《全球技术审计指南(第3号)-连续审计:对保证、监控和风险评估的意义(doc60)bhae.docx》由会员分享,可在线阅读,更多相关《全球技术审计指南(第3号)-连续审计:对保证、监控和风险评估的意义(doc60)bhae.docx(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、GLOBAAL TTECHHNOLLOGYY AUUDITT AUUIDEE全球技术审审计指南南(第33号)(20055 年 9 月月公布)Contiinuoous Audditiing: Impliicattionns ffor Asssuraancee,Monittoriing, annd Rissk AAsseessmmentt连续审计:对保证、监监控和风风险评估估的意义义AuthoorDavidd Cooderrre, Rooyall Caanaddiann Moountted Pollicee (RRCMPP)作者戴维德科科德里(加加拿大皇皇家骑警警)Subjeect Mattter
2、r ExxperrtsJohn G. Verrverr, AACL Serrvicces Ltdd.Donalld JJ. WWarrren, Ceenteer ffor Conntinnuouus AAudiitinng, Ruttgerrs Uniiverrsitty主题专家约翰G沃沃(AACL公公司)唐纳德JJ倭仁(鲁鲁特格斯斯大学,连续审计研究中心)湘潭大学商商学院 阳杰杰译(220066年111月)*注:原指指南附录录部分由由于篇幅幅限制,未未加翻译译作者水平有有限,如如有错误误之处,请请emaail到到yanng-jjie1189111663.ccom目录1 首席席审计师师简述11
3、.1 连续审审计21.2 连续审审计/连连续监控控的必要要性:整整合法31.3 内部审审计和管管理层的的角色41.4 连续审审计的作作用41.5 实施的的问题52 导言言62.1 连续审审计:一一个简史史72.2 当今的的审计环环境82.3 COSSO的企企业风险险管理(EERM)框框架92.4 内部审审计行为为和管理理层的角角色122.5 连续审审计和监监控的好好处123 需要要澄清的的一些关关键概念念和术语语143.1 连续审审计的连连续系统统174 连续续审计于于连续保保证和连连续监控控的关系系184.1 连续保保证184.2 连续监监控194.3 连续审审计205 连续续审计的的应用领
4、领域225.1 应用于于连续控控制评估估245.2 应用于于连续风风险评估估296 实施施连续审审计366.1 连续审审计目标标376.2 连续控控制和风风险评估估的关系系476.3 连续风风险评估估516.4 管理和和报告结结果536.5 挑战和和其他要要考虑的的因素57今天的法规规环境下下,首席席审计师师们都发发现他们们的部门门变得越越来越被被为满足足遵循要要求的监监控和内内部控制制测试所所吞噬。但但是,大大多数的的运营和和财务审审计行为为保留下下来了。许许多内部部审计部部门正借借助技术术来减轻轻负担,并并提升效效率和生生产率,推推动经营营绩效。这份全球技技术审计计指南“连续审审计:对对保
5、证、监监控和风风险评估估的意义义”给首席席审计师师们提供供关于如如何实施施一个理理想的策策略,结结合连续续审计和和连续监监控方案案来应对对这些挑挑战。AACL的的数据分分析技术术和连续续控制监监控方案案能够最最好地提提升审计计实践,以以满足当当今对有有效控制制地高度度要求。AACL能能够帮助助你证明明适当的的技术投投资的好好处,并并且支持持持续的的遵循需需要,增增加运营营效率,并并对提高高收益有有帮助。第一部分 首席席审计师师简述对风险管理理和控制制系统的的有效性性进行及及时和连连续的保保证的需需求非常常关键。组组织频繁繁地暴露露在重大大错误、舞舞弊或者者无效率率下,这这些会导导致财务务损失和
6、和风险升升级。一一个变化化的法规规环境,经经营的全全球化,市市场方面面要求改改善经营营的压力力,以及及快速变变化的商商业环境境要求更更加及时时和连续续地对正正在运行行的控制制的有效效性和风风险水平平正在降降低作出出保证。这些要求给给首席审审计师们们和他们们的职员员不断增增加压力力。内部部审计部部门卷入入遵循工工作的程程度持续续增加,尤尤其是由由于法规规的原因因,例如如美国220022年的萨萨班斯法法案第4404节节。关注注度的提提高不仅仅与期望望值的增增长有关关,还与与内部审审计师在在评价内内部控制制的有效效性、风风险管理理和治理理流程中中保持独独立性和和客观性性的能力力能力有有关。今天,内部
7、部审计师师面临着着的挑战战来自一一系列的的领域:1、 法规的遵循循和控制制:评价价和识别别事件和和流程,可可持续性性,资源源,定义义重要性性,优先先级和财财务报告告风险。2、 内部审计价价值和独独立性:对内部部审计的的高度期期望,内内部控制制问题的的增加,对对内部审审计角色色可靠性性和独立立性的困困惑,客客观性和和独立性性的削弱弱。3、 舞弊:侦测测和控制制,识别别盗窃,舞舞弊管理理责任,舞舞弊频率率和成本本的增加加。4、 可用的熟练练审计资资源:缺缺乏能胜胜任的和和合适的的熟练审审计师,审审计师短短缺,持持续力,对对风险和和控制缺缺乏理解解。5、 技术:支持持遵循的的合适的的解决方方案,技技
8、术经营营模型,信信息安全全,信息息技术优优势,外外部采购购。显然,必须须要有一一种新的的、能够够提供连连续的、建建设性的的和划算算的方法法来解决决这些问问题。一、连续审审计传统的内部部审计所所对控制制测试是是一种向向后看的的周期性性方式,通通常是在在经营行行为发生生后的几几个月后后进行。测测试程序序也是基基于抽样样的方式式,还包包括一些些诸如对对政策、程程序、批批准和调调节的评评价。现现在,这这种方式式被视为为一种仅仅仅能够够提供内内部审计计师一个个狭窄范范围的评评价的审审计方法法,通常常由于太太迟而是是去了对对经营绩绩效和法法规遵循循的价值值。连续续审计是是一种以以更加频频繁的方方式来自自动
9、执行行控制和和风险评评估的方方法。技术是施行行这样一一种方法法的关键键。连续续审计改改变了审审计模式式,它将将对交易易样本的的周期性性测试变变为对1100的样本本进行连连续性测测试。它它已在许许多层次次上已成成了现代代审计不不可缺少少的部分分。它也也应该紧紧密与管管理行为为(如行行为监控控,平衡衡计分卡卡和企业业风险管管理框架架)结合合在一起起。连续审计方方式能让让内部审审计师完完全理解解关键控控制点、控控制规则则和例外外情况。通通过对的的自动化化和经常常性的分分析,他他们能够够实时地地或接近近实时地地执行控控制和风风险评估估。他们们能从交交易层面面的异常常和控制制缺陷和和出现风风险的数数据驱
10、动动指标两两方面来来分析关关键业务务流程。最最后,通通过连续续审计,分分析结果果将被整整合进审审计程序序的所有有方面,从从制定和和维持这这个企业业审计计计划到开开展和继继续特定定的审计计。二、连续审审计/连连续监控控的必要要性:整整合法按照首席审审计师们们对遵循循努力的的负担、资资源的缺缺乏以及及保持审审计独立立的必要要性的关关注,将将连续审审计和连连续监控控结合在在一起将将是一种种理想的的方法。连续监控管管理层设设计的为为保证政政策、程程序和业业务流程程能有效效运行的的程序。它它指出了了管理层层对评价价内部控控制的充充分性和和有效性性的责任任。这包包含识别别控制目目标和保保证声明明(asss
11、urrancce aasseertiion)以以及建立立自动化化的测试试程序来来找出遵遵循失败败的活动动和交易易。许多多管理层层实施的的对控制制的连续续监控技技术与内内部审计计师执行行连续审审计所用用技术类类似。管理层使用用连续监监控程序序,结合合内部审审计师执执行的连连续审计计,能够够满足对对控制程程序的有有效性以以及用于于决策的的信息的的相关性性和可靠靠性的保保证需要要。对组织的一一种重要要的额外外好处是是错误和和舞弊事事件的显显著减少少,经营营效率也也得到了了提高,线线下项目目(boottoom-llinee)的结结果也通通过成本本的减少少和过度度支付及及收入泄泄漏的减减少得到到改善。实
12、实施了连连续审计计和连续续监控的的组织通通常会发发现他们们迅速地地获得了了投资回回报。商业和法规规环境,以以及出台台的审计计准则,驱驱使审计计师和管管理层更更加有效效地利用用信息和和数据分分析技术术,作为为连续审审计和连连续监控控的可行行基本因因素之一一。三、内部审审计和管管理层的的角色管理层对评评价风险险和设计计、实施施、连续续维护组组织内部部的控制制负有主主要责任任。内部部审计师师的行为为要对识识别和评评价由管管理层实实施的组组织的风风险管理理系统和和控制的的有效性性负责。审审计师进进行评价价以给审审计委员员会和高高层经理理在风险险的状态态和控制制系统,以以及在诸诸如萨班班斯法案案等法规规
13、下,就就管理层层关心的的控制状状况的可可靠性提提供保证证。理想想的情况况是,内内部审计计不是控控制监控控流程的的一部分分,并且且没有设设计或维维护这些些控制,从从而能够够使他们们的独立立性得以以保持。尽管对内部部控制的的监控是是一种管管理职能能,内部部审计师师行为能能够使用用和借助助连续审审计来强强化整个个组织的的监控和和评价环环境。管管理层事事先执行行的监控控水平将将直接影影响审计计师实施施连续审审计。在在管理层层已经对对某项内内部控制制进行连连续监控控的情况况下,在在连续审审计时,相相同层次次的详细细交易测测试就无无需再进进行。取取而代之之的是,审审计师能能够关注注审计程程序,来来决定管管
14、理层监监控程序序有效性性,借助助这种测测试的结结果来调调整范围围、数字字和审计计测试的的频率。四、连续审审计的作作用连续审计的的作用依依赖于对对对内部部控制的的连续性性测试的的智能性性和有效效性,及及时提示示控制缺缺口和薄薄弱环节节存在的的风险,并并允许立立即的追追踪和进进行补救救。通过过改变他他们的审审计方式式,审计计师将能能够更好好地理解解经营环环境和公公司风险险以支持持遵循和和提高经经营绩效效。五、实施的的问题首席审计师师必须认认识到连连续审计计将改变变审计模模式,包包括证据据的特征征、时间间、程序序和内部部审计师师所需的的努力水水平。这这将给审审计部门门提出要要求,尤尤其是他他们必须须
15、:1、 获得和促成成审计委委员会和和高级管管理层支支持这个个概念并并实施连连续审计计。2、 开发和保持持技术方方面的能能力,以以保证访访问、操操作和分分析包含含在相互互分离系系统中数数据的能能力。3、 使用(或实实施)数数据分析析技术来来支持审审计项目目,包括括使用合合适的分分析软件件工具,开开发和维维护数据据分析技技术,以以及审计计组中的的专家。4、 发起、促进进和鼓励励管理层层对连续续审计的的支持。5、 保证连续审审计被采采用作为为风险导导向审计计计划中中完整的的、相容容的一部部分。6、 管理和回应应连续审审计的结结果,决决定合适适的使用用、跟踪踪和报告告机制。首首席审计计师将必必须确保保
16、对审计计发现报报告的问问题管理理层已经经采取合合适的行行动,连连续审计计的结果果在管理理层的评评价时要要被考虑虑到,这这些评价价包括内内部控制制的监控控,业绩绩评价和和企业风风险管理理。这份国际内内部审计计师协会会(IIIA)的的全球技技术审计计指南(GGTAGG)确定定了那些些必须要要做,以以有效利利用技术术来支持持连续审审计,突突出需要要进一步步关注的的领域。通通过阅读读和遵照照下面列列出的步步骤,内内部审计计师应该该处于一一个更好好的位置置来利用用技术和和最大化化他们的的投资回回报,同同时也要要向管理理层证明明进行适适当的技技术投资资的必要要性不仅对对影响他他们组织织的法规规遵循的的需要
17、起起作用,而而且对整整个组织织的健康康和竞争争力起作作用。第二部分 导言这份全球技技术审计计指南将将着重连连续审计计的技术术可行性性方面,并并且将介介绍:1、 过去30年年间使用用的类似似概念的的历史和和背景。2、 相关的术语语和技术术的定义义:连续续审计,连连续性风风险评估估,连续续性控制制评估,连连续监控控,连续续性鉴证证。3、 连续审计与与连续监监控的关关系。4、 连续审计能能在内部部审计行行为中应应用的领领域。5、 与连续审计计有关的的挑战和和机遇。6、 对内部审计计和首席席审计师师以及管管理的影影响。7、 一个连续审审计自我我评估工工具。 自自19880年以以来,许许多的名名词与实实
18、时或接接近实时时地提供供连续审审计程序序的概念念有关系系,包括括:连续续监控、连连续控制制评估、连连续审计计。这份份全球审审计指南南首先统统一使用用“连续审审计”的概念念。它论论述了作作为连续续审计的的主要组组成部分分的连续续控制评评估和连连续风险险评估。这这份指南南将监控控行为视视为管理理层的责责任,同同时还论论述了审审计和监监控的内内在联系系,以及及内部审审计师在在他们的的角色中中如何提提供额外外的保证证来支持持管理。当前最显著著的一个个连续审审计的推推动力就就是高昂昂的法规规遵循成成本。在在美国,一一份20005年年3月份份的国际际财务执执行官组组织调查查发现,每每个组织织的萨班班斯法案
19、案的平均均遵循成成本超过过了四百百万美元元。由于于绝大部部分成本本都与手手工的、员员工密集集型(内内部资源源和外部部顾问的的使用)有有关。那那么我们们对20005年年1月份份AMRR研究机机构所作作的研究究发现关关键技术术能够用用来减少少的遵循循成本超超过255%就不不会感到到奇怪了了。遵循的压力力迫使组组织改进进他们对对内部控控制进行行连续评评价的方方法。在在这种情情况下,美美国证券券交易委委员会指指出,“管理层层和审计计师必须须运用合合理的判判断,在在(萨班班斯法案案4044条款)遵遵循流程程中运用用严密的的(TOOP-DDOWNN)、风风险基础础的方法法”。这就就导致了了对连续续监控(由
20、由管理层层实施)和和连续审审计的关关注不断断增加。支支持一套套完整的的审计行行为,连连续审计计不仅帮帮助支持持对控制制的保证证,还包包括风险险评估,识识别舞弊弊、浪费费和滥用用,审计计计划,跟跟踪审计计建议等等审计行行为。一、连续审审计:一一个简史史自动控制测测试开始始于200世纪660年代代,当时时是通过过安装和和执行内内嵌审计计模块(EEAMss)来实实现的。但但是,这这些模块块难以建建立和维维护,而而且只是是在相关关的少数数组织中中使用。在在20世世纪700年代后后期,审审计师开开始离弃弃这种方方法。到到了200世纪880年代代,审计计职业中中有些人人开始接接受并使使用计算算机辅助助审计
21、工工具和技技术(CCAATTTs)用用于特殊殊的调查查和分析析。与此此同时,连连续监控控的概念念首先是是通过大大量的学学术文章章介绍给给审计师师的。最最基本的的优点就就是使用用连续的的自动化化的数据据分析将将帮助审审计师识识别风险险最高的的领域,并并作为决决定他们们的审计计计划的的先导。但但是,在在很大程程度上,审审计师们们并没有有对这种种审计方方法做好好准备。他他们缺乏乏容易访访问的合合适软件件工具,以以及技术术资源和和专家来来克服数数据访问问的挑战战,最重重要的是是,组织织将是否否支持这这种新的的与传统统审计方方法很不不一致的的审计方方式和方方法。在20世纪纪90年年代,在在全球审审计职业
22、业界内,开开始大范范围的不不断地接接受数据据分析解解决方案案,这些些解决方方案被视视为支持持有效进进行内部部控制测测试的关关键工具具。这些些技术用用于检查查交易中中某些发发生的事事件,这这些事件件是由于于某项控控制不存存在或没没有适当当地执行行。它也也能够识识别与控控制标准准不符的的交易。此此外,数数据分析析支持不不是直接接从交易易数据中中获取证证据的控控制测试试。例如如,企业业资源管管理计划划(ERRP)访访问和授授权表格格能够用用来分析析保持适适当的职职责分离离是否失失效。但但是,尽尽管有这这些技术术基础,传传统审计计程序通通常依赖赖于典型型的样本本,而不不是对总总体进行行评价,并并且是在
23、在经营(交交易)行行为发生生一些时时间后进进行分析析的。所所以,风风险和控控制问题题有大量量的机会会升级,并并对经营营绩效产产生消极极的影响响。二、当今的的审计环环境今天,经营营环境中中信息系系统功能能的普及及使得审审计师能能够更加加容易地地访问更更加相关关的信息息,同时时也包括括对大量量增加的的数据和和交易的的管理和和评价。此外,经营营的快节节奏要求求提升对对控制问问题识别别和反应应。在美美国像萨萨班斯法法案的4404条条款之类类的法规规要求及及时披露露控制的的缺陷,管管理层要要对内部部控制框框架充分分性作出出保证。这这些法规规遵循的的紧迫性性、连续续审计准准则、审审计软件件的功能能提升,既
24、既促使而而且能够够让审计计师采纳纳新的方方法来评评估信息息和评价价控制。首席审计师师必须给给高层管管理者提提供对内内部控制制的健康康运行和和组织内内的风险险水平作作出连续续的评价价,而不不是简单单的周期期性的评评价。今今天的内内部审计计师不仅仅仅是对对控制进进行审计计,他们们还关注注公司的的风险特特征,而而且在识识别风险险领域来来改善风风险管理理流程中中发挥关关键作用用。但是是,如果果他们不不完全理理解经营营流程和和相关风风险,审审计师只只能仅仅仅执行传传统的审审计核查查工作。连连续审计计给审计计师提供供了一个个超脱传传统审计计方式的的局限、样样本的限限制、撰撰写标准准公告、实实时评价价的机会
25、会,连续续审计的的关键部部分是能能够在接接近经营营行为发发生或者者在经营营行为发发生的同同时对交交易进行行评价的的连续审审计模型型。就像将第四四部分中中要详细细讨论的的一样,影影响内部部审计师师应用连连续审计计方式的的一个关关键因素素是管理理层已经经实施了了用于连连续控制制监控和和识别控控制缺陷陷和风险险指标的的系统的的程度。连续审计测测量某些些关键特特征,一一旦某项项参数符符合,将将会触发发审计师师采取某某种行为为。在连连续审计计条件下下,这里里有两种种主要的的行为:1、 连续控制评评估:使使审计师师能够尽尽早关注注控制的的缺陷。2、 连续风险评评估:突突出正在在遭受比比期望风风险更高高的程
26、序序或系统统。连续审计的的行为的的频率取取决于程程序或系系统的固固有风险险。此外外,它可可以从检检查关键键的控制制和风险险领域着着手,在在审计师师获得经经验和能能够获取取与遵循循、经营营效率和和效果、财财务报告告的公允允性等方方面的可可测量结结果时,然然后扩大大连续审审计应用用领域的的范围。三、COSSO的企业风风险管理理(ERRM)框框架Treaddwayy委员会会下属的的发起组组织委员员会(CCOSOO)发布布的企业业风险管管理整合框框架鼓励励内部审审计师行行为向管管理层经经营方式式靠拢:控制环环境、风风险评估估、信息息与沟通通、风险险监控。CCOSOO的ERRM框架架是原来来的COOSO
27、内内部控制制框架的的扩展。它它增加了了对内部部控制的的关注,并并且对企企业风险险管理(EERM)进进行了更更加充分分的广泛泛的论述述。它的的四个目目标策略、运运营、报报告和遵遵循,给给内部审审计师增增加了评评价内部部控制系系统、识识别和评评估风险险的压力力。要完完成这些些任务,内内部审计计必须改改变它的的传统的的角色,向向关注公公司目标标、策略略、风险险管理和和业务流流程、关关键控制制行为转转变。连续审计关关注的不不单单是是对控制制和法规规的遵循循,而更更注重改改进组织织的经营营效率。连连续审计计同时还还必须通通过识别别和评估估风险以以及给管管理层提提供信息息对整个个组织的的改进作作出贡献献,
28、以更更好地适适应变化化的商业业环境。它它将在所所有的CCOSOO企业风风险管理理组成部部分方面面给内部部审计以以帮助。1、 内部环境和和目标设设置:通通过正式式确定连连续审计计的目标标和内部部审计的的角色。2、 事项识别:通过开开发一个个系统来来识别和和报告事事项以及及应对这这些威胁胁和机遇遇的程序序。3、 风险评估:通过分分析和评评估风险险,考虑虑可能性性和影响响,从而而给决定定如何管管理风险险提供基基础。4、 风险反应:通过考考虑风险险的种类类和关键键行为,通通过开发发数据驱驱动方法法来评估估和回应应风险。5、 控制行为:通过识识别管理理层和内内部控制制的角色色;证明明控制评评估不是是一年
29、一一次的行行为,而而是一个个持续关关注的行行为;自自动化这这些控制制测试程程序,使使之尽可可能接近近实时运运行。6、 信息和沟通通:通过过促进确确保信息息的精确确性和关关注事项项的实时时报告。7、 监控和评价价:通过过提供独独立的评评估来支支持由管管理层实实施的连连续监控控行为。图1:COOSO企企业风险险管理框框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风险反应风险评估事项识别目标制定内部环境连续控制评评估将允允许内部部审计师师评价管管理监控控行为的的充分性性,并给给审计委委员会和和高层管管理员工工提供控控制正在在有效运运行以及及组织能
30、能够快速速改进出出现的缺缺陷快速速反应并并及时改改正的独独立保证证。连续续风险评评估使审审计师能能识别正正在出现现的使公公司处于于风险的的领域,将将这些风风险区分分优先次次序,以以更加有有效地分分配有限限的审计计资源。但但是,这这些行为为不能以以任何方方式妨碍碍管理层层实施监监控和管管理风险险的职能能。监控和评价价是COOSO的的企业风风险管理理作为一一个有效效控制框框架的最最后一个个要素,也也是一个个组织朝朝持续改改进所做做努力的的关键成成分。连连续监控控包含管管理层为为保证政政策、程程序和经经营流程程都有效效地运行行,在适适当位置置设置的的程序。它它提出了了管理层层评价控控制的充充分性和和
31、有效性性的责任任。这包包含识别别控制目目标和保保证认定定,并建建立自动动化的测测试程序序将遵循循相关控控制目标标和保证证认定失失败的交交易凸显显出来。连连续监控控的许多多技术与与内部审审计部门门使用的的连续审审计技术术是类似似的。四、内部审审计行为为和管理理层的角角色为了践行管管理者的的角色,管管理层对对风险评评估和内内部控制制的设计计、实施施和连续续维护负负有主要要责任。内内部审计计行为,根根据它对对管理层层和董事事会的职职责,他他对识别别和评价价组织的的由管理理层实施施的风险险管理系系统(内内部审计计准则221100)和控控制(内内部审计计准则221200)的有有效性负负有责任任。审计计师
32、和管管理层之之间的角角色差异异在于从从事内部部控制和和风险评评估工作作时,各各自对股股东的责责任的特特征。审审计师给给股东提提供保证证服务;审计委委员会和和高层经经理重视视风险和和控制系系统的状状态;在在法规方方面,诸诸如萨班班斯法案案,以及及管理层层表现的的对内部部控制的的关注的的可靠性性。理想想上,审审计师并并不是流流程的一一部分,也也不是来来设计和和保持内内部控制制的,这这样,审审计师的的客观性性和独立立性就能能得以保保持。五、连续审审计和监监控的好好处连续审计和和监控(由由管理层层实施)的的结果是是类似的的,都包包含提示示或警告告,这些些提示或或警告指指出了控控制的缺缺陷或高高风险水水
33、平。这这些提示示或警告告能够按按优先次次序排列列,这取取决于风风险和控控制缺陷陷的严重重程度,这这些提示示或警告告会分发发给经营营流程或或应用系系统的担担保人,运运营经理理,审计计师,高高级财务务经理,甚甚至法规规制定者者。管理理层对这这些提示示的回应应能够修修补内部部控制缺缺陷和立立即修正正错误的的交易。审审计师对对这些警警告的回回应能够够从立即即审计确确认的内内部控制制系统到到标记一一个领域域以备将将来审计计。例如,对财财务交易易的持续续审计,当当一个分分类账凭凭证超出出了给定定限额,以以及留有有非正常常关联账账户的入入口,测测试可能能给出一一个提示示。审计计师的反反应可能能取决于于这是否
34、否视为一一个单一一项目这个个反应可可能会是是发送一一个Emmaill给这项项交易的的当事人人以得到到相应的的解释;也可能能会视为为一个系系统的问问题,对对某个领领域的财财务审计计可能状状况良好好。使用用连续审审计进行行额外的的测试来来决定这这些异常常的特征征能够回回答诸如如以下问问题:1、 日记账凭证证是给暂暂记账户户留有入入口,而而且没有有在规定定的时间间内进行行清除?2、 日记账凭证证是否给给不正常常的关联联账户留留有入口口?3、 受影响的账账户是否否可能会会是诸如如人工操操纵收益益之类的的舞弊?4、 日记账凭证证的数量量和类型型与往年年相比是是否有异异常?5、 个体之间登登录系统统时是否
35、否做到了了职责分分离?6、 我们是否应应该提高高或降低低测试的的标准?7、 财务比率是是否与公公司的期期望相符符?8、 近几年的收收益趋势势如何?这些趋趋势与公公司的期期望(ppeerr)以及及总体的的经济环环境如何何匹配?连续审计帮帮助审计计师评价价管理层层的监控控功能的的充分性性。这让让首席审审计师能能给审计计委员会会和高级级管理层层提供对对控制系系统运行行的有效效性作出出保证,以以及审计计程序在在识别和和指出任任何侵害害中发挥挥作用。连连续审计计还识别别和评估估风险领领域,给给审计师师提供信信息,审审计师通通过与管管理层的的沟通能能够帮助助管理层层减轻风风险。此此外,他他能够用用于帮助助
36、制定年年度审计计计划,以以将审计计关注点点和资源源转向高高风险领领域。然而,连续续审计最最重要的的优势之之一在于于它独立立于所审审计的业业务和财财务系统统和管理理层实施施的监控控。这能能改善组组织的管管理和控控制框架架,并提提供一个个审计师师能够用用来支持持他们的的独立评评价和评评估行为为的机制制。连续审计还还面临着着一些挑挑战。这这些技术术需要被被理解和和控制。内内部审计计师必须须能够访访问数据据、软件件工具和和技术,以以及拥有有能够智智能使用用他们手手头所掌掌握的大大量的公公司财务务和非财财务信息息的必要要知识。连连续审计计带来的的机遇也也对审计计师和首首席审计计师提出出了要求求。第三部分
37、 需要要澄清的的一些关关键概念念和术语语已经采取了了各种尝尝试来鼓鼓励审计计师更好好地使用用电子信信息,以以改进内内部审计计行为的的效率和和效果。最最近,多多种术语语已经被被用于这这些尝试试,同时时也导致致了职业业界认识识上的混混乱。没没有一个个清晰的的、通用用的术语语,那么么将会很很难提升升这些尝尝试,成成功的可可能性也也会减少少。因此此,实施施连续审审计首先先要做的的就是给给定和传传播所有有相关术术语的清清晰的定定义。理解与连续续审计相相关的术术语的关关键在于于理解控控制和风风险是一一个问题题的两个个方面。控控制的存存在是为为了帮助助降低风风险;识识别控制制缺陷能能凸显潜潜在的风风险领域域
38、。相反反,通过过检查风风险,审审计师能能够识别别哪些地地方需要要控制和和(和)控控制没有有发生作作用。尽管对控制制和风险险的评估估通常包包含定量量分析也也包含定定性分析析,但是是最大化化的效率率获取是是来自于于最大化化地利用用技术。对对审计师师的挑战战是确保保数据的的利用和和通用性性,理解解相关的的业务流流程和系系统,最最大化地地运用自自动化。所所以,这这份全球球审计技技术指南南关注的的是支撑撑持续审审计的技技术辅助助程序。保证可以认认为是第第三方对对事件状状态的意意见,这这个事件件是关于于一个特特定的交交易、业业务或治治理流程程、风险险或整个个业务流流程中的的财务绩绩效的。审审计保证证是对控
39、控制的充充分性和和有效性性,信息息的完整整性作出出的声明明。管理层实施施的持续续控制监监控是有有效保证证策略的的核心部部分,但但是,审审计师仍仍然必须须确保管管理层的的行为是是充分的的和有效效的。连连续保证证的框架架是联结结内部审审计师的的独立性性评价行行为:控控制的状状态、组组织内部部的风险险管理、评评估管理理监控功功能的充充分性。图2:连续续保证的的框架连续保证连续控制评评估连续风险评评估对连续监控控的评估估首席审计师师必须保保证所有有的审计计师、高高级经理理和审计计委员会会理解内内部审计计行为和和管理层层在使连连续保证证方程有有效的角角色和责责任。以以下的定定义可能能提供了了额外的的视角
40、:1、连续审审计是审审计师为为了在一一个更持持续、更更频繁的的基础上上实施与与审计相相关的行行为所采采取的任任何方法法。它是是一系列列行为的的联合体体,这些些行为从从连续控控制评估估延伸到到连续风风险评估估。连续风险评评估是关关于控制制风险险联合体体的所有有行为。技技术在识识别例外外和(或或)异常常、分析析关键数数据字段段的模式式、趋势势分析、从从开始到到结束的的明细交交易分析析、控制制测试和和将组织织的程序序或系统统根据不不同的时时点比较较或与其其他类似似的单位位比较等等方面发发挥着关关键作用用。2、连续控控制评估估是审计计师采取取的准备备用来进进行与内内部控制制相关的的保证的的行为。通通过
41、连续续控制评评估,通通过识别别控制缺缺陷和侵侵害,审审计师给给审计委委员会和和高层经经理提供供关于控控制是否否正在恰恰当运行行的保证证。单个个的交易易是通过过一系列列的控制制规则来来进行监监控的,以以提供关关于系统统内部控控制的保保证,并并强调例例外情况况。一系系列定义义良好的的控制规规则在控控制程序序或系统统没有按按期望运运行或受受到威胁胁时能够够及早地地提供警警告。内部审计需需要执行行连续控控制评估估行为的的范围取取决于管管理层履履行其关关于连续续监控的的责任的的程度。一一个强有有力的管管理监控控系统将将减少审审计师必必须执行行以对控控制提供供保证的的详细测测试数量量。3、连续风风险评估估
42、是审计计师用来来识别和和评估风风险水平平的行为为。连续续风险评评估通过过检查趋趋势和比比较(在在单个程程序或系系统里,与与之过去去的表现现相比较较,与企企业内的的其他的的程序或或系统相相比)来来识别和和评估风风险水平平。例如如,生产产线的表表现可以以和先前前年度的的结果相相比较,就就像是将将一个企企业的绩绩效与所所有的其其他企业业相比较较一样。这这种比较较能够较较早地警警示某个个程序或或系统(审审计主体体)的风风险水平平高于以以前年度度或其他他主体。审审计的反反应也因因风险的的特征和和水平而而异。连连续风险险评估能能应用于于大范围围的审计计领域,来来选择访访问点,来来识别排排除包含含在审计计计
43、划中中的特定定的审计计或单位位,或触触发对某某个风险险增加但但缺乏足足够解释释的单位位的审计计。它也也能够用用来评价价管理行行为,来来检查审审计建议议是否得得到合理理的贯彻彻,经营营风险水水平是否否正在减减少。4、连续监监控是管管理层为为了确保保政策、程程序和业业务流程程能够有有效运行行而实施施的一项项程序。管管理层识识别关键键控制点点和实施施自动化化的测试试来决定定这些控控制是否否恰当运运行。典典型的持持续监控控程序包包括在给给定的经经营流程程领域内内,借助助一组控控制规则则,自动动测试所所有的交交易和系系统行为为。监控控通常是是按天、周周或月进进行,这这取决于于当前的的业务循循环的特特征。
44、取取决于特特殊的控控制规则则和相关关测试和和初始参参数,某某些交易易被标记记为控制制例外事事项,且且告知管管理层。管管理层监监控也可可能依靠靠关键绩绩效指标标和其他他绩效评评价行为为。对监监控警报报和提示示作出回回应并立立即修补补控制缺缺陷和改改正问题题交易是是管理层层的责任任。一、连续审审计的连连续系统统连续审计帮帮助审计计师识别别和评估估风险,还还在组织织中建立立智能和和动态阀阀值来回回应变化化。它也也支持整整个审计计范围的的风险识识别和评评估,帮帮助制定定年度审审计计划划,以及及确定某某项特定定审计的的审计目目标。因因此,连连续审计计在很多多层面上上可以视视为一个个连续系系统。同同时,连
45、连续系统统中的不不同位置置更加适适合不同同的工作作,在连连续系统统中当你你执行不不同的任任务时还还可能超超过一个个位置。对连续审计计的关注注从控制制基础到到风险基基础(见见图3);分析性性技术从从对明细细交易的的实时评评价到对对整个单单位进行行趋势分分析以及及与其他他单位进进行比较较分析,并并且随着着时间进进行。图3:连续续审计的的连续系系统连续审审计连续控制评评估连续风风险评估估方法控制基础 风险险基础(保证控制制正在运运行)(识识别/评评估风险险)财务控制 财务务/运营营控制关注点实时/详细细交易测测试(财财务数据据)趋趋势/比比较(财财务/运运营数据据)分析技术控制保证 财务务鉴证 舞弊
46、弊/浪费费/滥用用 审审计范围围和目标标 追追踪审计计记录 年度审审计计划划相关审计行行为控制监控 业业绩监控控 平衡衡计分卡卡 全面面质量管管理 企企业风险险管理相关管理行行为注1:在这这个连续续系统的的“控制”结尾,相相关审计计行为包包括保证证和财务务鉴证审审计。注2:连续续系统的的另一个个结尾的的审计行行为包括括通过风风险评估估支持审审计项目目来识别别舞弊、浪浪费和滥滥用,并并提交年年度审计计报告。注3:相关关管理层层行为包包括连续续控制监监控,绩绩效监控控,平衡衡计分卡卡,全面面质量管管理和企企业风险险管理。连续审计是是一个统统一能够够带来控控制保证证、风险险评估、审审计计划划、数据据
47、分析以以及其他他审计工工具、技技术和科科技结合合在一起起的统一一结构或或框架。它它支持微微观审计计事项,例例如明细细交易测测试来评评价控制制的有效效性;宏宏观审计计方面,通通过风险险识别和和评估来来准备年年度审计计计划。它它也能满满足中观观层面的的需求,例例如为个个别审计计开发审审计项目目。微观审计和和宏观审审计两个个层次的的主要区区别在于于两者信信息需求求的粒度度不同:1、控制测测试需要要细节信信息:需需要深入入交易的的源头层层次。连连续控制制评估使使用仔细细制定的的规则和和实时的的或接近近实时的的,测试试交易对对这些规规则的遵遵循情况况。2、个别审审计通常常开始于于年度审审计计划划中的风风险识别别,但使使