标准14.3

审计评价

1要求

内部审计人员必须评价每个潜在审计发现以确定其重要性。在评价潜在审计发现时，内部审计人员 必须与管理层合作，尽可能查明根本原因，确定潜在后果，并评估问题的重要性。为了确定风险的重要性，内部审计人员必须考虑风险发生的可能性，以及风险可能对组织的治理、 风险管理或控制过程产生的影响。如果内部审计人员确定组织面临重大风险，则必须将其作为审计发现进行记录并报告。内部审计人员必须根据具体情况和既定的审计方法，决定是否将其他风险作为审计发现进行报告。内部审计人员必须采用首席审计执行官制定的审计方法，根据每个审计发现的重要性确定其优先 顺序。 

2执行标准的考虑因素

为形成审计发现，内部审计人员将既定的评价标准与审计对象的实际状况进行比较。（参见标准 14.2 信息分析 和潜在的审计发现。）如果两者存在差异，内部审计人员应进一步调查潜在审计发现。应查明以下方面：

• 差异的根本原因（通常与控制缺陷有关，也是该实际状况存在的直接原因）。在可行的情况下，内部审  计人员应确定根本原因，即导致该实际状况的潜在或更深层次的问题。简而言之，确定根本原因需要提 出一系列问题，以了解差异存在的原因。确定根本原因需要与管理层合作，因为管理层可能更了解造成 差异的根本原因。

• 如何量化差异的影响。在许多情况下，风险程度是内部审计人员根据职业判断作出的估计，并参考审 计对象管理层的意见。（参见原则4履行应有的职业审慎及其标准。）

为确定审计发现的重要性。内部审计人员确定和评估现有控制设计的充分性和有效性，然后确定剩余风险水 平，即尽管有控制措施，但仍然存在的风险。虽然要求内部审计人员将重大风险作为审计发现进行报告，但内 部审计人员也可以将其他风险作为审计发现或以其他方式进行报告。

内部审计人员按照首席审计执行官制定的审计方法对审计发现进行优先排序，以确保所有项目此类做法的一 致性。评级或排序可以作为有效的沟通工具，用于说明每个审计发现的重要性，并有助于管理层确定其行动计 划的优先顺序。在确定重要性时，内部审计人员应当考虑：

• 风险的影响和可能性。

• 风险容忍度。

• 对组织重要的其他因素。

首席审计执行官可提供模板供内部审计人员记录审计发现，以确保适当记录各项要素，例如：

• 评价标准。

• 实际状况。

• 根本原因（如有可能）。

• 后果（风险或潜在风险）。

• 重要性和优先级。

审计发现应当简明扼要，通俗易懂，以便审计对象管理层理解内部审计人员的评价。审计发现应当说明实际状 况与评价标准之间的差异，并应提供有记录的证据，以支持内部审计人员对审计发现重要性的评价和判断。

3证明遵循性的示例

• 说明评价审计发现所用标准的工作底稿。• 列出评价标准、实际状况、根本原因（如有可能）、后果（风险或潜在风险）以及每个审计发现的优先级 的工作底稿。• 工作底稿或其他书面记录，说明作为审计发现分析基础的重要性水平、风险容忍度和成本效益分析要 素。• 相关内部审计方法、模板和指南。• 与项目结果沟通相关的书面记录。