标准4.2

应有的职业审慎

1要求

内部审计人员必须通过评估提供服务的性质、情况和要求，履行应有的职业审慎，评估的内容包括：

•组织的战略和目标。

•内部审计服务对象和其他利益相关方的利益。

•治理、风险管理和控制过程的充分性和有效性。

•与拟提供内部审计服务的潜在收益相关的成本。

•实现业务目标所需的工作范围和时限要求。

•审计对象风险的相对复杂性、严重性或重要性。

•发生影响目标、运营或资源的重大错误、舞弊、不合规行为以及其他风险的可能性。

• 使用适当的技能、工具和技术。

2执行标准的考虑因素

以应有的职业审慎提供服务，内部审计人员需要考虑并理解内部审计的宗旨和拟提供的内部审计服务的性质。

内部审计人员应首先了解内部审计章程、内部审计计划，以及有助于确定计划中应包括哪些审计业务的相关情  况。在计划和提供内部审计服务时，内部审计人员还要考虑组织的客户和其他受组织活动影响的利益相关方（包括公众）的利益。这些利益包括利益相关方的期望（如公平和诚实的商业行为）、需求（如安全）以及可能面临的潜在风险，而这些风险可能与组织的战略和目标并无明显关联。

应有的职业审慎的考虑因素包括首席审计执行官在开展作为内部审计计划基础的风险评估时必须考虑相关情况和风险，包括组织战略和目标，以及组织的治理、风险管理和控制过程的充分性和有效性。

此外，内部审计人员在制定项目计划时考虑与审计对象相关的情况，如领域五：实施内部审计业务中所述。所评此外，内部审计人员在制定项目计划时考虑与审计对象相关的情况，如领域五：实施内部审计业务中所述。所评  估风险的复杂性、重要性或重大性是相对的。有的风险对组织可能并不严重或重要，但对单项业务或审计对象就可能是严重的或重要的。因此，为恰当评估风险，确定哪些风险应优先进行评估，就必须了解风险的复杂性、重要性或重大性。

应有的职业审慎还需要权衡内部审计服务的成本（如资源需求）与由此带来的益处。如，如果审计对象的控制措  施设计不充分，那么，全面评估这些控制措施的有效性所带来的益处会低于付出的成本。内部审计人员力求使组织在内部审计服务方面的投入产生最大的价值或效益。此外，制定详尽的计划则要求内部审计人员考虑最有效  地实现项目目标所需的方法、工具、技术以及工作范围和时限要求。内部审计人员，特别是首席审计执行官，应考虑使用数据分析软件和其他技术来支持审核和评价过程。

适当的项目督导、质量保证和改进程序可促进应有的职业审慎。（另见标准8.3 质量、8.4 外部评估和原则12 强化质量及其标准。）

3证明遵循性的示例

•组织战略、目标和审计对象计划等制定情况的记录。

•对治理、风险管理和控制过程的评估情况记录。

•风险评估的记录，其中包括错误、不合规和舞弊。

•有关内部审计服务的潜在成本和收益以及审计业务范围和时限要求的会议或讨论的记录。

•记录业务督导检查的工作底稿。

•对内部审计人员业务的检查情况。

•有关应有的职业审慎的会议、培训或其他讨论的记录。

•通过调查或其他工具收集的利益相关方反馈意见。

•作为内部审计职能质量保证和改进程序，开展了内部和外部评估。