《国际内部审计专业标准》第2100号标准的解释

相关标准：第2100条标准

工作性质

内部审计活动应当通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程。

本实务公告源自国际信息系统审计和控制协会（ISACA）指引——审计证据要求，文件G2。该信息系统审计指引由ISACA于1998年12月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异，ISACA不保证其准确性或支持这些改变。

本实务公告性质：内部审计师实施信息系统控制检查时应当考虑以下建议。本实务公告无意囊括实施信息系统审计所需要的所有程序，仅推荐一系列高层次审计师责任，作为制定详细审计计划的补充。

1 计划

审计证据类型

计划信息系统审计工作时，内部审计师应当考虑应收集的审计证据类型、如何用于达到审计目标，以及不同的可靠程度。内部审计师所应考虑的事项包括审计证据提供者的独立性及资格。例如，独立第三方提供的佐证性审计证据可能比组织内接受审计的单位提供的审计证据更为可靠；实体审计证据通常比个人的陈述更为可靠。

内部审计师应当考虑使用不同类型的审计证据，包括：

l 观察到的流程及存在的实体项目

l 书面审计证据

l 说明

l 分析

观察到的流程及存在的实体项目可以包含对活动的观察、财产及信息系统功能，例如：

l 存放于远端储存地点的媒介存货

l 运行中的电脑机房安全系统

记录于纸质或其他介质的书面审计证据包括：

l 数据筛选的结果

l 交易记录

l 程序清单

l 发票

l 活动及控制日志

l 系统开发文件

接受审计人员的陈述可作为审计证据，例如：

l 书面政策及程序

l 系统流程图

l 书面或口头声明

通过比较、模拟、计算及推理等方式分析信息的结果可作为审计证据，例如：

l 将信息系统绩效与其他组织或过去期间作比较

l 比较应用系统、交易及使用者之间的错误率

审计证据的可获得性

内部审计师在决定证实测试的性质、时限与程序，以及相关的遵循测试时，应考虑信息存在或可获得的时间。例如，通过电子数据交换、文件影像处理及动态系统（例如工作表）处理的审计证据，如果档案的变更未加控制或档案未做备份，可能在经过一段特定期间后就无法获取。

审计证据的选取

内部审计师应当考虑在与审计目标的重要性保持一致以及所需要的时间与精力相当的情况下，使用可获得的最佳审计证据。当口头说明方式获取的审计证据对于审计意见或结论很重要时，内部审计师应当考虑取得这些说明的书面或其他媒介确证。

2、审计工作的实施

审计证据的性质

审计证据应充分、可靠、相关及有用，以便形成审计意见或支持审计师的发现和结论。如果依审计人员判断，审计证据的获得无法符合这些标准，审计人员应取得额外的审计证据。例如，一份程序清单可能不是适当的审计证据，而必须收集其他审计证据，以便验证这份清单代表数据处理流程实际使用的程序。

审计证据的搜集

根据被审计的信息系统的不同，搜集审计证据的程序也不一样。审计师应选用最适合审计目标的程序，应考虑的程序如下：

l 询问

l 观察

l 检查

l 确认

l 重新实施

l 监督

上述程序的采用可使用人工审计程序、计算机辅助审计技术，或二者同时使用。例如：

l 使用人工控制总数调节数据输入操作的系统，可能提供调整及注释报告作为审计证据，证明已经采用了适当的控制程序。审计人员应复核并测试此报告，以取得审计证据。

l 详细的交易记录可能只有机读格式，需要审计师利用计算机辅助审计技术取得审计证据。

审计记录

内部审计师应当记录和整理收集到的审计证据，用来支持审计发现和结论。