | 基于评估的证书 | 网络安全审计 |
3.3 AI在内部审计中的应用(2026新趋势)
| 应用方向 | 具体工具/方法 |
|---|---|
| AI审计工具 | ChatGPT/生成式AI在审计中的应用 |
| 审计AI系统 | 评估AI模型的风险和控制 |
| AI提示工程 | 为内部审计人员设计的AI提示方法 |
| AI治理 | 生成式AI使用治理框架 |
| 数据驱动的审计 | 自动化分析/异常检测/预测模型 |
四、内部审计项目全生命周期
4.1 项目流程六步法
Step 1: 项目启动 → 与审计对象沟通(Std 13.1)
│
Step 2: 风险评估 → 识别和评估风险(Std 13.2)
│
Step 3: 计划制定 → 目标/范围/评价标准/资源/方案(Std 13.3-13.6)
│
Step 4: 现场执行 → 收集信息/分析/评价/建议(Std 14.1-14.6)
│
Step 5: 报告沟通 → 最终审计报告/风险接受(Std 15.1, 11.5)
│
Step 6: 跟踪监督 → 确认行动实施(Std 15.2)
4.2 审计发现五要素
| 要素 | 内容 | 准则依据 |
|---|---|---|
| 标准(Criteria) | 应该是什么——评价标准 | Std 13.4 |
| 条件(Condition) | 实际是什么——审计发现的事实 | Std 14.1, 14.2 |
| 原因(Cause) | 为什么存在差距——根本原因分析 | Std 14.3 |
| 影响(Effect) | 差距的后果——风险敞口/损失 | Std 14.3 |
| 建议(Recommendation) | 如何解决——行动计划 | Std 14.4 |
4.3 审计报告核心内容
| 部分 | 必要性 | 内容 |
|---|---|---|
| 项目目标 | 必须 | 审计项目要达到的目的 |
| 项目范围 | 必须 | 审计覆盖的组织/流程/期间 |
| 审计方法 | 必须 | 采用的方法论和程序 |
| 审计发现 | 必须 | 事实/条件/原因/影响 |
| 审计结论 | 必须 | 对审计对象的整体评价 |
| 建议和行动计划 | 建议 | 改善建议及管理层承诺 |
| 管理层回应 | 最佳实践 | 管理层对发现的意见 |
五、内部审计质量保证与改进程序(QAIP)
5.1 质量评估体系
| 评估类型 | 频率 | 执行者 | 核心内容 |
|---|---|---|---|
| 持续监督 | 持续 | CAE/管理层 | 日常监督/项目复核/反馈收集 |
| 内部自评 | 至少每年 | CAE | 自我评估/绩效指标/改进计划 |
| 外部评估 | 至少每5年 | 独立外部评估师 | 全面评估/遵循准则/最佳实践 |
5.2 外部质量评估要求
关键要求(Std 8.4):
- 至少每5年进行一次
- 须由独立、有资格的外部评估师执行
- 至少一名评估师须持有CIA资格
- 评估结果须报告董事会
评估范围:
- 遵循全球内部审计准则的程度
- 内部审计章程的适当性
- CAE和团队的资格与胜任能力
- 内部审计计划与组织风险的对齐
- 报告质量和影响
- 独立性和客观性保障
六、CGMA与IIA胜任能力映射
| IIA能力类别 | CGMA能力域 | 映射关系 |
|---|---|---|
| 内部审计胜任能力 | 技术技能 | 准则遵循/审计方法论/报告技能 |
| 专业胜任能力 | 商业技能+人际技能+领导力技能 | 领导/沟通/谈判/数据/项目管理 |
| 治理和风险管理胜任能力 | 商业技能+技术技能 | 治理/战略/ERM/合规/舞弊/复原力 |
| 运营领域胜任能力 | 数字技能+商业技能 | 会计/IT/网络安全/财务/供应链 |
CGMA独特贡献:
- 管理会计视角补充内部审计的财务分析深度
- EVA/ROIC/WACC等价值评估工具在审计发现中的应用
- 战略成本分析在运营审计中的增值
- 可持续发展报告审计(ESG)的专业基础
七、内部审计实战方法论(中国视角)
基于《增值:内部审计实战经典案例》433页案例库提炼
7.1 增值型内部审计核心理念
从"看门狗"到"价值伙伴"的转变:
- 传统审计:合规检查→发现问题→报告
- 增值审计:风险前瞻→洞察价值→推动改进
增值审计三大维度:
- 保护价值 — 识别和应对治理/风险/控制缺陷
- 创造价值 — 提供前瞻性洞察和改进建议
- 维护价值 — 跟踪确认行动实施,确保持续改善
7.2 实战审计类型
| 审计类型 | 目标 | 关键方法 |
|---|---|---|
| 财务审计 | 财务信息真实/完整/准确 | 抽样/分析性程序/函证 |
| 合规审计 | 遵循法律法规和内部政策 | 法规对标/流程穿行/证据收集 |
| 运营审计 | 运营效率/效果/经济性 | 绩效指标/标杆对比/流程分析 |
| IT审计 | 信息系统安全/可靠/有效 | 逻辑访问/变更管理/数据完整性 |
| 舞弊审计 | 识别/调查舞弊行为 | 数据挖掘/异常分析/访谈 |
| 战略审计 | 战略制定/执行/调整的有效性 | 环境分析/战略地图/绩效回顾 |
7.3 中国内部审计特色
| 特点 | 表现 | 挑战 |
|---|---|---|
| 法规体系 | 审计法/审计法实施条例/内部审计基本准则 | 多层次法规体系 |
| 组织架构 | 审计委员会/监事会/内审部门多元治理 | 独立性保障不足 |
| 数字化转型 | 大数据审计/持续审计/远程审计 | 技术能力缺口 |
| 风险导向 | 从合规导向转向风险导向 | 风险评估方法不成熟 |
| 结果运用 | 审计整改/问责/激励机制 | 整改跟踪不到位 |
八、内部审计数字化转型
8.1 技术驱动的审计变革
| 技术领域 | 审计应用 | 准则依据 |
|---|---|---|
| 数据分析 | 全量数据分析/异常检测/趋势预测 | Std 10.3, 14.1 |
| AI/机器学习 | 智能风险评估/自动化审计程序/文本分析 | 2026学习目录 |
| RPA | 自动化重复性任务/数据提取/报告生成 | Std 10.3 |
| 区块链 | 交易追踪/智能合约审计/不可篡改证据 | 运营领域胜任能力 |
| 云安全 | 云环境审计/数据隐私/合规评估 | 网络安全子类别 |
| 持续审计 | 实时监控/自动化测试/即时报告 | Std 9.3, 12.1 |
8.2 数据分析能力层级
| 层级 | 能力描述 | 工具示例 |
|---|---|---|
| 基础 | 描述性分析/数据清洗/基本统计 | Excel/SQL |
| 中级 | 诊断性分析/异常检测/趋势分析 | Python/Tableau/ACL |
| 高级 | 预测性分析/模型构建/风险评估 | R/ML算法/BI平台 |
| 专家 | 规范性分析/自动化审计框架/AI审计 | 自研平台/深度学习 |
九、公共部门内部审计
9.1 公共部门特殊要求(准则专项规定)
与私营部门的差异:
- 公共部门审计须考虑公共利益和公共受托责任
- 审计委员会须包含独立于管理层的公众成员
- 须遵守额外的法律和监管框架
- 透明度要求更高(信息公开/公众监督)
9.2 公共部门审计关注重点
| 关注领域 | 核心议题 |
|---|---|
| 合规性 | 预算执行/政府采购/招投标合规 |
| 经济性 | 资源使用的节约和效率 |
| 效果性 | 政策目标的实现程度 |
| 公平性 | 公共资源的公平分配 |
| 透明度 | 信息披露和公众知情权 |
十、内部审计与公司治理整合
10.1 三道防线模型
| 防线 | 角色 | 内部审计关系 |
|---|---|---|
| 第一道 | 业务运营管理层 | 审计对象/风险管理第一责任人 |
| 第二道 | 风险管理/合规/质量控制 | 协调与依赖(Std 9.5)/综合确认 |
| 第三道 | 内部审计 | 独立确认和咨询/向董事会报告 |
10.2 内部审计在治理中的核心作用
董事会 ←→ 首席审计执行官(CAE)
│ │
├── 授权(Std 6.1) └── 独立报告(Std 7.1)
├── 监督(Std 8.1-8.4) └── 战略规划(Std 9.1-9.5)
├── 资源保障(Std 8.2) └── 质量管理(Std 12.1-12.3)
└── 风险接受(Std 11.5) └── 结果沟通(Std 11.3, 15.1)
10.3 CAE与董事会的关键沟通
| 沟通事项 | 频率 | 准则依据 |
|---|---|---|
| 内部审计计划 | 年度+重大变更时 | Std 9.4 |
| 风险评估结果 | 定期 | Std 9.1 |
| 资源需求 | 年度+需求变化时 | Std 8.2 |
| 重大审计发现 | 及时 | Std 11.3 |
| 管理层风险接受 | 及时 | Std 11.5 |
| 质量评估结果 | 内部年度/外部每5年 | Std 12.1, 8.4 |
| 外部评估师选择 | 每5年 | Std 8.4 |
致谢
本SKILL基于以下权威来源完整内容提炼:
- IIA《Global Internal Audit Standards》(2024年1月9日版)
- IIA《内部审计胜任能力框架》全球实务指南(2025中文版)
- IIA《Internal Auditing Competency Framework》Global Practice Guide (2025)
- IIA《2026 Learning Catalog》
- IIA《2025 Learning Catalog》
- 《增值:内部审计实战经典案例》
SKILL结构化整理与署名:Wang Dongjie, CGMA/AICPA&CIMA
© 2026 Wang Dongjie, CGMA/AICPA&CIMA. All rights reserved.