www.glzl8.com险领域来改善风险管理流程中发挥关键作用。但是,如果他们不完全理解经营流程和相关风险,审计师只能仅仅执行传统的审计核查工作。连续审计给审计师提供了一个超脱传统审计方式的局限、样本的限制、撰写标准公告、实时评价的机会,连续审计的关键部分是能够在接近经营行为发生或者在经营行为发生的同时对交易进行评价的连续审计模型。
就像将第四部分中要详细讨论的一样,影响内部审计师应用连续审计方式的一个关键因素是管理层已经实施了用于连续控制监控和识别控制缺陷和风险指标的系统的程度。
连续审计测量某些关键特征,一旦某项参数符合,将会触发审计师采取某种行为。在连续审计条件下,这里有两种主要的行为: 1、 2、
连续控制评估:使审计师能够尽早关注控制的缺陷。 连续风险评估:突出正在遭受比期望风险更高的程序或系统。
连续审计的行为的频率取决于程序或系统的固有风险。此外,它可以从检查关键的控制和风险领域着手,在审计师获得经验和能够获取与遵循、经营效率和效果、财务报告的公允性等方面的可测量结果时,然后扩大连续审计应用领域的范围。
三、COSO的企业风险管理(ERM)框架
Treadway委员会下属的发起组织委员会(COSO)发布的企业风险管理——整合框架鼓励内部审计师行为向管理层经营方式靠拢:控制环境、风险评估、信息与沟通、风险监控。COSO的ERM框架是原来的COSO内部控制框架的扩展。它增加了对内部控制的关注,并且对企业风险管理(ERM)进行了更加充分的广泛的论述。它的四个目标——策略、运营、报告和遵
www.glzl8.com循,给内部审计师增加了评价内部控制系统、识别和评估风险的压力。要完成这些任务,内部审计必须改变它的传统的角色,向关注公司目标、策略、风险管理和业务流程、关键控制行为转变。
连续审计关注的不单单是对控制和法规的遵循,而更注重改进组织的经营效率。连续审计同时还必须通过识别和评估风险以及给管理层提供信息对整个组织的改进作出贡献,以更好地适应变化的商业环境。它将在所有的COSO企业风险管理组成部分方面给内部审计以帮助。 1、
内部环境和目标设臵:通过正式确定连续审计的目标和内部审计
的角色。 2、
事项识别:通过开发一个系统来识别和报告事项以及应对这些威
胁和机遇的程序。 3、
风险评估:通过分析和评估风险,考虑可能性和影响,从而给决
定如何管理风险提供基础。 4、
风险反应:通过考虑风险的种类和关键行为,通过开发数据驱动
方法来评估和回应风险。 5、
控制行为:通过识别管理层和内部控制的角色;证明控制评估不
是一年一次的行为,而是一个持续关注的行为;自动化这些控制测试程序,使之尽可能接近实时运行。 6、
信息和沟通:通过促进确保信息的精确性和关注事项的实时报
告。 7、
监控和评价:通过提供独立的评估来支持由管理层实施的连续监
控行为。
www.glzl8.com图1:COSO企业风险管理框架 目 标 目 营 经 报 告 合 标 目 法 标 目 标 战 略 内 部 环 境 目 标 制 定 事 项 识 别 风 险 评 估 风 险 反 应 控 制 活 动 信 息 和 沟 通 监 控 企业总体层面部门层面业务单位子公司 连续控制评估将允许内部审计师评价管理监控行为的充分性,并给审计委员会和高层管理员工提供控制正在有效运行以及组织能够快速改进出现的缺陷快速反应并及时改正的独立保证。连续风险评估使审计师能识别正在出现的使公司处于风险的领域,将这些风险区分优先次序,以更加有效地分配有限的审计资源。但是,这些行为不能以任何方式妨碍管理层实施监控和管理风险的职能。
监控和评价是COSO的企业风险管理作为一个有效控制框架的最后一个要素,也是一个组织朝持续改进所做努力的关键成分。连续监控包含管理层为保证政策、程序和经营流程都有效地运行,在适当位臵设臵的程序。它提出了管理层评价控制的充分性和有效性的责任。这包含识别控制目标
www.glzl8.com和保证认定,并建立自动化的测试程序将遵循相关控制目标和保证认定失败的交易凸显出来。连续监控的许多技术与内部审计部门使用的连续审计技术是类似的。
四、内部审计行为和管理层的角色
为了践行管理者的角色,管理层对风险评估和内部控制的设计、实施和连续维护负有主要责任。内部审计行为,根据它对管理层和董事会的职责,他对识别和评价组织的由管理层实施的风险管理系统(内部审计准则2110)和控制(内部审计准则2120)的有效性负有责任。审计师和管理层之间的角色差异在于从事内部控制和风险评估工作时,各自对股东的责任的特征。审计师给股东提供保证服务;审计委员会和高层经理重视风险和控制系统的状态;在法规方面,诸如萨班斯法案,以及管理层表现的对内部控制的关注的可靠性。理想上,审计师并不是流程的一部分,也不是来设计和保持内部控制的,这样,审计师的客观性和独立性就能得以保持。
五、连续审计和监控的好处
连续审计和监控(由管理层实施)的结果是类似的,都包含提示或警告,这些提示或警告指出了控制的缺陷或高风险水平。这些提示或警告能够按优先次序排列,这取决于风险和控制缺陷的严重程度,这些提示或警告会分发给经营流程或应用系统的担保人,运营经理,审计师,高级财务经理,甚至法规制定者。管理层对这些提示的回应能够修补内部控制缺陷和立即修正错误的交易。审计师对这些警告的回应能够从立即审计确认的内部控制系统到标记一个领域以备将来审计。
例如,对财务交易的持续审计,当一个分类账凭证超出了给定限额,以
www.glzl8.com及留有非正常关联账户的入口,测试可能给出一个提示。审计师的反应可能取决于这是否视为一个单一项目——这个反应可能会是发送一个Email给这项交易的当事人以得到相应的解释;也可能会视为一个系统的问题,对某个领域的财务审计可能状况良好。使用连续审计进行额外的测试来决定这些异常的特征能够回答诸如以下问题:
1、
日记账凭证是给暂记账户留有入口,而且没有在规定的时间内进
行清除? 2、 3、 4、 5、 6、 7、 8、
日记账凭证是否给不正常的关联账户留有入口?
受影响的账户是否可能会是诸如人工操纵收益之类的舞弊? 日记账凭证的数量和类型与往年相比是否有异常? 个体之间登录系统时是否做到了职责分离? 我们是否应该提高或降低测试的标准? 财务比率是否与公司的期望相符?
近几年的收益趋势如何?这些趋势与公司的期望(peer)以及总
体的经济环境如何匹配?
连续审计帮助审计师评价管理层的监控功能的充分性。这让首席审计师能给审计委员会和高级管理层提供对控制系统运行的有效性作出保证,以及审计程序在识别和指出任何侵害中发挥作用。连续审计还识别和评估风险领域,给审计师提供信息,审计师通过与管理层的沟通能够帮助管理层减轻风险。此外,他能够用于帮助制定年度审计计划,以将审计关注点和资源转向高风险领域。
然而,连续审计最重要的优势之一在于它独立于所审计的业务和财务