标准13.3

项目风险评估

1要求

内部审计人员必须确定并记录项目的目标和范围。

项目目标必须明确项目的目的，并说明要实现的具体目标，包括法律法规的要求。

范围必须确立项目的重点和界限，具体说明需要检查的活动、地点、流程、系统、组成部分、项目要涵 盖的时间范围以及其他要素，并足以实现项目目标。

内部审计人员必须考虑项目的类型是提供确认服务还是咨询服务，因为利益相关方的期望和《准则》的要求因项目类型而异。

一旦发现存在对范围的限制，必须与管理层讨论，以期加以解决。对于确认服务，范围限制指妨碍内 部审计人员按照项目工作方案开展工作的实际状况，例如资源限制或对人员、设施、数据和信息访   问的限制。（参见标准13.5 项目资源。）

如果无法与管理层达成一致意见，首席审计执行官必须按既定的审计方法将范围限制问题提交给董事会。

在项目实施过程中，内部审计人员必须具备灵活性，以便在必要的情况下修改项目目标和范围。首席审计执行官必须批准项目目标和范围，以及项目实施期间发生的任何变化。

 

2执行标准的考虑因素

确认项目的目标和范围主要由内部审计人员决定，而咨询项目的目标和范围则通常由内部审计人员和审计对 象的管理层共同决定。

内部审计人员应当使项目目标与审计对象以及组织目标保持一致。项目实施前，适当确定项目目标和范围，可 使内部审计人员：

• 根据项目风险评估的结果，将工作重点放在与审计对象相关的风险上。（参见标准13.2 项目风险评估。）

• 制定项目工作方案。

• 避免重复工作或不能增加价值的工作。

• 确定项目时间表。

• 为完成项目配置适当和充足的资源。（参见标准13.5 项目资源。）

• 与管理层和董事会进行清晰的沟通。

确认项目的重点是确认控制设计是否适当，其运行是否足以对可能妨碍审计对象实现目标的风险加以管理。项目目标决定了项目实施过程中对控制过程和系统的测试重点，这些措施旨在管理以下方面的风险：

• 权力和责任的分配。

• 遵守政策、计划、程序、法律和法规。

• 报告准确、可靠的信息。

• 有效和高效地利用资源。

• 保障资产安全。

确立项目目标后，内部审计人员应当运用职业判断确定项目的范围，并在必要时咨询项目负责人。范围必须足  够广泛，足以实现项目目标。在确定范围时，内部审计人员应当单独考虑项目目标，确保每个目标都可以在范围 内实现。

内部审计人员应当考虑项目利益相关方要求将项目纳入或排除在审计范围之外或限制项目的时长是否构成范 围限制。

3证明遵循性的示例

 • 项目计划备忘录。• 体现以下内容的项目工作底稿：– 目标与项目风险评估的一致性。– 实现项目目标的范围。– 包含项目目标和范围且获得批准的项目工作方案。– 与利益相关方沟通项目目标和范围的会议纪要。– 范围限制以及项目利益相关方对于要包含或排除事项的要求。– 项目结果沟通。