全球技术审计必备指南

GLOBAL TECHNOLOGY AUDIT AUIDE全球技术审计指南（第3号）（2005 年 9 月公布）Continuous Auditing: Implications for Assurance,Monitoring, and Risk Assessment连续审计：对保证、监控和风险评估的意义AuthorDavid Coderre, Royal Canadian Mounted Police (RCMP)作者戴维德科德里（加拿大皇家骑警）Subject Matter ExpertsJohn G. Verver, ACL Services Ltd.Donald J. Warren, Center for Continuous Auditing, Rutgers University主题专家约翰G沃沃（ACL公司）唐纳德J倭仁（鲁特格斯大学，连续审计研究中心）湘潭大学商学院 阳杰译（2006年11月）*注：原指南附录部分由于篇幅限制，未加翻译作者水平有限，如有错误之处，请email到目录1 首席审计师简述11.1 连续审计21.2 连续审计/连续监控的必要性：整合法31.3 内部审计和管理层的角色41.4 连续审计的作用41.5 实施的问题52 导言62.1 连续审计：一个简史72.2 当今的审计环境82.3 COSO的企业风险管理（ERM）框架92.4 内部审计行为和管理层的角色122.5 连续审计和监控的好处123 需要澄清的一些关键概念和术语143.1 连续审计的连续系统174 连续审计于连续保证和连续监控的关系184.1 连续保证184.2 连续监控194.3 连续审计205 连续审计的应用领域225.1 应用于连续控制评估245.2 应用于连续风险评估296 实施连续审计366.1 连续审计目标376.2 连续控制和风险评估的关系476.3 连续风险评估516.4 管理和报告结果536.5 挑战和其他要考虑的因素57今天的法规环境下，首席审计师们都发现他们的部门变得越来越被为满足遵循要求的监控和内部控制测试所吞噬。但是，大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻负担，并提升效率和生产率，推动经营绩效。这份全球技术审计指南“连续审计：对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略，结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续控制监控方案能够最好地提升审计实践，以满足当今对有效控制地高度要求。ACL能够帮助你证明适当的技术投资的好处，并且支持持续的遵循需要，增加运营效率，并对提高收益有帮助。第一部分 首席审计师简述对风险管理和控制系统的有效性进行及时和连续的保证的需求非常关键。组织频繁地暴露在重大错误、舞弊或者无效率下，这些会导致财务损失和风险升级。一个变化的法规环境，经营的全球化，市场方面要求改善经营的压力，以及快速变化的商业环境要求更加及时和连续地对正在运行的控制的有效性和风险水平正在降低作出保证。这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加，尤其是由于法规的原因，例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关，还与内部审计师在评价内部控制的有效性、风险管理和治理流程中保持独立性和客观性的能力能力有关。今天，内部审计师面临着的挑战来自一系列的领域：1、 法规的遵循和控制：评价和识别事件和流程，可持续性，资源，定义重要性，优先级和财务报告风险。2、 内部审计价值和独立性：对内部审计的高度期望，内部控制问题的增加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的削弱。3、 舞弊：侦测和控制，识别盗窃，舞弊管理责任，舞弊频率和成本的增加。4、 可用的熟练审计资源：缺乏能胜任的和合适的熟练审计师，审计师短缺，持续力，对风险和控制缺乏理解。5、 技术：支持遵循的合适的解决方案，技术经营模型，信息安全，信息技术优势，外部采购。显然，必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。一、连续审计传统的内部审计所对控制测试是一种向后看的周期性方式，通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、批准和调节的评价。现在，这种方式被视为一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计是一种以更加频繁的方式来自动执行控制和风险评估的方法。技术是施行这样一种方法的关键。连续审计改变了审计模式，它将对交易样本的周期性测试变为对100的样本进行连续性测试。它已在许多层次上已成了现代审计不可缺少的部分。它也应该紧密与管理行为（如行为监控，平衡计分卡和企业风险管理框架）结合在一起。连续审计方式能让内部审计师完全理解关键控制点、控制规则和例外情况。通过对的自动化和经常性的分析，他们能够实时地或接近实时地执行控制和风险评估。他们能从交易层面的异常和控制缺陷和出现风险的数据驱动指标两方面来分析关键业务流程。最后，通过连续审计，分析结果将被整合进审计程序的所有方面，从制定和维持这个企业审计计划到开展和继续特定的审计。二、连续审计/连续监控的必要性：整合法按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注，将连续审计和连续监控结合在一起将是一种理想的方法。连续监控管理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了管理层对评价内部控制的充分性和有效性的责任。这包含识别控制目标和保证声明（assurance assertion）以及建立自动化的测试程序来找出遵循失败的活动和交易。许多管理层实施的对控制的连续监控技术与内部审计师执行连续审计所用技术类似。管理层使用连续监控程序，结合内部审计师执行的连续审计，能够满足对控制程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。对组织的一种重要的额外好处是错误和舞弊事件的显著减少，经营效率也得到了提高，线下项目（bottom-line）的结果也通过成本的减少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发现他们迅速地获得了投资回报。商业和法规环境，以及出台的审计准则，驱使审计师和管理层更加有效地利用信息和数据分析技术，作为连续审计和连续监控的可行基本因素之一。三、内部审计和管理层的角色管理层对评价风险和设计、实施、连续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由管理层实施的组织的风险管理系统和控制的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和控制系统，以及在诸如萨班斯法案等法规下，就管理层关心的控制状况的可靠性提供保证。理想的情况是，内部审计不是控制监控流程的一部分，并且没有设计或维护这些控制，从而能够使他们的独立性得以保持。尽管对内部控制的监控是一种管理职能，内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。管理层事先执行的监控水平将直接影响审计师实施连续审计。在管理层已经对某项内部控制进行连续监控的情况下，在连续审计时，相同层次的详细交易测试就无需再进行。取而代之的是，审计师能够关注审计程序，来决定管理层监控程序有效性，借助这种测试的结果来调整范围、数字和审计测试的频率。四、连续审计的作用连续审计的作用依赖于对对内部控制的连续性测试的智能性和有效性，及时提示控制缺口和薄弱环节存在的风险，并允许立即的追踪和进行补救。通过改变他们的审计方式，审计师将能够更好地理解经营环境和公司风险以支持遵循和提高经营绩效。五、实施的问题首席审计师必须认识到连续审计将改变审计模式，包括证据的特征、时间、程序和内部审计师所需的努力水平。这将给审计部门提出要求，尤其是他们必须：1、 获得和促成审计委员会和高级管理层支持这个概念并实施连续审计。2、 开发和保持技术方面的能力，以保证访问、操作和分析包含在相互分离系统中数据的能力。3、 使用（或实施）数据分析技术来支持审计项目，包括使用合适的分析软件工具，开发和维护数据分析技术，以及审计组中的专家。4、 发起、促进和鼓励管理层对连续审计的支持。5、 保证连续审计被采用作为风险导向审计计划中完整的、相容的一部分。6、 管理和回应连续审计的结果，决定合适的使用、跟踪和报告机制。首席审计师将必须确保对审计发现报告的问题管理层已经采取合适的行动，连续审计的结果在管理层的评价时要被考虑到，这些评价包括内部控制的监控，业绩评价和企业风险管理。这份国际内部审计师协会（IIA）的全球技术审计指南（GTAG）确定了那些必须要做，以有效利用技术来支持连续审计，突出需要进一步关注的领域。通过阅读和遵照下面列出的步骤，内部审计师应该处于一个更好的位置来利用技术和最大化他们的投资回报，同时也要向管理层证明进行适当的技术投资的必要性不仅对影响他们组织的法规遵循的需要起作用，而且对整个组织的健康和竞争力起作用。第二部分 导言这份全球技术审计指南将着重连续审计的技术可行性方面，并且将介绍：1、 过去30年间使用的类似概念的历史和背景。2、 相关的术语和技术的定义：连续审计，连续性风险评估，连续性控制评估，连续监控，连续性鉴证。3、 连续审计与连续监控的关系。4、 连续审计能在内部审计行为中应用的领域。5、 与连续审计有关的挑战和机遇。6、 对内部审计和首席审计师以及管理的影响。7、 一个连续审计自我评估工具。 自1980年以来，许多的名词与实时或接近实时地提供连续审计程序的概念有关系，包括：连续监控、连续控制评估、连续审计。这份全球审计指南首先统一使用“连续审计”的概念。它论述了作为连续审计的主要组成部分的连续控制评估和连续风险评估。这份指南将监控行为视为管理层的责任，同时还论述了审计和监控的内在联系，以及内部审计师在他们的角色中如何提供额外的保证来支持管理。当前最显著的一个连续审计的推动力就是高昂的法规遵循成本。在美国，一份2005年3月份的国际财务执行官组织调查发现，每个组织的萨班斯法案的平均遵循成本超过了四百万美元。由于绝大部分成本都与手工的、员工密集型（内部资源和外部顾问的使用）有关。那么我们对2005年1月份AMR研究机构所作的研究发现关键技术能够用来减少的遵循成本超过25%就不会感到奇怪了。遵循的压力迫使组织改进他们对内部控制进行连续评价的方法。在这种情况下，美国证券交易委员会指出，“管理层和审计师必须运用合理的判断，在（萨班斯法案404条款）遵循流程中运用严密的（TOP-DOWN）、风险基础的方法”。这就导致了对连续监控（由管理层实施）和连续审计的关注不断增加。支持一套完整的审计行为，连续审计不仅帮助支持对控制的保证，还包括风险评估，识别舞弊、浪费和滥用，审计计划，跟踪审计建议等审计行为。一、连续审计：一个简史自动控制测试开始于20世纪60年代，当时是通过安装和执行内嵌审计模块（EAMs）来实现的。但是，这些模块难以建立和维护，而且只是在相关的少数组织中使用。在20世纪70年代后期，审计师开始离弃这种方法。到了20世纪80年代，审计职业中有些人开始接受并使用计算机辅助审计工具和技术（CAATTs）用于特殊的调查和分析。与此同时，连续监控的概念首先是通过大量的学术文章介绍给审计师的。最基本的优点就是使用连续的自动化的数据分析将帮助审计师识别风险最高的领域，并作为决定他们的审计计划的先导。但是，在很大程度上，审计师们并没有对这种审计方法做好准备。他们缺乏容易访问的合适软件工具，以及技术资源和专家来克服数据访问的挑战，最重要的是，组织将是否支持这种新的与传统审计方法很不一致的审计方式和方法。在20世纪90年代，在全球审计职业界内，开始大范围的不断地接受数据分析解决方案，这些解决方案被视为支持有效进行内部控制测试的关键工具。这些技术用于检查交易中某些发生的事件，这些事件是由于某项控制不存在或没有适当地执行。它也能够识别与控制标准不符的交易。此外，数据分析支持不是直接从交易数据中获取证据的控制测试。例如，企业资源管理计划（ERP）访问和授权表格能够用来分析保持适当的职责分离是否失效。但是，尽管有这些技术基础，传统审计程序通常依赖于典型的样本，而不是对总体进行评价，并且是在经营（交易）行为发生一些时间后进行分析的。所以，风险和控制问题有大量的机会升级，并对经营绩效产生消极的影响。二、当今的审计环境今天，经营环境中信息系统功能的普及使得审计师能够更加容易地访问更加相关的信息，同时也包括对大量增加的数据和交易的管理和评价。此外，经营的快节奏要求提升对控制问题识别和反应。在美国像萨班斯法案的404条款之类的法规要求及时披露控制的缺陷，管理层要对内部控制框架充分性作出保证。这些法规遵循的紧迫性、连续审计准则、审计软件的功能提升，既促使而且能够让审计师采纳新的方法来评估信息和评价控制。首席审计师必须给高层管理者提供对内部控制的健康运行和组织内的风险水平作出连续的评价，而不是简单的周期性的评价。今天的内部审计师不仅仅是对控制进行审计，他们还关注公司的风险特征，而且在识别风险领域来改善风险管理流程中发挥关键作用。但是，如果他们不完全理解经营流程和相关风险，审计师只能仅仅执行传统的审计核查工作。连续审计给审计师提供了一个超脱传统审计方式的局限、样本的限制、撰写标准公告、实时评价的机会，连续审计的关键部分是能够在接近经营行为发生或者在经营行为发生的同时对交易进行评价的连续审计模型。就像将第四部分中要详细讨论的一样，影响内部审计师应用连续审计方式的一个关键因素是管理层已经实施了用于连续控制监控和识别控制缺陷和风险指标的系统的程度。连续审计测量某些关键特征，一旦某项参数符合，将会触发审计师采取某种行为。在连续审计条件下，这里有两种主要的行为：1、 连续控制评估：使审计师能够尽早关注控制的缺陷。2、 连续风险评估：突出正在遭受比期望风险更高的程序或系统。连续审计的行为的频率取决于程序或系统的固有风险。此外，它可以从检查关键的控制和风险领域着手，在审计师获得经验和能够获取与遵循、经营效率和效果、财务报告的公允性等方面的可测量结果时，然后扩大连续审计应用领域的范围。三、COSO的企业风险管理（ERM）框架Treadway委员会下属的发起组织委员会（COSO）发布的企业风险管理整合框架鼓励内部审计师行为向管理层经营方式靠拢：控制环境、风险评估、信息与沟通、风险监控。COSO的ERM框架是原来的COSO内部控制框架的扩展。它增加了对内部控制的关注，并且对企业风险管理（ERM）进行了更加充分的广泛的论述。它的四个目标策略、运营、报告和遵循，给内部审计师增加了评价内部控制系统、识别和评估风险的压力。要完成这些任务，内部审计必须改变它的传统的角色，向关注公司目标、策略、风险管理和业务流程、关键控制行为转变。连续审计关注的不单单是对控制和法规的遵循，而更注重改进组织的经营效率。连续审计同时还必须通过识别和评估风险以及给管理层提供信息对整个组织的改进作出贡献，以更好地适应变化的商业环境。它将在所有的COSO企业风险管理组成部分方面给内部审计以帮助。1、 内部环境和目标设置：通过正式确定连续审计的目标和内部审计的角色。2、 事项识别：通过开发一个系统来识别和报告事项以及应对这些威胁和机遇的程序。3、 风险评估：通过分析和评估风险，考虑可能性和影响，从而给决定如何管理风险提供基础。4、 风险反应：通过考虑风险的种类和关键行为，通过开发数据驱动方法来评估和回应风险。5、 控制行为：通过识别管理层和内部控制的角色；证明控制评估不是一年一次的行为，而是一个持续关注的行为；自动化这些控制测试程序，使之尽可能接近实时运行。6、 信息和沟通：通过促进确保信息的精确性和关注事项的实时报告。7、 监控和评价：通过提供独立的评估来支持由管理层实施的连续监控行为。图1：COSO企业风险管理框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风险反应风险评估事项识别目标制定内部环境连续控制评估将允许内部审计师评价管理监控行为的充分性，并给审计委员会和高层管理员工提供控制正在有效运行以及组织能够快速改进出现的缺陷快速反应并及时改正的独立保证。连续风险评估使审计师能识别正在出现的使公司处于风险的领域，将这些风险区分优先次序，以更加有效地分配有限的审计资源。但是，这些行为不能以任何方式妨碍管理层实施监控和管理风险的职能。监控和评价是COSO的企业风险管理作为一个有效控制框架的最后一个要素，也是一个组织朝持续改进所做努力的关键成分。连续监控包含管理层为保证政策、程序和经营流程都有效地运行，在适当位置设置的程序。它提出了管理层评价控制的充分性和有效性的责任。这包含识别控制目标和保证认定，并建立自动化的测试程序将遵循相关控制目标和保证认定失败的交易凸显出来。连续监控的许多技术与内部审计部门使用的连续审计技术是类似的。四、内部审计行为和管理层的角色为了践行管理者的角色，管理层对风险评估和内部控制的设计、实施和连续维护负有主要责任。内部审计行为，根据它对管理层和董事会的职责，他对识别和评价组织的由管理层实施的风险管理系统（内部审计准则2110）和控制（内部审计准则2120）的有效性负有责任。审计师和管理层之间的角色差异在于从事内部控制和风险评估工作时，各自对股东的责任的特征。审计师给股东提供保证服务；审计委员会和高层经理重视风险和控制系统的状态；在法规方面，诸如萨班斯法案，以及管理层表现的对内部控制的关注的可靠性。理想上，审计师并不是流程的一部分，也不是来设计和保持内部控制的，这样，审计师的客观性和独立性就能得以保持。五、连续审计和监控的好处连续审计和监控（由管理层实施）的结果是类似的，都包含提示或警告，这些提示或警告指出了控制的缺陷或高风险水平。这些提示或警告能够按优先次序排列，这取决于风险和控制缺陷的严重程度，这些提示或警告会分发给经营流程或应用系统的担保人，运营经理，审计师，高级财务经理，甚至法规制定者。管理层对这些提示的回应能够修补内部控制缺陷和立即修正错误的交易。审计师对这些警告的回应能够从立即审计确认的内部控制系统到标记一个领域以备将来审计。例如，对财务交易的持续审计，当一个分类账凭证超出了给定限额，以及留有非正常关联账户的入口，测试可能给出一个提示。审计师的反应可能取决于这是否视为一个单一项目这个反应可能会是发送一个Email给这项交易的当事人以得到相应的解释；也可能会视为一个系统的问题，对某个领域的财务审计可能状况良好。使用连续审计进行额外的测试来决定这些异常的特征能够回答诸如以下问题：1、 日记账凭证是给暂记账户留有入口，而且没有在规定的时间内进行清除？2、 日记账凭证是否给不正常的关联账户留有入口？3、 受影响的账户是否可能会是诸如人工操纵收益之类的舞弊？4、 日记账凭证的数量和类型与往年相比是否有异常？5、 个体之间登录系统时是否做到了职责分离？6、 我们是否应该提高或降低测试的标准？7、 财务比率是否与公司的期望相符？8、 近几年的收益趋势如何？这些趋势与公司的期望（peer）以及总体的经济环境如何匹配？连续审计帮助审计师评价管理层的监控功能的充分性。这让首席审计师能给审计委员会和高级管理层提供对控制系统运行的有效性作出保证，以及审计程序在识别和指出任何侵害中发挥作用。连续审计还识别和评估风险领域，给审计师提供信息，审计师通过与管理层的沟通能够帮助管理层减轻风险。此外，他能够用于帮助制定年度审计计划，以将审计关注点和资源转向高风险领域。然而，连续审计最重要的优势之一在于它独立于所审计的业务和财务系统和管理层实施的监控。这能改善组织的管理和控制框架，并提供一个审计师能够用来支持他们的独立评价和评估行为的机制。连续审计还面临着一些挑战。这些技术需要被理解和控制。内部审计师必须能够访问数据、软件工具和技术，以及拥有能够智能使用他们手头所掌握的大量的公司财务和非财务信息的必要知识。连续审计带来的机遇也对审计师和首席审计师提出了要求。第三部分 需要澄清的一些关键概念和术语已经采取了各种尝试来鼓励审计师更好地使用电子信息，以改进内部审计行为的效率和效果。最近，多种术语已经被用于这些尝试，同时也导致了职业界认识上的混乱。没有一个清晰的、通用的术语，那么将会很难提升这些尝试，成功的可能性也会减少。因此，实施连续审计首先要做的就是给定和传播所有相关术语的清晰的定义。理解与连续审计相关的术语的关键在于理解控制和风险是一个问题的两个方面。控制的存在是为了帮助降低风险；识别控制缺陷能凸显潜在的风险领域。相反，通过检查风险，审计师能够识别哪些地方需要控制和（和）控制没有发生作用。尽管对控制和风险的评估通常包含定量分析也包含定性分析，但是最大化的效率获取是来自于最大化地利用技术。对审计师的挑战是确保数据的利用和通用性，理解相关的业务流程和系统，最大化地运用自动化。所以，这份全球审计技术指南关注的是支撑持续审计的技术辅助程序。保证可以认为是第三方对事件状态的意见，这个事件是关于一个特定的交易、业务或治理流程、风险或整个业务流程中的财务绩效的。审计保证是对控制的充分性和有效性，信息的完整性作出的声明。管理层实施的持续控制监控是有效保证策略的核心部分，但是，审计师仍然必须确保管理层的行为是充分的和有效的。连续保证的框架是联结内部审计师的独立性评价行为：控制的状态、组织内部的风险管理、评估管理监控功能的充分性。图2：连续保证的框架连续保证连续控制评估连续风险评估对连续监控的评估首席审计师必须保证所有的审计师、高级经理和审计委员会理解内部审计行为和管理层在使连续保证方程有效的角色和责任。以下的定义可能提供了额外的视角：1、连续审计是审计师为了在一个更持续、更频繁的基础上实施与审计相关的行为所采取的任何方法。它是一系列行为的联合体，这些行为从连续控制评估延伸到连续风险评估。连续风险评估是关于控制风险联合体的所有行为。技术在识别例外和（或）异常、分析关键数据字段的模式、趋势分析、从开始到结束的明细交易分析、控制测试和将组织的程序或系统根据不同的时点比较或与其他类似的单位比较等方面发挥着关键作用。2、连续控制评估是审计师采取的准备用来进行与内部控制相关的保证的行为。通过连续控制评估，通过识别控制缺陷和侵害，审计师给审计委员会和高层经理提供关于控制是否正在恰当运行的保证。单个的交易是通过一系列的控制规则来进行监控的，以提供关于系统内部控制的保证，并强调例外情况。一系列定义良好的控制规则在控制程序或系统没有按期望运行或受到威胁时能够及早地提供警告。内部审计需要执行连续控制评估行为的范围取决于管理层履行其关于连续监控的责任的程度。一个强有力的管理监控系统将减少审计师必须执行以对控制提供保证的详细测试数量。3、连续风险评估是审计师用来识别和评估风险水平的行为。连续风险评估通过检查趋势和比较（在单个程序或系统里，与之过去的表现相比较，与企业内的其他的程序或系统相比）来识别和评估风险水平。例如，生产线的表现可以和先前年度的结果相比较，就像是将一个企业的绩效与所有的其他企业相比较一样。这种比较能够较早地警示某个程序或系统（审计主体）的风险水平高于以前年度或其他主体。审计的反应也因风险的特征和水平而异。连续风险评估能应用于大范围的审计领域，来选择访问点，来识别排除包含在审计计划中的特定的审计或单位，或触发对某个风险增加但缺乏足够解释的单位的审计。它也能够用来评价管理行为，来检查审计建议是否得到合理的贯彻，经营风险水平是否正在减少。4、连续监控是管理层为了确保政策、程序和业务流程能够有效运行而实施的一项程序。管理层识别关键控制点和实施自动化的测试来决定这些控制是否恰当运行。典型的持续监控程序包括在给定的经营流程领域内，借助一组控制规则，自动测试所有的交易和系统行为。监控通常是按天、周或月进行，这取决于当前的业务循环的特征。取决于特殊的控制规则和相关测试和初始参数，某些交易被标记为控制例外事项，且告知管理层。管理层监控也可能依靠关键绩效指标和其他绩效评价行为。对监控警报和提示作出回应并立即修补控制缺陷和改正问题交易是管理层的责任。一、连续审计的连续系统连续审计帮助审计师识别和评估风险，还在组织中建立智能和动态阀值来回应变化。它也支持整个审计范围的风险识别和评估，帮助制定年度审计计划，以及确定某项特定审计的审计目标。因此，连续审计在很多层面上可以视为一个连续系统。同时，连续系统中的不同位置更加适合不同的工作，在连续系统中当你执行不同的任务时还可能超过一个位置。对连续审计的关注从控制基础到风险基础（见图3）；分析性技术从对明细交易的实时评价到对整个单位进行趋势分析以及与其他单位进行比较分析，并且随着时间进行。图3：连续审计的连续系统连续审计连续控制评估连续风险评估方法控制基础 风险基础（保证控制正在运行）（识别/评估风险）财务控制 财务/运营控制关注点实时/详细交易测试（财务数据）趋势/比较（财务/运营数据）分析技术控制保证 财务鉴证 舞弊/浪费/滥用 审计范围和目标 追踪审计记录 年度审计计划相关审计行为控制监控 业绩监控 平衡计分卡 全面质量管理 企业风险管理相关管理行为注1：在这个连续系统的“控制”结尾，相关审计行为包括保证和财务鉴证审计。注2：连续系统的另一个结尾的审计行为包括通过风险评估支持审计项目来识别舞弊、浪费和滥用，并提交年度审计报告。注3：相关管理层行为包括连续控制监控，绩效监控，平衡计分卡，全面质量管理和企业风险管理。连续审计是一个统一能够带来控制保证、风险评估、审计计划、数据分析以及其他审计工具、技术和科技结合在一起的统一结构或框架。它支持微观审计事项，例如明细交易测试来评价控制的有效性；宏观审计方面，通过风险识别和评估来准备年度审计计划。它也能满足中观层面的需求，例如为个别审计开发审计项目。微观审计和宏观审计两个层次的主要区别在于两者信息需求的粒度不同：1、控制测试需要细节信息：需要深入交易的源头层次。连续控制评估使用仔细制定的规则和实时的或接近实时的，测试交易对这些规则的遵循情况。2、个别审计通常开始于年度审计计划中的风险识别，但使用更多的数据分析和其他技术（如访问，自我控制评估，实地观察walkthrough，调查问卷）来进一步定义风险的主要领域和风险评估的关注点和后续的审计行为。3、年度审计计划需要高层次的信息，可能是几年的价值数据，来建立风险因素，并将风险排序，设置审计计划开始的时间和目标。第四部分 连续审计与连续保证和连续监控的关系一、连续保证前文已提到，保证被描述为第三方对事件状态的意见。它通常包括三个方面：1、准备信息的个人或团体。2、使用这些信息来进行决策的个人或团体。3、客观存在的第三方。通常，保证被视为一项严格的审计相关行为，通常具有财务方面的特征。但是其他的，诸如法律界也提供保证服务。审计保证是对控制的充分性和有效性以及信息的完整性发表意见。管理层对控制的连续监控是有效保证策略的核心，但是，审计行为还必须保证管理层行为是充分和有效的。内部审计通过客观检查所获取的证据以提供对风险管理策略和实践，管理控制框架和实践，用于决策和报告的信息的保证服务。连续保证服务能够在审计师执行连续控制和风险评估（如连续审计）和评价管理层实施的连续监控行为的充分性时提供。审计师检查管理层的行为，证实控制都在运行，提出改进建议，确保风险正在被控制。如果审计师在执行诸如检查和证实控制和风险，确保管理层正在进行监控工作，那么组织将有一个对控制正在运行，风险正被控制，用于决策的信息具有完整性的高层次的保证。管理层在这个保证方程（assurance equation）中起着开发、设计和监控控制和控制风险的作用。二、连续监控连续监控是管理层设置的用于确保政策、程序和经营流程都在有效运行的程序。评价控制的充分性和有效性通常是管理层的责任。许多管理层使用的用于对控制的连续监控技术与内部审计师进行连续审计所用技术类似。连续监控的原则比较简单，它包含以下几个方面：1、在一个给定的经营流程中定义控制点，如果可能的话可参照COSO的企业风险管理框架。2、对每个控制点识别控制目标和保证声明。3、建立一系列的自动化的测试，以指出某项交易是否没有遵循所有的相关控制目标和保证声明。4、在接近交易发生的同时，将所有的交易进行测试。5、调查没有通过控制测试的所有交易。6、如果合适的话，可以更正这项交易。7、如果合适的话，更正控制薄弱环节。连续监控的关键是这些程序必须由管理层掌控并由管理层来执行，因为实施和保持有效控制系统是其职责的一部分。既然管理层对内部控制负有责任，那么它就必须有一个连续的决定控制是否按设计在运行的方法。通过实时地识别和更正控制的问题，整个的控制系统将得以改善。组织得到的一个典型的额外的好处是错误和舞弊显著减少，经营的效率得到了提高，通过成本的减少和过度支付（overpayment）和收入泄漏的减少，从而使线下项目的结果得以改善。三、连续审计管理层监控和风险管理行为的充分性与审计师必须执行对内部控制的详细测试和风险评估的程度，它们之间存在这一个反比的关系。连续审计运用的方法和工作量取决于管理层实施的连续监控行为的程度。图4：反比关系：管理层付出的努力水平与审计行为对内部控制的完全监控对内部控制的少量监控减少工作量显著的努力/更多的资源审计工作量管理层反应在管理层还没有实施连续监控的地方，审计师必须借助连续审计技术进行详细测试。在某些情况下，审计师甚至可能主动来帮助组织建立风险管理和控制评估程序（见国际内部审计协会实务报告2100-4：审计师在一个没有风险管理程序组织中的作用）。但是，要注意的是审计师对这些程序中并不拥有所有者权，因为这会损害审计师的独立性和客观性。图5：连续审计、监控和保证（概念框架）连续保证连续审计和连续监控程序的结果连续监控审计测试连续审计审计连续监控管理行为、交易和事件经营系统和流程管理层全面地在经营流程领域中从头到尾地实施连续监控，内部审计师就无需执行同样的详细测试来进行连续审计。但是，审计师必须执行其他的程序来决定他们是否可以依赖这个连续监控程序。这些程序包括：1、评价侦测到的异常和管理层的反应。2、评价和测试连续监控程序本身的控制，例如： （1）处理日志/审计轨迹 （2）调节总额控制（control total reconciliations） （3）系统测试参数的变化通常，这些程序与那些在正常审计程序中为确保计算机辅助审计技术被正确应用的质量控制测试是相似的。通过结合评价监控和连续审计程序，审计师能够提供关于内部控制有效性的保证。第五部分 连续审计的应用领域对内部审计部门而言所面临的压力是以较少的资源做更多的事情。也许最困难的挑战来自于审计师必须对内部控制的有效性及时作出保证，更好地识别和评估风险水平，快速找出没有遵循相关法规和政策的事项。这些就是连续审计可以应用的领域。适用技术，从电子表格软件或脚本开发使用特种审计软件（scripts developed using audit-specific software）到商品化的专业解决方案软件包或客户自行开发的系统。这些选择的解决方案必须是灵活的可升级的，允许审计师从某个特定的领域开始，然后扩大范围、规模和分析的频率。尽管一些法定审计需要每年进行一次，但是每年严格执行这些审计已不能满足管理和法规的需要。内部审计行为必须应用风险评估和进行控制保证行为。虽然需要更加关注财务方面的审计，连续审计支持所有类型和领域的审计行为。欧洲联邦内部审计机构（ECIIA）在2005年意见书欧洲内部审计中，鼓励内部审计师通过给管理层提供的关于风险已经被识别并且得到恰当的控制的保证，对组织面临的风险作出反应。审计师不仅必须能够评价财务风险，而且要能够评价运营风险和策略风险。这是持续审计所关注的新领域。用于测试控制的信息访问技术和技术技能也能够帮助首席审计师通过支持持续的评价企业风险管理有效性的评价行为和对一些警告提出改进建议，从而给管理层提供价值无法估量的帮助， 首席审计师通过给高层管理员工提供独立的风险和控制评估来支持其监控职能。连续审计有一系列的功能来支持审计行为，首席审计师，通过以下的适用方法和服务，包括：1、风险管理策略和实践：通过及早识别风险。2、管理控制框架的可靠性：通过找出控制薄弱环节。3、用于决策的信息：通过检查管理者使用的信息的可靠性和可获取性。4、包含在年度审计计划中审计项目的选择：通过识别更高风险领域。5、实施有效的和及时的改正行为：通过检验审计建议的执行情况。首席审计师必须认识到许多的管理行为与连续审计有很强的联系，例如整合风险管理、平衡计分卡、连续改进、连续监控。审计必须决定那些地方适合连续审计，它如何能用于评估这些管理措施行为或者利用它们所产生的信息。实施连续审计框架的期望好处包括：1、增加减轻风险的能力。2、减少评估内部控制的成本。3、增加对财务结果的信心。4、财务运营的改善。5、减少财务错误和潜在的舞弊。此外，完全运用了连续审计的组织，通常会报告运营成本的减少和边际利润的增加。一、应用于连续控制评估（一）识别控制缺陷由于新的法规需要高层管理者证明控制环境的有效性，以及财务报告中所含信息的精确性，首席执行官和首席财务官开始内部审计行为来辅助遵循这些法规。尽管管理层对监控、设计和维持控制负有责任以备广泛认可，国际内部审计准则2120号，A1节指出内部审计行为“应该通过评价内部控制的有效性和效率性，以及促进持续改进来辅助组织保持有效的控制”。由于这些外部和内部的压力，特别是在一些管理层没有恰当发挥其监控角色的作用，审计师通常需要执行一个更加全面的评估和提供更加连续的控制评估。这对内部审计流程和方法有显著的影响。连续控制评估给让首席审计师清楚地看到内部控制系统的有效性。反过来，给财务经理，经营流程管理这和风险及遵循经理提供对内部控制的独立的和及时的保证。对关于内部控制交易数据的连续控制评估能够迅速找出错误和异常，将它们报告给管理层，以及时进行检查和采取行动。它也能对财务和运营信息的可靠性和完整性，营运的效率和效果起作用。连续控制评估还能够对连续的风险评估和管理层减轻风险的行为起作用。控制和风险的评估是相互补充、相互支持。以下的一个关于内部审计中应用连续控制评估在财务控制、系统控制和安全控制等三个领域来支持管理层监控功能。（二）财务控制：以采购卡项目为例一个全国性的采购卡管理员手工操作，每个季度只能对交易的极小样本进行评价。审计师决定管理层的对于采购的控制是薄弱的，那么暴露出来的风险是否相当的高。在评价采购卡使用的政策后，审计师进行一系列的分析测试来识别：1、不恰当的采购卡使用，包括与旅行支出有关的交易。2、用于个人项目的支付（如珠宝、酒，等等）。3、可疑交易（如未经授权的持卡人使用，销售商重复刷卡，分次付款以避免超过财务限额，等等）。分析的结果将提交给持卡者的经理，以对这些可疑交易进行详细审查将采购卡的支出与商品采购相匹配。这识别出许多的不恰当的采购和以上三种类型的舞弊。在审计完成后，连续控制评估应用测试就转向采购卡协调员，来帮助运营经理每个月对采购卡控制的监控。（三）系统控制：以职责分离为例连续控制评估测试也能够用来证实系统是否按期望值在起作用。使用分析技术，测试程序能够比较个别交易和规则基础标准，对所有的交易进行评价以确保个体没有执行不相容的职责。在一个组织内，新实施一个ERP系统，目的是用自动控制替代手工控制来确保职责的分离。ERP项目小组，通过业主的投入，开发一系列基于使用者角色的特色配置，这就允许使用者能够根据自己的工作职责来处理各式各样的业务。尽管审计师相信在开发基于角色的特色配置中的方法和程序，他们关心实际分配给使用者的特色配置，然后对交易进行详细检查，以检查哪些些地方职责分离没有得到保持。审计师抽出当年第一季度的所有处理的交易，然后利用数据分析技术来计算每个使用者处理过的交易（通过交易类型）。这发现两个使用者首先建立采购安排，然后记录相同采购安排的货物接受交易。结果表明在基于角色的特色配置的设计中职责分离控制是薄弱的，因为这些是被视为不相容的职责。由于ERP系统经历了额外的变化例如，增加新的角色和改变现有角色运行连续控制评估测试来证明没有违反职责分离的情况。（四）安全控制：以系统登录日志为例连续控制评估能够测试安全控制，证明所有的系统使用者都是有效的员工，防止有企图者侵入系统。在另一个组织的例子中，每周系统登录日志被抽取出来，然后送交内部审计部门。审计师抽取相关信息并将每个使用者与当前的员工管理文件相匹配。所有的非员工使用者被标记出来，然后一封邮件将自动发送给系统安全部门，让其废除该使用者的身份（ID）。此外，测试还检查失败的登录日志。通过检查发现一例在早上三点一个使用者ID有25次通过拨号登录失败。审计师通过这份报告来证明将登录参数改为在诸如这类使用者的ID在尝试登录失败3次后将此ID锁定是正确的。连续控制评估的潜在使用事实上是无限的。无论哪里暴露出问题，内部审计师都能够进行一项测试或一系列的分析程序来搜索某人试图利用控制缺口或薄弱环节的证据。在某些情况下，控制暴露出来的问题，包括潜在的舞弊、浪费和滥用。这些测试的频率和时间取决于潜在的经营风险和控制框架和管理监控功能的充分性。（五）舞弊、浪费和滥用国际内部审计准则1210号第A2节要求审计师对舞弊的信号拥有足够的知识。第A3节也需要审计师对关键信息技术风险、控制和可利用技术来开展他们工作的知识。使用技术来支持连续控制评估能够帮助审计师检查详细交易，也包括汇总数据，识别异常和其他的舞弊、浪费和滥用信号。例如，利用数据分析技术，审计师能够容易识别那些地方超越了合约的授权（如合约超过了给个人规定的合同限额）和被逃避（avoid）（如撕毁合约）。在工薪领域，它能够被用来识别薪水册上的员工非员工数据库中的员工或者识别薪金中的不正常比率。由于舞弊很大程度上是一种机会主义的犯罪，控制缺口和薄弱环节必须被找出来，如果可能的话，甚至消除它或者减少它。广泛应用的审计指南和准则已直接地提到了对这种暴露问题的关注。例如，国际内部审计准则实务公告1210号第A2-1节：识别舞弊，第A2-2节：舞弊侦测的责任，需要审计师对可能的舞弊拥有充分的知识以识别它们的征兆。审计师必须意识到它会出什么问题，它怎么能出问题以及谁会牵涉其中。美国注册会计师协会颁布的审计标准的公告第99号（SAS No.99）“考虑财务报告审计中的舞弊”也是出台来帮助审计师侦测舞弊的。它比SAS No.82更进一步，它包含的新的规定包括：1、集体讨论舞弊的风险。2、强调增加职业怀疑。3、确保管理者意识到舞弊。4、使用各种分析程序。5、侦测管理层践踏内部控制的情况。它也定义了舞弊财务报表和盗窃的风险因素，这能够被用来作为评估舞弊财务报告风险的模型。在SAS No.99 中列出来的风险因素包括：管理层状况、竞争和经营环境、运营和财务的稳定性。（六）结论和建议连续控制评估技术可能类似于管理层实施的连续监控技术。在内部审计师可以依赖管理层实施的连续监控的地方，而无需采用相同层次的细节连续控制评估技术。取而代之的是，审计师能够关注执行其他的程序来提供连续的关于管理层的连续监控程序的保证。但是，当管理层监控不充分时，审计师应该借助连续控制评估技术来执行详细测试以评价控制的充分性。通过智能运用分析技术，审计师能够评估内部控制框架的充分性，给审计委员会和高层经理提供独立的保证。连续控制评估并不需要在实时运行。分析的频率取决于风险水平和管理层监控控制的程度。例如，采购卡分析可能每月运行一次在信用卡公司收到采购卡交易时进行。薪金可以在每个付款周期使用，在支票出具之前进行。对发票副本（duplicate invoice）的测试可以每天进行。在某些情况下，审计师可能执行初始的控制测试，然后将连续监控移交给管理层。额外的应用连续控制评估的例子包括：1、检查交易数据：如标记所有的严重超出采购卡的限额，包含有禁止采购商品的采购卡花费。2、检查汇总数据：如当月的持卡者消费汇总超过$10.000的情况和持卡人不在采购部门中的情况。3、借助比较分析：如汇总加班报酬然后与所有的其他在相同工种和层次的员工相比，以识别潜在的滥用加班（过量的、未经授权的，等等）。4、测试总分类账户总发生额：如找出那些与上年相比金额超过25的账户，识别不正常的行为，如销账的增加。在所有的情况下，审计师能够快速检查所有的详细交易来发现原因，然后快速地、容易地执行所需的后续工作。二、应用于连续风险评估管理层负有开发和维持一个系统来识别和减轻风险的责任，国际内部审计准则2110号指出，审计师应该通过识别和评估重大的暴露在风险下的项目来帮助组织，并在改进风险管理和控制系统中发挥作用。国际内部审计准则2010号鼓励首席审计师建立风险基础的计划来决定内部审计行为的优先次序，以与组织的目标相一致。这两项行为是相关的，审计师能够利用连续风险评估来识别和评估风险水平的变化。这允许他们评估管理层的减轻风险行为，支持制定个别审计目标和年度审计计划。连续风险评估能够连续地用