1.3.3 审计风险和重要性
审计风险可定义为:收集的信息可能包含审计过程中未发现的实质性错误的风险。适用时,信息系统审计师还应考虑与组织相关的其他因素:客户数据、隐私权、所提供服务的可用性,以及企业和公共形象(如果是公共组织和基金会)。
审计风险受以下因素的影响:
• 固有风险:与审计风险有关,指在不考虑管理层已实施控制措施的情况下,被审计流程/实体面临的风险水平或风险暴露。固有风险不受审计影响,可能因业务的性质出现。
• 控制风险:指无法通过内部控制系统及时阻止或检测到实质性错误。例如,与手动审查计算机日志相关的控制风险可能很高,因为需要调查的活动经常会因记录的信息量较大而被遗漏。如果始终坚持采用计算机化数据验证程序,则与之相关的控制风险通常较低。
• 检测风险:指信息系统审计师无法检测到的实质性错误或失实陈述。
• 总体审计风险:指审计师可能无法检测到信息或财务报告中实质性错误的风险。制定审计方法的目的是限制所监督领域中的审计风险,以使检查完成时,总体审计风险处于足够低的水平。
内部控制弱点或一组内部控制弱点可能使组织很容易受到威胁(例如,财务损失、业务中断、失去客户信任、经济制裁)。信息系统审计师应当通过基于风险的审计方法评估内部控制,进而评估相关事项的重要性。
重要性是指某项信息对被审计实体职能的影响或作用的重要性。将企业看作一个整体时,重要性表示特定事件的相对意义或重要性。重要性与信息系统审计师可接受的审计风险水平之间存在反比关系,即重要性等级越高,审计风险可接受度越低,反之亦然。
制定审计规划时,信息系统审计师应充分了解审计风险。审计样本可能无法反映出总体中的所有潜在错误。但是,如果遵循正确的统计抽样程序或高质量的控制流程,出现检测风险的可能性能够降到可接受水平。
同样,在评估内部控制时,信息系统审计师应当意识到给定系统可能无法检测到小错误。但是,该错误如果和其他错误叠加,则可能成为整个系统的实质性错误。
注意
CISA考生应当理解审计风险并且不应将其与统计抽样风险混淆;抽样风险是指对迚行抽样的总体的特性做出错误假设的风险。