连续审计：对保证、监控和风险评估的意义

1、GLOBAL TECHNOLOGY AUDIT AUIDE全球技术审计指南（第3号）（2005 年 9 月公布）Continuous Auditing: Implications for Assurance,Monitoring, and Risk Assessment连续审计：对保证、监控和风险评估的意义AuthorDavid Coderre, Royal Canadian Mounted Police (RCMP)作者戴维德科德里（加拿大皇家骑警）Subject Matter ExpertsJohn G. Verver, ACL Services Ltd.Donald J. Warren,

2、 Center for Continuous Auditing, Rutgers University主题专家约翰G沃沃（ACL公司）唐纳德J倭仁（鲁特格斯大学，连续审计研究中心）湘潭大学商学院 阳杰译（2006年11月）*注：原指南附录部分由于篇幅限制，未加翻译作者水平有限，如有错误之处，请email到yang-目录1 首席审计师简述11.1 连续审计21.2 连续审计/连续监控的必要性：整合法31.3 内部审计和治理层的角色41.4 连续审计的作用41.5 实施的问题52 导言62.1 连续审计：一个简史72.2 当今的审计环境82.3 COSO的企业风险治理（ERM）框架92.4 内部审

3、计行为和治理层的角色122.5 连续审计和监控的好处123 需要澄清的一些关键概念和术语143.1 连续审计的连续系统174 连续审计于连续保证和连续监控的关系184.1 连续保证184.2 连续监控194.3 连续审计205 连续审计的应用领域225.1 应用于连续操纵评估245.2 应用于连续风险评估296 实施连续审计366.1 连续审计目标376.2 连续操纵和风险评估的关系476.3 连续风险评估516.4 治理和报告结果536.5 挑战和其他要考虑的因素57今天的法规环境下，首席审计师们都发觉他们的部门变得越来越被为满足遵循要求的监控和内部操纵测试所吞噬。然而，大多数的运营和财务审

4、计行为保留下来了。许多内部审计部门正借助技术来减轻负担，并提升效率和生产率，推动经营绩效。这份全球技术审计指南“连续审计：对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略，结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续操纵监控方案能够最好地提升审计实践，以满足当今对有效操纵地高度要求。ACL能够关心你证明适当的技术投资的好处，同时支持持续的遵循需要，增加运营效率，并对提高收益有关心。第一部分 首席审计师简述对风险治理和操纵系统的有效性进行及时和连续的保证的需求特不关键。组织频繁地暴露在重大错误、舞弊或者无效率下，这些会导致财务损失和风险升级。一个

5、变化的法规环境，经营的全球化，市场方面要求改善经营的压力，以及快速变化的商业环境要求更加及时和连续地对正在运行的操纵的有效性和风险水平正在降低作出保证。这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加，尤其是由于法规的缘故，例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关，还与内部审计师在评价内部操纵的有效性、风险治理和治理流程中保持独立性和客观性的能力能力有关。今天，内部审计师面临着的挑战来自一系列的领域：法规的遵循和操纵：评价和识不事件和流程，可持续性，资源，定义重要性，优先级和财务报告风险。内部审计价值和独立性：对内部审计

6、的高度期望，内部操纵问题的增加，对内部审计角色可靠性和独立性的困惑，客观性和独立性的削弱。舞弊：侦测和操纵，识不盗窃，舞弊治理责任，舞弊频率和成本的增加。可用的熟练审计资源：缺乏能胜任的和合适的熟练审计师，审计师短缺，持续力，对风险和操纵缺乏理解。技术：支持遵循的合适的解决方案，技术经营模型，信息安全，信息技术优势，外部采购。显然，必须要有一种新的、能够提供连续的、建设性的和划算的方法来解决这些问题。一、连续审计传统的内部审计所对操纵测试是一种向后看的周期性方式，通常是在经营行为发生后的几个月后进行。测试程序也是基于抽样的方式，还包括一些诸如对政策、程序、批准和调节的评价。现在，这种方式被视为

7、一种仅仅能够提供内部审计师一个狭窄范围的评价的审计方法，通常由于太迟而是去了对经营绩效和法规遵循的价值。连续审计是一种以更加频繁的方式来自动执行操纵和风险评估的方法。技术是施行如此一种方法的关键。连续审计改变了审计模式，它将对交易样本的周期性测试变为对100的样本进行连续性测试。它已在许多层次上已成了现代审计不可缺少的部分。它也应该紧密与治理行为（如行为监控，平衡计分卡和企业风险治理框架）结合在一起。连续审计方式能让内部审计师完全理解关键操纵点、操纵规则和例外情况。通过对的自动化和经常性的分析，他们能够实时地或接近实时地执行操纵和风险评估。他们能从交易层面的异常和操纵缺陷和出现风险的数据驱动指

8、标两方面来分析关键业务流程。最后，通过连续审计，分析结果将被整合进审计程序的所有方面，从制定和维持那个企业审计打算到开展和接着特定的审计。二、连续审计/连续监控的必要性：整合法按照首席审计师们对遵循努力的负担、资源的缺乏以及保持审计独立的必要性的关注，将连续审计和连续监控结合在一起将是一种理想的方法。连续监控治理层设计的为保证政策、程序和业务流程能有效运行的程序。它指出了治理层对评价内部操纵的充分性和有效性的责任。这包含识不操纵目标和保证声明（assurance assertion）以及建立自动化的测试程序来找出遵循失败的活动和交易。许多治理层实施的对操纵的连续监控技术与内部审计师执行连续审计

9、所用技术类似。治理层使用连续监控程序，结合内部审计师执行的连续审计，能够满足对操纵程序的有效性以及用于决策的信息的相关性和可靠性的保证需要。对组织的一种重要的额外好处是错误和舞弊事件的显著减少，经营效率也得到了提高，线下项目（bottom-line）的结果也通过成本的减少和过度支付及收入泄漏的减少得到改善。实施了连续审计和连续监控的组织通常会发觉他们迅速地获得了投资回报。商业和法规环境，以及出台的审计准则，驱使审计师和治理层更加有效地利用信息和数据分析技术，作为连续审计和连续监控的可行差不多因素之一。三、内部审计和治理层的角色治理层对评价风险和设计、实施、连续维护组织内部的操纵负有要紧责任。内

10、部审计师的行为要对识不和评价由治理层实施的组织的风险治理系统和操纵的有效性负责。审计师进行评价以给审计委员会和高层经理在风险的状态和操纵系统，以及在诸如萨班斯法案等法规下，就治理层关怀的操纵状况的可靠性提供保证。理想的情况是，内部审计不是操纵监控流程的一部分，同时没有设计或维护这些操纵，从而能够使他们的独立性得以保持。尽管对内部操纵的监控是一种治理职能，内部审计师行为能够使用和借助连续审计来强化整个组织的监控和评价环境。治理层事先执行的监控水平将直接阻碍审计师实施连续审计。在治理层差不多对某项内部操纵进行连续监控的情况下，在连续审计时，相同层次的详细交易测试就无需再进行。取而代之的是，审计师能

11、够关注审计程序，来决定治理层监控程序有效性，借助这种测试的结果来调整范围、数字和审计测试的频率。四、连续审计的作用连续审计的作用依靠于对对内部操纵的连续性测试的智能性和有效性，及时提示操纵缺口和薄弱环节存在的风险，并同意立即的追踪和进行补救。通过改变他们的审计方式，审计师将能够更好地理解经营环境和公司风险以支持遵循和提高经营绩效。五、实施的问题首席审计师必须认识到连续审计将改变审计模式，包括证据的特征、时刻、程序和内部审计师所需的努力水平。这将给审计部门提出要求，尤其是他们必须：获得和促成审计委员会和高级治理层支持那个概念并实施连续审计。开发和保持技术方面的能力，以保证访问、操作和分析包含在相

12、互分离系统中数据的能力。使用（或实施）数据分析技术来支持审计项目，包括使用合适的分析软件工具，开发和维护数据分析技术，以及审计组中的专家。发起、促进和鼓舞治理层对连续审计的支持。保证连续审计被采纳作为风险导向审计打算中完整的、相容的一部分。治理和回应连续审计的结果，决定合适的使用、跟踪和报告机制。首席审计师将必须确保对审计发觉报告的问题治理层差不多采取合适的行动，连续审计的结果在治理层的评价时要被考虑到，这些评价包括内部操纵的监控，业绩评价和企业风险治理。这份国际内部审计师协会（IIA）的全球技术审计指南（GTAG）确定了那些必须要做，以有效利用技术来支持连续审计，突出需要进一步关注的领域。通

13、过阅读和遵照下面列出的步骤，内部审计师应该处于一个更好的位置来利用技术和最大化他们的投资回报，同时也要向治理层证明进行适当的技术投资的必要性不仅对阻碍他们组织的法规遵循的需要起作用，而且对整个组织的健康和竞争力起作用。第二部分 导言这份全球技术审计指南将着重连续审计的技术可行性方面，同时将介绍：过去30年间使用的类似概念的历史和背景。相关的术语和技术的定义：连续审计，连续性风险评估，连续性操纵评估，连续监控，连续性鉴证。连续审计与连续监控的关系。连续审计能在内部审计行为中应用的领域。与连续审计有关的挑战和机遇。对内部审计和首席审计师以及治理的阻碍。一个连续审计自我评估工具。 自1980年以来，

14、许多的名词与实时或接近实时地提供连续审计程序的概念有关系，包括：连续监控、连续操纵评估、连续审计。这份全球审计指南首先统一使用“连续审计”的概念。它论述了作为连续审计的要紧组成部分的连续操纵评估和连续风险评估。这份指南将监控行为视为治理层的责任，同时还论述了审计和监控的内在联系，以及内部审计师在他们的角色中如何提供额外的保证来支持治理。当前最显著的一个连续审计的推动力确实是高昂的法规遵循成本。在美国，一份2005年3月份的国际财务执行官组织调查发觉，每个组织的萨班斯法案的平均遵循成本超过了四百万美元。由于绝大部分成本都与手工的、职员密集型（内部资源和外部顾问的使用）有关。那么我们对2005年1

15、月份AMR研究机构所作的研究发觉关键技术能够用来减少的遵循成本超过25%就可不能感到惊奇了。遵循的压力迫使组织改进他们对内部操纵进行连续评价的方法。在这种情况下，美国证券交易委员会指出，“治理层和审计师必须运用合理的推断，在（萨班斯法案404条款）遵循流程中运用严密的（TOP-DOWN）、风险基础的方法”。这就导致了对连续监控（由治理层实施）和连续审计的关注不断增加。支持一套完整的审计行为，连续审计不仅关心支持对操纵的保证，还包括风险评估，识不舞弊、白费和滥用，审计打算，跟踪审计建议等审计行为。一、连续审计：一个简史自动操纵测试开始于20世纪60年代，当时是通过安装和执行内嵌审计模块（EAMs

16、）来实现的。然而，这些模块难以建立和维护，而且只是在相关的少数组织中使用。在20世纪70年代后期，审计师开始离弃这种方法。到了20世纪80年代，审计职业中有些人开始同意并使用计算机辅助审计工具和技术（CAATTs）用于专门的调查和分析。与此同时，连续监控的概念首先是通过大量的学术文章介绍给审计师的。最差不多的优点确实是使用连续的自动化的数据分析将关心审计师识不风险最高的领域，并作为决定他们的审计打算的先导。然而，在专门大程度上，审计师们并没有对这种审计方法做好预备。他们缺乏容易访问的合适软件工具，以及技术资源和专家来克服数据访问的挑战，最重要的是，组织将是否支持这种新的与传统审计方法专门不一致

17、的审计方式和方法。在20世纪90年代，在全球审计职业界内，开始大范围的不断地同意数据分析解决方案，这些解决方案被视为支持有效进行内部操纵测试的关键工具。这些技术用于检查交易中某些发生的事件，这些事件是由于某项操纵不存在或没有适当地执行。它也能够识不与操纵标准不符的交易。此外，数据分析支持不是直接从交易数据中猎取证据的操纵测试。例如，企业资源治理打算（ERP）访问和授权表格能够用来分析保持适当的职责分离是否失效。然而，尽管有这些技术基础，传统审计程序通常依靠于典型的样本，而不是对总体进行评价，同时是在经营（交易）行为发生一些时刻后进行分析的。因此，风险和操纵问题有大量的机会升级，并对经营绩效产生

18、消极的阻碍。二、当今的审计环境今天，经营环境中信息系统功能的普及使得审计师能够更加容易地访问更加相关的信息，同时也包括对大量增加的数据和交易的治理和评价。此外，经营的快节奏要求提升对操纵问题识不和反应。在美国像萨班斯法案的404条款之类的法规要求及时披露操纵的缺陷，治理层要对内部操纵框架充分性作出保证。这些法规遵循的紧迫性、连续审计准则、审计软件的功能提升，既促使而且能够让审计师采纳新的方法来评估信息和评价操纵。首席审计师必须给高层治理者提供对内部操纵的健康运行和组织内的风险水平作出连续的评价，而不是简单的周期性的评价。今天的内部审计师不仅仅是对操纵进行审计，他们还关注公司的风险特征，而且在识

19、不风险领域来改善风险治理流程中发挥关键作用。然而，假如他们不完全理解经营流程和相关风险，审计师只能仅仅执行传统的审计核查工作。连续审计给审计师提供了一个超脱传统审计方式的局限、样本的限制、撰写标准公告、实时评价的机会，连续审计的关键部分是能够在接近经营行为发生或者在经营行为发生的同时对交易进行评价的连续审计模型。就像将第四部分中要详细讨论的一样，阻碍内部审计师应用连续审计方式的一个关键因素是治理层差不多实施了用于连续操纵监控和识不操纵缺陷和风险指标的系统的程度。连续审计测量某些关键特征，一旦某项参数符合，将会触发审计师采取某种行为。在连续审计条件下，那个地点有两种要紧的行为：连续操纵评估：使审

20、计师能够尽早关注操纵的缺陷。连续风险评估：突出正在遭受比期望风险更高的程序或系统。连续审计的行为的频率取决于程序或系统的固有风险。此外，它能够从检查关键的操纵和风险领域着手，在审计师获得经验和能够猎取与遵循、经营效率和效果、财务报告的公允性等方面的可测量结果时，然后扩大连续审计应用领域的范围。三、COSO的企业风险治理（ERM）框架Treadway委员会下属的发起组织委员会（COSO）公布的企业风险治理整合框架鼓舞内部审计师行为向治理层经营方式靠拢：操纵环境、风险评估、信息与沟通、风险监控。COSO的ERM框架是原来的COSO内部操纵框架的扩展。它增加了对内部操纵的关注，同时对企业风险治理（E

21、RM）进行了更加充分的广泛的论述。它的四个目标策略、运营、报告和遵循，给内部审计师增加了评价内部操纵系统、识不和评估风险的压力。要完成这些任务，内部审计必须改变它的传统的角色，向关注公司目标、策略、风险治理和业务流程、关键操纵行为转变。连续审计关注的不单单是对操纵和法规的遵循，而更注重改进组织的经营效率。连续审计同时还必须通过识不和评估风险以及给治理层提供信息对整个组织的改进作出贡献，以更好地适应变化的商业环境。它将在所有的COSO企业风险治理组成部分方面给内部审计以关心。内部环境和目标设置：通过正式确定连续审计的目标和内部审计的角色。事项识不：通过开发一个系统来识不和报告事项以及应对这些威胁

22、和机遇的程序。风险评估：通过分析和评估风险，考虑可能性和阻碍，从而给决定如何治理风险提供基础。风险反应：通过考虑风险的种类和关键行为，通过开发数据驱动方法来评估和回应风险。操纵行为：通过识不治理层和内部操纵的角色；证明操纵评估不是一年一次的行为，而是一个持续关注的行为；自动化这些操纵测试程序，使之尽可能接近实时运行。信息和沟通：通过促进确保信息的精确性和关注事项的实时报告。监控和评价：通过提供独立的评估来支持由治理层实施的连续监控行为。图1：COSO企业风险治理框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风险反应风险评估事项识不目标制定内

23、部环境连续操纵评估将同意内部审计师评价治理监控行为的充分性，并给审计委员会和高层治理职员提供操纵正在有效运行以及组织能够快速改进出现的缺陷快速反应并及时改正的独立保证。连续风险评估使审计师能识不正在出现的使公司处于风险的领域，将这些风险区分优先次序，以更加有效地分配有限的审计资源。然而，这些行为不能以任何方式阻碍治理层实施监控和治理风险的职能。监控和评价是COSO的企业风险治理作为一个有效操纵框架的最后一个要素，也是一个组织朝持续改进所做努力的关键成分。连续监控包含治理层为保证政策、程序和经营流程都有效地运行，在适当位置设置的程序。它提出了治理层评价操纵的充分性和有效性的责任。这包含识不操纵目

24、标和保证认定，并建立自动化的测试程序将遵循相关操纵目标和保证认定失败的交易凸显出来。连续监控的许多技术与内部审计部门使用的连续审计技术是类似的。四、内部审计行为和治理层的角色为了践行治理者的角色，治理层对风险评估和内部操纵的设计、实施和连续维护负有要紧责任。内部审计行为，依照它对治理层和董事会的职责，他对识不和评价组织的由治理层实施的风险治理系统（内部审计准则2110）和操纵（内部审计准则2120）的有效性负有责任。审计师和治理层之间的角色差异在于从事内部操纵和风险评估工作时，各自对股东的责任的特征。审计师给股东提供保证服务；审计委员会和高层经理重视风险和操纵系统的状态；在法规方面，诸如萨班斯

25、法案，以及治理层表现的对内部操纵的关注的可靠性。理想上，审计师并不是流程的一部分，也不是来设计和保持内部操纵的，如此，审计师的客观性和独立性就能得以保持。五、连续审计和监控的好处连续审计和监控（由治理层实施）的结果是类似的，都包含提示或警告，这些提示或警告指出了操纵的缺陷或高风险水平。这些提示或警告能够按优先次序排列，这取决于风险和操纵缺陷的严峻程度，这些提示或警告会分发给经营流程或应用系统的担保人，运营经理，审计师，高级财务经理，甚至法规制定者。治理层对这些提示的回应能够修补内部操纵缺陷和立即修正错误的交易。审计师对这些警告的回应能够从立即审计确认的内部操纵系统到标记一个领域以备今后审计。例

26、如，对财务交易的持续审计，当一个分类账凭证超出了给定限额，以及留有非正常关联账户的入口，测试可能给出一个提示。审计师的反应可能取决于这是否视为一个单一项目那个反应可能会是发送一个Email给这项交易的当事人以得到相应的解释；也可能会视为一个系统的问题，对某个领域的财务审计可能状况良好。使用连续审计进行额外的测试来决定这些异常的特征能够回答诸如以下问题：日记账凭证是给暂记账户留有入口，而且没有在规定的时刻内进行清除？日记账凭证是否给不正常的关联账户留有入口？受阻碍的账户是否可能会是诸如人工操纵收益之类的舞弊？日记账凭证的数量和类型与往年相比是否有异常？个体之间登录系统时是否做到了职责分离？我们是

27、否应该提高或降低测试的标准？财务比率是否与公司的期望相符？近几年的收益趋势如何？这些趋势与公司的期望（peer）以及总体的经济环境如何匹配？连续审计关心审计师评价治理层的监控功能的充分性。这让首席审计师能给审计委员会和高级治理层提供对操纵系统运行的有效性作出保证，以及审计程序在识不和指出任何侵害中发挥作用。连续审计还识不和评估风险领域，给审计师提供信息，审计师通过与治理层的沟通能够关心治理层减轻风险。此外，他能够用于关心制定年度审计打算，以将审计关注点和资源转向高风险领域。然而，连续审计最重要的优势之一在于它独立于所审计的业务和财务系统和治理层实施的监控。这能改善组织的治理和操纵框架，并提供一

28、个审计师能够用来支持他们的独立评价和评估行为的机制。连续审计还面临着一些挑战。这些技术需要被理解和操纵。内部审计师必须能够访问数据、软件工具和技术，以及拥有能够智能使用他们手头所掌握的大量的公司财务和非财务信息的必要知识。连续审计带来的机遇也对审计师和首席审计师提出了要求。第三部分 需要澄清的一些关键概念和术语差不多采取了各种尝试来鼓舞审计师更好地使用电子信息，以改进内部审计行为的效率和效果。最近，多种术语差不多被用于这些尝试，同时也导致了职业界认识上的混乱。没有一个清晰的、通用的术语，那么将会专门难提升这些尝试，成功的可能性也会减少。因此，实施连续审计首先要做的确实是给定和传播所有相关术语的

29、清晰的定义。理解与连续审计相关的术语的关键在于理解操纵和风险是一个问题的两个方面。操纵的存在是为了关心降低风险；识不操纵缺陷能凸显潜在的风险领域。相反，通过检查风险，审计师能够识不哪些地点需要操纵和（和）操纵没有发生作用。尽管对操纵和风险的评估通常包含定量分析也包含定性分析，然而最大化的效率猎取是来自于最大化地利用技术。对审计师的挑战是确保数据的利用和通用性，理解相关的业务流程和系统，最大化地运用自动化。因此，这份全球审计技术指南关注的是支撑持续审计的技术辅助程序。保证能够认为是第三方对事件状态的意见，那个事件是关于一个特定的交易、业务或治理流程、风险或整个业务流程中的财务绩效的。审计保证是对

30、操纵的充分性和有效性，信息的完整性作出的声明。治理层实施的持续操纵监控是有效保证策略的核心部分，然而，审计师仍然必须确保治理层的行为是充分的和有效的。连续保证的框架是联结内部审计师的独立性评价行为：操纵的状态、组织内部的风险治理、评估治理监控功能的充分性。图2：连续保证的框架连续保证连续操纵评估连续风险评估对连续监控的评估首席审计师必须保证所有的审计师、高级经理和审计委员会理解内部审计行为和治理层在使连续保证方程有效的角色和责任。以下的定义可能提供了额外的视角：1、连续审计是审计师为了在一个更持续、更频繁的基础上实施与审计相关的行为所采取的任何方法。它是一系列行为的联合体，这些行为从连续操纵评

31、估延伸到连续风险评估。连续风险评估是关于操纵风险联合体的所有行为。技术在识不例外和（或）异常、分析关键数据字段的模式、趋势分析、从开始到结束的明细交易分析、操纵测试和将组织的程序或系统依照不同的时点比较或与其他类似的单位比较等方面发挥着关键作用。2、连续操纵评估是审计师采取的预备用来进行与内部操纵相关的保证的行为。通过连续操纵评估，通过识不操纵缺陷和侵害，审计师给审计委员会和高层经理提供关于操纵是否正在恰当运行的保证。单个的交易是通过一系列的操纵规则来进行监控的，以提供关于系统内部操纵的保证，并强调例外情况。一系列定义良好的操纵规则在操纵程序或系统没有按期望运行或受到威胁时能够及早地提供警告。

32、内部审计需要执行连续操纵评估行为的范围取决于治理层履行其关于连续监控的责任的程度。一个强有力的治理监控系统将减少审计师必须执行以对操纵提供保证的详细测试数量。3、连续风险评估是审计师用来识不和评估风险水平的行为。连续风险评估通过检查趋势和比较（在单个程序或系统里，与之过去的表现相比较，与企业内的其他的程序或系统相比）来识不和评估风险水平。例如，生产线的表现能够和先前年度的结果相比较，就像是将一个企业的绩效与所有的其他企业相比较一样。这种比较能够较早地警示某个程序或系统（审计主体）的风险水平高于往常年度或其他主体。审计的反应也因风险的特征和水平而异。连续风险评估能应用于大范围的审计领域，来选择访

33、问点，来识不排除包含在审计打算中的特定的审计或单位，或触发对某个风险增加但缺乏足够解释的单位的审计。它也能够用来评价治理行为，来检查审计建议是否得到合理的贯彻，经营风险水平是否正在减少。4、连续监控是治理层为了确保政策、程序和业务流程能够有效运行而实施的一项程序。治理层识不关键操纵点和实施自动化的测试来决定这些操纵是否恰当运行。典型的持续监控程序包括在给定的经营流程领域内，借助一组操纵规则，自动测试所有的交易和系统行为。监控通常是按天、周或月进行，这取决于当前的业务循环的特征。取决于专门的操纵规则和相关测试和初始参数，某些交易被标记为操纵例外事项，且告知治理层。治理层监控也可能依靠关键绩效指标

34、和其他绩效评价行为。对监控警报和提示作出回应并立即修补操纵缺陷和改正问题交易是治理层的责任。一、连续审计的连续系统连续审计关心审计师识不和评估风险，还在组织中建立智能和动态阀值来回应变化。它也支持整个审计范围的风险识不和评估，关心制定年度审计打算，以及确定某项特定审计的审计目标。因此，连续审计在专门多层面上能够视为一个连续系统。同时，连续系统中的不同位置更加适合不同的工作，在连续系统中当你执行不同的任务时还可能超过一个位置。对连续审计的关注从操纵基础到风险基础（见图3）；分析性技术从对明细交易的实时评价到对整个单位进行趋势分析以及与其他单位进行比较分析，同时随着时刻进行。图3：连续审计的连续系

35、统连续审计连续操纵评估连续风险评估方法操纵基础 风险基础（保证操纵正在运行）（识不/评估风险）财务操纵 财务/运营操纵关注点实时/详细交易测试（财务数据）趋势/比较（财务/运营数据）分析技术操纵保证 财务鉴证 舞弊/白费/滥用 审计范围和目标 追踪审计记录 年度审计打算相关审计行为操纵监控 业绩监控 平衡计分卡 全面质量治理 企业风险治理相关治理行为注1：在那个连续系统的“操纵”结尾，相关审计行为包括保证和财务鉴证审计。注2：连续系统的另一个结尾的审计行为包括通过风险评估支持审计项目来识不舞弊、白费和滥用，并提交年度审计报告。注3：相关治理层行为包括连续操纵监控，绩效监控，平衡计分卡，全面质量

36、治理和企业风险治理。连续审计是一个统一能够带来操纵保证、风险评估、审计打算、数据分析以及其他审计工具、技术和科技结合在一起的统一结构或框架。它支持微观审计事项，例如明细交易测试来评价操纵的有效性；宏观审计方面，通过风险识不和评估来预备年度审计打算。它也能满足中观层面的需求，例如为个不审计开发审计项目。微观审计和宏观审计两个层次的要紧区不在于两者信息需求的粒度不同：1、操纵测试需要细节信息：需要深入交易的源头层次。连续操纵评估使用认真制定的规则和实时的或接近实时的，测试交易对这些规则的遵循情况。2、个不审计通常开始于年度审计打算中的风险识不，但使用更多的数据分析和其他技术（如访问，自我操纵评估，

37、实地观看walkthrough，调查问卷）来进一步定义风险的要紧领域和风险评估的关注点和后续的审计行为。3、年度审计打算需要高层次的信息，可能是几年的价值数据，来建立风险因素，并将风险排序，设置审计打算开始的时刻和目标。第四部分 连续审计与连续保证和连续监控的关系一、连续保证前文已提到，保证被描述为第三方对事件状态的意见。它通常包括三个方面：1、预备信息的个人或团体。2、使用这些信息来进行决策的个人或团体。3、客观存在的第三方。通常，保证被视为一项严格的审计相关行为，通常具有财务方面的特征。然而其他的，诸如法律界也提供保证服务。审计保证是对操纵的充分性和有效性以及信息的完整性发表意见。治理层对

38、操纵的连续监控是有效保证策略的核心，然而，审计行为还必须保证治理层行为是充分和有效的。内部审计通过客观检查所猎取的证据以提供对风险治理策略和实践，治理操纵框架和实践，用于决策和报告的信息的保证服务。连续保证服务能够在审计师执行连续操纵和风险评估（如连续审计）和评价治理层实施的连续监控行为的充分性时提供。审计师检查治理层的行为，证实操纵都在运行，提出改进建议，确保风险正在被操纵。假如审计师在执行诸如检查和证实操纵和风险，确保治理层正在进行监控工作，那么组织将有一个对操纵正在运行，风险正被操纵，用于决策的信息具有完整性的高层次的保证。治理层在那个保证方程（assurance equation）中起

39、着开发、设计和监控操纵和操纵风险的作用。二、连续监控连续监控是治理层设置的用于确保政策、程序和经营流程都在有效运行的程序。评价操纵的充分性和有效性通常是治理层的责任。许多治理层使用的用于对操纵的连续监控技术与内部审计师进行连续审计所用技术类似。连续监控的原则比较简单，它包含以下几个方面：1、在一个给定的经营流程中定义操纵点，假如可能的话可参照COSO的企业风险治理框架。2、对每个操纵点识不操纵目标和保证声明。3、建立一系列的自动化的测试，以指出某项交易是否没有遵循所有的相关操纵目标和保证声明。4、在接近交易发生的同时，将所有的交易进行测试。5、调查没有通过操纵测试的所有交易。6、假如合适的话，

40、能够更正这项交易。7、假如合适的话，更正操纵薄弱环节。连续监控的关键是这些程序必须由治理层掌控并由治理层来执行，因为实施和保持有效操纵系统是其职责的一部分。既然治理层对内部操纵负有责任，那么它就必须有一个连续的决定操纵是否按设计在运行的方法。通过实时地识不和更正操纵的问题，整个的操纵系统将得以改善。组织得到的一个典型的额外的好处是错误和舞弊显著减少，经营的效率得到了提高，通过成本的减少和过度支付（overpayment）和收入泄漏的减少，从而使线下项目的结果得以改善。三、连续审计治理层监控和风险治理行为的充分性与审计师必须执行对内部操纵的详细测试和风险评估的程度，它们之间存在这一个反比的关系。

41、连续审计运用的方法和工作量取决于治理层实施的连续监控行为的程度。图4：反比关系：治理层付出的努力水平与审计行为对内部操纵的完全监控对内部操纵的少量监控减少工作量显著的努力/更多的资源审计工作量治理层反应在治理层还没有实施连续监控的地点，审计师必须借助连续审计技术进行详细测试。在某些情况下，审计师甚至可能主动来关心组织建立风险治理和操纵评估程序（见国际内部审计协会实务报告2100-4：审计师在一个没有风险治理程序组织中的作用）。然而，要注意的是审计师对这些程序中并不拥有所有者权，因为这会损害审计师的独立性和客观性。图5：连续审计、监控和保证（概念框架）连续保证连续审计和连续监控程序的结果连续监控

42、审计测试连续审计审计连续监控治理行为、交易和事件经营系统和流程治理层全面地在经营流程领域中从头到尾地实施连续监控，内部审计师就无需执行同样的详细测试来进行连续审计。然而，审计师必须执行其他的程序来决定他们是否能够依靠那个连续监控程序。这些程序包括：1、评价侦测到的异常和治理层的反应。2、评价和测试连续监控程序本身的操纵，例如： （1）处理日志/审计轨迹 （2）调节总额操纵（control total reconciliations） （3）系统测试参数的变化通常，这些程序与那些在正常审计程序中为确保计算机辅助审计技术被正确应用的质量操纵测试是相似的。通过结合评价监控和连续审计程序，审计师能够提

43、供关于内部操纵有效性的保证。第五部分 连续审计的应用领域对内部审计部门而言所面临的压力是以较少的资源做更多的情况。也许最困难的挑战来自于审计师必须对内部操纵的有效性及时作出保证，更好地识不和评估风险水平，快速找出没有遵循相关法规和政策的事项。这些确实是连续审计能够应用的领域。适用技术，从电子表格软件或脚本开发使用特种审计软件（scripts developed using audit-specific software）到商品化的专业解决方案软件包或客户自行开发的系统。这些选择的解决方案必须是灵活的可升级的，同意审计师从某个特定的领域开始，然后扩大范围、规模和分析的频率。尽管一些法定审计需要每

44、年进行一次，然而每年严格执行这些审计已不能满足治理和法规的需要。内部审计行为必须应用风险评估和进行操纵保证行为。尽管需要更加关注财务方面的审计，连续审计支持所有类型和领域的审计行为。欧洲联邦内部审计机构（ECIIA）在2005年意见书欧洲内部审计中，鼓舞内部审计师通过给治理层提供的关于风险差不多被识不同时得到恰当的操纵的保证，对组织面临的风险作出反应。审计师不仅必须能够评价财务风险，而且要能够评价运营风险和策略风险。这是持续审计所关注的新领域。用于测试操纵的信息访问技术和技术技能也能够关心首席审计师通过支持持续的评价企业风险治理有效性的评价行为和对一些警告提出改进建议，从而给治理层提供价值无法

45、估量的关心， 首席审计师通过给高层治理职员提供独立的风险和操纵评估来支持其监控职能。连续审计有一系列的功能来支持审计行为，首席审计师，通过以下的适用方法和服务，包括：1、风险治理策略和实践：通过及早识不风险。2、治理操纵框架的可靠性：通过找出操纵薄弱环节。3、用于决策的信息：通过检查治理者使用的信息的可靠性和可猎取性。4、包含在年度审计打算中审计项目的选择：通过识不更高风险领域。5、实施有效的和及时的改正行为：通过检验审计建议的执行情况。首席审计师必须认识到许多的治理行为与连续审计有专门强的联系，例如整合风险治理、平衡计分卡、连续改进、连续监控。审计必须决定那些地点适合连续审计，它如何能用于评

46、估这些治理措施行为或者利用它们所产生的信息。实施连续审计框架的期望好处包括：1、增加减轻风险的能力。2、减少评估内部操纵的成本。3、增加对财务结果的信心。4、财务运营的改善。5、减少财务错误和潜在的舞弊。此外，完全运用了连续审计的组织，通常会报告运营成本的减少和边际利润的增加。一、应用于连续操纵评估（一）识不操纵缺陷由于新的法规需要高层治理者证明操纵环境的有效性，以及财务报告中所含信息的精确性，首席执行官和首席财务官开始内部审计行为来辅助遵循这些法规。尽管治理层对监控、设计和维持操纵负有责任以备广泛认可，国际内部审计准则2120号，A1节指出内部审计行为“应该通过评价内部操纵的有效性和效率性，

47、以及促进持续改进来辅助组织保持有效的操纵”。由于这些外部和内部的压力，特不是在一些治理层没有恰当发挥其监控角色的作用，审计师通常需要执行一个更加全面的评估和提供更加连续的操纵评估。这对内部审计流程和方法有显著的阻碍。连续操纵评估给让首席审计师清晰地看到内部操纵系统的有效性。反过来，给财务经理，经营流程治理这和风险及遵循经理提供对内部操纵的独立的和及时的保证。对关于内部操纵交易数据的连续操纵评估能够迅速找出错误和异常，将它们报告给治理层，以及时进行检查和采取行动。它也能对财务和运营信息的可靠性和完整性，营运的效率和效果起作用。连续操纵评估还能够对连续的风险评估和治理层减轻风险的行为起作用。操纵和

48、风险的评估是相互补充、相互支持。以下的一个关于内部审计中应用连续操纵评估在财务操纵、系统操纵和安全操纵等三个领域来支持治理层监控功能。（二）财务操纵：以采购卡项目为例一个全国性的采购卡治理员手工操作，每个季度只能对交易的微小样本进行评价。审计师决定治理层的关于采购的操纵是薄弱的，那么暴露出来的风险是否相当的高。在评价采购卡使用的政策后，审计师进行一系列的分析测试来识不：1、不恰当的采购卡使用，包括与旅行支出有关的交易。2、用于个人项目的支付（如珠宝、酒，等等）。3、可疑交易（如未经授权的持卡人使用，销售商重复刷卡，分次付款以幸免超过财务限额，等等）。分析的结果将提交给持卡者的经理，以对这些可疑

49、交易进行详细审查将采购卡的支出与商品采购相匹配。这识不出许多的不恰当的采购和以上三种类型的舞弊。在审计完成后，连续操纵评估应用测试就转向采购卡协调员，来关心运营经理每个月对采购卡操纵的监控。（三）系统操纵：以职责分离为例连续操纵评估测试也能够用来证实系统是否按期望值在起作用。使用分析技术，测试程序能够比较个不交易和规则基础标准，对所有的交易进行评价以确保个体没有执行不相容的职责。在一个组织内，新实施一个ERP系统，目的是用自动操纵替代手工操纵来确保职责的分离。ERP项目小组，通过业主的投入，开发一系列基于使用者角色的特色配置，这就同意使用者能够依照自己的工作职责来处理各式各样的业务。尽管审计师

50、相信在开发基于角色的特色配置中的方法和程序，他们关怀实际分配给使用者的特色配置，然后对交易进行详细检查，以检查哪些些地点职责分离没有得到保持。审计师抽出当年第一季度的所有处理的交易，然后利用数据分析技术来计算每个使用者处理过的交易（通过交易类型）。这发觉两个使用者首先建立采购安排，然后记录相同采购安排的物资同意交易。结果表明在基于角色的特色配置的设计中职责分离操纵是薄弱的，因为这些是被视为不相容的职责。由于ERP系统经历了额外的变化例如，增加新的角色和改变现有角色运行连续操纵评估测试来证明没有违反职责分离的情况。（四）安全操纵：以系统登录日志为例连续操纵评估能够测试安全操纵，证明所有的系统使用

51、者差不多上有效的职员，防止有企图者侵入系统。在另一个组织的例子中，每周系统登录日志被抽取出来，然后送交内部审计部门。审计师抽取相关信息并将每个使用者与当前的职员治理文件相匹配。所有的非职员使用者被标记出来，然后一封邮件将自动发送给系统安全部门，让其废除该使用者的身份（ID）。此外，测试还检查失败的登录日志。通过检查发觉一例在早上三点一个使用者ID有25次通过拨号登录失败。审计师通过这份报告来证明将登录参数改为在诸如这类使用者的ID在尝试登录失败3次后将此ID锁定是正确的。连续操纵评估的潜在使用事实上是无限的。不管哪里暴露出问题，内部审计师都能够进行一项测试或一系列的分析程序来搜索某人试图利用操

52、纵缺口或薄弱环节的证据。在某些情况下，操纵暴露出来的问题，包括潜在的舞弊、白费和滥用。这些测试的频率和时刻取决于潜在的经营风险和操纵框架和治理监控功能的充分性。（五）舞弊、白费和滥用国际内部审计准则1210号第A2节要求审计师对舞弊的信号拥有足够的知识。第A3节也需要审计师对关键信息技术风险、操纵和可利用技术来开展他们工作的知识。使用技术来支持连续操纵评估能够关心审计师检查详细交易，也包括汇总数据，识不异常和其他的舞弊、白费和滥用信号。例如，利用数据分析技术，审计师能够容易识不那些地点超越了合约的授权（如合约超过了给个人规定的合同限额）和被躲避（avoid）（如撕毁合约）。在工薪领域，它能够被

53、用来识不薪水册上的职员非职员数据库中的职员或者识不薪金中的不正常比率。由于舞弊专门大程度上是一种机会主义的犯罪，操纵缺口和薄弱环节必须被找出来，假如可能的话，甚至消除它或者减少它。广泛应用的审计指南和准则已直接地提到了对这种暴露问题的关注。例如，国际内部审计准则实务公告1210号第A2-1节：识不舞弊，第A2-2节：舞弊侦测的责任，需要审计师对可能的舞弊拥有充分的知识以识不它们的征兆。审计师必须意识到它会出什么问题，它如何能出问题以及谁会牵涉其中。美国注册会计师协会颁布的审计标准的公告第99号（SAS No.99）“考虑财务报告审计中的舞弊”也是出台来关心审计师侦测舞弊的。它比SAS No.8

54、2更进一步，它包含的新的规定包括：1、集体讨论舞弊的风险。2、强调增加职业怀疑。3、确保治理者意识到舞弊。4、使用各种分析程序。5、侦测治理层践踏内部操纵的情况。它也定义了舞弊财务报表和盗窃的风险因素，这能够被用来作为评估舞弊财务报告风险的模型。在SAS No.99 中列出来的风险因素包括：治理层状况、竞争和经营环境、运营和财务的稳定性。（六）结论和建议连续操纵评估技术可能类似于治理层实施的连续监控技术。在内部审计师能够依靠治理层实施的连续监控的地点，而无需采纳相同层次的细节连续操纵评估技术。取而代之的是，审计师能够关注执行其他的程序来提供连续的关于治理层的连续监控程序的保证。然而，当治理层监

55、控不充分时，审计师应该借助连续操纵评估技术来执行详细测试以评价操纵的充分性。通过智能运用分析技术，审计师能够评估内部操纵框架的充分性，给审计委员会和高层经理提供独立的保证。连续操纵评估并不需要在实时运行。分析的频率取决于风险水平和治理层监控操纵的程度。例如，采购卡分析可能每月运行一次在信用卡公司收到采购卡交易时进行。薪金能够在每个付款周期使用，在支票出具之前进行。对发票副本（duplicate invoice）的测试能够每天进行。在某些情况下，审计师可能执行初始的操纵测试，然后将连续监控移交给治理层。额外的应用连续操纵评估的例子包括：1、检查交易数据：如标记所有的严峻超出采购卡的限额，包含有禁

56、止采购商品的采购卡花费。2、检查汇总数据：如当月的持卡者消费汇总超过$10.000的情况和持卡人不在采购部门中的情况。3、借助比较分析：如汇总加班酬劳然后与所有的其他在相同工种和层次的职员相比，以识不潜在的滥用加班（过量的、未经授权的，等等）。4、测试总分类账户总发生额：如找出那些与上年相比金额超过25的账户，识不不正常的行为，如销账的增加。在所有的情况下，审计师能够快速检查所有的详细交易来发觉缘故，然后快速地、容易地执行所需的后续工作。二、应用于连续风险评估治理层负有开发和维持一个系统来识不和减轻风险的责任，国际内部审计准则2110号指出，审计师应该通过识不和评估重大的暴露在风险下的项目来关

57、心组织，并在改进风险治理和操纵系统中发挥作用。国际内部审计准则2010号鼓舞首席审计师建立风险基础的打算来决定内部审计行为的优先次序，以与组织的目标相一致。这两项行为是相关的，审计师能够利用连续风险评估来识不和评估风险水平的变化。这同意他们评估治理层的减轻风险行为，支持制定个不审计目标和年度审计打算。连续风险评估能够连续地用来识不和评估风险。它不仅通过测量某个交易点，还通过使用通过比较分析法来进行交易的总体分析来完成这些工作。通过这种形式的比较，审计师能够通过衡量许多方面的可变性来检查流程的一致性。在经营中，例如，检查一些缺陷的可变性是测试生产线协调的一种方法。操纵缺陷数量的可变性越大，生产线

58、的合理性和功能的协调性就越要得到关注。相同的前提能够专门容易通过检查变量（如调整主体的数字和美元价值）来应用于测量财务系统的完整性。可变性的概念是连续风险评估与内嵌审计模块和例外报告的关键区分因素。通过执行连续风险评估，首席审计师能够应用更加具有策略性的背景来制定审计打算，在风险变化时为使审计打算在整个年度都能保持最近的状态进行连续调整，同时分配稀缺资源，将高度熟练的审计资源分配到组织内高暴露出最高风险的地点。连续风险评估还能够找出一些要么没有操纵要么这些操纵没有充分地执行的地点，关心审计师在特定领域执行连续操纵评估。因此，连续风险评估不仅对审计打算有关心，而且对连续操纵评估也是起作用的。举例

59、：基于风险选择审计点在全国拥有超过1100家零售商店，ABC食品的内部审计部门需要一个高效率和高效果的方式来选择单个商店审计。在过去，审计师试图至少每年要对每家商店访问一次来执行遵循基础审计。然而，这不是一项有效的确定真正风险领域的方式。首席审计师需要一个可信赖的风险评估方案，通过数据驱动标准，能够不用每年访问这些商店，而且能对所有的1100家商店提供保证。连续风险评估用于建立必要的分析程序，如报告存货损失和熟练职员的营业额。现在，内部审计师小组能够快速指出风险程度最高的商店，并制定出一个更加及时、效果好和效率高的方法。（一）制定审计打算与传统的审计打算依照标准的循环（如一年、两年、三年的比率

60、进行）相比而言，企业经营过程中审计的频率更应该基于风险因素。最高层次的连续风险评估支持制定审计打算，同意数据驱动识不和评估风险指标。它不仅支持建立审计总体，而且支持收集定量化的数据，而且，让内部审计部门优先关注公司内部的高风险领域，将适当的资源分配到新的和变化的领域。第一步是定义审计行为的范围和覆盖面的程度，然后利用从不同系统（如财务、人力资源和运营信息系统）中猎取的数据来确定重大性和风险指标。在重大性方面，一种方式是参照规模相似的企业尽管风险指标还可能要考虑一个单位与另一个单位的复杂性。连续风险评估应该还要包括对治理层监控职能的评价，包括业绩评价、质量操纵和职责分离。举例：制定审计打算建立A