www.glzl8.com系统和管理层实施的监控。这能改善组织的管理和控制框架,并提供一个审计师能够用来支持他们的独立评价和评估行为的机制。
连续审计还面临着一些挑战。这些技术需要被理解和控制。内部审计师必须能够访问数据、软件工具和技术,以及拥有能够智能使用他们手头所掌握的大量的公司财务和非财务信息的必要知识。连续审计带来的机遇也对审计师和首席审计师提出了要求。
第三部分 需要澄清的一些关键概念和术语
已经采取了各种尝试来鼓励审计师更好地使用电子信息,以改进内部审计行为的效率和效果。最近,多种术语已经被用于这些尝试,同时也导致了职业界认识上的混乱。没有一个清晰的、通用的术语,那么将会很难提升这些尝试,成功的可能性也会减少。因此,实施连续审计首先要做的就是给定和传播所有相关术语的清晰的定义。
理解与连续审计相关的术语的关键在于理解控制和风险是一个问题的两个方面。控制的存在是为了帮助降低风险;识别控制缺陷能凸显潜在的风险领域。相反,通过检查风险,审计师能够识别哪些地方需要控制和(和)控制没有发生作用。
尽管对控制和风险的评估通常包含定量分析也包含定性分析,但是最大化的效率获取是来自于最大化地利用技术。对审计师的挑战是确保数据的利用和通用性,理解相关的业务流程和系统,最大化地运用自动化。所以,这份全球审计技术指南关注的是支撑持续审计的技术辅助程序。
保证可以认为是第三方对事件状态的意见,这个事件是关于一个特定的交易、业务或治理流程、风险或整个业务流程中的财务绩效的。审计保
www.glzl8.com证是对控制的充分性和有效性,信息的完整性作出的声明。
管理层实施的持续控制监控是有效保证策略的核心部分,但是,审计师仍然必须确保管理层的行为是充分的和有效的。连续保证的框架是联结内部审计师的独立性评价行为:控制的状态、组织内部的风险管理、评估管理监控功能的充分性。
图2:连续保证的框架
连续保证 连续控制评估 连续风险评估 对连续监控的评估 首席审计师必须保证所有的审计师、高级经理和审计委员会理解内部审计行为和管理层在使连续保证方程有效的角色和责任。以下的定义可能提供了额外的视角:
1、连续审计是审计师为了在一个更持续、更频繁的基础上实施与审计相关的行为所采取的任何方法。它是一系列行为的联合体,这些行为从连续控制评估延伸到连续风险评估。
连续风险评估是关于控制-风险联合体的所有行为。技术在识别例外和(或)异常、分析关键数据字段的模式、趋势分析、从开始到结束的明细交易分析、控制测试和将组织的程序或系统根据不同的时点比较或与其他类似的单位比较等方面发挥着关键作用。
2、连续控制评估是审计师采取的准备用来进行与内部控制相关的保证的行为。通过连续控制评估,通过识别控制缺陷和侵害,审计师给审计委员会和高层经理提供关于控制是否正在恰当运行的保证。单个的交易是通过一系列的控制规则来进行监控的,以提供关于系统内部控制的保证,并强调例外情况。一系列定义良好的控制规则在控制程序或系统没有按期望
www.glzl8.com运行或受到威胁时能够及早地提供警告。
内部审计需要执行连续控制评估行为的范围取决于管理层履行其关于连续监控的责任的程度。一个强有力的管理监控系统将减少审计师必须执行以对控制提供保证的详细测试数量。
3、连续风险评估是审计师用来识别和评估风险水平的行为。连续风险评估通过检查趋势和比较(在单个程序或系统里,与之过去的表现相比较,与企业内的其他的程序或系统相比)来识别和评估风险水平。例如,生产线的表现可以和先前年度的结果相比较,就像是将一个企业的绩效与所有的其他企业相比较一样。这种比较能够较早地警示某个程序或系统(审计主体)的风险水平高于以前年度或其他主体。审计的反应也因风险的特征和水平而异。连续风险评估能应用于大范围的审计领域,来选择访问点,来识别排除包含在审计计划中的特定的审计或单位,或触发对某个风险增加但缺乏足够解释的单位的审计。它也能够用来评价管理行为,来检查审计建议是否得到合理的贯彻,经营风险水平是否正在减少。
4、连续监控是管理层为了确保政策、程序和业务流程能够有效运行而实施的一项程序。管理层识别关键控制点和实施自动化的测试来决定这些控制是否恰当运行。典型的持续监控程序包括在给定的经营流程领域内,借助一组控制规则,自动测试所有的交易和系统行为。监控通常是按天、周或月进行,这取决于当前的业务循环的特征。取决于特殊的控制规则和相关测试和初始参数,某些交易被标记为控制例外事项,且告知管理层。管理层监控也可能依靠关键绩效指标和其他绩效评价行为。对监控警报和提示作出回应并立即修补控制缺陷和改正问题交易是管理层的责任。
www.glzl8.com一、连续审计的连续系统
连续审计帮助审计师识别和评估风险,还在组织中建立智能和动态阀值来回应变化。它也支持整个审计范围的风险识别和评估,帮助制定年度审计计划,以及确定某项特定审计的审计目标。因此,连续审计在很多层面上可以视为一个连续系统。同时,连续系统中的不同位臵更加适合不同的工作,在连续系统中当你执行不同的任务时还可能超过一个位臵。 对连续审计的关注从控制基础到风险基础(见图3);分析性技术从对明细交易的实时评价到对整个单位进行趋势分析以及与其他单位进行比较分析,并且随着时间进行。
图3:连续审计的连续系统
←─────────────连续审计─────────────→ 连续控制评估←──────────────────→连续风险评估 方法 控制基础 风险基础 (保证控制正在运行)←─────────────→(识别/评估风险) 关注点 财务控制 财务/运营控制 实时/详细交易测试(财务数据)←─────→趋势/比较(财务/运营数据) 分析技术 控制保证 财务鉴证 舞弊/浪费/滥用 审计范围和目标 追踪审计记录 相关审计行为 年度审计计划 控制监控 业绩监控 平衡计分卡 全面质量管理 企业风险管理 相关管理行为
注1:在这个连续系统的“控制”结尾,相关审计行为包括保证和财务鉴证审计。
注2:连续系统的另一个结尾的审计行为包括通过风险评估支持审计项目来识别舞弊、浪费和滥用,并提交年度审计报告。
注3:相关管理层行为包括连续控制监控,绩效监控,平衡计分卡,全面质量管理和企业风险管理。
www.glzl8.com连续审计是一个统一能够带来控制保证、风险评估、审计计划、数据分析以及其他审计工具、技术和科技结合在一起的统一结构或框架。它支持微观审计事项,例如明细交易测试来评价控制的有效性;宏观审计方面,通过风险识别和评估来准备年度审计计划。它也能满足中观层面的需求,例如为个别审计开发审计项目。
微观审计和宏观审计两个层次的主要区别在于两者信息需求的粒度不同:
1、控制测试需要细节信息:需要深入交易的源头层次。连续控制评估使用仔细制定的规则和实时的或接近实时的,测试交易对这些规则的遵循情况。
2、个别审计通常开始于年度审计计划中的风险识别,但使用更多的数据分析和其他技术(如访问,自我控制评估,实地观察walkthrough,调查问卷)来进一步定义风险的主要领域和风险评估的关注点和后续的审计行为。
3、年度审计计划需要高层次的信息,可能是几年的价值数据,来建立风险因素,并将风险排序,设臵审计计划开始的时间和目标。
第四部分 连续审计与连续保证和连续监控的关系
一、连续保证
前文已提到,保证被描述为第三方对事件状态的意见。它通常包括三个方面:
1、准备信息的个人或团体。