Q/SY
中国石油天然气集团有限公司企业标准
Q/SY21254.17—2020
（2020年确认）
内部通用审计规范
第17部分：重要性与审计风险
Specifications for internal auditing Part 17: Auditing risk and importance
2020—11—26实施
2020—11—26发布
中国石油天然气集团有限公司 发布 Q/SY21254.172020
再版说明
本标准于2020年复审，复审结论为继续有效。 本标准在发布复审结论的同时，按照《关于调整集团公司企业标准编号规则的通知》（中油质
[2016】434号】的要求对标准编号进行了修改。
本次印刷与前一版相比，技术内容与前版完全一致。 本次仅对标准的封面进行了如下修改：
标准编号由Q/SY1254.17—2011修改为Q/SY21254.17—2020 一标准发布单位按照企业公章，修改为“中国石油天然气集团有限公司” Q/SY 21254.17—2020
目 次
前言
范围 2 术语和定义 3 一般原则 重要性水平与审计风险的关系 5 重要性在审计中的运用
1
0
！！
审计风险评估及运用
6 Q/SY21254.172020
前 言
Q/SY21254《内部通用审计规范》和Q/SY21454《内部专用审计规范》共同构成支撑内部审计工作的系列标准。
Q/SY21254《内部通用审计规范》分为17个部分：
第1部分：基本要求（代替Q/SY211-2007）：第2部分：审计项日计划（代替Q/SY21132007)：第3部分：审计方案（代替Q/S2112-2007）：第4部分：审计证据（代售Q/SY21.172007）：第5部分：审计工作底稿（代告Q/SY21.2一2007）；第6部分：审计报告 （代告Q/SY21.3-2007）：第7部分：审计审理（代替Q/SY21.42007）：第8部分：审计统计 C代告Q/SY21.14 2007: 第9部分：审计评价（代告Q/SY 21. 20073: 第10部分：审计信息（代替Q/SY2
07); 07);
广
第11部分：审计处理《代替Q/SY2 第12部分：审计项日立卷、归档（代替Q/SY21.18一2007）：第13部分：审计作业控制（代替Q/SY 21.24— 20073: 第14部分：审计文件控制（代Q/SY21.25一2007：第15部分：分析性复核：第16部分：审计抽样第17部分：重要性与审计风险。
本部分为Q/SY21254的第17部分。 本部分按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则
起草。
本部分由中国石油天然气集团有限公司标准化委员会审计专业标准化直属工作组提出并归口。 本部分负责起草单位：管道局审计部、东方地球物理勘探有限公司审计部。 本部分主要起草人：闵云鹤、姜华才、张峰、夏昆、朱光杰、 越滢、 李全宇、盖英。
II Q/SY21254.17—2020
内部通用审计规范
第17部分：重要性与审计风险
1范围
Q/SY21254的本部分规定了内部审计机构和宜计人员在审计工作中运用重要性的判断基础。要求和审计风险的内容，评估步骤及要求。
本部分适用于中国石油天然气集团有限公司及其全资子公司。直属企事业单位（统称“所属单位"）内部审计机构（简称“审计机构”）和审计人员在审计工作中运用重要性和审计风险的全过程。
2术语和定义
下列术语和定义适用于本文件
2. 1
审计重要性 audit importanct 审计重要性（以下简称重要性）是指被审计单位经营活动及内部控制中存在偏离特定目标差异或
缺陷的严重程度，这一差异或缺陷在特定环境下可能会影响管理层的判断或决策以及企业目标的实现。 2.2
审计风险 audit risk 审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结
论的可能性。 2.3
风险评估riskassessment 对可能的不利情况或事件进行评价和综合专业判断的系统过程。风险评估过程应提供一种组织和
专业判断的方法，以制定中计工作日程安排。
3一般原则
3.1审计机构和审计人员应保持应有的职业谨慎。合理运用专业判断，确定重要性，评估审计风险。 3.2审计机构在制定年度审计计划、审计人员在编制审计方案。实施审计程序及评价审计结果时，应合理考虑并运用重要性标准。 3.3审计人员在运用重要性标准时，应充分考虑差异或缺陷的性质。数量等因素。 3.4审计人员应对审计风险进行评估，制定并实施相应的审计程序，以便将审计风险降低到可接受的水平。
4重要性水平与审计风险的关系
4.1重要性水平和审计风险之间存在反向关系，重要性水平越低，审计风险越高，所需的审计证据
1 Q/SY21254.172020
越多，审计工作量也越大。 4.2审计人员在确定实质性测试的性质，范围和时间时，必须关注重要性水平和审计风险之间存在反向关系，并根据情况变化进行调整。
5重要性在审计中的运用
5.1 运用重要性标准考虑的因素
a) 国家有关法律法规的要求： b) 审计目的； c) 信息使用者及相关管理层的要求： d) 被审计单位经营活动受法律，法规的影响程度 e) 被审计单位在组织中的重要程度： D 被中计单位的性质， 经营现模、经营风险及各项业务的性质： g) 审计人员对被审计单位内部控制适当性，合法性及有效性的预估： h) 财务收支的性质、金额、项口间的相互关系以及变动趋势等
5.2# 重要性判断基础和比率
5.2.1判断基础通常包括资产总额，净资产 、营业收人、净利润等。“营业收人”、“净利润”一般适用于流通企业：“资产总额” 一般适用于生产企业：“净资产” 一般适用于其他行业 5.2.2当被审计单位净利润接近于零时，不应将净利润作为重要性水平的判断基础：当被审计单位波动幅度较大时，不应将当年的净利润作为重要性水平的判断基础，而应选择近年的平均利润；当被审计单位属于劳动密集型企业时。不应将资产总额、净资产作为重要性水平的判断基础。 5.2.3固定比率的参考标准：
a）净利润的5%~10%： b）资产总额的0.5%~1% c）净资产的1%： d）营业收人的0.5%~1%
5.3重要性水平确定
审计人员在确定重要性水平时。 应从金额额度和性质两个方面综合评估总体及总体各组成部分差异（错弊）的严重程度。相同性质的小金额差异（错驿）的累计可能会对总体或总体有关组成部分的重要性水平产生影响，审计人员对此应于以美注。 5.4重要性水平运用阶段 5.4.1审计准备阶段
审计人员在编制审计方案时，应对重要性水平做出初步判断，合理估计所需审计证据的数量。 5.4.2审计实施阶段
在审计实施过程中，如需修改审计计划。审计人员应重新考虑部分或全部经营活动及内部控制的重要性标准和审计风险。
2 Q/SY21254.17—2020
5.4.3审计报告阶段
5.4.3.1审计人员在审计实施结束后，应汇集已发现的差异（错弊及推断错弊金额）或缺陷，将审计发现的差异（错驿及推断错驿金额）与重要性水平进行比较，以决定是否扩无实质性测试范围，考惠差异（错驿及推断错穿金额）或缺陷性质，数量对管理层决策及对组织目标的实现产生影响的程度，并综合考虑各项因素，对被审计单位经营活动及内部控制的合法性和有效性作出评价。 5.4.3.2在审计报告提交前，如果被审计单位已就经营活动及内部控制中存在的差异或缺陷作了纠正，审计人员应在审计报告中对此作出说明。 5.4.3.3在评价审计结果时对重要性水平的考虑可能与制定审计实施方案时考虑的重要性水平不同，如果前者大大低于后者，审计人员应重新评估所执行的审计测试足否充分。
6审计风险评估及运用
6.1审计风险评估步骤
审计风险评估工作应按以下步驿进行 a）在编制审计实施方案时确定可以接受的审计风险水平： b）通过对被审计单位的调查工解评估固有风险水平： c) 通过对内部控制的测评评估控制风险水平： d）利用风险模型计算检查风险水平，并据此确定审计测试的范围和工作量。
6.2固有风险评估 6.2.1固有风险
固有风险是假设在没有内部控制的情况下，被审计单位的业务和相应的会计处理发生差错的可能性。固有风险与被审计单位的管理及其环境，以及该类会计事项或业务的性质有关。 6.2.2考虑因素
a) 被审计单位的管理水平， 包括管理人员的诚信利能 b) 管理人员和财会人员的异常变动情况： c) 被审计单位的业务性质： d) 与被审计单位有关的法律法规的调整变化情况； e) 影响被审计单位所在部门或行业的环境因素： D 会计人员进行会计处理时专业判断的幅度范围： g) 需要利用外部专家工作于以佐证的重要交易事项的复杂程皮 h) 容易损失或被挪用的资产： i) 容易发生差错的业务领域： j） 在会计期间，特别是临近会计期未时，发生的异常或复杂的会计处理情况 k）以前年度审计的结果等。
6.3控制风险评估 6.3.1控制风险
是指被审计单位的业务和相应的会计处理发生差错不能被内部控制防止或纠正的可能性，也是被
审计单位经营活动及内部控制中存在重大差异或缺陷的可能性。
3 Q/SY21254.172020
6.3.2 控制风险初步评估
审计人员在对内部控制进行初步测评后，应对各主要业务和会计领域的控制风险作出初步评估。 控制风险与内部控制的健全性和有效性有关。
6.3.3考虑因素
a) 相关的内部控制是否建立； b) 经济业务以及相关控制手续的执行是否及时和有效： c) 经济业务及各控制环节是否由合格的人员执行： d) 业务活动的记录是古光整： e) 业务处理程序是否独立： D 关键点控制是否存在 g) 控制目标是否满足 h) 控制系统是否有效 出运行，各项控制是否充分发挥作用等： D 以前的审计结果或评估结果
6.3.4 风险水平确定
出现下列情况之一时，审计人员应将控制风险确定为高风险。 a) 被审计单位的内部控制薄弱或失效： b) 审计人员无法对内部控制的有效性作出评价
审计人员不准备进行符合性测试：审计人员对被审计单位相关的内部控制进行初步测评后，认为其能够防止、发现或纠正重要错蜂，且准备进行符合性测试时，不应将控制风险评估为高水平；初步评估的控制风险水平越低。就需获得越多的关于内部控制健全和有效的证据
9
e)
6.3.5 5评估要求
审计人员在现场审计结束前，应根据实质性测试结果和其他审计结果对控制风险进行最终评估。 如评估结果高于初步评估的控制风险水平，应考思追加相应的审计测试。固有风险和控制风险相互联系，审计人员应将两者进行综合评估。并据以作为评估检查风险的基础。 6.4检查风险 6.4.1审计人员在进行实质性测试不能发现被审计单位存在的重大差异或缺陷的可能性越大，检查风险就越大。检查风险水平与实质性测试的工作量直接相关，可接受的拉查风险越低，实质性测试的工作量越大。审计人员应根据所评估的固有风险和控制风险来确定检查风险，并以此决定实质性测试的数量。 6.4.2检查风险应考虑的事项：
a) 管理层的品德和能力： b) 管理层遭受的异常压力： c) 重要岗位人员的变动情况； d) 经营活动的复杂性： e) 影响被审计单位的环境因素； D 容易受损失或被挪用的资产： g) 经营活动中运用估计和判断的程度：
4