淺論ＩＴ環(huán)境下的審計風險判斷

1、淺論環(huán)境下的審計風險判斷論文關(guān)鍵詞審計風險審計風險判斷IT環(huán)境論文摘要現(xiàn)代風險導(dǎo)向?qū)徲嬍且员粚弳挝坏慕?jīng)營風險為出發(fā)點,將“發(fā)現(xiàn)的風險因素同認定層次可能發(fā)生的錯誤相聯(lián)絡(luò)是審計風險判斷的關(guān)鍵。但傳統(tǒng)的審計方法并未明確指明如何將兩者相聯(lián)絡(luò),也并未考慮IT帶來的影響。在IT環(huán)境下,審計風險判斷應(yīng)以流程(包括業(yè)務(wù)流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計風險判斷方法?，F(xiàn)代風險導(dǎo)向?qū)徲嬕员粚弳挝坏慕?jīng)營風險為出發(fā)點,相關(guān)的風險評估結(jié)果是評估財務(wù)報表層次和認定層次重大錯報風險的基矗審計風險雖源于重大錯報風險,但審計人員最終都要通過對報表各工程的審計發(fā)表財務(wù)報表審計意見,因此風險評估必須與各類交易、賬戶余額

2、、列報的認定相聯(lián)絡(luò)。將“發(fā)現(xiàn)的風險因素同認定層次可能發(fā)生的錯誤相聯(lián)絡(luò)是審計風險判斷的關(guān)鍵。但傳統(tǒng)的審計方法并未明確指明如何將兩者相聯(lián)絡(luò),而且也未關(guān)注IT環(huán)境下如何將風險因素與認定層次可能發(fā)生的錯誤相聯(lián)絡(luò)。在IT環(huán)境下,業(yè)務(wù)流程及其支持流程IT流程,都是鏈接風險因素和認定層次可能發(fā)生錯報的中間環(huán)節(jié)。在高度自動化的企業(yè)環(huán)境下,審計證據(jù)的證明力依賴于IT相關(guān)風險的控制情況。因此,有必要改良IT環(huán)境下的審計風險判斷方法。在IT環(huán)境下,審計風險判斷應(yīng)以流程(包括業(yè)務(wù)流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計風險判斷方法。一、流程對審計風險判斷具有重要意義流程的概念很多,IS/IE9000將之定義為一

3、組將輸入轉(zhuǎn)化為輸出的互相關(guān)聯(lián)或互相作用的活動。企業(yè)由流程構(gòu)成,Kaplan(2001)將企業(yè)定義為是一系列互相關(guān)聯(lián)的活動或流程的集合,或是一個價值鏈。在IT環(huán)境下,流程可理解為“角色加活動,即將流程描繪為一個為實現(xiàn)特殊目的而合作且互相影響的角色的集合。早期人們對企業(yè)流程的理解大多局限于傳統(tǒng)的業(yè)務(wù)領(lǐng)域;當IT逐漸與業(yè)務(wù)交融,并成為企業(yè)所有經(jīng)營活動的驅(qū)動引擎時,流程的范圍開場拓展,此時的IT流程與業(yè)務(wù)流程需要實現(xiàn)動態(tài)整合,即IT活動被看作是業(yè)務(wù),并執(zhí)行與業(yè)務(wù)一樣的管理方式。因此,IT環(huán)境下的企業(yè)業(yè)務(wù)流程應(yīng)該是廣義的,同時包含IT流程和業(yè)務(wù)流程。美國公眾公司會計監(jiān)視委員會發(fā)布的第5號審計準那么就指出

4、,作為理解重大流程的一部份,審計師應(yīng)理解IT如何影響公司的交易流程。有些大的會計公司為了強調(diào)經(jīng)營風險的審計方法,修改它們的審計輔助軟件,以圍繞業(yè)務(wù)流程組織審計證據(jù),而不是按照傳統(tǒng)的交易循環(huán)組織證據(jù)。關(guān)注業(yè)務(wù)流程的審計軟件系統(tǒng)(Business-Press-Fused,BPF)通過價值鏈組織被審單位的信息;而傳統(tǒng)的關(guān)注交易循環(huán)的審計軟件系統(tǒng)(Transatin-irle-Fused,TF)是按照交易分類組織被審單位的信息。DnnellE和JrJsephJShultz(2022)的研究結(jié)果說明使用BPF軟件的審計人員能識別出更多的風險情形,并將風險估計在恰當?shù)某潭?而使用TF軟件的審計人員對風險的

5、識別和估計都較差。因此他們認為不同的信息組織形式會影響審計人員的決策判斷。造成這種結(jié)果的原因在于業(yè)務(wù)流程關(guān)注事件之間的關(guān)聯(lián)性,它通過情景引導(dǎo)記憶;而傳統(tǒng)的交易循環(huán)關(guān)注的是交易分類,它通過語義引導(dǎo)記憶。因此,關(guān)注業(yè)務(wù)流程可降低任務(wù)的復(fù)雜性和認知難度。隨后其他的研究人員也發(fā)現(xiàn)圍繞業(yè)務(wù)流程開展內(nèi)部控制的評估任務(wù)更為有效。二、IT環(huán)境下基于流程的審計風險判斷方法為了協(xié)助審計人員運用自上而下的風險導(dǎo)向?qū)徲嫹椒?國際審計和鑒證準那么委員會于2022年制定了“在整個審計過程中運用職業(yè)判斷對重大錯報風險進展更準確評估的框架和模型。詳細步驟如下:(1)理解企業(yè)及其環(huán)境(包括內(nèi)部控制),識別風險,并在報表層次考慮

6、交易性質(zhì)、賬戶余額、披露;(2)將發(fā)現(xiàn)的風險與認定層次可能發(fā)生的錯誤與舞弊相聯(lián)絡(luò);(3)考慮風險的重要性;(4)考慮風險的發(fā)生概率。這個風險判斷思路也同樣適用于IT環(huán)境。因此借鑒自上而下的審計方法,將流程作為IT風險判斷的中間環(huán)節(jié),改良了的IT環(huán)境下的審計風險判斷方法詳細施行步驟如下:1.理解企業(yè)及其環(huán)境(包括內(nèi)部控制)。我國2022出臺的?中國注冊會計師審計準那么第1211號理解被審計單位及其環(huán)境并評估重大錯報風險?列舉了影響重大錯報風險的因素:行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素,企業(yè)性質(zhì),目的和性質(zhì)以及相關(guān)的經(jīng)營風險,財務(wù)業(yè)績的衡量和評級,內(nèi)部控制。在IT環(huán)境下,識別和評價企業(yè)層面的風險和

7、風險控制的有效性時,需特別考慮:(1)IT利益群體的風險及對IT利益群體控制的有效性,如IT治理;(2)企業(yè)層面的IT控制,如與IT相關(guān)的控制環(huán)境、風險評估、信息與溝通、監(jiān)控、教育和培訓(xùn)等方面。2.確定財務(wù)報告流程的核心要素。根據(jù)企業(yè)層面的風險評估結(jié)果識別重大賬戶、重要披露及與之相關(guān)聯(lián)的認定。3.識別關(guān)鍵業(yè)務(wù)流程。審計人員首先要識別與上述重大賬戶、重要披露、認定相關(guān)聯(lián)的關(guān)鍵流程及流程所包括的主要交易,同時識別流程中易發(fā)生錯誤和舞弊的關(guān)鍵點(控制點)。為了判斷業(yè)務(wù)流程能否實時預(yù)防或檢測錯誤和舞弊,審計人員要識別出需要被測試的控制點,由于業(yè)務(wù)流程大多基于IT,因此要確定這些控制點哪些是依賴IT的,

8、然后識別并證實關(guān)鍵的IT功能。4.確定與IT功能相對應(yīng)的應(yīng)用系統(tǒng)的范圍。詳細列出與這些IT功能相關(guān)的應(yīng)用系統(tǒng)和與之關(guān)聯(lián)的子系統(tǒng),包括交易應(yīng)用系統(tǒng)和支持性應(yīng)用系統(tǒng)。交易應(yīng)用系統(tǒng)在處理組織內(nèi)的數(shù)據(jù)時通常提供以下功能:(1)通過借貸關(guān)系記錄交易的價值數(shù)據(jù);(2)作為財務(wù)、經(jīng)營和法規(guī)數(shù)據(jù)存放的倉庫;(3)可以生成各種財務(wù)和管理報告,包括銷售訂單、客戶發(fā)票、供給商發(fā)票以及日記賬的處理。支持性應(yīng)用系統(tǒng)并不參與交易的處理,但方便了業(yè)務(wù)活動的進展,如Eail程序、 軟件、設(shè)計軟件等。然后IT審計人員與財務(wù)審計人員合作,從列示的子系統(tǒng)中識別出支持受權(quán)、復(fù)雜計算、維護重要賬戶(如存貨、固定資產(chǎn)、貸款等)的完好性的

9、重要應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)是否重要,需要考慮:交易量(交易量越多,應(yīng)用系統(tǒng)越關(guān)鍵)、交易金額(金額越大,應(yīng)用系統(tǒng)越關(guān)鍵)、運算的復(fù)雜性(運算越復(fù)雜,應(yīng)用系統(tǒng)越關(guān)鍵)、數(shù)據(jù)和交易的敏感度(敏感度越大,應(yīng)用系統(tǒng)越關(guān)鍵)。為應(yīng)用系統(tǒng)提供IT效勞,或者支持應(yīng)用系統(tǒng)關(guān)鍵環(huán)節(jié)的IT一般流程即為需要進展IT一般控制測試的范圍。5.識別管理和驅(qū)動這些重大應(yīng)用系統(tǒng)的IT流程。識別所有支持這些應(yīng)用系統(tǒng)的根底設(shè)施,包括數(shù)據(jù)庫、效勞器、操作系統(tǒng)、網(wǎng)絡(luò),以及與之相關(guān)聯(lián)的IT流程。判斷這些IT流程的風險和相關(guān)的控制目的。識別出需要被測試的IT一般控制,進而判斷其是否符合控制目的。控制測試結(jié)果將影響與之相關(guān)的IT應(yīng)用控制的評價

10、、業(yè)務(wù)流程的風險評價。對這些流程和系統(tǒng)進展風險和控制評估后,就可以制定風險控制矩陣。6.評價IT控制、分析業(yè)務(wù)流程風險。結(jié)合對IT一般控制的評估結(jié)果和對業(yè)務(wù)流程中IT應(yīng)用控制的評估結(jié)果,就可以分析關(guān)鍵業(yè)務(wù)流程的IT風險控制情況。此時的IT控制測試和人工控制測試要結(jié)合起來予以考慮,即將二者作為一個整體的測試對象。業(yè)務(wù)流程的風險是與業(yè)務(wù)流程所關(guān)聯(lián)的一系列交易活動、賬戶群的余額、列報(包括披露)認定層次重大錯報風險相聯(lián)絡(luò)的,因此,業(yè)務(wù)流程風險的評價結(jié)果構(gòu)成了認定層次重大錯報風險評估的直接基矗7.評估電子證據(jù)證明力、設(shè)計本質(zhì)性測試程序。審計人員可根據(jù)上述步驟的風險評估結(jié)果判斷某一業(yè)務(wù)流程的電子審計證據(jù)的證明力并設(shè)計與業(yè)務(wù)流程有關(guān)的賬戶群的本質(zhì)性測試程序。通過上述7個步驟,審計人員可以將IT環(huán)境下的企業(yè)風險因素與報表層次和認定層次的重大錯報風險相鏈接,同時也為電子審計證據(jù)證明力(即檢查風險的判斷)提供了根據(jù)。參考文獻:1顧曉安,基于業(yè)務(wù)循環(huán)的審計風險評估專家系統(tǒng)研究J.會計研