【正文】 面的評估和提供更加連續(xù)的控制評估。以下的一個關(guān)于內(nèi)部審計中應(yīng)用連續(xù)控制評估在財務(wù)控制、系統(tǒng)控制和安全控制等三個領(lǐng)域來支持管理層監(jiān)控功能。在審計完成后，連續(xù)控制評估應(yīng)用測試就轉(zhuǎn)向采購卡協(xié)調(diào)員，來幫助運(yùn)營經(jīng)理每個月對采購卡控制的監(jiān)控。結(jié)果表明在基于角色的特色配置的設(shè)計中職責(zé)分離控制是薄弱的，因為這些是被視為不相容的職責(zé)。審計師通過這份報告來證明將登錄參數(shù)改為在諸如這類使用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。例如，利用數(shù)據(jù)分析技術(shù)，審計師能夠容易識別那些地方超越了合約的授權(quán)（如合約超過了給個人規(guī)定的合同限額）和被逃避（avoid）（如撕毀合約）。強(qiáng)調(diào)增加職業(yè)懷疑。取而代之的是，審計師能夠關(guān)注執(zhí)行其他的程序來提供連續(xù)的關(guān)于管理層的連續(xù)監(jiān)控程序的保證。在某些情況下，審計師可能執(zhí)行初始的控制測試，然后將連續(xù)監(jiān)控移交給管理層。這兩項行為是相關(guān)的，審計師能夠利用連續(xù)風(fēng)險評估來識別和評估風(fēng)險水平的變化。可變性的概念是連續(xù)風(fēng)險評估與內(nèi)嵌審計模塊和例外報告的關(guān)鍵區(qū)分因素。連續(xù)風(fēng)險評估用于建立必要的分析程序，如報告存貨損失和熟練員工的營業(yè)額。舉例：制定審計計劃建立ABC公司的風(fēng)險基礎(chǔ)審計計劃需要建立一個審計域（audit universe），并界定被審計單位；收集和分析量化數(shù)據(jù)，如經(jīng)營計劃、組織結(jié)構(gòu)圖、管理投入和促成會議（facilitated session）；收集、規(guī)范化和分析量化的數(shù)據(jù)，如財務(wù)、人力資源和經(jīng)營信息；根據(jù)風(fēng)險指標(biāo)安排審計（單位）的優(yōu)先次序。同樣，如果這是第一個年度，單位B沒有任何收入，那么將會增加它的財務(wù)風(fēng)險水平。一旦所有的來自這三個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)被收集、規(guī)范化和對每個單位進(jìn)行分析，相關(guān)單位的打分也被計算出來。其結(jié)果能夠用來設(shè)置正式審計的參數(shù)和決定審計時間。在一個常規(guī)審計中，分析性評價程序的規(guī)模和范圍受到傳統(tǒng)技術(shù)所能收集數(shù)據(jù)類型和數(shù)量的限制。此外，審計師使用“每筆交易成本”和“每個使用者的交易數(shù)量”來評估不同的發(fā)票處理的影響，識別特定部門的效率和效果。尤其是，如果連續(xù)風(fēng)險評估用來識別和評價風(fēng)險，作為定義審計范圍和目標(biāo)地一部分的話，相同的指標(biāo)能夠用于評價實施審計建議的影響。病假天數(shù)和報告疾病的減少能夠用來證明溝通的改進(jìn)已經(jīng)得到貫徹并收到了預(yù)期的效果。由于一些采購單所采購商品在交付使用前需要經(jīng)過幾道裝運(yùn)程序，那么這些采購單當(dāng)中必然有一部分每張采購單附有幾張采購發(fā)票。風(fēng)險警報應(yīng)該區(qū)分優(yōu)先順序，清楚地、可理解地進(jìn)行管理，讓人知道誰接受它們的，它們怎么交流的，應(yīng)該采取什么樣的行動。此外，這里也可能沒有列出其他的行為，尤其是在采用連續(xù)審計支持某項特殊審計的時候。因此，確保業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的可靠性、完整性和有效性是首席審計師和高層經(jīng)理的關(guān)鍵目標(biāo)。審計委員會和高層經(jīng)理必須告知初始情況，尤其是訪問需求，也包括如何以及何時報告結(jié)果。但是，如果首席審計師決定這些程序是不充分的，審計師將必須連續(xù)地執(zhí)行他們自己的詳細(xì)控制和風(fēng)險評估程序。與IT管理部門保持良好的工作關(guān)系是很有意義的，因為經(jīng)常需要他們的幫助，即使審計師是使用數(shù)據(jù)分析工具的專家。識別對應(yīng)用系統(tǒng)負(fù)有責(zé)任的程序師/系統(tǒng)分析師。在兩個數(shù)據(jù)源都存在的情況下，比較這些數(shù)據(jù)能夠證明對識別控制缺陷和暴露的風(fēng)險非常有用。研究所有數(shù)據(jù)文件的記錄格式，包括字段描述和對每個字段可能值的描述和解釋。首席審計師應(yīng)該實施這些行為，因為這將會提供最及時、最大化的回報。當(dāng)選擇一個用于連續(xù)審計的軟件時，首席審計師必須考慮數(shù)據(jù)源、數(shù)據(jù)格式和交易量，檢查公司的計算機(jī)環(huán)境和關(guān)鍵業(yè)務(wù)系統(tǒng)的未來計劃也是很重要的。來自于管理層的支持通常對審計師獲取物理的和邏輯的訪問所需信息而言是必要的。連續(xù)審計通常需要結(jié)合以下幾種訪問方法：在業(yè)務(wù)系統(tǒng)中內(nèi)嵌連續(xù)審計軟件來處理適當(dāng)位置的數(shù)據(jù)。這里存在這一些文件在訪問和傳遞數(shù)據(jù)時可能有用。（十）建立審計技術(shù)技能和知識國際內(nèi)部審計準(zhǔn)則第1210號要求內(nèi)部審計收集證據(jù)必須擁有或者獲取執(zhí)行他們的任務(wù)時所需的知識、技能和其他勝任工作所需的能力。連續(xù)審計的初始結(jié)果可能也容易在解釋數(shù)據(jù)或結(jié)果方面出錯。確定數(shù)據(jù)的時效（信息是否是當(dāng)前的？它多久更新一次？最后一次是什么時候更新的？）決定這些信息是否完整和精確。在起初，審計師將必須執(zhí)行對業(yè)務(wù)系統(tǒng)數(shù)據(jù)完整性的評估。審計軟件特別適合清理從不同系統(tǒng)中獲取的數(shù)據(jù)，使它更加適合審計工作。但是，從其中一個評估獲取的結(jié)果應(yīng)該用于另一個的評估。連續(xù)控制評估提供通過預(yù)先設(shè)計的控制測試來對交易數(shù)據(jù)的獨(dú)立分析。這些測試能夠用于：細(xì)節(jié)交易（如授權(quán)給一個并沒有這種類型交易的充分權(quán)力的用戶，或者給賣主的支付和授權(quán)交易的是同一?？刂票仨毐ＷC保密性、完整性、有效性和信息的可靠性。相反，在檢查風(fēng)險水平的時候，應(yīng)該考慮識別控制缺陷。連續(xù)審計系統(tǒng)能夠通過連接采購和發(fā)票數(shù)據(jù)來識別超過5000美元的發(fā)票（這些發(fā)票都沒有相應(yīng)的采購單記錄），來測試這些控制。（十一）確保數(shù)據(jù)的完整性數(shù)據(jù)的完整性對平滑地實施連續(xù)審計技術(shù)非常重要。這些可以通過以下方面：評價關(guān)鍵的數(shù)據(jù)字段和數(shù)據(jù)元素。在初始階段，參數(shù)的敏感性、分析的充分性和其他的可能導(dǎo)致大量的交易被連續(xù)審計標(biāo)記的因素，這應(yīng)該被預(yù)料到?，F(xiàn)在，有很多種方法能夠完成這項導(dǎo)入。它應(yīng)該也允許審計師通過類似參數(shù)來容易識別交易，然后跟蹤標(biāo)記的交易。首席審計師還將需要確定已經(jīng)獲取的合適的訪問權(quán)利。由于技術(shù)的進(jìn)步（既有軟件方面的，也有硬件方面的），訪問數(shù)據(jù)方面的障礙問題不復(fù)存在，也不需要特殊的硬件或IT專業(yè)人員的參與。選擇適用技術(shù)對長期的成功是很關(guān)鍵的（見連續(xù)審計：內(nèi)部審計師的潛能，第五章——適用技術(shù)，國際內(nèi)部審計師協(xié)會研究基金會，2003，列出了一系列可能會在開發(fā)連續(xù)審計方法中起作用的技術(shù)）。在實踐中，這能夠通過識別關(guān)鍵控制和風(fēng)險種類最好地達(dá)到目的。一個關(guān)于本系統(tǒng)的更深層次的了解可以從以下幾方面獲?。悍治鲈敿?xì)的系統(tǒng)流程圖和（或）關(guān)于數(shù)據(jù)流的描述。這些討論也能幫助識別關(guān)鍵字段和其他的有用數(shù)據(jù)。在搜索信息源的時候，審計師應(yīng)該從假設(shè)信息都是以電子形式存在開始，如果可能：決定可能的源頭和應(yīng)用程序系統(tǒng)。首席審計師必須識別審計部門需要訪問，決定這些應(yīng)用軟件中哪些是最為關(guān)鍵的。首席審計師必須檢查根據(jù)企業(yè)風(fēng)險管理建立的控制框架和領(lǐng)域。（二）獲取管理層支持一旦連續(xù)審計的目標(biāo)已經(jīng)定義好，就必須獲得審計委員會和高層管理人員的支持。尤其是，內(nèi)部審計部門需要處理在每個經(jīng)營行為中整個經(jīng)營程序（COSO）和IT（CoBIT）控制。盡管每個組織是不同的，在開發(fā)和支持連續(xù)審計應(yīng)用的時候仍然有一些相同的行為必須小心地計劃和管理（見下面的“關(guān)鍵步驟”）。內(nèi)部和外部風(fēng)險必須連續(xù)地評估，以保證出現(xiàn)的風(fēng)險能夠及時地被發(fā)現(xiàn)，并且組織能夠?qū)ψ兓娘L(fēng)險環(huán)境作出反應(yīng)。盡管測試表明這些控制在運(yùn)行，但審計師想知道它們是否在恰當(dāng)?shù)剡\(yùn)行。審計師可能檢查使用的病假的天數(shù)和正式報告的疾病數(shù)。此外，將來年度的數(shù)據(jù)能夠容易地用來評價實施審計建議的影響。通過總體分析確定了應(yīng)付賬款被分散化了，而且沒有任何標(biāo)準(zhǔn)程序。連續(xù)風(fēng)險評估用來制定企業(yè)的年度審計計劃與支持個別審計的主要區(qū)別在于用于識別和評估風(fēng)險的信息詳細(xì)程度不同。風(fēng)險評估測試能夠頻繁運(yùn)行來保證部署的審計能夠發(fā)現(xiàn)當(dāng)前或出現(xiàn)的風(fēng)險。就是說一個產(chǎn)品要20個小時的制造時間，不僅花更長的時間來制造，而且?guī)砹吮纫粋€只需兩個小時的制造時間的產(chǎn)品更高水平的經(jīng)營風(fēng)險。復(fù)雜性指標(biāo)考慮的不僅是相對先前年度和相似規(guī)模企業(yè)的變化，而且還么考慮諸如責(zé)任中心的數(shù)量、可自由支配的個人開支的百分比、單位是否需要管理花費(fèi)、收入和資產(chǎn)等項目。在重大性方面，一種方式是參照規(guī)模相似的企業(yè)——盡管風(fēng)險指標(biāo)還可能要考慮一個單位與另一個單位的復(fù)雜性。但是，這不是一項有效的確定真正風(fēng)險領(lǐng)域的方式。控制缺陷數(shù)量的可變性越大，生產(chǎn)線的合理性和功能的協(xié)調(diào)性就越要得到關(guān)注。二、應(yīng)用于連續(xù)風(fēng)險評估管理層負(fù)有開發(fā)和維持一個系統(tǒng)來識別和減輕風(fēng)險的責(zé)任，國際內(nèi)部審計準(zhǔn)則2110號指出，審計師應(yīng)該通過識別和評估重大的暴露在風(fēng)險下的項目來幫助組織，并在改進(jìn)風(fēng)險管理和控制系統(tǒng)中發(fā)揮作用。薪金可以在每個付款周期使用，在支票出具之前進(jìn)行。（六）結(jié)論和建議連續(xù)控制評估技術(shù)可能類似于管理層實施的連續(xù)監(jiān)控技術(shù)。美國注冊會計師協(xié)會頒布的審計標(biāo)準(zhǔn)的公告第99號（SAS ）“考慮財務(wù)報告審計中的舞弊”也是出臺來幫助審計師偵測舞弊的。第A3節(jié)也需要審計師對關(guān)鍵信息技術(shù)風(fēng)險、控制和可利用技術(shù)來開展他們工作的知識。此外，測試還檢查失敗的登錄日志。審計師抽出當(dāng)年第一季度的所有處理的交易，然后利用數(shù)據(jù)分析技術(shù)來計算每個使用者處理過的交易（通過交易類型）。分析的結(jié)果將提交給持卡者的經(jīng)理，以對這些可疑交易進(jìn)行詳細(xì)審查——將采購卡的支出與商品采購相匹配。連續(xù)控制評估還能夠?qū)B續(xù)的風(fēng)險評估和管理層減輕風(fēng)險的行為起作用。一、應(yīng)用于連續(xù)控制評估（一）識別控制缺陷由于新的法規(guī)需要高層管理者證明控制環(huán)境的有效性，以及財務(wù)報告中所含信息的精確性，首席執(zhí)行官和首席財務(wù)官開始內(nèi)部審計行為來輔助遵循這些法規(guī)。首席審計師必須認(rèn)識到許多的管理行為與連續(xù)審計有很強(qiáng)的聯(lián)系，例如整合風(fēng)險管理、平衡計分卡、連續(xù)改進(jìn)、連續(xù)監(jiān)控。審計師不僅必須能夠評價財務(wù)風(fēng)險，而且要能夠評價運(yùn)營風(fēng)險和策略風(fēng)險。也許最困難的挑戰(zhàn)來自于審計師必須對內(nèi)部控制的有效性及時作出保證，更好地識別和評估風(fēng)險水平，快速找出沒有遵循相關(guān)法規(guī)和政策的事項。在某些情況下，審計師甚至可能主動來幫助組織建立風(fēng)險管理和控制評估程序（見國際內(nèi)部審計協(xié)會實務(wù)報告21004：審計師在一個沒有風(fēng)險管理程序組織中的作用）。如果合適的話，更正控制薄弱環(huán)節(jié)。評價控制的充分性和有效性通常是管理層的責(zé)任。審計保證是對控制的充分性和有效性以及信息的完整性發(fā)表意見。個別審計通常開始于年度審計計劃中的風(fēng)險識別，但使用更多的數(shù)據(jù)分析和其他技術(shù)（如訪問，自我控制評估，實地觀察walkthrough，調(diào)查問卷）來進(jìn)一步定義風(fēng)險的主要領(lǐng)域和風(fēng)險評估的關(guān)注點(diǎn)和后續(xù)的審計行為。圖3：連續(xù)審計的連續(xù)系統(tǒng)←─────────────連續(xù)審計─────────────→連續(xù)控制評估←──────────────────→連續(xù)風(fēng)險評估方法控制基礎(chǔ) 風(fēng)險基礎(chǔ)（保證控制正在運(yùn)行）←─────────────→（識別/評估風(fēng)險）財務(wù)控制 財務(wù)/運(yùn)營控制關(guān)注點(diǎn)實時/詳細(xì)交易測試（財務(wù)數(shù)據(jù)）←─────→趨勢/比較（財務(wù)/運(yùn)營數(shù)據(jù)）分析技術(shù)控制保證 財務(wù)鑒證 舞弊/浪費(fèi)/濫用 審計范圍和目標(biāo) 追蹤審計記錄 年度審計計劃相關(guān)審計行為控制監(jiān)控 業(yè)績監(jiān)控 平衡計分卡 全面質(zhì)量管理 企業(yè)風(fēng)險管理相關(guān)管理行為注1：在這個連續(xù)系統(tǒng)的“控制”結(jié)尾，相關(guān)審計行為包括保證和財務(wù)鑒證審計。取決于特殊的控制規(guī)則和相關(guān)測試和初始參數(shù)，某些交易被標(biāo)記為控制例外事項，且告知管理層。這種比較能夠較早地警示某個程序或系統(tǒng)（審計主體）的風(fēng)險水平高于以前年度或其他主體。通過連續(xù)控制評估，通過識別控制缺陷和侵害，審計師給審計委員會和高層經(jīng)理提供關(guān)于控制是否正在恰當(dāng)運(yùn)行的保證。管理層實施的持續(xù)控制監(jiān)控是有效保證策略的核心部分，但是，審計師仍然必須確保管理層的行為是充分的和有效的。理解與連續(xù)審計相關(guān)的術(shù)語的關(guān)鍵在于理解控制和風(fēng)險是一個問題的兩個方面。連續(xù)審計還面臨著一些挑戰(zhàn)。例如，對財務(wù)交易的持續(xù)審計，當(dāng)一個分類賬憑證超出了給定限額，以及留有非正常關(guān)聯(lián)賬戶的入口，測試可能給出一個提示。內(nèi)部審計行為，根據(jù)它對管理層和董事會的職責(zé)，他對識別和評價組織的由管理層實施的風(fēng)險管理系統(tǒng)（內(nèi)部審計準(zhǔn)則2110）和控制（內(nèi)部審計準(zhǔn)則2120）的有效性負(fù)有責(zé)任。連續(xù)風(fēng)險評估使審計師能識別正在出現(xiàn)的使公司處于風(fēng)險的領(lǐng)域，將這些風(fēng)險區(qū)分優(yōu)先次序，以更加有效地分配有限的審計資源。 內(nèi)部環(huán)境和目標(biāo)設(shè)置：通過正式確定連續(xù)審計的目標(biāo)和內(nèi)部審計的角色。三、COSO的企業(yè)風(fēng)險管理（ERM）框架Treadway委員會下屬的發(fā)起組織委員會（COSO）發(fā)布的企業(yè)風(fēng)險管理——整合框架鼓勵內(nèi)部審計師行為向管理層經(jīng)營方式靠攏：控制環(huán)境、風(fēng)險評估、信息與溝通、風(fēng)險監(jiān)控。但是，如果他們不完全理解經(jīng)營流程和相關(guān)風(fēng)險，審計師只能僅僅執(zhí)行傳統(tǒng)的審計核查工作。但是，盡管有這些技術(shù)基礎(chǔ)，傳統(tǒng)審計程序通常依賴于典型的樣本，而不是對總體進(jìn)行評價，并且是在經(jīng)營（交易）行為發(fā)生一些時間后進(jìn)行分析的。最基本的優(yōu)點(diǎn)就是使用連續(xù)的自動化的數(shù)據(jù)分析將幫助審計師識別風(fēng)險最高的領(lǐng)域，并作為決定他們的審計計劃的先導(dǎo)。在這種情況下，美國證券交易委員會指出，“管理層和審計師必須運(yùn)用合理的判斷，在（薩班斯法案404條款）遵循流程中運(yùn)用嚴(yán)密的（TOPDOWN）、風(fēng)險基礎(chǔ)的方法”。這份全球?qū)徲嬛改鲜紫冉y(tǒng)一使用“連續(xù)審計”的概念。第二部分 導(dǎo)言這份全球技術(shù)審計指南將著重連續(xù)審計的技術(shù)可行性方面，并且將介紹： 過去30年間使用的類似概念的歷史和背景。 開發(fā)和保持技術(shù)方面的能力，以保證訪問、操作和分析包含在相互分離系統(tǒng)中數(shù)據(jù)的能力。盡管對內(nèi)部控制的監(jiān)控是一種管理職能，內(nèi)部審計師行為能夠使用和借助連續(xù)審計來強(qiáng)化整個組織的監(jiān)控和評價環(huán)境。管理層使用連續(xù)監(jiān)控程序，結(jié)合內(nèi)部審計師執(zhí)行的連續(xù)審計，能夠滿足對控制程序的有效性以及用于決策的信息的相關(guān)性和可靠性的保證需要。通過對的自動化和經(jīng)常性的分析，他們能夠?qū)崟r地或接近實時地執(zhí)行控制和風(fēng)險評估。測試程序也是基于抽樣的方式，還包括一些諸如對政策、程序、批準(zhǔn)和調(diào)節(jié)的評價。關(guān)注度的提高不僅與期望值的增長有關(guān)，還與內(nèi)部審計師在評價內(nèi)部控制的有效性、風(fēng)險管理和治理流程中保持獨(dú)立性和客觀性的能力能力有關(guān)。這份全球技術(shù)審計指南“連續(xù)審計：對保證、監(jiān)控和風(fēng)險評估的意義”給首席審計師們提供關(guān)于如何實施一個理想的策略，結(jié)合連續(xù)審計和連續(xù)監(jiān)控方案來應(yīng)對這些挑戰(zhàn)。GLOBAL T