1.3.5 信息系统审计风险评估技术

在确定被审计的职能领域时，信息系统审计师可能要面对各种各样的审计主题。每个主题可能产生不同类型的风险。信息系统审计师应当评估可能面临的风险以确定应被审计的高风险领域。

信息系统审计师可以使用多种风险评估方法，从基于审计师对高、中、低风险判断的简单分类，到提供数字风险评级的复杂科学计算，不一而足。

评分系统就是一种这样的风险评估方法，在基于风险因素的评估结果确定审计优先顺序时，此方法非常有用。该系统综合考虑了多个变量，例如，技术复杂性、现有控制程序的水平以及财务损失程度。这些变量可加权，也可不加权。然后，相关人员会比较各风险值并据此制订审计计划。

风险评估的另一种方法是主观评估，即基于业务知识、执行管理层指令、历史观点、业务目标和环境因素做出独立判断。其间可结合使用多种技术。为了更好地满足组织的需求，可以随时间变化变更和改进风险评估方法。信息系统审计师应当考虑适合被审计组织的复杂程度和详细程度。

信息系统审计师应利用管理风险评估的结果来补充自己的风险评估程序。因独立性可能受损，在审查或利用管理风险评估时，应在一定程度上采取专业怀疑态度。

使用风险评估来确定要审计的领域具有如下优点：

• 使审计管理层能有效地分配有限的审计资源。

• 确保已从各级管理层获得相关信息，包括董事会、信息系统审计师和职能领域管理层。通常，此类信息有助于管理层有效地履行其职责并确保审计活动能够针对高风险领域，这将为管理层创造更大的价值。

• 为有效管理审计部门打下基础。

• 总结如何将单项审计主题与整个组织机构以及业务计划联系在一起。