全球技術(shù)審計指南（第3號）-連續(xù)審計：對保證、監(jiān)控和風(fēng)險評估的意義(doc60頁).doc

GLOBAL TECHNOLOGY AUDIT AUIDE全球技術(shù)審計指南（第3號）（2005 年 9 月公布）Continuous Auditing: Implications for Assurance,Monitoring, and Risk Assessment連續(xù)審計：對保證、監(jiān)控和風(fēng)險評估的意義AuthorDavid Coderre, Royal Canadian Mounted Police (RCMP)作者戴維德科德里（加拿大皇家騎警）Subject Matter ExpertsJohn G. Verver, ACL Services Ltd.Donald J. Warren, Center for Continuous Auditing, Rutgers University主題專家約翰G沃沃（ACL公司）唐納德J倭仁（魯特格斯大學(xué)，連續(xù)審計研究中心）湘潭大學(xué)商學(xué)院 陽杰譯（2006年11月）*注：原指南附錄部分由于篇幅限制，未加翻譯作者水平有限，如有錯誤之處，請email到目錄1 首席審計師簡述11.1 連續(xù)審計21.2 連續(xù)審計/連續(xù)監(jiān)控的必要性：整合法31.3 內(nèi)部審計和管理層的角色41.4 連續(xù)審計的作用41.5 實施的問題52 導(dǎo)言62.1 連續(xù)審計：一個簡史72.2 當(dāng)今的審計環(huán)境82.3 COSO的企業(yè)風(fēng)險管理（ERM）框架92.4 內(nèi)部審計行為和管理層的角色122.5 連續(xù)審計和監(jiān)控的好處123 需要澄清的一些關(guān)鍵概念和術(shù)語143.1 連續(xù)審計的連續(xù)系統(tǒng)174 連續(xù)審計于連續(xù)保證和連續(xù)監(jiān)控的關(guān)系184.1 連續(xù)保證184.2 連續(xù)監(jiān)控194.3 連續(xù)審計205 連續(xù)審計的應(yīng)用領(lǐng)域225.1 應(yīng)用于連續(xù)控制評估245.2 應(yīng)用于連續(xù)風(fēng)險評估296 實施連續(xù)審計366.1 連續(xù)審計目標(biāo)376.2 連續(xù)控制和風(fēng)險評估的關(guān)系476.3 連續(xù)風(fēng)險評估516.4 管理和報告結(jié)果536.5 挑戰(zhàn)和其他要考慮的因素57今天的法規(guī)環(huán)境下，首席審計師們都發(fā)現(xiàn)他們的部門變得越來越被為滿足遵循要求的監(jiān)控和內(nèi)部控制測試所吞噬。但是，大多數(shù)的運(yùn)營和財務(wù)審計行為保留下來了。許多內(nèi)部審計部門正借助技術(shù)來減輕負(fù)擔(dān)，并提升效率和生產(chǎn)率，推動經(jīng)營績效。這份全球技術(shù)審計指南“連續(xù)審計：對保證、監(jiān)控和風(fēng)險評估的意義”給首席審計師們提供關(guān)于如何實施一個理想的策略，結(jié)合連續(xù)審計和連續(xù)監(jiān)控方案來應(yīng)對這些挑戰(zhàn)。ACL的數(shù)據(jù)分析技術(shù)和連續(xù)控制監(jiān)控方案能夠最好地提升審計實踐，以滿足當(dāng)今對有效控制地高度要求。ACL能夠幫助你證明適當(dāng)?shù)募夹g(shù)投資的好處，并且支持持續(xù)的遵循需要，增加運(yùn)營效率，并對提高收益有幫助。第一部分 首席審計師簡述對風(fēng)險管理和控制系統(tǒng)的有效性進(jìn)行及時和連續(xù)的保證的需求非常關(guān)鍵。組織頻繁地暴露在重大錯誤、舞弊或者無效率下，這些會導(dǎo)致財務(wù)損失和風(fēng)險升級。一個變化的法規(guī)環(huán)境，經(jīng)營的全球化，市場方面要求改善經(jīng)營的壓力，以及快速變化的商業(yè)環(huán)境要求更加及時和連續(xù)地對正在運(yùn)行的控制的有效性和風(fēng)險水平正在降低作出保證。這些要求給首席審計師們和他們的職員不斷增加壓力。內(nèi)部審計部門卷入遵循工作的程度持續(xù)增加，尤其是由于法規(guī)的原因，例如美國2002年的薩班斯法案第404節(jié)。關(guān)注度的提高不僅與期望值的增長有關(guān)，還與內(nèi)部審計師在評價內(nèi)部控制的有效性、風(fēng)險管理和治理流程中保持獨(dú)立性和客觀性的能力能力有關(guān)。今天，內(nèi)部審計師面臨著的挑戰(zhàn)來自一系列的領(lǐng)域：1、 法規(guī)的遵循和控制：評價和識別事件和流程，可持續(xù)性，資源，定義重要性，優(yōu)先級和財務(wù)報告風(fēng)險。2、 內(nèi)部審計價值和獨(dú)立性：對內(nèi)部審計的高度期望，內(nèi)部控制問題的增加，對內(nèi)部審計角色可靠性和獨(dú)立性的困惑，客觀性和獨(dú)立性的削弱。3、 舞弊：偵測和控制，識別盜竊，舞弊管理責(zé)任，舞弊頻率和成本的增加。4、 可用的熟練審計資源：缺乏能勝任的和合適的熟練審計師，審計師短缺，持續(xù)力，對風(fēng)險和控制缺乏理解。5、 技術(shù)：支持遵循的合適的解決方案，技術(shù)經(jīng)營模型，信息安全，信息技術(shù)優(yōu)勢，外部采購。顯然，必須要有一種新的、能夠提供連續(xù)的、建設(shè)性的和劃算的方法來解決這些問題。一、連續(xù)審計傳統(tǒng)的內(nèi)部審計所對控制測試是一種向后看的周期性方式，通常是在經(jīng)營行為發(fā)生后的幾個月后進(jìn)行。測試程序也是基于抽樣的方式，還包括一些諸如對政策、程序、批準(zhǔn)和調(diào)節(jié)的評價?，F(xiàn)在，這種方式被視為一種僅僅能夠提供內(nèi)部審計師一個狹窄范圍的評價的審計方法，通常由于太遲而是去了對經(jīng)營績效和法規(guī)遵循的價值。連續(xù)審計是一種以更加頻繁的方式來自動執(zhí)行控制和風(fēng)險評估的方法。技術(shù)是施行這樣一種方法的關(guān)鍵。連續(xù)審計改變了審計模式，它將對交易樣本的周期性測試變?yōu)閷?00的樣本進(jìn)行連續(xù)性測試。它已在許多層次上已成了現(xiàn)代審計不可缺少的部分。它也應(yīng)該緊密與管理行為（如行為監(jiān)控，平衡計分卡和企業(yè)風(fēng)險管理框架）結(jié)合在一起。連續(xù)審計方式能讓內(nèi)部審計師完全理解關(guān)鍵控制點(diǎn)、控制規(guī)則和例外情況。通過對的自動化和經(jīng)常性的分析，他們能夠?qū)崟r地或接近實時地執(zhí)行控制和風(fēng)險評估。他們能從交易層面的異常和控制缺陷和出現(xiàn)風(fēng)險的數(shù)據(jù)驅(qū)動指標(biāo)兩方面來分析關(guān)鍵業(yè)務(wù)流程。最后，通過連續(xù)審計，分析結(jié)果將被整合進(jìn)審計程序的所有方面，從制定和維持這個企業(yè)審計計劃到開展和繼續(xù)特定的審計。二、連續(xù)審計/連續(xù)監(jiān)控的必要性：整合法按照首席審計師們對遵循努力的負(fù)擔(dān)、資源的缺乏以及保持審計獨(dú)立的必要性的關(guān)注，將連續(xù)審計和連續(xù)監(jiān)控結(jié)合在一起將是一種理想的方法。連續(xù)監(jiān)控管理層設(shè)計的為保證政策、程序和業(yè)務(wù)流程能有效運(yùn)行的程序。它指出了管理層對評價內(nèi)部控制的充分性和有效性的責(zé)任。這包含識別控制目標(biāo)和保證聲明（assurance assertion）以及建立自動化的測試程序來找出遵循失敗的活動和交易。許多管理層實施的對控制的連續(xù)監(jiān)控技術(shù)與內(nèi)部審計師執(zhí)行連續(xù)審計所用技術(shù)類似。管理層使用連續(xù)監(jiān)控程序，結(jié)合內(nèi)部審計師執(zhí)行的連續(xù)審計，能夠滿足對控制程序的有效性以及用于決策的信息的相關(guān)性和可靠性的保證需要。對組織的一種重要的額外好處是錯誤和舞弊事件的顯著減少，經(jīng)營效率也得到了提高，線下項目（bottom-line）的結(jié)果也通過成本的減少和過度支付及收入泄漏的減少得到改善。實施了連續(xù)審計和連續(xù)監(jiān)控的組織通常會發(fā)現(xiàn)他們迅速地獲得了投資回報。商業(yè)和法規(guī)環(huán)境，以及出臺的審計準(zhǔn)則，驅(qū)使審計師和管理層更加有效地利用信息和數(shù)據(jù)分析技術(shù)，作為連續(xù)審計和連續(xù)監(jiān)控的可行基本因素之一。三、內(nèi)部審計和管理層的角色管理層對評價風(fēng)險和設(shè)計、實施、連續(xù)維護(hù)組織內(nèi)部的控制負(fù)有主要責(zé)任。內(nèi)部審計師的行為要對識別和評價由管理層實施的組織的風(fēng)險管理系統(tǒng)和控制的有效性負(fù)責(zé)。審計師進(jìn)行評價以給審計委員會和高層經(jīng)理在風(fēng)險的狀態(tài)和控制系統(tǒng)，以及在諸如薩班斯法案等法規(guī)下，就管理層關(guān)心的控制狀況的可靠性提供保證。理想的情況是，內(nèi)部審計不是控制監(jiān)控流程的一部分，并且沒有設(shè)計或維護(hù)這些控制，從而能夠使他們的獨(dú)立性得以保持。盡管對內(nèi)部控制的監(jiān)控是一種管理職能，內(nèi)部審計師行為能夠使用和借助連續(xù)審計來強(qiáng)化整個組織的監(jiān)控和評價環(huán)境。管理層事先執(zhí)行的監(jiān)控水平將直接影響審計師實施連續(xù)審計。在管理層已經(jīng)對某項內(nèi)部控制進(jìn)行連續(xù)監(jiān)控的情況下，在連續(xù)審計時，相同層次的詳細(xì)交易測試就無需再進(jìn)行。取而代之的是，審計師能夠關(guān)注審計程序，來決定管理層監(jiān)控程序有效性，借助這種測試的結(jié)果來調(diào)整范圍、數(shù)字和審計測試的頻率。四、連續(xù)審計的作用連續(xù)審計的作用依賴于對對內(nèi)部控制的連續(xù)性測試的智能性和有效性，及時提示控制缺口和薄弱環(huán)節(jié)存在的風(fēng)險，并允許立即的追蹤和進(jìn)行補(bǔ)救。通過改變他們的審計方式，審計師將能夠更好地理解經(jīng)營環(huán)境和公司風(fēng)險以支持遵循和提高經(jīng)營績效。五、實施的問題首席審計師必須認(rèn)識到連續(xù)審計將改變審計模式，包括證據(jù)的特征、時間、程序和內(nèi)部審計師所需的努力水平。這將給審計部門提出要求，尤其是他們必須：1、 獲得和促成審計委員會和高級管理層支持這個概念并實施連續(xù)審計。2、 開發(fā)和保持技術(shù)方面的能力，以保證訪問、操作和分析包含在相互分離系統(tǒng)中數(shù)據(jù)的能力。3、 使用（或?qū)嵤?shù)據(jù)分析技術(shù)來支持審計項目，包括使用合適的分析軟件工具，開發(fā)和維護(hù)數(shù)據(jù)分析技術(shù)，以及審計組中的專家。4、 發(fā)起、促進(jìn)和鼓勵管理層對連續(xù)審計的支持。5、 保證連續(xù)審計被采用作為風(fēng)險導(dǎo)向?qū)徲嬘媱澲型暾?、相容的一部分?、 管理和回應(yīng)連續(xù)審計的結(jié)果，決定合適的使用、跟蹤和報告機(jī)制。首席審計師將必須確保對審計發(fā)現(xiàn)報告的問題管理層已經(jīng)采取合適的行動，連續(xù)審計的結(jié)果在管理層的評價時要被考慮到，這些評價包括內(nèi)部控制的監(jiān)控，業(yè)績評價和企業(yè)風(fēng)險管理。這份國際內(nèi)部審計師協(xié)會（IIA）的全球技術(shù)審計指南（GTAG）確定了那些必須要做，以有效利用技術(shù)來支持連續(xù)審計，突出需要進(jìn)一步關(guān)注的領(lǐng)域。通過閱讀和遵照下面列出的步驟，內(nèi)部審計師應(yīng)該處于一個更好的位置來利用技術(shù)和最大化他們的投資回報，同時也要向管理層證明進(jìn)行適當(dāng)?shù)募夹g(shù)投資的必要性不僅對影響他們組織的法規(guī)遵循的需要起作用，而且對整個組織的健康和競爭力起作用。第二部分 導(dǎo)言這份全球技術(shù)審計指南將著重連續(xù)審計的技術(shù)可行性方面，并且將介紹：1、 過去30年間使用的類似概念的歷史和背景。2、 相關(guān)的術(shù)語和技術(shù)的定義：連續(xù)審計，連續(xù)性風(fēng)險評估，連續(xù)性控制評估，連續(xù)監(jiān)控，連續(xù)性鑒證。3、 連續(xù)審計與連續(xù)監(jiān)控的關(guān)系。4、 連續(xù)審計能在內(nèi)部審計行為中應(yīng)用的領(lǐng)域。5、 與連續(xù)審計有關(guān)的挑戰(zhàn)和機(jī)遇。6、 對內(nèi)部審計和首席審計師以及管理的影響。7、 一個連續(xù)審計自我評估工具。 自1980年以來，許多的名詞與實時或接近實時地提供連續(xù)審計程序的概念有關(guān)系，包括：連續(xù)監(jiān)控、連續(xù)控制評估、連續(xù)審計。這份全球?qū)徲嬛改鲜紫冉y(tǒng)一使用“連續(xù)審計”的概念。它論述了作為連續(xù)審計的主要組成部分的連續(xù)控制評估和連續(xù)風(fēng)險評估。這份指南將監(jiān)控行為視為管理層的責(zé)任，同時還論述了審計和監(jiān)控的內(nèi)在聯(lián)系，以及內(nèi)部審計師在他們的角色中如何提供額外的保證來支持管理。當(dāng)前最顯著的一個連續(xù)審計的推動力就是高昂的法規(guī)遵循成本。在美國，一份2005年3月份的國際財務(wù)執(zhí)行官組織調(diào)查發(fā)現(xiàn)，每個組織的薩班斯法案的平均遵循成本超過了四百萬美元。由于絕大部分成本都與手工的、員工密集型（內(nèi)部資源和外部顧問的使用）有關(guān)。那么我們對2005年1月份AMR研究機(jī)構(gòu)所作的研究發(fā)現(xiàn)關(guān)鍵技術(shù)能夠用來減少的遵循成本超過25%就不會感到奇怪了。遵循的壓力迫使組織改進(jìn)他們對內(nèi)部控制進(jìn)行連續(xù)評價的方法。在這種情況下，美國證券交易委員會指出，“管理層和審計師必須運(yùn)用合理的判斷，在（薩班斯法案404條款）遵循流程中運(yùn)用嚴(yán)密的（TOP-DOWN）、風(fēng)險基礎(chǔ)的方法”。這就導(dǎo)致了對連續(xù)監(jiān)控（由管理層實施）和連續(xù)審計的關(guān)注不斷增加。支持一套完整的審計行為，連續(xù)審計不僅幫助支持對控制的保證，還包括風(fēng)險評估，識別舞弊、浪費(fèi)和濫用，審計計劃，跟蹤審計建議等審計行為。一、連續(xù)審計：一個簡史自動控制測試開始于20世紀(jì)60年代，當(dāng)時是通過安裝和執(zhí)行內(nèi)嵌審計模塊（EAMs）來實現(xiàn)的。但是，這些模塊難以建立和維護(hù)，而且只是在相關(guān)的少數(shù)組織中使用。在20世紀(jì)70年代后期，審計師開始離棄這種方法。到了20世紀(jì)80年代，審計職業(yè)中有些人開始接受并使用計算機(jī)輔助審計工具和技術(shù)（CAATTs）用于特殊的調(diào)查和分析。與此同時，連續(xù)監(jiān)控的概念首先是通過大量的學(xué)術(shù)文章介紹給審計師的。最基本的優(yōu)點(diǎn)就是使用連續(xù)的自動化的數(shù)據(jù)分析將幫助審計師識別風(fēng)險最高的領(lǐng)域，并作為決定他們的審計計劃的先導(dǎo)。但是，在很大程度上，審計師們并沒有對這種審計方法做好準(zhǔn)備。他們?nèi)狈θ菀自L問的合適軟件工具，以及技術(shù)資源和專家來克服數(shù)據(jù)訪問的挑戰(zhàn)，最重要的是，組織將是否支持這種新的與傳統(tǒng)審計方法很不一致的審計方式和方法。在20世紀(jì)90年代，在全球?qū)徲嬄殬I(yè)界內(nèi)，開始大范圍的不斷地接受數(shù)據(jù)分析解決方案，這些解決方案被視為支持有效進(jìn)行內(nèi)部控制測試的關(guān)鍵工具。這些技術(shù)用于檢查交易中某些發(fā)生的事件，這些事件是由于某項控制不存在或沒有適當(dāng)?shù)貓?zhí)行。它也能夠識別與控制標(biāo)準(zhǔn)不符的交易。此外，數(shù)據(jù)分析支持不是直接從交易數(shù)據(jù)中獲取證據(jù)的控制測試。例如，企業(yè)資源管理計劃（ERP）訪問和授權(quán)表格能夠用來分析保持適當(dāng)?shù)穆氊?zé)分離是否失效。但是，盡管有這些技術(shù)基礎(chǔ)，傳統(tǒng)審計程序通常依賴于典型的樣本，而不是對總體進(jìn)行評價，并且是在經(jīng)營（交易）行為發(fā)生一些時間后進(jìn)行分析的。所以，風(fēng)險和控制問題有大量的機(jī)會升級，并對經(jīng)營績效產(chǎn)生消極的影響。二、當(dāng)今的審計環(huán)境今天，經(jīng)營環(huán)境中信息系統(tǒng)功能的普及使得審計師能夠更加容易地訪問更加相關(guān)的信息，同時也包括對大量增加的數(shù)據(jù)和交易的管理和評價。此外，經(jīng)營的快節(jié)奏要求提升對控制問題識別和反應(yīng)。在美國像薩班斯法案的404條款之類的法規(guī)要求及時披露控制的缺陷，管理層要對內(nèi)部控制框架充分性作出保證。這些法規(guī)遵循的緊迫性、連續(xù)審計準(zhǔn)則、審計軟件的功能提升，既促使而且能夠讓審計師采納新的方法來評估信息和評價控制。首席審計師必須給高層管理者提供對內(nèi)部控制的健康運(yùn)行和組織內(nèi)的風(fēng)險水平作出連續(xù)的評價，而不是簡單的周期性的評價。今天的內(nèi)部審計師不僅僅是對控制進(jìn)行審計，他們還關(guān)注公司的風(fēng)險特征，而且在識別風(fēng)險領(lǐng)域來改善風(fēng)險管理流程中發(fā)揮關(guān)鍵作用。但是，如果他們不完全理解經(jīng)營流程和相關(guān)風(fēng)險，審計師只能僅僅執(zhí)行傳統(tǒng)的審計核查工作。連續(xù)審計給審計師提供了一個超脫傳統(tǒng)審計方式的局限、樣本的限制、撰寫標(biāo)準(zhǔn)公告、實時評價的機(jī)會，連續(xù)審計的關(guān)鍵部分是能夠在接近經(jīng)營行為發(fā)生或者在經(jīng)營行為發(fā)生的同時對交易進(jìn)行評價的連續(xù)審計模型。就像將第四部分中要詳細(xì)討論的一樣，影響內(nèi)部審計師應(yīng)用連續(xù)審計方式的一個關(guān)鍵因素是管理層已經(jīng)實施了用于連續(xù)控制監(jiān)控和識別控制缺陷和風(fēng)險指標(biāo)的系統(tǒng)的程度。連續(xù)審計測量某些關(guān)鍵特征，一旦某項參數(shù)符合，將會觸發(fā)審計師采取某種行為。在連續(xù)審計條件下，這里有兩種主要的行為：1、 連續(xù)控制評估：使審計師能夠盡早關(guān)注控制的缺陷。2、 連續(xù)風(fēng)險評估：突出正在遭受比期望風(fēng)險更高的程序或系統(tǒng)。連續(xù)審計的行為的頻率取決于程序或系統(tǒng)的固有風(fēng)險。此外，它可以從檢查關(guān)鍵的控制和風(fēng)險領(lǐng)域著手，在審計師獲得經(jīng)驗和能夠獲取與遵循、經(jīng)營效率和效果、財務(wù)報告的公允性等方面的可測量結(jié)果時，然后擴(kuò)大連續(xù)審計應(yīng)用領(lǐng)域的范圍。三、COSO的企業(yè)風(fēng)險管理（ERM）框架Treadway委員會下屬的發(fā)起組織委員會（COSO）發(fā)布的企業(yè)風(fēng)險管理整合框架鼓勵內(nèi)部審計師行為向管理層經(jīng)營方式靠攏：控制環(huán)境、風(fēng)險評估、信息與溝通、風(fēng)險監(jiān)控。COSO的ERM框架是原來的COSO內(nèi)部控制框架的擴(kuò)展。它增加了對內(nèi)部控制的關(guān)注，并且對企業(yè)風(fēng)險管理（ERM）進(jìn)行了更加充分的廣泛的論述。它的四個目標(biāo)策略、運(yùn)營、報告和遵循，給內(nèi)部審計師增加了評價內(nèi)部控制系統(tǒng)、識別和評估風(fēng)險的壓力。要完成這些任務(wù)，內(nèi)部審計必須改變它的傳統(tǒng)的角色，向關(guān)注公司目標(biāo)、策略、風(fēng)險管理和業(yè)務(wù)流程、關(guān)鍵控制行為轉(zhuǎn)變。連續(xù)審計關(guān)注的不單單是對控制和法規(guī)的遵循，而更注重改進(jìn)組織的經(jīng)營效率。連續(xù)審計同時還必須通過識別和評估風(fēng)險以及給管理層提供信息對整個組織的改進(jìn)作出貢獻(xiàn)，以更好地適應(yīng)變化的商業(yè)環(huán)境。它將在所有的COSO企業(yè)風(fēng)險管理組成部分方面給內(nèi)部審計以幫助。1、 內(nèi)部環(huán)境和目標(biāo)設(shè)置：通過正式確定連續(xù)審計的目標(biāo)和內(nèi)部審計的角色。2、 事項識別：通過開發(fā)一個系統(tǒng)來識別和報告事項以及應(yīng)對這些威脅和機(jī)遇的程序。3、 風(fēng)險評估：通過分析和評估風(fēng)險，考慮可能性和影響，從而給決定如何管理風(fēng)險提供基礎(chǔ)。4、 風(fēng)險反應(yīng)：通過考慮風(fēng)險的種類和關(guān)鍵行為，通過開發(fā)數(shù)據(jù)驅(qū)動方法來評估和回應(yīng)風(fēng)險。5、 控制行為：通過識別管理層和內(nèi)部控制的角色；證明控制評估不是一年一次的行為，而是一個持續(xù)關(guān)注的行為；自動化這些控制測試程序，使之盡可能接近實時運(yùn)行。6、 信息和溝通：通過促進(jìn)確保信息的精確性和關(guān)注事項的實時報告。7、 監(jiān)控和評價：通過提供獨(dú)立的評估來支持由管理層實施的連續(xù)監(jiān)控行為。圖1：COSO企業(yè)風(fēng)險管理框架合法目目標(biāo)標(biāo)告標(biāo)目營經(jīng)報戰(zhàn)略目標(biāo)子公司業(yè)務(wù)單位部門層面企業(yè)總體層面監(jiān)控信 息 和 溝 通控制活動風(fēng)險反應(yīng)風(fēng)險評估事項識別目標(biāo)制定內(nèi)部環(huán)境連續(xù)控制評估將允許內(nèi)部審計師評價管理監(jiān)控行為的充分性，并給審計委員會和高層管理員工提供控制正在有效運(yùn)行以及組織能夠快速改進(jìn)出現(xiàn)的缺陷快速反應(yīng)并及時改正的獨(dú)立保證。連續(xù)風(fēng)險評估使審計師能識別正在出現(xiàn)的使公司處于風(fēng)險的領(lǐng)域，將這些風(fēng)險區(qū)分優(yōu)先次序，以更加有效地分配有限的審計資源。但是，這些行為不能以任何方式妨礙管理層實施監(jiān)控和管理風(fēng)險的職能。監(jiān)控和評價是COSO的企業(yè)風(fēng)險管理作為一個有效控制框架的最后一個要素，也是一個組織朝持續(xù)改進(jìn)所做努力的關(guān)鍵成分。連續(xù)監(jiān)控包含管理層為保證政策、程序和經(jīng)營流程都有效地運(yùn)行，在適當(dāng)位置設(shè)置的程序。它提出了管理層評價控制的充分性和有效性的責(zé)任。這包含識別控制目標(biāo)和保證認(rèn)定，并建立自動化的測試程序?qū)⒆裱嚓P(guān)控制目標(biāo)和保證認(rèn)定失敗的交易凸顯出來。連續(xù)監(jiān)控的許多技術(shù)與內(nèi)部審計部門使用的連續(xù)審計技術(shù)是類似的。四、內(nèi)部審計行為和管理層的角色為了踐行管理者的角色，管理層對風(fēng)險評估和內(nèi)部控制的設(shè)計、實施和連續(xù)維護(hù)負(fù)有主要責(zé)任。內(nèi)部審計行為，根據(jù)它對管理層和董事會的職責(zé)，他對識別和評價組織的由管理層實施的風(fēng)險管理系統(tǒng)（內(nèi)部審計準(zhǔn)則2110）和控制（內(nèi)部審計準(zhǔn)則2120）的有效性負(fù)有責(zé)任。審計師和管理層之間的角色差異在于從事內(nèi)部控制和風(fēng)險評估工作時，各自對股東的責(zé)任的特征。審計師給股東提供保證服務(wù)；審計委員會和高層經(jīng)理重視風(fēng)險和控制系統(tǒng)的狀態(tài)；在法規(guī)方面，諸如薩班斯法案，以及管理層表現(xiàn)的對內(nèi)部控制的關(guān)注的可靠性。理想上，審計師并不是流程的一部分，也不是來設(shè)計和保持內(nèi)部控制的，這樣，審計師的客觀性和獨(dú)立性就能得以保持。五、連續(xù)審計和監(jiān)控的好處連續(xù)審計和監(jiān)控（由管理層實施）的結(jié)果是類似的，都包含提示或警告，這些提示或警告指出了控制的缺陷或高風(fēng)險水平。這些提示或警告能夠按優(yōu)先次序排列，這取決于風(fēng)險和控制缺陷的嚴(yán)重程度，這些提示或警告會分發(fā)給經(jīng)營流程或應(yīng)用系統(tǒng)的擔(dān)保人，運(yùn)營經(jīng)理，審計師，高級財務(wù)經(jīng)理，甚至法規(guī)制定者。管理層對這些提示的回應(yīng)能夠修補(bǔ)內(nèi)部控制缺陷和立即修正錯誤的交易。審計師對這些警告的回應(yīng)能夠從立即審計確認(rèn)的內(nèi)部控制系統(tǒng)到標(biāo)記一個領(lǐng)域以備將來審計。例如，對財務(wù)交易的持續(xù)審計，當(dāng)一個分類賬憑證超出了給定限額，以及留有非正常關(guān)聯(lián)賬戶的入口，測試可能給出一個提示。審計師的反應(yīng)可能取決于這是否視為一個單一項目這個反應(yīng)可能會是發(fā)送一個Email給這項交易的當(dāng)事人以得到相應(yīng)的解釋；也可能會視為一個系統(tǒng)的問題，對某個領(lǐng)域的財務(wù)審計可能狀況良好。使用連續(xù)審計進(jìn)行額外的測試來決定這些異常的特征能夠回答諸如以下問題：1、 日記賬憑證是給暫記賬戶留有入口，而且沒有在規(guī)定的時間內(nèi)進(jìn)行清除？2、 日記賬憑證是否給不正常的關(guān)聯(lián)賬戶留有入口？3、 受影響的賬戶是否可能會是諸如人工操縱收益之類的舞弊？4、 日記賬憑證的數(shù)量和類型與往年相比是否有異常？5、 個體之間登錄系統(tǒng)時是否做到了職責(zé)分離？6、 我們是否應(yīng)該提高或降低測試的標(biāo)準(zhǔn)？7、 財務(wù)比率是否與公司的期望相符？8、 近幾年的收益趨勢如何？這些趨勢與公司的期望（peer）以及總體的經(jīng)濟(jì)環(huán)境如何匹配？連續(xù)審計幫助審計師評價管理層的監(jiān)控功能的充分性。這讓首席審計師能給審計委員會和高級管理層提供對控制系統(tǒng)運(yùn)行的有效性作出保證，以及審計程序在識別和指出任何侵害中發(fā)揮作用。連續(xù)審計還識別和評估風(fēng)險領(lǐng)域，給審計師提供信息，審計師通過與管理層的溝通能夠幫助管理層減輕風(fēng)險。此外，他能夠用于幫助制定年度審計計劃，以將審計關(guān)注點(diǎn)和資源轉(zhuǎn)向高風(fēng)險領(lǐng)域。然而，連續(xù)審計最重要的優(yōu)勢之一在于它獨(dú)立于所審計的業(yè)務(wù)和財務(wù)系統(tǒng)和管理層實施的監(jiān)控。這能改善組織的管理和控制框架，并提供一個審計師能夠用來支持他們的獨(dú)立評價和評估行為的機(jī)制。連續(xù)審計還面臨著一些挑戰(zhàn)。這些技術(shù)需要被理解和控制。內(nèi)部審計師必須能夠訪問數(shù)據(jù)、軟件工具和技術(shù)，以及擁有能夠智能使用他們手頭所掌握的大量的公司財務(wù)和非財務(wù)信息的必要知識。連續(xù)審計帶來的機(jī)遇也對審計師和首席審計師提出了要求。第三部分 需要澄清的一些關(guān)鍵概念和術(shù)語已經(jīng)采取了各種嘗試來鼓勵審計師更好地使用電子信息，以改進(jìn)內(nèi)部審計行為的效率和效果。最近，多種術(shù)語已經(jīng)被用于這些嘗試，同時也導(dǎo)致了職業(yè)界認(rèn)識上的混亂。沒有一個清晰的、通用的術(shù)語，那么將會很難提升這些嘗試，成功的可能性也會減少。因此，實施連續(xù)審計首先要做的就是給定和傳播所有相關(guān)術(shù)語的清晰的定義。理解與連續(xù)審計相關(guān)的術(shù)語的關(guān)鍵在于理解控制和風(fēng)險是一個問題的兩個方面?？刂频拇嬖谑菫榱藥椭档惋L(fēng)險；識別控制缺陷能凸顯潛在的風(fēng)險領(lǐng)域。相反，通過檢查風(fēng)險，審計師能夠識別哪些地方需要控制和（和）控制沒有發(fā)生作用。盡管對控制和風(fēng)險的評估通常包含定量分析也包含定性分析，但是最大化的效率獲取是來自于最大化地利用技術(shù)。對審計師的挑戰(zhàn)是確保數(shù)據(jù)的利用和通用性，理解相關(guān)的業(yè)務(wù)流程和系統(tǒng)，最大化地運(yùn)用自動化。所以，這份全球?qū)徲嫾夹g(shù)指南關(guān)注的是支撐持續(xù)審計的技術(shù)輔助程序。保證可以認(rèn)為是第三方對事件狀態(tài)的意見，這個事件是關(guān)于一個特定的交易、業(yè)務(wù)或治理流程、風(fēng)險或整個業(yè)務(wù)流程中的財務(wù)績效的。審計保證是對控制的充分性和有效性，信息的完整性作出的聲明。管理層實施的持續(xù)控制監(jiān)控是有效保證策略的核心部分，但是，審計師仍然必須確保管理層的行為是充分的和有效的。連續(xù)保證的框架是聯(lián)結(jié)內(nèi)部審計師的獨(dú)立性評價行為：控制的狀態(tài)、組織內(nèi)部的風(fēng)險管理、評估管理監(jiān)控功能的充分性。圖2：連續(xù)保證的框架連續(xù)保證連續(xù)控制評估連續(xù)風(fēng)險評估對連續(xù)監(jiān)控的評估首席審計師必須保證所有的審計師、高級經(jīng)理和審計委員會理解內(nèi)部審計行為和管理層在使連續(xù)保證方程有效的角色和責(zé)任。以下的定義可能提供了額外的視角：1、連續(xù)審計是審計師為了在一個更持續(xù)、更頻繁的基礎(chǔ)上實施與審計相關(guān)的行為所采取的任何方法。它是一系列行為的聯(lián)合體，這些行為從連續(xù)控制評估延伸到連續(xù)風(fēng)險評估。連續(xù)風(fēng)險評估是關(guān)于控制風(fēng)險聯(lián)合體的所有行為。技術(shù)在識別例外和（或）異常、分析關(guān)鍵數(shù)據(jù)字段的模式、趨勢分析、從開始到結(jié)束的明細(xì)交易分析、控制測試和將組織的程序或系統(tǒng)根據(jù)不同的時點(diǎn)比較或與其他類似的單位比較等方面發(fā)揮著關(guān)鍵作用。2、連續(xù)控制評估是審計師采取的準(zhǔn)備用來進(jìn)行與內(nèi)部控制相關(guān)的保證的行為。通過連續(xù)控制評估，通過識別控制缺陷和侵害，審計師給審計委員會和高層經(jīng)理提供關(guān)于控制是否正在恰當(dāng)運(yùn)行的保證。單個的交易是通過一系列的控制規(guī)則來進(jìn)行監(jiān)控的，以提供關(guān)于系統(tǒng)內(nèi)部控制的保證，并強(qiáng)調(diào)例外情況。一系列定義良好的控制規(guī)則在控制程序或系統(tǒng)沒有按期望運(yùn)行或受到威脅時能夠及早地提供警告。內(nèi)部審計需要執(zhí)行連續(xù)控制評估行為的范圍取決于管理層履行其關(guān)于連續(xù)監(jiān)控的責(zé)任的程度。一個強(qiáng)有力的管理監(jiān)控系統(tǒng)將減少審計師必須執(zhí)行以對控制提供保證的詳細(xì)測試數(shù)量。3、連續(xù)風(fēng)險評估是審計師用來識別和評估風(fēng)險水平的行為。連續(xù)風(fēng)險評估通過檢查趨勢和比較（在單個程序或系統(tǒng)里，與之過去的表現(xiàn)相比較，與企業(yè)內(nèi)的其他的程序或系統(tǒng)相比）來識別和評估風(fēng)險水平。例如，生產(chǎn)線的表現(xiàn)可以和先前年度的結(jié)果相比較，就像是將一個企業(yè)的績效與所有的其他企業(yè)相比較一樣。這種比較能夠較早地警示某個程序或系統(tǒng)（審計主體）的風(fēng)險水平高于以前年度或其他主體。審計的反應(yīng)也因風(fēng)險的特征和水平而異。連續(xù)風(fēng)險評估能應(yīng)用于大范圍的審計領(lǐng)域，來選擇訪問點(diǎn)，來識別排除包含在審計計劃中的特定的審計或單位，或觸發(fā)對某個風(fēng)險增加但缺乏足夠解釋的單位的審計。它也能夠用來評價管理行為，來檢查審計建議是否得到合理的貫徹，經(jīng)營風(fēng)險水平是否正在減少。4、連續(xù)監(jiān)控是管理層為了確保政策、程序和業(yè)務(wù)流程能夠有效運(yùn)行而實施的一項程序。管理層識別關(guān)鍵控制點(diǎn)和實施自動化的測試來決定這些控制是否恰當(dāng)運(yùn)行。典型的持續(xù)監(jiān)控程序包括在給定的經(jīng)營流程領(lǐng)域內(nèi)，借助一組控制規(guī)則，自動測試所有的交易和系統(tǒng)行為。監(jiān)控通常是按天、周或月進(jìn)行，這取決于當(dāng)前的業(yè)務(wù)循環(huán)的特征。取決于特殊的控制規(guī)則和相關(guān)測試和初始參數(shù)，某些交易被標(biāo)記為控制例外事項，且告知管理層。管理層監(jiān)控也可能依靠關(guān)鍵績效指標(biāo)和其他績效評價行為。對監(jiān)控警報和提示作出回應(yīng)并立即修補(bǔ)控制缺陷和改正問題交易是管理層的責(zé)任。一、連續(xù)審計的連續(xù)系統(tǒng)連續(xù)審計幫助審計師識別和評估風(fēng)險，還在組織中建立智能和動態(tài)閥值來回應(yīng)變化。它也支持整個審計范圍的風(fēng)險識別和評估，幫助制定年度審計計劃，以及確定某項特定審計的審計目標(biāo)。因此，連續(xù)審計在很多層面上可以視為一個連續(xù)系統(tǒng)。同時，連續(xù)系統(tǒng)中的不同位置更加適合不同的工作，在連續(xù)系統(tǒng)中當(dāng)你執(zhí)行不同的任務(wù)時還可能超過一個位置。對連續(xù)審計的關(guān)注從控制基礎(chǔ)到風(fēng)險基礎(chǔ)（見圖3）；分析性技術(shù)從對明細(xì)交易的實時評價到對整個單位進(jìn)行趨勢分析以及與其他單位進(jìn)行比較分析，并且隨著時間進(jìn)行。圖3：連續(xù)審計的連續(xù)系統(tǒng)連續(xù)審計連續(xù)控制評估連續(xù)風(fēng)險評估方法控制基礎(chǔ) 風(fēng)險基礎(chǔ)（保證控制正在運(yùn)行）（識別/評估風(fēng)險）財務(wù)控制 財務(wù)/運(yùn)營控制關(guān)注點(diǎn)實時/詳細(xì)交易測試（財務(wù)數(shù)據(jù)）趨勢/比較（財務(wù)/運(yùn)營數(shù)據(jù)）分析技術(shù)控制保證 財務(wù)鑒證 舞弊/浪費(fèi)/濫用 審計范圍和目標(biāo) 追蹤審計記錄 年度審計計劃相關(guān)審計行為控制監(jiān)控 業(yè)績監(jiān)控 平衡計分卡 全面質(zhì)量管理 企業(yè)風(fēng)險管理相關(guān)管理行為注1：在這個連續(xù)系統(tǒng)的“控制”結(jié)尾，相關(guān)審計行為包括保證和財務(wù)鑒證審計。注2：連續(xù)系統(tǒng)的另一個結(jié)尾的審計行為包括通過風(fēng)險評估支持審計項目來識別舞弊、浪費(fèi)和濫用，并提交年度審計報告。注3：相關(guān)管理層行為包括連續(xù)控制監(jiān)控，績效監(jiān)控，平衡計分卡，全面質(zhì)量管理和企業(yè)風(fēng)險管理。連續(xù)審計是一個統(tǒng)一能夠帶來控制保證、風(fēng)險評估、審計計劃、數(shù)據(jù)分析以及其他審計工具、技術(shù)和科技結(jié)合在一起的統(tǒng)一結(jié)構(gòu)或框架。它支持微觀審計事項，例如明細(xì)交易測試來評價控制的有效性；宏觀審計方面，通過風(fēng)險識別和評估來準(zhǔn)備年度審計計劃。它也能滿足中觀層面的需求，例如為個別審計開發(fā)審計項目。微觀審計和宏觀審計兩個層次的主要區(qū)別在于兩者信息需求的粒度不同：1、控制測試需要細(xì)節(jié)信息：需要深入交易的源頭層次。連續(xù)控制評估使用仔細(xì)制定的規(guī)則和實時的或接近實時的，測試交易對這些規(guī)則的遵循情況。2、個別審計通常開始于年度審計計劃中的風(fēng)險識別，但使用更多的數(shù)據(jù)分析和其他技術(shù)（如訪問，自我控制評估，實地觀察walkthrough，調(diào)查問卷）來進(jìn)一步定義風(fēng)險的主要領(lǐng)域和風(fēng)險評估的關(guān)注點(diǎn)和后續(xù)的審計行為。3、年度審計計劃需要高層次的信息，可能是幾年的價值數(shù)據(jù)，來建立風(fēng)險因素，并將風(fēng)險排序，設(shè)置審計計劃開始的時間和目標(biāo)。第四部分 連續(xù)審計與連續(xù)保證和連續(xù)監(jiān)控的關(guān)系一、連續(xù)保證前文已提到，保證被描述為第三方對事件狀態(tài)的意見。它通常包括三個方面：1、準(zhǔn)備信息的個人或團(tuán)體。2、使用這些信息來進(jìn)行決策的個人或團(tuán)體。3、客觀存在的第三方。通常，保證被視為一項嚴(yán)格的審計相關(guān)行為，通常具有財務(wù)方面的特征。但是其他的，諸如法律界也提供保證服務(wù)。審計保證是對控制的充分性和有效性以及信息的完整性發(fā)表意見。管理層對控制的連續(xù)監(jiān)控是有效保證策略的核心，但是，審計行為還必須保證管理層行為是充分和有效的。內(nèi)部審計通過客觀檢查所獲取的證據(jù)以提供對風(fēng)險管理策略和實踐，管理控制框架和實踐，用于決策和報告的信息的保證服務(wù)。連續(xù)保證服務(wù)能夠在審計師執(zhí)行連續(xù)控制和風(fēng)險評估（如連續(xù)審計）和評價管理層實施的連續(xù)監(jiān)控行為的充分性時提供。審計師檢查管理層的行為，證實控制都在運(yùn)行，提出改進(jìn)建議，確保風(fēng)險正在被控制。如果審計師在執(zhí)行諸如檢查和證實控制和風(fēng)險，確保管理層正在進(jìn)行監(jiān)控工作，那么組織將有一個對控制正在運(yùn)行，風(fēng)險正被控制，用于決策的信息具有完整性的高層次的保證。管理層在這個保證方程（assurance equation）中起著開發(fā)、設(shè)計和監(jiān)控控制和控制風(fēng)險的作用。二、連續(xù)監(jiān)控連續(xù)監(jiān)控是管理層設(shè)置的用于確保政策、程序和經(jīng)營流程都在有效運(yùn)行的程序。評價控制的充分性和有效性通常是管理層的責(zé)任。許多管理層使用的用于對控制的連續(xù)監(jiān)控技術(shù)與內(nèi)部審計師進(jìn)行連續(xù)審計所用技術(shù)類似。連續(xù)監(jiān)控的原則比較簡單，它包含以下幾個方面：1、在一個給定的經(jīng)營流程中定義控制點(diǎn)，如果可能的話可參照COSO的企業(yè)風(fēng)險管理框架。2、對每個控制點(diǎn)識別控制目標(biāo)和保證聲明。3、建立一系列的自動化的測試，以指出某項交易是否沒有遵循所有的相關(guān)控制目標(biāo)和保證聲明。4、在接近交易發(fā)生的同時，將所有的交易進(jìn)行測試。5、調(diào)查沒有通過控制測試的所有交易。6、如果合適的話，可以更正這項交易。7、如果合適的話，更正控制薄弱環(huán)節(jié)。連續(xù)監(jiān)控的關(guān)鍵是這些程序必須由管理層掌控并由管理層來執(zhí)行，因為實施和保持有效控制系統(tǒng)是其職責(zé)的一部分。既然管理層對內(nèi)部控制負(fù)有責(zé)任，那么它就必須有一個連續(xù)的決定控制是否按設(shè)計在運(yùn)行的方法。通過實時地識別和更正控制的問題，整個的控制系統(tǒng)將得以改善。組織得到的一個典型的額外的好處是錯誤和舞弊顯著減少，經(jīng)營的效率得到了提高，通過成本的減少和過度支付（overpayment）和收入泄漏的減少，從而使線下項目的結(jié)果得以改善。三、連續(xù)審計管理層監(jiān)控和風(fēng)險管理行為的充分性與審計師必須執(zhí)行對內(nèi)部控制的詳細(xì)測試和風(fēng)險評估的程度，它們之間存在這一個反比的關(guān)系。連續(xù)審計運(yùn)用的方法和工作量取決于管理層實施的連續(xù)監(jiān)控行為的程度。圖4：反比關(guān)系：管理層付出的努力水平與審計行為對內(nèi)部控制的完全監(jiān)控對內(nèi)部控制的少量監(jiān)控減少工作量顯著的努力/更多的資源審計工作量管理層反應(yīng)在管理層還沒有實施連續(xù)監(jiān)控的地方，審計師必須借助連續(xù)審計技術(shù)進(jìn)行詳細(xì)測試。在某些情況下，審計師甚至可能主動來幫助組織建立風(fēng)險管理和控制評估程序（見國際內(nèi)部審計協(xié)會實務(wù)報告2100-4：審計師在一個沒有風(fēng)險管理程序組織中的作用）。但是，要注意的是審計師對這些程序中并不擁有所有者權(quán)，因為這會損害審計師的獨(dú)立性和客觀性。圖5：連續(xù)審計、監(jiān)控和保證（概念框架）連續(xù)保證連續(xù)審計和連續(xù)監(jiān)控程序的結(jié)果連續(xù)監(jiān)控審計測試連續(xù)審計審計連續(xù)監(jiān)控管理行為、交易和事件經(jīng)營系統(tǒng)和流程管理層全面地在經(jīng)營流程領(lǐng)域中從頭到尾地實施連續(xù)監(jiān)控，內(nèi)部審計師就無需執(zhí)行同樣的詳細(xì)測試來進(jìn)行連續(xù)審計。但是，審計師必須執(zhí)行其他的程序來決定他們是否可以依賴這個連續(xù)監(jiān)控程序。這些程序包括：1、評價偵測到的異常和管理層的反應(yīng)。2、評價和測試連續(xù)監(jiān)控程序本身的控制，例如： （1）處理日志/審計軌跡 （2）調(diào)節(jié)總額控制（control total reconciliations） （3）系統(tǒng)測試參數(shù)的變化通常，這些程序與那些在正常審計程序中為確保計算機(jī)輔助審計技術(shù)被正確應(yīng)用的質(zhì)量控制測試是相似的。通過結(jié)合評價監(jiān)控和連續(xù)審計程序，審計師能夠提供關(guān)于內(nèi)部控制有效性的保證。第五部分 連續(xù)審計的應(yīng)用領(lǐng)域?qū)?nèi)部審計部門而言所面臨的壓力是以較少的資源做更多的事情。也許最困難的挑戰(zhàn)來自于審計師必須對內(nèi)部控制的有效性及時作出保證，更好地識別和評估風(fēng)險水平，快速找出沒有遵循相關(guān)法規(guī)和政策的事項。這些就是連續(xù)審計可以應(yīng)用的領(lǐng)域。適用技術(shù)，從電子表格軟件或腳本開發(fā)使用特種審計軟件（scripts developed using audit-specific software）到商品化的專業(yè)解決方案軟件包或客戶自行開發(fā)的系統(tǒng)。這些選擇的解決方案必須是靈活的可升級的，允許審計師從某個特定的領(lǐng)域開始，然后擴(kuò)大范圍、規(guī)模和分析的頻率。盡管一些法定審計需要每年進(jìn)行一次，但是每年嚴(yán)格執(zhí)行這些審計已不能滿足管理和法規(guī)的需要。內(nèi)部審計行為必須應(yīng)用風(fēng)險評估和進(jìn)行控制保證行為。雖然需要更加關(guān)注財務(wù)方面的審計，連續(xù)審計支持所有類型和領(lǐng)域的審計行為。歐洲聯(lián)邦內(nèi)部審計機(jī)構(gòu)（ECIIA）在2005年意見書歐洲內(nèi)部審計中，鼓勵內(nèi)部審計師通過給管理層提供的關(guān)于風(fēng)險已經(jīng)被識別并且得到恰當(dāng)?shù)目刂频谋ＷC，對組織面臨的風(fēng)險作出反應(yīng)。審計師不僅必須能夠評價財務(wù)風(fēng)險，而且要能夠評價運(yùn)營風(fēng)險和策略風(fēng)險。這是持續(xù)審計所關(guān)注的新領(lǐng)域。用于測試控制的信息訪問技術(shù)和技術(shù)技能也能夠幫助首席審計師通過支持持續(xù)的評價企業(yè)風(fēng)險管理有效性的評價行為和對一些警告提出改進(jìn)建議，從而給管理層提供價值無法估量的幫助， 首席審計師通過給高層管理員工提供獨(dú)立的風(fēng)險和控制評估來支持其監(jiān)控職能。連續(xù)審計有一系列的功能來支持審計行為，首席審計師，通過以下的適用方法和服務(wù)，包括：1、風(fēng)險管理策略和實踐：通過及早識別風(fēng)險。2、管理控制框架的可靠性：通過找出控制薄弱環(huán)節(jié)。3、用于決策的信息：通過檢查管理者使用的信息的可靠性和可獲取性。4、包含在年度審計計劃中審計項目的選擇：通過識別更高風(fēng)險領(lǐng)域。5、實施有效的和及時的改正行為：通過檢驗審計建議的執(zhí)行情況。首席審計師必須認(rèn)識到許多的管理行為與連續(xù)審計有很強(qiáng)的聯(lián)系，例如整合風(fēng)險管理、平衡計分卡、連續(xù)改進(jìn)、連續(xù)監(jiān)控。審計必須決定那些地方適合連續(xù)審計，它如何能用于評估這些管理措施行為或者利用它們所產(chǎn)生的信息。實施連續(xù)審計框架的期望好處包括：1、增加減輕風(fēng)險的能力。2、減少評估內(nèi)部控制的成本。3、增加對財務(wù)結(jié)果的信心。4、財務(wù)運(yùn)營的改善。5、減少財務(wù)錯誤和潛在的舞弊。此外，完全運(yùn)用了連續(xù)審計的組織，通常會報告運(yùn)營成本的減少和邊際利潤的增加。一、應(yīng)用于連續(xù)控制評估（一）識別控制缺陷由于新的法規(guī)需要高層管理者證明控制環(huán)境的有效性，以及財務(wù)報告中所含信息的精確性，首席執(zhí)行官和首席財務(wù)官開始內(nèi)部審計行為來輔助遵循這些法規(guī)。盡管管理層對監(jiān)控、設(shè)計和維持控制負(fù)有責(zé)任以備廣泛認(rèn)可，國際內(nèi)部審計準(zhǔn)則2120號，A1節(jié)指出內(nèi)部審計行為“應(yīng)該通過評價內(nèi)部控制的有效性和效率性，以及促進(jìn)持續(xù)改進(jìn)來輔助組織保持有效的控制”。由于這些外部和內(nèi)部的壓力，特別是在一些管理層沒有恰當(dāng)發(fā)揮其監(jiān)控角色的作用，審計師通常需要執(zhí)行一個更加全面的評估和提供更加連續(xù)的控制評估。這對內(nèi)部審計流程和方法有顯著的影響。連續(xù)控制評估給讓首席審計師清楚地看到內(nèi)部控制系統(tǒng)的有效性。反過來，給財務(wù)經(jīng)理，經(jīng)營流程管理這和風(fēng)險及遵循經(jīng)理提供對內(nèi)部控制的獨(dú)立的和及時的保證。對關(guān)于內(nèi)部控制交易數(shù)據(jù)的連續(xù)控制評估能夠迅速找出錯誤和異常，將它們報告給管理層，以及時進(jìn)行檢查和采取行動。它也能對財務(wù)和運(yùn)營信息的可靠性和完整性，營運(yùn)的效率和效果起作用。連續(xù)控制評估還能夠?qū)B續(xù)的風(fēng)險評估和管理層減輕風(fēng)險的行為起作用?？刂坪惋L(fēng)險的評估是相互補(bǔ)充、相互支持。以下的一個關(guān)于內(nèi)部審計中應(yīng)用連續(xù)控制評估在財務(wù)控制、系統(tǒng)控制和安全控制等三個領(lǐng)域來支持管理層監(jiān)控功能。（二）財務(wù)控制：以采購卡項目為例一個全國性的采購卡管理員手工操作，每個季度只能對交易的極小樣本進(jìn)行評價。審計師決定管理層的對于采購的控制是薄弱的，那么暴露出來的風(fēng)險是否相當(dāng)?shù)母摺Ｔ谠u價采購卡使用的政策后，審計師進(jìn)行一系列的分析測試來識別：1、不恰當(dāng)?shù)牟少徔ㄊ褂?，包括與旅行支出有關(guān)的交易。2、用于個人項目的支付（如珠寶、酒，等等）。3、可疑交易（如未經(jīng)授權(quán)的持卡人使用，銷售商重復(fù)刷卡，分次付款以避免超過財務(wù)限額，等等）。分析的結(jié)果將提交給持卡者的經(jīng)理，以對這些可疑交易進(jìn)行詳細(xì)審查將采購卡的支出與商品采購相匹配。這識別出許多的不恰當(dāng)?shù)牟少徍鸵陨先N類型的舞弊。在審計完成后，連續(xù)控制評估應(yīng)用測試就轉(zhuǎn)向采購卡協(xié)調(diào)員，來幫助運(yùn)營經(jīng)理每個月對采購卡控制的監(jiān)控。（三）系統(tǒng)控制：以職責(zé)分離為例連續(xù)控制評估測試也能夠用來證實系統(tǒng)是否按期望值在起作用。使用分析技術(shù)，測試程序能夠比較個別交易和規(guī)則基礎(chǔ)標(biāo)準(zhǔn)，對所有的交易進(jìn)行評價以確保個體沒有執(zhí)行不相容的職責(zé)。在一個組織內(nèi)，新實施一個ERP系統(tǒng)，目的是用自動控制替代手工控制來確保職責(zé)的分離。ERP項目小組，通過業(yè)主的投入，開發(fā)一系列基于使用者角色的特色配置，這就允許使用者能夠根據(jù)自己的工作職責(zé)來處理各式各樣的業(yè)務(wù)。盡管審計師相信在開發(fā)基于角色的特色配置中的方法和程序，他們關(guān)心實際分配給使用者的特色配置，然后對交易進(jìn)行詳細(xì)檢查，以檢查哪些些地方職責(zé)分離沒有得到保持。審計師抽出當(dāng)年第一季度的所有處理的交易，然后利用數(shù)據(jù)分析技術(shù)來計算每個使用者處理過的交易（通過交易類型）。這發(fā)現(xiàn)兩個使用者首先建立采購安排，然后記錄相同采購安排的貨物接受交易。結(jié)果表明在基于角色的特色配置的設(shè)計中職責(zé)分離控制是薄弱的，因為這些是被視為不相容的職責(zé)。由于ERP系統(tǒng)經(jīng)歷了額外的變化例如，增加新的角色和改變現(xiàn)有角色運(yùn)行連續(xù)控制評估測試來證明沒有違反職責(zé)分離的情況。（四）安全控制：以系統(tǒng)登錄日志為例連續(xù)控制評估能夠測試安全控制，證明所有的系統(tǒng)使用者都是有效的員工，防止有企圖者侵入系統(tǒng)。在另一個組織的例子中，每周系統(tǒng)登錄日志被抽取出來，然后送交內(nèi)部審計部門。審計師抽取相關(guān)信息并將每個使用者與當(dāng)前的員工管理文件相匹配。所有的非員工使用者被標(biāo)記出來，然后一封郵件將自動發(fā)送給系統(tǒng)安全部門，讓其廢除該使用者的身份（ID）。此外，測試還檢查失敗的登錄日志。通過檢查發(fā)現(xiàn)一例在早上三點(diǎn)一個使用者ID有25次通過撥號登錄失敗。審計師通過這份報告來證明將登錄參數(shù)改為在諸如這類使用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。連續(xù)控制評估的潛在使用事實上是無限的。無論哪里暴露出問題，內(nèi)部審計師都能夠進(jìn)行一項測試或一系列的分析程序來搜索某人試圖利用控制缺口或薄弱環(huán)節(jié)的證據(jù)。在某些情況下，控制暴露出來的問題，包括潛在的舞弊、浪費(fèi)和濫用。這些測試的頻率和時間取決于潛在的經(jīng)營風(fēng)險和控制框架和管理監(jiān)控功能的充分性。（五）舞弊、浪費(fèi)和濫用國際內(nèi)部審計準(zhǔn)則1210號第A2節(jié)要求審計師對舞弊的信號擁有足夠的知識。第A3節(jié)也需要審計師對關(guān)鍵信息技術(shù)風(fēng)險、控制和可利用技術(shù)來開展他們工作的知識。使用技術(shù)來支持連續(xù)控制評估能夠幫助審計師檢查詳細(xì)交易，也包括匯總數(shù)據(jù)，識別異常和其他的舞弊、浪費(fèi)和濫用信號。例如，利用數(shù)據(jù)分析技術(shù)，審計師能夠容易識別那些地方超越了合約的授權(quán)（如合約超過了給個人規(guī)定的合同限額）和被逃避（avoid）（如撕毀合約）。在工薪領(lǐng)域，它能夠被用來識別薪水冊上的員工非員工數(shù)據(jù)庫中的員工或者識別薪金中的不正常比率。由于舞弊很大程度上是一種機(jī)會主義的犯罪，控制缺口和薄弱環(huán)節(jié)必須被找出來，如果可能的話，甚至消除它或者減少它。廣泛應(yīng)用的審計指南和準(zhǔn)則已直接地提到了對這種暴露問題的關(guān)注。例如，國際內(nèi)部審計準(zhǔn)則實務(wù)公告1210號第A2-1節(jié)：識別舞弊，第A2-2節(jié)：舞弊偵測的責(zé)任，需要審計師對可能的舞弊擁有充分的知識以識別它們的征兆。審計師必須意識到它會出什么問題，它怎么能出問題以及誰會牽涉其中。美國注冊會計師協(xié)會頒布的審計標(biāo)準(zhǔn)的公告第99號（SAS No.99）“考慮財務(wù)報告審計中的舞弊”也是出臺來幫助審計師偵測舞弊的。它比SAS No.82更進(jìn)一步，它包含的新的規(guī)定包括：1、集體討論舞弊的風(fēng)險。2、強(qiáng)調(diào)增加職業(yè)懷疑。3、確保管理者意識到舞弊。4、使用各種分析程序。5、偵測管理層踐踏內(nèi)部控制的情況。它也定義了舞弊財務(wù)報表和盜竊的風(fēng)險因素，這能夠被用來作為評估舞弊財務(wù)報告風(fēng)險的模型。在SAS No.99 中列出來的風(fēng)險因素包括：管理層狀況、競爭和經(jīng)營環(huán)境、運(yùn)營和財務(wù)的穩(wěn)定性。（六）結(jié)論和建議連續(xù)控制評估技術(shù)可能類似于管理層實施的連續(xù)監(jiān)控技術(shù)。在內(nèi)部審計師可以依賴管理層實施的連續(xù)監(jiān)控的地方，而無需采用相同層次的細(xì)節(jié)連續(xù)控制評估技術(shù)。取而代之的是，審計師能夠關(guān)注執(zhí)行其他的程序來提供連續(xù)的關(guān)于管理層的連續(xù)監(jiān)控程序的保證。但是，當(dāng)管理層監(jiān)控不充分時，審計師應(yīng)該借助連續(xù)控制評估技術(shù)來執(zhí)行詳細(xì)測試以評價控制的充分性。通過智能運(yùn)用分析技術(shù)，審計師能夠評估內(nèi)部控制框架的充分性，給審計委員會和高層經(jīng)理提供獨(dú)立的保證。連續(xù)控制評估并不需要在實時運(yùn)行。分析的頻率取決于風(fēng)險水平和管理層監(jiān)控控制的程度。例如，采購卡分析可能每月運(yùn)行一次在信用卡公司收到采購卡交易時進(jìn)行。薪金可以在每個付款周期使用，在支票出具之前進(jìn)行。對發(fā)票副本（duplicate invoice）的測試可以每天進(jìn)行。在某些情況下，審計師可能執(zhí)行初始的控制測試，然后將連續(xù)監(jiān)控移交給管理層。額外的應(yīng)用連續(xù)控制評估的例子包括：1、檢查交易數(shù)據(jù)：如標(biāo)記所有的嚴(yán)重超出采購卡的限額，包含有禁止采購商品的采購卡花費(fèi)。2、檢查匯總數(shù)據(jù)：如當(dāng)月的持卡者消費(fèi)匯總超過$10.000的情況和持卡人不在采購部門中的情況。3、借助比較分析：如匯總加班報酬然后與所有的其他在相同工種和層次的員工相比，以識別潛在的濫用加班（過量的、未經(jīng)授權(quán)的，等等）。4、測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超過25的賬戶，識別不正常的行為，如銷賬的增加。在所有的情況下，審計師能夠快速檢查所有的詳細(xì)交易來發(fā)現(xiàn)原因，然后快速地、容易地執(zhí)行所需的后續(xù)工作。二、應(yīng)用于連續(xù)風(fēng)險評估管理層負(fù)有開發(fā)和維持一個系統(tǒng)來識別和減輕風(fēng)險的責(zé)任，國際內(nèi)部審計準(zhǔn)則2110號指出，審計師應(yīng)該通過識別和評估重大的暴露在風(fēng)險下的項目來幫助組織，并在改進(jìn)風(fēng)險管理和控制系統(tǒng)中發(fā)揮作用。國際內(nèi)部審計準(zhǔn)則2010號鼓勵首席審計師建立風(fēng)險基礎(chǔ)的計劃來決定內(nèi)部審計行為的優(yōu)先次序，以與組織的目標(biāo)相一致。這兩項行為是相關(guān)的，審計師能夠利用連續(xù)風(fēng)險評估來識別和評估風(fēng)險水平的變化。這允許他們評估管理層的減輕風(fēng)險行為，支持制定個別審計目標(biāo)和年度審計計劃。連續(xù)風(fēng)險評估能夠連續(xù)地用來識