云会计AIS审计风险评价指标体系范文

【摘要】

在阐述云会计环境下AIS审计风险的基础上，引入COBIT5.0标准分析了云会计AIS的审计风险评价程序及方法；结合AIS审计风险产生的原因与表现形式，设计了云会计环境下AIS审计风险评价指标体系；指标体系能够从战略、战术和操作三个层次指导企业AIS审计的实施，为AIS审计过程中可靠的风险评价和控制提供指导。

【关键词】

COBIT；云会计；AIS审计；风险评价指标

在“互联网+”时代，云会计AIS（AccountingInfor-mationSystem，以下简称AIS）为企业带来巨大效益的同时，其信息系统风险也随之而来。开展对云会计AIS的审计，对数据处理过程的科学性、真实性进行评价能够有效控制信息系统风险，并在一定程度上规避信息系统风险带来的损失。1996年美国ISACA了用于“AIS审计”的知识体系COBIT（ControlObjectivesforInformationandrelatedTechnology，以下统称COBIT），包含34个信息技术过程控制，并归集为AIS规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控四个控制域，对AIS审计及其审计风险评价与控制进行了规范性要求[1]。

近年来，信息系统审计风险评价的相关问题引起了研究人员的关注。魏杭杭（2011）[2]构建了审计风险评价指标与预警机制，指出在风险评价过程中借助科学的指标体系能够一定程度上保证审计过程的科学有效。程平、温艳好（2014）[3]认为在云会计逐渐引起社会各界普遍关注的环境下，AIS的应用模式和方法开始发生变化，如何保证AIS在云会计环境下迅速得以发展，可信属性的构成和层级的划分能够为云会计AIS的应用提供理论指导。赵爱玲、李顺凤（2015）[4]针对地方政府债务绩效审计风险评价进行了相关研究分析，对控制评价指标体系架构进行了阐述，两位学者认为我国尚未建立规范的地方政府债务绩效审计质量控制评价标准，难以对地方政府债务的经济性、效率性、效果性进行科学有效的评价。针对地方政府债务审计涉及面广、层次多、过程持久且多为定量与定性分析的特点，利用层次分析法构建地方政府债务绩效审计质量控制评价指标体系，对于后续相关研究的开展具有十分重要的意义。COBIT作为“AIS审计”的知识体系，对AIS的规划、组织、获取、实施、交付等进行审计，及时对AIS内部风险进行分析评价，优化企业资源配置，对于建立完善、科学的AIS意义重大[5]。综观现有文献，鲜有对云会计AIS审计风险评价指标体系的相关研究。“互联网+”时代的到来，使得AIS的可信性开始受到企业的普遍关注，建立高可信的AIS成为企业财务部门迎接新挑战的必经之路。COBIT5.0标准为云会计环境下的AIS治理和监管提供了理论指导，承载着端与端业务以及AIS功能区域完善的责任，实现了AIS两端利益相关者的权益均衡。鉴于此，本文针对AIS审计及其风险评价控制现状，引入COBIT5.0标准，重点探讨云会计环境下AIS审计风险评价体系的构建。

一、云会计环境下的AIS审计风险分析

云会计环境下的AIS审计风险，是指AIS审计在云会计环境下表现出的相关风险，其诱因既受会计自身特点影响，又与信息化环境和软件技术的发展息息相关。云会计环境下AIS面临的数据信息更加庞大，企业财务部门借助云会计能够更加高效地整合市场信息，将更多精力投放于企业的管理会计，因此，AIS审计的高效、准确对于企业发展至关重要。云会计环境下AIS既要能够快速整合市场数据，将其快速转化为企业管理层决策所需的信息资源，同时又要兼顾系统的自身安全性。

（一）固有风险AIS由于人为和自然原因，系统硬件在设计、制造和组装过程中可能存在诸多隐患，影响网络传输的速度、质量以及安全性。云会计环境下AIS审计的固有风险主要集中于云会计的固有风险，云会计供应商将数据资源整合集中在“云端”，在保证数据资源海量存储和快速提取的同时，安全性也会相应降低，AIS审计应该加大对云端数据安全性能的审计。云会计应用之初，数据获取、集成以及处理的准确性对于企业管理层的决策至关重要，因此传输过程中数据的丢失或者遗漏可能带来巨大财务风险。

（二）控制风险控制风险主要是指那些即使存在内部控制体系，但是仍然难以预防和规避的重大风险。AIS审计风险主要与内部控制制度执行有效与否有关，而与审计严密性无关。针对云会计自身特点，AIS审计中的控制风险主要体现在以下方面：（1）信息访问技术安全性。信息系统构建过程中，访问权限的设置合理、有效，对于AIS审计风险的预防至关重要。云会计环境下AIS审计要保证系统访问的安全和便捷，避免访问过程中出现审核不严格，从而引发审计风险。（2）信息流与业务流的一致性。企业信息流通要与业务活动保持高度一致，云会计的出现一定程度上加快了企业部门、人员之间的信息流通速度，但是在信息流通过程中，部门人员的操作对于信息的准确性仍然起着决定性作用，信息流与业务流的不一致可能会导致审计过程中出现差错，引发AIS审计风险。

（三）检查风险检查风险主要是检查人员由于未能采取有效的监测手段和程序，导致AIS审计风险的发生。检查风险的发生往往与审计师有关。一般而言，当可接受的审计风险一定时，固有风险和控制风险越大，检查风险就越高。主要表现在以下方面：（1）AIS审计过程中，借助数据对系统的安全性、可靠性进行测试时，很难保证所有程序都能被有效检查；（2）AIS更新换代使得审计过程失去时效性，可能会误导对AIS的审计评价；（3）AIS审计对专业水平的要求较高，当审计人员的配备出现不足时，由AIS开发人员进行系统检测，可能会加大检查风险。云会计AIS系统的安全性对于企业的财务安全至关重要，能够为企业管理者的重大财务决策保驾护航[6]。AIS审计风险评价是对AIS审计流程和方法进行分析，预判其中风险发生的可能，整个过程参考传统审计流程，结合云会计环境的相关特点，分析云会计环境下AIS可信指标评价与审计风险评价指标的重要意义，相互影响得出云会计环境下AIS审计风险评价指标体系[7]。

二、云会计环境下的AIS审计流程及风险框架

（一）AIS审计流程AIS审计风险在评价过程中一般包括风险辨识、风险分析和风险具体评价三个步骤。风险辨识和风险分析是风险评价的基础，为AIS审计风险的后续控制提供了相应的指导。云会计环境下的风险辨识阶段是指审计人员在审计过程中，要能够对审计过程中存在的风险具备一定的敏感性，按照实施风险评估程序所获取的信息，评估重大错报风险产生的可能。审计人员除了要准确把握被审计单位所处的市场环境，了解被审计单位的财务目标、战略和经营风险外，还要有针对性地对被审计单位各业务单元、各项经济活动加以审查，对云会计环境中特定的风险有一定的预判，并结合传统审计风险提供相对完善的风险辨识方法。云会计环境下的AIS审计风险分析阶段强调AIS审计风险的评价除了风险辨识，还应该对辨识出的AIS审计风险进行明确的描述和分析。AIS审计风险的分析阶段，可以通过定性和定量方法相结合的方式分析各种风险因素。通过风险分析阶段的实施，掌握被审计单位的AIS审计风险成因，为后续的AIS审计风险控制提供依据。云会计在不同企业中的应用程度各不相同，AIS审计风险分析阶段审计人员要掌握和了解云计算技术自身的特点可能带来的风险，才能对AIS审计风险进行有效分析。AIS审计风险评价阶段在云会计环境下强调评价过程的客观性和完整性，要能够对以后的AIS审计工作起到一定的指导作用，分析评价过程中不仅要考虑传统审计所强调的真实性问题，还应该结合云会计自身的特点，事先建立完善的风险评价指标体系，使AIS审计风险评价更加科学、合理。

（二）基于COBIT5.0标准的AIS审计风险框架在对被审计单位的AIS审计风险进行评价过程中，往往考虑审计过程中企业自身原因导致的AIS审计风险和审计过程中普遍存在的风险两个方面。在考虑企业自身导致的审计风险过程中，企业规模大小会影响AIS审计过程中风险发生的可能性，AIS审计过程中人员操作技术水平的差异会影响风险发生的可能性，被审计单位的云会计应用程度也会对AIS审计风险发生的可能性产生影响。此外，云计算技术整体的发展水平会对云会计在企业的应用起到推动作用，云计算技术的发展水平会一定程度上影响信息系统支持力度，进而对AIS审计风险发生的可能产生影响。应从被审计单位自身和审计系统两个方面考虑，针对AIS审计过程中可能发生风险的方面进行分析，进一步细化AIS审计风险评价的各个指标。从被审计单位自身来看，可以将AIS审计风险评价的重点聚焦于系统自身风险、信息系统控制风险和其他风险三个方面，能够较为全面地对AIS审计风险中存在的问题进行讨论和评价。从审计系统风险来看，COBIT5.0强调AIS资源主要包括人、应用系统、技术、设施及数据在内的与信息相关的资源，这是AIS治理过程的主要对象。其中AIS审计风险评价指标中审计人员的影响同样十分重要。云会计环境下AIS审计风险评价指标的设计要能够从AIS系统和被审计单位两个方面对审计风险进行分析，从审计过程中的关注维度入手，结合云会计自身特点，构建“互联网+”下的AIS审计风险评价指标体系。

三、基于COBIT标准的云会计AIS审计风险评价指标体系的构建

AIS审计风险评价指标体系的构建应该从AIS系统自身和被审计单位两个方面进行设计。系统自身风险首先要考虑AIS审计过程中工作环境等物理环境产生风险的可能性。在AIS运行过程中，对信息系统的控制是AIS审计风险评价中另外一个必须考虑的因素。对信息系统的控制可以划分为人为操作带来的风险和信息系统对被审计单位AIS审计支持力度的风险。COBIT5.0作为目前国际上通用的最完善的信息系统审计标准，在商业风险、控制需要和技术问题之间架起了一座桥梁，用以满足管理的多方面需要。COBIT5.0为企业AIS治理和管理提供了新一代的指引，其中强调了管理层应该注重操作人员对信息系统审计的影响，包括人员操作水平、人员操作态度等多个方面。COBIT5.0提供的实施工具集包括优秀的案例资料（提供模板业务过程，使得优秀范例能够迅速移植），有助于向管理层很好地表述AIS管理概念，对于AIS审计风险的评价具有重要意义。针对其中的信息系统支持力度风险，在云会计环境下，云计算技术的应用和发展水平会影响市场环境下企业的会计信息化程度，因此AIS审计风险发生的可能性也各有不同，AIS审计风险的评价指标需要对这一因素进行分析。被审计单位自身对云会计的应用程度同样是AIS审计风险的影响因素。云会计自身的准确性、可靠性、便捷性逐渐被市场认可和运用，但是云会计环境下AIS的可信问题成为其发展过程中的一大阻碍，被审计单位云会计应用过程中的可信层级同样应该成为AIS审计风险评价指标体系中必须考虑的因素。除此之外，被审计单位AIS审计风险评价指标还应该考虑其中可能出现的其他风险，例如信息系统依赖风险和外部环境风险。其中信息系统依赖风险应该考虑被审计单位对信息技术依赖的风险，COBIT5.0可以帮助企业在管理层、AIS与审计之间交流的鸿沟上搭建桥梁，提供彼此沟通的共同语言。被审计单位的各个机构都可以从COBIT5.0中获益，但是AIS审计的实施必须有完善的标准作指引，不能单一地依赖被审计单位的操作人员以及外部信息技术，因此AIS审计风险评价指标的设计必须要能够全方位地评价被审计单位AIS审计流程中存在的风险。

对于被审计单位自身而言，审计人员对审计以及云会计的了解程度将会对审计工作质量产生影响，AIS审计风险评价指标体系的构建应该从审计人员进行探讨。审计程序风险针对审计流程进行分析可以划分为计划阶段风险、实施阶段风险和完成阶段风险。对于三个阶段中的计划阶段，被审计单位所披露信息的准确性、客观性和真实性都可能为AIS审计带来风险，这些风险基本符合传统审计的特征。云会计AIS审计风险评价指标在计划阶段还应该考虑被审计单位云会计与审计的耦合程度。“互联网+”下审计模式和程序随着社会发展发生相应的变化，审计与云会计在被审计单位的应用程度将决定AIS审计风险发生的可能性。在审计实施阶段，数据获取的准确性与审计风险的出现关系密切，但是“互联网+”下云会计的发展改变了传统的数据获取途径，使得审计过程中数据资源的获取更加快捷，但是随之而来的数据准确性、真实性同样可能为审计过程带来风险。审计过程中取样数据是否真实合理、对计划修订和变动的及时性都应该成为AIS审计风险评价指标体系构建的考虑因素。审计完成阶段，COBIT5.0强调了审计结果的综合性和专业性。为了基于业务需求做好灾难恢复计划，每个企业都得有组织地策划包括持续性管理、灾难恢复投入力、替代物和关键资源识别的组织结构。COBIT5.0框架中的DeliverandSupport（DS）4.1强调灾难恢复计划中的企业级持续性管理。根据COBIT框架的DS4.4，灾难恢复计划的维护包括根据业务需求升级，为灾难恢复计划绘制COBIT框架有利于确保企业恢复到业务的正常点。这一标准强调了AIS审计风险评价过程中，要对审计结果进行权衡。AIS审计风险的发生不仅仅局限于审计的整个过程，审计结果能够客观、真实地反映被审计单位现状同样是AIS审计风险防范的重点。AIS审计风险评价指标体系构建，要准确分析各个指标的关联、隶属关系，在对AIS审计风险评价指标体系进行分析的基础上，进一步确定云会计AIS审计风险评价指标层次结构，将其划分为不同层次，并用框图形式说明各层次的递阶结构及其指标的从属关系。云会计AIS审计风险评价指标体系见表1。

基于云会计的AIS审计风险评价指标体系的构建是结合了COBIT5.0对AIS审计标准和流程的要求以及云会计在市场中的发展现状所提出的，一方面能够满足当下AIS审计过程中普遍存在的审计风险评价，从审计程序到信息化程度等方面对AIS审计风险指标进行了设定；另一方面，云会计环境下的AIS审计风险已经不同于传统的审计流程，“互联网+”使得数据获取和转移的方式发生了改变，AIS审计风险指标的设计和获取更加应该立足于当下的市场环境。以云会计环境下AIS的可信性为例，AIS审计过程中数据获取的真实性和可靠性能否得以保障、云会计在被审计单位的应用程度都将一定程度上影响AIS审计风险发生的可能性。AIS审计风险评价指标的设计要从信息系统审计和云会计两个方面进行考虑。AIS审计风险的出现不仅仅是审计过程中针对审计流程所产生的，例如对被审计单位了解程度、审计计划的完备性和科学性、对外部信息技术的依赖程度等，同时云会计在被审计单位的应用情况、云会计应用过程中自身存在的风险和挑战都应该成为AIS审计风险评价指标设计中考虑的问题。以系统自身风险中的信息系统技术风险为例进行说明：一方面，从审计过程中的风险而言，需要对信息系统工作替代性、与使用需求耦合性两个方面进行评价，进而掌握AIS审计过程中存在的风险；另一方面，云会计AIS审计过程中还应该从云会计应用的难易程度、云计算技术的保密性能等方面设计评价指标，进而对被审计单位AIS审计风险进行全面、可靠的评价。

四、结语

“互联网+”下的AIS审计开始在企业发展中发挥重要作用，是企业提升核心竞争力过程中加大信息系统建设所必须重视的问题。AIS审计能够帮助企业优化资源配置，促进企业的快速发展。AIS审计风险是伴随着AIS审计而产生的风险，具有潜伏性强、控制难度大等特点，加强AIS审计风险评价和控制对于提升AIS审计质量，充分发挥AIS审计职能作用具有十分重要的意义。COBIT5.0标准的产生对AIS审计的规范化提供了相应指导。结合COBIT5.0和云会计，重新审视AIS审计中可能发生的风险，重构AIS审计风险评价指标体系，对于“互联网+”下的AIS审计风险防范意义重大，一定程度上甚至能够规范我国AIS审计的流程和方法。

【参考文献】

［1］陶芸辉.AIS审计风险评价与控制研究［D］.安徽财经大学，2012.

［2］魏杭杭.社会审计风险预警：评价指标与预警机制［D］.云南财经大学，2011.

［3］程平，温艳好.基于云会计的AIS可信性层次结构模型［J］.重庆理工大学学报（社会科学版），2014，28（2）：24-31.

［4］赵爱玲，李顺凤.地方政府债务绩效审计质量控制评价指标体系研究［J］.西安财经学院学报，2015（2）：34-38.

［5］赵静.COBIT框架在AIS审计中的应用［J］.中国内部审计，2009（12）：31-34.

［6］宋璟.AIS审计中的COBIT标准及其在商业银行中的应用［J］.消费导刊，2008（17）：125.

［7］蔡帼娅.AIS审计在商业银行中的研究［D］.首都经济贸易大学，2008.

作者：程平 王晓江 单位：重庆理工大学会计学院 重庆理工大学云会计研究所