国际内审师考试内部审计实务标准（红皮书）(16)

实务公告 2010—1：计划的制定

解释《国际内部审计专业实务标准》中的第2010条标准

本实务公告性质

在制定内部审计活动计划时，内部审计师应该考虑以下建议。本实务公告无意囊括需要考 虑的所有方面，仅提供一系列建议审计师考虑的事项。

1．制定内部审计活动计划应该与内部审计章程和组织目标保持一致。计划过程应该确定下述内容：

目标； 业务工作安排； 人员配置计划和财务预算； 行动报告。
2．内部审计活动的目标应该能够在具体运营计划和预算范围内得到实现，并在可能的程度上能够计量。这些目标应该附有计量标准和预计完成日期。

3．业务工作安排应该包括以下内容：

即将开展哪些活动； 何时开展这些活动； 估计所需时间。进行估计时应考虑所计划的业务工作的范围以及其他人开展的相关工作的性质和程度。
4．在确定业务工作安排重点时应该考虑的事项包括：

最近一次业务的日期和结果； 对风险和风险管理／控制过程效果的最新评价； 理事会和高级管理层的要求； 当前与组织治理有关的问题； 企业的业务、运营、程序、系统和控制发生的主要变化； 实现营业利益的机会； 审计人员的变化和能力。工作安排应该具有充分的灵活性，以便适应对内部审计活动的意外要求。
实务标准 2010—2：审计计划对风险和风险暴露的关注

解释《国际内部审计专业实务标准)中的第2010条标准

本实务公告性质

内部审计活动的计划应该反映组织的风险战略。组织的风险管理与内部审计过程之间应该协调一致，使这两项工作产生协同增效的作用。除本公告以外，可能还有需要考虑到其他一些因素。

1．任何组织都面临各种可能对组织产生负面或正面影响的不确定情况和风险。风险可以通过几种不同方式得到管理，包括接纳、规避、转移或控制。内部控制是一种常见方法，用于减少风险和不确定情况带来的潜在不利影响。

2. 应该在对可能影响组织的风险进行评估的基础上，制定内部审计活动的审计计划。作为一项对管理部门风险管理效果的评估，审计的最终目的是向管理层提供信息，以减少在实现组织目标的过程中可能带来的负面影响。风险暴露的程度或重要性可以看作是开展控制活动之后风险的降低情况。

3．审计范围可以吸收组织战略性计划的成分。通过吸收的战略计划，审计范围将考虑到并反映总体业务目标。战略性计划也可能反映出组织对待风险和实现既定目标的困难程度的态度。一般来说，审计范围受到风险管理过程结果的影响。组织战略计划的制定应当考虑到组织运营的环境。同样的环境因素很可能对审计范围和对相关风险的评估产生影响。

4．审计范围与相关审计计划中的内容的更新，应该反映出管理层的方针、目标、工作重心出现的变化。建议至少每年对审计范围评估一次，以反映组织最新的战略和方针。在某些情况下，审计计划需要进行经常(例如，每季度)修改，目的是对组织管理层活动的变化做出反应。

5．应该在评估风险和风险暴露优先次序的基础上安排审计工作。在对风险进行优先排序之后，才能根据风险暴露的重要性分配相关的资源。有多种风险模式，帮助首席审计执行官排列出潜在审计目标的优先次序。大多数的风险模式都利用风险因素来确定业务工作重点，这些因素有：金额的重要性；资产的流动性；管理能力；内部控制的质量；变化或稳定程度；上次审计业务开展的时间；复杂性；与雇员及政府的关系等等。在开展审计业务时，用于检测、证实风险暴露的技术与方法应该能够反映出风险暴露的重大性与发生的可能性。

6．在向管理层的报告和沟通中应该传达对风险管理的结论和建议，以降低风险。为了让管理层充分理解风险暴露的程度，很重要的一点就是在审计报告中认定风险暴露对于实现目标的关键性与后果。