附件三瑞华审计工作底稿模板应用指南2014年修订2

1、目录一、概述4二、审计工作底稿模板编制的基本理念和工作思路5三、审计工作底稿模板技术支持体系及总体框架5（一）审计技术规范主要包括61、瑞华审计方法指引62、审计外勤工作指南63、会计和审计技巧提示64、审计报告模板、审计报告举例65、工作底稿模板76、审计实务案例以及审计方法培训材料7（二）主要会计技术规范主要包括71、会计技术提示72、瑞华研究73、计学撮要74、首次公开实务手册75、会计准则最新发展和会计专题的培训课件76、行业会计、审计问题的专业研究资料（如文化产业等）7（三）审计工作底稿统一分类管理要求71、底稿分类管理的原则72、底稿使用的强制性要求83、底稿签字要求8四、审计工作

2、底稿编制说明9第一部分初步业务活动工作底稿9第二部分计划及风险识别工作底稿9（一）了解被审计1、2100 了解被审计及其环境9业务92、2110 与当前经济状况相关的业务和财务报告风险的考虑93、2160 客户审计计划会议备忘录9（二）对外部工作和的利用10（三）了解被审计内部控制、初步识别风险、确定计划重要性水平101、2200 了解和评价被审计整体层面内部控制102、2260 舞弊风险评估与应对103、2270 重要性确定表10（四）2280 整合审计特殊考虑管理层对内部控制的自我评价及利用他人工作10第三部分审计策略确定与风险评估阶段工作底稿11（一）项目组在计划阶段的讨论11类别和披露

3、流程及相关的 IT 应用程序11类别和披露流程及相关的 IT 应用程序11（二）识别和了解1、2400 识别和了解2、2410 会计估计和会计估计类别113、2420 识别账户的披露以及相关认11（三）对内部控制审计的特殊考虑12（四）了解内部控制、执行穿试和控制测试底稿121、底稿创建思路122、了解和描述被审计流程的控制133、2500 系列底稿134、3000 系列底稿145、重点关注问题14（五）IT 审计策略及相关底稿151、判断是否需要执行IT 审计工作152、判断是否需要引入 ITA. 163、IT 审计工作底稿选用16（六）2700 执行财务报表风险评估分析性程序及识别账户和流

4、程171、执行财务报表分析性复核程序172、确定账户、非账户和不账户173、评估固有风险174、确定账户对应的流程17（七）风险评估结果汇总表及进一步审计程序方案171、2810 风险评估结果汇总172、2820 综合风险评估193、2820-1 综合风险评估及总体审计方案（1）审计项目方案194、2820-2 综合风险评估及总体审计方案（2）控制测试对实质性程序的影响，分析程序对认定保证程度的判断以及细节测试执行方案205、2820-3 综合风险评估及进一步审计程序（1）账户及披露206、2840 设计会计分录测试和其他与舞弊事项相关的审计程序21（八）2900 总体审计策略21第四部分审计

5、执行阶段工作底稿21（一）实质性程序工作底稿211、实质性底稿编制的指导思想212、实质性工作底稿需要说明的特殊事项22（二）7000 特定项目工作底稿241、7270 作为主审会计师相关底稿252、7000 一般审计程序表253、7100 执行会计分录测试和其他与舞弊事项相关的审计程序264、7150. 265、7300 关联方及关联方. 266、7310 持续经营277、7320 期初余额278、7330 或有事项289、7350 比较信息2810、7360 含有已审计财务报表的文件中其他信息2811、7370 会计政策、会计估计变更和前期差错更正2812、7380 对环境事项的考虑291

6、3、7400 非货币性资产交换3014、7500 债务重组3015、7600 前次募金使用3016、7700 非经常性损益3017、7800 每股、7900 净资产率30（三）合并财务报表及现金流量表工作底稿301、8100 合并财务报表(不含合并现金流量表)工作底稿302、8200 合并现金流量表工作底稿313、8300 现金流量表工作底稿31（四）共用底稿311、底稿工具类312、风险评估程序底稿（内部控制问卷）323、通用工作底稿32第五部分业务完成阶段工作底稿32（一）结束和小结审计工作321、9000 业务完成阶段审计工作322、9010 期后事项复核323、9020 执行财务报表程

7、序334、9100 审计差异汇总表335、9190 现金流量调整分录汇总表336、内部控制审计缺陷评价及例外事项汇总347、9200 试算平衡表34（二）总结并与管理层的. 341、9300 总结会会议纪要342、9310 管理3、9500 管理层4、9510 律师要点34书35书355、9600 分析程序工作底稿（用于审定报表总体复核）356、9710 审计工作总结35（三）复核与技术咨询361、9400 技术咨询备忘录362、9750 提请注意的事项36（四）出具审计报告并质量控制复核361、9770 审计工作完成情况核对表362、9790 复核与批准汇总36五、关于各类专项审计业务工作底

8、稿目录及归档36（一）基本要求36（二）内部控制审计相关工作底稿目录与归档37附表：内控审计相关工作底稿目录38六、小型简单企业审计工作底稿适用标准及使用原则45（一）小型简单企业审计工作底稿的适用范围461、企业的商业模式和不复杂462、会计处理所使用的IT 程序不复杂463、预计将主要采用实质性测试的审计策略46（二）小型简单企业审计工作底稿的主要内容和使用要求461、针对小型简单企业审计底稿的表式462、使用要求47附录：瑞华审计方法体系总体架构设计技术指引和主要表式48一、概述瑞华会计师事务所（以下简称本所）实行按质量控制制度业务风险分类为基础对审计工作底稿进行分类统一管理的政策（详见

9、“审计工作底稿管理分类一览表”），实现了不业相同流程的技术和质量控制规范的统一。本审计工作底稿模板主要是按一般制造业的流程为基础设计的一套标准序列底稿，在此序列下收纳了商业企业的重要流程测试表；针对小型简单企业特点，单独设计内部控制测试工作底稿，纳入统一管理体系。瑞华审计工作底稿模板没有包括所有特殊行业以及特殊的流程，项目组应遵循中国会计师执业准则及中国会计师执业准则应用指南（简称“执业准则及应用指南”）、本所审计技术指引、外勤审计工作指南、审计技术提示等相关技术规范的要求，参照本所工作底稿基本要求，根据被审计的具体情况设计和创建审计工作底稿。各底稿中的工作底稿目录仅为格式性要求，并不代表所有

10、应执行审计程序所形成底稿的完整状态。项目组应根据具体项目所执行的测试程序及完成的工作底稿的情况，完善形成最终工作底稿目录。相关的测试底稿表式也并未包括所有测试程序需要的测试底稿，必要时项目组应根据所执试内容及具体情况自行补充设计相关审计工作底稿。底稿中字体部分为提示或举例说明内容，作为给项目组审计思路提示或参考，在审计过程中应根据被审计实际情况情况进行描述或说明，根据实际情况选用或将删除蓝字部分文字，不鼓励不经了解和分析直接将蓝字改成黑字的做法。针对特殊的或控制流程执行审计过程中，如针对审计程序及底稿的设计和选用存在疑问，必要时可向技术与标准部进行咨询。审计技术指引瑞华审计外勤指南审计工作底稿

11、是针对审计工作底稿使用的专项技术性引导，请在执业中参考使用。二、审计工作底稿模板编制的基本理念和工作思路本审计工作底稿模板是贯彻风险导向审计理念，以审计准则、会计准则和相关法律规范以及本所的审计技术指引等作为工作的依据，提高审计的职业判断和创造性劳动，帮助执业人员合理制定审计策略、选择审计程序，能够根据被审计的具体情况有针对性地选用或编制底稿。执业应按照正常的审计工作流程执行审计，并考虑实现某个审计目标最合理的路径，安排编制工作底稿的时间。不唯底稿模板索引号顺序考虑底稿编制的时间安排，但应注意审计程序时间的逻辑性和前后关联关系。三、审计工作底稿模板技术支持体系及总体框架执业会计师应按照本所颁布

12、的审计方法和会计技术规范开展审计工作，工作底稿的编制应符合本所审计、会计等技术规范相关要求。（一）审计技术规范主要包括1、瑞华审计方法指引依据中注协执业准则及应用指南等相关执业规范，结合国际会计师行业的基本惯例和长期积累的审计经验，截至 2013 年 9 月，本所颁布的审计技术指引 46 项。2014 年 10 月对技术指引J40 财务报表审计与 ITA 进行整合审计的考虑进行修订。这些技术指引可以指导审计工作，可以实现：···审计工作流程标准化、审计思路系统化，便于多地点审计的展开；合理有效执行审计，降低执业风险和减少不必要的审计成本；质量控制标准，实现同质化管

13、理。具体审计技术指引目录详见附录：瑞华审计方法体系总体架构设计技术指引与主要表式。2、审计外勤工作指南截至 2013 年 9 月本所制定审计外勤指南共 9 项 14 个指南。主要内容为：·········审计工作底稿流程图现金和存款（含函证）存货计价、存货监盘和底稿编制 销售与收款循环、函证和应收账款工薪循环（可能出错项）采购与付款循环（可能出错项） 固定资产和投资性房地产等。审计各种预付款、预提费用和其它资产/负债3、会计和审计技巧提示会计和审计技术、技巧提示主要针对财政部、国资委、中注协等重要监管部门

14、相关要求的解释以及审计应对措施。截至 2014 年 9 月，本所共发布了 80 多个技术提示。其中：2013 年以来共发 6 期审计技术答疑：····财务报表重要性水平（第 1 期） 存货监盘（第 2、3、4 期）财务报表审计（第 5 期）特别风险（第 6、7 期）4、审计报告模板、审计报告举例2013 年 10 月发布的报告模板（含参考示例）涉及五类 15 项报告模板（见技术通知（2013）第 02 号：关于发布瑞华报告模板），2013 年年末完成公司年审相关报告模板，2014年上半年完成行政事业年度审计报告模板。2013 年发布了瑞华会计师事务所（特

15、殊普通合伙）报告编排格式指引，在出具本所没有报告模板的审计报告时，相关报告的格式要符合按此格式指引要求。5、工作底稿模板详见本应用指南“四、审计工作底稿编制说明”。6、审计实务案例以及审计方法培训材料（二）主要会计技术规范主要包括1、会计技术提示会计技术提示是本所针对财政部、等部委发布的会计准则以及准则执行解释、规范问答等内容拟定的，向本所执业提供提示的技术规范。会计技术提示以技术与标准部“技术提示”形式发布。2、瑞华研究目前会计方面的研究期刊有 2008 年至 2013 年单行本及 20102012 的会计问题解答汇编本。3、计学撮要2011 年 9 月第一版，2013 年 11 月续编本，

16、为会计方面专业研究成果的汇编。4、首次公开实务手册系针对首次公开的改制、资料申报及相关的会计问题进行系统的解答。5、会计准则最新发展和会计专题的培训课件6、行业会计、审计问题的专业研究资料（如文化产业等）（三）审计工作底稿统一分类管理要求1、底稿分类管理的原则审计工作底稿管理分类一览表对于底稿是按照本所质量控制制度业务分类管理办法的业务的风险分类（A、B、C 分类）为基础进行分类的。本所底稿分类管理属于质量管理制度延伸体系。· 整合审计（A+）：A 类企业进行整合审计及单独执行内部控制审计。· 其他上市公司及 IPO 项目（A）： IPO 审计及上市公司针对财务报表审计，不

17、对内部控制意见。· 其他 A 类（A）：质量控制制度业务风险分类中除上市公司和 IPO 以外的其他业务。· 属于 B、C 类的大中型企业（B、C）： 非 A 类的大中型企业。· 小型简单企业（S）：小型简单企业适用范围内企业。A 类2、底稿使用的强制性要求···强制性要求编制（M 类）存在相关情况的项目，强制性要求编制（MO 类） 非强制性要求编制（O 类）3、底稿签字要求····项目需要项目签字（P）签字（Q）需要项目及质量控制复核需要项目和引入的 IT 审计团队（ITA）同时签字的底稿（P1

18、）同时签字，如未引入 ITA，则由如果引入了 ITA 时，需要由项目和 ITA签字（P2）根据规定需要签字的底稿需要在“9800 项目及质量控制签署的底稿”中进行汇总。4、底稿统一管理体系组成包括：· 通用基本流程及账户审计工作底稿，这部分底稿适用于各种行业及小型简单企业的审计。· 特殊行业的流程及账户相关底稿。目前主要有制造业和商业的重要流程，未来可将其他行业特殊流程纳入体系。· 小型简单企业目前分套打包：· 瑞华审计工作底稿模板，主要包括制造业和商业的特殊流程。· 小型简单企业审计工作底稿。相关具体内容详见审计工作底稿管理分类一览表。底稿。

19、四、审计工作底稿编制说明第一部分初步业务活动工作底稿本部分底稿通常由项目负责经理编制，报经项目负责审批，如为高风险业务，还需报风险管理等审批。本部分底稿的编制系为项目立项及审批、派遣审计小组成员的前置程序。完成本部分底稿编制应当参考以下技术指引：····A10 了解服务要求、确定审计范围和组建审计项目组；A20 完成初步业务活动；G20审计方法指引（审计业务适用；J30 对首次审计业务的特殊考虑。第二部分计划及风险识别工作底稿（一）了解被审计及其环境10 了解被审计此部分底稿的详细要求参考技术指业务，主要在计划阶段对被审计及其环境的了解信息。这些信息可以

20、帮助我们识别风险，并确定这些风险因素是否为固有风险（可能引起错报风险的因素）。如果为固有风险，应考虑的相关事项参阅技术指引C90 进行综合风险评估，以及该风险对设计实质性程序的影响（参阅技术指引C120设计实质性测试程序）。此外，还应确定在了解被审计及其环境中所识别的固有风险是否为特别风险（当固有风险的发生概率更高、引起的财务报表错报风险更大时，该固有风险即为特别风险）。在该阶段识别的风险需汇总至“2810 风险评估汇总表”中。1、2100 了解被审计业务本底稿为半开放式的形式，要求业务在了解被审计业务过程中所了解到的相关方面的信息以及得出的风险结论。2、2110 与当前经济状况相关的业务和财

21、务报告风险的考虑与当前的经济状况相关的被审计业务和财务报告风险考虑事项，以列表的形式将主要的与当前的经济状况相关风险囊括在内，对项目组起到提示和帮助作用。3、2160 客户审计计划会议备忘录如果项目组在审计前期与被审计管理层举行了会议，以确定服务范围、工作时间、提交的工作成果及其他与审计相关的事项，相关事项可参考本底稿内容，如项目组未与被审计举行正式会议，其内容也可作为项目组需了解的参考事项。（二）对外部工作和的利用对外部工作和的利用系列工作底稿：“2190 利用外部的工作”、“2191 利用管理层的工作”以及“2194 利用事务所内部的工作”的详细要求均为技术指20 利用专家的工作，在项目组

22、需要利用相关工作时编制。此类底稿采用半开放时，以编制说明的形式提示项目组需要执行的程序，由项目组根据实际情况执行的程序和得出的结论。“2192 对内部审计了解与评价”、“2193 对被审计使用服务机构的评价”的详细要求参阅J10 对利用内部审计或他人工作的特殊考虑以及J20 对被审计使用服务机构的评价。（三）了解被审计内部控制、初步识别风险、确定计划重要性水平1、2200 了解和评价被审计整体层面内部控制本底稿以半开放的形式在审计计划阶段对被审计整体层面内部控制的了解和评价，以确定对错报风险评估的影响，进而确定审计策略。其详细要求参阅技术指引B30 了解、测试和评价企业整体内部控制。本底稿附录

23、提供了北京华远智和管理咨询根据企业内部控制应用指引中与企业整体层面内部控制相关的部分（即第 15 号组织架构、发展战略、人力、责任、企业文化）而设计的企业整体层面内部控制评价表和问卷供项目组参考，以便为执行内部控制审计业务的项目组提供的指引和提示，附录内容为选用底稿。进一步审计要求见审计技术指30 了解、测试和评价企业整体内部控制。在该阶段识别的风险需汇总至“2810 风险评估汇总表”中。2、2260 舞弊风险评估与应对本底稿对被审计舞弊风险的评估和应对，底稿中对需执行的程序有明确提示，其所对应的审计方法见审计技术指40 识别由于舞弊而导致的错报风险并确定应对措施。识别的舞弊风险需汇总至“28

24、10 风险评估汇总表”中。3、2270 重要性确定表单独财务报表重要性水平的确定，具体指引参阅技术指50 重要性水平的确定。集团审计财务报表重要性水平的确定底稿另见“7270-4审计重要性水平分配和审计范围确定表”以及“7270-5 确定组成部分重要性”。（四）2280 整合审计特殊考虑管理层对内部控制的自我评价及利用他人工作对于单独出具内部控制审计报告的项目（包括单独执行内部控制审计和整合审计）本底稿是强制性表式，对于一般的财务报表审计项目，如果项目组考虑利用内部审计工作或者与被审计的内部控制相关的其他方面的工作，也可以将本表的第二部分作为底稿中的参考表式使用。对于按规定需提供管理层的内部控

25、制自我评价报告但不需出具内部控制审计报告的项目，也可使用本底稿。本底稿对应的审计技术方法可参阅审计技术指引I-B70 了解管理层对企业内部控制的自我评价流程、评估对他人工作的利用。第一部分“了解管理层对内部控制自我评价的程序”和第二部分“利用他人工作”这两部分是互相关联的。通过对于被审计执行内部控制自我评价的性的，以确定我们是否可以利用其相关工作。第三部分审计策略确定与风险评估阶段工作底稿（一）项目组在计划阶段的讨论此部分底稿主要项目组计划会议讨论的主要内容及结果，相关的要求参阅审计技术指引C10 审计项目组计划会议以及讨论舞弊和错误。其中“2330 预审结束后会议”主要项目组预审工作结束后召

26、开小组会议的情况，相关的要求及指引参阅本所审计技术指引D10预审结束后会议。类别和披露流程及相关的 IT 应用程序（二）识别和了解1、2400 识别和了解类别和披露流程及相关的 IT 应用程序本底稿的目的是通过了解类别和披露流程来了解并识别认定层次的错报风险（即“可能出错项”）。如适用，也识别和了解针对这些可能出错项的控制。具体审计方法可参阅本所审计技术指引C20 识别类别和相关 IT 应用程序、C30 了解类别和披露流程2、2410 会计估计和会计估计类别本底稿用来我们对会计估计和相关的会计估计类别所执行的审计程序，这些内容在本所审计技术指引C30了解类别和重要披露流程、C120设计实质性测

27、试程序的“会计估计”部分和D50执行实质性程序的“会计估计”部分中有相应描述。3、2420 识别账户的披露以及相关认本底稿的目的是识别披露，并在将该等披露对应到相应的披露流程。针对每一个已识别的披露流程，需要对该披露流程的理解，并尽可能识别在该披露流程中的可能出错项和相关控制。详细要求参阅审计技术指引C30 了解类别和披露流程。上述 2400、2410、2420 三个底稿的主要功能为识别账户、类别和流程及 IT 系统、识别账户的披露和相关认定。而“2700 执行财务报表风险评估分析性程序及识别账户和流程”、“2430 评估信息系统”、“25003000 了解内部控制、执行穿行测试和控制测试”相

28、关底稿具有相同的功能。因此，24002420 可作为选用底稿。在遇到特殊行业的或特别的事项时，根据客户具体情况的需要可选用 24002420 相关底稿。（三）对内部控制审计的特殊考虑1、2450 了解和评价企业内部控制本期变化情况根据中注协企业内部控制审计工作底稿编制指南的要求，在计划审计工作阶段，会计师应当了解被审计本期内部控制发生的变化以及变化的程度，从而相应地调整审计计划。这些变化包括新增的业务流程、原有业务流程的变更、内部控制执行人的变更等。企业的内部控制变化会直接影响到会计师内部控制审计程序的性质、时间安排和范围。例如，针对企业新增业务的业务流程，会计师应当安排有经验的审计了解该业务

29、流程，并在审计工作的前期识别该业务流程相关控制，以便尽早与企业该流程中的相关控制是否可能存在的设计方面的缺陷。2、2460 了解和评价与企业过的内部控制缺陷根据中注协企业内部控制审计工作底稿编制指南的要求，在计划审计工作阶段，会计师应当了解被审计对以前年度审计中发现的内部控制缺陷所采取的措施及结果，并相应调整本年的内部控制审计计划。如果以前年度发现的内部控制缺陷未得到有效，则会计师需要评价这些缺陷对当期的内部控制审计意见的影响。会计师应当阅读企业当期的内部审计报告，评价内部审计报告中披露的控制缺陷是否与我们的内部控制审计相关并考虑其对我们内部控制审计程序和审计意见的影响。对于内部控制审计报告中

30、提及的可能导致财务报表发生错报的内部控制缺陷，会计师应当将其记录在内部控制缺陷汇总表中，关注企业相应的计划和实施情况，并评价其对内部控制审计意见的影响。（四）了解内部控制、执行穿试和控制测试底稿1、底稿创建思路为减少底稿在了解业务流程控制、执行穿试和控制测试三个部分重复对相关控制流程的描述和相关说明，整合流程审计策略，更方便执行工作底稿复核等原因，将了解业务流程、执行穿试和控制测试三个部分的审计工作底稿汇总到同一个工作表中，形成“2500、3000 了解内部控制、执行穿试和控制测试底稿”整合底稿表式，但相关审计技术和审计工作流程并未发生实质性变化。针对重要的部分流程，相同流程的表式中有（1）和

31、（2）两个选择，（1）适用于子流程相对复杂的情况，（2）适用于相对简化的流程，项目组可根据需要选择其中一个表式，或根据具体情况，在其框架下自行描述相关流程和控制。主要作用：· 将按业务流程控制活动开展的相关工作进行汇总，可以完整反映对于相关业务流程的了解和描述及执行审计和评估内部控制有效性的全过程。···减少在了解阶段、穿试及控制测试过程中重复对控制流程进行说明。针对某业务流程的在全部工作流程中综合考虑审计策略和审计程序的执行。帮助复核者提高复核效率，快速发现问题。2、了解和描述被审计流程的控制本底稿为执行风险评估而对业务流程层面的控制执行了解程序的，属

32、于半开放式底稿。我们应根据被审计具体业务流程设计和运行的情况在相关底稿上进行描述，除表头的内容相对固定外，在了解和描述内部控制流程部分底稿中的字体内容，是根据一般制造业或商业流程的通常情况进行的流程划分和描述的举例。由于被审计规模、组织结构及岗位的设置各不相同，针对具体被审计业务流程应当存在不同程度的差异，我们应根据具体情况需要对被审计执行了解程序，按实际情况进行描述，而不应直接采用举例的内容。一般情况下，我们在首次对被审计进行了解的情况下，对于相关流程的性需要参考“2700 执行财务报表风险评估分析性程序和识别账户及流程”所分析得出的流程的结论，并根据询问和观察程序判断相关流程得到结论相印证

33、，仅针对流程进行描述并执行相关控制测试程序。在第二年，上年底稿结转至当期，通过了解内部控制的变化情况，对上年了解和描述的内容进行适当的修改和补充。3、2500 系列底稿2500 系列是针对一般制造业流程和重要的商业流程所设计的穿试底稿。项目组可根据本所审计技术指引C40 执行穿试及参考 2500 系列的相关模板自行创建工作底稿。在了解业务流程的控制并进行描述时，可以参考风险矩阵数据库，此风险矩阵数据库将相关重要账户和流程的关键控制按对应关系，对“可能出错的事项（WCGW）”以提问的形式并列举相关应对的控制措施，提供了一般制造业的关键控制及控制策略的基本内容的参考，项目组可参考此矩阵图对于企业的

34、关键控制对可能出错项时进行判断，根据被审计的实际情况进行业务流程描述，并判断相关流程控制是否存在缺陷。一般情况下我们在“穿试汇总表”中描述相关测试具体执行情况，并将最终结论在“汇总表”中进行。在执行穿试中，我们针对个别重要的流程预先设计了穿试工作底稿，针对这些特殊测试表的相关测试也需要在“穿试汇总表”将测试过程进行简单描述。我们没有设计出所有流程的穿试底稿，如项目组遇特殊的或复杂的流程无法在“穿试汇总表”中描述测试过程和测试内容的情况，可自行设计相关流程穿试底稿，或采用其他适当的方法对穿试进行，并纳入穿试底稿体系中。此外，项目组可按照指引C70 选择拟测试的控制以及C100 设计控制测试的要求

35、，针对在 2700 表分析和识别的流程执行穿试。4、3000 系列底稿3000 系列表主要为一般制造业的控制测试参考表式。我们为了更好的整合审计策略和提高效率而将 3000 系列底稿与了解业务流程控制和执行穿试底稿一同放在了风险评估阶段的底稿中，但按照审计工作流程，3000 系列底稿对应的审计工作程序仍然属于审计工作执行阶段，我们在实际完成 2500 表后底稿应当遵循工作流程的复核顺序，并根据“2820-1 综合风险评估及总体审计方案（1）”确定控制测试的策略，在此基础上具体执行控制测试。即底稿排列顺序的调整并不改变审计的基本思路和流程。有关瑞华审计方法下的规范审计工作流程详见审计技术指引瑞华

36、审计方法总览。项目组可按照指引C70 选择拟测试的控制以及C100 设计控制测试的要求，在 2500系列穿试完成后，确定对应的流程的关键控制，如果确定需对相关控制进试的，则针对被审计的关键控制执行控制测试。在执行整合审计业务时，对于“关键控制”的判断需要由项目进行复核。针对流程的控制测试，我们设计了一部分重要的测试底稿，但未包括所有应执行控制测试的相关底稿，项目组需要根据情况自行设计关键流程的控制测试底稿。底稿测试可参照通用控制测试底稿模板，也可根据情况自行设计相关测试底稿。在工作簿中或在第四部分的共用底稿通用工作底稿文件夹中找到“控制测试通用测试表”。5、重点关注问题（1）综合考虑各审计阶段

37、所执行的审计程序针对重要的流程可针对了解和描述控制、穿试、控制测试以及实质性测试程序各阶段审计工作安排，统筹考虑所执行的审计程序。例如，一般情况下，执行内控了解程序应在执行穿试前完成，我们一般安排执行询问或访谈程序；而在控制测试阶段和实质性测试重点执行对于相关检查或具体控制证据的检查测试，非特殊原因不再重复执行询问或访谈程序。因此在“汇总表”中针对同一子流程的控制，通常在穿试的“主要审计程序”的预选项选“询问、观察和检查文件”，而在控制测试的主要程序中主要采取“检查证据”的程序。另外，针对一年执行一次的控制，在完成穿试后，在控制测试程序中可选取“穿试足够支持相关结论”；针对重要的且多次的控制活

38、动，可结合实质性测试的要求执行双重目的测试，以避免重复的对相同凭证执行检查测试。通过控制测试未发现异常情况下，我们可以减少实质性测试的样本量（相关抽样策略详见本指南二、第三部分（七）、5、（3）。在控制测试程序中选择“不计划进行控制测试”仅适用于（1）执行财务报表审计下，因预计控制很可能无效，控制风险较高的情况下，不计划进行控制测试；（2）整合审计下或单独执行内部控制审计下，针对非关键控制采取的审计策略。项目组也可根据被审计的具体情况综合考虑补充相关的审计程序和选用审计策略。“汇总表”中设置预选项是我们根据一般情况下为减少工作量而给项目组提供的辅助性内容。项目组可根据实际执行的情况进行修改或进

39、行更详细说明。（2）控制测试策略与风险评估结果项目组实际采用的控制测试策略，应与“2820-1 综合风险评估及总体审计审计方案（1）”的审计策略相一致，并将控制测试相关结论反映在“2800 综合风险评估汇总表”中及“2820-2 综合风险评估及总体审计方案（2）”中。（五）IT 审计策略及相关底稿1、判断是否需要执行 IT 审计工作是否开展 IT 审计工作的最主要判断依据为：企业是否使用信息系统处理业务。业务大部分情况下是指企业的主要业务，如果企业多条业务线或多元化经营，那么超过重要性水平的业务均应视为业务；“处理”一词的含义为需要在信息系统中进行配置、设定，涉及数据计算、处理，即涉及自动控制

40、或依赖 IT 的人工控制，而不是简单的录入及功能。具体要求参阅技术指引C20 识别根据财务报表审计和内部控制审计的类别和相关 IT 应用程序。（简称 IT）风险和特征，审计客户分为需要强制引入 ITA对于 IT 环境进行评估的客户（以下简称“强制评估客户”）和不需要强制引入 ITA对 IT 环境进行评估的客户（简称“非强制评估客户”）两类。是否属于强制评估客户是按照本所相关 IT 审计政策规定来确定的。对于强制评估的客户，项目组需要第一时间与 ITA，完成“2430 信息系统的评估（强制引入 ITA 适用）”及“2430-1IT 环境表（强制引入 ITA 适用）”，由 ITA组织和确认是否需要

41、引入 ITA 团队执行IT 系统的审计。而对于非强制评估客户，项目组通过完成底稿“2430 信息系统的评估（非强制引入 ITA 适用）”等相关程序，对 IT 环境进行评估，由项根据对 IT 系统复杂程度的判断确定是否引入 ITA 进行审计。我们根据表“2700 执行财务报表风险评估分析性程序及识别目账户和流程”、“2430 信息系统评估”以及选用表“2400 识别和了解类别和披露流程及相关的IT 应用程序”的结果识别出类别和流程，以及 IT 环境对流程的作用，如果财务报表账户数据的生成和流程执行都是经过信息系统来处理，无论其是否为 A类客户一般都要执行 IT 审计程序。（不包括公司仅使用符合修

42、改软件的情况）。标准的财务报表编制软件且未在小型简单企业审计中并不执行 IT 一般控制（ITGC）的识别和评估。进一步了解参阅技术指引H10 小型简单企业审计方法。2、判断是否需要引入 ITA目前本所按照 IT 审计相关政策，属于强制引入 ITA（审计小组或审计团队）对 IT环境进行评估的客户，通过 ITA 评估确定是否需要 ITA 介入。对于非强制引入 ITA 客户，原则上应采用前面同样的判断标准确认是否需要开展 IT 审计工作，由项目自行判断是否引入ITA 审计。相关要求参阅技术指引J40 财务报表审计与 ITA 进行整合审计的考虑对于经判断需要开展 IT 审计工作的项目，ITA 一般均将

43、支持流程的财务系统纳入IT 审计范围，对财务系统的开发、变更及权限管理等控制等进行复核；但对于仅使用财务系统进行账务处理及财务报表生成的企业，由于信息系统中不涉及流程相关业务处理，目前阶段可以不引入 ITA 审计。财务审计同事如判断信息系统的复杂，引致错报风险较大（如被审计涉及海量数据情形），ITA 不仅可执行控制测试，还可以执行实质性测试，如协助财务审计小组执行会计分录测试，将企业的异常凭证、大额凭证、期末凭证、及由敏感编写的凭证等抽取出来，供财审同事开展进一步测试工作；会计分录测试中也涉及汇总金额与明细金额一致性的核对及余额核对等。3、IT 审计工作底稿选用（1）IT 环境首次评估：1）强

44、制引入 ITA 进行 IT 环境评估：· 2430 信息系统评估（强制引入 ITA 适用）（转下年并更新）；· 2430-IT 环境表（强制引入 ITA 适用）2）非强制引入 ITA 进行评估· 2430 信息系统评估（非强制引入 ITA 适用）( 转下年并更新)（2） IT 环境持续评估· 2440 对信息系统更新和变化的评估（每年）。各类客户每年均需要完成此底稿以判断 IT 环境是否发生的（3）计划并执行 IT 审计：变化。· 2620IT 一般控制穿试模板(不计划执行控制测试可选用此表)；· 2640一般性控制（ITGC）测试汇

45、总表；· 2641 销售与收款流程应用程序控制（ITAC）矩阵；· 2650 评估无效的 ITGCs 对审计的影响。根据对是否执行 IT 审计的基础评估结果，确定是否执行相关审计策略以及是否引入 ITA 执行相关审计程序。对于 ITAC 的测试，一般情况下应委托 ITA 执行相关审计程序。（4）针对引入 ITA 执行整合审计底稿· 2690 财务审计与 ITA的有效合作与整合；· ITA 团队提供其他测试底稿。（六）2700 执行财务报表风险评估分析性程序及识别账户和流程主要作用：1、执行财务报表分析性复核程序趋势分析、结构比分析、财务指标分析、了解并解

46、释变动原因。2、确定账户、非账户和不账户财务报表项目金额与实际执行重要性水平（TE）比较，大于 TE 和固有风险较高的账户为账户；金额大于 TE，但固有风险较低的账户为非账户；金额小于 TE，且固有风险较60 识别低的为不账户。针对账户的识别相关工作具体参阅技术指账户和披露以及相关认定、C30 了解类别和披露流程。3、评估固有风险需要按照风险评估阶段相关底稿结论进行固有风险评估，并识别特别风险。进一步指引参阅技术指引C90 综合风险评估、B10 了解被审计第 7 期。业务以及审计技术答疑第 6 期和4、确定账户对应的流程本底稿中预设的流程是参考一般制造业控制流程数据库风险矩阵确定账户和流程的

47、26 个流程，并没有包括所有行业或各类流程的全部，如认为与被的流程的名称不符，则项目组可在 EXCEL 的“数据数据有效性”功能提示下审计将预设的流程按照被审计的实际的流程名称进行修改。最终结果需要与控制测试相关底稿中的流程描述保持一致。（七）风险评估结果汇总表及进一步审计程序方案1、2810 风险评估结果汇总主要作用：（1）汇总计划和风险评估阶段相关审计工作的结果并进行初步评价根据已完成的相关底稿的结果汇总相关审计结果，并形成综合的风险判断结论，综合风险评估相关底稿分为两个系列，分别为评价固有风险和评价控制风险，详见下表：评价步骤之一评价固有风险（至少包括，但不限于以下底稿）评估步骤之二评价

48、控制风险（至少包括，但不限于以下底稿）进一步指引请参阅审计技术指引C90 综合风险评估-C90.2.2 进行初步控制风险评估时索引号控制风险评估相关底稿参考指引结果汇总2200了解和评价被审计整体层面内部控制B30 了解、测试和评价企业整体内部控制2820综合风险评估22602400舞弊风险评估与应对识别和了解类别和披露流程及相关的IT 应用程序B40 识别由于舞弊而导致的 错报风险并确定应对措施C20 识别 类别和相关IT 应用程序2430信息系统评估C80 了解、穿试、测试和评估IT 一般控制参考指引：C90 进行综合风险评估2440对信息系统更新和变化的评估2500-3000了解了解内部

49、控制、执行穿试和控制测试C40 执行穿试C100 设计控制测试C20 识别类别和相关IT 应用程序参考指引结果汇总A20 初步业务活动B10 了解被审计的业务C20 识别类别和相关IT 应用程序2810风险评估结果汇总表参考指引：C90 进行综合风险评估B40 识别由于舞弊而导致的 错报风险并确定应对措施C30 了解 类别和披露流程B60 识别 账户和披露及相关认定C90 进行综合风险评估1000初步业务活动2100了解被审计的业务2110与当前经济状况相关的业务和财务报告风险的考虑2430信息系统评估24301IT 环境表2400识别和了解类别和披露流程及相关的IT 应用程序2260舞弊风险

50、评估与应对2410会计估计和会计估计类别表2420识别账户的披露以及相关认定2700执行财务报表风险评估分析性程序索引号固有风险评估相关底稿考虑的因素及 C90.2.3 针对列报和披露的认定进行控制风险评估。（2）确定是否属于财务报表层次的风险（3）确定是否相关风险结论仅与账户错报相关（4） 确定相关风险所影响的报表项目的认定（5） 是否属于特别风险，针对特别风险相关管理层的应对措施（6） 是否属于仅通过实质性程序无法应对的风险2、2820 综合风险评估2810 表主要形成定性分析结果，需要与 2700 执行财务报表分析复核程序所作出定量分析结果共同用于“2820 综合风险评估”。根据前面完成

51、的工作底稿的情况，结合固有风险和控制风险的相关结论在此表进行综合风险评估。（1）汇总账户与披露根据 2700 表及 2810 表的结果确定账户和披露在此表中归集。（2）确定与账户相关认定的固有风险按照指引C90 综合风险评估的要求，判定账户相关认定的固有风险，将 2700 表中对账户固有风险的评价细分到相关认定。并结合 2810 表风险评估结果并将定的固有风险进行综合评估。账户相关认账户和披露的控制风险（包括 2810 汇总控制风险评估相关底稿结果）账户和披露的综合风险（3） 确定（4） 确定此表相关风险评估的内容会转入底稿“2820-3 综合风险评估及进一步审计程序（1）重大账户及披露。”作为进一步审计程序制定的依据。技术指引请参阅 C120.2 设计账户和披露的主要实质性程序进一步指引参阅“C90.3.2 综合风险评估对实质性程序的影响”。3、2820-1 综合风险评估及总体审计方案（1）审计项目方案（1）具体审计计划的总纲本表列示的是我们计划选用的审计底稿，模板中是按一般制造业的报表项目所涉及的底稿目录来列示的，项目组要根据被审计的报表项目构建底稿体系，按实际情况作适当的增减。必要时需要创建新的底稿表式并在此表内