评价标准

1要求

内部审计人员必须确定最具相关性的评价标准，以评价项目目标和范围中确定的审计对象的各个方 面。对于咨询服务，根据与有关利益相关方的约定，可以不需要确定评价标准。

内部审计人员必须评估董事会和高级管理层在多大程度上制定了适当的评价标准，以确定审计对象 是否实现了其目的和目标。如果评价标准适当，内部审计人员必须在其评估中使用这些标准。反之， 内部审计人员必须与董事会和/或高级管理层讨论、确定适当的评价标准。

2执行标准的考虑因素

作为收集信息和计划项目的一部分，内部审计人员需确定组织用于评价审计对象的治理、风险管理和控制过    程效果和效率的标准。内部审计人员应当重点关注与项目最相关的评价标准。这些标准应当体现对审计对象    的期望，并且是具体和实用的。内部审计人员将标准与实际状况（现状）比较。例如，如果项目目标是评价审计    对象控制过程的有效性，则评价标准可以是审计对象控制过程的预期结果或效果，而实际效果反映现实状况。

适当的评价标准对于发现期望状态与现状之间的差异（即潜在发现）至关重要。此外，适当的评价标准对于确定  发现的重要性进而得出有意义的结论也是必要的。内部审计人员运用职业判断确定组织的评价标准是否适当。适当的评价标准与组织和审计对象的目标相关且一致，并能进行可靠的比较。适当的评价标准示例包括：

•  内部（政策、程序、关键绩效指标或审计对象的目标）。

•  外部（法律、法规和合同义务）。

• 权威实践（有关特定行业、活动或专业的框架、标准、指南和对标信息）。

• 组织内的惯例。

• 控制设计的期望。

• 未正式记录的程序。

在评估评价标准的适当性时，内部审计人员应当确定组织是否已经确立了适当的治理、风险管理和控制过程的基 本原则。内部审计人员应当考虑组织是否已经采纳并明确阐述风险容忍度，包括各个业务单元、职能或流程的重   要性阈值。内部审计人员应当确定组织是否采取或明确提出了令人满意的控制水平。例如，“满意”可指一个控制   目标内一定比例的交易按照既定控制程序执行，也可能指全部控制的一定比例按照预期执行。

此外，内部审计人员应当研究推荐性做法，并将管理层的评价标准与其他组织使用的标准进行比较。内部审计人   员需要运用职业判断确定最有利于实现项目目标的评价标准。内部审计人员可确认书面的政策、程序和/或其他   评价标准不够详细或不充分。内部审计人员可以协助管理层确定适当的评价标准，或可以寻求专家意见来帮助确 定或制定相关评价标准。管理层的评价标准总体上可能是适当的，但内部审计人员仍然可以针对项目提出更好的 评价标准。

当审计对象使用的评价标准不适当或缺失时，内部审计人员可以建议管理层使用内部审计人员提出的标准。对缺 乏适当评价标准的情况进行讨论后，可能会做出提供咨询服务的决定。

内部审计人员应当把项目过程中使用的评价标准通知审计对象管理层。应当对达成共识的评价标准加以记录，以 防止审计对象管理层的误解或质疑。

3证明遵循性的示例

• 记录相关评价标准的来源和评价标准是否适当的过程的工作底稿。

• 体现内部审计人员与审计对象管理层和/或董事会讨论评价标准的书面记录，如会议纪要、计划备忘录 或电子邮件。