浅谈审计软件开发风险评估:审计软件开发风险评价拓展

【摘 要】 审计软件项目开发风险是影响审计质量的重要因素。文章分析了审计软件开发过程中可能遇到的风险，并对风险评价指标体系进行了有效的拓展，以使关于审计软件项目开发风险的评价更为客观、科学。

【关键词】 审计软件； 开发风险； 评价指标； 拓展

一、审计软件开发过程中可能迂求的风险

（一）审计软件开发的外部风险

1.社会环境及其风险

审计软件作为计算机审计的重要工具，它具有很强的专业性。审计软件的基本功能包含审计全过程，审计计划、符合性测试、数据读取、数据分析、报告输出等都可由审计软件辅助完成。会计师事务所审计软件的设计必须严格按照国家有关会计和审计的法律制度，否则软件产品就不合格，不能在实际工作中应用，导致项目失败，这是审计软件最主要的外部风险；另外如项目延期完工，产品性能低于预期等也会让供应商不满，给项目带来风险。

2.外部资源及其风险

软件供应商或软件项目的实施咨询服务商是软件项目的外部资源条件。我国会计师事务所实施审计软件项目所需的外部资源不佳，为实施审计软件项目，会计师事务所面临着两难选择，一是选择国外较成熟的商业化软件，但这些产品的价格一般都很高，预算上难以承受；二是选择国产软件，国产软件大多不太成熟，性能不稳定。不论做何种选择，都有着极大的风险性，难以作出正确的决定。这种软件选型风险称之为软件供应商选择风险。如果软件选购的经办人员出现贪腐行为，那么这种风险更大。

（二）审计软件项目的内部风险

1.软硬件选择风险

在自身软件开发能力不足的情况下，会计师事务所审计机构可以联合软件公司共同进行审计软件的开发工作。利用这种方式开发审计软件具有以下优点：审计软件开发任务主要由外部技术力量承担，审计机构参与开发的人员主要是在软件需求和系统分析方面进行配合，因此对审计机构的软件开发能力要求低。同时在合作开发机构的技术支持下，能保证开发出来的审计软件具有较高的水平和较强的功能。

2.实施过程风险

（1）项目实施人员方面所带来的风险。审计软件的项目实施人员由软件供应商和会计师事务所两方面组成，项目能否顺利实施、实施时间能否尽量缩短，取决于实施人员的经验和参与程度。一般来说，高效可靠的项目组都有以下特点：软件供应商方面的人员经验丰富、技术扎实；会计师事务所方面参与项目的人员则是涉及面广，特别是业务部门要积极参与。不同的项目参与者在审计软件项目的实施过程中所起的作用不一样，他们有着各自的职责分工，任何一方的参与者出现问题，都会给审计软件项目带来很大风险。

（2）延期风险。是否延期是衡量项目管理水平的一个重要方面，会计师事务所审计软件项目的实施过程都较长，一般需要一到两个季度，有的甚至超过一年。因此，项目进度计划控制的好坏直接影响项目。如果能做好项目进度控制、按预定计划完成各项工作任务，就能削减项目的延期风险。

（3）超预算风险。项目预算的执行状况也是项目管理水平的重要体现。软件项目投资弹性大，成本预算偏软性，成本风险较大。同时由于软件项目实施时间长、期间通货膨胀等外部因素会导致原材料和人工成本的增加，且咨询、维护、调整、升级等预算外的支出会导致项目成本剧增，实际支出往往远超预算。如果支出远超预算，即使项目最终得以完成，客观上这些项目也是不成功的，甚至有些企业在权衡支出和效益后，如果觉得效益不明显，且支出过大，他们会终止项目的实施。

3.管理风险

软件项目不仅仅是业务或管理工作的信息化、数字化，更重要的是一次革新，是对原先工作习惯和管理思想的一次革命，它带来的是先进的管理理念。软件的生命力在于运用，只有企业的管理者和员工都能转变观念，吸收软件项目所蕴含的新的管理思想，才能发挥审计软件项目的效益。任何习惯的转变对人来说都是痛苦的。因此，如何克服这种痛苦带来的负面影响，顺利转变企业全体员工的观念，理解和消化审计软件带来的新思想，是审计软件项目成功的又一关键；否则，就会带来管理风险。

二、风险评价指标体系的拓展

（一）传统的审计软件风险识别指标体系的局限性及扩建原则

运用传统方法建立的软件项目风险识别指标体系可以发现项目中大多数的潜在风险，为进一步对风险进行分类、分析、评价提供了目标，但还存在很多局限性：一是没有考虑项目中不同风险之间的内在联系，对风险的认识不够全面，没有体现出风险数据的组织化和结构化，没有体现出指标间的低耦合性、简单性、灵敏性等特点。二是涉及审计软件开发项目的风险因素很多，这些因素相互作用、相互影响，关系错综复杂，而且风险之间还有多层次性，有些风险具有包含关系，这些都是传统方法下的指标体系所不能反映的。

因此，需要对审计软件项目风险识别指标体系进行扩建，扩建的基本原则如下：一是完全性原则。指标体系应囊括所有的潜在风险因素，兼具综合性、完整性，并通用于同类项目。二是简单性原则。在指标体系满足完全性的前提下，针对具体的项目，选择有针对性的指标，合理减少指标个数，这样便于抓住关键因素，减少不必要的混乱，从而提高效率。三是低耦合性原则。由于指标之间存在弱相关性，具有相互影响、相互作用的特点，因此允许有相关关系的指标独立出现。四是一致性原则。这包括两个层面的一致，首先是各个指标与整个指标体系不矛盾；其次是各指标相互之间没有冲突。五是客观性原则。选择的指标应该在项目中客观存在，如果某项指标与项目实际不符，则应该从体系中剔除。六是灵敏性原则。随着项目的开展，当项目的不确定因素发生变化时，能及时调整指标，改变整个体系的构成。

（二）扩建审计软件项目风险识别体系

风险指标体系的数据来源可分为主观和客观两类，这两类归纳起来共有四个途径：客观方面来源过去试验的成果和过去产品的数据两个途径，主观的数据来自专家经验数据和相似工程的数据两个途径，其中前者是完全主观的，后者是部分主观的。本研究的数据来自两个途径：主观方面的数据来自专家咨询调查表，客观方面的数据来自国内类似软件项目的统计分析。具体的指标风险包含了以下内容：

1.需求风险

产生需求风险的不确定性因素较多，包括需求分析不全面、需求分析方法不恰当、需求的定义不准确和清晰、需求未经用户确认、技术上还不能完成需求要求的功能。这些需求方面的不确定性因素给项目的进度控制和成本预算的执行带来风险。

2.技术风险

因技术难度大，系统复杂程度高，或者开发人员不熟悉开发技术或工具，导致项目开发延期。

3.进度计划风险

这主要是因缺乏应对意外事件的进度控制预案或没有对关键任务实行有效的监督控制而引起的。

4.规模风险

项目规模大小与项目成本控制偏差之间有一定的相关性，项目规模会带来风险，一般是规模越大，带来的风险也越大。

5.项目先例风险

这是因项目组缺乏相同行业或相近系统结构的项目开发经历，导致项目开发投入增加。

6.成本计划风险

与进度计划风险相似，主要是因缺乏应对意外事件的预算预案或没有对关键任务实行有效的监督控制而引起。

7.实施风险

因项目实施过程中配套软、硬件没按进度提供而引起。

8.客户参与风险

因客户没有充分参与项目的实施，导致软件的功能不能满足客户的实际需要。

9.质量风险

因缺乏有效的质量管理，没有建立起相应的质量保障组织、制度标准规范，导致项目质量无保障。

10.测试风险

缺乏有效的系统测试管理，没有建立起系统测试的相关组织，也没有制定测试计划、工作规范；或因测试工具和环境选择不当，导致测试效果不佳。

11.非功能性要求风险

因对非功能性要求缺乏必要的认识、技术难度大，增加项目投入。

12.管理层支持的风险

因软件开发企业或客户的管理层对项目的重视程度不够，导致项目的投入得不到应有的保障。

13.员工积极性风险

员工的主动性与积极性影响项目进程。

14.技术与项目构成风险

技术与项目组成风险是技术水平以及项目构成，将会对项目的风险产生重要影响。

三、风险评价标准体系的构建

风险评价标准包括风险发生的概率、风险损失影响的等级标准。在对项目风险进行识别和评价之前，需要根据具体的项目情况和项目组能力进行客观的估计，制定风险驱动因子的量化标准。按照风险标准，极高对应的概率值是0.85—1.00；很高对应的概率值是0.65—0.85；高对应的概率值是0.45—0.65；一般对应的概率值是0.25—0.45；低对应的概率值是0.05—0.25；很低对应的概率值

软件项目风险识别指标体系的建立是软件项目风险管理的第一个环节，是其他后续管理环节的基础。当风险评价标准确定后，邀请业内的专家进行综合评判，可选择两类专家，一类是研究型的；另一类是实践型的。专家们根据参照标准在专家咨询表上填写评判结果，对这些结果进行统计分析，就可以得出每个风险驱动因子发生的概率和损失影响的级别。

四、结论

合理确定审计软件项目开发风险的评价标准，是审计软件开发的必需程序，也是关键一环。希望本文的研究能够对审计软件开发项目的理论研究以及实践操作有所裨益。

浅谈审计软件开发风险评估:审计软件开发的局限性与方向

摘要：传统的手工审计方法与技术在会计电算化的过程中逐渐不能满足审计人员对于审计的需要，会计信息越来越多，需要审计人员审计的账簿也越来越多。保证审计质量的同时提高审计人员的工作效率已经成为审计行业关注的重点。审计软件的出现可以节约审计资源、提高审计工作的效率。但是目前运用的许多审计软件并不能够满足审计工作的需求，所以开发更具适用性的审计软件是目前审计工作必须关注的一个重点问题。

关键词：审计；计算机；软件开发

一、审计软件的应用情况

在大数据时代的背景下，信息技术不断改进和发展，人们的生活有了翻天覆地的变化，为了适应庞大的数据需要，从繁杂的信息中挖掘出有价值的数据，使得各个行业的工作方式逐渐由手工作业专为计算机作业，这也为审计工作方式提供了新的方法与途径。面对多而复杂的审计数据，审计软件的开发，不仅使审计的效率大大提高，还可以使审计风险大幅降低。审计软件能够进一步拓宽审计覆盖面，实现审计工作的新跨越与新发展。

目前的电子数据软件大多是通用的软件，为了使其在不同的单位适用，很多审计软件都被商品化了，并且都能在计算机环境下使用。近几年国内的许多软件公司和审计部门开发了与国内一些商品化的会计软件有良好接口的通用审计软件，虽然这些软件在功能部分与国外的一些常用审计软件还有一些差距，但这些审计软件是针对我国的市场并结合了国内会计软件的特点而设计的，所以在操作的便利程度上与适用性上相对于国外一些软件来说还是有优势的。国内的审计软件功能操作便捷，对计算机技能要求不高，这使得审计人员不必具有很高的计算机操作水平，使审计人员在审计工作中更容易接受审计软件的辅助。

二、开发审计软件的局限性

（一）资源发展的不均衡

审计信息化是一个系统又复杂的伟大工程。为了加强审计信息化的建设，我国做出了一系列关于审计的重大举措，有力的推进了审计行业的信息化发展。但是，目前国内审计软件的开发并不系统，存在各种各样的审计软件，各个单位采用的审计软件没有一个通用的设计标准，也没有实现资源共享信息共享的途径，这些问题都会使得存在重复开发的审计软件、盲目开发审计软件等问题，导致一系列的资源发展不均衡问题。

在审计信息化建设这个方面，我国起步的比较晚，一直都比较缺乏理论方面的研究与创新，所以使得审计软件方面的开发从一开始起步的时候便出现了理论不足的尴尬场面，所以使得目前我国的审计软件、审计软件的开发案例没有统一的标准，虽然开发的软件很多但没有系统的功能划分，也没有坚实的理论支持。如果没有系统的理论作为开发过程中的指导，开发出来的软件在实际应用中会有很多问题，比如具有较差的兼容性。计算机辅助审计是一个综合性很强的学科，计算机的运用已是审计工作不可分割的一部分，也是审计理论今后研究的重要方向。电子数据审计分析的技术方法、研究深度与广度还没有被审计软件充分地挖掘，目前的审计软件只聚焦于数据处理，没有对先进的信息技术进行运用处理。所以我国应加强对审计人员的培训，对信息技术进行大力的推广运用。

（二）企业信息系统建设水平急需提高

开发审计软件的局限性原因还有一方面是我国各个企业的信息化程度差别大，我国的信息系统建设阶段可以做一些简单的信息处理与管理和对一些一般性事件进行处理，可以说是处于信息系统建的初级发展阶段，企业间的资源共享还没有做到，出现较为严重的“信息孤岛”现象，企业的信息化建设的作用与优势并没有完全体现，与国外的信息化水平相比较，还是有很多差距。

（三）人才不足

从事审计行业的人员大多是对财务知识比较精通，而对计算机技术精通的审计人员是极其少数的，而审计类的软件需求在应用商品市场中是相对较低的。一些关于审计的软件开发商单位的开发人员大多是计算机专业人员，很少接触有关审计的工作，对审计知识的了解并不像专业审计人员那样深入，不能够从专业的审计角度来开发软件，造成软件的功能不合理、功能不全面，所以审计人员在实际工作中对软件运用效率并不高。审计软件的开发要求很高的综合知识，既要求开发人员具有良好的计算机汇编语言的知识，又要求开发人员能够熟悉审计的业务与流程。这样的综合性人才是我国目前审计行业比较缺少的，很多高校无法培养出既精通计算机有精通审计的专业人才。缺乏复合型的审计人才也是制约审计信息化进程的一个比较重要的原因。所以在信息化建设方面，应提高从事审计行业人员的综合素质，顺应时代的要求。

三、把握审计软件的开发方向

（一）实时监控

国内的现行审计软件大多是主要以定期的审计来设计的，通过对基础的财务进行审计，发现疑点，从而进一步明确审计活动。目前所进行的审计活动大多属于事后审计，是对结束了的经营活动进行审查。随着计算机网络技术的不断进步数据量不断加大，信息更新更快速，流动性的需求也不断增加，企业对信息的时效性要求也越来越高，对实时审计的必要性要求也极大的增加。进行实时审计能够弥补事后审计实效性不高、线索不充分的一些缺点，能够为定期审计提供便利。

（二）审计项目多样性

目前审计软件的功能在操作上是比较简单的，有一定深度的企业专用审计软件基本没有，不能够适应灵活多变的审计需要。在审计工作中，计算机技术不能完全取代人工审计，而是作为一种计算机辅助技术，但是目前计算机辅助审计工作的程度还没有完全清楚的被界定，所以审计通用软件在审计工作中的功能定位比较模糊。审计业务流程多样且具有复杂性，每个行业都有每个行业的特殊性，通用的审计软件无法满足各个行业和企业的不同要求。审计软件的功能开发需要有针对性，只有能够针对具体的审计目标与方法且适合具体企业的审计工作要求，审计软件的功能与方法才能被充分利用，审计软件才能发挥最大价值。目前的审计软件以简单的查账程序为主，无法提供灵活变通的技术与方法，各个审计软件之间的数据共享还不能实现，导致软件的效率与成果不尽如人意。

（三）可视化

在大数据的战略方向影响下，可视化分析是目前审计软件需要关注的重点。可视分析已经成为大数据审计的重要的手段与方法途径。可视化分析能够将计算机处理分析后的数据和人的感知能力融合入到一起，具有很大的优势。通过可视化技术能够有成效的改变计算机自动化的分析方法所带来的劣势，能够使得人机交互与融合。当前，国内审计软件对可视化的研究还没有那么完善，所以这也是当前和今后审计软件开发所需要持续关注的地方。目前大部分审计软件都不能很好放入可视化研究部分，这就需要在审计软件开发时结合审计工作的具体需求，开发出合适、符合审计工作内容的审计软件，这不仅能够对传统的审计技术方法做出改变和创新，还可以更好地发挥审计监督作用，提高审计工作的效率水平。

四、总结

随着科学技术的飞速发展、计算机网络技术不断创新，互联网改变着人们的生活方式。会计信息的网络化给了审计工作一个巨大的挑战，也为审计工作提出了更高的要求。从审计数据的采集与查询、处理分析等流程都逐渐采用计算机来代替。能够预见在不久的将来，计算机将会成为审计工作中的核心，网络审计将会成为未来审计事业的发展潮流。审计人员能够基于互联网借助计算机技术对企业的会计信息的合法性、合规性、真实性进行审计，这种网络办公能够极大的节约时间、提高工作效率。

努力开发结合审计工作需求的审计软件，能够使得传统的审计技术和方法进行改进创新。高效的审计软件能够很好地发挥审计监督作用，提升工作效率，全面提高审计工作的整体水平，在信息化的建设上顺应了审计人员综合素质提高的要求，而更具针对性的审计软件能够更有效地发现舞弊与违法乱纪现象与问题。

（作者单位：南京审计大学）

浅谈审计软件开发风险评估:审计软件开发风险评估探索

一般来说，高效可靠的项目组都有以下特点：软件供应商方面的人员经验丰富、技术扎实；会计师事务所方面参与项目的人员则是涉及面广，特别是业务部门要积极参与。不同的项目参与者在审计软件项目的实施过程中所起的作用不一样，他们有着各自的职责分工，任何一方的参与者出现问题，都会给审计软件项目带来很大风险。延期风险。是否延期是衡量项目管理水平的一个重要方面，会计师事务所审计软件项目的实施过程都较长，一般需要一到两个季度，有的甚至超过一年。因此，项目进度计划控制的好坏直接影响项目。如果能做好项目进度控制、按预定计划完成各项工作任务，就能削减项目的延期风险。超预算风险。项目预算的执行状况也是项目管理水平的重要体现。软件项目投资弹性大，成本预算偏软性，成本风险较大。同时由于软件项目实施时间长、期间通货膨胀等外部因素会导致原材料和人工成本的增加，且咨询、维护、调整、升级等预算外的支出会导致项目成本剧增，实际支出往往远超预算。如果支出远超预算，即使项目最终得以完成，客观上这些项目也是不成功的，甚至有些企业在权衡支出和效益后，如果觉得效益不明显，且支出过大，他们会终止项目的实施。管理风险软件项目不仅仅是业务或管理工作的信息化、数字化，更重要的是一次革新，是对原先工作习惯和管理思想的一次革命，它带来的是先进的管理理念。软件的生命力在于运用，只有企业的管理者和员工都能转变观念，吸收软件项目所蕴含的新的管理思想，才能发挥审计软件项目的效益。任何习惯的转变对人来说都是痛苦的。因此，如何克服这种痛苦带来的负面影响，顺利转变企业全体员工的观念，理解和消化审计软件带来的新思想，是审计软件项目成功的又一关键；否则，就会带来管理风险。

风险评价指标体系的拓展

（一）传统的审计软件风险识别指标体系的局限性及扩建原则运用传统方法建立的软件项目风险识别指标体系可以发现项目中大多数的潜在风险，为进一步对风险进行分类、分析、评价提供了目标，但还存在很多局限性：一是没有考虑项目中不同风险之间的内在联系，对风险的认识不够全面，没有体现出风险数据的组织化和结构化，没有体现出指标间的低耦合性、简单性、灵敏性等特点。二是涉及审计软件开发项目的风险因素很多，这些因素相互作用、相互影响，关系错综复杂，而且风险之间还有多层次性，有些风险具有包含关系，这些都是传统方法下的指标体系所不能反映的。因此，需要对审计软件项目风险识别指标体系进行扩建，扩建的基本原则如下：一是完全性原则。指标体系应囊括所有的潜在风险因素，兼具综合性、完整性，并通用于同类项目。二是简单性原则。在指标体系满足完全性的前提下，针对具体的项目，选择有针对性的指标，合理减少指标个数，这样便于抓住关键因素，减少不必要的混乱，从而提高效率。三是低耦合性原则。由于指标之间存在弱相关性，具有相互影响、相互作用的特点，因此允许有相关关系的指标独立出现。四是一致性原则。这包括两个层面的一致，首先是各个指标与整个指标体系不矛盾；其次是各指标相互之间没有冲突。五是客观性原则。选择的指标应该在项目中客观存在，如果某项指标与项目实际不符，则应该从体系中剔除。六是灵敏性原则。随着项目的开展，当项目的不确定因素发生变化时，能及时调整指标，改变整个体系的构成。（二）扩建审计软件项目风险识别体系风险指标体系的数据来源可分为主观和客观两类，这两类归纳起来共有四个途径：客观方面来源过去试验的成果和过去产品的数据两个途径，主观的数据来自专家经验数据和相似工程的数据两个途径，其中前者是完全主观的，后者是部分主观的。本研究的数据来自两个途径：主观方面的数据来自专家咨询调查表，客观方面的数据来自国内类似软件项目的统计分析。具体的指标风险包含了以下内容：1.需求风险产生需求风险的不确定性因素较多，包括需求分析不全面、需求分析方法不恰当、需求的定义不准确和清晰、需求未经用户确认、技术上还不能完成需求要求的功能。这些需求方面的不确定性因素给项目的进度控制和成本预算的执行带来风险。2.技术风险因技术难度大，系统复杂程度高，或者开发人员不熟悉开发技术或工具，导致项目开发延期。3.进度计划风险这主要是因缺乏应对意外事件的进度控制预案或没有对关键任务实行有效的监督控制而引起的。4.规模风险项目规模大小与项目成本控制偏差之间有一定的相关性，项目规模会带来风险，一般是规模越大，带来的风险也越大。5.项目先例风险这是因项目组缺乏相同行业或相近系统结构的项目开发经历，导致项目开发投入增加。6.成本计划风险与进度计划风险相似，主要是因缺乏应对意外事件的预算预案或没有对关键任务实行有效的监督控制而引起。7.实施风险因项目实施过程中配套软、硬件没按进度提供而引起。8.客户参与风险因客户没有充分参与项目的实施，导致软件的功能不能满足客户的实际需要。9.质量风险因缺乏有效的质量管理，没有建立起相应的质量保障组织、制度标准规范，导致项目质量无保障。10.测试风险缺乏有效的系统测试管理，没有建立起系统测试的相关组织，也没有制定测试计划、工作规范；或因测试工具和环境选择不当，导致测试效果不佳。11.非功能性要求风险因对非功能性要求缺乏必要的认识、技术难度大，增加项目投入。12.管理层支持的风险因软件开发企业或客户的管理层对项目的重视程度不够，导致项目的投入得不到应有的保障。13.员工积极性风险员工的主动性与积极性影响项目进程。14.技术与项目构成风险技术与项目组成风险是技术水平以及项目构成，将会对项目的风险产生重要影响。

风险评价标准体系的构建

风险评价标准包括风险发生的概率、风险损失影响的等级标准。在对项目风险进行识别和评价之前，需要根据具体的项目情况和项目组能力进行客观的估计，制定风险驱动因子的量化标准。按照风险标准，极高对应的概率值是0.85—1.00；很高对应的概率值是0.65—0.85；高对应的概率值是0.45—0.65；一般对应的概率值是0.25—0.45；低对应的概率值是0.05—0.25；很低对应的概率值<0.05。软件项目风险识别指标体系的建立是软件项目风险管理的第一个环节，是其他后续管理环节的基础。当风险评价标准确定后，邀请业内的专家进行综合评判，可选择两类专家，一类是研究型的；另一类是实践型的。专家们根据参照标准在专家咨询表上填写评判结果，对这些结果进行统计分析，就可以得出每个风险驱动因子发生的概率和损失影响的级别。合理确定审计软件项目开发风险的评价标准，是审计软件开发的必需程序，也是关键一环。希望本文的研究能够对审计软件开发项目的理论研究以及实践操作有所裨益。

作者：杨扬 余莉 单位：西南财经大学会计学院