信息系统安全漏洞对企业内部控制质量的影响,审计论文.docx

《信息系统安全漏洞对企业内部控制质量的影响,审计论文.docx》由会员分享，可在线阅读，更多相关《信息系统安全漏洞对企业内部控制质量的影响,审计论文.docx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全漏洞对企业内部控制质量的影响,审计论文随着互联网的迅猛发展以及企业信息化的逐步深切进入，企业的日常运营越来越依靠于 ITInformationTechnology系统的正常运行。企业对信息系统的使用越多，规模和覆盖面越大，复杂度越高，安全隐患也越多，信息技术中存在的安全漏洞是导致这些问题的关键因素。安全漏洞是指信息技术、信息产品、信息系统在设计、实现、配置和运行等经过中，操作实体有意或无意产生的缺陷中国国家安全漏洞库，2018。安全漏洞是网络时代的一种客观存在，其一旦被恶意主体发现觉察并利用，就可能损害计算机及相关信息系统的安全性，进而影响甚至毁坏、中断计算机及相关信息系统的正常服

2、务张涛、吴冲，2008。 IT 风险已成为公司管理层、监管部门等重点关注的问题，IT 内部控制也成为企业内部控制的重要组成部分。由于计算机及信息系统存在安全漏洞，导致企业的控制风险Control Risk、固有风险Inherent Risk和或信息风险Information Risk增加，审计师为了控制整体的审计风险必然会降低检查风险Detection Risk，进而影响审计风险。基于此，本文根据审计风险模型和制度经济学原理，考察计算机及信息系统的安全漏洞对企业内部控制质量的影响，而企业内部控制质量的变化势必会影响控制风险、固有风险和或信息风险，进而影响审计师的检查风险，最终导致审计风险的变化

3、。 本文以 20052018 年中国国家安全漏洞数据库统计的安全漏洞为研究对象进行研究，发现严重型安全漏洞发生的频度与信息风险和审计收费显著正相关，与审计风险显著负相关；对于国有企业而言，严重型安全漏洞发生的频度与信息风险和审计收费显著负相关，与审计风险显著正相关；对于由 四大 审计的公司而言，严重型安全漏洞发生的频度与信息风险显著负相关，与审计收费显著正相关。 本文的奉献可能具体表现出在三个方面：一是初次引入安全漏洞考察 IT 技术的缺陷对公司内部控制的影响，融合了企业的内部环境与外部环境的交互作用，丰富了内部控制方面的研究；二是初次尝试研究信息安全性的度量问题，为 IT 治理和 IT 内控

4、的安全性提供了一种测度方式方法，为企业应该引入防备软件中内控机制漏洞风险的架构陈志斌，2007提供了一个实证证据，也为(企业内部控制应用指引的施行有利于我们国家资本市场的健康发展提供了一个实证证据；三是初次引入 IT 技术的安全性作为审计风险的内生影响因素进行考察，为 Hogan 和 Wilkins2008的研究提出了可能的解释，也在一定程度上证伪了 Chen 等2018的研究结论。 本文的构造布置如下：第二部分是理论分析与文献回首，第三部分是研究设计与研究假设，第四部分是分析结果，第五部分是研究结论与缺乏。 二、理论分析与文献回首 根据美国审计准则公告第 47 号Statement onAu

5、diting Standards SASNo.47American Instituteof Certified Public AccountantsAICPA，1983的表述，审计风险模型能够表示出如下：审计风险Audit Risk=固有风险 控制风险 检查风险 1.1根据国际审计准则第 200 号ISA 200，模型1.1 中的审计风险能够定义为： 财务报表中存在重大错报而审计师发表了不恰当的审计意见的风险。 固有风险和控制风险是审计师基于对客户的评估得到的，而检查风险是审计师面对较高的固有风险和控制风险时，通过增加测试降低检查风险，以到达控制整体审计风险的目的。 发现财报中重大错漏的概率并

6、报告错漏的概率反映的是审计师的检查风险。发现财报中重大错漏的概率是审计师团队执业素质的具体表现出，而报告错漏的概率则是审计师团队独立性的具体表现出。要提高审计质量，必须同时提高发现财报中重大错漏的概率和报告错漏的概率，而不能有所偏颇。 发现财报中重大错漏概率的前提是，企业存在错漏的概率。企业存在错漏的概率是企业内部控制构建错漏的概率与企业外部环境对内部控制构成的毁坏威胁的联合概率分布函数。内部控制构建的毁坏威胁在信息时代主要来自于客观存在的安全漏洞，也就是讲，企业外部环境尤其是 Internet 技术的发展增大了内部控制风险和 IT 风险。企业外部环境与内部环境界线透明性、模糊性和脆弱性的加强

7、，要求内部控制具有足够的灵敏性、动态性和强健性，除了要提高发现财报中重大错漏的概率和报告错漏的概率，还必须同时提高对内部控制潜在毁坏威胁的应对能力及对外来威胁的响应能力，而不能有所偏颇。 根据 COSO 内部控制架构的五要素模型，我们在 信息与沟通 要素部分把信息系统置于战略的高度进行阐述。该框架要求，必须将信息系统的规划、设计和施行与企业的整体战略构成有机的统一体。 信息系统的战略作用具体表现出在无缝集成财务和业务的管理控制系统之中，以实现业务流的实时控制、记录与跟踪。参照 COSO 架构建立的内部控制系统，由于在 信息与沟通 要素部分采用了 IT 技术，而 IT 技术的致命缺陷就是安全漏洞

8、，这种漏洞是有潜伏期的，管理人员很难预知安全漏洞什么时候会被利用，而且该框架对怎样构建信息系统没有做进一步的讲明吴炎太等，2018，使得企业在参照 COSO 架构建立内部控制系统时容易出现更多的安全漏洞。因而， 信息与沟通 要素部分出现的问题很有可能导致单位员工履行职责的低效率，可以能会导致信息与沟通经过中公司重要信息的泄漏，使公司资产的安全性无法得到保证。总之，安全漏洞对于 COSO 架构的影响主要具体表现出在 信息与沟通 要素上，一旦 COSO架构的载体遭到安全漏洞的威胁，COSO 内部控制的效率和有效性就会遭到损害，达成企业目的所需的条件就难以知足，企业也就无法保证财务报告的可靠性，进而

9、使固有风险和控制风险增大。 在 COBIT 框架中，企业需要借助于能够控制的IT 资源获取所需的信息，以实现企业目的。除此之外，COBIT 是一个通用的信息系统控制标准，它是一个建立内部控制的指导思想，缺乏足够的实践指引，与信息系统的实践经过联络不够严密和详细吴炎太等，2018，这容易对信息系统的运行造成不必要的安全隐患。也就是讲，在 COBIT 框架内，IT 技术是实现企业目的的载体和工具。伴随 IT 资源而生的安全漏洞是对 COBIT 框架中 IT 准则的天然威胁，其直接威胁到 IT 资源的可用性、完好性、保密性和可靠性。违背了 COBIT 框架中的 IT 准则，内部控制的有效性就无法得到

10、保证，而当内部控制形同虚设时，企业的固有风险和控制风险就加大了。 我们国家 2008 年公布的(企业内部控制基本规范第 7 条规定： 企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。 2018 年公布的(企业内部控制应用指引第 18 号 信息系统中的第 3 章第 13 条规定： 企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防备来自网络的攻击和非法侵入。 (企业内部控制应用指引从信息系统开发、运行维护与变更、系统安全性等方

11、面提出了明确的要求，但没有给出漏洞扫描的目的、频度以及发现安全漏洞后的处理措施等。该指引自 2018 年 1 月 1 日起首先在境内外同时上市的公司中施行，2020 年 1 月 1 日起在上海证券交易所、深圳证券交易所主板上市的公司中施行。 因而，对于没有根据上述准则建立内部控制系统的企业来讲，其遭到安全漏洞的威胁更大。 总之，潜在的安全漏洞对计算机及相关系统的安全性造成了潜在威胁，也即安全漏洞被发现并被利用后会对计算机及相关系统的保密性、完好性和可用性产生负面影响，影响企业的日常运营及内部控制效率，增加企业的固定风险和控制风险，也使企业在财务报表中出现重大错漏的概率增大，而审计人员无法发现重

12、大错漏的概率也会提高，进而影响审计质量，也影响投资者对企业风险的评估，导致投资决策风险增大。 关于内部控制对审计风险的影响问题，现有文献主要是从披露内部控制缺陷入手进行研究。要考察内部控制缺陷问题，首先需要了解导致内部控制缺陷的各种因素。现有文献主要从经济因素方面进行了考察。Ashbaugh-Skaife 等2007采用 SOX 法案302 条款施行后且在 404 条款施行前上市公司在年报中自愿披露的内部控制缺陷数据进行了研究，发现相对于没有披露内部控制缺陷的企业，披露了内部控制缺陷的企业具有更大的会计风险、更多的报表重述以及在披露内部控制缺陷前更多的审计师离开职位等。Doyle 等2007采

13、用 SOX 法案 302 条款和 404条款施行后 SEC 要求强迫披露内部控制本质性缺陷的上市公司数据进行了研究，发现披露内部控制缺陷的公司一般都是成立时间不长的小公司，这些公司的财务状况较差，业务较复杂或者正在进行业务重组。Doyle 等以为，造成内部控制缺陷的因素不能一概而论，要根据各个公司面临的详细问题进行详细分析。Leone 2007 以为，Ashbaugh-Skaife2007和 Doyle 等2007初次把公司的特征与内部控制缺陷联络起来，通过考察年报中披露了内部控制重要缺陷或者内部控制本质性缺陷的上市公司，发现造成内部控制信息披露风险的因素包括公司组织构造的复杂性、重要的组织变

14、革以及公司在构建内部控制系统方面的投资力度，这三个因素具有较强的讲服力。 总之，上述研究表示清楚，企业内部控制缺陷导致固有风险和控制风险增大，但是鲜有文献考察技术因素对内部控制缺陷的影响。 从内部控制缺陷对盈余质量的影响来考察内部控制缺陷经济后果的文献也有很多。Ge 和 McVay2005研究发现，披露了内部控制存在本质性缺陷的公司普遍存在可操控性应计方面存在的问题。Bedard2006发现，根据 SOX 法案 302 条款披露内部控制缺陷的公司较其他公司在披露当年有更多的可操控性应计利润，而根据 404 条款披露内部控制缺陷的公司较其他公司在披露当年有更少的可操控性应计利润。Mitehell

15、2007以为，存在重大内部控制缺陷的公司累计盈利能力较低且负债水平较高。Tang 和Xu2007发现，披露了内部控制存在本质性缺陷的公司较其他公司的运营绩效和股票回报都要差。 Doyle 等2007发现，根据 SOX 法案 302 条款披露了内部控制本质性缺陷的公司较其他公司的盈余质量更差，而根据 404 条款披露的内部控制本质性缺陷与盈余质量没有显著的相关性。Ashbaugh-Skaife等2008通过考察内部控制缺陷及修复这些缺陷对盈余质量的影响，发现披露了内部控制缺陷的公司较其他公司的盈余管理程度更高层次。Chan 等2008以为，根据 SOX 法案 404 条款披露内部控制本质性缺陷的

16、公司较其他公司存在更多的盈余管理。 Prawitt 等2008发现，内部审计功能internal auditfunction，IAF越强，可操控性总应计利润的绝对值就越低，即盈余管理程度越低。Feng 等2018通过考察 SOX 法案 404 条款施行后 20042006 年样本公司内部控制质量对管理层盈余预测精到准确度的影响，发现报告了内部控制缺陷的公司，其管理层盈余预测的精度和质量都显著偏低。Altamuro 和 Beatty2018以美国的上市银行为样本进行了研究，发现FDICIA 的内部控制强迫披露要求有助于提高银行业贷款损失准备金的合理性、盈余的可持续性和现金流的可预测性。这些证据表

17、示清楚，公司内部控制的质量之所以能对盈余质量起到作用，是由于其较之以前的审计师、董事会及机构投资者增加了额外的监督机制。Doyle2007、Hogan 和 Wilkins2008以为，审计师的本质性测试能够作为内部控制的一种替代，部分地减轻内部控制本质性缺陷对于盈余质量的负面影响。 总之，上述研究表示清楚，内部控制质量影响了盈余质量，即内部控制质量越差，信息风险越高。 还有一些文献考察了内部控制缺陷对审计师行为的影响。Ashbaugh-Skaife 等2007研究了 302 条款施行后且在 SOX 法案 404 条款施行前上市公司在年报中自愿披露的内部控制缺陷数据，发现这些公司之所以主动发现并

18、自愿披露内部控制缺陷，是由于它们更偏好于聘请知名的会计师事务所。Ashbaugh-Skaife 等2008通过考察内部控制缺陷及修复这些缺陷对盈余质量的影响，发现经过审计师确认并已弥补内部控制缺陷的公司较没有整改的公司盈余质量有了较大提高。Raghunandan 和 Rama2006发现，存在内部控制缺陷的公司由于审计师需要付出更多的努力和承当更大的法律风险而导致审计费用的提高。Hogan 和 Wilkins2008发现，披露了内部控制存在本质性缺陷的公司较其他公司具有更高层次的固有风险和信息风险，根据审计风险模型，审计师为了到达预期的审计风险水平，可能需要付出更多的努力，也即需要收取更高层次

19、的审计费用，这种费用的提高也有可能是一种风险溢价。Yan2007研究发现，由于内部控制缺陷的增加不仅导致了较高的审计风险，还会影响审计师变更的频率。Li2007研究发现，内部控制缺陷的增加使得会计错误发生的概率以及审计师发现这种错误的难度增加，审计师为了控制审计风险，需要加大工作范围和工作量，进而导致审计的延迟，本质性内部控制缺陷造成的审计延迟较重大内部控制缺陷更长。Li2007、Yan2007进一步考察了本质性内部控制缺陷与审计师变更之间的关系，以为已经或预期将要发现本质性内部控制缺陷的公司，审计师主动辞职的概率较高，在这种情况下， 四大 事务所更不可能成为其继任审计师；已经或预期将要收到负

20、面内部控制审计意见的公司，审计师主动辞职的概率较高，而审计师辞职之后公司获得非标审计意见的概率更大，讲明公司无法通过更换审计师实现审计意见购买。Li2007 还考察了客户重要性在 SOX 法案公布前后对审计师独立性的影响，发如今 SOX 法案公布之前，客户重要性对审计师独立性没有显著影响，而在SOX 法案公布之后，客户重要性对审计师的独立性具有显著的正向影响。 总之，上述文献考察的是内部控制质量对审计师行为的影响，结果表示清楚，企业的内部控制缺陷导致了固有风险和控制风险的增加，审计师为了到达预期的审计风险水平，增加了测试项目，目的是到达控制审计风险的目的。 以上研究都是基于美国的制度背景展开的

21、。模型1.1的定义是来自于美国审计准则的公告，其隐含的制度背景是成熟的资本市场，十分是在 SEC 强大的监管能力以及完善的、执行力很强的美国司法制度下，审计师非常在意自个的声誉。也就是讲，审计师对于所面临的风险会理性地进行控制，如在面对较大风险时会选择主动辞职Li，2007；Yan，2007，或者增加风险溢价 Hogan and Wilkins，2008。但在我们国家这样的新兴资本市场上，投资者保卫的制度环境是较弱的LaPorta et al.，1997；LaPortaet al.，1999；LaPorta et al.，2000，因而，在考察我们国家资本市场上的行为时，要充分考虑制度背景因素

22、，即要将模型1.1扩展为审计师风险模型1.2陈正林，2006。 审计师风险Auditor Risk=审计风险 制度风险=审计风险 审计失败被辨别的风险 惩罚力度 惩罚执行力 1.2模型1.2其实也反映了审计质量是发现会计报表重大错漏的概率及报告该错漏概率的联合分布函数DeAngelo，1981的思想。模型1.2中的审计风险反映的是审计师执业能力的技术风险，而制度风险反映的是由于审计师技术风险导致的审计失败被辨别出来的概率以及审计失败被辨别后的惩罚力度及其执行力。由模型1.2可知，当制度风险很大时，审计师必然要主动降低审计风险，进而使审计质量提高；若制度风险很小，审计师就没有动力去降低审计风险，

23、进而使审计质量降低，即辨别制度和惩罚制度的有效性决定了审计师的行为陈正林，2006。 在美国，SOX 法案公布施行之后，审计师面临的制度风险陡增，而且成熟资本市场上有很多专业的机构投资者、分析师等，进而使审计失败被辨别的概率大大提高，审计师必然会努力控制审计风险。在美国这种成熟的司法和资本市场的制度背景下，模型1.2和模型1.1具有一致性，而要考察我们国家的资本市场，模型1.2具有更好的解释力。 银广夏 事件的发生，直接促成了 2002 年 1 月15 日(最高人民法院关于受理证券市场因虚假陈述引发的民事侵权纠纷案件有关问题的通知的出台。 2003 年 1 月 9 日最高人民法院发布了(最高人

24、民法院关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定，这项法律要求由法院受理和审理因虚假陈述引发的证券市场上的民事侵权纠纷案件，这在一定程度上对审计师的不作为产生了较大的威慑力。2007 年 6 月 15 日最高人民法院又公布了专门针对审计师的司法解释 (关于审理牵涉会计师事务所在审计业务活动中民事侵权赔偿案件的若干规定。这个司法解释的出台，进一步加大了主张者举证的难度，也就是讲，司法解释的施行成本更大。固然法律允许普通投资者对审计师的不当行为提起民事诉讼，但由于成本过高且收益偏低，审计师被提起诉讼的概率很低。另外，非标审计意见的出具频率比以往有了很大的提高Defond et al.，

25、2000，但这并没有改变由于低风险的司法制度环境造成我们国家上市公司审计质量总体偏低的状况刘峰、许菲，2002。 由于投资者保卫较差Allen et al.，2005，审计市场的整体审计质量偏低Wang et al.，2008；杨德明等，2018。在较小的制度风险下，审计师的风险也很小，其作为理性的经济人，没有动力去努力提高审计质量。只要在非审计风险过大时，审计师为了维持个人的声誉以及惧于法律的威慑力，才会努力降低审计风险，这也是我们国家会计职业界承受的法律风险一直较低刘峰，许菲，2002的原因之一。这一情况表示清楚，模型1.2是适用于我们国家的资本市场的。 研究我们国家内部控制的文献较少。李

26、艳姣2018通过考察 2007 年深市 A 股上市公司的情况，发现内部控制缺陷与审计收费不存在显著相关性。方红星等2018考察了沪市非金融上市公司 20032005年年度报告中自愿披露的内部控制信息，发现上市公司能否自愿披露内部控制信息与非标审计意见类型显著负相关；在影响上市公司内部控制信息自愿披露的因素中，外部审计没有显著影响。李享2018梳理了我们国家强迫性披露内部控制信息的文献，发现内部控制自评报告、审核意见的披露属于公司自愿的选择性行为，也就是讲，外部审计师在面对内部控制缺陷时存在一定的审计意见购买行为。杨德明和胡婷2018通过考察 A 股上市公司 20072008 年的数据，发现内部

27、控制与外部审计之间存在一定的替代效应，而且这种替代效应与审计费用呈显著的正向关系。财政部驻河北省财政监察专员办事处课题组2005也发现，市场需求主体对高质量的审计产品缺乏内在需求。Wang 等2008以为，审计市场总体上并不需要甚至排挤高质量的审计。杨德明等2018以为，审计市场尚不成熟，审计质量并不太高。辛清泉和黄琨2018发现，中天勤事件之后，事务所为了避免客户的大量流失，审计师更可能在客户的压力下妥协，在其他条件不变的情况下，非标意见的出具概率在下降。杨德明和胡婷2018的研究表示清楚，对于审计费用比拟缺乏的公司，审计师一旦发现其内部控制质量较高，就有可能大幅度减少本质性测试；反之，对于

28、审计费用比拟充裕的公司，审计师即便发现其内部控制质量较高，也不太可能大幅度减少本质性测试。 以上研究表示清楚，在我们国家，不管能否要求强迫性披露内部控制缺陷，公司都存在较大的购买审计意见的可能，也就是讲，内部控制质量对审计师出具审计意见没有显著影响。这与 Li2007、Yan2007的研究结论不一致，讲明由于我们国家的制度风险过低，审计师没有对由内部控制缺陷所导致的控制风险、固有风险信息风险进行充分的审计风险调整，因而，辨别制度和处理惩罚制度的共同失灵，是造成我们国家审计质量不高的根本原因陈正林，2006。这些研究成果也进一步检验了模型1.2在我们国家资本市场上的适用性。 除此之外，Chen

29、等2018通过考察中国 19952004年间的上市公司，以为 2001 年之后由于制度环境更有利于投资者，对于签字审计师来讲，客户重要性越高，其越有可能出具非标审计意见，而对于事务所来讲，客户重要性对于出具非标审计意见没有显著影响。但 Chen 等2018的问题在于，忽视了中国的特殊制度背景，即中国审计市场上的签字审计师很少是真正介入审计的审计师，他们多是部门经理或者是事务所的合伙人，所以用签字审计师来考察客户重要性存在很大的偏误，这也许是其没有发现事务所客户重要性对审计意见具有显著影响的原因之一。Chen 等2018还为新兴资本市场的政策制定者提出了完善投资者保卫制度的建议。由模型1.2可知

30、，仅强调制度的重要性有失偏颇。我们以为，新兴资本市场的政策制定者不仅需要制定政策，更需要推进和落实政策，我们国家最高法院公布的(关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定就是最好的反例。伍利娜等2018也以为，2003年 1 月 9 日最高法院公布的(关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定，增大了审计师的法律风险。以上观点是把单一法规的出台等同于整个制度环境的改变，混淆了制度预期与制度现实，研究中发现的是市场对于低制度风险的渴望，但制度的现实却与之相反。(关于审理证券市场因虚假陈述引发的民事赔偿案件的若干规定从出台至今已经八年之久，但没有一个由于触犯该法律而遭到应有

31、惩罚的案例，这当然不能讲明我们国家的制度是完美的。2005 年开场实行的股权分置改革是一个很好的事件研究，申慧慧等2018通过考察股权分置改革对上市公司盈余质量的影响，发现非国有控股上市公司向上盈余管理的程度显著提高。伍利娜、朱春艳2018也发现，股改后审计师在一定程度上配合上市公司实现了向上的盈余管理及审计意见购买。晏艳阳、赵大玮2006以为，股权分置改革中存在较为严重的内幕交易行为。这些研究表示清楚，制度环境并没有发生大的变化，制度风险仍然不大，否则，盈余管理的程度至少不应该提高。由模型1.2可知，在新兴资本市场国家，十分是在司法制度不成熟的国家，制度的执行力才能真正决定政策的经济后果，而

32、不能仅仅把政策的制定视为制度的执行力。 综上所述，现有文献主要是从公司经济特征所导致的内部控制质量问题及其经济后果来考察其对审计风险和或审计师风险的影响，鲜有文献考察构建内部控制技术架构所导致的内部控制缺陷，即仅把内部控制的技术架构视为外生变量。近年来，IT及其相关技术已成为公司内部控制的基础技术，其一旦出现问题，公司的整个运营都要遭到影响。本文正是基于这个前提，结合我们国家的制度背景，把内部控制的 IT 技术及其相关技术架构视为内生变量，考察技术架构本身的缺陷 安全漏洞对内部控制的影响，进而考察其对企业的固有风险、控制风险和或信息风险及审计师检查风险的影响，最终考察这些风险对审计风险和审计师

33、风险的影响。 三、研究假设和设计 一研究假设 Microsoft 公司将安全漏洞对系统的危害程度划分为四个等级，分别是：1危急型安全漏洞，即无需用户激活的网络蠕虫传播的安全漏洞；2高危型安全漏洞，该安全漏洞被利用后，会使用户数据的机密性、完好性和有效性遭到毁坏；3中危型安全漏洞，该安全漏洞被利用比拟困难，会遭到配置、验证等众多因素的限制，其对系统的影响较小；4低危型安全漏洞，该安全漏洞被利用非常困难，对系统的影响也非常小。根据以上定义，本文只考察影响较大的危急型安全漏洞和高危型安全漏洞简称严重型安全漏洞。 严重型安全漏洞毁坏力强、危害大，各大软件厂商或硬件厂商会通过各种渠道公告其危害性以减少用

34、户不必要的损失，并建议用户下载安全补丁及时进行漏洞修复，各种媒体也会争相报道，提醒用户这类漏洞对计算机及相关系统的危害程度和可能造成的损失。因而，严重型安全漏洞遭到的关注较多，公众对其危害也有足够的认识和防备，进而能够防止恶意用户利用该安全漏洞进行攻击。对于企业用户来讲，严重型安全漏洞对于其内部控制的危害程度更大，企业用户会密切关注安全漏洞的防护措施，及时下载补丁修复程序进行修补，以保持内部控制技术基础架构的稳定性、完好性、安全性和有效性。但是，安全漏洞被发现并公告后，企业的反响可能不及时，同时，厂商补丁程序的开发和测试需要时间，在这段空白区的时间内，企业内部控制缺陷被暴露的概率陡增，且缺陷的

35、严重程度也迅速提升。当厂商针对这些漏洞发布补丁程序后，补丁程序可以能导致新的安全漏洞隐患。因而，发现严重型安全漏洞，意味着内部控制缺陷被暴露的概率陡增且严重程度加剧，这会极大地提高企业的控制风险、固有风险和或信息风险。根据审计风险模型，当企业的控制风险和固有风险增大时，审计师为了控制整体的审计风险，会主动降低检查风险，即审计师会愈加努力地控制审计风险。同样，由于危急型或高危型安全漏洞的出现会导致内部控制缺陷的危害程度加剧，假如审计师不努力审计，审计风险就会迅速提高，进而加大审计师的个人风险。因而，作为理性的经济人，审计师在法律的威慑下必然会愈加努力地降低审计风险。但是，在我们国家，会计职业界承

36、受的法律风险仍然较低刘峰、许菲，2002，再加上审计市场并不需要甚至排挤高质量的审计Wang et al.，2008，因而，审计市场的审计质量并不太高杨德明等，2018。也就是讲，我们国家的审计师没有太大的动力去付出更多的努力。但是，假如审计师不努力工作，他们可能会遭到来自其他非司法方面的处理惩罚，如中注协的处理惩罚，在这种情况下，审计师为了避免行政类的处理惩罚，需要得到一定程度的风险溢价。基于以上分析，我们提出假设 H1 和 H1a。 H1：严重型安全漏洞发生的频度与信息风险审计风险正负相关。 H1a：严重型安全漏洞发生的频度与审计收费正相关。 1995 年(关于制定第九个五年计划和2018

37、 年远景目的的建议提出，要 重点改造国有大中型企业，加快国民经济信息化进程 。2000 年(关于制定国民经济和社会发展第十个五年计划的建议提出，大力推进国民经济和社会信息化，是覆盖当代化建设全局的战略举措。以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展。在 国有企业建立管理科学的当代企业制度 之后，2001 年国家科技部启动了国家制造业信息化工程以落实 以信息化带动工业化 ，并集中了科技攻关计划和 863 计划两大资源，共出资 8 亿元，加上地方配套资金和企业自筹资金，总经费超过 100 亿元。 2002 年的十六次全国代表大会明确提出 信息化带动工业化，工业化促进信息化 的战略

38、指导方针王立彦、曾建光，2018。在 信息化带动工业化 的战略指导下，国有企业的信息化程度不断提高，相应的 IT 投资也很高，因而，国有企业一旦出现严重型安全漏洞，IT 投资的作用就会显现，如使用一些软件公司的专杀工具进行系统安全处理或者应用软件提供的补丁等进行排查，这些信息安全隐患的排查会产生一定的溢出效应曾建光，2018，进而降低国有企业的控制风险、固有风险和或信息风险。 由假设 H1 可知，由于严重型安全漏洞毁坏力强、危害大，其一旦被恶意攻击者发现，信息安全性就会遭到极大的威胁。严重型安全漏洞出现的频度高，意味着内部控制缺陷被暴露的概率陡增且其严重程度会加剧，进而极大地提高企业的控制风险

39、、固有风险和或信息风险。对于国有企业而言，由于其IT 投资较高，其抵抗控制风险、固有风险和或信息风险的能力也较强。也就是讲，国有企业降低控制风险、固有风险和或信息风险更多是出于保证日常运营顺利进行的目的，而不是真正改善内部控制的质量，内部控制质量还是处于与以前相近的水平，本质上的控制风险会进一步放大。根据审计风险模型，当企业的内部控制缺陷严重性较高时，控制风险增加的幅度较大，而固有风险和或信息风险的降低无益于整体控制风险的控制。也就是讲，整体而言，国有企业的 IT 投资能够起到一定的弱化风险的作用。除此之外，国有经济中作为所有者的国家与各级机构和企业经营者之间存在多层次等级式的委托代理关系韩朝

40、华，1995，在经济发展中仍然起着主要的作用，我们国家的上市公司大部分是国有企业且国有股占比拟高。会计师事务所大部分是改制而来，其改制前大多为国有，改制后也与部门和国有企业保持着密切联络吴联生、刘慧龙，2008。除此之外，我们国家公司的内部控制信息自愿性披露鼓励缺乏，内部控制自我评价及审计师的核实评价缺乏统一的标准杨有红、汪薇，2008，再加上对于高质量审计的需求缺乏Wang et al.，2008、审计市场不成熟杨德明等，2018、客户压力大辛清泉、黄琨，2018、法律执行不力陈正林，2006等，使得与部门和国有企业保持着密切联络的审计师在面对国有企业控制风险增加幅度较大、固有风险降低幅度较

41、小时，控制检查风险的鼓励不大，也即审计风险并没有降低。同时，国有企业容易给审计师造成一种错觉，即国企在面对严重型安全漏洞发生频度较高的情况下，其 IT投资能够确保控制风险不会过大。 总之，基于我们国家特有的制度背景，在国有企业严重型安全漏洞发生频度较高的情况下，审计师没有动力去控制检查风险，同时，由于其客户是国有企业，审计师也不会额外收取风险溢价。也就是讲，来自于外部的技术冲击对于 IT 投资较高的国有企业而言，其内部控制质量具有较高的抗风险能力，与审计师也有较高的会谈能力和优势，因而，其审计收费显著下降。基于此，本文提出假设 H2 和 H2a。 H2：对于国有控股公司而言，严重型安全漏洞发生

42、的频度与信息风险审计风险负正相关。 H2a：对于国有控股公司而言，严重型安全漏洞发生的频度与审计收费负相关。 由假设 H1 可知，由于严重型安全漏洞毁坏力强、危害大，其发生频度高意味着内部控制缺陷被暴露的概率陡增且其严重程度加剧，进而极大地提高了企业的控制风险、固有风险和或信息风险。对于由 四大 审计的公司而言，由于其很少出现报表违规等情况DeFond and Jiambalvo，1991， 四大 较非 四大 更不能容忍客户的盈余管理Becker et al.，1998， 四大 的审计质量也更高层次Palmrose，1988；Deis and Giroux，1992；Mutchler et a

43、l.，1997；Krishnanand Schauer，2000；Fuerman，2004。因而，严重型安全漏洞发生的频度越高， 四大 审计的努力程度也越高，客户的信息风险和审计风险就会越低。由于 四大 付出了更多的努力，其审计收费也更高层次。基于此，本文提出假设 H3 和 H3a。 H3：对于由 四大 审计的公司而言，其安全漏洞发生的频度与信息风险审计风险负相关。 H3a：对于由 四大 审计的公司而言，其安全漏洞发生的频度与审计收费正相关。 二研究设计 1.信息风险。本文参照 Hogan 和 Wilkins2008的做法，采用应计盈余质量作为度量信息风险的代理变量。夏立军2003以为，在中国

44、的市场上，修正的 Jones1991模型能够较好地估计超额应计利润。 因而，本文运用修正的 Jones1991模型Dechow etal.，1995根据年度和行业分别估计每个公司的非预期应计利润，行业分类以证监会 2001 年发布的(上市公司行业分类指引 为标准。本文借鉴 Barth2008、Cohen 2008、Chen 等 2018、 刘 启 亮2018的做法，设定了如下模型2： 2.审计风险与审计风险溢价。本文采用审计意见作为衡量审计风险的代理变量，并参照 Chen 等2018的做法，对不同的审计意见类型进行不同的编码赋值，即审计意见为标准无保存意见设为 4，审计意见为无保存意见加事项段

45、设为 3，审计意见为保存意见设为 2，审计意见为保存意见加事项段设为 1，审计意见为无法发表意见设为 0。为了测度审计师面对不同审计风险时的行为，我们参照 Hogan和 Wilkins2008的做法，采用审计收费作为度量审计师面对风险时的风险溢价或者付出努力的代理变量。同时，参考王守海2018、伍利娜2003、Lennox2005、刘继红2018研究国内审计收费的做法，设定了如下模型3： 模型2、3的变量定义如表 1 所示。 本文的上市公司所属行业及终极控制人属性、财务数据和安全漏洞数据分别来源于 20052018 年的 Sinofin 数据库、CSMAR 财务数据库和中国国家安全漏洞库。我们

46、剔除了金融企业的数据和有缺失值的样本公司，同时为了避免极端值的影响，对控制变量中的连续变量根据 1%进行了 Winsorize 处理，样本的描绘叙述性统计如表 2 所示。 由表 2 的描绘叙述性统计可知，信息风险AbsDTAC的均值为 0.089，中位数为 0.052，中位数与均值差异较大，最大值为 0.786，最小值为 0.001，讲明样本期内的公司信息风险差异较大。审计风险AuditRisk的均值为 3.825，中位数为 4.000，中位数与均值差异不大，讲明样本期内的公司审计风险差异不大。审计收费LnAuditFee的均值为 13.136，中位数为 13.082，中位数与均值差异较大，最

47、大值为14.907，最小值为 11.918，讲明样本期内的审计收费差异较大。严重型安全漏洞发生频度Vul的均值为12.992，中位数为 15.338，最大值为 18.136，最小值为 6.015，讲明严重型安全漏洞在样本期内出现比拟频繁，并且年度之间的差异较大。 四、检验结果 一样本回归结果 表 3 的模型 1 报告了安全漏洞发生频度Vul与信息风险AbsDTAC的回归结果。安全漏洞发生频度Vul的系数显著为正，讲明严重型安全漏洞发生的频度越高，信息风险AbsDTAC就越大。也就是讲，严重型安全漏洞发生的频度越高，企业的内部控制风险就越大，进而导致企业的信息风险、固有风险及审计师审查风险显著增

48、大。由于固有风险会严重影响企业的运营，企业会努力控制固有风险，而对其他与企业正常运营无关的风险没有动力去控制和降低，因而，安全漏洞发生的频度越高，信息风险就越大，假设 H1 得到了验证。 表 3 的模型 2 报告了安全漏洞发生频度Vul与审计风险AuditRisk的回归结果。模型 2 的安全漏洞发生频度Vul系数显著为负，讲明严重型安全漏洞发生的频度越高，审计风险AuditRisk就越小。 也就是讲，由于严重型安全漏洞发生的频度高，企业的内部控制风险加大，导致企业的信息风险、固有风险及审计师审查风险显著增大，审计师为了保持与以往相近的审计风险水平，需要付出额外的努力控制过高的审查风险，进而使审计风险变小，假设 H1 得到了验证。 表 3 的模型 3 报告了安全漏洞发生频度Vul与审计收费的回归结果。模型 3 的自变量系数都显著为正，讲明严重型安全漏洞发生的频度越高，审计收费LnAuditFee就越高。也就是讲，由于严重型安全漏洞发生