一、引言
2000 年 7 月,国际审计与鉴证准则委员会(IAASB)在联合工作组以及美国审计准则委员会(ASB)的建议下,联合 ASB 成立了风险分析联合项目组,是现代风险导向型审计地位正式确立的标志,同时也意味着重大错报风险的引入。2010 年,我国财政部颁布的由中国注册会计师协会制定和修缮的最新审计准则中重大错报风险的内涵被突出诠释。然而,随着全球信息化程度与网络技术呈几何级数地加速发展,独立审计客体的信息化程度越来越高,审计对象和范围以及工作方式都发生了很大的变化,风险导向性变得更加复杂,审计人员必须先清楚了解被审计单位在信息化环境下重大错报风险可能存在的方面,之后通过扩大对具体审计事项的了解来判断重大错报风险的范围。因此,重大错报风险的评估上升为审计工作的核心。基于此,本文对信息化环境下重大错报风险的构成要素以及如何进行科学评价进行讨论。
二、信息化环境下重大错报风险的构成要素
GreensteinFeynman(2001)将电子商务环境下的企业风险分为由基础设施风险、准入风险、完整性风险、获得性风险和适应性风险组成的技术风险,以及包含恶意的、泄露客户隐私的和发布失真信息的网站所带来的商务风险。Yvonne L.Hinsonb(2001)等提出,电子商务风险有四个组成部分,包括商务风险、决策信息风险、战略和环境风险,而竞争对象、客户需求、客户期望和法律法规又影响着环境风险,商务风险则受经营风险和财务风险的影响较大。李瑛玫(2008)在对独立审计风险要素进行归类时,特别提出了重大错误风险,并将其根据来源的不同分为系统风险要素和非系统风险要素,后者也可称为传统风险要素。其中,系统要素涵盖范围有:造成审计对象的信息系统、外部网络和软硬件等发生错误的各种因素,如管理和财务信息系统缺陷、软件系统的易受攻击性和硬件系统的不稳定性等;而传统风险要素则是指在传统审计环境下也可导致被审计单位出现错误的因素,如管理人员道德风险、记录错误等非故意错误等。但总的来说,我国有关在独立审计环境下网络审计方面的系列准则仍旧空白,关于信息化环境下的审计准则和规范部分严重滞后,这也增加了审计风险判断标准的模糊性(吕新民,2009)。在前人研究的基础上,笔者按照风险的具体来源和内容对信息化环境下重大错报风险的层次进行了划分,认为信息化环境下重大错报风险可划分为系统风险和非系统风险。其中,系统风险包括由硬件丢失和损坏、网络环境秩序的缺失、系统维护风险所构成的硬件风险以及管理和财务软件的设计缺陷、电子数据的易篡改性构成的软件风险;而非系统风险则由政府的宏观政策、影响行业利润的法律法规、不可预计的错误和灾害构成的外部风险和内部管理制度的缺失或失效、管理人员的管理执行风险构成的内部风险所组成。
三、信息化环境下重大错报风险的评价方法
概括地说,进行信息化环境下重大错报风险的评价需要解决两个主要问题:(1)比较完整地建立起信息化环境下重大错报风险的评价指标体系,并能够将其细化到一定的层次,甚至到各个因素指标;(2)对于这些因素指标的评价能够进行比较合理的量化处理,且评价是清晰并容易操作的。因此,在已经给出的信息化环境下重大错报风险因素指标体系的基础上,考虑到我国在此领域目前的研究和实践应用现状,选择采用熵权法对信息化环境下重大错报风险进行评价。熵权法中熵起源于热力学科,后由 C.E.Shannon引入,用以度量信息的不确定性。本文选用熵权法作为信息化环境下重大错报风险的评价方法,使用信息熵作为反映影响因素变异程度的指标。其基本原理为:设有 m 个对象,n 项指标,则其形成的原始指标数据矩阵 X=(xij)m*n。对于单独的某项指标 i,指标值 xij的差异越大,权重越大,那么该指标提供的信息量也越多,在综合评价中起到的作用也就越大。相对应的信息熵越小;反之,该指标的权重越小。特别要说明的是,如果某项指标出现了全部相等的指标值,那么这项指标对于评价的结果就毫无意义,不起任何作用。
(一)变量定义
笔者以信息化环境下重大错报风险为基础、熵权法为赋值方法建立信息化环境下重大错报风险的表征变量。具体而言,根据上文构建的指标体系按照层次划分,形成 10 个最终指标。
(二)评价模型构建及运用
建立初始矩阵在建立初始矩阵之前,首先将重大错报风险按照风险大小依次划分为五个等级:高风险 100%、较高风险 80%、中等风险 60%、较低风险 40%和低风险 20%。根据以上所建立的综合指标评价体系和重大错报风险的等级划分,笔者将专门设计的调查问卷经过专家打分,得到了指标体系中第四层的 10 个因素对于五个不同风险等级的共计 50 个支持程度的评价指标.
四、结论和未来研究方向
本文将熵权法运用于信息化环境下重大错报风险的评价,在针对不同评价单位的风险因素量化之后得出指标的重要性排序,在理论和实务方面都具有一定意义。相对于其他的主观赋权方法,熵权法的精度较高,客观性更强,能够更好地解释信息化环境下重大错报风险指标体系中各因素的权重。特别要说明的是,这里所得到的风险因素权重并不只是表示审计实务中风险因素之间实际的重要性程度,而更多的是指各风险因素系统地提供给信息使用者(例如注册会计师)信息量的相对程度,权值越大,提供的信息越多,指标间的竞争越激烈。因此,注册会计师在使用和决策时应重点考量每个因素,识别其中影响程度权重较大者,有助于进一步实施其他审计程序或寻找更优的审计方法。虽然熵权法的客观性使得评价结果更为准确、可靠,但是由于审计对象的独特性,不同被审计单位的信息化程度具有不同的特点,因此在现实审计过程中还需要结合被审计单位的实际情况,进一步确定相关指标和权重,才能更准确地识别重大错报风险。
本文的结论也可以给未来信息化审计影响因素研究带来一定的思考:
第一,风险因素指标体系的进一步构建。笔者构建的信息化环境下重大错报风险因素指标体系,虽然在风险要素划分和指标体系建立部分有较强的理论支撑和较清晰的脉络层次,但在指标要素的量化等级和赋权方法的打分标度方面还有待进一步发展。例如,对于电子数据的易篡改性这一因素,从企业信息化程度、企业外部环境、企业内部管理环境等角度均能作为定量阐述的触发点,这样可能影响准确衡量,因此量化等级的效果会受到影响。这一点以后的研究可以进一步完善。
第二,无论是主观赋权还是客观赋权,专家打分法还是赋值法,每种方法都不可避免地受到自身局限性的影响,以后的研究可以考虑在保留方法自身科学性的情况下,尽量发挥评价结果的优势。可以从纵向评价的角度出发,以审计工作的不同时间阶段、审计人员执行的不同审计程序等方面为起点,将不同的评价方法加以运用,使其绝对差异中的优势明显体现,相对地科学性也更加突出。