[摘 要] 信息技术环境下的审计风险判断问题一直是困扰学术界的难题,学者们至今尚未从信息技术角度对审计风险判断作出合理解释。本文基于技术社会学调适性结构理论(Adaptive Structuration Theory,AST),提出应从技术因素、组织因素、技术与组织互构因素三方面揭示IT环境下被审计单位的审计风险,在此基础上构建了IT环境下审计风险判断的基本框架。借助这一基本框架,对IT环境下被审单位风险的识别和控制进行了较为深入的探讨,并对信息技术环境下审计风险的判断方法进行改进、完善。
[关键词] 调适性结构; 信息技术环境; 审计风险; 判断; 控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 04 . 023
[中图分类号]F239.1 [文献标识码]A [文章编号]1673 - 0194(2011)04- 0050 - 03
一、调适性结构理论与IT环境下审计风险整合研究机制
1. IT环境下审计风险研究的局限性
IT改变了被审计单位的内外环境,导致IT环境下审计风险研究成为一个交叉研究领域,因此相关研究成果复杂多样。从1974年AICPA发布SAS No.3开始,各国审计准则制定组织都专门针对IT环境下的内部控制评价出台了相关的准则及指南。通过系统梳理,本文认为现有研究存在以下局限,有待进一步改进:① 重风险控制评价,轻风险识别。风险识别是风险控制的基础,如果不能有效地识别风险,就难以对被审单位所采取的IT风险控制措施作出恰当评价。② 实务性研究缺乏系统性,导致现有研究普遍缺乏一个支持性理论框架,并给后续的进一步研究带来困难。③ 财务审计领域对IT研究成果的借鉴不够深入。财务审计领域的研究者大多将IT领域的研究成果应用于以IT(会计信息系统、ERP)为对象的审计问题探讨中,没有真正融入到财务审计流程中来。
可见,IT环境下审计风险研究需要转换视角,将调适性结构理论(AST)融入IT环境下审计风险的研究中不仅是必要的,也是可行的。这是唯一能从信息技术角度对审计风险判断作出合理解释的途径或方式。
2. 调适性结构理论基本观点及应用
人们对技术与社会间相互关系的不同理解也映射到IT与组织(企业)间关系的研究中。1994年,DeSanctis & Poole把对IT和组织变化之间关系的不同研究划分为两个学派:决策学派与制度学派。技术社会学派则采取整合两个学派的观点,自成一派。调适性结构理论是技术社会学派思想的代表,其基本观点主要包括:IT结构是社会互动的结构来源之一; 互构过程会产生新的社会结构;社会互构包括IT的采用过程及组织中利益群体的决策流程两个方面;利益群体的内部系统会影响IT采用的特征。可见,AST理论的中心思想是“结构化”(structuration)和“采用”(appropriation)。它动态描述了利益相关者使用IT的过程,说明了组织中利益相关者在采用IT过程中所作的调适是组织变革的关键因素。AST理论表明IT导入组织后可用于研究利益相关者互动关系并提供了一个分析互动过程的框架。目前AST理论被应用于IT许多领域,通过构建基于AST的IT风险判断框架,审计人员就能全面、系统地揭示IT所引发的企业风险。
3. AST对IT环境下审计风险研究的价值
依据决策学派、制度学派和技术社会学派对IT环境下企业风险驱动因素的不同理解,可将IT风险依照其来源分为技术风险、组织风险、技术与组织互动风险3类。技术风险强调由于IT问题导致的IT风险;组织风险是指来源于组织内外结构的风险;技术与组织互构风险是指由于IT与组织在互构过程中出现的不协调风险。作为技术社会学派代表的AST进一步将IT与组织的互构过程归纳为3个共生与互动的子要素,通过分析这些风险驱动因素和追踪其造成的影响,可全面、系统地揭示IT所引发的企业风险。对审计人员而言,借助由AST理论所提炼出的风险判断框架可全面地识别IT环境下被审计单位风险,并对被审计单位的风险控制情况进行客观评价。
综上分析,笔者所要探讨的主要问题为:借助调适性结构理论如何恰当地识别由IT引发的被审计单位风险;如何在正确识别风险的基础上控制被审计单位的IT风险;如何改进IT环境下审计风险的判断方法。基本研究思路可用图1表示。
二、基于AST的IT环境下审计风险的识别和控制
1. 基于AST的IT环境下审计风险识别
(1) 技术风险。技术风险包括技术结构特征风险和技术精神风险。技术结构特征风险包含两层含义:一是指软硬件技术性安全风险;二是指软硬件等基础设施的灵活性风险。可借助使用者手册、设计人员等对该风险进行识别;ERP的导入可能限制企业灵活性,企业选择的ERP系统如果不符合政府法规或行业要求等都会引发技术精神风险。可通过系统设计的隐喻、系统特征及表现方式、使用者界面的本质等方式进行识别。
(2) 组织风险。组织中多样性员工在实现组织目标过程中可能存在冲突,这些冲突必然给IT的设计、开发、使用带来影响,从而产生IT环境下的组织风险。此外,现有研究结论表明,组织的集权化会影响信息系统的应用及绩效,集成化的ERP所体现的管理思想源于欧美,在盛行中华文化地区的企业实施时则会遇到更多阻碍。总之,不论从整体层面还是从个体层面,组织中既存的风险会对IT引发的变革产生影响,也会最终作用于企业的IT风险。
(3) IT与组织互构系统风险。包括IT利益群体相关风险和流程风险两个层面。IT利益群体相关风险可从企业层面、功能单元层面、个人层面等3个不同层面来界定识别。企业层面的IT利益群体风险可从信息文化缺乏风险、企业层面利益群体互动风险、缺乏高级管理层支持风险3个维度来界定并识别;功能单元层面的IT利益群体风险是指技术人员未能把用户需求转化为技术需求,从而为IT的应用埋下的风险隐患;个体层面的IT利益群体风险主要包括相关知识与经验不足的风险和用户认同度低的风险。流程风险包括IT流程风险和业务流程风险。IT流程风险可从流程目标无法实现风险、流程负责人不到位风险、流程难以改进风险等方面分析、识别;业务流程风险可从针对业务流程总体风险(应用系统无法支持业务流程风险)和针对业务流程中信息流风险(应用系统中数据获取和生成过程中风险)两个方面分析、识别。
2. 基于AST的IT环境下审计风险控制
(1) 技术控制。技术控制是使用IT手段所进行的自动控制,可分为计算机硬件层次上的内部控制和系统支持软件中的控制。硬件控制通常是由计算机硬件制造商设计并内嵌于计算机硬件设备上的;软件控制包括系统软件控制和专业应用软件控制。系统软件控制是软件开发商设计并自带的,专业应用软件控制则与具体的业务规则相关联。
(2) 组织控制。组织控制就是组织通过某种手段使得具有各种个人需求的员工服从组织的要求。作为管束人们经济行为的规则,从社会学的角度看,制度可分为两大类。一类是有形制度安排。作为制度的外在安排,形式化的规则与程序往往是通过制度构建或通过强制性方式建立起来的。另一类是无形的文化形式。作为制度的内在安排,这种价值模式往往是通过一种历史性的社会化过程,对每个社会成员进行文化塑造而实现的。
(3) IT与组织互构系统的控制。主要涉及对IT利益群体风险控制和对流程风险控制两个方面。对IT利益群体控制可分为整体层面控制和个体层面控制。整体层面控制主要是通过广义的制度控制(包括有形制度控制和无形文化控制),建立一套合理的制度安排,使企业的IT应用符合企业的期望行为(即IT治理);个体层面控制主要指对IT利益群体成员的IT知识和相关实践经验的交流、培训和教育。对业务流程控制可采用组织控制方法和技术控制方法结合使用,并同时执行预防性控制、检测性控制、纠正性控制,审计人员在设计业务流程控制测试时应注重对询问、观察、检查、重新执行等多种测试方法的综合应用。
三、基于AST的IT环境下审计风险判断方法的改进与完善
1. IT环境下基于流程的审计风险判断方法
借鉴自上而下审计方法,结合AST理论中以流程为IT风险判断的中间环节分析法,改进的IT环境下审计风险判断方法的具体实施步骤如下:① 了解企业及其环境,包括内部控制;② 确定财务报告流程的核心要素;③ 识别关键的业务流程;④ 确定与IT功能相对应的应用系统范围;⑤ 识别管理和驱动重大应用系统的IT流程;⑥ 评价IT控制和分析业务流程风险;⑦ 评估电子证据证明力和设计实质性测试程序。通过上述7个步骤将IT环境下的企业风险因素与报表和认定层次的重大错报风险相链接,同时为电子审计证据证明力,即检查风险的判断提供依据。
2. 协助审计人员实施以流程为基础审计的工具
CarlaCamaghan(2006)对审计准则及审计领域中所需的适用于审计风险估计的工具与企业模型中关于业务流程的概念和结构作比较,结果表明审计人员所需的知识类似于管理人员对业务流程的理解和控制。因此,协助审计人员实施以流程为基础审计的工具主要包括:
(1) 数据流程图。数据流程图是一种分析系统数据流程的图形工具。它最初是为了满足信息系统设计需求,按照结构化方法,在总体上遵循自顶向下逐层分解的原则,这样把大问题、复杂问题分解成若干个小问题,然后分别解决。这种分解是以加工性分解为中心,属于功能分解性质。
(2) REA模型。William E.McCarthy(1982)在“事项会计”概念基础上,运用实体关系(Entity-Relationship Diagram)建立了REA会计模型。REA模型创立的本意是为描述组织内的经济交易提供一个数据模型,随后REA的作用被扩展为对业务流程建模的一种方法,以协助企业建立统一的数据库。REA通过分析经济交易的实质,从价值链角度定义业务流程,其目标是通过数据指导人们应对经济活动的哪些特征建模及如何体现这些特征。
(3) IDEF模型。IDEF是流程模式工具,也是一种流程分析与设计方法。它借助图示方式,清楚严谨地描述大而复杂的组织内流程之间、流程与外界实体间的业务流程。审计人员借鉴这些相关的企业流程及子流程通用设计模式,可针对各项流程加以系统分析及研究。
3. 组建综合性审计团队支持流程基础的审计
IT环境下技术与组织之间的交互作用要求审计人员实施建立在流程基础上的审计风险判断方法。此时的流程是人工与自动化相结合的流程,这对审计人员的技能提出了更高的要求。因此,组建由具有不同知识背景的计算机审计专家与财务审计人员构成的综合性审计团队,是正确判断IT环境下审计风险的有效方法。当然计算机专家与财务审计人员都需要增加对方领域的知识,这样才可以促进彼此之间有效的交流与合作。相关研究表明,当财务审计人员拥有更多的IT环境下的审计经验时,他能更好地识别计算机审计人员工作结果的优劣。因此,财务审计人员需要增加相关的专业知识以增强自身的竞争力。
主要参考文献
[1] [美]詹姆斯·A·霍尔(James A Hall). 信息系统审计与鉴证[M]. 李丹,译. 北京:中信出版社,2003.
[2] [加]尤苏费利·F·穆沙基,[匈]阿什·胡克. ERP系统整合审计[M].陈明坤,译. 北京:经济科学出版社,2007.
[3] 美国公众会计监督委员会. 第5号审计准则——与财务报表审计相结合的财务报告内部控制审计[S]. 张宜霞,刘玉廷,译. 大连:东北财经大学出版社,2008.
[4] 庄明来,吴沁红,李俊.信息系统审计内容与方法[M].北京:中国时代经济出版社,2008.
[5] B Ballou,C E Earley,J S Rich. The Impact of Strategic Positioning Information on Auditor Judgments about Business Process Performance[R].Working Paper Series,2001.
[6] D C Yang,L Guan. The Evolution of IT Auditing and Internal Control Standards in Financial Statement Audits:The Case of the United States [J].Managerial Auditing Journal,2004,19(4):544-555.