信息系统安全漏洞对企业内部控制质量的影响.doc

信息系统安全漏洞对企业内部控制质量的影响 　　一、引言 　　随着互联网的迅猛发展以及企业信息化的逐步深入，企业的日常运营越来越依赖于 IT（InformationTechnology）系统的正常运行。企业对信息系统的使用越多，规模和覆盖面越大，复杂度越高，安全隐患也越多，信息技术中存在的安全漏洞是导致这些问题的关键因素。安全漏洞是指信息技术、信息产品、信息系统在设计、实现、配置和运行等过程中，操作实体有意或无意产生的缺陷（中国国家安全漏洞库，2010）。安全漏洞是网络时代的一种客观存在，其一旦被恶意主体发觉并利用，就可能损害计算机及相关信息系统的安全性，进而影响甚至破坏、中断计算机及相关信息系统的正常服务（张涛、吴冲，2008）。 　　IT 风险已成为公司管理层、监管部门等重点关注的问题，IT 内部控制也成为企业内部控制的重要组成部分。由于计算机及信息系统存在安全漏洞，导致企业的控制风险（Control Risk）、固有风险（Inher－ent Risk）和（或）信息风险（Information Risk）增加，审计师为了控制整体的审计风险必然会降低检查风险（Detection Risk），从而影响审计风险。基于此，本文根据审计风险模型和制度经济学原理，考察计算机及信息系统的安全漏洞对企业内部控制质量的影响，而企业内部控制质量的变化势必会影响控制风险、固有风险和（或）信息风险，进而影响审计师的检查风险，最终导致审计风险的变化。 　　本文以 2005~2009 年中国国家安全漏洞数据库统计的安全漏洞为研究对象进行研究，发现严重型安全漏洞发生的频度与信息风险和审计收费显著正相关，与审计风险显著负相关；对于国有企业而言，严重型安全漏洞发生的频度与信息风险和审计收费显著负相关，与审计风险显著正相关；对于由“四大”审计的公司而言，严重型安全漏洞发生的频度与信息风险显著负相关，与审计收费显著正相关。 　　本文的贡献可能体现在三个方面：一是首次引入安全漏洞考察 IT 技术的缺陷对公司内部控制的影响，融合了企业的内部环境与外部环境的交互作用，丰富了内部控制方面的研究；二是首次尝试研究信息安全性的度量问题，为 IT 治理和 IT 内控的安全性提供了一种测度方法，为企业应该引入防范软件中内控机制漏洞风险的架构（陈志斌，2007）提供了一个实证证据，也为《企业内部控制应用指引》的实施有利于我国资本市场的健康发展提供了一个实证证据；三是首次引入 IT 技术的安全性作为审计风险的内生影响因素进行考察，为 Hogan 和 Wilkins（2008）的研究提出了可能的解释，也在一定程度上证伪了 Chen 等（2010）的研究结论。 　　本文的结构安排如下：第二部分是理论分析与文献回顾，第三部分是研究设计与研究假设，第四部分是分析结果，第五部分是研究结论与不足。 　　二、理论分析与文献回顾 　　根据美国审计准则公告第 47 号（Statement onAuditing Standards （SAS）No.47）（American Instituteof Certified Public Accountants（AICPA，1983））的表述，审计风险模型可以表达如下：审计风险（Audit Risk）=固有风险×控制风险×检查风险 （1.1）根据国际审计准则第 200 号（ISA 200），模型（1.1） 中的审计风险可以定义为：“财务报表中存在重大错报而审计师发表了不恰当的审计意见的风险。”固有风险和控制风险是审计师基于对客户的评估得到的，而检查风险是审计师面对较高的固有风险和控制风险时，通过增加测试降低检查风险，以达到控制整体审计风险的目标。 　　发现财报中重大错漏的概率并报告错漏的概率反映的是审计师的检查风险。发现财报中重大错漏的概率是审计师团队执业素质的体现，而报告错漏的概率则是审计师团队独立性的体现。要提高审计质量，必须同时提高发现财报中重大错漏的概率和报告错漏的概率，而不能有所偏颇。 　　发现财报中重大错漏概率的前提是，企业存在错漏的概率。企业存在错漏的概率是企业内部控制构建错漏的概率与企业外部环境对内部控制形成的破坏威胁的联合概率分布函数。内部控制构建的破坏威胁在信息时代主要来自于客观存在的安全漏洞，也就是说，企业外部环境尤其是 Internet 技术的发展增大了内部控制风险和 IT 风险。企业外部环境与内部环境界限透明性、模糊性和脆弱性的增强，要求内部控制具有足够的灵活性、动态性和健壮性，除了要提高发现财报中重大错漏的概率和报告错漏的概率，还必须同时提高对内部控制潜在破坏威胁的应对能力及对外来威胁的响应能力，而不能有所偏颇。 　　根据 COSO 内部控制架构的五要素模型，我们在“信息与沟通”要素部分把信息系统置于战略的高度进行阐述。该框架要求，