二、工作标准

（一） 2000-1：内部审计活动管理

本公告第1段第2点原来规定为：“审计工作应实现经高级管理层批准和董事会通过的内部审计活动章程…。”现改为“审计工作应实现经董事会和高级管理层批准的内部审计活动章程……”。这意味着董事会在高级管理层之上，内部审计活动章程应先由董事会批准，高级管理层在董事会批准的框架内批准审计工作。

（二） 2010-2：审计计划对风险和风险暴露的关注

本次修改时内容没有变更，而是通过这种方式提纲挈领地明确公告的内容，以便读者掌握其中要领，修改意见指出：

1. 原文第一点是描述组织面临的风险可能有正面影响和负面影响。加强内部控制可以减少负面影响。

2. 原文第二点描述：① 内部审计机构应在风险评估的基础上制定审计计划；② 内部审计机构可以通过向管理层提供信息来减少负面影响；③ 内部审计机构可以通过评价内部控制制度，来降低风险带来的负面影响。

（三） 2100-1：工作性质

本公告第8段第2点原文是：“内部控制系统是高效率、有效果的；”。修改为：“ 内部审计必须确保内部控制系统不仅是高效率的、有效果的，还必须达到风险暴露所要求的水平”。

（四） 2100-2：信息安全

本公告第1段：原文是“内部审计师 该内容由 中 审 网 校所 属www .a ud itc n. com应该确定管理人员、董事会是否明确理解信息安全是一种管理责任。” 改为“信息安全由董事会和高级管理层负责。”

（五） 2110-1：评估风险管理过程的适当性

对本公告第3段做了以下修改：

1. 将原文：“各个织组都可以选择一套特定的方法去实施风险管理过程 。内部审计师 该内容由 中 审 网 校所 属www .a ud itc n. com应该确定所有参与公司治理的团队与个人，包括董事会和审计委员会，都了解此方法”的第二句改为“内部审计师 该内容由 中 审 网 校所 属www .a ud itc n. com应该确定，实施风险管理过程的方法，是否被公司管理层的关键人物所了解。”

2. 本段第5点原文是： “·董事会和管理层定期接收风险管理过程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况”。修改为：“审计委员会应该定期向董事会报告风险管理过程的结果。南非的实践表明，董事会并非只能依赖审计委员会的报告，在许多设有风险管理委员会的公司，风险管理委员会也可以直接向董事会报告风险管理过程的结果。然后由董事会比较风险管理委员会和审计委员会的报告。至于采用什么方法，可由董事会与审计委员会沟通。”