下载掌阅APP,畅读海量书库
立即打开
审计模式经历了账项基础审计、制度基础审计、风险基础审计的发展轨迹。这一发展变化并不是无章可循的,而是有其内在主线的,其主线便是审计内外部环境的变化,审计模式的发展必须与内外部环境对审计的要求相适应
。信息系统审计是审计的一个分支,它是随着计算机信息技术的发展以及这种技术对审计对象及审计人员本身所产生的影响而产生并发展起来的(有关这部分的内容在后面章节当中将有所展开)。为了全面了解信息技术环境下风险基础审计模式,我们有必要先介绍信息系统审计的发展历程。美国是世界上最早开展信息系统审计的国家,也是目前信息系统审计发展最快、最全面的国家,可以将美国信息系统审计的发展作为我们研究的参考。事实上,我国的审计模式在很大程度上都是借鉴自美国。
(一)信息系统审计的发展历程
我们从审计的产生发展以及信息技术的进步对审计对象、审计主体和审计方式等的影响的角度来进行叙述。
18世纪在英国兴起的工业革命使得全球经济的发展进入了一个新的历史时期,而工业革命所导致的企业经营方式的转变是审计产生的根本原因。其中很重要的一个变化就是职业经理人代替了企业的所有者来对企业的经营进行管理,也就是我们常说的两权分离。这种两权分离的结果直接导致了企业利益相关者对独立审计人员的需求。企业所有者聘请审计人员对企业经营人员的工作进行审查。这种审查后来发展成为定期的审计,“独立审计报告”也就随之产生。
审计发展的早期,企业结构简单,业务性质单一,审计主要是为了满足财产所有者对会计核算进行独立检查的要求,促使受托责任人在授权经营过程中做出诚实、可靠的行为。当时的审计方法是详细审计,也就是我们所说的账项基础审计,这时的审计师将大部分精力投向会计凭证和账簿的详细检查。19世纪即将结束时,经济的迅速发展产生大量业务资料,导致对发生的所有业务进行全面的详细检查是不实际、不经济甚至是不可行的,“测试”(抽查)的概念也就在这一时期产生。与此同时,由于对现金的管理和复式记账的运用,控制的概念也逐渐被人们所认识。但这时人们对控制的认识还没有达到使审计方法产生变革的程度。1905年到1930年,在审计目标方面,英国和美国各自经历了两条不同的道路。在美国,审计目标逐渐从舞弊的检查转变为对被审计单位的真实财务状况进行报告,并且大量运用抽查的方法。在英国,审计的主要目标仍然是舞弊的检查,并且主要采用详细审查的方法。虽然这时对内部控制的好处有所认识,但这种认识对审计程序的性质、时间及范围并没有产生太大的影响。在1933年到1940年期间,更加柔和的审计目标被人们所接受,这一点在标准的审计报告用词中有所体现。在美国,审计报告的用词是:所审计的财务报表是否“公允地反映”了企业情况。而在英国,审计报告的用词更加清晰,他们的说法是“真实和公允”。
由于企业规模日益扩大,经济活动和交易事项不断丰富、复杂,审计师的审计工作量迅速加大,在审计方法方面,到了1940年,抽查成为了主流,而详查成为了例外。然而,正由于不是全面检查,只能采取抽查的方式,抽查还不同于抽样,还只是根据审计师的经验判断选定某些项目进行审计,没有使用专门的统计学方法进行科学的抽样。而抽样被认为是现代审计的局限性之一,它是面对日益繁多的业务时的择优选择,抽样一定存在某种程度的风险。在这个时期,产生了第一台计算机,也正是这个时期,内部控制的概念使得审计方式发生了转变,人们已经普遍认识到充分地“内部核查”(当时人们对内部控制的叫法)可以减少审计人员抽查的工作量。为了提高审计效率,审计师将审计的视角转向企业的管理制度,特别是会计信息赖以生成的内部控制,从而将内部控制与抽样审计结合起来。因为职业界也逐渐认识到,设计合理并且执行有效的内部控制可以保证财务报表的可靠性,并防止重大错误和舞弊的发生。从那时起,审计人员对内部控制的重要性有了越来越深刻的认识,内部控制成为确定审计程序的性质、时间和范围的重要因素。于是,从20世纪50年代起,以控制测试为基础的抽样审计在西方国家得到广泛应用,从方法论的角度,该种方法被称作制度基础审计方法。通过对内部控制的可靠性进行评估来确定审计程序的性质、时间和范围的方式得到了广泛的认同。在这期间,统计学的方法也被引入到审计工作中,用来确定抽查的范围。但统计学方法的使用并不广泛。
由于20世纪中叶计算机技术主要应用于军事领域,并没有应用于企业的管理,因此,IT审计以及IT审计人员还无从谈起。但由于计算机的诞生加上内部控制概念在审计中的应用,为后来的信息系统审计埋下了伏笔。20世纪50年代出现了计算机化的会计系统,我们也称之为“会计电算化”。1954年,通用电气公司第一次使用了会计电算化系统。计算机技术应用于会计系统,改变了数据的存储、提取和控制方式。这给审计人员提出了新的挑战。由于这时采用的是大型计算机,并且只有少数技术人员才能通过编程来使用计算机。这时的审计人员没有能力对这样的计算机系统程序的内部处理过程进行检查,只能根据计算机处理的原始数据,直接对计算机的处理结果进行人工核对。这种方式被称为“绕过计算机审计”,它并不要求审计人员非常了解计算机的处理过程,实质上,这种审计方法是将整个计算机会计处理系统看作是一个“黑箱子”。这种情况一直持续到20世纪60年代中期。
因为自60年代中期开始,出现了更加小型和廉价的计算机。计算机在商业领域的应用不断增加,同时会计软件的种类也多了起来,例如当时产生的MRP(物料需求计划)软件(主要用于采购管理和库存控制,其主要的功能是利用物料清单、库存数据和生产计划计算物料的需求),MRP可以被看做是当今流行的ERP(企业资源计划)软件的雏形。所有这一切都要求审计人员必须不能像之前那样回避计算机处理系统,必须了解和熟悉相关商业领域的EDP(电子数据处理)。同时,审计人员也认识到,他们自己也需要能够满足审计工作需要的软件产品。在这种需求的驱使下,第一个通用审计软件诞生了。1968年,美国注册会计师协会邀请“八大”会计师事务所共同参与,开展EDP(电子数据处理)审计研究,出版了《审计和EDP》一书。该书介绍了如何开展EDP审计,并举例说明如何进行内部控制检查。这给审计人员有关计算机审计方法一个较好的指引。
在电子商务方面,EDI(Electronic Data Interchange电子数据交换)也在60年代末期产生。当时的工作人员在使用计算机处理各类业务文件的时候发现,由人工输入到一台计算机中的数据70%是来源于另一台计算机输出的文件,由于过多的人为因素,影响了数据的准确性和工作效率的提高,人们开始尝试在贸易伙伴之间的计算机上使数据能够自动交换,EDI应运而生。EDI是将业务文件按一个公认的标准从一台计算机传输到另一台计算机上去的电子传输方法。它大大减少了纸张票据,因此人们也形象地称之为“无纸贸易”或“无纸交易”。
由于计算机化的信息系统展现出了强大的生命力,商业领域的业务的复杂程度日益增加,而且全世界范围内的审计行业都经历了一个人力成本大幅上升的时期,所有这些因素,都迫使审计行业寻找一种更加有效并且非常高效的审计方式。刚好在这个时期,发生了也许是在信息系统审计发展史上最为重要的事件。由于对计算机系统控制进行审计的工作变得越来越重要,1967年,几名从事该项工作的人员相聚在一起,讨论建立一个为该领域集中提供信息交流和工作指导的平台。1969年,他们正式成立了信息系统审计的行业组织- EDP审计师协会。
1971年计算机发展到大规模集成电路时代,计算机开始应用到各个领域。信息技术在企业中的应用在这个时期进入了第二个阶段-闭环MRP。在MRP的基础上,集成了能力需求计划、生产和采购,形成反馈,构成封闭的循环。而在审计方法方面,审计风险的概念开始在审计行业中流行起来。由于审计风险受到企业固有风险(管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的财务报表项目、容易遭受损失或被挪用的资产等)因素的影响,也受到内部控制风险(账户余额或各类交易存在错报,而内部控制未能防范、发现或纠正)因素的影响,还受到审计师实施审计程序但未能发现账户余额或各类交易存在错报的风险的影响,这构成了审计风险模型。从方法论的角度,这种以审计风险模型为基础进行的审计,称为风险基础审计方法。这种方法是基于对财务报表中可能存在的重大错误的风险进行评估开展的。
在信息系统审计方面,“美国权益融资公司”的案例使得信息系统审计在方法上取得了一项重大突破。从1964年到1973年,美国权益融资公司的管理人员通过运用虚假的保险政策来虚增利润,从而使公司的股票大幅上涨。该种舞弊行为被揭发后,Touche Ross审计事务所花了两年的时间对其进行审计,证实了该公司的保险政策是虚假的。在这次审计中,审计人员首次采用了“通过计算机审计”的方式来进行审计,并获得了卓著的成效。
随后EDP审计师协会采取了一系列措施来指引信息系统审计。1976年设立了一项教育基金来支持大规模的研究工作,以扩大“IT治理和控制”行业的影响力;1977年,出版了行业标准“COBIT(信息及相关技术环境下的控制目标)”;1978年,推出了CISA(注册信息系统审计师)资格认证。
20世纪80年代信息技术在企业管理中的应用主要体现在MRPII(制造资源计划)的产生。它是在MRP的基础上,集成了财务、供销链管理和制造,构成了完整的企业管理流程。正如前文所述,商业环境的发展必然带动审计方法的进步。1980年开始,审计成本的压力不断上升,要求审计工作的开展不仅要注重效果而且还要注重效率。从那时起到现在,在实践中人们对审计风险概念的重视程度越来越高。审计事务所在审计中纷纷采用“基于风险的审计方法”,也就是风险基础审计方法。风险基础审计的广泛运用,从理论上解决了以制度为基础采用抽样审计的随意性,又解决了审计资源配置问题,要求审计师将审计资源分配到最容易导致财务报表出现重大错报的领域。审计人员可以利用它确定审计程序的性质、时间和范围。
信息技术在企业管理中的应用在20世纪90年代初进入了第四阶段- ERP阶段。在MRPII的基础上,采用了更先进的IT技术,功能更强大。ERP能够支持多种制造类型和混合制造,集成了整个供应、制造和销售过程,并将系统延伸到供应商和客户。同时,系统集成程度更强,能够支持企业的全球运作。正是在这个时期,电子商务开始在互联网上发展起来。
然而,正是这种基于互联网的电子商务发展,使得错误更加集中。1998年AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。由于软件和程序的错误,一台主要的交换机产生故障,许多信用卡用户在长达18小时的时间里无法完成正常的交易。这类事件的发生使得人们开始关注IT服务的可靠性问题,也使这些公司产生了对自己的计算机系统进行审计的需要。
1994年,EDP审计师协会更名为“信息系统审计与控制协会(ISACA)”。这也反映了人们对计算机环境下审计的重点关注领域从对电子数据审计转向了对系统控制进行审计。
跨入2000,信息技术飞速发展,改变了审计行业所处的环境,也为未来信息系统审计的发展提供了广阔的空间。互联网上的电子商务在2000年之后有了很大的发展。2000年1月10日,“美国在线(AOL)”与时代华纳宣布合并,标志着传统的商业模式在网络时代的一个发展方向。然而,由于网络的发展,许多大型电子商务公司受到了计算机黑客的攻击,这些攻击也使得消费者对电子商务的信心受到影响。网上公司开始关注如何对自己进行保护,从而产生了对信息系统安全进行审计的需求;同时,网上交易的风险使得消费者对网上电子商务的可靠性产生怀疑。在这种情况下,对电子商务网站的可靠性进行认证的服务应运而生。这种服务是由美国注册会计师协会和加拿大特许会计师协会共同开发的,其标准被称为“Webtrust(网站认证)原则与标准”。经过认证的网站上会有一个认证标志,通过这个标志,消费者就可以放心地在该网站上进行网上交易了。目前欧洲的会计师协会也开始提供这项服务。
我们看到,随着被审计单位信息化程度的提高,信息系统本身变得越来越重要。如果存在一些信息系统不完善甚至非法人员通过修改信息系统程序舞弊的情况,出现重大问题的话,不仅会颠覆网络信息系统在公众心目中的形象,还会影响审计师对信息系统的信任。为了保证信息系统本身的安全性和可靠性,除了相关认证外,还应该对信息系统内部控制进行审计。
安然事件直接导致了2002年萨班斯-奥克斯利法案的诞生。该法案要求上市公司在年度审计中增加有关内部控制方面的内容,而且也为信息系统审计提供了法律依据。“公司的信息系统中所使用的信息技术的性质和特征对公司的财务报告方面的内部控制会产生影响”(“上市公司会计监督委员会”的审计准则-第2号声明),因此,在内部控制中,信息系统起着十分重要的作用。另外,根据COSO内部控制框架,内部控制的五大要素:风险评估、控制环境、控制活动、监督、信息与沟通都受到信息系统的影响。因此,内部控制的评估已经离不开对其中的信息系统的评估。
随着企业内部信息安全的日益重要,信息安全人员在审计行业的地位也不断上升,社会上对信息安全人员的需求量也在扩大。为了适应形势发展的需要,信息系统审计与控制协会(ISACA)于2002年推出了CISM(注册信息安全经理)资格认证。2005年9月,美国国家标准协会(ANSI)对CISM资格进行了鉴定认可,巩固了它的地位
。
(二)信息技术环境下的风险基础审计
由于风险基础审计在我国民间审计当中应用比较广泛,而信息环境下的民间审计与内部审计在审计技术与模式上与政府审计是相通的,本小节将主要从政府审计角度谈信息技术环境下的风险基础审计,以作为信息技术环境下的审计模式转变的典范,民间审计、内部审计可以之作为参考。
1.当前我国政府审计模式
政府审计重点在揭露重大违规违纪问题,而重大违规违纪往往伴随着串通舞弊或主管舞弊,内部控制无法有效预防、发现,要求审计方法更强调细节。所以,政府审计实务中仍较多采用账项基础审计模式,统计抽样技术难以被政府审计人员接受。而且非连续审计导致控制风险过高,客观上必须大量抽样或详查。
2.政府审计应引入风险基础审计模式信息技术环境下,我国政府审计应引入风险基础审计模式,并结合信息技术特征进行适当调整,形成适合我国政府信息化审计需要的新的审计模式。
(1)政府审计存在审计风险
审计风险是指被审计单位的财政收支、财务收支存在重大错弊而审计人员没有发现,做出不恰当审计结论的可能性。审计风险产生的根源包括两个方面:一是审计方法局限性、审计资源稀缺性、审计人员职业道德以及职业技能的缺失,都可能导致未发现可能存在的重大错弊;二是审计机构和人员需要对审计过失承担责任。资源的稀缺、方法的局限性是风险产生的根源;而当审计机构和人员需要为审计过失承担代价时,才构成实实在在的风险。当前社会对政府审计的监督以及政府审计机关自身加强管理,使得审计机关和审计人员的审计风险责任越来越明确。在这种情况下,政府审计在实务中应积极推进风险基础审计。审计模式是在审计资源稀缺、审计技术方法不足的情况下,确定如何有效配置审计资源、实现审计目标的方法。风险基础审计,即是以审计风险评估为基础,计划审计重点、审计方法,规划配置审计资源,以适当成本和可接受的审计风险完成审计项目。
(2)审计风险模型
审计风险准则项目最早是由国际审计与鉴证准则理事会(IAASB)提出并起草的,后与美国审计准则委员会(ASB)成立了联合风险评估工作组,制定共同的审计风险准则。1998年,加拿大、英国、美国的准则制定机构与学者组成联合工作组,了解和研究审计实务发展情况,并为准则制定机构修订审计准则提供建议。2000年5月,联合工作组发表了研究报告《大型会计师事务所的审计方法发展》。2000年8月,美国公众监督理事会(Public oversight Board)发布了关于审计效率的研究报告。这两份报告的主要研究结论是,基础的审计风险模型并没有被废弃,但需要做出适当的调整。国际审计和保证准则委员会(IAASB)于2003年10月发布了3个新的国际审计风险准则:一是国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”;二是ISA330“针对评估的重大错报风险实施的程序”;三是ISA500(修订)“审计证据”。与此同时,IAASB据此对其他准则作了或正在作相应的修订,如新修订发布ISA200“财务报表审计的目标与一般原则”等。新准则生效后,原ISA310“了解被审计单位情况”,ISA400“风险评估与内部控制”,ISA401“计算机信息系统环境下的审计”和ISA500“审计证据”一并作废
。
在现代风险基础审计方法下,对审计风险模型提出了根本的修正。具体地,将“审计风险=固有风险×控制风险×检查风险”修订为“审计风险=重大错报风险×检查风险”。新模型以重大错报风险代替固有风险和控制风险,具有合理性。利用该模型可引申推导出公式“检查风险=审计风险/重大错报风险”,这就可以帮助审计人员确定审计测试的范围、时间和内容。其中审计风险是审计人员可接受的审计终极风险;重大错报风险是审计人员对被审计单位固有风险、控制风险的综合评价估计;检查风险是审计人员容许的最大检查风险。该模型可从定性和定量两个角度应用。从定性角度,对于存在重大错报风险的项目,审计人员可接受的检查风险低,审计人员应增加额外的审计程序或扩大样本规模,以降低检查风险;从定量的角度,审计人员可根据计算获得的可接受检查风险,计算出统计抽样的样本规模,进行抽样审计。
需要说明的是,在经济全球化不断加快的形势下,随着我国加入WTO后经济的快速发展,企业经营环境的急速变化,加之信息技术已渗透进经济业务,对我国审计准则的建立形成诸多挑战。主要体现在:行业面临的风险(信息技术环境的包围)有日益增大趋势;现行审计实务不能有效应对财务报表重大错报风险;审计风险准则的出台导致国际审计准则出现很大的变化;全球信息化趋势导致我国与其他国家和地区的经济依存度日益提高,审计准则趋同的要求越来越迫切。面对上述挑战,中注协认真研究了国际审计风险准则的内容,进一步加快了审计准则建设和国际趋同进程,起草了我国审计风险准则。
3.信息技术环境下的风险基础审计模式的调整
审计风险客观存在。通过控制检查风险可以将审计风险控制在合理可接受的范围。利用信息技术可以有效降低检查风险。我国政府审计应引入风险基础审计。在信息技术环境下,风险基础审计应作适当的调整。
(1)全面详查电子数据,降低检查风险
利用计算机审计方法,比如CAATTs(计算机辅助审计方法)可以对以电子方式存储的会计原始资料和佐证信息进行全面详查。利用信息化的检查、计算、分析性复核方法可以实现大部分控制测试和交易测试。例如销售发票连续编号的完整性检查;所有销售发票是否均已登记入账等。
由于信息技术的高速数据处理能力,使得低成本、高效率的详查成为可能。并且信息技术的特征使得发现的问题不再是单个问题,而是具有相同性质、特征的某类问题。即一旦发现一个问题,具有相同特征的该类问题均能准确地检查出来,突破了抽样审计的局限性。主要体现在三个方面:
A审计人员对已发现的问题总结特征,编写程序对审计范围内所有数据运行,可发现全部同类问题。一个地区发现的问题,可以在其他地区修改运行同样程序检查是否存在。以前项目发现的问题可在本次项目中运行程序检查其是否存在。
B审计人员可对审计项目分类处理。审计人员按业务或存在风险的性质、特征,对交易进行分类,同一类问题编写相同程序或完成相同操作。在计算机设备处理能力充足的情况下,计算机处理时间可忽略不计,业务量大小对审计人员不构成影响和负担,审计人员可对同一类问题作相同的分析和处理。这种情况下,决定审计工作量的是业务复杂程度所影响的分类多少,而不是每一类业务的数量大小。
C利用全面、充分的电子数据,进行全面深入的分析性复核,实施全面详查和重算可以最大限度地降低检查风险。而这些工作可以由审计人员以非现场的方式完成,从而可以降低审计成本。
(2)验证电子账簿的真实、完整、准确、有效
计算机审计中检查风险主要集中在电子账簿所记录信息的真实、完整、准确和有效。这些测试无法完全依据电子数据来完成,需要借助于纸制文档资料的检查、实物资产的监盘、观察、资产负债项目的函证等方法。此时可以采用抽样审计方法,既可以采用统计抽样也可以依据经验抽样。
(3)准确评估重大错报风险
依据谨慎性原则,审计实务中审计人员往往高估被审计单位的重大错报风险。为了降低对风险的估计,需要增加测试。两者都导致审计成本的增加。而在信息技术环境下,审计组全面占有被审计单位的经营管理信息。利用计算机审计方法可以对这些信息进行充分的检查和分析。由于这些工作均可以在审计准备阶段以方便、高效、低成本的方式实现,使得审计人员可以更准确的评价被审计单位的重大错报风险。
4.信息系统风险基础审计方法
现在,越来越多的组织开始使用风险基础审计方法,以提高、改进持续的审计流程。该方法的主要目的是通过风险评价帮助信息系统审计人员做出是否进行符合性测试或实质性测试的决定。使用风险基础审计方法时,审计人员不仅需要对风险进行判断,还需要依赖组织的内部控制、经营控制以及审计人员对该组织的基本知识的了解程度。这种风险评价决策可以帮助审计人员将有关控制的成本效益分析与已知的风险相联系,最后做出较为实际的决策。
通过了解组织的性质,信息系统审计人员能够确认、区分不同的风险,以确定在审计检查中需要运用的较好的风险模型。风险模型可能很简单,仅需要确定不同风险在数据公式中的位置和相应权重,也可能非常复杂,需要根据组织的性质和风险的重要性确定复杂权重,形成一套风险评估体系。定义信息系统审计总体是风险评估的首要前提。这一工作必须基于审计人员对被审计单位IT战略性计划以及组织运作的充分了解基础上,审计人员可以查阅组织结构图、附属职能部门权责要求,或者与被审计单位人力资源管理部门相关人员进行交谈获得所需资料。
信息系统人员最关注缺乏控制的风险以及关键控制点。因此,在风险基础审计方法中,信息系统审计人员会关注固有风险较高或超过可接受程度的风险,并为各职能部门提供基础技术的系统。
信息系统审计管理的一大重点是确定哪些具体的审计项目应当包含在审计计划当中。审计计划阶段管理人员需要量化考虑完成年度计划所需要的信息系统审计资源总量,因此,如果不能恰当选择审计项目,就会造成资源浪费或不足,导致控制和运行的有效性方面出现问题。
以上方法的目的是将风险最大的审计项目找出来,为优化配置信息系统审计资源提供合理的保证,并试图为选择审计项目提供合理的标准。此外,信息系统审计计划常常称为财务审计或经营审计的补充,用以完善所计划的审计项目应当覆盖的所有方面。