连续鉴证指南.docVIP

1.4 对指南的需求 1.4.1 传统的对于控制的测试是回溯性和周期性的，通常是在业务活动发生之后的数月之后进行。测试的程序通常是基于抽样法，而且包括一些审计活动，诸如：政策、程序、核准、对账。连续鉴证是在一个更加频繁的基础上自动化地执行控制和风险评估的方法。这种方法的主要好处在于对控制和风险的智能的和连续的测试，能够及时提示缺口和薄弱环节，进而立即采取后续工作和补救。 1.4.2 由于连续鉴证作为一种概念并非严格限制在IT审计，IT审计与鉴证专业人员通常要求给他们的客户或者客户企业内部开发、实施和维护连续鉴证流程和系统。IT审计与鉴证专业人员可以通过利用他们兼具业务和技术方面技能的优势，成功实施连续鉴证流程和系统所需经验的优势，从事涵盖广泛的业务和IT利益相关者的特有优势，实现价值增值。 1.4.3 这份指南给IT审计与鉴证专业人员在应用相关的IT审计与鉴证准则在企业内部进行计划、实施和维护连续审计流程和系统提供指南。 2.连续鉴证、审计和监控 2.1 计算机辅助审计技术和连续认证 2.1.1 计算机辅助审计技术（CAATs）是指与通用审计软件、测试数据生成器、计算机审计程序、专用的审计和系统软件程序相关的任何自动化审计技术。 2.2.2 连续鉴证（Continuous Assurance）是一种不间断的监控方法。它是结合IT审计和鉴证职业人员对管理层实施的连续监控的监督，以及IT审计和鉴证职业人员使用CAATs的连续审计方法的，以让管理层和IT审计与鉴证专业人员通过计算机来对控制和风险进行连续监控，并收集选择的审计证据。 2.1.3 连续鉴证是一个过程，它可以被IT审计和鉴证专业人员用来提供及时的报告，这种方法有助于在一个高风险、高容量的无纸化环境下使用。对于IT审计与鉴证专业人员而言，连续鉴证是他们采用一种有效和高效的方式来评价控制环境、扩大审计范围、更加完整和一致地进行数据分析、降低风险的重要工具。 2.2 连续审计 2.2.1 连续审计时IT审计与鉴证专业人员在一个更加频繁的基础上进行控制和风险评估的一种方法。它是借助CAATs，让管理层和IT审计与鉴证专业人员在一个连续的基础上对控制和风险进行监控的方法。这种方法能够让IT审计与鉴证专业人员通过计算机收集选择的审计证据。 2.3 连续监控 2.3.1 连续监控室一个管理过程，用来对政策、程序和业务流程进行监控，以确保它们是否在一个不间断的基础上有效运行。除了管理层开发连续监控流程之外，IT审计师执行的连续审计，在恰当的时候，可能会转变由管理层实施，这样就成为了由管理层实施的连续监控程序。管理层联合使用连续监控程序和由IT审计与鉴证职业人员执行的连续审计，将能够满足确保控制程序的有效、所产生的信息与决策制定相关并且可靠的要求。 3。 计划 3.1 选择连续审计领域 3.1.1 选择利用连续审计进行评价的领域，应该作为制定年度审计计划的一部分，而且应该利用企业的风险管理框架（如果已经开发了的话）。而不是遵照标准的审计周期来进行安排，评价的频率应该是基于某个领域或者业务流程中的风险因素。IT审计和鉴证职业人员在决定连续审计的重点领域时应该考虑以下几个方面： （1）识别需要进行评价并按照风险进行排序的关键业务流程； （2）如果被审计单位开发了企业风险管理框架，则需要对其进行评价； （3）考虑企业的优先检验评价领域； （4）确定被识别出的风险领域连续审计数据的可用性和完整性； （5）对识别出需要评价的领域进行排序，同时考虑及时报告结果可能会对企业有重大价值的情形； （6）决定进行评价领域的评价频率； （7）设定进行评价领域的审计目标，这些评价领域可能包含在授权调查的范围之内。 4. 风险管理 4.1 风险识别和评估 4.1.1 连续审计帮助审计和鉴证展业人员识别和评估风险，并根据企业环境的变化建立智能和动态的阈值（临界值）。它也支持整体审计范围的风险识别，这可以帮助制定年度审计胡话，或者某项特定审计的目标。IT审计和鉴证专业人员应该评价企业的风险管理框架，如果它已经开发了的话。 5. 实施连续审计 5.1 审计业务计划 5.1.1 成功实施连续审计要求利益相关着的参与，这包括管理层以及一个阶段性的方法来指出最为关键的业务系统。下列活动在开发和支持应用连续审计的时候必须进行计划和管理： （1）审计范围中的优先领域，并选择恰当的连续审计方法； （2）选择恰当的分析工具——这可以是自开发的审计软件或者商品化的软件； （3）制定连续审计程序来评估控制和识别缺陷； （4）决定应用连续审计程序的频率； （5）定义输出要求； （6）制定一个报告程序； （7）建立相关线条（relevant line）与IT管理之间的关系；[Establish relationships with relev