论持续监控及其与信息技术相关性.docVIP

论持续监控及其与信息技术相关性 　　一、持续监控概念形成 　　人类社会由原始社会步入私有制社会后，生产资料实现私有化，生产力的进步使产品发生剩余。剩余产品的拥有者往往会委托管理者代为管理自己的财产，于是便产生了受托经济责任。所有者为确保财产的安全，监控管理者是否良好的履行经济责任，会委派第三方完成监控责任。这种监控就是一种内部审计形式，也就是说，早期的监控形式就是内部审计。随着公众公司的出现，股东会委派具有独立身份的注册会计师对公司的财务报表进行审计，由此产生了外部审计，监控因此具有内部审计和外部审计两种方式。早期的内部审计和外部审计是对账目进行详查，对于内部控制并不关心，事实上，当时虽然已经存在内部控制之实，但无内部控制之名。因此，这时期的监控对象是组织的财务数据。 　　1936年，美国注册会计师协会（AICPA）首次提出内部控制概念，并要求审计师对企业的内部牵制和控制进行审计。1957年，国际内部审计师协会（IIA）首次在内部审计的定义中加入了“衡量、评价其他控制有效性的管理控制”。在这一时期，内部控制评价纳入了外部审计和内部审计的范畴，审计模式也过渡到了控制基础审计阶段。监控的对象开始拓展到内部控制。 　　20世纪50年代，随着电子计算机在会计和管理领域中的应用，人们开始认识到应该对电子计算机及其承载的信息系统中的内部控制进行审计。Broad（1955）最早提出了透过计算机审计的概念。Artbur（1960）提出，电子数据处理（EDP）环境给审计师更加有效和高效的进行审计提供了机会，审计师还可以帮助企业开发适应EDP需求的内部控制，而且EDP还能帮助管理层来实现“通过例外来进行管理”（management by exception），这样管理层可以将注意力集中到相关的问题领域。在这种方式上所开展的审计是一种“例外审计”（auditing by exception），审计师通过针对EDP系统制定和审计目标相关的标准，然后以此为基础，发现例外情况。 　　Desmonde（1964）在提出实时数据处理系统（real—time data processing systems）概念的时候，也要求对此类系统进行审计。Boutell（1965）也提出，审计是在制定一个审计计划时，需要考虑两类计算机系统——在线的实时系统和批处理系统中的内部控制。Brown（1969）提出了“在线（on—line）、实时（real—time）”的审计观念，要求审计师进行实时审计，还要求审计师通过网络进行移动审计。不久之后，Kunkel（1974）提出了持续审计（continuous auditing）的概念，这是一种利用会计系统自身所自带的例外报告机制来对异常的交易、数据条目或其他情况筛选出来，审计师可以此为基础，有针对性的开展审计工作，而且这种审计方法是一个持续的过程，审计师需要对企业的内部控制系统进行持续的评价，并对企业的财务报告发表审计意见。这种审计方式是对手工审计环境中所提出来的中期审计概念的拓展，审计师可以利用例外报告技术来满足一个合理的内部控制系统的目标。这和Artbur（1960）所提出来的“例外审计”的思想是一致的。不过Kunkel并没有认识到，会计系统所自带的例外报告管理机制其实就是一种持续监控机制。 　　20世纪80年代后期和90年代初期，IT的进步使得持续监控能够深入发展，涌现出了许多进行持续监控的方法。代表性的有Groomer Murthy（1989）提出了“内嵌审计模块”的方法来应对数据库环境中的控制和安全问题。Vasarhelyi Halper（1991）后来提出一种针对大型无纸化数据库系统进行审计的“持续流程审计系统”。这两种持续监控思想一直影响至今，并成为当前持续监控开展的理论指导和系统原型。由于在这一时期，内部控制是从审计职业界提出来的，而且会计系统中的例外报告机制也是为审计师所使用，审计师通常还会参与EDP系统中的内部控制的设计，所以这种会计系统中所内嵌的例外报告机制通常被称为持续审计，但从管理层的角度来看，本质上还是一种持续监控机制。这就导致了在之后的研究中，持续审计和持续监控通常被混用。 　　1992年，COSO的《内部控制整合框架》发布后，监控成为内部控制的一个固有的组成要素，监控也明确为一种管理层的职能。审计职业界出于独立性的考虑，开始有意识的区分持续审计和持续监控，并认为持续监控是一种管理职能，是管理层的责任，而持续审计是一种审计职能，是审计部门的责任（IIA，2005）。不过，内部审计始终是内部控制的一种监控职能，持续审计和持续监控在技术上是类似的，在实务中两种技术可以实现互补，两者之间并无绝对的界限。持续审计由于有庞大的职业界需求的推动，所以发展很迅速，尤其是在内部审计领域。在内部审计领域，IIA