【正文】 ilitated session）；收集、規(guī)范化和分析量化的數(shù)據(jù)，如財務、人力資源和經(jīng)營信息；根據(jù)風險指標安排審計（單位）的優(yōu)先次序。它不僅支持建立審計總體，而且支持收集定量化的數(shù)據(jù)，而且，讓內(nèi)部審計部門優(yōu)先關(guān)注公司內(nèi)部的高風險領(lǐng)域，將適當?shù)馁Y源分配到新的和變化的領(lǐng)域。連續(xù)風險評估用于建立必要的分析程序，如報告存貨損失和熟練員工的營業(yè)額。舉例：基于風險選擇審計點在全國擁有超過1100家零售商店，ABC食品的內(nèi)部審計部門需要一個高效率和高效果的方式來選擇單個商店審計?？勺冃缘母拍钍沁B續(xù)風險評估與內(nèi)嵌審計模塊和例外報告的關(guān)鍵區(qū)分因素。通過這種形式的比較，審計師能夠通過衡量許多方面的可變性來檢查流程的一致性。這兩項行為是相關(guān)的，審計師能夠利用連續(xù)風險評估來識別和評估風險水平的變化。測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超過25％的賬戶，識別不正常的行為，如銷賬的增加。在某些情況下，審計師可能執(zhí)行初始的控制測試，然后將連續(xù)監(jiān)控移交給管理層。分析的頻率取決于風險水平和管理層監(jiān)控控制的程度。取而代之的是，審計師能夠關(guān)注執(zhí)行其他的程序來提供連續(xù)的關(guān)于管理層的連續(xù)監(jiān)控程序的保證。它也定義了舞弊財務報表和盜竊的風險因素，這能夠被用來作為評估舞弊財務報告風險的模型。強調(diào)增加職業(yè)懷疑。例如，國際內(nèi)部審計準則實務公告1210號第A21節(jié)：識別舞弊，第A22節(jié)：舞弊偵測的責任，需要審計師對可能的舞弊擁有充分的知識以識別它們的征兆。例如，利用數(shù)據(jù)分析技術(shù)，審計師能夠容易識別那些地方超越了合約的授權(quán)（如合約超過了給個人規(guī)定的合同限額）和被逃避（avoid）（如撕毀合約）。這些測試的頻率和時間取決于潛在的經(jīng)營風險和控制框架和管理監(jiān)控功能的充分性。審計師通過這份報告來證明將登錄參數(shù)改為在諸如這類使用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。審計師抽取相關(guān)信息并將每個使用者與當前的員工管理文件相匹配。結(jié)果表明在基于角色的特色配置的設計中職責分離控制是薄弱的，因為這些是被視為不相容的職責。ERP項目小組，通過業(yè)主的投入，開發(fā)一系列基于使用者角色的特色配置，這就允許使用者能夠根據(jù)自己的工作職責來處理各式各樣的業(yè)務。在審計完成后，連續(xù)控制評估應用測試就轉(zhuǎn)向采購卡協(xié)調(diào)員，來幫助運營經(jīng)理每個月對采購卡控制的監(jiān)控。用于個人項目的支付（如珠寶、酒，等等）。以下的一個關(guān)于內(nèi)部審計中應用連續(xù)控制評估在財務控制、系統(tǒng)控制和安全控制等三個領(lǐng)域來支持管理層監(jiān)控功能。對關(guān)于內(nèi)部控制交易數(shù)據(jù)的連續(xù)控制評估能夠迅速找出錯誤和異常，將它們報告給管理層，以及時進行檢查和采取行動。由于這些外部和內(nèi)部的壓力，特別是在一些管理層沒有恰當發(fā)揮其監(jiān)控角色的作用，審計師通常需要執(zhí)行一個更加全面的評估和提供更加連續(xù)的控制評估。減少財務錯誤和潛在的舞弊。實施連續(xù)審計框架的期望好處包括：增加減輕風險的能力。包含在年度審計計劃中審計項目的選擇：通過識別更高風險領(lǐng)域。用于測試控制的信息訪問技術(shù)和技術(shù)技能也能夠幫助首席審計師通過支持持續(xù)的評價企業(yè)風險管理有效性的評價行為和對一些警告提出改進建議，從而給管理層提供價值無法估量的幫助， 首席審計師通過給高層管理員工提供獨立的風險和控制評估來支持其監(jiān)控職能。雖然需要更加關(guān)注財務方面的審計，連續(xù)審計支持所有類型和領(lǐng)域的審計行為。適用技術(shù)，從電子表格軟件或腳本開發(fā)使用特種審計軟件（scripts developed using auditspecific software）到商品化的專業(yè)解決方案軟件包或客戶自行開發(fā)的系統(tǒng)。通過結(jié)合評價監(jiān)控和連續(xù)審計程序，審計師能夠提供關(guān)于內(nèi)部控制有效性的保證。圖5：連續(xù)審計、監(jiān)控和保證（概念框架）連續(xù)保證連續(xù)審計和連續(xù)監(jiān)控程序的結(jié)果連續(xù)監(jiān)控審計測試連續(xù)審計審計連續(xù)監(jiān)控管理行為、交易和事件經(jīng)營系統(tǒng)和流程管理層全面地在經(jīng)營流程領(lǐng)域中從頭到尾地實施連續(xù)監(jiān)控，內(nèi)部審計師就無需執(zhí)行同樣的詳細測試來進行連續(xù)審計。連續(xù)審計運用的方法和工作量取決于管理層實施的連續(xù)監(jiān)控行為的程度。既然管理層對內(nèi)部控制負有責任，那么它就必須有一個連續(xù)的決定控制是否按設計在運行的方法。調(diào)查沒有通過控制測試的所有交易。連續(xù)監(jiān)控的原則比較簡單，它包含以下幾個方面：在一個給定的經(jīng)營流程中定義控制點，如果可能的話可參照COSO的企業(yè)風險管理框架。管理層在這個保證方程（assurance equation）中起著開發(fā)、設計和監(jiān)控控制和控制風險的作用。內(nèi)部審計通過客觀檢查所獲取的證據(jù)以提供對風險管理策略和實踐，管理控制框架和實踐，用于決策和報告的信息的保證服務。通常，保證被視為一項嚴格的審計相關(guān)行為，通常具有財務方面的特征。第四部分 連續(xù)審計與連續(xù)保證和連續(xù)監(jiān)控的關(guān)系一、連續(xù)保證前文已提到，保證被描述為第三方對事件狀態(tài)的意見。微觀審計和宏觀審計兩個層次的主要區(qū)別在于兩者信息需求的粒度不同：控制測試需要細節(jié)信息：需要深入交易的源頭層次。注3：相關(guān)管理層行為包括連續(xù)控制監(jiān)控，績效監(jiān)控，平衡計分卡，全面質(zhì)量管理和企業(yè)風險管理。同時，連續(xù)系統(tǒng)中的不同位置更加適合不同的工作，在連續(xù)系統(tǒng)中當你執(zhí)行不同的任務時還可能超過一個位置。對監(jiān)控警報和提示作出回應并立即修補控制缺陷和改正問題交易是管理層的責任。典型的持續(xù)監(jiān)控程序包括在給定的經(jīng)營流程領(lǐng)域內(nèi)，借助一組控制規(guī)則，自動測試所有的交易和系統(tǒng)行為。連續(xù)風險評估能應用于大范圍的審計領(lǐng)域，來選擇訪問點，來識別排除包含在審計計劃中的特定的審計或單位，或觸發(fā)對某個風險增加但缺乏足夠解釋的單位的審計。連續(xù)風險評估通過檢查趨勢和比較（在單個程序或系統(tǒng)里，與之過去的表現(xiàn)相比較，與企業(yè)內(nèi)的其他的程序或系統(tǒng)相比）來識別和評估風險水平。一系列定義良好的控制規(guī)則在控制程序或系統(tǒng)沒有按期望運行或受到威脅時能夠及早地提供警告。技術(shù)在識別例外和（或）異常、分析關(guān)鍵數(shù)據(jù)字段的模式、趨勢分析、從開始到結(jié)束的明細交易分析、控制測試和將組織的程序或系統(tǒng)根據(jù)不同的時點比較或與其他類似的單位比較等方面發(fā)揮著關(guān)鍵作用。圖2：連續(xù)保證的框架連續(xù)保證連續(xù)控制評估連續(xù)風險評估對連續(xù)監(jiān)控的評估首席審計師必須保證所有的審計師、高級經(jīng)理和審計委員會理解內(nèi)部審計行為和管理層在使連續(xù)保證方程有效的角色和責任。保證可以認為是第三方對事件狀態(tài)的意見，這個事件是關(guān)于一個特定的交易、業(yè)務或治理流程、風險或整個業(yè)務流程中的財務績效的。相反，通過檢查風險，審計師能夠識別哪些地方需要控制和（和）控制沒有發(fā)生作用。沒有一個清晰的、通用的術(shù)語，那么將會很難提升這些嘗試，成功的可能性也會減少。內(nèi)部審計師必須能夠訪問數(shù)據(jù)、軟件工具和技術(shù)，以及擁有能夠智能使用他們手頭所掌握的大量的公司財務和非財務信息的必要知識。然而，連續(xù)審計最重要的優(yōu)勢之一在于它獨立于所審計的業(yè)務和財務系統(tǒng)和管理層實施的監(jiān)控。使用連續(xù)審計進行額外的測試來決定這些異常的特征能夠回答諸如以下問題： 日記賬憑證是給暫記賬戶留有入口，而且沒有在規(guī)定的時間內(nèi)進行清除？ 日記賬憑證是否給不正常的關(guān)聯(lián)賬戶留有入口？ 受影響的賬戶是否可能會是諸如人工操縱收益之類的舞弊？ 日記賬憑證的數(shù)量和類型與往年相比是否有異常？ 個體之間登錄系統(tǒng)時是否做到了職責分離？ 我們是否應該提高或降低測試的標準？ 財務比率是否與公司的期望相符？ 近幾年的收益趨勢如何？這些趨勢與公司的期望（peer）以及總體的經(jīng)濟環(huán)境如何匹配？連續(xù)審計幫助審計師評價管理層的監(jiān)控功能的充分性。管理層對這些提示的回應能夠修補內(nèi)部控制缺陷和立即修正錯誤的交易。審計師給股東提供保證服務；審計委員會和高層經(jīng)理重視風險和控制系統(tǒng)的狀態(tài)；在法規(guī)方面，諸如薩班斯法案，以及管理層表現(xiàn)的對內(nèi)部控制的關(guān)注的可靠性。連續(xù)監(jiān)控的許多技術(shù)與內(nèi)部審計部門使用的連續(xù)審計技術(shù)是類似的。監(jiān)控和評價是COSO的企業(yè)風險管理作為一個有效控制框架的最后一個要素，也是一個組織朝持續(xù)改進所做努力的關(guān)鍵成分。 監(jiān)控和評價：通過提供獨立的評估來支持由管理層實施的連續(xù)監(jiān)控行為。 風險評估：通過分析和評估風險，考慮可能性和影響，從而給決定如何管理風險提供基礎。連續(xù)審計同時還必須通過識別和評估風險以及給管理層提供信息對整個組織的改進作出貢獻，以更好地適應變化的商業(yè)環(huán)境。它增加了對內(nèi)部控制的關(guān)注，并且對企業(yè)風險管理（ERM）進行了更加充分的廣泛的論述。連續(xù)審計的行為的頻率取決于程序或系統(tǒng)的固有風險。就像將第四部分中要詳細討論的一樣，影響內(nèi)部審計師應用連續(xù)審計方式的一個關(guān)鍵因素是管理層已經(jīng)實施了用于連續(xù)控制監(jiān)控和識別控制缺陷和風險指標的系統(tǒng)的程度。首席審計師必須給高層管理者提供對內(nèi)部控制的健康運行和組織內(nèi)的風險水平作出連續(xù)的評價，而不是簡單的周期性的評價。二、當今的審計環(huán)境今天，經(jīng)營環(huán)境中信息系統(tǒng)功能的普及使得審計師能夠更加容易地訪問更加相關(guān)的信息，同時也包括對大量增加的數(shù)據(jù)和交易的管理和評價。此外，數(shù)據(jù)分析支持不是直接從交易數(shù)據(jù)中獲取證據(jù)的控制測試。他們?nèi)狈θ菀自L問的合適軟件工具，以及技術(shù)資源和專家來克服數(shù)據(jù)訪問的挑戰(zhàn)，最重要的是，組織將是否支持這種新的與傳統(tǒng)審計方法很不一致的審計方式和方法。到了20世紀80年代，審計職業(yè)中有些人開始接受并使用計算機輔助審計工具和技術(shù)（CAATTs）用于特殊的調(diào)查和分析。支持一套完整的審計行為，連續(xù)審計不僅幫助支持對控制的保證，還包括風險評估，識別舞弊、浪費和濫用，審計計劃，跟蹤審計建議等審計行為。那么我們對2005年1月份AMR研究機構(gòu)所作的研究發(fā)現(xiàn)關(guān)鍵技術(shù)能夠用來減少的遵循成本超過25%就不會感到奇怪了。這份指南將監(jiān)控行為視為管理層的責任，同時還論述了審計和監(jiān)控的內(nèi)在聯(lián)系，以及內(nèi)部審計師在他們的角色中如何提供額外的保證來支持管理。 一個連續(xù)審計自我評估工具。 連續(xù)審計與連續(xù)監(jiān)控的關(guān)系。這份國際內(nèi)部審計師協(xié)會（IIA）的全球技術(shù)審計指南（GTAG）確定了那些必須要做，以有效利用技術(shù)來支持連續(xù)審計，突出需要進一步關(guān)注的領(lǐng)域。 發(fā)起、促進和鼓勵管理層對連續(xù)審計的支持。五、實施的問題首席審計師必須認識到連續(xù)審計將改變審計模式，包括證據(jù)的特征、時間、程序和內(nèi)部審計師所需的努力水平。在管理層已經(jīng)對某項內(nèi)部控制進行連續(xù)監(jiān)控的情況下，在連續(xù)審計時，相同層次的詳細交易測試就無需再進行。審計師進行評價以給審計委員會和高層經(jīng)理在風險的狀態(tài)和控制系統(tǒng)，以及在諸如薩班斯法案等法規(guī)下，就管理層關(guān)心的控制狀況的可靠性提供保證。實施了連續(xù)審計和連續(xù)監(jiān)控的組織通常會發(fā)現(xiàn)他們迅速地獲得了投資回報。這包含識別控制目標和保證聲明（assurance assertion）以及建立自動化的測試程序來找出遵循失敗的活動和交易。最后，通過連續(xù)審計，分析結(jié)果將被整合進審計程序的所有方面，從制定和維持這個企業(yè)審計計劃到開展和繼續(xù)特定的審計。它也應該緊密與管理行為（如行為監(jiān)控，平衡計分卡和企業(yè)風險管理框架）結(jié)合在一起。連續(xù)審計是一種以更加頻繁的方式來自動執(zhí)行控制和風險評估的方法。顯然，必須要有一種新的、能夠提供連續(xù)的、建設性的和劃算的方法來解決這些問題。 內(nèi)部審計價值和獨立性：對內(nèi)部審計的高度期望，內(nèi)部控制問題的增加，對內(nèi)部審計角色可靠性和獨立性的困惑，客觀性和獨立性的削弱。這些要求給首席審計師們和他們的職員不斷增加壓力。ACL能夠幫助你證明適當?shù)募夹g(shù)投資的好處，并且支持持續(xù)的遵循需要，增加運營效率，并對提高收益有幫助。但是，大多數(shù)的運營和財務審計行為保留下來了。G科德里（加拿大皇家騎警）Subject Matter ExpertsJohn G. Verver, ACL Services Ltd.Donald J. Warren, Center for Continuous Auditing, Rutgers University主題專家約翰倭仁（魯特格斯大學，連續(xù)審計研究中心）湘潭大學商學院 陽杰譯（2006年11月）*注：原指南附錄部分由于篇幅限制，未加翻譯作者水平有限，如有錯誤之處，請到y(tǒng)angjie1891目錄1 首席審計師簡述1 連續(xù)審計2 連續(xù)審計/連續(xù)監(jiān)控的必要性：整合法3 內(nèi)部審計和管理層的角色4 連續(xù)審計的作用4 實施的問題52 導言6 連續(xù)審計：一個簡史7 當今的審計環(huán)境8 COSO的企業(yè)風險管理（ERM）框架9 內(nèi)部審計行為和管理層的角色12 連續(xù)審計和監(jiān)控的好處123 需要澄清的一些關(guān)鍵概念和術(shù)語14 連續(xù)審計的連續(xù)系統(tǒng)174 連續(xù)審計于連續(xù)保證和連續(xù)監(jiān)控的關(guān)系18 連續(xù)保證18 連續(xù)監(jiān)控19 連續(xù)審計205 連續(xù)審計的應用領(lǐng)域22 應用于連續(xù)控制評估24 應用于連續(xù)風險評估296 實施連續(xù)審計36 連續(xù)審計目標37 連續(xù)控制和風險評估的關(guān)系47 連續(xù)風險評估51 管理和報告結(jié)果53 挑戰(zhàn)和其他要考慮的因素57今天的法規(guī)環(huán)境下，首席審計師們都發(fā)現(xiàn)他們的部門變得越來越被為滿足遵循要求的監(jiān)控和內(nèi)部控制測試所吞噬。ACL的數(shù)據(jù)分析技術(shù)和連續(xù)控制監(jiān)控方案能夠最好地提升審計實踐，以滿足當今對有效控制地高度要求。一個變化的法規(guī)環(huán)境，經(jīng)營的全球化，市場方面要求改善經(jīng)營的壓力，以及快速變化的商業(yè)環(huán)境要求更加及時和連續(xù)地對正在運行的控制的有效性和風險水平正在降低作出保證。今天，內(nèi)部審計師面臨著的挑戰(zhàn)來自一系列的領(lǐng)域： 法規(guī)的遵循和控制：評價和識別事件和流程，可持續(xù)性，資源，定義重要性，優(yōu)先級和財務報告風險。 技術(shù)：支持遵循的合適的解決方案，技術(shù)經(jīng)營模型，信息安全，信息技術(shù)優(yōu)勢，外部采購?，F(xiàn)在，這種方式被視為一種僅僅能夠提供內(nèi)部審計師一個狹窄范圍的評價的審計方法，通常由于太遲而是去了對經(jīng)營績效和法規(guī)遵循的價值。它已在許多層次上已成了現(xiàn)代審計不可缺少的部分。他們能