标准13.2

项目风险评估

1要求

为了评估相关风险，内部审计人员必须了解审计对象。对于咨询服务，根据与有关利益相关方的约 定，可以不需要开展正式的、有记录的风险评估。

为获得充分了解，内部审计人员必须识别和收集有关以下内容的可靠、相关和充分的信息：

• 审计对象的组织战略、目标和风险。

• 组织的风险容忍度（如已确定）。

• 支持内部审计计划的风险评估。

• 审计对象的治理、风险管理和控制过程。

• 可用于评价这些流程有效性的适用框架、指南和其他评价标准。

内部审计人员必须查阅收集到的信息，以了解流程是如何运行的。

内部审计人员必须通过以下方式确定要核查的风险：

• 识别审计对象的目标面临的潜在重大风险。

• 考虑与舞弊相关的特定风险。

• 评估风险的重要性并确定对风险核查的顺序。

内部审计人员必须确定管理层用来衡量审计对象是否实现其目标的评价标准。

如内部审计人员在以往项目中已识别审计对象的相关风险，只需对以往项目风险评估进行审查和 更新。

2执行标准的考虑因素

内部审计人员在制定计划时应当咨询项目负责人。

为了解审计对象并评估相关风险，内部审计人员应当首先了解内部审计计划、计划编制过程的讨论内容以及   该项目纳入计划的原因。列入内部审计计划的项目可能源自内部审计职能对组织范围内的风险评估或利益相 关方的要求。

当内部审计人员启动项目时，他们应当考虑该项目涉及的风险，并调查自内部审计计划制定以来是否发生过   任何变化。查阅组织范围内的风险评估和近期开展过的任何其他风险评估（例如管理层完成的风险评估）有助 于内部审计人员识别与审计对象相关的风险。内部审计人员应当了解利益相关方对项目的目的、目标和范围   的各种期望。

内部审计人员应当检查组织与审计对象之间的一致性。内部审计人员收集并考虑组织在治理、风险管理和控   制方面的战略和流程，以及组织目标、政策和程序等信息。然后，在开始项目风险评估时，内部审计人员应当考 虑组织的这些方面与审计对象以及项目的关系。

为了收集信息，内部审计人员可以：

• 查阅内部审计职能、管理层或外部服务提供方近期开展过的风险评估。应考虑与合规、财务报告、运营 或绩效、舞弊、信息技术、战略和内部审计计划有关的目标。

• 查阅内部审计职能和其他确认和咨询服务提供方（如财务、环境、社会责任和治理）以前完成的项目结 果。

• 查阅以往项目的工作底稿。

• 查阅参考资料，包括 IIA和其他机构的权威指南和其他标准，以及与组织所在的领域、行业和国家（地 区）相关的法律和法规。

• 考虑组织的相关风险类别，包括战略、运营、财务和合规。

• 考虑风险容忍度（如已确定）。

• 根据组织架构图和岗位说明，确定负责审计对象相关信息、流程和其他方面内容的人员。

• 检查审计对象的实物资产。

• 检查来自信息所有者或外部的文件资料，包括管理层的政策、程序、流程图和报告。

• 检查网站、数据库和系统。

• 通过访谈、讨论或调查进行询问。

• 观察流程的运行。

• 与其他确认和咨询服务提供方会面。

调查、访谈、实地检查和流程穿行测试都使内部审计人员能够观察审计对象的现状。

为了实施项目风险评估，内部审计人员通过收集到的信息了解和记录审计对象的目标、可能影响每个目标实 现的风险以及旨在管理每个风险的控制措施。（参见标准14.6 项目文档。）

内部审计人员可以编制图表、电子表格、风险和控制矩阵、流程说明或其他工具以记录风险和管理这些风险的 控制。此类记录使内部审计人员能够运用职业判断、经验和逻辑来考虑对审计对象所收集的信息，并综合考虑 影响、可能性和其他风险因素，初步估计风险的重要性。

确定风险的重要性要求内部审计人员运用知识、经验和批判性思维，对组织、审计对象以及项目目的和背景作 出判断。作为应有的职业审慎的一部分，内部审计人员应当考虑审计对象管理层的意见，深入了解业务目标、 重大风险和控制。对审计对象的风险达成共识可以提高项目风险评估的有用性。

项目实施中，应当根据重要性对相关风险进行排序。通常做法是，根据风险发生的可能性和潜在影响，在风险   热图等图表上标记风险。此类记录应当纳入项目工作底稿。对于最重大的风险，评估控制设计的适当性有助于 内部审计人员确定继续测试哪些控制措施运行的效果。

如果使用风险和控制矩阵，通常在项目实施过程中编制。在项目测试阶段，矩阵可用于记录风险事件、控制及 其类型（即预防性、检查性、指导性或纠正性）、原因、影响（后果）以及剩余风险评估。

 

3证明遵循性的示例

记录以下内容的工作底稿：• 组织战略、目标和风险。• 审计对象的目标。• 审计对象的治理、风险管理和控制过程。• 组织架构图和岗位说明。• 直接观察或检查的记录和/或照片。• 审计对象的政策和程序。• 相关法律法规和合规评估记录。• 从网站、数据库和系统收集的相关信息。• 访谈、讨论或调查的记录。•  以往完成的风险评估和项目以及其他确认服务提供方工作的相关信息。• 每项风险的重要性和控制设计的适当性。