协调和信赖

1要求

首席审计执行官必须与内部和外部确认服务提供方协调，并考虑依赖他们的工作。协调服务可以最大限度地减少重复工作，突出关键风险覆盖面的疏漏，提升提供方的整体价值。

如果无法实现适当程度的协调，首席审计执行官必须提请高级管理层关注，必要时要向董事会提出。

当内部审计职能依赖于其他确认服务提供方的工作时，首席审计执行官必须记录其依据，并且仍需对 内部审计职能得出的结论负责。

2执行标准的考虑因素

首席审计执行官应制定评估其他确认和咨询服务提供方的方法，其中包括依赖其工作的依据。评估应考虑提   供方的角色、责任、组织独立性、能力和客观性，以及依赖其工作应有的职业审慎。首席审计执行官应了解所开 展工作的目标、范围和结果。

首席审计执行官应通过与高级管理层沟通，查阅组织报告路径和董事会会议议程或会议记录，确定组织的确   认和咨询服务提供方。组织内部的确认和咨询服务提供方包括可能向高级管理层报告或高级管理层管理的职 能，例如：合规、环境、财务管理、健康与安全、信息安全、法律、风险管理和质量保证等。外部确认服务提供方可 向高级管理层、外部利益相关方或首席审计执行官报告。

协调的示例包括：

• 协调计划工作的性质、范围和时间安排。

• 建立对确认的技术、方法和术语的共同理解。

• 提供获取彼此工作方案和报告的路径。

• 利用管理层的风险管理信息提供联合风险评估。

• 创建共享风险登记册或风险清单。

• 合并结果以便联合报告。

确认活动的协调流程因组织而异，在小型组织中可以是非正式的，在大型组织或受到严格监管的组织则是正 式和复杂的。首席审计执行官在与各服务提供方会面以收集协调服务所需的信息之前，要考虑组织的保密要 求。提供方经常交流即将开展的项目的目标、范围和时间安排，以及之前项目的结果。提供方还会讨论依赖彼 此工作的可能性。

协调确认范围的一种方法是创建确认地图，或者说包含组织风险和内外部确认服务提供方的矩阵。确认地图 是将已识别的重大风险类别与相关确认服务提供方联系起来，并对每个风险类别的确认程度进行评估。由于 该地图具有综合全面性，它显示了确认覆盖方面的遗漏和重复，使首席审计执行官能够评估每个风险领域的 确认服务是否充分。可以与其他确认提供方讨论结果，以便各方就如何协调活动达成一致。在联合确认方法

中，首席审计执行官协调内部审计职能与其他确认提供方的确认项目，以减少审计项目的频率和重复，最大限 度地提高确认覆盖面的效率。

首席审计执行官可出于各种原因选择依赖其他服务提供方的工作，例如评估内部审计职能专业知识之外的专 门领域、减少完成项目所需的测试量、扩大超出内部审计职能资源的风险覆盖面。

为确定内部审计职能是否可以依赖其他的服务提供方的工作，使用的方法应考虑服务提供方的：

• 潜在或实际的利益冲突以及是否进行了披露。

• 报告关系以及这种安排的潜在影响。

• 专业经验、资格和认证的相关性和有效性。

• 工作方法以及在计划、监督、记录和审阅工作时履行职业审慎。

• 审计发现和结论是否合理，是否以充分、可靠和相关的证据为依据。

首席审计执行官在评估其他确认服务提供方的工作后，确定内部审计不能依赖该工作。内部审计人员可重新 测试并收集更多信息，或独立实施确认业务。

如果内部审计职能有意持续或长期依赖另一确认服务提供方的工作，则各方应记录商定的关系和所提供确认 服务的细节以及支持确认服务所需的测试和证据。

3证明遵循性的示例

• 关于不同确认和咨询角色和责任的沟通，可记录在与某个确认和咨询服务提供方的会议记录中，或记 录在与董事会和高级管理层的会议记录中。

• 确认地图和/或联合确认计划，确定各领域的确认服务提供方。

• 记录并实施确定是否依赖服务提供方工作的方法。

• 与其他确认服务提供方签订的书面协议，确认他们将实施的确认工作的具体内容。