Internal Audit Mastery

SKILL.md

# Internal Audit Mastery — 全球内部审计专业实务体系

> **版本:** 1.0.0  
> **来源:** 6部IIA权威著作+中国实战案例  
> **署名:** Wang Dongjie, CGMA/AICPA&CIMA  
> **© 2026 Wang Dongjie. All rights reserved.**

---

## 核心定位

基于**国际内部审计师协会（IIA）**2024-2026年最新权威体系，融合全球内部审计准则、胜任能力框架、学习发展目录与中国内部审计实战经典案例，构建从准则遵循→能力建设→业务执行→持续发展的全链路内部审计专业实务体系。

### 六大来源著作

| # | 来源 | 作者/机构 | 页数 | 核心贡献 |
|---|---|---|---|---|
| 1 | Global Internal Audit Standards（2024版） | IIA | 62页 | 全球准则：5大领域15项原则52条标准 |
| 2 | 内部审计胜任能力框架实务指南（2025中文版） | IIA | 28页 | 胜任能力：4大类别28个子类别+4级水平 |
| 3 | Internal Auditing Competency Framework（2025英文版） | IIA | 30页 | Competency Framework英文完整版 |
| 4 | 2026 Learning Catalog | IIA | 44页 | 学习发展：AI/ESG/网络安全/数据等课程体系 |
| 5 | 2025 Learning Catalog | IIA | 38页 | 2025年度认证与培训课程 |
| 6 | 增值：内部审计实战经典案例 | 中国作者 | 433页 | 中国视角：实战案例库（扫描件） |

---

## 一、全球内部审计准则五大领域

### 领域 I：内部审计宗旨（Purpose of Internal Auditing）

**内部审计定义（IIA）：**
内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善治理、风险管理和控制过程的有效性，帮助组织实现其目标。

**宗旨声明（Purpose Statement）：**
内部审计的宗旨是以风险为基础，提供客观的确认和咨询活动，旨在增加价值和改善组织的运营，帮助组织实现其目标。准则服务于公共利益。

---

### 领域 II：职业道德和职业素养（Ethics and Professionalism）

> 替代IIA原《职业道德准则》，明确专业内部审计师的行为期望

#### 原则1：展现诚信（Demonstrate Integrity）

| 标准 | 核心要求 |
|---|---|
| **1.1 诚实与职业勇气** | 必须以诚实和职业勇气执行工作；真实、准确、清晰、开放和尊重地沟通；展现职业勇气——真实沟通并采取行动 |
| **1.2 组织的道德期望** | 必须理解、尊重、满足并促进组织合法和道德期望；促进道德文化 |
| **1.3 法律和道德行为** | 不得参与或成为任何非法或有损信誉活动的当事方；理解和遵守相关法律法规 |

#### 原则2：保持客观（Maintain Objectivity）

| 标准 | 核心要求 |
|---|---|
| **2.1 个人客观性** | 执行内部审计工作时必须保持专业客观性；认识和管理潜在偏见 |
| **2.2 保护客观性** | 必须识别和避免或减轻实际、潜在和感知的客观性损害；不得接受可能损害客观性的有形或无形物品 |
| **2.3 披露客观性损害** | 必须披露实际或感知的客观性损害 |

#### 原则3：展现胜任能力（Demonstrate Competency）

| 标准 | 核心要求 |
|---|---|
| **3.1 胜任能力** | 必须具备或获得履行职责所需的胜任能力；仅从事有或能达到必要能力的服务 |
| **3.2 持续职业发展** | 必须保持并持续发展胜任能力以提高内部审计服务质量 |

#### 原则4：保持应有职业谨慎（Exercise Due Professional Care）

| 标准 | 核心要求 |
|---|---|
| **4.1 遵循全球内部审计准则** | 必须按照准则计划和执行内部审计服务 |
| **4.2 应有职业谨慎** | 必须通过评估事项的性质、情况、影响和理由来行使应有职业谨慎 |
| **4.3 职业怀疑** | 必须在计划和执行内部审计服务时行使职业怀疑 |

#### 原则5：保持保密（Maintain Confidentiality）

| 标准 | 核心要求 |
|---|---|
| **5.1 信息使用** | 必须遵守相关政策、程序、法律和法规使用信息 |
| **5.2 信息保护** | 必须了解保护信息的责任；未经授权不得披露机密信息；管理信息无意暴露的风险 |

---

### 领域 III：内部审计治理（Governing the Internal Audit Function）

#### 原则6：由董事会授权（Authorized by the Board）

| 标准 | 核心要求 |
|---|---|
| **6.1 内部审计职责和权限** | 必须通过内部审计章程确立内部审计职责和权限；章程须由董事会批准 |
| **6.2 内部审计章程** | 章程必须界定：内部审计宗旨/授权/范围/责任/报告关系/独立性保障 |
| **6.3 董事会和高级管理层支持** | 董事会和高级管理层必须支持内部审计职能 |

#### 原则7：独立定位（Positioned Independently）

| 标准 | 核心要求 |
|---|---|
| **7.1 组织独立性** | 首席审计执行官必须在职能上向董事会报告；行政上向CEO报告但不妨碍独立性 |
| **7.2 首席审计执行官的资格** | CAE须具备领导和管理内部审计职能的资格和胜任能力；须向董事会提供必要信息 |

#### 原则8：由董事会监督（Overseen by the Board）

| 标准 | 核心要求 |
|---|---|
| **8.1 与董事会的沟通** | CAE必须与董事会定期沟通，包括：内部审计计划/风险评估/资源需求/重大发现 |
| **8.2 资源** | 董事会必须确保内部审计职能拥有足够资源 |
| **8.3 质量** | CAE必须制定和实施质量保证与改进程序 |
| **8.4 外部质量评估** | 必须每5年至少进行一次外部质量评估；须由至少一名CIA持证人员领导 |

---

### 领域 IV：管理内部审计职能（Managing the Internal Audit Function）

#### 原则9：制定战略规划（Plan Strategically）

| 标准 | 核心要求 |
|---|---|
| **9.1 了解治理、风险管理和控制过程** | CAE必须了解组织的治理、风险管理和控制过程 |
| **9.2 内部审计战略** | 战略必须包括愿景、战略目标和支持措施；至少一个目标应为每个胜任能力子类别设定能力水平目标 |
| **9.3 方法体系** | 必须建立内部审计方法体系，包括风险评估/工作程序/报告模板等 |
| **9.4 内部审计计划** | 计划必须基于风险评估；须经董事会批准；须包含确认和咨询服务 |
| **9.5 协调和依赖** | CAE须协调内部审计与其他确认服务提供者的工作；须评估可依赖程度 |

#### 原则10：管理资源（Manage Resources）

| 标准 | 核心要求 |
|---|---|
| **10.1 财务资源管理** | CAE必须有效管理内部审计职能的财务资源 |
| **10.2 人力资源管理** | CAE必须确保内部审计人员具备适当胜任能力；须制定招聘/培训/绩效管理计划 |
| **10.3 技术资源** | CAE必须评估和利用技术资源以提升内部审计服务效果和效率 |

#### 原则11：有效沟通（Communicate Effectively）

| 标准 | 核心要求 |
|---|---|
| **11.1 建立关系和沟通** | CAE须与董事会和高级管理层建立有效关系 |
| **11.2 有效沟通** | 沟通须及时/准确/完整/清晰/客观 |
| **11.3 沟通结果** | 必须沟通内部审计结果，包括发现/结论/建议 |
| **11.4 错误和遗漏** | 若已沟通的信息存在重大错误或遗漏，必须更正 |
| **11.5 沟通风险接受** | 若管理层接受了内部审计认为不可接受的风险，CAE须与董事会讨论 |

#### 原则12：强化质量（Enhance Quality）

| 标准 | 核心要求 |
|---|---|
| **12.1 内部评估** | CAE须制定和实施内部评估程序，包括持续监督和定期自我评估 |
| **12.2 绩效评估** | CAE须建立绩效评估框架，包括内部审计职能和个人的绩效指标 |
| **12.3 监督和改进项目执行** | CAE须监督和改进内部审计项目的执行质量 |

---

### 领域 V：实施内部审计业务（Performing Internal Audit Services）

#### 原则13：有效计划审计项目（Plan Engagements Effectively）

| 标准 | 核心要求 |
|---|---|
| **13.1 项目沟通** | 须与审计对象沟通项目目标/范围/时间安排 |
| **13.2 项目风险评估** | 须识别和评估与审计对象相关的风险，并据此确定项目重点 |
| **13.3 项目目标和范围** | 须确定项目目标和范围，并与审计对象协商确认 |
| **13.4 评价标准** | 须确定用于评估审计对象的评价标准 |
| **13.5 项目资源** | 须分配适当的资源以实现项目目标 |
| **13.6 工作方案** | 须制定书面工作方案，包括程序/方法/时间安排 |

#### 原则14：执行审计项目工作（Conduct Engagement Work）

| 标准 | 核心要求 |
|---|---|
| **14.1 收集信息** | 须收集充分、可靠、相关和有用的信息用于分析和评价 |
| **14.2 分析和潜在发现** | 须对信息进行分析以识别潜在发现 |
| **14.3 评价发现** | 须根据评价标准评价审计发现 |
| **14.4 建议和行动计划** | 须制定建议和行动计划以解决审计发现 |
| **14.5 项目结论** | 须形成项目结论 |
| **14.6 项目文档** | 须记录充分信息以支持结论和发现 |

#### 原则15：沟通项目结果和监督行动（Communicate Engagement Results and Monitor Actions）

| 标准 | 核心要求 |
|---|---|
| **15.1 最终项目沟通** | 须发布最终审计报告，包括目标/范围/发现/结论/建议 |
| **15.2 确认行动实施** | 须跟进和确认管理层是否已采取行动解决审计发现 |

---

## 二、内部审计胜任能力框架（2025版）

### 2.1 四大能力类别×28个知识与技能子类别

| 高层次类别 | 知识和技能子类别 |
|---|---|
| **内部审计胜任能力** | 国际内部审计专业实务框架(IPPF) / 职业道德和职业素养 / 质量保证和改进程序 / 审计方法 / 综合协调确认 / 报告结果 |
| **专业胜任能力** | 领导能力 / 专业交流 / 谈判与冲突管理 / 数据分析 / 项目管理 |
| **治理和风险管理胜任能力** | 治理 / 战略 / 企业风险管理 / 合规 / 舞弊 / 组织复原力 / 可持续发展 |
| **运营领域胜任能力** | 会计 / 客户关系管理 / 网络安全 / 财务 / 人力资源 / 信息技术 / 市场营销 / 销售 / 供应链管理 / 其他重要部门/职能/流程 |

### 2.2 四级胜任能力水平

| 水平 | 定义 | 对应角色 |
|---|---|---|
| **基础（Foundational）** | 具备基本知识，能在督导下完成简单任务 | 入门级审计人员 |
| **中级（Intermediate）** | 能独立完成标准任务，具备一定判断力 | 员工级/高级审计人员 |
| **高级（Advanced）** | 能处理复杂问题，提供有价值的洞察和前瞻性意见 | 高级经理/主任级 |
| **专家（Expert）** | 在某领域具有深度专业知识和创新能力 | CAE/主任级/质量评估负责人 |

### 2.3 角色与胜任能力期望

| 角色 | 内部审计胜任能力 | 专业胜任能力 | 治理/风险管理 | 运营领域 |
|---|---|---|---|---|
| **入门级审计人员** | 基础→中级 | 基础 | 基础 | 视背景定 |
| **高级审计人员** | 中级→高级 | 中级→高级 | 中级 | 部分高级 |
| **主任级审计人员** | 高级→专家 | 高级 | 高级→专家 | 部分专家 |
| **首席审计执行官** | 专家 | 专家 | 高级→专家 | 高级 |
| **质量评估负责人** | 专家 | 高级 | 高级 | 高级 |

### 2.4 胜任能力评估工具

| 模板 | 用途 |
|---|---|
| **A1 胜任能力框架** | 知识与技能子类别×能力水平矩阵，含特征描述和示例 |
| **A2 子类别示例** | 每个子类别包含的重要主题或流程示例 |
| **A3 个人胜任能力评估** | 评估个人在指定子类别下的胜任能力水平 |
| **A4 整体胜任能力评估** | 汇总团队整体能力水平，与目标对比，识别差距 |

### 2.5 资格认证与胜任能力

| 认证 | 颁发机构 | 核心领域 |
|---|---|---|
| **CIA®（国际注册内部审计师）** | IIA | 内部审计基础/实务/知识要素 |
| **CRMA®（风险管理确认专业资格）** | IIA | 治理/风险管理/组织控制 |
| **IAP（内部审计从业者）** | IIA | 内部审计基础知识与技能 |

**关键要求：** 外部质量评估必须由至少一名CIA持证人员领导或实施。

---

## 三、IIA学习发展体系（2025-2026）

### 3.1 专题分类与课程体系

| 专题领域 | 核心课程 | CPE学分 |
|---|---|---|
| **人工智能（AI）** | AI审计/提示工程/ChatGPT治理/生成式AI | 1-14 |
| **ESG/可持续发展** | ESG证书/ISSB准则/气候风险/可持续报告 | 1-40 |
| **业务复原力** | 业务连续性/危机管理/供应链复原力 | 1-8 |
| **核心胜任能力** | 审计基础/风险评估/内部控制/审计报告 | 1-24 |
| **网络安全** | 网络安全审计/事件响应/隐私保护 | 1-24 |
| **数据与分析** | 数据分析证书/数据素养/可视化 | 1-24 |
| **舞弊** | 舞弊调查/反舞弊控制/取证分析 | 1-16 |
| **治理/风险/控制** | 企业风险管理/合规/治理最佳实践 | 1-24 |
| **IT审计** | IT一般控制/应用控制/云安全/DevOps | 1-24 |
| **敏捷审计** | 敏捷方法论/Scrum/迭代审计 | 1-8 |

### 3.2 认证项目

| 证书 | 类型 | 核心内容 |
|---|---|---|
| **CIA®** | 资格认证 | 三部分考试：内部审计基础/实务/知识要素 |
| **CRMA®** | 资格认证 | 风险管理确认专业知识 |
| **ESG Certificate** | 基于评估的证书 | ESG概念/报告/审计 |
| **Data Literacy Certificate** | 基于评估的证书 | 数据分析全旅程 |
| **Quality Assessor Certificate** | 基于评估的证书 | 质量评估方法论 |
| **Cybersecurity Certificate** | 基于评估的证书 | 网络安全审计 |

### 3.3 AI在内部审计中的应用（2026新趋势）

| 应用方向 | 具体工具/方法 |
|---|---|
| **AI审计工具** | ChatGPT/生成式AI在审计中的应用 |
| **审计AI系统** | 评估AI模型的风险和控制 |
| **AI提示工程** | 为内部审计人员设计的AI提示方法 |
| **AI治理** | 生成式AI使用治理框架 |
| **数据驱动的审计** | 自动化分析/异常检测/预测模型 |

---

## 四、内部审计项目全生命周期

### 4.1 项目流程六步法

```
Step 1: 项目启动 → 与审计对象沟通(Std 13.1)
    │
Step 2: 风险评估 → 识别和评估风险(Std 13.2)
    │
Step 3: 计划制定 → 目标/范围/评价标准/资源/方案(Std 13.3-13.6)
    │
Step 4: 现场执行 → 收集信息/分析/评价/建议(Std 14.1-14.6)
    │
Step 5: 报告沟通 → 最终审计报告/风险接受(Std 15.1, 11.5)
    │
Step 6: 跟踪监督 → 确认行动实施(Std 15.2)
```

### 4.2 审计发现五要素

| 要素 | 内容 | 准则依据 |
|---|---|---|
| **标准（Criteria）** | 应该是什么——评价标准 | Std 13.4 |
| **条件（Condition）** | 实际是什么——审计发现的事实 | Std 14.1, 14.2 |
| **原因（Cause）** | 为什么存在差距——根本原因分析 | Std 14.3 |
| **影响（Effect）** | 差距的后果——风险敞口/损失 | Std 14.3 |
| **建议（Recommendation）** | 如何解决——行动计划 | Std 14.4 |

### 4.3 审计报告核心内容

| 部分 | 必要性 | 内容 |
|---|---|---|
| **项目目标** | 必须 | 审计项目要达到的目的 |
| **项目范围** | 必须 | 审计覆盖的组织/流程/期间 |
| **审计方法** | 必须 | 采用的方法论和程序 |
| **审计发现** | 必须 | 事实/条件/原因/影响 |
| **审计结论** | 必须 | 对审计对象的整体评价 |
| **建议和行动计划** | 建议 | 改善建议及管理层承诺 |
| **管理层回应** | 最佳实践 | 管理层对发现的意见 |

---

## 五、内部审计质量保证与改进程序（QAIP）

### 5.1 质量评估体系

| 评估类型 | 频率 | 执行者 | 核心内容 |
|---|---|---|---|
| **持续监督** | 持续 | CAE/管理层 | 日常监督/项目复核/反馈收集 |
| **内部自评** | 至少每年 | CAE | 自我评估/绩效指标/改进计划 |
| **外部评估** | 至少每5年 | 独立外部评估师 | 全面评估/遵循准则/最佳实践 |

### 5.2 外部质量评估要求

**关键要求（Std 8.4）：**
- 至少每5年进行一次
- 须由独立、有资格的外部评估师执行
- 至少一名评估师须持有CIA资格
- 评估结果须报告董事会

**评估范围：**
- 遵循全球内部审计准则的程度
- 内部审计章程的适当性
- CAE和团队的资格与胜任能力
- 内部审计计划与组织风险的对齐
- 报告质量和影响
- 独立性和客观性保障

---

## 六、CGMA与IIA胜任能力映射

| IIA能力类别 | CGMA能力域 | 映射关系 |
|---|---|---|
| 内部审计胜任能力 | 技术技能 | 准则遵循/审计方法论/报告技能 |
| 专业胜任能力 | 商业技能+人际技能+领导力技能 | 领导/沟通/谈判/数据/项目管理 |
| 治理和风险管理胜任能力 | 商业技能+技术技能 | 治理/战略/ERM/合规/舞弊/复原力 |
| 运营领域胜任能力 | 数字技能+商业技能 | 会计/IT/网络安全/财务/供应链 |

**CGMA独特贡献：**
- 管理会计视角补充内部审计的财务分析深度
- EVA/ROIC/WACC等价值评估工具在审计发现中的应用
- 战略成本分析在运营审计中的增值
- 可持续发展报告审计（ESG）的专业基础

---

## 七、内部审计实战方法论（中国视角）

> 基于《增值：内部审计实战经典案例》433页案例库提炼

### 7.1 增值型内部审计核心理念

**从"看门狗"到"价值伙伴"的转变：**
- 传统审计：合规检查→发现问题→报告
- 增值审计：风险前瞻→洞察价值→推动改进

**增值审计三大维度：**
1. **保护价值** — 识别和应对治理/风险/控制缺陷
2. **创造价值** — 提供前瞻性洞察和改进建议
3. **维护价值** — 跟踪确认行动实施，确保持续改善

### 7.2 实战审计类型

| 审计类型 | 目标 | 关键方法 |
|---|---|---|
| **财务审计** | 财务信息真实/完整/准确 | 抽样/分析性程序/函证 |
| **合规审计** | 遵循法律法规和内部政策 | 法规对标/流程穿行/证据收集 |
| **运营审计** | 运营效率/效果/经济性 | 绩效指标/标杆对比/流程分析 |
| **IT审计** | 信息系统安全/可靠/有效 | 逻辑访问/变更管理/数据完整性 |
| **舞弊审计** | 识别/调查舞弊行为 | 数据挖掘/异常分析/访谈 |
| **战略审计** | 战略制定/执行/调整的有效性 | 环境分析/战略地图/绩效回顾 |

### 7.3 中国内部审计特色

| 特点 | 表现 | 挑战 |
|---|---|---|
| **法规体系** | 审计法/审计法实施条例/内部审计基本准则 | 多层次法规体系 |
| **组织架构** | 审计委员会/监事会/内审部门多元治理 | 独立性保障不足 |
| **数字化转型** | 大数据审计/持续审计/远程审计 | 技术能力缺口 |
| **风险导向** | 从合规导向转向风险导向 | 风险评估方法不成熟 |
| **结果运用** | 审计整改/问责/激励机制 | 整改跟踪不到位 |

---

## 八、内部审计数字化转型

### 8.1 技术驱动的审计变革

| 技术领域 | 审计应用 | 准则依据 |
|---|---|---|
| **数据分析** | 全量数据分析/异常检测/趋势预测 | Std 10.3, 14.1 |
| **AI/机器学习** | 智能风险评估/自动化审计程序/文本分析 | 2026学习目录 |
| **RPA** | 自动化重复性任务/数据提取/报告生成 | Std 10.3 |
| **区块链** | 交易追踪/智能合约审计/不可篡改证据 | 运营领域胜任能力 |
| **云安全** | 云环境审计/数据隐私/合规评估 | 网络安全子类别 |
| **持续审计** | 实时监控/自动化测试/即时报告 | Std 9.3, 12.1 |

### 8.2 数据分析能力层级

| 层级 | 能力描述 | 工具示例 |
|---|---|---|
| **基础** | 描述性分析/数据清洗/基本统计 | Excel/SQL |
| **中级** | 诊断性分析/异常检测/趋势分析 | Python/Tableau/ACL |
| **高级** | 预测性分析/模型构建/风险评估 | R/ML算法/BI平台 |
| **专家** | 规范性分析/自动化审计框架/AI审计 | 自研平台/深度学习 |

---

## 九、公共部门内部审计

### 9.1 公共部门特殊要求（准则专项规定）

**与私营部门的差异：**
- 公共部门审计须考虑公共利益和公共受托责任
- 审计委员会须包含独立于管理层的公众成员
- 须遵守额外的法律和监管框架
- 透明度要求更高（信息公开/公众监督）

### 9.2 公共部门审计关注重点

| 关注领域 | 核心议题 |
|---|---|
| **合规性** | 预算执行/政府采购/招投标合规 |
| **经济性** | 资源使用的节约和效率 |
| **效果性** | 政策目标的实现程度 |
| **公平性** | 公共资源的公平分配 |
| **透明度** | 信息披露和公众知情权 |

---

## 十、内部审计与公司治理整合

### 10.1 三道防线模型

| 防线 | 角色 | 内部审计关系 |
|---|---|---|
| **第一道** | 业务运营管理层 | 审计对象/风险管理第一责任人 |
| **第二道** | 风险管理/合规/质量控制 | 协调与依赖(Std 9.5)/综合确认 |
| **第三道** | 内部审计 | 独立确认和咨询/向董事会报告 |

### 10.2 内部审计在治理中的核心作用

```
董事会 ←→ 首席审计执行官(CAE)
  │              │
  ├── 授权(Std 6.1)     └── 独立报告(Std 7.1)
  ├── 监督(Std 8.1-8.4)  └── 战略规划(Std 9.1-9.5)
  ├── 资源保障(Std 8.2)   └── 质量管理(Std 12.1-12.3)
  └── 风险接受(Std 11.5)  └── 结果沟通(Std 11.3, 15.1)
```

### 10.3 CAE与董事会的关键沟通

| 沟通事项 | 频率 | 准则依据 |
|---|---|---|
| 内部审计计划 | 年度+重大变更时 | Std 9.4 |
| 风险评估结果 | 定期 | Std 9.1 |
| 资源需求 | 年度+需求变化时 | Std 8.2 |
| 重大审计发现 | 及时 | Std 11.3 |
| 管理层风险接受 | 及时 | Std 11.5 |
| 质量评估结果 | 内部年度/外部每5年 | Std 12.1, 8.4 |
| 外部评估师选择 | 每5年 | Std 8.4 |

---

## 致谢

本SKILL基于以下权威来源完整内容提炼：
1. IIA《Global Internal Audit Standards》（2024年1月9日版）
2. IIA《内部审计胜任能力框架》全球实务指南（2025中文版）
3. IIA《Internal Auditing Competency Framework》Global Practice Guide (2025)
4. IIA《2026 Learning Catalog》
5. IIA《2025 Learning Catalog》
6. 《增值：内部审计实战经典案例》

SKILL结构化整理与署名：Wang Dongjie, CGMA/AICPA&CIMA

---

*© 2026 Wang Dongjie, CGMA/AICPA&CIMA. All rights reserved.*