Professional Documents
Culture Documents
ITAF配套执行准则2208
ITAF配套执行准则2208
⥌䜂䪮助㹎雦䬄呋
免责声明
ISACA 设计并编制了《ITAFTM 配套执行准则 2208:信息技术审计抽样》(下称“作品”),主要用作专业
人员的学习资料。ISACA 不保证使用本作品必然能取得成功。本作品不应被视为包含所有适用的信息、程序
和测试,不排除在其它信息、程序和测试的合理指导下获得同样结果的可能性。在确定任何具体信息、程序
或测试的适宜性时,专业人员应就具体的情况(特定的系统或信息技术环境)做出自己的专业判断。
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
电话:+1.847.660.5505
传真:+1.847.253.1755
联系我们:https://support.isaca.org
网站:www.isaca.org
提供反馈:https://support.isaca.org
参加 ISACA 在线论坛:https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAGlobal
Instagram: www.instagram.com/isacanews/
致谢
ISACA 向以下人员表示感谢:
校审专家
Glenn Kirke,CISA,Integrated Audit and Compliance,美国
Rafael Pérez Marín,CISA,委内瑞拉
董事会
Tracey Dedrick,主席,Hudson City Bancorp 前首席风险官,美国
Rolf von Roessing,副主席,CISA,CISM,CGEIT,CDPSE,CISSP,FBCI,FORFA Consulting AG
合伙人,瑞士
Gabriela Hernandez-Cardoso,独立董事,墨西哥
Pam Nigro,CISA,CRISC,CGEIT,CRMA,Home Access Health 信息技术副总裁/安全官,美国
Maureen O’Connell,Acacia Research (NASDAQ) 董事会主席,Scholastic, Inc. 前首席财务官兼首席行政官,
美国
David Samuelson,首席执行官,ISACA,美国
Gerrard Schmid,Diebold Nixdorf 总裁兼首席执行官,美国
Gregory Touhill,CISM,CISSP,AppGate Federal Group 总裁,美国
Asaf Weisberg,CISA,CRISC,CISM,CGEIT,introSight Ltd.首席执行官,以色列
Anna Yip,SmarTone Telecommunications Limited 首席执行官,中国香港
Brennan P. Baybeck,CISA,CRISC,CISM,CISSP,2019-2020 年 ISACA 董事会主席,Oracle Corporation
客户服务副总裁兼首席信息安全官,美国
Rob Clyde, CISM,2018-2019 年 ISACA 董事会主席,Titus 独立董事,White Cloud Security 执行主席,美国
Chris K. Dimitriadis,博士,CISA,CRISC,CISM,2015-2017 年 ISACA 董事会主席,INTRALOT 集团首
席执行官,希腊
目录
简介 .............................................................................................................................................7
术语和定义..............................................................................................................................................................................................7
执行准则 2208:信息技术审计抽样...................................................................................8
附录 A:相关标准 .............................................................................................................15
附录 B:相关准则 .............................................................................................................17
附录 C:术语和定义.........................................................................................................19
简介
强烈建议遵守本准则,但不是强制性的。因此,IT 审计和鉴证从业人员可灵活应用《信息技术审计抽样》
准则。即便如此,从业人员应做好辩护的准备,证明其在执行 IT 审计和鉴证业务时与准则发生重大偏离或
忽略准则相关部分的正当性。本准则可能不适用于所有情况,但在任何情况下都应予以考虑。
术语和定义
本准则中一些常用词汇有特定的含义,适用于 IT 审计和鉴证从业人员执行的最常见业务类型。为此,
附录 C 中提供了词汇定义,确保这些词汇的含义在本准则的上下文中得到一致的理解和应用。
在可行的情况下,ITAF 的术语和定义通常与专业审计实践以及信息技术和安全中常用的术语保持一致。但
是,从业人员应参考与待执行的特定业务类型有关的现行原始来源的标准,确保术语与所遵循的原始来源的
标准保持一致。
执行准则 2208:信息技术审计抽样
本准则的目的是指导 IT 审计和鉴证从业人员设计和选择审计样本以及评价样本结果。适当的抽样和评价有
助于满足证据的充分性和适当性要求。
2208.1 简介本准则的内容经过组织,旨在提供有关以下关键审计抽样主题的信息:
2208.2 抽样
2208.3 样本的设计
2208.4 样本的选择
2208.5 样本结果的评价
2208.6 文档记录
2208.2 抽样
2208.2.1 在形成意见或结论时,从业人员通常不会检查所有可用的信息,因为这样做不切实际(例如,
需要受审方和从业人员花费大量时间调查所有信息)。如果无法检查所有信息,可以使用审
计抽样得出有效的结论。
2208.2.2 在使用统计或非统计抽样方法时,从业人员应设计和选择审计样本、执行审计程序和评价样
本结果,从而获取充足且适当的证据以得出结论。当使用抽样方法得出总体的相关结论时,
从业人员应使用统计抽样方法。
2208.2.3 在某些情况下不应使用抽样。例如,如果没有执行适当的职责分离等事项的证据,则不应使
用抽样进行控制测试。1
2208.3 样本的设计
1
上市公司会计监管委员会 (PCAOB),AS 2315:审计抽样,www.pcaobus.org/Standards/Auditing/Pages/AS2315.aspx
2208.3.3 样本的用途可以是:
符合性测试/控制测试 — 该审计程序用于在审计期间获取关于控制措施的有效性及运行
情况的审计证据。可考虑使用抽样调查的控制符合性测试示例包括:用户访问权限、计
划变更控制程序、程序文档、计划文档、异常跟进、日志审查和软件许可证审计。
实质性测试/细节测试 — 该审计程序用于在审计期间获取关于活动或交易的完整性、
准确性或存在性的审计证据。可考虑使用抽样调查的实质性测试示例包括:对账户样本
(保证生成支持文档的交易样本)重新执行复杂计算(如利息计算)等。
2208.3.4 抽样单位取决于样本的用途。控制符合性测试的抽样单位是一个事件或交易(例如,发票授
权之类的控制措施)。因为能够确定总体特征,通常采用属性抽样。实质性测试的抽样单位
通常是货币单位,因此通常采用变量抽样,以确定总体特征的货币或大小影响。
2208.3.5 总体指从业人员希望通过抽样从中得出关于总体结论的完整数据集。因此,被抽样的总体必
须有利于测试控制措施设计和执行的有效性,并针对特定的 IT 审计目标和范围进行完整性
验证。
2208.3.6 为促进高效和有效的样本设计,可能需要进行分层抽样。分层是将总体划分为具有明确定义
的相似特征的子总体的过程,每个抽样单位只属于一个层次。
2208.3.7 确定样本量时,从业人员应考虑抽样风险、可接受的误差量以及预期的误差程度。从业人员
得出的结论与采用相同的审计程序对总体得出的结论可能不同,这种不同是抽样风险。抽样
风险有两种类型:
误受风险 — 在总体实际上被严重误报的情况下,重大漏洞被评定为不太可能发生。
误拒风险 — 在总体实际上未被严重误报的情况下,重大漏洞被评定为有可能发生。
2208.3.9 可容忍误差是指从业人员认为测试目标已实现的情况下愿意接受的总体的最大误差。在实质
性测试中,可容忍误差与从业人员对重要性的判断有关。在符合性测试中,可容忍误差是从
业人员愿意接受的与规定的控制程序的最大偏差率。
2208.3.10 预计总体没有误差时,采用较小的样本量是合理的。如果从业人员预计总体中存在误差,则
必须检查较大的样本才能得出结论,即总体中的实际误差没有超过预期的可容忍误差。在估
计总体的预期误差率时,从业人员应考虑以下事项:
以往审计中识别的误差水平
企业程序变更
从以下来源获取的证据:对内部控制系统的评价、分析审查程序的结果和/或对总体的初
步测试结果
2208.3.11 适当情况下,从业人员应考虑是否需要让专家参与复杂抽样方法的设计和分析,例如必须具
备统计有效性的分层随机样本以及基于既定质量控制方法的抽样。
2208.3.12 在某些情况下,从业人员可以设计用作控制测试和实质性测试的样本。请参阅美国注册会计
师协会 (AICPA) 的双样本测试指南。2
2208.4 样本的选择
2208.4.1 从业人员应确保总体的完整性并控制样本的选择。从业人员应选择样本项目,确保样本能够
代表待测试的总体特征。
2208.4.2 样本要能够代表总体,则总体中的所有抽样单位的选择应具有相当或已知非零的概率。这表
明应采用统计抽样方法,因为使用的技术有助于用数学方法得出有关总体的结论。从业人员
应验证总体的完整性,确保从适当的数据集中选择样本。
2
美国注册会计师协会 (AICPA),AU 第 350 节 审计抽样,
www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-00350.pdf
2208.4.3 非统计抽样是从业人员在希望根据自己的经验、知识和专业判断确定样本的情况下采用的方
法。这种方法不是基于统计学,而且不能确保每个抽样单位的挑选都有已知非零的概率,因
此可能会反映出人为偏差。因此,结果不应该用来推断总体的结果,因为样本不太可能代表
总体。亟需结果确认一个命题时,可以使用非统计抽样,但不应将其用于得出有关总体的数
学上的结论。
2208.4.4 有五种常用的抽样方法,分为统计抽样方法或非统计抽样方法两类:
统计抽样方法:
简单随机抽样 — 确保总体中的所有抽样单位组合有同等的机会被选中。
系统抽样 — 涉及使用固定的选择间隔选择抽样单位,其中第一间隔具有随机起点。示例
包括货币单位抽样或价值加权选择,其中总体中每个货币价值(例如 1,000 美元)有同
等的机会被选中。选择检查包含货币单位的项目,因为不能单独检查单个货币单位。这
种方法系统地对选择项目加权,以支持更大的金额。另一个示例是选择每第 n 个抽样单
位作为样本。
分层随机抽样 — 可确保每个子组中的所有抽样单位都具有已知的选择机会。
从业人员应考虑使用统计软件计算标准偏差,并使用其他汇总统计信息得出统计抽样结果。
非统计抽样方法:
随意抽样 — 从业人员在不采用结构化方法的情况下选择样本,同时避免任何有意识的偏
差或可预测性。不应依靠对随意样本的分析得出关于总体的结论。
判断抽样 — 从业人员对于样本可能有失偏颇(例如,所有抽样单位都超过一定值、都针
对特定类型的异常,或都为否定项)。判断性样本并非基于统计学,并且因为样本不太
可能代表总体,其结果不应该用于推断总体的结果。
2208.4.5 两种常用的抽样选择方法包括:
根据记录和总体子组选择,例如:
简单随机抽样
分层随机抽样
随意抽样
判断抽样
根据定量字段(例如货币单位)选择,例如:
简单随机抽样
系统化抽样
2.5 样本结果的评价
2208.5.2 当无法获得有关特定抽样单位的预期审计证据时,从业人员应考虑是否可以对所选项目执行
备用程序,或者选择和测试替代抽样单位,从而获取充分且适当的审计证据。
2208.5.3 从业人员应考虑使用与选择抽样单位的方法一致的推测方法,根据样本的结果推断总体。
对样本的推测可能涉及估计总体中的概率误差以及因技术不够精确而未能检测出的任何其他
误差。
2208.5.4 对非统计抽样(随意抽样或判断抽样)结果的讨论,应仅限于在总体环境下描述样本分析的
结果。
2208.5.5 从业人员应比较预计总体误差与预估或定义的可容忍误差,并考虑与审计目标有关的其他审
计程序的结果,从而确认总体中的误差是否超过了可容忍误差。可容忍误差可以通过审计标
准、行业标准、合同要求、软件规格等预估或定义。当预计的总体误差超过可容忍误差时,
从业人员应重新评价抽样风险。如果该风险不可接受,从业人员应考虑:扩展审计程序;使
用完善的可容忍误差重新计算样本量并测试更多样本单位;或执行其他审计程序。
2208.6 文档记录
2208.6.1 工作底稿应详尽清楚地描述抽样目标和使用的抽样流程。工作底稿应包括:
样本的用途,包括样本单位
总体的来源、总体的定义,以及总体与审计范围的关系
抽样参数,例如样本量(包括有关抽样风险的任何考虑因素);随机起点、种子数或获
得随机起点的方法;抽样间隔
抽样方法
所选项目以及相应的理由(使用非统计抽样时)
所执行审计测试的详细信息,包括对误差的评价以及备用审计程序(如适用)
得出的结论
在实施标准和准则时,鼓励从业人员在必要时寻求其他指导。指导可来自 IT 审计和鉴证领域:
企业内部或外部的同事,例如通过专业协会或专业网络团体
管理层
企业的治理机构(例如,审计委员会)
专业指导材料(例如,书籍、论文和其他准则)
附录 A:相关标准
注:仅列出与《信息技术审计抽样》准则(准则 2208)相关的标准公告。
标准 相关标准公告
1006 业务熟练 1006.1 IT 审计和鉴证从业人员以及协助其开展审计和鉴证业务的其他人员应具备执行
所需工作的专业能力。
附录 B:相关准则
准则 相关标准
2006 业务熟练 1006 业务熟练
2201 规划中的风险评估 1201 规划中的风险评估
2204 执行与监督 1005 应有的职业谨慎
1205 证据
1401 报告
2205 证据 1205 证据
附录 C:术语和定义
B P
变量抽样 — 一种根据样本预估总体平均值或总值的 泊松分布 — 通常指独立事件在一段时间或某个空间
抽样技术;统计学上一种预测数量特征(如货币金 内的分布,用于帮助预测事件发生的可能性。与二项
额)的统计模型。 分布一样,是一种离散分布。
C S
抽样风险 — IT 审计师由于测试了审计样本而不是总 审计抽样 — 对总体中低于 100% 的项目实施审计程
体,得出错误结论的可能性。 序,以获取有关总体特征的审计证据。
K
可容忍误差 — 专业人员在认为测试目标已实现的情
况下愿意接受的总体的最大误差。在实质性测试中,
可容忍误差与专业人员对重要性的判断有关。在符
合性测试中,可容忍误差是专业人员愿意接受的与
规定控制程序的最大偏差率。