www.glzl8.com3、增加对财务结果的信心。 4、财务运营的改善。
5、减少财务错误和潜在的舞弊。
此外,完全运用了连续审计的组织,通常会报告运营成本的减少和边际利润的增加。
一、应用于连续控制评估 (一)识别控制缺陷
由于新的法规需要高层管理者证明控制环境的有效性,以及财务报告中所含信息的精确性,首席执行官和首席财务官开始内部审计行为来辅助遵循这些法规。尽管管理层对监控、设计和维持控制负有责任以备广泛认可,国际内部审计准则2120号,A1节指出内部审计行为“应该通过评价内部控制的有效性和效率性,以及促进持续改进来辅助组织保持有效的控制”。由于这些外部和内部的压力,特别是在一些管理层没有恰当发挥其监控角色的作用,审计师通常需要执行一个更加全面的评估和提供更加连续的控制评估。这对内部审计流程和方法有显著的影响。
连续控制评估给让首席审计师清楚地看到内部控制系统的有效性。反过来,给财务经理,经营流程管理这和风险及遵循经理提供对内部控制的独立的和及时的保证。对关于内部控制交易数据的连续控制评估能够迅速找出错误和异常,将它们报告给管理层,以及时进行检查和采取行动。它也能对财务和运营信息的可靠性和完整性,营运的效率和效果起作用。 连续控制评估还能够对连续的风险评估和管理层减轻风险的行为起作用。控制和风险的评估是相互补充、相互支持。
www.glzl8.com以下的一个关于内部审计中应用连续控制评估在财务控制、系统控制和安全控制等三个领域来支持管理层监控功能。 (二)财务控制:以采购卡项目为例
一个全国性的采购卡管理员手工操作,每个季度只能对交易的极小样本进行评价。审计师决定管理层的对于采购的控制是薄弱的,那么暴露出来的风险是否相当的高。在评价采购卡使用的政策后,审计师进行一系列的分析测试来识别:
1、不恰当的采购卡使用,包括与旅行支出有关的交易。 2、用于个人项目的支付(如珠宝、酒,等等)。
3、可疑交易(如未经授权的持卡人使用,销售商重复刷卡,分次付款以避免超过财务限额,等等)。
分析的结果将提交给持卡者的经理,以对这些可疑交易进行详细审查——将采购卡的支出与商品采购相匹配。这识别出许多的不恰当的采购和以上三种类型的舞弊。
在审计完成后,连续控制评估应用测试就转向采购卡协调员,来帮助运营经理每个月对采购卡控制的监控。 (三)系统控制:以职责分离为例
连续控制评估测试也能够用来证实系统是否按期望值在起作用。使用分析技术,测试程序能够比较个别交易和规则基础标准,对所有的交易进行评价以确保个体没有执行不相容的职责。
在一个组织内,新实施一个ERP系统,目的是用自动控制替代手工控制来确保职责的分离。ERP项目小组,通过业主的投入,开发一系列基于使
www.glzl8.com用者角色的特色配臵,这就允许使用者能够根据自己的工作职责来处理各式各样的业务。尽管审计师相信在开发基于角色的特色配臵中的方法和程序,他们关心实际分配给使用者的特色配臵,然后对交易进行详细检查,以检查哪些些地方职责分离没有得到保持。
审计师抽出当年第一季度的所有处理的交易,然后利用数据分析技术来计算每个使用者处理过的交易(通过交易类型)。这发现两个使用者首先建立采购安排,然后记录相同采购安排的货物接受交易。结果表明在基于角色的特色配臵的设计中职责分离控制是薄弱的,因为这些是被视为不相容的职责。
由于ERP系统经历了额外的变化——例如,增加新的角色和改变现有角色——运行连续控制评估测试来证明没有违反职责分离的情况。 (四)安全控制:以系统登录日志为例
连续控制评估能够测试安全控制,证明所有的系统使用者都是有效的员工,防止有企图者侵入系统。
在另一个组织的例子中,每周系统登录日志被抽取出来,然后送交内部审计部门。审计师抽取相关信息并将每个使用者与当前的员工管理文件相匹配。所有的非员工使用者被标记出来,然后一封邮件将自动发送给系统安全部门,让其废除该使用者的身份(ID)。此外,测试还检查失败的登录日志。通过检查发现一例在早上三点一个使用者ID有25次通过拨号登录失败。审计师通过这份报告来证明将登录参数改为在诸如这类使用者的ID在尝试登录失败3次后将此ID锁定是正确的。
连续控制评估的潜在使用事实上是无限的。无论哪里暴露出问题,内部
www.glzl8.com审计师都能够进行一项测试或一系列的分析程序来搜索某人试图利用控制缺口或薄弱环节的证据。在某些情况下,控制暴露出来的问题,包括潜在的舞弊、浪费和滥用。这些测试的频率和时间取决于潜在的经营风险和控制框架和管理监控功能的充分性。
(五)舞弊、浪费和滥用
国际内部审计准则1210号第A2节要求审计师对舞弊的信号拥有足够的知识。第A3节也需要审计师对关键信息技术风险、控制和可利用技术来开展他们工作的知识。使用技术来支持连续控制评估能够帮助审计师检查详细交易,也包括汇总数据,识别异常和其他的舞弊、浪费和滥用信号。例如,利用数据分析技术,审计师能够容易识别那些地方超越了合约的授权(如合约超过了给个人规定的合同限额)和被逃避(avoid)(如撕毁合约)。在工薪领域,它能够被用来识别薪水册上的员工非员工数据库中的员工或者识别薪金中的不正常比率。
由于舞弊很大程度上是一种机会主义的犯罪,控制缺口和薄弱环节必须被找出来,如果可能的话,甚至消除它或者减少它。广泛应用的审计指南和准则已直接地提到了对这种暴露问题的关注。例如,国际内部审计准则实务公告1210号第A2-1节:识别舞弊,第A2-2节:舞弊侦测的责任,需要审计师对可能的舞弊拥有充分的知识以识别它们的征兆。审计师必须意识到它会出什么问题,它怎么能出问题以及谁会牵涉其中。美国注册会计师协会颁布的审计标准的公告第99号(SAS No.99)“考虑财务报告审计中的舞弊”也是出台来帮助审计师侦测舞弊的。它比SAS No.82更进一步,
www.glzl8.com它包含的新的规定包括: 1、集体讨论舞弊的风险。 2、强调增加职业怀疑。 3、确保管理者意识到舞弊。 4、使用各种分析程序。
5、侦测管理层践踏内部控制的情况。
它也定义了舞弊财务报表和盗窃的风险因素,这能够被用来作为评估舞弊财务报告风险的模型。在SAS No.99 中列出来的风险因素包括:管理层状况、竞争和经营环境、运营和财务的稳定性。 (六)结论和建议
连续控制评估技术可能类似于管理层实施的连续监控技术。在内部审计师可以依赖管理层实施的连续监控的地方,而无需采用相同层次的细节连续控制评估技术。取而代之的是,审计师能够关注执行其他的程序来提供连续的关于管理层的连续监控程序的保证。但是,当管理层监控不充分时,审计师应该借助连续控制评估技术来执行详细测试以评价控制的充分性。通过智能运用分析技术,审计师能够评估内部控制框架的充分性,给审计委员会和高层经理提供独立的保证。
连续控制评估并不需要在实时运行。分析的频率取决于风险水平和管理层监控控制的程度。例如,采购卡分析可能每月运行一次——在信用卡公司收到采购卡交易时进行。薪金可以在每个付款周期使用,在支票出具之前进行。对发票副本(duplicate invoice)的测试可以每天进行。在某些情况下,审计师可能执行初始的控制测试,然后将连续监控移交给管理层。