一、引言

隨著互聯網的迅猛發展以及企業信息化的逐步深入，企業的日常運營越來越依賴于 IT（InformationTechnology）系統的正常運行。企業對信息系統的使用越多，規模和覆蓋面越大，復雜度越高，安全隱患也越多，信息技術中存在的安全漏洞是導致這些問題的關鍵因素。安全漏洞是指信息技術、信息產品、信息系統在設計、實現、配置和運行等過程中，操作實體有意或無意產生的缺陷（中國國家安全漏洞庫，2010）。安全漏洞是網絡時代的一種客觀存在，其一旦被惡意主體發覺并利用，就可能損害計算機及相關信息系統的安全性，進而影響甚至破壞、中斷計算機及相關信息系統的正常服務（張濤、吳沖，2008）。

IT 風險已成為公司管理層、監管部門等重點關注的問題，IT 內部控制也成為企業內部控制的重要組成部分。由于計算機及信息系統存在安全漏洞，導致企業的控制風險（Control Risk）、固有風險（Inher－ent Risk）和（或）信息風險（Information Risk）增加，審計師為了控制整體的審計風險必然會降低檢查風險（Detection Risk），從而影響審計風險?；诖?，本文根據審計風險模型和制度經濟學原理，考察計算機及信息系統的安全漏洞對企業內部控制質量的影響，而企業內部控制質量的變化勢必會影響控制風險、固有風險和（或）信息風險，進而影響審計師的檢查風險，最終導致審計風險的變化。

本文以 2005~2009 年中國國家安全漏洞數據庫統計的安全漏洞為研究對象進行研究，發現嚴重型安全漏洞發生的頻度與信息風險和審計收費顯著正相關，與審計風險顯著負相關；對于國有企業而言，嚴重型安全漏洞發生的頻度與信息風險和審計收費顯著負相關，與審計風險顯著正相關；對于由“四大”審計的公司而言，嚴重型安全漏洞發生的頻度與信息風險顯著負相關，與審計收費顯著正相關。

本文的貢獻可能體現在三個方面：一是首次引入安全漏洞考察 IT 技術的缺陷對公司內部控制的影響，融合了企業的內部環境與外部環境的交互作用，豐富了內部控制方面的研究；二是首次嘗試研究信息安全性的度量問題，為 IT 治理和 IT 內控的安全性提供了一種測度方法，為企業應該引入防范軟件中內控機制漏洞風險的架構（陳志斌，2007）提供了一個實證證據，也為《企業內部控制應用指引》的實施有利于我國資本市場的健康發展提供了一個實證證據；三是首次引入 IT 技術的安全性作為審計風險的內生影響因素進行考察，為 Hogan 和 Wilkins（2008）的研究提出了可能的解釋，也在一定程度上證偽了 Chen 等（2010）的研究結論。

本文的結構安排如下：第二部分是理論分析與文獻回顧，第三部分是研究設計與研究假設，第四部分是分析結果，第五部分是研究結論與不足。

二、理論分析與文獻回顧

根據美國審計準則公告第 47 號（Statement onAuditing Standards （SAS）No.47）（American Instituteof Certified Public Accountants（AICPA，1983））的表述，審計風險模型可以表達如下：審計風險（Audit Risk）=固有風險×控制風險×檢查風險 （1.1）根據國際審計準則第 200 號（ISA 200），模型（1.1） 中的審計風險可以定義為：“財務報表中存在重大錯報而審計師發表了不恰當的審計意見的風險?！惫逃酗L險和控制風險是審計師基于對客戶的評估得到的，而檢查風險是審計師面對較高的固有風險和控制風險時，通過增加測試降低檢查風險，以達到控制整體審計風險的目標。

發現財報中重大錯漏的概率并報告錯漏的概率反映的是審計師的檢查風險。發現財報中重大錯漏的概率是審計師團隊執業素質的體現，而報告錯漏的概率則是審計師團隊獨立性的體現。要提高審計質量，必須同時提高發現財報中重大錯漏的概率和報告錯漏的概率，而不能有所偏頗。

發現財報中重大錯漏概率的前提是，企業存在錯漏的概率。企業存在錯漏的概率是企業內部控制構建錯漏的概率與企業外部環境對內部控制形成的破壞威脅的聯合概率分布函數。內部控制構建的破壞威脅在信息時代主要來自于客觀存在的安全漏洞，也就是說，企業外部環境尤其是 Internet 技術的發展增大了內部控制風險和 IT 風險。企業外部環境與內部環境界限透明性、模糊性和脆弱性的增強，要求內部控制具有足夠的靈活性、動態性和健壯性，除了要提高發現財報中重大錯漏的概率和報告錯漏的概率，還必須同時提高對內部控制潛在破壞威脅的應對能力及對外來威脅的響應能力，而不能有所偏頗。

根據 COSO 內部控制架構的五要素模型，我們在“信息與溝通”要素部分把信息系統置于戰略的高度進行闡述。該框架要求，必須將信息系統的規劃、設計和實施與企業的整體戰略構成有機的統一體。

信息系統的戰略作用體現在無縫集成財務和業務的管理控制系統之中，以實現業務流的實時控制、記錄與跟蹤。參照 COSO 架構建立的內部控制系統，由于在“信息與溝通”要素部分采用了 IT 技術，而 IT 技術的致命缺陷就是安全漏洞，這種漏洞是有潛伏期的，管理人員很難預知安全漏洞什么時候會被利用，而且該框架對如何構建信息系統沒有做進一步的說明（吳炎太等，2009），使得企業在參照 COSO 架構建立內部控制系統時容易出現更多的安全漏洞。因此，“信息與溝通”要素部分出現的問題很有可能導致公司員工履行職責的低效率，也可能會導致信息與溝通過程中公司重要信息的泄漏，使公司資產的安全性無法得到保證?？傊?，安全漏洞對于 COSO 架構的影響主要體現在“信息與溝通”要素上，一旦 COSO架構的載體受到安全漏洞的威脅，COSO 內部控制的效率和有效性就會受到損害，達成企業目標所需的條件就難以滿足，企業也就無法保證財務報告的可靠性，從而使固有風險和控制風險增大。

在 COBIT 框架中，企業需要借助于可以控制的IT 資源獲取所需的信息，以實現企業目標。此外，COBIT 是一個通用的信息系統控制標準，它是一個建立內部控制的指導思想，缺乏足夠的實踐指引，與信息系統的實踐過程聯系不夠緊密和具體（吳炎太等，2009），這容易對信息系統的運行造成不必要的安全隱患。也就是說，在 COBIT 框架內，IT 技術是實現企業目標的載體和工具。伴隨 IT 資源而生的安全漏洞是對 COBIT 框架中 IT 準則的天然威脅，其直接威脅到 IT 資源的可用性、完整性、保密性和可靠性。違反了 COBIT 框架中的 IT 準則，內部控制的有效性就無法得到保證，而當內部控制形同虛設時，企業的固有風險和控制風險就加大了。

我國 2008 年頒布的《企業內部控制基本規范》第 7 條規定：“企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素?！?010 年頒布的《企業內部控制應用指引》第 18 號———信息系統中的第 3 章第 13 條規定：“企業應當綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全，防范來自網絡的攻擊和非法侵入?！薄镀髽I內部控制應用指引》從信息系統開發、運行維護與變更、系統安全性等方面提出了明確的要求，但沒有給出漏洞掃描的目標、頻度以及發現安全漏洞后的處理措施等。該指引自 2011 年 1 月 1 日起首先在境內外同時上市的公司中施行，2012 年 1 月 1 日起在上海證券交易所、深圳證券交易所主板上市的公司中實施。

因此，對于沒有按照上述準則建立內部控制系統的企業來說，其受到安全漏洞的威脅更大。

總之，潛在的安全漏洞對計算機及相關系統的安全性造成了潛在威脅，也即安全漏洞被發現并被利用后會對計算機及相關系統的保密性、完整性和可用性產生負面影響，影響企業的日常運營及內部控制效率，增加企業的固定風險和控制風險，也使企業在財務報表中出現重大錯漏的概率增大，而審計人員無法發現重大錯漏的概率也會提高，從而影響審計質量，也影響投資者對企業風險的評估，導致投資決策風險增大。

關于內部控制對審計風險的影響問題，現有文獻主要是從披露內部控制缺陷入手進行研究。要考察內部控制缺陷問題，首先需要了解導致內部控制缺陷的各種因素?，F有文獻主要從經濟因素方面進行了考察。Ashbaugh-Skaife 等（2007）采用 SOX 法案302 條款實施后且在 404 條款實施前上市公司在年報中自愿披露的內部控制缺陷數據進行了研究，發現相對于沒有披露內部控制缺陷的企業，披露了內部控制缺陷的企業具有更大的會計風險、更多的報表重述以及在披露內部控制缺陷前更多的審計師離職等。Doyle 等（2007）采用 SOX 法案 302 條款和 404條款實施后 SEC 要求強制披露內部控制實質性缺陷的上市公司數據進行了研究，發現披露內部控制缺陷的公司一般都是成立時間不長的小公司，這些公司的財務狀況較差，業務較復雜或者正在進行業務重組。Doyle 等認為，造成內部控制缺陷的因素不能一概而論，要根據各個公司面臨的具體問題進行具體分析。Leone （2007） 認為，Ashbaugh-Skaife（2007）和 Doyle 等（2007）首次把公司的特征與內部控制缺陷聯系起來，通過考察年報中披露了內部控制重要缺陷或者內部控制實質性缺陷的上市公司，發現造成內部控制信息披露風險的因素包括公司組織結構的復雜性、重要的組織變革以及公司在構建內部控制系統方面的投資力度，這三個因素具有較強的說服力。

總之，上述研究表明，企業內部控制缺陷導致固有風險和控制風險增大，但是鮮有文獻考察技術因素對內部控制缺陷的影響。

從內部控制缺陷對盈余質量的影響來考察內部控制缺陷經濟后果的文獻也有很多。Ge 和 McVay（2005）研究發現，披露了內部控制存在實質性缺陷的公司普遍存在可操控性應計方面的問題。Bedard（2006）發現，按照 SOX 法案 302 條款披露內部控制缺陷的公司較其他公司在披露當年有更多的可操控性應計利潤，而按照 404 條款披露內部控制缺陷的公司較其他公司在披露當年有更少的可操控性應計利潤。Mitehel（l2007）認為，存在重大內部控制缺陷的公司累計盈利能力較低且負債水平較高。Tang 和Xu（2007）發現，披露了內部控制存在實質性缺陷的公司較其他公司的運營績效和股票回報都要差。

Doyle 等（2007）發現，按照 SOX 法案 302 條款披露了內部控制實質性缺陷的公司較其他公司的盈余質量更差，而按照 404 條款披露的內部控制實質性缺陷與盈余質量沒有顯著的相關性。Ashbaugh-Skaife等（2008）通過考察內部控制缺陷及修復這些缺陷對盈余質量的影響，發現披露了內部控制缺陷的公司較其他公司的盈余管理程度更高。Chan 等（2008）認為，按照 SOX 法案 404 條款披露內部控制實質性缺陷的公司較其他公司存在更多的盈余管理。

Prawitt 等（2008）發現，內部審計功能（internal auditfunction，IAF）越強，可操控性總應計利潤的絕對值就越低，即盈余管理程度越低。Feng 等（2009）通過考察 SOX 法案 404 條款實施后 2004~2006 年樣本公司內部控制質量對管理層盈余預測精確度的影響，發現報告了內部控制缺陷的公司，其管理層盈余預測的精度和質量都顯著偏低。Altamuro 和 Beatty（2010）以美國的上市銀行為樣本進行了研究，發現FDICIA 的內部控制強制披露要求有助于提高銀行業貸款損失準備金的合理性、盈余的可持續性和現金流的可預測性。這些證據表明，公司內部控制的質量之所以能對盈余質量起到作用，是因為其較之以前的審計師、董事會及機構投資者增加了額外的監督機制。Doyle（2007）、Hogan 和 Wilkins（2008）認為，審計師的實質性測試可以作為內部控制的一種替代，部分地減輕內部控制實質性缺陷對于盈余質量的負面影響。

總之，上述研究表明，內部控制質量影響了盈余質量，即內部控制質量越差，信息風險越高。

還有一些文獻考察了內部控制缺陷對審計師行為的影響。Ashbaugh-Skaife 等（2007）研究了 302 條款實施后且在 SOX 法案 404 條款實施前上市公司在年報中自愿披露的內部控制缺陷數據，發現這些公司之所以主動發現并自愿披露內部控制缺陷，是因為它們更偏好于聘請知名的會計師事務所。Ash－baugh-Skaife 等（2008）通過考察內部控制缺陷及修復這些缺陷對盈余質量的影響，發現經過審計師確認并已彌補內部控制缺陷的公司較沒有整改的公司盈余質量有了較大提高。Raghunandan 和 Rama（2006）發現，存在內部控制缺陷的公司由于審計師需要付出更多的努力和承擔更大的法律風險而導致審計費用的提高。Hogan 和 Wilkins（2008）發現，披露了內部控制存在實質性缺陷的公司較其他公司具有更高的固有風險和信息風險，根據審計風險模型，審計師為了達到預期的審計風險水平，可能需要付出更多的努力，也即需要收取更高的審計費用，這種費用的提高也有可能是一種風險溢價。Yan（2007）研究發現，由于內部控制缺陷的增加不僅導致了較高的審計風險，還會影響審計師變更的頻率。L（i2007）研究發現，內部控制缺陷的增加使得會計錯誤發生的概率以及審計師發現這種錯誤的難度增加，審計師為了控制審計風險，需要加大工作范圍和工作量，從而導致審計的延遲，實質性內部控制缺陷造成的審計延遲較重大內部控制缺陷更長。L（i2007）、Yan（2007）進一步考察了實質性內部控制缺陷與審計師變更之間的關系，認為已經（或預期將要）發現實質性內部控制缺陷的公司，審計師主動辭職的概率較高，在這種情況下，“四大”事務所更不可能成為其繼任審計師；已經（或預期將要）收到負面內部控制審計意見的公司，審計師主動辭職的概率較高，而審計師辭職之后公司獲得非標審計意見的概率更大，說明公司無法通過更換審計師實現審計意見購買。Li（2007） 還考察了客戶重要性在 SOX 法案頒布前后對審計師獨立性的影響，發現在 SOX 法案頒布之前，客戶重要性對審計師獨立性沒有顯著影響，而在SOX 法案頒布之后，客戶重要性對審計師的獨立性具有顯著的正向影響。

總之，上述文獻考察的是內部控制質量對審計師行為的影響，結果表明，企業的內部控制缺陷導致了固有風險和控制風險的增加，審計師為了達到預期的審計風險水平，增加了測試項目，目的是達到控制審計風險的目標。

以上研究都是基于美國的制度背景展開的。模型（1.1）的定義是來自于美國審計準則的公告，其隱含的制度背景是成熟的資本市場，特別是在 SEC 強大的監管能力以及完善的、執行力很強的美國司法制度下，審計師非常在意自己的聲譽。也就是說，審計師對于所面臨的風險會理性地進行控制，如在面對較大風險時會選擇主動辭職（Li，2007；Yan，2007），或者增加風險溢價 （Hogan and Wilkins，2008）。但在我國這樣的新興資本市場上，投資者保護的制度環境是較弱的（LaPorta et al.，1997；LaPortaet al.，1999；LaPorta et al.，2000），因此，在考察我國資本市場上的行為時，要充分考慮制度背景因素，即要將模型（1.1）擴展為審計師風險模型（1.2）（陳正林，2006）。

審計師風險（Auditor Risk）=審計風險×制度風險=審計風險×審計失敗被識別的風險×懲罰力度×懲罰執行力 （1.2）模型（1.2）其實也反映了審計質量是發現會計報表重大錯漏的概率及報告該錯漏概率的聯合分布函數（DeAngelo，1981）的思想。模型（1.2）中的審計風險反映的是審計師執業能力的技術風險，而制度風險反映的是由于審計師技術風險導致的審計失敗被識別出來的概率以及審計失敗被識別后的懲罰力度及其執行力。由模型（1.2）可知，當制度風險很大時，審計師必然要主動降低審計風險，從而使審計質量提高；若制度風險很小，審計師就沒有動力去降低審計風險，從而使審計質量降低，即識別制度和懲罰制度的有效性決定了審計師的行為（陳正林，2006）。

在美國，SOX 法案頒布實施之后，審計師面臨的制度風險陡增，而且成熟資本市場上有很多專業的機構投資者、分析師等，從而使審計失敗被識別的概率大大提高，審計師必然會努力控制審計風險。在美國這種成熟的司法和資本市場的制度背景下，模型（1.2）和模型（1.1）具有一致性，而要考察我國的資本市場，模型（1.2）具有更好的解釋力。

“銀廣夏”事件的發生，直接促成了 2002 年 1 月15 日《最高人民法院關于受理證券市場因虛假陳述引發的民事侵權糾紛案件有關問題的通知》的出臺。

2003 年 1 月 9 日最高人民法院發布了《最高人民法院關于審理證券市場因虛假陳述引發的民事賠償案件的若干規定》，這項法律要求由法院受理和審理因虛假陳述引發的證券市場上的民事侵權糾紛案件，這在一定程度上對審計師的不作為產生了較大的威懾力。2007 年 6 月 15 日最高人民法院又頒布了專門針對審計師的司法解釋———《關于審理涉及會計師事務所在審計業務活動中民事侵權賠償案件的若干規定》。這個司法解釋的出臺，進一步加大了主張者舉證的難度，也就是說，司法解釋的實施成本更大。雖然法律允許普通投資者對審計師的不當行為提起民事訴訟，但由于成本過高且收益偏低，審計師被提起訴訟的概率很低。另外，非標審計意見的出具頻率比以往有了很大的提高（Defond et al.，2000），但這并沒有改變由于低風險的司法制度環境造成我國上市公司審計質量總體偏低的狀況（劉峰、許菲，2002）。

由于投資者保護較差（Allen et al.，2005），審計市場的整體審計質量偏低（Wang et al.，2008；楊德明等，2009）。在較小的制度風險下，審計師的風險也很小，其作為理性的經濟人，沒有動力去努力提高審計質量。只有在非審計風險過大時，審計師為了維持個人的聲譽以及懼于法律的威懾力，才會努力降低審計風險，這也是我國會計職業界承受的法律風險一直較低（劉峰，許菲，2002）的原因之一。這一情況表明，模型（1.2）是適用于我國的資本市場的。

研究我國內部控制的文獻較少。李艷姣（2009）通過考察 2007 年深市 A 股上市公司的情況，發現內部控制缺陷與審計收費不存在顯著相關性。方紅星等（2009）考察了滬市非金融上市公司 2003~2005年年度報告中自愿披露的內部控制信息，發現上市公司是否自愿披露內部控制信息與非標審計意見類型顯著負相關；在影響上市公司內部控制信息自愿披露的因素中，外部審計沒有顯著影響。李享（2009）梳理了我國強制性披露內部控制信息的文獻，發現內部控制自評報告、審核意見的披露屬于公司自愿的選擇性行為，也就是說，外部審計師在面對內部控制缺陷時存在一定的審計意見購買行為。楊德明和胡婷（2010）通過考察 A 股上市公司 2007~2008 年的數據，發現內部控制與外部審計之間存在一定的替代效應，而且這種替代效應與審計費用呈顯著的正向關系。財政部駐河北省財政監察專員辦事處課題組（2005）也發現，市場需求主體對高質量的審計產品缺乏內在需求。Wang 等（2008）認為，審計市場總體上并不需要甚至排斥高質量的審計。楊德明等（2009）認為，審計市場尚不成熟，審計質量并不太高。辛清泉和黃琨（2009）發現，中天勤事件之后，事務所為了避免客戶的大量流失，審計師更可能在客戶的壓力下妥協，在其他條件不變的情況下，非標意見的出具概率在下降。楊德明和胡婷（2010）的研究表明，對于審計費用比較缺乏的公司，審計師一旦發現其內部控制質量較高，就有可能大幅度減少實質性測試；反之，對于審計費用比較充裕的公司，審計師即使發現其內部控制質量較高，也不太可能大幅度減少實質性測試。

以上研究表明，在我國，不論是否要求強制性披露內部控制缺陷，公司都存在較大的購買審計意見的可能，也就是說，內部控制質量對審計師出具審計意見沒有顯著影響。這與 L（i2007）、Yan（2007）的研究結論不一致，說明由于我國的制度風險過低，審計師沒有對由內部控制缺陷所導致的控制風險、固有風險（信息風險）進行充分的審計風險調整，因此，識別制度和處罰制度的共同失靈，是造成我國審計質量不高的根本原因（陳正林，2006）。這些研究成果也進一步檢驗了模型（1.2）在我國資本市場上的適用性。

此外，Chen 等（2010）通過考察中國 1995~2004年間的上市公司，認為 2001 年之后由于制度環境更有利于投資者，對于簽字審計師來說，客戶重要性越高，其越有可能出具非標審計意見，而對于事務所來說，客戶重要性對于出具非標審計意見沒有顯著影響。但 Chen 等（2010）的問題在于，忽視了中國的特殊制度背景，即中國審計市場上的簽字審計師很少是真正參與審計的審計師，他們多是部門經理或者是事務所的合伙人，所以用簽字審計師來考察客戶重要性存在很大的偏誤，這也許是其沒有發現事務所客戶重要性對審計意見具有顯著影響的原因之一。Chen 等（2010）還為新興資本市場的政策制定者提出了完善投資者保護制度的建議。由模型（1.2）可知，僅強調制度的重要性有失偏頗。我們認為，新興資本市場的政策制定者不僅需要制定政策，更需要推進和落實政策，我國最高法院頒布的《關于審理證券市場因虛假陳述引發的民事賠償案件的若干規定》就是最好的反例。伍利娜等（2010）也認為，2003年 1 月 9 日最高法院頒布的《關于審理證券市場因虛假陳述引發的民事賠償案件的若干規定》，增大了審計師的法律風險。以上觀點是把單一法規的出臺等同于整個制度環境的改變，混淆了制度預期與制度現實，研究中發現的是市場對于低制度風險的渴望，但制度的現實卻與之相反?！蛾P于審理證券市場因虛假陳述引發的民事賠償案件的若干規定》從出臺至今已經八年之久，但沒有一個由于觸犯該法律而受到應有懲罰的案例，這當然不能說明我國的制度是完美的。2005 年開始實行的股權分置改革是一個很好的事件研究，申慧慧等（2009）通過考察股權分置改革對上市公司盈余質量的影響，發現非國有控股上市公司向上盈余管理的程度顯著提高。伍利娜、朱春艷（2010）也發現，股改后審計師在一定程度上配合上市公司實現了向上的盈余管理及審計意見購買。晏艷陽、趙大瑋（2006）認為，股權分置改革中存在較為嚴重的內幕交易行為。這些研究表明，制度環境并沒有發生大的變化，制度風險依然不大，否則，盈余管理的程度至少不應該提高。由模型（1.2）可知，在新興資本市場國家，特別是在司法制度不成熟的國家，制度的執行力才能真正決定政策的經濟后果，而不能僅僅把政策的制定視為制度的執行力。

綜上所述，現有文獻主要是從公司經濟特征所導致的內部控制質量問題及其經濟后果來考察其對審計風險和（或）審計師風險的影響，鮮有文獻考察構建內部控制技術架構所導致的內部控制缺陷，即僅把內部控制的技術架構視為外生變量。近年來，IT及其相關技術已成為公司內部控制的基礎技術，其一旦出現問題，公司的整個運營都要受到影響。本文正是基于這個前提，結合我國的制度背景，把內部控制的 IT 技術及其相關技術架構視為內生變量，考察技術架構自身的缺陷———安全漏洞對內部控制的影響，進而考察其對企業的固有風險、控制風險和（或）信息風險及審計師檢查風險的影響，最終考察這些風險對審計風險和審計師風險的影響。

三、研究假設和設計

（一）研究假設

Microsoft 公司將安全漏洞對系統的危害程度劃分為四個等級，分別是：（1）危急型安全漏洞，即無需用戶激活的網絡蠕蟲傳播的安全漏洞；（2）高危型安全漏洞，該安全漏洞被利用后，會使用戶數據的機密性、完整性和有效性遭到破壞；（3）中危型安全漏洞，該安全漏洞被利用比較困難，會受到配置、驗證等諸多因素的限制，其對系統的影響較??；（4）低危型安全漏洞，該安全漏洞被利用非常困難，對系統的影響也非常小。根據以上定義，本文只考察影響較大的危急型安全漏洞和高危型安全漏洞（簡稱嚴重型安全漏洞）。

嚴重型安全漏洞破壞力強、危害大，各大軟件廠商或硬件廠商會通過各種渠道公告其危害性以減少用戶不必要的損失，并建議用戶下載安全補丁及時進行漏洞修復，各種媒體也會爭相報道，提醒用戶這類漏洞對計算機及相關系統的危害程度和可能造成的損失。因此，嚴重型安全漏洞受到的關注較多，公眾對其危害也有足夠的認識和防范，從而可以防止惡意用戶利用該安全漏洞進行攻擊。對于企業用戶來說，嚴重型安全漏洞對于其內部控制的危害程度更大，企業用戶會密切關注安全漏洞的防護措施，及時下載補丁修復程序進行修補，以保持內部控制技術基礎架構的穩定性、完整性、安全性和有效性。但是，安全漏洞被發現并公告后，企業的反應可能不及時，同時，廠商補丁程序的開發和測試需要時間，在這段空白區的時間內，企業內部控制缺陷被暴露的概率陡增，且缺陷的嚴重程度也迅速提升。當廠商針對這些漏洞發布補丁程序后，補丁程序也可能導致新的安全漏洞隱患。因此，發現嚴重型安全漏洞，意味著內部控制缺陷被暴露的概率陡增且嚴重程度加劇，這會極大地提高企業的控制風險、固有風險和（或）信息風險。根據審計風險模型，當企業的控制風險和固有風險增大時，審計師為了控制整體的審計風險，會主動降低檢查風險，即審計師會更加努力地控制審計風險。同樣，由于危急型或高危型安全漏洞的出現會導致內部控制缺陷的危害程度加劇，如果審計師不努力審計，審計風險就會迅速提高，從而加大審計師的個人風險。因此，作為理性的經濟人，審計師在法律的威懾下必然會更加努力地降低審計風險。但是，在我國，會計職業界承受的法律風險仍然較低（劉峰、許菲，2002），再加上審計市場并不需要甚至排斥高質量的審計（Wang et al.，2008），因此，審計市場的審計質量并不太高（楊德明等，2009）。也就是說，我國的審計師沒有太大的動力去付出更多的努力。但是，如果審計師不努力工作，他們可能會受到來自其他非司法方面的處罰，如中注協的處罰，在這種情況下，審計師為了避免行政類的處罰，需要得到一定程度的風險溢價?；谝陨戏治?，我們提出假設 H1 和 H1a。

H1：嚴重型安全漏洞發生的頻度與信息風險（審計風險）正（負）相關。

H1a：嚴重型安全漏洞發生的頻度與審計收費正相關。

1995 年《中共中央關于制定第九個五年計劃和2010 年遠景目標的建議》提出，要“重點改造國有大中型企業，加快國民經濟信息化進程”。2000 年《中共中央關于制定國民經濟和社會發展第十個五年計劃的建議》提出，大力推進國民經濟和社會信息化，是覆蓋現代化建設全局的戰略舉措。以信息化帶動工業化，發揮后發優勢，實現社會生產力的跨越式發展。在“國有企業建立管理科學的現代企業制度”之后，2001 年國家科技部啟動了國家制造業信息化工程以落實“以信息化帶動工業化”，并集中了科技攻關計劃和 863 計劃兩大資源，共出資 8 億元，加上地方配套資金和企業自籌資金，總經費超過 100 億元。

2002 年黨的十六次全國代表大會明確提出“信息化帶動工業化，工業化促進信息化”的戰略指導方針（王立彥、曾建光，2011）。在“信息化帶動工業化”的戰略指導下，國有企業的信息化程度不斷提高，相應的 IT 投資也很高，因此，國有企業一旦出現嚴重型安全漏洞，IT 投資的作用就會顯現，如使用一些軟件公司的專殺工具進行系統安全處理或者應用軟件提供的補丁等進行排查，這些信息安全隱患的排查會產生一定的溢出效應（曾建光，2011），從而降低國有企業的控制風險、固有風險和（或）信息風險。

由假設 H1 可知，由于嚴重型安全漏洞破壞力強、危害大，其一旦被惡意攻擊者發現，信息安全性就會受到極大的威脅。嚴重型安全漏洞出現的頻度高，意味著內部控制缺陷被暴露的概率陡增且其嚴重程度會加劇，從而極大地提高企業的控制風險、固有風險和（或）信息風險。對于國有企業而言，由于其IT 投資較高，其抵抗控制風險、固有風險和（或）信息風險的能力也較強。也就是說，國有企業降低控制風險、固有風險和（或）信息風險更多是出于保證日常運營順利進行的目的，而不是真正改善內部控制的質量，內部控制質量還是處于與以前相近的水平，實質上的控制風險會進一步放大。根據審計風險模型，當企業的內部控制缺陷嚴重性較高時，控制風險增加的幅度較大，而固有風險和（或）信息風險的降低無益于整體控制風險的控制。也就是說，整體而言，國有企業的 IT 投資能夠起到一定的弱化風險的作用。此外，國有經濟中作為所有者的國家與各級政府機構和企業經營者之間存在多層次等級式的委托代理關系（韓朝華，1995），政府在經濟發展中依然起著主要的作用，我國的上市公司大部分是國有企業且國有股占比較高。會計師事務所大部分是改制而來，其改制前大多為國有，改制后也與政府部門和國有企業保持著密切聯系（吳聯生、劉慧龍，2008）。此外，我國公司的內部控制信息自愿性披露激勵不足，內部控制自我評價及審計師的核實評價缺乏統一的標準（楊有紅、汪薇，2008），再加上對于高質量審計的需求不足（Wang et al.，2008）、審計市場不成熟（楊德明等，2009）、客戶壓力大（辛清泉、黃琨，2009）、法律執行不力（陳正林，2006）等，使得與政府部門和國有企業保持著密切聯系的審計師在面對國有企業控制風險增加幅度較大、固有風險降低幅度較小時，控制檢查風險的激勵不大，也即審計風險并沒有降低。同時，國有企業容易給審計師造成一種錯覺，即國企在面對嚴重型安全漏洞發生頻度較高的情況下，其 IT投資能夠確?？刂骑L險不會過大。

總之，基于我國特有的制度背景，在國有企業嚴重型安全漏洞發生頻度較高的情況下，審計師沒有動力去控制檢查風險，同時，由于其客戶是國有企業，審計師也不會額外收取風險溢價。也就是說，來自于外部的技術沖擊對于 IT 投資較高的國有企業而言，其內部控制質量具有較高的抗風險能力，與審計師也有較高的談判能力和優勢，因此，其審計收費顯著下降?；诖?，本文提出假設 H2 和 H2a。

H2：對于國有控股公司而言，嚴重型安全漏洞發生的頻度與信息風險（審計風險）負（正）相關。

H2a：對于國有控股公司而言，嚴重型安全漏洞發生的頻度與審計收費負相關。

由假設 H1 可知，由于嚴重型安全漏洞破壞力強、危害大，其發生頻度高意味著內部控制缺陷被暴露的概率陡增且其嚴重程度加劇，從而極大地提高了企業的控制風險、固有風險和（或）信息風險。對于由“四大”審計的公司而言，由于其很少出現報表違規等情況（DeFond and Jiambalvo，1991），“四大”較非“四大”更不能容忍客戶的盈余管理（Becker et al.，1998），“四大”的審計質量也更高（Palmrose，1988；Deis and Giroux，1992；Mutchler et al.，1997；Krishnanand Schauer，2000；Fuerman，2004）。因此，嚴重型安全漏洞發生的頻度越高，“四大”審計的努力程度也越高，客戶的信息風險和審計風險就會越低。由于“四大”付出了更多的努力，其審計收費也更高?；诖?，本文提出假設 H3 和 H3a。

H3：對于由“四大”審計的公司而言，其安全漏洞發生的頻度與信息風險（審計風險）負相關。

H3a：對于由“四大”審計的公司而言，其安全漏洞發生的頻度與審計收費正相關。

（二）研究設計

1.信息風險。本文參照 Hogan 和 Wilkins（2008）的做法，采用應計盈余質量作為度量信息風險的代理變量。夏立軍（2003）認為，在中國的市場上，修正的 Jones（1991）模型能夠較好地估計超額應計利潤。

因此，本文運用修正的 Jones（1991）模型（Dechow etal.，1995）按照年度和行業分別估計每個公司的非預期應計利潤，行業分類以證監會 2001 年發布的《上市公司行業分類指引》 為標準。本文借鑒 Barth（2008）、Cohen （2008）、Chen 等 （2010）、 劉 啟 亮（2010）的做法，設定了如下模型（2）：

2.審計風險與審計風險溢價。本文采用審計意見作為衡量審計風險的代理變量，并參照 Chen 等（2010）的做法，對不同的審計意見類型進行不同的編碼賦值，即審計意見為標準無保留意見設為 4，審計意見為無保留意見加事項段設為 3，審計意見為保留意見設為 2，審計意見為保留意見加事項段設為 1，審計意見為無法發表意見設為 0。為了測度審計師面對不同審計風險時的行為，我們參照 Hogan和 Wilkins（2008）的做法，采用審計收費作為度量審計師面對風險時的風險溢價或者付出努力的代理變量。同時，參考王守海（2009）、伍利娜（2003）、Lennox（2005）、劉繼紅（2010）研究國內審計收費的做法，設定了如下模型（3）：

模型（2）、（3）的變量定義如表 1 所示。

本文的上市公司所屬行業及終極控制人屬性、財務數據和安全漏洞數據分別來源于 2005~2009 年的 Sinofin 數據庫、CSMAR 財務數據庫和中國國家安全漏洞庫。我們剔除了金融企業的數據和有缺失值的樣本公司，同時為了避免極端值的影響，對控制變量中的連續變量按照 1%進行了 Winsorize 處理，樣本的描述性統計如表 2 所示。

由表 2 的描述性統計可知，信息風險（AbsD－TAC）的均值為 0.089，中位數為 0.052，中位數與均值差異較大，最大值為 0.786，最小值為 0.001，說明樣本期內的公司信息風險差異較大。審計風險（AuditRisk）的均值為 3.825，中位數為 4.000，中位數與均值差異不大，說明樣本期內的公司審計風險差異不大。審計收費（LnAuditFee）的均值為 13.136，中位數為 13.082，中位數與均值差異較大，最大值為14.907，最小值為 11.918，說明樣本期內的審計收費差異較大。嚴重型安全漏洞發生頻度（Vul）的均值為12.992，中位數為 15.338，最大值為 18.136，最小值為 6.015，說明嚴重型安全漏洞在樣本期內出現比較頻繁，并且年度之間的差異較大。

四、檢驗結果

（一）樣本回歸結果

表 3 的模型 1 報告了安全漏洞發生頻度（Vul）與信息風險（AbsDTAC）的回歸結果。安全漏洞發生頻度（Vul）的系數顯著為正，說明嚴重型安全漏洞發生的頻度越高，信息風險（AbsDTAC）就越大。也就是說，嚴重型安全漏洞發生的頻度越高，企業的內部控制風險就越大，進而導致企業的信息風險、固有風險及審計師審查風險顯著增大。由于固有風險會嚴重影響企業的運營，企業會努力控制固有風險，而對其他與企業正常運營無關的風險沒有動力去控制和降低，因此，安全漏洞發生的頻度越高，信息風險就越大，假設 H1 得到了驗證。

表 3 的模型 2 報告了安全漏洞發生頻度（Vul）與審計風險（AuditRisk）的回歸結果。模型 2 的安全漏洞發生頻度（Vul）系數顯著為負，說明嚴重型安全漏洞發生的頻度越高，審計風險（AuditRisk）就越小。

也就是說，由于嚴重型安全漏洞發生的頻度高，企業的內部控制風險加大，導致企業的信息風險、固有風險及審計師審查風險顯著增大，審計師為了保持與以往相近的審計風險水平，需要付出額外的努力控制過高的審查風險，從而使審計風險變小，假設 H1 得到了驗證。

表 3 的模型 3 報告了安全漏洞發生頻度（Vul）與審計收費的回歸結果。模型 3 的自變量系數都顯著為正，說明嚴重型安全漏洞發生的頻度越高，審計收費（LnAuditFee）就越高。也就是說，由于嚴重型安全漏洞發生的頻度高，企業的內部控制風險加大，導致企業的信息風險、固有風險及審計師審查風險顯著增大，審計師為了保持與以往相近的審計風險水平，需要付出額外的努力控制過高的審查風險，對這些額外的努力需要收取更多的審計費用，即審計收費會提高，假設 H1a 得到了驗證。

綜上所述，由于嚴重型安全漏洞發生的頻度越高，內部控制缺陷被暴露得越明顯，其危害也越大，從而使企業的控制風險、固有風險和信息風險增大，審計師面臨的制度風險也陡增。審計師為了控制個人風險，必然會對風險進行溢價處理，即增加審計收費，以平衡審計風險。由此，假設 H1a 得到了驗證。

嚴重型安全漏洞發生的頻度較高時，公司的信息風險會顯著提高，即公司可能會利用嚴重型安全漏洞謀取私利，因此，信息風險在嚴重型安全漏洞下會增大。這一結果也為 Hogan 和 Wilkins（2008）的研究提供了解釋，即審計收費的提高究竟是因為審計師付出了更多的努力，還是對內部控制缺陷所導致風險的一種溢價。

表 4 報告了采用模型（2）~（4）檢驗國有企業嚴重型安全漏洞發生頻度（State × Vul）的回歸結果。從模型 1 嚴重型安全漏洞發生頻度（Vul）和國有控股公司（state）交乘項（State × Vul）與信息風險的回歸結果來看，交乘項的系數顯著為負，說明國有企業在嚴重型安全漏洞發生頻度很高時，其信息風險顯著降低。也就是說，由于嚴重型安全漏洞發生的頻度很高，導致企業的內部控制風險增大，進而使企業的信息風險和固有風險及審計師審查風險顯著增大。但由于國有企業的 IT 投資較多，信息化程度較高，因此，在出現嚴重型安全漏洞時，企業能夠及時得到軟件廠商、第三方的技術支持以及相關技術人員的服務，可以較好地抵抗固有風險。此外，由于信息化程度較高，國有企業獲得的技術服務能夠產生溢出效應，從而能夠較好地降低信息風險，假設 H2 得到了驗證。

表 4 的模型 2 報告了嚴重型安全漏洞發生頻度（Vul）和國有控股公司（state）的交乘項（State × Vul）與審計風險的回歸結果。交乘項的系數顯著為正，說明大公司的嚴重型安全漏洞發生頻度越高，其審計風險就越大。也就是說，由于國有企業的 IT 投資較多，信息化程度較高，其在出現嚴重型安全漏洞時，能夠及時得到專業的技術服務，從而很好地降低由內部控制風險所導致的信息風險和固有風險，其目的是確保企業的正常運營及資產安全。但安全漏洞所導致的審計師審查風險無法通過內部控制中的技術安全手段來降低，審計師在審計國有企業時，容易被技術掩蓋的內部控制信息安全性所迷惑，其沒有動力付出更多的努力，從而使審查風險升高，審計風險增大。由此，假設 H2 得到了驗證。

表 4 的模型 3 報告了嚴重型安全漏洞發生頻度（Vul）和國有控股公司（state）的交乘項（State × Vul）與審計收費的回歸結果。交乘項的系數顯著為負，說明國有企業的嚴重型安全漏洞發生頻度較高時，審計師對其的審計收費顯著下降。由表 4 模型 1 和模型 2 的結果可知，對于國有企業而言，其 IT 投資較高，能夠較好地抵制來自外部的沖擊，由內部控制中嵌入的技術缺陷所導致的負面影響相對不大，企業的內部控制質量能夠保持相對穩定。由于審計國有企業的制度風險較低，審計師沒有動力為較低的審查風險付出更多的努力，其審計收費也會顯著下降。

由此，假設 H2a 得到了驗證。

綜合表 4 的結果可知，對于國有企業而言，危急型與高危型安全漏洞發生的頻度越高，信息風險就顯著越低，但審計風險顯著越高，說明國有企業的 IT投資價值在信息風險和審計收費中體現得非常明顯。同時，這也表明國有企業在出現危急型與高危型安全漏洞時，可能會利用安全漏洞謀取私利，因此，其審計風險會顯著提高。此外，在我國特殊的制度背景下，審計師不減少檢查風險，其個人的審計風險增幅也不大，由于制度風險偏低（劉峰、許菲，2002），審計師整體上的風險增幅更低，因此，審計師沒有動力對國有企業嚴重型安全漏洞所導致的內部控制缺陷進行控制，從而使審計風險增加，而審計收費卻顯著降低。

表 5 報告了采用模型（2）~（4）檢驗“四大”對嚴重型安全漏洞發生頻度（big4 × Vul）的回歸結果。從模型 1 嚴重型安全漏洞發生頻度和“四大”的交乘項（big4 × Vul）與信息風險的回歸結果來看，交乘項的系數顯著為負，說明由“四大”審計的公司危急型安全漏洞發生的頻度越高，信息風險就越低，假設 H3得到了驗證。

表 5 的模型 2 報告了嚴重型安全漏洞發生頻度和“四大”的交乘項（big4 × Vul）與審計風險的回歸結果。交乘項的系數為負，但不顯著，說明由“四大”審計的公司不管危急型安全漏洞發生的頻度有多高，其審計風險也沒有發生顯著的變化。模型 1 和模型 2 的結果表明“，四大”的審計質量較高，能夠很好地控制信息風險和審計風險，假設 H3 得到了驗證。

表 5 的模型 3 報告了嚴重型安全漏洞發生頻度和“四大”的交乘項（big4 × Vul）與審計收費的回歸結果。交乘項的系數顯著為正，說明由“四大”審計的公司嚴重型安全漏洞發生的頻度越高，其審計收費也顯著越高。

綜合表 5 的結果可知，對于由“四大”審計的大公司而言，嚴重型安全漏洞發生的頻度越高，其信息風險顯著越低，但審計風險沒有發生顯著變化，說明嚴重型安全漏洞發生的頻度越高，由內部控制嵌入技術所導致的內部控制風險也顯著越高，由于其危害太大“，四大”的審計師必然會提高控制信息風險的努力程度，其審計收費也就顯著提高，假設 H3a得到了驗證。

以上研究在一定程度上檢驗了《企業內部控制應用指引》第 18 號的規定：“企業應當綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全，防范來自網絡的攻擊和非法侵入?！边@也進一步表明，對安全漏洞加以足夠的重視，有利于減少企業的內部控制缺陷，這為陳志斌（2007）提出的“應引入防范嵌入在軟件中的漏洞風險的內部控制架構”提供了一個實證證據。

本文的研究表明，我國企業在出現嚴重型安全漏洞所導致的內部控制缺陷時，信息風險顯著提高，審計風險顯著降低，而審計收費卻顯著提高，這種收費是對內部控制缺陷所導致的風險的一種溢價。因此，我國的資本市場要想健康發展，必須提高內部控制的質量。對于處在信息生態環境中的企業而言，在實施、評價內部控制時，需要加強信息技術的使用，同時，不可忽視信息技術對內部控制的負面效用，加強企業內部控制中的信息技術管控，提高相關專業人員的素質。本文的研究還表明，在我國，審計風險模型和審計師風險模型具有較好的解釋力。為了培育良好的審計市場，需要加強政策的制定，并加大政策的執行力度。

（二）穩健性分析

以上研究是基于安全漏洞各個類別的占比對審計風險和信息風險的影響，考察的是相對指標的影響。那么，安全漏洞各個類別的數量對于審計質量的影響又是怎樣的呢？前述結論能否得到有效的支持呢？基于此，本文進行了如下穩健性測試：采用安全漏洞的數量分別進行回歸，研究結論仍得到了支持；將嚴重型安全漏洞分拆為危急型安全漏洞和高危型安全漏洞分別進行回歸，研究結論仍得到了支持；對模型（2）不控制年度和行業進行回歸，結果與前面一致。由穩健性檢驗可知，本文的研究結論具有較好的穩健性。

五、研究結論及不足

在互聯網及移動互聯網日益發展的今天，信息安全對于一個國家的重要性毋庸置疑。本文通過考察威脅信息安全的首要因素———安全漏洞，結合審計風險模型和制度經濟學原理構建了審計師風險模型，分析了安全漏洞對我國審計市場的影響。我們根據安全漏洞的影響范圍、利用方式、攻擊后果等，將其分為危急型、高危型、中危型和低危型四個類別，考察了危急型和高危型安全漏洞對公司內部控制技術架構的影響以及對審計風險和信息風險的影響。

研究發現，在其他條件相同的情況下，嚴重型安全漏洞發生的頻度與信息風險和審計收費顯著正相關，與審計風險顯著負相關；在其他條件相同的情況下，對于國有企業而言，嚴重型安全漏洞發生的頻度與信息風險和審計收費顯著負相關，與審計風險顯著正相關；對于由“四大”審計的公司而言，嚴重型安全漏洞發生的頻度與信息風險顯著負相關，與審計收費顯著正相關。

本文的研究為處于信息化生態環境下的企業內部控制“應該引入防范嵌入在企業管理控制軟件中的漏洞風險的內部控制架構”（陳志斌，2007）提供了一個實證檢驗，也為《企業內部控制應用指引》的實施提供了一個實證證據。Hogan 和 Wilkins（2008）認為，內部控制缺陷越嚴重，審計收費就越高，這其中可能有兩個原因：一是審計師付出了更多的努力；二是審計師沒有付出更多的努力，這只是對內部控制缺陷所導致的風險的一種溢價。本文的研究表明，在我國的市場上，由于制度風險偏低，審計師只會在內部控制缺陷非常大的情況下控制審計風險，而且對信息風險視而不見，沒有實質性地付出更多的努力。

Hogan 和 Wilkins（2008）提出的由內部控制缺陷所導致的審計費用（審計師努力程度的代理變量）提高，在中國的資本市場上不是審計師的報酬，而是風險的溢價，即其可能成為“出頭鳥”的風險溢價。

本文的研究也為促進我國資本市場的健康發展、加強政策的制定、加大法律法規的執行力度提供了一個實證證據。在我國特殊的制度背景下，僅僅依賴于政府的監管不足以培育出真正具有審計獨立性的資本市場（Defond et al.，2000），應該加強政策的制定和實施。

本文的不足之處在于：由于沒有考察每一個公司實際受到的安全漏洞威脅，可能存在一定程度的偏頗。另外，本文只考察了發現安全漏洞的情況，而沒有考察安全漏洞修復情況對審計風險和信息風險的影響。后續的研究可以圍繞這兩個方面展開，采用最新的數據進一步驗證 Hogan 和 Wilkins（2008）、Chen 等（2010）的研究結論。

參考文獻：
［1］財政部駐河北省財政監察專員辦事處課題組． 會計師事務所審計收費監管制度分析及政策建議［J］．會計研究，2005（3）：11-15.
［2］曾建光.信息安全漏洞風險與會計年報的及時性［J］．中國注冊會計師，2011（10）：115-120.
［3］陳正林．審計風險、審計師風險及制度風險［J］．審計研究，2006（3）：88-92.
［4］陳志斌． 信息化生態環境下企業內部控制框架研究［J］．會計研究，2007（1）：30-37.
［5］方紅星，孫 翯，金韻韻.公司特征、外部審計與內部控制信息的自愿披露———基于滬市上市公司2003~2005年年報的經驗研究［J］．會計研究，2009（10）：44-52.
［6］李 享．美國內部控制實證研究：回顧與啟示［J］．會計研究，2009（1）：87-95.
［7］李艷姣．內部控制質量與審計定價的相關性研究［D］.廣州：暨南大學，2009.
［8］劉 峰，許 菲．風險導向型審計·法律風險·審計質量──兼論“五大”在我國審計市場的行為［J］．會計研究，2002（2）：21-27.
［9］劉 峰，周福源．國際四大意味著高審計質量嗎［J］．會計研究，2007（3）：79-87.
［10］劉繼紅．高管會計事務所關聯、審計任期與審計質量［J］．中國會計與財務研究，2011（1）：114-124.
［11］劉啟亮，何威風，羅 樂．IFRS 的強制采用、新法律實施與應計及真實盈余管理［R］．武漢大學，2010.