标准9.4

内部审计计划

1要求

首席审计执行官必须制定有助于实现组织目标的内部审计计划。

首席审计执行官必须根据对组织战略、目标和风险的评估结果制定内部审计计划。评估必须参考董 事会和高级管理层的意见,以及首席审计执行官对组织治理、风险管理和控制过程的了解。评估必  须至少每年进行一次。

内部审计计划必须

• 考虑内部审计职责和权限以及商定的全部内部审计服务。

• 明确关于支持评价和改进组织治理、风险管理和控制过程的内部审计服务。

• 考虑涵盖信息技术治理、舞弊风险、组织合规和道德计划的有效性以及其他高风险领域。

• 确定完成计划所必需的人力、财务和技术资源。

• 根据组织业务、风险、运营、计划、系统、控制和组织文化的变化,及时进行动态更新。

首席审计执行官必须在必要时审查和修订内部审计计划,并及时与董事会和高级管理层沟通:

• 资源限制对内部审计范围的影响。

• 高风险领域或活动的确认业务未纳入计划的理由。

• 主要利益相关方之间对服务的需求存在冲突,例如根据新出现的风险确定最高优先级以及 用咨询服务取代计划中确认服务的需求。

• 对信息访问范围的限制。

首席审计执行官与董事会和高级管理层讨论内部审计计划,包括重大的临时变更。计划和对计 划的重大修改必须获得董事会批准。

 

2执行标准的考虑因素

 

本标准要求至少每年完成一次组织范围的风险评估,作为计划的基础。但是,首席审计执行官应不断了解风险 信息,相应地更新风险评估和内部审计计划。如果组织的环境在不断变化,内部审计计划可能就需要每半年、 每季度甚至每月更新一次。在确定更新风险评估的适当工作程度时,应考虑组织内有关组织治理、风险管理和 控制过程成熟度所发生变化的规模、复杂性和类型。

编制内部审计计划的一种方法是将组织内可能的审计对象组成一个审计域,以便识别和评估风险。当审计域是基于对组织目标和战略举措的理解,并与组织结构或风险框架相一致时,审计域是最有用的。可审计对象可以包括业务单位、流程、程序和系统。首席审计执行官可以将这些对象与关键风险联系起来,为全面风险评估和确定整个组织的审计范围做准备。这一过程使首席审计执行官可确定在内部审计工作中需要进一步评估的 风险优先次序。为确保审计范围和风险评估涵盖组织的主要风险,内部审计职能应独立审查和确认组织风险管理体系中确   定的关键风险。内部审计职能只有在得出结论认为组织的风险管理过程是有效的情况下,才能依赖管理层提 供的风险信息。

为完成组织范围的风险评估,首席审计执行官不仅应考虑广泛的组织层面的目标和战略,还应考虑具体审计 对象层面的目标和战略。此外,首席审计执行官应适当关注与道德、舞弊、信息技术、第三方关系和违反监管  要求有关的风险,这些风险可能不止与一个业务部门或流程相关,可能需要更复杂的评价。

为支持该风险评估,首席审计执行官可根据近期完成的审计项目以及在与董事会和高级管理层的讨论中收   集信息(参见标准 9.1了解治理、风险管理和控制过程和11.3 沟通结果)。首席审计执行官可采取持续评估风 险的方法。不仅要考虑不利于实现目标的负面影响和障碍的风险,也考虑增强组织实现目标能力的机会的风 险。

首席审计执行官应制定流程,以确定和评估审计计划中应考虑涵盖的重大、新的和新兴风险。例如,由于资源 有限,内部审计职能可能无法每年评估审计域内的所有风险。在这种情况下,首席审计执行官可能更需要依   靠风险信息来源,如管理层的风险评估、与董事会和高级管理层的会议,以及以往审计项目和其他审计工作   的结果。

在制定内部审计计划时,首席审计执行官会根据已知的控制有效性水平,考虑每个审计对象的风险水平。影 响内部审计计划的因素还包括董事会和高级管理层的要求、组织内的计划确认范围、法律或法规要求的项

目,以及内部审计职能部门依赖其他确认服务提供方的工作能力。首席审计执行官应计划定期对依赖程度进 行重新评估。

在制定内部审计计划时,首席审计执行官应考虑以下几点:

• 法律或法规要求的项目。

• 对组织的宗旨或战略至关重要的项目。

• 具有重大风险的领域和活动。

• 所有重大风险是否得到确认服务提供方的充分关注。

• 咨询和特别要求。

• 每个潜在项目所需的时间和资源。

• 每个项目对组织的潜在益处,例如项目对改进组织的治理、风险管理和控制过程的潜在益处。

在安排内部审计项目时,首席审计执行官应考虑:

• 组织的业务重点。

• 外部审计项目和监管检查的工作计划。

•  内部审计人员的胜任能力和可利用率。

• 能够获取审计对象信息的能力。

拟定的内部审计计划应包括:

• 相较于其他管理和非审计活动,用于内部审计项目和改进内部审计职能的资源和时间。

• 拟实施的审计项目清单和相关分析,具体说明项目是:

– 确认服务还是咨询服务。

– 关注组织的某些部门、业务单元或目标。

– 主要针对财务、合规、运营、网络安全或其他目标。• 选择每项拟议项目的理由;例如,风险的重要性、组织关注的重点或热点及趋势(根本原因)、监管要求 或上次审计的时间。

• 每项拟议项目的总体目的和初步范围。

• 为突发事件和特别要求预留的时数占比。

•  因资源限制而无法开展的其他项目。这些项目的讨论可帮助董事会评估内部审计职能可用资源的充 足性。

首席审计执行官、董事会和高级管理层应就需要修订审计计划的重大变更的确定标准达成一致。确定的标准和 规则应纳入内部审计职能的方法体系。重大变更的例子包括取消或推迟与重大风险或关键战略目标相关的审  计项目。如果出现风险,有必要在与董事会进行正式讨论之前修改计划,则应立即将修改情况通知董事会,并应 尽快获得正式批准。

 

3证明遵循性的示例

• 经批准的内部审计计划。

• 风险评估和优先次序的记录,包括计划所依据的意见。

•首席审计执行官与董事会和高级管理层讨论审计范围、组织范围内的风险评估、内部审计计划以及处 理计划重大变更标准和流程的会议记录。

•收集信息为组织内的风险评估和内部审计计划提供依据的讨论记录。

• 内部审计计划分发对象的名单。

• 组织范围内的风险评估方法和处理重大变更的规则的记录。