《全球技术审计指南(第3号)__连续审计对保证、监控和41082.docx》由会员分享,可在线阅读,更多相关《全球技术审计指南(第3号)__连续审计对保证、监控和41082.docx(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、GLOBAL TECHNNOLOGYY AUDIIT AUIIDE全球技术审计指指南(第3号)(2005 年年 9 月公公布)Continuuous AAuditiing: Implicaationss for Assurrance,Monitorring, and Risk Assesssmentt连续审计:对保保证、监控和和风险评估的的意义AuthorDavid CCoderrre, Rooyal CCanadiian Moountedd Poliice (RRCMP)作者戴维德科德里里(加拿大皇皇家骑警)Subjectt Mattter ExxpertssJohn G. Vervver,
2、 AACL Seervicees Ltdd.Donald J. Waarren, Centter foor Conntinuoous Auuditinng, Ruutgerss Univeersityy主题专家约翰G沃沃沃(ACL公公司)唐纳德J倭倭仁(鲁特格格斯大学,连连续审计研究究中心)湘潭大学商学院院 阳杰译译(20066年11月)*注:原指南附附录部分由于于篇幅限制,未未加翻译作者水平有限,如如有错误之处处,请emaail到yaang-jiie18911目录1 首席审计计师简述11.1 连续续审计21.2 连续续审计/连续续监控的必要要性:整合法法31.3 内部部审计和管理理层的角色4
3、1.4 连续续审计的作用用41.5 实施施的问题52 导言62.1 连续续审计:一个个简史72.2 当今今的审计环境境82.3 COOSO的企业业风险管理(EERM)框架架92.4 内部部审计行为和和管理层的角角色122.5 连续续审计和监控控的好处123 需要澄清清的一些关键键概念和术语语143.1 连续续审计的连续续系统174 连续审计计于连续保证证和连续监控控的关系184.1 连续续保证184.2 连续续监控194.3 连续续审计205 连续审计计的应用领域域225.1 应用用于连续控制制评估245.2 应用用于连续风险险评估296 实施连续续审计366.1 连续续审计目标376.2 连
4、续续控制和风险险评估的关系系476.3 连续续风险评估516.4 管理理和报告结果果536.5 挑战战和其他要考考虑的因素57今天的法规环境境下,首席审审计师们都发发现他们的部部门变得越来来越被为满足足遵循要求的的监控和内部部控制测试所所吞噬。但是是,大多数的的运营和财务务审计行为保保留下来了。许许多内部审计计部门正借助助技术来减轻轻负担,并提提升效率和生生产率,推动动经营绩效。这份全球技术审审计指南“连续审计:对保证、监监控和风险评评估的意义”给首席审计计师们提供关关于如何实施施一个理想的的策略,结合合连续审计和和连续监控方方案来应对这这些挑战。AACL的数据据分析技术和和连续控制监监控方案
5、能够够最好地提升升审计实践,以以满足当今对对有效控制地地高度要求。AACL能够帮帮助你证明适适当的技术投投资的好处,并并且支持持续续的遵循需要要,增加运营营效率,并对对提高收益有有帮助。第一部分 首首席审计师简简述对风险管理和控控制系统的有有效性进行及及时和连续的的保证的需求求非常关键。组组织频繁地暴暴露在重大错错误、舞弊或或者无效率下下,这些会导导致财务损失失和风险升级级。一个变化化的法规环境境,经营的全全球化,市场场方面要求改改善经营的压压力,以及快快速变化的商商业环境要求求更加及时和和连续地对正正在运行的控控制的有效性性和风险水平平正在降低作作出保证。这些要求给首席席审计师们和和他们的职
6、员员不断增加压压力。内部审审计部门卷入入遵循工作的的程度持续增增加,尤其是是由于法规的的原因,例如如美国20002年的萨班班斯法案第4404节。关关注度的提高高不仅与期望望值的增长有有关,还与内内部审计师在在评价内部控控制的有效性性、风险管理理和治理流程程中保持独立立性和客观性性的能力能力力有关。今天,内部审计计师面临着的的挑战来自一一系列的领域域:1、 法规的遵循和控控制:评价和和识别事件和和流程,可持持续性,资源源,定义重要要性,优先级级和财务报告告风险。2、 内部审计价值和和独立性:对对内部审计的的高度期望,内内部控制问题题的增加,对对内部审计角角色可靠性和和独立性的困困惑,客观性性和独
7、立性的的削弱。3、 舞弊:侦测和控控制,识别盗盗窃,舞弊管管理责任,舞舞弊频率和成成本的增加。4、 可用的熟练审计计资源:缺乏乏能胜任的和和合适的熟练练审计师,审审计师短缺,持持续力,对风风险和控制缺缺乏理解。5、 技术:支持遵循循的合适的解解决方案,技技术经营模型型,信息安全全,信息技术术优势,外部部采购。显然,必须要有有一种新的、能能够提供连续续的、建设性性的和划算的的方法来解决决这些问题。一、连续审计传统的内部审计计所对控制测测试是一种向向后看的周期期性方式,通通常是在经营营行为发生后后的几个月后后进行。测试试程序也是基基于抽样的方方式,还包括括一些诸如对对政策、程序序、批准和调调节的评
8、价。现现在,这种方方式被视为一一种仅仅能够够提供内部审审计师一个狭狭窄范围的评评价的审计方方法,通常由由于太迟而是是去了对经营营绩效和法规规遵循的价值值。连续审计计是一种以更更加频繁的方方式来自动执执行控制和风风险评估的方方法。技术是施行这样样一种方法的的关键。连续续审计改变了了审计模式,它它将对交易样样本的周期性性测试变为对对100的的样本进行连连续性测试。它它已在许多层层次上已成了了现代审计不不可缺少的部部分。它也应应该紧密与管管理行为(如如行为监控,平平衡计分卡和和企业风险管管理框架)结结合在一起。连续审计方式能能让内部审计计师完全理解解关键控制点点、控制规则则和例外情况况。通过对的的自
9、动化和经经常性的分析析,他们能够够实时地或接接近实时地执执行控制和风风险评估。他他们能从交易易层面的异常常和控制缺陷陷和出现风险险的数据驱动动指标两方面面来分析关键键业务流程。最最后,通过连连续审计,分分析结果将被被整合进审计计程序的所有有方面,从制制定和维持这这个企业审计计计划到开展展和继续特定定的审计。二、连续审计/连续监控的的必要性:整整合法按照首席审计师师们对遵循努努力的负担、资资源的缺乏以以及保持审计计独立的必要要性的关注,将将连续审计和和连续监控结结合在一起将将是一种理想想的方法。连续监控管理层层设计的为保保证政策、程程序和业务流流程能有效运运行的程序。它它指出了管理理层对评价内内
10、部控制的充充分性和有效效性的责任。这这包含识别控控制目标和保保证声明(aassuraance aasserttion)以以及建立自动动化的测试程程序来找出遵遵循失败的活活动和交易。许许多管理层实实施的对控制制的连续监控控技术与内部部审计师执行行连续审计所所用技术类似似。管理层使用连续续监控程序,结结合内部审计计师执行的连连续审计,能能够满足对控控制程序的有有效性以及用用于决策的信信息的相关性性和可靠性的的保证需要。对组织的一种重重要的额外好好处是错误和和舞弊事件的的显著减少,经经营效率也得得到了提高,线线下项目(bbottomm-linee)的结果也也通过成本的的减少和过度度支付及收入入泄漏的
11、减少少得到改善。实实施了连续审审计和连续监监控的组织通通常会发现他他们迅速地获获得了投资回回报。商业和法规环境境,以及出台台的审计准则则,驱使审计计师和管理层层更加有效地地利用信息和和数据分析技技术,作为连连续审计和连连续监控的可可行基本因素素之一。三、内部审计和和管理层的角角色管理层对评价风风险和设计、实实施、连续维维护组织内部部的控制负有有主要责任。内内部审计师的的行为要对识识别和评价由由管理层实施施的组织的风风险管理系统统和控制的有有效性负责。审审计师进行评评价以给审计计委员会和高高层经理在风风险的状态和和控制系统,以以及在诸如萨萨班斯法案等等法规下,就就管理层关心心的控制状况况的可靠性
12、提提供保证。理理想的情况是是,内部审计计不是控制监监控流程的一一部分,并且且没有设计或或维护这些控控制,从而能能够使他们的的独立性得以以保持。尽管对内部控制制的监控是一一种管理职能能,内部审计计师行为能够够使用和借助助连续审计来来强化整个组组织的监控和和评价环境。管管理层事先执执行的监控水水平将直接影影响审计师实实施连续审计计。在管理层层已经对某项项内部控制进进行连续监控控的情况下,在在连续审计时时,相同层次次的详细交易易测试就无需需再进行。取取而代之的是是,审计师能能够关注审计计程序,来决决定管理层监监控程序有效效性,借助这这种测试的结结果来调整范范围、数字和和审计测试的的频率。四、连续审计
13、的的作用连续审计的作用用依赖于对对对内部控制的的连续性测试试的智能性和和有效性,及及时提示控制制缺口和薄弱弱环节存在的的风险,并允允许立即的追追踪和进行补补救。通过改改变他们的审审计方式,审审计师将能够够更好地理解解经营环境和和公司风险以以支持遵循和和提高经营绩绩效。五、实施的问题题首席审计师必须须认识到连续续审计将改变变审计模式,包包括证据的特特征、时间、程程序和内部审审计师所需的的努力水平。这这将给审计部部门提出要求求,尤其是他他们必须:1、 获得和促成审计计委员会和高高级管理层支支持这个概念念并实施连续续审计。2、 开发和保持技术术方面的能力力,以保证访访问、操作和和分析包含在在相互分离
14、系系统中数据的的能力。3、 使用(或实施)数数据分析技术术来支持审计计项目,包括括使用合适的的分析软件工工具,开发和和维护数据分分析技术,以以及审计组中中的专家。4、 发起、促进和鼓鼓励管理层对对连续审计的的支持。5、 保证连续审计被被采用作为风风险导向审计计计划中完整整的、相容的的一部分。6、 管理和回应连续续审计的结果果,决定合适适的使用、跟跟踪和报告机机制。首席审审计师将必须须确保对审计计发现报告的的问题管理层层已经采取合合适的行动,连连续审计的结结果在管理层层的评价时要要被考虑到,这这些评价包括括内部控制的的监控,业绩绩评价和企业业风险管理。这份国际内部审审计师协会(IIIA)的全全球
15、技术审计计指南(GTTAG)确定定了那些必须须要做,以有有效利用技术术来支持连续续审计,突出出需要进一步步关注的领域域。通过阅读读和遵照下面面列出的步骤骤,内部审计计师应该处于于一个更好的的位置来利用用技术和最大大化他们的投投资回报,同同时也要向管管理层证明进进行适当的技技术投资的必必要性不仅对影影响他们组织织的法规遵循循的需要起作作用,而且对对整个组织的的健康和竞争争力起作用。第二部分 导言言这份全球技术审审计指南将着着重连续审计计的技术可行行性方面,并并且将介绍:1、 过去30年间使使用的类似概概念的历史和和背景。2、 相关的术语和技技术的定义:连续审计,连连续性风险评评估,连续性性控制评
16、估,连连续监控,连连续性鉴证。3、 连续审计与连续续监控的关系系。4、 连续审计能在内内部审计行为为中应用的领领域。5、 与连续审计有关关的挑战和机机遇。6、 对内部审计和首首席审计师以以及管理的影影响。7、 一个连续审计自自我评估工具具。 自19980年以来来,许多的名名词与实时或或接近实时地地提供连续审审计程序的概概念有关系,包包括:连续监监控、连续控控制评估、连连续审计。这这份全球审计计指南首先统统一使用“连续审计”的概念。它它论述了作为为连续审计的的主要组成部部分的连续控控制评估和连连续风险评估估。这份指南南将监控行为为视为管理层层的责任,同同时还论述了了审计和监控控的内在联系系,以及
17、内部部审计师在他他们的角色中中如何提供额额外的保证来来支持管理。当前最显著的一一个连续审计计的推动力就就是高昂的法法规遵循成本本。在美国,一一份20055年3月份的的国际财务执执行官组织调调查发现,每每个组织的萨萨班斯法案的的平均遵循成成本超过了四四百万美元。由由于绝大部分分成本都与手手工的、员工工密集型(内内部资源和外外部顾问的使使用)有关。那那么我们对22005年11月份AMRR研究机构所所作的研究发发现关键技术术能够用来减减少的遵循成成本超过255%就不会感感到奇怪了。遵循的压力迫使使组织改进他他们对内部控控制进行连续续评价的方法法。在这种情情况下,美国国证券交易委委员会指出,“管理层和
18、审计师必须运用合理的判断,在(萨班斯法案404条款)遵循流程中运用严密的(TOP-DOWN)、风险基础的方法”。这就导致了对连续监控(由管理层实施)和连续审计的关注不断增加。支持一套完整的审计行为,连续审计不仅帮助支持对控制的保证,还包括风险评估,识别舞弊、浪费和滥用,审计计划,跟踪审计建议等审计行为。一、连续审计:一个简史自动控制测试开开始于20世世纪60年代代,当时是通通过安装和执执行内嵌审计计模块(EAAMs)来实实现的。但是是,这些模块块难以建立和和维护,而且且只是在相关关的少数组织织中使用。在在20世纪770年代后期期,审计师开开始离弃这种种方法。到了了20世纪880年代,审审计职业
19、中有有些人开始接接受并使用计计算机辅助审审计工具和技技术(CAAATTs)用用于特殊的调调查和分析。与与此同时,连连续监控的概概念首先是通通过大量的学学术文章介绍绍给审计师的的。最基本的的优点就是使使用连续的自自动化的数据据分析将帮助助审计师识别别风险最高的的领域,并作作为决定他们们的审计计划划的先导。但但是,在很大大程度上,审审计师们并没没有对这种审审计方法做好好准备。他们们缺乏容易访访问的合适软软件工具,以以及技术资源源和专家来克克服数据访问问的挑战,最最重要的是,组组织将是否支支持这种新的的与传统审计计方法很不一一致的审计方方式和方法。在20世纪900年代,在全全球审计职业业界内,开始始
20、大范围的不不断地接受数数据分析解决决方案,这些些解决方案被被视为支持有有效进行内部部控制测试的的关键工具。这这些技术用于于检查交易中中某些发生的的事件,这些些事件是由于于某项控制不不存在或没有有适当地执行行。它也能够够识别与控制制标准不符的的交易。此外外,数据分析析支持不是直直接从交易数数据中获取证证据的控制测测试。例如,企企业资源管理理计划(ERRP)访问和和授权表格能能够用来分析析保持适当的的职责分离是是否失效。但但是,尽管有有这些技术基基础,传统审审计程序通常常依赖于典型型的样本,而而不是对总体体进行评价,并并且是在经营营(交易)行行为发生一些些时间后进行行分析的。所所以,风险和和控制问
21、题有有大量的机会会升级,并对对经营绩效产产生消极的影影响。二、当今的审计计环境今天,经营环境境中信息系统统功能的普及及使得审计师师能够更加容容易地访问更更加相关的信信息,同时也也包括对大量量增加的数据据和交易的管管理和评价。此外,经营的快快节奏要求提提升对控制问问题识别和反反应。在美国国像萨班斯法法案的4044条款之类的的法规要求及及时披露控制制的缺陷,管管理层要对内内部控制框架架充分性作出出保证。这些些法规遵循的的紧迫性、连连续审计准则则、审计软件件的功能提升升,既促使而而且能够让审审计师采纳新新的方法来评评估信息和评评价控制。首席审计师必须须给高层管理理者提供对内内部控制的健健康运行和组组
22、织内的风险险水平作出连连续的评价,而而不是简单的的周期性的评评价。今天的的内部审计师师不仅仅是对对控制进行审审计,他们还还关注公司的的风险特征,而而且在识别风风险领域来改改善风险管理理流程中发挥挥关键作用。但但是,如果他他们不完全理理解经营流程程和相关风险险,审计师只只能仅仅执行行传统的审计计核查工作。连连续审计给审审计师提供了了一个超脱传传统审计方式式的局限、样样本的限制、撰撰写标准公告告、实时评价价的机会,连连续审计的关关键部分是能能够在接近经经营行为发生生或者在经营营行为发生的的同时对交易易进行评价的的连续审计模模型。就像将第四部分分中要详细讨讨论的一样,影响内部审计师应用连续审计方式的
23、一个关键因素是管理层已经实施了用于连续控制监控和识别控制缺陷和风险指标的系统的程度。连续审计测量某某些关键特征征,一旦某项项参数符合,将将会触发审计计师采取某种种行为。在连连续审计条件件下,这里有有两种主要的的行为:1、 连续控制评估:使审计师能能够尽早关注注控制的缺陷陷。2、 连续风险评估:突出正在遭遭受比期望风风险更高的程程序或系统。连续审计的行为为的频率取决决于程序或系系统的固有风风险。此外,它它可以从检查查关键的控制制和风险领域域着手,在审审计师获得经经验和能够获获取与遵循、经经营效率和效效果、财务报报告的公允性性等方面的可可测量结果时时,然后扩大大连续审计应应用领域的范范围。三、CO
24、SO的的企业风险管管理(ERMM)框架Treadwaay委员会下下属的发起组组织委员会(CCOSO)发发布的企业风风险管理整合框架鼓鼓励内部审计计师行为向管管理层经营方方式靠拢:控控制环境、风风险评估、信信息与沟通、风风险监控。CCOSO的EERM框架是是原来的COOSO内部控控制框架的扩扩展。它增加加了对内部控控制的关注,并并且对企业风风险管理(EERM)进行行了更加充分分的广泛的论论述。它的四四个目标策略、运营营、报告和遵遵循,给内部部审计师增加加了评价内部部控制系统、识识别和评估风风险的压力。要要完成这些任任务,内部审审计必须改变变它的传统的的角色,向关关注公司目标标、策略、风风险管理和
25、业业务流程、关关键控制行为为转变。连续审计关注的的不单单是对对控制和法规规的遵循,而而更注重改进进组织的经营营效率。连续续审计同时还还必须通过识识别和评估风风险以及给管管理层提供信信息对整个组组织的改进作作出贡献,以以更好地适应应变化的商业业环境。它将将在所有的CCOSO企业业风险管理组组成部分方面面给内部审计计以帮助。1、 内部环境和目标标设置:通过过正式确定连连续审计的目目标和内部审审计的角色。2、 事项识别:通过过开发一个系系统来识别和和报告事项以以及应对这些些威胁和机遇遇的程序。3、 风险评估:通过过分析和评估估风险,考虑虑可能性和影影响,从而给给决定如何管管理风险提供供基础。4、 风
26、险反应:通过过考虑风险的的种类和关键键行为,通过过开发数据驱驱动方法来评评估和回应风风险。5、 控制行为:通过过识别管理层层和内部控制制的角色;证证明控制评估估不是一年一一次的行为,而而是一个持续续关注的行为为;自动化这这些控制测试试程序,使之之尽可能接近近实时运行。6、 信息和沟通:通通过促进确保保信息的精确确性和关注事事项的实时报报告。7、 监控和评价:通通过提供独立立的评估来支支持由管理层层实施的连续续监控行为。图1:COSOO企业风险管管理框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风险反应风险评估事项识别目标制定内部环境连续控制
27、评估将将允许内部审审计师评价管管理监控行为为的充分性,并并给审计委员员会和高层管管理员工提供供控制正在有有效运行以及及组织能够快快速改进出现现的缺陷快速速反应并及时时改正的独立立保证。连续续风险评估使使审计师能识识别正在出现现的使公司处处于风险的领领域,将这些些风险区分优优先次序,以以更加有效地地分配有限的的审计资源。但但是,这些行行为不能以任任何方式妨碍碍管理层实施施监控和管理理风险的职能能。监控和评价是CCOSO的企企业风险管理理作为一个有有效控制框架架的最后一个个要素,也是是一个组织朝朝持续改进所所做努力的关关键成分。连连续监控包含含管理层为保保证政策、程程序和经营流流程都有效地地运行,
28、在适适当位置设置置的程序。它它提出了管理理层评价控制制的充分性和和有效性的责责任。这包含含识别控制目目标和保证认认定,并建立立自动化的测测试程序将遵遵循相关控制制目标和保证证认定失败的的交易凸显出出来。连续监监控的许多技技术与内部审审计部门使用用的连续审计计技术是类似似的。四、内部审计行行为和管理层层的角色为了践行管理者者的角色,管管理层对风险险评估和内部部控制的设计计、实施和连连续维护负有有主要责任。内内部审计行为为,根据它对对管理层和董董事会的职责责,他对识别别和评价组织织的由管理层层实施的风险险管理系统(内内部审计准则则2110)和和控制(内部部审计准则22120)的的有效性负有有责任。
29、审计计师和管理层层之间的角色色差异在于从从事内部控制制和风险评估估工作时,各各自对股东的的责任的特征征。审计师给给股东提供保保证服务;审审计委员会和和高层经理重重视风险和控控制系统的状状态;在法规规方面,诸如如萨班斯法案案,以及管理理层表现的对对内部控制的的关注的可靠靠性。理想上上,审计师并并不是流程的的一部分,也也不是来设计计和保持内部部控制的,这这样,审计师师的客观性和和独立性就能能得以保持。五、连续审计和和监控的好处处连续审计和监控控(由管理层层实施)的结结果是类似的的,都包含提提示或警告,这这些提示或警警告指出了控控制的缺陷或或高风险水平平。这些提示示或警告能够够按优先次序序排列,这取
30、取决于风险和和控制缺陷的的严重程度,这这些提示或警警告会分发给给经营流程或或应用系统的的担保人,运运营经理,审审计师,高级级财务经理,甚甚至法规制定定者。管理层层对这些提示示的回应能够够修补内部控控制缺陷和立立即修正错误误的交易。审审计师对这些些警告的回应应能够从立即即审计确认的的内部控制系系统到标记一一个领域以备备将来审计。例如,对财务交交易的持续审审计,当一个个分类账凭证证超出了给定定限额,以及及留有非正常常关联账户的的入口,测试试可能给出一一个提示。审审计师的反应应可能取决于于这是否视为为一个单一项项目这个反应应可能会是发发送一个Emmail给这这项交易的当当事人以得到到相应的解释释;也
31、可能会会视为一个系系统的问题,对对某个领域的的财务审计可可能状况良好好。使用连续续审计进行额额外的测试来来决定这些异异常的特征能能够回答诸如如以下问题:1、 日记账凭证是给给暂记账户留留有入口,而而且没有在规规定的时间内内进行清除?2、 日记账凭证是否否给不正常的的关联账户留留有入口?3、 受影响的账户是是否可能会是是诸如人工操操纵收益之类类的舞弊?4、 日记账凭证的数数量和类型与与往年相比是是否有异常?5、 个体之间登录系系统时是否做做到了职责分分离?6、 我们是否应该提提高或降低测测试的标准?7、 财务比率是否与与公司的期望望相符?8、 近几年的收益趋趋势如何?这这些趋势与公公司的期望(p
32、peer)以以及总体的经经济环境如何何匹配?连续审计帮助审审计师评价管管理层的监控控功能的充分分性。这让首首席审计师能能给审计委员员会和高级管管理层提供对对控制系统运运行的有效性性作出保证,以以及审计程序序在识别和指指出任何侵害害中发挥作用用。连续审计计还识别和评评估风险领域域,给审计师师提供信息,审审计师通过与与管理层的沟沟通能够帮助助管理层减轻轻风险。此外外,他能够用用于帮助制定定年度审计计计划,以将审审计关注点和和资源转向高高风险领域。然而,连续审计计最重要的优优势之一在于于它独立于所所审计的业务务和财务系统统和管理层实实施的监控。这能改善组织的管理和控制框架,并提供一个审计师能够用来支
33、持他们的独立评价和评估行为的机制。连续审计还面临临着一些挑战战。这些技术术需要被理解解和控制。内内部审计师必必须能够访问问数据、软件件工具和技术术,以及拥有有能够智能使使用他们手头头所掌握的大大量的公司财财务和非财务务信息的必要要知识。连续续审计带来的的机遇也对审审计师和首席席审计师提出出了要求。第三部分 需需要澄清的一一些关键概念念和术语已经采取了各种种尝试来鼓励励审计师更好好地使用电子子信息,以改改进内部审计计行为的效率率和效果。最最近,多种术术语已经被用用于这些尝试试,同时也导导致了职业界界认识上的混混乱。没有一一个清晰的、通通用的术语,那那么将会很难难提升这些尝尝试,成功的的可能性也会
34、会减少。因此此,实施连续续审计首先要要做的就是给给定和传播所所有相关术语语的清晰的定定义。理解与连续审计计相关的术语语的关键在于于理解控制和和风险是一个个问题的两个个方面。控制制的存在是为为了帮助降低低风险;识别别控制缺陷能能凸显潜在的的风险领域。相相反,通过检检查风险,审审计师能够识识别哪些地方方需要控制和和(和)控制制没有发生作作用。尽管对控制和风风险的评估通通常包含定量量分析也包含含定性分析,但但是最大化的的效率获取是是来自于最大大化地利用技技术。对审计计师的挑战是是确保数据的的利用和通用用性,理解相相关的业务流流程和系统,最最大化地运用用自动化。所所以,这份全全球审计技术术指南关注的的
35、是支撑持续续审计的技术术辅助程序。保证可以认为是是第三方对事事件状态的意意见,这个事事件是关于一一个特定的交交易、业务或或治理流程、风风险或整个业业务流程中的的财务绩效的的。审计保证证是对控制的的充分性和有有效性,信息息的完整性作作出的声明。管理层实施的持持续控制监控控是有效保证证策略的核心心部分,但是是,审计师仍仍然必须确保保管理层的行行为是充分的的和有效的。连连续保证的框框架是联结内内部审计师的的独立性评价价行为:控制制的状态、组组织内部的风风险管理、评评估管理监控控功能的充分分性。图2:连续保证证的框架连续保证连续控制评估连续风险评估对连续监控的评评估首席审计师必须须保证所有的的审计师、
36、高高级经理和审审计委员会理理解内部审计计行为和管理理层在使连续续保证方程有有效的角色和和责任。以下下的定义可能能提供了额外外的视角:1、连续审计是是审计师为了了在一个更持持续、更频繁繁的基础上实实施与审计相相关的行为所所采取的任何何方法。它是是一系列行为为的联合体,这这些行为从连连续控制评估估延伸到连续续风险评估。连续风险评估是是关于控制风险联合体体的所有行为为。技术在识识别例外和(或或)异常、分分析关键数据据字段的模式式、趋势分析析、从开始到到结束的明细细交易分析、控控制测试和将将组织的程序序或系统根据据不同的时点点比较或与其其他类似的单单位比较等方方面发挥着关关键作用。2、连续控制评评估是
37、审计师师采取的准备备用来进行与与内部控制相相关的保证的的行为。通过过连续控制评评估,通过识识别控制缺陷陷和侵害,审审计师给审计计委员会和高高层经理提供供关于控制是是否正在恰当当运行的保证证。单个的交交易是通过一一系列的控制制规则来进行行监控的,以以提供关于系系统内部控制制的保证,并并强调例外情情况。一系列列定义良好的的控制规则在在控制程序或或系统没有按按期望运行或或受到威胁时时能够及早地地提供警告。内部审计需要执执行连续控制制评估行为的的范围取决于于管理层履行行其关于连续续监控的责任任的程度。一一个强有力的的管理监控系系统将减少审审计师必须执执行以对控制制提供保证的的详细测试数数量。3、连续风
38、险评评估是审计师师用来识别和和评估风险水水平的行为。连连续风险评估估通过检查趋趋势和比较(在在单个程序或或系统里,与与之过去的表表现相比较,与与企业内的其其他的程序或或系统相比)来来识别和评估估风险水平。例例如,生产线线的表现可以以和先前年度度的结果相比比较,就像是是将一个企业业的绩效与所所有的其他企企业相比较一一样。这种比比较能够较早早地警示某个个程序或系统统(审计主体体)的风险水水平高于以前前年度或其他他主体。审计计的反应也因因风险的特征征和水平而异异。连续风险险评估能应用用于大范围的的审计领域,来来选择访问点点,来识别排排除包含在审审计计划中的的特定的审计计或单位,或或触发对某个个风险增
39、加但但缺乏足够解解释的单位的的审计。它也也能够用来评评价管理行为为,来检查审审计建议是否否得到合理的的贯彻,经营营风险水平是是否正在减少少。4、连续监控是是管理层为了了确保政策、程程序和业务流流程能够有效效运行而实施施的一项程序序。管理层识识别关键控制制点和实施自自动化的测试试来决定这些些控制是否恰恰当运行。典典型的持续监监控程序包括括在给定的经经营流程领域域内,借助一一组控制规则则,自动测试试所有的交易易和系统行为为。监控通常常是按天、周周或月进行,这这取决于当前前的业务循环环的特征。取取决于特殊的的控制规则和和相关测试和和初始参数,某某些交易被标标记为控制例例外事项,且且告知管理层层。管理
40、层监监控也可能依依靠关键绩效效指标和其他他绩效评价行行为。对监控控警报和提示示作出回应并并立即修补控控制缺陷和改改正问题交易易是管理层的的责任。一、连续审计的的连续系统连续审计帮助审审计师识别和和评估风险,还还在组织中建建立智能和动动态阀值来回回应变化。它它也支持整个个审计范围的的风险识别和和评估,帮助助制定年度审审计计划,以以及确定某项项特定审计的的审计目标。因因此,连续审审计在很多层层面上可以视视为一个连续续系统。同时时,连续系统统中的不同位位置更加适合合不同的工作作,在连续系系统中当你执执行不同的任任务时还可能能超过一个位位置。对连续审计的关关注从控制基基础到风险基基础(见图33);分析
41、性性技术从对明明细交易的实实时评价到对对整个单位进进行趋势分析析以及与其他他单位进行比比较分析,并并且随着时间间进行。图3:连续审计计的连续系统统连续审审计连续控制评估连连续风险评估估方法控制基础 风险基础础(保证控制正在在运行)(识识别/评估风风险)财务控制 财务/运运营控制关注点实时/详细交易易测试(财务务数据)趋势/比较较(财务/运运营数据)分析技术控制保证 财财务鉴证 舞弊/浪费费/滥用 审计范围和和目标 追追踪审计记录录 年度审计计计划相关审计行为控制监控 业绩监控 平衡衡计分卡 全面质质量管理 企业风风险管理相关管理行为注1:在这个连连续系统的“控制”结尾,相关关审计行为包包括保证
42、和财财务鉴证审计计。注2:连续系统统的另一个结结尾的审计行行为包括通过过风险评估支支持审计项目目来识别舞弊弊、浪费和滥滥用,并提交交年度审计报报告。注3:相关管理理层行为包括括连续控制监监控,绩效监监控,平衡计计分卡,全面面质量管理和和企业风险管管理。连续审计是一个个统一能够带带来控制保证证、风险评估估、审计计划划、数据分析析以及其他审审计工具、技技术和科技结结合在一起的的统一结构或或框架。它支支持微观审计计事项,例如如明细交易测测试来评价控控制的有效性性;宏观审计计方面,通过过风险识别和和评估来准备备年度审计计计划。它也能能满足中观层层面的需求,例例如为个别审审计开发审计计项目。微观审计和宏
43、观观审计两个层层次的主要区区别在于两者者信息需求的的粒度不同:1、控制测试需需要细节信息息:需要深入入交易的源头头层次。连续续控制评估使使用仔细制定定的规则和实实时的或接近近实时的,测测试交易对这这些规则的遵遵循情况。2、个别审计通通常开始于年年度审计计划划中的风险识识别,但使用用更多的数据据分析和其他他技术(如访访问,自我控控制评估,实实地观察waalkthrrough,调调查问卷)来来进一步定义义风险的主要要领域和风险险评估的关注注点和后续的的审计行为。3、年度审计计计划需要高层层次的信息,可可能是几年的的价值数据,来来建立风险因因素,并将风风险排序,设设置审计计划划开始的时间间和目标。第
44、四部分 连连续审计与连续保证和和连续监控的的关系一、连续保证前文已提到,保保证被描述为为第三方对事事件状态的意意见。它通常常包括三个方方面:1、准备信息的的个人或团体体。2、使用这些信信息来进行决决策的个人或或团体。3、客观存在的的第三方。通常,保证被视视为一项严格格的审计相关关行为,通常常具有财务方方面的特征。但但是其他的,诸诸如法律界也也提供保证服服务。审计保证是对控控制的充分性性和有效性以以及信息的完完整性发表意意见。管理层层对控制的连连续监控是有有效保证策略略的核心,但但是,审计行行为还必须保保证管理层行行为是充分和和有效的。内部审计通过客客观检查所获获取的证据以以提供对风险险管理策略
45、和和实践,管理理控制框架和和实践,用于于决策和报告告的信息的保保证服务。连连续保证服务务能够在审计计师执行连续续控制和风险险评估(如连连续审计)和和评价管理层层实施的连续续监控行为的的充分性时提提供。审计师检查管理理层的行为,证证实控制都在在运行,提出出改进建议,确确保风险正在在被控制。如如果审计师在在执行诸如检检查和证实控控制和风险,确确保管理层正正在进行监控控工作,那么么组织将有一一个对控制正正在运行,风风险正被控制制,用于决策策的信息具有有完整性的高高层次的保证证。管理层在在这个保证方方程(asssurancce equuationn)中起着开开发、设计和和监控控制和和控制风险的的作用。
46、二、连续监控连续监控是管理理层设置的用用于确保政策策、程序和经经营流程都在在有效运行的的程序。评价价控制的充分分性和有效性性通常是管理理层的责任。许许多管理层使使用的用于对对控制的连续续监控技术与与内部审计师师进行连续审审计所用技术术类似。连续续监控的原则则比较简单,它它包含以下几几个方面:1、在一个给定定的经营流程程中定义控制制点,如果可可能的话可参参照COSOO的企业风险险管理框架。2、对每个控制制点识别控制制目标和保证证声明。3、建立一系列列的自动化的的测试,以指指出某项交易易是否没有遵遵循所有的相相关控制目标标和保证声明明。4、在接近交易易发生的同时时,将所有的的交易进行测测试。5、调
47、查没有通通过控制测试试的所有交易易。6、如果合适的的话,可以更更正这项交易易。7、如果合适的的话,更正控控制薄弱环节节。连续监控的关键键是这些程序序必须由管理理层掌控并由由管理层来执执行,因为实实施和保持有有效控制系统统是其职责的的一部分。既既然管理层对对内部控制负负有责任,那那么它就必须须有一个连续续的决定控制制是否按设计计在运行的方方法。通过实实时地识别和和更正控制的的问题,整个个的控制系统统将得以改善善。组织得到到的一个典型型的额外的好好处是错误和和舞弊显著减减少,经营的的效率得到了了提高,通过过成本的减少少和过度支付付(overrpaymeent)和收收入泄漏的减减少,从而使使线下项目的的结果得以改改善。三、连续审计