www.glzl8.com商业和法规环境,以及出台的审计准则,驱使审计师和管理层更加有效地利用信息和数据分析技术,作为连续审计和连续监控的可行基本因素之一。
三、内部审计和管理层的角色
管理层对评价风险和设计、实施、连续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由管理层实施的组织的风险管理系统和控制的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和控制系统,以及在诸如萨班斯法案等法规下,就管理层关心的控制状况的可靠性提供保证。理想的情况是,内部审计不是控制监控流程的一部分,并且没有设计或维护这些控制,从而能够使他们的独立性得以保持。
尽管对内部控制的监控是一种管理职能,内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。管理层事先执行的监控水平将直接影响审计师实施连续审计。在管理层已经对某项内部控制进行连续监控的情况下,在连续审计时,相同层次的详细交易测试就无需再进行。取而代之的是,审计师能够关注审计程序,来决定管理层监控程序有效性,借助这种测试的结果来调整范围、数字和审计测试的频率。
四、连续审计的作用
连续审计的作用依赖于对对内部控制的连续性测试的智能性和有效性,及时提示控制缺口和薄弱环节存在的风险,并允许立即的追踪和进行补救。通过改变他们的审计方式,审计师将能够更好地理解经营环境和公司风险以支持遵循和提高经营绩效。
www.glzl8.com五、实施的问题
首席审计师必须认识到连续审计将改变审计模式,包括证据的特征、时间、程序和内部审计师所需的努力水平。这将给审计部门提出要求,尤其是他们必须:
1、
获得和促成审计委员会和高级管理层支持这个概念并实施连续
审计。 2、
开发和保持技术方面的能力,以保证访问、操作和分析包含在相
互分离系统中数据的能力。 3、
使用(或实施)数据分析技术来支持审计项目,包括使用合适的
分析软件工具,开发和维护数据分析技术,以及审计组中的专家。 4、 5、
发起、促进和鼓励管理层对连续审计的支持。
保证连续审计被采用作为风险导向审计计划中完整的、相容的一
部分。 6、
管理和回应连续审计的结果,决定合适的使用、跟踪和报告机制。
首席审计师将必须确保对审计发现报告的问题管理层已经采取合适的行动,连续审计的结果在管理层的评价时要被考虑到,这些评价包括内部控制的监控,业绩评价和企业风险管理。
这份国际内部审计师协会(IIA)的全球技术审计指南(GTAG)确定了那些必须要做,以有效利用技术来支持连续审计,突出需要进一步关注的领域。通过阅读和遵照下面列出的步骤,内部审计师应该处于一个更好的位臵来利用技术和最大化他们的投资回报,同时也要向管理层证明进行适当的技术投资的必要性——不仅对影响他们组织的法规遵循的需要起作
www.glzl8.com用,而且对整个组织的健康和竞争力起作用。
第二部分 导言
这份全球技术审计指南将着重连续审计的技术可行性方面,并且将介绍: 1、 2、
过去30年间使用的类似概念的历史和背景。
相关的术语和技术的定义:连续审计,连续性风险评估,连续性
控制评估,连续监控,连续性鉴证。 3、 4、 5、 6、 7、
自1980年以来,许多的名词与实时或接近实时地提供连续审计程序的概念有关系,包括:连续监控、连续控制评估、连续审计。这份全球审计指南首先统一使用“连续审计”的概念。它论述了作为连续审计的主要组成部分的连续控制评估和连续风险评估。这份指南将监控行为视为管理层的责任,同时还论述了审计和监控的内在联系,以及内部审计师在他们的角色中如何提供额外的保证来支持管理。
当前最显著的一个连续审计的推动力就是高昂的法规遵循成本。在美国,一份2005年3月份的国际财务执行官组织调查发现,每个组织的萨班
连续审计与连续监控的关系。
连续审计能在内部审计行为中应用的领域。 与连续审计有关的挑战和机遇。
对内部审计和首席审计师以及管理的影响。 一个连续审计自我评估工具。
www.glzl8.com斯法案的平均遵循成本超过了四百万美元。由于绝大部分成本都与手工的、员工密集型(内部资源和外部顾问的使用)有关。那么我们对2005年1月份AMR研究机构所作的研究发现关键技术能够用来减少的遵循成本超过25%就不会感到奇怪了。
遵循的压力迫使组织改进他们对内部控制进行连续评价的方法。在这种情况下,美国证券交易委员会指出,“管理层和审计师必须运用合理的判断,在(萨班斯法案404条款)遵循流程中运用严密的(TOP-DOWN)、风险基础的方法”。这就导致了对连续监控(由管理层实施)和连续审计的关注不断增加。支持一套完整的审计行为,连续审计不仅帮助支持对控制的保证,还包括风险评估,识别舞弊、浪费和滥用,审计计划,跟踪审计建议等审计行为。
一、连续审计:一个简史
自动控制测试开始于20世纪60年代,当时是通过安装和执行内嵌审计模块(EAMs)来实现的。但是,这些模块难以建立和维护,而且只是在相关的少数组织中使用。在20世纪70年代后期,审计师开始离弃这种方法。到了20世纪80年代,审计职业中有些人开始接受并使用计算机辅助审计工具和技术(CAATTs)用于特殊的调查和分析。与此同时,连续监控的概念首先是通过大量的学术文章介绍给审计师的。最基本的优点就是使用连续的自动化的数据分析将帮助审计师识别风险最高的领域,并作为决定他们的审计计划的先导。但是,在很大程度上,审计师们并没有对这种审计方法做好准备。他们缺乏容易访问的合适软件工具,以及技术资源和专家来克服数据访问的挑战,最重要的是,组织将是否支持这种新的与传
www.glzl8.com统审计方法很不一致的审计方式和方法。
在20世纪90年代,在全球审计职业界内,开始大范围的不断地接受数据分析解决方案,这些解决方案被视为支持有效进行内部控制测试的关键工具。这些技术用于检查交易中某些发生的事件,这些事件是由于某项控制不存在或没有适当地执行。它也能够识别与控制标准不符的交易。此外,数据分析支持不是直接从交易数据中获取证据的控制测试。例如,企业资源管理计划(ERP)访问和授权表格能够用来分析保持适当的职责分离是否失效。但是,尽管有这些技术基础,传统审计程序通常依赖于典型的样本,而不是对总体进行评价,并且是在经营(交易)行为发生一些时间后进行分析的。所以,风险和控制问题有大量的机会升级,并对经营绩效产生消极的影响。
二、当今的审计环境
今天,经营环境中信息系统功能的普及使得审计师能够更加容易地访问更加相关的信息,同时也包括对大量增加的数据和交易的管理和评价。
此外,经营的快节奏要求提升对控制问题识别和反应。在美国像萨班斯法案的404条款之类的法规要求及时披露控制的缺陷,管理层要对内部控制框架充分性作出保证。这些法规遵循的紧迫性、连续审计准则、审计软件的功能提升,既促使而且能够让审计师采纳新的方法来评估信息和评价控制。
首席审计师必须给高层管理者提供对内部控制的健康运行和组织内的风险水平作出连续的评价,而不是简单的周期性的评价。今天的内部审计师不仅仅是对控制进行审计,他们还关注公司的风险特征,而且在识别风