www.glzl8.com2、使用这些信息来进行决策的个人或团体。 3、客观存在的第三方。
通常,保证被视为一项严格的审计相关行为,通常具有财务方面的特征。但是其他的,诸如法律界也提供保证服务。
审计保证是对控制的充分性和有效性以及信息的完整性发表意见。管理层对控制的连续监控是有效保证策略的核心,但是,审计行为还必须保证管理层行为是充分和有效的。
内部审计通过客观检查所获取的证据以提供对风险管理策略和实践,管理控制框架和实践,用于决策和报告的信息的保证服务。连续保证服务能够在审计师执行连续控制和风险评估(如连续审计)和评价管理层实施的连续监控行为的充分性时提供。
审计师检查管理层的行为,证实控制都在运行,提出改进建议,确保风险正在被控制。如果审计师在执行诸如检查和证实控制和风险,确保管理层正在进行监控工作,那么组织将有一个对控制正在运行,风险正被控制,用于决策的信息具有完整性的高层次的保证。管理层在这个保证方程(assurance equation)中起着开发、设计和监控控制和控制风险的作用。 二、连续监控
连续监控是管理层设臵的用于确保政策、程序和经营流程都在有效运行的程序。评价控制的充分性和有效性通常是管理层的责任。许多管理层使用的用于对控制的连续监控技术与内部审计师进行连续审计所用技术类似。连续监控的原则比较简单,它包含以下几个方面:
1、在一个给定的经营流程中定义控制点,如果可能的话可参照COSO的
www.glzl8.com企业风险管理框架。
2、对每个控制点识别控制目标和保证声明。
3、建立一系列的自动化的测试,以指出某项交易是否没有遵循所有的相关控制目标和保证声明。
4、在接近交易发生的同时,将所有的交易进行测试。 5、调查没有通过控制测试的所有交易。 6、如果合适的话,可以更正这项交易。 7、如果合适的话,更正控制薄弱环节。
连续监控的关键是这些程序必须由管理层掌控并由管理层来执行,因为实施和保持有效控制系统是其职责的一部分。既然管理层对内部控制负有责任,那么它就必须有一个连续的决定控制是否按设计在运行的方法。通过实时地识别和更正控制的问题,整个的控制系统将得以改善。组织得到的一个典型的额外的好处是错误和舞弊显著减少,经营的效率得到了提高,通过成本的减少和过度支付(overpayment)和收入泄漏的减少,从而使线下项目的结果得以改善。 三、连续审计
管理层监控和风险管理行为的充分性与审计师必须执行对内部控制的详细测试和风险评估的程度,它们之间存在这一个反比的关系。连续审计运用的方法和工作量取决于管理层实施的连续监控行为的程度。
图4:反比关系:管理层付出的努力水平与审计行为
www.glzl8.com管理层反应
对内部控制的完全监控 减少工作量 对内部控制的 少量监控 显著的努力/更多的资源 审计工作量
在管理层还没有实施连续监控的地方,审计师必须借助连续审计技术进行详细测试。在某些情况下,审计师甚至可能主动来帮助组织建立风险管理和控制评估程序(见国际内部审计协会实务报告2100-4:审计师在一个没有风险管理程序组织中的作用)。但是,要注意的是审计师对这些程序中并不拥有所有者权,因为这会损害审计师的独立性和客观性。
图5:连续审计、监控和保证(概念框架)
连续保证 审计 连续审计和连续监控程序的结果 连续监控审计测试 连续审计 管理 连续监控 行为、交易和事件 经营系统和流程
管理层全面地在经营流程领域中从头到尾地实施连续监控,内部审计师就无需执行同样的详细测试来进行连续审计。但是,审计师必须执行其他的程序来决定他们是否可以依赖这个连续监控程序。这些程序包括:
www.glzl8.com1、评价侦测到的异常和管理层的反应。 2、评价和测试连续监控程序本身的控制,例如: (1)处理日志/审计轨迹
(2)调节总额控制(control total reconciliations) (3)系统测试参数的变化
通常,这些程序与那些在正常审计程序中为确保计算机辅助审计技术被正确应用的质量控制测试是相似的。
通过结合评价监控和连续审计程序,审计师能够提供关于内部控制有效性的保证。
第五部分 连续审计的应用领域
对内部审计部门而言所面临的压力是以较少的资源做更多的事情。也许最困难的挑战来自于审计师必须对内部控制的有效性及时作出保证,更好地识别和评估风险水平,快速找出没有遵循相关法规和政策的事项。这些就是连续审计可以应用的领域。适用技术,从电子表格软件或脚本开发使用特种审计软件(scripts developed using audit-specific software)到商品化的专业解决方案软件包或客户自行开发的系统。这些选择的解决方案必须是灵活的可升级的,允许审计师从某个特定的领域开始,然后扩大范围、规模和分析的频率。
尽管一些法定审计需要每年进行一次,但是每年严格执行这些审计已不能满足管理和法规的需要。内部审计行为必须应用风险评估和进行控制保证行为。虽然需要更加关注财务方面的审计,连续审计支持所有类型和领
www.glzl8.com域的审计行为。欧洲联邦内部审计机构(ECIIA)在2005年意见书《欧洲内部审计》中,鼓励内部审计师通过给管理层提供的关于风险已经被识别并且得到恰当的控制的保证,对组织面临的风险作出反应。审计师不仅必须能够评价财务风险,而且要能够评价运营风险和策略风险。这是持续审计所关注的新领域。用于测试控制的信息访问技术和技术技能也能够帮助首席审计师通过支持持续的评价企业风险管理有效性的评价行为和对一些警告提出改进建议,从而给管理层提供价值无法估量的帮助,
首席审计师通过给高层管理员工提供独立的风险和控制评估来支持其监控职能。连续审计有一系列的功能来支持审计行为,首席审计师,通过以下的适用方法和服务,包括:
1、风险管理策略和实践:通过及早识别风险。 2、管理控制框架的可靠性:通过找出控制薄弱环节。
3、用于决策的信息:通过检查管理者使用的信息的可靠性和可获取性。 4、包含在年度审计计划中审计项目的选择:通过识别更高风险领域。 5、实施有效的和及时的改正行为:通过检验审计建议的执行情况。 首席审计师必须认识到许多的管理行为与连续审计有很强的联系,例如整合风险管理、平衡计分卡、连续改进、连续监控。审计必须决定那些地方适合连续审计,它如何能用于评估这些管理措施行为或者利用它们所产生的信息。
实施连续审计框架的期望好处包括: 1、增加减轻风险的能力。 2、减少评估内部控制的成本。