一、引言
风险的存在是客观的,但风险的判断是主观的。IT 环境下的审计风险亦是如此。如何从主观角度入手,减少审计风险判断偏误,提高审计风险判断绩效成为研究的重点。传统的以认知心理学为基础的 IT 环境下审计判断行为研究表明审计判断绩效受知识、能力、经历等要素的影响。但以认知心理学为基础的研究忽视了审计行为的社会性。在与社会的交互作用中,审计人员的风险判断行为受时代背景的影响。因此,现存的在 IT 环境下进行风险判断的社会心理特征将映射在审计人员身上,并影响其审计风险判断行为。那么,现存的在 IT 环境下进行风险判断的社会心理特征是什么? 不同心理特征对应的审计行为是什么? 这正是本文要探究的问题。
二、文献回顾
在审计文献中,对 IT 环境下的审计判断行为的研究主要包括两个方面: 一是对审计风险判断行为结果的研究。此类研究大多采用统计分析和比较分析法,如 Wright 等( 2002)[1]通过对会计师事务所专家的调查,识别专家在审计 ERP 系统时的重点关注的风险点; Hunton 等( 2004)[2]通过对IT 审计专家和财务审计专家比较研究,发现财务审计专家在 IT 环境下进行审计判断时会低估风险,即存在过度自信的迹象; 二是对影响行为的因素的研究。此类研究大多采用因素分析法。现有的研究是以认知心理学为基础,通过对不同类型审计人员的不同类别知识( 如 IT 知识、业务流程知识、一般的审计知识等) 和经历( 如 IT 经历、财务审计经历等) 的统计,分析影响 IT 环境下审计风险判断行为的关键因素。例如,Viator 和 Curtis ( 1998)[3]发现与 IT 相关的培训和经历是影响审计判断结果的关键因素,Curtis 和 Viator ( 2000)[4]的进一步研究表明与业务流程知识相关的 IT 培训和IT 经历更有助于 IT 环境下的内部控制风险判断,其重要性程度毫不逊色于会计知识和经历。钱玲( 2004)[5]的研究表明 IT 环境下的审计判断绩效受到计算机和财务审计两个领域的共同影响,但计算机领域的影响要更多些。计算机经历和计算机知识对内部控制风险判断有显着影响,但是两者之间没有显着差异。
然而目前对影响 IT 环境下审计判断行为的因素的研究主要以认知心理学为理论基础,关注的是专业领域的知识、经历、能力( 认知能力、心理特质等) 对审计人员判断绩效的影响( Viator 和 Cur-tis 1998[3]; Curtis 等,2009[6]; Leader,2004[7]; Wilkinson,2004[8]; 钱玲,2004[5] ) .认知心理学采用信息加工模型研究个体的认知过程。但这种建立在个体心理假定上的认知模型忽视了行为活动的社会性,有一定的局限性。与认知心理学同为心理学的主干的社会心理学研究的是人( 包括个体与群体) 在与社会交互作用中的社会心理现象及其从属的社会行为。社会心理受群体结构、群体环境等因素的制约。它会影响群体( 包括个体) 的行为。在 IT 环境下,人们在判断由 IT 引发的风险时有哪些社会心理特征? 这些心理特征是否也体现在审计人员身上? 并影响其审计风险判断行为? 如果能识别出审计人员群体中某一社会心理活动规律及其影响因素,那就可以借助群体的变化来改变个体的观念或行为习惯,从而提高审计判断的绩效。这比直接一个个地去改变个体要有效得多。
三、理论基础与研究假设
( 一) 理论基础
风险判断包括对风险产生的原因和对风险造成的结果的判断,而前者是后者的基础。风险的起因不同,对应的风险控制措施也不同。准确识别风险来源和评价相应的风险控制效果是审计人员正确判断被审单位剩余风险和审计风险的基础。对于 IT 环境下风险的来源,不同的群体有不同的观点。归纳和描述不同观点背后的社会心理特征需要借鉴技术社会学领域的研究成果。在技术社会学的文献中,人们探讨的核心是社会变革的决定因素。风险是变革的产物,因此变革的决定因素即为风险的来源。在技术社会学史上,人们在对技术所引发的社会变革的决定因素的判断中出现了三种认知范式: 技术决定论、技术的社会构建论、技术社会互构论。人们对 IT 环境下企业变革的决定因素的研究也沿袭了这三种认知范式。Markus( 1988)[9]、Desanctis 和 Poole( 1994)[10]依据人们对 IT 环境下企业变革的决定因素的不同选择,归纳出三个学派: 决策制定学派、制度学派、社会技术学派。
第一,决策制定学派。该学派沿袭技术决定论的观点,将 IT 视为企业变革的决定因素和变革产物---风险的决定因素。当企业导入 IT 之后,如果因 IT 没有实现预期目标而给企业带来风险,决策制定学派的研究者会将此风险归因于 IT 技术设计失败,或是技术执行中出错造成的。他们认为这些由 IT 技术产生的风险需要通过技术的手段来控制。
第二,制度学派。该学派沿袭技术社会构建论的观点,将组织( 企业) 视为引发风险的决定因素。IT 利益相关者的权力和政治行为在 IT 的设计、开发、实施中所扮演的角色的不同以及利益冲突是引发风险的决定因素。此学派认为在应对由 IT 引发的企业风险时,IT 不是根本性的手段,组织手段才是控制风险的关键。例如建立一套合理的组织制度以平衡利益相关者之间的冲突可以更有效地控制IT 风险。
第三,社会技术学派。该学派沿袭技术社会互构论的观点,认为除了技术因素和组织因素,运行IT 所引发的企业风险还取决于 IT 结构和组织结构的相互作用过程,即 IT 与组织的互构因素。因此IT 所引发的企业风险需要综合利用技术手段和组织手段予以集成控制。
( 二) 研究假设
思想指导行为。Markus( 1988)[9]与 Desanctis 和 Poole( 1994)[10]的研究结论揭示了不同研究群体对 IT 环境下风险的决定因素的识别和控制存在三种偏好。这三种认知偏好和行为偏好也同样存在于审计人员的认知和行为中。因此可以按照此标准将审计人员划分为三个子群体。
第一,体现决策制定学派心理特征的审计人员。此类审计人员认为 IT 技术因素是风险的驱动因素,因此在评价被审单位对相关风险的控制绩效时,更多的是针对技术控制实施评价。Adebayo 等( 2008)[11]在一项判断电子审计证据能否胜任审计证据质量要求的行为学研究中发现,部分审计人员判断电子证据是否可靠的依据是产生电子证据的 IT 在技术上是否可靠。此类审计人员将 IT 技术视为风险的决定因素。
第二,体现制度学派心理特征的审计人员。此类审计人员认为组织因素是 IT 环境下风险的驱动因素,他们在评价被审单位对 IT 风险的控制绩效时重点关注组织控制。Adebayo 等( 2008)[11]研究发现部分审计人员虽然也会检验 IT 的可靠性,但不会将其作为审计重点。他们重视的是对组织可靠性的测试。他们认为如果组织控制是有效的,那么 IT 的可靠性就会得到保障,电子证据就自然有证明力。总之,他们审计时主要依据财务审计准则,执行传统的审计方法,并把审计重点放在实质性测试上。此类审计人员将组织因素视为风险的决定因素。
第三,体现社会技术学派心理特征的审计人员。此类审计人员认为技术因素和组织因素相互作用地共同影响 IT 环境下的审计风险。依据社会技术学派的“调试性结构理论”将 IT 与组织互构因素分解为 IT 利益相关者、IT 流程、业务流程三个子元素( Desanctis 和 Poole,1994[10]; 郑煦平,2009[12]) .Adebayo( 2008) 等[11]的研究结果表明存在部分审计人员,他们不但将技术因素、组织因素都列为判断电子证据可靠性的依据,同时还强调技术与组织互构过程也是左右此风险的关键因素。
因此,本文假设: 在 IT 环境下,不同的审计人员在判断 IT 环境下的审计风险时存在三种类型的心理特征和行为偏好,分别与决策制定学派、制度学派、社会技术学派的心理特征和行为偏好相对应。
四、研究设计
( 一) 研究方法选择
在审计判断的研究中,案例分析方法、实验方法或调查问卷法是常用方法。案例分析法适用于定性研究; 实验方法需要在受控的环境下进行; 调查问卷法则是在自然情景下进行。本研究是针对 IT环境下审计人员的审计判断行为的定量分析,它要回答“是什么”的问题。由于实验方法难以操控研究所需的环境因素的变化。因此在自然状态下进行的调查问卷法更适用于本研究( Pinsonneault 和Kraemer,1993) .
同时,在信息系统领域,调查问卷研究方法也是常用的量化研究方法之一。因此,本文选择调查问卷研究方法。
( 二) 问卷指标设计和统计方法
行为体现思想。审计人员的不同行为偏好背后隐含不同的社会心理特征。根据技术社会学领域的理论,IT 环境下审计风险判断行为差异的焦点是审计人员对引发 IT 风险的三个决定因素所赋权重的差异。因此本研究将技术因素、组织因素、技术与组织互构因素具体化为三类代表性指标,并将其随机组成调查问卷。被调查者各自独立对每个指标的重要性程度评分。采用聚类分析方法依据被调查者的评价值分布情况,对审计人员行为偏好自动分类。自动分类结果将验证理论假设是否有效。
由于问卷调查的对象是我国注册会计师,为了增加问卷的可理解性,指标的设计和表达都优先参照“中国注册会计师审计准则”( 以下简称审计准则) .
1. 指标选择
第一,技术因素的指标。技术因素由技术风险和技术控制构成。技术风险包括技术结构风险和技术精神风险( Desanctis 和 Poole,1994)[10],技术控制包括硬件控制与软件控制。审计准则第 1211、1231 号中强调的技术因素大多是关于计算机程序和数据文件的安全性风险和控制技术,包括应用层面和 IT 基础设施服务层面。如访问授权、系统设计、信息处理和存储等相关环节上。通过专家访谈和小样本实验,最后确定“被审单位的防病毒软件是否及时升级”、“ 信息系统是否存在设计漏洞”、“企业信息系统的访问安全控制”、“企业信息系统是否有恰当的灾难恢复计划”为四个代表技术因素的指标。
第二,组织因素的指标。组织因素包括组织风险和组织控制。组织风险的根源是组织中的冲突和不协调( Desanctis 和 Poole,1994) .因此将“组织中各部门之间的利益冲突程度”作为组织因素的代表性指标之一。组织控制是缓解组织风险的有效手段,而内部控制环境是评价组织控制效果的关键指标。审计准则第 1211 号将内部控制定义为“控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施”.因此代表内部控制环境的“企业公司治理的特征”和“管理者的理念与经营风格”作为组织因素的另外两个代表性指标。
第三,IT 与组织互构因素的指标。IT 与组织互构因素包含 IT 利益相关者、IT 流程、业务流程三个子要素。因此将互构因素分化为两个子互构指标: ( 1) IT 流程与业务流程的互构指标。IT 流程无法支持业务流程运作会带来无效的访问、数据检测缺失等。这会导致收入确认不恰当、存货估价异常等,甚至是经营中断的风险( Wright 等,2002) .
审计准则第 1211 号第 98 条“IT 战略与经营战略不协调”和第 36 条“信息技术的运用及其可能导致的被审计单位信息系统与业务流程难以融合等风险”特别强调了此类风险。( 2) IT 利益相关者和流程( 包括 IT 流程和业务流程) 的互构指标。IT 利益相关者与流程的相互支持包括整体层面和个体层面。影响整体层面互构的关键因素为企业信息文化、IT 治理( 郑煦平,2009) .
IT 治理的可操作性衡量指标是各个领域高层管理人员的参与度与认同度( Janvrin 等,2009) .因此,“企业信息文化的特征”和“在制定 IT 战略时,各个领域的高层管理人员的参与程度与认同程度”入选调查指标。影响个体层面互构的关键因素是用户的 IT 技术接受度和所受的教育培训。Davis( 1989) 的“技术接受度模型”和 Seddon( 1997) 的“信息系统成功模型”表明用户满意度是衡量用户对 IT 接受度的最终指标。因此,“信息系统使用者对信息系统软件的满意度”成为衡量 IT 与组织互构风险的调查指标之一。提升用户的 IT 技术接受度,减少抵制 IT 风险的关键是让员工接受的专业教育和培训( Wright 等,2002) .
因此,“信息系统使用者所接受的与 IT 相关的教育和培训的程度”成为另一个代表性指标。
研究设计是将三种类型的指标混合起来编制成问卷。问卷的变量及其代表性指标的最终设置如表 1 所示①,其中变量 X10、X11、X12、X13代表技术性因素,变量 X3、X5、X9代表组织性因素,变量 X1、X2、X4、X6、X7、X8代表技术与组织互构因素。问卷中每个变量提供 6 个级别的重要性程度予以选择,对应的分值为 1 ~6 分,即“重要-6 分”“部分重要-5 分”、“轻微的重要-4 分”、“轻微的不重要-3分”、“部分不重要-2 分”、“不重要-1 分”.
2. 统计方法---聚类分析法
聚类分析法是将样本或变量进行分类的一种多元统计分析法( 柯惠新,等,2005)[15].本研究是根据样本的多个指标变量的数据值对样本进行聚类分析。此种自然分类结果较传统分类结果更全面、客观。本文选择变差平方和法进行聚类分析,也叫沃德法。
3. 样本与数据来源
本次调查问卷的发放对象是随机抽取参加由中国注协主办的执业会员后续教育培训的注册会计师( 培训地点: 厦门国家会计学院) .由于培训是由全国各地会员自主报名参加的,因此在样本上具有较好的随机性。本次调查共发放 163 份问卷,回收 133 份,有效问卷为 121 份。问卷的有效回收率为 74. 23%.
五、研究结果和分析
( 一) 调查问卷的信度和效度分析
评价问卷设计质量的工具是问卷中量表的信度检验和效度检验。
第一,信度检验。检验结果表明问卷的 Cronbach's α 系数为 0. 868.此系数大于 0. 7 说明此问卷的信度检验符合要求。
第二,效度检验。效度是指使用的测量工具能够正确衡量出研究者所欲了解的事物的程度。效度检验具体又可分为内容效度与结构效度。( 1) 内容效度。内容效度是检验由概念到测量指标的推导过程是否符合逻辑。依照 Straub( 1989) 的评价标准,本研究是借鉴技术社会学领域的研究结论进行问卷设计,有严谨的理论基础,具有较高的内容效度。( 2) 结构效度。“效度分析最理想的方法是利用因子分析来测量量表的结构效度。”①( 柯惠新等,2005)[15],统计结果中主成分因子的 KMO 值为0. 847.这表明问卷调查数据适合做因子分析。表 2 的主成分因子分析表是问卷量表的因子分析结果。落在因子 1 上的是 X10、X11、X12、X13四个技术因素指标,因子载荷在 0. 782 ~0. 841 之间; 落在因子2 上的是 X1、X2、X4、X6、X7、X8六个互构因素指标,因子载荷在 0. 550 ~0. 864 之间; 落在因子 3 上的是X3、X5、X9三个组织因素指标,因子载荷在0. 689 ~0. 868 之间。统计结果显示3 个主成分因子包含13个自变量 68. 599%的信息。因此本研究的问卷测量指标基本满足结构效度的要求。
( 二) 问卷调查结果分析。
在聚类分析中,分类对象可以是样本也可以是变量。本文采用的是对样本进行分类。问卷调查的样本通过聚类分析法被自动划分为三类。表3“三类人员的各个要素指标均值和不同类的同一指标均值相互之间差异的显着性结果”揭示了各类审计人员对不同要素指标的判断均值,以及不同类审计人员在同一要素指标上均值之间差异的 T - Test 检验结果。
从表 3 的统计分析结果可以得出以下几点结论:
第一,类型一与类型二的比较分析。( 1) 在技术与组织互构因素指标 X4、X6,以及技术因素指标X10、X11上类型一的均值大于类型二的均值,并存在显着性差异。由此可见相对于类型二,类型一的注册会计师更重视考虑技术与组织互构因素和技术因素对 IT 环境下审计风险的影响。( 2) 在组织因素指标上,类型一与类型二没有显着性差异,都重视此因素的影响。
第二,类型一与类型三的比较分析。( 1) 在全部的技术与组织互构因素指标以及组织因素指标X3、X5上,类型一的均值显着大于类型三的均值。即相对于类型三,类型一更重视考虑技术与组织互构因素和组织因素对 IT 风险的影响。( 2) 在技术因素指标 X10、X11上,类型一与类型三没有显着性差异,所认定的重要性水平都较高。虽然在变量 X12上的 T 检验值小于0. 1,但各自均值为5. 49 与5. 75,都属于“部分重要”水平。因此两类人员都重视技术因素的影响。
第三,类型二与类型三的比较分析。( 1) 在技术因素指标 X10、X11、X12上,类型三的均值显着大于类型二的均值。( 2) 在组织因素指标 X3、X5上,类型二的均值显着性大于类型三的均值。由以上两点可得类型二更偏好选择组织因素,类型三更偏好选择技术因素。( 3) 在技术与组织互构因素指标上,虽然两类在 X2、X8上存在显着性差异,但在此类指标上,类型二和类型三的均值都属于“轻微的不重要”和“部分不重要”的范围。因此,可知类型二和类型三都不重视技术与组织互构因素。
综合聚类分析结果,可得出以下结论: ( 1) 划分入类型二的注册会计师在判断 IT 环境下的审计风险时偏好考虑组织性因素,对于技术性因素和技术与组织互构因素则考虑的较少。因此,归属于类型二的注册会计师在 IT 环境下的心理特征和行为偏好与制度学派的观点接近,即倾向于组织决定论;( 2) 划分入类型三的注册会计师在 IT 环境下偏好考虑技术性因素,对于组织性因素和技术与组织互构因素则考虑的较少。因此,归属于类型三的注册会计师在 IT 环境下的心理特征和行为特征更接近于决策制定学派的观点,即倾向于技术决定论。( 3) 划分入类型一的注册会计师在 IT 环境下能综合考虑技术性因素、组织性因素以及技术与组织互构因素。因此,归属于类型一的注册会计师在 IT 环境下的心理特征和行为偏好接近于社会技术学派观点,即倾向于技术社会互构论。
六、结论及展望
实证结果验证了经由理论分析得出的研究假设,即在 IT 环境下,审计人员在判断审计风险时存在三种行为偏好和社会心理特征。它们分别与支持技术决定论的决策制定学派、支持组织决定论的制度学派、支持技术社会互构论的社会技术学派的行为偏好和心理特征相一致。本文对审计人员在IT 环境下的社会心理特征的识别不是研究的结束。相反,它为后续研究打开了新的窗口。认知心理学和社会心理学同为心理学的主干。但认知心理学研究强调知识的作用,因此基于认知心理学的传统研究旨在寻找更有利于提高 IT 环境下审计判断绩效的关键性知识。有针对性地提高审计人员对这些关键性知识的掌握程度可以更有效地降低 IT 环境下的审计风险。传统研究的弊端在于忽视了审计行为的社会性,此局限性使其在提升审计人员的判断绩效上贡献有限。
本研究是从社会心理学视角指出审计判断行为具有社会性,同时借助技术社会学领域的研究成果归纳出 IT 环境下审计风险判断行为背后的社会心理特征,并得到了调查研究结果的实证检验。社会心理学新视角的研究是对当前研究的补充。对审计人员的社会心理活动的规律的掌握有助于预见审计人员的社会行为和解决由社会行为引起的审计风险问题。后期可以对影响审计人员社会心理活动的因素展开进一步研究,寻找纠正审计人员的主观认知偏差,提高审计判断绩效的可操作性指标。
参考文献:
[1] Wright S,A M Wright. Information System Assurance for Enterprise Resource Planning Systems: UniqueRisk Considerations[J]. Journal of Information Systems,2002,( 16) : 99 - 113.
[2] Hunton J E,A M Wright,S Wright. Are Financial Auditors Overconfident in their Ability to Assess RisksAssociated with Enterprise Resource Planning Systems? [J]. Journal of Information Systems,2004,( 2 ) : 7- 28.
[3] Viator R E,M B Curtis. Computer Auditor Reliance on Automated and Non - automated Controls as a Func-tion of Training and Experience[J]. Journal of Information Systems,1998,( 1) : 19 – 30.[4] Curtis M B,R E Viator. An Investigation of Multidimensional Knowledge Structure and Computer AuditorPerformance[J]. Auditing: A Journal of Practice & Theory,2000,( 2) : 83 – 103.
[5] 钱玲。 电算化审计判断研究---经历、知识、能力和电算化审计判断业绩的实证研究[M]. 上海: 上海财经大学出版社,2004:15.
[6] Curtis M B,J G Jenkins,J C Bedard,D R Deis. Auditors' Training and Proficiency in Information Systems:A Research Synthesis[J]. International Journal of Accounting Information Systems,2009,( 9) : 104 - 121.
[7] Leader B. Discussion of IT Assurance Competencies[J]. International Journal of Accounting Information Sys-tems,2004,( 2) : 275 - 279.
[8] Wilkinson D. The CICA's IT Competency Model[J]. International Journal of Accounting Information Systems,2004,( 2) : 245 - 250.
[9] Markus M L,D Robey. Information Technology and Organizational Change: Causal Structure in Theory andResearch[J]. Management Science,1988,( 5) : 583 - 598.
[10] Desanctis G,M S Poole. Capturing the Complexity in Advanced Technology Use: Adaptive StructurationTheory[J]. Organization Science,1994,( 2) : 121 - 147.
[11] Adebayo O A,S L Allen,Epps R W. Developing a Theory of Auditing Behavior in the Electronic BusinessEnviroment[J]. Journal of Theoretical Accounting Research,2008,( 1) : 38 - 82.
[12] 郑煦平。 IT 环境下的审计风险判断[D]. 厦门: 厦门大学,2009.
[13] Pinsonneault A,K Kraemer. Survey Research Methodology in Management Information Systems: An As-sessment[J]. Journal of Management Information Systems,1993,( 2) : 75 - 106.
[14] Janvrin D,J Bierstaker,D J Lowe. An Investigation of Factors Influencing the Use of Computer - RelatedAudit Procedures[J]. Journal of Information Systems,2009,( 1) : 97 - 119.
[15] 柯惠新,沈浩。 调查研究中的统计分析法( 第二版) [M]. 北京: 中国传媒大学出版社,2005:340.
[16] 董卉娜,朱志雄。 审计委员会特征对上市公司内部控制缺陷的影响[J]. 山西财经大学学报,2012,( 1) .
[17] 李建标,任雪。 财务舞弊公司的审计风险能识别吗---会计师事务所和上市公司治理的双重因素[J]. 山西财经大学学报,2012,( 2) .
