1.6.2 抽样

如果考虑到时间和成本，无法对预定义总体中的所有交易或事件进行完整验证，则可采取抽样法。总体包含需要接受检查的整组项目。总体中用于执行测试的部分称为样本。抽样旨在根据样本的特征推断整体的特征。

审计抽样时一般使用统计抽样和非统计抽样。

• 统计抽样。用于确定样本量和选择标准的一种客观方法。

■ 统计抽样使用概率的数学规律来计算抽样量，选择样本项目，以及评估样本结果并做出推论。

■ 通过统计抽样，信息系统审计师能够以量化方式确定样本与总体的接近程度（评估样本精度）以及在100次抽样中样本代表总体的次数（可靠性或置信水平）。这个估计值以百分比的形式表示。有效统计样本的结果可以用数学方法量化。

• 非统计抽样（通常称为判断抽样）。通过审计判断来确定抽样方法、要从总体中抽取检查的项目数（样本量）和要选择的项目（样本选择）。

■ 这些决定以主观判断为依据，判断哪些项目/交易最重要、最有风险。

信息系统审计师应熟悉图1.17中描述的统计抽样概念。

在使用统计或非统计抽样方法时，信息系统审计师应设计和选择一个审计样本、执行审计程序和评估样本结果，从而获得充足、可靠、相关和有用的审计证据。这些抽样方法都需要信息系统审计师在定义总体特征时运用自己的判断力，因此可能会面临从样本得出错误结论的风险（抽样风险）。但是，统计抽样能够让信息系统审计师量化出错的概率（置信系数）。对统计抽样，总体中每个项目被挑选成为统计样本的机会或概率应当相等。在这两种通用的审计抽样方法中，主要使用两种抽样方法：属性抽样和变量抽样。属性抽样一般应用于符合性测试，主要应对属性是否存在的问题，并提供以发生率表示的结论。

属性抽样指三种不同类型但彼此相关的比例抽样：

• 属性抽样（固定样本量属性抽样或频率估计抽样）。该抽样模型可用于估算总体中特定性质（属性）的发生率（百分比）。属性抽样可回答“有多少？”的问题。

■ 例如，计算机访问申请表上的批准签名就是一个可能被测试的属性。

• 停止或继续的抽样法。这种抽样模型可通过允许审计测试尽早停止，来帮助防止对某属性的过度抽样。当信息系统审计师认为总体中存在的错误相对较少时会使用停止或继续的抽样法。

• 发现抽样。如果审计的目标是找出（发现）欺诈、法规规避或其他违规行为，最常使用的抽样模型。例如，如果发现样本没有错误，则假设不存在欺诈/违规；但一旦发现任何错误，则将整个样本视为欺诈/违规。

变量抽样（美元估计或均值估计抽样）是用于从一个样本部分估计总体的货币价值或其他计量单位（如重量）的一项技术。一个变量抽样的例子是审查组织的资产负债表，查看重大交易相关信息，以及对生成资产负债表的程序的应用程序审查。

变量抽样指三种类型的定量抽样模型：

• 分层单位均值。在这种统计模型中，对总体进行分组，然后从不同的组中抽样；用于产生小于不分层单位均值的总样本量。

• 不分层单位均值。这种统计模型会计算某样本的均值并将其作为总估计值。

• 差异估计。这种统计模型可根据从样本观测得到的差异值来估计审计值和账面（未审计）值的总差异。

变量抽样一般应用于实质性测试，主要应对会发生变化的总体特征，如货币价值和重量（或任何其他计量），并提供与偏离常规现象相关的结论。

构建和选择审计测试用样本的关键步骤如图1.18所示。

抽样风险

信息系统审计师得出的结论与总体采用相同的审计程序得出的结论可能是不同的，即为抽样风险。存在以下两类抽样风险：

• 误受风险。在总体实际被严重误报的情况下，重大漏洞被评定为不太可能。

• 误拒风险。当总体实际上未被严重误报的情况下，重大漏洞被评定为有可能。