國際內審協會IIA實務公告2100-14:審計證據要求

 《國際內部審計專業標準》第2100號標準的解釋 相關標準:第2100條標準工作性質內部審計活動應當通過套用系統的、規範的方法,評價並改善風險管理、控制和治理過程。 本實務公告源自國際信息系統審計和控制協會(isaca)指引——審計證據要求,檔案g2。該信息系統審計指引由isaca於1998年12月發布。引用該檔案經過isaca的許可和確認。本實務公告與isaca指引的任何差異,isaca不保證其準確性或支持這些改變。 本實務公告性質:內部審計師實施信息系統控制檢查時應當考慮以下建議。本實務公告無意囊括實施信息系統審計所需要的所有程式,僅推薦一系列高層次審計師責任,作為制定詳細審計計畫的補充。 1 計畫 審計證據類型計畫信息系統審計工作時,內部審計師應當考慮應收集的審計證據類型、如何用於達到審計目標,以及不同的可靠程度。內部審計師所應考慮的事項包括審計證據提供者的獨立性及資格。例如,獨立第三方提供的佐證性審計證據可能比組織內接受審計的單位提供的審計證據更為可靠;實體審計證據通常比個人的陳述更為可靠。 內部審計師應當考慮使用不同類型的審計證據,包括:l  觀察到的流程及存在的實體項目l  書面審計證據l  說明l  分析觀察到的流程及存在的實體項目可以包含對活動的觀察、財產及信息系統功能,例如:l  存放於遠端儲存地點的媒介存貨l  運行中的電腦機房安全系統 記錄於紙質或其他介質的書面審計證據包括:l  數據篩選的結果l  交易記錄l  程式清單l  發票l  活動及控制日誌l  系統開發檔案接受審計人員的陳述可作為審計證據,例如:l  書面政策及程式l  系統流程圖l  書面或口頭聲明通過比較、模擬、計算及推理等方式分析信息的結果可作為審計證據,例如:l  將信息系統績效與其他組織或過去期間作比較l  比較套用系統、交易及使用者之間的錯誤率 審計證據的可獲得性內部審計師在決定證實測試的性質、時限與程式,以及相關的遵循測試時,應考慮信息存在或可獲得的時間。例如,通過電子數據交換、檔案影像處理及動態系統(例如工作表)處理的審計證據,如果檔案的變更未加控制或檔案未做備份,可能在經過一段特定期間後就無法獲取。 審計證據的選取內部審計師應當考慮在與審計目標的重要性保持一致以及所需要的時間與精力相當的情況下,使用可獲得的最佳審計證據。當口頭說明方式獲取的審計證據對於審計意見或結論很重要時,內部審計師應當考慮取得這些說明的書面或其他媒介確證。 2、審計工作的實施審計證據的性質審計證據應充分、可靠、相關及有用,以便形成審計意見或支持審計師的發現和結論。如果依審計人員判斷,審計證據的獲得無法符合這些標準,審計人員應取得額外的審計證據。例如,一份程式清單可能不是適當的審計證據,而必須收集其他審計證據,以便驗證這份清單代表數據處理流程實際使用的程式。 審計證據的蒐集根據被審計的信息系統的不同,蒐集審計證據的程式也不一樣。審計師應選用最適合審計目標的程式,應考慮的程式如下:l  詢問l  觀察l  檢查l  確認l  重新實施l  監督 上述程式的採用可使用人工審計程式、計算機輔助審計技術,或二者同時使用。例如:l  使用人工控制總數調節數據輸入操作的系統,可能提供調整及注釋報告作為審計證據,證明已經採用了適當的控制程式。審計人員應覆核並測試此報告,以取得審計證據。l  詳細的交易記錄可能只有機讀格式,需要審計師利用計算機輔助審計技術取得審計證據。 審計記錄內部審計師應當記錄和整理收集到的審計證據,用來支持審計發現和結論。