www.glzl8.com在一个常规审计中,分析性评价程序的规模和范围受到传统技术所能收集数据类型和数量的限制。连续审计具有潜在增加审计师所能获取数据的数量。例如,一个年度调节,一旦自动化了,能够内嵌到一个连续审计过程中,并且能够更加频繁地执行。分析性复核中计算的比率可以并入到连续审计软件中,能够更加频繁地进行计算,并与标准值进行复核和比较。然后,显著的不一致即可被标识出来。 举例:支持应付账款审计
作为制定一项应付账款审计功能(要在全国众多的地方进行)计划中执行风险评估的一部分,审计师计算应付账款部门每笔交易程序的数量的和成本,以及员工数量和技能。通过总体分析确定了应付账款被分散化了,而且没有任何标准程序。而且,不同类型的交易在不同的部门进行处理。此外,审计师使用“每笔交易成本”和“每个使用者的交易数量”来评估不同的发票处理的影响,识别特定部门的效率和效果。这些结果被用于决定那些地方将在线功能工作时要被访问到的程序。
在一些相同审计需要在许多位臵或每年执行,特定的审计测试将会被用到,其结果可以与其他单位或与不同的时点的结果相比较。连续风险评估能够用来检查特定的风险,如没有有效地使用采购卡。例如,比较每个单位两年的数据来识别趋势,以让审计师更好地理解哪个单位正在积极地改进。连续风险评估也能够通过在后续年度执行相同的审计程序来评估程序中任何变化的影响。此外,将来年度的数据能够容易地用来评价实施审计建议的影响。
(三)审计建议的跟踪调查
www.glzl8.com通过连接数据驱动指标到审计建议,审计师能够使用连续风险评估来决定这些建议是否已经被实施以及它们是否达到了期望的减少风险水平的效果。尤其是,如果连续风险评估用来识别和评价风险,作为定义审计范围和目标地一部分的话,相同的指标能够用于评价实施审计建议的影响。 理想状态是,每一个审计将给每条建议确定一个数据驱动指标。这将能透容易建立一个底线和比较结果——在实施这项建议的前后。但是,这就意味着审计师将需要找到合适的能够电子化测量的指标。这些指标能够作为它们测量对象的代理。例如,如果一项审计确定员工的道德水平低,那么将出具一项改进沟通的建议。审计师可能检查使用的病假的天数和正式报告的疾病数。尽管这不直接衡量道德,审计师能够使用这些指标,因为他们可能对道德变化作出反应。病假天数和报告疾病的减少能够用来证明沟通的改进已经得到贯彻并收到了预期的效果。 举例:采购单
一项财务控制要求每笔超过5000美元的交易要提交采购单。审计师建立了连续审计测试来检查所有金额大于5000美元的发票,以证实所需的采购单是否已提交。起初,它标记了许多没有按照政策采购的情况。审计师改变财务系统中的编辑控制。过了一个月,在实施了新的编辑检查后,测试表明,所有的超过5000美元的交易现在已经提交采购单了。
尽管测试表明这些控制在运行,但审计师想知道它们是否在恰当地运行。一个快速的测试用来决定总的提交采购单的发票的数量,并就这个加总的结果与采购单的总金额相比较。由于一些采购单所采购商品在交付使用前需要经过几道装运程序,那么这些采购单当中必然有一部分每张采购
www.glzl8.com单附有几张采购发票。审计师惊讶地发现,采购单有100张或者更多的发票,付款总额超过原始采购单数量的数百倍。审计师确信,尽管每张超过5000美元的发票都提交了采购单,但一些使用者简单地反复地利用了同一张的采购单。
后续的对审计建议的检查中,检查了全部的超过5000美元的交易,以检查初始建议是否已经保证超过5000美元的交易都提交了采购单,但是没有发现发票没有注明合理的的采购单问题。 结论
连续风险评估不是一个静态的系统。指标的识别和评价他们的使用和价值是它的关键的任务。内部和外部风险必须连续地评估,以保证出现的风险能够及时地被发现,并且组织能够对变化的风险环境作出反应。首席审计师必须保证在合适的提示系统来反馈出现的风险。风险警报应该区分优先顺序,清楚地、可理解地进行管理,让人知道谁接受它们的,它们怎么交流的,应该采取什么样的行动。第二,审计师必须持续地接收关于在评估风险中利用连续审计的反馈,并必须制定相应的策略来改进流程和报告结果。尤其是,首席审计师必须决定审计结果如何应用于管理层实施的企业风险管理。
第六部分 实施连续审计
连续审计并不是一个难以理解的概念。但是,连续审计还没有被内部审计师大范围的使用,高层管理人员还没有完全接受和投资必要的技术。要成功实施连续审计需要购买所有包含的部件,而且要有一个阶段性的方法
www.glzl8.com来找出最关键的经营流程。尽管每个组织是不同的,在开发和支持连续审计应用的时候仍然有一些相同的行为必须小心地计划和管理(见下面的“关键步骤”)。这些行为的顺序可能不同。此外,这里也可能没有列出其他的行为,尤其是在采用连续审计支持某项特殊审计的时候。 一、连续审计目标
许多组织已经评价了引入连续审计来支持诸如萨班斯法案之类的法规对控制评估的需要。尽管内部审计师拥有一个充分的自动化的系统来测试内部控制,以及整个的需要一个高标准的公司治理,经营绩效的改善之类的额外的好处也同等重要。对首席审计师而言,考虑短期的和长期的连续审计目标是重要的。这些努力包括进入系统、对关键业务系统和流程的了解的努力对减少遵循的压力和减少经营绩效中的阻碍有潜在的好处。 现在是时候从简单的每个季度对财务报告的可靠性发表意见到采用连续审计模式来改进整个组织得以健康运行和经营效率和效果的改善。尤其是,内部审计部门需要处理在每个经营行为中整个经营程序(COSO)和IT(CoBIT)控制。业务系统和交易数据的可靠性是及其重要的,不仅与内部控制框架和财务报告的完整性有关,还与经营运作的效率性有关。因此,确保业务系统和数据的可靠性、完整性和有效性是首席审计师和高层经理的关键目标。连续审计能够通过评估控制的有效性和风险水平来帮助组织达到这样一个目标。
www.glzl8.com图6:连续审计的关键步骤
关键步骤 连续审计目标 1、定义连续审计的目标 2、获取和达成高层管理员工的支持 3、弄清管理层执行其监控角色的程度 4、对要审计的领域和将要执行的连续审计类型进行识别与排序 5、识别关键信息系统和数据源 6、识别原始的业务流程和应用软件系统 7、建立与IT管理层之间的关系 数据访问和利用 1、选择和购买分析工具 2、开发访问和分析能力 3、开发和维持审计师的分析技能和技术 4、评估数据的完整性和可靠性 5、清洁和准备数据 连续控制评估 1、识别关键控制点 2、定义控制规则 3、定义例外情况 4、设计技术辅助方法来测试控制和识别缺陷 连续风险评估 1、定义要评价的单位 2、识别风险种类 3、识别数据驱动风险/业绩指标 4、设计分析性测试来测量增加的风险水平 报告和管理结论 1、对结论按重要性进行排序,并决定连续审计行为的频率 2、在一个定期的和及时的基础上进行测试 3、识别控制缺陷和增加的风险水平 4、对结论按重要性进行排序 5、作出合适的审计反应,使审计结论让管理层知道 6、管理结论——跟踪、报告、监控和追踪 7、评价审计行为的结果 8、监控和评价连续审计程序的有效性——包括分析(如规则/指标)和达成的结论——对测试参数做必要的调整 9、确保连续审计过程的安全性,还需确保连续审计与管理层行为,如企业风险管理、监控和业绩评价等有合适的联系。 以下描述了实施连续审计的步骤: (一)定义审计需求
要满足新兴的审计目标,首席审计师必须理解未来的审计程序和连续审计技术。这些需求必须由内部审计师进行充分的定义——通过管理层和外部审计师的投入——这是审计师必须了解的行业、组织、经营流程、相关