全球技术审计指南（第3号） - 连续审计：对保证、监控和风险评估的意义

GLOBAL TECHNOLOGY AUDIT AUIDE

全球技术审计指南（第3号）

（2005 年 9 月公布）

Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment

连续审计：对保证、监控和风险评估的意义

Author

David Coderre, Royal Canadian Mounted Police (RCMP)

作者

戴维德·科德里（加拿大皇家骑警）

Subject Matter Experts

John G. Verver, ACL Services Ltd.

Donald J. Warren, Center for Continuous Auditing, Rutgers University

主题专家

约翰·G·沃沃（ACL公司）

唐纳德·J·倭仁（鲁特格斯大学，连续审计研究中心）

湘潭大学商学院 阳杰译（2006年11月）

*注：原指南附录部分由于篇幅限制，未加翻译

作者水平有限，如有错误之处，请email到yang-jie1891@163.com

- 1 -

www.glzl8.com目录

1 首席审计师简述 1.1 连续审计 1.2 连续审计/连续监控的必要性：整合法 1.3 内部审计和管理层的角色 1.4 连续审计的作用 1.5 实施的问题 2 导言 2.1 连续审计：一个简史 2.2 当今的审计环境 2.3 COSO的企业风险管理（ERM）框架 2.4 内部审计行为和管理层的角色 2.5 连续审计和监控的好处 3 需要澄清的一些关键概念和术语 3.1 连续审计的连续系统 4 连续审计于连续保证和连续监控的关系 4.1 连续保证 4.2 连续监控 4.3 连续审计 5 连续审计的应用领域 5.1 应用于连续控制评估 5.2 应用于连续风险评估 6 实施连续审计 6.1 连续审计目标 6.2 连续控制和风险评估的关系 6.3 连续风险评估 6.4 管理和报告结果 6.5 挑战和其他要考虑的因素

1 2 3 4 4 5 6 7 8 9 12 12 14 17 18 18 19 20 22 24 29 36 37 47 51 53 57 www.glzl8.com今天的法规环境下，首席审计师们都发现他们的部门变得越来越被为满足遵循要求的监控和内部控制测试所吞噬。但是，大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻负担，并提升效率和生产率，推动经营绩效。

这份全球技术审计指南“连续审计：对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略，结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续控制监控方案能够最好地提升审计实践，以满足当今对有效控制地高度要求。ACL能够帮助你证明适当的技术投资的好处，并且支持持续的遵循需要，增加运营效率，并对提高收益有帮助。

第一部分 首席审计师简述

对风险管理和控制系统的有效性进行及时和连续的保证的需求非常关键。组织频繁地暴露在重大错误、舞弊或者无效率下，这些会导致财务损失和风险升级。一个变化的法规环境，经营的全球化，市场方面要求改善经营的压力，以及快速变化的商业环境要求更加及时和连续地对正在运行的控制的有效性和风险水平正在降低作出保证。

这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加，尤其是由于法规的原因，例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关，还与内部审计师在评价内部控制的有效性、风险管理和治理流程中保持独立性和客观性的能力能力有关。

今天，内部审计师面临着的挑战来自一系列的领域：

www.glzl8.com1、 法规的遵循和控制：评价和识别事件和流程，可持续性，资源，

定义重要性，优先级和财务报告风险。 2、

内部审计价值和独立性：对内部审计的高度期望，内部控制问题

的增加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的削弱。 3、

舞弊：侦测和控制，识别盗窃，舞弊管理责任，舞弊频率和成本

的增加。 4、

可用的熟练审计资源：缺乏能胜任的和合适的熟练审计师，审计

师短缺，持续力，对风险和控制缺乏理解。 5、

技术：支持遵循的合适的解决方案，技术经营模型，信息安全，

信息技术优势，外部采购。

显然，必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。 一、连续审计

传统的内部审计所对控制测试是一种向后看的周期性方式，通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、批准和调节的评价。现在，这种方式被视为一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计是一种以更加频繁的方式来自动执行控制和风险评估的方法。

技术是施行这样一种方法的关键。连续审计改变了审计模式，它将对交易样本的周期性测试变为对100％的样本进行连续性测试。它已在许多层

www.glzl8.com次上已成了现代审计不可缺少的部分。它也应该紧密与管理行为（如行为监控，平衡计分卡和企业风险管理框架）结合在一起。

连续审计方式能让内部审计师完全理解关键控制点、控制规则和例外情况。通过对的自动化和经常性的分析，他们能够实时地或接近实时地执行控制和风险评估。他们能从交易层面的异常和控制缺陷和出现风险的数据驱动指标两方面来分析关键业务流程。最后，通过连续审计，分析结果将被整合进审计程序的所有方面，从制定和维持这个企业审计计划到开展和继续特定的审计。

二、连续审计/连续监控的必要性：整合法

按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注，将连续审计和连续监控结合在一起将是一种理想的方法。

连续监控管理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了管理层对评价内部控制的充分性和有效性的责任。这包含识别控制目标和保证声明（assurance assertion）以及建立自动化的测试程序来找出遵循失败的活动和交易。许多管理层实施的对控制的连续监控技术与内部审计师执行连续审计所用技术类似。

管理层使用连续监控程序，结合内部审计师执行的连续审计，能够满足对控制程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。

对组织的一种重要的额外好处是错误和舞弊事件的显著减少，经营效率也得到了提高，线下项目（bottom-line）的结果也通过成本的减少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发现他们迅速地获得了投资回报。

www.glzl8.com商业和法规环境，以及出台的审计准则，驱使审计师和管理层更加有效地利用信息和数据分析技术，作为连续审计和连续监控的可行基本因素之一。

三、内部审计和管理层的角色

管理层对评价风险和设计、实施、连续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由管理层实施的组织的风险管理系统和控制的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和控制系统，以及在诸如萨班斯法案等法规下，就管理层关心的控制状况的可靠性提供保证。理想的情况是，内部审计不是控制监控流程的一部分，并且没有设计或维护这些控制，从而能够使他们的独立性得以保持。

尽管对内部控制的监控是一种管理职能，内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。管理层事先执行的监控水平将直接影响审计师实施连续审计。在管理层已经对某项内部控制进行连续监控的情况下，在连续审计时，相同层次的详细交易测试就无需再进行。取而代之的是，审计师能够关注审计程序，来决定管理层监控程序有效性，借助这种测试的结果来调整范围、数字和审计测试的频率。

四、连续审计的作用

连续审计的作用依赖于对对内部控制的连续性测试的智能性和有效性，及时提示控制缺口和薄弱环节存在的风险，并允许立即的追踪和进行补救。通过改变他们的审计方式，审计师将能够更好地理解经营环境和公司风险以支持遵循和提高经营绩效。

www.glzl8.com五、实施的问题

首席审计师必须认识到连续审计将改变审计模式，包括证据的特征、时间、程序和内部审计师所需的努力水平。这将给审计部门提出要求，尤其是他们必须：

1、

获得和促成审计委员会和高级管理层支持这个概念并实施连续

审计。 2、

开发和保持技术方面的能力，以保证访问、操作和分析包含在相

互分离系统中数据的能力。 3、

使用（或实施）数据分析技术来支持审计项目，包括使用合适的

分析软件工具，开发和维护数据分析技术，以及审计组中的专家。 4、 5、

发起、促进和鼓励管理层对连续审计的支持。

保证连续审计被采用作为风险导向审计计划中完整的、相容的一

部分。 6、

管理和回应连续审计的结果，决定合适的使用、跟踪和报告机制。

首席审计师将必须确保对审计发现报告的问题管理层已经采取合适的行动，连续审计的结果在管理层的评价时要被考虑到，这些评价包括内部控制的监控，业绩评价和企业风险管理。

这份国际内部审计师协会（IIA）的全球技术审计指南（GTAG）确定了那些必须要做，以有效利用技术来支持连续审计，突出需要进一步关注的领域。通过阅读和遵照下面列出的步骤，内部审计师应该处于一个更好的位臵来利用技术和最大化他们的投资回报，同时也要向管理层证明进行适当的技术投资的必要性——不仅对影响他们组织的法规遵循的需要起作

www.glzl8.com用，而且对整个组织的健康和竞争力起作用。

第二部分 导言

这份全球技术审计指南将着重连续审计的技术可行性方面，并且将介绍： 1、 2、

过去30年间使用的类似概念的历史和背景。

相关的术语和技术的定义：连续审计，连续性风险评估，连续性

控制评估，连续监控，连续性鉴证。 3、 4、 5、 6、 7、

自1980年以来，许多的名词与实时或接近实时地提供连续审计程序的概念有关系，包括：连续监控、连续控制评估、连续审计。这份全球审计指南首先统一使用“连续审计”的概念。它论述了作为连续审计的主要组成部分的连续控制评估和连续风险评估。这份指南将监控行为视为管理层的责任，同时还论述了审计和监控的内在联系，以及内部审计师在他们的角色中如何提供额外的保证来支持管理。

当前最显著的一个连续审计的推动力就是高昂的法规遵循成本。在美国，一份2005年3月份的国际财务执行官组织调查发现，每个组织的萨班

连续审计与连续监控的关系。

连续审计能在内部审计行为中应用的领域。 与连续审计有关的挑战和机遇。

对内部审计和首席审计师以及管理的影响。 一个连续审计自我评估工具。

www.glzl8.com斯法案的平均遵循成本超过了四百万美元。由于绝大部分成本都与手工的、员工密集型（内部资源和外部顾问的使用）有关。那么我们对2005年1月份AMR研究机构所作的研究发现关键技术能够用来减少的遵循成本超过25%就不会感到奇怪了。

遵循的压力迫使组织改进他们对内部控制进行连续评价的方法。在这种情况下，美国证券交易委员会指出，“管理层和审计师必须运用合理的判断，在（萨班斯法案404条款）遵循流程中运用严密的（TOP-DOWN）、风险基础的方法”。这就导致了对连续监控（由管理层实施）和连续审计的关注不断增加。支持一套完整的审计行为，连续审计不仅帮助支持对控制的保证，还包括风险评估，识别舞弊、浪费和滥用，审计计划，跟踪审计建议等审计行为。

一、连续审计：一个简史

自动控制测试开始于20世纪60年代，当时是通过安装和执行内嵌审计模块（EAMs）来实现的。但是，这些模块难以建立和维护，而且只是在相关的少数组织中使用。在20世纪70年代后期，审计师开始离弃这种方法。到了20世纪80年代，审计职业中有些人开始接受并使用计算机辅助审计工具和技术（CAATTs）用于特殊的调查和分析。与此同时，连续监控的概念首先是通过大量的学术文章介绍给审计师的。最基本的优点就是使用连续的自动化的数据分析将帮助审计师识别风险最高的领域，并作为决定他们的审计计划的先导。但是，在很大程度上，审计师们并没有对这种审计方法做好准备。他们缺乏容易访问的合适软件工具，以及技术资源和专家来克服数据访问的挑战，最重要的是，组织将是否支持这种新的与传

www.glzl8.com统审计方法很不一致的审计方式和方法。

在20世纪90年代，在全球审计职业界内，开始大范围的不断地接受数据分析解决方案，这些解决方案被视为支持有效进行内部控制测试的关键工具。这些技术用于检查交易中某些发生的事件，这些事件是由于某项控制不存在或没有适当地执行。它也能够识别与控制标准不符的交易。此外，数据分析支持不是直接从交易数据中获取证据的控制测试。例如，企业资源管理计划（ERP）访问和授权表格能够用来分析保持适当的职责分离是否失效。但是，尽管有这些技术基础，传统审计程序通常依赖于典型的样本，而不是对总体进行评价，并且是在经营（交易）行为发生一些时间后进行分析的。所以，风险和控制问题有大量的机会升级，并对经营绩效产生消极的影响。

二、当今的审计环境

今天，经营环境中信息系统功能的普及使得审计师能够更加容易地访问更加相关的信息，同时也包括对大量增加的数据和交易的管理和评价。

此外，经营的快节奏要求提升对控制问题识别和反应。在美国像萨班斯法案的404条款之类的法规要求及时披露控制的缺陷，管理层要对内部控制框架充分性作出保证。这些法规遵循的紧迫性、连续审计准则、审计软件的功能提升，既促使而且能够让审计师采纳新的方法来评估信息和评价控制。

首席审计师必须给高层管理者提供对内部控制的健康运行和组织内的风险水平作出连续的评价，而不是简单的周期性的评价。今天的内部审计师不仅仅是对控制进行审计，他们还关注公司的风险特征，而且在识别风

www.glzl8.com险领域来改善风险管理流程中发挥关键作用。但是，如果他们不完全理解经营流程和相关风险，审计师只能仅仅执行传统的审计核查工作。连续审计给审计师提供了一个超脱传统审计方式的局限、样本的限制、撰写标准公告、实时评价的机会，连续审计的关键部分是能够在接近经营行为发生或者在经营行为发生的同时对交易进行评价的连续审计模型。

就像将第四部分中要详细讨论的一样，影响内部审计师应用连续审计方式的一个关键因素是管理层已经实施了用于连续控制监控和识别控制缺陷和风险指标的系统的程度。

连续审计测量某些关键特征，一旦某项参数符合，将会触发审计师采取某种行为。在连续审计条件下，这里有两种主要的行为： 1、 2、

连续控制评估：使审计师能够尽早关注控制的缺陷。 连续风险评估：突出正在遭受比期望风险更高的程序或系统。

连续审计的行为的频率取决于程序或系统的固有风险。此外，它可以从检查关键的控制和风险领域着手，在审计师获得经验和能够获取与遵循、经营效率和效果、财务报告的公允性等方面的可测量结果时，然后扩大连续审计应用领域的范围。

三、COSO的企业风险管理（ERM）框架

Treadway委员会下属的发起组织委员会（COSO）发布的企业风险管理——整合框架鼓励内部审计师行为向管理层经营方式靠拢：控制环境、风险评估、信息与沟通、风险监控。COSO的ERM框架是原来的COSO内部控制框架的扩展。它增加了对内部控制的关注，并且对企业风险管理（ERM）进行了更加充分的广泛的论述。它的四个目标——策略、运营、报告和遵

www.glzl8.com循，给内部审计师增加了评价内部控制系统、识别和评估风险的压力。要完成这些任务，内部审计必须改变它的传统的角色，向关注公司目标、策略、风险管理和业务流程、关键控制行为转变。

连续审计关注的不单单是对控制和法规的遵循，而更注重改进组织的经营效率。连续审计同时还必须通过识别和评估风险以及给管理层提供信息对整个组织的改进作出贡献，以更好地适应变化的商业环境。它将在所有的COSO企业风险管理组成部分方面给内部审计以帮助。 1、

内部环境和目标设臵：通过正式确定连续审计的目标和内部审计

的角色。 2、

事项识别：通过开发一个系统来识别和报告事项以及应对这些威

胁和机遇的程序。 3、

风险评估：通过分析和评估风险，考虑可能性和影响，从而给决

定如何管理风险提供基础。 4、

风险反应：通过考虑风险的种类和关键行为，通过开发数据驱动

方法来评估和回应风险。 5、

控制行为：通过识别管理层和内部控制的角色；证明控制评估不

是一年一次的行为，而是一个持续关注的行为；自动化这些控制测试程序，使之尽可能接近实时运行。 6、

信息和沟通：通过促进确保信息的精确性和关注事项的实时报

告。 7、

监控和评价：通过提供独立的评估来支持由管理层实施的连续监

控行为。

www.glzl8.com图1：COSO企业风险管理框架 目 标 目 营 经 报 告 合 标 目 法 标 目 标 战 略 内 部 环 境 目 标 制 定 事 项 识 别 风 险 评 估 风 险 反 应 控 制 活 动 信 息 和 沟 通 监 控 企业总体层面部门层面业务单位子公司 连续控制评估将允许内部审计师评价管理监控行为的充分性，并给审计委员会和高层管理员工提供控制正在有效运行以及组织能够快速改进出现的缺陷快速反应并及时改正的独立保证。连续风险评估使审计师能识别正在出现的使公司处于风险的领域，将这些风险区分优先次序，以更加有效地分配有限的审计资源。但是，这些行为不能以任何方式妨碍管理层实施监控和管理风险的职能。

监控和评价是COSO的企业风险管理作为一个有效控制框架的最后一个要素，也是一个组织朝持续改进所做努力的关键成分。连续监控包含管理层为保证政策、程序和经营流程都有效地运行，在适当位臵设臵的程序。它提出了管理层评价控制的充分性和有效性的责任。这包含识别控制目标

www.glzl8.com和保证认定，并建立自动化的测试程序将遵循相关控制目标和保证认定失败的交易凸显出来。连续监控的许多技术与内部审计部门使用的连续审计技术是类似的。

四、内部审计行为和管理层的角色

为了践行管理者的角色，管理层对风险评估和内部控制的设计、实施和连续维护负有主要责任。内部审计行为，根据它对管理层和董事会的职责，他对识别和评价组织的由管理层实施的风险管理系统（内部审计准则2110）和控制（内部审计准则2120）的有效性负有责任。审计师和管理层之间的角色差异在于从事内部控制和风险评估工作时，各自对股东的责任的特征。审计师给股东提供保证服务；审计委员会和高层经理重视风险和控制系统的状态；在法规方面，诸如萨班斯法案，以及管理层表现的对内部控制的关注的可靠性。理想上，审计师并不是流程的一部分，也不是来设计和保持内部控制的，这样，审计师的客观性和独立性就能得以保持。

五、连续审计和监控的好处

连续审计和监控（由管理层实施）的结果是类似的，都包含提示或警告，这些提示或警告指出了控制的缺陷或高风险水平。这些提示或警告能够按优先次序排列，这取决于风险和控制缺陷的严重程度，这些提示或警告会分发给经营流程或应用系统的担保人，运营经理，审计师，高级财务经理，甚至法规制定者。管理层对这些提示的回应能够修补内部控制缺陷和立即修正错误的交易。审计师对这些警告的回应能够从立即审计确认的内部控制系统到标记一个领域以备将来审计。

例如，对财务交易的持续审计，当一个分类账凭证超出了给定限额，以

www.glzl8.com及留有非正常关联账户的入口，测试可能给出一个提示。审计师的反应可能取决于这是否视为一个单一项目——这个反应可能会是发送一个Email给这项交易的当事人以得到相应的解释；也可能会视为一个系统的问题，对某个领域的财务审计可能状况良好。使用连续审计进行额外的测试来决定这些异常的特征能够回答诸如以下问题：

1、

日记账凭证是给暂记账户留有入口，而且没有在规定的时间内进

行清除？ 2、 3、 4、 5、 6、 7、 8、

日记账凭证是否给不正常的关联账户留有入口？

受影响的账户是否可能会是诸如人工操纵收益之类的舞弊？ 日记账凭证的数量和类型与往年相比是否有异常？ 个体之间登录系统时是否做到了职责分离？ 我们是否应该提高或降低测试的标准？ 财务比率是否与公司的期望相符？

近几年的收益趋势如何？这些趋势与公司的期望（peer）以及总

体的经济环境如何匹配？

连续审计帮助审计师评价管理层的监控功能的充分性。这让首席审计师能给审计委员会和高级管理层提供对控制系统运行的有效性作出保证，以及审计程序在识别和指出任何侵害中发挥作用。连续审计还识别和评估风险领域，给审计师提供信息，审计师通过与管理层的沟通能够帮助管理层减轻风险。此外，他能够用于帮助制定年度审计计划，以将审计关注点和资源转向高风险领域。

然而，连续审计最重要的优势之一在于它独立于所审计的业务和财务

www.glzl8.com系统和管理层实施的监控。这能改善组织的管理和控制框架，并提供一个审计师能够用来支持他们的独立评价和评估行为的机制。

连续审计还面临着一些挑战。这些技术需要被理解和控制。内部审计师必须能够访问数据、软件工具和技术，以及拥有能够智能使用他们手头所掌握的大量的公司财务和非财务信息的必要知识。连续审计带来的机遇也对审计师和首席审计师提出了要求。

第三部分 需要澄清的一些关键概念和术语

已经采取了各种尝试来鼓励审计师更好地使用电子信息，以改进内部审计行为的效率和效果。最近，多种术语已经被用于这些尝试，同时也导致了职业界认识上的混乱。没有一个清晰的、通用的术语，那么将会很难提升这些尝试，成功的可能性也会减少。因此，实施连续审计首先要做的就是给定和传播所有相关术语的清晰的定义。

理解与连续审计相关的术语的关键在于理解控制和风险是一个问题的两个方面。控制的存在是为了帮助降低风险；识别控制缺陷能凸显潜在的风险领域。相反，通过检查风险，审计师能够识别哪些地方需要控制和（和）控制没有发生作用。

尽管对控制和风险的评估通常包含定量分析也包含定性分析，但是最大化的效率获取是来自于最大化地利用技术。对审计师的挑战是确保数据的利用和通用性，理解相关的业务流程和系统，最大化地运用自动化。所以，这份全球审计技术指南关注的是支撑持续审计的技术辅助程序。

保证可以认为是第三方对事件状态的意见，这个事件是关于一个特定的交易、业务或治理流程、风险或整个业务流程中的财务绩效的。审计保

www.glzl8.com证是对控制的充分性和有效性，信息的完整性作出的声明。

管理层实施的持续控制监控是有效保证策略的核心部分，但是，审计师仍然必须确保管理层的行为是充分的和有效的。连续保证的框架是联结内部审计师的独立性评价行为：控制的状态、组织内部的风险管理、评估管理监控功能的充分性。

图2：连续保证的框架

连续保证 连续控制评估 连续风险评估 对连续监控的评估 首席审计师必须保证所有的审计师、高级经理和审计委员会理解内部审计行为和管理层在使连续保证方程有效的角色和责任。以下的定义可能提供了额外的视角：

1、连续审计是审计师为了在一个更持续、更频繁的基础上实施与审计相关的行为所采取的任何方法。它是一系列行为的联合体，这些行为从连续控制评估延伸到连续风险评估。

连续风险评估是关于控制－风险联合体的所有行为。技术在识别例外和（或）异常、分析关键数据字段的模式、趋势分析、从开始到结束的明细交易分析、控制测试和将组织的程序或系统根据不同的时点比较或与其他类似的单位比较等方面发挥着关键作用。

2、连续控制评估是审计师采取的准备用来进行与内部控制相关的保证的行为。通过连续控制评估，通过识别控制缺陷和侵害，审计师给审计委员会和高层经理提供关于控制是否正在恰当运行的保证。单个的交易是通过一系列的控制规则来进行监控的，以提供关于系统内部控制的保证，并强调例外情况。一系列定义良好的控制规则在控制程序或系统没有按期望

www.glzl8.com运行或受到威胁时能够及早地提供警告。

内部审计需要执行连续控制评估行为的范围取决于管理层履行其关于连续监控的责任的程度。一个强有力的管理监控系统将减少审计师必须执行以对控制提供保证的详细测试数量。

3、连续风险评估是审计师用来识别和评估风险水平的行为。连续风险评估通过检查趋势和比较（在单个程序或系统里，与之过去的表现相比较，与企业内的其他的程序或系统相比）来识别和评估风险水平。例如，生产线的表现可以和先前年度的结果相比较，就像是将一个企业的绩效与所有的其他企业相比较一样。这种比较能够较早地警示某个程序或系统（审计主体）的风险水平高于以前年度或其他主体。审计的反应也因风险的特征和水平而异。连续风险评估能应用于大范围的审计领域，来选择访问点，来识别排除包含在审计计划中的特定的审计或单位，或触发对某个风险增加但缺乏足够解释的单位的审计。它也能够用来评价管理行为，来检查审计建议是否得到合理的贯彻，经营风险水平是否正在减少。

4、连续监控是管理层为了确保政策、程序和业务流程能够有效运行而实施的一项程序。管理层识别关键控制点和实施自动化的测试来决定这些控制是否恰当运行。典型的持续监控程序包括在给定的经营流程领域内，借助一组控制规则，自动测试所有的交易和系统行为。监控通常是按天、周或月进行，这取决于当前的业务循环的特征。取决于特殊的控制规则和相关测试和初始参数，某些交易被标记为控制例外事项，且告知管理层。管理层监控也可能依靠关键绩效指标和其他绩效评价行为。对监控警报和提示作出回应并立即修补控制缺陷和改正问题交易是管理层的责任。

www.glzl8.com一、连续审计的连续系统

连续审计帮助审计师识别和评估风险，还在组织中建立智能和动态阀值来回应变化。它也支持整个审计范围的风险识别和评估，帮助制定年度审计计划，以及确定某项特定审计的审计目标。因此，连续审计在很多层面上可以视为一个连续系统。同时，连续系统中的不同位臵更加适合不同的工作，在连续系统中当你执行不同的任务时还可能超过一个位臵。 对连续审计的关注从控制基础到风险基础（见图3）；分析性技术从对明细交易的实时评价到对整个单位进行趋势分析以及与其他单位进行比较分析，并且随着时间进行。

图3：连续审计的连续系统

←─────────────连续审计─────────────→ 连续控制评估←──────────────────→连续风险评估 方法 控制基础 风险基础 （保证控制正在运行）←─────────────→（识别/评估风险） 关注点 财务控制 财务/运营控制 实时/详细交易测试（财务数据）←─────→趋势/比较（财务/运营数据） 分析技术 控制保证 财务鉴证 舞弊/浪费/滥用 审计范围和目标 追踪审计记录 相关审计行为 年度审计计划 控制监控 业绩监控 平衡计分卡 全面质量管理 企业风险管理 相关管理行为

注1：在这个连续系统的“控制”结尾，相关审计行为包括保证和财务鉴证审计。

注2：连续系统的另一个结尾的审计行为包括通过风险评估支持审计项目来识别舞弊、浪费和滥用，并提交年度审计报告。

注3：相关管理层行为包括连续控制监控，绩效监控，平衡计分卡，全面质量管理和企业风险管理。

www.glzl8.com连续审计是一个统一能够带来控制保证、风险评估、审计计划、数据分析以及其他审计工具、技术和科技结合在一起的统一结构或框架。它支持微观审计事项，例如明细交易测试来评价控制的有效性；宏观审计方面，通过风险识别和评估来准备年度审计计划。它也能满足中观层面的需求，例如为个别审计开发审计项目。

微观审计和宏观审计两个层次的主要区别在于两者信息需求的粒度不同：

1、控制测试需要细节信息：需要深入交易的源头层次。连续控制评估使用仔细制定的规则和实时的或接近实时的，测试交易对这些规则的遵循情况。

2、个别审计通常开始于年度审计计划中的风险识别，但使用更多的数据分析和其他技术（如访问，自我控制评估，实地观察walkthrough，调查问卷）来进一步定义风险的主要领域和风险评估的关注点和后续的审计行为。

3、年度审计计划需要高层次的信息，可能是几年的价值数据，来建立风险因素，并将风险排序，设臵审计计划开始的时间和目标。

第四部分 连续审计与连续保证和连续监控的关系

一、连续保证

前文已提到，保证被描述为第三方对事件状态的意见。它通常包括三个方面：

1、准备信息的个人或团体。

www.glzl8.com2、使用这些信息来进行决策的个人或团体。 3、客观存在的第三方。

通常，保证被视为一项严格的审计相关行为，通常具有财务方面的特征。但是其他的，诸如法律界也提供保证服务。

审计保证是对控制的充分性和有效性以及信息的完整性发表意见。管理层对控制的连续监控是有效保证策略的核心，但是，审计行为还必须保证管理层行为是充分和有效的。

内部审计通过客观检查所获取的证据以提供对风险管理策略和实践，管理控制框架和实践，用于决策和报告的信息的保证服务。连续保证服务能够在审计师执行连续控制和风险评估（如连续审计）和评价管理层实施的连续监控行为的充分性时提供。

审计师检查管理层的行为，证实控制都在运行，提出改进建议，确保风险正在被控制。如果审计师在执行诸如检查和证实控制和风险，确保管理层正在进行监控工作，那么组织将有一个对控制正在运行，风险正被控制，用于决策的信息具有完整性的高层次的保证。管理层在这个保证方程（assurance equation）中起着开发、设计和监控控制和控制风险的作用。 二、连续监控

连续监控是管理层设臵的用于确保政策、程序和经营流程都在有效运行的程序。评价控制的充分性和有效性通常是管理层的责任。许多管理层使用的用于对控制的连续监控技术与内部审计师进行连续审计所用技术类似。连续监控的原则比较简单，它包含以下几个方面：

1、在一个给定的经营流程中定义控制点，如果可能的话可参照COSO的

www.glzl8.com企业风险管理框架。

2、对每个控制点识别控制目标和保证声明。

3、建立一系列的自动化的测试，以指出某项交易是否没有遵循所有的相关控制目标和保证声明。

4、在接近交易发生的同时，将所有的交易进行测试。 5、调查没有通过控制测试的所有交易。 6、如果合适的话，可以更正这项交易。 7、如果合适的话，更正控制薄弱环节。

连续监控的关键是这些程序必须由管理层掌控并由管理层来执行，因为实施和保持有效控制系统是其职责的一部分。既然管理层对内部控制负有责任，那么它就必须有一个连续的决定控制是否按设计在运行的方法。通过实时地识别和更正控制的问题，整个的控制系统将得以改善。组织得到的一个典型的额外的好处是错误和舞弊显著减少，经营的效率得到了提高，通过成本的减少和过度支付（overpayment）和收入泄漏的减少，从而使线下项目的结果得以改善。 三、连续审计

管理层监控和风险管理行为的充分性与审计师必须执行对内部控制的详细测试和风险评估的程度，它们之间存在这一个反比的关系。连续审计运用的方法和工作量取决于管理层实施的连续监控行为的程度。

图4：反比关系：管理层付出的努力水平与审计行为

www.glzl8.com管理层反应

对内部控制的完全监控 减少工作量 对内部控制的 少量监控 显著的努力/更多的资源 审计工作量

在管理层还没有实施连续监控的地方，审计师必须借助连续审计技术进行详细测试。在某些情况下，审计师甚至可能主动来帮助组织建立风险管理和控制评估程序（见国际内部审计协会实务报告2100-4：审计师在一个没有风险管理程序组织中的作用）。但是，要注意的是审计师对这些程序中并不拥有所有者权，因为这会损害审计师的独立性和客观性。

图5：连续审计、监控和保证（概念框架）

连续保证 审计 连续审计和连续监控程序的结果 连续监控审计测试 连续审计 管理 连续监控 行为、交易和事件 经营系统和流程

管理层全面地在经营流程领域中从头到尾地实施连续监控，内部审计师就无需执行同样的详细测试来进行连续审计。但是，审计师必须执行其他的程序来决定他们是否可以依赖这个连续监控程序。这些程序包括：

www.glzl8.com1、评价侦测到的异常和管理层的反应。 2、评价和测试连续监控程序本身的控制，例如： （1）处理日志/审计轨迹

（2）调节总额控制（control total reconciliations） （3）系统测试参数的变化

通常，这些程序与那些在正常审计程序中为确保计算机辅助审计技术被正确应用的质量控制测试是相似的。

通过结合评价监控和连续审计程序，审计师能够提供关于内部控制有效性的保证。

第五部分 连续审计的应用领域

对内部审计部门而言所面临的压力是以较少的资源做更多的事情。也许最困难的挑战来自于审计师必须对内部控制的有效性及时作出保证，更好地识别和评估风险水平，快速找出没有遵循相关法规和政策的事项。这些就是连续审计可以应用的领域。适用技术，从电子表格软件或脚本开发使用特种审计软件（scripts developed using audit-specific software）到商品化的专业解决方案软件包或客户自行开发的系统。这些选择的解决方案必须是灵活的可升级的，允许审计师从某个特定的领域开始，然后扩大范围、规模和分析的频率。

尽管一些法定审计需要每年进行一次，但是每年严格执行这些审计已不能满足管理和法规的需要。内部审计行为必须应用风险评估和进行控制保证行为。虽然需要更加关注财务方面的审计，连续审计支持所有类型和领

www.glzl8.com域的审计行为。欧洲联邦内部审计机构（ECIIA）在2005年意见书《欧洲内部审计》中，鼓励内部审计师通过给管理层提供的关于风险已经被识别并且得到恰当的控制的保证，对组织面临的风险作出反应。审计师不仅必须能够评价财务风险，而且要能够评价运营风险和策略风险。这是持续审计所关注的新领域。用于测试控制的信息访问技术和技术技能也能够帮助首席审计师通过支持持续的评价企业风险管理有效性的评价行为和对一些警告提出改进建议，从而给管理层提供价值无法估量的帮助，

首席审计师通过给高层管理员工提供独立的风险和控制评估来支持其监控职能。连续审计有一系列的功能来支持审计行为，首席审计师，通过以下的适用方法和服务，包括：

1、风险管理策略和实践：通过及早识别风险。 2、管理控制框架的可靠性：通过找出控制薄弱环节。

3、用于决策的信息：通过检查管理者使用的信息的可靠性和可获取性。 4、包含在年度审计计划中审计项目的选择：通过识别更高风险领域。 5、实施有效的和及时的改正行为：通过检验审计建议的执行情况。 首席审计师必须认识到许多的管理行为与连续审计有很强的联系，例如整合风险管理、平衡计分卡、连续改进、连续监控。审计必须决定那些地方适合连续审计，它如何能用于评估这些管理措施行为或者利用它们所产生的信息。

实施连续审计框架的期望好处包括： 1、增加减轻风险的能力。 2、减少评估内部控制的成本。

www.glzl8.com3、增加对财务结果的信心。 4、财务运营的改善。

5、减少财务错误和潜在的舞弊。

此外，完全运用了连续审计的组织，通常会报告运营成本的减少和边际利润的增加。

一、应用于连续控制评估 （一）识别控制缺陷

由于新的法规需要高层管理者证明控制环境的有效性，以及财务报告中所含信息的精确性，首席执行官和首席财务官开始内部审计行为来辅助遵循这些法规。尽管管理层对监控、设计和维持控制负有责任以备广泛认可，国际内部审计准则2120号，A1节指出内部审计行为“应该通过评价内部控制的有效性和效率性，以及促进持续改进来辅助组织保持有效的控制”。由于这些外部和内部的压力，特别是在一些管理层没有恰当发挥其监控角色的作用，审计师通常需要执行一个更加全面的评估和提供更加连续的控制评估。这对内部审计流程和方法有显著的影响。

连续控制评估给让首席审计师清楚地看到内部控制系统的有效性。反过来，给财务经理，经营流程管理这和风险及遵循经理提供对内部控制的独立的和及时的保证。对关于内部控制交易数据的连续控制评估能够迅速找出错误和异常，将它们报告给管理层，以及时进行检查和采取行动。它也能对财务和运营信息的可靠性和完整性，营运的效率和效果起作用。 连续控制评估还能够对连续的风险评估和管理层减轻风险的行为起作用。控制和风险的评估是相互补充、相互支持。

www.glzl8.com以下的一个关于内部审计中应用连续控制评估在财务控制、系统控制和安全控制等三个领域来支持管理层监控功能。 （二）财务控制：以采购卡项目为例

一个全国性的采购卡管理员手工操作，每个季度只能对交易的极小样本进行评价。审计师决定管理层的对于采购的控制是薄弱的，那么暴露出来的风险是否相当的高。在评价采购卡使用的政策后，审计师进行一系列的分析测试来识别：

1、不恰当的采购卡使用，包括与旅行支出有关的交易。 2、用于个人项目的支付（如珠宝、酒，等等）。

3、可疑交易（如未经授权的持卡人使用，销售商重复刷卡，分次付款以避免超过财务限额，等等）。

分析的结果将提交给持卡者的经理，以对这些可疑交易进行详细审查——将采购卡的支出与商品采购相匹配。这识别出许多的不恰当的采购和以上三种类型的舞弊。

在审计完成后，连续控制评估应用测试就转向采购卡协调员，来帮助运营经理每个月对采购卡控制的监控。 （三）系统控制：以职责分离为例

连续控制评估测试也能够用来证实系统是否按期望值在起作用。使用分析技术，测试程序能够比较个别交易和规则基础标准，对所有的交易进行评价以确保个体没有执行不相容的职责。

在一个组织内，新实施一个ERP系统，目的是用自动控制替代手工控制来确保职责的分离。ERP项目小组，通过业主的投入，开发一系列基于使

www.glzl8.com用者角色的特色配臵，这就允许使用者能够根据自己的工作职责来处理各式各样的业务。尽管审计师相信在开发基于角色的特色配臵中的方法和程序，他们关心实际分配给使用者的特色配臵，然后对交易进行详细检查，以检查哪些些地方职责分离没有得到保持。

审计师抽出当年第一季度的所有处理的交易，然后利用数据分析技术来计算每个使用者处理过的交易（通过交易类型）。这发现两个使用者首先建立采购安排，然后记录相同采购安排的货物接受交易。结果表明在基于角色的特色配臵的设计中职责分离控制是薄弱的，因为这些是被视为不相容的职责。

由于ERP系统经历了额外的变化——例如，增加新的角色和改变现有角色——运行连续控制评估测试来证明没有违反职责分离的情况。 （四）安全控制：以系统登录日志为例

连续控制评估能够测试安全控制，证明所有的系统使用者都是有效的员工，防止有企图者侵入系统。

在另一个组织的例子中，每周系统登录日志被抽取出来，然后送交内部审计部门。审计师抽取相关信息并将每个使用者与当前的员工管理文件相匹配。所有的非员工使用者被标记出来，然后一封邮件将自动发送给系统安全部门，让其废除该使用者的身份（ID）。此外，测试还检查失败的登录日志。通过检查发现一例在早上三点一个使用者ID有25次通过拨号登录失败。审计师通过这份报告来证明将登录参数改为在诸如这类使用者的ID在尝试登录失败3次后将此ID锁定是正确的。

连续控制评估的潜在使用事实上是无限的。无论哪里暴露出问题，内部

www.glzl8.com审计师都能够进行一项测试或一系列的分析程序来搜索某人试图利用控制缺口或薄弱环节的证据。在某些情况下，控制暴露出来的问题，包括潜在的舞弊、浪费和滥用。这些测试的频率和时间取决于潜在的经营风险和控制框架和管理监控功能的充分性。

（五）舞弊、浪费和滥用

国际内部审计准则1210号第A2节要求审计师对舞弊的信号拥有足够的知识。第A3节也需要审计师对关键信息技术风险、控制和可利用技术来开展他们工作的知识。使用技术来支持连续控制评估能够帮助审计师检查详细交易，也包括汇总数据，识别异常和其他的舞弊、浪费和滥用信号。例如，利用数据分析技术，审计师能够容易识别那些地方超越了合约的授权（如合约超过了给个人规定的合同限额）和被逃避（avoid）（如撕毁合约）。在工薪领域，它能够被用来识别薪水册上的员工非员工数据库中的员工或者识别薪金中的不正常比率。

由于舞弊很大程度上是一种机会主义的犯罪，控制缺口和薄弱环节必须被找出来，如果可能的话，甚至消除它或者减少它。广泛应用的审计指南和准则已直接地提到了对这种暴露问题的关注。例如，国际内部审计准则实务公告1210号第A2-1节：识别舞弊，第A2-2节：舞弊侦测的责任，需要审计师对可能的舞弊拥有充分的知识以识别它们的征兆。审计师必须意识到它会出什么问题，它怎么能出问题以及谁会牵涉其中。美国注册会计师协会颁布的审计标准的公告第99号（SAS No.99）“考虑财务报告审计中的舞弊”也是出台来帮助审计师侦测舞弊的。它比SAS No.82更进一步，

www.glzl8.com它包含的新的规定包括： 1、集体讨论舞弊的风险。 2、强调增加职业怀疑。 3、确保管理者意识到舞弊。 4、使用各种分析程序。

5、侦测管理层践踏内部控制的情况。

它也定义了舞弊财务报表和盗窃的风险因素，这能够被用来作为评估舞弊财务报告风险的模型。在SAS No.99 中列出来的风险因素包括：管理层状况、竞争和经营环境、运营和财务的稳定性。 （六）结论和建议

连续控制评估技术可能类似于管理层实施的连续监控技术。在内部审计师可以依赖管理层实施的连续监控的地方，而无需采用相同层次的细节连续控制评估技术。取而代之的是，审计师能够关注执行其他的程序来提供连续的关于管理层的连续监控程序的保证。但是，当管理层监控不充分时，审计师应该借助连续控制评估技术来执行详细测试以评价控制的充分性。通过智能运用分析技术，审计师能够评估内部控制框架的充分性，给审计委员会和高层经理提供独立的保证。

连续控制评估并不需要在实时运行。分析的频率取决于风险水平和管理层监控控制的程度。例如，采购卡分析可能每月运行一次——在信用卡公司收到采购卡交易时进行。薪金可以在每个付款周期使用，在支票出具之前进行。对发票副本（duplicate invoice）的测试可以每天进行。在某些情况下，审计师可能执行初始的控制测试，然后将连续监控移交给管理层。

www.glzl8.com额外的应用连续控制评估的例子包括：

1、检查交易数据：如标记所有的严重超出采购卡的限额，包含有禁止采购商品的采购卡花费。

2、检查汇总数据：如当月的持卡者消费汇总超过$10.000的情况和持卡人不在采购部门中的情况。

3、借助比较分析：如汇总加班报酬然后与所有的其他在相同工种和层次的员工相比，以识别潜在的滥用加班（过量的、未经授权的，等等）。 4、测试总分类账户总发生额：如找出那些与上年相比金额超过25％的账户，识别不正常的行为，如销账的增加。

在所有的情况下，审计师能够快速检查所有的详细交易来发现原因，然后快速地、容易地执行所需的后续工作。 二、应用于连续风险评估

管理层负有开发和维持一个系统来识别和减轻风险的责任，国际内部审计准则2110号指出，审计师应该通过识别和评估重大的暴露在风险下的项目来帮助组织，并在改进风险管理和控制系统中发挥作用。国际内部审计准则2010号鼓励首席审计师建立风险基础的计划来决定内部审计行为的优先次序，以与组织的目标相一致。这两项行为是相关的，审计师能够利用连续风险评估来识别和评估风险水平的变化。这允许他们评估管理层的减轻风险行为，支持制定个别审计目标和年度审计计划。

连续风险评估能够连续地用来识别和评估风险。它不仅通过测量某个交易点，还通过使用通过比较分析法来进行交易的总体分析来完成这些工作。通过这种形式的比较，审计师能够通过衡量许多方面的可变性来检查流程

www.glzl8.com的一致性。在经营中，例如，检查一些缺陷的可变性是测试生产线协调的一种方法。控制缺陷数量的可变性越大，生产线的合理性和功能的协调性就越要得到关注。相同的前提能够很容易通过检查变量（如调整主体的数字和美元价值）来应用于测量财务系统的完整性。可变性的概念是连续风险评估与内嵌审计模块和例外报告的关键区分因素。

通过执行连续风险评估，首席审计师能够应用更加具有策略性的背景来制定审计计划，在风险变化时为使审计计划在整个年度都能保持最近的状态进行连续调整，并且分配稀缺资源，将高度熟练的审计资源分配到组织内高暴露出最高风险的地方。连续风险评估还能够找出一些要么没有控制要么这些控制没有充分地执行的地方，帮助审计师在特定领域执行连续控制评估。因此，连续风险评估不仅对审计计划有帮助，而且对连续控制评估也是起作用的。

举例：基于风险选择审计点

在全国拥有超过1100家零售商店，ABC食品的内部审计部门需要一个高效率和高效果的方式来选择单个商店审计。在过去，审计师试图至少每年要对每家商店访问一次来执行遵循基础审计。但是，这不是一项有效的确定真正风险领域的方式。

首席审计师需要一个可信赖的风险评估方案，通过数据驱动标准，可以不用每年访问这些商店，而且能对所有的1100家商店提供保证。连续风险评估用于建立必要的分析程序，如报告存货损失和熟练员工的营业额。现在，内部审计师小组能够快速指出风险程度最高的商店，并制定出一个更加及时、效果好和效率高的方法。

www.glzl8.com（一）制定审计计划

与传统的审计计划根据标准的循环（如一年、两年、三年的比率进行）相比而言，企业经营过程中审计的频率更应该基于风险因素。最高层次的连续风险评估支持制定审计计划，允许数据驱动识别和评估风险指标。它不仅支持建立审计总体，而且支持收集定量化的数据，而且，让内部审计部门优先关注公司内部的高风险领域，将适当的资源分配到新的和变化的领域。

第一步是定义审计行为的范围和覆盖面的程度，然后利用从不同系统（如财务、人力资源和运营信息系统）中获取的数据来确定重大性和风险指标。在重大性方面，一种方式是参照规模相似的企业——尽管风险指标还可能要考虑一个单位与另一个单位的复杂性。连续风险评估应该还要包括对管理层监控职能的评价，包括业绩评价、质量控制和职责分离。 举例：制定审计计划

建立ABC公司的风险基础审计计划需要建立一个审计域（audit universe），并界定被审计单位；收集和分析量化数据，如经营计划、组织结构图、管理投入和促成会议（facilitated session）；收集、规范化和分析量化的数据，如财务、人力资源和经营信息；根据风险指标安排审计（单位）的优先次序。

以下描述ABC公司如何使用连续风险评估来帮助制定年度审计计划。连续风险评估是用来测量和对每个单位与财务、人力资源和经营相关的固有风险水平进行优先排序。

1、财务标准/指标：财务重要性主要处理支出、收入和资产方面的总额。

www.glzl8.com在不同情况下有不同的考虑。例如，不是所有的审计单位拥有收入，甚至一些没有资产。复杂性指标考虑的不仅是相对先前年度和相似规模企业的变化，而且还么考虑诸如责任中心的数量、可自由支配的个人开支的百分比、单位是否需要管理花费、收入和资产等项目。例如，单位A，有1500万支出，主要是薪金，那么它相对单位B而言，两者不在同一风险水平，因为B虽然只有500万的支出（其中82％是谨慎的），1000万的收入和1200万的资产。同样，如果这是第一个年度，单位B没有任何收入，那么将会增加它的财务风险水平。

2、人力资源标准/指标：人力资源主要考虑总的员工数量，但是年各类员工（如员工与承包人，全职与兼职），还包括员工变动和关键技能的丧失的员工等复杂指标。它还考虑与先前年度对比的变化（如一个快速发展的组织可能相对稳定的组织拥有不同的风险）和分部的数量（如地理分散）。 3、经营标准/指标：在ABC公司，经营标准和指标主要是关于产品数量的；因此，重要性也与产品的数量相关联。复杂性不仅与产品数量和组合的变化有关，而且与产品订货到交货的时间、响应客户的时间，制造流程的复杂程度有关。制造的复杂程度可以分为三种：高复杂性、中等复杂性和低复杂性，这是基于制造过程中所包含的时间来划分的。就是说一个产品要20个小时的制造时间，不仅花更长的时间来制造，而且带来了比一个只需两个小时的制造时间的产品更高水平的经营风险。制造人员根据这种方法来确认复杂性的合理标志。

一旦所有的来自这三个业务系统的数据被收集、规范化和对每个单位进行分析，相关单位的打分也被计算出来。这个分数是按照该单位排在前十

www.glzl8.com位的风险指标上的时间来决定的。这些单位根据分数划分不同的等级，而不是在一个点上。如果一个绝对数和分离点（cut-off）不是用于任何的特征，那么就没有必要调整参数，因为绩效已经达到改善。

在一个快速变化的商业环境下，年度审计计划可能不足以适应风险变化的水平。但是，通过技术辅助行为，能够很容易持续地更新风险评估和风险监控指标。风险评估测试能够频繁运行来保证部署的审计能够发现当前或出现的风险。此外，通过比较不同时点的风险评估结果，审计师能够在新出现的风险变得严重前进行预测。其结果能够用来设臵正式审计的参数和决定审计时间。

审计反应因风险水平的强度和紧急情况而异。及早地识别风险可能不需要一个完整的审计，可能只要一个简单的管理建议书，指出风险暴露点，并要求管理层作出回应。这不仅将审计资源臵于风险最高的地方，而且还最大化地有效利用了这些资源。 （二）支持个别审计

连续风险评估也能够通过支持识别和评估风险以及确定审计范围和审计目标来辅助个别审计。进一步地，它能够用于决定哪些位臵将会被访问到和识别特定的标准（如调查范围）。

连续风险评估用来制定企业的年度审计计划与支持个别审计的主要区别在于用于识别和评估风险的信息详细程度不同。企业范围的审计计划可能只需要每个单位的合计层次的信息，然而，在一个特定审计层面，需要更多的详细信息来识别某个水平的风险，以支持对一个给定的审计来定义审计范围和制定审计目标。

www.glzl8.com在一个常规审计中，分析性评价程序的规模和范围受到传统技术所能收集数据类型和数量的限制。连续审计具有潜在增加审计师所能获取数据的数量。例如，一个年度调节，一旦自动化了，能够内嵌到一个连续审计过程中，并且能够更加频繁地执行。分析性复核中计算的比率可以并入到连续审计软件中，能够更加频繁地进行计算，并与标准值进行复核和比较。然后，显著的不一致即可被标识出来。 举例：支持应付账款审计

作为制定一项应付账款审计功能（要在全国众多的地方进行）计划中执行风险评估的一部分，审计师计算应付账款部门每笔交易程序的数量的和成本，以及员工数量和技能。通过总体分析确定了应付账款被分散化了，而且没有任何标准程序。而且，不同类型的交易在不同的部门进行处理。此外，审计师使用“每笔交易成本”和“每个使用者的交易数量”来评估不同的发票处理的影响，识别特定部门的效率和效果。这些结果被用于决定那些地方将在线功能工作时要被访问到的程序。

在一些相同审计需要在许多位臵或每年执行，特定的审计测试将会被用到，其结果可以与其他单位或与不同的时点的结果相比较。连续风险评估能够用来检查特定的风险，如没有有效地使用采购卡。例如，比较每个单位两年的数据来识别趋势，以让审计师更好地理解哪个单位正在积极地改进。连续风险评估也能够通过在后续年度执行相同的审计程序来评估程序中任何变化的影响。此外，将来年度的数据能够容易地用来评价实施审计建议的影响。

（三）审计建议的跟踪调查

www.glzl8.com通过连接数据驱动指标到审计建议，审计师能够使用连续风险评估来决定这些建议是否已经被实施以及它们是否达到了期望的减少风险水平的效果。尤其是，如果连续风险评估用来识别和评价风险，作为定义审计范围和目标地一部分的话，相同的指标能够用于评价实施审计建议的影响。 理想状态是，每一个审计将给每条建议确定一个数据驱动指标。这将能透容易建立一个底线和比较结果——在实施这项建议的前后。但是，这就意味着审计师将需要找到合适的能够电子化测量的指标。这些指标能够作为它们测量对象的代理。例如，如果一项审计确定员工的道德水平低，那么将出具一项改进沟通的建议。审计师可能检查使用的病假的天数和正式报告的疾病数。尽管这不直接衡量道德，审计师能够使用这些指标，因为他们可能对道德变化作出反应。病假天数和报告疾病的减少能够用来证明沟通的改进已经得到贯彻并收到了预期的效果。 举例：采购单

一项财务控制要求每笔超过5000美元的交易要提交采购单。审计师建立了连续审计测试来检查所有金额大于5000美元的发票，以证实所需的采购单是否已提交。起初，它标记了许多没有按照政策采购的情况。审计师改变财务系统中的编辑控制。过了一个月，在实施了新的编辑检查后，测试表明，所有的超过5000美元的交易现在已经提交采购单了。

尽管测试表明这些控制在运行，但审计师想知道它们是否在恰当地运行。一个快速的测试用来决定总的提交采购单的发票的数量，并就这个加总的结果与采购单的总金额相比较。由于一些采购单所采购商品在交付使用前需要经过几道装运程序，那么这些采购单当中必然有一部分每张采购

www.glzl8.com单附有几张采购发票。审计师惊讶地发现，采购单有100张或者更多的发票，付款总额超过原始采购单数量的数百倍。审计师确信，尽管每张超过5000美元的发票都提交了采购单，但一些使用者简单地反复地利用了同一张的采购单。

后续的对审计建议的检查中，检查了全部的超过5000美元的交易，以检查初始建议是否已经保证超过5000美元的交易都提交了采购单，但是没有发现发票没有注明合理的的采购单问题。 结论

连续风险评估不是一个静态的系统。指标的识别和评价他们的使用和价值是它的关键的任务。内部和外部风险必须连续地评估，以保证出现的风险能够及时地被发现，并且组织能够对变化的风险环境作出反应。首席审计师必须保证在合适的提示系统来反馈出现的风险。风险警报应该区分优先顺序，清楚地、可理解地进行管理，让人知道谁接受它们的，它们怎么交流的，应该采取什么样的行动。第二，审计师必须持续地接收关于在评估风险中利用连续审计的反馈，并必须制定相应的策略来改进流程和报告结果。尤其是，首席审计师必须决定审计结果如何应用于管理层实施的企业风险管理。

第六部分 实施连续审计

连续审计并不是一个难以理解的概念。但是，连续审计还没有被内部审计师大范围的使用，高层管理人员还没有完全接受和投资必要的技术。要成功实施连续审计需要购买所有包含的部件，而且要有一个阶段性的方法

www.glzl8.com来找出最关键的经营流程。尽管每个组织是不同的，在开发和支持连续审计应用的时候仍然有一些相同的行为必须小心地计划和管理（见下面的“关键步骤”）。这些行为的顺序可能不同。此外，这里也可能没有列出其他的行为，尤其是在采用连续审计支持某项特殊审计的时候。 一、连续审计目标

许多组织已经评价了引入连续审计来支持诸如萨班斯法案之类的法规对控制评估的需要。尽管内部审计师拥有一个充分的自动化的系统来测试内部控制，以及整个的需要一个高标准的公司治理，经营绩效的改善之类的额外的好处也同等重要。对首席审计师而言，考虑短期的和长期的连续审计目标是重要的。这些努力包括进入系统、对关键业务系统和流程的了解的努力对减少遵循的压力和减少经营绩效中的阻碍有潜在的好处。 现在是时候从简单的每个季度对财务报告的可靠性发表意见到采用连续审计模式来改进整个组织得以健康运行和经营效率和效果的改善。尤其是，内部审计部门需要处理在每个经营行为中整个经营程序（COSO）和IT（CoBIT）控制。业务系统和交易数据的可靠性是及其重要的，不仅与内部控制框架和财务报告的完整性有关，还与经营运作的效率性有关。因此，确保业务系统和数据的可靠性、完整性和有效性是首席审计师和高层经理的关键目标。连续审计能够通过评估控制的有效性和风险水平来帮助组织达到这样一个目标。

www.glzl8.com图6：连续审计的关键步骤

关键步骤 连续审计目标 1、定义连续审计的目标 2、获取和达成高层管理员工的支持 3、弄清管理层执行其监控角色的程度 4、对要审计的领域和将要执行的连续审计类型进行识别与排序 5、识别关键信息系统和数据源 6、识别原始的业务流程和应用软件系统 7、建立与IT管理层之间的关系 数据访问和利用 1、选择和购买分析工具 2、开发访问和分析能力 3、开发和维持审计师的分析技能和技术 4、评估数据的完整性和可靠性 5、清洁和准备数据 连续控制评估 1、识别关键控制点 2、定义控制规则 3、定义例外情况 4、设计技术辅助方法来测试控制和识别缺陷 连续风险评估 1、定义要评价的单位 2、识别风险种类 3、识别数据驱动风险/业绩指标 4、设计分析性测试来测量增加的风险水平 报告和管理结论 1、对结论按重要性进行排序，并决定连续审计行为的频率 2、在一个定期的和及时的基础上进行测试 3、识别控制缺陷和增加的风险水平 4、对结论按重要性进行排序 5、作出合适的审计反应，使审计结论让管理层知道 6、管理结论——跟踪、报告、监控和追踪 7、评价审计行为的结果 8、监控和评价连续审计程序的有效性——包括分析（如规则/指标）和达成的结论——对测试参数做必要的调整 9、确保连续审计过程的安全性，还需确保连续审计与管理层行为，如企业风险管理、监控和业绩评价等有合适的联系。 以下描述了实施连续审计的步骤： （一）定义审计需求

要满足新兴的审计目标，首席审计师必须理解未来的审计程序和连续审计技术。这些需求必须由内部审计师进行充分的定义——通过管理层和外部审计师的投入——这是审计师必须了解的行业、组织、经营流程、相关

www.glzl8.com控制，还包括使用技术性解决方案。这需要时间投入，但是如果连续审计将要用于控制测试，识别和评估风险，侦测和防止舞弊，或者支持其他的审计，所获的收益将要大大超过所作的努力。 （二）获取管理层支持

一旦连续审计的目标已经定义好，就必须获得审计委员会和高层管理人员的支持。它们必须不仅要意识到连续审计的初衷，还必须全力支持它。审计委员会和高层经理必须告知初始情况，尤其是访问需求，也包括如何以及何时报告结果。如果这些没有做，当交易中的异常被正式确认，并与管理层接触以获得解释，那么连续审计行为的合法性就会受到臵疑。管理层的臵疑之一，当要求获得异常交易的解释时，可能会这样说“我没有被告知允许在这个地方进行审计。这种审计与什么相关呢？”这种臵疑将影响审计程序的运行，因为审计师在处理识别出来的控制缺陷和风险领域前必须解释连续审计的概念和目标。 （三）决定测试的范围

程序的下一步就是决定审计所必须对控制和风险进行详细测试的范围。这项决定的一个关键因素就是管理层行为和监控行为的充分性。首席审计师必须检查根据企业风险管理建立的控制框架和领域。如果管理层已经很好地建立了这些控制框架的领域以及功能程序来评估控制和风险，那么审计行为将能够高度依赖报告的控制和风险水平。但是，如果首席审计师决定这些程序是不充分的，审计师将必须连续地执行他们自己的详细控制和风险评估程序。 （四）识别信息源

www.glzl8.com一旦连续审计的范围被决定，下一步就是识别关于定义的目标所需信息，以及决定这些信息可能的数据源。尽管这个步骤与正在进行的任何审计和控制评价类似（无论是否是计算机辅助的），审计师应该努力避免被传统思考模式所局限。在定义信息需求前，他们必须清楚地了解他们所要达到的目标是什么，而不是它将如何将它完成。这个“如何”将在后面的阶段中决定。

（五）协商获取数据

获取正确的数据是实施连续审计的关键步骤。首席审计师必须识别审计部门需要访问，决定这些应用软件中哪些是最为关键的。下一步就是与系统的所有者协商获得访问授权。与IT管理部门保持良好的工作关系是很有意义的，因为经常需要他们的帮助，即使审计师是使用数据分析工具的专家。在很多情况厦，企业的系统文档，主机，或者客户建立的应用程序中存储的审计所需数据源，其中的数据通常不足或者是过期了，而关于数据集的唯一信息源头是IT支持员工。

所有的审计师必须意识到识别企业内部和外部的电子信息源的重要性。例如，审计师在分支机构进行现场工作可能发现使用者开发的应用程序可以用来实施连续审计。审计师应该设法发现、收集、分析和解释、记录自动化的信息源来支持结论。收集的信息应该是实际的、丛源头上查证过的、相关的、以及对结论提供一个合理的基础。在搜索信息源的时候，审计师应该从假设信息都是以电子形式存在开始，如果可能： 1、决定可能的源头和应用程序系统。

2、识别信息的所有者（在IT管理部门能够同意他们访问应用系统和数

www.glzl8.com据文件前审计师可能需要他们的允许）。

3、识别对应用系统负有责任的程序师/系统分析师。

4、获得所有必须的文档，例如数据字典、记录格式、系统说明书、经营流程。

审计师不应该局限在他们发现的第一个信息系统。一个更有力的搜索通常会发现更好的或确实的所需数据源。系统所有者和经营流程的所有者在这个过程中非常有价值。与数据所有者和应用软件设计师/分析师讨论能够帮助审计师决定信息的最佳源头。这些讨论也能帮助识别关键字段和其他的有用数据。通常考虑本地部门和总部数据源。在两个数据源都存在的情况下，比较这些数据能够证明对识别控制缺陷和暴露的风险非常有用。 （六）理解经营流程

一旦主要的数据源被确定，审计师不仅必须理解信息系统，而且还要理解支持它的经营流程。从现存的以下文件能够获取对它的基本理解： 1、评价通用系统的描述文档，例如使用者和程序员手册，系统流程图，输入文档的副本，输出样本报告，系统控制的描述。 2、访问系统使用者和程序员。 3、访问经营流程经理。

4、评价现有的标准报告和例外报告。

一个关于本系统的更深层次的了解可以从以下几方面获取： 1、分析详细的系统流程图和（或）关于数据流的描述。 2、检查所有输入和输出文档的副本。

3、研究所有数据文件的记录格式，包括字段描述和对每个字段可能值

www.glzl8.com的描述和解释。

4、检查交易计算、例外、综合报告，并将这些与其他的报告或系统相比较。

将所有的审计师包含在识别可能的信息源的过程中，能够帮助审计师借助使用连续审计作为一个整合的审计工具来从传统的向后看的观点转化为向前看的观点。这些努力的结果将是对关键业务系统、控制和关键数据源的详细理解。此外，审计师应该有安全的访问权限并能对数据进行抽取、规范化和分析。

（七）识别关键控制和风险

连续审计的最终目标就是确保所有的控制的有效性以及支持降低风险。在实践中，这能够通过识别关键控制和风险种类最好地达到目的。美国上市公司财务监管委员（PCAOB）为在其审计准则实施指南第2号中指出，审计师必须运用风险评估来决定那些控制需要检查。首席审计师应该实施这些行为，因为这将会提供最及时、最大化的回报。审计师应该建立在能够证明连续审计的可行性和效用性的成功案例上。因此，对业务流程进行排序以及系统支持连续审计是有必要的。在设臵目标方面，首席审计师也应该决定有效实施连续审计所需的知识、技能和原则。尤其是，审计师需要适当类型和水平的专业技能，并能够访问合适的、为特定目的而建立的技术。

（八）数据访问和使用

虽然要使用很多技术，但是持续审计并完全是一项纯粹的技术问题。选择适用技术对长期的成功是很关键的（见连续审计：内部审计师的潜能，

www.glzl8.com第五章——适用技术，国际内部审计师协会研究基金会，2003，列出了一系列可能会在开发连续审计方法中起作用的技术）。一系列清楚的连续审计目标和一个决定风险反应和优先权的计划将帮助指导软件的选择。当选择一个用于连续审计的软件时，首席审计师必须考虑数据源、数据格式和交易量，检查公司的计算机环境和关键业务系统的未来计划也是很重要的。尽管可能需要更加成熟的连续审计应用软件来长期支持，这里还有选择来利用审计专业分析软件解决方案的弹性。审计软件能够读取各种类型的数据，包括主机遗留系统，客户/服务器，网络系统或企业资源管理计划应用软件，如SAP，ORACLE和PEOPLESOFT。它能够很容易连接和分析从不同系统和平台获取的数据。

毫无疑问，连续审计需要访问数据。审计部门没有安全电子访问他们公司的数据的权限，要么是被各种理由拒绝，也可能是在时间上过期了。由于技术的进步（既有软件方面的，也有硬件方面的），访问数据方面的障碍问题不复存在，也不需要特殊的硬件或IT专业人员的参与。通常，数据访问的难题来自于管理层不愿意让审计师访问组织的应用软件系统。来自于管理层的支持通常对审计师获取物理的和逻辑的访问所需信息而言是必要的。这可能需要在审计规章中有来自高级管理人员的声明，如：“审计师为履行他们的职责将被给予访问任何和所有的所需应用软件系统和信息的权利。”有了安全经理的支持来访问系统和信息，审计师必须确保数据的所有者已经被告知他们的权利和需求。首席审计师也必须确保访问和使用业务系统的数据不会有损系统的经营绩效，审计技术于企业的IT环境是相容的。

www.glzl8.com（九）访问数据

要有效使用连续审计，来进行连续分析和跟踪审计结论，那么，访问电子格式的数据将是必需的。访问方法取决于连续审计设臵的目标，还必须考虑诸如数据量，网络通讯，系统执行情况等因素。首席审计师还将需要确定已经获取的合适的访问权利。因为主机和客户/服务器系统，安全调查（security-cleared）、只读形式的访问是必需的。 连续审计通常需要结合以下几种访问方法：

1、在业务系统中内嵌连续审计软件来处理适当位臵的数据。 2、获取独立的访问系统数据文件，不是使用应用软件，通过连续审计软件来抽取和准备要使用的数据。

3、复制标准报告并保存电子形式的报告以备将来分析。 4、由报告撰写人提出疑问和出具报告。

5、获取客户系统的物理的和逻辑的访问权限，给一个使用者采用只读形式的访问权限。

联合使用这些访问方法能够让审计师以及时的方式进行连续审计，识别和报告突出交易（high lightened transaction）。它应该也允许审计师通过类似参数来容易识别交易，然后跟踪标记的交易。

访问和使用几乎任何数据源的数据需要较好地理解记录格式。这里存在这一些文件在访问和传递数据时可能有用。不仅在宏观方面理解数据文件结构重要——例如，一个平面文件，一个限定文件（delimited file），或者一些关系型数据库，也包括字段层次上的。一个记录格式包含着记录是如何定义结构的，哪些字段存储在数据文件中。在对分析的软件包的数据

www.glzl8.com定义时作为参考，提供关于字段名称、数据类型、字段宽度、小数位方面的信息。

在连续审计能够开始前，数据文件必须能够被审计师访问。这通常需要将业务系统中的数据导入到审计师的计算机中。现在，有很多种方法能够完成这项导入。与业务系统的所有者讨论可以帮助审计师决定导入方式和最适合连续审计的数据文件格式。 （十）建立审计技术技能和知识

国际内部审计准则第1210号要求内部审计收集证据必须拥有或者获取执行他们的任务时所需的知识、技能和其他胜任工作所需的能力。第一份全球技术审计指南，是关于信息技术控制的，当中指出“不同层次的IT知识需要贯穿于组织的始终，以提供系统的、原则性的方法来评价和改进风险管理、控制和治理流程的效率。关于IT如何应用的知识，相关的风险和将使用IT技能作为执行审计工作的基础对审计师在各个层次有效进行审计都是必要的。”

加拿大注册会计师协会（CICA）和美国注册会计师协会（AICPA）的关于连续审计的研究报告也提到对IT和审计业务的高度熟练对所有审计师而言是必不可少的。因此，审计部门必须进行适当的培训和知识渊博、具有特定技能的员工来支持连续审计。尤其是，审计师开发和维护连续审计应用软件，需要对被正在监控的受访系统、当前处理交易的系统和功能有较强的了解。

在初始阶段，参数的敏感性、分析的充分性和其他的可能导致大量的交易被连续审计标记的因素，这应该被预料到。由于控制的改善，分析的优

www.glzl8.com化，连续审计的成熟，从而减少跟踪审计结果的工作量。

连续审计的初始结果可能也容易在解释数据或结果方面出错。通常是因为缺乏对业务系统和执行测试特征的理解和熟悉。审计师必须对当前信息系统及其中的数据有一个全面的了解。在报告前理解被检查的数据是成功执行连续审计的关键。对数据所表述的东西的错误理解将不可避免地导致错误的结论，从而错误地识别并不存在的关键控制缺陷和薄弱环节。在对数据（和确保它们的精确性和完整性）的理解上所费的时间和工作的功夫将帮助审计师实施一个精确的分析。这些可以通过以下方面： 1、评价关键的数据字段和数据元素。

2、评价应用于这些数据的功能程序所建立的元数据。

3、确定数据的时效（信息是否是当前的？它多久更新一次？最后一次是什么时候更新的？）

4、决定这些信息是否完整和精确。 5、验证审计师对系统程序的假设和分析。

6、通过执行各种测试，例如合理性、编辑检查、与其它数据源比较，包括事先的调查或审计报告（如句法、语法和数据的完整性），来验证数据的完整性。

给定以上这些，所有的审计师都是对本地和公司应用软件信息关注的潜在群体，沟通是理解这个信息源的关键环节。从正式渠道和其他渠道所获取的知识也要被分享。审计部门应该制定诸如内部网或组件之类的机制，来确保所有的审计师能够访问信息系统和相关的文件。 （十一）确保数据的完整性

www.glzl8.com数据的完整性对平滑地实施连续审计技术非常重要。审计师不仅必须确保他们分析的完整性，还包括数据和他们对结果解释的完整性。在起初，审计师将必须执行对业务系统数据完整性的评估。但是，如何检查以及检查数据要达到什么程度的完整性？怎样多才算太多（如过度审计）和什么时候是不够的（如审计不足）？要回答这些问题，需要评估错误结论的后果，决定所必须的用于减少审计风险到一个可接受水平所需的测试和核对工作的数量。

（十二）考虑数据的使用

现在关键的业务系统已经识别出来了，数据获取了，完整性也验证了，审计师现在应该考虑如何使用这些数据。连续审计的功能之一就是从跨组织的各种系统中抽取数据，然后将这些数据结合起来以备后续的跨平台分析使用。例如，一个组织可能要求所有的超过5000美元的采购都要提交采购单。但是，采购和发票数据可能存放在完全分离的系统里面。连续审计系统能够通过连接采购和发票数据来识别超过5000美元的发票（这些发票都没有相应的采购单记录），来测试这些控制。要将分离系统的数据连接起来通常需要进行数据清理来除去有完整性问题的交易，修改数据的格式等等。审计软件特别适合清理从不同系统中获取的数据，使它更加适合审计工作。例如，如果一个系统捕获了员工识别编号，这些编号的格式是XXX-XXX-XXX，而其他的格式是XX-XXXX-XXX，审计软件能够快速建立一种通用的格式。

二、连续控制和风险评估的关系

连续“控制－风险”统一体的一个关键要素是双方的数据都能够自由流

www.glzl8.com动。审计师执行连续风险评估不仅应支持管理层的企业风险管理行为，而且也要使用风险评估的结果来进行连续控制评估。国际内部审计准则2120第A1节指出：

基于风险评估的结果，内部审计行为应该评价包含公司治理、运营和信息系统的控制的充分性和有效性。

毫无疑问，风险水平的增加能够容易地指出控制缺陷或者控制根本就不存在。相反，在检查风险水平的时候，应该考虑识别控制缺陷。这并不意味着增加的风险需要额外的控制或者控制缺陷必然增加审计风险。但是，从其中一个评估获取的结果应该用于另一个的评估。

图7：控制评估和风险评估的联系

对控制的评估 结果 结果 对风险的评估

审计行为和首席审计师能够通过以下方面显著增加价值： 1、评价关键控制系统和风险管理流程。 2、评价管理层的风险评估和内部控制的有效性。 3、提供关于控制框架和降低风险策略的设计建议。 （一）连续控制评估

财务报告环节和商业经营程序中的控制的重要性不能过分夸大。经营程序的完整性依赖于控制的遵循、效率和效果。控制必须保证保密性、完整性、有效性和信息的可靠性。审计师在提供连续评估来证明这些控制是否有效时必须不断提高警惕。

本文来源：https://www.bwwdw.com/article/x12w.html