（会计学专业论文）信息技术环境下的审计风险研究.pdf

硕士学位论文 摘要 审计风险不论在审计理论中还是在审计实务界都是一项十分重要的内容。随 着信息社会的发展、信息技术的运用，审计风险发生了很大的变化。 文章结合风险概念理论，提出信息技术环境下审计风险的概念，并从狭义和 广义的角度来进行认识和理解，狭义的理解是指信息技术环境下的审计项目风险， 而广义的审计风险指受社会环境影响的审计风险。这样不仅使得审计风险能够继 承风险的特质，而且还能更有效更直接地指导审计人员对审计风险的理解和控制。 同时，信息技术改变了被审单位的经营方式和信息流程，也改变了审计人员 的审计方法和审计技术，这两方面都改变了审计风险的产生和性质。本文就此根 据风险管理理论和审计基本理论，并结合社会因素的影响，阐述了信息技术环境 下的审计风险的产生环节和性质。同时在分析现行审计风险模型的基础上，提出 了对信息技术环境下的审计风险模型的优化，使得信息技术环境下的审计风险能 够被合理有效地计量。最后，从对被审单位的风险的评估、审计主体的审计方法 技术的发展以及审计职业界的审计控制等几方面，提出了控制信息技术环境下的 审计风险的措施。 审计风险结合了审计理论和审计实务，是将审计理论运用到审计实务的桥梁， 也是通过审计理论指导审计实务的媒介。所以本文通过对信息技术环境下的审计 风险的产生、性质，计量，控制等方面的论述，为审计人员在应对信息技术环境 下的审计风险时，提供一定的参考价值。 关键字：风险；信息技术；审计风险；审计风险模型 信息技术环境下的审计风险研究 a b s t r a c t a u d i tr i s kb o t hi nt h e o r ya n di nt h ea u d i tp r o f e s s i o ni sv e r yi m p o r t a n t w i t ht h e d e v e l o p m e n to ft h ei n f o r m a t i o ns o c i e t ya n dt h ea p p l i c a t i o no ft h ei n f o r m a t i o n t e c h n o l o g y , t h ea u d i tr i s kh a sc h a n g e dm u c h c o m b i n i n gt h ec o n c e p to fr i s k ，t h i sp a p e rp u t sf o r w a r dt h en a r r o wc o n c e p to f a u d i tr i s ka n dt h eb r o a dc o n c e p to fa u d i tr i s ku n d e ri t t h en a r r o wa u d i tr i s ki st h e a u d i tp r o j e c tr i s k ，a n dt h eb r o a da u d i tr i s ki st h ea u d i tr i s kw h i c hs u b j e c tt o e n v i r o n m e n t a l i m p a c t t h i s w i l ln o t o n l y m a k et h ea u d i tr i s ki n h e r i tr i s k c h a r a c t e r i s t i c s ，b u tg u i d et h ea u d i t o ru n d e r a a u da n dc o n t r o lt h ea u d i tr i s km o r e e f f e c t i v e l ya n dm o r ed i r e c t l y a tt h es a m et i m e ，i n f o r m a t i o nt e c h n o l o g yn o to n l yc h a n g e dt h em o d eo f o p e r a t i o n a n di n f o r m a t i o nf l o w ，b u ta l s ot h ea u d i tm e t h o d sa n da u d i tt e c h n i q u e so fa u d i t o r s ， b o t ho fw h i c hc h a n g e dt h en a t u r ea n dt h ep r o d u c t i o no fa u d i tr i s k s a c c o r d i n gt o s y s t e mt h e o r y ， r i s kt h e o r y ，b a s i ca u d i tt h e o r ya n dt h ei m p a c to f s o c i a lf a c t o r s ， t h i sp a p e rh a se x p l a i n e dt h ep r o d u c t i o na n dt h en a t u r eo f t h ea u d i tr i s ko ni n f o r m a t i o n t e c h n o l o g ye n v i r o n m e n t a tt h es a m et i m e ， b a s e do nt h ea n a l y s i so f t h ep r e s e n ta u d i t r i s km o d e l ，t h ep a p e rh a sp u tf o r w a r dt h eo p t i m i z a t i o no f t h ea u d i tr i s km o d e lo ni t e n v i r o n m e n t ，w h i c hm a k et h er i s km e a s u r e dr e a s o n a b l ya n de f f e c t i v e l y f i n a l l y ， f r o mt h ea s s e s s m e n to fc o m p a n ya u d i tr i s k ，t h em e t h o d o l o g ya n dt e c h n o l o g y d e v e l o p m e n to f t h ea u d i t o ra n d t h ec o n t r o la s p e c t so f t h ea u d i tp r o f e s s i o n a l ，t h ep a p e r p u tf o r w a r dt h em e a s u r e sw h i c h c a i lr e d u c et h er i s ko f a u d i to ni te n v i r o n m e n t a u d i tr i s kc o m b i n e sa u d i tt h e o r ya n da u d i tp r a c t i c e a u d i tr i s ki sab r i d g et h a t c o n n e c t st h ea u d i tt h e o r ya n dt h ea u d i tp r a c t i c e s a u d i tr i s ki sa l s ot h em e d i aw h i c hc a n b eu s e dt oh e l pt h et h e o r yg u i d et h ep r a c t i c e d i s c u s s i n gt h ep r o d u c t i o n ，n a t u r e ， m e t e r i n ga n dc o n t r o lo ft h ea u d i tr i s k ，t h i sp a p e rp r o v i d e sc e r t a i nr e f e r e n c ev a l u e w h e nt h ea u d i t o rf a c e st h ea u d i tr i s ko ni te n v i r o n m e n t a l k e yw o r d s ：r i s k ；i t ；a u d i tr i s k ；a u d i tr i s km o d e l 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名： 同撕 日期：卅年f 月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密酿 ( 请在以上相应方框内打“”) 作者签名：【 导师签名： 日期：伊6 年，月f 日 日期：形年f 月1 日 硕士学位论文 1 1 选题背景及意义 第1 章绪论 自从1 9 8 1 年我国恢复注册会计师制度以来，民间审计的发展已经经历了2 5 年的历程，注册会计师作为一种职业，它必须具备一定的条件，在得到社会和公 众认可的同时，也必须承担其重大的社会责任，必须面对和接受种种戒律，如若 越轨，便会受到某种形式的惩罚，遭受经济或其他方面的损失。因此我们可以说， 作为职业工作者的注册会计师在其执业生涯中，无时无刻不是处于一种潜在的职 业风险之中，一时疏忽，这种潜在的风险便可能转化为实在的审计风险。 而信息技术的发展和普及，使得审计环境发生了重大变化，进而影响到审计 风险，因此信息技术环境下的审计风险也逐渐成为人们关注的焦点。一方面，由 于信息技术本身带来的特点，尤其是在计算机系统和网络安全方面的某些特殊性， 将引起新的审计风险；另一方面，人们又可以利用信息技术的强大功能，进行风 险的识别、分析和评价，使抽样更加科学。审计证据的收集更为可靠和及时，完 成传统审计中难以胜任的任务，从而大大降低审计风险和提高对审计风险的控制 能力。对审计风险特别是信息技术环境下的审计风险的研究与控制，是摆在注册 会计师面前极为重要的课题l 目前，随着信息技术的普及与发展，信息技术环境下的审计工作也逐步展开， 并且取得了较为显著的效果，有关信息技术下的审计理论研究也有了阶段性的成 果。但是我国审计风险研究尚未全面系统化，信息技术环境下审计所面临的风险 问题也未能在理论上予以总结。 本文尝试在总结审计风险的特征、成因、组成要素、模型运用及控制的基础 上，结合信息技术，提出信息技术下审计风险的特征、成因、组成要素、风险模 型及其控制的一些见解。试图为我国在新经济环境下如何识别、理解并且降低审 计风险提供一些参考意见。 1 2 文献综述 1 2 1 国内关于审计风险的研究 国内关于审计风险的研究可分为三方面进行归纳： 第一，就审计风险的涵义的研究，我国的研究成果主要有： 中国注册会计师审计准则第1 1 0 1 号财务报表审计的目标和一般原则 第七章的审计风险和重要性中指出：审计风险是指财务报表存在重大错报而注册 会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。 信息技术环境下的审计风险研究 注册会计师应当实施审计程序，评估重大错报风险，并根据评估结果设计和实施 进一步审计程序，以控制检查风险。其中重大错报风险是指财务报表在审计前存 在重大错报的可能性。而检查风险是指某一认定存在错报，该错报单独或连同其 他错报是重大的，但注册会计师未能发现这种错报的可能性。 王光远和张杰明两位博士认为审计风险的定义事实上包括了两方面的含义， 即一种情况是实际上按照公认会计原则公允反映被审单位财务状况和经营成果 时，审计师发表了错误的审计意见；另一种情况是，被审单位财务报表中存在重 要错误时，审计师没能发现而表达了错误的审计意见。 胡春元博士认为：将审计风险概括地表示为未能察觉出重大错误的风险，只 是最狭义的审计风险。审计风险本身具有更广泛的涵义。可以从三个层次上来说 明；一是未能察觉出重大错误的风险，这是最狭义的审计风险；二是发表了一个 不适当的意见的风险，这是狭义的审计风险；三是审计职业风险，这是广义的审 计风险。 刘力云博士认为，审计风险可以分为审计职业整体面临的生存和发展风险和 单个审计项目中审计人员面临的风险。前者称为审计职业风险，后者称为审计项 目风险。其中，审计职业风险是指对审计职业界生存和发展可能带来不利影响的 行为和环境的总和。而审计项目风险指的是现行审计准则中定义的审计风险，即 审计师提出错误审计意见的可能性。 可见对审计风险的概念认定，大致存在两类观点：一是认为审计风险是审计 人员误据或者误受的风险，即对没有错弊现象的财务报表发表保留或者拒绝发表 意见的可能性或者对存在错弊现象的财务报表发表无保留意见的可能性；二是认 为审计风险只是审计人员误受的风险。而在第二类观点中，又分为两种意见：一 种意见认为审计风险是审计人员发表不恰当意见的可能性；而另一种意见认为， 审计风险具有狭义和广义之分，发表不恰当的审计意见只是审计风险概念中的狭 义层面，而审计职业界所受到的损失则是审计风险概念的广义层面， 第二，就审计风险的产生机理的研究，我国的研究成果主要有： 中国注册会计师审计准则第1 1 4 1 号财务报表审计中对舞弊的考虑第 二章第四条指出，财务报表的错报可能由于舞弊或错误所致。错误是指导致财务 报表错报的非故意行为，而舞弊是被审计单位的管理层、治理层、员工或第三方 使用欺骗手段获取不当或非法利益的故意行为。这种故意行为可以由两种情况造 成：对财务信息作出虚假报告导致的错报，如源于管理层通过操纵利润误导财务 报表使用者对被审计单位业绩或盈利能力的判断；侵占资产导致的错报，如被审 计单位的管理层或员工非法占用被审计单位的资产。 第六章第十四条指出，审计中存在的固有限制影响注册会计师发现重大错报 的能力，注册会计师不能对财务报表整体不存在重大错报获取绝对保证。导致固 2 硕士学位论文 有限制的因素主要包括：选择性测试方法的运用；内部控制的固有局限性；大多 数审计证据是说服性而非结论性的；为形成审计意见而实施的审计工作涉及大量 判断；某些特殊性质的交易和事项等。 由此可见，我国新审计准则中，因被审单位的舞弊错误而造成的重大错报和 审计人员在发现重大错报过程中的固有局限性都是形成审计风险的缘由。 另外，中国注册会计师审计准则第1 1 0 1 号财务报表审计的目标和一般 原则第七章第十六条指出，被审计单位在实施战略以实现其目标的过程中可能 面临各种经营风险，由此而影响财务报表的真实性。新审计准则已经体现了由制 度基础审计向为风险导向审计的转向，所以，经营风险也是注册会计师应当重点 关注的对象，因为经营风险和管理层舞弊总是存在一定的相关性。因此，企业的 经营风险也可能导致审计人员所面临的审计风险。 上海国家会计学院的谢荣认为，审计风险的产生既有其技术原因也有其社会 原因。其中技术原因主要有：被审计单位经营业务活动的日趋复杂对审计人员的 胜任能力提出新的挑战；审计方法跟不上社会经济环境发展的要求；审计质量控 制制度未能有效落实；审计准则的相对滞后。而社会原因主要是由利益相关者对 审计责任的追究，导致了审计风险的产生。上世纪六十年代中期以后，投资者因 在财务信息消费中遭受损失而引起的控告审计人员失责的诉讼案例剧增，达到“诉 讼爆炸”的局而。这一情况的发展，使审计人员的审计责任不断加重，审计风险 也不断加大。 张仁寿认为：对审计风险的产生可以从主观和客观两个方面进行剖析。主观 因素主要有审计人员工作经验和能力的差异或不足导致审计风险；审计人员对现 代审计方法的掌握程度及应用不当导致的审计风险；被审计单位管理当局的诚实 与否也是导致审计风险的重要主观因素之一；审计人员执行审计业务时缺乏应有 的职业谨慎的风险。客观原因主要有：目前审计的管理体制的影响；电子计算机 在会计上的广泛应用以及国际金融环境的电子化和信息化加快了审计风险形成的 速度；被审计单位内外部的经营环境复杂多变；现代审计对象的复杂性以及审计 影响范围的扩大及对审计意见的依赖或关注的人越来越多等。 也有一些学者运用经济学的一些原理对审计风险进行了研究。如秦荣生运用 契约理论论述了信息不对称问题与审计风险的关系，并对企业管理层造成的信息 不对称与审计人员的审计风险进行了博弈分析，认为是信息不对称产生了审计风 险，并指出审计风险与信息不对称成正比。 而随着信息技术的发展，信息技术环境下的审计风险的研究，我国正处于发 展阶段。 信息技术泛指用于信息的生产、处理和传输的各种技术，其核心为计算机软 件及硬件技术、网络技术、通信技术和多媒体技术等【l 】。信息技术的应用，使得 信息技术环境下的审计风险研究 注册会计师的审计环境与审计工具发生了重要变化，审计环境变化的重要特征是 计算机系统的复杂性，因此，审计风险的产生缘由和环节也发生一定的变化。 金光华的计算机审计实务中对计算机环境下审计风险的研究：信息技术 的应用使得企业提高运行效率的同时往往又产生新的审计风险。在计算机环境下 的审计固有风险中，管理人员的品性、素质和能力是最为突出的影响因素。在计 算机系统中，内部控制转变为对人和机器两方面的控制，而且以对机器的控制为 主。内部控制的设计和执行遇到了新的挑战，控制风险增加了，主要有：电子数 据的存在使审计线索减少或消失，原始数据的录入存在错漏的可能性，设置权限 密码实现职责分工的约束机制失效的可能性。在计算机系统下内部控制融于软件 中，增加了审计人员难以全面检查测试的可能性，增加了检查风险。会计软件的 更新换代，使历史文件难以提取，也增加了审计的检查风险。 刘志涛在其博士论文计算机审计理论于应用中较为详细地介绍了计算机 会计系统对审计的影响：内部控制的变化，内部控制的重点由会计人员和会计业 务部门转移到电子数据处理部门，计算机数据处理的集中性、连贯性，使大部分 职权分割的控制作用近于消失。审计线索的变化，肉眼可见的审计线索变成存储 在软硬盘上的会计数据库文件。审计方法的变化，对计算机会计系统进行审查时 可用测试数据进行测试。审计准则的变化，我国的中国注册会计师独立审计准 则中指出对计算机数据处理系统进行审计，需把内部控制，数据输入、处理和 输出控制以及计算机的操作过程作为审计重点。 庄明来在会计电算化研究中指出：信息传递新技术将给审计人员带来新 的困扰。未来社会对会计信息需求的多样化，迫使审计师不得不制定新的审计准 则，采用新的审计技术，去面对错综复杂的审计环境，降低审计风险。另外，数 据的安全性将成为2 l 世纪公司面临的最大风险，如果审计师对这一安全控制评价 稍有偏差，便可能影响其对综合信息和明细信息审计的恰当和公允。并提出明细 信息审计是未来审计的重点。 以上对审计风险产生机理的研究都包括了产生审计风险的三方面，即审计对 象、审计主体以及审计环境。但是不管是对手工环境下的审计风险产生原因的研 究，还是针对信息技术环境下的审计风险产生原因的探索，都是从比较具体的环 节入手，而没有结合企业业务流程，对审计风险的产生作系统化的论述。 第三，我国对审计风险模型的研究，主要是以美国注册会计师协会( a i c p ：a ) 所发布的公告和国际审计和保证准则委员会所发布的准则为基础进行：从1 9 8 1 年 a i c p a 发表的审计风险模型，舢p 取x c r d r 到最近新发布的现行审计风险模 型，审计风险= 重大错报风险x 检查风险。 新的审计风险模型中，审计风险要素包括两个：重大错报风险和检查风险。 审计风险取决于重大错报风险和检查风险，是二者的综合风险。即审计风险= 重 4 硕士学位论文 大错报风险x 检查风险。重大错报风险要求注册会计师站在风险的高度上把握审 计过程，以风险为导向进行审计注册会计师对于重大错报风险的评估贯穿于审 计的整个过程，它要求注册会计师必须了解被审计单位及其环境( 包括内部控 制) ，以充分识别和评估财务报表重大错报风险，并针对评估的重大错报风险设 计和实施控制测试与实质性测试程序，以降低注册会计师的审计风险。 不过也有学者提出不同的审计风险模型，如张仁寿引进状态空间方法建立审 计风险模型：a r = i r + c r x d r 。认为改进后的审计风险模型为最优，不仅因为该模 型正确地表达了总审计风险与固有风险、控制风险、检查风险的复杂关系，而且 通过了状态空间法的科学论证得出令人满意的结果。在某些约束条件下，用状态 空间模型来描述分解分析固有风险瓜、控制风险c r 和检查风险d r ，使他们进一步 可量化，从而使得审计风险模型式更具可操作性。 另外也有学者基于社会因素对审计风险的产生具有定的影响，而在重建审 计风险模型时将“诉讼风险”考虑在内。重建的模型为：审计风险= 固有风险x 控 制风险检查风险诉讼风险；审计风险概率= 审计过程给利益相关者造成损失的概 率提起诉讼的概率审计主体法律赔偿的概率，等等。 一 ， 以上的对审计风险模型的研究是以审计过程为基础，认为审计风险是审计对 象、审计主体甚至审计环境共同影响和共同作用的结果。但是以上的研究也是以 手工环境为研究前提的，而没有考虑信息技术这个重要的影响因素。 1 2 2 国外关于审计风险的研究 在英国、美国等民间审计产生和发展比较早，由于审计事业的发展和完善， 审计风险的研究相对成熟一些。2 0 世纪3 0 年代世界经济危机过后，在美国，证 券法和证券交易法的出台，确立了法定审计，明确了c p a 的责任，使审计 职业界的地位得到了巩固和发展，同时大大增加了审计的职业风险闭。2 0 世纪5 0 年代以后，随着审计职业服务范围的扩大，英美等国的审计诉讼案件大大增加， 审计职业界胜诉比率大大降低，客观上要求审计职业界加强对审计风险的研究， 以加强职业界的自身保护。 9 0 年代以来，许多审计学著作中都将审计风险问题作为专章进行探讨。例如， 劳伦斯索耶的1 9 9 6 年最新版内部审计学，斯图阿特特利的英国审计，安 德鲁钱伯斯等合著的内部审计等书中，都专门论述了风险问题。英国安东尼 斯蒂勒专门著书探讨了统计审计中的贝叶斯方法。他们对审计风险的认识都比较 深入，多从经验出发，建立一个模式，进行风险评估和量化，从而科学地确定审 计范围和审计计划，因此具有十分重要的借鉴意义。 蒙氏审计学堪称世界民间审计领域内内容最丰富、权威性最高的著作。 书中对审计风险的研究有：审计风险包括三个构成要素：固有风险、控制风险、 信息技术环境下的审计风险研究 检查风险。固有风险与客户所在行业或其业务的特性有关。控制风险指由于缺乏 控制或控制不当而无法发现帐户中的错误，从而造成控制结构存在瑕疵的可能性。 检查风险是审计人员可容忍的控制结构不能预防及发现，并且审计人员也未能检 查出错误的风险。控制测试和实质性测试是用于降低总体审计风险的审计技术。 二者的关系依审计人员对企业的审计风险评价结果而变化。内部控制结构越稳固， 控制风险越低，审计人员必须做的实质性测试就越少。反之，内部控制结构越薄 弱，控制风险就越大，且由审计人员实施的实质性测试就越多，用以降低总体审 计风险。控制薄弱的证据迫使审计人员扩展实质性测试的范围，以发现因控制薄 弱和企业内在的商务问题而引起的财务数据的误报。 另外一些机构组织也对审计风险有一定的描述： 美国注册会计师协会( a i c p a ) 将审计风险定义为：审计风险系指审计人员针 对含有实质性错误陈述( 或重大错误陈述) 的财务报表发布不恰当审计意见的风 险，审计风险由固有风险，控制风险与检查风险组成。 美国证券交易监督委员会( s e e ) 公众监督委员会任命的审计效果研究小组在 其起草的5 报告与建议6 的附件a 中将审计风险定义为；审计风险即审计人员有 可能于无意中无法对那些己被实质性错误陈述的财务报表恰当地更正他们的意见 之风险。f 加拿大特许会计师协会( c 1 c a ) 的观点是：审计风险是审计程序未能察觉出重 大错误的风险。 国际审计准则则认为审计风险是指审计人员对实质上误报的会计资料可 能提供不适当意见的那种风险。例如，审计人员在那些他们所不知道的情况下可 能对实质上错报的会计报表提供了无保留意见。 国外许多学者也对审计风险进行了定义：w 罗伯特克涅科认为，审计风险 是当管理当局作出的至少一个认定是不正确时，审计师得出其所有认定都是真实 的可能性。a o a 阿伦斯和j k 洛贝克认为审计风险是在财务报表事实上发生重大 错报时，审计师认为财务报表公允表达，并因此提出无保留意见的风险。 另外，关于审计风险模型方面有所发展，国际审计和保证准则委员会( i a a s b ) 于2 0 0 3 年l o 月发布了3 个新的国际审计风险准则：一是国际审计准则第3 1 5 号 ( i s a 3 1 5 ) “了解被审计单位及其环境并评估重大错报风险”；二是i s a 3 3 0 “针对 评估的重大错报风险实施的程序”；三i s a 5 0 0 ( 修订) “审计证据”。与此同时， i a a s b 据此对其他准则作了或正在作相应的修订，如新修订发布i s a 2 0 0 “财务 报表审计的目标与般原则”等。新准则生效后，原i s a3 l o “了解被审计单位 情况”，i s a 4 0 0 “风险评估与内部控制”，i s a 4 0 1 “计算机信息系统环境下的审 计”和i s a 5 0 0 “审计证据”一并作废。本次修订的最大变化和核心内容就是启用 新的审计风险模型，即审计风险= 重大错报风险检查风险。与原模型相比，新审 6 硕士学位论文 计风险模型有着显著的理论进步，对c p a 的要求更高更严。中国注册会计师协会 正在根据i s a s 的新发展抓紧制定我国新审计风险准则：一是独立审计具体准则 第x 号会计报表审计的目标和一般原则，拟取代独立审计具体准则第l 号会计报表审计；二是 独立审计具体准则第x 号了解被审计单位及 其环境并评估重大错报风险，拟取代独立审计具体准则第9 号内部控制与 审计风险、独立审计具体准则第2 0 号计算机信息系统环境下的审计及独 立审计具体准则第2 l 号了解被审计单位情况；三是独立审计具体准则第 x 号针对评估的重大错报风险实施的程序；四是独立审计具体准则第x 号 审计证据，拟取代独立审计具体准则第5 号审计证据。这4 个新准 则己在全国范围内征求意见，待审计准则委员会审议后计划于2 0 0 7 年1 月l 号正 式颁行。 随着信息技术的发展和普及，信息技术下的审计越来越受到关注。面对数据 共享性强，网络化程度高，而又必须满足用户各种需求的企业管理信息系统【3 j ， 国外率先开展这方面的审计。m i s 审计所包含的内容有数据档案的维护控制、输 出数据的利用、系统自身的内部控制、输入控制、e d p 系统的安全、设备控制f 。 输出控制、系统部门的组织、系统的计划、设计和发展、直线控制和系统部门的 成本控制等方面 4 1 。所以信息技术下的审计已经不是仅针对某一会计核算内容的 审计了 “ 成立于1 9 9 6 年的信息系统审计于控制协会( i s a c a ) 是一个国际性专业组织， 也是信息系统审计行业唯一的国际性组织，注册信息系统审计师( c i s a ) 是由该 协会授予的此领域唯一的职业资格。信息技术审计是对信息系统的规划、开发、+ 实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程【5 1 。信 息技术审计最早出现于美国。2 0 世纪6 0 年代，人工数据处理开始转向e d p ，相 应地出现了e d p 审计。9 0 年代以来，随着以计算机、网络为特征的信息系统的 普及，信息系统审计应运而生。 在过去的十几年间，美国注册会计师协会( a i c p a ) 也一直关注r r 对独立审 计的影响，尤其是其下属的审计准则委员会( a s b ) 于2 0 0 1 年4 月所发布的第 9 4 号准则财务报表审计中i t 对审计师评价内部控制的影响，这个准则是对第 5 5 号准则财务报表审计中内部控制评价的“补丁公告”。该准则于2 0 0 1 年6 月1 日开始执行，主要内容包括三个方面：i t 对企业内部控制的影响；i t 对c p a 了解企业内部控制的影响；r r 对c p a 评价审计风险的影响。 2 0 0 1 年在北京召开的国家审计实务委员会( i a p c ) 第7 0 次会议，其中与计 算机信息系统环境有关的内容有； ( 1 ) 关于i t 国家审计实务公告( i a p s ) 的修订。具体内容包括四项：独立 危急系统；在线计算机系统：数据库系统；计算机辅助审计技术。上述四项内容 7 信息技术环境下的审计风险研究 在经过了计算机信息系统( c i s ) 分委员会的详细讨论，征求了r r 委员会、专业 编辑的意见以及考虑世界各地同行提出的修改意见的基础上，发布了这四项i a p s 的修订稿。 ( 2 ) 电子商务。2 0 0 0 年6 月i a p c 通过了关于电子商务的项目计划，并成 立了电子商务分委员会，其成立的宗旨是制定i a p s ，以帮助审计人员在客户存在 电子商务活动的情况下实施会计报表的法定审计。同时电子商务分委员会与审计 风险模型分委员会、i t 分委员会之间保持着密切的联系，并建立了定期相互通报 信息的联系协议。 ( 3 ) 关于舞弊的最新进展。2 0 0 1 年3 月的会议上，i a p c 通过了i s a 2 4 0 舞 弊与错误，并接受邀请参加美国的舞弊特别工作组，以考虑制定一些共同的基本 原则和必要程序。2 0 0 1 年6 月5 日，舞弊特别工作组向美国审计准则委员会( a s b ) 提交了s a s 8 2 的修改稿，并考虑将一些必要的实质性测试程序和对中期的程序指 南作为增加内容。 1 3 本文不足与创新 鉴于信息技术在审计、会计领域的应用尚属较新课题，其理论体系尚未十分 成熟，难免在资料的收集上有一定的困难，在写作期间感到难度较大。 文章在优化审计风险模型的论述中，只是根据前文的推理得出模型的，因此 缺少在数学上对其的证明。另外，本文得出的模型还未通过实践的检验，仅就理 论上的探讨而已，所以缺乏一定的现实性。 由于本文是将信息技术特别是计算机技术同审计理论相结合，本人认为这是 个十分实务性的选题，但是由于缺少系统地软件和计算机方面的实践，也就使得 文章在论述的时候偏向于审计理论方向，而就信息技术方面的论述稍显薄弱。 但本文还是立志将传统审计风险与信息技术相结合，并在此基础上总结信息 技术环境下审计风险的特征、成因、组成要素、模型优化及其控制。运用系统论 理论、风险管理理论和审计基础理论，试图从信息技术改变企业的经营方式和信 息流程角度重新认识审计风险的形成机理，提出在信息技术的环境下审计风险模 型的优化以及对审计风险的控制方法和制度。由于本人的水平有限，知识面较窄， 只能提出一些尚未成熟的想法而已。 1 4 研究内容 本文的研究主要为五部分： 导论部分的主要内容在于，提出研究的背景、主题和意义，在对现有的文献 进行综述的基础上，提出本文研究的基本思路和创新点。 8 硕士学位论文 第二部分从风险的三要素出发，认识风险的基本特征，并由此归纳出审计风 险的基本因素，从而从不同角度重新理解审计风险的涵义。另外通过对信息技术 的发展以及在企业生产经营中的应用，指出信息技术给审计人员在迸行审计过程 中所带来的新的审计风险。最后得出作者对在信息技术环境下审计风险的涵义的 理解和认识。 第三部分从三个方面来阐述信息技术环境下的审计风险产生的机理：由于信 息技术改变了企业的业务流程，从而使得被审单位的会计系统在被审计时产生了 审计对象风险；由于信息技术给审计人员带来了审计技术上的改变，而使审计主 体在审计过程中产生了审计主体风险；另外，由于外部因素的存在诉讼风险 和经营风险的作用，也给审计人员带来了审计环境风险。 第四部分中，从对现行的审计风险模型的基本理论以及运行效果的分析入手， 考察了现行审计风险模型在信息技术环境下运行的缺失。并在对审计风险概念狭 义和广义的理解基础上，对审计风险模型在信息技术环境下进行了优化和重建。 同时，也探讨了其运用和意义。 最后部分是对信息技术环境下的审计风险的控制提出一些建议。从对被审单 位的会计系统的有效评估，审计主体的积极运用先进的审计技术以及审计主体的 行业自律等几方面进行了归纳。 9 信息技术环境下的审计风险研究 第2 章审计风险和信息技术 根据风险管理理论，要充分地认识、评估以及有效地控制该风险，就必须从 对该风险的概念特性理解入手。对审计风险的探讨也应该从审计风险的概念特性 讨论出发。而信息技术必定会给审计风险的涵义造成一定的影响，所以我们应该 结合信息技术对信息技术环境下的审计风险进行全面地探讨。 2 1 审计风险 审计风险从属于风险，是风险系统中的员，所以要分析、理解审计风险， 必须先分析、理解风险的概念性质等。 2 1 1 风险的概念和特性 风险是经济学中的概念，当决策者面临着不确定性时，他的选择对象产 品、资产、职业等都具有了“风险”这个特征【6 l ，“风险”将成为影响人们 最终选择的重要因素之一。 目前，学术界对风险的内涵还没有统一的定义，但可以归纳为以下几种代表 性观点：认为风险是未来可能结果发生的不确定性，通过收益分布的方差来量化 风险；认为风险是损失发生的不确定性，是不利事件或事件集发生的机会；认为 风险是可能发生损失的损害程度的大小，即认为风险是预期损失的不利偏差，这 里的所谓不利是指对保险公司或被保险企业而言的；认为风险是损失的大小和发 生的可能性，指在一定条件下和一定时期内，由于各种结果发生的不确定性而导 致行为主体遭受损失的大小以及这种损失发生可能性的大小，这里的风险是一个 二位概念，风险以损失发生的大小与损失发生的概率两个指标进行衡量；认为风 险是由风险构成要素相互作用的结果，风险因素、风险事件和风险结果是风险的 基本构成要素，由这三者递进联系而呈现的可能性；另外还有利用不确定性的随 机性特征来定义风险，采用模糊数学的方法以及概率论与数理统计的方法来刻画 与研究风险【7 】。等等。 虽然对风险的理解和认识程度不同，或对风险的研究的角度不同，不同的学 者对风险概念有着不同的解释，但归纳起来认为风险是损失的可能性，而“可能 性”包括发生的概率和发生的程度。而结合对风险的认识，我们可以了解认识到 风险的各个方面的特征和性质： 一是，风险是由一系列的风险因素发生预料未及的变动从而导致的。风险因 素是风险形成的必要条件，是风险产生和存在的前提。风险事件是外界环境变量 发生预料未及的变动从而导致风险结果的事件，它是风险存在的充分条件，是连 1 0 硕士学位论文 接风险因素与风险结果的桥梁，是风险由可能性转化为现实性的媒介。由此可见 风险的产生是具有一定的前因后果的。 二是，风险可以量化。风险体系中的各类风险因其具体的产生方式和表现形 式不同，有不用的模型对其进行衡量。如用杠杆理论分析经营风险和财务风险， 用审计风险模型来度量审计风险等。风险的这种可度量性可以使人们有可能控制 风险所带来的影响，在风险面前，变被动为主动。 另外，风险具有不确定性，与这种不确定性相联系的是损失的发生概率和损 失的大小。风险的不确定性指出了风险的后果，而这种与损失相联系的后果促使 人们采取规避而不是偏好风险的行为，尽量地控制其所要承担的风险。 2 1 2 审计风险的概念和特性 对审计风险的认识，综合起来大致存在两种理解：意见不当论与损失可能论。 意见不当论认为审计风险是指当会计报表存在重大错报与漏报时，审计人员 针对会计报表而发布的不恰当审计意见的可能性。 国际审计准则第2 5 号重要性和审计风险将审计风险定义为：审计风险是 指审计人员对实质上误报的财务资料可能提供不适当意见的风险；美国审计准则 说明6 第4 7 号认为：审计风险是审计人员无意地对含有重要错报的财务报表没有 适当修正审计意见的风险；中国注册会计师审计准则第1 1 0 1 号财务报表审 计的目标和一般原则第七章的审计风险和重要性中指出：审计风险是指财务报 表存在重大错报而注册会计师发表不恰当审计意见的可能性。 以上三个定义，虽然对误报的界定范围有所不同：如国际审计准则界定为“实 质上”，我国独立审计准则界定为“重大”，而美国审计准则界定为“无意”行 为，而非有意为之【研；但是对审计风险基本涵义的表述是一致的，即审计风险是 指审计人员对存有重大错报和漏报的财务报表，审计后却认为该重大错报和漏报 并不存在从而发表与事实不符的审计意见的风险。 通过以上对审计风险的意见不当论的解释，我们可以认为，这里所谓的审计 风险，指的是审计项目风险，是审计人员接受审计任务，并对其进行审计而可能 产生的风险。意见不当论的审计风险由两方面风险构成：一方面是财务报表本身存 在重大错报和漏报的可能性，另一方面是审计人员审计后表示该报表并不存在重 大错报和漏报的可能性。也就是说，审计风险是客观的存在和主观的努力的结合。 客观存在可以通过主观努力去调节，但主观努力又受成本效益原则的约束。因而 审计风险具有下面三种具体表现形式：审计人员接受某审计项目后，在初步了解 被审计单位基本情况的基础上的评估审计风险；审计项目完成后，审计人员或会 计师事务所准备承担和接受的可接受审计风险；审计项目完成后所实际形成或审 计人员实际承担的终极审计风险【9 l 。其中评估审计风险是客观存在的，可接受审 信息技术环境下的审计风险研究 计风险是主观确定的，而终极审计风险是客观存在和主观努力的结果。审计人员 在决定是否承接某一审计项目时，可以将评估审计风险与可接受审计风险进行比 较，然后根据成本效益原则决定取舍。如果接受该项目，在审计过程中应尽量严 格执行所设计的审计程序，使终极审计风险等于或小于预先设定的可接受审计风 险【1 0 l 。 损失可能论认为审计风险是指由被审单位的客观因素、审计人员主观因素与 其他因素给审计主体( 包括审计人员和审计职业界) 带来损失的可能性。 美国学者海泥斯在论述风险时，认为风险是损失的可能性，这是从最广泛的 意义理解风险。推而广之，审计风险也可以理解为审计主体损失的可能性。谢志 华( 1 9 9 0 ) 认为审计风险是指在审计业务过程中由于各种难以或无法预料，或者无 法控制的审计缺陷，使审计结论与实际状况相偏离，以至审计组织将蒙受丧失审 计信誉，承担审计责任的损失的可能性。阎金锷，刘力云( 1 9 9 8 ) 认为审计风险是 指审计主体遭受损失或不利的可能性。吴联生( 1 9 9 5 ) 认为审计风险是指在审计活 动中由于各方面因素的影响而造成损失的可能性。 以上这些对审计风险的理解都是以审计主体为立场。探索包括被审单位、审 计主体甚至社会因素对审计风险产生的影响。以损失可能来理解的审计风险具体 的产生过程有：审计人员在进行审计后虽然为某一客户提供的审计报告正确无误， 但审计人员( 或承担审计的会计师事务所) 却由于一种客户关系而受到伤害的风 险；或者由于只限于抽样的审计并不能发现财务报表中全部错误，并提出错误的 审计意见时，因审计人员过失而受损失的人，可望从会计事务所处取得赔偿的风 险。 另外，徐政旦、胡春元( 1 9 9 8 ) 将意见不当论与损失可能论结合起来，认为 审计风险有狭义与广义之分：意见不当论是狭义的审计风险，损失可能论是广义 的审计风险。 以上对审计风险的定义，从不同角度反映出了审计风险的内涵。但从中可抽 取出审计风险共性条件：其一，给审计客体及其相关方面带来不良后果或损失， 并由审计主体来承担损失和责任，即具有风险损失可能性的特性；其二，同审计 环境不确定因素有关，审计环境包括被审单位的会计系统和审计主体的审计活动， 这些都能产生审计风险。这也是符合风险的风险因素和风险事件产生风险结果的 风险特性的；其三，审计主体在一定程度上能够通过主观努力来控制风险，这就 需要对审计风险进行合理地测量，因此也是风险可量性特性的体现。所以不论是 狭义还是广义的；不论是国家审计或是社会审计；不论是抽象表达，还是具体表 述，以上三点就是审计风险内在涵义的主要要素。 硕士学位论文 2 2 信息技术 信息技术的发展给企业的会计系统以及审计主体的审计过程带来了巨大的变 化。理解信息技术环境下审计风险应该先认识信息技术的定义、在会计系统中的 应用以及对审计主体的作用等方面的内容。 2 2 1 信息技术的定义和发展 信息技术是指开发、利用、采集、传输、控制和处理信息的技术手段，包括 电子计算机技术、微电子技术、软件技术、通信技术、传感技术等。它集微电子 学、光学、材料学以及数学、逻辑学等现代科技于一体，目的是全面提高信息处 理各个环节的工作效率和水平。微电子技术是信息技术的基础，计算机和通信技 术是信息技术的标志【1 1 1 。所以，一定程度上，计算机和通信技术的发展和运用代 表了信息技术的发展和运用。1 9 4 5 年第一台电子计算机在美国加利福尼亚大学的 问世标志着人类进入了信息技术时代。而p c 机的出现更是一场划时代的革命， 它使计算机的普及成为不可阻挡的潮流。几十年来，计算机及相关技术不断推陈 出新，其功能也不断完善和加强，以计算机技术为代表的信息技术的应用己经深 入到人类社会的各个领域。由于以计算机为代表的信息技术的速度、准确度及大 存储量等特点，使它在企业经营管理上得到了广泛的应用和发展，由此，企业的 经营模式和业务流程都发生了巨大的变化，而信息技术在财务领域的运用则使财 务报表的生产环境和生产过程发生了一定的变化。这些变化和企业信息技术运用 程度的高低和普及面的大小有关，如有些企业可能仅仅是财务部门实现了电算化， 而有些企业却是大规模的电子商务化。 2 2 2 信息技术在企业的应用阶段 随着信息技术的发展，信息技术在企业中的应用程度也呈现出由