信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。

第三节信息技术外包安排

1.注册会计师应当实施与服务机构活动相关的下列程序：

（1）了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制；

（2）获取相关控制有效有效性的证据。

2.注册会计师可通过以下程序获取相关控制运行有效性的证据：

（1）了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告；

（2）测试被审计单位对服务机构活动的控制；

（3）对服务机构实施控制测试。

3.如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告，注册会计师应当评价该报告是否提供了充分、适当的证据。在评价时，应当考虑：

（1）对控制的测试涵盖的期间以及与管理层评估时点的关系；

（2）对控制的测试涵盖的范围、测试的控制及其与企业控制的关联度；

（3）对控制的测试结果，以及服务机构注册会计师对控制运行有效性发表的意见。

第六章审计工作底稿

第一节基本要求

一、编制目的

（一）直接目的

1.提供充分、适当的记录，作为审计报告的基础；

2.提供证据，证明已按准则规定执行了审计工作。

（二）其他目的

1.有助于计划和执行审计工作；

2.有助于监督指导、监督与复核责任的履行；

3.便于说明执行工作的情况；

4.保留对未来审计工作持续产生重大影响的事项的记录；

5.便于实施质量控制复核与检查；

6.便于监管机构和注册会计师协会实施执业质量检查。

二、编制要求

使未曾接触该项审计工作的有经验专业人士清楚地了解：

1.实施的审计程序的性质、时间安排和范围；

2.实施审计程序的结果和获取的审计证据；

3.就重大事项得出的结论以及作出的重大职业判断。

有经验专业人士，应当有审计实务经验并合理了解审计过程、法律法规和审计准则的规定、被审计单位所处的经营环境和与被审计单位所处行业相关的会计和审计问题。

三、控制目的

1.清晰地显示工作底稿生成、修改及复核的时间和人员；

2.在审计业务的所有阶段，保护信息的完整性和安全性；

3.防止未经授权改动审计工作底稿；

4.允许项目组和其他经授权的人员为适当履行职责而接触审计工作底稿。

不同形式之间可以相互转换，但转换前后两种形式均需保存。

四、通常不包括的内容

1.已被取代的审计工作底稿的草稿或财务报表的草稿；

2.反映不全面或初步思考的记录；

3.存在印刷错误或其他错误而作废的文本；

4.重复的文件、记录等。

提示：审计计划、重要性和风险评估等工作贯穿于审计过程的始终，需要不断完善与修改，应当保留修改的痕迹。

第二节编制要求

一、识别特征

标记识别特征是为了便于其他人员识别该项目或事项，并重新执行该测试。其他人员是指编制者以外的人员。例如：

1.项目合伙人、项目质量控制复核人根据识别特征有重点地选择工作底稿进行复核；

2.以后年度的审计项目组成员根据识别特征快捷地查找需要参照的工作底稿；

3.行业主管部门在监督质量时可以根据识别特征抽取所关注的工作底稿。

例如：

1.若仅以序列号进行编号，则可以直接将该号码作为识别特征。

2.对于需要选取或复核总体内一定金额以上[不唯一，但范围很小]的所有项目的审计程序，可能会以实施审计程序的范围作为识别特征。例如，选取总体14万元以上的特定项目进行测试，则“金额在14万元以上”就是识别特征。

3.对于需要询问被审计单位特定人员的审计程序，可能会以询问的时间、被询问人的姓名及职位作为识别特征。

4.对于需要系统抽样的审计程序，可能会通过记录样本的来源、抽样的起点及抽样间隔来识别已选取的样本。例如，若被审计单位对发运单顺序编号，测试的发运单的识别特征可以是，对4月1日至9月30日的发运台账，从第12345号发运单开始每隔125号系统抽取发运单。

5.对于观察程序，注册会计师可能会以观察的对象或观察过程、相关被观察人员及其各自的责任、观察的地点和时间作为识别特征。

二、重大事项底稿

1.引起特别风险的事项；

2.实施审计程序的结果表明财务信息可能存在重大错报，或需要修正以前对重大错报风险的评估和应对措施；

3.导致注册会计师难以实施必要审计程序的情形；

4.导致出具非标准审计报告的事项。

三、重大判断底稿

运用职业判断的程度是决定工作底稿格式、内容和范围的重要因素。与职业判断相关的底稿包括：

1.如果审计准则要求“应当考虑”某些信息或因素，并且这种考虑在特定业务情况下是重要的，记录得出结论的理由；

2.记录对某些方面主观判断的合理性（如某些重大会计估计的合理性）得出结论的基础。

3.如针对导致文件记录的真实性产生怀疑的情况实施了进一步调查，记录对这些文件记录真实性得出结论的基础。

四、审计程序底稿

记录已实施程序的性质、时间和范围时，应记录：

1.测试的具体项目或事项的识别特征；

2.审计工作的执行人员及完成审计工作的日期；

3.审计工作的复核人员及复核的日期和范围。

如果若干页底稿记录同一性质的具体审计程序或事项[如函证回函]，并且编制在同一个索引号中，可以仅在底稿的第一页上记录审计工作的执行人员和复核人员并注明日期。

第三节归档要求

一、归档的性质

在审计报告日后将审计工作底稿归整为最终审计档案是一项事务性的工作，不涉及实施新的审计程序或得出新的结论。

审计工作底稿归档具体包括：

1.删除或废弃被取代的审计工作底稿；

2.对审计工作底稿进行分类、整理和交叉索引；

3.对审计档案归整工作的完成核对表签字认可；

4.记录在审计报告日前获取的、与审计项目组相关成员进行讨论并取得一致意见的审计证据。

二、归档期限

1.如完成了审计工作，归档期限为审计报告日后60天内。

2.如未能完成审计业务，归档期限为中止后60天内。

3.如对客户的同一财务信息执行不同的委托业务，出具两个或多个不同的报告，各自分别归整为最终审计档案。

三、归档后变动

（一）需要变动的情形

1.注册会计师已实施了必要的审计程序，取得了充分、适当的审计证据并得出了恰当的审计结论，但审计工作底稿的记录不够充分。

2.审计报告日后[第二、三期后]，发现例外情况要求实施新的或追加审计程序，或导致注册会计师得出新的结论。

例外情况是指审计报告日后发现与已审计财务信息相关，且在审计报告日已经存在的事实，如审计报告日前获知该事实，可能影响审计报告。

（二）变动的记录要求

在完成最终审计档案的归整工作后，如果发现有必要修改现有审计工作底稿或增加新的审计工作底稿，无论修改或增加的性质如何，注册会计师均应当记录下列事项：

1.修改或增加审计工作底稿的具体理由；

2.修改或增加审计工作底稿的时间和人员，以及复核的时间和人员。

四、保存期限

1.如完成审计业务，自审计报告日起对工作底稿至少保存10年；

2.如未能完成审计业务，自业务中止日起至少保存10年；

3.在完成最终审计档案的归整工作后，不应在规定保存期限届满前删除或废弃任何性质的工作底稿。

第七章风险评估

第一节了解被审计单位及其环境

了解被审计单位及其环境是必要程序，注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。

了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。了解行业状况、法律环境和监管环境以及其他外部因素时，了解的重点是对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。

第二节风评程序及项目组讨论

一、风险评估程序

（一）询问

1.应当询问管理层和财务负责人

2.考虑询问其他人员和不同级别的员工

（二）分析程序

形成预期，进行比较，识别风险。

（三）观察和检查

1.观察被审计单位的生产经营活动。

2.检查文件、记录和内部控制手册。

3.阅读由管理层和治理层编制的报告。

4.实地察看生产经营场所和厂房设备。

5.追踪交易在财务报告信息系统中的处理过程（穿行测试）。

二、项目组讨论

（一）讨论的目标

1.在各自负责的领域内，由于舞弊或者错误导致财务报表重大错报的可能性；

2.各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步程序的影响。

（二）讨论的内容

受项目组成员的职位、经验和所需要的信息的影响。应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由舞弊导致重大错报的可能性。

（三）参与讨论的人员

项目组关键成员应当参与讨论，但不要求所有成员每次都参与讨论。如需要专家，专家也可根据需要参与讨论。项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项。

（四）讨论的时间和方式

根据需要，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。讨论时应强调在保持职业怀疑，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。

第三节了解被审计单位的内部控制

一、内部控制的要素

内部控制包括控制环境、风险评估过程（体现风险意识）、信息系统与沟通、控制活动和对控制的监督五个要素。

注册会计师都应重点考虑某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。

二、只了解与审计相关的控制

了解内部控制是必要审计程序/注册会计师应当了解被审计单位的内部控制。

注册会计师需要了解和评价的只是与审计相关的内部控制，并非所有的内部控制。

被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。

如果多项控制活动能够实现同一目标，不必了解与该目标相关的每项控制活动。

三、了解内部控制了解的深度

1.了解内部控制的目的

（1）评价控制设计是否合理；

（2）确定控制是否得到执行。

2.了解内部控制的程序

（1）询问被审计单位的人员；

（2）观察特定控制的运用；

（3）检查文件和报告；

（4）追踪交易在财务报告信息系统中的处理过程[穿行测试]。

3.了解内控能否代替控制测试

除非存在某些可以使控制得到一贯运行的自动化控制[一般控制],否则对控制的了解并不足以代替测试控制运行的有效性：

（1）人工控制在某一时点得到执行，并不能表明在其他时点也有效运行。对人工控制的了解不能代替控制测试。

（2）信息技术具有内在一贯性，一旦确定其正在执行，就可能确定其一贯有效执行[满足三条件：一般控制有效、没有重大变化、软件版本经批准]。

四、内部控制的方式

1.自动控制的风险

（1）一般控制存在缺陷，导致财务报表层的重大错报风险；

（2）应用控制存在缺陷，直接导致认定层的重大错报风险。

自动化程序和控制可能降低无意错误的风险，但不能消除个人凌驾于控制的风险。

2.人工控制的风险

（1）人工控制可能更容易被规避、忽视或凌驾；

（2）人工控制可能不具有一贯性；

（3）人工控制可能更容易产生简单错误或失误。

五、内部控制的固有局限性

1.固有局限性的原因

（1）人为判断可能出现错误、人为失误导致内部控制失效。

（2）可能由于人员串通或管理层不当凌驾内部控制之上而被规避。

此外，还包括：人员素质，成本效益及异常情况。

2.固有局限性的影响

（1）无论如何设计和执行，只能对财务报告可靠性提供合理保证，不能提供绝对保证。

（2）无论评估的控制风险多低，都不能仅依赖内部控制而不实施实质性程序。

六、控制环境

1.要素

（1）对诚信和道德价值观念的沟通与落实；

（2）对胜任能力的重视；

（3）治理层的参与程度；

（4）管理层的理念和经营风格；

（5）组织结构及职权与责任的分配；

（6）人力资源政策与实务。

2.要点

（1）财务报表层次重大错报风险很可能源于控制环境存在缺陷。控制环境对重大错报风险的评估具有广泛影响。

（2）控制环境不能绝对防止舞弊，但有助于降低舞弊风险。

（3）控制环境的有效性能为注册会计师相信以前年度和期中测试过的控制将继续有效运行提供一定基础。

（4）控制环境不仅不能防止或发现并纠正认定层次的重大错报，控制环境存在的弱点反而可能削弱控制的有效性：如认为控制环境薄弱，很难认定某一流程的控制是有效的。

七、控制活动

控制活动包括交易授权、业绩评价、信息处理、实物控制和职责分离5个方面。

了解控制活动的重点是识别和了解针对重大错报可能发生的领域的控制活动。

八、了解内部控制

注册会计师应当从整体层面和业务流程层面分别了解和评价被审计单位的内部控制。

整体层面优劣，没有固定评价标准。

在控制要素中，控制环境、风险评估过程、对控制的监督以及信息系统内部控制中的一般控制