【正文】 面的評估和提供更加連續(xù)的控制評估。以下的一個關于內(nèi)部審計中應用連續(xù)控制評估在財務控制、系統(tǒng)控制和安全控制等三個領域來支持管理層監(jiān)控功能。在審計完成后，連續(xù)控制評估應用測試就轉(zhuǎn)向采購卡協(xié)調(diào)員，來幫助運營經(jīng)理每個月對采購卡控制的監(jiān)控。結果表明在基于角色的特色配置的設計中職責分離控制是薄弱的，因為這些是被視為不相容的職責。審計師通過這份報告來證明將登錄參數(shù)改為在諸如這類使用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。例如，利用數(shù)據(jù)分析技術，審計師能夠容易識別那些地方超越了合約的授權（如合約超過了給個人規(guī)定的合同限額）和被逃避（avoid）（如撕毀合約）。強調(diào)增加職業(yè)懷疑。取而代之的是，審計師能夠關注執(zhí)行其他的程序來提供連續(xù)的關于管理層的連續(xù)監(jiān)控程序的保證。在某些情況下，審計師可能執(zhí)行初始的控制測試，然后將連續(xù)監(jiān)控移交給管理層。這兩項行為是相關的，審計師能夠利用連續(xù)風險評估來識別和評估風險水平的變化?？勺冃缘母拍钍沁B續(xù)風險評估與內(nèi)嵌審計模塊和例外報告的關鍵區(qū)分因素。連續(xù)風險評估用于建立必要的分析程序，如報告存貨損失和熟練員工的營業(yè)額。舉例：制定審計計劃建立ABC公司的風險基礎審計計劃需要建立一個審計域（audit universe），并界定被審計單位；收集和分析量化數(shù)據(jù)，如經(jīng)營計劃、組織結構圖、管理投入和促成會議（facilitated session）；收集、規(guī)范化和分析量化的數(shù)據(jù)，如財務、人力資源和經(jīng)營信息；根據(jù)風險指標安排審計（單位）的優(yōu)先次序。同樣，如果這是第一個年度，單位B沒有任何收入，那么將會增加它的財務風險水平。一旦所有的來自這三個業(yè)務系統(tǒng)的數(shù)據(jù)被收集、規(guī)范化和對每個單位進行分析，相關單位的打分也被計算出來。其結果能夠用來設置正式審計的參數(shù)和決定審計時間。在一個常規(guī)審計中，分析性評價程序的規(guī)模和范圍受到傳統(tǒng)技術所能收集數(shù)據(jù)類型和數(shù)量的限制。此外，審計師使用“每筆交易成本”和“每個使用者的交易數(shù)量”來評估不同的發(fā)票處理的影響，識別特定部門的效率和效果。尤其是，如果連續(xù)風險評估用來識別和評價風險，作為定義審計范圍和目標地一部分的話，相同的指標能夠用于評價實施審計建議的影響。病假天數(shù)和報告疾病的減少能夠用來證明溝通的改進已經(jīng)得到貫徹并收到了預期的效果。由于一些采購單所采購商品在交付使用前需要經(jīng)過幾道裝運程序，那么這些采購單當中必然有一部分每張采購單附有幾張采購發(fā)票。風險警報應該區(qū)分優(yōu)先順序，清楚地、可理解地進行管理，讓人知道誰接受它們的，它們怎么交流的，應該采取什么樣的行動。此外，這里也可能沒有列出其他的行為，尤其是在采用連續(xù)審計支持某項特殊審計的時候。因此，確保業(yè)務系統(tǒng)和數(shù)據(jù)的可靠性、完整性和有效性是首席審計師和高層經(jīng)理的關鍵目標。審計委員會和高層經(jīng)理必須告知初始情況，尤其是訪問需求，也包括如何以及何時報告結果。但是，如果首席審計師決定這些程序是不充分的，審計師將必須連續(xù)地執(zhí)行他們自己的詳細控制和風險評估程序。與IT管理部門保持良好的工作關系是很有意義的，因為經(jīng)常需要他們的幫助，即使審計師是使用數(shù)據(jù)分析工具的專家。識別對應用系統(tǒng)負有責任的程序師/系統(tǒng)分析師。在兩個數(shù)據(jù)源都存在的情況下，比較這些數(shù)據(jù)能夠證明對識別控制缺陷和暴露的風險非常有用。研究所有數(shù)據(jù)文件的記錄格式，包括字段描述和對每個字段可能值的描述和解釋。首席審計師應該實施這些行為，因為這將會提供最及時、最大化的回報。當選擇一個用于連續(xù)審計的軟件時，首席審計師必須考慮數(shù)據(jù)源、數(shù)據(jù)格式和交易量，檢查公司的計算機環(huán)境和關鍵業(yè)務系統(tǒng)的未來計劃也是很重要的。來自于管理層的支持通常對審計師獲取物理的和邏輯的訪問所需信息而言是必要的。連續(xù)審計通常需要結合以下幾種訪問方法：在業(yè)務系統(tǒng)中內(nèi)嵌連續(xù)審計軟件來處理適當位置的數(shù)據(jù)。這里存在這一些文件在訪問和傳遞數(shù)據(jù)時可能有用。（十）建立審計技術技能和知識國際內(nèi)部審計準則第1210號要求內(nèi)部審計收集證據(jù)必須擁有或者獲取執(zhí)行他們的任務時所需的知識、技能和其他勝任工作所需的能力。連續(xù)審計的初始結果可能也容易在解釋數(shù)據(jù)或結果方面出錯。確定數(shù)據(jù)的時效（信息是否是當前的？它多久更新一次？最后一次是什么時候更新的？）決定這些信息是否完整和精確。在起初，審計師將必須執(zhí)行對業(yè)務系統(tǒng)數(shù)據(jù)完整性的評估。審計軟件特別適合清理從不同系統(tǒng)中獲取的數(shù)據(jù)，使它更加適合審計工作。但是，從其中一個評估獲取的結果應該用于另一個的評估。連續(xù)控制評估提供通過預先設計的控制測試來對交易數(shù)據(jù)的獨立分析。這些測試能夠用于：細節(jié)交易（如授權給一個并沒有這種類型交易的充分權力的用戶，或者給賣主的支付和授權交易的是同一?？刂票仨毐ＷC保密性、完整性、有效性和信息的可靠性。相反，在檢查風險水平的時候，應該考慮識別控制缺陷。連續(xù)審計系統(tǒng)能夠通過連接采購和發(fā)票數(shù)據(jù)來識別超過5000美元的發(fā)票（這些發(fā)票都沒有相應的采購單記錄），來測試這些控制。（十一）確保數(shù)據(jù)的完整性數(shù)據(jù)的完整性對平滑地實施連續(xù)審計技術非常重要。這些可以通過以下方面：評價關鍵的數(shù)據(jù)字段和數(shù)據(jù)元素。在初始階段，參數(shù)的敏感性、分析的充分性和其他的可能導致大量的交易被連續(xù)審計標記的因素，這應該被預料到。現(xiàn)在，有很多種方法能夠完成這項導入。它應該也允許審計師通過類似參數(shù)來容易識別交易，然后跟蹤標記的交易。首席審計師還將需要確定已經(jīng)獲取的合適的訪問權利。由于技術的進步（既有軟件方面的，也有硬件方面的），訪問數(shù)據(jù)方面的障礙問題不復存在，也不需要特殊的硬件或IT專業(yè)人員的參與。選擇適用技術對長期的成功是很關鍵的（見連續(xù)審計：內(nèi)部審計師的潛能，第五章——適用技術，國際內(nèi)部審計師協(xié)會研究基金會，2003，列出了一系列可能會在開發(fā)連續(xù)審計方法中起作用的技術）。在實踐中，這能夠通過識別關鍵控制和風險種類最好地達到目的。一個關于本系統(tǒng)的更深層次的了解可以從以下幾方面獲取：分析詳細的系統(tǒng)流程圖和（或）關于數(shù)據(jù)流的描述。這些討論也能幫助識別關鍵字段和其他的有用數(shù)據(jù)。在搜索信息源的時候，審計師應該從假設信息都是以電子形式存在開始，如果可能：決定可能的源頭和應用程序系統(tǒng)。首席審計師必須識別審計部門需要訪問，決定這些應用軟件中哪些是最為關鍵的。首席審計師必須檢查根據(jù)企業(yè)風險管理建立的控制框架和領域。（二）獲取管理層支持一旦連續(xù)審計的目標已經(jīng)定義好，就必須獲得審計委員會和高層管理人員的支持。尤其是，內(nèi)部審計部門需要處理在每個經(jīng)營行為中整個經(jīng)營程序（COSO）和IT（CoBIT）控制。盡管每個組織是不同的，在開發(fā)和支持連續(xù)審計應用的時候仍然有一些相同的行為必須小心地計劃和管理（見下面的“關鍵步驟”）。內(nèi)部和外部風險必須連續(xù)地評估，以保證出現(xiàn)的風險能夠及時地被發(fā)現(xiàn)，并且組織能夠?qū)ψ兓娘L險環(huán)境作出反應。盡管測試表明這些控制在運行，但審計師想知道它們是否在恰當?shù)剡\行。審計師可能檢查使用的病假的天數(shù)和正式報告的疾病數(shù)。此外，將來年度的數(shù)據(jù)能夠容易地用來評價實施審計建議的影響。通過總體分析確定了應付賬款被分散化了，而且沒有任何標準程序。連續(xù)風險評估用來制定企業(yè)的年度審計計劃與支持個別審計的主要區(qū)別在于用于識別和評估風險的信息詳細程度不同。風險評估測試能夠頻繁運行來保證部署的審計能夠發(fā)現(xiàn)當前或出現(xiàn)的風險。就是說一個產(chǎn)品要20個小時的制造時間，不僅花更長的時間來制造，而且?guī)砹吮纫粋€只需兩個小時的制造時間的產(chǎn)品更高水平的經(jīng)營風險。復雜性指標考慮的不僅是相對先前年度和相似規(guī)模企業(yè)的變化，而且還么考慮諸如責任中心的數(shù)量、可自由支配的個人開支的百分比、單位是否需要管理花費、收入和資產(chǎn)等項目。在重大性方面，一種方式是參照規(guī)模相似的企業(yè)——盡管風險指標還可能要考慮一個單位與另一個單位的復雜性。但是，這不是一項有效的確定真正風險領域的方式。控制缺陷數(shù)量的可變性越大，生產(chǎn)線的合理性和功能的協(xié)調(diào)性就越要得到關注。二、應用于連續(xù)風險評估管理層負有開發(fā)和維持一個系統(tǒng)來識別和減輕風險的責任，國際內(nèi)部審計準則2110號指出，審計師應該通過識別和評估重大的暴露在風險下的項目來幫助組織，并在改進風險管理和控制系統(tǒng)中發(fā)揮作用。薪金可以在每個付款周期使用，在支票出具之前進行。（六）結論和建議連續(xù)控制評估技術可能類似于管理層實施的連續(xù)監(jiān)控技術。美國注冊會計師協(xié)會頒布的審計標準的公告第99號（SAS ）“考慮財務報告審計中的舞弊”也是出臺來幫助審計師偵測舞弊的。第A3節(jié)也需要審計師對關鍵信息技術風險、控制和可利用技術來開展他們工作的知識。此外，測試還檢查失敗的登錄日志。審計師抽出當年第一季度的所有處理的交易，然后利用數(shù)據(jù)分析技術來計算每個使用者處理過的交易（通過交易類型）。分析的結果將提交給持卡者的經(jīng)理，以對這些可疑交易進行詳細審查——將采購卡的支出與商品采購相匹配。連續(xù)控制評估還能夠?qū)B續(xù)的風險評估和管理層減輕風險的行為起作用。一、應用于連續(xù)控制評估（一）識別控制缺陷由于新的法規(guī)需要高層管理者證明控制環(huán)境的有效性，以及財務報告中所含信息的精確性，首席執(zhí)行官和首席財務官開始內(nèi)部審計行為來輔助遵循這些法規(guī)。首席審計師必須認識到許多的管理行為與連續(xù)審計有很強的聯(lián)系，例如整合風險管理、平衡計分卡、連續(xù)改進、連續(xù)監(jiān)控。審計師不僅必須能夠評價財務風險，而且要能夠評價運營風險和策略風險。也許最困難的挑戰(zhàn)來自于審計師必須對內(nèi)部控制的有效性及時作出保證，更好地識別和評估風險水平，快速找出沒有遵循相關法規(guī)和政策的事項。在某些情況下，審計師甚至可能主動來幫助組織建立風險管理和控制評估程序（見國際內(nèi)部審計協(xié)會實務報告21004：審計師在一個沒有風險管理程序組織中的作用）。如果合適的話，更正控制薄弱環(huán)節(jié)。評價控制的充分性和有效性通常是管理層的責任。審計保證是對控制的充分性和有效性以及信息的完整性發(fā)表意見。個別審計通常開始于年度審計計劃中的風險識別，但使用更多的數(shù)據(jù)分析和其他技術（如訪問，自我控制評估，實地觀察walkthrough，調(diào)查問卷）來進一步定義風險的主要領域和風險評估的關注點和后續(xù)的審計行為。圖3：連續(xù)審計的連續(xù)系統(tǒng)←─────────────連續(xù)審計─────────────→連續(xù)控制評估←──────────────────→連續(xù)風險評估方法控制基礎 風險基礎（保證控制正在運行）←─────────────→（識別/評估風險）財務控制 財務/運營控制關注點實時/詳細交易測試（財務數(shù)據(jù)）←─────→趨勢/比較（財務/運營數(shù)據(jù)）分析技術控制保證 財務鑒證 舞弊/浪費/濫用 審計范圍和目標 追蹤審計記錄 年度審計計劃相關審計行為控制監(jiān)控 業(yè)績監(jiān)控 平衡計分卡 全面質(zhì)量管理 企業(yè)風險管理相關管理行為注1：在這個連續(xù)系統(tǒng)的“控制”結尾，相關審計行為包括保證和財務鑒證審計。取決于特殊的控制規(guī)則和相關測試和初始參數(shù)，某些交易被標記為控制例外事項，且告知管理層。這種比較能夠較早地警示某個程序或系統(tǒng)（審計主體）的風險水平高于以前年度或其他主體。通過連續(xù)控制評估，通過識別控制缺陷和侵害，審計師給審計委員會和高層經(jīng)理提供關于控制是否正在恰當運行的保證。管理層實施的持續(xù)控制監(jiān)控是有效保證策略的核心部分，但是，審計師仍然必須確保管理層的行為是充分的和有效的。理解與連續(xù)審計相關的術語的關鍵在于理解控制和風險是一個問題的兩個方面。連續(xù)審計還面臨著一些挑戰(zhàn)。例如，對財務交易的持續(xù)審計，當一個分類賬憑證超出了給定限額，以及留有非正常關聯(lián)賬戶的入口，測試可能給出一個提示。內(nèi)部審計行為，根據(jù)它對管理層和董事會的職責，他對識別和評價組織的由管理層實施的風險管理系統(tǒng)（內(nèi)部審計準則2110）和控制（內(nèi)部審計準則2120）的有效性負有責任。連續(xù)風險評估使審計師能識別正在出現(xiàn)的使公司處于風險的領域，將這些風險區(qū)分優(yōu)先次序，以更加有效地分配有限的審計資源。 內(nèi)部環(huán)境和目標設置：通過正式確定連續(xù)審計的目標和內(nèi)部審計的角色。三、COSO的企業(yè)風險管理（ERM）框架Treadway委員會下屬的發(fā)起組織委員會（COSO）發(fā)布的企業(yè)風險管理——整合框架鼓勵內(nèi)部審計師行為向管理層經(jīng)營方式靠攏：控制環(huán)境、風險評估、信息與溝通、風險監(jiān)控。但是，如果他們不完全理解經(jīng)營流程和相關風險，審計師只能僅僅執(zhí)行傳統(tǒng)的審計核查工作。但是，盡管有這些技術基礎，傳統(tǒng)審計程序通常依賴于典型的樣本，而不是對總體進行評價，并且是在經(jīng)營（交易）行為發(fā)生一些時間后進行分析的。最基本的優(yōu)點就是使用連續(xù)的自動化的數(shù)據(jù)分析將幫助審計師識別風險最高的領域，并作為決定他們的審計計劃的先導。在這種情況下，美國證券交易委員會指出，“管理層和審計師必須運用合理的判斷，在（薩班斯法案404條款）遵循流程中運用嚴密的（TOPDOWN）、風險基礎的方法”。這份全球?qū)徲嬛改鲜紫冉y(tǒng)一使用“連續(xù)審計”的概念。第二部分 導言這份全球技術審計指南將著重連續(xù)審計的技術可行性方面，并且將介紹： 過去30年間使用的類似概念的歷史和背景。 開發(fā)和保持技術方面的能力，以保證訪問、操作和分析包含在相互分離系統(tǒng)中數(shù)據(jù)的能力。盡管對內(nèi)部控制的監(jiān)控是一種管理職能，內(nèi)部審計師行為能夠使用和借助連續(xù)審計來強化整個組織的監(jiān)控和評價環(huán)境。管理層使用連續(xù)監(jiān)控程序，結合內(nèi)部審計師執(zhí)行的連續(xù)審計，能夠滿足對控制程序的有效性以及用于決策的信息的相關性和可靠性的保證需要。通過對的自動化和經(jīng)常性的分析，他們能夠?qū)崟r地或接近實時地執(zhí)行控制和風險評估。測試程序也是基于抽樣的方式，還包括一些諸如對政策、程序、批準和調(diào)節(jié)的評價。關注度的提高不僅與期望值的增長有關，還與內(nèi)部審計師在評價內(nèi)部控制的有效性、風險管理和治理流程中保持獨立性和客觀性的能力能力有關。這份全球技術審計指南“連續(xù)審計：對保證、監(jiān)控和風險評估的意義”給首席審計師們提供關于如何實施一個理想的策略，結合連續(xù)審計和連續(xù)監(jiān)控方案來應對這些挑戰(zhàn)。GLOBAL T