【文章內(nèi)容簡介】 踐，管理控制框架和實(shí)踐，用于決策和報(bào)告的信息的保證服務(wù)。連續(xù)保證服務(wù)能夠在審計(jì)師執(zhí)行連續(xù)控制和風(fēng)險(xiǎn)評估（如連續(xù)審計(jì)）和評價(jià)管理層實(shí)施的連續(xù)監(jiān)控行為的充分性時(shí)提供。審計(jì)師檢查管理層的行為，證實(shí)控制都在運(yùn)行，提出改進(jìn)建議，確保風(fēng)險(xiǎn)正在被控制。如果審計(jì)師在執(zhí)行諸如檢查和證實(shí)控制和風(fēng)險(xiǎn)，確保管理層正在進(jìn)行監(jiān)控工作，那么組織將有一個(gè)對控制正在運(yùn)行，風(fēng)險(xiǎn)正被控制，用于決策的信息具有完整性的高層次的保證。管理層在這個(gè)保證方程（assurance equation）中起著開發(fā)、設(shè)計(jì)和監(jiān)控控制和控制風(fēng)險(xiǎn)的作用。二、連續(xù)監(jiān)控連續(xù)監(jiān)控是管理層設(shè)置的用于確保政策、程序和經(jīng)營流程都在有效運(yùn)行的程序。評價(jià)控制的充分性和有效性通常是管理層的責(zé)任。許多管理層使用的用于對控制的連續(xù)監(jiān)控技術(shù)與內(nèi)部審計(jì)師進(jìn)行連續(xù)審計(jì)所用技術(shù)類似。連續(xù)監(jiān)控的原則比較簡單，它包含以下幾個(gè)方面：在一個(gè)給定的經(jīng)營流程中定義控制點(diǎn)，如果可能的話可參照COSO的企業(yè)風(fēng)險(xiǎn)管理框架。對每個(gè)控制點(diǎn)識別控制目標(biāo)和保證聲明。建立一系列的自動(dòng)化的測試，以指出某項(xiàng)交易是否沒有遵循所有的相關(guān)控制目標(biāo)和保證聲明。在接近交易發(fā)生的同時(shí)，將所有的交易進(jìn)行測試。調(diào)查沒有通過控制測試的所有交易。如果合適的話，可以更正這項(xiàng)交易。如果合適的話，更正控制薄弱環(huán)節(jié)。連續(xù)監(jiān)控的關(guān)鍵是這些程序必須由管理層掌控并由管理層來執(zhí)行，因?yàn)閷?shí)施和保持有效控制系統(tǒng)是其職責(zé)的一部分。既然管理層對內(nèi)部控制負(fù)有責(zé)任，那么它就必須有一個(gè)連續(xù)的決定控制是否按設(shè)計(jì)在運(yùn)行的方法。通過實(shí)時(shí)地識別和更正控制的問題，整個(gè)的控制系統(tǒng)將得以改善。組織得到的一個(gè)典型的額外的好處是錯(cuò)誤和舞弊顯著減少，經(jīng)營的效率得到了提高，通過成本的減少和過度支付（overpayment）和收入泄漏的減少，從而使線下項(xiàng)目的結(jié)果得以改善。三、連續(xù)審計(jì)管理層監(jiān)控和風(fēng)險(xiǎn)管理行為的充分性與審計(jì)師必須執(zhí)行對內(nèi)部控制的詳細(xì)測試和風(fēng)險(xiǎn)評估的程度，它們之間存在這一個(gè)反比的關(guān)系。連續(xù)審計(jì)運(yùn)用的方法和工作量取決于管理層實(shí)施的連續(xù)監(jiān)控行為的程度。圖4：反比關(guān)系：管理層付出的努力水平與審計(jì)行為對內(nèi)部控制的完全監(jiān)控對內(nèi)部控制的少量監(jiān)控減少工作量顯著的努力/更多的資源審計(jì)工作量管理層反應(yīng)在管理層還沒有實(shí)施連續(xù)監(jiān)控的地方，審計(jì)師必須借助連續(xù)審計(jì)技術(shù)進(jìn)行詳細(xì)測試。在某些情況下，審計(jì)師甚至可能主動(dòng)來幫助組織建立風(fēng)險(xiǎn)管理和控制評估程序（見國際內(nèi)部審計(jì)協(xié)會實(shí)務(wù)報(bào)告21004：審計(jì)師在一個(gè)沒有風(fēng)險(xiǎn)管理程序組織中的作用）。但是，要注意的是審計(jì)師對這些程序中并不擁有所有者權(quán)，因?yàn)檫@會損害審計(jì)師的獨(dú)立性和客觀性。圖5：連續(xù)審計(jì)、監(jiān)控和保證（概念框架）連續(xù)保證連續(xù)審計(jì)和連續(xù)監(jiān)控程序的結(jié)果連續(xù)監(jiān)控審計(jì)測試連續(xù)審計(jì)審計(jì)連續(xù)監(jiān)控管理行為、交易和事件經(jīng)營系統(tǒng)和流程管理層全面地在經(jīng)營流程領(lǐng)域中從頭到尾地實(shí)施連續(xù)監(jiān)控，內(nèi)部審計(jì)師就無需執(zhí)行同樣的詳細(xì)測試來進(jìn)行連續(xù)審計(jì)。但是，審計(jì)師必須執(zhí)行其他的程序來決定他們是否可以依賴這個(gè)連續(xù)監(jiān)控程序。這些程序包括：評價(jià)偵測到的異常和管理層的反應(yīng)。評價(jià)和測試連續(xù)監(jiān)控程序本身的控制，例如： （1）處理日志/審計(jì)軌跡 （2）調(diào)節(jié)總額控制（control total reconciliations） （3）系統(tǒng)測試參數(shù)的變化通常，這些程序與那些在正常審計(jì)程序中為確保計(jì)算機(jī)輔助審計(jì)技術(shù)被正確應(yīng)用的質(zhì)量控制測試是相似的。通過結(jié)合評價(jià)監(jiān)控和連續(xù)審計(jì)程序，審計(jì)師能夠提供關(guān)于內(nèi)部控制有效性的保證。第五部分 連續(xù)審計(jì)的應(yīng)用領(lǐng)域?qū)?nèi)部審計(jì)部門而言所面臨的壓力是以較少的資源做更多的事情。也許最困難的挑戰(zhàn)來自于審計(jì)師必須對內(nèi)部控制的有效性及時(shí)作出保證，更好地識別和評估風(fēng)險(xiǎn)水平，快速找出沒有遵循相關(guān)法規(guī)和政策的事項(xiàng)。這些就是連續(xù)審計(jì)可以應(yīng)用的領(lǐng)域。適用技術(shù)，從電子表格軟件或腳本開發(fā)使用特種審計(jì)軟件（scripts developed using auditspecific software）到商品化的專業(yè)解決方案軟件包或客戶自行開發(fā)的系統(tǒng)。這些選擇的解決方案必須是靈活的可升級的，允許審計(jì)師從某個(gè)特定的領(lǐng)域開始，然后擴(kuò)大范圍、規(guī)模和分析的頻率。盡管一些法定審計(jì)需要每年進(jìn)行一次，但是每年嚴(yán)格執(zhí)行這些審計(jì)已不能滿足管理和法規(guī)的需要。內(nèi)部審計(jì)行為必須應(yīng)用風(fēng)險(xiǎn)評估和進(jìn)行控制保證行為。雖然需要更加關(guān)注財(cái)務(wù)方面的審計(jì)，連續(xù)審計(jì)支持所有類型和領(lǐng)域的審計(jì)行為。歐洲聯(lián)邦內(nèi)部審計(jì)機(jī)構(gòu)（ECIIA）在2005年意見書《歐洲內(nèi)部審計(jì)》中，鼓勵(lì)內(nèi)部審計(jì)師通過給管理層提供的關(guān)于風(fēng)險(xiǎn)已經(jīng)被識別并且得到恰當(dāng)?shù)目刂频谋ＷC，對組織面臨的風(fēng)險(xiǎn)作出反應(yīng)。審計(jì)師不僅必須能夠評價(jià)財(cái)務(wù)風(fēng)險(xiǎn)，而且要能夠評價(jià)運(yùn)營風(fēng)險(xiǎn)和策略風(fēng)險(xiǎn)。這是持續(xù)審計(jì)所關(guān)注的新領(lǐng)域。用于測試控制的信息訪問技術(shù)和技術(shù)技能也能夠幫助首席審計(jì)師通過支持持續(xù)的評價(jià)企業(yè)風(fēng)險(xiǎn)管理有效性的評價(jià)行為和對一些警告提出改進(jìn)建議，從而給管理層提供價(jià)值無法估量的幫助， 首席審計(jì)師通過給高層管理員工提供獨(dú)立的風(fēng)險(xiǎn)和控制評估來支持其監(jiān)控職能。連續(xù)審計(jì)有一系列的功能來支持審計(jì)行為，首席審計(jì)師，通過以下的適用方法和服務(wù)，包括：風(fēng)險(xiǎn)管理策略和實(shí)踐：通過及早識別風(fēng)險(xiǎn)。管理控制框架的可靠性：通過找出控制薄弱環(huán)節(jié)。用于決策的信息：通過檢查管理者使用的信息的可靠性和可獲取性。包含在年度審計(jì)計(jì)劃中審計(jì)項(xiàng)目的選擇：通過識別更高風(fēng)險(xiǎn)領(lǐng)域。實(shí)施有效的和及時(shí)的改正行為：通過檢驗(yàn)審計(jì)建議的執(zhí)行情況。首席審計(jì)師必須認(rèn)識到許多的管理行為與連續(xù)審計(jì)有很強(qiáng)的聯(lián)系，例如整合風(fēng)險(xiǎn)管理、平衡計(jì)分卡、連續(xù)改進(jìn)、連續(xù)監(jiān)控。審計(jì)必須決定那些地方適合連續(xù)審計(jì)，它如何能用于評估這些管理措施行為或者利用它們所產(chǎn)生的信息。實(shí)施連續(xù)審計(jì)框架的期望好處包括：增加減輕風(fēng)險(xiǎn)的能力。減少評估內(nèi)部控制的成本。增加對財(cái)務(wù)結(jié)果的信心。財(cái)務(wù)運(yùn)營的改善。減少財(cái)務(wù)錯(cuò)誤和潛在的舞弊。此外，完全運(yùn)用了連續(xù)審計(jì)的組織，通常會報(bào)告運(yùn)營成本的減少和邊際利潤的增加。一、應(yīng)用于連續(xù)控制評估（一）識別控制缺陷由于新的法規(guī)需要高層管理者證明控制環(huán)境的有效性，以及財(cái)務(wù)報(bào)告中所含信息的精確性，首席執(zhí)行官和首席財(cái)務(wù)官開始內(nèi)部審計(jì)行為來輔助遵循這些法規(guī)。盡管管理層對監(jiān)控、設(shè)計(jì)和維持控制負(fù)有責(zé)任以備廣泛認(rèn)可，國際內(nèi)部審計(jì)準(zhǔn)則2120號，A1節(jié)指出內(nèi)部審計(jì)行為“應(yīng)該通過評價(jià)內(nèi)部控制的有效性和效率性，以及促進(jìn)持續(xù)改進(jìn)來輔助組織保持有效的控制”。由于這些外部和內(nèi)部的壓力，特別是在一些管理層沒有恰當(dāng)發(fā)揮其監(jiān)控角色的作用，審計(jì)師通常需要執(zhí)行一個(gè)更加全面的評估和提供更加連續(xù)的控制評估。這對內(nèi)部審計(jì)流程和方法有顯著的影響。連續(xù)控制評估給讓首席審計(jì)師清楚地看到內(nèi)部控制系統(tǒng)的有效性。反過來，給財(cái)務(wù)經(jīng)理，經(jīng)營流程管理這和風(fēng)險(xiǎn)及遵循經(jīng)理提供對內(nèi)部控制的獨(dú)立的和及時(shí)的保證。對關(guān)于內(nèi)部控制交易數(shù)據(jù)的連續(xù)控制評估能夠迅速找出錯(cuò)誤和異常，將它們報(bào)告給管理層，以及時(shí)進(jìn)行檢查和采取行動(dòng)。它也能對財(cái)務(wù)和運(yùn)營信息的可靠性和完整性，營運(yùn)的效率和效果起作用。連續(xù)控制評估還能夠?qū)B續(xù)的風(fēng)險(xiǎn)評估和管理層減輕風(fēng)險(xiǎn)的行為起作用?？刂坪惋L(fēng)險(xiǎn)的評估是相互補(bǔ)充、相互支持。以下的一個(gè)關(guān)于內(nèi)部審計(jì)中應(yīng)用連續(xù)控制評估在財(cái)務(wù)控制、系統(tǒng)控制和安全控制等三個(gè)領(lǐng)域來支持管理層監(jiān)控功能。（二）財(cái)務(wù)控制：以采購卡項(xiàng)目為例一個(gè)全國性的采購卡管理員手工操作，每個(gè)季度只能對交易的極小樣本進(jìn)行評價(jià)。審計(jì)師決定管理層的對于采購的控制是薄弱的，那么暴露出來的風(fēng)險(xiǎn)是否相當(dāng)?shù)母?。在評價(jià)采購卡使用的政策后，審計(jì)師進(jìn)行一系列的分析測試來識別：不恰當(dāng)?shù)牟少徔ㄊ褂?，包括與旅行支出有關(guān)的交易。用于個(gè)人項(xiàng)目的支付（如珠寶、酒，等等）。可疑交易（如未經(jīng)授權(quán)的持卡人使用，銷售商重復(fù)刷卡，分次付款以避免超過財(cái)務(wù)限額，等等）。分析的結(jié)果將提交給持卡者的經(jīng)理，以對這些可疑交易進(jìn)行詳細(xì)審查——將采購卡的支出與商品采購相匹配。這識別出許多的不恰當(dāng)?shù)牟少徍鸵陨先N類型的舞弊。在審計(jì)完成后，連續(xù)控制評估應(yīng)用測試就轉(zhuǎn)向采購卡協(xié)調(diào)員，來幫助運(yùn)營經(jīng)理每個(gè)月對采購卡控制的監(jiān)控。（三）系統(tǒng)控制：以職責(zé)分離為例連續(xù)控制評估測試也能夠用來證實(shí)系統(tǒng)是否按期望值在起作用。使用分析技術(shù)，測試程序能夠比較個(gè)別交易和規(guī)則基礎(chǔ)標(biāo)準(zhǔn)，對所有的交易進(jìn)行評價(jià)以確保個(gè)體沒有執(zhí)行不相容的職責(zé)。在一個(gè)組織內(nèi)，新實(shí)施一個(gè)ERP系統(tǒng)，目的是用自動(dòng)控制替代手工控制來確保職責(zé)的分離。ERP項(xiàng)目小組，通過業(yè)主的投入，開發(fā)一系列基于使用者角色的特色配置，這就允許使用者能夠根據(jù)自己的工作職責(zé)來處理各式各樣的業(yè)務(wù)。盡管審計(jì)師相信在開發(fā)基于角色的特色配置中的方法和程序，他們關(guān)心實(shí)際分配給使用者的特色配置，然后對交易進(jìn)行詳細(xì)檢查，以檢查哪些些地方職責(zé)分離沒有得到保持。審計(jì)師抽出當(dāng)年第一季度的所有處理的交易，然后利用數(shù)據(jù)分析技術(shù)來計(jì)算每個(gè)使用者處理過的交易（通過交易類型）。這發(fā)現(xiàn)兩個(gè)使用者首先建立采購安排，然后記錄相同采購安排的貨物接受交易。結(jié)果表明在基于角色的特色配置的設(shè)計(jì)中職責(zé)分離控制是薄弱的，因?yàn)檫@些是被視為不相容的職責(zé)。由于ERP系統(tǒng)經(jīng)歷了額外的變化——例如，增加新的角色和改變現(xiàn)有角色——運(yùn)行連續(xù)控制評估測試來證明沒有違反職責(zé)分離的情況。（四）安全控制：以系統(tǒng)登錄日志為例連續(xù)控制評估能夠測試安全控制，證明所有的系統(tǒng)使用者都是有效的員工，防止有企圖者侵入系統(tǒng)。在另一個(gè)組織的例子中，每周系統(tǒng)登錄日志被抽取出來，然后送交內(nèi)部審計(jì)部門。審計(jì)師抽取相關(guān)信息并將每個(gè)使用者與當(dāng)前的員工管理文件相匹配。所有的非員工使用者被標(biāo)記出來，然后一封郵件將自動(dòng)發(fā)送給系統(tǒng)安全部門，讓其廢除該使用者的身份（ID）。此外，測試還檢查失敗的登錄日志。通過檢查發(fā)現(xiàn)一例在早上三點(diǎn)一個(gè)使用者ID有25次通過撥號登錄失敗。審計(jì)師通過這份報(bào)告來證明將登錄參數(shù)改為在諸如這類使用者的ID在嘗試登錄失敗3次后將此ID鎖定是正確的。連續(xù)控制評估的潛在使用事實(shí)上是無限的。無論哪里暴露出問題，內(nèi)部審計(jì)師都能夠進(jìn)行一項(xiàng)測試或一系列的分析程序來搜索某人試圖利用控制缺口或薄弱環(huán)節(jié)的證據(jù)。在某些情況下，控制暴露出來的問題，包括潛在的舞弊、浪費(fèi)和濫用。這些測試的頻率和時(shí)間取決于潛在的經(jīng)營風(fēng)險(xiǎn)和控制框架和管理監(jiān)控功能的充分性。（五）舞弊、浪費(fèi)和濫用國際內(nèi)部審計(jì)準(zhǔn)則1210號第A2節(jié)要求審計(jì)師對舞弊的信號擁有足夠的知識。第A3節(jié)也需要審計(jì)師對關(guān)鍵信息技術(shù)風(fēng)險(xiǎn)、控制和可利用技術(shù)來開展他們工作的知識。使用技術(shù)來支持連續(xù)控制評估能夠幫助審計(jì)師檢查詳細(xì)交易，也包括匯總數(shù)據(jù)，識別異常和其他的舞弊、浪費(fèi)和濫用信號。例如，利用數(shù)據(jù)分析技術(shù)，審計(jì)師能夠容易識別那些地方超越了合約的授權(quán)（如合約超過了給個(gè)人規(guī)定的合同限額）和被逃避（avoid）（如撕毀合約）。在工薪領(lǐng)域，它能夠被用來識別薪水冊上的員工非員工數(shù)據(jù)庫中的員工或者識別薪金中的不正常比率。由于舞弊很大程度上是一種機(jī)會主義的犯罪，控制缺口和薄弱環(huán)節(jié)必須被找出來，如果可能的話，甚至消除它或者減少它。廣泛應(yīng)用的審計(jì)指南和準(zhǔn)則已直接地提到了對這種暴露問題的關(guān)注。例如，國際內(nèi)部審計(jì)準(zhǔn)則實(shí)務(wù)公告1210號第A21節(jié)：識別舞弊，第A22節(jié)：舞弊偵測的責(zé)任，需要審計(jì)師對可能的舞弊擁有充分的知識以識別它們的征兆。審計(jì)師必須意識到它會出什么問題，它怎么能出問題以及誰會牽涉其中。美國注冊會計(jì)師協(xié)會頒布的審計(jì)標(biāo)準(zhǔn)的公告第99號（SAS ）“考慮財(cái)務(wù)報(bào)告審計(jì)中的舞弊”也是出臺來幫助審計(jì)師偵測舞弊的。它比SAS ，它包含的新的規(guī)定包括：集體討論舞弊的風(fēng)險(xiǎn)。強(qiáng)調(diào)增加職業(yè)懷疑。確保管理者意識到舞弊。使用各種分析程序。偵測管理層踐踏內(nèi)部控制的情況。它也定義了舞弊財(cái)務(wù)報(bào)表和盜竊的風(fēng)險(xiǎn)因素，這能夠被用來作為評估舞弊財(cái)務(wù)報(bào)告風(fēng)險(xiǎn)的模型。在SAS 中列出來的風(fēng)險(xiǎn)因素包括：管理層狀況、競爭和經(jīng)營環(huán)境、運(yùn)營和財(cái)務(wù)的穩(wěn)定性。（六）結(jié)論和建議連續(xù)控制評估技術(shù)可能類似于管理層實(shí)施的連續(xù)監(jiān)控技術(shù)。在內(nèi)部審計(jì)師可以依賴管理層實(shí)施的連續(xù)監(jiān)控的地方，而無需采用相同層次的細(xì)節(jié)連續(xù)控制評估技術(shù)。取而代之的是，審計(jì)師能夠關(guān)注執(zhí)行其他的程序來提供連續(xù)的關(guān)于管理層的連續(xù)監(jiān)控程序的保證。但是，當(dāng)管理層監(jiān)控不充分時(shí)，審計(jì)師應(yīng)該借助連續(xù)控制評估技術(shù)來執(zhí)行詳細(xì)測試以評價(jià)控制的充分性。通過智能運(yùn)用分析技術(shù)，審計(jì)師能夠評估內(nèi)部控制框架的充分性，給審計(jì)委員會和高層經(jīng)理提供獨(dú)立的保證。連續(xù)控制評估并不需要在實(shí)時(shí)運(yùn)行。分析的頻率取決于風(fēng)險(xiǎn)水平和管理層監(jiān)控控制的程度。例如，采購卡分析可能每月運(yùn)行一次——在信用卡公司收到采購卡交易時(shí)進(jìn)行。薪金可以在每個(gè)付款周期使用，在支票出具之前進(jìn)行。對發(fā)票副本（duplicate invoice）的測試可以每天進(jìn)行。在某些情況下，審計(jì)師可能執(zhí)行初始的控制測試，然后將連續(xù)監(jiān)控移交給管理層。額外的應(yīng)用連續(xù)控制評估的例子包括：檢查交易數(shù)據(jù)：如標(biāo)記所有的嚴(yán)重超出采購卡的限額，包含有禁止采購商品的采購卡花費(fèi)。檢查匯總數(shù)據(jù)：如當(dāng)月的持卡者消費(fèi)匯總超過$。借助比較分析：如匯總加班報(bào)酬然后與所有的其他在相同工種和層次的員工相比，以識別潛在的濫用加班（過量的、未經(jīng)授權(quán)的，等等）。測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超過25％的賬戶，識別不正常的行為，如銷賬的增加。在所有的情況下，審計(jì)師能夠快速檢查所有的詳細(xì)交易來發(fā)現(xiàn)原因，然后快速地、容易地執(zhí)行所需的后續(xù)工作。二、應(yīng)用于連續(xù)風(fēng)險(xiǎn)評估管理層負(fù)有開發(fā)和維持一個(gè)系統(tǒng)來識別和減輕風(fēng)險(xiǎn)的責(zé)任，國際內(nèi)部審計(jì)準(zhǔn)則2110號指出，審計(jì)師應(yīng)該通過識別和評估重大的暴露在風(fēng)險(xiǎn)下的項(xiàng)目來幫助組織，并在改進(jìn)風(fēng)險(xiǎn)管理和控制系統(tǒng)中發(fā)揮作用。國際內(nèi)部審計(jì)準(zhǔn)則2010號鼓勵(lì)首席審計(jì)師建立風(fēng)險(xiǎn)基礎(chǔ)的計(jì)劃來決定內(nèi)部審計(jì)行為的優(yōu)先次序，以與組織的目標(biāo)相一致。這兩項(xiàng)行為是相關(guān)的，審計(jì)師能夠利用連續(xù)風(fēng)險(xiǎn)評估來識別和評估風(fēng)險(xiǎn)水平的變化。這允許他們評估管理層的減輕風(fēng)險(xiǎn)行為，支持制定個(gè)別審計(jì)目標(biāo)和年度審計(jì)計(jì)劃。連續(xù)風(fēng)險(xiǎn)評估能夠連續(xù)地用來識別和評估風(fēng)險(xiǎn)。它不僅通過測量某個(gè)交易點(diǎn)，還通過使用通過比較分