内部审计项目质量控制手册

内部审计项目质量控制手册内部审计项目质量控制手册目录TOC\o"1-4"\h\z\u1.前言 41.1编制目的 41.2编制依据 41.3适用范围 41.4使用说明 42.审计项目质量自我控制 62.1审计立项 62.1.1定义 62.1.2质量标准 62.1.3质量保障措施 62.1.4技术与工具 72.2审计准备 82.2.1定义 82.2.2质量标准 82.2.3质量保障措施 132.2.4技术与工具 152.3审计实施 172.3.1定义 172.3.2质量标准 182.3.3质量保障措施 232.3.4技术与工具 252.4审计报告 292.4.1定义 292.4.2质量标准 302.4.3质量保障措施 322.5审计跟进 342.5.1定义 342.5.2质量标准 342.6外包审计项目质量控制 362.6.1定义 362.6.2质量标准 362.6.3质量保障措施 392.6.4技术与工具 403.审计项目督导 423.1定义 423.1.1内审项目督导的定义 423.1.2责任人及职责划分 423.2工作标准 423.2.1工作原则 423.2.2工作内容及方式 423.3督导工作重点 433.3.1项目准备阶段 433.3.2项目实施阶段 433.3.3项目报告及跟进阶段 443.4对审计人员的评估 453.5技术与工具 454.审计项目质量内部评估与检查 474.1定义 474.1.1内部评估 474.1.2质量检查 484.2频率及期间 484.2.1评估（检查）频率 484.2.2评估（检查）期间 484.3评估与检查人员资质要求 494.4实施内部评估（质量检查） 495.审计项目质量外部评估 555.1定义 555.2频率及评估范围 555.3外部评估方的选择 555.4过程监控 565.5★对外部评估方的评估 57附则 59工作模板及工具 60

1.前言1.1编制目的为了提高公司内部审计项目的质量，明确内部审计项目的质量控制机制，规范内部审计项目的工作流程，促进内部审计实务操作标准化，有效防范审计风险，特编制《内部审计项目质量控制手册》（以下称“本手册”）。1.2编制依据根据国际内审协会《国际内部审计专业实务标准》，中国内审协会《中国内部审计准则》，国资委、审计署有关中央企业内部审计的相关规定，参考国内外先进企业、会计师事务所最佳实践等，制定本手册。1.3适用范围本手册适用于公司总部及所属各级公司和单位。1.4使用说明审计组员、审计组长、审计项目负责人、内审机构负责人、以及内部评估人员应当参照本手册进行相应工作，承担相应职责。下文列示本手册的使用方法：审计项目质量自我控制。审计组在执行审计任务时，应当按照“审计项目质量自我控制”进行质量自我控制；对审计项目进行内部评价和质量检查时，也应当按照该部分的标准和要求对审计项目进行评价（检查）。本部分从四个方面进行阐述：定义、质量标准、质量保障措施和技术与工具。其中，定义列示各步骤的定义，以及内审机构各级成员应当承担的责任；质量标准包括审计项目质量控制的强制性标准和建议性标准（建议性标准用“★”标识，下文同）。质量保障措施指达到内部审计项目质量标准的相关措施和程序，包括强制性措施和程序和建议性措施和程序（建议性措施和程序用“★”标识）；技术与工具指达到内部审计项目质量标准可能用到的技术或工具。审计组在执行审计任务过程中可参考建议性的相关质量保障措施和技术与工具。审计项目督导。审计项目督导人员应当按照“审计项目督导”部分提出的要求执行督导工作。该部分定义了审计项目各级督导人员的职责，以及督导人员在审计项目各阶段应当进行督导工作的内容、方式、质量标准以及可参考的督导技术。其中质量标准包括了强制性标准和建议性标准。审计项目质量内部评估与检查。内审机构对审计项目进行内部评估和质量检查时，应当按照“审计项目质量内部评估与检查”部分提供的评估方法进行评估（检查）。该部分定义了评估（检查）人员的职责权限，评估（检查）的频率及抽样原则，以及应当遵循的评估（检查）步骤，并提供了评估（检查）工作中将用到的底稿模板和表格。审计项目质量外部评估。内审机构对审计项目进行外部评估时，应当按照“审计项目质量外部评估”部分的要求安排外部评估工作、选择外部评估机构并对外部评估机构进行监督和评价。

2.审计项目质量自我控制审计项目质量自我控制是指审计组依据审计项目质量控制标准对所进行的审计项目进行监控和管理。审计项目质量自我控制的全过程包括：审计立项、审计准备、审计实施、审计报告和审计跟进。2.1审计立项2.1.1定义审计立项是指内审机构为了实现内部审计职能，通过调研、分析和评估，确定审计项目的过程。内审机构负责人对本机构自主确定的审计立项的科学性、目的性和针对性负责。2.1.2质量标准（1）【以风险为导向制定审计项目计划】应在风险评估的基础上制定审计项目计划；在进行审计立项时需要综合考虑监管机构、董事会、高级管理层和业务部门的意见和需求；内审机构的风险评估过程需要以书面的形式进行记录。（2）★【应用审计范围框架进行风险评估和审计立项】内审机构可建立审计范围框架，用于审计项目的选项和立项：该框架应包含公司现阶段识别的可审计的活动，并定期进行更新；该框架应当使用定量和定性分析相结合的方法对潜在审计对象的风险进行评价分析。（3）【项目立项获得恰当的审批】内审机构的审计立项需要经所在公司董事会（审核委员会）、管理层批准，各单位还需报上一级内审机构备案。项目立项变更（追加和取消），需要遵照项目立项的审批程序进行审批。 2.1.3质量保障措施在审计立项过程中与有关方面的协调机制建议内审机构在进行审计立项时向各利益相关方收集相关信息，相互协调，以确保工作的全面性，提高效率和效果。（1）【与公司管理层的沟通】内审机构在审计立项时，需要与公司管理层沟通公司战略目标和业务动态，了解管理层重点关注领域和相关审计需求，并在审计立项中充分给予考虑。（2）【与业务部门的沟通与协调】对于承担了公司运营某些方面的监督、控制和保障职责的业务部门，内审机构在审计立项时应充分考虑积极应用这些部门的工作成果和专业意见，特别是涉及合规性审计、风险审计和舞弊审计领域时。内审机构在审计立项时，还需要同时考虑业务部门对于审计增值服务的需求，积极开展合作。（3）【与外部审计师的沟通与协调】内外部审计工作需要充分协调以确保在恰当的审计范围内最大限度的避免重复工作。内审机构在审计立项时可适当考虑借助外部审计力量，利用外部审计的成果。2.1.4技术与工具2.1.4.1审计范围框架（1）【识别可审计的对象】建立风险评估框架时应识别可审计的对象。可审计的对象可以按照策略管理机制、资源管理机制、核心管理流程进行划分。（2）【对可审计的对象进行风险评估】对可审计的对象进行风险评估要考虑风险后果及其发生的可能性，识别影响后果和可能性的因素。然后结合风险发生的可能性及后果来确定风险水平，包括固有风险和剩余风险。风险评估方法根据风险分析的目的、可获得的可靠数据以及组织的决策需要，风险分析可以是定性的、半定量的、定量的或以上方法的组合。定性评估可通过“高、中、低”这样的表述来界定风险事件的后果、可能性及风险等级。如将后果和可能性两者结合起来，并与定性的风险准则相比较，即可评估最终的风险等级。半定量法可利用数字分级尺度来测度风险的可能性及后果，并运用公式将二者结合起来，得出风险等级。定量分析则可估计出风险后果及其可能性的实际数值，结合具体情境，产生风险等级的数值。由于相关信息不够全面、缺乏数据、人为因素影响等，或是因为定量分析工作无法确保或没有必要，全面的定量分析未必都是可行的或值得的。在此情况下，由经验丰富的内审人员对风险进行半定量或者定性的分析可能已经足够有效。如果是定性分析，那么应该对使用的术语进行清晰的说明，并对风险准则的设定基础进行记录。可能性分析和概率估计通常主要使用三种方法来估计可能性。这些方法可单独或组合使用。a.利用相关历史数据来识别那些过去发生的事件或情况，借此推断出它们在未来发生的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。b.利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时，有必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险的可能性。c.系统化和结构化地利用专家观点来估计可能性。现有常用方法包括德尔菲法和层次分析法等。控制措施评估剩余风险的等级水平不仅取决于固有风险，还与现有风险控制措施的充分性和有效性密切相关。在进行控制措施评估时，需要评估的问题包括：对于一个具体的风险，公司现有的控制措施；现有控制措施能否足以应对风险，将风险控制在可接受水平；控制措施能否以预定方式正常运行，如何证明控制措施的有效性。对于特定的控制措施或一套相关控制措施的有效性水平，可以进行定性、半定量或定量的表示。2.2审计准备2.2.1定义审计准备是指在审计立项批准后，由内审机构在具体实施审计项目前所做的各项准备工作，主要包括编制项目审计计划、组建审计组、下达审计通知书、开展审前调查和编制审计实施方案等工作。审计组长应对审计准备阶段确定的审计程序、步骤和方法的适当性和可操作性负责。项目负责人对审计范围和重点的准确性负责。内审机构负责人对审计目标的恰当性负责。2.2.2质量标准2.2.2.1制定项目审计计划（1）【项目审计计划的内容完整】项目审计计划需要包括下列基本内容：编制依据；审计目的；审计范围；审计内容和重点；整体审计程序；计划的审计时间及所需的审计资源；对专家服务和外部审计工作结果的利用；项目审计计划的编制日期等内容。★当审计项目无子项目或审计内容比较简单时，可根据实际情况，将项目审计计划与审计实施方案合并。（2）【项目审计计划应充分、全面反映各类影响因素】项目审计计划确定的审计目的、范围、内容和重点需要充分反映风险评价的结果。项目审计计划的编制应充分考虑被审计单位或审计事项的经营活动概况，如内部控制的设计及运行情况，财务、会计资料，重要的合同、协议及会议记录，以往审计结论、建议及审计跟进的执行情况，以往外部审计的审计意见等。在制定项目审计计划时，需要考虑存在舞弊、严重错失、不合规、违规及其他风险的可能性。（3）【项目审计计划经过恰当的复核】审计组长编制项目审计计划，提交项目负责人审核，并报内审机构负责人批准。2.2.2.2组建审计组（1）【审计人员数量与项目需求匹配】需要根据审计项目的性质和复杂程度，合理确定审计人员数量，确保审计人员能够在规定的时间内充分执行审计程序，完成审计任务。（2）【审计人员能力符合项目需求】除应考虑审计人员的独立性、职业道德水平等基础性因素外，还应重点考虑以下专业胜任能力因素：项目负责人需要具有公司内部审计专员资格。审计组长应由具有三年以上审计工作经验的审计人员担任。需要根据不同类型的审计项目，配置具有不同知识和专业资质的内部审计人员，如：－审计项目中广泛涉及财务报告和会计处理时，应配备数量足够的拥有财务专业知识的审计人员；－审计项目涉及工程价款审计时，应配备具备工程审计工作经验的审计人员，建议具有注册造价工程师或其他相关专业执业资格证书；－审计项目中涉及对通用计算机控制或海量数据分析进行评价时，应配备具有信息系统相关专业知识和资质的审计人员。如果可供调配的审计人员的知识和能力无法满足审计项目的需求，项目负责人应当在审前调查开始前及时进行协调或利用外部专家服务。2.2.2.3下达审计通知书（1）【审计通知书内容完整】审计通知书需要包含以下内容：被审计单位及审计项目名称；审计的依据、目的、范围和方法；审计时间安排；对被审计单位应配合审计工作的具体要求；审计组成员；内审机构签章和签发日期等内容。（2）【审计通知书获得恰当的审批】审计通知书需要经内审机构负责人或公司领导的审批后方可正式下发。（3）【及时下达审计通知书】审计通知书需要在具体实施审计项目前至少五个工作日送达被审计单位。特殊审计业务（涉及紧急审计事项和突击审计事项）可在实施审计时送达。2.2.2.4★审前调查（1）【审前调查的方式合理】根据项目需要，采取查阅相关资料、访谈相关业务部门、实地调查（了解情况、进行试审）等方式或其他替代性程序开展审前调查。（2）【审前调查的内容完整】审计调查的内容一般包括：被审计单位财务情况：如财务报表和账户资料反映的主要会计数据和审计范围（年度）内的重大资金流动。被审计单位的业务流程和内部控制制度：如被审计单位主要业务流程及近期重大变化情况；内部控制制度、规章制度的设计及其执行情况。被审计单位以前年度接受审计或检查情况：如以前年度审计报告中的审计发现，审计建议和审计决定要点；以前年度外部审计发现的重大调整事项；以前年度风险评价类项目识别的重大风险；以前年度相关审计信息所反映的重大问题；以前年度的其他有关重要事项。经济责任审计项目应重点关注的内容：被审计单位负责人基本情况：负责人的任职时间、任期目标、任期工作表现、职工中的口碑、任期内工作职责及完成情况等个人基本情况。建设项目审计项目应重点关注的内容：建设项目的基本情况：工程项目性质、类别、规模、承建方式等情况；工程材料的供应方式；工程价款结算情况；工程项目预算、结算、决算已审核情况及审核结果的处理；工程项目现场施工条件；建设期内工程预算定额、预算单价、取费标准等的变化情况。（3）【审前调查成果书面记录清晰】审计人员应编写审前调查记录，作为编制审计实施方案，确定审计重点，分配审计资源的重要依据。审前调查记录需要包括以下要素：－审前调查的范围和起讫时间；－审前调查方式及内容；－被审计单位经营管理基本情况和以前年度相关审计情况；－审计过程中的重点关注事项及应对建议；－对于确定重要性水平、评估审计风险的初步建议。2.2.2.5编制审计实施方案（1）【审计实施方案的内容完整】审计实施方案需要包括下列基本内容：被审计单位的名称和基本情况；审计目的；重要性水平的确定和审计风险的评估；审计的范围、内容、重点；详细的审计程序和方法；预定的审计工作起止时间；审计组长、审计组成员及其分工；编制的日期；其他有关内容。（2）【审计实施方案应科学、合理并具有可操作性】审计目标应满足管理层、业务部门对审计项目的要求。审计目标应考虑被审计单位的有关情况以确保目标的可行性和恰当性。需要在确定重要性水平和评估审计风险的基础上制定审计实施方案，计算和评估过程需要以书面的形式进行记录，作为审计实施方案的支持性文档。审计范围明确，审计重点需要充分体现确定的重要性水平和风险评估结果。通过实施程序应可以达到设定的审计目标；审计程序应适合各类审计事项的具体情况；审计程序需要重点突出，与确定的重要性水平和审计风险评估结果相匹配。时间计划合理，人员分工恰当。审计实施方案的语言应清晰，易于理解。（3）【审计实施方案经过恰当的复核】审计组长编制审计实施方案，提交项目负责人审核，并报内审机构负责人批准。2.2.2.6项目审计计划和审计实施方案的调整（1）【关注需要调整项目审计计划或审计实施方案的情况】原项目审计计划或审计实施方案不能适应管理层或内审机构的新增或变更的要求；审计组对被审计单位内部控制测评后，认为需要调整审计重点、步骤和方法；审计组关键审计人员的变动足以对审计工作的开展造成重大影响；预定审计工作复杂程度出现高估和低估，对原定预算和人员分工造成重大影响；审计中发现重大违法案件线索、收到群众举报，以及遇到其他新情况、新问题，需要改变审计内容和审计重点的；审计范围受到限制，不能正常开展审计工作的；其他一些突发情况。（2）【项目审计计划或审计实施方案调整获得恰当的记录和审批】审计组长负责记录项目审计计划的调整情况，并经内审机构负责人的审批。审计组长负责记录审计实施方案的调整情况，经项目负责人批准后，报内审机构分管负责人批准；如涉及审计目标、范围、时间计划等重大调整，应报内审机构最高负责人批准。2.2.3质量保障措施2.2.3.1审计人员调用程序（1）【总部对省公司审计人员调用】总部依据年度内审项目计划对各省公司内审人员进行统一调用，程序遵照《中国通信集团公司双重管理暂行办法》规定。（2）【省公司审计人员内部调用】由项目负责人向省公司内审机构负责人提出书面调用申请。内审机构负责人基于下列因素，确定调用方案：－内审机构审计项目计划安排和可调配的审计资源情况；－优先考虑高风险、重点审计项目的审计人员配置需求；－优先考虑总部下达的年度审计项目的审计人员配置需求；－必要时，可以对年度审计计划的开展时间和计划开展时间按规定的程序进行调整，保证参与审计项目的总人工作日达到计划的水平。2.2.3.2外部专家服务管理程序 （1）【外部专家的选择】当审计项目涉及特定问题时，由项目负责人判断是否需要引入外部专家服务，报内审机构负责人审批，并具体负责对外部专家的选择、聘用和评估进行过程监控。外部专家可由内审机构从公司外部聘请，也可在公司内部借调。外部专家拥有某一学科或领域的专门知识、技能和经验。当项目负责人希望应用并依赖外部专家提供服务时，应根据开展审计业务的需要对外部专家的胜任能力和独立性进行评估。对外部专家胜任能力的评估包括：-专业证明、执照和其他认可外部专家在相关学科能力的证明；-外部专家的声誉（相关调查工作包括与熟悉该外部专家工作的其他人员进行联系）；-外部专家在要求提供服务领域的经验；-外部专家在与所涉及审计业务相关的学科接受的教育和培训；-外部专家对公司所在行业的知识和经验。对外部专家的独立性评估需要包括：-外部专家与被审计单位之间是否存在重大利益关系；-外部专家与被审计单位管理层重要人员是否存在私人关系；-外部专家与审计事项之间是否存在工作或服务关系；-其他可能影响独立性的因素。对外部专家的选择和服务评估可参考使用《附件1：外部专家选择与服务评价表》。（2）【外部专家的聘用】对于聘请外部专家，应根据公司相关规定履行必要的审批手续，并需根据公司规定与外部专家签订书面协议，主要内容包括：－外部专家服务的目的、范围及相关责任；－外部专家服务结果的预定用途以及知识产权；－在审计报告中可能提及外部专家的情形；－外部专家利用相关资料的范围；－报酬及其支付方式；－对保密性的要求；－违约责任。（3）【外部专家服务的评估】当外部专家服务结果作为审计证据时，项目负责人负责评价外部专家选用的假设和方法的适当性，所用资料的充分性、相关性和可靠性。2.2.3.3★项目工时管理机制内审机构可建立项目工时管理制度。在审计准备阶段，明确完成单项审计项目所需的总工时。在审计项目实施阶段，审计组长应要求审计人员定期填写工时管理表。该表格应当细化具体工作内容并要求审计人员将具体花费时间如实填写。审计组长在项目结束后汇总工时管理表，比对实际项目工时记录与计划工时来评估人工预算的合理性并为其后的审计实施方案提供参考。2.2.3.4审计组审前沟通培训 在进行现场审计前，项目负责人负责组织审计组全体成员召开审前沟通会或审前培训。审前沟通的主要内容包括：项目背景信息、审计实施方案详解、审计人员工作分工、需要重点关注的问题、例外事项处理、项目管理要求和沟通协调机制。2.2.4技术与工具2.2.4.1审计风险评估内部审计的审计风险是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险评估的目的在于把有限的审计资源恰当地分配到低风险和高风险领域，从而以最合理的资源投入，得出最正确的审计结论，承受最低的审计风险。审计风险由重大差异或缺陷风险和检查风险组成。重大差异或缺陷风险，是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性；检查风险，是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。两者的关系为：审计风险＝重大差异或缺陷风险×检查风险重大差异或缺陷风险对检查风险有直接影响。重大差异或缺陷风险水平越高，审计人员就应实施更为详细的检查程序，以便将检查风险降低至可接受的水平。内部审计人员应当合理运用专业判断评估重大差异或缺陷风险，考虑的因素包括管理层的品德和能力、管理层遭受的异常压力、重要岗位人员的变动情况、经营活动的复杂性、影响被审计单位的环境因素、容易受损失或被挪用的资产、经营活动中运用估计和判断的程度以及内部控制设计及执行情况的预估等。可采取以下几种基本方法进行重大差异或缺陷风险和检查风险的评估：（1）定性风险评估法该方法适用于所有审计项目类型。定性风险评价是指通过观察、调查与分析，审计人员借助于经验、专业标准和判断等对审计风险进行定性评估的方法。（2）风险因素分析法该方法适用于所有审计项目类型。风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。其一般思路是：调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。（3）分析性复核该方法适用于财务审计项目、经济责任审计项目等与财务数据相关的审计项目。分析性复核是以财务资料及非财务资料之间的表面关系或可预测关系，评估财务信息，分析财务信息中包含的审计风险。分析性复核程序通常经历几个步骤：确定要执行的计算及比较——估计合理预期值——执行计算及比较实际数据与合理预期——分析数据及确认异常——评估审计风险。其中，关键的一步是估计合理预期值。通常，可以采用四种方法估计合理预期值：一是进行同业分析，找到行业平均数和竞争者数据；二是进行纵向分析，将被审计期间前后若干年度的财务数据进行比较，可采用简单移动平均法、指数平滑法；三是财务数据与非财务数据进行比较分析，可采用结构化分析性程序；四是财务数据之间的比较分析，可采用Benford定律分析法。（4）控制测试该方法适用于财务审计项目、经济责任审计项目等需要考虑内部控制因素的审计项目。控制测试是指对被审计单位内部控制的设计与运行有效性进行测试。测试的方法包括询问、审阅证据、实地观察、重复执行等。通过控制测试，审计人员据以评估因内部控制产生的相关风险。在审计风险评估时，可参考使用《附件2：审计风险评估表》。2.2.4.2审计重要性水平的确定审计重要性水平是指被审计单位经营活动及内部控制中存在偏离特定目标的差异或缺陷的严重程度，这一程度的差异或缺陷在特定环境下可能会影响管理层的判断或决策以及组织目标的实现。在确定重要性水平时，应考虑其与审计风险之间的关系。重要性和审计风险之间存在反向关系，重要性水平越低，审计风险越高。同时，重要性水平的高低会影响审计工作量。重要性水平越低，所需的审计证据越多，审计工作量也越大。审计人员应当保持应有的职业谨慎，依照重要性水平来确定所应收集的审计证据的数量。（1）财务审计类项目重要性水平的确定重要性水平的表现形式是金额额度。对于集团下属不同类型的被审计单位，应选取合理的判断基础和比率来确定重要水平。内部审计人员应当合理选用重要性标准的判断基础，采用固定比率、变动比率等确定重要性标准量。判断基础通常包括经营活动的业务量、业务的复杂性、内部控制的执行频率、资产总额、收入总额等。在确定重要性水平时，可参考下表，并将重要性水平的确定过程进行书面记录：判断基础非常敏感敏感不敏感税前净利润5％5％－10％10％收入总额0.5％0.5％－2％2％资产总额0.5％0.5％－1％1％流动资金1％1％－2％2％权益（净资产）1％1％－2％2％注： 1.对于出现持续经营问题的被审计单位，可选用“流动资金”作为重要性水平的判断基础。2.对于利润比较稳定、回报率较为合理的被审计单位，可选用“税前净利润”作为重要性水平的判断基础。3.非常敏感、敏感和不敏感是指审计报告使用者对审计事项的敏感程度。在确定财务审计类重要性水平时，可参考使用《附件3：审计重要性水平计算工具》。（2）非财务审计类项目重要性水平的确定内部审计人员可以根据审计项目的目标与性质从“目标与运营”、“声誉”、“安全健康环保”等维度确定审计项目的重要性水平。在确定重要性水平时，可参考下表，并将重要性水平的确定过程进行书面记录：判断基础非常敏感敏感不敏感目标与运营对公司经营目标和日常运营有较小影响如：影响公司某几个非重要管理类目标；对公司整体运营有较小影响，短期内需付出一定代价恢复。对公司经营目标和日常运营有中等影响如：影响公司某一个重要管理类目标；对公司整体运营有中等影响，一定时间内需付出一定代价恢复。对公司经营目标和日常运营有较大影响如：影响公司某几个重要管理类目标；对公司整体运营有较大影响，较长时间内需付出一定代价恢复。声誉给公司造成较小影响，短期内需付出一定代价恢复给公司造成中等影响，一定时间内需付出一定代价恢复给公司造成较大影响，较长时间内需付出一定代价恢复安全健康环保影响极少数职工/公众健康/安全影响少数职工/公众健康/安全影响部分职工/公众健康/安全2.3审计实施2.3.1定义审计实施主要指审计人员根据审计实施方案，进行审计信息的收集和整理，对这些信息进行审阅、分析、评价和记录，并与被审计单位沟通审计结果的过程。被审计单位对提供的所有材料的真实性和完整性负责；审计人员对审计证据收集、汇总、分析、记录的相关性、可靠性以及审计作业底稿的真实性、完整性、规范性负责；审计组长对审计证据的充分性、可用性以及审计作业底稿的整体质量和审计结论的充分性和可靠性负责。在审计实施过程中，审计项目负责人应对审计作业底稿进行必要的抽查，以审核和评价审计组的工作质量。2.3.2质量标准为实现审计目标，审计人员应收集、分析、评价和记录充分的信息。在审计实施过程中，审计人员应按照审计实施方案执行充分适当的审计程序；获得的审计证据，应当具备充分性、相关性、可靠性和合法性；编制的审计作业底稿，应当要素齐全，内容完整，结论充分，简明扼要，并经过复核和规范索引；审计快报应充分反映审计开展实际情况和存在问题；审计发现经过审核并同被审计单位业务负责人进行正式书面沟通，有异议应进行妥善处理。2.3.2.1实施审计程序【审计实施中执行的审计程序是充分的】审计人员严格按照审计实施方案中的要求执行所有的审计程序，未存在遗漏。审计实施过程中，当发现如下重大事项时，审计人员追加进行了足够的审计程序以支持审计结论。－审计方案所确定的审计目标、审计内容和审计重点等发生调整、补充和变更；－审计方案实施中发现的重大违法违规问题线索或者涉嫌犯罪案件线索等、收到群众举报，以及遇到其他新情况、新问题，需要改变审计内容和审计重点的；－出现新的审计领域而现有审计人员缺乏专业胜任能力。【实施审计程序的方式是恰当合理的】实施审计程序时应当根据审计项目的类型以及潜在差异或缺陷的性质及风险，采取必要的审计方式，如检查、监盘、观察、查询、函证、计算、分析性复核等。－运用检查方法时，应当取得与审计事项相关的会计资料、业务记录、系统数据、会议记录、文件、合同等资料，以及审计人员编制的汇总表、调节表、分析表等材料；－运用监盘方法时，应当编制实物资产盘点清单，并由审计人员和被审计单位有关人员签名；－运用观察方法时，应当编制观察记录，注明观察的事项、内容和结果等情况；－运用查询方法时，应当取得被查询的单位或者个人的书面答复材料或者口头答复记录，并注明查询事项、内容、方式和查询结果等情况；－运用函证方法时，应当取得被函证单位或者个人的回函，编制函证记录，注明函证事项、范围和回函结果等情况；－运用计算方法时，应当编制计算表或者计算工作记录，注明计算的事项、所依据的相关数据、计算的方法和结果等；－运用分析性复核方法时，应当编制对比分析表、比率分析表或趋势变动表等，分析和说明异常变动项目、重要比率或者趋势与预期数额和相关信息的差异情况。－当采用询问、观察和分析性复核等程序时，审计人员还应获取其他类型的佐证证据。2.3.2.2获取审计证据 审计证据，是指内部审计人员在从事审计活动中，通过实施审计程序所获取的，用以证实审计事项，作出审计结论和建议的依据。审计证据包括书面证据、实物证据、视听电子证据、口头证据、鉴定结论和勘验笔录及其他证据。【审计证据的形式符合相关规定】审计人员取得书面审计证据，应当由证据提供者签名或者盖章；审计人员认为无需取得或不能取得提供者签名或者盖章的，应当注明原因。不能取得签名或者盖章不影响事实存在的，该审计证据仍然有效。审计人员通过分析、计算取得的审计证据，应当列出所使用数据、事实的范围，并能够反映出清晰的计算、分析过程。审计人员在收集实物证据时，应当注明实物的所有权人、数量、存放地点、存放方式和实物证据提供者等情况。审计人员在收集视听资料或者电子数据资料时，应当注明制作方法、制作时间、制作人和电子数据资料的运行环境、系统以及存放地点、存放方式等情况。审计人员在收集鉴定结论和勘验笔录时，应当注明鉴定或者勘验的事项、向鉴定人或者勘验人提交的相关材料、鉴定人或者勘验人资格等。【收集的审计证据是充分的、相关的、可靠的和有用的】审计证据的充分性控制：审计证据数量足以证实审计事项，作出审计结论和建议。审计证据的相关性控制：审计证据所反映的内容能够支持审计结论和建议，并与审计目标相一致。审计证据的可靠性控制：审计证据通过适当的技术获得，能够反映审计事项的客观事实。审计证据的有用性控制：审计证据支持的审计结论和建议有助于公司实现业务目标。2.3.2.3编制审计作业底稿审计作业底稿，是指审计人员按照审计程序和方法，在实施审计过程中形成的与审计事项有关的工作记录。审计作业底稿应当真实、完整地反映审计组实施审计的全部过程，并记录与审计结论或者审计查出问题有关的所有事项，以及审计组成员的专业判断及其依据。【审计作业底稿要素齐全、内容完整】审计作业底稿应完整记录审计的程序步骤、审计发现、风险分析和相应的建议等内容。审计作业底稿应包括以下内容：被审计单位名称：应当以审计通知书中的主送单位名称为准。审计事项：指实施审计程序的对象的名称，如某一财务报表项目名称。会计期间或截止日：指审计内容所属运营、会计期间或时点。审计过程记录：包括实施审计程序的记录，审计测试记录，审计人员的判断、评价、处理意见和建议，以及审计人员讨论的记录等。审计结论：指经过审计，审计人员对审计事项所作出的评价结论或结果。编制人员姓名及编制日期：指实施审计项目并编制审计作业底稿的审计组员姓名及编制的时间。复核人员姓名及复核日期：指负责检查审计组员工作质量的人员实施复核后的签名及实施复核的时间。索引号及页次：指审计人员按照统一规则编制的审计作业底稿文档索引号。其他应说明的事项和证明材料：指审计组员根据审计工作需要，认为应当在审计工作底稿上予以记录的其他相关事项，以及必要的审计证明材料。【审计作业底稿结论充分、简明扼要】审计作业底稿的结论应充分可靠，确保实现审计实施方案确定的审计目标。审计作业底稿不应记录与审计事项无关的信息，避免不必要的细节和冗长的文字描述。【审计作业底稿经过规范的索引】审计人员按照内审部门统一制定的审计作业底稿和审计报告的索引编制规则，在编制审计作业底稿时应注明索引号。相关工作底稿之间如存在勾稽关系应予以清晰反映，相互引用时应交叉注明索引号。审计证据应附在相应的审计作业底稿之后或单独保存，单独保存时应通过索引在底稿中加以注明。审计证据对应多个审计工作底稿时，应当将审计证据附在与其关系最密切的审计作业底稿后面，并在其他审计作业底稿上予以注明。（4）★各类审计项目工作底稿模板可以参见《附件4：审计项目工作底稿模板》。2.3.2.4★编制审计快报以及项目中期报告审计快报，是指审计组按照审计项目要求，定期向项目各级管理者提交的关于审计工作进度、初步审计发现或疑点、需要协调解决事项等情况的报告文件。审计快报一般由审计项目负责人根据审计工作计划的需要确定报告的周期，审计组长应按照确定的报告周期及时编写和报送。此外，审计组长需要按照公司管理层、上级内审部门或监管机构的要求，根据审计进展情况编写和提交审计项目的中期报告。如果存在下列情况时，审计组需要编制项目中期报告：审计项目在某一实地实施超过1个月以上；管理层、内审机构负责人需要定期获得项目进展情况。【审计快报应充分反映审计开展实际情况和存在问题】审计工作进度应说明现场审计工作按照审计实施方案是否顺利，以及滞后或提前的原因；及时报告初步审计发现或疑点，并在后期快报中说明确认情况；及时报告审计项目碰到的难以解决的事项等，如审计取证范围的限制；【项目中期报告应总结项目阶段性成果和问题】说明现场审计工作按照审计实施方案是否顺利，以及滞后或提前的原因。应系统总结项目阶段性成果，及时提示管理层或相关单位/部门应关注的事项。【项目中期报告获得恰当的审批】项目中期报告应经项目负责人和内审机构负责人审批后，提交报告需求者并交相关单位/部门参考。2.3.2.5形成和沟通审计发现审计发现指在审计工作中审计人员确定的需要纠正行动，以及与规范或可接受标准之间存在偏离的一些事项。一般描述以前或现在的错误，或者很可能发生的错误。审计组长按照审计实施方案完成必要的审计工作后，应书面形成初步的审计发现，经项目负责人审核后，向被审计单位业务负责人征求反馈意见。经济责任审计需要向被审计人和被审计人所在单位征求反馈意见。【审计发现要素齐全、内容完整】审计发现应包括以下一些内容：－背景：如有必要，简要描述经营活动所处的周围环境和情况的严重性；－标准：包括应实现或达到的目标及质量要求；－情况：通过询问、观察、分析、复核和调查所得到的事实；－原因：说明为什么存在偏离标准的偏差、目标为何没有实现以及目的为何没有达到；－影响：分析“将会怎么样”，可能导致的损失；－结论：是专业判断，指出纠正缺陷的成本将低于其带来的收益；－建议：提出潜在纠正行动的方式，应积极有效并尽可能详尽。【反馈意见的异议得到恰当的处理】被审计单位业务负责人对审计发现持有异议的，审计组应进行研究、核实，根据需要追加必要的审计工作或修改审计结果，并与被审计单位业务负责人进行再次沟通，形成正式的书面沟通记录。2.3.3质量保障措施2.3.3.1审计证据的分析、核实与记录（1）【审计证据的分析】审计人员在分析审计证据时，应当考虑下列基本因素，以确保审计证据的质量：－适当的抽样方法和技术：审计组应当根据可接受的审计风险水平确定审计证据的数量，并采取适当的抽样方法和技术，抽取足够数量（或全部）的审计证据。在确定抽样规则时，可参考使用<2.3.4.1审计抽样>中选取样本的规则。－合理的审计风险水平：应根据可以接受的审计风险水平，确定审计证据的数量。－成本与效益的合理程度：如果某些审计证据取得成本过高，在保证审计目标有效达成的前提下，审计组可转而用成本较低的替代取证策略，收集“次优”证据或者佐证、旁证以证明审计事项。－具体审计事项的重要程度：应当从数量和性质两个方面判断具体审计事项的重要性，以做出获取审计证据的决策。－审计证据的可获得性：内部审计人员应考虑审计证据信息生成或储存方式的影响并适时获取。－审计证据的可靠程度：应优先选择具有更高可靠程度的审计证据；文字记录、事项说明等审计人员自制的证据，必须在原始证据的基础上，实事求是地反映审计事项的原貌；对于审计人员在原始资料基础上通过计算、分析、汇总取得的审计证据，应确保与原始数据保持一致。（2）【审计证据的核实】审计人员可聘请其他专业机构或人士对审计项目的某些特殊问题进行鉴定，以鉴定结论作为审计证据，审计人员应对引用该证据的可靠性负责。对于被审计单位存有异议的审计证据，审计人员应作进一步核实。在评价审计证据时，应当考虑证据之间的相互印证及证据来源的可靠程度。（3）【审计证据的记录】审计人员应将获取审计证据的名称、来源、内容、时间等清晰、完整地记录在工作底稿中。审计人员应作好审计证据的分类、筛选和汇总工作，保证已获取审计证据的充分性、相关性和可靠性。2.3.3.2审计现场的沟通与协调（1）【审计组内部的协调、沟通】建立审计组内部的经常性沟通机制和信息共享机制；审计组长应跟进审计组员的工作进度和工作成果；建议在审计现场定期召开沟通会议，对工作计划及审计中发现的问题进行讨论。在同一审计项目中存在多个审计小组，在多个地点开展现场审计的项目，可设置综合协调员或小组，明确各审计小组定期（如每周或每日）上报审计进度机制，综合协调员/小组及时汇总、协调沟通和反馈各小组审计过程中获得的信息和发现的问题。（2）【审计组与被审计单位及外部人员的沟通】审计组要求被审计单位设立审计项目的工作联系人，负责组织实施配合审计的相关工作；就调查特殊领域的专业问题或重大案件线索等，审计组可寻求有关部门或专家的帮助，接受其他人员和单位向审计组反馈信息和举报等。2.3.3.3审计作业底稿的审核和索引【审计作业底稿经过复核并进行记录】审计组长及项目负责人应当对审计作业底稿进行两级复核，以确保审计作业底稿质量。详细复核审计组长或者其委托的有资格的审计人员对审计作业底稿及其所附审计证据进行复核时，应执行详细复核，包括完整性和准确性复核。完整性复核－审核审计作业底稿的各项要素是否齐备，有无缺项、漏填之处。准确性复核－审查工作底稿的文字记录，反映的事实是否内容清楚、条理清晰、用词恰当，适用法律、法规、规章是否正确；－审查审计工作底稿所附审计证据，审查审计证据的可靠性、相关性、充分性、合规性是否能够支持审计作业底稿中记载的事项和当事人行为，时间、地点是否准确无误，数据的统计和计算方法是否科学合理、金额是否正确无误，是否能够据以形成工作底稿中的审计结论。底稿改进如果发现审计作业底稿存在问题，审计组长应在复核意见中加以说明，并要求相关审计组员补充审计工作，修订审计作业底稿。修订后的审计作业底稿应由原复核人员再次进行复核。重点复核项目负责人在审计组长复核的基础上，应对审计作业底稿中重要审计程序的执行、审计结论等进行重点复核。若审计组长与审计项目负责人是同一人，应由其上一级负责人（非内审机构最高负责人）或其他管理人员审核。复核结果记录复核人员应当将复核的结论写入复核意见，并签署姓名和复核日期（复核意见模板可以参考使用《附件5：审计作业底稿复核模板》）。复核无误后的审计作业底稿不得增删或修改。审计人员根据复核意见检查审计工作底稿，确有需要改动，应当另行编制审计作业底稿，并作出书面说明。复核时间要求审计作业底稿的两级复核应在审计报告出具之前完成。★建议对审计作业底稿的一级复核在现场审计时进行，对审计作业底稿分期分批进行复核。2.3.4技术与工具2.3.4.1审计抽样审计抽样，是指内部审计人员在内部审计活动中，采用适当的抽样方法从被审查和评价的审计总体中抽取一定数量有代表性的样本进行测试，以样本审查结果推断总体特征并作出相应结论的过程。在设计审计程序时，审计人员应当确定选取测试项目的适当方法，可以使用的方法，包括选取全部项目、选取特定项目和审计抽样。审计人员可以根据与审计风险和审计效率的要求，单独或综合使用选取测试项目的方法，以获取充分、适当的审计证据，实现审计程序的目标。（1）【选取全部项目】选取全部项目是指对总体中的全部项目进行检查。当存在下列情形之一时，审计人员应当考虑选取全部项目进行测试:总体由少量的大额项目构成。存在特别风险且其他方法未提供充分、适当的审计证据。存在特别风险的项目主要包括：－管理层高度参与的，或错报可能性较大的交易事项或账户余额；－非常规的交易事项；－可疑的或非正常的项目，或明显不规范的项目；－以前发生过错误的项目；－期末人为调整的项目；－其他存在特别风险的项目。信息系统自动执行的计算或其他程序。由于具有重复性，审计人员可运用计算机辅助审计技术选取全部项目进行测试。（2）【选取特定项目】选取特定项目是指对总体中的特定项目进行针对性测试。根据对被审计单位的了解、评估的重大错报风险以及所测试总体的特征等，审计人员可以确定从总体中选取特定项目进行测试。与审计抽样不同，选取特定项目进行测试不能根据所测试项目中发现的误差推断审计对象总体的误差。选取的特定项目可能包括：大额或关键项目；超过某一金额的全部项目；被用于获取某些信息的项目；被用于测试控制活动的项目。（3）【审计抽样】审计人员应当根据具体情况并运用职业判断，确定使用统计抽样或非统计抽样（判断抽样）方法，以最有效率地获取审计证据。审计抽样有如下步骤：样本设计，旨在根据测试的目标和抽样总体，制定选取样本的计划。确定测试目标；定义总体与抽样单元；定义误差构成条件。确定抽样技术和抽样方法确定样本，旨在按照适当的方法从相应的抽样总体中选取所需的样本。确定样本规模；选取样本A.符合性测试的抽样规则表一、固定频率控制活动样本量执行频率最低样本量要求每年1个每半年1个每季度1个每月2个每周5个每日15个每日多次25个表二、非固定执行频率控制活动样本量预计每年发生次数最低样本量要求1－21个3－61个7－152个16－505个51－25015个>25025个B.实质性测试的样本规模表可容忍错报占总体的百分比*50301086543210．5可接受误差风险预计错报占可容忍错报的百分比样本规模5%0%610303850607510015030060010%812374661739112118236472720%10164658779211515423046092030%12206075100120150200300600120040%162781101135162202269404807161450%23391161441922312883845761152230410%0%5823293946587711523046020%712344357688511316933867530%9154454728710814421643186240%1219577295114143190285570114050%162780100133160200266399798159630%0%341215202430406012024020%461620273240548016031940%5824304048608011923947660%9144353718510614221242484850%0%237912141823356913820%2391115182229448717340%341215202329395811523060%4618222935435886173345*假设已根据预计错报额对可容忍错报进行调整。资料来源：AICPAAuditandAccountingGuide:AuditSampling(2005)实施审计程序，评价样本结果，旨在根据对误差的性质和原因的分析，将样本结果推至总体，形成对总体的结论。分析样本误差；推断总体误差；形成审计结论。审计人员应当评价样本结果，以确定对总体相关特征的评估是否得到证实或需要修正。2.3.4.2分析性复核审计程序分析性复核，是指内部审计人员通过分析和比较信息之间的关系或计算相关的比率，以确定审计重点、获取审计证据和支持审计结论的一种审计方法。（1）【定义、假设及目的】定义：分析性复核审计程序研究并比较财务信息之间、非财务信息之间以及财务信息和非财务信息之间的关系。假设：可以合理期望信息之间的关系保持一致性。目的：分析性复核审计程序为审计人员提供了评价审计过程中收集的信息的迅速有效的手段。通过将收集的信息和审计人员发现或开发的期望值相比较，可以得出评价结果。（2）【使用范围】审计人员应该在收集和检查信息时应用分析性复核审计程序。主要用于发现：－意外差异；－期望的差异没有出现；－潜在的错误；－潜在的不合规或违法行为；－其他异常或不重复发生的交易或事件。（3）【包括的内容】分析性复核审计程序可以包括以下内容：－将目前阶段的信息与前些阶段的类似信息进行比较；－将目前阶段的信息与预算或预测进行比较；－研究财务信息与合适的非财务信息之间的关系(如：将所记录的工资开支与雇员平均人数的变化进行比较)；－研究信息组成因素之间的关系(如：将所记录的利息开支的浮动与相关债务余额变化进行比较)；－将该部门信息与机构其他部门的类似信息进行比较；－将该机构信息与机构所在行业的类似信息进行比较。（3）【使用方法】可以通过应用货币金额、实物数量、比率或百分比来开展分析性复核审计程序。具体使用的方法有：－比率分析－趋势分析－回归分析（4）【考虑因素】审计人员在确定在多大程度上应用分析性复核审计程序时应该考虑下述因素：－被审计领域的重要性；－内部控制系统的充分性；－财务和非财务信息的可获得性和可靠性；－预测分析性复核审计程序结果的准确度；－机构所在行业有关信息的可获得性和可比性；－其他审计程序为审计结果提供支持的程度。在评价这些因素以后，内部审计师应该考虑应用其他必要的审计程序来实现审计目标。（5）【结果评价】当分析性复核审计程序发现意外结果或关系时，审计人员应该检查并评价这些结果或关系。检查和评价包括对管理人员进行问询，并应用其他审计程序，直到审计人员相信这些结果或关系得到充分的解释。如果此类结果或关系无法得到解释，则表明存在潜在错误、不合规现象或违法行为等严重情形。审计人员应该将这些通过分析性复核审计程序发现的、无法得到充分解释的结果或关系通报给合适层次的管理人员。审计人员可以根据情况，建议该管理人员采取恰当的措施。2.4审计报告2.4.1定义审计报告是指内审部门根据项目审计计划对被审计单位完成必要的审计工作后，就被审计单位经营情况和被审计内部控制等事项的真实性、适当性、合法性和有效性出具书面文件，向公司管理层、上级内审部门或监管机构等汇报审计结果，以及与相关部门沟通审计结果的过程。审计组长对审计报告的真实性、完整性、准确性、规范性负责。项目负责人对审计报告总体结论的准确性和恰当性负责。内审机构负责人对审计报告的总体质量和有效发布负管理责任。2.4.2质量标准2.4.2.1汇总审计发现（1）【审计发现问题分类合理，定性准确】在草拟审计报告前，审计组长应组织审计人员对审计作业底稿内容进行整理，将发现问题予以归纳和分类，编制“审计发现问题汇总表”（审计发现问题汇总表模板可以参考使用《附件7：审计发现汇总表》）。审计组长根据重要性水平评估“审计发现问题汇总表”上归纳的审计发现是否应列入审计报告，报审计项目负责人审批确定。“审计发现问题汇总表”需要作为审计工作底稿进行归档。2.4.2.2编写审计报告审计报告应当准确、客观、清晰、简洁、富有建设性、完整和及时。具体如下：（1）【审计报告内容完整】内部审计项目报告一般需包含下列内容：审计报告需要包括标题、收件人、正文、附件、内审部门签章、报告日期等基本要素。审计报告正文一般应包括以下基本内容：－审计概况：审计概况应包含项目背景情况、项目目标与范围、审计重点和审计标准、审计依据等项目总体情况。－审计结论：根据已查明的事实，运用专业判断，并考虑重要性水平、可接受的审计风险、审计发现问题的数额大小、性质和情节等因素，对被审计单位经营情况和内部控制做出的评价。－审计决定或审计建议：内审机构在职权范围内，针对审计发现的问题提出的改进建议或责任追究建议。审计报告附件一般包括以下内容：－对审计过程与审计发现问题的具体说明；－被审计单位的书面反馈意见等；－需要提供解释和说明的其它内容。（2）【审计报告内容准确、客观】准确是指审计报告应没有错误和歪曲，忠于相关事实。客观是指审计报告应该公正地对所有相关事实和情况统筹评估、不偏不倚地反映审计事项。审计结论应建立在审计依据基础上。（3）【审计报告的文字清晰、简洁】审计报告文字应符合逻辑、措辞得体，严谨细致，并避免遗漏重要的审计信息。审计报告文字应平实易懂，避免使用不必要的专业名词和术语。审计报告文字应突出重点、简明扼要，避免不必要的阐述、细节和冗余信息。（4）【审计报告应富有建设性】审计报告应对被审计单位经营活动和内部控制的缺陷提出描述具体、切实可行的改进建议，促进公司战略目标的实现。（5）【审计报告应及时发出】审计组应按照审计计划和审计客户的需求，根据事项的重要程度适时快速地提供报告，以便于被审计单位及时采取适当的纠正措施。★建议对于非经济责任审计项目，在现场结束3个月内下发审计报告；经济责任审计项目，在现场结束6个月内下发审计报告。（6）★各类审计报告模板可以参考使用《附件6：审计报告模板》。2.4.2.3★编写项目总结报告（1）【项目总结报告内容完整】审计组长需要按照公司管理层、上级内审部门或监管机构的要求，并考虑相关部门的需求，根据审计结果编写和提交项目总结报告。建议项目总结报告包含以下内容：－项目开展情况概述－被审计单位管理经验总结－共性审计发现和高风险问题－需要提请相关单位/部门关注的事项－项目管理经验总结(可选)－其他项目后续跟进事项项目总结报告应分析审计工作结果，为制定后期内审工作计划提供依据。（2）【项目总结报告获得恰当的审批】项目总结报告需要经项目负责人和内审机构负责人审批后，提交报告需求者。2.4.2.4审计工作底稿归档审计组长负责组织审计人员按照《内部审计工作档案管理办法》的要求，将审计项目材料及时进行整理和归档。2.4.2.5例外事项的处理（1）【准确记录存在争议的问题】如果审计组与被审计单位对于审计结果存在意见分歧，补充收集证据进行确认后，分歧依然存在时，审计报告需要说明分歧的具体情况和原因。被审计单位的书面意见可以作为附录收进审计报告，也可以直接在报告主干部分得到表述。（2）【正确处理管理层对风险的接受】当内审机构认为被审计单位管理层接受了公司整体可能无法接受的剩余风险水平时，需要与被审计单位管理层进行讨论。如果仍无法决定剩余风险问题，内审机构负责人需将此问题报告给上级主管机构解决。（3）【审计报告的差错更正及时】如果发布的审计报告存在非故意性的错误说明或重要信息的遗漏，项目负责人需要考虑发布修正报告的必要性，修正报告中需要指出被修改的资料；修正的审计报告需要经内审机构负责人审批后，发送给所有接收最初审计报告的人员。2.4.3质量保障措施2.4.3.1审计报告的复核程序审计报告需要执行三级复核制度，由审计组长、项目负责人和内审机构负责人复核，具体复核内容请参见3.审计项目督导部分。2.4.3.2★征求被审计单位意见的程序（1）【征求意见的形式恰当】经复核的审计报告在发出前，可根据需要，征求被审计单位的意见。征求意见应以书面形式进行，并要求被审计单位在规定时限内以书面形式回复。（2）【反馈意见及时获得处理】被审计单位若未在规定时间内提供反馈意见视同无异议，需要由审计人员予以注明。项目负责人应对被审计单位的反馈意见进行评估，并视情况对审计报告进行必要的修改或进一步收集证据进行确认。（3）【视需要征求相关业务主管部门的意见】如果审计报告内容与相关业务主管部门密切相关，可以书面的形式向相关业务主管部门征求意见。项目负责人对业务主管部门的反馈意见进行评估，并视情况对审计报告进行必要的修改或进一步收集证据进行确认。2.4.3.3对争议问题的沟通与核实机制审计组应对被审计单位的反馈意见逐条核实。对于存在异议的事项，审计组长负责重新检查审计工作底稿和所附审计证据，对确因证据不足的情况，需要及时采取补充完善审计证据。对于难以取得充分适当的审计证据的情况，审计组长需要果断取舍相关问题，或调整其在审计报告中的问题，如将其转至“其他需要说明的事项”，或者采取审计快报、请示、专项报告的形式向内审机构负责人和公司管理层反映。如果被审计单位对审计报告无异议，但强调某些客观理由或自身困难，建议审计组按照事实求事的原则进行分析，认为确应考虑实际情况的，可相应调整报告或进行书面补充说明，向内审机构负责人和公司管理层反映。2.4.3.4审计报告的签发程序审计报告需要提交内审机构负责人签发。审计报告签发后，内审机构应将审计报告提交被审计单位和公司适当的管理层和相关业务部门，并要求被审计单位在规定的期限内落实纠正措施。2.4.3.5整改情况反馈机制（1）被审计单位及时反馈整改情况★内审机构可要求被审计单位在承诺整改期满后将审计发现问题整改情况及有关资料书面反馈给审计项目主管内审机构或其委托的内审机构。被审计单位提交的落实整改工作书面反馈应包括以下内容：对审计意见、建议的落实整改情况；已经采取和将要采取的纠正措施及时间安排、负责人员；未能整改的原因；其他需要说明的情况。凡回复已经整改的，建议要求附报有关资料，如属于要求制定或修订相关规定的、办法的，要附有已制定或修订的规定、方法；属于要求调整账务的，要附有调整账务的凭证。（2）对被审计单位书面反馈的利用内审机构应认真研究分析被审计单位的书面反馈和有关资料，通过电话或面谈方式核对有关情况，为合理制定审计跟进计划提供依据。当被审计单位基于成本或其他考虑，决定对审计发现的问题不采取纠正措施，并做出书面承诺愿意承担相关责任时，内审机构应对风险进行分析评估，如内审机构认为被审计单位接受了公司整体可能无法接受的剩余风险水平时，需要与被审计单位管理层进行讨论。如果仍无法决定剩余风险问题，内审机构负责人需将此问题报告给上级主管机构解决。2.5审计跟进2.5.1定义审计跟进，是指内审部门为检查被审计单位对审计发现、决定、意见和建议所采取的改正、落实措施及效果而实施的审计，也是对被审计单位执行审计结论情况进行监督和评价的过程。内审机构负责人应该建立并实施审计跟进制度，对审计结果的处理情况进行监督。被审计单位管理层的责任是对审计中发现的问题采取纠正措施。内部审计人员的责任是评价被审计单位管理层采取的纠正措施是否及时､合理､有效,并按照报告关系向适当的对象报告。2.5.2质量标准2.5.2.1审计跟进计划的制定（1）【年度审计跟进工作计划安排合理】各级内审机构应于年初对本年度审计跟进工作计划作出部署安排，包括：对上一年度具备审计跟进条件的审计项目进行全面梳理，对已开展审计跟进情况进行总结，对尚未完成或未实施审计跟进的项目进行统筹安排，纳入本年度计划一并考虑。对本年度具备审计跟进条件的审计项目进行审计跟进。（2）【非现场和现场审计跟进方式选择合理】非现场审计跟进：各级内审机构出于资源等方面的考虑，存在以下情况，可不单独执行审计项目的现场审计跟进，而将其作为下次审计的一部分。－审计结论中所列审计事项从性质上和金额上都不重要；－审计结论中的纠正措施简单明确，且整改所需要的时间少，或者内审机构负责人初步认定被审计单位管理层对审计发现的问题已采取了有效的纠正措施；－不采取纠正措施将产生的剩余风险低。现场审计跟进：存在以下情况时，均要对需实施现场审计跟进的各类审计结论的整改落实情况进行现场审计跟进:－审计结论中所列审计事项中存在违法违纪舞弊事件、可能会引起内部控制或财务报告产生重大错报风险的重要事项或特殊事项；－审计结论中的纠正措施复杂，且整改所需要的时间较长；－不采取纠正措施将产生的风险高。（3）【审计跟进期间确定合理】内部审计机构负责人应根据被审计单位的反馈意见，确定审计跟进的开始时间，直至审计人员确认期望的结果已实现或被审计单位愿意承担不整改所带来的风险与责任时结束。如果审计结论中未对纠正措施的期限明确规定，内审机构应当与被审计单位约定适当的期限（一般不超过6个月）。如审计结论中的某些纠正措施需要1年以上时间完成，内审机构则应安排审计跟进分年度实施计划，以全过程监督纠正措施的完成情况。2.5.2.2实施现场审计跟进（1）【现场审计跟进程序规范】实施现场审计跟进时，内审机构应编制审计跟进方案，并提交内审机构负责人批准后实施。审计跟进方案内容应包括：本次现场审计跟进的任务，需落实的原审计结论内容；审计步骤、方法；审计组成员分工等。在确定审计跟进范围时，应分析原有审计决定和建议是否仍然可行。如果被审计单位的内部控制或其他因素发生变化，使原有审计决定和建议不再适用时，应对其进行必要的修订。审计组应按照审计方案对被审计单位执行原审计结论的情况进行核实，现场审计跟进可采用访问、直接观察、测试和检查纠正措施的有关文件等方法。审计跟进应取得充分、适当的审计证据，形成完整的审计工作底稿，并与被审计单位进行审计结果沟通。审计跟进实施质量标准具体参见本手册“2.3审计实施”部分的要求。2.5.2.3编制审计跟进报告审计跟进报告的编制以及审计跟进结果的应用，具体参见<2.4.2.4编写项目总结报告>，并注意如下特点：（1）【审计跟进报告内容完整】审计跟进报告中可以简单回顾审计发现的问题及原来的审计结论与建议，但应重点说明问题是否已经解决，以及问题尚未解决的原因及其对组织的影响，并做出恰当的评价。审计跟进报告应包括以下内容：－原审计结论执行情况及效果；－未执行原审计结论的原因；－审计跟进结论、意见、建议。（2）【审计跟进结果得到充分应用】内审机构应将审计跟进结果提交被审计单位进行确认，并按照报告关系，向适当的对象如被审计单位管理层、内审机构所在公司管理层、董事会及相关部门提交审计跟进报告。内审机构应分析审计跟进工作结果，为制定后期内审工作计划提供依据。2.6外包审计项目质量控制2.6.1定义外包审计项目，是指将审计业务的主要部分或全部委托给外部机构实施的审计项目。由外部机构提供咨询服务、技术支持或部分人力支持的审计项目，作为自行实施的审计项目进行质量管理。外包机构对审计项目的质量控制工作和项目质量负责，委托单位对外包审计项目的质量负最终责任。2.6.2质量标准2.6.2.1外包机构的选择（1）【审计项目外包计划获得批准】内审机构在制定年度审计计划时，需要根据项目需求与资源配置，制定审计项目外包年度计划，明确外包类型与预算。对未列入审计项目外包年度计划而需要外包的项目，由内审机构提出申请。审计项目外包计划（年度和单项）需要经内审机构负责人和所在公司管理层批准。（2）【外包机构的选择符合要求】内审机构遵照公司相关采购要求择优选择外包机构。外包机构及参与项目实施的专业人员需要满足外包机构和人员资质和独立性管理程序的要求。（3）【与外包机构签订内容完整的审计外包业务合同】审计外包业务合同需要包括：－审计外包业务的内容和范围－双方权利和义务－服务和质量标准（包括但不限于各阶段提供服务的性质、范围、关注的主要内容、技术标准、提交的主要成果和完成日期）－费用结算标准－知识产权归属－审计工作底稿及审计接触文件资料的保管和移交－违约责任如涉及保密信息，需要在外包业务合同或者另行签订的保密协议中明确规定外包机构的保密义务和责任。2.6.2.2外包审计项目质量过程监控（1）【指定专门的负责人进行监控】内审机构需要指派专人作为审计外包项目负责人，负责项目全过程管理、协调及质量监督工作。项目负责人应具有公司内部审计专员资格。（2）【充分实施项目质量过程监控】在审计准备阶段，项目负责人需要对外包机构制定的项目实施方案进行审核，审核内容包括：－重要性水平确定和审计风险评估的合理性；－审计范围、内容和重点的适当性；－审计步骤和方法的可操作性；－时间安排的合理性；－审计分工的恰当性。在审计实施阶段，项目负责人需要对项目实施过程的质量进行持续性监控：－外包机构应当在项目开始时向项目负责人提交工作时间计划表及具体工作实施方案；－外包机构应当在根据项目计划提交访谈计划、访谈提纲等资料；需要抽取样本时，应当提交需求资料清单及需求日期；－外包机构定期向项目负责人提交工作进度报告，如工作日报、工作周报或阶段性工作小结等。例行工作报告应当包括汇报期间外部评估小组完成的工作内容、完成的工作成果、下一步工作安排、需要解决的问题等；－外包机构在项目执行过程中若发生与计划不符的情况，应当及时向项目负责人说明；－外包机构需要保证审计组成员专业与被审业务匹配且业务熟练；数量满足审计业务要求；成员保持相对稳定。在审计报告阶段，项目负责人需要对外包机构草拟的审计报告进行审核，审核内容包括：－审计实施方案确定的审计目标是否实现；－审计事项是否表述清楚；－审计工作底稿所附审计证据能否充分证明审计事项；－审计定性是否准确；－审计结论是否恰当；－审计建议是否切实可行；－审计组采纳（或不予采纳）被审计单位反馈意见对审计报告进行的修改（或不予修改）是否合理，审计组的书面说明是否有据。外包机构完成审计任务后，按照内部审计程序，由项目负责人负责后续问题跟进工作。2.6.2.3外包审计项目验收（1）【完备的项目成果验收程序】项目实施后，指定专门人员负责审核外包机构对项目实施方案的执行情况和审计成果，检查合同条款执行的完整性和充分性，并对咨询类项目出具书面验收意见。如果存在未能达到审计业务外包合同要求的，应要求外包机构进行跟进，必要时按照合同违约条款追究责任。2.6.2.4对外包机构的评估（1）【按照既定的程序实施评估】 内审机构需要按照外包机构服务质量评价程序，对外包机构提供的外包审计项目质量进行评估。（2）【合理使用评估结果】如外包机构服务质量评估结果不达标，应取消其两年内在本单位范围内承接审计项目的资格。2.6.2.5例外事项的处理内审机构需要对外包机构的履约能力进行持续监控评估，有确凿证据表明外包机构存在重大违约风险，可能导致审计项目外包合同无法履行的，应当依法尽快终止合同。如造成损失的，需要追究其法律责任。2.6.3质量保障措施2.6.3.1外包机构和人员资质、独立性和客观性管理程序（1）【外包机构的资质】聘请的社会中介机构需要满足下列条件：依法设立，能够独立享有民事法律权利、承担民事法律责任；具备与审计事项相适应的资质、等级，如具有独立执业资格的会计师事务所和工程造价咨询机构；社会信誉好，近三年未因业务质量问题和违法违规行为受到有关部门处理处罚。（2）【外包机构专业人员资质】参与项目实施的社会中介机构的专业人员需要满足下列条件：具有与审计事项相适应的专业技能和资格；从事相关专业工作两年以上；职业道德良好，近三年未受到有关部门处理处罚，未受到纪律处分或者行政处分。（3）【外包机构及其人员的独立性与客观性】聘请的社会中介机构及其参与项目的人员需要满足下列条件：机构及其人员与被审计单位之间不存在重大利益关系；机构及其人员与被审计单位管理层重要人员不存在重要的私人关系；机构及其人员与审计事项之间不存在工作或服务关系；不存在其他可能影响独立性和客观性的因素。（4）【聘请公司外部审计师特别事项】如需要聘请公司外部审计师协助开展内部审计工作，应按照公司相关规定履行相应的审批手续。2.6.3.2外包机构服务质量评价程序（1）【参与评估人员】建议包括项目负责人、内审机构负责人和被审计单位联络人。（2）【评价内容】外包机构服务质量评价可以从以下方面开展：外包机构的基本职业道德与执业水平：－专业人员整体素质和业务能力；－专业人员遵守职业道德和审计纪律的情况；－对委托方所在行业和开展业务的熟悉情况；－与外包审计项目同类型业务的实施经验。外包审计项目的技术质量：－对委托方审计项目质量规范的遵守；－与被审计单位就审计发现问题沟通的充分性；－对被审计单位的经营管理及委托方审计工作提供建设性意见的情况。外包审计项目的管理质量：－参与项目的人员的数量、资质和经验与合同约定的一致性；－项目人员的稳定性；－提交工作成果的时间与合同约定或项目计划的一致性；－履行保密义务的情况。对外包机构的评估可参考使用《附件8：外包机构服务评价表》2.6.4技术与工具2.6.4.1外包项目管理技术（1）外包项目成本估算技术成本估算是对完成项目活动所需资金进行近似估算的过程。使用成本估算技术可以协助公司评估外包机构报价的合理性。成本估算可以使用下列技术与工具：专家判断：影响成本估算的变量众多，如人工费率、材料成本、通货膨胀、风险因素和其他因素。通过借鉴历史信息，专家判断能对项目环境进行有价值的分析，并提供以往类似项目的相关信息。专家判断也可用来决定是否联合使用多种估算方法，以及如何协调这些方法之间的差异。类比估算：指以过去类似项目的参数值（如范围、成本、预算和持续时间等）为基础，来估算当前项目的同类参数或指标。这是一种粗略的估算方法，有时需根据项目复杂性方面的已知差异进行调整。参数估算：是指利用历史数据与其他变量（如项目计划投入的总人工工时数）之间的统计关系，来估算诸如成本、预算和持续时间等活动参数。参数估算可以针对整个项目或项目中的某个部分，并可与其他估算方法联合使用。卖方投标分析：在成本估算过程中，可能需要根据合格卖方的投标情况，来分析项目成本。在用竞争性招标选择卖方的项目中，评标方需要开展额外的成本估算工作，以审查各项可交付成果的价格，并计算出作为项目最终总成本的组成部分的各分项成本。（2）外包项目进度管理技术进度管