了解治理、风险管理和控制过程

1要求

为制定有效的内部审计战略和计划，首席审计执行官必须了解组织的治理、风险管理和控制过程。

为了解治理过程，首席审计执行官必须考虑组织如何：

• 制定战略目标，做出战略和经营决策。

• 监督风险管理和控制。

• 倡导道德文化。

• 实现有效的绩效管理和问责制。

• 安排其管理和运营职能。

• 在组织范围内沟通风险和控制信息。

• 协调董事会、内部和外部确认服务提供方以及管理层之间的活动和沟通。

为了解风险管理和控制过程，首席审计执行官必须考虑组织如何识别和评估重大风险并选择适当 的控制过程。这包括了解组织如何识别和管理以下关键风险领域：

• 财务和业务信息的可靠性和完整性。

• 业务和计划的效果和效率。

• 资产安全性。

• 法律和/或法规的遵循性。

2执行标准的考虑因素

首席审计执行官通过广泛收集信息和全面研究信息以逐步了解治理、风险管理和控制过程。信息来源包括与 董事会和高级管理层的讨论、对董事会和高级管理层会议记录和演示文稿的查阅、内部审计项目的沟通和工 作底稿，以及其他确认和咨询服务提供方完成的评估和报告。

了解治理过程

首席审计执行官应充分了解领先的治理原则、全球公认的治理框架和模式，以及本组织所在行业和部门的专 业指南。根据这些情况，首席审计执行官应确定组织是否已实施其中任何一项，并衡量组织治理过程的成熟   度。组织的治理结构、过程和实践可能会受到组织特点的影响，例如组织的类型、规模、复杂性、结构和流程成 熟度，以及组织所遵守的法律和/或监管要求等。

首席审计执行官可以查阅董事会和委员会的章程、会议议程和会议纪要，以深入了解董事会在组织治理中发 挥的作用，特别是在战略和运营决策方面的作用。

首席审计执行官可以与担任关键治理角色的人员（例如，董事会主席、政府组织中的最高民选或任命的官员、 首席道德官、人力资源官、首席合规官和首席风险官）交谈，以便更清楚地了解组织的流程和确认活动。首席审 计执行官可以查阅先前完成的治理审查报告和/或结果，特别关注已发现的问题。

了解风险管理过程

首席审计执行官应了解全球公认的风险管理原则、框架和模型，以及本组织所处行业和部门的专业指南。首席 审计执行官应收集信息以评估组织风险管理过程的成熟度，包括识别组织是否已确定其风险偏好并实施风险 管理战略和/或框架。与董事会和高级管理层的讨论有助于首席审计执行官了解他们对组织风险管理的看法和重点。

为收集风险信息，首席审计执行官应查阅近期完成的风险评估报告，以及高级管理层和运营管理层、风险管理 负责人、外部审计师、监管机构及其他内部和外部确认服务提供方出具的相关报告。

了解控制过程

首席审计执行官应熟悉全球公认的控制框架，并考虑组织所使用的控制框架。根据组织确定的各项目标，首席审 计执行官应逐步深入了解组织相应的控制过程及其有效性。首席审计执行官可以制定一个全组织范围内的风险 和控制矩阵，以：

•记录已识别的可能影响组织目标实现能力的风险。

•说明风险的相对重要性。

•了解组织流程中的关键控制措施。

•了解哪些控制措施已经过设计充分性审查，并可以达到预期的运行效果。

对组织的治理、风险管理和控制过程的全面了解，使首席审计执行官能够识别并优先考虑能够促进组织成功 的内部审计服务的机会。这些已识别机会是内部审计制定战略和计划的基础。

3证明遵循性的示例

•  首席审计执行官对组织所使用的治理、风险管理和控制框架及流程进行调查、收集、审查及其考虑的记录， 包括：

– 组织的董事会和委员会章程，其中概述了组织的治理期望。

– 评估与治理、风险管理和控制过程相关的法律法规和其他要求。

• 查阅有关组织治理、风险管理和控制过程的董事会会议议程和会议记录，包括战略、方法及监督等内 容。

• 首席审计执行官与组织内负责治理和风险管理的人员之间进行讨论的会议记录或说明。

• 查阅组织的风险偏好声明或与董事会和高级管理层就组织的风险偏好和风险容忍度进行的书面沟通 记录。

• 为内部审计人员提供的有关组织治理、风险管理和控制过程的情况介绍或培训的记录。

• 查阅业务战略和业务计划。

• 查阅从监管机构收到的函件。

• 有实例证明的对组织风险和控制矩阵的了解。