GLOBAAL TTECHHNOLLOGYY AUUDITT AUUIDEE全球技术审审计指南南(第33号)(20055 年 9 月月公布)Contiinuoous Audditiing:: Impliicattionns ffor Asssuraancee,Monittoriing,, annd Rissk AAsseessmmentt连续审计::对保证、监监控和风风险评估估的意义义AuthoorDavidd Cooderrre,, Rooyall Caanaddiann Moountted Pollicee (RRCMPP)作者戴维德·科科德里(加加拿大皇皇家骑警警)Subjeect Mattterr ExxperrtsJohn G. Verrverr, AACL Serrvicces Ltdd.Donalld JJ. WWarrren,, Ceenteer ffor Conntinnuouus AAudiitinng, Ruttgerrs Uniiverrsitty主题专家约翰·G··沃沃(AACL公公司)唐纳德·JJ·倭仁(鲁鲁特格斯斯大学,连续审计研究中心)湘潭大学商商学院 阳杰杰译(220066年111月)*注:原指指南附录录部分由由于篇幅幅限制,未未加翻译译作者水平有有限,如如有错误误之处,请请emaail到到yanng-jjie118911@1663.ccom目录1 首席席审计师师简述11.1 连续审审计21.2 连续审审计/连连续监控控的必要要性:整整合法31.3 内部审审计和管管理层的的角色41.4 连续审审计的作作用41.5 实施的的问题52 导言言62.1 连续审审计:一一个简史史72.2 当今的的审计环环境82.3 COSSO的企企业风险险管理(EERM)框框架92.4 内部审审计行为为和管理理层的角角色122.5 连续审审计和监监控的好好处123 需要要澄清的的一些关关键概念念和术语语143.1 连续审审计的连连续系统统174 连续续审计于于连续保保证和连连续监控控的关系系184.1 连续保保证184.2 连续监监控194.3 连续审审计205 连续续审计的的应用领领域225.1 应用于于连续控控制评估估245.2 应用于于连续风风险评估估296 实施施连续审审计366.1 连续审审计目标标376.2 连续控控制和风风险评估估的关系系476.3 连续风风险评估估516.4 管理和和报告结结果536.5 挑战和和其他要要考虑的的因素57今天的法规规环境下下,首席席审计师师们都发发现他们们的部门门变得越越来越被被为满足足遵循要要求的监监控和内内部控制制测试所所吞噬。
但但是,大大多数的的运营和和财务审审计行为为保留下下来了许许多内部部审计部部门正借借助技术术来减轻轻负担,并并提升效效率和生生产率,推推动经营营绩效这份全球技技术审计计指南“连续审审计:对对保证、监监控和风风险评估估的意义义”给首席席审计师师们提供供关于如如何实施施一个理理想的策策略,结结合连续续审计和和连续监监控方案案来应对对这些挑挑战AACL的的数据分分析技术术和连续续控制监监控方案案能够最最好地提提升审计计实践,以以满足当当今对有有效控制制地高度度要求AACL能能够帮助助你证明明适当的的技术投投资的好好处,并并且支持持持续的的遵循需需要,增增加运营营效率,并并对提高高收益有有帮助第一部分 首席席审计师师简述对风险管理理和控制制系统的的有效性性进行及及时和连连续的保保证的需需求非常常关键组组织频繁繁地暴露露在重大大错误、舞舞弊或者者无效率率下,这这些会导导致财务务损失和和风险升升级一一个变化化的法规规环境,经经营的全全球化,市市场方面面要求改改善经营营的压力力,以及及快速变变化的商商业环境境要求更更加及时时和连续续地对正正在运行行的控制制的有效效性和风风险水平平正在降降低作出出保证。
这些要求给给首席审审计师们们和他们们的职员员不断增增加压力力内部部审计部部门卷入入遵循工工作的程程度持续续增加,尤尤其是由由于法规规的原因因,例如如美国220022年的萨萨班斯法法案第4404节节关注注度的提提高不仅仅与期望望值的增增长有关关,还与与内部审审计师在在评价内内部控制制的有效效性、风风险管理理和治理理流程中中保持独独立性和和客观性性的能力力能力有有关今天,内部部审计师师面临着着的挑战战来自一一系列的的领域::1、 法规的遵循循和控制制:评价价和识别别事件和和流程,可可持续性性,资源源,定义义重要性性,优先先级和财财务报告告风险2、 内部审计价价值和独独立性::对内部部审计的的高度期期望,内内部控制制问题的的增加,对对内部审审计角色色可靠性性和独立立性的困困惑,客客观性和和独立性性的削弱弱3、 舞弊:侦测测和控制制,识别别盗窃,舞舞弊管理理责任,舞舞弊频率率和成本本的增加加4、 可用的熟练练审计资资源:缺缺乏能胜胜任的和和合适的的熟练审审计师,审审计师短短缺,持持续力,对对风险和和控制缺缺乏理解解5、 技术:支持持遵循的的合适的的解决方方案,技技术经营营模型,信信息安全全,信息息技术优优势,外外部采购购。
显然,必须须要有一一种新的的、能够够提供连连续的、建建设性的的和划算算的方法法来解决决这些问问题一、连续审审计传统的内部部审计所所对控制制测试是是一种向向后看的的周期性性方式,通通常是在在经营行行为发生生后的几几个月后后进行测测试程序序也是基基于抽样样的方式式,还包包括一些些诸如对对政策、程程序、批批准和调调节的评评价现现在,这这种方式式被视为为一种仅仅仅能够够提供内内部审计计师一个个狭窄范范围的评评价的审审计方法法,通常常由于太太迟而是是去了对对经营绩绩效和法法规遵循循的价值值连续续审计是是一种以以更加频频繁的方方式来自自动执行行控制和和风险评评估的方方法技术是施行行这样一一种方法法的关键键连续续审计改改变了审审计模式式,它将将对交易易样本的的周期性性测试变变为对1100%%的样本本进行连连续性测测试它它已在许许多层次次上已成成了现代代审计不不可缺少少的部分分它也也应该紧紧密与管管理行为为(如行行为监控控,平衡衡计分卡卡和企业业风险管管理框架架)结合合在一起起连续审计方方式能让让内部审审计师完完全理解解关键控控制点、控控制规则则和例外外情况通通过对的的自动化化和经常常性的分分析,他他们能够够实时地地或接近近实时地地执行控控制和风风险评估估。
他们们能从交交易层面面的异常常和控制制缺陷和和出现风风险的数数据驱动动指标两两方面来来分析关关键业务务流程最最后,通通过连续续审计,分分析结果果将被整整合进审审计程序序的所有有方面,从从制定和和维持这这个企业业审计计计划到开开展和继继续特定定的审计计二、连续审审计/连连续监控控的必要要性:整整合法按照首席审审计师们们对遵循循努力的的负担、资资源的缺缺乏以及及保持审审计独立立的必要要性的关关注,将将连续审审计和连连续监控控结合在在一起将将是一种种理想的的方法连续监控管管理层设设计的为为保证政政策、程程序和业业务流程程能有效效运行的的程序它它指出了了管理层层对评价价内部控控制的充充分性和和有效性性的责任任这包包含识别别控制目目标和保保证声明明(asssurrancce aasseertiion)以以及建立立自动化化的测试试程序来来找出遵遵循失败败的活动动和交易易许多多管理层层实施的的对控制制的连续续监控技技术与内内部审计计师执行行连续审审计所用用技术类类似管理层使用用连续监监控程序序,结合合内部审审计师执执行的连连续审计计,能够够满足对对控制程程序的有有效性以以及用于于决策的的信息的的相关性性和可靠靠性的保保证需要要。
对组织的一一种重要要的额外外好处是是错误和和舞弊事事件的显显著减少少,经营营效率也也得到了了提高,线线下项目目(boottoom-llinee)的结结果也通通过成本本的减少少和过度度支付及及收入泄泄漏的减减少得到到改善实实施了连连续审计计和连续续监控的的组织通通常会发发现他们们迅速地地获得了了投资回回报商业和法规规环境,以以及出台台的审计计准则,驱驱使审计计师和管管理层更更加有效效地利用用信息和和数据分分析技术术,作为为连续审审计和连连续监控控的可行行基本因因素之一一三、内部审审计和管管理层的的角色管理层对评评价风险险和设计计、实施施、连续续维护组组织内部部的控制制负有主主要责任任内部部审计师师的行为为要对识识别和评评价由管管理层实实施的组组织的风风险管理理系统和和控制的的有效性性负责审审计师进进行评价价以给审审计委员员会和高高层经理理在风险险的状态态和控制制系统,以以及在诸诸如萨班班斯法案案等法规规下,就就管理层层关心的的控制状状况的可可靠性提提供保证证理想想的情况况是,内内部审计计不是控控制监控控流程的的一部分分,并且且没有设设计或维维护这些些控制,从从而能够够使他们们的独立立性得以以保持。
尽管对内部部控制的的监控是是一种管管理职能能,内部部审计师师行为能能够使用用和借助助连续审审计来强强化整个个组织的的监控和和评价环环境管管理层事事先执行行的监控控水平将将直接影影响审计计师实施施连续审审计在在管理层层已经对对某项内内部控制制进行连连续监控控的情况况下,在在连续审审计时,相相同层次次的详细细交易测测试就无无需再进进行取取而代之之的是,审审计师能能够关注注审计程程序,来来决定管管理层监监控程序序有效性性,借助助这种测测试的结结果来调调整范围围、数字字和审计计测试的的频率四、连续审审计的作作用连续审计的的作用依依赖于对对对内部部控制的的连续性性测试的的智能性性和有效效性,及及时提示示控制缺缺口和薄薄弱环节节存在的的风险,并并允许立立即的追追踪和进进行补救救通过过改变他他们的审审计方式式,审计计师将能能够更好好地理解解经营环环境和公公司风险险以支持持遵循和和提高经经营绩效效五、实施的的问题首席审计师师必须认认识到连连续审计计将改变变审计模模式,包包括证据据的特征征、时间间、程序序和内部部审计师师所需的的努力水水平这这将给审审计部门门提出要要求,尤尤其是他他们必须须:1、 获得和促成成审计委委员会和和高级管管理层支支持这个个概念并并实施连连续审计计。
2、 开发和保持持技术方方面的能能力,以以保证访访问、操操作和分分析包含含在相互互分离系系统中数数据的能能力3、 使用(或实实施)数数据分析析技术来来支持审审计项目目,包括括使用合合适的分分析软件件工具,开开发和维维护数据据分析技技术,以以及审计计组中的的专家4、 发起、促进进和鼓励励管理层层对连续续审计的的支持5、 保证连续审审计被采采用作为为风险导导向审计计计划中中完整的的、相容容的一部部分6、 管理和回应应连续审审计的结结果,决决定合适适的使用用、跟踪踪和报告告机制首首席审计计师将必必须确保保对审计计发现报报告的问问题管理理层已经经采取合合适的行行动,连连续审计计的结果果在管理理层的评评价时要要被考虑虑到,这这些评价价包括内内部控制制的监控控,业绩绩评价和和企业风风险管理理这份国际内内部审计计师协会会(IIIA)的的全球技技术审计计指南(GGTAGG)确定定了那些些必须要要做,以以有效利利用技术术来支持持连续审审计,突突出需要要进一步步关注的的领域通通过阅读读和遵照照下面列列出的步步骤,内内部审计计师应该该处于一一个更好好的位置置来利用用技术和和最大化化他们的的投资回回报,同同时也要要向管理理层证明明进行适适当的技技术投资资的必要要性———不仅对对影响他他们组织织的法规规遵循的的需要起起作用,而而且对整整个组织织的健康康和竞争争力起作作用。
第二部分 导言这份全球技技术审计计指南将将着重连连续审计计的技术术可行性性方面,并并且将介介绍:1、 过去30年年间使用用的类似似概念的的历史和和背景2、 相关的术语语和技术术的定义义:连续续审计,连连续性风风险评估估,连续续性控制制评估,连连续监控控,连续续性鉴证证3、 连续审计与与连续监监控的关关系4、 连续审计能能在内部部审计行行为中应应用的领领域5、 与连续审计计有关的的挑战和和机遇6、 对内部审计计和首席席审计师师以及管管理的影影响7、 一个连续审审计自我我评估工工具 自自19880年以以来,许许多的名名词与实实时或接接近实时时地提供供连续审审计程序序的概念念有关系系,包括括:连续续监控、连连续控制制评估、连连续审计计这份份全球审审计指南南首先统统一使用用“连续审审计”的概念念它论论述了作作为连续续审计的的主要组组成部分分的连续续控制评评估和连连续风险险评估这这份指南南将监控控行为视视为管理理层的责责任,同同时还论论述了审审计和监监控的内内在联系系,以及及内部审审计师在在他们的的角色中中如何提提供额外外的保证证来支持持管理当前最显著著的一个个连续审审计的推推动力就就是高昂昂的法规规遵循成成本。
在在美国,一一份20005年年3月份份的国际际财务执执行官组组织调查查发现,每每个组织织的萨班班斯法案案的平均均遵循成成本超过过了四百百万美元元由于于绝大部部分成本本都与手手工的、员员工密集集型(内内部资源源和外部部顾问的的使用)有有关那那么我们们对20005年年1月份份AMRR研究机机构所作作的研究究发现关关键技术术能够用用来减少少的遵循循成本超超过255%就不不会感到到奇怪了了遵循的压力力迫使组组织改进进他们对对内部控控制进行行连续评评价的方方法在在这种情情况下,美美国证券券交易委委员会指指出,“管理层层和审计计师必须须运用合合理的判判断,在在(萨班班斯法案案4044条款)遵遵循流程程中运用用严密的的(TOOP-DDOWNN)、风风险基础础的方法法”这就就导致了了对连续续监控(由由管理层层实施)和和连续审审计的关关注不断断增加支支持一套套完整的的审计行行为,连连续审计计不仅帮帮助支持持对控制制的保证证,还包包括风险险评估,识识别舞弊弊、浪费费和滥用用,审计计计划,跟跟踪审计计建议等等审计行行为一、连续审审计:一一个简史史自动控制测测试开始始于200世纪660年代代,当时时是通过过安装和和执行内内嵌审计计模块(EEAMss)来实实现的。
但但是,这这些模块块难以建建立和维维护,而而且只是是在相关关的少数数组织中中使用在在20世世纪700年代后后期,审审计师开开始离弃弃这种方方法到到了200世纪880年代代,审计计职业中中有些人人开始接接受并使使用计算算机辅助助审计工工具和技技术(CCAATTTs)用用于特殊殊的调查查和分析析与此此同时,连连续监控控的概念念首先是是通过大大量的学学术文章章介绍给给审计师师的最最基本的的优点就就是使用用连续的的自动化化的数据据分析将将帮助审审计师识识别风险险最高的的领域,并并作为决决定他们们的审计计计划的的先导但但是,在在很大程程度上,审审计师们们并没有有对这种种审计方方法做好好准备他他们缺乏乏容易访访问的合合适软件件工具,以以及技术术资源和和专家来来克服数数据访问问的挑战战,最重重要的是是,组织织将是否否支持这这种新的的与传统统审计方方法很不不一致的的审计方方式和方方法在20世纪纪90年年代,在在全球审审计职业业界内,开开始大范范围的不不断地接接受数据据分析解解决方案案,这些些解决方方案被视视为支持持有效进进行内部部控制测测试的关关键工具具这些些技术用用于检查查交易中中某些发发生的事事件,这这些事件件是由于于某项控控制不存存在或没没有适当当地执行行。
它也也能够识识别与控控制标准准不符的的交易此此外,数数据分析析支持不不是直接接从交易易数据中中获取证证据的控控制测试试例如如,企业业资源管管理计划划(ERRP)访访问和授授权表格格能够用用来分析析保持适适当的职职责分离离是否失失效但但是,尽尽管有这这些技术术基础,传传统审计计程序通通常依赖赖于典型型的样本本,而不不是对总总体进行行评价,并并且是在在经营(交交易)行行为发生生一些时时间后进进行分析析的所所以,风风险和控控制问题题有大量量的机会会升级,并并对经营营绩效产产生消极极的影响响二、当今的的审计环环境今天,经营营环境中中信息系系统功能能的普及及使得审审计师能能够更加加容易地地访问更更加相关关的信息息,同时时也包括括对大量量增加的的数据和和交易的的管理和和评价此外,经营营的快节节奏要求求提升对对控制问问题识别别和反应应在美美国像萨萨班斯法法案的4404条条款之类类的法规规要求及及时披露露控制的的缺陷,管管理层要要对内部部控制框框架充分分性作出出保证这这些法规规遵循的的紧迫性性、连续续审计准准则、审审计软件件的功能能提升,既既促使而而且能够够让审计计师采纳纳新的方方法来评评估信息息和评价价控制。
首席审计师师必须给给高层管管理者提提供对内内部控制制的健康康运行和和组织内内的风险险水平作作出连续续的评价价,而不不是简单单的周期期性的评评价今今天的内内部审计计师不仅仅仅是对对控制进进行审计计,他们们还关注注公司的的风险特特征,而而且在识识别风险险领域来来改善风风险管理理流程中中发挥关关键作用用但是是,如果果他们不不完全理理解经营营流程和和相关风风险,审审计师只只能仅仅仅执行传传统的审审计核查查工作连连续审计计给审计计师提供供了一个个超脱传传统审计计方式的的局限、样样本的限限制、撰撰写标准准公告、实实时评价价的机会会,连续续审计的的关键部部分是能能够在接接近经营营行为发发生或者者在经营营行为发发生的同同时对交交易进行行评价的的连续审审计模型型就像将第四四部分中中要详细细讨论的的一样,影影响内部部审计师师应用连连续审计计方式的的一个关关键因素素是管理理层已经经实施了了用于连连续控制制监控和和识别控控制缺陷陷和风险险指标的的系统的的程度连续审计测测量某些些关键特特征,一一旦某项项参数符符合,将将会触发发审计师师采取某某种行为为在连连续审计计条件下下,这里里有两种种主要的的行为::1、 连续控制评评估:使使审计师师能够尽尽早关注注控制的的缺陷。
2、 连续风险评评估:突突出正在在遭受比比期望风风险更高高的程序序或系统统连续审计的的行为的的频率取取决于程程序或系系统的固固有风险险此外外,它可可以从检检查关键键的控制制和风险险领域着着手,在在审计师师获得经经验和能能够获取取与遵循循、经营营效率和和效果、财财务报告告的公允允性等方方面的可可测量结结果时,然然后扩大大连续审审计应用用领域的的范围三、COSSO的企业风风险管理理(ERRM)框框架Treaddwayy委员会会下属的的发起组组织委员员会(CCOSOO)发布布的企业业风险管管理———整合框框架鼓励励内部审审计师行行为向管管理层经经营方式式靠拢::控制环环境、风风险评估估、信息息与沟通通、风险险监控CCOSOO的ERRM框架架是原来来的COOSO内内部控制制框架的的扩展它它增加了了对内部部控制的的关注,并并且对企企业风险险管理(EERM)进进行了更更加充分分的广泛泛的论述述它的的四个目目标———策略、运运营、报报告和遵遵循,给给内部审审计师增增加了评评价内部部控制系系统、识识别和评评估风险险的压力力要完完成这些些任务,内内部审计计必须改改变它的的传统的的角色,向向关注公公司目标标、策略略、风险险管理和和业务流流程、关关键控制制行为转转变。
连续审计关关注的不不单单是是对控制制和法规规的遵循循,而更更注重改改进组织织的经营营效率连连续审计计同时还还必须通通过识别别和评估估风险以以及给管管理层提提供信息息对整个个组织的的改进作作出贡献献,以更更好地适适应变化化的商业业环境它它将在所所有的CCOSOO企业风风险管理理组成部部分方面面给内部部审计以以帮助1、 内部环境和和目标设设置:通通过正式式确定连连续审计计的目标标和内部部审计的的角色2、 事项识别::通过开开发一个个系统来来识别和和报告事事项以及及应对这这些威胁胁和机遇遇的程序序3、 风险评估::通过分分析和评评估风险险,考虑虑可能性性和影响响,从而而给决定定如何管管理风险险提供基基础4、 风险反应::通过考考虑风险险的种类类和关键键行为,通通过开发发数据驱驱动方法法来评估估和回应应风险5、 控制行为::通过识识别管理理层和内内部控制制的角色色;证明明控制评评估不是是一年一一次的行行为,而而是一个个持续关关注的行行为;自自动化这这些控制制测试程程序,使使之尽可可能接近近实时运运行6、 信息和沟通通:通过过促进确确保信息息的精确确性和关关注事项项的实时时报告7、 监控和评价价:通过过提供独独立的评评估来支支持由管管理层实实施的连连续监控控行为。
图1:COOSO企企业风险险管理框框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监 控信 息 和 沟 通控 制 活 动风 险 反 应风 险 评 估事 项 识 别目 标 制 定内 部 环 境连续控制评评估将允允许内部部审计师师评价管管理监控控行为的的充分性性,并给给审计委委员会和和高层管管理员工工提供控控制正在在有效运运行以及及组织能能够快速速改进出出现的缺缺陷快速速反应并并及时改改正的独独立保证证连续续风险评评估使审审计师能能识别正正在出现现的使公公司处于于风险的的领域,将将这些风风险区分分优先次次序,以以更加有有效地分分配有限限的审计计资源但但是,这这些行为为不能以以任何方方式妨碍碍管理层层实施监监控和管管理风险险的职能能监控和评价价是COOSO的的企业风风险管理理作为一一个有效效控制框框架的最最后一个个要素,也也是一个个组织朝朝持续改改进所做做努力的的关键成成分连连续监控控包含管管理层为为保证政政策、程程序和经经营流程程都有效效地运行行,在适适当位置置设置的的程序它它提出了了管理层层评价控控制的充充分性和和有效性性的责任任这包包含识别别控制目目标和保保证认定定,并建建立自动动化的测测试程序序将遵循循相关控控制目标标和保证证认定失失败的交交易凸显显出来。
连连续监控控的许多多技术与与内部审审计部门门使用的的连续审审计技术术是类似似的四、内部审审计行为为和管理理层的角角色为了践行管管理者的的角色,管管理层对对风险评评估和内内部控制制的设计计、实施施和连续续维护负负有主要要责任内内部审计计行为,根根据它对对管理层层和董事事会的职职责,他他对识别别和评价价组织的的由管理理层实施施的风险险管理系系统(内内部审计计准则221100)和控控制(内内部审计计准则221200)的有有效性负负有责任任审计计师和管管理层之之间的角角色差异异在于从从事内部部控制和和风险评评估工作作时,各各自对股股东的责责任的特特征审审计师给给股东提提供保证证服务;;审计委委员会和和高层经经理重视视风险和和控制系系统的状状态;在在法规方方面,诸诸如萨班班斯法案案,以及及管理层层表现的的对内部部控制的的关注的的可靠性性理想想上,审审计师并并不是流流程的一一部分,也也不是来来设计和和保持内内部控制制的,这这样,审审计师的的客观性性和独立立性就能能得以保保持五、连续审审计和监监控的好好处连续审计和和监控(由由管理层层实施)的的结果是是类似的的,都包包含提示示或警告告,这些些提示或或警告指指出了控控制的缺缺陷或高高风险水水平。
这这些提示示或警告告能够按按优先次次序排列列,这取取决于风风险和控控制缺陷陷的严重重程度,这这些提示示或警告告会分发发给经营营流程或或应用系系统的担担保人,运运营经理理,审计计师,高高级财务务经理,甚甚至法规规制定者者管理理层对这这些提示示的回应应能够修修补内部部控制缺缺陷和立立即修正正错误的的交易审审计师对对这些警警告的回回应能够够从立即即审计确确认的内内部控制制系统到到标记一一个领域域以备将将来审计计例如,对财财务交易易的持续续审计,当当一个分分类账凭凭证超出出了给定定限额,以以及留有有非正常常关联账账户的入入口,测测试可能能给出一一个提示示审计计师的反反应可能能取决于于这是否否视为一一个单一一项目———这个个反应可可能会是是发送一一个Emmaill给这项项交易的的当事人人以得到到相应的的解释;;也可能能会视为为一个系系统的问问题,对对某个领领域的财财务审计计可能状状况良好好使用用连续审审计进行行额外的的测试来来决定这这些异常常的特征征能够回回答诸如如以下问问题:1、 日记账凭证证是给暂暂记账户户留有入入口,而而且没有有在规定定的时间间内进行行清除??2、 日记账凭证证是否给给不正常常的关联联账户留留有入口口?3、 受影响的账账户是否否可能会会是诸如如人工操操纵收益益之类的的舞弊??4、 日记账凭证证的数量量和类型型与往年年相比是是否有异异常?5、 个体之间登登录系统统时是否否做到了了职责分分离?6、 我们是否应应该提高高或降低低测试的的标准??7、 财务比率是是否与公公司的期期望相符符?8、 近几年的收收益趋势势如何??这些趋趋势与公公司的期期望(ppeerr)以及及总体的的经济环环境如何何匹配??连续审计帮帮助审计计师评价价管理层层的监控控功能的的充分性性。
这让让首席审审计师能能给审计计委员会会和高级级管理层层提供对对控制系系统运行行的有效效性作出出保证,以以及审计计程序在在识别和和指出任任何侵害害中发挥挥作用连连续审计计还识别别和评估估风险领领域,给给审计师师提供信信息,审审计师通通过与管管理层的的沟通能能够帮助助管理层层减轻风风险此此外,他他能够用用于帮助助制定年年度审计计计划,以以将审计计关注点点和资源源转向高高风险领领域然而,连续续审计最最重要的的优势之之一在于于它独立立于所审审计的业业务和财财务系统统和管理理层实施施的监控控这能能改善组组织的管管理和控控制框架架,并提提供一个个审计师师能够用用来支持持他们的的独立评评价和评评估行为为的机制制连续审计还还面临着着一些挑挑战这这些技术术需要被被理解和和控制内内部审计计师必须须能够访访问数据据、软件件工具和和技术,以以及拥有有能够智智能使用用他们手手头所掌掌握的大大量的公公司财务务和非财财务信息息的必要要知识连连续审计计带来的的机遇也也对审计计师和首首席审计计师提出出了要求求第三部分 需要要澄清的的一些关关键概念念和术语语已经采取了了各种尝尝试来鼓鼓励审计计师更好好地使用用电子信信息,以以改进内内部审计计行为的的效率和和效果。
最最近,多多种术语语已经被被用于这这些尝试试,同时时也导致致了职业业界认识识上的混混乱没没有一个个清晰的的、通用用的术语语,那么么将会很很难提升升这些尝尝试,成成功的可可能性也也会减少少因此此,实施施连续审审计首先先要做的的就是给给定和传传播所有有相关术术语的清清晰的定定义理解与连续续审计相相关的术术语的关关键在于于理解控控制和风风险是一一个问题题的两个个方面控控制的存存在是为为了帮助助降低风风险;识识别控制制缺陷能能凸显潜潜在的风风险领域域相反反,通过过检查风风险,审审计师能能够识别别哪些地地方需要要控制和和(和)控控制没有有发生作作用尽管对控制制和风险险的评估估通常包包含定量量分析也也包含定定性分析析,但是是最大化化的效率率获取是是来自于于最大化化地利用用技术对对审计师师的挑战战是确保保数据的的利用和和通用性性,理解解相关的的业务流流程和系系统,最最大化地地运用自自动化所所以,这这份全球球审计技技术指南南关注的的是支撑撑持续审审计的技技术辅助助程序保证可以认认为是第第三方对对事件状状态的意意见,这这个事件件是关于于一个特特定的交交易、业业务或治治理流程程、风险险或整个个业务流流程中的的财务绩绩效的。
审审计保证证是对控控制的充充分性和和有效性性,信息息的完整整性作出出的声明明管理层实施施的持续续控制监监控是有有效保证证策略的的核心部部分,但但是,审审计师仍仍然必须须确保管管理层的的行为是是充分的的和有效效的连连续保证证的框架架是联结结内部审审计师的的独立性性评价行行为:控控制的状状态、组组织内部部的风险险管理、评评估管理理监控功功能的充充分性图2:连续续保证的的框架连续保证连续控制评评估连续风险评评估对连续监控控的评估估首席审计师师必须保保证所有有的审计计师、高高级经理理和审计计委员会会理解内内部审计计行为和和管理层层在使连连续保证证方程有有效的角角色和责责任以以下的定定义可能能提供了了额外的的视角::1、连续审审计是审审计师为为了在一一个更持持续、更更频繁的的基础上上实施与与审计相相关的行行为所采采取的任任何方法法它是是一系列列行为的的联合体体,这些些行为从从连续控控制评估估延伸到到连续风风险评估估连续风险评评估是关关于控制制-风险险联合体体的所有有行为技技术在识识别例外外和(或或)异常常、分析析关键数数据字段段的模式式、趋势势分析、从从开始到到结束的的明细交交易分析析、控制制测试和和将组织织的程序序或系统统根据不不同的时时点比较较或与其其他类似似的单位位比较等等方面发发挥着关关键作用用。
2、连续控控制评估估是审计计师采取取的准备备用来进进行与内内部控制制相关的的保证的的行为通通过连续续控制评评估,通通过识别别控制缺缺陷和侵侵害,审审计师给给审计委委员会和和高层经经理提供供关于控控制是否否正在恰恰当运行行的保证证单个个的交易易是通过过一系列列的控制制规则来来进行监监控的,以以提供关关于系统统内部控控制的保保证,并并强调例例外情况况一系系列定义义良好的的控制规规则在控控制程序序或系统统没有按按期望运运行或受受到威胁胁时能够够及早地地提供警警告内部审计需需要执行行连续控控制评估估行为的的范围取取决于管管理层履履行其关关于连续续监控的的责任的的程度一一个强有有力的管管理监控控系统将将减少审审计师必必须执行行以对控控制提供供保证的的详细测测试数量量3、连续风风险评估估是审计计师用来来识别和和评估风风险水平平的行为为连续续风险评评估通过过检查趋趋势和比比较(在在单个程程序或系系统里,与与之过去去的表现现相比较较,与企企业内的的其他的的程序或或系统相相比)来来识别和和评估风风险水平平例如如,生产产线的表表现可以以和先前前年度的的结果相相比较,就就像是将将一个企企业的绩绩效与所所有的其其他企业业相比较较一样。
这这种比较较能够较较早地警警示某个个程序或或系统(审审计主体体)的风风险水平平高于以以前年度度或其他他主体审审计的反反应也因因风险的的特征和和水平而而异连连续风险险评估能能应用于于大范围围的审计计领域,来来选择访访问点,来来识别排排除包含含在审计计计划中中的特定定的审计计或单位位,或触触发对某某个风险险增加但但缺乏足足够解释释的单位位的审计计它也也能够用用来评价价管理行行为,来来检查审审计建议议是否得得到合理理的贯彻彻,经营营风险水水平是否否正在减减少4、连续监监控是管管理层为为了确保保政策、程程序和业业务流程程能够有有效运行行而实施施的一项项程序管管理层识识别关键键控制点点和实施施自动化化的测试试来决定定这些控控制是否否恰当运运行典典型的持持续监控控程序包包括在给给定的经经营流程程领域内内,借助助一组控控制规则则,自动动测试所所有的交交易和系系统行为为监控控通常是是按天、周周或月进进行,这这取决于于当前的的业务循循环的特特征取取决于特特殊的控控制规则则和相关关测试和和初始参参数,某某些交易易被标记记为控制制例外事事项,且且告知管管理层管管理层监监控也可可能依靠靠关键绩绩效指标标和其他他绩效评评价行为为。
对监监控警报报和提示示作出回回应并立立即修补补控制缺缺陷和改改正问题题交易是是管理层层的责任任一、连续审审计的连连续系统统连续审计帮帮助审计计师识别别和评估估风险,还还在组织织中建立立智能和和动态阀阀值来回回应变化化它也也支持整整个审计计范围的的风险识识别和评评估,帮帮助制定定年度审审计计划划,以及及确定某某项特定定审计的的审计目目标因因此,连连续审计计在很多多层面上上可以视视为一个个连续系系统同同时,连连续系统统中的不不同位置置更加适适合不同同的工作作,在连连续系统统中当你你执行不不同的任任务时还还可能超超过一个个位置对连续审计计的关注注从控制制基础到到风险基基础(见见图3);;分析性性技术从从对明细细交易的的实时评评价到对对整个单单位进行行趋势分分析以及及与其他他单位进进行比较较分析,并并且随着着时间进进行图3:连续续审计的的连续系系统←─────────────────连续审审计─────────────────→→连续控制评评估←────────────────────────→→连续风风险评估估方法控制基础 风险险基础(保证控制制正在运运行)←←─────────────────→(识识别/评评估风险险)财务控制 财务务/运营营控制关注点实时/详细细交易测测试(财财务数据据)←───────→趋趋势/比比较(财财务/运运营数据据)分析技术控制保证 财务务鉴证 舞弊弊/浪费费/滥用用 审审计范围围和目标标 追追踪审计计记录 年度审审计计划划相关审计行行为控制监控 业业绩监控控 平衡衡计分卡卡 全面面质量管管理 企企业风险险管理相关管理行行为注1:在这这个连续续系统的的“控制”结尾,相相关审计计行为包包括保证证和财务务鉴证审审计。
注2:连续续系统的的另一个个结尾的的审计行行为包括括通过风风险评估估支持审审计项目目来识别别舞弊、浪浪费和滥滥用,并并提交年年度审计计报告注3:相关关管理层层行为包包括连续续控制监监控,绩绩效监控控,平衡衡计分卡卡,全面面质量管管理和企企业风险险管理连续审计是是一个统统一能够够带来控控制保证证、风险险评估、审审计计划划、数据据分析以以及其他他审计工工具、技技术和科科技结合合在一起起的统一一结构或或框架它它支持微微观审计计事项,例例如明细细交易测测试来评评价控制制的有效效性;宏宏观审计计方面,通通过风险险识别和和评估来来准备年年度审计计计划它它也能满满足中观观层面的的需求,例例如为个个别审计计开发审审计项目目微观审计和和宏观审审计两个个层次的的主要区区别在于于两者信信息需求求的粒度度不同::1、控制测测试需要要细节信信息:需需要深入入交易的的源头层层次连连续控制制评估使使用仔细细制定的的规则和和实时的的或接近近实时的的,测试试交易对对这些规规则的遵遵循情况况2、个别审审计通常常开始于于年度审审计计划划中的风风险识别别,但使使用更多多的数据据分析和和其他技技术(如如访问,自自我控制制评估,实实地观察察wallkthhrouugh,调调查问卷卷)来进进一步定定义风险险的主要要领域和和风险评评估的关关注点和和后续的的审计行行为。
3、年度审审计计划划需要高高层次的的信息,可可能是几几年的价价值数据据,来建建立风险险因素,并并将风险险排序,设设置审计计计划开开始的时时间和目目标第四部分 连续续审计与与连续保保证和连连续监控控的关系系一、连续保保证前文已提到到,保证证被描述述为第三三方对事事件状态态的意见见它通通常包括括三个方方面:1、准备信信息的个个人或团团体2、使用这这些信息息来进行行决策的的个人或或团体3、客观存存在的第第三方通常,保证证被视为为一项严严格的审审计相关关行为,通通常具有有财务方方面的特特征但但是其他他的,诸诸如法律律界也提提供保证证服务审计保证是是对控制制的充分分性和有有效性以以及信息息的完整整性发表表意见管管理层对对控制的的连续监监控是有有效保证证策略的的核心,但但是,审审计行为为还必须须保证管管理层行行为是充充分和有有效的内部审计通通过客观观检查所所获取的的证据以以提供对对风险管管理策略略和实践践,管理理控制框框架和实实践,用用于决策策和报告告的信息息的保证证服务连连续保证证服务能能够在审审计师执执行连续续控制和和风险评评估(如如连续审审计)和和评价管管理层实实施的连连续监控控行为的的充分性性时提供供。
审计师检查查管理层层的行为为,证实实控制都都在运行行,提出出改进建建议,确确保风险险正在被被控制如如果审计计师在执执行诸如如检查和和证实控控制和风风险,确确保管理理层正在在进行监监控工作作,那么么组织将将有一个个对控制制正在运运行,风风险正被被控制,用用于决策策的信息息具有完完整性的的高层次次的保证证管理理层在这这个保证证方程(aassuurannce equuatiion)中中起着开开发、设设计和监监控控制制和控制制风险的的作用二、连续监监控连续监控是是管理层层设置的的用于确确保政策策、程序序和经营营流程都都在有效效运行的的程序评评价控制制的充分分性和有有效性通通常是管管理层的的责任许许多管理理层使用用的用于于对控制制的连续续监控技技术与内内部审计计师进行行连续审审计所用用技术类类似连连续监控控的原则则比较简简单,它它包含以以下几个个方面::1、在一个个给定的的经营流流程中定定义控制制点,如如果可能能的话可可参照CCOSOO的企业业风险管管理框架架2、对每个个控制点点识别控控制目标标和保证证声明3、建立一一系列的的自动化化的测试试,以指指出某项项交易是是否没有有遵循所所有的相相关控制制目标和和保证声声明。
4、在接近近交易发发生的同同时,将将所有的的交易进进行测试试5、调查没没有通过过控制测测试的所所有交易易6、如果合合适的话话,可以以更正这这项交易易7、如果合合适的话话,更正正控制薄薄弱环节节连续监控的的关键是是这些程程序必须须由管理理层掌控控并由管管理层来来执行,因因为实施施和保持持有效控控制系统统是其职职责的一一部分既既然管理理层对内内部控制制负有责责任,那那么它就就必须有有一个连连续的决决定控制制是否按按设计在在运行的的方法通通过实时时地识别别和更正正控制的的问题,整整个的控控制系统统将得以以改善组组织得到到的一个个典型的的额外的的好处是是错误和和舞弊显显著减少少,经营营的效率率得到了了提高,通通过成本本的减少少和过度度支付(ooverrpayymennt)和和收入泄泄漏的减减少,从从而使线线下项目目的结果果得以改改善三、连续审审计管理层监控控和风险险管理行行为的充充分性与与审计师师必须执执行对内内部控制制的详细细测试和和风险评评估的程程度,它它们之间间存在这这一个反反比的关关系连连续审计计运用的的方法和和工作量量取决于于管理层层实施的的连续监监控行为为的程度度图4:反比比关系::管理层层付出的的努力水水平与审审计行为为对内部控制的完全监控对内部控制的少量监控减少工作量显著的努力/更多的资源审计工作量管理层反应在管理层还还没有实实施连续续监控的的地方,审审计师必必须借助助连续审审计技术术进行详详细测试试。
在某某些情况况下,审审计师甚甚至可能能主动来来帮助组组织建立立风险管管理和控控制评估估程序(见见国际内内部审计计协会实实务报告告21000-44:审计计师在一一个没有有风险管管理程序序组织中中的作用用)但但是,要要注意的的是审计计师对这这些程序序中并不不拥有所所有者权权,因为为这会损损害审计计师的独独立性和和客观性性图5:连续续审计、监监控和保保证(概概念框架架)连续保证连续审计和连续监控程序的结果连续监控审计测试连续审计审计连续监控管理行为、交易和事件经营系统和流程管理层全面面地在经经营流程程领域中中从头到到尾地实实施连续续监控,内内部审计计师就无无需执行行同样的的详细测测试来进进行连续续审计但但是,审审计师必必须执行行其他的的程序来来决定他他们是否否可以依依赖这个个连续监监控程序序这些些程序包包括:1、评价侦侦测到的的异常和和管理层层的反应应2、评价和和测试连连续监控控程序本本身的控控制,例例如: (1)处处理日志志/审计计轨迹 (2)调调节总额额控制(cconttroll tootall reeconncilliattionns) (3)系系统测试试参数的的变化通常,这些些程序与与那些在在正常审审计程序序中为确确保计算算机辅助助审计技技术被正正确应用用的质量量控制测测试是相相似的。
通过结合评评价监控控和连续续审计程程序,审审计师能能够提供供关于内内部控制制有效性性的保证证第五部分 连续续审计的的应用领领域对内部审计计部门而而言所面面临的压压力是以以较少的的资源做做更多的的事情也也许最困困难的挑挑战来自自于审计计师必须须对内部部控制的的有效性性及时作作出保证证,更好好地识别别和评估估风险水水平,快快速找出出没有遵遵循相关关法规和和政策的的事项这这些就是是连续审审计可以以应用的的领域适适用技术术,从电电子表格格软件或或脚本开开发使用用特种审审计软件件(sccrippts devveloopedd ussingg auuditt-sppeciificc sooftwwaree)到商商品化的的专业解解决方案案软件包包或客户户自行开开发的系系统这这些选择择的解决决方案必必须是灵灵活的可可升级的的,允许许审计师师从某个个特定的的领域开开始,然然后扩大大范围、规规模和分分析的频频率尽管一些法法定审计计需要每每年进行行一次,但但是每年年严格执执行这些些审计已已不能满满足管理理和法规规的需要要内部部审计行行为必须须应用风风险评估估和进行行控制保保证行为为虽然然需要更更加关注注财务方方面的审审计,连连续审计计支持所所有类型型和领域域的审计计行为。
欧欧洲联邦邦内部审审计机构构(ECCIIAA)在220055年意见见书《欧欧洲内部部审计》中中,鼓励励内部审审计师通通过给管管理层提提供的关关于风险险已经被被识别并并且得到到恰当的的控制的的保证,对对组织面面临的风风险作出出反应审审计师不不仅必须须能够评评价财务务风险,而而且要能能够评价价运营风风险和策策略风险险这是是持续审审计所关关注的新新领域用用于测试试控制的的信息访访问技术术和技术术技能也也能够帮帮助首席席审计师师通过支支持持续续的评价价企业风风险管理理有效性性的评价价行为和和对一些些警告提提出改进进建议,从从而给管管理层提提供价值值无法估估量的帮帮助, 首席审计师师通过给给高层管管理员工工提供独独立的风风险和控控制评估估来支持持其监控控职能连连续审计计有一系系列的功功能来支支持审计计行为,首首席审计计师,通通过以下下的适用用方法和和服务,包包括:1、风险管管理策略略和实践践:通过过及早识识别风险险2、管理控控制框架架的可靠靠性:通通过找出出控制薄薄弱环节节3、用于决决策的信信息:通通过检查查管理者者使用的的信息的的可靠性性和可获获取性4、包含在在年度审审计计划划中审计计项目的的选择::通过识识别更高高风险领领域。
5、实施有有效的和和及时的的改正行行为:通通过检验验审计建建议的执执行情况况首席审计师师必须认认识到许许多的管管理行为为与连续续审计有有很强的的联系,例例如整合合风险管管理、平平衡计分分卡、连连续改进进、连续续监控审审计必须须决定那那些地方方适合连连续审计计,它如如何能用用于评估估这些管管理措施施行为或或者利用用它们所所产生的的信息实施连续审审计框架架的期望望好处包包括:1、增加减减轻风险险的能力力2、减少评评估内部部控制的的成本3、增加对对财务结结果的信信心4、财务运运营的改改善5、减少财财务错误误和潜在在的舞弊弊此外,完全全运用了了连续审审计的组组织,通通常会报报告运营营成本的的减少和和边际利利润的增增加一、应用于于连续控控制评估估(一)识别别控制缺缺陷由于新的法法规需要要高层管管理者证证明控制制环境的的有效性性,以及及财务报报告中所所含信息息的精确确性,首首席执行行官和首首席财务务官开始始内部审审计行为为来辅助助遵循这这些法规规尽管管管理层层对监控控、设计计和维持持控制负负有责任任以备广广泛认可可,国际际内部审审计准则则21220号,AA1节指指出内部部审计行行为“应该通通过评价价内部控控制的有有效性和和效率性性,以及及促进持持续改进进来辅助助组织保保持有效效的控制制”。
由于于这些外外部和内内部的压压力,特特别是在在一些管管理层没没有恰当当发挥其其监控角角色的作作用,审审计师通通常需要要执行一一个更加加全面的的评估和和提供更更加连续续的控制制评估这这对内部部审计流流程和方方法有显显著的影影响连续控制评评估给让让首席审审计师清清楚地看看到内部部控制系系统的有有效性反反过来,给给财务经经理,经经营流程程管理这这和风险险及遵循循经理提提供对内内部控制制的独立立的和及及时的保保证对对关于内内部控制制交易数数据的连连续控制制评估能能够迅速速找出错错误和异异常,将将它们报报告给管管理层,以以及时进进行检查查和采取取行动它它也能对对财务和和运营信信息的可可靠性和和完整性性,营运运的效率率和效果果起作用用连续控制评评估还能能够对连连续的风风险评估估和管理理层减轻轻风险的的行为起起作用控控制和风风险的评评估是相相互补充充、相互互支持以下的一个个关于内内部审计计中应用用连续控控制评估估在财务务控制、系系统控制制和安全全控制等等三个领领域来支支持管理理层监控控功能二)财务务控制::以采购购卡项目目为例一个全国性性的采购购卡管理理员手工工操作,每每个季度度只能对对交易的的极小样样本进行行评价。
审审计师决决定管理理层的对对于采购购的控制制是薄弱弱的,那那么暴露露出来的的风险是是否相当当的高在在评价采采购卡使使用的政政策后,审审计师进进行一系系列的分分析测试试来识别别:1、不恰当当的采购购卡使用用,包括括与旅行行支出有有关的交交易2、用于个个人项目目的支付付(如珠珠宝、酒酒,等等等)3、可疑交交易(如如未经授授权的持持卡人使使用,销销售商重重复刷卡卡,分次次付款以以避免超超过财务务限额,等等等)分析的结果果将提交交给持卡卡者的经经理,以以对这些些可疑交交易进行行详细审审查———将采购购卡的支支出与商商品采购购相匹配配这识识别出许许多的不不恰当的的采购和和以上三三种类型型的舞弊弊在审计完成成后,连连续控制制评估应应用测试试就转向向采购卡卡协调员员,来帮帮助运营营经理每每个月对对采购卡卡控。