连续审计：对保证、监控和风险评估的意义

GLOBAL TECHNOLOGY AUDIT AUIDE

全球技术审计指南（第3号）

（2005 年 9 月公布）

Continuous Auditing:

Implications for Assurance,

Monitoring, and Risk Assessment

连续审计：对保证、监控和风险评估的意义

Author

David Coderre, Royal Canadian Mounted Police (RCMP)

作者

戴维德·科德里（加拿大皇家骑警）

Subject Matter Experts

John G. Verver, ACL Services Ltd.

Donald J. Warren, Center for Continuous Auditing, Rutgers

University

主题专家

约翰·G·沃沃（ACL公司）

唐纳德·J·倭仁（鲁特格斯大学，连续审计研究中心）湘潭大学商学院阳杰译（2006年11月）

*注：原指南附录部分由于篇幅限制，未加翻译

作者水平有限，如有错误之处，请email到yang-jie1891@

目录

今天的法规环境下，首席审计师们都发觉他们的部门变得越来越被为满足遵循要求的监控和内部操纵测试所吞噬。然而，大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻

负担，并提升效率和生产率，推动经营绩效。

这份全球技术审计指南“连续审计：对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略，结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续操纵监控方案能够最好地提升审计实践，以满足当今对有效操纵地高度要求。ACL能够关心你证明适当的技术投资的好处，同时支持持续的遵循需要，增加运营效率，并对提高收益有关心。

第一部分首席审计师简述

对风险治理和操纵系统的有效性进行及时和连续的保证的需求特不关键。组织频繁地暴露在重大错误、舞弊或者无效率下，这些会导致财务损失和风险升级。一个变化的法规环境，经营的全球化，市场方面要求改善经营的压力，以及快速变化的商业环境要求更加及时和连续地对正在运行的操纵的有效性和风险水平正在降低作出保证。

这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加，尤其是由于法规的缘故，例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关，还与内部审计师在评价内部操纵的有效性、风险治理和治理流程中保持独立性和客观性的能力能力有关。

今天，内部审计师面临着的挑战来自一系列的领域：

1、法规的遵循和操纵：评价和识不事件和流程，可持续性，资

源，定义重要性，优先级和财务报告风险。

2、内部审计价值和独立性：对内部审计的高度期望，内部操纵

问题的增加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的削弱。

3、舞弊：侦测和操纵，识不盗窃，舞弊治理责任，舞弊频率和

成本的增加。

4、可用的熟练审计资源：缺乏能胜任的和合适的熟练审计师，

审计师短缺，持续力，对风险和操纵缺乏理解。

5、技术：支持遵循的合适的解决方案，技术经营模型，信息安

全，信息技术优势，外部采购。

显然，必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。

一、连续审计

传统的内部审计所对操纵测试是一种向后看的周期性方式，通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、批准和调节的评价。现在，这种方式被视为一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计

是一种以更加频繁的方式来自动执行操纵和风险评估的方法。

技术是施行如此一种方法的关键。连续审计改变了审计模式，它将对交易样本的周期性测试变为对100％的样本进行连续性测试。它已在许多层次上已成了现代审计不可缺少的部分。它也应该紧密与治理行为（如行为监控，平衡计分卡和企业风险治理框架）结合在一起。

连续审计方式能让内部审计师完全理解关键操纵点、操纵规则和例外情况。通过对的自动化和经常性的分析，他们能够实时地或接近实时地执行操纵和风险评估。他们能从交易层面的异常和操纵缺陷和出现风险的数据驱动指标两方面来分析关键业务流程。最后，通过连续审计，分析结果将被整合进审计程序的所有方面，从制定和维持那个企业审计打算到开展和接着特定的审计。

二、连续审计/连续监控的必要性：整合法

按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注，将连续审计和连续监控结合在一起将是一种理想的方法。

连续监控治理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了治理层对评价内部操纵的充分性和有效性的责任。这包含识不操纵目标和保证声明（assurance assertion）以及建立自动化的测试程序来找出遵循失败的活动和交易。许多治理层实施的对操

纵的连续监控技术与内部审计师执行连续审计所用技术类似。

治理层使用连续监控程序，结合内部审计师执行的连续审计，能够满足对操纵程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。

对组织的一种重要的额外好处是错误和舞弊事件的显著减少，经营效率也得到了提高，线下项目（bottom-line）的结果也通过成本的减少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发觉他们迅速地获得了投资回报。

商业和法规环境，以及出台的审计准则，驱使审计师和治理层更加有效地利用信息和数据分析技术，作为连续审计和连续监控的可行差不多因素之一。

三、内部审计和治理层的角色

治理层对评价风险和设计、实施、连续维护组织内部的操纵负有要紧责任。内部审计师的行为要对识不和评价由治理层实施的组织的风险治理系统和操纵的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和操纵系统，以及在诸如萨班斯法案等法规下，就治理层关怀的操纵状况的可靠性提供保证。理想的情况是，内部审计不是操纵监控流程的一部分，同时没有设计或维护这些操纵，从而能够使他们的独立性得以保持。