[企业环境下,审计证据的证明力依赖于it相关风险的控制情况。因此,有必要改进it环境下的审计风险判断方法。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

一、流程对审计风险判断具有重要意义

流程的概念很多,iso/iec 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在it环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当it逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的it流程与业务流程需要实现动态整合,即it活动被看作是业务,并执行与业务相同的管理方式。因此,it环境下的企业业务流程应该是广义的,同时包含it流程和业务流程。美国公众公司企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。LOcaLHosT
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。
4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。
然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:
[1]顾晓安,基于业务循环的审计风险评估专家系统研究[j].会计研究,2006(4):23-29.
[2]o’donnell e,jr joseph j schultz.the influece of business-process-focused audit support software on analytical procedures judgements[j].auditing:a journal of practice & theory.2003,22(2):265-279.