[論文摘要]現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是以被審單位的經(jīng)營(yíng)風(fēng)險(xiǎn)為出發(fā)點(diǎn),將“發(fā)現(xiàn)的風(fēng)險(xiǎn)因素同認(rèn)定層次可能發(fā)生的錯(cuò)誤相聯(lián)系”是審計(jì)風(fēng)險(xiǎn)判斷的關(guān)鍵。但傳統(tǒng)的審計(jì)方法并未明確指明如何將兩者相聯(lián)系,也并未考慮IT帶來(lái)的影響。在IT環(huán)境下,審計(jì)風(fēng)險(xiǎn)判斷應(yīng)以流程(包括業(yè)務(wù)流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計(jì)風(fēng)險(xiǎn)判斷方法。

　　現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)以被審單位的經(jīng)營(yíng)風(fēng)險(xiǎn)為出發(fā)點(diǎn),相關(guān)的風(fēng)險(xiǎn)評(píng)估結(jié)果是評(píng)估財(cái)務(wù)報(bào)表層次和認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)的基礎(chǔ)。審計(jì)風(fēng)險(xiǎn)雖源于重大錯(cuò)報(bào)風(fēng)險(xiǎn),但審計(jì)人員最終都要通過(guò)對(duì)報(bào)表各項(xiàng)目的審計(jì)發(fā)表財(cái)務(wù)報(bào)表審計(jì)意見(jiàn),因此風(fēng)險(xiǎn)評(píng)估必須與各類(lèi)交易、賬戶(hù)余額、列報(bào)的認(rèn)定相聯(lián)系。將“發(fā)現(xiàn)的風(fēng)險(xiǎn)因素同認(rèn)定層次可能發(fā)生的錯(cuò)誤相聯(lián)系”是審計(jì)風(fēng)險(xiǎn)判斷的關(guān)鍵。但傳統(tǒng)的審計(jì)方法并未明確指明如何將兩者相聯(lián)系,而且也未關(guān)注IT環(huán)境下如何將風(fēng)險(xiǎn)因素與認(rèn)定層次可能發(fā)生的錯(cuò)誤相聯(lián)系。在IT環(huán)境下,業(yè)務(wù)流程及其支持流程——IT流程,都是鏈接風(fēng)險(xiǎn)因素和認(rèn)定層次可能發(fā)生錯(cuò)報(bào)的中間環(huán)節(jié)。在高度自動(dòng)化的企業(yè)環(huán)境下,審計(jì)證據(jù)的證明力依賴(lài)于IT相關(guān)風(fēng)險(xiǎn)的控制情況。因此,有必要改進(jìn)IT環(huán)境下的審計(jì)風(fēng)險(xiǎn)判斷方法。在IT環(huán)境下,審計(jì)風(fēng)險(xiǎn)判斷應(yīng)以流程(包括業(yè)務(wù)流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計(jì)風(fēng)險(xiǎn)判斷方法。

　　一、流程對(duì)審計(jì)風(fēng)險(xiǎn)判斷具有重要意義

　　流程的概念很多,ISO/IEC 9000將之定義為一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。企業(yè)由流程構(gòu)成,Kaplan(2001)將企業(yè)定義為是一系列相互關(guān)聯(lián)的活動(dòng)或流程的集合,或是一個(gè)價(jià)值鏈。在IT環(huán)境下,流程可理解為“角色加活動(dòng)”,即將流程描述為一個(gè)為實(shí)現(xiàn)特殊目的而合作且互相影響的角色的集合。早期人們對(duì)企業(yè)流程的理解大多局限于傳統(tǒng)的業(yè)務(wù)領(lǐng)域;當(dāng)IT逐漸與業(yè)務(wù)融合,并成為企業(yè)所有經(jīng)營(yíng)活動(dòng)的驅(qū)動(dòng)引擎時(shí),流程的范圍開(kāi)始拓展,此時(shí)的IT流程與業(yè)務(wù)流程需要實(shí)現(xiàn)動(dòng)態(tài)整合,即IT活動(dòng)被看作是業(yè)務(wù),并執(zhí)行與業(yè)務(wù)相同的管理方式。因此,IT環(huán)境下的企業(yè)業(yè)務(wù)流程應(yīng)該是廣義的,同時(shí)包含IT流程和業(yè)務(wù)流程。美國(guó)公眾公司會(huì)計(jì)監(jiān)督委員會(huì)發(fā)布的第5號(hào)審計(jì)準(zhǔn)則就指出,作為理解重大流程的一部份,審計(jì)師應(yīng)理解IT如何影響公司的交易流程。

　　有些大的會(huì)計(jì)公司為了強(qiáng)調(diào)經(jīng)營(yíng)風(fēng)險(xiǎn)的審計(jì)方法,修改它們的審計(jì)輔助軟件,以圍繞業(yè)務(wù)流程組織審計(jì)證據(jù),而不是按照傳統(tǒng)的交易循環(huán)組織證據(jù)。關(guān)注業(yè)務(wù)流程的審計(jì)軟件系統(tǒng)(Business-Process-Focused,BPF)通過(guò)價(jià)值鏈組織被審單位的信息;而傳統(tǒng)的關(guān)注交易循環(huán)的審計(jì)軟件系統(tǒng)(Transaction-Circle-Focused,TCF)是按照交易分類(lèi)組織被審單位的信息。O’Donnell E和Jr Joseph J Schultz(2003)的研究結(jié)果表明使用BPF軟件的審計(jì)人員能識(shí)別出更多的風(fēng)險(xiǎn)情形,并將風(fēng)險(xiǎn)估計(jì)在恰當(dāng)?shù)乃?而使用TCF軟件的審計(jì)人員對(duì)風(fēng)險(xiǎn)的識(shí)別和估計(jì)都較差。因此他們認(rèn)為不同的信息組織形式會(huì)影響審計(jì)人員的決策判斷。造成這種結(jié)果的原因在于業(yè)務(wù)流程關(guān)注事件之間的關(guān)聯(lián)性,它通過(guò)情景引導(dǎo)記憶;而傳統(tǒng)的交易循環(huán)關(guān)注的是交易分類(lèi),它通過(guò)語(yǔ)義引導(dǎo)記憶。因此,關(guān)注業(yè)務(wù)流程可降低任務(wù)的復(fù)雜性和認(rèn)知難度。隨后其他的研究人員也發(fā)現(xiàn)圍繞業(yè)務(wù)流程開(kāi)展內(nèi)部控制的評(píng)估任務(wù)更為有效。

　　二、IT環(huán)境下基于流程的審計(jì)風(fēng)險(xiǎn)判斷方法

　　為了協(xié)助審計(jì)人員運(yùn)用自上而下的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法,國(guó)際審計(jì)和鑒證準(zhǔn)則委員會(huì)于2005年制定了“在整個(gè)審計(jì)

　　過(guò)程中運(yùn)用職業(yè)判斷對(duì)重大錯(cuò)報(bào)風(fēng)險(xiǎn)進(jìn)行更準(zhǔn)確評(píng)估的框架和模型”。具體步驟如下:(1)了解企業(yè)及其環(huán)境(包括內(nèi)部控制),識(shí)別風(fēng)險(xiǎn),并在報(bào)表層次考慮交易性質(zhì)、賬戶(hù)余額、披露;(2)將發(fā)現(xiàn)的風(fēng)險(xiǎn)與認(rèn)定層次可能發(fā)生的錯(cuò)誤與舞弊相聯(lián)系;(3)考慮風(fēng)險(xiǎn)的重要性;(4)考慮風(fēng)險(xiǎn)的發(fā)生概率。這個(gè)風(fēng)險(xiǎn)判斷思路也同樣適用于IT環(huán)境。因此借鑒自上而下的審計(jì)方法,將流程作為IT風(fēng)險(xiǎn)判斷的中間環(huán)節(jié),改進(jìn)了的IT環(huán)境下的審計(jì)風(fēng)險(xiǎn)判斷方法具體實(shí)施步驟如下:

　　1.了解企業(yè)及其環(huán)境(包括內(nèi)部控制)。我國(guó)2006出臺(tái)的《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》列舉了影響重大錯(cuò)報(bào)風(fēng)險(xiǎn)的因素:行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素,企業(yè)性質(zhì),目標(biāo)和性質(zhì)以及相關(guān)的經(jīng)營(yíng)風(fēng)險(xiǎn),財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)級(jí),內(nèi)部控制。在IT環(huán)境下,識(shí)別和評(píng)價(jià)企業(yè)層面的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)控制的有效性時(shí),需特別考慮:(1)IT利益群體的風(fēng)險(xiǎn)及對(duì)IT利益群體控制的有效性,如IT治理;(2)企業(yè)層面的IT控制,如與IT相關(guān)的控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息與溝通、監(jiān)控、教育和培訓(xùn)等方面。

　　2.確定財(cái)務(wù)報(bào)告流程的核心要素。根據(jù)企業(yè)層面的風(fēng)險(xiǎn)評(píng)估結(jié)果識(shí)別重大賬戶(hù)、重要披露及與之相關(guān)聯(lián)的認(rèn)定。

　　3.識(shí)別關(guān)鍵業(yè)務(wù)流程。審計(jì)人員首先要識(shí)別與上述重大賬戶(hù)、重要披露、認(rèn)定相關(guān)聯(lián)的關(guān)鍵流程及流程所包括的主要交易,同時(shí)識(shí)別流程中易發(fā)生錯(cuò)誤和舞弊的關(guān)鍵點(diǎn)(控制點(diǎn))。為了判斷業(yè)務(wù)流程能否實(shí)時(shí)預(yù)防或檢測(cè)錯(cuò)誤和舞弊,審計(jì)人員要識(shí)別出需要被測(cè)試的控制點(diǎn),由于業(yè)務(wù)流程大多基于IT,因此要確定這些控制點(diǎn)哪些是依賴(lài)IT的,然后識(shí)別并證實(shí)關(guān)鍵的IT功能。

　　4.確定與IT功能相對(duì)應(yīng)的應(yīng)用系統(tǒng)的范圍。詳細(xì)列出與這些IT功能相關(guān)的應(yīng)用系統(tǒng)和與之關(guān)聯(lián)的子系統(tǒng),包括交易應(yīng)用系統(tǒng)和支持性應(yīng)用系統(tǒng)。交易應(yīng)用系統(tǒng)在處理組織內(nèi)的數(shù)據(jù)時(shí)通常提供以下功能:(1)通過(guò)借貸關(guān)系記錄交易的價(jià)值數(shù)據(jù);(2)作為財(cái)務(wù)、經(jīng)營(yíng)和法規(guī)數(shù)據(jù)存放的倉(cāng)庫(kù);(3)能夠生成各種財(cái)務(wù)和管理報(bào)告,包括銷(xiāo)售訂單、客戶(hù)發(fā)票、供應(yīng)商發(fā)票以及日記賬的處理。支持性應(yīng)用系統(tǒng)并不參與交易的處理,但方便了業(yè)務(wù)活動(dòng)的進(jìn)行,如Email程序、傳真軟件、設(shè)計(jì)軟件等。

　　然后IT審計(jì)人員與財(cái)務(wù)審計(jì)人員合作,從列示的子系統(tǒng)中識(shí)別出支持授權(quán)、復(fù)雜計(jì)算、維護(hù)重要賬戶(hù)(如存貨、固定資產(chǎn)、貸款等)的完整性的重要應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)是否重要,需要考慮:交易量(交易量越多,應(yīng)用系統(tǒng)越關(guān)鍵)、交易金額(金額越大,應(yīng)用系統(tǒng)越關(guān)鍵)、運(yùn)算的復(fù)雜性(運(yùn)算越復(fù)雜,應(yīng)用系統(tǒng)越關(guān)鍵)、數(shù)據(jù)和交易的敏感度(敏感度越大,應(yīng)用系統(tǒng)越關(guān)鍵)。為應(yīng)用系統(tǒng)提供IT服務(wù),或者支持應(yīng)用系統(tǒng)關(guān)鍵環(huán)節(jié)的IT一般流程即為需要進(jìn)行IT一般控制測(cè)試的范圍。

　　5.識(shí)別管理和驅(qū)動(dòng)這些重大應(yīng)用系統(tǒng)的IT流程。識(shí)別所有支持這些應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施,包括數(shù)據(jù)庫(kù)、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò),以及與之相關(guān)聯(lián)的IT流程。判斷這些IT流程的風(fēng)險(xiǎn)和相關(guān)的控制目標(biāo)。識(shí)別出需要被測(cè)試的IT一般控制,進(jìn)而判斷其是否符合控制目標(biāo)。控制測(cè)試結(jié)果將影響與之相關(guān)的IT應(yīng)用控制的評(píng)價(jià)、業(yè)務(wù)流程的風(fēng)險(xiǎn)評(píng)價(jià)。對(duì)這些流程和系統(tǒng)進(jìn)行風(fēng)險(xiǎn)和控制評(píng)估后,就可以制定風(fēng)險(xiǎn)控制矩陣。

　　6.評(píng)價(jià)IT控制、分析業(yè)務(wù)流程風(fēng)險(xiǎn)。結(jié)合對(duì)IT一般控制的評(píng)估結(jié)果和對(duì)業(yè)務(wù)流程中IT應(yīng)用控制的評(píng)估結(jié)果,就可以分析關(guān)鍵業(yè)務(wù)流程的IT風(fēng)險(xiǎn)控制情況。此時(shí)的IT控制測(cè)試和人工控制測(cè)試要結(jié)合起來(lái)予以考慮,即將二者作為一個(gè)整體的測(cè)試對(duì)象。業(yè)務(wù)流程的風(fēng)險(xiǎn)是與業(yè)務(wù)流程所關(guān)聯(lián)的一系列交易活動(dòng)、賬戶(hù)群的余額、列報(bào)(包括披露)認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)相聯(lián)系的,因此,業(yè)務(wù)流程風(fēng)險(xiǎn)的評(píng)價(jià)結(jié)果構(gòu)成了認(rèn)定層次重大錯(cuò)報(bào)風(fēng)險(xiǎn)評(píng)估的直接基礎(chǔ)。

　　7.評(píng)估電子證據(jù)證明力、設(shè)計(jì)實(shí)質(zhì)性測(cè)試程序。審計(jì)人員可根據(jù)上述步驟的風(fēng)險(xiǎn)評(píng)估結(jié)果判斷某一業(yè)務(wù)流程的電子審計(jì)證據(jù)的證明力并設(shè)計(jì)與業(yè)務(wù)流程有關(guān)的賬戶(hù)群的實(shí)質(zhì)性測(cè)試程序。

　　通過(guò)上述7個(gè)步驟,審計(jì)人員可以將IT環(huán)境下的企業(yè)風(fēng)險(xiǎn)因素與報(bào)表層次和認(rèn)定層次的重大錯(cuò)報(bào)風(fēng)險(xiǎn)相鏈接,同時(shí)也為電子審計(jì)證據(jù)證明力(即檢查風(fēng)險(xiǎn)的判斷)提供了依據(jù)。