IT审计与鉴证人员开展连续鉴证业务之实作（20090608）.docVIP

IT审计与鉴证人员开展连续鉴证业务之实作 阳杰 连续鉴证是相对传统的事后型周期性审计而言的。它是在信息化环境下，由IT审计与鉴证人员借助计算机辅助审计技术开展的，以连续审计为手段，如果被审计单位管理层实施了确保政策、程序和业务流程有效运行的连续监控的话，还可以借助连续监控，在一个更加频繁的基础上对控制和风险进行智能化、连续性的测试，以获取审计证据，进而对控制的充分性和有效性以及信息的完整性发表意见的一种鉴证方法。对于IT审计与鉴证人员而言，连续鉴证是他们采用一种有效和高效的方式来评价控制环境、扩大审计范围、更加完整和一致地进行数据分析、降低审计风险的重要工具。 继2005年国际内部审计师协会（IIA）发布第3号全球技术审计指南《连续审计：对鉴证、监控和风险评估的含义》之后，信息系统审计与控制协会（ISACA）也于2009年6月1日发布《IT审计与鉴证指南——连续鉴证》（草案），为IT审计与鉴证人员执业提供指导。 一、计划：选择连续审计领域 选择利用连续审计进行评价的领域，应该作为制定年度审计计划的一部分，如果被审计单位已经开发了风险管理框架，则应该利用该框架。连续审计的频率并非遵照传统的审计周期，而应该基于某个特定领域或者业务流程中的风险因素来进行安排。 IT审计和鉴证人员在决定连续审计的重点领域时应该考虑以下几个方面：（1）识别需要进行评价的关键业务流程，并按照风险进行排序；（2）如果被审计单位开发了企业风险管理框架，则需要对该框架进行评价；（3）考虑被审计单位先前评价过的领域；（4）确定被识别出的风险领域中连续审计数据的可用性和完整性；（5）对识别出需要评价的领域进行排序，考虑及时鉴证报告结果可能会对被审计单位产生重大价值的情形；（6）决定进行连续审计领域的评价频率；（7）设定进行评价领域的审计目标。 二、风险管理：风险识别和评估 连续审计帮助审计和鉴证人员识别和评估风险，并根据被审计单位环境的变化建立智能和动态的审计基准值。它也支持整体审计范围的风险识别，这可以帮助制定年度审计计划，或者某项特定审计的目标。如果被审计单位已经开发了风险管理框架，IT审计和鉴证人员应该对该框架进行评价。 三、实施连续审计 1、审计业务计划 成功实施连续审计要求包括被审计单位管理层在内的利益相关者的参与，同时要求有一个阶段性的方法来确定最为关键的业务系统。 下列活动在开发和支持应用连续审计的时候必须进行计划和管理：（1）审计范围中的优先领域，选择合适的连续审计方法；（2）选择合适的分析工具，这既可以是自开发的专用审计软件，也可以是商品化的审计软件；（3）开发连续审计程序来评估控制和识别缺陷；（4）决定应用连续审计程序的频率；（5）定义输出要求；（6）开发一个报告流程；（7）建立连续审计相关作业与IT管理之间的关系；（8）评估数据的完整性并准备数据；（9）决定资源需求，如：人员、处理环境（被审计单位的IT设施或者审计IT设施）；（10）理解管理层所执行的监控角色（连续监控）的程度。 2、获取管理层支持 一旦连续审计的目标定下来，就需要获得高级管理层的支持。高级管理层必须被告知所需做的准备工作，尤其是（数据和系统的）访问需求，也包括如何以及何时报告结果的问题。如果这些工作完成了，在之后的业务开展过程中，当一笔异常交易被识别出来，联系管理者要求进行解释的时候，连续审计活动的法律责任就比较容易界定。 从管理层获取支持可以与连续审计范围的批准一并获取。如果被审计单位成立了审计委员会，还应该获取审计委员会的支持。连续审计受托的覆盖时间通常比某个单项的审计任务要长，其审计周期甚至会超过一年。 3、与被审计单位的协议 作为连续审计的对象，数据文件（如详细的交易文件）在系统中存留的时间通常比较短。为了保证连续审计所需数据的完整性，IT审计与鉴证人员应该与被审计单位协商，确保这些数据保留的时间覆盖在合适的审计时间框架之内。 对被审计单位的IT设施，程序/系统和数据应该在连续审计所需的时间段前安排好，以使连续审计对被审计单位的生产环境的影响最小化。 IT审计与鉴证人员应该评估生产程序/系统的变更对使用连续审计程序的影响。在这种情况下，IT审计与鉴证人员应该考虑这些变更对连续审计程序的完整性与有用性、程序/系统和数据完整性的影响。 4、开发连续审计程序 要确保连续审计的可依赖性，IT审计与鉴证人员应该通过对文档的合理计划、设计、测试、处理和检查来获取对连续审计程序完整性、可靠性、有用性和安全性的合理保证。IT审计与鉴证人员应该能够证明连续审计系统是遵照系统正常开发生命周期来开发的，以确保连续审计程序的完整性与精确性。 5、定义连续鉴证的测试范围 IT审计与鉴证人员应该决定对控制和风险进行详细测试的范围。作出这种决定的一个关键影响因素就是控制环境和监控活动的充分性。