全球技術審計指南(第3號)-連續(xù)審計對保證、監(jiān)控和

1、.：.； 1 -GLOBAL TECHNOLOGY AUDIT AUIDE全球技術審計指南第3號2005 年 9 月公布Continuous Auditing: Implications for Assurance,Monitoring, and Risk Assessment延續(xù)審計：對保證、監(jiān)控和風險評價的意義AuthorDavid Coderre, Royal Canadian Mounted Police (RCMP)作者戴維德科德里加拿大皇家騎警Subject Matter ExpertsJohn G. Verver, ACL Services Ltd.Donald J. Warre

2、n, Center for Continuous Auditing, Rutgers主題專家約翰G沃沃ACL公司唐納德J倭仁魯特格斯大學，延續(xù)審計研討中心湘潭大學商學院 陽杰譯2006年11月*注：原指南附錄部分由于篇幅限制，未加翻譯作者程度有限，如有錯誤之處，請email到y(tǒng)ang-jie1891163目錄1 首席審計師簡述11.1 延續(xù)審計21.2 延續(xù)審計/延續(xù)監(jiān)控的必要性：整合法31.3 內部審計和管理層的角色41.4 延續(xù)審計的作用41.5 實施的問題52 導言62.1 延續(xù)審計：一個簡史72.2 當今的審計環(huán)境82.3 COSO的企業(yè)風險管理ERM框架92.4 內部審計行為和管理層

3、的角色122.5 延續(xù)審計和監(jiān)控的益處123 需求廓清的一些關鍵概念和術語143.1 延續(xù)審計的延續(xù)系統(tǒng)174 延續(xù)審計于延續(xù)保證和延續(xù)監(jiān)控的關系184.1 延續(xù)保證184.2 延續(xù)監(jiān)控194.3 延續(xù)審計205 延續(xù)審計的運用領域225.1 運用于延續(xù)控制評價245.2 運用于延續(xù)風險評價296 實施延續(xù)審計366.1 延續(xù)審計目的376.2 延續(xù)控制和風險評價的關系476.3 延續(xù)風險評價516.4 管理和報告結果536.5 挑戰(zhàn)和其他要思索的要素57今天的法規(guī)環(huán)境下，首席審計師們都發(fā)現(xiàn)他們的部門變得越來越被為滿足遵照要求的監(jiān)控和內部控制測試所吞噬。但是，大多數(shù)的運營和財務審計行為保管下來

4、了。許多內部審計部門正借助技術來減輕負擔，并提升效率和消費率，推進運營績效。這份全球技術審計指南“延續(xù)審計：對保證、監(jiān)控和風險評價的意義給首席審計師們提供關于如何實施一個理想的戰(zhàn)略，結合延續(xù)審計和延續(xù)監(jiān)控方案來應對這些挑戰(zhàn)。ACL的數(shù)據(jù)分析技術和延續(xù)控制監(jiān)控方案可以最好地提升審計實際，以滿足當今對有效控制地高度要求。ACL可以協(xié)助 他證明適當?shù)募夹g投資的益處，并且支持繼續(xù)的遵照需求，添加運營效率，并對提高收益有協(xié)助 。第一部分 首席審計師簡述對風險管理和控制系統(tǒng)的有效性進展及時和延續(xù)的保證的需求非常關鍵。組織頻繁地暴露在艱苦錯誤、舞弊或者無效率下，這些會導致財務損失和風險晉級。一個變化的法規(guī)環(huán)

5、境，運營的全球化，市場方面要求改善運營的壓力，以及快速變化的商業(yè)環(huán)境要求更加及時和延續(xù)地對正在運轉的控制的有效性和風險程度正在降低作出保證。這些要求給首席審計師們和他們的職員不斷添加壓力。內部審計部門卷入遵照任務的程度繼續(xù)添加，尤其是由于法規(guī)的緣由，例如美國2002年的薩班斯法案第404節(jié)。關注度的提高不僅與期望值的增長有關，還與內部審計師在評價內部控制的有效性、風險管理和治理流程中堅持獨立性和客觀性的才干才干有關。今天，內部審計師面臨著的挑戰(zhàn)一系列的領域：法規(guī)的遵照和控制：評價和識別事件和流程，可繼續(xù)性，資源，定義重要性，優(yōu)先級和財務報告風險。內部審計價值和獨立性：對內部審計的高度期望，內部

6、控制問題的添加，對內部審計角色可靠性和獨立性的困惑，客觀性和獨立性的減弱。舞弊：偵測和控制，識別盜竊，舞弊管理責任，舞弊頻率和本錢的添加。可用的熟練審計資源：缺乏能勝任的和適宜的熟練審計師，審計師短缺，繼續(xù)力，對風險和控制缺乏了解。技術：支持遵照的適宜的處理方案，技術運營模型，信息平安，信息技術優(yōu)勢，外部采購。顯然，必需求有一種新的、可以提供延續(xù)的、建立性的和劃算的方法來處理這些問題。一、延續(xù)審計傳統(tǒng)的內部審計所對控制測試是一種向后看的周期性方式，通常是在運營行為發(fā)生后的幾個月后進展。測試程序也是基于抽樣的方式，還包括一些諸如對政策、程序、同意和調理的評價。如今，這種方式被視為一種僅僅可以提供

7、內部審計師一個狹窄范圍的評價的審計方法，通常由于太遲而是去了對運營績效和法規(guī)遵照的價值。延續(xù)審計是一種以更加頻繁的方式動執(zhí)行控制和風險評價的方法。技術是施行這樣一種方法的關鍵。延續(xù)審計改動了審計方式，它將對買賣樣本的周期性測試變?yōu)閷?00的樣本進展延續(xù)性測試。它已在許多層次上已成了現(xiàn)代審計不可短少的部分。它也應該嚴密與管理行為如行為監(jiān)控，平衡計分卡和企業(yè)風險管理框架結合在一同。延續(xù)審計方式能讓內部審計師完全了解關鍵控制點、控制規(guī)那么和例外情況。經(jīng)過對的自動化和經(jīng)常性的分析，他們可以實時地或接近實時地執(zhí)行控制和風險評價。他們能從買賣層面的異常和控制缺陷和出現(xiàn)風險的數(shù)據(jù)驅動目的兩方面來分析關鍵業(yè)務

8、流程。最后，經(jīng)過延續(xù)審計，分析結果將被整合進審計程序的一切方面，從制定和維持這個企業(yè)審計方案到開展和繼續(xù)特定的審計。二、延續(xù)審計/延續(xù)監(jiān)控的必要性：整合法按照首席審計師們對遵照努力的負擔、資源的缺乏以及堅持審計獨立的必要性的關注，將延續(xù)審計和延續(xù)監(jiān)控結合在一同將是一種理想的方法。延續(xù)監(jiān)控管理層設計的為保證政策、程序和業(yè)務流程能有效運轉的程序。它指出了管理層對評價內部控制的充分性和有效性的責任。這包含識別控制目的和保證聲明assurance assertion以及建立自動化的測試程序來找出遵照失敗的活動和買賣。許多管理層實施的對控制的延續(xù)監(jiān)控技術與內部審計師執(zhí)行延續(xù)審計所用技術類似。管理層運用延

9、續(xù)監(jiān)控程序，結合內部審計師執(zhí)行的延續(xù)審計，可以滿足對控制程序的有效性以及用于決策的信息的相關性和可靠性的保證需求。對組織的一種重要的額外益處是錯誤和舞弊事件的顯著減少，運營效率也得到了提高，線下工程bottom-line的結果也經(jīng)過本錢的減少和過度支付及收入走漏的減少得到改善。實施了延續(xù)審計和延續(xù)監(jiān)控的組織通常會發(fā)現(xiàn)他們迅速地獲得了投資報答。商業(yè)和法規(guī)環(huán)境，以及出臺的審計準那么，驅使審計師和管理層更加有效地利用信息和數(shù)據(jù)分析技術，作為延續(xù)審計和延續(xù)監(jiān)控的可行根本要素之一。三、內部審計和管理層的角色管理層對評價風險和設計、實施、延續(xù)維護組織內部的控制負有主要責任。內部審計師的行為要對識別和評價由

10、管理層實施的組織的風險管理系統(tǒng)和控制的有效性擔任。審計師進展評價以給審計委員會和高層經(jīng)理在風險的形狀和控制系統(tǒng)，以及在諸如薩班斯法案等法規(guī)下，就管理層關懷的控制情況的可靠性提供保證。理想的情況是，內部審計不是控制監(jiān)控流程的一部分，并且沒有設計或維護這些控制，從而可以使他們的獨立性得以堅持。雖然對內部控制的監(jiān)控是一種管理職能，內部審計師行為可以運用和借助延續(xù)審計來強化整個組織的監(jiān)控和評價環(huán)境。管理層事先執(zhí)行的監(jiān)控程度將直接影響審計師實施延續(xù)審計。在管理層曾經(jīng)對某項內部控制進展延續(xù)監(jiān)控的情況下，在延續(xù)審計時，一樣層次的詳細買賣測試就無需再進展。取而代之的是，審計師可以關注審計程序，來決議管理層監(jiān)控

11、程序有效性，借助這種測試的結果來調整范圍、數(shù)字和審計測試的頻率。四、延續(xù)審計的作用延續(xù)審計的作用依賴于對對內部控制的延續(xù)性測試的智能性和有效性，及時提示控制缺口和薄弱環(huán)節(jié)存在的風險，并允許立刻的追蹤和進展補救。經(jīng)過改動他們的審計方式，審計師將可以更好地了解運營環(huán)境和公司風險以支持遵照和提高運營績效。五、實施的問題首席審計師必需認識到延續(xù)審計將改動審計方式，包括證據(jù)的特征、時間、程序和內部審計師所需的努力程度。這將給審計部門提出要求，尤其是他們必需：獲得和促成審計委員會和高級管理層支持這個概念并實施延續(xù)審計。開發(fā)和堅持技術方面的才干，以保證訪問、操作和分析包含在相互分別系統(tǒng)中數(shù)據(jù)的才干。運用或實

12、施數(shù)據(jù)分析技術來支持審計工程，包括運用適宜的分析軟件工具，開發(fā)和維護數(shù)據(jù)分析技術，以及審計組中的專家。發(fā)起、促進和鼓勵管理層對延續(xù)審計的支持。保證延續(xù)審計被采用作為風險導向審計方案中完好的、相容的一部分。管理和回應延續(xù)審計的結果，決議適宜的運用、跟蹤和報告機制。首席審計師將必需確保對審計發(fā)現(xiàn)報告的問題管理層曾經(jīng)采取適宜的行動，延續(xù)審計的結果在管理層的評價時要被思索到，這些評價包括內部控制的監(jiān)控，業(yè)績評價和企業(yè)風險管理。這份國際內部審計師協(xié)會IIA的全球技術審計指南GTAG確定了那些必需求做，以有效利用技術來支持延續(xù)審計，突出需求進一步關注的領域。經(jīng)過閱讀和遵照下面列出的步驟，內部審計師應該處于

13、一個更好的位置來利用技術和最大化他們的投資報答，同時也要向管理層證明進展適當?shù)募夹g投資的必要性不僅對影響他們組織的法規(guī)遵照的需求起作用，而且對整個組織的安康和競爭力起作用。第二部分 導言這份全球技術審計指南將著重延續(xù)審計的技術可行性方面，并且將引見：過去30年間運用的類似概念的歷史和背景。相關的術語和技術的定義：延續(xù)審計，延續(xù)性風險評價，延續(xù)性控制評價，延續(xù)監(jiān)控，延續(xù)性鑒證。延續(xù)審計與延續(xù)監(jiān)控的關系。延續(xù)審計能在內部審計行為中運用的領域。與延續(xù)審計有關的挑戰(zhàn)和機遇。對內部審計和首席審計師以及管理的影響。一個延續(xù)審計自我評價工具。 自1980年以來，許多的名詞與實時或接近實時地提供延續(xù)審計程序的

14、概念有關系，包括：延續(xù)監(jiān)控、延續(xù)控制評價、延續(xù)審計。這份全球審計指南首先一致運用“延續(xù)審計的概念。它論述了作為延續(xù)審計的主要組成部分的延續(xù)控制評價和延續(xù)風險評價。這份指南將監(jiān)控行為視為管理層的責任，同時還論述了審計和監(jiān)控的內在聯(lián)絡，以及內部審計師在他們的角色中如何提供額外的保證來支持管理。當前最顯著的一個延續(xù)審計的推進力就是高昂的法規(guī)遵照本錢。在美國，一份2005年3月份的國際財務執(zhí)行官組織調查發(fā)現(xiàn)，每個組織的薩班斯法案的平均遵照本錢超越了四百萬美圓。由于絕大部分本錢都與手工的、員工密集型內部資源和外部顧問的運用有關。那么我們對2005年1月份AMR研討機構所作的研討發(fā)現(xiàn)關鍵技術可以用來減少的

15、遵照本錢超越25%就不會感到奇異了。遵照的壓力迫使組織改良他們對內部控制進展延續(xù)評價的方法。在這種情況下，美國證券買賣委員會指出，“管理層和審計師必需運用合理的判別，在薩班斯法案404條款遵照流程中運用嚴密的TOP-DOWN、風險根底的方法。這就導致了對延續(xù)監(jiān)控由管理層實施和延續(xù)審計的關注不斷添加。支持一套完好的審計行為，延續(xù)審計不僅協(xié)助 支持對控制的保證，還包括風險評價，識別舞弊、浪費和濫用，審計方案，跟蹤審計建議等審計行為。一、延續(xù)審計：一個簡史自動控制測試開場于20世紀60年代，當時是經(jīng)過安裝和執(zhí)行內嵌審計模塊EAMs來實現(xiàn)的。但是，這些模塊難以建立和維護，而且只是在相關的少數(shù)組織中運用

16、。在20世紀70年代后期，審計師開場離棄這種方法。到了20世紀80年代，審計職業(yè)中有些人開場接受并運用計算機輔助審計工具和技術CAATTs用于特殊的調查和分析。與此同時，延續(xù)監(jiān)控的概念首先是經(jīng)過大量的學術文章引見給審計師的。最根本的優(yōu)點就是運用延續(xù)的自動化的數(shù)據(jù)分析將協(xié)助 審計師識別風險最高的領域，并作為決議他們的審計方案的先導。但是，在很大程度上，審計師們并沒有對這種審計方法做好預備。他們缺乏容易訪問的適宜軟件工具，以及技術資源和專家來抑制數(shù)據(jù)訪問的挑戰(zhàn)，最重要的是，組織將能否支持這種新的與傳統(tǒng)審計方法很不一致的審計方式和方法。在20世紀90年代，在全球審計職業(yè)界內，開場大范圍的不斷地接受數(shù)

17、據(jù)分析處理方案，這些處理方案被視為支持有效進展內部控制測試的關鍵工具。這些技術用于檢查買賣中某些發(fā)生的事件，這些事件是由于某項控制不存在或沒有適當?shù)貓?zhí)行。它也可以識別與控制規(guī)范不符的買賣。此外，數(shù)據(jù)分析支持不是直接從買賣數(shù)據(jù)中獲取證據(jù)的控制測試。例如，企業(yè)資源管理方案ERP訪問和授權表格可以用來分析堅持適當?shù)穆氊煼謩e能否失效。但是，雖然有這些技術根底，傳統(tǒng)審計程序通常依賴于典型的樣本，而不是對總體進展評價，并且是在運營買賣行為發(fā)生一些時間后進展分析的。所以，風險和控制問題有大量的時機晉級，并對運營績效產生消極的影響。二、當今的審計環(huán)境今天，運營環(huán)境中信息系統(tǒng)功能的普及使得審計師可以更加容易地訪

18、問更加相關的信息，同時也包括對大量添加的數(shù)據(jù)和買賣的管理和評價。此外，運營的快節(jié)拍要求提升對控制問題識別和反響。在美國像薩班斯法案的404條款之類的法規(guī)要求及時披露控制的缺陷，管理層要對內部控制框架充分性作出保證。這些法規(guī)遵照的緊迫性、延續(xù)審計準那么、審計軟件的功能提升，既促使而且可以讓審計師采用新的方法來評價信息和評價控制。首席審計師必需給高層管理者提供對內部控制的安康運轉和組織內的風險程度作出延續(xù)的評價，而不是簡單的周期性的評價。今天的內部審計師不僅僅是對控制進展審計，他們還關注公司的風險特征，而且在識別風險領域來改善風險管理流程中發(fā)揚關鍵作用。但是，假設他們不完全了解運營流程和相關風險，

19、審計師只能僅僅執(zhí)行傳統(tǒng)的審計核對任務。延續(xù)審計給審計師提供了一個超脫傳統(tǒng)審計方式的局限、樣本的限制、撰寫規(guī)范公告、實時評價的時機，延續(xù)審計的關鍵部分是可以在接近運營行為發(fā)生或者在運營行為發(fā)生的同時對買賣進展評價的延續(xù)審計模型。就像將第四部分中要詳細討論的一樣，影響內部審計師運用延續(xù)審計方式的一個關鍵要素是管理層曾經(jīng)實施了用于延續(xù)控制監(jiān)控和識別控制缺陷和風險目的的系統(tǒng)的程度。延續(xù)審計丈量某些關鍵特征，一旦某項參數(shù)符合，將會觸發(fā)審計師采取某種行為。在延續(xù)審計條件下，這里有兩種主要的行為：延續(xù)控制評價：使審計師可以盡早關注控制的缺陷。延續(xù)風險評價：突出正在蒙受比期望風險更高的程序或系統(tǒng)。延續(xù)審計的行

20、為的頻率取決于程序或系統(tǒng)的固有風險。此外，它可以從檢查關鍵的控制和風險領域著手，在審計師獲得閱歷和可以獲取與遵照、運營效率和效果、財務報告的公允性等方面的可丈量結果時，然后擴展延續(xù)審計運用領域的范圍。三、COSO的企業(yè)風險管理ERM框架Treadway委員會下屬的發(fā)起組織委員會COSO發(fā)布的企業(yè)風險管理整合框架鼓勵內部審計師行為向管理層運營方式靠攏：控制環(huán)境、風險評價、信息與溝通、風險監(jiān)控。COSO的ERM框架是原來的COSO內部控制框架的擴展。它添加了對內部控制的關注，并且對企業(yè)風險管理ERM進展了更加充分的廣泛的論述。它的四個目的戰(zhàn)略、運營、報告和遵照，給內部審計師添加了評價內部控制系統(tǒng)、

21、識別和評價風險的壓力。要完成這些義務，內部審計必需改動它的傳統(tǒng)的角色，向關注公司目的、戰(zhàn)略、風險管理和業(yè)務流程、關鍵控制行為轉變。延續(xù)審計關注的不單單是對控制和法規(guī)的遵照，而更注重改良組織的運營效率。延續(xù)審計同時還必需經(jīng)過識別和評價風險以及給管理層提供信息對整個組織的改良作出奉獻，以更好地順應變化的商業(yè)環(huán)境。它將在一切的COSO企業(yè)風險管理組成部分方面給內部審計以協(xié)助 。內部環(huán)境和目的設置：經(jīng)過正式確定延續(xù)審計的目的和內部審計的角色。事項識別：經(jīng)過開發(fā)一個系統(tǒng)來識別和報告事項以及應對這些要挾和機遇的程序。風險評價：經(jīng)過分析和評價風險，思索能夠性和影響，從而給決議如何管理風險提供根底。風險反響：

22、經(jīng)過思索風險的種類和關鍵行為，經(jīng)過開發(fā)數(shù)據(jù)驅動方法來評價和回應風險?？刂菩袨椋航?jīng)過識別管理層和內部控制的角色；證明控制評價不是一年一次的行為，而是一個繼續(xù)關注的行為；自動化這些控制測試程序，使之盡能夠接近實時運轉。信息和溝通：經(jīng)過促進確保信息的準確性和關注事項的實時報告。監(jiān)控和評價：經(jīng)過提供獨立的評價來支持由管理層實施的延續(xù)監(jiān)控行為。圖1：COSO企業(yè)風險管理框架合法目目標標告標目營經(jīng)報戰(zhàn)略目標子公司業(yè)務單位部門層面企業(yè)總體層面監(jiān)控信 息 和 溝 通控制活動風險反應風險評估事項識別目標制定內部環(huán)境合法目目標標告標目營經(jīng)報戰(zhàn)略目標子公司業(yè)務單位部門層面企業(yè)總體層面監(jiān)控信 息 和 溝 通控制活動風

23、險反應風險評估事項識別目標制定內部環(huán)境延續(xù)控制評價將允許內部審計師評價管理監(jiān)控行為的充分性，并給審計委員會和高層管理員工提供控制正在有效運轉以及組織可以快速改良出現(xiàn)的缺陷快速反響并及時矯正的獨立保證。延續(xù)風險評價使審計師能識別正在出現(xiàn)的使公司處于風險的領域，將這些風險區(qū)分優(yōu)先次序，以更加有效地分配有限的審計資源。但是，這些行為不能以任何方式妨礙管理層實施監(jiān)控和管理風險的職能。監(jiān)控和評價是COSO的企業(yè)風險管理作為一個有效控制框架的最后一個要素，也是一個組織朝繼續(xù)改良所做努力的關鍵成分。延續(xù)監(jiān)控包含管理層為保證政策、程序和運營流程都有效地運轉，在適當位置設置的程序。它提出了管理層評價控制的充分性

24、和有效性的責任。這包含識別控制目的和保證認定，并建立自動化的測試程序將遵照相關控制目的和保證認定失敗的買賣凸顯出來。延續(xù)監(jiān)控的許多技術與內部審計部門運用的延續(xù)審計技術是類似的。四、內部審計行為和管理層的角色為了踐行管理者的角色，管理層對風險評價和內部控制的設計、實施和延續(xù)維護負有主要責任。內部審計行為，根據(jù)它對管理層和董事會的職責，他對識別和評價組織的由管理層實施的風險管理系統(tǒng)內部審計準那么2110和控制內部審計準那么2120的有效性負有責任。審計師和管理層之間的角色差別在于從事內部控制和風險評價任務時，各自對股東的責任的特征。審計師給股東提供保證效力；審計委員會和高層經(jīng)理注重風險和控制系統(tǒng)的

25、形狀；在法規(guī)方面，諸如薩班斯法案，以及管理層表現(xiàn)的對內部控制的關注的可靠性。理想上，審計師并不是流程的一部分，也不是來設計和堅持內部控制的，這樣，審計師的客觀性和獨立性就能得以堅持。五、延續(xù)審計和監(jiān)控的益處延續(xù)審計和監(jiān)控由管理層實施的結果是類似的，都包含提示或警告，這些提示或警告指出了控制的缺陷或高風險程度。這些提示或警告可以按優(yōu)先次序陳列，這取決于風險和控制缺陷的嚴重程度，這些提示或警告會分發(fā)給運營流程或運用系統(tǒng)的擔保人，運營經(jīng)理，審計師，高級財務經(jīng)理，甚至法規(guī)制定者。管理層對這些提示的回應可以修補內部控制缺陷和立刻修正錯誤的買賣。審計師對這些警告的回應可以從立刻審計確認的內部控制系統(tǒng)到標志

26、一個領域以備未來審計。例如，對財務買賣的繼續(xù)審計，當一個分類賬憑證超出了給定限額，以及留有非正常關聯(lián)賬戶的入口，測試能夠給出一個提示。審計師的反響能夠取決于這能否視為一個單一工程這個反響能夠會是發(fā)送一個Email給這項買賣的當事人以得到相應的解釋；也能夠會視為一個系統(tǒng)的問題，對某個領域的財務審計能夠情況良好。運用延續(xù)審計進展額外的測試來決議這些異常的特征可以回答諸如以下問題：日記賬憑證是給暫記賬戶留有入口，而且沒有在規(guī)定的時間內進展去除？日記賬憑證能否給不正常的關聯(lián)賬戶留有入口？受影響的賬戶能否能夠會是諸如人工支配收益之類的舞弊？日記賬憑證的數(shù)量和類型與往年相比能否有異常？個體之間登錄系統(tǒng)時能

27、否做到了職責分別？我們能否應該提高或降低測試的規(guī)范？財務比率能否與公司的期望相符？近幾年的收益趨勢如何？這些趨勢與公司的期望peer以及總體的經(jīng)濟環(huán)境如何匹配？延續(xù)審計協(xié)助 審計師評價管理層的監(jiān)控功能的充分性。這讓首席審計師能給審計委員會和高級管理層提供對控制系統(tǒng)運轉的有效性作出保證，以及審計程序在識別和指出任何損害中發(fā)揚作用。延續(xù)審計還識別和評價風險領域，給審計師提供信息，審計師經(jīng)過與管理層的溝通可以協(xié)助 管理層減輕風險。此外，他可以用于協(xié)助 制定年度審計方案，以將審計關注點和資源轉向高風險領域。然而，延續(xù)審計最重要的優(yōu)勢之一在于它獨立于所審計的業(yè)務和財務系統(tǒng)和管理層實施的監(jiān)控。這能改善組織

28、的管理和控制框架，并提供一個審計師可以用來支持他們的獨立評價和評價行為的機制。延續(xù)審計還面臨著一些挑戰(zhàn)。這些技術需求被了解和控制。內部審計師必需可以訪問數(shù)據(jù)、軟件工具和技術，以及擁有可以智能運用他們手頭所掌握的大量的公司財務和非財務信息的必要知識。延續(xù)審計帶來的機遇也對審計師和首席審計師提出了要求。第三部分 需求廓清的一些關鍵概念和術語曾經(jīng)采取了各種嘗試來鼓勵審計師更好地運用電子信息，以改良內部審計行為的效率和效果。最近，多種術語曾經(jīng)被用于這些嘗試，同時也導致了職業(yè)界認識上的混亂。沒有一個明晰的、通用的術語，那么將會很難提升這些嘗試，勝利的能夠性也會減少。因此，實施延續(xù)審計首先要做的就是給定和

29、傳播一切相關術語的明晰的定義。了解與延續(xù)審計相關的術語的關鍵在于了解控制和風險是一個問題的兩個方面。控制的存在是為了協(xié)助 降低風險；識別控制缺陷能凸顯潛在的風險領域。相反，經(jīng)過檢查風險，審計師可以識別哪些地方需求控制和和控制沒有發(fā)生作用。雖然對控制和風險的評價通常包含定量分析也包含定性分析，但是最大化的效率獲取是于最大化地利用技術。對審計師的挑戰(zhàn)是確保數(shù)據(jù)的利用和通用性，了解相關的業(yè)務流程和系統(tǒng)，最大化地運用自動化。所以，這份全球審計技術指南關注的是支撐繼續(xù)審計的技術輔助程序。保證可以以為是第三方對事件形狀的意見，這個事件是關于一個特定的買賣、業(yè)務或治理流程、風險或整個業(yè)務流程中的財務績效的。

30、審計保證是對控制的充分性和有效性，信息的完好性作出的聲明。管理層實施的繼續(xù)控制監(jiān)控是有效保證戰(zhàn)略的中心部分，但是，審計師依然必需確保管理層的行為是充分的和有效的。延續(xù)保證的框架是結合內部審計師的獨立性評價行為：控制的形狀、組織內部的風險管理、評價管理監(jiān)控功能的充分性。圖2：延續(xù)保證的框架延續(xù)保證延續(xù)控制評價延續(xù)風險評價對延續(xù)監(jiān)控的評價首席審計師必需保證一切的審計師、高級經(jīng)理和審計委員會了解內部審計行為和管理層在使延續(xù)保證方程有效的角色和責任。以下的定義能夠提供了額外的視角：1、延續(xù)審計是審計師為了在一個更繼續(xù)、更頻繁的根底上實施與審計相關的行為所采取的任何方法。它是一系列行為的結合體，這些行為

31、從延續(xù)控制評價延伸到延續(xù)風險評價。延續(xù)風險評價是關于控制風險結合體的一切行為。技術在識別例外和或異常、分析關鍵數(shù)據(jù)字段的方式、趨勢分析、從開場到終了的明細買賣分析、控制測試和將組織的程序或系統(tǒng)根據(jù)不同的時點比較或與其他類似的單位比較等方面發(fā)揚著關鍵作用。2、延續(xù)控制評價是審計師采取的預備用來進展與內部控制相關的保證的行為。經(jīng)過延續(xù)控制評價，經(jīng)過識別控制缺陷和損害，審計師給審計委員會和高層經(jīng)理提供關于控制能否正在恰當運轉的保證。單個的買賣是經(jīng)過一系列的控制規(guī)那么來進展監(jiān)控的，以提供關于系統(tǒng)內部控制的保證，并強調例外情況。一系列定義良好的控制規(guī)那么在控制程序或系統(tǒng)沒有按期望運轉或遭到要挾時可以及早

32、地提供警告。內部審計需求執(zhí)行延續(xù)控制評價行為的范圍取決于管理層履行其關于延續(xù)監(jiān)控的責任的程度。一個強有力的管理監(jiān)控系統(tǒng)將減少審計師必需執(zhí)行以對控制提供保證的詳細測試數(shù)量。3、延續(xù)風險評價是審計師用來識別和評價風險程度的行為。延續(xù)風險評價經(jīng)過檢查趨勢和比較在單個程序或系統(tǒng)里，與之過去的表現(xiàn)相比較，與企業(yè)內的其他的程序或系統(tǒng)相比來識別和評價風險程度。例如，消費線的表現(xiàn)可以和先前年度的結果相比較，就像是將一個企業(yè)的績效與一切的其他企業(yè)相比較一樣。這種比較可以較早地警示某個程序或系統(tǒng)審計主體的風險程度高于以前年度或其他主體。審計的反響也因風險的特征和程度而異。延續(xù)風險評價能運用于大范圍的審計領域，來選

33、擇訪問點，來識別排除包含在審計方案中的特定的審計或單位，或觸發(fā)對某個風險添加但缺乏足夠解釋的單位的審計。它也可以用來評價管理行為，來檢查審計建議能否得到合理的貫徹，運營風險程度能否正在減少。4、延續(xù)監(jiān)控是管理層為了確保政策、程序和業(yè)務流程可以有效運轉而實施的一項程序。管理層識別關鍵控制點和實施自動化的測試來決議這些控制能否恰當運轉。典型的繼續(xù)監(jiān)控程序包括在給定的運營流程領域內，借助一組控制規(guī)那么，自動測試一切的買賣和系統(tǒng)行為。監(jiān)控通常是按天、周或月進展，這取決于當前的業(yè)務循環(huán)的特征。取決于特殊的控制規(guī)那么和相關測試和初始參數(shù)，某些買賣被標志為控制例外事項，且告知管理層。管理層監(jiān)控也能夠依托關鍵

34、績效目的和其他績效評價行為。對監(jiān)控警報和提示作出回應并立刻修補控制缺陷和矯正問題買賣是管理層的責任。一、延續(xù)審計的延續(xù)系統(tǒng)延續(xù)審計協(xié)助 審計師識別和評價風險，還在組織中建立智能和動態(tài)閥值來回應變化。它也支持整個審計范圍的風險識別和評價，協(xié)助 制定年度審計方案，以及確定某項特定審計的審計目的。因此，延續(xù)審計在很多層面上可以視為一個延續(xù)系統(tǒng)。同時，延續(xù)系統(tǒng)中的不同位置更加適宜不同的任務，在延續(xù)系統(tǒng)中當他執(zhí)行不同的義務時還能夠超越一個位置。對延續(xù)審計的關注從控制根底到風險根底見圖3；分析性技術從對明細買賣的實時評價到對整個單位進展趨勢分析以及與其他單位進展比較分析，并且隨著時間進展。圖3：延續(xù)審計的

35、延續(xù)系統(tǒng)延續(xù)審計延續(xù)控制評價延續(xù)風險評價方法控制根底 風險根底保證控制正在運轉識別/評價風險財務控制 財務/運營控制關注點實時/詳細買賣測試財務數(shù)據(jù)趨勢/比較財務/運營數(shù)據(jù)分析技術控制保證 財務鑒證 舞弊/浪費/濫用 審計范圍和目的 追蹤審計記錄 年度審計方案相關審計行為控制監(jiān)控 業(yè)績監(jiān)控 平衡計分卡 全面質量管理 企業(yè)風險管理相關管理行為注1：在這個延續(xù)系統(tǒng)的“控制結尾，相關審計行為包括保證和財務鑒證審計。注2：延續(xù)系統(tǒng)的另一個結尾的審計行為包括經(jīng)過風險評價支持審計工程來識別舞弊、浪費和濫用，并提交年度審計報告。注3：相關管理層行為包括延續(xù)控制監(jiān)控，績效監(jiān)控，平衡計分卡，全面質量管理和企業(yè)風

36、險管理。延續(xù)審計是一個一致可以帶來控制保證、風險評價、審計方案、數(shù)據(jù)分析以及其他審計工具、技術和科技結合在一同的一致構造或框架。它支持微觀審計事項，例如明細買賣測試來評價控制的有效性；宏觀審計方面，經(jīng)過風險識別和評價來預備年度審計方案。它也能滿足中觀層面的需求，例如為個別審計開發(fā)審計工程。微觀審計和宏觀審計兩個層次的主要區(qū)別在于兩者信息需求的粒度不同：1、控制測試需求細節(jié)信息：需求深化買賣的源頭層次。延續(xù)控制評價運用仔細制定的規(guī)那么和實時的或接近實時的，測試買賣對這些規(guī)那么的遵照情況。2、個別審計通常開場于年度審計方案中的風險識別，但運用更多的數(shù)據(jù)分析和其他技術如訪問，自我控制評價，實地察看w

37、alkthrough，調查詢卷來進一步定義風險的主要領域和風險評價的關注點和后續(xù)的審計行為。3、年度審計方案需求高層次的信息，能夠是幾年的價值數(shù)據(jù)，來建立風險要素，并將風險排序，設置審計方案開場的時間和目的。第四部分 延續(xù)審計與延續(xù)保證和延續(xù)監(jiān)控的關系一、延續(xù)保證前文已提到，保證被描畫為第三方對事件形狀的意見。它通常包括三個方面：1、預備信息的個人或團體。2、運用這些信息來進展決策的個人或團體。3、客觀存在的第三方。通常，保證被視為一項嚴厲的審計相關行為，通常具有財務方面的特征。但是其他的，諸如法律界也提供保證效力。審計保證是對控制的充分性和有效性以及信息的完好性發(fā)表意見。管理層對控制的延續(xù)監(jiān)

38、控是有效保證戰(zhàn)略的中心，但是，審計行為還必需保證管理層行為是充分和有效的。內部審計經(jīng)過客觀檢查所獲取的證據(jù)以提供對風險管理戰(zhàn)略和實際，管理控制框架和實際，用于決策和報告的信息的保證效力。延續(xù)保證效力可以在審計師執(zhí)行延續(xù)控制和風險評價如延續(xù)審計和評價管理層實施的延續(xù)監(jiān)控行為的充分性時提供。審計師檢查管理層的行為，證明控制都在運轉，提出改良建議，確保風險正在被控制。假設審計師在執(zhí)行諸如檢查和證明控制和風險，確保管理層正在進展監(jiān)控任務，那么組織將有一個對控制正在運轉，風險正被控制，用于決策的信息具有完好性的高層次的保證。管理層在這個保證方程assurance equation中起著開發(fā)、設計和監(jiān)控控

39、制和控制風險的作用。二、延續(xù)監(jiān)控延續(xù)監(jiān)控是管理層設置的用于確保政策、程序和運營流程都在有效運轉的程序。評價控制的充分性和有效性通常是管理層的責任。許多管理層運用的用于對控制的延續(xù)監(jiān)控技術與內部審計師進展延續(xù)審計所用技術類似。延續(xù)監(jiān)控的原那么比較簡單，它包含以下幾個方面：1、在一個給定的運營流程中定義控制點，假設能夠的話可參照COSO的企業(yè)風險管理框架。2、對每個控制點識別控制目的和保證聲明。3、建立一系列的自動化的測試，以指出某項買賣能否沒有遵照一切的相關控制目的和保證聲明。4、在接近買賣發(fā)生的同時，將一切的買賣進展測試。5、調查沒有經(jīng)過控制測試的一切買賣。6、假設適宜的話，可以更正這項買賣。

40、7、假設適宜的話，更正控制薄弱環(huán)節(jié)。延續(xù)監(jiān)控的關鍵是這些程序必需由管理層掌控并由管理層來執(zhí)行，由于實施和堅持有效控制系統(tǒng)是其職責的一部分。既然管理層對內部控制負有責任，那么它就必需有一個延續(xù)的決議控制能否按設計在運轉的方法。經(jīng)過實時地識別和更正控制的問題，整個的控制系統(tǒng)將得以改善。組織得到的一個典型的額外的益處是錯誤和舞弊顯著減少，運營的效率得到了提高，經(jīng)過本錢的減少和過度支付overpayment和收入走漏的減少，從而使線下工程的結果得以改善。三、延續(xù)審計管理層監(jiān)控和風險管理行為的充分性與審計師必需執(zhí)行對內部控制的詳細測試和風險評價的程度，它們之間存在這一個反比的關系。延續(xù)審計運用的方法和任

41、務量取決于管理層實施的延續(xù)監(jiān)控行為的程度。圖4：反比關系：管理層付出的努力程度與審計行為對內部控制的完全監(jiān)控對內部控制的完全監(jiān)控對內部控制的少量監(jiān)控減少任務量顯著的努力/更多的資源審計任務量管理層反響在管理層還沒有實施延續(xù)監(jiān)控的地方，審計師必需借助延續(xù)審計技術進展詳細測試。在某些情況下，審計師甚至能夠自動來協(xié)助 組織建立風險管理和控制評價程序見國際內部審計協(xié)會實務報告2100-4：審計師在一個沒有風險管理程序組織中的作用。但是，要留意的是審計師對這些程序中并不擁有一切者權，由于這會損害審計師的獨立性和客觀性。圖5：延續(xù)審計、監(jiān)控和保證概念框架延續(xù)保證延續(xù)保證延續(xù)審計和延續(xù)監(jiān)控程序的結果延續(xù)監(jiān)控

42、審計測試延續(xù)審計審計延續(xù)監(jiān)控管理行為、買賣和事件運營系統(tǒng)和流程管理層全面地在運營流程領域中從頭到尾地實施延續(xù)監(jiān)控，內部審計師就無需執(zhí)行同樣的詳細測試來進展延續(xù)審計。但是，審計師必需執(zhí)行其他的程序來決議他們能否可以依賴這個延續(xù)監(jiān)控程序。這些程序包括：1、評價偵測到的異常和管理層的反響。2、評價和測試延續(xù)監(jiān)控程序本身的控制，例如： 1處置日志/審計軌跡 2調理總額控制control total reconciliations 3系統(tǒng)測試參數(shù)的變化通常，這些程序與那些在正常審計程序中為確保計算機輔助審計技術被正確運用的質量控制測試是類似的。經(jīng)過結合評價監(jiān)控和延續(xù)審計程序，審計師可以提供關于內部控制有

43、效性的保證。第五部分 延續(xù)審計的運用領域對內部審計部門而言所面臨的壓力是以較少的資源做更多的事情。也許最困難的挑戰(zhàn)于審計師必需對內部控制的有效性及時作出保證，更好地識別和評價風險程度，快速找出沒有遵照相關法規(guī)和政策的事項。這些就是延續(xù)審計可以運用的領域。適用技術，從電子表格軟件或腳本開發(fā)運用特種審計軟件scripts developed using audit-specific software到商品化的專業(yè)處理方案軟件包或客戶自行開發(fā)的系統(tǒng)。這些選擇的處理方案必需是靈敏的可晉級的，允許審計師從某個特定的領域開場，然后擴展范圍、規(guī)模和分析的頻率。雖然一些法定審計需求每年進展一次，但是每年嚴厲執(zhí)

44、行這些審計已不能滿足管理和法規(guī)的需求。內部審計行為必需運用風險評價和進展控制保證行為。雖然需求更加關注財務方面的審計，延續(xù)審計支持一切類型和領域的審計行為。歐洲聯(lián)邦內部審計機構ECIIA在2005年意見書中，鼓勵內部審計師經(jīng)過給管理層提供的關于風險曾經(jīng)被識別并且得到恰當?shù)目刂频谋ＷC，對組織面臨的風險作出反響。審計師不僅必需可以評價財務風險，而且要可以評價運營風險和戰(zhàn)略風險。這是繼續(xù)審計所關注的新領域。用于測試控制的信息訪問技術和技術技藝也可以協(xié)助 首席審計師經(jīng)過支持繼續(xù)的評價企業(yè)風險管理有效性的評價行為和對一些警告提出改良建議，從而給管理層提供價值無法估量的協(xié)助 ， 首席審計師經(jīng)過給高層管理員

45、工提供獨立的風險和控制評價來支持其監(jiān)控職能。延續(xù)審計有一系列的功能來支持審計行為，首席審計師，經(jīng)過以下的適用方法和效力，包括：1、風險管理戰(zhàn)略和實際：經(jīng)過及早識別風險。2、管理控制框架的可靠性：經(jīng)過找出控制薄弱環(huán)節(jié)。3、用于決策的信息：經(jīng)過檢查管理者運用的信息的可靠性和可獲取性。4、包含在年度審計方案中審計工程的選擇：經(jīng)過識別更高風險領域。5、實施有效的和及時的矯正行為：經(jīng)過檢驗審計建議的執(zhí)行情況。首席審計師必需認識到許多的管理行為與延續(xù)審計有很強的聯(lián)絡，例如整合風險管理、平衡計分卡、延續(xù)改良、延續(xù)監(jiān)控。審計必需決議那些地方適宜延續(xù)審計，它如何能用于評價這些管理措施行為或者利用它們所產生的信息

46、。實施延續(xù)審計框架的期望益處包括：1、添加減輕風險的才干。2、減少評價內部控制的本錢。3、添加對財務結果的自信心。4、財務運營的改善。5、減少財務錯誤和潛在的舞弊。此外，完全運用了延續(xù)審計的組織，通常會報告運營本錢的減少和邊沿利潤的添加。一、運用于延續(xù)控制評價一識別控制缺陷由于新的法規(guī)需求高層管理者證明控制環(huán)境的有效性，以及財務報告中所含信息的準確性，首席執(zhí)行官和首席財務官開場內部審計行為來輔助遵照這些法規(guī)。雖然管理層對監(jiān)控、設計和維持控制負有責任以備廣泛認可，國際內部審計準那么2120號，A1節(jié)指出內部審計行為“應該經(jīng)過評價內部控制的有效性和效率性，以及促進繼續(xù)改良來輔助組織堅持有效的控制。

47、由于這些外部和內部的壓力，特別是在一些管理層沒有恰當發(fā)揚其監(jiān)控角色的作用，審計師通常需求執(zhí)行一個更加全面的評價和提供更加延續(xù)的控制評價。這對內部審計流程和方法有顯著的影響。延續(xù)控制評價給讓首席審計師清楚地看到內部控制系統(tǒng)的有效性。反過來，給財務經(jīng)理，運營流程管理這和風險及遵照經(jīng)理提供對內部控制的獨立的和及時的保證。對關于內部控制買賣數(shù)據(jù)的延續(xù)控制評價可以迅速找出錯誤和異常，將它們報告給管理層，以及時進展檢查和采取行動。它也能對財務和運營信息的可靠性和完好性，營運的效率和效果起作用。延續(xù)控制評價還可以對延續(xù)的風險評價和管理層減輕風險的行為起作用?？刂坪惋L險的評價是相互補充、相互支持。以下的一個關

48、于內部審計中運用延續(xù)控制評價在財務控制、系統(tǒng)控制和平安控制等三個領域來支持管理層監(jiān)控功能。二財務控制：以采購卡工程為例一個全國性的采購卡管理員手工操作，每個季度只能對買賣的極小樣本進展評價。審計師決議管理層的對于采購的控制是薄弱的，那么暴顯露來的風險能否相當?shù)母?。在評價采購卡運用的政策后，審計師進展一系列的分析測試來識別：1、不恰當?shù)牟少徔ㄟ\用，包括與游覽支出有關的買賣。2、用于個人工程的支付如珠寶、酒，等等。3、可疑買賣如未經(jīng)授權的持卡人運用，銷售商反復刷卡，分次付款以防止超越財務限額，等等。分析的結果將提交給持卡者的經(jīng)理，以對這些可疑買賣進展詳細審查將采購卡的支出與商品采購相匹配。這識別出

49、許多的不恰當?shù)牟少徍鸵陨先N類型的舞弊。在審計完成后，延續(xù)控制評價運用測試就轉向采購卡協(xié)調員，來協(xié)助 運營經(jīng)理每個月對采購卡控制的監(jiān)控。三系統(tǒng)控制：以職責分別為例延續(xù)控制評價測試也可以用來證明系統(tǒng)能否按期望值在起作用。運用分析技術，測試程序可以比較個別買賣和規(guī)那么根底規(guī)范，對一切的買賣進展評價以確保個體沒有執(zhí)行不相容的職責。在一個組織內，新實施一個ERP系統(tǒng)，目的是用自動控制替代手工控制來確保職責的分別。ERP工程小組，經(jīng)過業(yè)主的投入，開發(fā)一系列基于運用者角色的特征配置，這就允許運用者可以根據(jù)本人的任務職責來處置各式各樣的業(yè)務。雖然審計師置信在開發(fā)基于角色的特征配置中的方法和程序，他們關懷實踐

50、分配給運用者的特征配置，然后對買賣進展詳細檢查，以檢查哪些些地方職責分別沒有得到堅持。審計師抽出當年第一季度的一切處置的買賣，然后利用數(shù)據(jù)分析技術來計算每個運用者處置過的買賣經(jīng)過買賣類型。這發(fā)現(xiàn)兩個運用者首先建立采購安排，然后記錄一樣采購安排的貨物接受買賣。結果闡明在基于角色的特征配置的設計中職責分別控制是薄弱的，由于這些是被視為不相容的職責。由于ERP系統(tǒng)閱歷了額外的變化例如，添加新的角色和改動現(xiàn)有角色運轉延續(xù)控制評價測試來證明沒有違反職責分別的情況。四平安控制：以系統(tǒng)登錄日志為例延續(xù)控制評價可以測試平安控制，證明一切的系統(tǒng)運用者都是有效的員工，防止有企圖者侵入系統(tǒng)。在另一個組織的例子中，每

51、周系統(tǒng)登錄日志被抽取出來，然后送交內部審計部門。審計師抽取相關信息并將每個運用者與當前的員工管理文件相匹配。一切的非員工運用者被標志出來，然后一封郵件將自動發(fā)送給系統(tǒng)平安部門，讓其廢除該運用者的身份ID。此外，測試還檢查失敗的登錄日志。經(jīng)過檢查發(fā)現(xiàn)一例在早上三點一個運用者ID有25次經(jīng)過撥號登錄失敗。審計師經(jīng)過這份報告來證明將登錄參數(shù)改為在諸如這類運用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。延續(xù)控制評價的潛在運用現(xiàn)實上是無限的。無論哪里暴顯露問題，內部審計師都可以進展一項測試或一系列的分析程序來搜索某人試圖利用控制缺口或薄弱環(huán)節(jié)的證據(jù)。在某些情況下，控制暴顯露來的問題，包括潛在的舞弊

52、、浪費和濫用。這些測試的頻率和時間取決于潛在的運營風險和控制框架和管理監(jiān)控功能的充分性。五舞弊、浪費和濫用國際內部審計準那么1210號第A2節(jié)要求審計師對舞弊的信號擁有足夠的知識。第A3節(jié)也需求審計師對關鍵信息技術風險、控制和可利用技術來開展他們任務的知識。運用技術來支持延續(xù)控制評價可以協(xié)助 審計師檢查詳細買賣，也包括匯總數(shù)據(jù)，識別異常和其他的舞弊、浪費和濫用信號。例如，利用數(shù)據(jù)分析技術，審計師可以容易識別那些地方超越了合約的授權如合約超越了給個人規(guī)定的合同限額和被逃避avoid如撕毀合約。在工薪領域，它可以被用來識別薪水冊上的員工非員工數(shù)據(jù)庫中的員工或者識別薪金中的不正常比率。由于舞弊很大程

53、度上是一種時機主義的犯罪，控制缺口和薄弱環(huán)節(jié)必需被找出來，假設能夠的話，甚至消除它或者減少它。廣泛運用的審計指南和準那么已直接地提到了對這種暴露問題的關注。例如，國際內部審計準那么實務公告1210號第A2-1節(jié)：識別舞弊，第A2-2節(jié)：舞弊偵測的責任，需求審計師對能夠的舞弊擁有充分的知識以識別它們的征兆。審計師必需認識到它會出什么問題，它怎樣能出問題以及誰會牽涉其中。美國注冊會計師協(xié)會公布的審計規(guī)范的公告第99號SAS No.99“思索財務報告審計中的舞弊也是出臺來協(xié)助 審計師偵測舞弊的。它比SAS No.82更進一步，它包含的新的規(guī)定包括：1、集體討論舞弊的風險。2、強調添加職業(yè)疑心。3、確

54、保管理者認識到舞弊。4、運用各種分析程序。5、偵測管理層踐踏內部控制的情況。它也定義了舞弊財務報表和盜竊的風險要素，這可以被用來作為評價舞弊財務報告風險的模型。在SAS No.99 中列出來的風險要素包括：管理層情況、競爭和運營環(huán)境、運營和財務的穩(wěn)定性。六結論和建議延續(xù)控制評價技術能夠類似于管理層實施的延續(xù)監(jiān)控技術。在內部審計師可以依賴管理層實施的延續(xù)監(jiān)控的地方，而無需采用一樣層次的細節(jié)延續(xù)控制評價技術。取而代之的是，審計師可以關注執(zhí)行其他的程序來提供延續(xù)的關于管理層的延續(xù)監(jiān)控程序的保證。但是，當管理層監(jiān)控不充分時，審計師應該借助延續(xù)控制評價技術來執(zhí)行詳細測試以評價控制的充分性。經(jīng)過智能運用分

55、析技術，審計師可以評價內部控制框架的充分性，給審計委員會和高層經(jīng)理提供獨立的保證。延續(xù)控制評價并不需求在實時運轉。分析的頻率取決于風險程度和管理層監(jiān)控控制的程度。例如，采購卡分析能夠每月運轉一次在信譽卡公司收到采購卡買賣時進展。薪金可以在每個付款周期運用，在支票出具之前進展。對發(fā)票副本duplicate invoice的測試可以每天進展。在某些情況下，審計師能夠執(zhí)行初始的控制測試，然后將延續(xù)監(jiān)控移交給管理層。額外的運用延續(xù)控制評價的例子包括：1、檢查買賣數(shù)據(jù)：如標志一切的嚴重超出采購卡的限額，包含有制止采購商品的采購卡破費。2、檢查匯總數(shù)據(jù)：如當月的持卡者消費匯總超越$10.000的情況和持卡

56、人不在采購部門中的情況。3、借助比較分析：如匯總加班報酬然后與一切的其他在一樣工種和層次的員工相比，以識別潛在的濫用加班過量的、未經(jīng)授權的，等等。4、測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超越25的賬戶，識別不正常的行為，如銷賬的添加。在一切的情況下，審計師可以快速檢查一切的詳細買賣來發(fā)現(xiàn)緣由，然后快速地、容易地執(zhí)行所需的后續(xù)任務。二、運用于延續(xù)風險評價管理層負有開發(fā)和維持一個系統(tǒng)來識別和減輕風險的責任，國際內部審計準那么2110號指出，審計師應該經(jīng)過識別和評價艱苦的暴露在風險下的工程來協(xié)助 組織，并在改良風險管理和控制系統(tǒng)中發(fā)揚作用。國際內部審計準那么2021號鼓勵首席審計師建立風

57、險根底的方案來決議內部審計行為的優(yōu)先次序，以與組織的目的相一致。這兩項行為是相關的，審計師可以利用延續(xù)風險評價來識別和評價風險程度的變化。這允許他們評價管理層的減輕風險行為，支持制定個別審計目的和年度審計方案。延續(xù)風險評價可以延續(xù)地用來識別和評價風險。它不僅經(jīng)過丈量某個買賣點，還經(jīng)過運用經(jīng)過比較分析法來進展買賣的總體分析來完成這些任務。經(jīng)過這種方式的比較，審計師可以經(jīng)過衡量許多方面的可變性來檢查流程的一致性。在運營中，例如，檢查一些缺陷的可變性是測試消費線協(xié)調的一種方法?？刂迫毕輸?shù)量的可變性越大，消費線的合理性和功能的協(xié)調性就越要得到關注。一樣的前提可以很容易經(jīng)過檢查變量如調整主體的數(shù)字和美圓

58、價值來運用于丈量財務系統(tǒng)的完好性。可變性的概念是延續(xù)風險評價與內嵌審計模塊和例外報告的關鍵區(qū)分要素。經(jīng)過執(zhí)行延續(xù)風險評價，首席審計師可以運用更加具有戰(zhàn)略性的背景來制定審計方案，在風險變化時為使審計方案在整個年度都能堅持最近的形狀進展延續(xù)調整，并且分配稀缺資源，將高度熟練的審計資源分配到組織內高暴顯露最高風險的地方。延續(xù)風險評價還可以找出一些要么沒有控制要么這些控制沒有充分地執(zhí)行的地方，協(xié)助 審計師在特定領域執(zhí)行延續(xù)控制評價。因此，延續(xù)風險評價不僅對審計方案有協(xié)助 ，而且對延續(xù)控制評價也是起作用的。舉例：基于風險選擇審計點在全國擁有超越1100家零售商店，ABC食品的內部審計部門需求一個高效率和

59、高效果的方式來選擇單個商店審計。在過去，審計師試圖至少每年要對每家商店訪問一次來執(zhí)行遵照根底審計。但是，這不是一項有效確實定真正風險領域的方式。首席審計師需求一個可信任的風險評價方案，經(jīng)過數(shù)據(jù)驅動規(guī)范，可以不用每年訪問這些商店，而且能對一切的1100家商店提供保證。延續(xù)風險評價用于建立必要的分析程序，如報告存貨損失和熟練員工的營業(yè)額。如今，內部審計師小組可以快速指出風險程度最高的商店，并制定出一個更加及時、效果好和效率高的方法。一制定審計方案與傳統(tǒng)的審計方案根據(jù)規(guī)范的循環(huán)如一年、兩年、三年的比率進展相比而言，企業(yè)運營過程中審計的頻率更應該基于風險要素。最高層次的延續(xù)風險評價支持制定審計方案，允

60、許數(shù)據(jù)驅動識別和評價風險目的。它不僅支持建立審計總體，而且支持搜集定量化的數(shù)據(jù)，而且，讓內部審計部門優(yōu)先關注公司內部的高風險領域，將適當?shù)馁Y源分配到新的和變化的領域。第一步是定義審計行為的范圍和覆蓋面的程度，然后利用從不同系統(tǒng)如財務、人力資源和運營信息系統(tǒng)中獲取的數(shù)據(jù)來確定艱苦性和風險目的。在艱苦性方面，一種方式是參照規(guī)模類似的企業(yè)雖然風險目的還能夠要思索一個單位與另一個單位的復雜性。延續(xù)風險評價應該還要包括對管理層監(jiān)控職能的評價，包括業(yè)績評價、質量控制和職責分別。舉例：制定審計方案建立ABC公司的風險根底審計方案需求建立一個審計域audit universe，并界定被審計單位；搜集和分析量化