连续审计应用探讨

    【摘要】? 连续审计的有效使用受到技术发展的制约,其顺利实施需要更强大的处理器、更快的通讯、更安全的信息系统等技术。根据目前的技术发展,连续审计并不适应所有的组织和企业,连续审计的应用要求自动化流程、系统之间的有效连接、可靠的系统、审计师的胜任能力等基础条件。文章主要对连续审计的应用技术、适用对象与应用条件、应用实施步骤等相关问题进行了探讨。

    【关键词】? 连续审计;技术;应用条件;实施

    【中图分类号】? F239? 【文献标识码】? A? 【文章编号】? 1002-5812(2019)09-0038-04

    美国注册会计师协会和加拿大特许会计师协会于1999年联合完成研究报告《连续审计》之后,国际内部审计师协会也分别于2003年、2005年发布研究报告《连续审计:内部审计师的潜力》和《连续审计:内部审计师的操作模型》,这些研究探讨了信息技术发展对内部审计的影响,以及如何顺应形势,积极发展连续审计等问题。尽管我国对连续审计的研究起步较晚,但发展较快,方兴未艾。本文拟对连续审计的应用技术、适用对象与应用条件、连续审计的应用实施步骤等相关问题进行初步探讨。

    一、连续审计应用技术

    (一)计算机辅助审计工具与技术

    计算机辅助审计工具与技术对连续审计非常重要,为了鉴证实时会计系统正产生可靠的和可信的财务信息,控制测试必须与实质性的交易性测试同时进行(Rezaee,2001)。有不同的工具和技术(购买的软件包,或者是审计师设计的程序)帮助交易和内部控制的分析,并要求执行不同的任务,这些工具和技术常常被称为计算机辅助审计工具与技术。根据SAICA制定的工作手册,计算机辅助审计工具与技术能在许多审计程序里被使用,包括交易细节测试、分析性程序、通用控制测试、抽样程序、应用控制测试、由会计系统重复执行的计算。交易详细性测试、重新执行会计计算等与分析性程序相关,通用控制测试和应用控制测试与测试内部控制和评估风险相关。抽样程序、提取数据等可能在每种情况下都会使用。

    (二)嵌入审计模块

    嵌入审计模块是在应用程序的原代码内插入审计规则的审计相关方法。通过鉴别和标记满足预先设定标准的交易进行审计处理,它们被设计成连续地监控关键事项,然后对结果进行报告。嵌入审计模块高度自动化,并且运行中干涉较少,测试控制的方法是检查交易是否根据程序和政策来处理(Cerullo,2003)。Braun(2003)研究了嵌入审计模块方法的使用,该方法是在数据库环境下捕获关于例外和关于对预先定义数据访问的违规操作等方面的信息。使用这种技术,违规和例外信息能够在实时的基础上被捕获,测试的范围可能会减少。为了使嵌入审计模块方法可行,审计师必须了解应用程序和数据库环境,需要用户的合作,有稳定的硬件和软件环境去实施。

    当然,连续审计实施也需要其他相关技术的发展,如,神经网络技术(Cerullo,2010)、人工智能技术(Murthy,2008)、数字代理技术(Kogan,2006)、XBRL技术(Bovee,2005)等。

    二、连续审计的适用对象与应用条件

    (一)连续审计的适用对象

    根据目前连续审计技术的发展来看,连续审计并不适用所有的组织和企业,也不可能是所有审计项目的最好解决方案。Ronald(2007)认为,现金支付工资处理、差旅和招待费制度遵循、采购事项、账户管理、银行出纳现金异常波动等可以使用连续审计技术。M.Lehmann(2010)认为,对应付账款使用连续审计来发现浪费、欺诈或者滥用效果非常明显,同时指出连续审计仅仅应用到传统领域无法充分发挥其潜力,应该应用到其他的非交易性的但有较大风险的活动中,例如不断变化的市场分析和需要个人广泛运用判断的领域。Boccasam(2003)通过实例研究发现,使用连续审计监控工具,审计师能够发现不相容职责冲突、关键的企业系统控制的改变、未授权的执行交易等问题。由于连续审计的应用受到较多条件的限制,目前的应用领域还比较有限,主要集中在针对会计账户和内部控制两个方面。尽管这些对连续审计应用领域的研究还是理论上的,但也具有探索性的意义,有助于为连续审计实施指明方向。

    (二)连续审计的应用条件

    连续审计的应用条件包括自动化流程、系统之间的有效连接、可靠的系统、审计师的胜任能力等要求。

    1.自动化流程。Alles et al(2008)认为,审计程序自动化是连续审计的必要和充分条件,并从审计自动化的驱动因素和目标,再造审计流程,自动化审计结构,自动化审计证据的处理、评估和整合,审计自动化软件,审計自动化的扩展性等方面进行了深入讨论,认为只有这些方面充分自动化后,才能真正获得理想的连续审计。Shields(1998)认为,实施连续审计存在很多技术上的困难,主要一点就是确保连续审计流程是高度自动化的。Murthy(2004)提出的必要条件包括:(1)提供可靠审计证据的自动化程序;(2)审计对象必须是可以电子化访问。近年来,随着信息技术的不断发展,新的技术与方法不断创新,高度自动化的连续审计流程可望实现。

    2.系统之间的有效连接。Shields(1998)认为,连续审计的关键要求是审计单位的系统和被审计单位的系统之间保持有效的连接,确保快速、准确和安全的审计指令和结果的传输。阚京华(2007)认为,连续审计实施条件是有效的通讯连接。在连续审计过程中,指令启动、数据的获取、例外报告的产生等活动随时都有可能发生,被审计单位和审计单位之间需要安全、准确和快速地进行数据与信息的交流,两个系统进行有效的连接是顺利进行连续审计不可或缺的必要条件。

    3.可靠的系统。Zhao(2004)认为,实施连续审计必须满足可用性、安全性、完整性、可维护性等特征。Murthy(2004)认为,高度可靠的客户系统,能够在一个实时的基础上给审计师提供必要的信息。Shields(1998)认为,被审计的信息必须通过可靠的系统产生。根据AICPA和CICA(1999)的研究,连续审计必须在有效的系统里运行才能保障其实施效果,这些系统应满足可靠性、安全性、整合性、持久性特征。只有通过可靠的系统产生的信息,其质量才有保障,这也是连续审计有效的基本前提。

    4.审计师的胜任能力。审计师必须有能力完成必要的任务,能够理解实际的流程怎样运作等。Murthy(2004)认为,审计师必须非常精通信息系统、计算机技术和熟悉审计主题。由于连续审计系统本身有着复杂的结构,对信息技术有比较高的要求,这意味着审计人员不仅要熟悉审计与财务知识,还要精通各种不同的信息技术,这对审计师的胜任能力提出了更高的要求。

    当然除了上述条件之外,还有很多其他的条件也受到了学者的关注。如最高级别的领导必须支持连续审计(Murthy,2004),必须在及时的基础上可以获得准确的和可理解的审计师报告(Shields,1998),能够很容易分析并有明确定义和格式化的数据(Vinita,2007),审计工具能够被整合到一个主体的系统里(Zhao,2004),解决好连续审计影响审计师客观性和独立性问题(Carlos,2008)等。

    三、连续审计的应用实施步骤

    连续审计的应用实施涉及的内容主要包括连续审计的应用实施准备、数据库的访问、对风险和控制的连续评估、对连续审计结果的报告等。

    (一)连续审计的应用实施准备

    1.明确审计任务。需要明确连续审计是用来测试组织的内部控制,还是度量和评估组织面临的各种风险,或者寻找和抑制舞弊等。

    2.确定审计测试范围。这主要是针对控制和风险两项要素而言,控制与风险问题与高级管理层采取的监控措施密切相关,如果审计师确定企业没有健全的内部控制和风险规避措施,无法值得充分信赖,那么,审计师就需要实施全面的内部控制与风险评估。

    3.协调数据访问权限。审计师首先需要明确审计部门将要对哪些业务数据进行访问,并合理判断那些关键的业务数据,然后与企业信息管理系统的利益相关方协调合作,以便达成访问权限合理分配的一致意见。在实施连续审计前,有必要与信息技术管理部门建立并保持紧密的合作关系,这主要是因为连续审计常常需要技术管理人员的帮助。审计师应意识到识别企业内部和外部数据资料的重要性。系统管理员、业务流程管理者、应用程序员对审计师来说都非常重要,与他们积极沟通交流有助于获得最佳信息来源,并能够帮助审计师确定重点审计范围。

    4.理解业务流程。主要方法有:(1)熟悉信息系统结构描述性文件,例如信息系统流程图、程序员操作手册、数据输入的对应副本、内部控制系统的解释性文件。(2)与信息系统开发程序员以及信息系统使用者进行面对面的沟通交流。(3)约谈企业业务流程管理者。(4)对企业呈报的标准报告以及以前发生的各种例外事项进行现场查阅。

    5.确认关键控制点以及相应风险。正如美国公众公司会计监管委员会第二号准则规定,审计师要合理运用风险评估,以便明确要进行哪些控制调查。

    (二)数据的访问与分析

    1.数据的访问与使用授权。连续审计的实施需要不断地访问和提取数据,如果无法得到企业数据访问权限,审计师可能会浪费大量时间和精力却无法完成任务。但随着信息技术的飞速发展,包括软件技术与硬件技术,对数据库的访问与数据提取已经不是主要的技术问题,并且在操作过程中,也不一定需要专业信息技术人员的全面参与。在多数情况下,访问数据库的阻力来自于企业管理层没有给予审计师进入企业管理信息系统的相应权限。因此,得到企业管理层的许可是获取数据库访问权限的基础条件。在实施连续审计之初,企业高级管理层应有相关文件规定审计师进入企业管理信息系统获取所需数据权限的范围。当审计师得到了管理层的授权以后,还需要保证数据和信息的实际提供者也已经知晓了权限要求,同时审计师也要保证在访问和提取业务数据的过程中,对企业管理信息系统的正常运行不会造成不利影响,并且使用的审计技术手段与企业信息技术环境没有冲突,能够相互兼容。

    2.访问数据。为了顺利应用实施连续审计,亦即连续地分析数据及对事项处理过程和结果进行连续跟踪,审计师对以各种电子形式储存的数据进行访问是必不可少的步骤。对数据和信息的访问方法与审计师对连续审计预定的目标相关,并同时需要关注数据数量、管理信息系统性能、网络流量的承受能力等因素。在具体实施连续审计的过程中,一般要求通过以下几种方法访问相关数据:(1)在企业管理信息系统中嵌入连续审计模块。(2)在获取企业管理信息系统数据访问权限后,利用连续审计应用程序提取和装载所需要应用的数据文件。(3)为了后续数据的处理与分析,利用电子格式储存标准报告的副本。(4)审计师经授权获取企业管理信息系统用户端的物理与逻辑登陆权限,并以只读形式登陆企业信息系统(James,2010)。这些方法可以结合使用,并且必须许可审计师及时实施连续审计程序,以便快速确认异常事项并报告审计结果。这些方法也应当允许审计师利用参数方法快速辨识异常事项,并对这些标识的例外情况采取进一步的行动。

    3.保证数据完整性。无论对传统审计的应用还是对连续审计的实施而言,数据的完整性都非常重要。审计师不仅要保证评估企业管理信息系统业务数据的完整性、数据分析的完整性,還要保证对结果解释的完整性。这里有一个值得考虑的重要问题,那就是在保证这种完整性的基础上,既不进行过度审计,也不要造成审计不足的局面。为避免这种问题的产生,审计师需要仔细考虑如何判断使用正确的检验测试次数,从而把审计风险降低到可接受水平。

    4.数据应用。审计师在确定企业关键业务系统,并获得对企业数据库系统访问授权,数据开始访问以及数据完整性得到检验以后,需要思考怎样应用这些数据。实施连续审计的一个主要目的就是要从整个企业的各种管理信息系统中提取数据并进行综合分析。例如,如果规定所有超过规定金额的物资采购都需要检验核实采购详单,但是由于采购的详细信息和付款数据资料是分散储存在不同的业务系统里,那么实施连续审计时,就需要结合采购订单发票与付款数据资料信息来检验规定金额以上的采购交易事项,从而测试这种内部控制的可靠性。

    (三)连续控制评估与连续风险评估

    1.连续控制评估。对企业业务流程以及财务报告的产生进行严密控制非常重要,审计师需要通过连续的控制评估以确保企业设立的控制是有效的。使用预先定义的控制测试进行单独的企业业务数据分析有助于实施连续控制评估活动。通常,这些测试以COSO框架为参考依据,审计师实施连续控制评估,需要仔细考察企业的经营环境、内部控制措施,以便识别其存在的、当前还不足以暴露企业风险的控制弱点,同时也需要仔细评估审查企业内部控制体系以保证其预定的功能。连续控制主要包括:

    (1)确定控制目标。利用信息系统审计的信息及相关技术的控制目标框架可以帮助审计师发现关键控制点。企业高级管理层应该支持审计师查明主要业务活动流程和其他业务关键流程,然后逐步明确相关的控制目标。例如,关于采购申请的业务流程控制类别应该包括请购、记录编辑、材料订购与修改等。

    (2)确定关键控制点。审计师需要对那些能够高效合理使用企业资源的内部控制措施予以高度关注。良好的内部控制措施对抑制欺诈舞弊、防止资源浪费具有重要的作用,但这些控制措施可能没有按照管理层的预期发挥应有的作用,或者由于企业内部和外部环境的变化已经变得不够充分。比如,当企业发生了新的资产并购,业务流程进行了重新设计,这些可能会对原有的内部控制造成不利影响甚至破坏。所以审计师应该清醒地认识到有些内部控制措施可能已经失效或者无法完全执行,审计师需要努力确定企业的关键控制点。

    (3)控制测试分析。审计师需要逐一分析各个控制目标。必须关注的问题是假如控制目标没有实现,那么数据也就失去了意义。为寻求适当的风险敞口,审计师需要设计和实施控制测试。例如,由于材料采购单申请需要经过适当的授权才能生效,并且必须遵守预先设定的限额等控制要求,所以需要开发设计测试程序,以便及时查明那些没有经过授权的材料请购单、那些没有资格授权的人予以授权的采购单,以及为了规避最高限额的限制而故意分成多份材料的请购单。

    2.连续风险评估。企业进行风险管理的主要目标是对企业的宏观战略、业务流程、技术能力等进行优化,并增强评估与管理企业运营中各种不确定性的能力,这些不确定性对企业战略目标的实现会造成不利影响,所以,风险管理对企业而言不可或缺。国际内部审计师协会第2110号准则规定,审计师应当帮助企业识别并评估风险敞口,审计师在计划阶段所实施的各种活动都需要以风险评估为重要基础。连续风险评估主要包括:

    (1)评估企业风险管理。在实施连续风险评估时要求审计师首先确定,企业的管理层是否已经计划和执行了风险管理活动。如果调查发现企业正在实施风险管理活动,那么审计师就必须考察企业是否充分和严格执行了这项活动。如果最终考察发现这项活动没有得到有效执行,审计师就需要从头开始进行连续风险评估,同时也需要更加严格的执行。2004年9月,美国反虚假财务报告委员会管理组织下属的发起组织委员会发布了《企业风险管理——整合框架》的最终文本,这对企业风险管理框架的评估具有很好的借鉴意义。

    (2)识别潜在风险。为了评估和度量企业的风险,审计师必须牢牢把握企业的战略目标、关键的业务目标等。同时,审计师也需要查明企业的运营业务流程中,什么地方有可能会发生非同寻常的例外事件,产生异常的不利结果。审计师必须清楚企业内外环境的改变,并分析这种变化对企业实现其目标所产生的各种影响。审计师需要认识到企业可能产生的风险范围,并需要警觉其潜在的不利影响。

    (3)确定风险敞口的不利后果。实施连续风险评估时需要关注风险的类别,一般而言,这些风险包括监管、法律、治理、战略、财务、人力资源、技术、信息等,对风险进行适当的分类有助于对风险的识别和评估。没有进行适当控制的风险会对组织的健全发展造成影响,风险分类能够帮助审计师聚焦于那些对实现企业业务目标产生不利影响的各种事件。风险对企业会产生各种不利后果,例如资财上的盗窃或者损失,企业关键数据的损坏或者敏感数据的丢失,这些风险需要引起审计师的高度关注。另外,即使审计师确定了企业所有的关键风险问题点,但是囿于及时处置这些风险的必要条件,也会导致风险敞口的持续存在。审计师除了需要不断识别和评估企业风险外,还需要理解企业的风险偏好、对待风险的态度,并按照一定的次序予以排定。

    (4)评估风险水平。风险水平有两个重要的衡量指标,即风险发生的可能性以及风险产生后果的严重性。风险发生的可能性是指导致企业利益发生损失的概率大小,风险产生后果的严重性是指企业发生利益损失的程度衡量。审计师对企业风险进行评估需要仔细审查各种内部控制制度,以便尽可能地减少和降低这些风险发生的概率和损失程度。

    (5)收集与分析数据。收集与分析数据是实施连续风险评估的最后一步,数据是指那些支撑企业的关键业务流程,以及有可能引发高风险的事项数据。审计师需要收集企业内不同级别层次的数据进行评估,并对可能产生的风险进行判断。企业领导层和信息技术部门负责人能够帮助审计师建立风险相关数据警示指标,对这些指标数据的测量不应太复杂,并且指標数据能够与风险层次相互对应。连续风险评估有助于当前制定的审计计划,特别是在确定审计项目的范围时会有所帮助。

    (四)管理和分析审计结果

    实施连续审计需要对详细的交易事项及其产生的数据进行实时的定期检验,其执行的频率与企业业务流程和系统的风险程度密切相关,另外还与企业管理层是否充分有效地实施了内部控制相关。关键的控制项目交易数据常常成为审计师实时分析的对象。执行连续审计测试的频率并没有标准的答案,一般而言,在控制审计成本的前提下,多实施总比少实施要好。对风险评估事项每月进行一次可能比较恰当,对物资采购的交易测试可能需要每周进行一次,而要求跟踪个人管理行为的测试最好每天都实施一次(Chan D,2011)。连续审计的一个好处是能够减少风险与控制评估的成本,这是因为程序自动化以后,测试的数量和频率很容易扩展。

    在审计师确定了连续审计执行的频率以后,还必须仔细考虑监管的要求,以及企业实施内部控制在多大程度上防止了风险问题的发生,并由此确定在什么程度上可以信赖连续审计实施,从而减少详细控制测试。为此,审计师需要评估以下因素:(1)企业具体的内部控制措施。(2)管理信息系统访问是否安全。(3)对控制产生的异常问题。(4)企业业务活动流程记录。(5)对企业具体业务活动测试参数的审计记录。当连续审计测试开始实施后,审计负责人需要复核审计结果,以便查明问题点。

    执行连续审计的一个主要难点在于控制异常交易以及对发现的风险进行有效应对。在第一次执行连续审计时,对许多异常交易事项必须进一步鉴别,以判断它们是否属于正常情况,若查明这些异常交易并不值得审计师额外关注,此时,就需要不断调整连续审计系统的各种测试参数,以便这些事项出现时不会连续地发出警报。在连续审计系统不断完善以后,审计师就可以更加信赖这个系统,并能够有效确定企业内部控制缺陷,以及值得关注的重大风险点。执行连续审计的过程中,如果发现了异常交易事项,则需要对它们进行排序以便采取进一步的行动,如果这些事项与管理部门有关,管理部门应该给出进一步行动的时间安排。审计师需要再一次执行连续审计活动,以便识别企业是否实施了控制弱点的补救措施。

    审计师必须清楚,执行连续审计程序时要尽量避免被人为操纵以及无效的分析,需要保证预先设定的指标能够对风险和控制的变化及时做出反映,并且不受其他方面的控制影响。连续审计活动也需要考虑安全和控制等方面,例如,企业的敏感信息需要保密,对审计阶段性的结果进行预览需要适当的授权和控制,不同测试参数和临界值的设定也需要进行控制。另外,因为连续审计能够审查控制弱点与风险敞口,并且识别欺诈行为,所以审计师需要保证访问测试的参数与结果都是安全的。恰当实施连续审计,有助于保障企业的内部控制制度,并能够有效管理和应对风险。实施连续审计需要保持一定的灵活性,要紧随企业内部和外部控制环境的变化而相应改变。审计师需要在一定时期后对连续审计实施的效率和效果进行检查,检查各种控制测试参数和临界值的设定是否合理,是否需要适度调高或调低。

    【主要参考文献】

    [ 1 ] Cerullo,M.V.,Cerullo,M.J.Impact of SAS no 94 on Computer Aided Audit Techniques[J].Information Systems Control Journal,2003,(01):66-78.

    [ 2 ] Rezaee Z,Sharbatoghlie A,Elam R,McMickle P.Continuous auditing: building automated auditing capability[J].Auditing J Pract Theory,2002,21(1):147-163.

    [ 3 ] Alles G,Kogan A,Vasarhelyi MA.Putting continuous auditing theory into practice:lessons from two pilot implementations[J].J Inf Syst,2008,22(2):195-214.

    [ 4 ] Ronald M.Hoffer,the value of continuous auditing[J].Internal Auditing,2007,(06):1-19.

    [ 5 ] Chan D,Vasarhelyi M.Innovation and practice of continuous auditing[J].Account Information System,2011,(12):152-160.

    【作者簡介】

    金治中,男,会计学博士,海南热带海洋学院,副教授;研究方向:会计理论、计算机审计。