解释《国际内部审计专业实务标准》中的第2120．A1条标准

本实务公告性质

内部审计师在评价组织控制系统的有效性并将评价意见向管理层和董事会报告时应该考虑以下建议。年度中间开展的审计工作应该获取充分的信息，使审计师能够对控制系统进行评价并形成相关意见。

1．董事会的一项任务是建立并维护组织的治理程序，并获取关于风险管理和控制过程有效性的保证。高级管理层的作用是监督风险管理和控制系统的建立、管理和评价。这种多元 控制系统的目的是支持组织成员对风险进行管理，并实现既定的、已经广为人知的组织目标。更具体地说，人们希望这些控制过程能够保证以下情形的存在：

财务和运营信息可靠、完整； 运营工作高效率、有成效； 资产得到保护； 组织的行为和决定符合相关的法律、规定和合同要求。

2．组织管理人员的一项责任是评价所在领域的控制过程。内部和外部审计师为所选活动和部门的风险管理和控制过程的有效性提供了不同程度的确认。

3．组织高级管理层和审计委员会一般希望首席审计执行官在当年开展充分的审计工作，并收集其他可以获取的信息，以便就控制过程的健全性和有效性形成判断意见。首席审计执行官应该将关于组织控制系统的总体判断意见向组织高级管理层和审计委员会报告。越来越多的组织在提交外部利益关系方的年度报告或定期报告中收录管理层关于内部控制系统的报告。

4．首席审计执行官应该为下一年度制定审计计划草案，保证获取充分证据，对控制过程的有效性进行评价。计划应该要求审计业务或其他程序，收集关于所有主要操作部门和业务部门的相关信息。审计计划还应该特别考虑最易受近期或期望变化影响的运营领域。这些环境的变化可能是市场或投资条件、收购或过户、重组或建立新企业所引发的。所提议的计划应该灵活，以便在当年根据管理战略和外部条件的变化或对组织实现目标期望的修改而进行调整。

5．在确定所提议的审计计划时，首席审计执行官应该考虑其他人开展的相关工作。为了最大限度地减少重复和效率低下现象，在确定下一年度的预期审计范围时，应该考虑管理层在评价控制和质量改进过程中所计划的或最近完成的工作以及外部审计师计划的工作。

6．最后，首席审计执行官应该从两个角度评价所提议计划的范围：计划是否涵盖组织的各部门，是否包括各种交易和业务过程。如果所提议审计计划的范围不够充分，不足以就组织的控制过程作出确认说明，首席审计执行官应该将预期的缺陷、缺陷发生的原因和可能 出现的结果告知高级管理层。

7．内部审计所面临的挑战是在许多单项评价总汇的基础上评价组织控制系统的有效性。 这些单项评价结果大都来自内部审计业务、管理层的自我评估和外部审计工作。随着审计业务的开展，内部审计师应该及时将业务发现向恰当层次的管理人员通报，以便及时采取行动，纠正或减缓被发现的控制缺陷或薄弱环节所带来的不利后果。

8．在评价组织控制过程的总体效果时应该考虑三个关键因素：

通过所开展的审计工作和其他评价信息的收集是否发现了控制缺陷或薄弱环节? 如果发现了，是否在发现之后进行了纠正或改进? 是否可以从所发现的控制缺陷或薄弱环节及其后果得出以下结论：组织存在导致风险水平无法接受的普遍情形?

然而，暂时存在的风险管理和控制的重要缺陷或薄弱环节并不总是能使审计师得出这种情形很普遍，从而会给组织带来无法接受风险的结论。在确定整个控制体系的有效性是否受到损害、是否存在无法接受的风险时，审计师必须考虑发现问题的形式、非法侵入的程度、后果的严重程度以及风险程度等因素。

9．在一般情况下，首席审计执行官应该每年向高级管理层和审计委员会提交一份关于组织柠制过程状况的报告。上述报告应该强调控制过程在追求组织目标方面所起的关键作用，并应参考内部审计所开展的主要工作和其他用以形成总体保证判断的重要信息渠道。报告的意见部分一般采用否定形式的确认意见。即，那个阶段开展的审计工作和收集的其他信息没有揭示产生普遍影响的严重控制薄弱环节。如果控制空隙或薄弱环节严重而且普遍，报告的确认部分可能采用有保留的或反面意见的形式，但最后采取什么形式取决于预期增加的剩余风险水平及其对组织目标的影响。

10．年度报告的目标读者是高层执行官和审计委员会委员。因为这些读者对审计和组织业务有不同的理解，年度报告应该清楚、扼要、信息量大。报告的措词和编撰应该易于理 解，井能满足读者的信息需要。(如：技术和信息安全风险、各业务部门控制空隙或薄弱环节的形式、遵纪守法所面临的潜在困难)，可以增加报告对这些读者的价值。

11．有充分的证据表明，围绕内部审计活动在评价控制和就控制过程的运作状况提供确认方面存在期望差距。一种差距是，管理人员和审计委员会一般对内部审计服务的价值抱有较高期望，而内部审计师了解审计范围所受的实际限制，而且对于能否产生足够的证据、为形成客观知情的判断意见提供支持抱怀疑态度，因而，内部审计师对内部审计活动的期望比较适度。首席审计执行官应该懂得报告读者的期望和当年实际发生的情况之间可能存在的差距。他/她应该将报告变成协调不同期望的手段，井通过报告来建议改进组织的能力并减少审计师在获取信息和实现审计效果方面受到的限制。