【精编推荐】全球技术审计必备指南

【精编推荐】全球技术审计必备指南

GLOBALTECHNOLOGYAUDITAUID E

全球技术审计指南（第3号）

（2005年9月公布）

ContinuousAuditing: ImplicationsforAssurance,

Monitoring,andRiskAssessment

连续审计：对保证、监控和风险评估的意义

Author

DavidCoderre,RoyalCanadianMountedPolice(RCMP)

作者

戴维德·科德里（加拿大皇家骑警）

SubjectMatterExperts

JohnG.Verver,ACLServicesLtd.

DonaldJ.Warren,CenterforContinuousAuditing,RutgersUniversity

主题专家

约翰·G·沃沃（ACL公司）

唐纳德·J·倭仁（鲁特格斯大学，连续审计研究中心）

湘潭大学商学院阳杰译（2006年11月）

*注：原指南附录部分由于篇幅限制，未加翻译

作者水平有限，如有错误之处，请email到yang-jie1891@ 目录

今天的法规环境下，首席审计师们都发现他们的部门变得越来越被为满足遵循要求的监控和内部控制测试所吞噬。但是，大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻负担，并提升效率和生产率，推动经营绩效。

这份全球技术审计指南“连续审计：对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略，结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续控制监控方案能够最好地提升审计实践，以满足当今对有效控制地高度要求。ACL能够帮助你证明适当的技术投资的好处，并且支持持续的遵循需要，增加运营效率，并对提高收益有帮助。

第一部分首席审计师简述

对风险管理和控制系统的有效性进行及时和连续的保证的需求非常关键。组织频繁地暴露在重大错误、舞弊或者无效率下，这些会导致财务损失和风险升级。一个变化的法规环境，经营的全球化，市场方面要求改善经营的压力，以及快速变化的商业环境要求更加及时和连续地对正在运行的控制的有效性和风险水平正在降低作出保证。

这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加，尤其是由于法规的原因，例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关，还与内部审计师在评价内部控制的有效性、风险管理和治理流程中保持独立性和客观性的能力能力有关。

今天，内部审计师面临着的挑战来自一系列的领域：

1、法规的遵循和控制：评价和识别事件和流程，可持续性，资源，定义重要性，优先级和财务报告风险。

2、内部审计价值和独立性：对内部审计的高度期望，内部控制问题的增加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的削弱。

3、舞弊：侦测和控制，识别盗窃，舞弊管理责任，舞弊频率和成本的增加。

4、可用的熟练审计资源：缺乏能胜任的和合适的熟练审计师，审计师短缺，持续力，对风险和控制缺乏理解。

5、技术：支持遵循的合适的解决方案，技术经营模型，信息安全，信息技术优势，外部采购。

显然，必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。

一、连续审计

传统的内部审计所对控制测试是一种向后看的周期性方式，通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、批准和调节的评价。现在，这种方式被视为一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计是一种以更加频繁的方式来自动执行控制和风险评估的方法。

技术是施行这样一种方法的关键。连续审计改变了审计模式，它将对交易样本的周期性测试变为对100％的样本进行连续性测试。它已在

许多层次上已成了现代审计不可缺少的部分。它也应该紧密与管理行为（如行为监控，平衡计分卡和企业风险管理框架）结合在一起。连续审计方式能让内部审计师完全理解关键控制点、控制规则和例外情况。通过对的自动化和经常性的分析，他们能够实时地或接近实时地执行控制和风险评估。他们能从交易层面的异常和控制缺陷和出现风险的数据驱动指标两方面来分析关键业务流程。最后，通过连续审计，分析结果将被整合进审计程序的所有方面，从制定和维持这个企业审计计划到开展和继续特定的审计。

二、连续审计/连续监控的必要性：整合法

按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注，将连续审计和连续监控结合在一起将是一种理想的方法。

连续监控管理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了管理层对评价内部控制的充分性和有效性的责任。这包含识别控制目标和保证声明（assuranceassertion）以及建立自动化的测试程序来找出遵循失败的活动和交易。许多管理层实施的对控制的连续监控技术与内部审计师执行连续审计所用技术类似。

管理层使用连续监控程序，结合内部审计师执行的连续审计，能够满足对控制程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。

对组织的一种重要的额外好处是错误和舞弊事件的显著减少，经营效率也得到了提高，线下项目（bottom-line）的结果也通过成本的减

少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发现他们迅速地获得了投资回报。

商业和法规环境，以及出台的审计准则，驱使审计师和管理层更加有效地利用信息和数据分析技术，作为连续审计和连续监控的可行基本因素之一。

三、内部审计和管理层的角色

管理层对评价风险和设计、实施、连续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由管理层实施的组织的风险管理系统和控制的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和控制系统，以及在诸如萨班斯法案等法规下，就管理层关心的控制状况的可靠性提供保证。理想的情况是，内部审计不是控制监控流程的一部分，并且没有设计或维护这些控制，从而能够使他们的独立性得以保持。

尽管对内部控制的监控是一种管理职能，内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。管理层事先执行的监控水平将直接影响审计师实施连续审计。在管理层已经对某项内部控制进行连续监控的情况下，在连续审计时，相同层次的详细交易测试就无需再进行。取而代之的是，审计师能够关注审计程序，来决定管理层监控程序有效性，借助这种测试的结果来调整范围、数字和审计测试的频率。

四、连续审计的作用

连续审计的作用依赖于对对内部控制的连续性测试的智能性和有效