第六十六条 审计人员可以从下列方面调查了解被审计单位相关内部控制及其执行情况：

　　(一)控制环境，包括管理理念、组织结构、责权配置、人力资源制度等；

　　(二)风险评估，即被审计单位识别、分析与实现内部控制目标相关的风险，以及采取的应对措施；

　　(三)控制活动，即根据风险评估结果采取的控制措施，包括不相容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等；

　　(四)信息与沟通，即收集、处理、传递与内部控制相关的信息，并能有效沟通；

　　(五)对控制的监督，即对各项内部控制设计及其运行有效性的监督检查，包括内部审计职责及其履行情况等。

　　第六十七条 审计人员可以从下列方面调查了解被审计单位信息系统情况：

　　(一)一般控制，即保障信息系统正常运行的稳定性、有效性、安全性等方面的控制;

　　(二)应用控制，即保障信息系统产生的数据的真实性、完整性、一致性等方面的控制。

　　第六十八条 审计人员可以采取下列方法调查了解被审计单位及其环境：

　　(一)书面或者口头询问被审计单位内部和外部相关人员；

　　(二)检查有关文件、报告、内部管理手册、信息系统的技术文档和操作手册；

　　(三)观察有关业务活动及其场所、设施和有关内部控制的执行情况；

　　(四)追踪有关业务的处理过程；

　　(五)分析相关数据。

　　第六十九条 审计人员根据审计目标和被审计单位的实际情况，运用职业判断确定调查了解的范围和程度。

　　对于定期审计项目，审计人员可以利用以往审计中获得的信息，重点调查了解已经发生变化的情况。

　　第七十条 审计人员在调查了解被审计单位及其环境的过程中，可以选择下列标准作为职业判断的依据：

　　(一)法律、法规、规章和其他规范性文件；

　　(二)国家有关方针和政策；

　　(三)预算、计划和合同；

　　(四)会计准则和会计制度；

　　(五)国家和行业的技术标准；

　　(六)被审计单位的管理制度和绩效目标；

　　(七)被审计单位的历史数据和历史业绩；

　　(八)公认的业务惯例或者良好实务；

　　(九)专业机构或者专家的意见；

　　(十)其他标准。

　　审计人员在审计实施过程中需要持续关注标准的适用性。

　　第七十一条 职业判断所选择的标准应当具有客观性、适用性、相关性、公认性。

　　标准不一致时，审计人员应当采用权威的和公认程度高的标准。

　　第七十二条 审计人员在调查了解被审计单位及其环境过程中，应当根据职业经验，分析被审计单位的内部控制情况，识别被审计单位可能存在的问题。

　　第七十三条 审计人员应当运用职业判断，根据可能存在问题的性质、数额及其发生的具体环境，判断其重要性。审计人员判断重要性时，可以综合考虑下列因素：

　　(一)是否属于涉嫌犯罪的问题；

　　(二)是否属于法律法规和政策明令禁止的问题；

　　(三)是否属于故意行为所产生的问题；

　　(四)可能存在的问题涉及的数量或者金额；

　　(五)是否涉及政策、体制或者制度的严重缺陷；

　　(六)是否属于信息系统设计缺陷；

　　(七)立法机关、政府和公众的关注程度；

　　(八)需要考虑的其他因素。

　　审计人员实施审计时，应当根据重要性判断的结果，重点关注被审计单位可能存在的重要问题。

　　第七十四条 需要对财务报表发表审计意见的，审计人员应当根据职业界的要求确定和运用重要性。

　　第七十五条 审计组应当评估被审计单位存在重要问题的可能性，据以确定审计范围和审计事项，并针对审计事项进一步明确具体审计目标、范围和内容，确定审计应对措施。

　　第七十六条 审计组针对审计事项确定的审计应对措施包括：

　　(一)考虑对内部控制的依赖程度，确定是否及如何测试内部控制的有效性；

　　(二)考虑对信息系统的依赖程度，确定是否及如何检查信息系统的有效性；

　　(三)确定主要审计步骤和方法；

　　(四)确定审计时间；

　　(五)确定执行审计的人员；

　　(六)其他必要安排。

　　第七十七条 审计组在分配审计资源时，应当向重要审计事项分派有经验的审计人员和安排充足的审计时间，并考虑特定审计事项是否需要利用外部专家的工作。

　　第七十八条 审计人员认为存在下列情形之一的，应当测试相关内部控制的有效性：

　　(一)某项内部控制设计合理且预期运行有效，能够防止重要问题的发生；

　　(二)仅实施实质性审查不足以为发现重要问题提供适当、充分的审计证据。

　　审计人员决定不依赖某项内部控制的，可以对审计事项直接进行实质性审查。

　　被审计单位规模较小、业务比较简单的，审计人员可以对审计事项直接进行实质性审查。

　　第七十九条 审计人员认为存在下列情形之一的，可以检查相关信息系统的有效性：

　　(一)仅实施电子数据审计不足以为发现重要问题提供适当、充分的审计证据;

　　(二)电子数据中出现某类差异次数频繁的。

　　审计人员在检查被审计单位相关信息系统时，可以利用被审计单位信息系统的现有功能或者采用其他计算机技术和工具，检查中应当避免对被检查系统的正常运行造成不良影响。

　　第八十条 审计人员实施审计时，应当持续关注已作出的重要性判断和对存在重要问题可能性的评估是否恰当，并及时作出修正，调整审计应对措施。

　　第八十一条 审计组在调查了解被审计单位及其环境并确定审计应对措施的基础上，编制审计实施方案。

　　第八十二条 审计实施方案的主要内容包括：

　　(一)编制依据，包括国家审计准则、年度审计项目计划、审计工作方案；

　　(二)被审计单位基本情况；

　　(三)审计目标；

　　(四)审计事项及其具体审计目标、范围、内容及审计应对措施；

　　(五)审计起止时间；

　　(六)审计工作量和经费预算；

　　(七)编制日期；

　　(八)其他内容。

　　被审计单位信息系统对审计过程和结果有重大影响的，审计实施方案中应当包括针对信息系统审计的程序和方法。