GLOBAL TECHNNOLOGYY AUDIIT AUIIDE全球技术审计指指南(第3号)(2005 年年 9 月公公布)Continuuous AAuditiing: Implicaationss for Assurrance,,Monitorring, and Risk Assesssmentt连续审计:对保保证、监控和和风险评估的的意义AuthorDavid CCoderrre, Rooyal CCanadiian Moountedd Poliice (RRCMP)作者戴维德·科德里里(加拿大皇皇家骑警)Subjectt Mattter ExxpertssJohn G.. Vervver, AACL Seervicees Ltdd.Donald J. Waarren,, Centter foor Conntinuoous Auuditinng, Ruutgerss Univeersityy主题专家约翰·G·沃沃沃(ACL公公司)唐纳德·J·倭倭仁(鲁特格格斯大学,连连续审计研究究中心)湘潭大学商学院院 阳杰译译(20066年11月)*注:原指南附附录部分由于于篇幅限制,未未加翻译作者水平有限,如如有错误之处处,请emaail到yaang-jiie18911@目录1 首席审计计师简述11.1 连续续审计21.2 连续续审计/连续续监控的必要要性:整合法法31.3 内部部审计和管理理层的角色41.4 连续续审计的作用用41.5 实施施的问题52 导言62.1 连续续审计:一个个简史72.2 当今今的审计环境境82.3 COOSO的企业业风险管理(EERM)框架架92.4 内部部审计行为和和管理层的角角色122.5 连续续审计和监控控的好处123 需要澄清清的一些关键键概念和术语语143.1 连续续审计的连续续系统174 连续审计计于连续保证证和连续监控控的关系184.1 连续续保证184.2 连续续监控194.3 连续续审计205 连续审计计的应用领域域225.1 应用用于连续控制制评估245.2 应用用于连续风险险评估296 实施连续续审计366.1 连续续审计目标376.2 连续续控制和风险险评估的关系系476.3 连续续风险评估516.4 管理理和报告结果果536.5 挑战战和其他要考考虑的因素57今天的法规环境境下,首席审审计师们都发发现他们的部部门变得越来来越被为满足足遵循要求的的监控和内部部控制测试所所吞噬。
但是是,大多数的的运营和财务务审计行为保保留下来了许许多内部审计计部门正借助助技术来减轻轻负担,并提提升效率和生生产率,推动动经营绩效这份全球技术审审计指南“连续审计::对保证、监监控和风险评评估的意义”给首席审计计师们提供关关于如何实施施一个理想的的策略,结合合连续审计和和连续监控方方案来应对这这些挑战AACL的数据据分析技术和和连续控制监监控方案能够够最好地提升升审计实践,以以满足当今对对有效控制地地高度要求AACL能够帮帮助你证明适适当的技术投投资的好处,并并且支持持续续的遵循需要要,增加运营营效率,并对对提高收益有有帮助第一部分 首首席审计师简简述对风险管理和控控制系统的有有效性进行及及时和连续的的保证的需求求非常关键组组织频繁地暴暴露在重大错错误、舞弊或或者无效率下下,这些会导导致财务损失失和风险升级级一个变化化的法规环境境,经营的全全球化,市场场方面要求改改善经营的压压力,以及快快速变化的商商业环境要求求更加及时和和连续地对正正在运行的控控制的有效性性和风险水平平正在降低作作出保证这些要求给首席席审计师们和和他们的职员员不断增加压压力内部审审计部门卷入入遵循工作的的程度持续增增加,尤其是是由于法规的的原因,例如如美国20002年的萨班班斯法案第4404节。
关关注度的提高高不仅与期望望值的增长有有关,还与内内部审计师在在评价内部控控制的有效性性、风险管理理和治理流程程中保持独立立性和客观性性的能力能力力有关今天,内部审计计师面临着的的挑战来自一一系列的领域域:1、 法规的遵循和控控制:评价和和识别事件和和流程,可持持续性,资源源,定义重要要性,优先级级和财务报告告风险2、 内部审计价值和和独立性:对对内部审计的的高度期望,内内部控制问题题的增加,对对内部审计角角色可靠性和和独立性的困困惑,客观性性和独立性的的削弱3、 舞弊:侦测和控控制,识别盗盗窃,舞弊管管理责任,舞舞弊频率和成成本的增加4、 可用的熟练审计计资源:缺乏乏能胜任的和和合适的熟练练审计师,审审计师短缺,持持续力,对风风险和控制缺缺乏理解5、 技术:支持遵循循的合适的解解决方案,技技术经营模型型,信息安全全,信息技术术优势,外部部采购显然,必须要有有一种新的、能能够提供连续续的、建设性性的和划算的的方法来解决决这些问题一、连续审计传统的内部审计计所对控制测测试是一种向向后看的周期期性方式,通通常是在经营营行为发生后后的几个月后后进行测试试程序也是基基于抽样的方方式,还包括括一些诸如对对政策、程序序、批准和调调节的评价。
现现在,这种方方式被视为一一种仅仅能够够提供内部审审计师一个狭狭窄范围的评评价的审计方方法,通常由由于太迟而是是去了对经营营绩效和法规规遵循的价值值连续审计计是一种以更更加频繁的方方式来自动执执行控制和风风险评估的方方法技术是施行这样样一种方法的的关键连续续审计改变了了审计模式,它它将对交易样样本的周期性性测试变为对对100%的的样本进行连连续性测试它它已在许多层层次上已成了了现代审计不不可缺少的部部分它也应应该紧密与管管理行为(如如行为监控,平平衡计分卡和和企业风险管管理框架)结结合在一起连续审计方式能能让内部审计计师完全理解解关键控制点点、控制规则则和例外情况况通过对的的自动化和经经常性的分析析,他们能够够实时地或接接近实时地执执行控制和风风险评估他他们能从交易易层面的异常常和控制缺陷陷和出现风险险的数据驱动动指标两方面面来分析关键键业务流程最最后,通过连连续审计,分分析结果将被被整合进审计计程序的所有有方面,从制制定和维持这这个企业审计计计划到开展展和继续特定定的审计二、连续审计//连续监控的的必要性:整整合法按照首席审计师师们对遵循努努力的负担、资资源的缺乏以以及保持审计计独立的必要要性的关注,将将连续审计和和连续监控结结合在一起将将是一种理想想的方法。
连续监控管理层层设计的为保保证政策、程程序和业务流流程能有效运运行的程序它它指出了管理理层对评价内内部控制的充充分性和有效效性的责任这这包含识别控控制目标和保保证声明(aassuraance aasserttion)以以及建立自动动化的测试程程序来找出遵遵循失败的活活动和交易许许多管理层实实施的对控制制的连续监控控技术与内部部审计师执行行连续审计所所用技术类似似管理层使用连续续监控程序,结结合内部审计计师执行的连连续审计,能能够满足对控控制程序的有有效性以及用用于决策的信信息的相关性性和可靠性的的保证需要对组织的一种重重要的额外好好处是错误和和舞弊事件的的显著减少,经经营效率也得得到了提高,线线下项目(bbottomm-linee)的结果也也通过成本的的减少和过度度支付及收入入泄漏的减少少得到改善实实施了连续审审计和连续监监控的组织通通常会发现他他们迅速地获获得了投资回回报商业和法规环境境,以及出台台的审计准则则,驱使审计计师和管理层层更加有效地地利用信息和和数据分析技技术,作为连连续审计和连连续监控的可可行基本因素素之一三、内部审计和和管理层的角角色管理层对评价风风险和设计、实实施、连续维维护组织内部部的控制负有有主要责任。
内内部审计师的的行为要对识识别和评价由由管理层实施施的组织的风风险管理系统统和控制的有有效性负责审审计师进行评评价以给审计计委员会和高高层经理在风风险的状态和和控制系统,以以及在诸如萨萨班斯法案等等法规下,就就管理层关心心的控制状况况的可靠性提提供保证理理想的情况是是,内部审计计不是控制监监控流程的一一部分,并且且没有设计或或维护这些控控制,从而能能够使他们的的独立性得以以保持尽管对内部控制制的监控是一一种管理职能能,内部审计计师行为能够够使用和借助助连续审计来来强化整个组组织的监控和和评价环境管管理层事先执执行的监控水水平将直接影影响审计师实实施连续审计计在管理层层已经对某项项内部控制进进行连续监控控的情况下,在在连续审计时时,相同层次次的详细交易易测试就无需需再进行取取而代之的是是,审计师能能够关注审计计程序,来决决定管理层监监控程序有效效性,借助这这种测试的结结果来调整范范围、数字和和审计测试的的频率四、连续审计的的作用连续审计的作用用依赖于对对对内部控制的的连续性测试试的智能性和和有效性,及及时提示控制制缺口和薄弱弱环节存在的的风险,并允允许立即的追追踪和进行补补救通过改改变他们的审审计方式,审审计师将能够够更好地理解解经营环境和和公司风险以以支持遵循和和提高经营绩绩效。
五、实施的问题题首席审计师必须须认识到连续续审计将改变变审计模式,包包括证据的特特征、时间、程程序和内部审审计师所需的的努力水平这这将给审计部部门提出要求求,尤其是他他们必须:1、 获得和促成审计计委员会和高高级管理层支支持这个概念念并实施连续续审计2、 开发和保持技术术方面的能力力,以保证访访问、操作和和分析包含在在相互分离系系统中数据的的能力3、 使用(或实施)数数据分析技术术来支持审计计项目,包括括使用合适的的分析软件工工具,开发和和维护数据分分析技术,以以及审计组中中的专家4、 发起、促进和鼓鼓励管理层对对连续审计的的支持5、 保证连续审计被被采用作为风风险导向审计计计划中完整整的、相容的的一部分6、 管理和回应连续续审计的结果果,决定合适适的使用、跟跟踪和报告机机制首席审审计师将必须须确保对审计计发现报告的的问题管理层层已经采取合合适的行动,连连续审计的结结果在管理层层的评价时要要被考虑到,这这些评价包括括内部控制的的监控,业绩绩评价和企业业风险管理这份国际内部审审计师协会(IIIA)的全全球技术审计计指南(GTTAG)确定定了那些必须须要做,以有有效利用技术术来支持连续续审计,突出出需要进一步步关注的领域域。
通过阅读读和遵照下面面列出的步骤骤,内部审计计师应该处于于一个更好的的位置来利用用技术和最大大化他们的投投资回报,同同时也要向管管理层证明进进行适当的技技术投资的必必要性——不仅对影影响他们组织织的法规遵循循的需要起作作用,而且对对整个组织的的健康和竞争争力起作用第二部分 导言言这份全球技术审审计指南将着着重连续审计计的技术可行行性方面,并并且将介绍::1、 过去30年间使使用的类似概概念的历史和和背景2、 相关的术语和技技术的定义::连续审计,连连续性风险评评估,连续性性控制评估,连连续监控,连连续性鉴证3、 连续审计与连续续监控的关系系4、 连续审计能在内内部审计行为为中应用的领领域5、 与连续审计有关关的挑战和机机遇6、 对内部审计和首首席审计师以以及管理的影影响7、 一个连续审计自自我评估工具具 自19980年以来来,许多的名名词与实时或或接近实时地地提供连续审审计程序的概概念有关系,包包括:连续监监控、连续控控制评估、连连续审计这这份全球审计计指南首先统统一使用“连续审计”的概念它它论述了作为为连续审计的的主要组成部部分的连续控控制评估和连连续风险评估估这份指南南将监控行为为视为管理层层的责任,同同时还论述了了审计和监控控的内在联系系,以及内部部审计师在他他们的角色中中如何提供额额外的保证来来支持管理。
当前最显著的一一个连续审计计的推动力就就是高昂的法法规遵循成本本在美国,一一份20055年3月份的的国际财务执执行官组织调调查发现,每每个组织的萨萨班斯法案的的平均遵循成成本超过了四四百万美元由由于绝大部分分成本都与手手工的、员工工密集型(内内部资源和外外部顾问的使使用)有关那那么我们对22005年11月份AMRR研究机构所所作的研究发发现关键技术术能够用来减减少的遵循成成本超过255%就不会感感到奇怪了遵循的压力迫使使组织改进他他们对内部控控制进行连续续评价的方法法在这种情情况下,美国国证券交易委委员会指出,“管理层和审计师必须运用合理的判断,在(萨班斯法案404条款)遵循流程中运用严密的(TOP-DOWN)、风险基础的方法”这就导致了对连续监控(由管理层实施)和连续审计的关注不断增加支持一套完整的审计行为,连续审计不仅帮助支持对控制的保证,还包括风险评估,识别舞弊、浪费和滥用,审计计划,跟踪审计建议等审计行为一、连续审计::一个简史自动控制测试开开始于20世世纪60年代代,当时是通通过安装和执执行内嵌审计计模块(EAAMs)来实实现的但是是,这些模块块难以建立和和维护,而且且只是在相关关的少数组织织中使用。
在在20世纪770年代后期期,审计师开开始离弃这种种方法到了了20世纪880年代,审审计职业中有有些人开始接接受并使用计计算机辅助审审计工具和技技术(CAAATTs)用用于特殊的调调查和分析与与此同时,连连续监控的概概念首先是通通过大量的学学术文章介绍绍给审计师的的最基本的的优点就是使使用连续的自自动化的数据据分析将帮助助审计师识别别风险最高的的领域,并作作为决定他们们的审计计划划的先导但但是,在很大大程度上,审审计师们并没没有对这种审审计方法做好好准备他们们缺乏容易访访问的合适软软件工具,以以及技术资源源和专家来克克服数据访问问的挑战,最最重要的是,组组织将是否支支持这种新的的与传统审计计方法很不一一致的审计方方式和方法在20世纪900年代,在全全球审计职业业界内,开始始大范围的不不断地接受数数据分析解决决方案,这些些解决方案被被视为支持有有效进行内部部控制测试的的关键工具这这些技术用于于检查交易中中某些发生的的事件,这些些事件是由于于某项控制不不存在或没有有适当地执行行它也能够够识别与控制制标准不符的的交易此外外,数据分析析支持不是直直接从交易数数据中获取证证据的控制测测试例如,企企业资源管理理计划(ERRP)访问和和授权表格能能够用来分析析保持适当的的职责分离是是否失效。
但但是,尽管有有这些技术基基础,传统审审计程序通常常依赖于典型型的样本,而而不是对总体体进行评价,并并且是在经营营(交易)行行为发生一些些时间后进行行分析的所所以,风险和和控制问题有有大量的机会会升级,并对对经营绩效产产生消极的影影响二、当今的审计计环境今天,经营环境境中信息系统统功能的普及及使得审计师师能够更加容容易地访问更更加相关的信信息,同时也也包括对大量量增加的数据据和交易的管管理和评价此外,经营的快快节奏要求提提升对控制问问题识别和反反应在美国国像萨班斯法法案的4044条款之类的的法规要求及及时披露控制制的缺陷,管管理层要对内内部控制框架架充分性作出出保证这些些法规遵循的的紧迫性、连连续审计准则则、审计软件件的功能提升升,既促使而而且能够让审审计师采纳新新的方法来评评估信息和评评价控制首席审计师必须须给高层管理理者提供对内内部控制的健健康运行和组组织内的风险险水平作出连连续的评价,而而不是简单的的周期性的评评价今天的的内部审计师师不仅仅是对对控制进行审审计,他们还还关注公司的的风险特征,而而且在识别风风险领域来改改善风险管理理流程中发挥挥关键作用但但是,如果他他们不完全理理解经营流程程和相关风险险,审计师只只能仅仅执行行传统的审计计核查工作。
连连续审计给审审计师提供了了一个超脱传传统审计方式式的局限、样样本的限制、撰撰写标准公告告、实时评价价的机会,连连续审计的关关键部分是能能够在接近经经营行为发生生或者在经营营行为发生的的同时对交易易进行评价的的连续审计模模型就像将第四部分分中要详细讨讨论的一样,影响内部审计师应用连续审计方式的一个关键因素是管理层已经实施了用于连续控制监控和识别控制缺陷和风险指标的系统的程度连续审计测量某某些关键特征征,一旦某项项参数符合,将将会触发审计计师采取某种种行为在连连续审计条件件下,这里有有两种主要的的行为:1、 连续控制评估::使审计师能能够尽早关注注控制的缺陷陷2、 连续风险评估::突出正在遭遭受比期望风风险更高的程程序或系统连续审计的行为为的频率取决决于程序或系系统的固有风风险此外,它它可以从检查查关键的控制制和风险领域域着手,在审审计师获得经经验和能够获获取与遵循、经经营效率和效效果、财务报报告的公允性性等方面的可可测量结果时时,然后扩大大连续审计应应用领域的范范围三、COSO的的企业风险管管理(ERMM)框架Treadwaay委员会下下属的发起组组织委员会(CCOSO)发发布的企业风风险管理———整合框架鼓鼓励内部审计计师行为向管管理层经营方方式靠拢:控控制环境、风风险评估、信信息与沟通、风风险监控。
CCOSO的EERM框架是是原来的COOSO内部控控制框架的扩扩展它增加加了对内部控控制的关注,并并且对企业风风险管理(EERM)进行行了更加充分分的广泛的论论述它的四四个目标———策略、运营营、报告和遵遵循,给内部部审计师增加加了评价内部部控制系统、识识别和评估风风险的压力要要完成这些任任务,内部审审计必须改变变它的传统的的角色,向关关注公司目标标、策略、风风险管理和业业务流程、关关键控制行为为转变连续审计关注的的不单单是对对控制和法规规的遵循,而而更注重改进进组织的经营营效率连续续审计同时还还必须通过识识别和评估风风险以及给管管理层提供信信息对整个组组织的改进作作出贡献,以以更好地适应应变化的商业业环境它将将在所有的CCOSO企业业风险管理组组成部分方面面给内部审计计以帮助1、 内部环境和目标标设置:通过过正式确定连连续审计的目目标和内部审审计的角色2、 事项识别:通过过开发一个系系统来识别和和报告事项以以及应对这些些威胁和机遇遇的程序3、 风险评估:通过过分析和评估估风险,考虑虑可能性和影影响,从而给给决定如何管管理风险提供供基础4、 风险反应:通过过考虑风险的的种类和关键键行为,通过过开发数据驱驱动方法来评评估和回应风风险。
5、 控制行为:通过过识别管理层层和内部控制制的角色;证证明控制评估估不是一年一一次的行为,而而是一个持续续关注的行为为;自动化这这些控制测试试程序,使之之尽可能接近近实时运行6、 信息和沟通:通通过促进确保保信息的精确确性和关注事事项的实时报报告7、 监控和评价:通通过提供独立立的评估来支支持由管理层层实施的连续续监控行为图1:COSOO企业风险管管理框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监 控信 息 和 沟 通控 制 活 动风 险 反 应风 险 评 估事 项 识 别目 标 制 定内 部 环 境连续控制评估将将允许内部审审计师评价管管理监控行为为的充分性,并并给审计委员员会和高层管管理员工提供供控制正在有有效运行以及及组织能够快快速改进出现现的缺陷快速速反应并及时时改正的独立立保证连续续风险评估使使审计师能识识别正在出现现的使公司处处于风险的领领域,将这些些风险区分优优先次序,以以更加有效地地分配有限的的审计资源但但是,这些行行为不能以任任何方式妨碍碍管理层实施施监控和管理理风险的职能能监控和评价是CCOSO的企企业风险管理理作为一个有有效控制框架架的最后一个个要素,也是是一个组织朝朝持续改进所所做努力的关关键成分。
连连续监控包含含管理层为保保证政策、程程序和经营流流程都有效地地运行,在适适当位置设置置的程序它它提出了管理理层评价控制制的充分性和和有效性的责责任这包含含识别控制目目标和保证认认定,并建立立自动化的测测试程序将遵遵循相关控制制目标和保证证认定失败的的交易凸显出出来连续监监控的许多技技术与内部审审计部门使用用的连续审计计技术是类似似的四、内部审计行行为和管理层层的角色为了践行管理者者的角色,管管理层对风险险评估和内部部控制的设计计、实施和连连续维护负有有主要责任内内部审计行为为,根据它对对管理层和董董事会的职责责,他对识别别和评价组织织的由管理层层实施的风险险管理系统(内内部审计准则则2110)和和控制(内部部审计准则22120)的的有效性负有有责任审计计师和管理层层之间的角色色差异在于从从事内部控制制和风险评估估工作时,各各自对股东的的责任的特征征审计师给给股东提供保保证服务;审审计委员会和和高层经理重重视风险和控控制系统的状状态;在法规规方面,诸如如萨班斯法案案,以及管理理层表现的对对内部控制的的关注的可靠靠性理想上上,审计师并并不是流程的的一部分,也也不是来设计计和保持内部部控制的,这这样,审计师师的客观性和和独立性就能能得以保持。
五、连续审计和和监控的好处处连续审计和监控控(由管理层层实施)的结结果是类似的的,都包含提提示或警告,这这些提示或警警告指出了控控制的缺陷或或高风险水平平这些提示示或警告能够够按优先次序序排列,这取取决于风险和和控制缺陷的的严重程度,这这些提示或警警告会分发给给经营流程或或应用系统的的担保人,运运营经理,审审计师,高级级财务经理,甚甚至法规制定定者管理层层对这些提示示的回应能够够修补内部控控制缺陷和立立即修正错误误的交易审审计师对这些些警告的回应应能够从立即即审计确认的的内部控制系系统到标记一一个领域以备备将来审计例如,对财务交交易的持续审审计,当一个个分类账凭证证超出了给定定限额,以及及留有非正常常关联账户的的入口,测试试可能给出一一个提示审审计师的反应应可能取决于于这是否视为为一个单一项项目——这个反应应可能会是发发送一个Emmail给这这项交易的当当事人以得到到相应的解释释;也可能会会视为一个系系统的问题,对对某个领域的的财务审计可可能状况良好好使用连续续审计进行额额外的测试来来决定这些异异常的特征能能够回答诸如如以下问题::1、 日记账凭证是给给暂记账户留留有入口,而而且没有在规规定的时间内内进行清除??2、 日记账凭证是否否给不正常的的关联账户留留有入口?3、 受影响的账户是是否可能会是是诸如人工操操纵收益之类类的舞弊?4、 日记账凭证的数数量和类型与与往年相比是是否有异常??5、 个体之间登录系系统时是否做做到了职责分分离?6、 我们是否应该提提高或降低测测试的标准??7、 财务比率是否与与公司的期望望相符?8、 近几年的收益趋趋势如何?这这些趋势与公公司的期望(ppeer)以以及总体的经经济环境如何何匹配?连续审计帮助审审计师评价管管理层的监控控功能的充分分性。
这让首首席审计师能能给审计委员员会和高级管管理层提供对对控制系统运运行的有效性性作出保证,以以及审计程序序在识别和指指出任何侵害害中发挥作用用连续审计计还识别和评评估风险领域域,给审计师师提供信息,审审计师通过与与管理层的沟沟通能够帮助助管理层减轻轻风险此外外,他能够用用于帮助制定定年度审计计计划,以将审审计关注点和和资源转向高高风险领域然而,连续审计计最重要的优优势之一在于于它独立于所所审计的业务务和财务系统统和管理层实实施的监控这能改善组织的管理和控制框架,并提供一个审计师能够用来支持他们的独立评价和评估行为的机制连续审计还面临临着一些挑战战这些技术术需要被理解解和控制内内部审计师必必须能够访问问数据、软件件工具和技术术,以及拥有有能够智能使使用他们手头头所掌握的大大量的公司财财务和非财务务信息的必要要知识连续续审计带来的的机遇也对审审计师和首席席审计师提出出了要求第三部分 需需要澄清的一一些关键概念念和术语已经采取了各种种尝试来鼓励励审计师更好好地使用电子子信息,以改改进内部审计计行为的效率率和效果最最近,多种术术语已经被用用于这些尝试试,同时也导导致了职业界界认识上的混混乱没有一一个清晰的、通通用的术语,那那么将会很难难提升这些尝尝试,成功的的可能性也会会减少。
因此此,实施连续续审计首先要要做的就是给给定和传播所所有相关术语语的清晰的定定义理解与连续审计计相关的术语语的关键在于于理解控制和和风险是一个个问题的两个个方面控制制的存在是为为了帮助降低低风险;识别别控制缺陷能能凸显潜在的的风险领域相相反,通过检检查风险,审审计师能够识识别哪些地方方需要控制和和(和)控制制没有发生作作用尽管对控制和风风险的评估通通常包含定量量分析也包含含定性分析,但但是最大化的的效率获取是是来自于最大大化地利用技技术对审计计师的挑战是是确保数据的的利用和通用用性,理解相相关的业务流流程和系统,最最大化地运用用自动化所所以,这份全全球审计技术术指南关注的的是支撑持续续审计的技术术辅助程序保证可以认为是是第三方对事事件状态的意意见,这个事事件是关于一一个特定的交交易、业务或或治理流程、风风险或整个业业务流程中的的财务绩效的的审计保证证是对控制的的充分性和有有效性,信息息的完整性作作出的声明管理层实施的持持续控制监控控是有效保证证策略的核心心部分,但是是,审计师仍仍然必须确保保管理层的行行为是充分的的和有效的连连续保证的框框架是联结内内部审计师的的独立性评价价行为:控制制的状态、组组织内部的风风险管理、评评估管理监控控功能的充分分性。
图2:连续保证证的框架连续保证连续控制评估连续风险评估对连续监控的评评估首席审计师必须须保证所有的的审计师、高高级经理和审审计委员会理理解内部审计计行为和管理理层在使连续续保证方程有有效的角色和和责任以下下的定义可能能提供了额外外的视角:1、连续审计是是审计师为了了在一个更持持续、更频繁繁的基础上实实施与审计相相关的行为所所采取的任何何方法它是是一系列行为为的联合体,这这些行为从连连续控制评估估延伸到连续续风险评估连续风险评估是是关于控制--风险联合体体的所有行为为技术在识识别例外和(或或)异常、分分析关键数据据字段的模式式、趋势分析析、从开始到到结束的明细细交易分析、控控制测试和将将组织的程序序或系统根据据不同的时点点比较或与其其他类似的单单位比较等方方面发挥着关关键作用2、连续控制评评估是审计师师采取的准备备用来进行与与内部控制相相关的保证的的行为通过过连续控制评评估,通过识识别控制缺陷陷和侵害,审审计师给审计计委员会和高高层经理提供供关于控制是是否正在恰当当运行的保证证单个的交交易是通过一一系列的控制制规则来进行行监控的,以以提供关于系系统内部控制制的保证,并并强调例外情情况一系列列定义良好的的控制规则在在控制程序或或系统没有按按期望运行或或受到威胁时时能够及早地地提供警告。
内部审计需要执执行连续控制制评估行为的的范围取决于于管理层履行行其关于连续续监控的责任任的程度一一个强有力的的管理监控系系统将减少审审计师必须执执行以对控制制提供保证的的详细测试数数量3、连续风险评评估是审计师师用来识别和和评估风险水水平的行为连连续风险评估估通过检查趋趋势和比较(在在单个程序或或系统里,与与之过去的表表现相比较,与与企业内的其其他的程序或或系统相比)来来识别和评估估风险水平例例如,生产线线的表现可以以和先前年度度的结果相比比较,就像是是将一个企业业的绩效与所所有的其他企企业相比较一一样这种比比较能够较早早地警示某个个程序或系统统(审计主体体)的风险水水平高于以前前年度或其他他主体审计计的反应也因因风险的特征征和水平而异异连续风险险评估能应用用于大范围的的审计领域,来来选择访问点点,来识别排排除包含在审审计计划中的的特定的审计计或单位,或或触发对某个个风险增加但但缺乏足够解解释的单位的的审计它也也能够用来评评价管理行为为,来检查审审计建议是否否得到合理的的贯彻,经营营风险水平是是否正在减少少4、连续监控是是管理层为了了确保政策、程程序和业务流流程能够有效效运行而实施施的一项程序序。
管理层识识别关键控制制点和实施自自动化的测试试来决定这些些控制是否恰恰当运行典典型的持续监监控程序包括括在给定的经经营流程领域域内,借助一一组控制规则则,自动测试试所有的交易易和系统行为为监控通常常是按天、周周或月进行,这这取决于当前前的业务循环环的特征取取决于特殊的的控制规则和和相关测试和和初始参数,某某些交易被标标记为控制例例外事项,且且告知管理层层管理层监监控也可能依依靠关键绩效效指标和其他他绩效评价行行为对监控控警报和提示示作出回应并并立即修补控控制缺陷和改改正问题交易易是管理层的的责任一、连续审计的的连续系统连续审计帮助审审计师识别和和评估风险,还还在组织中建建立智能和动动态阀值来回回应变化它它也支持整个个审计范围的的风险识别和和评估,帮助助制定年度审审计计划,以以及确定某项项特定审计的的审计目标因因此,连续审审计在很多层层面上可以视视为一个连续续系统同时时,连续系统统中的不同位位置更加适合合不同的工作作,在连续系系统中当你执执行不同的任任务时还可能能超过一个位位置对连续审计的关关注从控制基基础到风险基基础(见图33);分析性性技术从对明明细交易的实实时评价到对对整个单位进进行趋势分析析以及与其他他单位进行比比较分析,并并且随着时间间进行。
图3:连续审计计的连续系统统←───────────────连续审审计───────────────→→连续控制评估←←─────────────────────→连连续风险评估估方法控制基础 风险基础础(保证控制正在在运行)←────────────────→(识识别/评估风风险)财务控制 财务/运运营控制关注点实时/详细交易易测试(财务务数据)←──────→→趋势/比较较(财务/运运营数据)分析技术控制保证 财财务鉴证 舞弊/浪费费/滥用 审计范围和和目标 追追踪审计记录录 年度审计计计划相关审计行为控制监控 业绩监控 平衡衡计分卡 全面质质量管理 企业风风险管理相关管理行为注1:在这个连连续系统的“控制”结尾,相关关审计行为包包括保证和财财务鉴证审计计注2:连续系统统的另一个结结尾的审计行行为包括通过过风险评估支支持审计项目目来识别舞弊弊、浪费和滥滥用,并提交交年度审计报报告。
注3:相关管理理层行为包括括连续控制监监控,绩效监监控,平衡计计分卡,全面面质量管理和和企业风险管管理连续审计是一个个统一能够带带来控制保证证、风险评估估、审计计划划、数据分析析以及其他审审计工具、技技术和科技结结合在一起的的统一结构或或框架它支支持微观审计计事项,例如如明细交易测测试来评价控控制的有效性性;宏观审计计方面,通过过风险识别和和评估来准备备年度审计计计划它也能能满足中观层层面的需求,例例如为个别审审计开发审计计项目微观审计和宏观观审计两个层层次的主要区区别在于两者者信息需求的的粒度不同::1、控制测试需需要细节信息息:需要深入入交易的源头头层次连续续控制评估使使用仔细制定定的规则和实实时的或接近近实时的,测测试交易对这这些规则的遵遵循情况2、个别审计通通常开始于年年度审计计划划中的风险识识别,但使用用更多的数据据分析和其他他技术(如访访问,自我控控制评估,实实地观察waalkthrrough,调调查问卷)来来进一步定义义风险的主要要领域和风险险评估的关注注点和后续的的审计行为3、年度审计计计划需要高层层次的信息,可可能是几年的的价值数据,来来建立风险因因素,并将风风险排序,设设置审计计划划开始的时间间和目标。
第四部分 连连续审计与连续保证和和连续监控的的关系一、连续保证前文已提到,保保证被描述为为第三方对事事件状态的意意见它通常常包括三个方方面:1、准备信息的的个人或团体体2、使用这些信信息来进行决决策的个人或或团体3、客观存在的的第三方通常,保证被视视为一项严格格的审计相关关行为,通常常具有财务方方面的特征但但是其他的,诸诸如法律界也也提供保证服服务审计保证是对控控制的充分性性和有效性以以及信息的完完整性发表意意见管理层层对控制的连连续监控是有有效保证策略略的核心,但但是,审计行行为还必须保保证管理层行行为是充分和和有效的内部审计通过客客观检查所获获取的证据以以提供对风险险管理策略和和实践,管理理控制框架和和实践,用于于决策和报告告的信息的保保证服务连连续保证服务务能够在审计计师执行连续续控制和风险险评估(如连连续审计)和和评价管理层层实施的连续续监控行为的的充分性时提提供审计师检查管理理层的行为,证证实控制都在在运行,提出出改进建议,确确保风险正在在被控制如如果审计师在在执行诸如检检查和证实控控制和风险,确确保管理层正正在进行监控控工作,那么么组织将有一一个对控制正正在运行,风风险正被控制制,用于决策策的信息具有有完整性的高高层次的保证证。
管理层在在这个保证方方程(asssurancce equuationn)中起着开开发、设计和和监控控制和和控制风险的的作用二、连续监控连续监控是管理理层设置的用用于确保政策策、程序和经经营流程都在在有效运行的的程序评价价控制的充分分性和有效性性通常是管理理层的责任许许多管理层使使用的用于对对控制的连续续监控技术与与内部审计师师进行连续审审计所用技术术类似连续续监控的原则则比较简单,它它包含以下几几个方面:1、在一个给定定的经营流程程中定义控制制点,如果可可能的话可参参照COSOO的企业风险险管理框架2、对每个控制制点识别控制制目标和保证证声明3、建立一系列列的自动化的的测试,以指指出某项交易易是否没有遵遵循所有的相相关控制目标标和保证声明明4、在接近交易易发生的同时时,将所有的的交易进行测测试5、调查没有通通过控制测试试的所有交易易6、如果合适的的话,可以更更正这项交易易7、如果合适的的话,更正控控制薄弱环节节连续监控的关键键是这些程序序必须由管理理层掌控并由由管理层来执执行,因为实实施和保持有有效控制系统统是其职责的的一部分既既然管理层对对内部控制负负有责任,那那么它就必须须有一个连续续的决定控制制是否按设计计在运行的方方法。
通过实实时地识别和和更正控制的的问题,整个个的控制系统统将得以改善善组织得到到的一个典型型的额外的好好处是错误和和舞弊显著减减少,经营的的效率得到了了提高,通过过成本的减少少和过度支付付(overrpaymeent)和收收入泄漏的减减少,从而使使线下项目的的结果得以改改善三、连续审计管理层监控和风风险管理行为为的充分性与与审计师必须须执行对内部部控制的详细细测试和风险险评估的程度度,它们之间间存在这一个个反比的关系系连续审计计运用的方法法和工作量取取决于管理层层实施的连续续监控行为的的程度图4:反比关系系:管理层付付出的努力水水平与审计行行为对内部控制的完全监控对内部控制的少量监控减少工作量显著的努力/更多的资源审计工作量管理层反应在管理层还没有有实施连续监监控的地方,审审计师必须借借助连续审计计技术进行详详细测试在在某些情况下下,审计师甚甚至可能主动动来帮助组织织建立风险管管理和控制评评估程序(见见国际内部审审计协会实务务报告21000-4:审审计师在一个个没有风险管管理程序组织织中的作用)但但是,要注意意的是审计师师对这些程序序中并不拥有有所有者权,因因为这会损害害审计师的独独立性和客观观性。
图5:连续审计计、监控和保保证(概念框框架)连续保证连续审计和连续监控程序的结果连续监控审计测试连续审计审计连续监控管理行为、交易和事件经营系统和流程管理层全面地在在经营流程领领域中从头到到尾地实施连连续监控,内内部审计师就就无需执行同同样的详细测测试来进行连连续审计但但是,审计师师必须执行其其他的程序来来决定他们是是否可以依赖赖这个连续监监控程序这这些程序包括括:1、评价侦测到到的异常和管管理层的反应应2、评价和测试试连续监控程程序本身的控控制,例如:: (1)处理理日志/审计计轨迹 (2)调节节总额控制(ccontrool tottal reeconciiliatiions) (3)系统统测试参数的的变化通常,这些程序序与那些在正正常审计程序序中为确保计计算机辅助审审计技术被正正确应用的质质量控制测试试是相似的通过结合评价监监控和连续审审计程序,审审计师能够提提供关于内部部控制有效性性的保证第五部分 连连续审计的应应用领域对内部审计部门门而言所面临临的压力是以以较少的资源源做更多的事事情也许最最困难的挑战战来自于审计计师必须对内内部控制的有有效性及时作作出保证,更更好地识别和和评估风险水水平,快速找找出没有遵循循相关法规和和政策的事项项。
这些就是是连续审计可可以应用的领领域适用技技术,从电子子表格软件或或脚本开发使使用特种审计计软件(sccriptss deveelopedd usinng auddit-sppecifiic sofftwaree)到商品化化的专业解决决方案软件包包或客户自行行开发的系统统这些选择择的解决方案案必须是灵活活的可升级的的,允许审计计师从某个特特定的领域开开始,然后扩扩大范围、规规模和分析的的频率尽管一些法定审审计需要每年年进行一次,但但是每年严格格执行这些审审计已不能满满足管理和法法规的需要内内部审计行为为必须应用风风险评估和进进行控制保证证行为虽然然需要更加关关注财务方面面的审计,连连续审计支持持所有类型和和领域的审计计行为欧洲洲联邦内部审审计机构(EECIIA)在在2005年年意见书《欧欧洲内部审计计》中,鼓励励内部审计师师通过给管理理层提供的关关于风险已经经被识别并且且得到恰当的的控制的保证证,对组织面面临的风险作作出反应审审计师不仅必必须能够评价价财务风险,而而且要能够评评价运营风险险和策略风险险这是持续续审计所关注注的新领域用用于测试控制制的信息访问问技术和技术术技能也能够够帮助首席审审计师通过支支持持续的评评价企业风险险管理有效性性的评价行为为和对一些警警告提出改进进建议,从而而给管理层提提供价值无法法估量的帮助助, 首席审计师通过过给高层管理理员工提供独独立的风险和和控制评估来来支持其监控控职能。
连续续审计有一系系列的功能来来支持审计行行为,首席审审计师,通过过以下的适用用方法和服务务,包括:1、风险管理策策略和实践::通过及早识识别风险2、管理控制框框架的可靠性性:通过找出出控制薄弱环环节3、用于决策的的信息:通过过检查管理者者使用的信息息的可靠性和和可获取性4、包含在年度度审计计划中中审计项目的的选择:通过过识别更高风风险领域5、实施有效的的和及时的改改正行为:通通过检验审计计建议的执行行情况首席审计师必须须认识到许多多的管理行为为与连续审计计有很强的联联系,例如整整合风险管理理、平衡计分分卡、连续改改进、连续监监控审计必必须决定那些些地方适合连连续审计,它它如何能用于于评估这些管管理措施行为为或者利用它它们所产生的的信息实施连续审计框框架的期望好好处包括:1、增加减轻风风险的能力2、减少评估内内部控制的成成本3、增加对财务务结果的信心心4、财务运营的的改善5、减少财务错错误和潜在的的舞弊此外,完全运用用了连续审计计的组织,通通常会报告运运营成本的减减少和边际利利润的增加一、应用于连续续控制评估(一)识别控制制缺陷由于新的法规需需要高层管理理者证明控制制环境的有效效性,以及财财务报告中所所含信息的精精确性,首席席执行官和首首席财务官开开始内部审计计行为来辅助助遵循这些法法规。
尽管管管理层对监控控、设计和维维持控制负有有责任以备广广泛认可,国国际内部审计计准则21220号,A11节指出内部部审计行为“应该通过评评价内部控制制的有效性和和效率性,以以及促进持续续改进来辅助助组织保持有有效的控制”由于这些些外部和内部部的压力,特特别是在一些些管理层没有有恰当发挥其其监控角色的的作用,审计计师通常需要要执行一个更更加全面的评评估和提供更更加连续的控控制评估这这对内部审计计流程和方法法有显著的影影响连续控制评估给给让首席审计计师清楚地看看到内部控制制系统的有效效性反过来来,给财务经经理,经营流流程管理这和和风险及遵循循经理提供对对内部控制的的独立的和及及时的保证对对关于内部控控制交易数据据的连续控制制评估能够迅迅速找出错误误和异常,将将它们报告给给管理层,以以及时进行检检查和采取行行动它也能能对财务和运运营信息的可可靠性和完整整性,营运的的效率和效果果起作用连续控制评估还还能够对连续续的风险评估估和管理层减减轻风险的行行为起作用控控制和风险的的评估是相互互补充、相互互支持以下的一个关于于内部审计中中应用连续控控制评估在财财务控制、系系统控制和安安全控制等三三个领域来支支持管理层监监控功能。
二)财务控制制:以采购卡卡项目为例一个全国性的采采购卡管理员员手工操作,每每个季度只能能对交易的极极小样本进行行评价审计计师决定管理理层的对于采采购的控制是是薄弱的,那那么暴露出来来的风险是否否相当的高在在评价采购卡卡使用的政策策后,审计师师进行一系列列的分析测试试来识别:1、不恰当的采采购卡使用,包包括与旅行支支出有关的交交易2、用于个人项项目的支付(如如珠宝、酒,等等等)3、可疑交易(如如未经授权的的持卡人使用用,销售商重重复刷卡,分分次付款以避避免超过财务务限额,等等等)分析的结果将提提交给持卡者者的经理,以以对这些可疑疑交易进行详详细审查———将采购卡的的支出与商品品采购相匹配配这识别出出许多的不恰恰当的采购和和以上三种类类型的舞弊在审计完成后,连连续控制评估估应用测试就就转向采购卡卡协调员,来来帮助运营经经理每个月对对采购卡控制制的监控三)系统控制制:以职责分分离为例连续控制评估测测试也能够用用来证实系统统是否按期望望值在起作用用使用分析析技术,测试试程序能够比比较个别交易易和规则基础础标准,对所所有的交易进进行评价以确确保个体没有有执行不相容容的职责在一个组织内,新新实施一个EERP系统,目目的是用自动动控制替代手手工控制来确确保职责的分分离。
ERPP项目小组,通通过业主的投投入,开发一一系列基于使使用者角色的的特色配置,这这就允许使用用者能够根据据自己的工作作职责来处理理各式各样的的业务尽管管审计师相信信在开发基于于角色的特色色配置中的方方法和程序,他他们关心实际际分配给使用用者的特色配配置,然后对对交易进行详详细检查,以以检查哪些些些地方职责分分离没有得到到保持审计师抽出当年年第一季度的的所有处理的的交易,然后后利用数据分分析技术来计计算每个使用用者处理过的的交易(通过过交易类型)这这发现两个使使用者首先建建立采购安排排,然后记录录相同采购安安排的货物接接受交易结结果表明在基基于角色的特特色配置的设设计中职责分分离控制是薄薄弱的,因为为这些是被视视为不相容的的职责由于ERP系统统经历了额外外的变化———例如,增加加新的角色和和改变现有角角色——运行连续续控制评估测测试来证明没没有违反职责责分离的情况况四)安全控制制:以系统登登录日志为例例连续控制评估能能够测试安全全控制,证明明所有的系统统使用者都是是有效的员工工,防止有企企图者侵入系系统在另一个组织的的例子中,每每周系统登录录日志被抽取取出来,然后后送交内部审审计部门审审计师抽取相相关信息并将将每个使用者者与当前的员员工管理文件件相匹配。
所所有的非员工工使用者被标标记出来,然然后一封邮件件将自动发送送给系统安全全部门,让其其废除该使用用者的身份(IID)此外外,测试还检检查失败的登登录日志通通过检查发现现一例在早上上三点一个使使用者ID有有25次通过过拨号登录失失败审计师师通过这份报报告来证明将将登录参数改改为在诸如这这类使用者的的ID在尝试试登录失败33次后将此IID锁定是正正确的连续控制评估的的潜在使用事事实上是无限限的无论哪哪里暴露出问问题,内部审审计师都能够够进行一项测测试或一系列列的分析程序序来搜索某人人试图利用控控制缺口或薄薄弱环节的证证据在某些些情况下,控控制暴露出来来的问题,包包括潜在的舞舞弊、浪费和和滥用这些些测试的频率率和时间取决决于潜在的经经营风险和控控制框架和管管理监控功能能的充分性五)舞弊、浪浪费和滥用国际内部审计准准则12100号第A2节节要求审计师师对舞弊的信信号拥有足够够的知识第第A3节也需需要审计师对对关键信息技技术风险、控控制和可利用用技术来开展展他们工作的的知识使用用技术来支持持连续控制评评估能够帮助助审计师检查查详细交易,也也包括汇总数数据,识别异异常和其他的的舞弊、浪费费和滥用信号号。
例如,利利用数据分析析技术,审计计师能够容易易识别那些地地方超越了合合约的授权(如如合约超过了了给个人规定定的合同限额额)和被逃避避(avoiid)(如撕撕毁合约)在在工薪领域,它它能够被用来来识别薪水册册上的员工非非员工数据库库中的员工或或者识别薪金金中的不正常常比率由于舞弊很大程程度上是一种种机会主义的的犯罪,控制制缺口和薄弱弱环节必须被被找出来,如如果可能的话话,甚至消除除它或者减少少它广泛应应用的审计指指南和准则已已直接地提到到了对这种暴暴露问题的关关注例如,国国际内部审计计准则实务公公告12100号第A2--1节:识别别舞弊,第AA2-2节::舞弊侦测的的责任,需要要审计师对可可能的舞弊拥拥有充分的知知识以识别它它们的征兆审审计师必须意意识到它会出出什么问题,它它怎么能出问问题以及谁会会牵涉其中美美国注册会计计师协会颁布布的审计标准准的公告第999号(SAAS No..99)“考虑财务报报告审计中的的舞弊”也是出台来来帮助审计师师侦测舞弊的的它比SAAS No..82更进一一步,它包含含的新的规定定包括:1、集体讨论舞舞弊的风险2、强调增加职职业怀疑3、确保管理者者意识到舞弊弊。
4、使用各种分分析程序5、侦测管理层层践踏内部控控制的情况它也定义了舞弊弊财务报表和和盗窃的风险险因素,这能能够被用来作作为评估舞弊弊财务报告风风险的模型在在SAS NNo.99 中列出来的的风险因素。