-1-GLOBALTECHNOLOGYAUDITAUIDE全球技术审计指南(第3号)(2005年9月公布)ContinuousAuditing:ImplicationsforAssurance,Monitoring,andRiskAssessment连续审计:对保证、监控和风险评估的意义AuthorDavidCoderre,RoyalCanadianMountedPolice(RCMP)作者戴维德·科德里(加拿大皇家骑警)SubjectMatterExpertsJohnG.Verver,ACLServicesLtd.DonaldJ.Warren,CenterforContinuousAuditing,RutgersUniversity主题专家约翰·G·沃沃(ACL公司)唐纳德·J·倭仁(鲁特格斯大学,连续审计研究中心)湘潭大学商学院阳杰译(2006年11月)*注:原指南附录部分由于篇幅限制,未加翻译作者水平有限,如有错误之处,请email到yang-jie1891@163.com-2-目录1首席审计师简述11.1连续审计21.2连续审计/连续监控的必要性:整合法31.3内部审计和管理层的角色41.4连续审计的作用41.5实施的问题52导言62.1连续审计:一个简史72.2当今的审计环境82.3COSO的企业风险管理(ERM)框架92.4内部审计行为和管理层的角色122.5连续审计和监控的好处123需要澄清的一些关键概念和术语143.1连续审计的连续系统174连续审计于连续保证和连续监控的关系184.1连续保证184.2连续监控194.3连续审计205连续审计的应用领域225.1应用于连续控制评估245.2应用于连续风险评估296实施连续审计366.1连续审计目标376.2连续控制和风险评估的关系476.3连续风险评估516.4管理和报告结果536.5挑战和其他要考虑的因素57-3-今天的法规环境下,首席审计师们都发现他们的部门变得越来越被为满足遵循要求的监控和内部控制测试所吞噬。但是,大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻负担,并提升效率和生产率,推动经营绩效。这份全球技术审计指南“连续审计:对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略,结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续控制监控方案能够最好地提升审计实践,以满足当今对有效控制地高度要求。ACL能够帮助你证明适当的技术投资的好处,并且支持持续的遵循需要,增加运营效率,并对提高收益有帮助。第一部分首席审计师简述对风险管理和控制系统的有效性进行及时和连续的保证的需求非常关键。组织频繁地暴露在重大错误、舞弊或者无效率下,这些会导致财务损失和风险升级。一个变化的法规环境,经营的全球化,市场方面要求改善经营的压力,以及快速变化的商业环境要求更加及时和连续地对正在运行的控制的有效性和风险水平正在降低作出保证。这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加,尤其是由于法规的原因,例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关,还与内部审计师在评价内部控制的有效性、风险管理和治理流程中保持独立性和客观性的能力能力有关。今天,内部审计师面临着的挑战来自一系列的领域:-4-1、法规的遵循和控制:评价和识别事件和流程,可持续性,资源,定义重要性,优先级和财务报告风险。2、内部审计价值和独立性:对内部审计的高度期望,内部控制问题的增加,对内部审计角色可靠性和独立性的困惑,客观性和独立性的削弱。3、舞弊:侦测和控制,识别盗窃,舞弊管理责任,舞弊频率和成本的增加。4、可用的熟练审计资源:缺乏能胜任的和合适的熟练审计师,审计师短缺,持续力,对风险和控制缺乏理解。5、技术:支持遵循的合适的解决方案,技术经营模型,信息安全,信息技术优势,外部采购。显然,必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。一、连续审计传统的内部审计所对控制测试是一种向后看的周期性方式,通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式,还包括一些诸如对政策、程序、批准和调节的评价。现在,这种方式被视为一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法,通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计是一种以更加频繁的方式来自动执行控制和风险评估的方法。技术是施行这样一种方法的关键。连续审计改变了审计模式,它将对交易样本的周期性测试变为对100%的样本进行连续性测试。它已在许多层-5-次上已成了现代审计不可缺少的部分。它也应该紧密与管理行为(如行为监控,平衡计分卡和企业风险管理框架)结合在一起。连续审计方式能让内部审计师完全理解关键控制点、控制规则和例外情况。通过对的自动化和经常性的分析,他们能够实时地或接近实时地执行控制和风险评估。他们能从交易层面的异常和控制缺陷和出现风险的数据驱动指标两方面来分析关键业务流程。最后,通过连续审计,分析结果将被整合进审计程序的所有方面,从制定和维持这个企业审计计划到开展和继续特定的审计。二、连续审计/连续监控的必要性:整合法按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注,将连续审计和连续监控结合在一起将是一种理想的方法。连续监控管理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了管理层对评价内部控制的充分性和有效性的责任。这包含识别控制目标和保证声明(assuranceassertion)以及建立自动化的测试程序来找出遵循失败的活动和交易。许多管理层实施的对控制的连续监控技术与内部审计师执行连续审计所用技术类似。管理层使用连续监控程序,结合内部审计师执行的连续审计,能够满足对控制程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。对组织的一种重要的额外好处是错误和舞弊事件的显著减少,经营效率也得到了提高,线下项目(bottom-line)的结果也通过成本的减少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发现他们迅速地获得了投资回报。-6-商业和法规环境,以及出台的审计准则,驱使审计师和管理层更加有效地利用信息和数据分析技术,作为连续审计和连续监控的可行基本因素之一。三、内部审计和管理层的角色管理层对评价风险和设计、实施、连续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由管理层实施的组织的风险管理系统和控制的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和控制系统,以及在诸如萨班斯法案等法规下,就管理层关心的控制状况的可靠性提供保证。理想的情况是,内部审计不是控制监控流程的一部分,并且没有设计或维护这些控制,从而能够使他们的独立性得以保持。尽管对内部控制的监控是一种管理职能,内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。管理层事先执行的监控水平将直接影响审计师实施连续审计。在管理层已经对某项内部控制进行连续监控的情况下,在连续审计时,相同层次的详细交易测试就无需再进行。取而代之的是,审计师能够关注审计程序,来决定管理层监控程序有效性,借助这种测试的结果来调整范围、数字和审计测试的频率。四、连续审计的作用连续审计的作用依赖于对对内部控制的连续性测试的智能性和有效性,及时提示控制缺口和薄弱环节存在的风险,并允许立即的追踪和进行补救。通过改变他们的审计方式,审计师将能够更好地理解经营环境和公司风险以支持遵循和提高经营绩效。-7-五、实施的问题首席审计师必须认识到连续审计将改变审计模式,包括证据的特征、时间、程序和内部审计师所需的努力水平。这将给审计部门提出要求,尤其是他们必须:1、获得和促成审计委员会和高级管理层支持这个概念并实施连续审计。2、开发和保持技术方面的能力,以保证访问、操作和分析包含在相互分离系统中数据的能力。3、使用(或实施)数据分析技术来支持审计项目,包括使用合适的分析软件工具,开发和维护数据分析技术,以及审计组中的专家。4、发起、促进和鼓励管理层对连续审计的支持。5、保证连续审计被采用作为风险导向审计计划中完整的、相容的一部分。6、管理和回应连续审计的结果,决定合适的使用、跟踪和报告机制。首席审计师将必须确保对审计发现报告的问题管理层已经采取合适的行动,连续审计的结果在管理层的评价时要被考虑到,这些评价包括内部控制的监控,业绩评价和企业风险管理。这份国际内部审计师协会(IIA)的全球技术审计指南(GTAG)确定了那些必须要做,以有效利用技术来支持连续审计,突出需要进一步关注的领域。通过阅读和遵照下面列出的步骤,内部审计师应该处于一个更好的位置来利用技术和最大化他们的投资回报,同时也要向管理层证明进行适当的技术投资的必要性——不仅对影响他们组织的法规遵循的需要起作-8-用,而且对整个组织的健康和竞争力起作用。第二部分导言这份全球技术审计指南将着重连续审计的技术可行性方面,并且将介绍:1、过去30年间使用的类似概念的历史和背景。2、相关的术语和技术的定义:连续审计,连续性风险评估,连续性控制评估,连续监控,连续性鉴证。3、连续审计与连续监控的关系。4、连续审计能在内部审计行为中应用的领域。5、与连续审计有关的挑战和机遇。6、对内部审计和首席审计师以及管理的影响。7、一个连续审计自我评估工具。自1980年以来,许多的名词与实时或接近实时地提供连续审计程序的概念有关系,包括:连续监控、连续控制评估、连续审计。这份全球审计指南首先统一使用“连续审计”的概念。它论述了作为连续审计的主要组成部分的连续控制评估和连续风险评估。这份指南将监控行为视为管理层的责任,同时还论述了审计和监控的内在联系,以及内部审计师在他们的角色中如何提供额外的保证来支持管理。当前最显著的一个连续审计的推动力就是高昂的法规遵循成本。在美国,一份2005年3月份的国际财务执行官组织调查发现,每个组织的萨班-9-斯法案的平均遵循成本超过了四百万美元。由于绝大部分成本都与手工的、员工密集型(内部资源和外部顾问的使用)有关。那么我们对2005年1月份AMR研究机构所作的研究发现关键技术能够用来减少的遵循成本超过25%就不会感到奇怪了。遵循的压力迫使组织改进他们对内部控制进行连续评价的方法。在这种情况下,美国证券交易委员会指出,“管理层和审计师必须运用合理的判断,在(萨班斯法案404条款)遵循流程中运用严密的(TOP-DOWN)、风险基础的方法”。这就导致了对连续监控(由管理层实施)和连续审计的关注不断增加。支持一套完整的审计行为,连续审计不仅帮助支持对控制的保证,还包括风险评估,识别舞弊、浪费和滥用,审计计划,跟踪审计建议等审计行为。一、连续审计:一个简史自动控制测试开始于20世纪60年代,当时是通过安装和执行内嵌审计模块(EAMs)来实现的。但是,这些模块难以建立和维护,而且只是在相关的少数组织中使用。在20世纪70年代后期,审计师开始离弃这种方法。到了20世纪80年代,审计职业中有些人开始接受并使用计算机辅助审计工具和技术(CAATTs)用于特殊的调查和分析。与此同时,连续监控的概念首先是通过大量的学术文章介绍给审计师的。最基本的优点就是使用连续的自动化的数据分析将帮助审计师识别风险最高的领域,并作为决定他们的审计计划的先导。但是,在很大程度上,审计师们并没有对这种审计方法做好准备。他们缺乏容易访问的合适软件工具,以及技术资源和专家来克服数据访问的挑战,最重要的是,组织将是否支持这种新的与传-10-统审计方法很不一致的审计方式和方法。在20世纪90年代,在全球审计职业界内,开始大范围的不断地接受数据分析解决方案,这些解决方案被视为支持有效进行内部控制测试的关键工具。这些技术用于检查交易中某些发生的事件,这些事件是由于某项控制不存在或没有适当地执行。它也能够识别与控制标准不符的交易。此外,数据分析支持不是直接从交易数据中获取证据的控制测试。例如,企业资源管理计划(ERP)访问和授权