ITAF™ ꂁ㤛䪄遤ⲥⴭ 2208

⥌䜂䪮助㹎雦䬄呋

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

ISACA 简介
五十多年来，ISACA® (www.isaca.org) 植根技术，培养出了最优秀的人才，积累了深厚的专业知识和极高的学
习能力。ISACA 为个人提供知识、认证、指导并建立社群网络，推动人员的职业发展及其所在组织的转型，
帮助企业培训和打造高素质团队。ISACA 是一家全球性的专业协会和学习组织，拥有 145,000 名具备信息安
全、治理、鉴证、风险与隐私方面专业知识的成员，致力于通过技术推动创新。ISACA 成员遍布 188 个国家
和地区，在全球设有超过 220 个分会。

免责声明
ISACA 设计并编制了《ITAFTM 配套执行准则 2208：信息技术审计抽样》（下称“作品”），主要用作专业
人员的学习资料。ISACA 不保证使用本作品必然能取得成功。本作品不应被视为包含所有适用的信息、程序
和测试，不排除在其它信息、程序和测试的合理指导下获得同样结果的可能性。在确定任何具体信息、程序
或测试的适宜性时，专业人员应就具体的情况（特定的系统或信息技术环境）做出自己的专业判断。

© 2020 ISACA。保留所有权利。未经 ISACA 事先书面授权，本出版物中的任何部分均不得在检索系统中使

用、复制、再版、修改、分发、显示和储存，也不得通过任何途径以任何形式（电子、机械、影印、录制或
其他方式）传播。

ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
电话：+1.847.660.5505
传真：+1.847.253.1755
联系我们：https://support.isaca.org
网站：www.isaca.org

提供反馈：https://support.isaca.org
参加 ISACA 在线论坛：https://engage.isaca.org/onlineforums

Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAGlobal
Instagram: www.instagram.com/isacanews/

ITAF TM 配套执行准则 2208 ：信息技术审计抽样

印刷地点：美国

2 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 致谢

致谢
ISACA 向以下人员表示感谢：

校审专家
Glenn Kirke，CISA，Integrated Audit and Compliance，美国
Rafael Pérez Marín，CISA，委内瑞拉

董事会
Tracey Dedrick，主席，Hudson City Bancorp 前首席风险官，美国
Rolf von Roessing，副主席，CISA，CISM，CGEIT，CDPSE，CISSP，FBCI，FORFA Consulting AG
合伙人，瑞士
Gabriela Hernandez-Cardoso，独立董事，墨西哥
Pam Nigro，CISA，CRISC，CGEIT，CRMA，Home Access Health 信息技术副总裁/安全官，美国
Maureen O’Connell，Acacia Research (NASDAQ) 董事会主席，Scholastic, Inc. 前首席财务官兼首席行政官，
美国
David Samuelson，首席执行官，ISACA，美国
Gerrard Schmid，Diebold Nixdorf 总裁兼首席执行官，美国
Gregory Touhill，CISM，CISSP，AppGate Federal Group 总裁，美国
Asaf Weisberg，CISA，CRISC，CISM，CGEIT，introSight Ltd.首席执行官，以色列
Anna Yip，SmarTone Telecommunications Limited 首席执行官，中国香港
Brennan P. Baybeck，CISA，CRISC，CISM，CISSP，2019-2020 年 ISACA 董事会主席，Oracle Corporation
客户服务副总裁兼首席信息安全官，美国
Rob Clyde, CISM，2018-2019 年 ISACA 董事会主席，Titus 独立董事，White Cloud Security 执行主席，美国
Chris K. Dimitriadis，博士，CISA，CRISC，CISM，2015-2017 年 ISACA 董事会主席，INTRALOT 集团首
席执行官，希腊

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 3

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 本页为空白页

4 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 目录

目录
简介 .............................................................................................................................................7
术语和定义..............................................................................................................................................................................................7

执行准则 2208：信息技术审计抽样...................................................................................8
附录 A：相关标准 .............................................................................................................15
附录 B：相关准则 .............................................................................................................17
附录 C：术语和定义.........................................................................................................19

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 5

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 本页为空白页

6 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 简介

简介

ISACA 的信息技术审计框架 (ITAF™) 是一个综合框架，用于：

 制定相应标准，确立 IT 审计和鉴证从业人员的角色和职责、道德、预期的职业行为，以及必要的知识
和技能
 定义 IT 审计和鉴证的特定术语和概念
 为 IT 审计和鉴证业务的计划、执行和报告提供指导和技术支持

ISACA 编制了《信息技术审计抽样准则》（准则 2208），作为 ITAF 框架的配套手册。这些准则帮助 IT 审

计和鉴证从业人员在审计程序的应用对象不是全部总体的情况下，通过抽样得出关于总体的结论。

这些配套准则虽然没有相应的 ITAF 标准，但准则的编号与 ITAF 的编号方案保持一致。一般情况下，执行和

报告准则系列的编号为 2000、2200 和 2400。2208 是匹配之前和之后相关准则的编号。

强烈建议遵守本准则，但不是强制性的。因此，IT 审计和鉴证从业人员可灵活应用《信息技术审计抽样》
准则。即便如此，从业人员应做好辩护的准备，证明其在执行 IT 审计和鉴证业务时与准则发生重大偏离或
忽略准则相关部分的正当性。本准则可能不适用于所有情况，但在任何情况下都应予以考虑。

术语和定义

本准则中一些常用词汇有特定的含义，适用于 IT 审计和鉴证从业人员执行的最常见业务类型。为此，
附录 C 中提供了词汇定义，确保这些词汇的含义在本准则的上下文中得到一致的理解和应用。

在可行的情况下，ITAF 的术语和定义通常与专业审计实践以及信息技术和安全中常用的术语保持一致。但
是，从业人员应参考与待执行的特定业务类型有关的现行原始来源的标准，确保术语与所遵循的原始来源的
标准保持一致。

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 7

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

执行准则 2208：信息技术审计抽样

执行准则 2208：信息技术审计抽样

本准则的目的是指导 IT 审计和鉴证从业人员设计和选择审计样本以及评价样本结果。适当的抽样和评价有
助于满足证据的充分性和适当性要求。

IT 审计和鉴证从业人员在确定如何实施相关标准（请参阅附录 A）和相关准则（请参阅附录 B）、如何在应

用中作出专业判断、如何准备证明背离情况的合理性及如何酌情寻求更多指导时，都应当考虑本准则。

2208.1 简介本准则的内容经过组织，旨在提供有关以下关键审计抽样主题的信息：

2208.2 抽样

2208.3 样本的设计

2208.4 样本的选择

2208.5 样本结果的评价

2208.6 文档记录

2208.2 抽样

2208.2.1 在形成意见或结论时，从业人员通常不会检查所有可用的信息，因为这样做不切实际（例如，
需要受审方和从业人员花费大量时间调查所有信息）。如果无法检查所有信息，可以使用审
计抽样得出有效的结论。

2208.2.2 在使用统计或非统计抽样方法时，从业人员应设计和选择审计样本、执行审计程序和评价样
本结果，从而获取充足且适当的证据以得出结论。当使用抽样方法得出总体的相关结论时，
从业人员应使用统计抽样方法。

2208.2.3 在某些情况下不应使用抽样。例如，如果没有执行适当的职责分离等事项的证据，则不应使
用抽样进行控制测试。1

2208.3 样本的设计

2208.3.1 在设计审计样本的大小和结构时，从业人员应考虑特定的 IT 审计目标、最有可能实现这些目

标的审计程序、总体的性质、控制的性质（例如，手动或自动）、总体中的相关子组，以及
抽样和选择方法。此外，在适合进行审计抽样时，应考虑所搜集证据的性质、可能的误差条
件以及可能的根本原因。

1
上市公司会计监管委员会 (PCAOB)，AS 2315：审计抽样，www.pcaobus.org/Standards/Auditing/Pages/AS2315.aspx

8 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 执行准则 2208：信息技术审计抽样

2208.3.2 在设计样本并考虑 IT 审计目标时，IT 审计从业人员应考虑以下事项：

 样本的用途
 抽样单位
 总体
 抽样风险和样本量
 可容忍误差
 潜在的预期分布（例如，泊松分布、二项分布、正态分布或指数分布）
 随时间而变化的行为（例如，季节性和性能下降）
 为了实现操作相关性，应考虑自然发生的子总体或子组
 异常值
 不良或罕见事件的小总体
 来自外部支持工具，用于确认或补充抽样结果的数据

2208.3.3 样本的用途可以是：
 符合性测试/控制测试 — 该审计程序用于在审计期间获取关于控制措施的有效性及运行
情况的审计证据。可考虑使用抽样调查的控制符合性测试示例包括：用户访问权限、计
划变更控制程序、程序文档、计划文档、异常跟进、日志审查和软件许可证审计。
 实质性测试/细节测试 — 该审计程序用于在审计期间获取关于活动或交易的完整性、
准确性或存在性的审计证据。可考虑使用抽样调查的实质性测试示例包括：对账户样本
（保证生成支持文档的交易样本）重新执行复杂计算（如利息计算）等。

2208.3.4 抽样单位取决于样本的用途。控制符合性测试的抽样单位是一个事件或交易（例如，发票授
权之类的控制措施）。因为能够确定总体特征，通常采用属性抽样。实质性测试的抽样单位
通常是货币单位，因此通常采用变量抽样，以确定总体特征的货币或大小影响。

2208.3.5 总体指从业人员希望通过抽样从中得出关于总体结论的完整数据集。因此，被抽样的总体必
须有利于测试控制措施设计和执行的有效性，并针对特定的 IT 审计目标和范围进行完整性
验证。

2208.3.6 为促进高效和有效的样本设计，可能需要进行分层抽样。分层是将总体划分为具有明确定义
的相似特征的子总体的过程，每个抽样单位只属于一个层次。

2208.3.7 确定样本量时，从业人员应考虑抽样风险、可接受的误差量以及预期的误差程度。从业人员
得出的结论与采用相同的审计程序对总体得出的结论可能不同，这种不同是抽样风险。抽样
风险有两种类型：
 误受风险 — 在总体实际上被严重误报的情况下，重大漏洞被评定为不太可能发生。
 误拒风险 — 在总体实际上未被严重误报的情况下，重大漏洞被评定为有可能发生。

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 9

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

执行准则 2208：信息技术审计抽样

2208.3.8 样本量受 IT 审计和鉴证从业人员愿意接受的抽样风险水平的影响。此外，还应考虑与审计风

险模型及其组成部分（固有风险、控制风险和检测风险）有关的抽样风险，具体请参阅 ITAF
标准 1201《规划中的风险评估》。本标准要求从业人员在规划审计业务时考虑主题事项风
险、审计风险以及企业所面临的相关风险。

2208.3.9 可容忍误差是指从业人员认为测试目标已实现的情况下愿意接受的总体的最大误差。在实质
性测试中，可容忍误差与从业人员对重要性的判断有关。在符合性测试中，可容忍误差是从
业人员愿意接受的与规定的控制程序的最大偏差率。

2208.3.10 预计总体没有误差时，采用较小的样本量是合理的。如果从业人员预计总体中存在误差，则
必须检查较大的样本才能得出结论，即总体中的实际误差没有超过预期的可容忍误差。在估
计总体的预期误差率时，从业人员应考虑以下事项：
 以往审计中识别的误差水平
 企业程序变更
 从以下来源获取的证据：对内部控制系统的评价、分析审查程序的结果和/或对总体的初
步测试结果

2208.3.11 适当情况下，从业人员应考虑是否需要让专家参与复杂抽样方法的设计和分析，例如必须具
备统计有效性的分层随机样本以及基于既定质量控制方法的抽样。

2208.3.12 在某些情况下，从业人员可以设计用作控制测试和实质性测试的样本。请参阅美国注册会计
师协会 (AICPA) 的双样本测试指南。2

2208.3.13 如果从业人员得出的结论是，抽样无法实现 IT 审计目标，需要对总体进行测试，那么从业人

员应考虑采用持续鉴证，以及时且具成本效益的方式测试总体。

2208.4 样本的选择

2208.4.1 从业人员应确保总体的完整性并控制样本的选择。从业人员应选择样本项目，确保样本能够
代表待测试的总体特征。

2208.4.2 样本要能够代表总体，则总体中的所有抽样单位的选择应具有相当或已知非零的概率。这表
明应采用统计抽样方法，因为使用的技术有助于用数学方法得出有关总体的结论。从业人员
应验证总体的完整性，确保从适当的数据集中选择样本。

2
美国注册会计师协会 (AICPA)，AU 第 350 节 审计抽样，
www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-00350.pdf

10 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 执行准则 2208：信息技术审计抽样

2208.4.3 非统计抽样是从业人员在希望根据自己的经验、知识和专业判断确定样本的情况下采用的方
法。这种方法不是基于统计学，而且不能确保每个抽样单位的挑选都有已知非零的概率，因
此可能会反映出人为偏差。因此，结果不应该用来推断总体的结果，因为样本不太可能代表
总体。亟需结果确认一个命题时，可以使用非统计抽样，但不应将其用于得出有关总体的数
学上的结论。

2208.4.4 有五种常用的抽样方法，分为统计抽样方法或非统计抽样方法两类：
统计抽样方法：
 简单随机抽样 — 确保总体中的所有抽样单位组合有同等的机会被选中。
 系统抽样 — 涉及使用固定的选择间隔选择抽样单位，其中第一间隔具有随机起点。示例
包括货币单位抽样或价值加权选择，其中总体中每个货币价值（例如 1,000 美元）有同
等的机会被选中。选择检查包含货币单位的项目，因为不能单独检查单个货币单位。这
种方法系统地对选择项目加权，以支持更大的金额。另一个示例是选择每第 n 个抽样单
位作为样本。
 分层随机抽样 — 可确保每个子组中的所有抽样单位都具有已知的选择机会。
从业人员应考虑使用统计软件计算标准偏差，并使用其他汇总统计信息得出统计抽样结果。
非统计抽样方法：
 随意抽样 — 从业人员在不采用结构化方法的情况下选择样本，同时避免任何有意识的偏
差或可预测性。不应依靠对随意样本的分析得出关于总体的结论。
 判断抽样 — 从业人员对于样本可能有失偏颇（例如，所有抽样单位都超过一定值、都针
对特定类型的异常，或都为否定项）。判断性样本并非基于统计学，并且因为样本不太
可能代表总体，其结果不应该用于推断总体的结果。

2208.4.5 两种常用的抽样选择方法包括：
 根据记录和总体子组选择，例如：
 简单随机抽样
 分层随机抽样
 随意抽样
 判断抽样
 根据定量字段（例如货币单位）选择，例如：
 简单随机抽样
 系统化抽样

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 11

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

执行准则 2208：信息技术审计抽样

2.5 样本结果的评价

2208.5.1 根据特定 IT 审计目标对每个样本项目执行审计程序后，从业人员应分析在样本中检测到的任

何潜在误差，确定这些误差是否为实际误差。如果潜在误差确认为实际误差，则应确定这些
误差的性质和原因。此外，应酌情将误差反映到总体中 — 但仅限于使用基于统计的抽样方法
的情况下。

2208.5.2 当无法获得有关特定抽样单位的预期审计证据时，从业人员应考虑是否可以对所选项目执行
备用程序，或者选择和测试替代抽样单位，从而获取充分且适当的审计证据。

2208.5.3 从业人员应考虑使用与选择抽样单位的方法一致的推测方法，根据样本的结果推断总体。
对样本的推测可能涉及估计总体中的概率误差以及因技术不够精确而未能检测出的任何其他
误差。

2208.5.4 对非统计抽样（随意抽样或判断抽样）结果的讨论，应仅限于在总体环境下描述样本分析的
结果。

2208.5.5 从业人员应比较预计总体误差与预估或定义的可容忍误差，并考虑与审计目标有关的其他审
计程序的结果，从而确认总体中的误差是否超过了可容忍误差。可容忍误差可以通过审计标
准、行业标准、合同要求、软件规格等预估或定义。当预计的总体误差超过可容忍误差时，
从业人员应重新评价抽样风险。如果该风险不可接受，从业人员应考虑：扩展审计程序；使
用完善的可容忍误差重新计算样本量并测试更多样本单位；或执行其他审计程序。

2208.6 文档记录

2208.6.1 工作底稿应详尽清楚地描述抽样目标和使用的抽样流程。工作底稿应包括：
 样本的用途，包括样本单位
 总体的来源、总体的定义，以及总体与审计范围的关系
 抽样参数，例如样本量（包括有关抽样风险的任何考虑因素）；随机起点、种子数或获
得随机起点的方法；抽样间隔
 抽样方法
 所选项目以及相应的理由（使用非统计抽样时）
 所执行审计测试的详细信息，包括对误差的评价以及备用审计程序（如适用）
 得出的结论

12 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 执行准则 2208：信息技术审计抽样

在实施标准和准则时，鼓励从业人员在必要时寻求其他指导。指导可来自 IT 审计和鉴证领域：
 企业内部或外部的同事，例如通过专业协会或专业网络团体
 管理层
 企业的治理机构（例如，审计委员会）
 专业指导材料（例如，书籍、论文和其他准则）

《信息技术审计抽样》准则（准则 2208）与 COBIT® 2019 年的联系

COBIT 2019 治理和管理目标 目的

EDM03 确保风险优化 确保企业 I&T 相关风险不超过企业的风险偏好和风险容忍度，识别和管控 I&T 风险对企业价

值的影响，以及最大程度地降低不合规的可能性。

AP012 妥当管理的风险 将企业 I&T 相关风险管理整合到总体企业风险管理 (ERM) 中，并平衡企业 I&T 相关风险管理

的成本和效益。

MEA02 妥当管理的内部控制 在内部控制系统的充分性方面实现对关键利益相关方的透明度，从而建立运营信任、对实现

系统 企业目标的信心并充分了解残余风险。

MEA04 妥当管理的鉴证 促使组织设计和制定高效和有效的鉴证机制，并使用基于公认的鉴证方法的路线图指导鉴证

审查的规划、范围界定、执行和后续跟进。

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 13

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 本页为空白页

14 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 附录 A：相关标准

附录 A：相关标准

注：仅列出与《信息技术审计抽样》准则（准则 2208）相关的标准公告。

标准 相关标准公告
1006 业务熟练 1006.1 IT 审计和鉴证从业人员以及协助其开展审计和鉴证业务的其他人员应具备执行
所需工作的专业能力。

1201 规划中的风险评估 1201.3 IT 审计和鉴证从业人员在规划审计业务时应考虑主题事项风险、审计风险以及

企业所面临的相关风险。

1204 执行与监督 1204.4 IT 审计和鉴证从业人员为实现审计目标应获取并保留充分且适当的证据。

1204.5 IT 审计和鉴证从业人员应记录审计过程，并说明审计工作和支持审计结果和结
论的证据。
1204.7 如果通过其他测试流程获取了所要求的证据，IT 审计和鉴证从业人员应提供恰
当的审计意见或结论，并注明任何范围限制。

1205 证据 1205.1 IT 审计和鉴证从业人员应获取充分且适当的证据以得出合理的结论。

1205.2 IT 审计和鉴证从业人员应运用职业谨慎，评价所获得的证据是否足以支持结论
并实现业务目标。

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 15

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 本页为空白页

16 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 附录 B：相关准则

附录 B：相关准则

准则 相关标准
2006 业务熟练  1006 业务熟练
2201 规划中的风险评估  1201 规划中的风险评估
2204 执行与监督  1005 应有的职业谨慎
 1205 证据
 1401 报告
2205 证据  1205 证据

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 17

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 本页为空白页

18 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 附录 C：术语和定义

附录 C：术语和定义
B P
变量抽样 — 一种根据样本预估总体平均值或总值的 泊松分布 — 通常指独立事件在一段时间或某个空间
抽样技术；统计学上一种预测数量特征（如货币金 内的分布，用于帮助预测事件发生的可能性。与二项
额）的统计模型。 分布一样，是一种离散分布。

C S
抽样风险 — IT 审计师由于测试了审计样本而不是总 审计抽样 — 对总体中低于 100% 的项目实施审计程
体，得出错误结论的可能性。 序，以获取有关总体特征的审计证据。

范围说明：虽然通过适当的样本量和选择方法可以 属性抽样 — 一种根据是否具有某一特征选择总体

将抽样风险降低至可接受的水平，但风险永远无法 一部分的方法
完全消除。
T
F 统计抽样 — 一种通过选择总体中的一部分，借助数
非统计抽样 — 通过专业判断和经验选择总体一部分， 学计算和概率来科学、精确、合理地推断总体特征
以快速确认某个命题的方法。这种方式无法用数学 的方法。
方法得出有关总体的结论。
Z
分层抽样 — 将总体划分为具有明确定义的相似特征 总体 — IT 审计师从中选择样本，以期得出与之相关
的子总体，从而使每个抽样单位只能属于一个层次 的结论的整个数据集。
的过程。

K
可容忍误差 — 专业人员在认为测试目标已实现的情
况下愿意接受的总体的最大误差。在实质性测试中，
可容忍误差与专业人员对重要性的判断有关。在符
合性测试中，可容忍误差是专业人员愿意接受的与
规定控制程序的最大偏差率。

ITAF TM 配套执行准则 2208 ：信息技术审计抽样 19

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)

 本页为空白页

20 ITAF TM 配套执行准则 2208 ：信息技术审计抽样

ISACA. 保留所有权利。

Personal Copy of Fei Wang (ISACA ID: extranet\15000157814@163.com)