谈信息系统审计规范制定的路径选择,本文主要内容关键词为:信息系统论文,路径论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着现代信息技术在企业经营管理中的应用,信息系统审计也逐步成为我国实务界与学术界所关注的重点,但同西方发达国家相比,我国信息系统审计仍然存在着制度与规范建设滞后的现象。面对复杂的计算机信息系统与错综复杂的数据应如何审计,信息系统审计人员在实务操作中应遵循什么样的规范,至今尚未形成统一的标准。这不仅与我国信息系统审计规范起步晚和技术落后紧密相关,同时信息系统审计规范制定中的路径依赖也阻碍了我国信息系统审计规范的建设。本文将基于路径依赖理论对信息系统审计规范的路径选择问题进行研究。
一、制度变迁中的路径依赖理论
制度变迁中的路径依赖理论经过二十多年的发展,经过许多制度研究者的完善,已经从诺思(1990)开创的制度变迁的路径依赖理论,形成了一个关于制度路径依赖过程的基本分析框架(皮天雷,2009)。Woerdman(2004)认为,制度变迁过程有其自身的特殊性,制度路径依赖过程有其特殊的含义,在确定形成制度路径依赖的各种自增强机制时,要和技术路径依赖过程进行区别。伍尔德曼分析了转换成本、递减的运行成本、网络外部性、学习效应、适应性预期、正式的法律约束、非正式的文化约束、既得利益约束、人们的主观理解以及解决问题的能力等十种自增强机制发挥作用的途径,提供了判别自增强机制的方法,并且对这十种自增强机制在制度路径依赖过程中的作用进行了分析(如图1所示)。
图1 Woerdman的自增强机制关系
Woerdman认为转换成本、运行成本和解决问题的能力是造成制度锁定的关键因素,正式的法律约束、非正式的文化约束和既得利益约束不直接造成制度锁定,但它们决定了转换成本的大小,从而起到强化或者减弱制度锁定效应的作用,网络外部性和学习效应也不直接造成制度锁定,它们决定运行成本的大小,人们的主观理解和适应性预期是更次要的机制,它们通过影响以上八种机制起作用。各种白增强机制之间并不相互排斥,它们彼此影响,以复杂的方式形成合力,推动动态系统走向路径依赖。
基于对自增强机制的认识,诺思(1990)认为路径依赖有两种极端形式:一种是一旦走上了某一条路径,系统的外部性、组织的学习过程及主观模型便会强化这一轨迹,一种适应性的有效制度演进轨迹将允许组织在环境的不确定下选择最大化目标,进行试验,建立反馈机制,去识别并消除无效的选择,保护组织产权,进而促进长期的经济增长;另一种是在起始阶段带来报酬递增的制度,当阻碍了生产活动的发展并从中获利的利益集团为了既得利益尽力维护它,此时这个社会陷入无效制度安排,“锁定”在某种无效率的状态下而导致停滞。诺斯认为,除这两种制度变迁的极端形式外,还有其他一些中间性的情形和方式。路径依赖类似于物理学中的“惯性”,一旦进入某一路径就可能对这种路径产生依赖。其原因是:制度变迁过程与技术变迁过程一样,存在着报酬递增和自我强化的机制。这种机制使制度变迁一旦走上某一路径,它的既定方向会在以后的发展中得到自我强化。所以人们过去做出的选择决定了他们现在可能的选择。沿着既定的路径,经济和政治制度的变化可能进入良性循环的轨道,迅速优化;也可能顺着原来错误路径往下滑,甚至被“锁定”在某种无效率的状态下而导致停滞。一旦进入了锁定状态,要脱身而出就会变得十分困难,要打破这种制度“锁定状态”,其条件取决于形成自我强化机制的各种因素的性质。因此,路径依赖对制度变迁有极强的制约作用,信息系统审计规范的制度变迁也不例外。
二、信息系统审计规范制定的困境
路径依赖理论提醒我们在信息系统审计规范的制定过程中不要忘记历史。在审计准则的制定方面,国家审计准则的提供机构是国家审计署,内部审计准则的提供机构是中国内部审计协会,而注册会计师审计准则的提供机构是中国注册会计师协会。这种审计准则的提供模式决定了在信息系统审计规范的提供方面也是由不同准则机构各自提供与信息系统审计相关的准则。伍尔德曼(2004)认为转换成本、运行成本和解决问题的能力是造成制度锁定的关键因素。在我国信息系统审计规范的制定方面同样如此。在我国,信息系统审计还未纳入到强制审计的范畴,在信息系统审计规范的制定方面缺乏必要的动力机制,审计准则制定机构在审计准则制定方面的重点还是在财务审计方面,各种资源也主要投向财务审计准则的制定,还未转移到对产生财务信息的信息系统审计上来,导致审计准则制定机构在制定与颁布信息系统审计规范方面的能力相当有限。若要转向信息系统审计规范的制定,现有的准则制定资源不能满足信息系统审计规范的制定,准则制定机构必然会重新投入人力、物力和财力等资源,带来大量的转换成本,同时,国家对资本市场和财务审计的关注也使得将资源投入到财务审计准则会得到更多的收益,这种收益主要是指社会收益。在运行成本方面,由于学习效应和网络外部性的存在也会使得准则制定机构相同的资源投入到财务审计准则所带来的效益会高于投入到信息系统审计规范所带来的效益。由于转换成本、运行成本和解决问题的能力是造成制度锁定的关键因素,当前审计准则制定机构的各种自增强机制,有利于财务审计准则的制定,而不利于信息系统审计规范的制定。因此,也不难理解我国的信息系统审计主要目标是“真实、合法、效益”的原因。
无论是在国家审计、内部审计,还是在注册会计师审计中,信息系统审计的主要内容、目标等方面只是文字表述上存在着差异,而在实质内容上不存在任何差别。信息系统审计规范具有同质性,内审协会、国家审计署和中注协所提供的审计准则都是同质产品。若一方提供符合我国国情的信息系统审计规范,则其他方可引用现成的信息系统审计规范,但提供信息系统审计规范的机构将耗费大量的人力、物力、财力,而将这些审计准则制定资源用于财务审计准则的制定将获得更大的收益。假设制定信息系统审计规范所带来的收益为S,制定信息系统审计规范由于大量的转换成本和运行成本的存在,使得信息系统审计规范制定的成本为
,而信息系统审计规范这种公共品具有同质性,可以完全模仿,假设模仿现有信息系统审计规范基本上不花费任何成本,假设模仿成本为
,且
。由于国家关注的重点在财务审计准则的制定方面,则节约的成本用于制定财务审计准则,则可得到一个额外的收益△S。若审计准则制定机构的都采用模仿的策略,将成本完全用于制定财务审计准则、管理审计准则等,则审计准则制定机构则可得到收益S′,且存在
,由不存在任何转换成本,且运行成本低于信息系统审计规范的制定,此时所带来的收益S′将大于
。因此,我们可以得到一个如右上表所示的信息系统审计规范制定的“囚徒困境”。由于存在
,则审计准则制定机构甲和乙的最佳策略组合为(模仿,模仿)。这种策略组合也使得我国在信息系统审计规范制定方面始终是渐近的方式,处于制度“锁定”状态。若不打破这种制定的“锁定”,信息系统审计规范供给与需求不均衡的状态将持续下去,不能很好地引导信息系统审计人员的审计行为,我国信息系统审计规范缺乏的现状也不会得到改善。
信息系统审计规范制定的收益矩阵
三、我国信息系统审计规范制定的路径选择
1.我国信息系统审计规范的制度变迁模式。通过对我国信息系统审计规范的路径依赖问题进行分析可知,各种自增强机制也使得信息系统审计规范的制定也倾向于渐进式的模式。1993年,国家审计署颁布《审计署关于计算机审计的暂行规定》,而事隔15年之后,我国才于2008年由中国内部审计协会颁布真正意义上的信息系统审计规范,即《内部审计具体准则第28号——信息系统审计》,其间所发布的与信息系统审计相关的规范也屈指可数。若继续采用这种模式制定信息系统审计规范,我国信息系统审计规范的制度变迁过程将相当缓慢,不能适应信息系统审计实践发展的要求。
制度变迁根据变迁是由一个(群)人自发引起还是由政府法令强制推行的可划分为诱致性制度变迁和强制性制度变迁。诺斯(1994)认为制度变迁的一般过程分为以下五个步骤:①形成推动制度变迁的第一行动集团,即对制度变迁起主要作用的集团;②提出有关制度变迁的主要方案;③根据制度变迁的原则对方案进行评估和选择;④形成推动制度变迁的第二行动集团,即起次要作用的集团;⑤两个集团共同努力去实现制度变迁。根据充当第一行动集团的经济主体不同,可以把制度变迁分为自下而上的制度变迁和自上而下的制度变迁。所谓自下而上的制度变迁,是指由个人或一群人,受新制度获利机会的引诱,自发倡导、组织和实现制度变迁,又称为诱致性制度变迁,其特点可以概括为:①赢利性,即当只有制度变迁的预期收益大于预期成本时,有关创新群体才会推进制度变迁;②自发性、诱致性制度变迁是一种自下而上的、从局部到整体的制度变迁过程,因而制度的转换、替代、扩散都需要时间,是一个缓慢的过程。所谓自上而下的制度变迁,是指由政府充当第一行动集团,以政府命令和法律形式引入和实行的制度变迁,又称为强制性制度变迁。
制度变迁选择何种方式,主要取决于社会利益集团之间的权力结构和社会的偏好结构(诺思,1999)。我国信息化资金投入的逐年增加以及令人担忧的网络安全问题已经使信息系统审计规范的制定提上的日程。信息系统审计规范体系包括正式制度安排和非正式制度安排,其中正式制度安排包括即信息系统审计质量控制准则、审计准则、职业道德规范以及其他信息系统审计规范,非正式制度安排则包括伦理道德、传统文化、风俗习惯、意识形态以及基本价值观等(刘杰,2010)。在信息系统审计规范的制度变迁模式方面,政府应综合考虑诱致性制度变迁与强制性制度变迁模式的优点与缺点。当前条件下,信息系统审计规范的正式制度安排若采用诱致性的制度变迁模式,各种自增强机制的存在会造成信息系统审计规范制定的制度“锁定”,而采用强制性的制度变迁,可以打破制订“锁定”的先决条件,加速我国信息系统审计规范的制定进程。信息系统审计规范的非正式制度安排具有渐进性和诱致性特征,不受权威机构控制,也不会发生剧烈波动,非正式制度的演化比较缓慢,而正式制度则可以迅即改变。同时,国家的强制力可以用节约交易费用(Arrow,1969)。因此,笔者认为我国当前信息系统审计职业道德规范、信息系统审计规范和审计质量控制准则的制度变迁应采用强制性的制度变迁模式。采用强制性的制度变迁之后,信息系统审计规范制定机构之间的组织际关系将如图2所示:
图2 我国信息系统审计规范制定的组织关系
从中国注册会计师协会、内审协会以及审计署中抽出与信息系统审计规范制定相关的人力、物力等,整合信息系统审计规范制定的资源,成立类似于ISACA的信息系统审计规范制定机构专门制定信息系统审计职业道德规范、信息系统审计规范以及审计质量控制准则,用于指导和规范信息系统审计人员的审计行为。这也符合国家审计署《2006年至2010年审计工作发展规划》与《2008年至2012年审计工作发展规划》整合审计资源的思想。与此同时,信息系统审计是技术性较强的审计活动,若内部审计人员缺乏对信息技术管理、控制与安全等方面的了解或者信息技术人员缺乏对审计的了解,都将增加审计人员的审计成本,甚至会导致信息系统审计的失败。鉴于信息系统审计的这种特殊状况,中国内部审计协会应加强与信息系统审计规范委员会,特别是下属的审计准则委员会的沟通与协调,配合信息系统审计规范制定与信息系统审计相关的审计指南,提升内部审计人员以及信息技术人员对信息技术管理、控制、安全以及审计知识方面的了解程度,从而达到降低审计成本、提升信息系统审计成功率的目的。信息系统审计人员在执行具体审计活动时,若发现信息系统审计规范以及与信息系统审计相关审计指南的不足之时,应建立反馈机制将意见和建议直接反馈给审计准则委员会,以利于其对相关信息系统审计规范的修改。
2.信息系统审计规范制定的资源依赖与路径选择。资源依赖理论的基本假设为:没有组织是自给的,所有组织都在与环境进行交换,并由此获得生存。在和环境的交换中,环境给组织提供关键性的资源(稀缺资源),没有这样的资源,组织就不能运作。由此,对资源的需求构成了组织对外部的依赖。资源稀缺性和重要性决定了组织对环境的依赖程度,进而使得权力成为显像(Emerson,1962)。为了获得组织需要的资源,组织必须进行协商、交易、交付和获取,甚至对其他组织施加压力。通过这些过程,组织际关系被建立、改变和终止,最终,系统发展起来或发生改变。资源依赖的关系是多种多样的,这主要取决于依赖的性质。依赖通常用权力表示,权力差别是依赖内在的本质特征。依赖具有共生性、竞争性或者共生性和竞争性混合的特征。共生性主要发生在组织为达到共同的目标或者一个组织获得目标而使其他组织受损的过程中,或者是两个组织共同合作为获得第三方的资源;竞争性主要发生在一个组织获得目标,而使其他组织处于不利的过程中;当一个组织同时追求几个目标时,竞争性和共生性就会同时发生。
为保证信息系统审计规范制定机构之间关系的顺利运转,协调与沟通机制的建立是相当重要的。尽管组织之间的依赖存在着共生性、竞争性或者共生性和竞争性混合等三种特征,但信息系统审计规范委员会与中国内部审计协会之是的关系应是共生性,即两个组织共同合作完善我国信息系统审计规范体系(如图3所示)。信息系统审计规范委员会在制定信息系统审计规范方面有着天然的优势,而内部审计协会在发布与信息系统审计相关的指南用于培训董事会成员、审计委员会成员、管理层、流程负责人以及其他与技术关联风险有关的人员方面也有着不可替代的优势。这是一种具有共生性的组织际依赖关系。因此,信息系统审计规范委员会与内部审计协会在信息系统审计规范制定的过程中加强协调与沟通有利于发布更完善的信息系统审计规范体系。
图3 信息系统审计规范制定机构之间的协调机制
信息系统审计规范是一种公共产品,无论是在国内还是在国外,信息系统审计规范的制定过程中都存在着对人物、物力以财力等资源的依赖问题,信息系统审计规范委员会需要相关部门或主管机构投入大量的人力、物力和财务,这就形成了审计准则委员会对相关的部门的组织依赖关系。我国当前审计准则制定的重点主要还是放在财务审计准则的制定上,需要政府部门在资源配置上要做出一定的倾斜,加大对信息系统审计规范制定的资金投入力度,以推动我国信息系统审计规范体系的完善。
标签:路径依赖论文; 财务审计论文; 内部审计准则论文; 审计准则论文; 审计质量论文; 制度变迁理论论文; 相关成本论文; 审计方法论文; 审计目标论文; 审计流程论文; 中国内部审计协会论文;