信息化环境下风险基础审计的导向选择

摘要：审计从产生之日起，风险就伴随而生。但由于审计环境的变化，风险的载体和程度会有所不同，从而带来审计切入点即导向的差异。文章基于系统论、控制论、信息论的观点提出：信息系统导向审计是风险基础审计发展的高级阶段。在信息化环境下，被审计单位的信息系统成为风险的重要裁体，为了更好地规避风险，开展信息系统导向审计成为审计人员的必然选择。文章还试图以COBIT标准为指导，建立信息系统导向审计的基础框架，期望能对该领域的后续研究有所裨益。

关键词：信息导向审计；风险基础审计；系统论；控制论；信息论

中图分类号：F239.1　文献标识码：A　文章编号：1003-7217(2009)01-0065-04

审计模式是审计导向性的目的、范围和方法等要素的组合。它既属于审计理论范畴，反映人们的审计思想；又属于审计实践范畴，约定审计行为的方式和方法。根据审计的目标及所采用的方法划分，财务审计的发展可分为账项基础审计、制度基础审计和风险基础审计三种不同的审计模式。审计模式的发展既有跳跃性的一面，更有连续性的一面，它在技术和文化的推动下，体现着不同的审计思想，更反映了不同审计环境的要求。

一、信息系统导向审计：信息环境对风险基础审计的新要求

审计的发展是一部效率与风险的博弈史。早在1957年，蒙哥马利审计学就将“风险”这一概念与审计程序的设计紧密联系，探索审计风险控制的措施和审计方法的改进。随着经济和社会的发展，社会对审计的需求度日益提高，由于受审计目标及审计功能的局限，导致审计期望差距的存在，使审计人员承担过度的审计风险。为此，审计人员必须以风险基础审计为审计模式，将风险作为审计业务的核心，并以此引导审计的全过程。但同时，作为经济体，审计组织必然受制于成本一效益原则，在可控制的审计风险下，如何尽可能地提高审计的效率成为审计的永恒主题，这就要求审计人员能适应审计环境，高效地以风险源为切入点，合理确定审计的范围和重点，从而有效地降低审计风险，保证审计的生存和发展。

(一)风险基础审计的两个发展阶段

风险基础审计是指审计人员仔细分析被审计单位，确定可能产生财务报表错误风险最大的领域，并将审计资源分配到这些领域20世纪80年代初期，美国出台了审计准则委员会第39号《审计抽样》(1981)准则和第47号《审计业务中的审计风险和重要性》(1983)准则，特别是第47号准则中审计风险模型的颁布后，风险基础审计开始了它的历程。20多年来，在审计环境和审计实践的推动下，风险基础审计经历了两个不同导向的时期。

1　传统风险导向审计阶段

2003年以前，基于1983年美国注册会计师协会(AICPA)提出的“审计风险=固有风险×控制风险×检查风险”审计风险模型，这一阶段的风险基础审计，由于固有风险识别的困难性，无论是审计理论界还是审计实务界，都将注意力放在控制风险的识别和评价上。不难看出，这一阶段的风险基础审计实质为控制风险导向审计

2　现代风险导向审计阶段

随着审计环境变得日益复杂，2003年国际审计和鉴证准则委员会(IAASB)将审计风险模型修订为“审计风险=重大错报风险×检查风险”，以重大错报风险取代原有模型中的控制风险，提醒审计人员在审计过程中关注除企业的内部控制以外的风险。徐政旦、胡春元以及谢荣认为，审计人员应以企业经营风险为导向进行审计，更多地考虑企业的战略风险等因素。由于内部控制存在着无法防止管理层舞弊这一固有局限性。王泽霞等认为，审计应当立足于管理舞弊是现代审计风险最高的领域这一事实，将审计的注意力聚焦于管理层舞弊，以管理舞弊为导向。可以看出，风险基础审计发展至今，由于审计环境的变化和审计过程中新问题、新技术的出现，审计的切入点(导向)会有所不同。

(二)信息系统导向审计：信息化环境下风险基础审计的导向选择

二战以后，由于大量新技术的发明和广泛应用，产业结构、社会结构和生活方式发生了重大变化。网络技术促进了经济活动非物质化和经济全球化的迅猛发展，人类逐步进入了信息社会。与信息时代的要求相适应，一些跨国公司为了协调世界各地分公司的产销状况研发了全球性信息系统，企业信息系统的联机实施系统和数据库管理系统化，使得会计系统与其他信息系统联系密切；计算机信息系统对整个单位组织的生产和经营管理起着越来越举足轻重的作用，计算机信息系统运行的可靠性和高效率对整个企业组织的正常运转起着至关重要的影响，信息系统作为被审计单位的主要经济管理载体。

面对审计环境的变化，为了圆满完成审计任务，审计人员要开展审计，就必须首先了解被审计单位的信息系统以掌握其主要经济业务和重要管理活动，信息系统因此成为审计工作的主要切入点。此外，与传统纸质账簿不同的是，信息系统这一经济管理载体存储量大，复杂程度高，操作痕迹少，技术含量高，因而成为审计的重要风险源。审计人员能否迅速了解被审计单位的信息系统，在庞杂的管理信息和财务信息基础上建立审计系统、类别和个体模型，进行特征发现和特征分析，从而完成审计目标成为决定审计效率高低的关键。审计技术开始进入计算机审计阶段，数据的采集、转换、传输、分析、挖掘技术以及系统响应技术的运用都为对信息系统展开审计奠定了强有力的技术基础。

但是，如果仅仅对计算机管理的电子数据进行审计，极有可能是信息化条件下的“假账真查”，审计风险会急速加剧。无论是现代审计风险模型，还是企业经营风险导向审计及管理舞弊导向审计，都过于注重企业某个别风险“点”(如经营风险、管理层舞弊)，或者过于注重会计报表中出现的一些“重大错报”(如战略影响、行业影响等)，致使审计人员无法用全面、综合的观点看待风险的存在，也无法正本清源，寻求会计报表中出现错报的路径及发展变化，从而在高度信息化的环境下，无法系统寻找风险的源头并对之进行有效防范。因此，为了降低审计风险，保证审计质量，必须以计算机信息系统作为切入点进行审计，以保证整个系统及其产生结果的合法性、正确性、可靠性、有效性和安全性。信息系统导向审计全面进入实质性实践阶段。

二、信息系统导向审计发展的理论基石：系统论、控制论、信息论

20世纪40年代以来，系统论、控制论和信息论作为横跨自然科学和社会科学两大领域的综合性科学，从方法论上提供了解决复杂问题的一般原则和具体手段。随着信息技术的广泛运用，企业这一协作系统的信息化程度越来越高，其会计计量与运营管理越来越依赖于信息系统来提高效率、改进服务，加强管理和提高生产力，信息系统的安全、可靠、效度和功能完善也比以往任何时候显得更加重要。自从1993年美国率先提出建设国家信息基础设施，主

张运用信息技术“再造”政府以来，许多发达国家和新兴工业化国家也提出了“政府信息化”的目标。面对这样的社会信息化变革，审计迫切要求实行信息化。

系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体。系统论关注事物之间的联系，寻找事物之间的规律，要求从立体的角度去思考问题。信息系统导向审计环境下，审计人员面对的是被审计单位的联机系统，首先应了解其系统结构，从管理各子系统的非数值型数据入手，而不仅仅是审查其会计系统的数值型数据，通过系统分析、对照、比较，提示重点、筛选线索、形成思路，即所谓多侧面、多变量地考察。从联系的、整体的、发展的观点对非数值型数据进行多层次分析，与对数值型数据的挖掘分析相结合，相互印证，才能发现审计线索，从而提供进一步进行控制测试和实质性测试的重点。

在信息导向审计环境下，系统的开发、设计、程序、应用、安全、网络等构成了一个庞杂的“黑箱”，从而信息接触性风险、信息一致性风险、信息相关性风险、信息可靠性风险和信息基础设施风险剧增，必须进行有效的控制。而面对这样复杂系统，如果不了解其系统结构，就无法连续观测其行为过程。审计中可以尝试采用控制论中的“黑箱方法”，即通过考察系统的输入、输出及其动态过程，来定量或定性地认识系统的功能特性、行为方式，以探索其内部结构和机理，从而实现对外部的输入和输出来进行分析，并完成对源数据的分析。所谓源数据，即被审计单位数据库中的底层电子数据。在传统审计方式下，纸质账册提供的是加工后的数据，而底层数据是指没有经过人为加工处理的数据，底层数据具有原子性，根据审计需要进行任意组合，其信息的灵活性和潜在价值，远远大于现有的信息。其审计方法是根据源数据进行查询，把握审计对象的趋势、异常和错误，层层延伸分析。

信息系统导向审计的核心就是一个信息采集、信息转换、信息分析和信息评价的过程。审计人员应以系统的总体把握为切入点，分析非数值型数据、数值型数据等底层源信息流，突出重点，精确延伸，建立审计中间表，进行数据规划，建立审计模型，最后根据对模型的分析进行特征发现和特征分析，这正是信息论中信息方法处理的一般过程。此外，对于信宿，即审计人员和审计机构，在信息储备和信息审计的过程中，也应建立自己的审计管理系统和审计经验系统，在保证审计质量的基础上进一步提高审计效率，节约审计成本。

因此，在系统论、控制论和信息论的理论基础上，信息系统导向审计可以理解为“审计人员以信息系统为审计切入点，在测试其安全、可靠、有效的基础上，对被审计单位的经营管理活动的合法性、公允性、效益性进行监督、鉴证和评价的过程。”

三、信息系统导向审计的操作框架探索

(一)信息系统审计

信息系统审计是信息系统导向审计的起点。据美国斯坦福研究院的调查报告，随着20世纪60年代第二代晶体管计算机的出现和计算机应用的普及，特别是实行会计电算化后，开始出现信息系统审计。1985年日本通产省情报协会给出了信息系统审计的最初定义，1996年又对其进行了修订，认为信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师以第三方的立场，对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导提出问题与建议的一连串活动。1999年，美国的Ron A，Weber出版了《信息系统控制与审计》，认为信息系统审计是一个获取证据，对信息系统是否能保证资产的安全、数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。虽然信息系统审计发展历史并不长，但其研究在国外已有一定的规模和成果，主要集中在信息系统审计执业标准和规范的研究、作用意义的研究、业务内容的研究、技术方法和应用模式的研究以及人员资格的规范研究等方面。目前普遍得到认可的是美国信息系统审计与控制协会(ISACA)推出的一系列审计标准，它以信息及相关技术控制目标(CO，BIT)为核心，一共颁布八大类14个审计准则，对信息系统审计提供了指南和操作规范。

1　信息系统的生命周期审计

计算机信息系统的生命周期按照CABIT划分为四个域：规划与组织、获取与实施、交付与支持、监控。针对域的各个lT过程进行审计，主要内容是：从系统论的角度了解信息体系结构，检查其有效性、机密性和完整性；审查系统开发、设计、运行、维护过程，检查其有效性、效率性；审查定期的风险评估，检查其可用性、有效性；审查系统安全的机密性、完整性；审查处理问题和突发事件的有效性、效率性；审查数据管理、设施管理和运营管理的完整性和可用性；特别是过程监控的有效性、效率性、完整性、机密性、可用性、一致性和可靠性。

2　信息系统的运行控制审计

根据控制论的稳定控制、程序控制、随动控制和最优控制，对软件结构、处理逻辑和数据运动等进行检查测试，防止和及时发现系统中可能存在的错误甚至非法的处理功能、控制的弱点和缺点，确定系统处理结果的真实性和合法性。COBIT提倡采用检验、分析、观察、询问和确认、重复操作的方法进行系统运行控制测试，以获取充分的审计证据。主要包括检测数据输入的有效性、完整性和准确性；检测数据输入的更正记录的合法性；检测数据处理过程的合法性、准确性；检测数据输出的真实性、完整性；检测数据备份的及时性、可靠性。总之，应对现行系统运行过程中的硬件、软件、工作环境是否安全，操作人员的职能设置、权限管理是否根据工作流程划清职责，能否有效地防止数据被窃取、篡改进行审计；对系统的安全可靠程度、运行处理的合法性、系统工作的有效性和系统的资源利用率进行审计。

(二)系统数据审计

信息系统导向审计以信息系统审计为审计切入点，以风险为贯穿审计过程的核心，不仅应对产生数据的系统进行审计，也要对系统产生的数据进行审计。在信息系统审计的基础上，进一步测试系统所生成的数据的真实性、合法性和正确性。审计人员在对信息系统的生命周期及现有运行控制进行测试后，依据这一过程所确定的风险领域，合理配置审计资源，开展对非数值型数据和数值型数据的审计，用以确定被审计单位经济业务活动的合法性、公允性和效益性。

在对系统数据的审计过程中，运用审计软件进行审计，是电子数据审计的技术基础。无论是现场审计还是联网审计，审计人员搜集大量的非数值型数据后，首先通过数据接口软件，进行源数据的采集；依据信息论原理进行数据转换，按照审计人员的审计要求，构建基础性审计中间表；依据非数值型数据提示的审计重点，筛选审计线索，完成数据整理；建立审计分析模型，按照审计事项的逻辑关系、对应关系、审计人员的经验甚至预测等，通过设定判断和限制条件来建立数学或逻辑模型，建立分析性审计中间表；通过数据挖掘搜集审计证据，利用审计专家系统来进行审计推理与判断。

四、结语

信息系统导向审计是信息化环境下全面贯彻风险基础审计的一种审计切入点的调整，以信息系统审计为起点，采用系统论、控制论与信息论对产生数据的系统进行审计，强烈关注系统的可控风险和不可控风险，对系统涵盖范围、技术复杂性、流程变化以及重要性等进行风险评价，以合理配置审计资源、选择相应的审计策略将审计风险降低到可以接受的程度，并在此基础上对系统产生的数据进行审计，对被审计单位经济活动的合法性、公允性、效益性做出符合效度和信度的审计诊断。信息系统导向审计是审计信息化的重要历程，对于全面强化审计人员的整体风险意识起到不可或缺的作用，但同时也必须认识到，逐步步人实践操作的信息系统导向审计，由于风险的增大、技术难度的加大、审计经验的相对匮乏，依然任重而道远。