全球技术审计指南(第3号)-连续审计：对保证、监控和风险评估的意义.doc

GLOBAL TECHNOLOGY AUDIT AUIDE 全球技术审计指南（第3号） （2005 年 9 月公布） Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment 连续审计：对保证、监控和风险评估的意义 Author David Coderre, Royal Canadian Mounted Police (RCMP) 作者 戴维德·科德里（加拿大皇家骑警） Subject Matter Experts John G. Verver, ACL Services Ltd. Donald J. Warren, Center for Continuous Auditing, Rutgers University 主题专家 约翰·G·沃沃（ACL公司） 唐纳德：评价和识别事件和流程，可持续性，资源，定义重要性，优先级和财务报告风险。 内部审计价值和独立性：对内部审计的高度期望，内部控制问题的增加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的削弱。 舞弊：侦测和控制，识别盗窃，舞弊管理责任，舞弊频率和成本的增加。 可用的熟练审计资源：缺乏能胜任的和合适的熟练审计师，审计师短缺，持续力，对风险和控制缺乏理解。 技术：支持遵循的合适的解决方案，技术经营模型，信息安全，信息技术优势，外部采购。 显然，必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。 一、连续审计 传统的内部审计所对控制测试是一种向后看的周期性方式，通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、批准和调节的评价。现在，这种方式被视为一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计是一种以更加频繁的方式来自动执行控制和风险评估的方法。 技术是施行这样一种方法的关键。连续审计改变了审计模式，它将对交易样本的周期性测试变为对100％的样本进行连续性测试。它已在许多层次上已成了现代审计不可缺少的部分。它也应该紧密与管理行为（如行为监控，平衡计分卡和企业风险管理框架）结合在一起。 连续审计方式能让内部审计师完全理解关键控制点、控制规则和例外情况。通过对的自动化和经常性的分析，他们能够实时地或接近实时地执行控制和风险评估。他们能从交易层面的异常和控制缺陷和出现风险的数据驱动指标两方面来分析关键业务流程。最后，通过连续审计，分析结果将被整合进审计程序的所有方面，从制定和维持这个企业审计计划到开展和继续特定的审计。 二、连续审计/连续监控的必要性：整合法 按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注，将连续审计和连续监控结合在一起将是一种理想的方法。 连续监控管理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了管理层对评价内部控制的充分性和有效性的责任。这包含识别控制目标和保证声明（assurance assertion）以及建立自动化的测试程序来找出遵循失败的活动和交易。许多管理层实施的对控制的连续监控技术与内部审计师执行连续审计所用技术类似。 管理层使用连续监控程序，结合内部审计师执行的连续审计，能够满足对控制程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。 对组织的一种重要的额外好处是错误和舞弊事件的显著减少，经营效率也得到了提高，线下项目（bottom-line）的结果也通过成本的减少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发现他们迅速地获得了投资回报。 商业和法规环境，以及出台的审计准则，驱使审计师和管理层更加有效地利用信息和数据分析技术，作为连续审计和连续监控的可行基本因素之一。 三、内部审计和管理层的角色 管理层对评价风险和设计、实施、连续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由管理层实施的组织的风险管理系统和控制的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和控制系统，以及在诸如萨班斯法案等法规下，就管理层关心的控制状况的可靠性提供保证。理想的情况是，内部审计不是控制监控流程的一部分，并且没有设计或维护这些控制，从而能够使他们的独立性得以保持。 尽管对内部控制的监控是一种管理职能，内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。管理层事先执行的监控水平将直接影响审计师实施连续审计。在管理层已经对某项内部控制进行连续监控的情况下，在连续审计时，相同层次的详细交易测试就无需再进行。取而代之的是，审计师能够关注审计程序，来决定管理层监控程序有效性，借助这种测试的结果来调整范围、数字和