【文章內(nèi)容簡介】 踐，管理控制框架和實踐，用于決策和報告的信息的保證服務。連續(xù)保證服務能夠在審計師執(zhí)行連續(xù)控制和風險評估（如連續(xù)審計）和評價管理層實施的連續(xù)監(jiān)控行為的充分性時提供。審計師檢查管理層的行為，證實控制都在運行，提出改進建議，確保風險正在被控制。如果審計師在執(zhí)行諸如檢查和證實控制和風險，確保管理層正在進行監(jiān)控工作，那么組織將有一個對控制正在運行，風險正被控制，用于決策的信息具有完整性的高層次的保證。管理層在這個保證方程（assurance equation）中起著開發(fā)、設(shè)計和監(jiān)控控制和控制風險的作用。二、連續(xù)監(jiān)控連續(xù)監(jiān)控是管理層設(shè)置的用于確保政策、程序和經(jīng)營流程都在有效運行的程序。評價控制的充分性和有效性通常是管理層的責任。許多管理層使用的用于對控制的連續(xù)監(jiān)控技術(shù)與內(nèi)部審計師進行連續(xù)審計所用技術(shù)類似。連續(xù)監(jiān)控的原則比較簡單，它包含以下幾個方面：在一個給定的經(jīng)營流程中定義控制點，如果可能的話可參照COSO的企業(yè)風險管理框架。對每個控制點識別控制目標和保證聲明。建立一系列的自動化的測試，以指出某項交易是否沒有遵循所有的相關(guān)控制目標和保證聲明。在接近交易發(fā)生的同時，將所有的交易進行測試。調(diào)查沒有通過控制測試的所有交易。如果合適的話，可以更正這項交易。如果合適的話，更正控制薄弱環(huán)節(jié)。連續(xù)監(jiān)控的關(guān)鍵是這些程序必須由管理層掌控并由管理層來執(zhí)行，因為實施和保持有效控制系統(tǒng)是其職責的一部分。既然管理層對內(nèi)部控制負有責任，那么它就必須有一個連續(xù)的決定控制是否按設(shè)計在運行的方法。通過實時地識別和更正控制的問題，整個的控制系統(tǒng)將得以改善。組織得到的一個典型的額外的好處是錯誤和舞弊顯著減少，經(jīng)營的效率得到了提高，通過成本的減少和過度支付（overpayment）和收入泄漏的減少，從而使線下項目的結(jié)果得以改善。三、連續(xù)審計管理層監(jiān)控和風險管理行為的充分性與審計師必須執(zhí)行對內(nèi)部控制的詳細測試和風險評估的程度，它們之間存在這一個反比的關(guān)系。連續(xù)審計運用的方法和工作量取決于管理層實施的連續(xù)監(jiān)控行為的程度。圖4：反比關(guān)系：管理層付出的努力水平與審計行為對內(nèi)部控制的完全監(jiān)控對內(nèi)部控制的少量監(jiān)控減少工作量顯著的努力/更多的資源審計工作量管理層反應在管理層還沒有實施連續(xù)監(jiān)控的地方，審計師必須借助連續(xù)審計技術(shù)進行詳細測試。在某些情況下，審計師甚至可能主動來幫助組織建立風險管理和控制評估程序（見國際內(nèi)部審計協(xié)會實務報告21004：審計師在一個沒有風險管理程序組織中的作用）。但是，要注意的是審計師對這些程序中并不擁有所有者權(quán)，因為這會損害審計師的獨立性和客觀性。圖5：連續(xù)審計、監(jiān)控和保證（概念框架）連續(xù)保證連續(xù)審計和連續(xù)監(jiān)控程序的結(jié)果連續(xù)監(jiān)控審計測試連續(xù)審計審計連續(xù)監(jiān)控管理行為、交易和事件經(jīng)營系統(tǒng)和流程管理層全面地在經(jīng)營流程領(lǐng)域中從頭到尾地實施連續(xù)監(jiān)控，內(nèi)部審計師就無需執(zhí)行同樣的詳細測試來進行連續(xù)審計。但是，審計師必須執(zhí)行其他的程序來決定他們是否可以依賴這個連續(xù)監(jiān)控程序。這些程序包括：評價偵測到的異常和管理層的反應。評價和測試連續(xù)監(jiān)控程序本身的控制，例如： （1）處理日志/審計軌跡 （2）調(diào)節(jié)總額控制（control total reconciliations） （3）系統(tǒng)測試參數(shù)的變化通常，這些程序與那些在正常審計程序中為確保計算機輔助審計技術(shù)被正確應用的質(zhì)量控制測試是相似的。通過結(jié)合評價監(jiān)控和連續(xù)審計程序，審計師能夠提供關(guān)于內(nèi)部控制有效性的保證。第五部分 連續(xù)審計的應用領(lǐng)域?qū)?nèi)部審計部門而言所面臨的壓力是以較少的資源做更多的事情。也許最困難的挑戰(zhàn)來自于審計師必須對內(nèi)部控制的有效性及時作出保證，更好地識別和評估風險水平，快速找出沒有遵循相關(guān)法規(guī)和政策的事項。這些就是連續(xù)審計可以應用的領(lǐng)域。適用技術(shù)，從電子表格軟件或腳本開發(fā)使用特種審計軟件（scripts developed using auditspecific software）到商品化的專業(yè)解決方案軟件包或客戶自行開發(fā)的系統(tǒng)。這些選擇的解決方案必須是靈活的可升級的，允許審計師從某個特定的領(lǐng)域開始，然后擴大范圍、規(guī)模和分析的頻率。盡管一些法定審計需要每年進行一次，但是每年嚴格執(zhí)行這些審計已不能滿足管理和法規(guī)的需要。內(nèi)部審計行為必須應用風險評估和進行控制保證行為。雖然需要更加關(guān)注財務方面的審計，連續(xù)審計支持所有類型和領(lǐng)域的審計行為。歐洲聯(lián)邦內(nèi)部審計機構(gòu)（ECIIA）在2005年意見書《歐洲內(nèi)部審計》中，鼓勵內(nèi)部審計師通過給管理層提供的關(guān)于風險已經(jīng)被識別并且得到恰當?shù)目刂频谋ＷC，對組織面臨的風險作出反應。審計師不僅必須能夠評價財務風險，而且要能夠評價運營風險和策略風險。這是持續(xù)審計所關(guān)注的新領(lǐng)域。用于測試控制的信息訪問技術(shù)和技術(shù)技能也能夠幫助首席審計師通過支持持續(xù)的評價企業(yè)風險管理有效性的評價行為和對一些警告提出改進建議，從而給管理層提供價值無法估量的幫助， 首席審計師通過給高層管理員工提供獨立的風險和控制評估來支持其監(jiān)控職能。連續(xù)審計有一系列的功能來支持審計行為，首席審計師，通過以下的適用方法和服務，包括：風險管理策略和實踐：通過及早識別風險。管理控制框架的可靠性：通過找出控制薄弱環(huán)節(jié)。用于決策的信息：通過檢查管理者使用的信息的可靠性和可獲取性。包含在年度審計計劃中審計項目的選擇：通過識別更高風險領(lǐng)域。實施有效的和及時的改正行為：通過檢驗審計建議的執(zhí)行情況。首席審計師必須認識到許多的管理行為與連續(xù)審計有很強的聯(lián)系，例如整合風險管理、平衡計分卡、連續(xù)改進、連續(xù)監(jiān)控。審計必須決定那些地方適合連續(xù)審計，它如何能用于評估這些管理措施行為或者利用它們所產(chǎn)生的信息。實施連續(xù)審計框架的期望好處包括：增加減輕風險的能力。減少評估內(nèi)部控制的成本。增加對財務結(jié)果的信心。財務運營的改善。減少財務錯誤和潛在的舞弊。此外，完全運用了連續(xù)審計的組織，通常會報告運營成本的減少和邊際利潤的增加。一、應用于連續(xù)控制評估（一）識別控制缺陷由于新的法規(guī)需要高層管理者證明控制環(huán)境的有效性，以及財務報告中所含信息的精確性，首席執(zhí)行官和首席財務官開始內(nèi)部審計行為來輔助遵循這些法規(guī)。盡管管理層對監(jiān)控、設(shè)計和維持控制負有責任以備廣泛認可，國際內(nèi)部審計準則2120號，A1節(jié)指出內(nèi)部審計行為“應該通過評價內(nèi)部控制的有效性和效率性，以及促進持續(xù)改進來輔助組織保持有效的控制”。由于這些外部和內(nèi)部的壓力，特別是在一些管理層沒有恰當發(fā)揮其監(jiān)控角色的作用，審計師通常需要執(zhí)行一個更加全面的評估和提供更加連續(xù)的控制評估。這對內(nèi)部審計流程和方法有顯著的影響。連續(xù)控制評估給讓首席審計師清楚地看到內(nèi)部控制系統(tǒng)的有效性。反過來，給財務經(jīng)理，經(jīng)營流程管理這和風險及遵循經(jīng)理提供對內(nèi)部控制的獨立的和及時的保證。對關(guān)于內(nèi)部控制交易數(shù)據(jù)的連續(xù)控制評估能夠迅速找出錯誤和異常，將它們報告給管理層，以及時進行檢查和采取行動。它也能對財務和運營信息的可靠性和完整性，營運的效率和效果起作用。連續(xù)控制評估還能夠?qū)B續(xù)的風險評估和管理層減輕風險的行為起作用?？刂坪惋L險的評估是相互補充、相互支持。以下的一個關(guān)于內(nèi)部審計中應用連續(xù)控制評估在財務控制、系統(tǒng)控制和安全控制等三個領(lǐng)域來支持管理層監(jiān)控功能。（二）財務控制：以采購卡項目為例一個全國性的采購卡管理員手工操作，每個季度只能對交易的極小樣本進行評價。審計師決定管理層的對于采購的控制是薄弱的，那么暴露出來的風險是否相當?shù)母?。在評價采購卡使用的政策后，審計師進行一系列的分析測試來識別：不恰當?shù)牟少徔ㄊ褂?，包括與旅行支出有關(guān)的交易。用于個人項目的支付（如珠寶、酒，等等）。可疑交易（如未經(jīng)授權(quán)的持卡人使用，銷售商重復刷卡，分次付款以避免超過財務限額，等等）。分析的結(jié)果將提交給持卡者的經(jīng)理，以對這些可疑交易進行詳細審查——將采購卡的支出與商品采購相匹配。這識別出許多的不恰當?shù)牟少徍鸵陨先N類型的舞弊。在審計完成后，連續(xù)控制評估應用測試就轉(zhuǎn)向采購卡協(xié)調(diào)員，來幫助運營經(jīng)理每個月對采購卡控制的監(jiān)控。（三）系統(tǒng)控制：以職責分離為例連續(xù)控制評估測試也能夠用來證實系統(tǒng)是否按期望值在起作用。使用分析技術(shù)，測試程序能夠比較個別交易和規(guī)則基礎(chǔ)標準，對所有的交易進行評價以確保個體沒有執(zhí)行不相容的職責。在一個組織內(nèi)，新實施一個ERP系統(tǒng)，目的是用自動控制替代手工控制來確保職責的分離。ERP項目小組，通過業(yè)主的投入，開發(fā)一系列基于使用者角色的特色配置，這就允許使用者能夠根據(jù)自己的工作職責來處理各式各樣的業(yè)務。盡管審計師相信在開發(fā)基于角色的特色配置中的方法和程序，他們關(guān)心實際分配給使用者的特色配置，然后對交易進行詳細檢查，以檢查哪些些地方職責分離沒有得到保持。審計師抽出當年第一季度的所有處理的交易，然后利用數(shù)據(jù)分析技術(shù)來計算每個使用者處理過的交易（通過交易類型）。這發(fā)現(xiàn)兩個使用者首先建立采購安排，然后記錄相同采購安排的貨物接受交易。結(jié)果表明在基于角色的特色配置的設(shè)計中職責分離控制是薄弱的，因為這些是被視為不相容的職責。由于ERP系統(tǒng)經(jīng)歷了額外的變化——例如，增加新的角色和改變現(xiàn)有角色——運行連續(xù)控制評估測試來證明沒有違反職責分離的情況。（四）安全控制：以系統(tǒng)登錄日志為例連續(xù)控制評估能夠測試安全控制，證明所有的系統(tǒng)使用者都是有效的員工，防止有企圖者侵入系統(tǒng)。在另一個組織的例子中，每周系統(tǒng)登錄日志被抽取出來，然后送交內(nèi)部審計部門。審計師抽取相關(guān)信息并將每個使用者與當前的員工管理文件相匹配。所有的非員工使用者被標記出來，然后一封郵件將自動發(fā)送給系統(tǒng)安全部門，讓其廢除該使用者的身份（ID）。此外，測試還檢查失敗的登錄日志。通過檢查發(fā)現(xiàn)一例在早上三點一個使用者ID有25次通過撥號登錄失敗。審計師通過這份報告來證明將登錄參數(shù)改為在諸如這類使用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。連續(xù)控制評估的潛在使用事實上是無限的。無論哪里暴露出問題，內(nèi)部審計師都能夠進行一項測試或一系列的分析程序來搜索某人試圖利用控制缺口或薄弱環(huán)節(jié)的證據(jù)。在某些情況下，控制暴露出來的問題，包括潛在的舞弊、浪費和濫用。這些測試的頻率和時間取決于潛在的經(jīng)營風險和控制框架和管理監(jiān)控功能的充分性。（五）舞弊、浪費和濫用國際內(nèi)部審計準則1210號第A2節(jié)要求審計師對舞弊的信號擁有足夠的知識。第A3節(jié)也需要審計師對關(guān)鍵信息技術(shù)風險、控制和可利用技術(shù)來開展他們工作的知識。使用技術(shù)來支持連續(xù)控制評估能夠幫助審計師檢查詳細交易，也包括匯總數(shù)據(jù)，識別異常和其他的舞弊、浪費和濫用信號。例如，利用數(shù)據(jù)分析技術(shù)，審計師能夠容易識別那些地方超越了合約的授權(quán)（如合約超過了給個人規(guī)定的合同限額）和被逃避（avoid）（如撕毀合約）。在工薪領(lǐng)域，它能夠被用來識別薪水冊上的員工非員工數(shù)據(jù)庫中的員工或者識別薪金中的不正常比率。由于舞弊很大程度上是一種機會主義的犯罪，控制缺口和薄弱環(huán)節(jié)必須被找出來，如果可能的話，甚至消除它或者減少它。廣泛應用的審計指南和準則已直接地提到了對這種暴露問題的關(guān)注。例如，國際內(nèi)部審計準則實務公告1210號第A21節(jié)：識別舞弊，第A22節(jié)：舞弊偵測的責任，需要審計師對可能的舞弊擁有充分的知識以識別它們的征兆。審計師必須意識到它會出什么問題，它怎么能出問題以及誰會牽涉其中。美國注冊會計師協(xié)會頒布的審計標準的公告第99號（SAS ）“考慮財務報告審計中的舞弊”也是出臺來幫助審計師偵測舞弊的。它比SAS ，它包含的新的規(guī)定包括：集體討論舞弊的風險。強調(diào)增加職業(yè)懷疑。確保管理者意識到舞弊。使用各種分析程序。偵測管理層踐踏內(nèi)部控制的情況。它也定義了舞弊財務報表和盜竊的風險因素，這能夠被用來作為評估舞弊財務報告風險的模型。在SAS 中列出來的風險因素包括：管理層狀況、競爭和經(jīng)營環(huán)境、運營和財務的穩(wěn)定性。（六）結(jié)論和建議連續(xù)控制評估技術(shù)可能類似于管理層實施的連續(xù)監(jiān)控技術(shù)。在內(nèi)部審計師可以依賴管理層實施的連續(xù)監(jiān)控的地方，而無需采用相同層次的細節(jié)連續(xù)控制評估技術(shù)。取而代之的是，審計師能夠關(guān)注執(zhí)行其他的程序來提供連續(xù)的關(guān)于管理層的連續(xù)監(jiān)控程序的保證。但是，當管理層監(jiān)控不充分時，審計師應該借助連續(xù)控制評估技術(shù)來執(zhí)行詳細測試以評價控制的充分性。通過智能運用分析技術(shù)，審計師能夠評估內(nèi)部控制框架的充分性，給審計委員會和高層經(jīng)理提供獨立的保證。連續(xù)控制評估并不需要在實時運行。分析的頻率取決于風險水平和管理層監(jiān)控控制的程度。例如，采購卡分析可能每月運行一次——在信用卡公司收到采購卡交易時進行。薪金可以在每個付款周期使用，在支票出具之前進行。對發(fā)票副本（duplicate invoice）的測試可以每天進行。在某些情況下，審計師可能執(zhí)行初始的控制測試，然后將連續(xù)監(jiān)控移交給管理層。額外的應用連續(xù)控制評估的例子包括：檢查交易數(shù)據(jù)：如標記所有的嚴重超出采購卡的限額，包含有禁止采購商品的采購卡花費。檢查匯總數(shù)據(jù)：如當月的持卡者消費匯總超過$。借助比較分析：如匯總加班報酬然后與所有的其他在相同工種和層次的員工相比，以識別潛在的濫用加班（過量的、未經(jīng)授權(quán)的，等等）。測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超過25％的賬戶，識別不正常的行為，如銷賬的增加。在所有的情況下，審計師能夠快速檢查所有的詳細交易來發(fā)現(xiàn)原因，然后快速地、容易地執(zhí)行所需的后續(xù)工作。二、應用于連續(xù)風險評估管理層負有開發(fā)和維持一個系統(tǒng)來識別和減輕風險的責任，國際內(nèi)部審計準則2110號指出，審計師應該通過識別和評估重大的暴露在風險下的項目來幫助組織，并在改進風險管理和控制系統(tǒng)中發(fā)揮作用。國際內(nèi)部審計準則2010號鼓勵首席審計師建立風險基礎(chǔ)的計劃來決定內(nèi)部審計行為的優(yōu)先次序，以與組織的目標相一致。這兩項行為是相關(guān)的，審計師能夠利用連續(xù)風險評估來識別和評估風險水平的變化。這允許他們評估管理層的減輕風險行為，支持制定個別審計目標和年度審計計劃。連續(xù)風險評估能夠連續(xù)地用來識別和評估風險。它不僅通過測量某個交易點，還通過使用通過比較分