IT环境下审计风险判断偏好的实证研究

郑煦平，阳 杰

(1.福州大学管理学院，福州 350108;2.温州大学城市学院，浙江 温州 325035)

一、引言

风险的存在是客观的，但风险的判断是主观的。IT环境下的审计风险亦是如此。如何从主观角度入手，减少审计风险判断偏误，提高审计风险判断绩效成为研究的重点。传统的以认知心理学为基础的IT环境下审计判断行为研究表明审计判断绩效受知识、能力、经历等要素的影响。但以认知心理学为基础的研究忽视了审计行为的社会性。在与社会的交互作用中，审计人员的风险判断行为受时代背景的影响。因此，现存的在IT环境下进行风险判断的社会心理特征将映射在审计人员身上，并影响其审计风险判断行为。那么，现存的在IT环境下进行风险判断的社会心理特征是什么?不同心理特征对应的审计行为是什么?这正是本文要探究的问题。

二、文献回顾

在审计文献中，对IT环境下的审计判断行为的研究主要包括两个方面:一是对审计风险判断行为结果的研究。此类研究大多采用统计分析和比较分析法，如Wright等(2002)［1］通过对会计师事务所专家的调查，识别专家在审计ERP系统时的重点关注的风险点;Hunton等(2004)［2］通过对IT审计专家和财务审计专家比较研究，发现财务审计专家在IT环境下进行审计判断时会低估风险，即存在过度自信的迹象;二是对影响行为的因素的研究。此类研究大多采用因素分析法。现有的研究是以认知心理学为基础，通过对不同类型审计人员的不同类别知识(如IT知识、业务流程知识、一般的审计知识等)和经历(如IT经历、财务审计经历等)的统计，分析影响IT环境下审计风险判断行为的关键因素。例如，Viator和Curtis(1998)［3］发现与IT相关的培训和经历是影响审计判断结果的关键因素，Curtis和Viator(2000)［4］的进一步研究表明与业务流程知识相关的IT培训和IT经历更有助于IT环境下的内部控制风险判断，其重要性程度毫不逊色于会计知识和经历。钱玲(2004)［5］的研究表明IT环境下的审计判断绩效受到计算机和财务审计两个领域的共同影响，但计算机领域的影响要更多些。计算机经历和计算机知识对内部控制风险判断有显著影响，但是两者之间没有显著差异。

然而目前对影响IT环境下审计判断行为的因素的研究主要以认知心理学为理论基础，关注的是专业领域的知识、经历、能力(认知能力、心理特质等)对审计人员判断绩效的影响(Viator和Curtis 1998［3］;Curtis等，2009［6］;Leader，2004［7］;Wilkinson，2004［8］;钱玲，2004［5］)。认知心理学采用信息加工模型研究个体的认知过程。但这种建立在个体心理假定上的认知模型忽视了行为活动的社会性，有一定的局限性。与认知心理学同为心理学的主干的社会心理学研究的是人(包括个体与群体)在与社会交互作用中的社会心理现象及其从属的社会行为。社会心理受群体结构、群体环境等因素的制约。它会影响群体(包括个体)的行为。在IT环境下，人们在判断由IT引发的风险时有哪些社会心理特征?这些心理特征是否也体现在审计人员身上?并影响其审计风险判断行为?如果能识别出审计人员群体中某一社会心理活动规律及其影响因素，那就可以借助群体的变化来改变个体的观念或行为习惯，从而提高审计判断的绩效。这比直接一个个地去改变个体要有效得多。

三、理论基础与研究假设

(一)理论基础

风险判断包括对风险产生的原因和对风险造成的结果的判断，而前者是后者的基础。风险的起因不同，对应的风险控制措施也不同。准确识别风险来源和评价相应的风险控制效果是审计人员正确判断被审单位剩余风险和审计风险的基础。对于IT环境下风险的来源，不同的群体有不同的观点。归纳和描述不同观点背后的社会心理特征需要借鉴技术社会学领域的研究成果。在技术社会学的文献中，人们探讨的核心是社会变革的决定因素。风险是变革的产物，因此变革的决定因素即为风险的来源。在技术社会学史上，人们在对技术所引发的社会变革的决定因素的判断中出现了三种认知范式:技术决定论、技术的社会构建论、技术社会互构论。人们对IT环境下企业变革的决定因素的研究也沿袭了这三种认知范式。Markus(1988)［9］、Desanctis和Poole(1994)［10］依据人们对IT环境下企业变革的决定因素的不同选择，归纳出三个学派:决策制定学派、制度学派、社会技术学派。

第一，决策制定学派。该学派沿袭技术决定论的观点，将IT视为企业变革的决定因素和变革产物——风险的决定因素。当企业导入IT之后，如果因IT没有实现预期目标而给企业带来风险，决策制定学派的研究者会将此风险归因于IT技术设计失败，或是技术执行中出错造成的。他们认为这些由IT技术产生的风险需要通过技术的手段来控制。

第二，制度学派。该学派沿袭技术社会构建论的观点，将组织(企业)视为引发风险的决定因素。IT利益相关者的权力和政治行为在IT的设计、开发、实施中所扮演的角色的不同以及利益冲突是引发风险的决定因素。此学派认为在应对由IT引发的企业风险时，IT不是根本性的手段，组织手段才是控制风险的关键。例如建立一套合理的组织制度以平衡利益相关者之间的冲突可以更有效地控制IT风险。

第三，社会技术学派。该学派沿袭技术社会互构论的观点，认为除了技术因素和组织因素，运行IT所引发的企业风险还取决于IT结构和组织结构的相互作用过程，即IT与组织的互构因素。因此IT所引发的企业风险需要综合利用技术手段和组织手段予以集成控制。

(二)研究假设

思想指导行为。Markus(1988)［9］与Desanctis和Poole(1994)［10］的研究结论揭示了不同研究群体对IT环境下风险的决定因素的识别和控制存在三种偏好。这三种认知偏好和行为偏好也同样存在于审计人员的认知和行为中。因此可以按照此标准将审计人员划分为三个子群体。

第一，体现决策制定学派心理特征的审计人员。此类审计人员认为IT技术因素是风险的驱动因素，因此在评价被审单位对相关风险的控制绩效时，更多的是针对技术控制实施评价。Adebayo等(2008)［11］在一项判断电子审计证据能否胜任审计证据质量要求的行为学研究中发现，部分审计人员判断电子证据是否可靠的依据是产生电子证据的IT在技术上是否可靠。此类审计人员将IT技术视为风险的决定因素。

第二，体现制度学派心理特征的审计人员。此类审计人员认为组织因素是IT环境下风险的驱动因素，他们在评价被审单位对IT风险的控制绩效时重点关注组织控制。Adebayo等(2008)［11］研究发现部分审计人员虽然也会检验IT的可靠性，但不会将其作为审计重点。他们重视的是对组织可靠性的测试。他们认为如果组织控制是有效的，那么IT的可靠性就会得到保障，电子证据就自然有证明力。总之，他们审计时主要依据财务审计准则，执行传统的审计方法，并把审计重点放在实质性测试上。此类审计人员将组织因素视为风险的决定因素。

第三，体现社会技术学派心理特征的审计人员。此类审计人员认为技术因素和组织因素相互作用地共同影响IT环境下的审计风险。依据社会技术学派的“调试性结构理论”将IT与组织互构因素分解为IT利益相关者、IT流程、业务流程三个子元素(Desanctis和Poole，1994［10］;郑煦平，2009［12］)。Adebayo(2008)等［11］的研究结果表明存在部分审计人员，他们不但将技术因素、组织因素都列为判断电子证据可靠性的依据，同时还强调技术与组织互构过程也是左右此风险的关键因素。

因此，本文假设:在IT环境下，不同的审计人员在判断IT环境下的审计风险时存在三种类型的心理特征和行为偏好，分别与决策制定学派、制度学派、社会技术学派的心理特征和行为偏好相对应。

四、研究设计

(一)研究方法选择

在审计判断的研究中，案例分析方法、实验方法或调查问卷法是常用方法。案例分析法适用于定性研究;实验方法需要在受控的环境下进行;调查问卷法则是在自然情景下进行。本研究是针对IT环境下审计人员的审计判断行为的定量分析，它要回答“是什么”的问题。由于实验方法难以操控研究所需的环境因素的变化。因此在自然状态下进行的调查问卷法更适用于本研究(Pinsonneault和Kraemer，1993)。［13］同时，在信息系统领域，调查问卷研究方法也是常用的量化研究方法之一。因此，本文选择调查问卷研究方法。

(二)问卷指标设计和统计方法

行为体现思想。审计人员的不同行为偏好背后隐含不同的社会心理特征。根据技术社会学领域的理论，IT环境下审计风险判断行为差异的焦点是审计人员对引发IT风险的三个决定因素所赋权重的差异。因此本研究将技术因素、组织因素、技术与组织互构因素具体化为三类代表性指标，并将其随机组成调查问卷。被调查者各自独立对每个指标的重要性程度评分。采用聚类分析方法依据被调查者的评价值分布情况，对审计人员行为偏好自动分类。自动分类结果将验证理论假设是否有效。由于问卷调查的对象是我国注册会计师，为了增加问卷的可理解性，指标的设计和表达都优先参照“中国注册会计师审计准则”(以下简称审计准则)。①本文在设计调查问卷时尽量用审计准则中既有的规范条文，以便于被调查的审计人员的理解。

1.指标选择

第一，技术因素的指标。技术因素由技术风险和技术控制构成。技术风险包括技术结构风险和技术精神风险(Desanctis和Poole，1994)［10］，技术控制包括硬件控制与软件控制。审计准则第1211、1231号中强调的技术因素大多是关于计算机程序和数据文件的安全性风险和控制技术，包括应用层面和IT基础设施服务层面。如访问授权、系统设计、信息处理和存储等相关环节上。通过专家访谈和小样本实验，最后确定“被审单位的防病毒软件是否及时升级”、“信息系统是否存在设计漏洞”、“企业信息系统的访问安全控制”、“企业信息系统是否有恰当的灾难恢复计划”为四个代表技术因素的指标。

第二，组织因素的指标。组织因素包括组织风险和组织控制。组织风险的根源是组织中的冲突和不协调(Desanctis和Poole，1994)。［10］因此将“组织中各部门之间的利益冲突程度”作为组织因素的代表性指标之一。组织控制是缓解组织风险的有效手段，而内部控制环境是评价组织控制效果的关键指标。审计准则第1211号将内部控制定义为“控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施”。因此代表内部控制环境的“企业公司治理的特征”和“管理者的理念与经营风格”作为组织因素的另外两个代表性指标。

第三，IT与组织互构因素的指标。IT与组织互构因素包含IT利益相关者、IT流程、业务流程三个子要素。因此将互构因素分化为两个子互构指标:(1)IT流程与业务流程的互构指标。IT流程无法支持业务流程运作会带来无效的访问、数据检测缺失等。这会导致收入确认不恰当、存货估价异常等，甚至是经营中断的风险(Wright等，2002)。［1］审计准则第1211号第98条“IT战略与经营战略不协调”和第36条“信息技术的运用及其可能导致的被审计单位信息系统与业务流程难以融合等风险”特别强调了此类风险。(2)IT利益相关者和流程(包括IT流程和业务流程)的互构指标。IT利益相关者与流程的相互支持包括整体层面和个体层面。影响整体层面互构的关键因素为企业信息文化、IT治理(郑煦平，2009)。［12］IT治理的可操作性衡量指标是各个领域高层管理人员的参与度与认同度(Janvrin等，2009)。［14］因此，“企业信息文化的特征”和“在制定IT战略时，各个领域的高层管理人员的参与程度与认同程度”入选调查指标。影响个体层面互构的关键因素是用户的IT技术接受度和所受的教育培训。Davis(1989)的“技术接受度模型”和Seddon(1997)的“信息系统成功模型”表明用户满意度是衡量用户对IT接受度的最终指标。因此，“信息系统使用者对信息系统软件的满意度”成为衡量IT与组织互构风险的调查指标之一。提升用户的IT技术接受度，减少抵制IT风险的关键是让员工接受的专业教育和培训(Wright等，2002)。［1］因此，“信息系统使用者所接受的与IT相关的教育和培训的程度”成为另一个代表性指标。

研究设计是将三种类型的指标混合起来编制成问卷。问卷的变量及其代表性指标的最终设置如表 1 所示①限于篇幅，原版问卷未附在文章后面，原版问卷留存，可以向作者索取。，其中变量 X10、X11、X12、X13代表技术性因素，变量 X3、X5、X9代表组织性因素，变量 X1、X2、X4、X6、X7、X8代表技术与组织互构因素。问卷中每个变量提供6个级别的重要性程度予以选择，对应的分值为1～6分，即“重要—6分”“部分重要—5分”、“轻微的重要—4分”、“轻微的不重要—3分”、“部分不重要—2分”、“不重要—1分”。

2.统计方法——聚类分析法

聚类分析法是将样本或变量进行分类的一种多元统计分析法(柯惠新，等，2005)［15］。本研究是根据样本的多个指标变量的数据值对样本进行聚类分析。此种自然分类结果较传统分类结果更全面、客观。本文选择变差平方和法进行聚类分析，也叫沃德法。

3.样本与数据来源

本次调查问卷的发放对象是随机抽取参加由中国注协主办的执业会员后续教育培训的注册会计师(培训地点:厦门国家会计学院)。由于培训是由全国各地会员自主报名参加的，因此在样本上具有较好的随机性。本次调查共发放163份问卷，回收133份，有效问卷为121份。问卷的有效回收率为74.23%。

表1 问卷的变量

五、研究结果和分析

(一)调查问卷的信度和效度分析

评价问卷设计质量的工具是问卷中量表的信度检验和效度检验。

第一，信度检验。检验结果表明问卷的Cronbach’s α系数为0.868。此系数大于0.7说明此问卷的信度检验符合要求。

表2 评价IT环境下的审计风险时考虑的因素的主成分因子分析(旋转后)

第二，效度检验。效度是指使用的测量工具能够正确衡量出研究者所欲了解的事物的程度。效度检验具体又可分为内容效度与结构效度。(1)内容效度。内容效度是检验由概念到测量指标的推导过程是否符合逻辑。依照Straub(1989)的评价标准，本研究是借鉴技术社会学领域的研究结论进行问卷设计，有严谨的理论基础，具有较高的内容效度。(2)结构效度。“效度分析最理想的方法是利用因子分析来测量量表的结构效度。”①研究者在设计问卷和量表时实际上是假设有某种结构存在的，通过因子分析可以考察所用的量表是否能测量出真正的结构，从而也验证研究者的假设是否成立。(柯惠新等，2005)［15］，统计结果中主成分因子的KMO值为0.847。这表明问卷调查数据适合做因子分析。表2的主成分因子分析表是问卷量表的因子分析结果。落在因子1上的是X10、X11、X12、X13四个技术因素指标，因子载荷在0.782～0.841之间;落在因子2上的是 X1、X2、X4、X6、X7、X8六个互构因素指标，因子载荷在0.550～0.864之间;落在因子3上的是X3、X5、X9三个组织因素指标，因子载荷在0.689～0.868之间。统计结果显示3个主成分因子包含13个自变量68.599%的信息。因此本研究的问卷测量指标基本满足结构效度的要求。

(二)问卷调查结果分析

在聚类分析中，分类对象可以是样本也可以是变量。本文采用的是对样本进行分类。问卷调查的样本通过聚类分析法被自动划分为三类。表3“三类人员的各个要素指标均值和不同类的同一指标均值相互之间差异的显著性结果”揭示了各类审计人员对不同要素指标的判断均值，以及不同类审计人员在同一要素指标上均值之间差异的T-Test检验结果。

表3 三类人员的各个指标均值和不同类的同一指标均值相互之间差异的显著性结果

从表3的统计分析结果可以得出以下几点结论:

第一，类型一与类型二的比较分析。(1)在技术与组织互构因素指标X4、X6，以及技术因素指标X10、X11上类型一的均值大于类型二的均值，并存在显著性差异。由此可见相对于类型二，类型一的注册会计师更重视考虑技术与组织互构因素和技术因素对IT环境下审计风险的影响。(2)在组织因素指标上，类型一与类型二没有显著性差异，都重视此因素的影响。

第二，类型一与类型三的比较分析。(1)在全部的技术与组织互构因素指标以及组织因素指标X3、X5上，类型一的均值显著大于类型三的均值。即相对于类型三，类型一更重视考虑技术与组织互构因素和组织因素对IT风险的影响。(2)在技术因素指标X10、X11上，类型一与类型三没有显著性差异，所认定的重要性水平都较高。虽然在变量X12上的T检验值小于0.1，但各自均值为5.49与5.75，都属于“部分重要”水平。因此两类人员都重视技术因素的影响。

第三，类型二与类型三的比较分析。(1)在技术因素指标X10、X11、X12上，类型三的均值显著大于类型二的均值。(2)在组织因素指标X3、X5上，类型二的均值显著性大于类型三的均值。由以上两点可得类型二更偏好选择组织因素，类型三更偏好选择技术因素。(3)在技术与组织互构因素指标上，虽然两类在X2、X8上存在显著性差异，但在此类指标上，类型二和类型三的均值都属于“轻微的不重要”和“部分不重要“的范围。因此，可知类型二和类型三都不重视技术与组织互构因素。

综合聚类分析结果，可得出以下结论:(1)划分入类型二的注册会计师在判断IT环境下的审计风险时偏好考虑组织性因素，对于技术性因素和技术与组织互构因素则考虑的较少。因此，归属于类型二的注册会计师在IT环境下的心理特征和行为偏好与制度学派的观点接近，即倾向于组织决定论;(2)划分入类型三的注册会计师在IT环境下偏好考虑技术性因素，对于组织性因素和技术与组织互构因素则考虑的较少。因此，归属于类型三的注册会计师在IT环境下的心理特征和行为特征更接近于决策制定学派的观点，即倾向于技术决定论。(3)划分入类型一的注册会计师在IT环境下能综合考虑技术性因素、组织性因素以及技术与组织互构因素。因此，归属于类型一的注册会计师在IT环境下的心理特征和行为偏好接近于社会技术学派观点，即倾向于技术社会互构论。

六、结论及展望

实证结果验证了经由理论分析得出的研究假设，即在IT环境下，审计人员在判断审计风险时存在三种行为偏好和社会心理特征。它们分别与支持技术决定论的决策制定学派、支持组织决定论的制度学派、支持技术社会互构论的社会技术学派的行为偏好和心理特征相一致。本文对审计人员在IT环境下的社会心理特征的识别不是研究的结束。相反，它为后续研究打开了新的窗口。认知心理学和社会心理学同为心理学的主干。但认知心理学研究强调知识的作用，因此基于认知心理学的传统研究旨在寻找更有利于提高IT环境下审计判断绩效的关键性知识。有针对性地提高审计人员对这些关键性知识的掌握程度可以更有效地降低IT环境下的审计风险。传统研究的弊端在于忽视了审计行为的社会性，此局限性使其在提升审计人员的判断绩效上贡献有限。［16～17］本研究是从社会心理学视角指出审计判断行为具有社会性，同时借助技术社会学领域的研究成果归纳出IT环境下审计风险判断行为背后的社会心理特征，并得到了调查研究结果的实证检验。社会心理学新视角的研究是对当前研究的补充。对审计人员的社会心理活动的规律的掌握有助于预见审计人员的社会行为和解决由社会行为引起的审计风险问题。后期可以对影响审计人员社会心理活动的因素展开进一步研究，寻找纠正审计人员的主观认知偏差，提高审计判断绩效的可操作性指标。

［1］Wright S，A M Wright.Information System Assurance for Enterprise Resource Planning Systems：Unique Risk Considerations［J］.Journal of Information Systems，2002，(16)：99-113.

［2］Hunton J E，A M Wright，S Wright.Are Financial Auditors Overconfident in their Ability to Assess Risks Associated with Enterprise Resource Planning Systems? ［J］.Journal of Information Systems，2004，(2)：7-28.

［3］Viator R E，M B Curtis.Computer Auditor Reliance on Automated and Non-automated Controls as a Function of Training and Experience［J］.Journal of Information Systems，1998，(1)：19 – 30.

［4］Curtis M B，R E Viator.An Investigation of Multidimensional Knowledge Structure and Computer Auditor Performance［J］.Auditing：A Journal of Practice ＆ Theory，2000，(2)：83 – 103.

［5］钱玲.电算化审计判断研究——经历、知识、能力和电算化审计判断业绩的实证研究［M］.上海：上海财经大学出版社，2004：15.

［6］Curtis M B，J G Jenkins，J C Bedard，D R Deis.Auditors'Training and Proficiency in Information Systems：A Research Synthesis［J］.International Journal of Accounting Information Systems，2009，(9)：104-121.

［7］Leader B.Discussion of IT Assurance Competencies［J］.International Journal of Accounting Information Systems，2004，(2)：275-279.

［8］Wilkinson D.The CICA's IT Competency Model［J］.International Journal of Accounting Information Systems，2004，(2)：245-250.

［9］Markus M L，D Robey.Information Technology and Organizational Change：Causal Structure in Theory and Research［J］.Management Science，1988，(5)：583-598.

［10］Desanctis G，M S Poole.Capturing the Complexity in Advanced Technology Use：Adaptive Structuration Theory［J］.Organization Science，1994，(2)：121-147.

［11］Adebayo O A，S L Allen，Epps R W.Developing a Theory of Auditing Behavior in the Electronic Business Enviroment［J］.Journal of Theoretical Accounting Research，2008，(1)：38-82.

［12］郑煦平.IT环境下的审计风险判断［D］.厦门：厦门大学，2009.

［13］Pinsonneault A，K Kraemer.Survey Research Methodology in Management Information Systems：An Assessment［J］.Journal of Management Information Systems，1993，(2)：75-106.

［14］Janvrin D，J Bierstaker，D J Lowe.An Investigation of Factors Influencing the Use of Computer-Related Audit Procedures［J］.Journal of Information Systems，2009，(1)：97-119.

［15］柯惠新，沈浩.调查研究中的统计分析法(第二版)［M］.北京：中国传媒大学出版社，2005：340.

［16］董卉娜，朱志雄.审计委员会特征对上市公司内部控制缺陷的影响［J］.山西财经大学学报，2012，(1).

［17］李建标，任雪.财务舞弊公司的审计风险能识别吗——会计师事务所和上市公司治理的双重因素［J］.山西财经大学学报，2012，(2).