韩冬梅 杨峰

(南通航运职业技术学院，江苏南通226010)

信息化环境下风险导向审计模式的模型选择

韩冬梅 杨峰

(南通航运职业技术学院，江苏南通226010)

风险导向审计早已成为审计发展的新趋势。伴随信息技术的迅猛发展，被审计单位所处的审计环境日益信息化，这对风险导向审计模型提出了新要求。新风险导向审计模型中引入了重大错误风险和风险警示系数，与现代风险导向审计模型不同。

风险导向审计；信息化审计风险；新风险导向审计模型

一、审计环境促进审计模式的不断发展

审计模式的发展既有跳跃的一面，更有连续的一面，在不同时期经济和技术背景的推动下，体现着不同审计思想的要求，更反映出了不同时期的审计环境。为了适应不断变化的审计环境，审计模式的发展先后经历了账项基础审计（accounting number-based audit approach）、制度基础审计（system-based audit approach）和风险导向审计（risk-based audit approach）（传统风险导向审计和现代风险导向审计）三种不同的审计模式。审计模式的演进及各阶段审计的重点可通过下图来表示。

二、剖析风险导向审计模式下的审计模型

拉里·F·康里奇在《审计学：一项风险分析方法》一书中将风险导向审计定义为审计人员仔细分析被审计单位，确定可能产生财务报表错误风险最大的领域，并将审计资源分配到这些领域[1]。在不同的审计风险导向阶段，为了科学的量化审计总体风险，审计理论界和实务界经过研究将各种具体的审计风险间的关系用数学模型的方式表示，由此产生了两种不同的风险导向审计模型，现将这两种审计模型分别进行剖析：

（一）传统风险导向审计模型剖析

传统风险导向审计模型是美国注册会计师协会（AICPA）1983年提出的，即审计风险（AR）=固有风险（IR）×控制风险（CR）×检查风险（DR），我们一般认为此模型是传统风险导向审计的核心。传统风险导向审计主要是在对会计报表固有风险和控制风险进行定量评估的基础上确定检查风险，进而确定实质性测试的性质、时间和范围。从定义可以看出传统风险导向审计实质上是制度基础审计的发展和延伸，相比于账项基础审计它使审计的效率和效果有了实质性的进展，但存在一些不可避免的缺陷：

首先，从理论上看该模型并无不妥，但审计从诞生的那一刻起就被深深打上了实务的烙印，该模型实务操作难度大。固有风险和控制风险都受企业外部环境的影响，两者难以区分，通常只依赖对内部控制风险的粗略评估来大致确定检查风险水平，这样便无法保证财务报表不存在重大错报。

其次，固有风险的定义是以内部控制不存在为假设的，而这种假设本身就是假设的，因此在实际操作过程中，固有风险的评估较难，因为审计者往往不注重从战略层面了解被审计单位，简单的将固有风险评估为高水平，直接进行控制风险评估，由此进入控制风险很低而实际审计风险很高的困境，再加上传统的风险导向审计采用的是自下而上的审计思路，审计资源并没有分配到审计风险最大的地方，造成了审计资源的浪费。

最后，由于固有风险识别的困难性，传统风险导向审计只关注控制风险的识别和评估，认为审计者只要对各个交易、账户余额、列报层次实施审计程序就可获得充分、适当的证据，所以没有将会计报表错报风险与内部控制环境及经营风险紧密结合起来。但是，会计报表的错报风险实质上是企业战略及经营风险的不合格产品，对企业经营风险及控制风险影响因素考虑不全面往往成为审计失败的重要原因。由此可见，该模型可以解决交易类别、账户余额、披露和其他具体认定层次的错报，以及企业管理当局局部和个别员工舞弊造假引起的错报，但如果存在逾越内部控制的管理高层共同舞弊，运用该模型便显得力不从心。为了尽可能的提高审计效率，审计者将视野逐渐扩展到内部控制以外，如行业状况、审计环境、战略和相关的经营风险等方面，由此现代风险导向审计模式产生了。

（二）现代风险导向审计模型剖析

现代风险导向审计强调从宏观上了解被审计单位及其所处环境，按照“战略分析—环节分析—会计报表剩余风险分析”的基本思路，充分识别和评估会计报表重大错报风险，并据此审计和实施符合性测试和实质性测试。按照该思路，2003年10月国际审计和鉴证准则委员会（IAASB）将传统的审计风险模型修订为“审计风险（AR）=重大错报风险（RMM）×检查风险（DR）”。现代审计风险模型用“重大错报风险”取代了传统风险导向审计模型中的“固有风险”和“控制风险”，这意味着指引审计工作的风险导向转变为重大错报风险。即从风险产生的源头上分析、发现和把握风险，从而更有效地发现管理层逾越内部控制的共同舞弊和经营风险引起的列报层次风险，并对可能引起“重大错报风险”领域采取更多实质性测试，而不是仅依赖内部控制。

现代风险导向审计模型引导广大审计者以“重大错报风险”的评估为基本出发点来设计和实施实质性测试程序，分配审计资源，相对于传统的风险导向审计模型，该模型的操作性更强，更能保证审计目标的实现。

值得一提的是虽然新的审计风险准则中启用了现代风险导向审计模型，但并没有改变财务报表的审计目标和责任定位，审计者只是应当保证财务报表整体不存在重大错报。由此看出现代风险导向审计模型仍然是基于非信息化环境下的审计目标而设定的。它弥补了传统风险导向审计模型的不足，可以使审计者在合理保证财务报表不存在重大错报的前提条件下提高审计效率。

但是步入新世纪后，在信息和通讯技术迅猛推动下，人类社会进入信息时代，信息化已成为各行各业的所趋之势，在这样的经济技术背景和审计环境下，风险导向审计模式会面临怎样的模型选择呢？

三、信息化环境下风险导向审计模式的模型选择

风险导向审计模式的起点是风险识别，要选择合理的信息化环境下风险导向审计模型，必须先分析信息化环境下与审计有关的风险要素。

（一）信息化环境下的审计风险要素构成

1.信息化环境下的审计系统风险要素

（1）信息化环境下硬件系统风险

参照詹姆斯·A·霍尔的信息系统的风险框[2]，信息化的系统风险有以下四方面：

①硬件系统应用风险，这是由于系统本身的物理特性带来的风险，如计算机系统放置的位置、工作环境、电力供应等。审计者在审计之前应先了解因系统故障、系统运行等问题可能产生的风险，因为这些问题可能导致硬件的毁损进而引发系统瘫痪。关注到了这些风险，审计者应该注意企业是否拥有应对这些风险的防范措施，如数据备份，一旦企业发生不可抗力的影响，数据能够得以恢复。

②硬件系统操作风险，是指计算机在操作过程中，由于使用人员操作不当引发的风险。硬件系统上的处理器、主存储器、数据库、打印机等经常通过操作系统实时共享。此时如果操作系统的安全性受到威胁，就会给信息系统带来风险。因此在审计前审计者应关注硬件操作系统是否可以有效运行。

③系统开发与维护风险，在信息化环境下，数据通过应用程序进行处理，这些程序准确完善与否直接影响到企业数据的准确和完整度。因此审计者在审计之前应该了解企业开发与维护的控制制度，这些制度完善与否、执行力度的强弱是减少系统开发与维护风险的保证。

④电子商务风险，电子商务使公司面临的风险包括两方面：一是访问风险，即存在未授权方进入公司网络并对其进行攻击的可能；二是故障风险，即交易双方因设备故障造成的数据混乱和程序丢失等风险。由于数据的处理和传输引起的电子商务风险，审计者在审计前也要充分估计。

（2）信息化环境下软件系统风险

①数据管理系统风险，数据库管理系统是个特殊的软件系统，为公司提供数据的存储和访问功能，公司的全部数据都集中在数据库中。数据库一旦遭到破坏，将导致整个公司无法正常运转，因此在审计之前对数据库管理风险的识别和控制不可缺少。

②管理软件和财务软件风险，管理软件和财务软件的运用是信息化实现的重要载体。目前由于管理软件和财务软件在公司的运用越来越广，在信息高度集成，披露成本持续降低的同时也加大了审计风险。虽然商品化软件层出不穷，但某些软件仍不可避免的存在技术上的缺陷和漏洞，这就要求广大审计者在执行程序时，注意识别这些风险而不仅仅是对输出的数据进行审计。

2.信息化环境下的审计非系统风险要素

（1）信息化环境下的“重大错误风险”

信息化使广大审计者身处一个面对各种数据的开放信息系统，因此，在信息化环境下进行任何事项的审计，都需要确保信息系统和各种数据安全可靠。这使得我们的审计目标不再是“合理保证财务报表不存在重大错报”，而是转为合理保证包括这些电子报表在内的相关信息系统、网络交易等不存在“重大错误”。[3]这里用“重大错误风险”取代了新审计准则中的“重大错报风险”，使审计者对风险评估的范围扩大化，审计工作更能从根源上彻底全面地发现错误存在的领域，更符合信息化环境下审计风险的特点和要求。

那么，什么是“重大错误风险”，如何来判断呢？简言之“重大错误风险”就是导致被审计单位业务或财务等信息系统及其所反映的特定事项出现各种重大错误的可能。重大错误的判断标准有定性和定量两方面。定性标准一般为导致信息使用者做出错误决策的各种判断；定量标准主要指被审计单位发生错误的金额是否达到一定程度。应用这些标准还要审计者根据审计项目，利用专门的评估方法结合自身的职业判断来具体确定。

（2）信息化环境下审计人员的逆向选择和道德风险

审计模型（传统风险导向审计模型和现代风险导向审计模型）的建立都是以审计者会严格遵照审计准则且有崇高的道德标准和专业的职业技术素养为前提条件的。但是在实际的审计过程中不可避免的会存在审计者背离现有的审计准则或道德标准的可能，这就要求我们在建立审计模型时引入一种警醒机制，用来监督审计者是否遵守审计准则、有无道德风险和逆向选择，基于这样的思考，建议在风险导向审计模式的模型中引入风险警示系数（risk warningcoefficient，简称RWC）。

所谓风险警示系数是对审计人员的违法违规行为的综合控制参数，即一旦发现审计者存在过失或合谋行为，审计监管系统中存在的一种警醒机制，能够及时对审计者的行为进行调查、取证、定性、报告和惩处，否则审计者便可能背离审计准则和道德约束。风险警示系数以审计者被处罚的概率来计量，受审计环境的影响。我们认为目前影响RWC的因素主要有如下几方面：一是社会经济、政治、文化发展因素W1；二是与审计有关的法律法规W2；三是审计人员自身素质W3；通过这样的分析RWC=f（W1，W2，W3），0≤RWC≤1[4][5]。RWC=0时，表示审计者出现问题时，有关法律对其根本不制裁；RWC=1时，表示只要审计人员出现过失或欺诈行为，就一定会受到法律的制裁。一般来说，RWC的取值介于0到1之间，RWC取值越高，其监管效果越好。

综合上述内容，可将信息化环境下的风险要素归纳如下图：

（二）信息化环境下新风险导向审计模型

在信息化的审计环境下，审计风险极其复杂，审计工作重点是如何控制可接受检查风险。基于上述分析将国际审计准则中提出的现代风险导向审计模型修改为：审计风险=重大错误风险×风险警示系数×检查风险，该模型被称为新风险导向审计模型，在此模型下，检查风险=审计风险/重大错误风险×风险警示系数。审计人员在制定审计策略时，首先应合理估计审计风险，接着估计风险警示系数（为了更好地控制审计风险，审计者应尽可能把RWC定为接近于1的高水平），在此基础上全面判断审计对象的重大错误风险，然后根据新审计风险模型确定检查风险，最后确定实质性测试的时间、性质和范围。

新风险导向审计模型相比现代风险导向审计模型而言风险导向性更复杂，审计目标、对象和范围都发生了变化，这时的审计在某种意义上可以说是“大审计”。新风险导向审计模型的运用程序有如下五方面：一合理确定审计风险水平；二根据现行审计监管状况估计RWC；三全面估计审计的重大错误风险；四评估可接受的各个交易或账户余额的检查风险水平，并据此确定具体项目的审计方案；五确定实质性测试的时间、性质和范围。

四、结束语

在信息化环境下，由于审计目标突破了传统财务审计目标的范畴，审计对象、范围及工作方式都发生了很大变化，信息化环境使审计风险加大，引入“重大错误风险”评估和风险警示系数的新风险导向模型将成为审计模型发展的新趋势。新风险导向审计模型较现代风险导向审计模型而言，对总风险水平的控制效果大大加强，因此在审计工作中使用新风险导向审计模型不仅可以有效地揭露和阻止由于决策失误、管理不善造成的重大经济损失浪费等问题，而且可以保证提供资讯的真实性，增强工作的透明度，提高管理的品质和运作效率，更主要的是随着监管制度的日益完善可促进检查风险水平的持续降低。

[1]拉里·F·康里奇.审计学：一项风险分析方法[M].北京：中国人民大学出版社，2004：203—205.

[2]詹姆斯·A·霍尔.信息系统审计与鉴证[M].北京：中信出版社,2003:123-125.

[3]李瑛玫，姜振寰，乔淑丽.论信息化环境下的风险导向审计模式[J].生产力研究,2008(8).

[4]郭郁婷，韩建军，何勇.经济责任审计在现代风险导向审计中的应用[J].财会通讯·综合,2008(7).

[5]宋夏云.警示系数与现代风险导向审计模型[J].审计与经济研究,2005(2).

Model Choice of Risk-based Audit Mode in Information Technology Environment

HAN Dong-meiYANG Feng
(Nantong Shipping College,Nantong，Jiangsu，226010,China)

Risk-based audit has become the new trend.With the rapid development of information technology,the environment of the audited entity is more information,which put forward new requirements to risk-based auditing model.Newrisk-based audit model,the introduction of a major error factor of risk and risk alerts,is different from the modern risk-based audit model.

risk-based audit;information audit risk;newrisk-based audit model

F23

A

1009-2277（2011）02-0023-04

2011-01-18

韩冬梅（1982-）女，南通航运职业技术学院讲师，硕士研究生，研究方向：审计理论与实务。杨峰（1968-），南通航运职业技术学院管理信息系财经教研室主任，研究方向：审计理论与实务。

责任编校：徐晓