解釋《內部審計專業實務標準》中的第 2100 條標準 相關標準:第 2100 條標準
工作性質 內部審計部門評價並幫助改進機構的風險管理、控制和治理體系。 本實務公告性質
內部審計的定義要求採取“規範化的方法,對風險管理、控制和治理過程的有效性進行 評價和改善。”為了根據《內部審計專業實務標準》開展內部審計工作,內部審計師應該在 機構的風 險管理過程中起關鍵作用。本實務公告希望為內部審計師提供確定其在機構風險 管理過程中的作用和遵守《內部審計專業實務標準》的指導。內部審計師在實際工作中可能 需要考慮本指南以外的其他因素。是否遵守本實務公告由審計師自行選擇決定。
1.風險管理是管理人員的關鍵職責。要實現其業務目標,管理人員應該保證機構擁有健全的風險管理過程,而且這些程式正在有效發生作用。董事會和審計委員會應該在確定機構是否建立恰當的風險管理過程以及這些程式是否充分有效運作等方面起監督作用。內部 審計師應該通過檢查、評價、報告風險管理過程的充分性和有效性並提出改進建議來協助管 理人員和審計委員會工作。但是,以諮詢顧問身份開展工作的內部審計師可以協助機構確定、 評價並實施針對風險的管理方法和控制措施。
2.對機構的風險管理過程進行評價和報告一般是審計的重點。評價管理風險程式有別 於審計師套用風險分析對審計進行的計畫工作。但是,來自綜合性風險管理過程的信息(包 括對管理層和董事會所關心問題的確認)有助於內部審計師計畫審計工作。
3.審計執行主管應該理解管理層和董事會期望內部審計部門在機構的風險管理過程中 起什麼作用。這種理解應該在內部審計部門和審計委員會各自的章程中得到規定。
4.所有在機構風險管理過程中起作用的團組和個人應該協調其責任和活動。這些責任 和活動應該在機構戰略計畫、董事會政策、管理層指令、操作程式和其他治理工具中得到恰 當檔案記錄。應該記錄的活動和責任包括:
•戰略方向的確定由董事會或委員會負責;
•風險的歸屬可以由管理高層分配;
•對剩餘風險的接受可以由執行管理層決定;
•持續的確認、評價、減緩和監測活動可以由操作層人員分配決定;
•定期評價和保證工作應該由內部審計部門負責。
5.期望內部審計師在正常履行職責的過程中確認並評價嚴重風險。
6.內部審計部門在機構風險管理過程中的作用可以隨著時間的推移而發生變化,並可 能經歷一種延續的發展過程,即
•從不在風險管理過程中起任何作用;到
•作為內部審計工作計畫的一部分對風險管理過程進行審計;到
•積極持續地支持並參與風險管理過程,如:參加監督委員會、監測活動並報告情況;
到
•對風險管理過程進行管理和協調。
7.最後,執行管理人員和審計委員會負責確定內部審計在風險管理過程中的作用。管
理人員決定內部審計在風險管理過程中的作用時受到機構文化、內部審計人員能力以及所在 國風俗習慣等因素的影響。
8.可以在以下實務公告中獲取進一步的指導信息:
•實務公告 2100—4:內部審計在尚未建立風險管理過程的機構中的作用;
•實務公告 1130.a1—2:內部審計在其他(非審計)領域的作用;
•實務公告 2110—1:評價風險管理過程的充分性;
•實務公告 2010—2:聯繫審計計畫與風險。