解释《国际内部审计专业实务标准》中的第2210．A1条标准

本实务公告性质

在业务计划过程中评价风险时，内部审计师应该考虑以下建议。本实务公告无意囊括开展这种评价工作需要考虑的所有方面，仅提供一系列建议审计师考虑的事项。内部审计师运用他们的判断来确定，为取得在一项具体业务中识别相关风险的充分保证，需要哪些项目。

1．内部审计师应当考虑管理层对于被检查业务的风险评估情况。内部审计师将考虑以下因素：www.PPkao.com

管理层风险评估的可靠性；管理层对风险问题的监控及报告；管理层对超过已确定的风险接受程度的事件的报告；是否有管理层在其他方面与被检查活动有关的活动或辅助系统中识别的风险；管理层自身对与风险有关的控制的评价。

2．内部审计师应该获取有关被检查活动的背景信息，检查背景信息以确定对业务的影响。这些信息包括：

目标与目的；可能对运营和报告产生重要影响的政策、计划、程序、法律、规定和合同；组织信息，如：雇员的人数和姓名、骨干人员、岗位说明、包括主要系统变化的组织最新变化细节；被检查活动的预算信息、运营结果、财务数据；以往业务的工作底稿；其他业务的结果，包括已完成的或正在进行的外部审计师的工作；用以确定潜在重要业务事项的有关文档；适用于被检查活动的权威性的技术性文字。

3．如果条件合适，应该开展调查，以熟悉有关活动、风险和控制，确认业务需要强调的领域，征求客户的评论和建议。调查是在不加详细证明的前提下收集对被检查活动收集信息的过程。调查的主要目的是：

了解被检查活动；确认需要特别注意的重要领域；获取可用于开展业务的信息；决定是否需要开展进一步的审计。

4．调查使内部审计师得以在了解情况的前提下进行计划并实施审计业务，是将内部审计资源用于最能发挥效用领域的有效工具。调查的重点根据业务性质的不同而不同。调查的工作范围和时间要求也各不相同。造成这种情况的原因包括内部审计师的培训和工作经验、对被检查活动的了解、所开展的业务类型以及调查是否属于正式进行的审计或跟踪审计的一部分。时间要求还可以受到被检查活动规模、复杂性和地理分布的影响。

5．调查可以应用以下程序：

与业务客户讨论；与受被检查活动影响的个人(如：被审计活动产品的用户)面谈；现场观察。对管理报告和研究结果的检查。分析性审计程序；绘制流程图；功能性“穿行测试”(从特定活动从头至尾的测试)；关键控制活动记录。

6．调查结束时应编写对管理部门风险评估、背景信息进行检查的结果以及调查工作发现的总结。总结应该确定：

重要的业务事项和进一步探索这些事项的原因；所有取得的相关信息；业务目标、程序和特殊方法(如：计算机辅助审计技术)；潜在的关键控制点、控制缺陷和／或控制过度情况；对所需时间和资源的初步估计；报告阶段和完成业务的时间变更；适当时，中断业务的原因。