(四)信息与沟通,即收集、处理、传递与内部控制相关的信息,并能有效沟通的情况;
(五)对控制的监督,即对各项内部控制设计、职责及其履行情况的监督检查。
第六十二条 审计人员可以从下列方面调查了解被审计单位信息系统控制情况:
(一)一般控制,即保障信息系统正常运行的稳定性、有效性、安全性等方面的控制;
(二)应用控制,即保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。
第六十三条 审计人员可以采取下列方法调查了解被审计单位及其相关情况:
(一)书面或者口头询问被审计单位内部和外部相关人员;
(二)检查有关文件、报告、内部管理手册、信息系统的技术文档和操作手册;
(三)观察有关业务活动及其场所、设施和有关内部控制的执行情况;
(四)追踪有关业务的处理过程;
(五)分析相关数据。
第六十四条 审计人员根据审计目标和被审计单位的实际情况,运用职业判断确定调查了解的范围和程度。
对于定期审计项目,审计人员可以利用以往审计中获得的信息,重点调查了解已经发生变化的情况。
第六十五条 审计人员在调查了解被审计单位及其相关情况的过程中,可以选择下列标准作为职业判断的依据:
(一)法律、法规、规章和其他规范性文件;
(二)国家有关方针和政策;
(三)会计准则和会计制度;
(四)国家和行业的技术标准;
(五)预算、计划和合同;
(六)被审计单位的管理制度和绩效目标;
(七)被审计单位的历史数据和历史业绩;
(八)公认的业务惯例或者良好实务;
(九)专业机构或者专家的意见;
(十)其他标准。
审计人员在审计实施过程中需要持续关注标准的适用性。
第六十六条 职业判断所选择的标准应当具有客观性、适用性、相关性、公认性。
标准不一致时,审计人员应当采用权威的和公认程度高的标准。
第六十七条 审计人员应当结合适用的标准,分析调查了解的被审计单位及其相关情况,判断被审计单位可能存在的问题。
第六十八条 审计人员应当运用职业判断,根据可能存在问题的性质、数额及其发生的具体环境,判断其重要性。
第六十九条 审计人员判断重要性时,可以关注下列因素:
(一)是否属于涉嫌犯罪的问题;
(二)是否属于法律法规和政策禁止的问题;
(三)是否属于故意行为所产生的问题;
(四)可能存在问题涉及的数量或者金额;
(五)是否涉及政策、体制或者机制的严重缺陷;
(六)是否属于信息系统设计缺陷;
(七)政府行政首长和相关领导机关及公众的关注程度;
(八)需要关注的其他因素。
第七十条 审计人员实施审计时,应当根据重要性判断的结果,重点关注被审计单位可能存在的重要问题。
第七十一条 需要对财务报表发表审计意见的,审计人员可以参照中国注册会计师执业准则的有关规定确定和运用重要性。
第七十二条 审计组应当评估被审计单位存在重要问题的可能性,以确定审计事项和审计应对措施。
第七十三条 审计组针对审计事项确定的审计应对措施包括:
(一)评估对内部控制的依赖程度,确定是否及如何测试相关内部控制的有效性;
(二)评估对信息系统的依赖程度,确定是否及如何检查相关信息系统的有效性、安全性;
(三)确定主要审计步骤和方法;
