1.7 审计证据搜集技巧_CISA考试复习手册（第28版）-QQ阅读男生武侠网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.7 审计证据搜集技巧

证据是信息系统审计师确定被审计实体或数据是否符合既定标准或目标，从而支持审计结论时使用的所有信息。结论必须基于充分、相关且有说服力的证据，这是一项硬性规定。在规划信息系统审计时，应考虑要搜集的审计证据的类型、如何通过审计证据达成审计目标，以及证据不同级别的可靠性。

审计证据可能包括：

• 信息系统审计师的观察（提交给管理层）。

• 面谈笔录。

• 独立且合格第三方评估员的结果。

• 从信件和内部文件或与外部合作伙伴签订的合同中提取的材料。

• 审计测试程序的结果。

尽管所有证据都有助于信息系统审计师得出审计结论，但相比之下，有些类型的证据更为可靠。必须按照审计标准的要求来考虑证据的规则、证据的充分性和说服力。

评估审计证据可靠性的决定性因素包括：

• 证据提供者的独立性。从外部获得的证据比从组织内部获得的证据更可靠。这也是使用确认函来验证应收账款余额的原因。此外，如果可以审查与外部各方所签订合同或协议的原始文件，则这些合同或协议可视为可靠的证据。

• 提供信息/证据的个人的资质。无论信息/证据提供者是组织内部人员还是外部人员，信息系统审计师都应该考虑其资质和职责。对于信息系统审计师也是如此。如果信息系统审计师对受审查技术领域没有较好的了解，则测试该领域时搜集的信息可能不可靠，特别是在信息系统审计师没有充分了解测试时。

• 证据的客观性。客观证据比需要大量判断或解释的证据更可靠。信息系统审计师对于介质库存的审查是直接客观的证据。信息系统审计师基于与特定人员的讨论对应用程序效率所做的分析可能就不属于客观的审计证据。

• 证据的时效性。在确定符合性测试和实质性测试（如适用）的性质、时间和范围时，信息系统审计师应当考虑信息存在或可用的时效性。例如，对于由动态系统处理的审计证据（如电子表格），如果未控制文件的变更或者文件未备份，则其可能在一段时间之后便无法被检索到。

在审计过程中，信息系统审计师会搜集各种证据。有的证据可能与审计目标有关，有的则可能被视为无关紧要的证据。信息系统审计师应当关注的是审查的总体目标，而不是所搜集证据的性质。

必须对证据的质量和数量进行评估。国际会计师联合会分别将这两个特征称为适当性（质量）和充分性（数量）。如果证据既可靠又相关，则其被认为有说服力。审计判断用于确定证据充分性，相同的方式也用于确定何时实现证据的适当性。

对于信息系统审计师来说，了解证据规则很重要，因为可能会遇到各种证据类型。

注意

在给定的审计场景中，CISA考生应当能够确定哪种证据搜集技巧最适合给定情形。

搜集证据的技巧包括：

• 审查信息系统组织结构。在信息系统环境中，对组织结构进行充分的职责分离是一种关键的一般控制手段。信息系统审计师应当了解一般的组织控制并能够评估受审计组织中的这些控制。如果非常注重协作分布式处理或最终用户计算，则IT职能的组织方式可能与传统信息系统组织（由独立的系统和运营职能组成）有所不同。信息系统审计师应当能够审查这些组织结构并评估结构所能提供控制的水平。

• 审查信息系统政策和程序。信息系统审计师应当审查是否存在合适的政策和程序，确定人员是否了解所实施的政策和程序，并确保遵守这些政策和程序。信息系统审计师应当验证管理层是否完全承担起了构想、制定、记录、颁布和控制涵盖常规目标与指令的政策的责任。应定期审查政策和程序的适当性。

• 审查信息系统标准。信息系统审计师首先应当了解组织内实施的现行标准。

• 审查信息系统文档。审查信息系统文档的第一步是了解组织内的现有文档。这些文档可以是纸质材料，也可以是电子文件。如果是后者，则应当由信息系统审计师来评估保护文档完整性的控制措施。信息系统审计师应当寻求最低等级的信息系统文档记录。文档记录可能包括：

■ 系统开发启动文档（例如，可行性分析）。

■ 外部应用程序供应商提供的文档。

■ 与外部IT提供商签订的SLA。

■ 功能性要求和设计规范。

■ 测试计划和报告。

■ 程序和操作文档。

■ 程序变更日志和历史记录。

■ 用户手册。

■ 操作手册。

■ 安全相关文档（例如，安全计划和风险评估）。

■ 业务持续计划。

■ QA报告。

■ 安全指标报告。

• 与相关人员面谈。请参阅1.7.1面谈和观察员工以了解其职责履行情况部分。

• 观察流程和员工表现。对于多种审查类型，流程观察是一项关键的审计技术。信息系统审计师应以不引人注意的方式观察，并详尽记录所有信息，以便在需要时将其用作审计证据。在某些情况下，审计报告的发布可能不够及时，无法将观察结果用作证据，因此可能需要向被审计领域的管理层提交中期报告。信息系统审计师可能需要考虑书面证据在作为证据时是否有用（例如，一张门完全打开的服务器机房的照片）。

• 重新执行。重新执行流程是一项重要的审计技术，所提供的证据通常优于其他技术提供的证据，因此，如果问询、观察和检查证据后仍不能确定控制是否在有效运营，可以使用该技术。该技术涉及实时评估控制的实际性能。

• 浏览审查。浏览审查是用于确认对控制的理解的审计技术。浏览审查有助于确保控制所有者和信息系统审计师清楚地了解要评估的控制，并帮助识别要搜集的证据以验证控制的有效性。

这些证据搜集技巧都是审计的一部分，但不能认为审计仅限于审查工作。它包括检查，会涉及测试控制和审计证据，因此还包括审计测试的结果。

信息系统审计师应认识到，由于计算机辅助软件工程（Computer-Aided Software Engineering，CASE）或原型设计等系统开发技术的存在，将不再需要传统的系统文档，或文档将采用自动化形式提供。但信息系统审计师应查找信息系统组织内部的文档记录标准和实务。

信息系统审计师应能够审查给定系统的文档记录，并确定其是否遵循了组织的文档记录标准。除此之外，信息系统审计师应了解目前的系统开发方法（例如，面向对象、CASE工具或原型设计）以及组织文档记录的方式。信息系统审计师应了解信息系统文档记录的其他要素，例如数据库规格说明、文件结构或自记录程序列表。

本周热推：

Microsoft SharePoint 2010 Developer’s Compendium：The Best of Packt for Extending SharePoint Mastering Microsoft Dynamics NAV 2016 SAP BusinessObjects Reporting Cookbook Microsoft Exchange Server 2013 High Availability Building Dashboards with Microsoft Dynamics GP 2016（Second Edition）