全球技术审计指南(第3号)-连续审计对保证、监控和

1、.：.； 1 -GLOBAL TECHNOLOGY AUDIT AUIDE全球技术审计指南第3号2005 年 9 月公布Continuous Auditing: Implications for Assurance,Monitoring, and Risk Assessment延续审计：对保证、监控和风险评价的意义AuthorDavid Coderre, Royal Canadian Mounted Police (RCMP)作者戴维德科德里加拿大皇家骑警Subject Matter ExpertsJohn G. Verver, ACL Services Ltd.Donald J. Warre

2、n, Center for Continuous Auditing, Rutgers主题专家约翰G沃沃ACL公司唐纳德J倭仁鲁特格斯大学，延续审计研讨中心湘潭大学商学院 阳杰译2006年11月*注：原指南附录部分由于篇幅限制，未加翻译作者程度有限，如有错误之处，请email到yang-jie1891163目录1 首席审计师简述11.1 延续审计21.2 延续审计/延续监控的必要性：整合法31.3 内部审计和管理层的角色41.4 延续审计的作用41.5 实施的问题52 导言62.1 延续审计：一个简史72.2 当今的审计环境82.3 COSO的企业风险管理ERM框架92.4 内部审计行为和管理层

3、的角色122.5 延续审计和监控的益处123 需求廓清的一些关键概念和术语143.1 延续审计的延续系统174 延续审计于延续保证和延续监控的关系184.1 延续保证184.2 延续监控194.3 延续审计205 延续审计的运用领域225.1 运用于延续控制评价245.2 运用于延续风险评价296 实施延续审计366.1 延续审计目的376.2 延续控制和风险评价的关系476.3 延续风险评价516.4 管理和报告结果536.5 挑战和其他要思索的要素57今天的法规环境下，首席审计师们都发现他们的部门变得越来越被为满足遵照要求的监控和内部控制测试所吞噬。但是，大多数的运营和财务审计行为保管下来

4、了。许多内部审计部门正借助技术来减轻负担，并提升效率和消费率，推进运营绩效。这份全球技术审计指南“延续审计：对保证、监控和风险评价的意义给首席审计师们提供关于如何实施一个理想的战略，结合延续审计和延续监控方案来应对这些挑战。ACL的数据分析技术和延续控制监控方案可以最好地提升审计实际，以满足当今对有效控制地高度要求。ACL可以协助 他证明适当的技术投资的益处，并且支持继续的遵照需求，添加运营效率，并对提高收益有协助 。第一部分 首席审计师简述对风险管理和控制系统的有效性进展及时和延续的保证的需求非常关键。组织频繁地暴露在艰苦错误、舞弊或者无效率下，这些会导致财务损失和风险晋级。一个变化的法规环

5、境，运营的全球化，市场方面要求改善运营的压力，以及快速变化的商业环境要求更加及时和延续地对正在运转的控制的有效性和风险程度正在降低作出保证。这些要求给首席审计师们和他们的职员不断添加压力。内部审计部门卷入遵照任务的程度继续添加，尤其是由于法规的缘由，例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关，还与内部审计师在评价内部控制的有效性、风险管理和治理流程中坚持独立性和客观性的才干才干有关。今天，内部审计师面临着的挑战一系列的领域：法规的遵照和控制：评价和识别事件和流程，可继续性，资源，定义重要性，优先级和财务报告风险。内部审计价值和独立性：对内部审计的高度期望，内部

6、控制问题的添加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的减弱。舞弊：侦测和控制，识别盗窃，舞弊管理责任，舞弊频率和本钱的添加。可用的熟练审计资源：缺乏能胜任的和适宜的熟练审计师，审计师短缺，继续力，对风险和控制缺乏了解。技术：支持遵照的适宜的处理方案，技术运营模型，信息平安，信息技术优势，外部采购。显然，必需求有一种新的、可以提供延续的、建立性的和划算的方法来处理这些问题。一、延续审计传统的内部审计所对控制测试是一种向后看的周期性方式，通常是在运营行为发生后的几个月后进展。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、同意和调理的评价。如今，这种方式被视为一种仅仅可以提供

7、内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对运营绩效和法规遵照的价值。延续审计是一种以更加频繁的方式动执行控制和风险评价的方法。技术是施行这样一种方法的关键。延续审计改动了审计方式，它将对买卖样本的周期性测试变为对100的样本进展延续性测试。它已在许多层次上已成了现代审计不可短少的部分。它也应该严密与管理行为如行为监控，平衡计分卡和企业风险管理框架结合在一同。延续审计方式能让内部审计师完全了解关键控制点、控制规那么和例外情况。经过对的自动化和经常性的分析，他们可以实时地或接近实时地执行控制和风险评价。他们能从买卖层面的异常和控制缺陷和出现风险的数据驱动目的两方面来分析关键业务

8、流程。最后，经过延续审计，分析结果将被整合进审计程序的一切方面，从制定和维持这个企业审计方案到开展和继续特定的审计。二、延续审计/延续监控的必要性：整合法按照首席审计师们对遵照努力的负担、资源的缺乏以及坚持审计独立的必要性的关注，将延续审计和延续监控结合在一同将是一种理想的方法。延续监控管理层设计的为保证政策、程序和业务流程能有效运转的程序。它指出了管理层对评价内部控制的充分性和有效性的责任。这包含识别控制目的和保证声明assurance assertion以及建立自动化的测试程序来找出遵照失败的活动和买卖。许多管理层实施的对控制的延续监控技术与内部审计师执行延续审计所用技术类似。管理层运用延

9、续监控程序，结合内部审计师执行的延续审计，可以满足对控制程序的有效性以及用于决策的信息的相关性和可靠性的保证需求。对组织的一种重要的额外益处是错误和舞弊事件的显著减少，运营效率也得到了提高，线下工程bottom-line的结果也经过本钱的减少和过度支付及收入走漏的减少得到改善。实施了延续审计和延续监控的组织通常会发现他们迅速地获得了投资报答。商业和法规环境，以及出台的审计准那么，驱使审计师和管理层更加有效地利用信息和数据分析技术，作为延续审计和延续监控的可行根本要素之一。三、内部审计和管理层的角色管理层对评价风险和设计、实施、延续维护组织内部的控制负有主要责任。内部审计师的行为要对识别和评价由

10、管理层实施的组织的风险管理系统和控制的有效性担任。审计师进展评价以给审计委员会和高层经理在风险的形状和控制系统，以及在诸如萨班斯法案等法规下，就管理层关怀的控制情况的可靠性提供保证。理想的情况是，内部审计不是控制监控流程的一部分，并且没有设计或维护这些控制，从而可以使他们的独立性得以坚持。虽然对内部控制的监控是一种管理职能，内部审计师行为可以运用和借助延续审计来强化整个组织的监控和评价环境。管理层事先执行的监控程度将直接影响审计师实施延续审计。在管理层曾经对某项内部控制进展延续监控的情况下，在延续审计时，一样层次的详细买卖测试就无需再进展。取而代之的是，审计师可以关注审计程序，来决议管理层监控

11、程序有效性，借助这种测试的结果来调整范围、数字和审计测试的频率。四、延续审计的作用延续审计的作用依赖于对对内部控制的延续性测试的智能性和有效性，及时提示控制缺口和薄弱环节存在的风险，并允许立刻的追踪和进展补救。经过改动他们的审计方式，审计师将可以更好地了解运营环境和公司风险以支持遵照和提高运营绩效。五、实施的问题首席审计师必需认识到延续审计将改动审计方式，包括证据的特征、时间、程序和内部审计师所需的努力程度。这将给审计部门提出要求，尤其是他们必需：获得和促成审计委员会和高级管理层支持这个概念并实施延续审计。开发和坚持技术方面的才干，以保证访问、操作和分析包含在相互分别系统中数据的才干。运用或实

12、施数据分析技术来支持审计工程，包括运用适宜的分析软件工具，开发和维护数据分析技术，以及审计组中的专家。发起、促进和鼓励管理层对延续审计的支持。保证延续审计被采用作为风险导向审计方案中完好的、相容的一部分。管理和回应延续审计的结果，决议适宜的运用、跟踪和报告机制。首席审计师将必需确保对审计发现报告的问题管理层曾经采取适宜的行动，延续审计的结果在管理层的评价时要被思索到，这些评价包括内部控制的监控，业绩评价和企业风险管理。这份国际内部审计师协会IIA的全球技术审计指南GTAG确定了那些必需求做，以有效利用技术来支持延续审计，突出需求进一步关注的领域。经过阅读和遵照下面列出的步骤，内部审计师应该处于

13、一个更好的位置来利用技术和最大化他们的投资报答，同时也要向管理层证明进展适当的技术投资的必要性不仅对影响他们组织的法规遵照的需求起作用，而且对整个组织的安康和竞争力起作用。第二部分 导言这份全球技术审计指南将着重延续审计的技术可行性方面，并且将引见：过去30年间运用的类似概念的历史和背景。相关的术语和技术的定义：延续审计，延续性风险评价，延续性控制评价，延续监控，延续性鉴证。延续审计与延续监控的关系。延续审计能在内部审计行为中运用的领域。与延续审计有关的挑战和机遇。对内部审计和首席审计师以及管理的影响。一个延续审计自我评价工具。 自1980年以来，许多的名词与实时或接近实时地提供延续审计程序的

14、概念有关系，包括：延续监控、延续控制评价、延续审计。这份全球审计指南首先一致运用“延续审计的概念。它论述了作为延续审计的主要组成部分的延续控制评价和延续风险评价。这份指南将监控行为视为管理层的责任，同时还论述了审计和监控的内在联络，以及内部审计师在他们的角色中如何提供额外的保证来支持管理。当前最显著的一个延续审计的推进力就是高昂的法规遵照本钱。在美国，一份2005年3月份的国际财务执行官组织调查发现，每个组织的萨班斯法案的平均遵照本钱超越了四百万美圆。由于绝大部分本钱都与手工的、员工密集型内部资源和外部顾问的运用有关。那么我们对2005年1月份AMR研讨机构所作的研讨发现关键技术可以用来减少的

15、遵照本钱超越25%就不会感到奇异了。遵照的压力迫使组织改良他们对内部控制进展延续评价的方法。在这种情况下，美国证券买卖委员会指出，“管理层和审计师必需运用合理的判别，在萨班斯法案404条款遵照流程中运用严密的TOP-DOWN、风险根底的方法。这就导致了对延续监控由管理层实施和延续审计的关注不断添加。支持一套完好的审计行为，延续审计不仅协助 支持对控制的保证，还包括风险评价，识别舞弊、浪费和滥用，审计方案，跟踪审计建议等审计行为。一、延续审计：一个简史自动控制测试开场于20世纪60年代，当时是经过安装和执行内嵌审计模块EAMs来实现的。但是，这些模块难以建立和维护，而且只是在相关的少数组织中运用

16、。在20世纪70年代后期，审计师开场离弃这种方法。到了20世纪80年代，审计职业中有些人开场接受并运用计算机辅助审计工具和技术CAATTs用于特殊的调查和分析。与此同时，延续监控的概念首先是经过大量的学术文章引见给审计师的。最根本的优点就是运用延续的自动化的数据分析将协助 审计师识别风险最高的领域，并作为决议他们的审计方案的先导。但是，在很大程度上，审计师们并没有对这种审计方法做好预备。他们缺乏容易访问的适宜软件工具，以及技术资源和专家来抑制数据访问的挑战，最重要的是，组织将能否支持这种新的与传统审计方法很不一致的审计方式和方法。在20世纪90年代，在全球审计职业界内，开场大范围的不断地接受数

17、据分析处理方案，这些处理方案被视为支持有效进展内部控制测试的关键工具。这些技术用于检查买卖中某些发生的事件，这些事件是由于某项控制不存在或没有适当地执行。它也可以识别与控制规范不符的买卖。此外，数据分析支持不是直接从买卖数据中获取证据的控制测试。例如，企业资源管理方案ERP访问和授权表格可以用来分析坚持适当的职责分别能否失效。但是，虽然有这些技术根底，传统审计程序通常依赖于典型的样本，而不是对总体进展评价，并且是在运营买卖行为发生一些时间后进展分析的。所以，风险和控制问题有大量的时机晋级，并对运营绩效产生消极的影响。二、当今的审计环境今天，运营环境中信息系统功能的普及使得审计师可以更加容易地访

18、问更加相关的信息，同时也包括对大量添加的数据和买卖的管理和评价。此外，运营的快节拍要求提升对控制问题识别和反响。在美国像萨班斯法案的404条款之类的法规要求及时披露控制的缺陷，管理层要对内部控制框架充分性作出保证。这些法规遵照的紧迫性、延续审计准那么、审计软件的功能提升，既促使而且可以让审计师采用新的方法来评价信息和评价控制。首席审计师必需给高层管理者提供对内部控制的安康运转和组织内的风险程度作出延续的评价，而不是简单的周期性的评价。今天的内部审计师不仅仅是对控制进展审计，他们还关注公司的风险特征，而且在识别风险领域来改善风险管理流程中发扬关键作用。但是，假设他们不完全了解运营流程和相关风险，

19、审计师只能仅仅执行传统的审计核对任务。延续审计给审计师提供了一个超脱传统审计方式的局限、样本的限制、撰写规范公告、实时评价的时机，延续审计的关键部分是可以在接近运营行为发生或者在运营行为发生的同时对买卖进展评价的延续审计模型。就像将第四部分中要详细讨论的一样，影响内部审计师运用延续审计方式的一个关键要素是管理层曾经实施了用于延续控制监控和识别控制缺陷和风险目的的系统的程度。延续审计丈量某些关键特征，一旦某项参数符合，将会触发审计师采取某种行为。在延续审计条件下，这里有两种主要的行为：延续控制评价：使审计师可以尽早关注控制的缺陷。延续风险评价：突出正在蒙受比期望风险更高的程序或系统。延续审计的行

20、为的频率取决于程序或系统的固有风险。此外，它可以从检查关键的控制和风险领域着手，在审计师获得阅历和可以获取与遵照、运营效率和效果、财务报告的公允性等方面的可丈量结果时，然后扩展延续审计运用领域的范围。三、COSO的企业风险管理ERM框架Treadway委员会下属的发起组织委员会COSO发布的企业风险管理整合框架鼓励内部审计师行为向管理层运营方式靠拢：控制环境、风险评价、信息与沟通、风险监控。COSO的ERM框架是原来的COSO内部控制框架的扩展。它添加了对内部控制的关注，并且对企业风险管理ERM进展了更加充分的广泛的论述。它的四个目的战略、运营、报告和遵照，给内部审计师添加了评价内部控制系统、

21、识别和评价风险的压力。要完成这些义务，内部审计必需改动它的传统的角色，向关注公司目的、战略、风险管理和业务流程、关键控制行为转变。延续审计关注的不单单是对控制和法规的遵照，而更注重改良组织的运营效率。延续审计同时还必需经过识别和评价风险以及给管理层提供信息对整个组织的改良作出奉献，以更好地顺应变化的商业环境。它将在一切的COSO企业风险管理组成部分方面给内部审计以协助 。内部环境和目的设置：经过正式确定延续审计的目的和内部审计的角色。事项识别：经过开发一个系统来识别和报告事项以及应对这些要挟和机遇的程序。风险评价：经过分析和评价风险，思索能够性和影响，从而给决议如何管理风险提供根底。风险反响：

22、经过思索风险的种类和关键行为，经过开发数据驱动方法来评价和回应风险。控制行为：经过识别管理层和内部控制的角色；证明控制评价不是一年一次的行为，而是一个继续关注的行为；自动化这些控制测试程序，使之尽能够接近实时运转。信息和沟通：经过促进确保信息的准确性和关注事项的实时报告。监控和评价：经过提供独立的评价来支持由管理层实施的延续监控行为。图1：COSO企业风险管理框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风险反应风险评估事项识别目标制定内部环境合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风

23、险反应风险评估事项识别目标制定内部环境延续控制评价将允许内部审计师评价管理监控行为的充分性，并给审计委员会和高层管理员工提供控制正在有效运转以及组织可以快速改良出现的缺陷快速反响并及时矫正的独立保证。延续风险评价使审计师能识别正在出现的使公司处于风险的领域，将这些风险区分优先次序，以更加有效地分配有限的审计资源。但是，这些行为不能以任何方式妨碍管理层实施监控和管理风险的职能。监控和评价是COSO的企业风险管理作为一个有效控制框架的最后一个要素，也是一个组织朝继续改良所做努力的关键成分。延续监控包含管理层为保证政策、程序和运营流程都有效地运转，在适当位置设置的程序。它提出了管理层评价控制的充分性

24、和有效性的责任。这包含识别控制目的和保证认定，并建立自动化的测试程序将遵照相关控制目的和保证认定失败的买卖凸显出来。延续监控的许多技术与内部审计部门运用的延续审计技术是类似的。四、内部审计行为和管理层的角色为了践行管理者的角色，管理层对风险评价和内部控制的设计、实施和延续维护负有主要责任。内部审计行为，根据它对管理层和董事会的职责，他对识别和评价组织的由管理层实施的风险管理系统内部审计准那么2110和控制内部审计准那么2120的有效性负有责任。审计师和管理层之间的角色差别在于从事内部控制和风险评价任务时，各自对股东的责任的特征。审计师给股东提供保证效力；审计委员会和高层经理注重风险和控制系统的

25、形状；在法规方面，诸如萨班斯法案，以及管理层表现的对内部控制的关注的可靠性。理想上，审计师并不是流程的一部分，也不是来设计和坚持内部控制的，这样，审计师的客观性和独立性就能得以坚持。五、延续审计和监控的益处延续审计和监控由管理层实施的结果是类似的，都包含提示或警告，这些提示或警告指出了控制的缺陷或高风险程度。这些提示或警告可以按优先次序陈列，这取决于风险和控制缺陷的严重程度，这些提示或警告会分发给运营流程或运用系统的担保人，运营经理，审计师，高级财务经理，甚至法规制定者。管理层对这些提示的回应可以修补内部控制缺陷和立刻修正错误的买卖。审计师对这些警告的回应可以从立刻审计确认的内部控制系统到标志

26、一个领域以备未来审计。例如，对财务买卖的继续审计，当一个分类账凭证超出了给定限额，以及留有非正常关联账户的入口，测试能够给出一个提示。审计师的反响能够取决于这能否视为一个单一工程这个反响能够会是发送一个Email给这项买卖的当事人以得到相应的解释；也能够会视为一个系统的问题，对某个领域的财务审计能够情况良好。运用延续审计进展额外的测试来决议这些异常的特征可以回答诸如以下问题：日记账凭证是给暂记账户留有入口，而且没有在规定的时间内进展去除？日记账凭证能否给不正常的关联账户留有入口？受影响的账户能否能够会是诸如人工支配收益之类的舞弊？日记账凭证的数量和类型与往年相比能否有异常？个体之间登录系统时能

27、否做到了职责分别？我们能否应该提高或降低测试的规范？财务比率能否与公司的期望相符？近几年的收益趋势如何？这些趋势与公司的期望peer以及总体的经济环境如何匹配？延续审计协助 审计师评价管理层的监控功能的充分性。这让首席审计师能给审计委员会和高级管理层提供对控制系统运转的有效性作出保证，以及审计程序在识别和指出任何损害中发扬作用。延续审计还识别和评价风险领域，给审计师提供信息，审计师经过与管理层的沟通可以协助 管理层减轻风险。此外，他可以用于协助 制定年度审计方案，以将审计关注点和资源转向高风险领域。然而，延续审计最重要的优势之一在于它独立于所审计的业务和财务系统和管理层实施的监控。这能改善组织

28、的管理和控制框架，并提供一个审计师可以用来支持他们的独立评价和评价行为的机制。延续审计还面临着一些挑战。这些技术需求被了解和控制。内部审计师必需可以访问数据、软件工具和技术，以及拥有可以智能运用他们手头所掌握的大量的公司财务和非财务信息的必要知识。延续审计带来的机遇也对审计师和首席审计师提出了要求。第三部分 需求廓清的一些关键概念和术语曾经采取了各种尝试来鼓励审计师更好地运用电子信息，以改良内部审计行为的效率和效果。最近，多种术语曾经被用于这些尝试，同时也导致了职业界认识上的混乱。没有一个明晰的、通用的术语，那么将会很难提升这些尝试，胜利的能够性也会减少。因此，实施延续审计首先要做的就是给定和

29、传播一切相关术语的明晰的定义。了解与延续审计相关的术语的关键在于了解控制和风险是一个问题的两个方面。控制的存在是为了协助 降低风险；识别控制缺陷能凸显潜在的风险领域。相反，经过检查风险，审计师可以识别哪些地方需求控制和和控制没有发生作用。虽然对控制和风险的评价通常包含定量分析也包含定性分析，但是最大化的效率获取是于最大化地利用技术。对审计师的挑战是确保数据的利用和通用性，了解相关的业务流程和系统，最大化地运用自动化。所以，这份全球审计技术指南关注的是支撑继续审计的技术辅助程序。保证可以以为是第三方对事件形状的意见，这个事件是关于一个特定的买卖、业务或治理流程、风险或整个业务流程中的财务绩效的。

30、审计保证是对控制的充分性和有效性，信息的完好性作出的声明。管理层实施的继续控制监控是有效保证战略的中心部分，但是，审计师依然必需确保管理层的行为是充分的和有效的。延续保证的框架是结合内部审计师的独立性评价行为：控制的形状、组织内部的风险管理、评价管理监控功能的充分性。图2：延续保证的框架延续保证延续控制评价延续风险评价对延续监控的评价首席审计师必需保证一切的审计师、高级经理和审计委员会了解内部审计行为和管理层在使延续保证方程有效的角色和责任。以下的定义能够提供了额外的视角：1、延续审计是审计师为了在一个更继续、更频繁的根底上实施与审计相关的行为所采取的任何方法。它是一系列行为的结合体，这些行为

31、从延续控制评价延伸到延续风险评价。延续风险评价是关于控制风险结合体的一切行为。技术在识别例外和或异常、分析关键数据字段的方式、趋势分析、从开场到终了的明细买卖分析、控制测试和将组织的程序或系统根据不同的时点比较或与其他类似的单位比较等方面发扬着关键作用。2、延续控制评价是审计师采取的预备用来进展与内部控制相关的保证的行为。经过延续控制评价，经过识别控制缺陷和损害，审计师给审计委员会和高层经理提供关于控制能否正在恰当运转的保证。单个的买卖是经过一系列的控制规那么来进展监控的，以提供关于系统内部控制的保证，并强调例外情况。一系列定义良好的控制规那么在控制程序或系统没有按期望运转或遭到要挟时可以及早

32、地提供警告。内部审计需求执行延续控制评价行为的范围取决于管理层履行其关于延续监控的责任的程度。一个强有力的管理监控系统将减少审计师必需执行以对控制提供保证的详细测试数量。3、延续风险评价是审计师用来识别和评价风险程度的行为。延续风险评价经过检查趋势和比较在单个程序或系统里，与之过去的表现相比较，与企业内的其他的程序或系统相比来识别和评价风险程度。例如，消费线的表现可以和先前年度的结果相比较，就像是将一个企业的绩效与一切的其他企业相比较一样。这种比较可以较早地警示某个程序或系统审计主体的风险程度高于以前年度或其他主体。审计的反响也因风险的特征和程度而异。延续风险评价能运用于大范围的审计领域，来选

33、择访问点，来识别排除包含在审计方案中的特定的审计或单位，或触发对某个风险添加但缺乏足够解释的单位的审计。它也可以用来评价管理行为，来检查审计建议能否得到合理的贯彻，运营风险程度能否正在减少。4、延续监控是管理层为了确保政策、程序和业务流程可以有效运转而实施的一项程序。管理层识别关键控制点和实施自动化的测试来决议这些控制能否恰当运转。典型的继续监控程序包括在给定的运营流程领域内，借助一组控制规那么，自动测试一切的买卖和系统行为。监控通常是按天、周或月进展，这取决于当前的业务循环的特征。取决于特殊的控制规那么和相关测试和初始参数，某些买卖被标志为控制例外事项，且告知管理层。管理层监控也能够依托关键

34、绩效目的和其他绩效评价行为。对监控警报和提示作出回应并立刻修补控制缺陷和矫正问题买卖是管理层的责任。一、延续审计的延续系统延续审计协助 审计师识别和评价风险，还在组织中建立智能和动态阀值来回应变化。它也支持整个审计范围的风险识别和评价，协助 制定年度审计方案，以及确定某项特定审计的审计目的。因此，延续审计在很多层面上可以视为一个延续系统。同时，延续系统中的不同位置更加适宜不同的任务，在延续系统中当他执行不同的义务时还能够超越一个位置。对延续审计的关注从控制根底到风险根底见图3；分析性技术从对明细买卖的实时评价到对整个单位进展趋势分析以及与其他单位进展比较分析，并且随着时间进展。图3：延续审计的

35、延续系统延续审计延续控制评价延续风险评价方法控制根底 风险根底保证控制正在运转识别/评价风险财务控制 财务/运营控制关注点实时/详细买卖测试财务数据趋势/比较财务/运营数据分析技术控制保证 财务鉴证 舞弊/浪费/滥用 审计范围和目的 追踪审计记录 年度审计方案相关审计行为控制监控 业绩监控 平衡计分卡 全面质量管理 企业风险管理相关管理行为注1：在这个延续系统的“控制结尾，相关审计行为包括保证和财务鉴证审计。注2：延续系统的另一个结尾的审计行为包括经过风险评价支持审计工程来识别舞弊、浪费和滥用，并提交年度审计报告。注3：相关管理层行为包括延续控制监控，绩效监控，平衡计分卡，全面质量管理和企业风

36、险管理。延续审计是一个一致可以带来控制保证、风险评价、审计方案、数据分析以及其他审计工具、技术和科技结合在一同的一致构造或框架。它支持微观审计事项，例如明细买卖测试来评价控制的有效性；宏观审计方面，经过风险识别和评价来预备年度审计方案。它也能满足中观层面的需求，例如为个别审计开发审计工程。微观审计和宏观审计两个层次的主要区别在于两者信息需求的粒度不同：1、控制测试需求细节信息：需求深化买卖的源头层次。延续控制评价运用仔细制定的规那么和实时的或接近实时的，测试买卖对这些规那么的遵照情况。2、个别审计通常开场于年度审计方案中的风险识别，但运用更多的数据分析和其他技术如访问，自我控制评价，实地察看w

37、alkthrough，调查询卷来进一步定义风险的主要领域和风险评价的关注点和后续的审计行为。3、年度审计方案需求高层次的信息，能够是几年的价值数据，来建立风险要素，并将风险排序，设置审计方案开场的时间和目的。第四部分 延续审计与延续保证和延续监控的关系一、延续保证前文已提到，保证被描画为第三方对事件形状的意见。它通常包括三个方面：1、预备信息的个人或团体。2、运用这些信息来进展决策的个人或团体。3、客观存在的第三方。通常，保证被视为一项严厉的审计相关行为，通常具有财务方面的特征。但是其他的，诸如法律界也提供保证效力。审计保证是对控制的充分性和有效性以及信息的完好性发表意见。管理层对控制的延续监

38、控是有效保证战略的中心，但是，审计行为还必需保证管理层行为是充分和有效的。内部审计经过客观检查所获取的证据以提供对风险管理战略和实际，管理控制框架和实际，用于决策和报告的信息的保证效力。延续保证效力可以在审计师执行延续控制和风险评价如延续审计和评价管理层实施的延续监控行为的充分性时提供。审计师检查管理层的行为，证明控制都在运转，提出改良建议，确保风险正在被控制。假设审计师在执行诸如检查和证明控制和风险，确保管理层正在进展监控任务，那么组织将有一个对控制正在运转，风险正被控制，用于决策的信息具有完好性的高层次的保证。管理层在这个保证方程assurance equation中起着开发、设计和监控控

39、制和控制风险的作用。二、延续监控延续监控是管理层设置的用于确保政策、程序和运营流程都在有效运转的程序。评价控制的充分性和有效性通常是管理层的责任。许多管理层运用的用于对控制的延续监控技术与内部审计师进展延续审计所用技术类似。延续监控的原那么比较简单，它包含以下几个方面：1、在一个给定的运营流程中定义控制点，假设能够的话可参照COSO的企业风险管理框架。2、对每个控制点识别控制目的和保证声明。3、建立一系列的自动化的测试，以指出某项买卖能否没有遵照一切的相关控制目的和保证声明。4、在接近买卖发生的同时，将一切的买卖进展测试。5、调查没有经过控制测试的一切买卖。6、假设适宜的话，可以更正这项买卖。

40、7、假设适宜的话，更正控制薄弱环节。延续监控的关键是这些程序必需由管理层掌控并由管理层来执行，由于实施和坚持有效控制系统是其职责的一部分。既然管理层对内部控制负有责任，那么它就必需有一个延续的决议控制能否按设计在运转的方法。经过实时地识别和更正控制的问题，整个的控制系统将得以改善。组织得到的一个典型的额外的益处是错误和舞弊显著减少，运营的效率得到了提高，经过本钱的减少和过度支付overpayment和收入走漏的减少，从而使线下工程的结果得以改善。三、延续审计管理层监控和风险管理行为的充分性与审计师必需执行对内部控制的详细测试和风险评价的程度，它们之间存在这一个反比的关系。延续审计运用的方法和任

41、务量取决于管理层实施的延续监控行为的程度。图4：反比关系：管理层付出的努力程度与审计行为对内部控制的完全监控对内部控制的完全监控对内部控制的少量监控减少任务量显著的努力/更多的资源审计任务量管理层反响在管理层还没有实施延续监控的地方，审计师必需借助延续审计技术进展详细测试。在某些情况下，审计师甚至能够自动来协助 组织建立风险管理和控制评价程序见国际内部审计协会实务报告2100-4：审计师在一个没有风险管理程序组织中的作用。但是，要留意的是审计师对这些程序中并不拥有一切者权，由于这会损害审计师的独立性和客观性。图5：延续审计、监控和保证概念框架延续保证延续保证延续审计和延续监控程序的结果延续监控

42、审计测试延续审计审计延续监控管理行为、买卖和事件运营系统和流程管理层全面地在运营流程领域中从头到尾地实施延续监控，内部审计师就无需执行同样的详细测试来进展延续审计。但是，审计师必需执行其他的程序来决议他们能否可以依赖这个延续监控程序。这些程序包括：1、评价侦测到的异常和管理层的反响。2、评价和测试延续监控程序本身的控制，例如： 1处置日志/审计轨迹 2调理总额控制control total reconciliations 3系统测试参数的变化通常，这些程序与那些在正常审计程序中为确保计算机辅助审计技术被正确运用的质量控制测试是类似的。经过结合评价监控和延续审计程序，审计师可以提供关于内部控制有

43、效性的保证。第五部分 延续审计的运用领域对内部审计部门而言所面临的压力是以较少的资源做更多的事情。也许最困难的挑战于审计师必需对内部控制的有效性及时作出保证，更好地识别和评价风险程度，快速找出没有遵照相关法规和政策的事项。这些就是延续审计可以运用的领域。适用技术，从电子表格软件或脚本开发运用特种审计软件scripts developed using audit-specific software到商品化的专业处理方案软件包或客户自行开发的系统。这些选择的处理方案必需是灵敏的可晋级的，允许审计师从某个特定的领域开场，然后扩展范围、规模和分析的频率。虽然一些法定审计需求每年进展一次，但是每年严厉执

44、行这些审计已不能满足管理和法规的需求。内部审计行为必需运用风险评价和进展控制保证行为。虽然需求更加关注财务方面的审计，延续审计支持一切类型和领域的审计行为。欧洲联邦内部审计机构ECIIA在2005年意见书中，鼓励内部审计师经过给管理层提供的关于风险曾经被识别并且得到恰当的控制的保证，对组织面临的风险作出反响。审计师不仅必需可以评价财务风险，而且要可以评价运营风险和战略风险。这是继续审计所关注的新领域。用于测试控制的信息访问技术和技术技艺也可以协助 首席审计师经过支持继续的评价企业风险管理有效性的评价行为和对一些警告提出改良建议，从而给管理层提供价值无法估量的协助 ， 首席审计师经过给高层管理员

45、工提供独立的风险和控制评价来支持其监控职能。延续审计有一系列的功能来支持审计行为，首席审计师，经过以下的适用方法和效力，包括：1、风险管理战略和实际：经过及早识别风险。2、管理控制框架的可靠性：经过找出控制薄弱环节。3、用于决策的信息：经过检查管理者运用的信息的可靠性和可获取性。4、包含在年度审计方案中审计工程的选择：经过识别更高风险领域。5、实施有效的和及时的矫正行为：经过检验审计建议的执行情况。首席审计师必需认识到许多的管理行为与延续审计有很强的联络，例如整合风险管理、平衡计分卡、延续改良、延续监控。审计必需决议那些地方适宜延续审计，它如何能用于评价这些管理措施行为或者利用它们所产生的信息

46、。实施延续审计框架的期望益处包括：1、添加减轻风险的才干。2、减少评价内部控制的本钱。3、添加对财务结果的自信心。4、财务运营的改善。5、减少财务错误和潜在的舞弊。此外，完全运用了延续审计的组织，通常会报告运营本钱的减少和边沿利润的添加。一、运用于延续控制评价一识别控制缺陷由于新的法规需求高层管理者证明控制环境的有效性，以及财务报告中所含信息的准确性，首席执行官和首席财务官开场内部审计行为来辅助遵照这些法规。虽然管理层对监控、设计和维持控制负有责任以备广泛认可，国际内部审计准那么2120号，A1节指出内部审计行为“应该经过评价内部控制的有效性和效率性，以及促进继续改良来辅助组织坚持有效的控制。

47、由于这些外部和内部的压力，特别是在一些管理层没有恰当发扬其监控角色的作用，审计师通常需求执行一个更加全面的评价和提供更加延续的控制评价。这对内部审计流程和方法有显著的影响。延续控制评价给让首席审计师清楚地看到内部控制系统的有效性。反过来，给财务经理，运营流程管理这和风险及遵照经理提供对内部控制的独立的和及时的保证。对关于内部控制买卖数据的延续控制评价可以迅速找出错误和异常，将它们报告给管理层，以及时进展检查和采取行动。它也能对财务和运营信息的可靠性和完好性，营运的效率和效果起作用。延续控制评价还可以对延续的风险评价和管理层减轻风险的行为起作用。控制和风险的评价是相互补充、相互支持。以下的一个关

48、于内部审计中运用延续控制评价在财务控制、系统控制和平安控制等三个领域来支持管理层监控功能。二财务控制：以采购卡工程为例一个全国性的采购卡管理员手工操作，每个季度只能对买卖的极小样本进展评价。审计师决议管理层的对于采购的控制是薄弱的，那么暴显露来的风险能否相当的高。在评价采购卡运用的政策后，审计师进展一系列的分析测试来识别：1、不恰当的采购卡运用，包括与游览支出有关的买卖。2、用于个人工程的支付如珠宝、酒，等等。3、可疑买卖如未经授权的持卡人运用，销售商反复刷卡，分次付款以防止超越财务限额，等等。分析的结果将提交给持卡者的经理，以对这些可疑买卖进展详细审查将采购卡的支出与商品采购相匹配。这识别出

49、许多的不恰当的采购和以上三种类型的舞弊。在审计完成后，延续控制评价运用测试就转向采购卡协调员，来协助 运营经理每个月对采购卡控制的监控。三系统控制：以职责分别为例延续控制评价测试也可以用来证明系统能否按期望值在起作用。运用分析技术，测试程序可以比较个别买卖和规那么根底规范，对一切的买卖进展评价以确保个体没有执行不相容的职责。在一个组织内，新实施一个ERP系统，目的是用自动控制替代手工控制来确保职责的分别。ERP工程小组，经过业主的投入，开发一系列基于运用者角色的特征配置，这就允许运用者可以根据本人的任务职责来处置各式各样的业务。虽然审计师置信在开发基于角色的特征配置中的方法和程序，他们关怀实践

50、分配给运用者的特征配置，然后对买卖进展详细检查，以检查哪些些地方职责分别没有得到坚持。审计师抽出当年第一季度的一切处置的买卖，然后利用数据分析技术来计算每个运用者处置过的买卖经过买卖类型。这发现两个运用者首先建立采购安排，然后记录一样采购安排的货物接受买卖。结果阐明在基于角色的特征配置的设计中职责分别控制是薄弱的，由于这些是被视为不相容的职责。由于ERP系统阅历了额外的变化例如，添加新的角色和改动现有角色运转延续控制评价测试来证明没有违反职责分别的情况。四平安控制：以系统登录日志为例延续控制评价可以测试平安控制，证明一切的系统运用者都是有效的员工，防止有企图者侵入系统。在另一个组织的例子中，每

51、周系统登录日志被抽取出来，然后送交内部审计部门。审计师抽取相关信息并将每个运用者与当前的员工管理文件相匹配。一切的非员工运用者被标志出来，然后一封邮件将自动发送给系统平安部门，让其废除该运用者的身份ID。此外，测试还检查失败的登录日志。经过检查发现一例在早上三点一个运用者ID有25次经过拨号登录失败。审计师经过这份报告来证明将登录参数改为在诸如这类运用者的ID在尝试登录失败3次后将此ID锁定是正确的。延续控制评价的潜在运用现实上是无限的。无论哪里暴显露问题，内部审计师都可以进展一项测试或一系列的分析程序来搜索某人试图利用控制缺口或薄弱环节的证据。在某些情况下，控制暴显露来的问题，包括潜在的舞弊

52、、浪费和滥用。这些测试的频率和时间取决于潜在的运营风险和控制框架和管理监控功能的充分性。五舞弊、浪费和滥用国际内部审计准那么1210号第A2节要求审计师对舞弊的信号拥有足够的知识。第A3节也需求审计师对关键信息技术风险、控制和可利用技术来开展他们任务的知识。运用技术来支持延续控制评价可以协助 审计师检查详细买卖，也包括汇总数据，识别异常和其他的舞弊、浪费和滥用信号。例如，利用数据分析技术，审计师可以容易识别那些地方超越了合约的授权如合约超越了给个人规定的合同限额和被逃避avoid如撕毁合约。在工薪领域，它可以被用来识别薪水册上的员工非员工数据库中的员工或者识别薪金中的不正常比率。由于舞弊很大程

53、度上是一种时机主义的犯罪，控制缺口和薄弱环节必需被找出来，假设能够的话，甚至消除它或者减少它。广泛运用的审计指南和准那么已直接地提到了对这种暴露问题的关注。例如，国际内部审计准那么实务公告1210号第A2-1节：识别舞弊，第A2-2节：舞弊侦测的责任，需求审计师对能够的舞弊拥有充分的知识以识别它们的征兆。审计师必需认识到它会出什么问题，它怎样能出问题以及谁会牵涉其中。美国注册会计师协会公布的审计规范的公告第99号SAS No.99“思索财务报告审计中的舞弊也是出台来协助 审计师侦测舞弊的。它比SAS No.82更进一步，它包含的新的规定包括：1、集体讨论舞弊的风险。2、强调添加职业疑心。3、确

54、保管理者认识到舞弊。4、运用各种分析程序。5、侦测管理层践踏内部控制的情况。它也定义了舞弊财务报表和盗窃的风险要素，这可以被用来作为评价舞弊财务报告风险的模型。在SAS No.99 中列出来的风险要素包括：管理层情况、竞争和运营环境、运营和财务的稳定性。六结论和建议延续控制评价技术能够类似于管理层实施的延续监控技术。在内部审计师可以依赖管理层实施的延续监控的地方，而无需采用一样层次的细节延续控制评价技术。取而代之的是，审计师可以关注执行其他的程序来提供延续的关于管理层的延续监控程序的保证。但是，当管理层监控不充分时，审计师应该借助延续控制评价技术来执行详细测试以评价控制的充分性。经过智能运用分

55、析技术，审计师可以评价内部控制框架的充分性，给审计委员会和高层经理提供独立的保证。延续控制评价并不需求在实时运转。分析的频率取决于风险程度和管理层监控控制的程度。例如，采购卡分析能够每月运转一次在信誉卡公司收到采购卡买卖时进展。薪金可以在每个付款周期运用，在支票出具之前进展。对发票副本duplicate invoice的测试可以每天进展。在某些情况下，审计师能够执行初始的控制测试，然后将延续监控移交给管理层。额外的运用延续控制评价的例子包括：1、检查买卖数据：如标志一切的严重超出采购卡的限额，包含有制止采购商品的采购卡破费。2、检查汇总数据：如当月的持卡者消费汇总超越$10.000的情况和持卡

56、人不在采购部门中的情况。3、借助比较分析：如汇总加班报酬然后与一切的其他在一样工种和层次的员工相比，以识别潜在的滥用加班过量的、未经授权的，等等。4、测试总分类账户总发生额：如找出那些与上年相比金额超越25的账户，识别不正常的行为，如销账的添加。在一切的情况下，审计师可以快速检查一切的详细买卖来发现缘由，然后快速地、容易地执行所需的后续任务。二、运用于延续风险评价管理层负有开发和维持一个系统来识别和减轻风险的责任，国际内部审计准那么2110号指出，审计师应该经过识别和评价艰苦的暴露在风险下的工程来协助 组织，并在改良风险管理和控制系统中发扬作用。国际内部审计准那么2021号鼓励首席审计师建立风

57、险根底的方案来决议内部审计行为的优先次序，以与组织的目的相一致。这两项行为是相关的，审计师可以利用延续风险评价来识别和评价风险程度的变化。这允许他们评价管理层的减轻风险行为，支持制定个别审计目的和年度审计方案。延续风险评价可以延续地用来识别和评价风险。它不仅经过丈量某个买卖点，还经过运用经过比较分析法来进展买卖的总体分析来完成这些任务。经过这种方式的比较，审计师可以经过衡量许多方面的可变性来检查流程的一致性。在运营中，例如，检查一些缺陷的可变性是测试消费线协调的一种方法。控制缺陷数量的可变性越大，消费线的合理性和功能的协调性就越要得到关注。一样的前提可以很容易经过检查变量如调整主体的数字和美圆

58、价值来运用于丈量财务系统的完好性。可变性的概念是延续风险评价与内嵌审计模块和例外报告的关键区分要素。经过执行延续风险评价，首席审计师可以运用更加具有战略性的背景来制定审计方案，在风险变化时为使审计方案在整个年度都能坚持最近的形状进展延续调整，并且分配稀缺资源，将高度熟练的审计资源分配到组织内高暴显露最高风险的地方。延续风险评价还可以找出一些要么没有控制要么这些控制没有充分地执行的地方，协助 审计师在特定领域执行延续控制评价。因此，延续风险评价不仅对审计方案有协助 ，而且对延续控制评价也是起作用的。举例：基于风险选择审计点在全国拥有超越1100家零售商店，ABC食品的内部审计部门需求一个高效率和

59、高效果的方式来选择单个商店审计。在过去，审计师试图至少每年要对每家商店访问一次来执行遵照根底审计。但是，这不是一项有效确实定真正风险领域的方式。首席审计师需求一个可信任的风险评价方案，经过数据驱动规范，可以不用每年访问这些商店，而且能对一切的1100家商店提供保证。延续风险评价用于建立必要的分析程序，如报告存货损失和熟练员工的营业额。如今，内部审计师小组可以快速指出风险程度最高的商店，并制定出一个更加及时、效果好和效率高的方法。一制定审计方案与传统的审计方案根据规范的循环如一年、两年、三年的比率进展相比而言，企业运营过程中审计的频率更应该基于风险要素。最高层次的延续风险评价支持制定审计方案，允

60、许数据驱动识别和评价风险目的。它不仅支持建立审计总体，而且支持搜集定量化的数据，而且，让内部审计部门优先关注公司内部的高风险领域，将适当的资源分配到新的和变化的领域。第一步是定义审计行为的范围和覆盖面的程度，然后利用从不同系统如财务、人力资源和运营信息系统中获取的数据来确定艰苦性和风险目的。在艰苦性方面，一种方式是参照规模类似的企业虽然风险目的还能够要思索一个单位与另一个单位的复杂性。延续风险评价应该还要包括对管理层监控职能的评价，包括业绩评价、质量控制和职责分别。举例：制定审计方案建立ABC公司的风险根底审计方案需求建立一个审计域audit universe，并界定被审计单位；搜集和分析量化