【正文】 審計師在提供連續(xù)評估來證明這些控制是否有效時必須不斷提高警惕。要將分離系統(tǒng)的數(shù)據(jù)連接起來通常需要進行數(shù)據(jù)清理來除去有完整性問題的交易，修改數(shù)據(jù)的格式等等。評價應用于這些數(shù)據(jù)的功能程序所建立的元數(shù)據(jù)。與業(yè)務系統(tǒng)的所有者討論可以幫助審計師決定導入方式和最適合連續(xù)審計的數(shù)據(jù)文件格式。因為主機和客戶/服務器系統(tǒng)，安全調查（securitycleared）、只讀形式的訪問是必需的。一系列清楚的連續(xù)審計目標和一個決定風險反應和優(yōu)先權的計劃將幫助指導軟件的選擇。檢查所有輸入和輸出文檔的副本。識別信息的所有者（在IT管理部門能夠同意他們訪問應用系統(tǒng)和數(shù)據(jù)文件前審計師可能需要他們的允許）。如果管理層已經很好地建立了這些控制框架的領域以及功能程序來評估控制和風險，那么審計行為將能夠高度依賴報告的控制和風險水平。業(yè)務系統(tǒng)和交易數(shù)據(jù)的可靠性是及其重要的，不僅與內部控制框架和財務報告的完整性有關，還與經營運作的效率性有關。首席審計師必須保證在合適的提示系統(tǒng)來反饋出現(xiàn)的風險。盡管這不直接衡量道德，審計師能夠使用這些指標，因為他們可能對道德變化作出反應。而且，不同類型的交易在不同的部門進行處理。此外，通過比較不同時點的風險評估結果，審計師能夠在新出現(xiàn)的風險變得嚴重前進行預測。例如，單位A，有1500萬支出，主要是薪金，那么它相對單位B而言，兩者不在同一風險水平，因為B雖然只有500萬的支出（其中82％是謹慎的），1000萬的收入和1200萬的資產。首席審計師需要一個可信賴的風險評估方案，通過數(shù)據(jù)驅動標準，可以不用每年訪問這些商店，而且能對所有的1100家商店提供保證。國際內部審計準則2010號鼓勵首席審計師建立風險基礎的計劃來決定內部審計行為的優(yōu)先次序，以與組織的目標相一致。在內部審計師可以依賴管理層實施的連續(xù)監(jiān)控的地方，而無需采用相同層次的細節(jié)連續(xù)控制評估技術。使用技術來支持連續(xù)控制評估能夠幫助審計師檢查詳細交易，也包括匯總數(shù)據(jù)，識別異常和其他的舞弊、浪費和濫用信號。這發(fā)現(xiàn)兩個使用者首先建立采購安排，然后記錄相同采購安排的貨物接受交易?？刂坪惋L險的評估是相互補充、相互支持。審計必須決定那些地方適合連續(xù)審計，它如何能用于評估這些管理措施行為或者利用它們所產生的信息。這些就是連續(xù)審計可以應用的領域。連續(xù)監(jiān)控的關鍵是這些程序必須由管理層掌控并由管理層來執(zhí)行，因為實施和保持有效控制系統(tǒng)是其職責的一部分。管理層對控制的連續(xù)監(jiān)控是有效保證策略的核心，但是，審計行為還必須保證管理層行為是充分和有效的。注2：連續(xù)系統(tǒng)的另一個結尾的審計行為包括通過風險評估支持審計項目來識別舞弊、浪費和濫用，并提交年度審計報告。審計的反應也因風險的特征和水平而異。連續(xù)保證的框架是聯(lián)結內部審計師的獨立性評價行為：控制的狀態(tài)、組織內部的風險管理、評估管理監(jiān)控功能的充分性。這些技術需要被理解和控制。審計師和管理層之間的角色差異在于從事內部控制和風險評估工作時，各自對股東的責任的特征。 事項識別：通過開發(fā)一個系統(tǒng)來識別和報告事項以及應對這些威脅和機遇的程序。連續(xù)審計給審計師提供了一個超脫傳統(tǒng)審計方式的局限、樣本的限制、撰寫標準公告、實時評價的機會，連續(xù)審計的關鍵部分是能夠在接近經營行為發(fā)生或者在經營行為發(fā)生的同時對交易進行評價的連續(xù)審計模型。但是，在很大程度上，審計師們并沒有對這種審計方法做好準備。它論述了作為連續(xù)審計的主要組成部分的連續(xù)控制評估和連續(xù)風險評估。 使用（或實施）數(shù)據(jù)分析技術來支持審計項目，包括使用合適的分析軟件工具，開發(fā)和維護數(shù)據(jù)分析技術，以及審計組中的專家。對組織的一種重要的額外好處是錯誤和舞弊事件的顯著減少，經營效率也得到了提高，線下項目（bottomline）的結果也通過成本的減少和過度支付及收入泄漏的減少得到改善。現(xiàn)在，這種方式被視為一種僅僅能夠提供內部審計師一個狹窄范圍的評價的審計方法，通常由于太遲而是去了對經營績效和法規(guī)遵循的價值。ACL的數(shù)據(jù)分析技術和連續(xù)控制監(jiān)控方案能夠最好地提升審計實踐，以滿足當今對有效控制地高度要求。但是，大多數(shù)的運營和財務審計行為保留下來了。顯然，必須要有一種新的、能夠提供連續(xù)的、建設性的和劃算的方法來解決這些問題。這包含識別控制目標和保證聲明（assurance assertion）以及建立自動化的測試程序來找出遵循失敗的活動和交易。五、實施的問題首席審計師必須認識到連續(xù)審計將改變審計模式，包括證據(jù)的特征、時間、程序和內部審計師所需的努力水平。 一個連續(xù)審計自我評估工具。到了20世紀80年代，審計職業(yè)中有些人開始接受并使用計算機輔助審計工具和技術（CAATTs）用于特殊的調查和分析。首席審計師必須給高層管理者提供對內部控制的健康運行和組織內的風險水平作出連續(xù)的評價，而不是簡單的周期性的評價。連續(xù)審計同時還必須通過識別和評估風險以及給管理層提供信息對整個組織的改進作出貢獻，以更好地適應變化的商業(yè)環(huán)境。連續(xù)監(jiān)控的許多技術與內部審計部門使用的連續(xù)審計技術是類似的。然而，連續(xù)審計最重要的優(yōu)勢之一在于它獨立于所審計的業(yè)務和財務系統(tǒng)和管理層實施的監(jiān)控。保證可以認為是第三方對事件狀態(tài)的意見，這個事件是關于一個特定的交易、業(yè)務或治理流程、風險或整個業(yè)務流程中的財務績效的。連續(xù)風險評估通過檢查趨勢和比較（在單個程序或系統(tǒng)里，與之過去的表現(xiàn)相比較，與企業(yè)內的其他的程序或系統(tǒng)相比）來識別和評估風險水平。同時，連續(xù)系統(tǒng)中的不同位置更加適合不同的工作，在連續(xù)系統(tǒng)中當你執(zhí)行不同的任務時還可能超過一個位置。通常，保證被視為一項嚴格的審計相關行為，通常具有財務方面的特征。調查沒有通過控制測試的所有交易。通過結合評價監(jiān)控和連續(xù)審計程序，審計師能夠提供關于內部控制有效性的保證。包含在年度審計計劃中審計項目的選擇：通過識別更高風險領域。對關于內部控制交易數(shù)據(jù)的連續(xù)控制評估能夠迅速找出錯誤和異常，將它們報告給管理層，以及時進行檢查和采取行動。ERP項目小組，通過業(yè)主的投入，開發(fā)一系列基于使用者角色的特色配置，這就允許使用者能夠根據(jù)自己的工作職責來處理各式各樣的業(yè)務。這些測試的頻率和時間取決于潛在的經營風險和控制框架和管理監(jiān)控功能的充分性。它也定義了舞弊財務報表和盜竊的風險因素，這能夠被用來作為評估舞弊財務報告風險的模型。測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超過25％的賬戶，識別不正常的行為，如銷賬的增加。舉例：基于風險選擇審計點在全國擁有超過1100家零售商店，ABC食品的內部審計部門需要一個高效率和高效果的方式來選擇單個商店審計。在不同情況下有不同的考慮。在一個快速變化的商業(yè)環(huán)境下，年度審計計劃可能不足以適應風險變化的水平。然后，顯著的不一致即可被標識出來。這些指標能夠作為它們測量對象的代理。結論連續(xù)風險評估不是一個靜態(tài)的系統(tǒng)。這些努力包括進入系統(tǒng)、對關鍵業(yè)務系統(tǒng)和流程的了解的努力對減少遵循的壓力和減少經營績效中的阻礙有潛在的好處。（三）決定測試的范圍程序的下一步就是決定審計所必須對控制和風險進行詳細測試的范圍。審計師應該設法發(fā)現(xiàn)、收集、分析和解釋、記錄自動化的信息源來支持結論。訪問經營流程經理。尤其是，審計師需要適當類型和水平的專業(yè)技能，并能夠訪問合適的、為特定目的而建立的技術。（九）訪問數(shù)據(jù)要有效使用連續(xù)審計，來進行連續(xù)分析和跟蹤審計結論，那么，訪問電子格式的數(shù)據(jù)將是必需的。在連續(xù)審計能夠開始前，數(shù)據(jù)文件必須能夠被審計師訪問。對數(shù)據(jù)所表述的東西的錯誤理解將不可避免地導致錯誤的結論，從而錯誤地識別并不存在的關鍵控制缺陷和薄弱環(huán)節(jié)。例如，一個組織可能要求所有的超過5000美元的采購都要提交采購單。（一）連續(xù)控制評估財務報告環(huán)節(jié)和商業(yè)經營程序中的控制的重要性不能過分夸大。使用連續(xù)控制評估允許首席審計師給管理層提供及早的關于控制侵害或缺陷的警告。二、連續(xù)控制和風險評估的關系連續(xù)“控制－風險”統(tǒng)一體的一個關鍵要素是雙方的數(shù)據(jù)都能夠自由流動。通過執(zhí)行各種測試，例如合理性、編輯檢查、與其它數(shù)據(jù)源比較，包括事先的調查或審計報告（如句法、語法和數(shù)據(jù)的完整性），來驗證數(shù)據(jù)的完整性。關于IT如何應用的知識，相關的風險和將使用IT技能作為執(zhí)行審計工作的基礎對審計師在各個層次有效進行審計都是必要的。復制標準報告并保存電子形式的報告以備將來分析。審計軟件能夠讀取各種類型的數(shù)據(jù)，包括主機遺留系統(tǒng)，客戶/服務器，網絡系統(tǒng)或企業(yè)資源管理計劃應用軟件，如SAP，ORACLE和PEOPLESOFT。將所有的審計師包含在識別可能的信息源的過程中，能夠幫助審計師借助使用連續(xù)審計作為一個整合的審計工具來從傳統(tǒng)的向后看的觀點轉化為向前看的觀點。審計師不應該局限在他們發(fā)現(xiàn)的第一個信息系統(tǒng)。盡管這個步驟與正在進行的任何審計和控制評價類似（無論是否是計算機輔助的），審計師應該努力避免被傳統(tǒng)思考模式所局限。圖6：連續(xù)審計的關鍵步驟關鍵步驟連續(xù)審計目標定義連續(xù)審計的目標獲取和達成高層管理員工的支持弄清管理層執(zhí)行其監(jiān)控角色的程度對要審計的領域和將要執(zhí)行的連續(xù)審計類型進行識別與排序識別關鍵信息系統(tǒng)和數(shù)據(jù)源識別原始的業(yè)務流程和應用軟件系統(tǒng)建立與IT管理層之間的關系數(shù)據(jù)訪問和利用選擇和購買分析工具開發(fā)訪問和分析能力開發(fā)和維持審計師的分析技能和技術評估數(shù)據(jù)的完整性和可靠性清潔和準備數(shù)據(jù)連續(xù)控制評估連續(xù)風險評估識別關鍵控制點定義控制規(guī)則定義例外情況設計技術輔助方法來測試控制和識別缺陷定義要評價的單位識別風險種類識別數(shù)據(jù)驅動風險/業(yè)績指標設計分析性測試來測量增加的風險水平報告和管理結論對結論按重要性進行排序，并決定連續(xù)審計行為的頻率在一個定期的和及時的基礎上進行測試識別控制缺陷和增加的風險水平對結論按重要性進行排序作出合適的審計反應，使審計結論讓管理層知道管理結論——跟蹤、報告、監(jiān)控和追蹤評價審計行為的結果監(jiān)控和評價連續(xù)審計程序的有效性——包括分析（如規(guī)則/指標）和達成的結論——對測試參數(shù)做必要的調整確保連續(xù)審計過程的安全性，還需確保連續(xù)審計與管理層行為，如企業(yè)風險管理、監(jiān)控和業(yè)績評價等有合適的聯(lián)系。尤其是，首席審計師必須決定審計結果如何應用于管理層實施的企業(yè)風險管理。審計師建立了連續(xù)審計測試來檢查所有金額大于5000美元的發(fā)票，以證實所需的采購單是否已提交。在一些相同審計需要在許多位置或每年執(zhí)行，特定的審計測試將會被用到，其結果可以與其他單位或與不同的時點的結果相比較。及早地識別風險可能不需要一個完整的審計，可能只要一個簡單的管理建議書，指出風險暴露點，并要求管理層作出回應。它還考慮與先前年度對比的變化（如一個快速發(fā)展的組織可能相對穩(wěn)定的組織擁有不同的風險）和分部的數(shù)量（如地理分散）。（一）制定審計計劃與傳統(tǒng)的審計計劃根據(jù)標準的循環(huán)（如一年、兩年、三年的比率進行）相比而言，企業(yè)經營過程中審計的頻率更應該基于風險因素。連續(xù)風險評估能夠連續(xù)地用來識別和評估風險。通過智能運用分析技術，審計師能夠評估內部控制框架的充分性，給審計委員會和高層經理提供獨立的保證。由于舞弊很大程度上是一種機會主義的犯罪，控制缺口和薄弱環(huán)節(jié)必須被找出來，如果可能的話，甚至消除它或者減少它。（四）安全控制：以系統(tǒng)登錄日志為例連續(xù)控制評估能夠測試安全控制，證明所有的系統(tǒng)使用者都是有效的員工，防止有企圖者侵入系統(tǒng)。審計師決定管理層的對于采購的控制是薄弱的，那么暴露出來的風險是否相當?shù)母?。增加對財務結果的信心。盡管一些法定審計需要每年進行一次，但是每年嚴格執(zhí)行這些審計已不能滿足管理和法規(guī)的需要。組織得到的一個典型的額外的好處是錯誤和舞弊顯著減少，經營的效率得到了提高，通過成本的減少和過度支付（overpayment）和收入泄漏的減少，從而使線下項目的結果得以改善。審計師檢查管理層的行為，證實控制都在運行，提出改進建議，確保風險正在被控制。它支持微觀審計事項，例如明細交易測試來評價控制的有效性；宏觀審計方面，通過風險識別和評估來準備年度審計計劃。連續(xù)監(jiān)控是管理層為了確保政策、程序和業(yè)務流程能夠有效運行而實施的一項程序。它是一系列行為的聯(lián)合體，這些行為從連續(xù)控制評估延伸到連續(xù)風險評估。第三部分 需要澄清的一些關鍵概念和術語已經采取了各種嘗試來鼓勵審計師更好地使用電子信息，以改進內部審計行為的效率和效果。五、連續(xù)審計和監(jiān)控的好處連續(xù)審計和監(jiān)控（由管理層實施）的結果是類似的，都包含提示或警告，這些提示或警告指出了控制的缺陷或高風險水平。 控制行為：通過識別管理層和內部控制的角色；證明控制評估不是一年一次的行為，而是一個持續(xù)關注的行為；自動化這些控制測試程序，使之盡可能接近實時運行。在連續(xù)審計條件下，這里有兩種主要的行為： 連續(xù)控制評估：使審計師能夠盡早關注控制的缺陷。這些技術用于檢查交易中某些發(fā)生的事件，這些事件是由于某項控制不存在或沒有適當?shù)貓?zhí)行。在美國，一份2005年3月份的國際財務執(zhí)行官組織調查發(fā)現(xiàn)，每個組織的薩班斯法案的平均遵循成本超過了四百萬美元。 管理和回應連續(xù)審計的結果，決定合適的使用、跟蹤和報告機制。三、內部審計和管理層的角色管理層對評價風險和設計、實施、連續(xù)維護組織內部的控制負有主要責任。連續(xù)審計改變了審計模式，它將對交易樣本的周期性測試變?yōu)閷?00％的樣本進行連續(xù)性測試。組織頻繁地暴露在重大錯誤、舞弊或者無效率下，這些會導致財務損失和風險升級。沃沃（ACL公司）唐納德 舞弊：偵測和控制，識別盜竊，舞弊管理責任，舞弊頻率和成本的增加。二、連續(xù)審計/連續(xù)監(jiān)控的必要性：整合法按照首席審計師們對遵循努力的負擔、資源的缺乏以及保持審計獨立的必要性的關注，將連續(xù)審計和連續(xù)監(jiān)控結合在一起將是一種理想的方法。取而代之的是，審計師能夠關注審計程序，來決定管理層監(jiān)控程序有效性，借助這種測試的結果來調整范圍、數(shù)字和審計測試的頻率。 連續(xù)審計能在內部審計行為中應用的領域。一、連續(xù)審計：一個簡史自動控制測試開始于20世紀60年代，當時是通過安裝和執(zhí)行內嵌審計模塊（EAMs）來實現(xiàn)的。此