2023年内部审计作业手册

内部审计作业手册

目录

第一章内部审计概述....................................1

第二章审计业务计划....................................4

第三章业务流程分析....................................8

第四章评估设计有效性..................................11

第五章测试运行有效性..................................22

第六章审计执行结束....................................39

第七章审计报告.........................................43

附件1年度审计项目列表

附件2年度审计工作计划

附件3审计计划备忘录

附件4审计通知书

附件5流程文字描述工作表

附件6穿行测试工作表

附件7风险控制矩阵

附件8关键控制登记表/测试工作表

附件9问题及缺陷表

附件10审计报告格式

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第1页共53页

第一章内部审计概述

第一条审计使命

审计部门直接对公司总裁办负责，为公司管理层评估

公司记录、内部控制制度、管理资讯系统及作业系统是否

健全、完善、有效。协助公司管理层发现业务发展中可能

存在的风险，并提出如何建立适当的制度、内部控制系统

和程序来充分地、有效地管理控制风险。

第二条审计组织

公司设立审计部，作为专职的内部审计机构。审计部

的日常审计工作直接向公司总裁办汇报。同时，审计部作

为审计委员会下设的办公室，负责处理审计委员会交办的

日常工作。

第三条审计的主要职责

审计部门的主要职责是：

一、拟定公司内部审计制度，编制年度审计计划和

审计预算；

二、对公司及各分支机构各项经营活动和财务活动的

真实性和合规性进行监督、检查和评价；

三、对公司及各分支机构内部控制体系以及风险管理

体系的健全性、合理性和有效性进行监督、检查和评价，

并出具年度内部控制评估报告；

四、对董事及高级管理人员在任职期间所进行的经营

第1页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第2页共53页

管理活动进行审计检查；

五、对公司及各分支机构经营效益等事项进行专项审

计；

六、对公司信息系统进行审计；

七、对被审计单位整改情况进行后续审计；

八、处理董事会审计委员会交办的日常工作；

九、法律法规规定和公司要求的其他审计事项。

第四条审计范围

审计工作范围涵盖公司全部业务。审计部门必须在整

个工作领域内，明确订立出各个需要被查核的区域，以利

查核工作的进行。

审计工作范围包括

一、业务审计；

二、财务审计；

三、合规审计（包括定期进行反洗钱和反恐怖融资方

面的审计等）；

四、董事及高级管理人员审计；

五、根据公司管理层的要求进行的专项调查；

六、公司外部有关部门（政府监管部门、股东方及会

计师事务所）检查所发现的重大管理缺失事项的追踪。

第五条审计制度

公司制定《公司内部审计制度》。审计制度是内部审

计的基本行为准则，是审计人员在任何情况下都必须遵守

第2页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第3页共53页

的原则。

第六条审计程序与方法

公司审计部门采用风险/控制的审计方法。完整的审计

程序包括审计业务计划，业务流程分析，评估固有风险/评价

控制设计，控制运行有效性的测试/评估剩余风险及审计执行

结束。审计执行循环如下：

第3页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第4页共53页

第二章审计业务计划

第七条年度审计计划目的

审计部门须对每一年度的审计项目安排年度审计计划。

年度审计计划编制的目的在于：

一、确保审计工作满足公司内部管理和外部监管的需

要；

二、使审计部门与被审计单位之间在工作安排方面协

调一致；

三、确保审计项目的时间和人员安排充分并且适当。

第八条年度审计计划栗素

年度审计计划包括将于该年度内实施的所有常规审计

项目。年度审计计划的要素包括各审计项目范围，涉及部

门及项目的时间安排，包括现场工作日及审计报告提交日。

所有包含于年度审计计划中的审计项目均应编号。项目编

号以年份加顺序号组成。

第九条年度审计计划的编制程序

一、审计范围和可审计单位

审计工作的范围涵盖公司全部业务。公司业务中凡被

内部审计人员或外部审计人员（政府监管部门或查帐会计

第4页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第5页共53页

师事务所）认为须作查核的领域，全部包括在审计范围之

内。

审计工作应以审计范围内各业务运作流程的内部控制

制度的建立和执行情况为重点。

以审计工作的可操作性考虑，审计范围整体应分成若

干个可审计单位。每一个可审计单位都应该可以单独被查

核，但又与整个内部审计计划相联系。

可审计单位的划分，以各项业务操作的流程为宜，不

受业务部门的限制。

二、审计项目之选择

根据确定的可审计单位，审计部门主管应充分考虑以

下因素，确定年度审计项目，编制年度审计计划。

（一）风险高及公司策略重点的可审计单位审计次数应

更频繁；

（二）为确保审计项目的完整性及有效性，审计项目应

涵盖业务审计，资讯技术审计及财务审计等审计范围；

（三）审计项目涵盖的范围及其及时性应使内部审计工

作价值最大化，并为外部审计师提供帮助；

（四）每一审计项目的确定及人员安排应确保审计报告

在审计工作开始后60天内发表。

第十条年度审计计划之核准

第5页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第6页共53页

内部审计部门应于每年12月底前完成下一年度审计

计划，并呈报公司领导及董事会核准。

年度审计项目列表详见附件1。

年度审计工作计划详见附件2。

第十一条审计项目计划的目的

每一审计工作皆须经过适当的事先规划，以确保内部

审计工作能有效果并有效率地完成，同时符合内部审计部

门的审计作业方法和程序以及有关法律法规的要求。

第十二条审计计划备忘录

审计人员应对每一个审计项目编制审计计划备忘录。

审计计划备忘录如附件3。

第十三条监管环境

审计人员应明确主要的监管机关，确保已了解监管环

境，并已考虑重要的监管约束。应咨询法规遵循主管，考

虑是否有特殊监管约束需要在审计过程中引起注意。

第十四条以前年度审计发现事项

为确保以前年度审计发现事项得到妥善解决，再次审

计时应对以前年度审计发现事项进行追踪。编制审计发现

事项追踪表，清楚的列明所有审计发现事项完成情况。

第十五条法规遵循及风险管理关注重点

与法规遵循及风险管理主管讨论他们是否有特别关注

第6页共53页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第7页共53页

的，希望在审计过程中引起审计部门重视的问题。

第十六条初步会议

每一审计项目在现场工作实施之前，应提前足够的时间

开始计划。有关审计人员应先与被审计单位的主管举行初

步会议，对被审计单位的业务及业务风险进行了解，取得

被审计单位主管对风险评估的看法和观点，建立沟通渠道。

第十七条审计通知的发送

审计部门应在每一项审计现场工作开始前五至十个工

作日内发出审计通知。审计通知以邮件的形式发送至被审

计单位的主管，同时抄送公司管理层。

审计通知由审计部门主管发送。

一、审计通知的内容

审计部门应使用标准格式的受权调查范围，详述本次审

计的目的，范围，方法，所需工作时间及人员，日程安排。

审计通知书的格式如附件4。

第7页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第8页共53页

第三章业务流程分析

第十八条审计范围及业务系统描述

审计部门应全面了解业务系统，以便深入了解审计领

域及其相关的业务风险。可从公司内部或公司外部获得对

业务系统的总体了解。公司内部的信息来源包括以前年度

审计工作底稿、审计报告、组织架构图、制度和程序、管

理报告、法规遵循报告以及外部审计报告。外部信息来源

包括行业出版物、政府监管或法律方面的出版物、电视媒

体以及其它电子或书面媒体。交易处理所采用的系统整合

所有的业务处理，该系统包括销售人员获取商业信息的系

统、风险管理系统以及财务控制使用的内部结算及支付系

统、总帐系统和管理信息系统。审计人员必须充分了解上

述各系统的运用以及各系统间的连接，如有必要，可请资

讯技术审计人员协助。审计部门对业务系统及组织架构取

得了解后，应编制系统描述，并记录于工作底稿中。对业

务及系统环境取得深入了解后，便可设定审计范围。

审计部门还应向管理层获取最新的组织架构图，并归

入工作底稿中。如果管理层无法提供最新的组织架构图，

应要求其编制，并将该问题做书面记录。

第十九条财务信息

为评价某特定业务领域的风险等级，审计人员应获取

有关业务规模、资产负债状况、业务限制以及预算执行情

况的信息。这些信息应从风险管理部门和财务部门获取。

第8页共53页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第9页共53页

第二十条流程图和穿行测试

应对不同类型的业务流程做穿行测试，并编制流程图。

一、流程图：

制作一个流程图的流程包括：

（一）从现有的文档或系统用户中获取相关文件、资料

及交易流，它们的制作及传送；及

（二）确保所有文件及复印件以存档、处理、传送给他

人或传递到另一图表的方式列示。

流程图应包括的重要项目：

（一）主要输入来源；

（二）使用的重要数据文件、记录；

（三）重要的流程步骤，包括系统自动程序及手工输入

系统程序；

（四）主要产出的文件、报告及记录；

（五）支持流程的IT应用程序；

（六）位置；

（七）部门。

流程图帮助了解流程及协助识别哪里可能发生重要错

误和哪里存在控制防止或发现这些错误。

流程文字描述工作表见附件5。

二、穿行测试：

第9页共53页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1。页共53页

在穿行测试中，审计人员从头到尾观察一个样本（一

个或可能的话两个交易）以确定审计人员对系统或流程的

了解，并协助识别流程中的重要控制点。穿行测试不能使

审计人员得出一系列程序已遵照执行的结论，只用于确认

流程。

使用每种类型的典型交易来充分确认各流程及系统。

穿行测试应是充分的、详细的，以确认是否所描述的就是

实际发生的。审计小组应通过充足的询问，以确定所描述

的控制是否被常规执行。

发现任何例外情况，应更新流程文件（流程图和文字

描述）。

穿行测试工作表见附件6。

第二十一条业务流程的确认

记录的业务流程是否正确，应取得流程所有者（那些

流程运行的负责人）的确认，可以一起审核并讨论这些书

面文件，也可以向流程所有者提供书面文件草稿并要求反

馈。任何确认的修改应在审计工作底稿中保留修改依据。

第10页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第11页共53页

第四章评估设计有效性

第二十二条识别及评估风险

设计评估步骤的目的是确认并更新被审计单位的风险。

一、在对被审计单位业务有了初步了解后，审计小组

应识别对达成业务目标或价值驱动力产生负面影响的风

险。识别的风险应与不同的风险类型相关联（信用、市场、

业务、运营和保险风险）。

业务风险业务风险是“在一个特定的业务中”的

风险，例如公司费用、业务持续性、销

售额等方面遭遇与预期不同的可能性。

信用/转让风险信用风险是公司遭遇证券发行商、交易

对手、借款人、中介机构的信用质量发

生变化的风险。转让风险指海外机构持

有的资金不能遣返或由于政府限制，有

偿付能力的外国客户或交易对手不能

取得可自由兑换的货币。

第11页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第12页共53页

保险风险保险风险可以如下分类：

•死亡率风险是由于死亡的发生或非

发生而引起现金流的时间和金额的

偏差。

•P&C风险包括将来理赔支付的可变

的规模、频率及时间，悬而未决理赔

的发展和分摊损失而调整的费用。

•发病率风险是由于投保人发病率的

变动而产生的理赔等级和时间的可

变性风险。

市场风险市场风险是与利率、资产价格、房产价

格、外币兑换率、或其它经济因素相关

的风险。

运营风险运营风险是由于不足够或失败的内部

流程、人员及系统或外部事件而造成直

接或间接损失的风险。它包括信誉风

险，它不是直接的或是第二顺序影响运

营的风险。同样，项目风险也是运营风

险的一种形式。

运营风险可以分为10种子风险类型:

控制风险由于未遵循已建立的内外部业务

标准或准则而发生的损失。

未授权行为风险未经授权的雇员交易、批准或者超

第12页共53页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第13页共53页

越授权而引起的损失。

操作风险交易处理中无意的人员操作错误

而引起的损失。

雇佣及工作场所由于与雇佣、健康或安全法律或协

安全风险议不一致的行为，形成的付款或人

员伤害的理赔，或由于差异性/歧

视事件而造成的损失。

信息（技术）风由于可使用数据不足够、数据的完

险整性、数据的保密性或系统信息安

全引起的损失，由于系统设计不充

分和IT系统（处理，交流，信息）

中断及由于IT应用程序/软件的故

障而引起的损失。

内部欺诈包括公司内部至少一•个人参与犯

罪或欺诈行为而引起的损失。

外部欺诈由公司外部人员的犯罪或欺诈行

为而引起的损失。

危机管理&由外部事件，自然（地震，暴风雨

BCP/DRP风险等）或人为（故意破坏，炸弹袭击）

等引起的损失。

合规风险由于未遵循适当的法律、法规及标

准而对公司的诚信受损，导致对公

司名誉的损害，法律或监管制裁，

第13页共53页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第14页共53页

或财务损失的风险。

人身及物理安全与公司房产或可移动资产保护相

风险关的风险，包括第三者的进入，盗

窃，火灾，贵重物品的保护，安全

器材的可用性及用品持续的供给。

与商务旅行中公司人员的安全、外

籍人员派驻、项目执行及他们办公

室环境相关的风险。

分析结果应概括于风险控制矩阵(RiskControlMatrix,

简称RCM)中。RCM中包含的风险应根据被审计单位的

业务目标、价值驱动力等审核其相关性和完整性，在审计业

务计划和业务流程分析阶段，如对业务有进一步的了解和

认识，应及时更新RCMoRCM是重要的审计档案，用于

归纳相关风险、控制、测试及审计结果。审计部门主管应

确保编制高质量的RCM,RCM与工作底稿做交叉索引并

归入审计档案中。

风险控制矩阵如附件7。

二、评估固有风险

(-)风险要素

在识别和分类风险后，审计人员需要评估固有风险。

风险的重要元素：可能性和影响。理解每个风险的特性是

重要的，这将对后续评估相关控制的设计和运作有效性起

到重要作用。

第14页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第15页共53页

对于每个识别的风险，应通过考虑潜在的影响（风险

可能引起的质和量的影响）和可能性（风险发生的可能性）

来评估固有风险。

（二）固有风险

固有风险指在没有任何控制去管理一个特定风险的情

况下该风险可能导致的危险。

（三）风险足迹

在评估固有风险前，审计小组根据“标准业务单位”

的风险足迹完成固有风险评级。请记住用于固定风险评估

的风险足迹将来也会用于剩余风险的评估。根据不同风险

足迹中风险的影响和可能性，评估固有风险和剩余风险级

别（即严重、高级、中级和低级）。

影响及可能性的分数应在风险足迹中标绘以取得整体

风险影响分数（严重、高级、中级和低级）和每个风险的

颜色（红、橙、黄和绿）。

标准业务单位

(X)00mlnmlnmlnmlnmlnmln

低级高级

第15页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第16页共53页

中级

一种颜色状态（红、橙、黄或绿）相应的分配到严重、高级、中级和

低级的风险级别。影响的金额代表区间，如0-10.000,10.000以上-

30.000,30.000以上—100.000等。

（四）风险等级

严重风险对业务目标和/或价值驱动力的影响

非常重大。管理层应决定就当前已暴露的

风险，立即建立降低风险的程序。如果没

有预算，应安排专项资金。

高级风险对业务目标和/或价值驱动力的影响

是重大的。管理层应决定就当前已暴露的

风险，尽快建立起降低风险的程序。

中级风险对业务目标和/或价值驱动力的影响

是不重大的。然而，管理层应制定行动计

划确保及时降低风险以避免情况恶化。

低级风险对业务目标和/或价值驱动力的影响

是忽略不计的。然而，管理层应监控风险

并采取适当且必要的措施来预防风险变

得重大。

对影响和可能性的评估及风险分类（严重、高级、中级

和低级）应被记录在审计文档并归结在风险/控制矩阵中。

当对严重性和可能性的判断发生变化时，应在审计文档中

清晰的记录原因。

第16页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第17页共53页

影响风险可能性的因素：交易量大，其他情况相同时，

意味着与交易量小相比更高的错误可能性。交易复杂，其

他情况相同时，意味着与交易简单相比更高的错误可能性O

第二十三条识别及评估控制

该设计评估步骤的目的是：

•确定并更新已识别风险对应的现有控制，并将控

制与风险控制矩阵(RCM)中每个范围内的风险

相互匹配；

•测量被审计单位每个领域暴露的“净”风险，评

估被审计单位总体控制设计的充足性。

一、识别及分类控制

(-)控制类型

每个评估的风险，审计人员需要根据他们的时间和性

质，识别、分类、记录及评估与该风险相关的控制：

时间:

-指导性或预防性控制：一种通过明确的确保风险不

会发生来寻求限制风险的控制。一个好的例子是双重签核

一份合同。

-修正性或发现性控制：一种在事情发生后通过“调

整”(即更正)以确保风险不会变大的控制。例如项目会

议或预算监控使管理层审核和评估当前进程，这样，可能

的问题(延迟、差异、假设错误等)能容易调整。

第17页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第18页共53页

性质:

-人工：人工控制由人员执行。

-自动：自动控制发生在没有人员介入，植入软件程

序以预防或发现未经授权的交易，或允许交易的处理。

-依靠人工/IT:这些控制同时有人工和自动元素。一

个控制可能依靠自动化流程但控制的关键元素可能是人工

的。例如，一个控制可能包括系统审核采购订单、收货单

及发票的匹配。系统将自动生成不匹配的例外报告（自动

元素），再由人工审核并清理（人工元素）。

-终端用户：某些控制流程可能运用终端客户应用程

序例如电子表格、数据库和终端用户编码。

（二）关键控制登记表/测试工作表

在关键控制登记表/测试工作表上记录这些控制。

关键控制登记表/测试工作表有双重的目的。它适用于：

•记录（关键）控制；

・记录关键控制的测试（步骤和测试结果）。

关键和非关键控制都可以使用关键控制登记表/测试

工作表。

关键控制登记表/测试工作表如附件8。

通过RCM上的文件链接，关键控制登记表/测试工作

表上描述的控制映射到风险/控制矩阵上关联的风险。

二、评估控制

第18页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第19页共53页

评估每个控制降低每个风险的充足性，使用“高级、

中级和有限”的控制有效性级别，并记录在风险/控制矩阵

中。使用以下标准评估控制有效性的高级、中级和有限的：

高级有效：可以依靠自己本身来降低风险的控制。

中级有效：能很大程度降低风险，但不能完全降低

风险的控制。

有限的有效：能降低风险，但不是有效的。

三、评估控制设计

针对每个风险，评估相应控制设计的总体充足性。这

个评估应被记录在风险/控制矩阵中。

使用选择的风险足迹作为剩余风险影响和可能性评分

的基础。剩余风险评估应记录在风险/控制矩阵中。剩余

风险的评估要求测试控制运行的有效性，一旦完成运行有

效性测试，应更新剩余风险评估。当剩余风险评估仍在一

个不能接受的水平上（严重、高级、中级），审计人员可建

议额外的控制或加强现有的控制以降低剩余风险水平。相

反，当剩余风险被认为可接受的，可能有机会识别“过度

控制”的地方。

四、识别关键控制

关键控制是指在审核/评估控制设计的基础上，能（单

独或与其他控制一起）很大程度降低固有风险的控制。此

外，审计人员应考虑是否该控制的失败会导致剩余风险水

平到严重、高级或中级。如果是这样的话，该控制应被视

第19页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第20页共53页

为一个关键控制。审计人员应考虑，在一个“过度控制”

的情况下，哪个控制是“关键”的。

被识别为关键控制的控制应在风险/控制矩阵和关键控

制登记表/测试工作表上注明。

关键控制应评估其设计有效性，然后测试以确认他们

运行的有效性。评估关键和非关键控制的目的是为了关注

重要的控制以帮助提高审计测试的效率和效果。

五、与被审计单位确认设计评估

风险和控制评估应与管理层分享。考虑被审计单位的

反馈，适当的话，更新评估（RCM）o确保审计轨迹能完

整地证明变化及理由。

（一）注释：固有风险评估

审计人员应与管理层讨论已识别的风险和控制的存在

性、完整性及其评估。

注意，管理层可能不能理解即使存在控制以预防风险

的产生，但风险仍会存在。

注释：控制设计评估

目标是：

•确认识别的控制已准确地被描述；

•确认所有相关控制已被识别；

•确认控制已被准确地映射到相关的风险；

第20页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第21页共53页

•确认每个控制的重要性（高级、中级和有限的有

效）;

•确认每个风险的控制设计评估；及，

•确认识别的任何控制差距或过度控制的地方，及

他们的重要性和行动计划；

•识别关键控制。

（二）问题及缺陷表

任何商定的控制差距都应制定一个行动计划。相反地,

过度控制的地方可能导致重新调整/合理化控制和运营资

源。发现的问题应记录在问题及缺陷表上，与相关的风险

/控制矩阵互相进行索引。行动计划应包括执行的完成日

期和负责人。

问题及缺陷表是RCM上列出所有相关控制问题的初

步登记表（设计和运行有效性）。因此，它可能涉及控制

的缺失，控制设计的缺陷，和运行有效性的缺陷。完整的

总体审核能帮助发现是否问题和缺陷存在相同的根源或

者相同的地方。总体审核同样能帮助决定需要包括在审计

报告执行摘要中的关键风险领域（一些问题和缺陷应合并

成一■个发现）。

问题及缺陷表如附件9。

第21页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第22页共53页

第五章测试运行有效性

第二十四条记录测试程序

本步骤的目的是编制书面的测试程序，包括适当的测

试目的，详细描述测试深度，及测试方法。

一、记录测试目的、测试深度及测试方法

识别了最适当的关键控制来进行测试后，审计人员应

编制测试的特定步骤，以满足关键控制登记表/测试工作表

中的测试目的。包括测试目的、测试深度及测试方法。

以下规则能用来评估哪些控制测试应得到关注：

•如果一个关键控制被评估为设计有效，应得到测

试；

•如果当一个关键控制只有与其他控制在一起时才

被评估为有效，那么，这些控制都应得到测试；

第22页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第23页共53页

•如果一个关键控制被评估为无效，通常情况下不

用进行测试。但是，一个设计无效的控制可能得

到测试，用于决定该控制缺陷的影响。

注释：测试目的-控制运行有效性测试

正确设定测试目的是非常重要的，因为这是确保执行

的工作有价值的起点。测试目的应直接从关键控制登记表/

测试工作表的控制描述中获得。行动应明确和直接为了获

取证据（核查/证实等）而不应含糊不清（审阅、了解、讨

论等）。

注释：测试目的-实质性测试

运行无效的控制需要额外的测试，例如，对运行的项

目重新执行一遍控制或进行实质性核查，以证实他们的完

整性和正确性。例如，控制设计及运行测试发现例外情况，

实质性测试可以提供额外的审计证据。实质性测试程序可

以包括分析性复核，将余额/项目与原始凭证或独立的文件

进行核对及重新计算或核实该项目。

注释：测试深度

下表可以用来作为测试运行有效性水平的指导:

固有风险

控制-设严重高级中级低级

计

高级降低测试有效测试有效减少有效X

性（TOE）性（TOE）性测试

第23页共53页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第24页共53页

(Reduced

TOE)

中级降低减少有效减少有效XX

性测试性测试

(Reduced(Reduced

TOE)TOE)

注释：测试方法

有多种方法来执行测试以获取审计证据。审计人员应

选择能达到测试目的的最合适的方法。包括：

证实性的询问-向员工、管理层及服务提供者询问以

获取程序和控制的资料。管理层可能被要求提供他们对控

制运行有效性满意的资料。通过询问的测试方法通常没有

其他形式的测试可靠，可能需要与其他形式的测试一起，

为审计人员的结论提供充分的证据支持。

观察-直接观察员工的实际操作，以查看控制是否按

设计运行。当确认员工培训及技能水平时，审计人员应考

虑审计人员在场的情况下对控制运行表现的影响-如，如

果审计人员不在场，该控制运行是否如此彻底。

检查-通过检查或盘点资产、及阅读、追踪、审核支

持性文件、比较及核对记录来获取证据。检查是高级有效

的测试形式，因为他们能为审计人员的结论提供更需要的

证据支持。

第24页共53页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第25页共53页

确认函-此测试方法用于比较内部记录与第三方记

录。确认函是高级有效的测试形式，但是，它被限制在当

有第三方参与的情况下使用。

重新执行-此方法包括审计人员重新全部或部分执

行被审计单位的运作。它只有在审计人员需要确保计算或

记数的正确性情况下使用。审计人员