全球內部稽核(GIAS) 筆記

# 2024 全球內部稽核準則 (GIAS) — CIA 考前重點複習 :::info **適用考試：** CIA (Certified Internal Auditor) **版本：** 2024 GIAS 精簡版 **用途：** 考前快速複習，聚焦高頻考點與易錯陷阱 ::: --- ## 一、IPPF 架構（必考基礎） | 組成要素 | 性質 | 考試關鍵 | | :--- | :---: | :--- | | **全球內部稽核準則 (GIAS)** | **強制性** | 15 項指導原則，每項含「要求」+「實施注意事項」+「符合性證據範例」 | | **特定議題要求** | **強制性（條件式）** | 專案範圍涉及該主題時才觸發，但一旦觸發即為強制 | | **全球指引**（含 GTAG） | **補充性（建議）** | 非強制，提供 How-to 方法，強烈建議參考 | :::warning **陷阱題型：** 特定議題要求 ≠ 補充性！只要專案涉及該主題，就是**強制性**。 ::: ### 準則用語辨析 | 用語 | 意義 | 出現位置 | |------|------|----------| | **必須 / 不得 (Must)** | 強制性要求 | 要求 (Requirements) | | **應該 / 應 (Should)** | 建議但非強制 | 實施注意事項 | | **可以 / 可 (May)** | 選擇性作法 | 實施注意事項 | --- ## 二、五大領域總覽 | 領域 | 主題 | 原則 | 適用對象 | |:----:|------|:----:|----------| | 一 | 內部稽核的目的 | — | 所有人 | | 二 | 道德和專業精神 | 1～5 | **所有**內部稽核人員 | | 三 | 治理內部稽核職能 | 6～8 | CAE + 董事會 | | 四 | 管理內部稽核職能 | 9～12 | CAE | | 五 | 執行內部稽核服務 | 13～15 | **所有**內部稽核人員 | --- ## 三、重要詞彙（選擇題高頻） | 詞彙 | 定義要點 | |------|----------| | **Board（董事會）** | 負責治理的**最高層級**機構（含審計委員會、理事會等）；若不存在，則指組織最高層級治理機構或人員 | | **CAE（內部稽核主管）** | 負責有效管理內部稽核職能，確保依《準則》提供高品質服務 | | **Independence（獨立性）** | 內部稽核**職能**不受損害公正履行職責之條件影響的自由 | | **Objectivity（客觀性）** | **個人**不帶偏見的精神態度，不妥協專業判斷 | | **Assurance（確信）** | 提升利害關係人**對組織治理、風險管理和控制程序**信心之聲明，係針對議題、實際狀況、主題或受評估業務，與既定判斷標準比較 | | **Advisory Services（諮詢服務）** | 提供建議，無須提供確信或承擔管理責任；**性質和範圍需經相關利害關係人同意** | | **Finding（發現）** | 判斷標準 (Criteria) 與實際狀況 (Condition) 間之**差距** | | **Risk Appetite（風險胃納）** | 組織**願意接受**的風險類型和程度 | | **Risk Tolerance（風險容忍度）** | 與達成目標相關的**可接受績效變異**程度 | :::warning **獨立性 vs 客觀性：** 獨立性是「**職能層級**」的概念；客觀性是「**個人層級**」的概念。這是經典考題。 ::: --- ## 領域一：內部稽核的目的 > 內部稽核透過為董事會和管理階層提供**獨立**、**風險導向**和**客觀**的確信、建議、**深度洞察**和**前瞻遠見**，強化組織**創造**、**保護**和**維持**價值的能力。 ### 內部稽核強化的 5 項價值 1. 組織**達成目標**的能力 2. 組織的**治理、風險管理與控制程序 (GRC)** 3. 組織的**決策與監督品質** 4. 利害關係人所認知的**聲譽與可信度** 5. 組織**服務公眾利益**的能力 ### 最能發揮效用的 3 個條件 - 由稱職的專業人員依照《準則》執行 - 內部稽核職能**獨立運作**，且直接向**董事會**負責 - 內部稽核人員**免受不當干預**，致力於客觀評估 --- ## 領域二：道德和專業精神（原則 1～5） :::success **核心原則：** 所有內部稽核人員都必須遵守，即使組織另有道德規範。未提及的行為不代表可接受。 ::: --- ### 原則 1：展現誠信正直 #### 準則 1.1 誠實和專業勇氣 - 溝通必須：**真實、精準、明晰、開放及尊重他人**（即使在質疑或提出不同意見時） - **不得**發出虛假、誤導性或欺詐性的聲明 - **不得**隱藏或忽略重要發現或資訊 - 必須公開所有關鍵事實 - **CAE 責任：** 維持讓稽核人員敢於報告不利發現的支持性環境 #### 準則 1.2 組織的道德期望 - 必須了解、尊重、滿足並**推廣**組織的道德文化 - 發現不符合道德期望的行為 → **必須依政策報告** #### 準則 1.3 法律和道德行為 - **禁止：** 參與非法活動或損害組織/專業聲譽的活動 - 發現違法行為 → 向**有權採取適當行動**的個人或實體報告 **有損信譽的行為例子：** 霸凌、騷擾、歧視、說謊、欺騙、謊稱持有專業證照、故意發布不實報告、忽視非法活動、在客觀性受損情況下執行服務 --- ### 原則 2：保持客觀 #### 準則 2.1 個人客觀性 - 必須了解並**管理潛在的偏見** **常見偏見：** - **自我評估偏見：** 檢視自己的工作缺乏批判性 - **熟悉性偏見：** 依過去經驗做假設，損害專業懷疑 - **文化/種族/性別偏見：** 導致對資訊的誤解 #### 準則 2.2 維護客觀性 ⭐ :::danger **12 個月原則：** 對過去 **12 個月內**負責的業務提供**確信服務** → 視為**缺乏客觀性** ::: | 規則 | 內容 | |------|------| | 禁止收禮 | 不得接受可能損害（或看似損害）客觀性的禮物或好處 | | 利益衝突 | 必須避免；不得受自身或他人利益的不當影響 | | **確信 → 確信** | 不得評估過去 12 個月內負責的業務 | | **諮詢 → 確信** | CAE 必須確認諮詢服務性質不損害客觀性，並配置足夠資源 | | **過去負責 → 諮詢** | 必須在承接前**揭露**潛在的客觀性損害 | | **CAE 非稽核職責** | 相關確信專案必須由**獨立方**監督 | #### 準則 2.3 揭露客觀性受損情形 - 實質或形式受損 → **立即**向合適對象揭露 - **稽核人員受損** → 向 CAE 報告 - **CAE 受損** → **必須向董事會報告** - 專案完成後才發現受損 → 與管理團隊、董事會或利害關係人討論解決方案 **管理方案：** 重新安排人員、調整時程、調整範圍、外包 --- ### 原則 3：展現專業能力 #### 準則 3.1 專業能力 - 必須具備執行職責所需的**知識、技術和能力 (KSAs)** - 服務僅限於**具備或可取得**相關專業能力的範圍 - **CAE** 必須確保職能整體具備必要專業能力 #### 準則 3.2 持續專業發展 (CPD) - 必須持續維持並提升專業能力 - 已取得證照者 → 必須履行持續專業進修要求 --- ### 原則 4：盡專業上應有之注意 #### 準則 4.1 遵循《準則》 - 方法論必須依照《準則》建立、文件化並保持一致 - 若同時採用其他要求 → 溝通文件中必須**適當引用** - 法律與《準則》衝突 → **遵守法律**，但必須揭露無法遵循的部分 - 無法遵循時 → CAE 必須**記錄並溝通**：情況描述、替代行動、影響及理由 #### 準則 4.2 專業上應有之注意 **評估時須考量 8 項因素：** 1. 組織的策略和目標 2. 服務對象和其他利害關係人的利益 3. GRC 之適足性與效果 4. **成本 vs 潛在效益** 5. 達成目的所需工作之範圍與時效性 6. 受評估業務風險之相對複雜性、重大性或重要性 7. 重大錯誤、舞弊、違規行為等風險發生的可能性 8. 採用適當的技術、工具和科技 #### 準則 4.3 專業懷疑 - 保持好奇和探索態度 - **批判性**評估資訊可靠性 - 不應盡信管理階層的陳述 - 尋求額外證據，對不完整、不一致、虛假或誤導的資訊做出判斷 --- ### 原則 5：保密 #### 準則 5.1 資訊的使用 - **不得**用於謀取私利或違反組織正當合法和道德目標 #### 準則 5.2 資訊的保護 - 除非有法律或專業責任要求，**不得**向未經授權方揭露機密資訊 - 必須管理**不慎暴露或揭露**資訊的風險 - **CAE** 必須確保協助內部稽核的人員遵守相同保護要求 - 特別考量：專案記錄的保管、保存及銷毀；向內外部各方提供專案記錄 --- ## 領域三：治理內部稽核職能（原則 6～8） :::info **核心概念：必要條件 (Essential Conditions)** 每個準則都列出董事會與高階管理層的「必要條件」。若不同意 → CAE 必須討論潛在影響 → 若仍不同意 → CAE 可得出**無法遵守《準則》** 的結論。 ::: ### 重要補充：對必要條件的認知不一當董事會/高階管理層不同意必要條件時： 1. CAE **舉例說明**缺少條件可能如何影響職能 2. 討論**替代方案** 3. 若達成協議認為非必要 → CAE 必須**記錄原因和替代方案** 4. 若 CAE 不同意對方的理由 → 可得出**無法遵守《準則》**的結論，並記錄理由，與董事會和高階管理層分享，提供給外部品質評估人員 --- ### 原則 6：由董事會授權 #### 準則 6.1 內部稽核權責 (Mandate) | 角色 | 責任 | |------|------| | **CAE** | 提供資訊以建立權責；與內外部確信提供者協調；在規程中記錄權責；定期評估是否需更新 | | **董事會** | 討論並**核准**權責 | | **高階管理層** | 參與討論、提供期望、在組織中**支持**權責 | #### 準則 6.2 內部稽核規程 (Charter) **規程必須至少包含：** 1. 內部稽核的**目的** 2. 遵守《準則》的**承諾** 3. **權責**（含服務範圍和類型、董事會責任、管理層支持期望） 4. 組織**定位和報告關係** | 角色 | 責任 | |------|------| | **CAE** | 制定、維護規程；與董事會和高階管理層討論 | | **董事會** | **核准**規程；定期與 CAE 審閱 | #### 準則 6.3 董事會和高階管理層的支持 **董事會支持的具體方式：** - 確保**不受限制的存取權**（資料、記錄、資訊、人員、實體財產） - 核准規程、計畫、預算和資源計畫 - 確認範圍、存取、職權或資源未受限制 - **不含高階管理層**的情況下，**定期**與 CAE 舉行單獨會議 --- ### 原則 7：獨立定位 ⭐ #### 準則 7.1 組織獨立性 **CAE 要求：** | 項目 | 內容 | |------|------| | 年度確認 | **每年至少一次**向董事會確認組織獨立性 | | 報告關係 | 必須記錄在規程中 | | 非稽核職責（持續性） | 記錄於規程；該領域確信須建立替代流程（如外部確信提供者） | | 非稽核職責（臨時性） | 獨立第三方須提供**臨時期間 + 結束後 12 個月**的確信服務；CAE 須制定移交計畫 | :::danger **易錯陷阱：** 臨時性非稽核職責的獨立第三方確信服務，涵蓋的是「**臨時期間本身 + 結束後 12 個月**」，不是只有結束後 12 個月！ ::: **董事會必要條件（高頻考點）：** 1. 建立與 CAE 的**直接報告關係** 2. 授權 CAE 的**任免** 3. 提供 CAE **績效評估與薪酬**的意見 4. 為 CAE 提供討論重大敏感問題的機會（**含不含高階管理層的會議**） 5. 要求 CAE 定位於可不受管理階層干擾的層級 6. 與高階管理層合作確保專案範圍、執行和溝通結果**不受干擾** **可能導致獨立性受損的情況：** - CAE 缺乏與董事會的直接溝通 - 管理階層試圖限制服務範圍或存取權限 - 管理階層施壓隱瞞或更改發現 - 預算被削減致使無法履行職責 #### 準則 7.2 內部稽核主管專業資格 **期望的資格：** 對《準則》的深入理解、管理稽核職能的經驗、**CIA 或相關專業證照**、領導經驗、產業經驗 --- ### 原則 8：由董事會監督 #### 準則 8.1 董事會互動 **CAE 必須報告的 5 大事項：** 1. 內部稽核**計畫和預算**以及重大修訂 2. 可能影響**權責或規程**的重大變動 3. 潛在的**獨立性受損**情況 4. 內部稽核服務的**結果**（結論、主題、確信、建議、深度洞察和管控結果） 5. **品質確信和改進計畫**的結果 - 若 CAE 與高階管理層意見不一且影響職能 → 必須向董事會提供事實和情況 #### 準則 8.2 資源 - CAE 評估資源是否充足 → 若不足 → 制定策略 + **向董事會報告影響** - 董事會至少**每年**與 CAE 討論資源的數量和能力 #### 準則 8.3 品質 - CAE 制定、實施並維護 **QAIP**（品質確信與改進計畫） - 含**外部評估 + 內部評估**兩種類型 - **每年**向董事會和高階管理層溝通內部品質評估結果 - 董事會**每年**核准績效目標 #### 準則 8.4 外部品質評估 (EQA) ⭐ :::danger **必背數字：** - 頻率：至少**每 5 年**一次 - 評估員資格：至少一位持有**有效的 CIA 證照** - 形式：完整外部評估或經獨立驗證的自我評估 (SAIV) ::: **董事會責任：** - 審閱並核准：評估範圍和頻率、評估員能力和獨立性、選擇 SAIV 的理由 - 要求直接由評估員提供完整結果 - 核准行動方案和完成時間表 --- ## 領域四：管理內部稽核職能（原則 9～12） :::info 此領域主要針對 **CAE**。CAE 可委派職責，但仍負**最終責任**。 ::: --- ### 原則 9：策略性地規劃 #### 準則 9.1 了解 GRC CAE 必須了解組織的治理、風險管理和控制程序，包含： - **治理面：** 策略目標設定、風險監督、道德文化、績效管理與當責、管理和營運架構、溝通、協調 - **風險管理和控制面：** 財務和營運資訊的可靠性與完整性、營運和專案的效果與效率、資產保護、法令遵循 #### 準則 9.2 內部稽核策略策略必須包含：**願景 + 策略目標 + 支持方案** - 須定期與董事會和高階管理層審閱 #### 準則 9.3 方法論 - CAE 建立方法論（如稽核手冊）→ 系統化指導職能運作 - 須評估效果、必要時更新、為稽核人員提供教育訓練 #### 準則 9.4 內部稽核計畫 ⭐ | 項目 | 要求 | |------|------| | 基礎 | 基於**書面的**風險評估，參考董事會和高階管理層的意見 | | 頻率 | 風險評估**至少每年**進行一次 | | 動態性 | 必須保持動態，及時回應變化 | | 覆蓋面 | 考量 IT 治理、舞弊風險、法遵和道德計畫有效性、其他高風險領域 | | 核准 | 計畫與重大變更須經**董事會核准** | **必須及時向董事會溝通：** - 資源限制對涵蓋範圍的影響 - 未將高風險領域納入計畫的理由 - 利害關係人之間的服務需求衝突 - 範圍或資訊存取的限制 #### 準則 9.5 協調和仰賴 - **目的：** 減少重複工作、突顯覆蓋差距、提高附加價值 - **工具：** 確信地圖 (Assurance Map) - 仰賴他人工作時 → 必須**記錄依據** → **CAE 仍對結論負責** - 無法適當協調 → 向高階管理層與董事會提出疑慮 --- ### 原則 10：管理資源 | 準則 | 重點 | |------|------| | **10.1 財務** | 制定預算 → 向董事會提出並經其核准；資源不足須及時溝通影響 | | **10.2 人力** | 招募、培養、留任；評估能力；**適當**（KSA組合）+ **充足**（數量）+ **有效部署**（分配） | | **10.3 科技** | 定期評估科技；導入新科技須提供教育訓練；與 IT/資安部門合作；溝通科技限制的影響 | --- ### 原則 11：有效溝通 #### 準則 11.2 有效溝通的 7 大屬性 ⭐ :::success **口訣：準客清簡建完及** **Accurate, Objective, Clear, Concise, Constructive, Complete, Timely** ::: | 屬性 | 中文 | |------|------| | Accurate | 準確 | | Objective | 客觀 | | Clear | 清晰 | | Concise | 簡明 | | Constructive | 建設性 | | Complete | 完整 | | Timely | 及時 | #### 準則 11.3 就結果溝通 **結果的三個層次：** 1. **專案結論** — 個別專案的結論 2. **議題 (Themes)** — 跨專案的規律/趨勢（如根本原因） 3. **業務單位或組織層級的結論** — 基於多個專案的整體判斷業務單位/組織層級結論溝通時須提及：請求摘要、判斷標準、範圍（含限制和期間）、支持結論的資訊摘要、揭露仰賴其他確信提供者 #### 準則 11.4 錯誤和疏漏 - 重大錯誤或疏漏 → **立即**將更正資訊傳達給**所有收到原始報告的各方** - 重要性依據與董事會議定的判斷標準決定 #### 準則 11.5 風險承受的溝通 ⭐ :::danger **關鍵升級流程：** 1. CAE 認為管理層接受了超出風險胃納/容忍度的風險 2. → 與**高階管理層**討論 3. → 若未解決 → **必須上報董事會** 4. ⚠️ **解決風險不是 CAE 的責任，是管理層的責任** ::: --- ### 原則 12：增進品質 #### 準則 12.1 內部品質評估兩種方式： 1. **持續管控 (Ongoing)** — 《準則》遵循情況和績效目標達成進度 2. **定期自評 (Periodic)** — 可由組織內具足夠知識的人員進行 - 定期自評結果 → 擬定**行動方案**（含時間表）→ 向董事會和高階管理層溝通 - 內部評估須有**書面記錄**，並納入外部品質評估 - 未遵循影響整體範圍或運作 → 必須向董事會和高階管理層**揭露** #### 準則 12.2 績效衡量 - 制定**績效目標**和**衡量方式 (KPI)** - 考量董事會和高階管理層的意見和期望 - 適度徵求回饋意見 #### 準則 12.3 監督和改進專案績效 - CAE/專案主管：在整個專案過程中提供指導、確認工作程式完整性、確認工作底稿充分支持發現和結論 - 監督程度取決於：**職能成熟度、人員經驗、專案複雜程度** - 無論由誰執行專案，**CAE 仍負最終監督責任** --- ## 領域五：執行內部稽核服務（原則 13～15） :::info 確信服務和諮詢服務均須遵循《準則》，除非個別準則另有規定。諮詢服務在部分準則中有彈性（如可不需正式書面風險評估、可不需辨識評估標準、可在不收集證據的情況下得出發現）。 ::: --- ### 原則 13：有效規劃專案 #### 準則 13.1 專案溝通 - 必須與管理階層溝通專案**目標、範圍和時程** - 後續變更須及時溝通 - 結果無法取得共識 → 討論嘗試達成共識 → 無法共識時**不得修改結果**（除非有正當理由）→ 依方法論讓雙方表達立場 #### 準則 13.2 專案風險評估必須辨識並收集的資訊： - 組織策略、目標和風險 - 風險胃納（如已建立） - 支持稽核計畫的風險評估 - 適用框架、指引和判斷標準 - 受評估業務的 GRC **辨識風險的方法：** 辨識對目標有潛在重大影響的風險 → 考量舞弊相關風險 → 評估重要性並排定優先順序 #### 準則 13.3 專案目標和範圍 - **目標：** 闡明目的、描述具體目標（含法規要求） - **範圍：** 指定活動、地點、流程、系統、時間區間等 - **範圍限制 (Scope Limitation)：** 與管理階層討論 → 無法解決 → CAE 依方法論**提報董事會** - 隨工作進展須靈活調整 → **CAE 核准**目標、範圍及變更 #### 準則 13.4 評估判斷標準 - 辨識最相關的評估標準 - 管理層已建立的標準若適足 → 使用之 - 標準不足 → 透過與董事會和高階管理層討論確認適當標準 - 諮詢服務可不需辨識評估標準（經利害關係人同意） #### 準則 13.5 專案資源 - 辨識達成目標所需的資源種類和數量 - 考量：專案性質和複雜性、完成時間、資源是否適當且充足 - 不足 → 與 CAE 討論 #### 準則 13.6 工作程式 **必須指定：** 1. 用於評估每個目標的**判斷標準** 2. 達成目標所需的**任務** 3. 執行任務的**方法論和工具** 4. 負責執行的**內部稽核人員** - 必須在正式執行前經 **CAE 覆核並核准**（後續變更亦同） --- ### 原則 14：執行專案工作 #### 準則 14.1 收集資訊（證據三要素）⭐ :::success **口訣：RRS = Relevant, Reliable, Sufficient** ::: | 要素 | 說明 | |------|------| | **Relevant（相關）** | 與專案目標一致、在範圍內、有助形成結果 | | **Reliable（可靠）** | 真實且現時；由稽核人員直接取得或自獨立來源取得時可靠性更高；經過證實；自有效 GRC 系統收集 | | **Sufficient（充分）** | 讓**謹慎、了解情況且有能力的人**重複執行後能得出相同結論 | - 證據不足 → 決定是否收集額外資訊 - 無法取得相關證據 → 決定是否列為發現 #### 準則 14.2 分析和潛在專案發現 - 分析資訊 → 確認**判斷標準 (Criteria) 與實際狀況 (Condition) 是否存在差異** - 有差異 → **潛在專案發現** → 進一步評估 - 無差異 → 就 GRC 效果提供確信 - 需要額外分析 → 調整工作程式 → **CAE 核准** #### 準則 14.3 專案發現評估 ⭐ 評估每個潛在發現的**重要性**： - 與管理階層合作確認**根本原因 (Root Cause)** - 確定**潛在影響 (Effect/Impact)** - 考量風險的**可能性**和對 GRC 的**衝擊** - 按重要性**排出優先順序**（依 CAE 方法論） :::success **CCCER 整合架構**（橫跨準則 14.2～14.4） | 要素 | 英文 | 說明 | 所屬準則 | |------|------|------|----------| | 標準 | **C**riteria | 應該是什麼（理想狀態） | 13.4 / 14.2 | | 實際狀況 | **C**ondition | 實際是什麼 | 14.2 | | 根本原因 | Root **C**ause | 為什麼會這樣 | 14.3 | | 影響 | **E**ffect | 造成什麼後果 | 14.3 | | 建議 | **R**ecommendation | 應該怎麼改善 | 14.4 | ::: #### 準則 14.4 建議和行動方案 - 可選擇：提出建議、要求管理階層擬定方案、或合作議定方案 - 建議目的：解決差距、降低風險、解決根本原因、改進受評估業務 - 意見分歧 → 依方法論讓雙方表達立場並確認解決方案 - ⚠️ **推動行動方案是管理階層的責任，不是 CAE** #### 準則 14.5 專案結論 - 總結與專案目標和管理階層目標相關的結果 - 總結所有發現之**整體重要性**的專業判斷 - **確信專案：** 必須包含對 GRC 效果的判斷（含有效時的認可） #### 準則 14.6 專案文件（工作底稿）⭐ :::warning **重要標準：** 使**了解情況、謹慎的內部稽核人員或同樣了解情況且有能力的人員**，能在重複執行後得出相同結果。 ::: - 稽核人員和專案主管必須覆核準確性、相關性和完整性 - **CAE 必須覆核和核准** - 依法律規範和組織政策**妥善保存** --- ### 原則 15：溝通專案結果並監督行動方案 #### 準則 15.1 專案結案報告 ⭐ **所有專案結案報告必須包含：** - 專案的**目標** - 專案的**範圍** - **建議/行動方案**（若適用） - **結論** **確信服務專案還必須包含：** - **發現**及其重要性和優先順序 - **範圍限制**的說明（若有） - 關於 GRC 效果之**結論** **其他要求：** - 必須明確指出**負責解決發現的人員**及**預計完成日期** - 管理階層已啟動或完成的行動方案須在報告中正式提及 - 必須經 **CAE 覆核和核准**後發布 - 溝通品質：準確、客觀、清晰、簡明、建設性、完整、及時 - 未依《準則》執行 → 必須揭露：未符合的準則、原因、對發現和結論的影響 #### 準則 15.2 確認建議或行動方案的執行（Follow-up） **確認方法：** 1. **詢問**執行進度 2. 使用**風險導向**的方法進行後續評估 3. 在追蹤系統中**更新**管理階層行動方案的狀態 - 程序的範圍和深度須考量**發現的重大性** - 管理層未按時執行 → 從管理階層得到解釋並**記錄** → 與 CAE 討論 - CAE 判斷是否因延誤而接受了超出風險容忍度的風險（→ 連結準則 11.5） --- ## 公部門應用重點 | 項目 | 說明 | |------|------| | **法律規範優先** | 與《準則》衝突 → 遵守法律，揭露無法遵循的部分 | | **術語差異** | 「董事會」可指立法機構或委員會；「股東」可指公眾或公民 | | **資金來源** | 預算可能由立法機構核准，而非管理層 | | **外部評估** | 應由**了解公部門活動和治理結構**的評估團隊進行 | **公部門稽核職能通常專注於：** 1. 確保遵循**法律規範** 2. 發現提高政府流程和計畫**效率、效果和經濟性**的機會 3. 確認公共資源得到**適足保護與妥善使用** 4. 評估績效是否與**策略目標**一致 --- ## 考前速記卡 ### 🔢 關鍵數字 | 項目 | 數字 | |------|------| | 確信服務客觀性限制 | **12 個月** | | CAE 臨時非稽核職責的獨立第三方確信 | **臨時期間 + 結束後 12 個月** | | 外部品質評估 (EQA) 頻率 | 至少**每 5 年** | | EQA 評估員資格 | 至少一位持有**有效 CIA 證照** | | 向董事會確認組織獨立性 | 至少**每年** | | 內部稽核計畫風險評估 | 至少**每年** | | 內部品質評估結果報告 | **每年** | | 董事會核准績效目標 | **每年** | | 董事會與 CAE 討論資源 | 至少**每年** | ### 👤 關鍵責任歸屬 | 事項 | 責任方 | |------|--------| | 解決風險 | **管理層**（不是 CAE） | | 推動行動方案 | **管理層** | | 核准內部稽核規程 | **董事會** | | 核准 CAE 任免 | **董事會** | | 核准內部稽核計畫 | **董事會** | | 核准預算 | **董事會** | | 核准績效目標 | **董事會** | | 提供 CAE 績效評估和薪酬意見 | **董事會** | | 確保不受限制存取權 | **董事會 + 高階管理層** | | 核准工作程式 | **CAE** | | 核准專案目標和範圍 | **CAE** | | 覆核和核准結案報告 | **CAE** | | 覆核和核准專案文件 | **CAE** | | 仰賴他人工作但仍對結論負責 | **CAE** | | 監督專案最終責任 | **CAE** | ### ⚠️ 升級匯報 (Escalation) 路徑 | 情境 | 路徑 | |------|------| | CAE 客觀性受損 | → **董事會** | | 管理層接受超出風險胃納的風險 | → 高階管理層 → 未解決 → **董事會** | | 範圍限制無法與管理層解決 | → **董事會** | | CAE 與高階管理層意見不一影響職能 | → **董事會** | | 無法適當協調確信提供者 | → 高階管理層 → 若需要 → **董事會** | | 結案報告重大錯誤 | → 所有收到原始報告的各方 | ### 📋 溝通品質口訣 **準客清簡建完及** = Accurate, Objective, Clear, Concise, Constructive, Complete, Timely ### 📋 證據三要素口訣 **RRS** = Relevant, Reliable, Sufficient ### 📋 發現要素口訣 **CCCER** = Criteria, Condition, Cause (Root), Effect, Recommendation --- > **聲明：** 本文件為個人學習筆記，僅供 CIA 考試複習參考，非官方正式文件。如有疑義，請以 IIA 官方公告為準。 > **官方資源：** https://www.iia.org.tw/standarditl.aspx?id=83