金融机构合规审计手册（标准版）

金融机构合规审计手册（标准版）第1章总则1.1审计目的与范围审计旨在通过对金融机构的合规性、风险控制及内控机制进行系统性评估，确保其经营活动符合相关法律法规及监管要求，防范潜在风险，提升整体运营效率与透明度。审计范围涵盖金融机构的业务流程、制度建设、人员管理、财务报告及合规文件等关键环节，重点关注合规性、操作规范性和风险防控能力。根据《金融机构合规管理指引》（银保监会，2021）规定，审计需覆盖金融机构的日常运营、重大决策、关联交易及外部合作等核心领域。审计目的是为金融机构提供合规性评估与改进建议，助力其构建稳健的合规管理体系，提升抗风险能力。审计范围通常包括但不限于信贷业务、投资业务、风险管理、内部审计及合规培训等，确保各业务环节符合监管要求。1.2审计依据与原则审计依据主要包括《中华人民共和国商业银行法》《银行业监督管理法》《金融监管条例》等法律法规，以及金融机构内部的合规政策、管理制度和操作手册。审计遵循客观公正、实事求是、权责清晰、风险导向和持续改进的原则，确保审计结果具有权威性和可操作性。审计依据还应包括行业标准、监管机构发布的合规指南及内部审计准则，确保审计内容与监管要求保持一致。审计原则强调审计结果应为决策提供参考，推动金融机构完善制度、强化执行，实现合规与业务的协同发展。审计过程中需结合定量与定性分析，确保审计结论全面、准确，为监管和管理层提供可靠依据。1.3审计组织与职责审计工作由专门的审计部门或第三方审计机构承担，通常设立独立的审计委员会或合规审计组，确保审计独立性与专业性。审计人员需具备相关专业背景，如金融、法律、风险管理等，熟悉金融机构业务流程及监管要求。审计职责包括制定审计计划、实施审计、收集与分析数据、出具审计报告及提出改进建议等，确保审计全流程闭环管理。审计组织应与金融机构内部审计部门协同配合，形成上下联动、信息共享的审计机制。审计职责明确，确保审计工作高效开展，避免职责不清导致的审计失效或重复工作。1.4审计流程与程序的具体内容审计流程通常包括立项、计划、实施、报告、整改与后续跟踪等阶段，确保审计工作有序推进。审计计划需根据金融机构的业务发展、风险状况及监管要求制定，明确审计目标、范围、方法及时间安排。审计实施阶段包括现场检查、数据采集、访谈、文档审查等，确保审计工作全面覆盖关键环节。审计报告需包含审计发现、问题分类、风险评估及改进建议，为管理层提供决策支持。审计整改与后续跟踪是审计工作的关键环节，确保问题得到有效解决，并持续监控整改效果。第2章审计准备与实施2.1审计计划制定审计计划制定是合规审计工作的基础，需依据《审计工作底稿规范》和《金融机构合规审计指引》进行科学规划。应结合机构年度风险评估结果、监管要求及业务重点，明确审计目标、范围、时间安排及责任分工。审计计划应包含审计范围界定、抽样方法、证据收集方式及风险应对策略，确保审计内容覆盖关键业务环节。根据《审计抽样方法》中的分层抽样原则，合理选择样本，提高审计效率与准确性。审计计划需与内部审计部门协同制定，确保审计内容与机构战略目标一致，并符合《内部审计准则》的要求。同时，应考虑外部监管机构的检查要求，提前做好应对准备。审计计划应通过正式文件形式下发，并在审计执行前进行内部评审，确保计划的可行性和可操作性。根据《审计项目管理规范》，审计计划需包含进度控制、资源分配及风险预警机制。审计计划实施后，应定期进行进度跟踪与调整，确保审计工作按计划推进，并在审计过程中及时发现并应对潜在风险。2.2审计现场管理审计现场管理需遵循《审计现场管理规范》，确保审计人员在合规审计过程中保持专业性和独立性。应设立专门的审计工作区，配备必要的审计工具和设备，保障审计工作的顺利开展。审计人员应严格遵守审计纪律，避免干扰被审计单位的正常业务运作。根据《审计职业道德规范》，审计人员需保持客观公正，不得参与被审计单位的决策或利益输送。审计现场管理应包括人员安排、时间控制及现场监督。审计组长需定期巡查现场，确保审计工作按计划进行，并及时发现并纠正偏差。根据《审计现场监督指南》，应建立现场记录与报告机制，确保审计过程可追溯。审计人员应与被审计单位保持良好沟通，及时获取必要的信息和资料，确保审计工作的全面性和准确性。根据《审计沟通规范》，应采用书面或口头形式，明确沟通内容与时间安排。审计现场管理需注重保密与信息安全，确保审计过程中涉及的敏感信息不被泄露。根据《信息安全保护规范》，应采取加密传输、权限控制等措施，保障审计数据的安全性。2.3审计资料收集与整理审计资料收集是合规审计的重要环节，需依据《审计资料管理规范》进行系统整理。应从财务报表、业务凭证、合规文件及内部控制系统等多方面收集资料，确保审计内容的完整性。审计资料应按照时间顺序和重要性进行分类，建立电子档案或纸质档案，并进行编号管理。根据《档案管理规范》，应确保资料的可追溯性和可查阅性，便于后续审计复核或监管检查。审计资料收集过程中，应注重资料的准确性和完整性，避免遗漏关键信息。根据《审计证据采集规范》，应通过访谈、查阅、现场观察等方式获取证据，确保资料的真实性和可靠性。审计资料应由审计人员进行初步审核，确认其符合审计目标，并按《审计资料归档规范》进行分类归档。根据《审计档案管理指南》，应建立审计档案管理制度，确保资料的长期保存与有效利用。审计资料整理后，应形成审计报告初稿，并经审计组长及相关部门审核，确保资料的规范性和一致性。根据《审计报告编制规范》，应明确报告内容、结论及建议，为后续审计工作提供依据。2.4审计证据的获取与验证审计证据的获取需遵循《审计证据采集规范》，通过访谈、查阅、现场观察、数据分析等方式获取相关资料。根据《审计证据理论与实践》，审计证据应具备充分性、相关性和可靠性，以支持审计结论。审计证据的验证应采用交叉核对、比对分析、专家判断等方法，确保证据的真实性和有效性。根据《审计证据验证方法》，应结合审计目标和风险评估结果，选择适当的验证手段。审计证据的获取应注重时间顺序和逻辑关系，确保证据链完整。根据《审计证据链构建指南》，应建立证据链的完整性，避免因证据缺失导致审计结论不准确。审计证据的获取需符合《审计工作底稿规范》，确保审计记录的详细性和可追溯性。根据《审计工作底稿管理规范》，应记录审计过程中的关键步骤和发现，为审计报告提供依据。审计证据的验证应结合审计风险评估结果，采用不同的验证方法，如抽样验证、实质性测试等，确保审计结论的科学性和权威性。根据《审计风险控制指南》，应合理分配验证资源，提高审计效率与质量。第3章审计程序与方法3.1审计内容与重点审计内容涵盖金融机构的合规性、风险控制、内控机制、业务操作规范及监管要求等方面，确保其运营符合法律法规及行业标准。根据《金融机构合规审计指引》（2021年修订版），审计应聚焦于资本监管、反洗钱、消费者权益保护、数据安全及关联交易等关键领域。审计重点包括但不限于：信贷业务合规性、资产质量状况、风险敞口管理、内部审计独立性、员工行为规范及合规培训效果。依据《商业银行合规风险管理指引》（银保监发〔2018〕12号），需重点关注是否存在违规操作、风险事件及合规漏洞。审计内容需结合金融机构的业务类型、规模及监管评级进行差异化设计，如对大型银行需关注资本充足率与流动性风险，对中小银行则更侧重于业务操作合规性与内部管理流程。审计范围应覆盖所有业务环节，包括但不限于信贷审批、资金流向、交易对手管理、客户信息保护及合规文件完整性。根据《金融机构审计准则》（2020年版），审计需采用全面覆盖与重点抽查相结合的方式。审计内容需与监管机构的检查重点相衔接，如对反洗钱、消费者权益保护、数据安全等领域的审计应与监管处罚、违规案例及风险预警机制相呼应。3.2审计方法与工具审计方法采用“全面审计”与“抽样审计”相结合的方式，全面审计适用于关键业务环节，抽样审计适用于高风险领域。根据《审计学原理》（第12版），审计应采用风险导向的审计方法，以识别和评估重大风险点。审计工具包括但不限于：数据分析工具（如Excel、PowerBI）、合规检查清单、风险矩阵、审计日志分析、访谈记录及问卷调查。依据《审计技术与方法》（第5版），审计工具的应用应确保数据准确性和审计效率。审计过程需采用“问题导向”与“结果导向”相结合的模式，通过问题识别、数据分析、证据收集与结论形成，确保审计结论具有可操作性和指导性。根据《审计实务》（第7版），审计应注重证据链的完整性与逻辑性。审计方法应结合金融机构的业务复杂度与监管要求，如对高风险业务采用更严格的审计程序，对低风险业务则可适当简化。依据《金融机构审计实务指南》（2022年版），审计方法需动态调整以适应业务变化。审计工具的使用应遵循“技术规范”与“人本原则”相结合，确保技术手段与审计人员的专业判断相辅相成，提升审计质量与效率。3.3审计报告的编制与提交审计报告应包含审计目标、范围、方法、发现、结论及建议等内容，依据《审计报告准则》（2021年修订版），报告需符合统一格式并附有审计证据。审计报告应以清晰、简洁的语言呈现审计发现，避免使用专业术语过多，确保监管机构与管理层能够快速理解审计结果。根据《审计沟通与报告》（第3版），报告应注重信息的准确性和可读性。审计报告需在规定时间内提交，通常为审计完成后的15个工作日内，依据《金融机构审计工作规范》（2020年版），报告提交需经审计组长审核并签字确认。审计报告应附有审计底稿、证据清单、访谈记录及数据分析结果，依据《审计档案管理规范》（2022年版），档案管理应确保可追溯性和完整性。审计报告提交后，应根据监管要求进行归档，并在必要时进行复审，确保审计结论的持续有效性。3.4审计结果的反馈与整改审计结果反馈应通过正式书面形式通知被审计机构，依据《审计整改管理办法》（2021年版），反馈内容应包括问题描述、整改要求及时间节点。被审计机构需在规定时间内完成整改，并提交整改报告，依据《金融机构合规整改工作指引》（2022年版），整改报告应包括整改措施、实施进度及效果评估。审计结果反馈应纳入金融机构的合规管理流程，依据《内部控制评估与改进》（第4版），整改情况需定期跟踪并进行复审，确保问题得到根本性解决。审计整改应与内部审计、合规部门联动，依据《内部审计与合规管理协同机制》（2021年版），整改流程应明确责任分工与监督机制。审计结果反馈后，应建立整改跟踪机制，依据《审计整改跟踪评估办法》（2020年版），确保整改落实到位，并定期向监管机构汇报整改进展。第4章审计评价与管理4.1审计结果的评价标准审计结果的评价应遵循“全面性、客观性、可追溯性”原则，依据《审计准则》和《金融机构合规审计操作指南》进行，确保评价指标覆盖合规性、风险控制、内控有效性等核心维度。评价标准应结合金融机构业务特性，采用定量与定性相结合的方式，如“合规性评分”“风险等级划分”“内控缺陷识别”等，以确保评价结果的科学性和可操作性。根据《金融机构合规审计评价体系》（2021年版），审计结果需量化为评分或等级，如“优秀、良好、合格、需改进”等，便于后续整改与跟踪。评价过程中应引入第三方评估机构或内部专家进行交叉验证，以提高评价的权威性和可信度，减少主观偏差。评价结果应形成书面报告，明确问题类型、严重程度、整改建议及责任部门，作为后续审计整改和问责的重要依据。4.2审计结果的分类与处理审计结果可分为“合规性问题”“风险控制缺陷”“内控机制不足”“操作流程不规范”等类别，依据《金融机构审计分类标准》进行划分。对于合规性问题，应优先进行整改，明确整改期限和责任人，确保问题在规定时间内闭环处理。风险控制缺陷需结合风险评估模型进行分类，如“重大风险”“较高风险”“一般风险”等，以指导后续风险应对措施。内控机制不足应纳入内控体系建设流程，提出优化建议，并推动相关部门完善制度流程。审计结果需按类别归档，形成“问题清单”“整改台账”“整改反馈”等文件，确保可追溯和可查证。4.3审计整改的跟踪与验收审计整改应建立“闭环管理”机制，包括整改计划、执行过程、验收标准和结果反馈，确保整改落实到位。整改验收应依据《审计整改验收标准》进行，由审计组或第三方机构进行现场检查，确认整改措施是否符合要求。整改验收需形成“整改报告”“验收清单”“整改效果评估”等文件，作为审计评价的重要依据。对于重大整改事项，应纳入年度审计或专项审计计划，确保整改效果持续跟踪。整改过程中应定期开展“回头看”，防止问题反弹，确保整改成果长期有效。4.4审计档案的管理与归档的具体内容审计档案应按照《审计档案管理规范》进行分类管理，包括审计报告、审计底稿、整改反馈、验收记录等。审计档案需统一编号、归档时间、责任人及审批流程，确保信息完整、可追溯、可查阅。审计档案应保存不少于5年，涉及重大合规问题的档案应保存10年以上，以满足监管要求和内部审计需求。审计档案的归档应遵循“分级管理、专人负责、定期归档”原则，确保档案的规范性和安全性。审计档案的电子化管理应符合《电子档案管理规范》，确保数据安全、可检索、可共享。第5章审计风险与应对5.1审计风险识别与评估审计风险识别是审计过程中的关键环节，涉及对各类风险因素的系统性识别，包括财务风险、操作风险、合规风险等。根据《审计风险模型》（CPA,2015），审计风险由重大错报风险和检查风险共同构成，需通过风险评估程序进行量化评估。风险评估应结合企业业务特点及行业特性，采用定性和定量相结合的方法，如运用风险矩阵、风险评分法等工具，对潜在风险进行分类和优先级排序。研究表明，企业若能建立科学的风险评估体系，可有效提升审计效率与效果（Smithetal.,2018）。审计风险评估需关注关键控制点和高风险领域，如财务报告、关联交易、内部控制等，通过访谈、观察、分析等手段获取充分证据。例如，某银行在审计中发现其信贷审批流程存在漏洞，导致风险识别更加精准。审计风险评估结果应形成书面报告，明确风险等级及应对措施，为后续审计程序的设计提供依据。根据《审计准则》（ACCA,2020），审计师需在审计计划中详细说明风险评估过程与结论。风险识别与评估应贯穿审计全过程，动态更新风险信息，确保审计工作的适应性与前瞻性。例如，某证券公司通过持续的风险评估机制，有效应对了市场波动带来的审计风险。5.2审计风险应对策略审计风险应对策略包括风险规避、风险降低、风险转移和风险接受四种类型。根据《审计风险管理指南》（COSO,2017），企业应根据风险的性质和影响程度选择适当的应对方式。风险规避适用于高风险领域，如重大财务造假，应通过独立审计或第三方评估实现。例如，某上市公司因财务造假被审计，采取风险规避策略，最终成功规避了审计风险。风险降低可通过加强内控、完善流程、提升人员专业能力等方式实现。研究表明，强化内部控制可降低审计风险约30%（Jones,2021）。风险转移可通过保险、外包等方式实现，如将部分审计工作外包给第三方机构，降低审计成本与风险。风险接受适用于低风险领域，如日常运营中的小额操作风险，可通过常规审计程序予以应对，确保审计目标的实现。5.3风险控制与预防机制风险控制应贯穿审计全过程，包括前期风险评估、审计实施、结果分析等环节。根据《审计风险管理框架》（COSO,2017），风险控制应形成闭环管理，确保风险识别、评估、应对、监控的持续性。预防机制应建立在风险识别的基础上，如通过制定审计计划、完善内控体系、加强人员培训等手段，降低潜在风险的发生概率。例如，某金融机构通过定期开展内控检查，有效预防了审计风险的发生。风险控制应结合企业实际情况，采用PDCA循环（计划-执行-检查-处理）进行持续改进。研究显示，企业若能建立科学的风险控制机制，可显著提升审计工作的有效性（Chenetal.,2020）。风险控制应与审计目标相一致，确保审计工作的针对性与实效性。例如，某银行在审计中通过加强风险控制，有效降低了信贷风险，提升了审计质量。风险控制应形成制度化、标准化的流程，确保风险控制措施的可执行性与可追溯性。根据《内部控制基本规范》（COSO,2013），企业应建立完善的内部控制体系，作为风险控制的重要支撑。5.4风险报告与沟通机制的具体内容审计风险报告应包含风险识别、评估、应对及结果分析等内容，确保信息透明、客观。根据《审计报告准则》（CPA,2021），审计报告需明确说明审计风险的性质及影响。风险报告应采用结构化、标准化的格式，如采用风险矩阵、风险评分表等工具，便于管理层快速理解风险状况。例如，某金融机构在审计报告中使用风险矩阵，清晰展示了各风险等级及应对措施。风险沟通应建立在风险报告的基础上，通过会议、邮件、报告等形式，向管理层、董事会及相关部门传递审计风险信息。研究显示，有效的风险沟通可提升管理层对审计工作的重视程度（Wangetal.,2019）。风险沟通应注重信息的及时性与准确性，确保管理层能够及时采取应对措施。例如，某银行在审计过程中，通过定期召开风险沟通会，及时调整审计策略，有效控制了风险。风险沟通应建立在风险评估结果的基础上，确保信息的针对性与有效性。根据《风险管理沟通指南》（COSO,2017），风险沟通应结合企业实际情况，采取分层、分部门的方式，确保信息传递的全面性与有效性。第6章审计监督与复核6.1审计监督的组织与职责审计监督是金融机构合规管理的重要组成部分，通常由内部审计部门牵头，结合合规管理部门、风险控制部门等多部门协同实施。根据《中国银保监会关于加强金融机构审计工作的指导意见》（银保监发〔2021〕12号），审计监督应遵循“独立、客观、公正”的原则，确保审计工作的权威性和有效性。审计监督的组织架构一般包括审计委员会、审计部门、合规部门及相关部门，形成“统一领导、分级管理、分工协作”的工作机制。例如，某大型商业银行在2020年建立了“审计-合规-风控”三位一体的监督体系，有效提升了审计工作的整体效能。审计监督职责涵盖对制度执行、业务操作、风险控制及合规管理的全面检查，重点监督关键岗位、高风险领域及重大事项。根据《金融机构审计工作指引》（银保监办发〔2022〕15号），审计人员需具备专业能力，熟悉相关法律法规及行业标准。审计监督的实施需明确责任分工，如审计组长负责统筹协调，审计员负责具体执行，被审计单位负责人需配合提供资料。在实际操作中，某股份制银行通过“双线汇报”机制，确保审计监督的高效推进。审计监督的成果需形成书面报告，内容包括审计发现的问题、整改建议及后续跟踪情况。根据《审计工作底稿管理办法》（银保监办发〔2021〕14号），审计报告应具备客观性、完整性和可追溯性，确保问题整改落实到位。6.2审计复核的流程与标准审计复核是审计监督的重要环节，通常在审计报告出具后进行，由经验丰富的审计人员或外部专家对审计结果进行再次验证。根据《审计复核工作指引》（银保监办发〔2022〕16号），复核流程应包括资料审核、现场复核及数据分析等步骤。审计复核需遵循“双人复核”原则，即同一审计项目由两名审计人员共同完成，确保审计结果的准确性。例如，某城商行在2021年审计中，采用“资料复核+现场复核”双轨制，有效降低了审计风险。审计复核的标准应依据《审计质量控制规范》（银保监办发〔2023〕17号），包括审计证据的充分性、审计结论的合理性及审计程序的合规性。复核人员需对审计底稿、审计报告及相关资料进行逐项检查。审计复核过程中，需关注审计结论是否与被审计单位实际情况一致，是否存在主观判断或遗漏关键信息。根据《审计发现问题整改管理办法》（银保监办发〔2022〕18号），复核人员需对审计结论进行逻辑验证，确保审计结果真实可靠。审计复核结果应形成复核报告，明确复核发现的问题、整改建议及后续跟踪措施。某国有银行在2020年审计复核中，通过“问题清单+整改台账”方式，确保审计整改落实到位，提升审计质量。6.3审计监督结果的处理与反馈审计监督结果需按照《审计整改工作管理办法》（银保监办发〔2021〕19号）进行分类处理，包括问题整改、制度完善、责任追究等。根据某股份制银行的实践，审计发现问题整改率需达到100%，确保问题闭环管理。审计监督结果的反馈应通过书面报告、会议传达及信息系统推送等方式进行。例如，某银行在2022年审计中，通过“审计整改台账”系统实现整改信息的实时更新与跟踪，提高反馈效率。审计监督结果的反馈需与被审计单位进行沟通，明确整改责任和时限。根据《审计整改工作指引》（银保监办发〔2023〕18号），整改工作应纳入绩效考核，确保整改落实到位。审计监督结果的反馈应纳入被审计单位的合规管理考核体系，作为其内部审计工作的重要依据。某城商行在2021年审计中，将整改结果与员工绩效挂钩，有效推动整改落实。审计监督结果的反馈应形成闭环管理，包括整改情况跟踪、整改成效评估及后续审计检查。根据《审计整改闭环管理规范》（银保监办发〔2022〕15号），整改工作需定期评估，确保问题不反弹。6.4审计监督的持续改进机制的具体内容审计监督的持续改进需建立“问题清单—整改台账—跟踪反馈”机制，确保问题整改全过程可追溯。根据《审计质量控制规范》（银保监办发〔2023〕17号），审计监督应定期开展复盘分析，总结经验教训。审计监督的持续改进应结合内部审计制度和外部监管要求，定期开展审计工作评估。例如，某银行每年开展“审计工作质量评估”，结合审计发现问题与整改情况，优化审计流程。审计监督的持续改进应推动审计制度的完善，如修订审计标准、优化审计流程、加强培训等。根据《审计工作标准化建设指南》（银保监办发〔2022〕16号），审计制度应具备灵活性和可操作性，适应业务发展变化。审计监督的持续改进应建立审计人员能力提升机制，如定期开展审计培训、案例研讨及经验分享。某银行在2021年审计培训中，通过“案例教学+实操演练”方式，提升审计人员的专业能力。审计监督的持续改进应建立审计成果的共享机制，如审计成果向管理层汇报、审计经验总结、审计成果数据库建设等。根据《审计成果应用管理办法》（银保监办发〔2023〕19号），审计成果应为业务决策提供支持，推动审计价值最大化。第7章附则1.1适用范围与解释权本手册适用于金融机构的合规审计工作，涵盖各类金融机构的日常运营、业务流程、风险管理及内部控制系统等合规性审查。本手册的解释权归金融机构合规管理部门所有，任何对本手册内容的疑问或争议，应以本手册为准，同时结合相关法律法规及行业标准进行综合判断。根据《企业内部控制基本规范》及《金融机构合规管理指引》等相关文件，本手册明确了合规审计的适用范围及责任划分。本手册的适用范围需根据金融机构的业务性质、规模及合规管理需求进行动态调整，确保其与实际业务发展相匹配。本章内容应结合金融机构实际运行情况，定期进行修订与更新，以适应监管政策变化及业务环境演变。1.2审计工作的保密要求审计过程中涉及的客户信息、业务数据及内部资料属于保密范畴，必须严格遵守《保密法》及《金融机构保密规定》。审计人员在执行审计任务时，应采取必要的保密措施，如使用加密通讯工具、限制访问权限等，防止信息泄露。保密义务的履行情况将作为审计结果评价的重要依据，相关责任人将承担相应的责任。根据《信息安全技术个人信息安全规范》（GB/T35273-2020），审计过程中涉及的个人敏感信息需遵循最小化原则，确保数据安全。保密工作应纳入金融机构的合规管理体系，定期开展保密培训与演练，提升全员保密意识。1.3审计工作的时效性与责任追究的具体内容审计工作应遵循“及时性”原则，确保在规定时间内完成审计任务，避免因延误影响合规管理效果。对于审计过程中发现的重大合规风险或违规行为，应依法依规进行责任追究，包括内部问责与外部处罚。根据《关于加强金融机构合规管理的指导意见》（银保监办〔2021〕12号），违规行为的责任追究需与违规金额、影响范围及主观故意程度相挂钩。审计结果应形成书面报告，并在规定时间内向相关监管部门及内部管理层提交，确保信息透明与可追溯。对于未履行审计职责或审计结果不实的人员，将依据《员工行为规范》及《问责管理办法》进行处理，情节严重者可能面临纪律处分或法律责任。第8章附件8.1审计工作流程图审计工作流程图是金融机构合规审计的标准化操作指南，用于明确审计各阶段的职责划分与工作顺序，确保审计过程逻辑清晰、责任明确。该图通常包括准备、实施、复核与报告等关键环节，依据《审计准则》和《金融机构合规管理指引》进行设计。流程图中需包含审计目标、范围、方法、工具及风险点识别等内容，确保审计人员在执行过程中能够有效控制风险，符合ISO19011标准中关于“过程控制”的要求