連續審計應用探討

來源:用戶上傳      作者:

　　【摘要】  連續審計的有效使用受到技術發展的制約，其順利實施需要更強大的處理器、更快的通訊、更安全的信息系統等技術。根據目前的技術發展，連續審計并不適應所有的組織和企業，連續審計的應用要求自動化流程、系統之間的有效連接、可靠的系統、審計師的勝任能力等基礎條件。文章主要對連續審計的應用技術、適用對象與應用條件、應用實施步驟等相關問題進行了探討。
　　【關鍵詞】  連續審計;技術;應用條件;實施
　　【中圖分類號】  F239  【文獻標識碼】  A  【文章編號】  1002-5812（2019）09-0038-04
　　美國注冊會計師協會和加拿大特許會計師協會于1999年聯合完成研究報告《連續審計》之后，國際內部審計師協會也分別于2003年、2005年發布研究報告《連續審計：內部審計師的潛力》和《連續審計：內部審計師的操作模型》，這些研究探討了信息技術發展對內部審計的影響，以及如何順應形勢，積極發展連續審計等問題。盡管我國對連續審計的研究起步較晚，但發展較快，方興未艾。本文擬對連續審計的應用技術、適用對象與應用條件、連續審計的應用實施步驟等相關問題進行初步探討。
　　一、連續審計應用技術
　?。ㄒ唬┯嬎銠C輔助審計工具與技術
　　計算機輔助審計工具與技術對連續審計非常重要，為了鑒證實時會計系統正產生可靠的和可信的財務信息，控制測試必須與實質性的交易性測試同時進行（Rezaee，2001）。有不同的工具和技術（購買的軟件包，或者是審計師設計的程序）幫助交易和內部控制的分析，并要求執行不同的任務，這些工具和技術常常被稱為計算機輔助審計工具與技術。根據SAICA制定的工作手冊，計算機輔助審計工具與技術能在許多審計程序里被使用，包括交易細節測試、分析性程序、通用控制測試、抽樣程序、應用控制測試、由會計系統重復執行的計算。交易詳細性測試、重新執行會計計算等與分析性程序相關，通用控制測試和應用控制測試與測試內部控制和評估風險相關。抽樣程序、提取數據等可能在每種情況下都會使用。
　?。ǘ┣度雽徲嬆K
　　嵌入審計模塊是在應用程序的原代碼內插入審計規則的審計相關方法。通過鑒別和標記滿足預先設定標準的交易進行審計處理，它們被設計成連續地監控關鍵事項，然后對結果進行報告。嵌入審計模塊高度自動化，并且運行中干涉較少，測試控制的方法是檢查交易是否根據程序和政策來處理（Cerullo，2003）。Braun（2003）研究了嵌入審計模塊方法的使用，該方法是在數據庫環境下捕獲關于例外和關于對預先定義數據訪問的違規操作等方面的信息。使用這種技術，違規和例外信息能夠在實時的基礎上被捕獲，測試的范圍可能會減少。為了使嵌入審計模塊方法可行，審計師必須了解應用程序和數據庫環境，需要用戶的合作，有穩定的硬件和軟件環境去實施。
　　當然，連續審計實施也需要其他相關技術的發展，如，神經網絡技術（Cerullo，2010）、人工智能技術（Murthy，2008）、數字代理技術（Kogan，2006）、XBRL技術（Bovee，2005）等。
　　二、連續審計的適用對象與應用條件
　　（一）連續審計的適用對象
　　根據目前連續審計技術的發展來看，連續審計并不適用所有的組織和企業，也不可能是所有審計項目的最好解決方案。Ronald（2007）認為，現金支付工資處理、差旅和招待費制度遵循、采購事項、賬戶管理、銀行出納現金異常波動等可以使用連續審計技術。M.Lehmann（2010）認為，對應付賬款使用連續審計來發現浪費、欺詐或者濫用效果非常明顯，同時指出連續審計僅僅應用到傳統領域無法充分發揮其潛力，應該應用到其他的非交易性的但有較大風險的活動中，例如不斷變化的市場分析和需要個人廣泛運用判斷的領域。Boccasam（2003）通過實例研究發現，使用連續審計監控工具，審計師能夠發現不相容職責沖突、關鍵的企業系統控制的改變、未授權的執行交易等問題。由于連續審計的應用受到較多條件的限制，目前的應用領域還比較有限，主要集中在針對會計賬戶和內部控制兩個方面。盡管這些對連續審計應用領域的研究還是理論上的，但也具有探索性的意義，有助于為連續審計實施指明方向。
　　（二）連續審計的應用條件
　　連續審計的應用條件包括自動化流程、系統之間的有效連接、可靠的系統、審計師的勝任能力等要求。
　　1.自動化流程。Alles et al（2008）認為，審計程序自動化是連續審計的必要和充分條件，并從審計自動化的驅動因素和目標，再造審計流程，自動化審計結構，自動化審計證據的處理、評估和整合，審計自動化軟件，審計自動化的擴展性等方面進行了深入討論，認為只有這些方面充分自動化后，才能真正獲得理想的連續審計。Shields（1998）認為，實施連續審計存在很多技術上的困難，主要一點就是確保連續審計流程是高度自動化的。Murthy（2004）提出的必要條件包括：（1）提供可靠審計證據的自動化程序;（2）審計對象必須是可以電子化訪問。近年來，隨著信息技術的不斷發展，新的技術與方法不斷創新，高度自動化的連續審計流程可望實現。
　　2.系統之間的有效連接。Shields（1998）認為，連續審計的關鍵要求是審計單位的系統和被審計單位的系統之間保持有效的連接，確?？焖佟蚀_和安全的審計指令和結果的傳輸。闞京華（2007）認為，連續審計實施條件是有效的通訊連接。在連續審計過程中，指令啟動、數據的獲取、例外報告的產生等活動隨時都有可能發生，被審計單位和審計單位之間需要安全、準確和快速地進行數據與信息的交流，兩個系統進行有效的連接是順利進行連續審計不可或缺的必要條件。
　　3.可靠的系統。Zhao（2004）認為，實施連續審計必須滿足可用性、安全性、完整性、可維護性等特征。Murthy（2004）認為，高度可靠的客戶系統，能夠在一個實時的基礎上給審計師提供必要的信息。Shields（1998）認為，被審計的信息必須通過可靠的系統產生。根據AICPA和CICA（1999）的研究，連續審計必須在有效的系統里運行才能保障其實施效果，這些系統應滿足可靠性、安全性、整合性、持久性特征。只有通過可靠的系統產生的信息，其質量才有保障，這也是連續審計有效的基本前提。 　　4.審計師的勝任能力。審計師必須有能力完成必要的任務，能夠理解實際的流程怎樣運作等。Murthy（2004）認為，審計師必須非常精通信息系統、計算機技術和熟悉審計主題。由于連續審計系統本身有著復雜的結構，對信息技術有比較高的要求，這意味著審計人員不僅要熟悉審計與財務知識，還要精通各種不同的信息技術，這對審計師的勝任能力提出了更高的要求。
　　當然除了上述條件之外，還有很多其他的條件也受到了學者的關注。如最高級別的領導必須支持連續審計（Murthy，2004），必須在及時的基礎上可以獲得準確的和可理解的審計師報告（Shields，1998），能夠很容易分析并有明確定義和格式化的數據（Vinita，2007），審計工具能夠被整合到一個主體的系統里（Zhao，2004），解決好連續審計影響審計師客觀性和獨立性問題（Carlos，2008）等。
　　三、連續審計的應用實施步驟
　　連續審計的應用實施涉及的內容主要包括連續審計的應用實施準備、數據庫的訪問、對風險和控制的連續評估、對連續審計結果的報告等。
　?。ㄒ唬┻B續審計的應用實施準備
　　1.明確審計任務。需要明確連續審計是用來測試組織的內部控制，還是度量和評估組織面臨的各種風險，或者尋找和抑制舞弊等。
　　2.確定審計測試范圍。這主要是針對控制和風險兩項要素而言，控制與風險問題與高級管理層采取的監控措施密切相關，如果審計師確定企業沒有健全的內部控制和風險規避措施，無法值得充分信賴，那么，審計師就需要實施全面的內部控制與風險評估。
　　3.協調數據訪問權限。審計師首先需要明確審計部門將要對哪些業務數據進行訪問，并合理判斷那些關鍵的業務數據，然后與企業信息管理系統的利益相關方協調合作，以便達成訪問權限合理分配的一致意見。在實施連續審計前，有必要與信息技術管理部門建立并保持緊密的合作關系，這主要是因為連續審計常常需要技術管理人員的幫助。審計師應意識到識別企業內部和外部數據資料的重要性。系統管理員、業務流程管理者、應用程序員對審計師來說都非常重要，與他們積極溝通交流有助于獲得最佳信息來源，并能夠幫助審計師確定重點審計范圍。
　　4.理解業務流程。主要方法有：（1）熟悉信息系統結構描述性文件，例如信息系統流程圖、程序員操作手冊、數據輸入的對應副本、內部控制系統的解釋性文件。（2）與信息系統開發程序員以及信息系統使用者進行面對面的溝通交流。（3）約談企業業務流程管理者。（4）對企業呈報的標準報告以及以前發生的各種例外事項進行現場查閱。
　　5.確認關鍵控制點以及相應風險。正如美國公眾公司會計監管委員會第二號準則規定，審計師要合理運用風險評估，以便明確要進行哪些控制調查。
　?。ǘ祿脑L問與分析
　　1.數據的訪問與使用授權。連續審計的實施需要不斷地訪問和提取數據，如果無法得到企業數據訪問權限，審計師可能會浪費大量時間和精力卻無法完成任務。但隨著信息技術的飛速發展，包括軟件技術與硬件技術，對數據庫的訪問與數據提取已經不是主要的技術問題，并且在操作過程中，也不一定需要專業信息技術人員的全面參與。在多數情況下，訪問數據庫的阻力來自于企業管理層沒有給予審計師進入企業管理信息系統的相應權限。因此，得到企業管理層的許可是獲取數據庫訪問權限的基礎條件。在實施連續審計之初，企業高級管理層應有相關文件規定審計師進入企業管理信息系統獲取所需數據權限的范圍。當審計師得到了管理層的授權以后，還需要保證數據和信息的實際提供者也已經知曉了權限要求，同時審計師也要保證在訪問和提取業務數據的過程中，對企業管理信息系統的正常運行不會造成不利影響，并且使用的審計技術手段與企業信息技術環境沒有沖突，能夠相互兼容。
　　2.訪問數據。為了順利應用實施連續審計，亦即連續地分析數據及對事項處理過程和結果進行連續跟蹤，審計師對以各種電子形式儲存的數據進行訪問是必不可少的步驟。對數據和信息的訪問方法與審計師對連續審計預定的目標相關，并同時需要關注數據數量、管理信息系統性能、網絡流量的承受能力等因素。在具體實施連續審計的過程中，一般要求通過以下幾種方法訪問相關數據：（1）在企業管理信息系統中嵌入連續審計模塊。（2）在獲取企業管理信息系統數據訪問權限后，利用連續審計應用程序提取和裝載所需要應用的數據文件。（3）為了后續數據的處理與分析，利用電子格式儲存標準報告的副本。（4）審計師經授權獲取企業管理信息系統用戶端的物理與邏輯登陸權限，并以只讀形式登陸企業信息系統（James，2010）。這些方法可以結合使用，并且必須許可審計師及時實施連續審計程序，以便快速確認異常事項并報告審計結果。這些方法也應當允許審計師利用參數方法快速辨識異常事項，并對這些標識的例外情況采取進一步的行動。
　　3.保證數據完整性。無論對傳統審計的應用還是對連續審計的實施而言，數據的完整性都非常重要。審計師不僅要保證評估企業管理信息系統業務數據的完整性、數據分析的完整性，還要保證對結果解釋的完整性。這里有一個值得考慮的重要問題，那就是在保證這種完整性的基礎上，既不進行過度審計，也不要造成審計不足的局面。為避免這種問題的產生，審計師需要仔細考慮如何判斷使用正確的檢驗測試次數，從而把審計風險降低到可接受水平。
　　4.數據應用。審計師在確定企業關鍵業務系統，并獲得對企業數據庫系統訪問授權，數據開始訪問以及數據完整性得到檢驗以后，需要思考怎樣應用這些數據。實施連續審計的一個主要目的就是要從整個企業的各種管理信息系統中提取數據并進行綜合分析。例如，如果規定所有超過規定金額的物資采購都需要檢驗核實采購詳單，但是由于采購的詳細信息和付款數據資料是分散儲存在不同的業務系統里，那么實施連續審計時，就需要結合采購訂單發票與付款數據資料信息來檢驗規定金額以上的采購交易事項，從而測試這種內部控制的可靠性。 　　（三）連續控制評估與連續風險評估
　　1.連續控制評估。對企業業務流程以及財務報告的產生進行嚴密控制非常重要，審計師需要通過連續的控制評估以確保企業設立的控制是有效的。使用預先定義的控制測試進行單獨的企業業務數據分析有助于實施連續控制評估活動。通常，這些測試以COSO框架為參考依據，審計師實施連續控制評估，需要仔細考察企業的經營環境、內部控制措施，以便識別其存在的、當前還不足以暴露企業風險的控制弱點，同時也需要仔細評估審查企業內部控制體系以保證其預定的功能。連續控制主要包括：
　　（1）確定控制目標。利用信息系統審計的信息及相關技術的控制目標框架可以幫助審計師發現關鍵控制點。企業高級管理層應該支持審計師查明主要業務活動流程和其他業務關鍵流程，然后逐步明確相關的控制目標。例如，關于采購申請的業務流程控制類別應該包括請購、記錄編輯、材料訂購與修改等。
　?。?）確定關鍵控制點。審計師需要對那些能夠高效合理使用企業資源的內部控制措施予以高度關注。良好的內部控制措施對抑制欺詐舞弊、防止資源浪費具有重要的作用，但這些控制措施可能沒有按照管理層的預期發揮應有的作用，或者由于企業內部和外部環境的變化已經變得不夠充分。比如，當企業發生了新的資產并購，業務流程進行了重新設計，這些可能會對原有的內部控制造成不利影響甚至破壞。所以審計師應該清醒地認識到有些內部控制措施可能已經失效或者無法完全執行，審計師需要努力確定企業的關鍵控制點。
　?。?）控制測試分析。審計師需要逐一分析各個控制目標。必須關注的問題是假如控制目標沒有實現，那么數據也就失去了意義。為尋求適當的風險敞口，審計師需要設計和實施控制測試。例如，由于材料采購單申請需要經過適當的授權才能生效，并且必須遵守預先設定的限額等控制要求，所以需要開發設計測試程序，以便及時查明那些沒有經過授權的材料請購單、那些沒有資格授權的人予以授權的采購單，以及為了規避最高限額的限制而故意分成多份材料的請購單。
　　2.連續風險評估。企業進行風險管理的主要目標是對企業的宏觀戰略、業務流程、技術能力等進行優化，并增強評估與管理企業運營中各種不確定性的能力，這些不確定性對企業戰略目標的實現會造成不利影響，所以，風險管理對企業而言不可或缺。國際內部審計師協會第2110號準則規定，審計師應當幫助企業識別并評估風險敞口，審計師在計劃階段所實施的各種活動都需要以風險評估為重要基礎。連續風險評估主要包括：
　　（1）評估企業風險管理。在實施連續風險評估時要求審計師首先確定，企業的管理層是否已經計劃和執行了風險管理活動。如果調查發現企業正在實施風險管理活動，那么審計師就必須考察企業是否充分和嚴格執行了這項活動。如果最終考察發現這項活動沒有得到有效執行，審計師就需要從頭開始進行連續風險評估，同時也需要更加嚴格的執行。2004年9月，美國反虛假財務報告委員會管理組織下屬的發起組織委員會發布了《企業風險管理——整合框架》的最終文本，這對企業風險管理框架的評估具有很好的借鑒意義。
　?。?）識別潛在風險。為了評估和度量企業的風險，審計師必須牢牢把握企業的戰略目標、關鍵的業務目標等。同時，審計師也需要查明企業的運營業務流程中，什么地方有可能會發生非同尋常的例外事件，產生異常的不利結果。審計師必須清楚企業內外環境的改變，并分析這種變化對企業實現其目標所產生的各種影響。審計師需要認識到企業可能產生的風險范圍，并需要警覺其潛在的不利影響。
　?。?）確定風險敞口的不利后果。實施連續風險評估時需要關注風險的類別，一般而言，這些風險包括監管、法律、治理、戰略、財務、人力資源、技術、信息等，對風險進行適當的分類有助于對風險的識別和評估。沒有進行適當控制的風險會對組織的健全發展造成影響，風險分類能夠幫助審計師聚焦于那些對實現企業業務目標產生不利影響的各種事件。風險對企業會產生各種不利后果，例如資財上的盜竊或者損失，企業關鍵數據的損壞或者敏感數據的丟失，這些風險需要引起審計師的高度關注。另外，即使審計師確定了企業所有的關鍵風險問題點，但是囿于及時處置這些風險的必要條件，也會導致風險敞口的持續存在。審計師除了需要不斷識別和評估企業風險外，還需要理解企業的風險偏好、對待風險的態度，并按照一定的次序予以排定。
　?。?）評估風險水平。風險水平有兩個重要的衡量指標，即風險發生的可能性以及風險產生后果的嚴重性。風險發生的可能性是指導致企業利益發生損失的概率大小，風險產生后果的嚴重性是指企業發生利益損失的程度衡量。審計師對企業風險進行評估需要仔細審查各種內部控制制度，以便盡可能地減少和降低這些風險發生的概率和損失程度。
　?。?）收集與分析數據。收集與分析數據是實施連續風險評估的最后一步，數據是指那些支撐企業的關鍵業務流程，以及有可能引發高風險的事項數據。審計師需要收集企業內不同級別層次的數據進行評估，并對可能產生的風險進行判斷。企業領導層和信息技術部門負責人能夠幫助審計師建立風險相關數據警示指標，對這些指標數據的測量不應太復雜，并且指標數據能夠與風險層次相互對應。連續風險評估有助于當前制定的審計計劃，特別是在確定審計項目的范圍時會有所幫助。
　?。ㄋ模┕芾砗头治鰧徲嫿Y果
　　實施連續審計需要對詳細的交易事項及其產生的數據進行實時的定期檢驗，其執行的頻率與企業業務流程和系統的風險程度密切相關，另外還與企業管理層是否充分有效地實施了內部控制相關。關鍵的控制項目交易數據常常成為審計師實時分析的對象。執行連續審計測試的頻率并沒有標準的答案，一般而言，在控制審計成本的前提下，多實施總比少實施要好。對風險評估事項每月進行一次可能比較恰當，對物資采購的交易測試可能需要每周進行一次，而要求跟蹤個人管理行為的測試最好每天都實施一次（Chan D，2011）。連續審計的一個好處是能夠減少風險與控制評估的成本，這是因為程序自動化以后，測試的數量和頻率很容易擴展。 　　在審計師確定了連續審計執行的頻率以后，還必須仔細考慮監管的要求，以及企業實施內部控制在多大程度上防止了風險問題的發生，并由此確定在什么程度上可以信賴連續審計實施，從而減少詳細控制測試。為此，審計師需要評估以下因素：（1）企業具體的內部控制措施。（2）管理信息系統訪問是否安全。（3）對控制產生的異常問題。（4）企業業務活動流程記錄。（5）對企業具體業務活動測試參數的審計記錄。當連續審計測試開始實施后，審計負責人需要復核審計結果，以便查明問題點。
　　執行連續審計的一個主要難點在于控制異常交易以及對發現的風險進行有效應對。在第一次執行連續審計時，對許多異常交易事項必須進一步鑒別，以判斷它們是否屬于正常情況，若查明這些異常交易并不值得審計師額外關注，此時，就需要不斷調整連續審計系統的各種測試參數，以便這些事項出現時不會連續地發出警報。在連續審計系統不斷完善以后，審計師就可以更加信賴這個系統，并能夠有效確定企業內部控制缺陷，以及值得關注的重大風險點。執行連續審計的過程中，如果發現了異常交易事項，則需要對它們進行排序以便采取進一步的行動，如果這些事項與管理部門有關，管理部門應該給出進一步行動的時間安排。審計師需要再一次執行連續審計活動，以便識別企業是否實施了控制弱點的補救措施。
　　審計師必須清楚，執行連續審計程序時要盡量避免被人為操縱以及無效的分析，需要保證預先設定的指標能夠對風險和控制的變化及時做出反映，并且不受其他方面的控制影響。連續審計活動也需要考慮安全和控制等方面，例如，企業的敏感信息需要保密，對審計階段性的結果進行預覽需要適當的授權和控制，不同測試參數和臨界值的設定也需要進行控制。另外，因為連續審計能夠審查控制弱點與風險敞口，并且識別欺詐行為，所以審計師需要保證訪問測試的參數與結果都是安全的。恰當實施連續審計，有助于保障企業的內部控制制度，并能夠有效管理和應對風險。實施連續審計需要保持一定的靈活性，要緊隨企業內部和外部控制環境的變化而相應改變。審計師需要在一定時期后對連續審計實施的效率和效果進行檢查，檢查各種控制測試參數和臨界值的設定是否合理，是否需要適度調高或調低。
　　【主要參考文獻】
　　[ 1 ] Cerullo，M.V.，Cerullo，M.J.Impact of SAS no 94 on Computer Aided Audit Techniques[J].Information Systems Control Journal，2003，（01）：66-78.
　　[ 2 ] Rezaee Z，Sharbatoghlie A，Elam R，McMickle P.Continuous auditing： building automated auditing capability[J].Auditing J Pract Theory，2002，21（1）：147-163.
　　[ 3 ] Alles G，Kogan A，Vasarhelyi MA.Putting continuous auditing theory into practice：lessons from two pilot implementations[J].J Inf Syst，2008，22（2）：195-214.
　　[ 4 ] Ronald M.Hoffer，the value of continuous auditing[J].Internal Auditing，2007，（06）：1-19.
　　[ 5 ] Chan D，Vasarhelyi M.Innovation and practice of continuous auditing[J].Account Information System，2011，（12）：152-160.
　　【作者簡介】
　　金治中，男，會計學博士，海南熱帶海洋學院，副教授;研究方向：會計理論、計算機審計。
轉載注明來源:http://www.hailuomaifang.com/2/view-14802277.htm