一、引言
随着互联网的迅猛发展以及企业信息化的逐步深入,企业的日常运营越来越依赖于 IT(InformationTechnology)系统的正常运行。企业对信息系统的使用越多,规模和覆盖面越大,复杂度越高,安全隐患也越多,信息技术中存在的安全漏洞是导致这些问题的关键因素。安全漏洞是指信息技术、信息产品、信息系统在设计、实现、配置和运行等过程中,操作实体有意或无意产生的缺陷(中国国家安全漏洞库,2010)。安全漏洞是网络时代的一种客观存在,其一旦被恶意主体发觉并利用,就可能损害计算机及相关信息系统的安全性,进而影响甚至破坏、中断计算机及相关信息系统的正常服务(张涛、吴冲,2008)。
IT 风险已成为公司管理层、监管部门等重点关注的问题,IT 内部控制也成为企业内部控制的重要组成部分。由于计算机及信息系统存在安全漏洞,导致企业的控制风险(Control Risk)、固有风险(Inher-ent Risk)和(或)信息风险(Information Risk)增加,审计师为了控制整体的审计风险必然会降低检查风险(Detection Risk),从而影响审计风险。基于此,本文根据审计风险模型和制度经济学原理,考察计算机及信息系统的安全漏洞对企业内部控制质量的影响,而企业内部控制质量的变化势必会影响控制风险、固有风险和(或)信息风险,进而影响审计师的检查风险,最终导致审计风险的变化。
本文以 2005~2009 年中国国家安全漏洞数据库统计的安全漏洞为研究对象进行研究,发现严重型安全漏洞发生的频度与信息风险和审计收费显著正相关,与审计风险显著负相关;对于国有企业而言,严重型安全漏洞发生的频度与信息风险和审计收费显著负相关,与审计风险显著正相关;对于由“四大”审计的公司而言,严重型安全漏洞发生的频度与信息风险显著负相关,与审计收费显著正相关。
本文的贡献可能体现在三个方面:一是首次引入安全漏洞考察 IT 技术的缺陷对公司内部控制的影响,融合了企业的内部环境与外部环境的交互作用,丰富了内部控制方面的研究;二是首次尝试研究信息安全性的度量问题,为 IT 治理和 IT 内控的安全性提供了一种测度方法,为企业应该引入防范软件中内控机制漏洞风险的架构(陈志斌,2007)提供了一个实证证据,也为《企业内部控制应用指引》的实施有利于我国资本市场的健康发展提供了一个实证证据;三是首次引入 IT 技术的安全性作为审计风险的内生影响因素进行考察,为 Hogan 和 Wilkins(2008)的研究提出了可能的解释,也在一定程度上证伪了 Chen 等(2010)的研究结论。
本文的结构安排如下:第二部分是理论分析与文献回顾,第三部分是研究设计与研究假设,第四部分是分析结果,第五部分是研究结论与不足。
二、理论分析与文献回顾
根据美国审计准则公告第 47 号(Statement onAuditing Standards (SAS)No.47)(American Instituteof Certified Public Accountants(AICPA,1983))的表述,审计风险模型可以表达如下:审计风险(Audit Risk)=固有风险×控制风险×检查风险 (1.1)根据国际审计准则第 200 号(ISA 200),模型(1.1) 中的审计风险可以定义为:“财务报表中存在重大错报而审计师发表了不恰当的审计意见的风险。”固有风险和控制风险是审计师基于对客户的评估得到的,而检查风险是审计师面对较高的固有风险和控制风险时,通过增加测试降低检查风险,以达到控制整体审计风险的目标。
发现财报中重大错漏的概率并报告错漏的概率反映的是审计师的检查风险。发现财报中重大错漏的概率是审计师团队执业素质的体现,而报告错漏的概率则是审计师团队独立性的体现。要提高审计质量,必须同时提高发现财报中重大错漏的概率和报告错漏的概率,而不能有所偏颇。
发现财报中重大错漏概率的前提是,企业存在错漏的概率。企业存在错漏的概率是企业内部控制构建错漏的概率与企业外部环境对内部控制形成的破坏威胁的联合概率分布函数。内部控制构建的破坏威胁在信息时代主要来自于客观存在的安全漏洞,也就是说,企业外部环境尤其是 Internet 技术的发展增大了内部控制风险和 IT 风险。企业外部环境与内部环境界限透明性、模糊性和脆弱性的增强,要求内部控制具有足够的灵活性、动态性和健壮性,除了要提高发现财报中重大错漏的概率和报告错漏的概率,还必须同时提高对内部控制潜在破坏威胁的应对能力及对外来威胁的响应能力,而不能有所偏颇。
根据 COSO 内部控制架构的五要素模型,我们在“信息与沟通”要素部分把信息系统置于战略的高度进行阐述。该框架要求,必须将信息系统的规划、设计和实施与企业的整体战略构成有机的统一体。
信息系统的战略作用体现在无缝集成财务和业务的管理控制系统之中,以实现业务流的实时控制、记录与跟踪。参照 COSO 架构建立的内部控制系统,由于在“信息与沟通”要素部分采用了 IT 技术,而 IT 技术的致命缺陷就是安全漏洞,这种漏洞是有潜伏期的,管理人员很难预知安全漏洞什么时候会被利用,而且该框架对如何构建信息系统没有做进一步的说明(吴炎太等,2009),使得企业在参照 COSO 架构建立内部控制系统时容易出现更多的安全漏洞。因此,“信息与沟通”要素部分出现的问题很有可能导致公司员工履行职责的低效率,也可能会导致信息与沟通过程中公司重要信息的泄漏,使公司资产的安全性无法得到保证。总之,安全漏洞对于 COSO 架构的影响主要体现在“信息与沟通”要素上,一旦 COSO架构的载体受到安全漏洞的威胁,COSO 内部控制的效率和有效性就会受到损害,达成企业目标所需的条件就难以满足,企业也就无法保证财务报告的可靠性,从而使固有风险和控制风险增大。
在 COBIT 框架中,企业需要借助于可以控制的IT 资源获取所需的信息,以实现企业目标。此外,COBIT 是一个通用的信息系统控制标准,它是一个建立内部控制的指导思想,缺乏足够的实践指引,与信息系统的实践过程联系不够紧密和具体(吴炎太等,2009),这容易对信息系统的运行造成不必要的安全隐患。也就是说,在 COBIT 框架内,IT 技术是实现企业目标的载体和工具。伴随 IT 资源而生的安全漏洞是对 COBIT 框架中 IT 准则的天然威胁,其直接威胁到 IT 资源的可用性、完整性、保密性和可靠性。违反了 COBIT 框架中的 IT 准则,内部控制的有效性就无法得到保证,而当内部控制形同虚设时,企业的固有风险和控制风险就加大了。
我国 2008 年颁布的《企业内部控制基本规范》第 7 条规定:“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”2010 年颁布的《企业内部控制应用指引》第 18 号———信息系统中的第 3 章第 13 条规定:“企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。”《企业内部控制应用指引》从信息系统开发、运行维护与变更、系统安全性等方面提出了明确的要求,但没有给出漏洞扫描的目标、频度以及发现安全漏洞后的处理措施等。该指引自 2011 年 1 月 1 日起首先在境内外同时上市的公司中施行,2012 年 1 月 1 日起在上海证券交易所、深圳证券交易所主板上市的公司中实施。
因此,对于没有按照上述准则建立内部控制系统的企业来说,其受到安全漏洞的威胁更大。
总之,潜在的安全漏洞对计算机及相关系统的安全性造成了潜在威胁,也即安全漏洞被发现并被利用后会对计算机及相关系统的保密性、完整性和可用性产生负面影响,影响企业的日常运营及内部控制效率,增加企业的固定风险和控制风险,也使企业在财务报表中出现重大错漏的概率增大,而审计人员无法发现重大错漏的概率也会提高,从而影响审计质量,也影响投资者对企业风险的评估,导致投资决策风险增大。
关于内部控制对审计风险的影响问题,现有文献主要是从披露内部控制缺陷入手进行研究。要考察内部控制缺陷问题,首先需要了解导致内部控制缺陷的各种因素。现有文献主要从经济因素方面进行了考察。Ashbaugh-Skaife 等(2007)采用 SOX 法案302 条款实施后且在 404 条款实施前上市公司在年报中自愿披露的内部控制缺陷数据进行了研究,发现相对于没有披露内部控制缺陷的企业,披露了内部控制缺陷的企业具有更大的会计风险、更多的报表重述以及在披露内部控制缺陷前更多的审计师离职等。Doyle 等(2007)采用 SOX 法案 302 条款和 404条款实施后 SEC 要求强制披露内部控制实质性缺陷的上市公司数据进行了研究,发现披露内部控制缺陷的公司一般都是成立时间不长的小公司,这些公司的财务状况较差,业务较复杂或者正在进行业务重组。Doyle 等认为,造成内部控制缺陷的因素不能一概而论,要根据各个公司面临的具体问题进行具体分析。Leone (2007) 认为,Ashbaugh-Skaife(2007)和 Doyle 等(2007)首次把公司的特征与内部控制缺陷联系起来,通过考察年报中披露了内部控制重要缺陷或者内部控制实质性缺陷的上市公司,发现造成内部控制信息披露风险的因素包括公司组织结构的复杂性、重要的组织变革以及公司在构建内部控制系统方面的投资力度,这三个因素具有较强的说服力。
总之,上述研究表明,企业内部控制缺陷导致固有风险和控制风险增大,但是鲜有文献考察技术因素对内部控制缺陷的影响。
从内部控制缺陷对盈余质量的影响来考察内部控制缺陷经济后果的文献也有很多。Ge 和 McVay(2005)研究发现,披露了内部控制存在实质性缺陷的公司普遍存在可操控性应计方面的问题。Bedard(2006)发现,按照 SOX 法案 302 条款披露内部控制缺陷的公司较其他公司在披露当年有更多的可操控性应计利润,而按照 404 条款披露内部控制缺陷的公司较其他公司在披露当年有更少的可操控性应计利润。Mitehel(l2007)认为,存在重大内部控制缺陷的公司累计盈利能力较低且负债水平较高。Tang 和Xu(2007)发现,披露了内部控制存在实质性缺陷的公司较其他公司的运营绩效和股票回报都要差。
Doyle 等(2007)发现,按照 SOX 法案 302 条款披露了内部控制实质性缺陷的公司较其他公司的盈余质量更差,而按照 404 条款披露的内部控制实质性缺陷与盈余质量没有显著的相关性。Ashbaugh-Skaife等(2008)通过考察内部控制缺陷及修复这些缺陷对盈余质量的影响,发现披露了内部控制缺陷的公司较其他公司的盈余管理程度更高。Chan 等(2008)认为,按照 SOX 法案 404 条款披露内部控制实质性缺陷的公司较其他公司存在更多的盈余管理。
Prawitt 等(2008)发现,内部审计功能(internal auditfunction,IAF)越强,可操控性总应计利润的绝对值就越低,即盈余管理程度越低。Feng 等(2009)通过考察 SOX 法案 404 条款实施后 2004~2006 年样本公司内部控制质量对管理层盈余预测精确度的影响,发现报告了内部控制缺陷的公司,其管理层盈余预测的精度和质量都显著偏低。Altamuro 和 Beatty(2010)以美国的上市银行为样本进行了研究,发现FDICIA 的内部控制强制披露要求有助于提高银行业贷款损失准备金的合理性、盈余的可持续性和现金流的可预测性。这些证据表明,公司内部控制的质量之所以能对盈余质量起到作用,是因为其较之以前的审计师、董事会及机构投资者增加了额外的监督机制。Doyle(2007)、Hogan 和 Wilkins(2008)认为,审计师的实质性测试可以作为内部控制的一种替代,部分地减轻内部控制实质性缺陷对于盈余质量的负面影响。
总之,上述研究表明,内部控制质量影响了盈余质量,即内部控制质量越差,信息风险越高。
还有一些文献考察了内部控制缺陷对审计师行为的影响。Ashbaugh-Skaife 等(2007)研究了 302 条款实施后且在 SOX 法案 404 条款实施前上市公司在年报中自愿披露的内部控制缺陷数据,发现这些公司之所以主动发现并自愿披露内部控制缺陷,是因为它们更偏好于聘请知名的会计师事务所。Ash-baugh-Skaife 等(2008)通过考察内部控制缺陷及修复这些缺陷对盈余质量的影响,发现经过审计师确认并已弥补内部控制缺陷的公司较没有整改的公司盈余质量有了较大提高。Raghunandan 和 Rama(2006)发现,存在内部控制缺陷的公司由于审计师需要付出更多的努力和承担更大的法律风险而导致审计费用的提高。Hogan 和 Wilkins(2008)发现,披露了内部控制存在实质性缺陷的公司较其他公司具有更高的固有风险和信息风险,根据审计风险模型,审计师为了达到预期的审计风险水平,可能需要付出更多的努力,也即需要收取更高的审计费用,这种费用的提高也有可能是一种风险溢价。Yan(2007)研究发现,由于内部控制缺陷的增加不仅导致了较高的审计风险,还会影响审计师变更的频率。L(i2007)研究发现,内部控制缺陷的增加使得会计错误发生的概率以及审计师发现这种错误的难度增加,审计师为了控制审计风险,需要加大工作范围和工作量,从而导致审计的延迟,实质性内部控制缺陷造成的审计延迟较重大内部控制缺陷更长。L(i2007)、Yan(2007)进一步考察了实质性内部控制缺陷与审计师变更之间的关系,认为已经(或预期将要)发现实质性内部控制缺陷的公司,审计师主动辞职的概率较高,在这种情况下,“四大”事务所更不可能成为其继任审计师;已经(或预期将要)收到负面内部控制审计意见的公司,审计师主动辞职的概率较高,而审计师辞职之后公司获得非标审计意见的概率更大,说明公司无法通过更换审计师实现审计意见购买。Li(2007) 还考察了客户重要性在 SOX 法案颁布前后对审计师独立性的影响,发现在 SOX 法案颁布之前,客户重要性对审计师独立性没有显著影响,而在SOX 法案颁布之后,客户重要性对审计师的独立性具有显著的正向影响。
总之,上述文献考察的是内部控制质量对审计师行为的影响,结果表明,企业的内部控制缺陷导致了固有风险和控制风险的增加,审计师为了达到预期的审计风险水平,增加了测试项目,目的是达到控制审计风险的目标。
以上研究都是基于美国的制度背景展开的。模型(1.1)的定义是来自于美国审计准则的公告,其隐含的制度背景是成熟的资本市场,特别是在 SEC 强大的监管能力以及完善的、执行力很强的美国司法制度下,审计师非常在意自己的声誉。也就是说,审计师对于所面临的风险会理性地进行控制,如在面对较大风险时会选择主动辞职(Li,2007;Yan,2007),或者增加风险溢价 (Hogan and Wilkins,2008)。但在我国这样的新兴资本市场上,投资者保护的制度环境是较弱的(LaPorta et al.,1997;LaPortaet al.,1999;LaPorta et al.,2000),因此,在考察我国资本市场上的行为时,要充分考虑制度背景因素,即要将模型(1.1)扩展为审计师风险模型(1.2)(陈正林,2006)。
审计师风险(Auditor Risk)=审计风险×制度风险=审计风险×审计失败被识别的风险×惩罚力度×惩罚执行力 (1.2)模型(1.2)其实也反映了审计质量是发现会计报表重大错漏的概率及报告该错漏概率的联合分布函数(DeAngelo,1981)的思想。模型(1.2)中的审计风险反映的是审计师执业能力的技术风险,而制度风险反映的是由于审计师技术风险导致的审计失败被识别出来的概率以及审计失败被识别后的惩罚力度及其执行力。由模型(1.2)可知,当制度风险很大时,审计师必然要主动降低审计风险,从而使审计质量提高;若制度风险很小,审计师就没有动力去降低审计风险,从而使审计质量降低,即识别制度和惩罚制度的有效性决定了审计师的行为(陈正林,2006)。
在美国,SOX 法案颁布实施之后,审计师面临的制度风险陡增,而且成熟资本市场上有很多专业的机构投资者、分析师等,从而使审计失败被识别的概率大大提高,审计师必然会努力控制审计风险。在美国这种成熟的司法和资本市场的制度背景下,模型(1.2)和模型(1.1)具有一致性,而要考察我国的资本市场,模型(1.2)具有更好的解释力。
“银广夏”事件的发生,直接促成了 2002 年 1 月15 日《最高人民法院关于受理证券市场因虚假陈述引发的民事侵权纠纷案件有关问题的通知》的出台。
2003 年 1 月 9 日最高人民法院发布了《最高人民法院关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定》,这项法律要求由法院受理和审理因虚假陈述引发的证券市场上的民事侵权纠纷案件,这在一定程度上对审计师的不作为产生了较大的威慑力。2007 年 6 月 15 日最高人民法院又颁布了专门针对审计师的司法解释———《关于审理涉及会计师事务所在审计业务活动中民事侵权赔偿案件的若干规定》。这个司法解释的出台,进一步加大了主张者举证的难度,也就是说,司法解释的实施成本更大。虽然法律允许普通投资者对审计师的不当行为提起民事诉讼,但由于成本过高且收益偏低,审计师被提起诉讼的概率很低。另外,非标审计意见的出具频率比以往有了很大的提高(Defond et al.,2000),但这并没有改变由于低风险的司法制度环境造成我国上市公司审计质量总体偏低的状况(刘峰、许菲,2002)。
由于投资者保护较差(Allen et al.,2005),审计市场的整体审计质量偏低(Wang et al.,2008;杨德明等,2009)。在较小的制度风险下,审计师的风险也很小,其作为理性的经济人,没有动力去努力提高审计质量。只有在非审计风险过大时,审计师为了维持个人的声誉以及惧于法律的威慑力,才会努力降低审计风险,这也是我国会计职业界承受的法律风险一直较低(刘峰,许菲,2002)的原因之一。这一情况表明,模型(1.2)是适用于我国的资本市场的。
研究我国内部控制的文献较少。李艳姣(2009)通过考察 2007 年深市 A 股上市公司的情况,发现内部控制缺陷与审计收费不存在显著相关性。方红星等(2009)考察了沪市非金融上市公司 2003~2005年年度报告中自愿披露的内部控制信息,发现上市公司是否自愿披露内部控制信息与非标审计意见类型显著负相关;在影响上市公司内部控制信息自愿披露的因素中,外部审计没有显著影响。李享(2009)梳理了我国强制性披露内部控制信息的文献,发现内部控制自评报告、审核意见的披露属于公司自愿的选择性行为,也就是说,外部审计师在面对内部控制缺陷时存在一定的审计意见购买行为。杨德明和胡婷(2010)通过考察 A 股上市公司 2007~2008 年的数据,发现内部控制与外部审计之间存在一定的替代效应,而且这种替代效应与审计费用呈显著的正向关系。财政部驻河北省财政监察专员办事处课题组(2005)也发现,市场需求主体对高质量的审计产品缺乏内在需求。Wang 等(2008)认为,审计市场总体上并不需要甚至排斥高质量的审计。杨德明等(2009)认为,审计市场尚不成熟,审计质量并不太高。辛清泉和黄琨(2009)发现,中天勤事件之后,事务所为了避免客户的大量流失,审计师更可能在客户的压力下妥协,在其他条件不变的情况下,非标意见的出具概率在下降。杨德明和胡婷(2010)的研究表明,对于审计费用比较缺乏的公司,审计师一旦发现其内部控制质量较高,就有可能大幅度减少实质性测试;反之,对于审计费用比较充裕的公司,审计师即使发现其内部控制质量较高,也不太可能大幅度减少实质性测试。
以上研究表明,在我国,不论是否要求强制性披露内部控制缺陷,公司都存在较大的购买审计意见的可能,也就是说,内部控制质量对审计师出具审计意见没有显著影响。这与 L(i2007)、Yan(2007)的研究结论不一致,说明由于我国的制度风险过低,审计师没有对由内部控制缺陷所导致的控制风险、固有风险(信息风险)进行充分的审计风险调整,因此,识别制度和处罚制度的共同失灵,是造成我国审计质量不高的根本原因(陈正林,2006)。这些研究成果也进一步检验了模型(1.2)在我国资本市场上的适用性。
此外,Chen 等(2010)通过考察中国 1995~2004年间的上市公司,认为 2001 年之后由于制度环境更有利于投资者,对于签字审计师来说,客户重要性越高,其越有可能出具非标审计意见,而对于事务所来说,客户重要性对于出具非标审计意见没有显著影响。但 Chen 等(2010)的问题在于,忽视了中国的特殊制度背景,即中国审计市场上的签字审计师很少是真正参与审计的审计师,他们多是部门经理或者是事务所的合伙人,所以用签字审计师来考察客户重要性存在很大的偏误,这也许是其没有发现事务所客户重要性对审计意见具有显著影响的原因之一。Chen 等(2010)还为新兴资本市场的政策制定者提出了完善投资者保护制度的建议。由模型(1.2)可知,仅强调制度的重要性有失偏颇。我们认为,新兴资本市场的政策制定者不仅需要制定政策,更需要推进和落实政策,我国最高法院颁布的《关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定》就是最好的反例。伍利娜等(2010)也认为,2003年 1 月 9 日最高法院颁布的《关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定》,增大了审计师的法律风险。以上观点是把单一法规的出台等同于整个制度环境的改变,混淆了制度预期与制度现实,研究中发现的是市场对于低制度风险的渴望,但制度的现实却与之相反。《关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定》从出台至今已经八年之久,但没有一个由于触犯该法律而受到应有惩罚的案例,这当然不能说明我国的制度是完美的。2005 年开始实行的股权分置改革是一个很好的事件研究,申慧慧等(2009)通过考察股权分置改革对上市公司盈余质量的影响,发现非国有控股上市公司向上盈余管理的程度显著提高。伍利娜、朱春艳(2010)也发现,股改后审计师在一定程度上配合上市公司实现了向上的盈余管理及审计意见购买。晏艳阳、赵大玮(2006)认为,股权分置改革中存在较为严重的内幕交易行为。这些研究表明,制度环境并没有发生大的变化,制度风险依然不大,否则,盈余管理的程度至少不应该提高。由模型(1.2)可知,在新兴资本市场国家,特别是在司法制度不成熟的国家,制度的执行力才能真正决定政策的经济后果,而不能仅仅把政策的制定视为制度的执行力。
综上所述,现有文献主要是从公司经济特征所导致的内部控制质量问题及其经济后果来考察其对审计风险和(或)审计师风险的影响,鲜有文献考察构建内部控制技术架构所导致的内部控制缺陷,即仅把内部控制的技术架构视为外生变量。近年来,IT及其相关技术已成为公司内部控制的基础技术,其一旦出现问题,公司的整个运营都要受到影响。本文正是基于这个前提,结合我国的制度背景,把内部控制的 IT 技术及其相关技术架构视为内生变量,考察技术架构自身的缺陷———安全漏洞对内部控制的影响,进而考察其对企业的固有风险、控制风险和(或)信息风险及审计师检查风险的影响,最终考察这些风险对审计风险和审计师风险的影响。
三、研究假设和设计
(一)研究假设
Microsoft 公司将安全漏洞对系统的危害程度划分为四个等级,分别是:(1)危急型安全漏洞,即无需用户激活的网络蠕虫传播的安全漏洞;(2)高危型安全漏洞,该安全漏洞被利用后,会使用户数据的机密性、完整性和有效性遭到破坏;(3)中危型安全漏洞,该安全漏洞被利用比较困难,会受到配置、验证等诸多因素的限制,其对系统的影响较小;(4)低危型安全漏洞,该安全漏洞被利用非常困难,对系统的影响也非常小。根据以上定义,本文只考察影响较大的危急型安全漏洞和高危型安全漏洞(简称严重型安全漏洞)。
严重型安全漏洞破坏力强、危害大,各大软件厂商或硬件厂商会通过各种渠道公告其危害性以减少用户不必要的损失,并建议用户下载安全补丁及时进行漏洞修复,各种媒体也会争相报道,提醒用户这类漏洞对计算机及相关系统的危害程度和可能造成的损失。因此,严重型安全漏洞受到的关注较多,公众对其危害也有足够的认识和防范,从而可以防止恶意用户利用该安全漏洞进行攻击。对于企业用户来说,严重型安全漏洞对于其内部控制的危害程度更大,企业用户会密切关注安全漏洞的防护措施,及时下载补丁修复程序进行修补,以保持内部控制技术基础架构的稳定性、完整性、安全性和有效性。但是,安全漏洞被发现并公告后,企业的反应可能不及时,同时,厂商补丁程序的开发和测试需要时间,在这段空白区的时间内,企业内部控制缺陷被暴露的概率陡增,且缺陷的严重程度也迅速提升。当厂商针对这些漏洞发布补丁程序后,补丁程序也可能导致新的安全漏洞隐患。因此,发现严重型安全漏洞,意味着内部控制缺陷被暴露的概率陡增且严重程度加剧,这会极大地提高企业的控制风险、固有风险和(或)信息风险。根据审计风险模型,当企业的控制风险和固有风险增大时,审计师为了控制整体的审计风险,会主动降低检查风险,即审计师会更加努力地控制审计风险。同样,由于危急型或高危型安全漏洞的出现会导致内部控制缺陷的危害程度加剧,如果审计师不努力审计,审计风险就会迅速提高,从而加大审计师的个人风险。因此,作为理性的经济人,审计师在法律的威慑下必然会更加努力地降低审计风险。但是,在我国,会计职业界承受的法律风险仍然较低(刘峰、许菲,2002),再加上审计市场并不需要甚至排斥高质量的审计(Wang et al.,2008),因此,审计市场的审计质量并不太高(杨德明等,2009)。也就是说,我国的审计师没有太大的动力去付出更多的努力。但是,如果审计师不努力工作,他们可能会受到来自其他非司法方面的处罚,如中注协的处罚,在这种情况下,审计师为了避免行政类的处罚,需要得到一定程度的风险溢价。基于以上分析,我们提出假设 H1 和 H1a。
H1:严重型安全漏洞发生的频度与信息风险(审计风险)正(负)相关。
H1a:严重型安全漏洞发生的频度与审计收费正相关。
1995 年《中共中央关于制定第九个五年计划和2010 年远景目标的建议》提出,要“重点改造国有大中型企业,加快国民经济信息化进程”。2000 年《中共中央关于制定国民经济和社会发展第十个五年计划的建议》提出,大力推进国民经济和社会信息化,是覆盖现代化建设全局的战略举措。以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展。在“国有企业建立管理科学的现代企业制度”之后,2001 年国家科技部启动了国家制造业信息化工程以落实“以信息化带动工业化”,并集中了科技攻关计划和 863 计划两大资源,共出资 8 亿元,加上地方配套资金和企业自筹资金,总经费超过 100 亿元。
2002 年党的十六次全国代表大会明确提出“信息化带动工业化,工业化促进信息化”的战略指导方针(王立彦、曾建光,2011)。在“信息化带动工业化”的战略指导下,国有企业的信息化程度不断提高,相应的 IT 投资也很高,因此,国有企业一旦出现严重型安全漏洞,IT 投资的作用就会显现,如使用一些软件公司的专杀工具进行系统安全处理或者应用软件提供的补丁等进行排查,这些信息安全隐患的排查会产生一定的溢出效应(曾建光,2011),从而降低国有企业的控制风险、固有风险和(或)信息风险。
由假设 H1 可知,由于严重型安全漏洞破坏力强、危害大,其一旦被恶意攻击者发现,信息安全性就会受到极大的威胁。严重型安全漏洞出现的频度高,意味着内部控制缺陷被暴露的概率陡增且其严重程度会加剧,从而极大地提高企业的控制风险、固有风险和(或)信息风险。对于国有企业而言,由于其IT 投资较高,其抵抗控制风险、固有风险和(或)信息风险的能力也较强。也就是说,国有企业降低控制风险、固有风险和(或)信息风险更多是出于保证日常运营顺利进行的目的,而不是真正改善内部控制的质量,内部控制质量还是处于与以前相近的水平,实质上的控制风险会进一步放大。根据审计风险模型,当企业的内部控制缺陷严重性较高时,控制风险增加的幅度较大,而固有风险和(或)信息风险的降低无益于整体控制风险的控制。也就是说,整体而言,国有企业的 IT 投资能够起到一定的弱化风险的作用。此外,国有经济中作为所有者的国家与各级政府机构和企业经营者之间存在多层次等级式的委托代理关系(韩朝华,1995),政府在经济发展中依然起着主要的作用,我国的上市公司大部分是国有企业且国有股占比较高。会计师事务所大部分是改制而来,其改制前大多为国有,改制后也与政府部门和国有企业保持着密切联系(吴联生、刘慧龙,2008)。此外,我国公司的内部控制信息自愿性披露激励不足,内部控制自我评价及审计师的核实评价缺乏统一的标准(杨有红、汪薇,2008),再加上对于高质量审计的需求不足(Wang et al.,2008)、审计市场不成熟(杨德明等,2009)、客户压力大(辛清泉、黄琨,2009)、法律执行不力(陈正林,2006)等,使得与政府部门和国有企业保持着密切联系的审计师在面对国有企业控制风险增加幅度较大、固有风险降低幅度较小时,控制检查风险的激励不大,也即审计风险并没有降低。同时,国有企业容易给审计师造成一种错觉,即国企在面对严重型安全漏洞发生频度较高的情况下,其 IT投资能够确保控制风险不会过大。
总之,基于我国特有的制度背景,在国有企业严重型安全漏洞发生频度较高的情况下,审计师没有动力去控制检查风险,同时,由于其客户是国有企业,审计师也不会额外收取风险溢价。也就是说,来自于外部的技术冲击对于 IT 投资较高的国有企业而言,其内部控制质量具有较高的抗风险能力,与审计师也有较高的谈判能力和优势,因此,其审计收费显著下降。基于此,本文提出假设 H2 和 H2a。
H2:对于国有控股公司而言,严重型安全漏洞发生的频度与信息风险(审计风险)负(正)相关。
H2a:对于国有控股公司而言,严重型安全漏洞发生的频度与审计收费负相关。
由假设 H1 可知,由于严重型安全漏洞破坏力强、危害大,其发生频度高意味着内部控制缺陷被暴露的概率陡增且其严重程度加剧,从而极大地提高了企业的控制风险、固有风险和(或)信息风险。对于由“四大”审计的公司而言,由于其很少出现报表违规等情况(DeFond and Jiambalvo,1991),“四大”较非“四大”更不能容忍客户的盈余管理(Becker et al.,1998),“四大”的审计质量也更高(Palmrose,1988;Deis and Giroux,1992;Mutchler et al.,1997;Krishnanand Schauer,2000;Fuerman,2004)。因此,严重型安全漏洞发生的频度越高,“四大”审计的努力程度也越高,客户的信息风险和审计风险就会越低。由于“四大”付出了更多的努力,其审计收费也更高。基于此,本文提出假设 H3 和 H3a。
H3:对于由“四大”审计的公司而言,其安全漏洞发生的频度与信息风险(审计风险)负相关。
H3a:对于由“四大”审计的公司而言,其安全漏洞发生的频度与审计收费正相关。
(二)研究设计
1.信息风险。本文参照 Hogan 和 Wilkins(2008)的做法,采用应计盈余质量作为度量信息风险的代理变量。夏立军(2003)认为,在中国的市场上,修正的 Jones(1991)模型能够较好地估计超额应计利润。
因此,本文运用修正的 Jones(1991)模型(Dechow etal.,1995)按照年度和行业分别估计每个公司的非预期应计利润,行业分类以证监会 2001 年发布的《上市公司行业分类指引》 为标准。本文借鉴 Barth(2008)、Cohen (2008)、Chen 等 (2010)、 刘 启 亮(2010)的做法,设定了如下模型(2):
2.审计风险与审计风险溢价。本文采用审计意见作为衡量审计风险的代理变量,并参照 Chen 等(2010)的做法,对不同的审计意见类型进行不同的编码赋值,即审计意见为标准无保留意见设为 4,审计意见为无保留意见加事项段设为 3,审计意见为保留意见设为 2,审计意见为保留意见加事项段设为 1,审计意见为无法发表意见设为 0。为了测度审计师面对不同审计风险时的行为,我们参照 Hogan和 Wilkins(2008)的做法,采用审计收费作为度量审计师面对风险时的风险溢价或者付出努力的代理变量。同时,参考王守海(2009)、伍利娜(2003)、Lennox(2005)、刘继红(2010)研究国内审计收费的做法,设定了如下模型(3):
模型(2)、(3)的变量定义如表 1 所示。
本文的上市公司所属行业及终极控制人属性、财务数据和安全漏洞数据分别来源于 2005~2009 年的 Sinofin 数据库、CSMAR 财务数据库和中国国家安全漏洞库。我们剔除了金融企业的数据和有缺失值的样本公司,同时为了避免极端值的影响,对控制变量中的连续变量按照 1%进行了 Winsorize 处理,样本的描述性统计如表 2 所示。
由表 2 的描述性统计可知,信息风险(AbsD-TAC)的均值为 0.089,中位数为 0.052,中位数与均值差异较大,最大值为 0.786,最小值为 0.001,说明样本期内的公司信息风险差异较大。审计风险(AuditRisk)的均值为 3.825,中位数为 4.000,中位数与均值差异不大,说明样本期内的公司审计风险差异不大。审计收费(LnAuditFee)的均值为 13.136,中位数为 13.082,中位数与均值差异较大,最大值为14.907,最小值为 11.918,说明样本期内的审计收费差异较大。严重型安全漏洞发生频度(Vul)的均值为12.992,中位数为 15.338,最大值为 18.136,最小值为 6.015,说明严重型安全漏洞在样本期内出现比较频繁,并且年度之间的差异较大。
四、检验结果
(一)样本回归结果
表 3 的模型 1 报告了安全漏洞发生频度(Vul)与信息风险(AbsDTAC)的回归结果。安全漏洞发生频度(Vul)的系数显著为正,说明严重型安全漏洞发生的频度越高,信息风险(AbsDTAC)就越大。也就是说,严重型安全漏洞发生的频度越高,企业的内部控制风险就越大,进而导致企业的信息风险、固有风险及审计师审查风险显著增大。由于固有风险会严重影响企业的运营,企业会努力控制固有风险,而对其他与企业正常运营无关的风险没有动力去控制和降低,因此,安全漏洞发生的频度越高,信息风险就越大,假设 H1 得到了验证。
表 3 的模型 2 报告了安全漏洞发生频度(Vul)与审计风险(AuditRisk)的回归结果。模型 2 的安全漏洞发生频度(Vul)系数显著为负,说明严重型安全漏洞发生的频度越高,审计风险(AuditRisk)就越小。
也就是说,由于严重型安全漏洞发生的频度高,企业的内部控制风险加大,导致企业的信息风险、固有风险及审计师审查风险显著增大,审计师为了保持与以往相近的审计风险水平,需要付出额外的努力控制过高的审查风险,从而使审计风险变小,假设 H1 得到了验证。
表 3 的模型 3 报告了安全漏洞发生频度(Vul)与审计收费的回归结果。模型 3 的自变量系数都显著为正,说明严重型安全漏洞发生的频度越高,审计收费(LnAuditFee)就越高。也就是说,由于严重型安全漏洞发生的频度高,企业的内部控制风险加大,导致企业的信息风险、固有风险及审计师审查风险显著增大,审计师为了保持与以往相近的审计风险水平,需要付出额外的努力控制过高的审查风险,对这些额外的努力需要收取更多的审计费用,即审计收费会提高,假设 H1a 得到了验证。
综上所述,由于严重型安全漏洞发生的频度越高,内部控制缺陷被暴露得越明显,其危害也越大,从而使企业的控制风险、固有风险和信息风险增大,审计师面临的制度风险也陡增。审计师为了控制个人风险,必然会对风险进行溢价处理,即增加审计收费,以平衡审计风险。由此,假设 H1a 得到了验证。
严重型安全漏洞发生的频度较高时,公司的信息风险会显著提高,即公司可能会利用严重型安全漏洞谋取私利,因此,信息风险在严重型安全漏洞下会增大。这一结果也为 Hogan 和 Wilkins(2008)的研究提供了解释,即审计收费的提高究竟是因为审计师付出了更多的努力,还是对内部控制缺陷所导致风险的一种溢价。
表 4 报告了采用模型(2)~(4)检验国有企业严重型安全漏洞发生频度(State × Vul)的回归结果。从模型 1 严重型安全漏洞发生频度(Vul)和国有控股公司(state)交乘项(State × Vul)与信息风险的回归结果来看,交乘项的系数显著为负,说明国有企业在严重型安全漏洞发生频度很高时,其信息风险显著降低。也就是说,由于严重型安全漏洞发生的频度很高,导致企业的内部控制风险增大,进而使企业的信息风险和固有风险及审计师审查风险显著增大。但由于国有企业的 IT 投资较多,信息化程度较高,因此,在出现严重型安全漏洞时,企业能够及时得到软件厂商、第三方的技术支持以及相关技术人员的服务,可以较好地抵抗固有风险。此外,由于信息化程度较高,国有企业获得的技术服务能够产生溢出效应,从而能够较好地降低信息风险,假设 H2 得到了验证。
表 4 的模型 2 报告了严重型安全漏洞发生频度(Vul)和国有控股公司(state)的交乘项(State × Vul)与审计风险的回归结果。交乘项的系数显著为正,说明大公司的严重型安全漏洞发生频度越高,其审计风险就越大。也就是说,由于国有企业的 IT 投资较多,信息化程度较高,其在出现严重型安全漏洞时,能够及时得到专业的技术服务,从而很好地降低由内部控制风险所导致的信息风险和固有风险,其目的是确保企业的正常运营及资产安全。但安全漏洞所导致的审计师审查风险无法通过内部控制中的技术安全手段来降低,审计师在审计国有企业时,容易被技术掩盖的内部控制信息安全性所迷惑,其没有动力付出更多的努力,从而使审查风险升高,审计风险增大。由此,假设 H2 得到了验证。
表 4 的模型 3 报告了严重型安全漏洞发生频度(Vul)和国有控股公司(state)的交乘项(State × Vul)与审计收费的回归结果。交乘项的系数显著为负,说明国有企业的严重型安全漏洞发生频度较高时,审计师对其的审计收费显著下降。由表 4 模型 1 和模型 2 的结果可知,对于国有企业而言,其 IT 投资较高,能够较好地抵制来自外部的冲击,由内部控制中嵌入的技术缺陷所导致的负面影响相对不大,企业的内部控制质量能够保持相对稳定。由于审计国有企业的制度风险较低,审计师没有动力为较低的审查风险付出更多的努力,其审计收费也会显著下降。
由此,假设 H2a 得到了验证。
综合表 4 的结果可知,对于国有企业而言,危急型与高危型安全漏洞发生的频度越高,信息风险就显著越低,但审计风险显著越高,说明国有企业的 IT投资价值在信息风险和审计收费中体现得非常明显。同时,这也表明国有企业在出现危急型与高危型安全漏洞时,可能会利用安全漏洞谋取私利,因此,其审计风险会显著提高。此外,在我国特殊的制度背景下,审计师不减少检查风险,其个人的审计风险增幅也不大,由于制度风险偏低(刘峰、许菲,2002),审计师整体上的风险增幅更低,因此,审计师没有动力对国有企业严重型安全漏洞所导致的内部控制缺陷进行控制,从而使审计风险增加,而审计收费却显著降低。
表 5 报告了采用模型(2)~(4)检验“四大”对严重型安全漏洞发生频度(big4 × Vul)的回归结果。从模型 1 严重型安全漏洞发生频度和“四大”的交乘项(big4 × Vul)与信息风险的回归结果来看,交乘项的系数显著为负,说明由“四大”审计的公司危急型安全漏洞发生的频度越高,信息风险就越低,假设 H3得到了验证。
表 5 的模型 2 报告了严重型安全漏洞发生频度和“四大”的交乘项(big4 × Vul)与审计风险的回归结果。交乘项的系数为负,但不显著,说明由“四大”审计的公司不管危急型安全漏洞发生的频度有多高,其审计风险也没有发生显著的变化。模型 1 和模型 2 的结果表明“,四大”的审计质量较高,能够很好地控制信息风险和审计风险,假设 H3 得到了验证。
表 5 的模型 3 报告了严重型安全漏洞发生频度和“四大”的交乘项(big4 × Vul)与审计收费的回归结果。交乘项的系数显著为正,说明由“四大”审计的公司严重型安全漏洞发生的频度越高,其审计收费也显著越高。
综合表 5 的结果可知,对于由“四大”审计的大公司而言,严重型安全漏洞发生的频度越高,其信息风险显著越低,但审计风险没有发生显著变化,说明严重型安全漏洞发生的频度越高,由内部控制嵌入技术所导致的内部控制风险也显著越高,由于其危害太大“,四大”的审计师必然会提高控制信息风险的努力程度,其审计收费也就显著提高,假设 H3a得到了验证。
以上研究在一定程度上检验了《企业内部控制应用指引》第 18 号的规定:“企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。”这也进一步表明,对安全漏洞加以足够的重视,有利于减少企业的内部控制缺陷,这为陈志斌(2007)提出的“应引入防范嵌入在软件中的漏洞风险的内部控制架构”提供了一个实证证据。
本文的研究表明,我国企业在出现严重型安全漏洞所导致的内部控制缺陷时,信息风险显著提高,审计风险显著降低,而审计收费却显著提高,这种收费是对内部控制缺陷所导致的风险的一种溢价。因此,我国的资本市场要想健康发展,必须提高内部控制的质量。对于处在信息生态环境中的企业而言,在实施、评价内部控制时,需要加强信息技术的使用,同时,不可忽视信息技术对内部控制的负面效用,加强企业内部控制中的信息技术管控,提高相关专业人员的素质。本文的研究还表明,在我国,审计风险模型和审计师风险模型具有较好的解释力。为了培育良好的审计市场,需要加强政策的制定,并加大政策的执行力度。
(二)稳健性分析
以上研究是基于安全漏洞各个类别的占比对审计风险和信息风险的影响,考察的是相对指标的影响。那么,安全漏洞各个类别的数量对于审计质量的影响又是怎样的呢?前述结论能否得到有效的支持呢?基于此,本文进行了如下稳健性测试:采用安全漏洞的数量分别进行回归,研究结论仍得到了支持;将严重型安全漏洞分拆为危急型安全漏洞和高危型安全漏洞分别进行回归,研究结论仍得到了支持;对模型(2)不控制年度和行业进行回归,结果与前面一致。由稳健性检验可知,本文的研究结论具有较好的稳健性。
五、研究结论及不足
在互联网及移动互联网日益发展的今天,信息安全对于一个国家的重要性毋庸置疑。本文通过考察威胁信息安全的首要因素———安全漏洞,结合审计风险模型和制度经济学原理构建了审计师风险模型,分析了安全漏洞对我国审计市场的影响。我们根据安全漏洞的影响范围、利用方式、攻击后果等,将其分为危急型、高危型、中危型和低危型四个类别,考察了危急型和高危型安全漏洞对公司内部控制技术架构的影响以及对审计风险和信息风险的影响。
研究发现,在其他条件相同的情况下,严重型安全漏洞发生的频度与信息风险和审计收费显著正相关,与审计风险显著负相关;在其他条件相同的情况下,对于国有企业而言,严重型安全漏洞发生的频度与信息风险和审计收费显著负相关,与审计风险显著正相关;对于由“四大”审计的公司而言,严重型安全漏洞发生的频度与信息风险显著负相关,与审计收费显著正相关。
本文的研究为处于信息化生态环境下的企业内部控制“应该引入防范嵌入在企业管理控制软件中的漏洞风险的内部控制架构”(陈志斌,2007)提供了一个实证检验,也为《企业内部控制应用指引》的实施提供了一个实证证据。Hogan 和 Wilkins(2008)认为,内部控制缺陷越严重,审计收费就越高,这其中可能有两个原因:一是审计师付出了更多的努力;二是审计师没有付出更多的努力,这只是对内部控制缺陷所导致的风险的一种溢价。本文的研究表明,在我国的市场上,由于制度风险偏低,审计师只会在内部控制缺陷非常大的情况下控制审计风险,而且对信息风险视而不见,没有实质性地付出更多的努力。
Hogan 和 Wilkins(2008)提出的由内部控制缺陷所导致的审计费用(审计师努力程度的代理变量)提高,在中国的资本市场上不是审计师的报酬,而是风险的溢价,即其可能成为“出头鸟”的风险溢价。
本文的研究也为促进我国资本市场的健康发展、加强政策的制定、加大法律法规的执行力度提供了一个实证证据。在我国特殊的制度背景下,仅仅依赖于政府的监管不足以培育出真正具有审计独立性的资本市场(Defond et al.,2000),应该加强政策的制定和实施。
本文的不足之处在于:由于没有考察每一个公司实际受到的安全漏洞威胁,可能存在一定程度的偏颇。另外,本文只考察了发现安全漏洞的情况,而没有考察安全漏洞修复情况对审计风险和信息风险的影响。后续的研究可以围绕这两个方面展开,采用最新的数据进一步验证 Hogan 和 Wilkins(2008)、Chen 等(2010)的研究结论。
参考文献:
[1]财政部驻河北省财政监察专员办事处课题组. 会计师事务所审计收费监管制度分析及政策建议[J].会计研究,2005(3):11-15.
[2]曾建光.信息安全漏洞风险与会计年报的及时性[J].中国注册会计师,2011(10):115-120.
[3]陈正林.审计风险、审计师风险及制度风险[J].审计研究,2006(3):88-92.
[4]陈志斌. 信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1):30-37.
[5]方红星,孙 翯,金韵韵.公司特征、外部审计与内部控制信息的自愿披露———基于沪市上市公司2003~2005年年报的经验研究[J].会计研究,2009(10):44-52.
[6]李 享.美国内部控制实证研究:回顾与启示[J].会计研究,2009(1):87-95.
[7]李艳姣.内部控制质量与审计定价的相关性研究[D].广州:暨南大学,2009.
[8]刘 峰,许 菲.风险导向型审计·法律风险·审计质量──兼论“五大”在我国审计市场的行为[J].会计研究,2002(2):21-27.
[9]刘 峰,周福源.国际四大意味着高审计质量吗[J].会计研究,2007(3):79-87.
[10]刘继红.高管会计事务所关联、审计任期与审计质量[J].中国会计与财务研究,2011(1):114-124.
[11]刘启亮,何威风,罗 乐.IFRS 的强制采用、新法律实施与应计及真实盈余管理[R].武汉大学,2010.