信息化环境下审计导向模式探析

　　随着审计环境的发展，风险导向审计模式已成为当今审计的新趋势。然而在信息技术日益发展的今天，随着被审计单位所处环境的日益网络化和信息化，使得风险导向审计模式也有了新的特征。信息化环境下的审计导向模式是以电子数据测试为中心的、以评估重大错误风险为重点的现代风险导向模式，与早期的风险导向审计模式相比，在导向性、审计对象和方式方法等方面都有很大不同。

　　一、信息化环境对审计的影响

　　在信息技术迅速发展的今天，审计面临的环境也开始走向信息化。其主要表现为：一方面传统企业纷纷上网、开展网络交易；另一方面又出现了大量虚拟企业和网络公司。这些企业在进行网络交易、发布网络信息的同时，又迫使记录交易的会计工作走向网络化，因此，这一系列环境的变化给传统审计带来了前所未有的挑战。审计工作不再仅仅是单一地对会计报表的合法性和公允性发表意见，而是还要对承载着电子数据的信息系统的安全性、可靠性和合法性等进行鉴证，信息化环境下的审计目标、审计对象、审计技术方法和审计风险等发生了很大的变化。信息化环境下的审计活动发生了巨大的变化，风险导向审计模式在信息化审计环境下开始呈现出新的特征。

　　二、信息化环境下审计风险要素的构成

　　（一）传统风险导向审计风险要素构成

　　传统风险导向审计模式是在制度导向模式基础上发展起来的，以对被审计单位会计报表合法性和公允性等发表意见为审计目标。因此，最初西方国家审计界推崇的审计风险要素包括固有风险（IR）、控制风险（CR）和检查风险（DR）。其中固有风险（IR）和控制风险（CR）分别是评价被审计单位在没有或存在相关内部控制制度的情况下发生错误和舞弊等的可能性；并在此基础上对检查风险（DR）进行评估与测算。目的是在可以接受的风险水平的前提下，对财务报表发表恰当的审计意见。虽然这种方法较之制度导向审计前进了一大步，使审计效率提高、审计风险降低，但在实践中，随着被审计单位所面临的环境越来越复杂，使得该风险导向模式在实践中无法发现很多舞弊行为，审计越来越不能完全满足政府和社会公众的需要。

　　在原有模型下，如果被审计单位员工上下串通一气进行舞弊、尤其是管理层操纵下的舞弊，很可能会因为内部控制的测试有效，进而导致执行了较少的实质性测试，而使被审计单位的重大错漏报没有被发现，从而导致审计失败。这种审计失败的主要原因在于传统风险模型在特定复杂的环境下失灵，再按常规方法实施审计程序必然最终导致审计失败。在美国的安然丑闻的发生后，就直接导致了传统风险审计模型遭到广泛质疑而推进了风险导向模式的进一步发展。

　　在这样的背景下，国际审计和保证准则委员会对原来的审计风险准则作了重要修订，并于2003年10月发布了三个新国际审计准则：即第315号《了解被审计单位及其环境并评估重大错报风险》；第330号《针对评估的重大错报风险实施的程序》；第500号（经修改）《审计证据》；并要求从2004年12月15日开始执行新的审计准则。新风险准则引入“重大错报风险”的概念并重建风险模型：“审计风险=重大错报风险×检查风险”。新风险模型针对传统模型缺陷，强调审计工作以发现与评估被审计单位财务报表重大错报风险为起点和导向，引导审计人员紧紧围绕着评估的重大错报风险来设计和执行实质性审计程序、分配审计资源，以最终实现合理保证财务报表不存在重大错报和达到审计目标。

　　目前，审计环境日益复杂化，从产生重大错报风险的动因上去发现和评估风险程度并改进审计业务流程有着重要意义，是风险导向模式审计的一大进步。用“重大错报风险”取代旧模型中的“固有风险”和“控制风险”，能使审计人员更有效的发现经营风险转化的报表风险，并对重大风险领域进行更多的实质性测试，而不是依赖看似有效的内部控制，从而发现和评估重大错报。从源头上、从企业所处的各种内外部环境上如治理结构、发展战略、经营决策、宏观政策等方面上去分析、发现、把握风险，使风险测度变得更加可行。但需要强调的是，新的风险准则仍是以原有的审计基本理论和基本方法为基础，并没有改变财务报表的审计目标和责任定位。新修订的国际审计准则200号《财务报表审计目标与一般原则》仍然规定，注册会计师只是应当合理保证报表整体不存在重大错报。说明新风险导向审计准则仍然是基于传统环境下审计目标而设定的，它弥补了传统风险模型的缺陷，使审计人员可以在合理保证财务报表不存在重大错报的前提下以进一步提高审计效率。

　　（二）信息化环境下审计风险要素构成

　　信息化环境使得审计目标不再是单一的对财务报表发表意见而呈目标多元化趋势，既包括常规财务报表合法性和公允性的审计、又需要对网络信息系统的安全性和可靠性进行鉴证等多重审计目标，多重审计目标对审计工作提出了更高的要求，审计面临全新审计工作环境，审计对象复杂、审计手段也发生了改变……这些均说明信息化环境下，审计人员面临的不确定因素更多、审计风险加大了。在面临诸多风险因素的情况下，审计工作应该也只能根据每次审计的特定目标，充分考虑各种风险因素，确定审计工作方式和重点，以期达到合理保证所审事项符合既定标准。因此，在信息化环境下审计工作的导向模式仍然是以风险评估为核心的风险导向审计模式，只不过这种环境下的审计风险构成要素有了很大改变，并以信息化环境中电子数据风险测试为中心。当然，对信息化环境下审计风险要素的评估离不开信息技术的发展状况，离不开信息技术对审计环境的影响程度等，现在探讨的风险因素会随着信息技术的变化不断发生变化。

　　信息化条件下，使得被审计单位业务系统和财务系统等置身于开放环境中，多数业务活动由原来传统交易方式改变为通过网络进行交易和结算，同时要求交易处理的财务系统也是以无痕的电子数据为依据、以实时网络财务软件为账务处理主要手段，这些都使得被审计单位数据系统同时面临系统因素和非系统因素（即传统风险因素）的双重干扰，这些风险因素按来源又分被审计单位内部因素和外部因素两方面。

　　在信息化环境下审计面临的风险因素大大增加，而审计工作主要是通过专业手段对被审计单位经营活动进行鉴证，满足政府和公众的需要。在信息化环境下，被审计单位各种经营活动都是以电子数据的形式存放于计算机系统之中，审计必须对电子数据所带来的各种风险进行评估，结合工作目标估计最大可接受的审计风险，并合理分配风险所在领域和工作重点，从而达到对审计工作的成果做出合理保证。因此，信息化环境下的审计导向模式仍是风险导向模式，只不过在这种环境下的审计风险要素复杂，风险要素主要以电子数据为表现形式，风险测试难度加大的一种新型风险审计导向模式。

　　在多元复杂的审计风险要素之中，审计工作该如何评估可接受风险呢？在此笔者对新修订的国际审计准则提出的审计风险模型进行了修改，提出信息化环境下风险要素模型为“审计风险=重大错误风险×检查风险”。此处，用“重大错误风险”代替了新国际准则中“重大错报风险”，原因在于信息化环境下，审计目标不再是单一的财务报表审计目标，包括鉴证信息系统安全性和可靠性在内的多元审计目标使得审计工作重点不再是单一的检查和评价财务报表中的重大错报，而转化为各种可能导致审计所鉴证事项发生重大错误的领域，因此，将“重大错报风险”改为“重大错误风险”，使审计工作对风险评估的领域扩大了，符合信息化环境对风险评估的要求。同时仍强调由审计人员工作失误导致的检查风险的存在，在按审计目标确定审计工作可能存在重大错误风险的领域后，在可接受审计风险水平下，可以确定检查风险大小，从而确定审计测试的性质、时间和范围等。

　　三、信息化环境下风险导向审计模式特征

　　（一）电子数据重大错误的审计导向性

　　非信息化环境下的风险导向是以被审计单位财务审计风险为基础的重大错报风险，据以确定审计测试的性质、时间和范围。而在信息化环境下，审计的目标不单纯是财务审计为主，而审计对象也囊括了被审计单位内部的各种要素，包括管理、经营、制度、业务流程和交易方式等，这些也都发生了极大的变化，加之信息网络技术使得其处于开放的系统之中，系统的开放性和易被攻击性及网络活动的无痕性，使得审计面临的不确定因素增多，风险加大。不但如此，审计人员对被审计单位业务方面信息的收集，包括客户内部的财务、劳资、仓库、销售、生产等部门的信息，也是通过对其电子管理数据的采集和整理，获取适当的电子证据进行评价的；对相关的佐证信息、外部证据也多是通过电子邮件函证等方式获取的电子信息等。因此在信息化环境下，目标多元化和风险要素的复杂化及电子化使得审计工作的导向性转为以评估和测度电子数据的重大错误风险为核心。

　　（二）审计的对象和范围扩大

　　信息化环境大大拓展了审计工作的对象和范围。这时的审计在某种意义上说是“大审计”，它不仅包括对审计所处的信息化环境即网络信息系统安全性和可靠性进行测试，而且还包括网络经济组织发生的各类业务的真实性和合法性的鉴证，也就是说，这时的审计已突破传统财务审计的范围，信息化环境下的审计至少有信息系统审计、业务审计等。而且即便是以报表评价为主要目标的财务审计也发生了变化，往往同经营审计、管理审计密不可分。因此，信息化环境下的审计不再是单纯的财务报表审计下的狭义的审计了，其审计对象和范围大大扩大了。

　　（三）财务审计是以电子数据为测试重点的详细审计方式

　　信息化环境下的审计不但使财务审计成为其中的一个部分，还使财务审计方式因系统软件的功能而实现实时、以电子数据为测试重点的详细审计方式。因计算机软件可以代替大量手工查账，从而可以使审计方式又重新以抽样审计为主转向以详细审计为主。当然这种详细审计方式较早期账向导向审计模式的详细审计方式有很大的不同，这也体现了事物发展螺旋式上升的规律。

　　和传统手工审计下风险导向的审计程序不同，在信息化环境下，审计人员不需要再从报表开始确定审计重点、逆查追溯到凭证，而是利用实时审计系统对被审计单位的原始电子财务数据进行采集、整理和转换，很快重新生成新的账簿和报表等财务资料，用来对比检验被审计单位相关财务数据，很便捷地实现对被审计单位财务数据的验证。因此，除在某种特定条件下需要到现场监盘、观察企业实际流程等方面外，信息化环境下的财务审计工作转变为以电子数据测试为重点的详细审计方式，和非信息化环境下的财务审计方式大为不同。

　　（四）审计过程实现三个“转变”

　　信息化环境下，审计工作依靠信息技术实现实时审计。在这种条件下，审计过程实现三个“转变”，即从单一的事后审计转变为事后审计与事中审计相结合，从单一的静态审计转变为静态审计与动态审计相结合，从单一的现场审计转变为现场审计与远程审计相结合。信息化环境拓宽了审计视野、增强了审计效力，从而可以更好地维护经济秩序，实现审计监督的职能。

　　（五）信息化环境对审计人员和审计准则提出了新要求

　　信息化环境对审计人员素质要求非常高，不仅要求审计人员是财务方面的专家，具有丰富的财务、管理、审计知识和实践经验，同时还要求审计人员对信息系统和网络方面的技术也有较高的掌握程度。审计人员不仅要会操作审计软件，而且要能根据被审计单位各种不同的操作系统，随时进行调整接口程序，以便将其中相关的电子数据导出、转换，形成审计需要的数据形式。这些变化将影响现有的审计人员考核制度、注册会计师考试制度等。信息化环境还呼唤新的审计准则。审计准则是审计人员的执业依据，是评价审计工作质量的标准，也是外界对审计工作认可的参照。因此，随着审计环境发生变化，针对信息化环境的新的审计标准急待产生。

　　总之，审计导向模式与审计的环境密切相关，审计环境变化必然导致审计导向模式随之变化。新世纪中，信息与网络技术对各行各业形成了巨大的冲击，也使得审计面临着日益信息化的新环境。信息化环境使审计风险加大，以电子数据测试为中心的、以确定重大错误风险为重点的风险导向模式将成为审计导向模式的发展趋势。