www.glzl8.com控制,还包括使用技术性解决方案。这需要时间投入,但是如果连续审计将要用于控制测试,识别和评估风险,侦测和防止舞弊,或者支持其他的审计,所获的收益将要大大超过所作的努力。 (二)获取管理层支持
一旦连续审计的目标已经定义好,就必须获得审计委员会和高层管理人员的支持。它们必须不仅要意识到连续审计的初衷,还必须全力支持它。审计委员会和高层经理必须告知初始情况,尤其是访问需求,也包括如何以及何时报告结果。如果这些没有做,当交易中的异常被正式确认,并与管理层接触以获得解释,那么连续审计行为的合法性就会受到臵疑。管理层的臵疑之一,当要求获得异常交易的解释时,可能会这样说“我没有被告知允许在这个地方进行审计。这种审计与什么相关呢?”这种臵疑将影响审计程序的运行,因为审计师在处理识别出来的控制缺陷和风险领域前必须解释连续审计的概念和目标。 (三)决定测试的范围
程序的下一步就是决定审计所必须对控制和风险进行详细测试的范围。这项决定的一个关键因素就是管理层行为和监控行为的充分性。首席审计师必须检查根据企业风险管理建立的控制框架和领域。如果管理层已经很好地建立了这些控制框架的领域以及功能程序来评估控制和风险,那么审计行为将能够高度依赖报告的控制和风险水平。但是,如果首席审计师决定这些程序是不充分的,审计师将必须连续地执行他们自己的详细控制和风险评估程序。 (四)识别信息源
www.glzl8.com一旦连续审计的范围被决定,下一步就是识别关于定义的目标所需信息,以及决定这些信息可能的数据源。尽管这个步骤与正在进行的任何审计和控制评价类似(无论是否是计算机辅助的),审计师应该努力避免被传统思考模式所局限。在定义信息需求前,他们必须清楚地了解他们所要达到的目标是什么,而不是它将如何将它完成。这个“如何”将在后面的阶段中决定。
(五)协商获取数据
获取正确的数据是实施连续审计的关键步骤。首席审计师必须识别审计部门需要访问,决定这些应用软件中哪些是最为关键的。下一步就是与系统的所有者协商获得访问授权。与IT管理部门保持良好的工作关系是很有意义的,因为经常需要他们的帮助,即使审计师是使用数据分析工具的专家。在很多情况厦,企业的系统文档,主机,或者客户建立的应用程序中存储的审计所需数据源,其中的数据通常不足或者是过期了,而关于数据集的唯一信息源头是IT支持员工。
所有的审计师必须意识到识别企业内部和外部的电子信息源的重要性。例如,审计师在分支机构进行现场工作可能发现使用者开发的应用程序可以用来实施连续审计。审计师应该设法发现、收集、分析和解释、记录自动化的信息源来支持结论。收集的信息应该是实际的、丛源头上查证过的、相关的、以及对结论提供一个合理的基础。在搜索信息源的时候,审计师应该从假设信息都是以电子形式存在开始,如果可能: 1、决定可能的源头和应用程序系统。
2、识别信息的所有者(在IT管理部门能够同意他们访问应用系统和数
www.glzl8.com据文件前审计师可能需要他们的允许)。
3、识别对应用系统负有责任的程序师/系统分析师。
4、获得所有必须的文档,例如数据字典、记录格式、系统说明书、经营流程。
审计师不应该局限在他们发现的第一个信息系统。一个更有力的搜索通常会发现更好的或确实的所需数据源。系统所有者和经营流程的所有者在这个过程中非常有价值。与数据所有者和应用软件设计师/分析师讨论能够帮助审计师决定信息的最佳源头。这些讨论也能帮助识别关键字段和其他的有用数据。通常考虑本地部门和总部数据源。在两个数据源都存在的情况下,比较这些数据能够证明对识别控制缺陷和暴露的风险非常有用。 (六)理解经营流程
一旦主要的数据源被确定,审计师不仅必须理解信息系统,而且还要理解支持它的经营流程。从现存的以下文件能够获取对它的基本理解: 1、评价通用系统的描述文档,例如使用者和程序员手册,系统流程图,输入文档的副本,输出样本报告,系统控制的描述。 2、访问系统使用者和程序员。 3、访问经营流程经理。
4、评价现有的标准报告和例外报告。
一个关于本系统的更深层次的了解可以从以下几方面获取: 1、分析详细的系统流程图和(或)关于数据流的描述。 2、检查所有输入和输出文档的副本。
3、研究所有数据文件的记录格式,包括字段描述和对每个字段可能值
www.glzl8.com的描述和解释。
4、检查交易计算、例外、综合报告,并将这些与其他的报告或系统相比较。
将所有的审计师包含在识别可能的信息源的过程中,能够帮助审计师借助使用连续审计作为一个整合的审计工具来从传统的向后看的观点转化为向前看的观点。这些努力的结果将是对关键业务系统、控制和关键数据源的详细理解。此外,审计师应该有安全的访问权限并能对数据进行抽取、规范化和分析。
(七)识别关键控制和风险
连续审计的最终目标就是确保所有的控制的有效性以及支持降低风险。在实践中,这能够通过识别关键控制和风险种类最好地达到目的。美国上市公司财务监管委员(PCAOB)为在其审计准则实施指南第2号中指出,审计师必须运用风险评估来决定那些控制需要检查。首席审计师应该实施这些行为,因为这将会提供最及时、最大化的回报。审计师应该建立在能够证明连续审计的可行性和效用性的成功案例上。因此,对业务流程进行排序以及系统支持连续审计是有必要的。在设臵目标方面,首席审计师也应该决定有效实施连续审计所需的知识、技能和原则。尤其是,审计师需要适当类型和水平的专业技能,并能够访问合适的、为特定目的而建立的技术。
(八)数据访问和使用
虽然要使用很多技术,但是持续审计并完全是一项纯粹的技术问题。选择适用技术对长期的成功是很关键的(见连续审计:内部审计师的潜能,
www.glzl8.com第五章——适用技术,国际内部审计师协会研究基金会,2003,列出了一系列可能会在开发连续审计方法中起作用的技术)。一系列清楚的连续审计目标和一个决定风险反应和优先权的计划将帮助指导软件的选择。当选择一个用于连续审计的软件时,首席审计师必须考虑数据源、数据格式和交易量,检查公司的计算机环境和关键业务系统的未来计划也是很重要的。尽管可能需要更加成熟的连续审计应用软件来长期支持,这里还有选择来利用审计专业分析软件解决方案的弹性。审计软件能够读取各种类型的数据,包括主机遗留系统,客户/服务器,网络系统或企业资源管理计划应用软件,如SAP,ORACLE和PEOPLESOFT。它能够很容易连接和分析从不同系统和平台获取的数据。
毫无疑问,连续审计需要访问数据。审计部门没有安全电子访问他们公司的数据的权限,要么是被各种理由拒绝,也可能是在时间上过期了。由于技术的进步(既有软件方面的,也有硬件方面的),访问数据方面的障碍问题不复存在,也不需要特殊的硬件或IT专业人员的参与。通常,数据访问的难题来自于管理层不愿意让审计师访问组织的应用软件系统。来自于管理层的支持通常对审计师获取物理的和逻辑的访问所需信息而言是必要的。这可能需要在审计规章中有来自高级管理人员的声明,如:“审计师为履行他们的职责将被给予访问任何和所有的所需应用软件系统和信息的权利。”有了安全经理的支持来访问系统和信息,审计师必须确保数据的所有者已经被告知他们的权利和需求。首席审计师也必须确保访问和使用业务系统的数据不会有损系统的经营绩效,审计技术于企业的IT环境是相容的。