1、1000-宗旨 权利和职责:必须在审计章程中确认,和内审定义、 道德规范和标准保持一致。首席审计官检查章程,提交高级管理层和董事会审批。宗旨:像谁服务汇报,如果像董事会则会有效开展;权利:明确首席审计官不受限与审计委员会接触,独立性;职责:内审范围,确认和咨询服务的性质1000.a1:确认服务的性质要在章程中确认,如果想外部提供确认服务也要在章程里确认。1000.c1:咨询服务的性质也在在章程中确认章程审批最终权限在董事会1010-内部审计章程中药确认内部审计定义 、 道德规范和标准 。首席审计官像高级管理层和董事会解释独立性客观性1100-内审保持独立性客观性,向组织内部能确保内审履行职责的
2、部门汇报,审计官必须每年至少一次向董事会确认内审独立性(职能向审计委员会报告,行政上 CEo 报告;最好能出席董事会组织治理系统控制等事项;董事会要 1)批准内部审计章程 2)批准内审计划 3)批准内审预算 4)沟通审计计划实施 5)首席审计官任免和薪酬 6)是否存在不当审计范围和限制1100-a1: 内审在确认内部审计范围,开展工作和报告时免受干扰。1111:首席审计官与董事会直接沟通1120:内审师有公正不偏不倚的态度,避免利益冲突内审人员不办理经济业务,不参与生产活动1130- 如果独立性和客观性受影响,必须纰漏情况首席审计官判断后重新指派内审师;如果审计受限制要书面向董事会,审计委员会
3、报告1130-a1: 避免评价以往负责的业务,如果上 1 年还在做这个业务今年做确认审计,则损害不承担运营责任,如果开展非审计工作,不应该以审计师身份开战;如果为即将实施的系统或控制进行评估和负责则 ok,如果参与了设计,起草,安装和操作,则客观性受损1130-a2:确认服务涉及首席审计官负责的职能领域时,必须有独立审计部的一方监督1130-c1:可以对以往负责业务提供咨询服务1130-c2:若咨询业务独立性和客观性存在损害要在该业务之前披露客观性:要求保持独立个人思考状态不收利益和他人左右;损害的情况可能有:1)个人利益冲突 2)工作范围和接触资料限制 3)经费资源受约束专业能力和职业谨慎1
4、200-内审师要有专业能力和职业谨慎1210-专业能力:个人要有必要技术知识和能力;内审整体要有技术知识和能力包括审计标准和程序,会计原则,管理原则,舞弊信号,人机交流1210-a1:如果内审师缺少能力,首席审计官要向他人寻求专业建议需要技术,统计,税收,翻译等专业技能,开展舞弊和安全调查,法规,合并项目等1210-a2:要充分了解舞弊风险和组织管理舞弊风险知识,但不需要掌握以发现和调查舞弊的人员的专门技能1210-a3:必须充分了解关键信息技术风险控制和掌握技术的审计方法,翻不需要掌握专门从事信息技术审计的技能1210-c1:如果缺乏完成必须知识,要谢绝开展此类工作1220-职业谨慎:保持合
5、理谨慎水平,但不代表不犯错无论何时都要考虑重大违反乱纪现象和不遵守灌顶的可能性1220.a1:考虑一下因素履行职业谨慎:1)工作范围 2)确认事项复杂性,重要性和有效性 3)治理风险管理和控制的适当性和有效性 4)重大错误舞弊的可能性 5)确认成本1220.a2:履行职业谨慎要考虑利用技术的审计方法和数据分析1220.a3:警惕重大风险,但不代表保证发现重大错误1220.c1:咨询业务时,履行谨慎性考虑几点:1 )客户需求与期望 2)开展工作的复杂性和范围 3)成本1230-持续职业发展:内审师要持续职业发展质量保证和改进1300-质量保证和改进:首席审计官必须建立维护涵盖内审活动所有方面的质
6、量改进和保证保证和改进程序的目的看内审是否遵守道德,标准和定义包括:1.涵盖内审全部活动 2.持续监控内审效果 3.遵守 3 个标准 4.为组织增加价值改善运营 5.定期内部评估 6.五年一次外部评估1310:质量保证和改进的要求:包括内部评估和外部评估1311-内部评估:包括对内审活动执行的持续监督 和 定期自我评估或组织能了解内审的人员进行评估首席审计官至少每年向董事会报告评估结果,内部评估包括 1.持续监督,审计工作是否遵守 3 标准 2.定期评估管理人员抽样,问卷调查。首席审计官可将结果与外部风险 但不能成为外部评估结果的保障1312-外部评估: 至少每 5 年开展一次,由组织外部合股
7、独立人员开展,首席审计官和董事会讨论:1 外部评估形式和平率 2.外部评估资质和独立性人员不可利益冲突,外审师可以,但组织其他部门人员不是独立的不行;人员要求了解内审实物和外部评估要求。并非每个人具备胜任能力,只要小组具备就好,首席审计官参与高级管理层和董事会对外部评估的挑选,鉴别是否胜任。首席审计官响应外部评估的评论和建议,编制书面计划行动,采取跟踪1320-遵循标准的应用:只有质量保证和改进程序结果证明内审遵守标准 ,首席审计官才可发表声明内外部评估对遵守 3 标准的记过要在完成时马上报告,持续监督的结果每年报一次,成立满 5 年的审计组还要有外部评估结果,如果未完全遵守 3 标准,首席审
8、计官要想董事会纰漏影响1322-未遵守的披露:为遵守内审定义、 职业道德规范和标准必须像高级管理层和董事会披露2000-内审活动管理- 首席审计官要有效管理内审活动,为组织增加价值2010-内审计划:首席审计官要制定风险为基础的计划,确保与组织目标一致内审业务计划一年一次至少,在风险评估的基础上,包括审计目标,业务安排,人员配置,预算等。必须要以风险为基础制定计划,关注:1)不可接受的流动风险 2)控制薄弱 3)组织依赖最高的控制 4)固有风险高 5)固有风险和剩余风险差很大。最有效的工具是建立风险框架,其他要素包括组织风险偏好,战略,内外环境2010.a1-内审计划要建立在风险评估基础上,每
9、年制定一次,考虑 2 高层意见年度审计计划包括审计目标,范围,资源等,审计委员会和董事会的审批中对范围的限制不失为独立性损害2010.a2-首席审计官考虑 2 高层和其他利益相关方对审计意见和结论的预期2010.c1-首席审计官在考虑咨询业务时,要考虑该业务在改善风险管理,增加价值 ,该省运营的潜在作用,已接受的咨询业务要纳入计划2020-沟通和批准- 内审活动计划和资源要求和临时性变化要和 2 高层审批,并就资源受限的情况向 2 高层沟通发生重大事项要想 2 高层汇报,包括违法,低效,浪费,重大控制薄弱,利益冲突,舞弊等每年定期提交一次工作报告2040-政策和程序- 首席审计官制定政策和程序
10、,为内审提供指导2030-资源管理- 首席审计官确保内审资源适当充分配置若内部资源不足,应当报告高层审批,中期计划都要报备,内审计划批准后,首席审计官分配审计小组,当审计部小组不具备能力,可以考虑培训或外聘。首席审计官制定方案选择和开发内审人力资源规定:1)制定审计人员岗位说明 2)选择合格胜任的人员 3)培训内审人员后续教育 4)每年一次内审的业绩评定 5)向内审人员提供业绩和专业发展咨询2050-协调-首席审计官应当与相关确认和咨询服务的外部方共享信息,确保工作没有重复内外审的协调工作首席审计官负责,没有重复的内外审工作时,内审可以靠外审的工作确定审计范围,可互相接触底稿,外审有权得到内审
11、最终报告,管理层的回应和后续检查2070-审计外包的情况下,外包商必须使组织了解其对有效地内审活动负责内审活动要对未发风险搞得领域关注同时考虑健康,环境和安全部门2060-向 2 高层报告 -首席审计官定期向高级管理层和董事会报告宗旨,权利,责任和计划开展,还要包括重大风险纰漏,舞弊,治理等要向 2 高层报告质量保证和改进程序的结果,高级管理层要将重大发现向管理层报告,2高层有责任对重大审计发现和建议所采取的改进措施做决定,如果首席审计官认为高级管理层接受了组织不能承受的风险,要与高级管理层讨论,确认高级管理层是否有接受风险的权限,如果无法达成一致,根据 2060 向董事会报告第二章内审在公司
12、治理、风险管理和内控中的作用2100-工作性质:内审要用系统,规范的方法,评估协助改善风管和控制的过程。确保管理层的风管系统有效,内控系统高效2110-公司治理和内审:内审评价并提出失当改进建议,实现以下过程:1)推广道德和价值观 2)确保组织开展有效业绩管理和问责 3)通报风险和控制信息 4)协调董事会 外审内审之间沟通组织的治理过程涵盖对组织战略,目标,效率,效果,财务等产生负面影响的控制,制定和宣传目标和价值、监控目标实现的情况、确保责任机制、维护价值程序2110.a1-内审部门要针对组织内与道德相关目标计划和业务评估涉及实施效果2110.a2-内审活动要评估组织信息技术治理是否支持战略
13、目标Sox 法案中公司治理 4 大基石:1 )董事会,确保有效内控 主要职责有监控经营 组织控制程序等,名下有许多委员会,其中审计委员会一定要有一名财务专家。审计委员会职责包括 a 讨论财报发出质疑 b 评估盈利信息 c 讨论风险评估和管理 d 负责内审机构建立和运行等 2)高级管理层:实施风险管理和内控 3)外审:保持独立性,审计和咨询分开 4)审计委员会内审:增强报告独立性(观察并评估治理结构和运行有效性)2110-3 内审作用:内审在评估治理的改进方面有多重作用,作用大致有提供风险评估,提供控制确认,提供经营咨询最后还有遵循性审计内审在风险管理中的职责是运用风险评估方法:1.评价现有风险
14、和 2 高层讨论 2.制定系统评价组织风险 3.组织有风险真空时领导风险活动 4.推进风险评价 5.评价和计算机最新发展联系的风险 6.协助管理层推行贯彻组织的风险模型2120-风险管理和内部审计- 内审必须评价风管有效性并作出评价2120.a1:内审必须评估:1.组织目标实现 2.运营和财务信息真实性 3.运营效率 4.资产安全 5.法律法规政策和合同的遵守2120.a2:内审要评估舞弊和组织如果管理舞弊风险2120.c1:咨询审计中必须注意和业务目标相关风险 警惕其他重大风险存在2120.c2:咨询审计中了解到的风险要用户评价组织风险管理过程2120.c3:协助管理过程中,要避免再实际工作
15、中管理风险,从而承担管理层责任1.可接受风险:可以被主体接受的风险2.剩余风险:管理层采取了措施后任然存在的风险3.审计风险:对错误提供不恰当意见的风险=固有风险* 控制风险*检查风险4.固有风险:如果没有采取任何措施,一个主体面临的风险5.控制风险:由于内控局限,不能通过内部控制结构被预计和发现的风险6.检查风险:检查不当7.风险偏好:组织对风险的态度和容忍度8.市场风险:利率汇率股价等变动产生亏损的风险9.会计风险:会计处理对盈亏可能的风险风险管理技术和处理:1. 回避风险:做出的终止,放弃某种决定的方案和调整。前提是企业能认识形势,这种方式有很大局限性,并不是所有风险都可以回避2. 预防
16、风险:如果潜在损失远大于采取预防措施的成本,要采取预防手段3. 自留风险:自己承担,一般是用于对付发生概率较小,损失较低的风险4. 转移风险:将自己的风险转移到另一方,是应用范围最广,最有效的手段内审在风险管理中的角色:运用风险管理方法对风险管理有效性检查评价,战略方向由董事会委员会负责;风险归属为高级管理层;剩余风险由执行管理层;持续的确认监督由操作人员;定期评价由内审。如果风险管理未建立,内审可以协助机构对风险管理,但不该拥有已经确认的风险或对这些风险的管理。内控和内部审计2130-控制-内审必须评估控制效果和效率,促进控制改进,协助有效控制。2130.a1:内审要对以下控制的适当有效性评
17、价 1.组织战略目标 2.财务和运营信息可靠 3.运营效率和结果 4.资产安全 5.法律法规等的遵守。2130.c1:在咨询业务中了解的控制要勇于评估组织的控制过程控制类型:1. 前馈控制:发生在实际工作之前,质量培训项目,预测等实时系统2. 同期控制:发生在活动进行之中,典型的就是监督视察3. 反馈控制:舞弊风险意识:1. 为组织牟利的舞弊:欺诈外部团体,一般会获取间接个人利益。2. 为个人牟利的舞弊:如接受回扣,贪污挪用等个人遭受经济压力,组织面临资金压力,薪酬和成果挂钩等都是红旗标志红旗标识法:用一套文字的形式强调舞弊,控制弱点和危险信息号的关系,完整性精确性受到制作者的专业,经验的影响
18、。道德建设:内审定期评估企业道德建设,计划与设计实施内部审计业务准备阶段:2200-业务计划- 开展前制定业务计划包括:业务目标、范围、时间安排和资源。要进行重复准备,包括立项,了解单位情况,对审计领域进行风险评估,确认目标和范围,协调工作,确定人员水平和资源,制定审计业务工作方案2201-业务计划考虑的因素:1)被检查活动的目标和控制 2)被检查活动及目标存在重大风险控制在可接受水平的方式 3)治理,风管和内控的有效性 4)3 个治理手段改进的可能2201.a1:为组织外部制定业务计划时,要达成书面协议,明确目标,范围,职责等2201.c1:必须要与咨询客户就目标,范围,职责和期望达成协议,
19、必要时书面1. 审计立项:一般来源于年度审计计划,临时指派任务,对方单位提出的需求。2. 了解单位情况:与客户讨论,与审计事项有关人员面谈,现场观察,审核管理层研究工作报告,穿行测试,记录关键活动。审核之前的审计报告:可以根据以往报告确认审计重点,并将问题整改作为审计内容。 (2)编制内控调查问卷:检查内控是否存在,判断内控健全,容易完成,便于熟悉,但缺陷在于不利于发挥审计人员主观,表格设计有限,缺乏弹性 (3)面谈和穿行:要建立融洽自由坦诚的关系,要鼓励交流;穿行测试帮助审计人员熟悉调查的最有用的程序,是为了揭示内控工作底稿的客观性真实性和完整性 (4)开展风险评估:考虑宠大差错,舞弊,违规
20、的可能性。确认审计目标和范围2210-业务目标- 要为每项业务确认目标2210.a1:必须与检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果风险评估是年度审计计划的来源,目标就要与风险评估中确定的那些目标保持一致。2210.a2:考虑重大风险,舞弊差错的可能2210.a3:评估 3 要素要有适当标准,必须和 2 高层确认制定标准,如果不适当,要和 2 高层讨论制定适当的评估标准审计目标要是能衡量的,所以要开发评价标准。开展升级前首席审计官必须要识别审计活动中依照的标准,缺少标准会导致不恰当的审计结论。标准包括法律法规,政策指引,风管框架,经营成果,员工管理决策和责任,行业最佳,认证
21、指南。如果管理目标和标准模糊,要寻求权威解释,并与客户就业绩标准的确定达成一致。2210.c1:咨询业务的目标要在客户同意范围内,与组织的战略目标一致。2220-业务范围审计要检查和不检查什么内容,确认内审界限。由组织的章程和管理层要求来定。在具体活动中,要根据审计目标和业务性质来确定审计范围2220.a1:确认业务范围要考虑相关制度,记录,人员,资产2220.a2:开展确认业务时,如果出现重要咨询机会,要与客户达成书面协议,规定业务目标,范围,职责等2220.c1:开展咨询时,要实现客户确定的目标,注意与目标相关控制,警惕重大控制问题确认审计资源2230-审计资源分配- 根据业务性质,复杂,
22、时间等因素确认适当,重复的资源发出审计通知书特殊审计业务会突击审计,只向高级管理层和审计委员会通知,不通知被审计单位。通知书要抄送组织内相关部门或经济责任审计者本人。编制业务工作方案2240-业务工作方案:内审必须制定实现业务目标的书面方案包括利用的审计方法和抽样技术,说明审计目标,标出技术要求,说明测试的性质范围,收集信息的程序2240.a1:工作方案包括识别,分析,记录和评估的信息程序,在现场升级前批准,任何调整都要保费2240.c1:咨询的工作方案会议业务不同性质二变化。实施阶段:2300-业务实施- 识别,分析评价,记录充分信息,实现业务目标2310-识别信息: 识别充分可靠的信息23
23、20-分析和评价:基于恰当的分析和评价得出结论和业务结果2330-记录信息:记录相关信息支持结果2330.a1:控制对业务记录的接触,首席审计官要对外界提供记录前整的高级管理层和法律顾问的同意2330.a2:首席审计官要规定存档要求2330.c1:首席审计官制定咨询业务记录的保管,存档和对内发布现场工作:1. 进场会:说明审计依据,目标,内容,范围时间,方法,步骤等2. 收集通知书要求的材料3. 现场观察:提供较弱的证据,要其他证据来支持分析结果,且观察可能产生误导4. 分析性测试:多期比较,预算与实际比较,账户间分析,行业指标比较等,利用人员的经验和收集的合理标准,对照客户提供的信息,发现异
24、常波动详细测试:对原始凭证进行详细测试;符合性测试:又叫遵循测试,追踪财报等资料是否按照规定执行;实验法又叫重做法,将有关业务重做一遍;观察法:实地观察。如果符合性测试的抽样工作量大于实质性测试,则不必进行符合性测试,且符合性测试的前提是内控制度健全,如果没有内控制度且内控不遵守,可以不进行符合测试。实质测试:包括盘点实物,抽检凭证,核实复算,查询等符合性测试为实质性测试打基础,符合性测试的结果为确定实质性测试的范围、重点和时间提供依据。5. 符合性测试和实质性测试的区别:1.符合为了确定实质性测试的范围,重点和时间,实质是为了发表审核意见。2.符合对内控测试,实质视委托而定 3.符合依据独立
25、审计准则 ,实质依据内控审核指导意见 。4.符合视报表审计期间相同,实质视委托目的而定。5.符合形成工作底稿 实质心内部控制审核报告。6. 审计证据:是工作底稿的主要内容和支持审计判断的核心;是审计意见的基础;是确定解除内部审计责任的依据;是首席审计官检查审计工作质量和控制审计工作进度的依据。证据类型可分为:1 )直接证据:不需要推测和推理就能得出审计结论 2)旁证:为证明尚未证明的真想由非本人提供的证明,不可通过交叉检查验证,不容易被采纳 3)意见证据:存在偏见,除非核实了专家的胜任能力客观公正后,才能采纳专家意见 4)佐证:可以支持其他审计证据的审计证据,数量越多越强大 5)确证:不需要其
26、他佐证就可以确认结论 6)附属证据:直接证据无法的到时,通常要用刀与推论一致的的附属证据,属于间接证据,需要佐证来增强说服力2310-内审要识别充分、可靠相关且有用的信息。从而实现业务目标充分性:审计证据符合事实,有说明力;可靠性:可以获得适当的技术获取的最佳信息;相关性:能够支持内审发现的问题和建议工作底稿:作用:帮助业务的制定执行和检查;为业务提供主要支持;记录业务目标是否达成;提供已完成工作的准确性;为内审质量评估和改进提供依据;便于第三方检查内容:起码包括:审计目标,业务程序,证据事实和得出的结论和建议。工作底稿不应当包括与审计目标无关的才俩审计报告阶段2400-审计报告- 内审要及时
27、报告业务结果要定期与主管同事沟通业务情况1. 向主审汇报测试结果,如果一些信息非常重要要马上汇报2. 中期报告:最好的形式是中期报告,并交给客户或高级管理层,特殊情况包括:要延长审计时间,有引起关注的问题,范围发生变化,有管理层迫切了解的问题。中期报告的作用包括:及时反馈重大信息,结束前有机会了解问题进展情况。形式可以书面可以口头2410-报告标准:包括业务目标,范围和适用的结论,建议和行动计划还需包括 1)审计立项依据,说明审计该单位的必要性 2)背景介绍 3)客户观点2410.a1:报告要包括意见或结论,要考虑到 2 高层及利益方的预期,有充分的的可靠相关的信息支持2410.a2:鼓励报告
28、中对业绩的认可2410.a3:向组织外部发放业务结果时,要告知对分发和使用业务结果的限制2410.c1:咨询业务的进展和结果的内容由于业务性质和客户需求不同而不同A)报告对内审的作用:总结审计目的,范围,结果,是评价内审工作的依据,促使客户改进,促进内审师的教育和培训,便于评论内审的工作业绩,为后续审计提供便利B)对高级管理者的作用:提供客观信息,了解重要高风险事项是否在审计,促进规范操作C)对管理层作用:提醒管理层注意事项,了解经营情况,有助于评价业绩2420:-报告质量-要清晰,客观,简洁,建设性,完整和及时准确:忠于事实 客观:不偏不倚 清晰:报告逻辑结构清晰 简洁:针对性强,避免细节2
29、421-遗漏:如果报告有重大错误和遗漏,要更正后的报告发给所有原接收者2430-对遵循标准的应用:只有在质量保证和改进程序证实标准得到遵守,内审才可以在业务报告中说内审遵守了国际内审实务标准2431-若未能遵守内审定义、职业道德或标准 ,报告中要纰漏 1.为何没遵守的原因 2.没有遵守 3.造成的影响审计发现审计发现是对事实的说明,支持内审的结论和提出建议。不太重要的审计发现可以不包括在最终审计报告中,可以采取非正式方式沟通。审计结论审计结论是可以发现的负面问题也可以是对业绩的肯定,都要有证据理由。审计建议为了促进客户发现改善问题,在发布审计建议书,作为和审计业务客户讨论内容的一部分。但只是建
30、议不是命令因为:1)管理层视野比内审要广 2)审计结束前和管理层一起探讨的纠正意见可以改善关系 3)维护管理人员尊严与客户沟通1. 寻求最好的方法实现组织目标时,可以设想和客户在统一立场上2. 沟通时先说正面的业绩3. 将负面发现和改善建议放在一起说4. 强调发现的结果部分,重点放在审计业务客户能够采取的步骤退出会议1. 与客户讨论发现,建议和结论,发现不正确地方2. 允许客户提出异议,消除误解3. 确认问题,就解决方案达成一致4. 取得管理层的反馈意见,确认管理层反应和采取的步骤编制审计报告审计报告是说明审计目的,范围和结果的书面文件,包括审计发现,结论和建议2440-报告审计业务- 首席审
31、计官向适当对象报告审计结果应当与管理人员讨论审计结论和建议,取得他们的反馈信息,提高报告准确性。如果有很大分歧,要将反馈意见包含在最终报告中,也可以单独将意见作为附件敷在报告后。首席审计官责任为最终审计报告的沟通,并且委任审核,批准或签字派送,派送对象他定。2440.a1:首席审计官负责将最终结果报告给能对结果有考虑的对象派送对象要考虑 1)有权能采取纠正措施的人 2)高层次组织人员 3)可能给董事会成员或受审计结果影响有利益相关的人。如果审计报告最后出错,要签发一个修正报告,发送给所有受到错误报告的人,并收回原来报告。2440.a2:除非法律法规另有规定,首席审计官向组织外报送结果前要 1)
32、评估组织风险 2)向高级法律顾问咨询 3)限制结果的使用,控制对结果的发送2440.c1:首席审计官负责向客户推动结果2440.c2:可能会发现风控的重要成果,如果是重要的要向 2 高层报送2500-监督进展- 首席审计官制定并维护系统制度,监督一通报的结果的处理情况要明确谁来监督,监督什么,如何实施监督,何时监督。监督处理结果的方法有:1)将发现和建议向管理层通报 2)在合理时间内收集管理层对业务发现和建议的反馈 3)定期收集管理层的信息,评价纠正努力程度 5)向 2 高层报告发现和建议的反馈 6)收集评估组织内部实施最终活动的信息2500.a1:首席审计官建立后续程序,监督并确保管理层采取
33、有效措施 或 管理层不采取行动的风险2500.c1:在客户同意的范围内监督咨询业务处理的情况2600-沟通对风险的接受:首席审计官认为管理层接受的风险超过可接受水平,要和高级管理层沟通,还未解决就告诉董事会如果涉及到财务报告事项,还要和外部审计师讨论跟踪审计开始于客户对审计报告中发现和建议的书面回复,影响首席审计官作先关决策的因素包括:1)意见和建议的重要性 2)采取纠正的成本和工作量 3)纠正失败的影响 4)时间跨度,重要的发现要立即获取反馈意见,不重要的可以放到下次后续审计用于确认管理当局对报告的发现是否采取有效及时的工作,审计人员是后续审计的监督主体。保持独立客观,不将具体纠正措施强加客户,减少对客户经营的影响,注意以下几点:1)对更多事项实施后续审计 2)将注意力集中在重要风险 3)对值得注意的具体问题进行后续审计测试直到问题结束 4)不将个人偏好强加,不对纠正措施负责抽样技术概率抽样:以统计方法为主;非概率抽样:依靠审计师自己的判断属性抽样:针对有无某种特性的抽样,用于内控符合性测试变量抽样:根据样本的差额推算总体差额,用于实质性测试
