www.glzl8.com(九)访问数据
要有效使用连续审计,来进行连续分析和跟踪审计结论,那么,访问电子格式的数据将是必需的。访问方法取决于连续审计设臵的目标,还必须考虑诸如数据量,网络通讯,系统执行情况等因素。首席审计师还将需要确定已经获取的合适的访问权利。因为主机和客户/服务器系统,安全调查(security-cleared)、只读形式的访问是必需的。 连续审计通常需要结合以下几种访问方法:
1、在业务系统中内嵌连续审计软件来处理适当位臵的数据。 2、获取独立的访问系统数据文件,不是使用应用软件,通过连续审计软件来抽取和准备要使用的数据。
3、复制标准报告并保存电子形式的报告以备将来分析。 4、由报告撰写人提出疑问和出具报告。
5、获取客户系统的物理的和逻辑的访问权限,给一个使用者采用只读形式的访问权限。
联合使用这些访问方法能够让审计师以及时的方式进行连续审计,识别和报告突出交易(high lightened transaction)。它应该也允许审计师通过类似参数来容易识别交易,然后跟踪标记的交易。
访问和使用几乎任何数据源的数据需要较好地理解记录格式。这里存在这一些文件在访问和传递数据时可能有用。不仅在宏观方面理解数据文件结构重要——例如,一个平面文件,一个限定文件(delimited file),或者一些关系型数据库,也包括字段层次上的。一个记录格式包含着记录是如何定义结构的,哪些字段存储在数据文件中。在对分析的软件包的数据
www.glzl8.com定义时作为参考,提供关于字段名称、数据类型、字段宽度、小数位方面的信息。
在连续审计能够开始前,数据文件必须能够被审计师访问。这通常需要将业务系统中的数据导入到审计师的计算机中。现在,有很多种方法能够完成这项导入。与业务系统的所有者讨论可以帮助审计师决定导入方式和最适合连续审计的数据文件格式。 (十)建立审计技术技能和知识
国际内部审计准则第1210号要求内部审计收集证据必须拥有或者获取执行他们的任务时所需的知识、技能和其他胜任工作所需的能力。第一份全球技术审计指南,是关于信息技术控制的,当中指出“不同层次的IT知识需要贯穿于组织的始终,以提供系统的、原则性的方法来评价和改进风险管理、控制和治理流程的效率。关于IT如何应用的知识,相关的风险和将使用IT技能作为执行审计工作的基础对审计师在各个层次有效进行审计都是必要的。”
加拿大注册会计师协会(CICA)和美国注册会计师协会(AICPA)的关于连续审计的研究报告也提到对IT和审计业务的高度熟练对所有审计师而言是必不可少的。因此,审计部门必须进行适当的培训和知识渊博、具有特定技能的员工来支持连续审计。尤其是,审计师开发和维护连续审计应用软件,需要对被正在监控的受访系统、当前处理交易的系统和功能有较强的了解。
在初始阶段,参数的敏感性、分析的充分性和其他的可能导致大量的交易被连续审计标记的因素,这应该被预料到。由于控制的改善,分析的优
www.glzl8.com化,连续审计的成熟,从而减少跟踪审计结果的工作量。
连续审计的初始结果可能也容易在解释数据或结果方面出错。通常是因为缺乏对业务系统和执行测试特征的理解和熟悉。审计师必须对当前信息系统及其中的数据有一个全面的了解。在报告前理解被检查的数据是成功执行连续审计的关键。对数据所表述的东西的错误理解将不可避免地导致错误的结论,从而错误地识别并不存在的关键控制缺陷和薄弱环节。在对数据(和确保它们的精确性和完整性)的理解上所费的时间和工作的功夫将帮助审计师实施一个精确的分析。这些可以通过以下方面: 1、评价关键的数据字段和数据元素。
2、评价应用于这些数据的功能程序所建立的元数据。
3、确定数据的时效(信息是否是当前的?它多久更新一次?最后一次是什么时候更新的?)
4、决定这些信息是否完整和精确。 5、验证审计师对系统程序的假设和分析。
6、通过执行各种测试,例如合理性、编辑检查、与其它数据源比较,包括事先的调查或审计报告(如句法、语法和数据的完整性),来验证数据的完整性。
给定以上这些,所有的审计师都是对本地和公司应用软件信息关注的潜在群体,沟通是理解这个信息源的关键环节。从正式渠道和其他渠道所获取的知识也要被分享。审计部门应该制定诸如内部网或组件之类的机制,来确保所有的审计师能够访问信息系统和相关的文件。 (十一)确保数据的完整性
www.glzl8.com数据的完整性对平滑地实施连续审计技术非常重要。审计师不仅必须确保他们分析的完整性,还包括数据和他们对结果解释的完整性。在起初,审计师将必须执行对业务系统数据完整性的评估。但是,如何检查以及检查数据要达到什么程度的完整性?怎样多才算太多(如过度审计)和什么时候是不够的(如审计不足)?要回答这些问题,需要评估错误结论的后果,决定所必须的用于减少审计风险到一个可接受水平所需的测试和核对工作的数量。
(十二)考虑数据的使用
现在关键的业务系统已经识别出来了,数据获取了,完整性也验证了,审计师现在应该考虑如何使用这些数据。连续审计的功能之一就是从跨组织的各种系统中抽取数据,然后将这些数据结合起来以备后续的跨平台分析使用。例如,一个组织可能要求所有的超过5000美元的采购都要提交采购单。但是,采购和发票数据可能存放在完全分离的系统里面。连续审计系统能够通过连接采购和发票数据来识别超过5000美元的发票(这些发票都没有相应的采购单记录),来测试这些控制。要将分离系统的数据连接起来通常需要进行数据清理来除去有完整性问题的交易,修改数据的格式等等。审计软件特别适合清理从不同系统中获取的数据,使它更加适合审计工作。例如,如果一个系统捕获了员工识别编号,这些编号的格式是XXX-XXX-XXX,而其他的格式是XX-XXXX-XXX,审计软件能够快速建立一种通用的格式。
二、连续控制和风险评估的关系
连续“控制-风险”统一体的一个关键要素是双方的数据都能够自由流
www.glzl8.com动。审计师执行连续风险评估不仅应支持管理层的企业风险管理行为,而且也要使用风险评估的结果来进行连续控制评估。国际内部审计准则2120第A1节指出:
基于风险评估的结果,内部审计行为应该评价包含公司治理、运营和信息系统的控制的充分性和有效性。
毫无疑问,风险水平的增加能够容易地指出控制缺陷或者控制根本就不存在。相反,在检查风险水平的时候,应该考虑识别控制缺陷。这并不意味着增加的风险需要额外的控制或者控制缺陷必然增加审计风险。但是,从其中一个评估获取的结果应该用于另一个的评估。
图7:控制评估和风险评估的联系
对控制的评估 结果 结果 对风险的评估
审计行为和首席审计师能够通过以下方面显著增加价值: 1、评价关键控制系统和风险管理流程。 2、评价管理层的风险评估和内部控制的有效性。 3、提供关于控制框架和降低风险策略的设计建议。 (一)连续控制评估
财务报告环节和商业经营程序中的控制的重要性不能过分夸大。经营程序的完整性依赖于控制的遵循、效率和效果。控制必须保证保密性、完整性、有效性和信息的可靠性。审计师在提供连续评估来证明这些控制是否有效时必须不断提高警惕。