3.4.6附属证据(circumstantialevidence)：属于间接证据，通常是从首要证据中推断出来的，因为其证明可以从首要事实(这些事实对于所争议事项非常重要)中推断出一些介于中间的事实。例如，受到密码接触保护的在线会计证据被修改这一事实构成了附属证据，证明了获得授权人员是有责任的。但是，如果存在未经授权人员能够取得这些密码的情况，则这一证据就是有缺陷的证据。

　　3.4.7确证证据(conclusiveevidence)：是指那些不需要任何额外的佐证，可以无可争辩地推出唯一一个合理结论的审计证据。间接证据不是确证证据。

　　3.4.8佐证证据(corroborativeevidence)：是指可以支持其他审计证据的审计证据。佐证证据的数量越多，其说服力就越强。例如，第二位亲历证人的证词就可以强化和证明第一位证人的证词。

　　【例题】在与存货部门工作人员面谈过程中，某内部审计师了解到销售人员经常在没有得到主管销售副总裁批准的情况下订购存货。同时，详细测试显示在补充备件采购订单上也没有书面批准。在本题中详细测试是下列哪种审计证据的一个很好的例子?

　　a.间接证据

　　b.附属证据

　　c.佐证证据

　　d.主观证据

　　【例题】内部审计师的多数工作都涉及审计证据的收集。合同的复印件(而不是原件)是哪类审计证据的实例呢?

　　a.次要证据

　　b.附属证据

　　c.旁证

　　d.意见证据

　　相关知识

　　3.5在决定采用最好的方法以支持审计结论和审计建议时，内部审计师需要考虑许多方面。

　　3.5.1应该考虑收集多种类型审计证据。在实际审计业务中，内部审计师需要应用多种审计程序、采取不同的方法来收集审计证据，所以必然会获得多种类型的审计证据。只有多种类型审计证据相互印证，才能对形成的审计结论给予充分的支持，增强审计结论和审计建议的说服力。

　　在计划信息系统审计工作时，内部审计师应当考虑的不同类型审计证据，包括：

　　观察到的流程及存在的实物项目：包含对活动、财产及信息系统功能的观察，例如，存放于远端储存地点的硬件设备、运行中的电脑机房安全系统。

　　书面审计证据：指记录于纸质或其他介质的书面审计证据，例如，证据筛选的结果、交易记录、程序清单、发票、活动及控制日志、系统开发文件。

　　说明：指被审计人员的陈述，例如，书面政策及程序、系统流程图、书面或口头声明。

　　分析：指通过比较、模拟、计算及推理等方式分析的信息结果，例如：将信息系统绩效与其他组织或与过去系统进行比较的结果;比较应用系统、交易及使用者之间错误率得出的结果。

　　3.5.2应该考虑对涉及个人隐私的证据资料的保护。

　　随着信息技术的发展，社会更加关注对那些涉及个人隐私的证据资料的保护。组织在很多国家进行经营活动时，都必须面对隐私保护问题方面的法律规定。因此，内部审计师在实施具体审计业务时，注意掌握和遵守与个人隐私资料使用相关的法律规定是非常重要的，必须清楚在哪些情况下接触、搜索、控制和使用个人信息资料是不当或违法的。如果涉及这方面的问题，建议内部审计师在实施审计业务前做些调查工作，并且从法律专业人士处获取一些意见。

　　3.5.3应该考虑审计证据的可用性。

　　根据《实务公告》规定，内部审计师应该考虑要检查证据的时间性，尤其是当证据是以电子形式储存的时候。例如，如果对文件的变更未加控制或文件没有备份，那么通过电子证据交换系统、文件图像处理系统处理的审计证据，可能在一段特定期间后就无法获取。

　　3.5.4应该考虑风险因素，包括抽样风险和非抽样风险。

　　3.5.4.1抽样风险指由于抽出的样本不能代表总体的属性，从而导致不恰当结论的风险。具体包括风险(误拒风险)和风险(误受风险)。非抽样风险指内部审计师在判断方面发生错误所产生的风险，例如：(1)内部审计师采取了不适当的审计程序;(2)不恰当地执行了审计程序;(3)在抽样过程中没能意识到错误的存在或错误地评估了抽样结果，等等。

　　3.5.4.2无论是抽样风险还是非抽样风险都是不可避免的，所以要求内部审计师能够考虑到与活动、目标、资源和经营相关联的重要风险，并设法将潜在的风险保持在一个可以接受的水平上，即把风险控制在“合理”(reasonable)的范围内。

　　“合理”的涵义包括：(1)成本/效益原则，即在收集审计证据时，要充分考虑收集成本;(2)重要性(materiality)原则，即收集的审计证据可以改变一个人的意见或行动。

　　内部审计师可以采用绝对数和相对数(例如，占所有者权益的百分比、占利润的百分比、占资产的百分比)两种方法来量化重要性水平，同时，也可以根据问题的本质属性，来判断重要性水平。

　　3.5.5应该考虑收集的审计证据要有利于被审计单位的上级管理部门和董事会提高对内部审计职能的认识和重视程度。

　　3.5.6应该考虑被审计单位的反馈信息。被审计单位的反馈信息对内部审计师进一步判断审计证据是否支持审计结论和审计发现也是相当重要的，尤其当审计发现和审计结论对被审计单位不利时，被审计单位自然会在内部审计师收集的审计证据和推理得出的结论中寻找瑕疵，因此，内部审计师更应该重视反馈信息内容，加强沟通，提高审计业务质量。