全球技术审计必备指南

1、GLOBAAL TEECHNOOLOGYY AUDDIT AAUIDEE全球技术审审计指南（第第3号）（20055 年 99 月公布布）Contiinuouus Auuditiing: Impliicatiions for Assuurancce,Monittorinng, aand Riskk Asssessmment连续审计：对保证、监监控和风险险评估的意意义AuthoorDavidd Codderree, Rooyal Canaadiann Mouuntedd Pollice (RCMMP)作者戴维德科科德里（加加拿大皇家家骑警）Subjeect MMatteer ExxperttsJo

2、hn G. VVerveer, AACL SServiices Ltd.Donalld J. Warrren, Cennter for Conttinuoous AAuditting, Ruttgerss Univversiity主题专家约翰G沃沃（AACL公司司）唐纳德JJ倭仁（鲁特特格斯大学学，连续审计研研究中心）湘潭大学商商学院 阳杰译（22006年年11月）*注：原指指南附录部部分由于篇篇幅限制，未未加翻译作者水平有有限，如有有错误之处处，请emmail到到yangg-m目录1 首席席审计师简简述11.1 连续审计计21.2 连续审计计/连续监监控的必要要性：整合合法31.3 内部审计

3、计和管理层层的角色41.4 连续审计计的作用41.5 实施的问问题52 导言言62.1 连续审计计：一个简简史72.2 当今的审审计环境82.3 COSOO的企业风风险管理（EERM）框框架92.4 内部审计计行为和管管理层的角角色122.5 连续审计计和监控的的好处123 需要要澄清的一一些关键概概念和术语语143.1 连续审计计的连续系系统174 连续续审计于连连续保证和和连续监控控的关系184.1 连续保证证184.2 连续监控控194.3 连续审计计205 连续续审计的应应用领域225.1 应用于连连续控制评评估245.2 应用于连连续风险评评估296 实施施连续审计计366.1 连续

4、审计计目标376.2 连续控制制和风险评评估的关系系476.3 连续风险险评估516.4 管理和报报告结果536.5 挑战和其其他要考虑虑的因素57今天的法规规环境下，首首席审计师师们都发现现他们的部部门变得越越来越被为为满足遵循循要求的监监控和内部部控制测试试所吞噬。但是，大大多数的运运营和财务务审计行为为保留下来来了。许多多内部审计计部门正借借助技术来来减轻负担担，并提升升效率和生生产率，推推动经营绩绩效。这份全球技技术审计指指南“连续审计计：对保证证、监控和和风险评估估的意义”给首席审审计师们提提供关于如如何实施一一个理想的的策略，结结合连续审审计和连续续监控方案案来应对这这些挑战。AC

5、L的的数据分析析技术和连连续控制监监控方案能能够最好地地提升审计计实践，以以满足当今今对有效控控制地高度度要求。AACL能够够帮助你证证明适当的的技术投资资的好处，并并且支持持持续的遵循循需要，增增加运营效效率，并对对提高收益益有帮助。第一部分 首席审审计师简述述对风险管理理和控制系系统的有效效性进行及及时和连续续的保证的的需求非常常关键。组组织频繁地地暴露在重重大错误、舞弊或者者无效率下下，这些会会导致财务务损失和风风险升级。一个变化化的法规环环境，经营营的全球化化，市场方方面要求改改善经营的的压力，以以及快速变变化的商业业环境要求求更加及时时和连续地地对正在运运行的控制制的有效性性和风险水

6、水平正在降降低作出保保证。这些要求给给首席审计计师们和他他们的职员员不断增加加压力。内内部审计部部门卷入遵遵循工作的的程度持续续增加，尤尤其是由于于法规的原原因，例如如美国20002年的的萨班斯法法案第4004节。关关注度的提提高不仅与与期望值的的增长有关关，还与内内部审计师师在评价内内部控制的的有效性、风险管理理和治理流流程中保持持独立性和和客观性的的能力能力力有关。今天，内部部审计师面面临着的挑挑战来自一一系列的领领域：法规的遵循循和控制：评价和识识别事件和和流程，可可持续性，资资源，定义义重要性，优优先级和财财务报告风风险。内部审计价价值和独立立性：对内内部审计的的高度期望望，内部控控制

7、问题的的增加，对对内部审计计角色可靠靠性和独立立性的困惑惑，客观性性和独立性性的削弱。舞弊：侦测测和控制，识识别盗窃，舞舞弊管理责责任，舞弊弊频率和成成本的增加加。可用的熟练练审计资源源：缺乏能能胜任的和和合适的熟熟练审计师师，审计师师短缺，持持续力，对对风险和控控制缺乏理理解。技术：支持持遵循的合合适的解决决方案，技技术经营模模型，信息息安全，信信息技术优优势，外部部采购。显然，必须须要有一种种新的、能能够提供连连续的、建建设性的和和划算的方方法来解决决这些问题题。一、连续审审计传统的内部部审计所对对控制测试试是一种向向后看的周周期性方式式，通常是是在经营行行为发生后后的几个月月后进行。测试

8、程序序也是基于于抽样的方方式，还包包括一些诸诸如对政策策、程序、批准和调调节的评价价。现在，这这种方式被被视为一种种仅仅能够够提供内部部审计师一一个狭窄范范围的评价价的审计方方法，通常常由于太迟迟而是去了了对经营绩绩效和法规规遵循的价价值。连续续审计是一一种以更加加频繁的方方式来自动动执行控制制和风险评评估的方法法。技术是施行行这样一种种方法的关关键。连续续审计改变变了审计模模式，它将将对交易样样本的周期期性测试变变为对1000的样样本进行连连续性测试试。它已在在许多层次次上已成了了现代审计计不可缺少少的部分。它也应该该紧密与管管理行为（如如行为监控控，平衡计计分卡和企企业风险管管理框架）结结

9、合在一起起。连续审计方方式能让内内部审计师师完全理解解关键控制制点、控制制规则和例例外情况。通过对的的自动化和和经常性的的分析，他他们能够实实时地或接接近实时地地执行控制制和风险评评估。他们们能从交易易层面的异异常和控制制缺陷和出出现风险的的数据驱动动指标两方方面来分析析关键业务务流程。最最后，通过过连续审计计，分析结结果将被整整合进审计计程序的所所有方面，从从制定和维维持这个企企业审计计计划到开展展和继续特特定的审计计。二、连续审审计/连续续监控的必必要性：整整合法按照首席审审计师们对对遵循努力力的负担、资源的缺缺乏以及保保持审计独独立的必要要性的关注注，将连续续审计和连连续监控结结合在一起

10、起将是一种种理想的方方法。连续监控管管理层设计计的为保证证政策、程程序和业务务流程能有有效运行的的程序。它它指出了管管理层对评评价内部控控制的充分分性和有效效性的责任任。这包含含识别控制制目标和保保证声明（aassurrancee asssertiion）以以及建立自自动化的测测试程序来来找出遵循循失败的活活动和交易易。许多管管理层实施施的对控制制的连续监监控技术与与内部审计计师执行连连续审计所所用技术类类似。管理层使用用连续监控控程序，结结合内部审审计师执行行的连续审审计，能够够满足对控控制程序的的有效性以以及用于决决策的信息息的相关性性和可靠性性的保证需需要。对组织的一一种重要的的额外好处

11、处是错误和和舞弊事件件的显著减减少，经营营效率也得得到了提高高，线下项项目（boottomm-linne）的结结果也通过过成本的减减少和过度度支付及收收入泄漏的的减少得到到改善。实实施了连续续审计和连连续监控的的组织通常常会发现他他们迅速地地获得了投投资回报。商业和法规规环境，以以及出台的的审计准则则，驱使审审计师和管管理层更加加有效地利利用信息和和数据分析析技术，作作为连续审审计和连续续监控的可可行基本因因素之一。三、内部审审计和管理理层的角色色管理层对评评价风险和和设计、实实施、连续续维护组织织内部的控控制负有主主要责任。内部审计计师的行为为要对识别别和评价由由管理层实实施的组织织的风险管

12、管理系统和和控制的有有效性负责责。审计师师进行评价价以给审计计委员会和和高层经理理在风险的的状态和控控制系统，以以及在诸如如萨班斯法法案等法规规下，就管管理层关心心的控制状状况的可靠靠性提供保保证。理想想的情况是是，内部审审计不是控控制监控流流程的一部部分，并且且没有设计计或维护这这些控制，从从而能够使使他们的独独立性得以以保持。尽管对内部部控制的监监控是一种种管理职能能，内部审审计师行为为能够使用用和借助连连续审计来来强化整个个组织的监监控和评价价环境。管管理层事先先执行的监监控水平将将直接影响响审计师实实施连续审审计。在管管理层已经经对某项内内部控制进进行连续监监控的情况况下，在连连续审计

13、时时，相同层层次的详细细交易测试试就无需再再进行。取取而代之的的是，审计计师能够关关注审计程程序，来决决定管理层层监控程序序有效性，借借助这种测测试的结果果来调整范范围、数字字和审计测测试的频率率。四、连续审审计的作用用连续审计的的作用依赖赖于对对内内部控制的的连续性测测试的智能能性和有效效性，及时时提示控制制缺口和薄薄弱环节存存在的风险险，并允许许立即的追追踪和进行行补救。通通过改变他他们的审计计方式，审审计师将能能够更好地地理解经营营环境和公公司风险以以支持遵循循和提高经经营绩效。五、实施的的问题首席审计师师必须认识识到连续审审计将改变变审计模式式，包括证证据的特征征、时间、程序和内内部审

14、计师师所需的努努力水平。这将给审审计部门提提出要求，尤尤其是他们们必须：获得和促成成审计委员员会和高级级管理层支支持这个概概念并实施施连续审计计。开发和保持持技术方面面的能力，以以保证访问问、操作和和分析包含含在相互分分离系统中中数据的能能力。使用（或实实施）数据据分析技术术来支持审审计项目，包包括使用合合适的分析析软件工具具，开发和和维护数据据分析技术术，以及审审计组中的的专家。发起、促进进和鼓励管管理层对连连续审计的的支持。保证连续审审计被采用用作为风险险导向审计计计划中完完整的、相相容的一部部分。管理和回应应连续审计计的结果，决决定合适的的使用、跟跟踪和报告告机制。首首席审计师师将必须确

15、确保对审计计发现报告告的问题管管理层已经经采取合适适的行动，连连续审计的的结果在管管理层的评评价时要被被考虑到，这这些评价包包括内部控控制的监控控，业绩评评价和企业业风险管理理。这份国际内内部审计师师协会（IIIA）的的全球技术术审计指南南（GTAAG）确定定了那些必必须要做，以以有效利用用技术来支支持连续审审计，突出出需要进一一步关注的的领域。通通过阅读和和遵照下面面列出的步步骤，内部部审计师应应该处于一一个更好的的位置来利利用技术和和最大化他他们的投资资回报，同同时也要向向管理层证证明进行适适当的技术术投资的必必要性不仅对影影响他们组组织的法规规遵循的需需要起作用用，而且对对整个组织织的健

16、康和和竞争力起起作用。第二部分 导言这份全球技技术审计指指南将着重重连续审计计的技术可可行性方面面，并且将将介绍：过去30年年间使用的的类似概念念的历史和和背景。相关的术语语和技术的的定义：连连续审计，连连续性风险险评估，连连续性控制制评估，连连续监控，连连续性鉴证证。连续审计与与连续监控控的关系。连续审计能能在内部审审计行为中中应用的领领域。与连续审计计有关的挑挑战和机遇遇。对内部审计计和首席审审计师以及及管理的影影响。一个连续审审计自我评评估工具。 自自19800年以来，许许多的名词词与实时或或接近实时时地提供连连续审计程程序的概念念有关系，包包括：连续续监控、连连续控制评评估、连续续审计

17、。这这份全球审审计指南首首先统一使使用“连续审计计”的概念。它论述了了作为连续续审计的主主要组成部部分的连续续控制评估估和连续风风险评估。这份指南南将监控行行为视为管管理层的责责任，同时时还论述了了审计和监监控的内在在联系，以以及内部审审计师在他他们的角色色中如何提提供额外的的保证来支支持管理。当前最显著著的一个连连续审计的的推动力就就是高昂的的法规遵循循成本。在在美国，一一份20005年3月月份的国际际财务执行行官组织调调查发现，每每个组织的的萨班斯法法案的平均均遵循成本本超过了四四百万美元元。由于绝绝大部分成成本都与手手工的、员员工密集型型（内部资资源和外部部顾问的使使用）有关关。那么我我

18、们对20005年11月份AMMR研究机机构所作的的研究发现现关键技术术能够用来来减少的遵遵循成本超超过25%就不会感感到奇怪了了。遵循的压力力迫使组织织改进他们们对内部控控制进行连连续评价的的方法。在在这种情况况下，美国国证券交易易委员会指指出，“管理层和和审计师必必须运用合合理的判断断，在（萨萨班斯法案案404条条款）遵循循流程中运运用严密的的（TOPP-DOWWN）、风风险基础的的方法”。这就导导致了对连连续监控（由由管理层实实施）和连连续审计的的关注不断断增加。支支持一套完完整的审计计行为，连连续审计不不仅帮助支支持对控制制的保证，还还包括风险险评估，识识别舞弊、浪费和滥滥用，审计计计划

19、，跟跟踪审计建建议等审计计行为。一、连续审审计：一个个简史自动控制测测试开始于于20世纪纪60年代代，当时是是通过安装装和执行内内嵌审计模模块（EAAMs）来来实现的。但是，这这些模块难难以建立和和维护，而而且只是在在相关的少少数组织中中使用。在在20世纪纪70年代代后期，审审计师开始始离弃这种种方法。到到了20世世纪80年年代，审计计职业中有有些人开始始接受并使使用计算机机辅助审计计工具和技技术（CAAATTss）用于特特殊的调查查和分析。与此同时时，连续监监控的概念念首先是通通过大量的的学术文章章介绍给审审计师的。最基本的的优点就是是使用连续续的自动化化的数据分分析将帮助助审计师识识别风险

20、最最高的领域域，并作为为决定他们们的审计计计划的先导导。但是，在在很大程度度上，审计计师们并没没有对这种种审计方法法做好准备备。他们缺缺乏容易访访问的合适适软件工具具，以及技技术资源和和专家来克克服数据访访问的挑战战，最重要要的是，组组织将是否否支持这种种新的与传传统审计方方法很不一一致的审计计方式和方方法。在20世纪纪90年代代，在全球球审计职业业界内，开开始大范围围的不断地地接受数据据分析解决决方案，这这些解决方方案被视为为支持有效效进行内部部控制测试试的关键工工具。这些些技术用于于检查交易易中某些发发生的事件件，这些事事件是由于于某项控制制不存在或或没有适当当地执行。它也能够够识别与控控

21、制标准不不符的交易易。此外，数数据分析支支持不是直直接从交易易数据中获获取证据的的控制测试试。例如，企企业资源管管理计划（EERP）访访问和授权权表格能够够用来分析析保持适当当的职责分分离是否失失效。但是是，尽管有有这些技术术基础，传传统审计程程序通常依依赖于典型型的样本，而而不是对总总体进行评评价，并且且是在经营营（交易）行行为发生一一些时间后后进行分析析的。所以以，风险和和控制问题题有大量的的机会升级级，并对经经营绩效产产生消极的的影响。二、当今的的审计环境境今天，经营营环境中信信息系统功功能的普及及使得审计计师能够更更加容易地地访问更加加相关的信信息，同时时也包括对对大量增加加的数据和和

22、交易的管管理和评价价。此外，经营营的快节奏奏要求提升升对控制问问题识别和和反应。在在美国像萨萨班斯法案案的4044条款之类类的法规要要求及时披披露控制的的缺陷，管管理层要对对内部控制制框架充分分性作出保保证。这些些法规遵循循的紧迫性性、连续审审计准则、审计软件件的功能提提升，既促促使而且能能够让审计计师采纳新新的方法来来评估信息息和评价控控制。首席审计师师必须给高高层管理者者提供对内内部控制的的健康运行行和组织内内的风险水水平作出连连续的评价价，而不是是简单的周周期性的评评价。今天天的内部审审计师不仅仅仅是对控控制进行审审计，他们们还关注公公司的风险险特征，而而且在识别别风险领域域来改善风风险

23、管理流流程中发挥挥关键作用用。但是，如如果他们不不完全理解解经营流程程和相关风风险，审计计师只能仅仅仅执行传传统的审计计核查工作作。连续审审计给审计计师提供了了一个超脱脱传统审计计方式的局局限、样本本的限制、撰写标准准公告、实实时评价的的机会，连连续审计的的关键部分分是能够在在接近经营营行为发生生或者在经经营行为发发生的同时时对交易进进行评价的的连续审计计模型。就像将第四四部分中要要详细讨论论的一样，影影响内部审审计师应用用连续审计计方式的一一个关键因因素是管理理层已经实实施了用于于连续控制制监控和识识别控制缺缺陷和风险险指标的系系统的程度度。连续审计测测量某些关关键特征，一一旦某项参参数符合

24、，将将会触发审审计师采取取某种行为为。在连续续审计条件件下，这里里有两种主主要的行为为：连续控制评评估：使审审计师能够够尽早关注注控制的缺缺陷。连续风险评评估：突出出正在遭受受比期望风风险更高的的程序或系系统。连续审计的的行为的频频率取决于于程序或系系统的固有有风险。此此外，它可可以从检查查关键的控控制和风险险领域着手手，在审计计师获得经经验和能够够获取与遵遵循、经营营效率和效效果、财务务报告的公公允性等方方面的可测测量结果时时，然后扩扩大连续审审计应用领领域的范围围。三、COSSO的企业风险险管理（EERM）框框架Treaddway委委员会下属属的发起组组织委员会会（COSSO）发布布的企业

25、风风险管理整合框框架鼓励内内部审计师师行为向管管理层经营营方式靠拢拢：控制环环境、风险险评估、信信息与沟通通、风险监监控。COOSO的EERM框架架是原来的的COSOO内部控制制框架的扩扩展。它增增加了对内内部控制的的关注，并并且对企业业风险管理理（ERMM）进行了了更加充分分的广泛的的论述。它它的四个目目标策略、运营、报报告和遵循循，给内部部审计师增增加了评价价内部控制制系统、识识别和评估估风险的压压力。要完完成这些任任务，内部部审计必须须改变它的的传统的角角色，向关关注公司目目标、策略略、风险管管理和业务务流程、关关键控制行行为转变。连续审计关关注的不单单单是对控控制和法规规的遵循，而而更

26、注重改改进组织的的经营效率率。连续审审计同时还还必须通过过识别和评评估风险以以及给管理理层提供信信息对整个个组织的改改进作出贡贡献，以更更好地适应应变化的商商业环境。它将在所所有的COOSO企业业风险管理理组成部分分方面给内内部审计以以帮助。内部环境和和目标设置置：通过正正式确定连连续审计的的目标和内内部审计的的角色。事项识别：通过开发发一个系统统来识别和和报告事项项以及应对对这些威胁胁和机遇的的程序。风险评估：通过分析析和评估风风险，考虑虑可能性和和影响，从从而给决定定如何管理理风险提供供基础。风险反应：通过考虑虑风险的种种类和关键键行为，通通过开发数数据驱动方方法来评估估和回应风风险。控制

27、行为：通过识别别管理层和和内部控制制的角色；证明控制制评估不是是一年一次次的行为，而而是一个持持续关注的的行为；自自动化这些些控制测试试程序，使使之尽可能能接近实时时运行。信息和沟通通：通过促促进确保信信息的精确确性和关注注事项的实实时报告。监控和评价价：通过提提供独立的的评估来支支持由管理理层实施的的连续监控控行为。图1：COOSO企业业风险管理理框架合法目目标标告标目营经报战略目标子公司业务单位部门层面企业总体层面监控信 息 和 沟 通控制活动风险反应风险评估事项识别目标制定内部环境连续控制评评估将允许许内部审计计师评价管管理监控行行为的充分分性，并给给审计委员员会和高层层管理员工工提供控

28、制制正在有效效运行以及及组织能够够快速改进进出现的缺缺陷快速反反应并及时时改正的独独立保证。连续风险险评估使审审计师能识识别正在出出现的使公公司处于风风险的领域域，将这些些风险区分分优先次序序，以更加加有效地分分配有限的的审计资源源。但是，这这些行为不不能以任何何方式妨碍碍管理层实实施监控和和管理风险险的职能。监控和评价价是COSSO的企业业风险管理理作为一个个有效控制制框架的最最后一个要要素，也是是一个组织织朝持续改改进所做努努力的关键键成分。连连续监控包包含管理层层为保证政政策、程序序和经营流流程都有效效地运行，在在适当位置置设置的程程序。它提提出了管理理层评价控控制的充分分性和有效效性的

29、责任任。这包含含识别控制制目标和保保证认定，并并建立自动动化的测试试程序将遵遵循相关控控制目标和和保证认定定失败的交交易凸显出出来。连续续监控的许许多技术与与内部审计计部门使用用的连续审审计技术是是类似的。四、内部审审计行为和和管理层的的角色为了践行管管理者的角角色，管理理层对风险险评估和内内部控制的的设计、实实施和连续续维护负有有主要责任任。内部审审计行为，根根据它对管管理层和董董事会的职职责，他对对识别和评评价组织的的由管理层层实施的风风险管理系系统（内部部审计准则则21100）和控制制（内部审审计准则22120）的的有效性负负有责任。审计师和和管理层之之间的角色色差异在于于从事内部部控制

30、和风风险评估工工作时，各各自对股东东的责任的的特征。审审计师给股股东提供保保证服务；审计委员员会和高层层经理重视视风险和控控制系统的的状态；在在法规方面面，诸如萨萨班斯法案案，以及管管理层表现现的对内部部控制的关关注的可靠靠性。理想想上，审计计师并不是是流程的一一部分，也也不是来设设计和保持持内部控制制的，这样样，审计师师的客观性性和独立性性就能得以以保持。五、连续审审计和监控控的好处连续审计和和监控（由由管理层实实施）的结结果是类似似的，都包包含提示或或警告，这这些提示或或警告指出出了控制的的缺陷或高高风险水平平。这些提提示或警告告能够按优优先次序排排列，这取取决于风险险和控制缺缺陷的严重重

31、程度，这这些提示或或警告会分分发给经营营流程或应应用系统的的担保人，运运营经理，审审计师，高高级财务经经理，甚至至法规制定定者。管理理层对这些些提示的回回应能够修修补内部控控制缺陷和和立即修正正错误的交交易。审计计师对这些些警告的回回应能够从从立即审计计确认的内内部控制系系统到标记记一个领域域以备将来来审计。例如，对财财务交易的的持续审计计，当一个个分类账凭凭证超出了了给定限额额，以及留留有非正常常关联账户户的入口，测测试可能给给出一个提提示。审计计师的反应应可能取决决于这是否否视为一个个单一项目目这个反反应可能会会是发送一一个Emaail给这这项交易的的当事人以以得到相应应的解释；也可能会会

32、视为一个个系统的问问题，对某某个领域的的财务审计计可能状况况良好。使使用连续审审计进行额额外的测试试来决定这这些异常的的特征能够够回答诸如如以下问题题：日记账凭证证是给暂记记账户留有有入口，而而且没有在在规定的时时间内进行行清除？日记账凭证证是否给不不正常的关关联账户留留有入口？受影响的账账户是否可可能会是诸诸如人工操操纵收益之之类的舞弊弊？日记账凭证证的数量和和类型与往往年相比是是否有异常常？个体之间登登录系统时时是否做到到了职责分分离？我们是否应应该提高或或降低测试试的标准？财务比率是是否与公司司的期望相相符？近几年的收收益趋势如如何？这些些趋势与公公司的期望望（peeer）以及及总体的经

33、经济环境如如何匹配？连续审计帮帮助审计师师评价管理理层的监控控功能的充充分性。这这让首席审审计师能给给审计委员员会和高级级管理层提提供对控制制系统运行行的有效性性作出保证证，以及审审计程序在在识别和指指出任何侵侵害中发挥挥作用。连连续审计还还识别和评评估风险领领域，给审审计师提供供信息，审审计师通过过与管理层层的沟通能能够帮助管管理层减轻轻风险。此此外，他能能够用于帮帮助制定年年度审计计计划，以将将审计关注注点和资源源转向高风风险领域。然而，连续续审计最重重要的优势势之一在于于它独立于于所审计的的业务和财财务系统和和管理层实实施的监控控。这能改改善组织的的管理和控控制框架，并并提供一个个审计师

34、能能够用来支支持他们的的独立评价价和评估行行为的机制制。连续审计还还面临着一一些挑战。这些技术术需要被理理解和控制制。内部审审计师必须须能够访问问数据、软软件工具和和技术，以以及拥有能能够智能使使用他们手手头所掌握握的大量的的公司财务务和非财务务信息的必必要知识。连续审计计带来的机机遇也对审审计师和首首席审计师师提出了要要求。第三部分 需要澄澄清的一些些关键概念念和术语已经采取了了各种尝试试来鼓励审审计师更好好地使用电电子信息，以以改进内部部审计行为为的效率和和效果。最最近，多种种术语已经经被用于这这些尝试，同同时也导致致了职业界界认识上的的混乱。没没有一个清清晰的、通通用的术语语，那么将将会

35、很难提提升这些尝尝试，成功功的可能性性也会减少少。因此，实实施连续审审计首先要要做的就是是给定和传传播所有相相关术语的的清晰的定定义。理解与连续续审计相关关的术语的的关键在于于理解控制制和风险是是一个问题题的两个方方面。控制制的存在是是为了帮助助降低风险险；识别控控制缺陷能能凸显潜在在的风险领领域。相反反，通过检检查风险，审审计师能够够识别哪些些地方需要要控制和（和和）控制没没有发生作作用。尽管对控制制和风险的的评估通常常包含定量量分析也包包含定性分分析，但是是最大化的的效率获取取是来自于于最大化地地利用技术术。对审计计师的挑战战是确保数数据的利用用和通用性性，理解相相关的业务务流程和系系统，

36、最大大化地运用用自动化。所以，这这份全球审审计技术指指南关注的的是支撑持持续审计的的技术辅助助程序。保证可以认认为是第三三方对事件件状态的意意见，这个个事件是关关于一个特特定的交易易、业务或或治理流程程、风险或或整个业务务流程中的的财务绩效效的。审计计保证是对对控制的充充分性和有有效性，信信息的完整整性作出的的声明。管理层实施施的持续控控制监控是是有效保证证策略的核核心部分，但但是，审计计师仍然必必须确保管管理层的行行为是充分分的和有效效的。连续续保证的框框架是联结结内部审计计师的独立立性评价行行为：控制制的状态、组织内部部的风险管管理、评估估管理监控控功能的充充分性。图2：连续续保证的框框架

37、连续保证连续控制评评估连续风险评评估对连续监控控的评估首席审计师师必须保证证所有的审审计师、高高级经理和和审计委员员会理解内内部审计行行为和管理理层在使连连续保证方方程有效的的角色和责责任。以下下的定义可可能提供了了额外的视视角：1、连续审审计是审计计师为了在在一个更持持续、更频频繁的基础础上实施与与审计相关关的行为所所采取的任任何方法。它是一系系列行为的的联合体，这这些行为从从连续控制制评估延伸伸到连续风风险评估。连续风险评评估是关于于控制风风险联合体体的所有行行为。技术术在识别例例外和（或或）异常、分析关键键数据字段段的模式、趋势分析析、从开始始到结束的的明细交易易分析、控控制测试和和将组

38、织的的程序或系系统根据不不同的时点点比较或与与其他类似似的单位比比较等方面面发挥着关关键作用。2、连续控控制评估是是审计师采采取的准备备用来进行行与内部控控制相关的的保证的行行为。通过过连续控制制评估，通通过识别控控制缺陷和和侵害，审审计师给审审计委员会会和高层经经理提供关关于控制是是否正在恰恰当运行的的保证。单单个的交易易是通过一一系列的控控制规则来来进行监控控的，以提提供关于系系统内部控控制的保证证，并强调调例外情况况。一系列列定义良好好的控制规规则在控制制程序或系系统没有按按期望运行行或受到威威胁时能够够及早地提提供警告。内部审计需需要执行连连续控制评评估行为的的范围取决决于管理层层履行

39、其关关于连续监监控的责任任的程度。一个强有有力的管理理监控系统统将减少审审计师必须须执行以对对控制提供供保证的详详细测试数数量。3、连续风风险评估是是审计师用用来识别和和评估风险险水平的行行为。连续续风险评估估通过检查查趋势和比比较（在单单个程序或或系统里，与与之过去的的表现相比比较，与企企业内的其其他的程序序或系统相相比）来识识别和评估估风险水平平。例如，生生产线的表表现可以和和先前年度度的结果相相比较，就就像是将一一个企业的的绩效与所所有的其他他企业相比比较一样。这种比较较能够较早早地警示某某个程序或或系统（审审计主体）的的风险水平平高于以前前年度或其其他主体。审计的反反应也因风风险的特征

40、征和水平而而异。连续续风险评估估能应用于于大范围的的审计领域域，来选择择访问点，来来识别排除除包含在审审计计划中中的特定的的审计或单单位，或触触发对某个个风险增加加但缺乏足足够解释的的单位的审审计。它也也能够用来来评价管理理行为，来来检查审计计建议是否否得到合理理的贯彻，经经营风险水水平是否正正在减少。4、连续监监控是管理理层为了确确保政策、程序和业业务流程能能够有效运运行而实施施的一项程程序。管理理层识别关关键控制点点和实施自自动化的测测试来决定定这些控制制是否恰当当运行。典典型的持续续监控程序序包括在给给定的经营营流程领域域内，借助助一组控制制规则，自自动测试所所有的交易易和系统行行为。监

41、控控通常是按按天、周或或月进行，这这取决于当当前的业务务循环的特特征。取决决于特殊的的控制规则则和相关测测试和初始始参数，某某些交易被被标记为控控制例外事事项，且告告知管理层层。管理层层监控也可可能依靠关关键绩效指指标和其他他绩效评价价行为。对对监控警报报和提示作作出回应并并立即修补补控制缺陷陷和改正问问题交易是是管理层的的责任。一、连续审审计的连续续系统连续审计帮帮助审计师师识别和评评估风险，还还在组织中中建立智能能和动态阀阀值来回应应变化。它它也支持整整个审计范范围的风险险识别和评评估，帮助助制定年度度审计计划划，以及确确定某项特特定审计的的审计目标标。因此，连连续审计在在很多层面面上可以

42、视视为一个连连续系统。同时，连连续系统中中的不同位位置更加适适合不同的的工作，在在连续系统统中当你执执行不同的的任务时还还可能超过过一个位置置。对连续审计计的关注从从控制基础础到风险基基础（见图图3）；分分析性技术术从对明细细交易的实实时评价到到对整个单单位进行趋趋势分析以以及与其他他单位进行行比较分析析，并且随随着时间进进行。图3：连续续审计的连连续系统连续审审计连续控制评评估连续风风险评估方法控制基础 风风险基础（保证控制制正在运行行）（识别/评估风险险）财务控制 财财务/运营营控制关注点实时/详细细交易测试试（财务数数据）趋势/比较（财财务/运营营数据）分析技术控制保证 财务鉴鉴证 舞舞

43、弊/浪费费/滥用 审计范范围和目标标 追踪踪审计记录录 年度审审计计划相关审计行行为控制监控 业绩绩监控 平衡衡计分卡 全全面质量管管理 企业风风险管理相关管理行行为注1：在这这个连续系系统的“控制”结尾，相相关审计行行为包括保保证和财务务鉴证审计计。注2：连续续系统的另另一个结尾尾的审计行行为包括通通过风险评评估支持审审计项目来来识别舞弊弊、浪费和和滥用，并并提交年度度审计报告告。注3：相关关管理层行行为包括连连续控制监监控，绩效效监控，平平衡计分卡卡，全面质质量管理和和企业风险险管理。连续审计是是一个统一一能够带来来控制保证证、风险评评估、审计计计划、数数据分析以以及其他审审计工具、技术和

44、科科技结合在在一起的统统一结构或或框架。它它支持微观观审计事项项，例如明明细交易测测试来评价价控制的有有效性；宏宏观审计方方面，通过过风险识别别和评估来来准备年度度审计计划划。它也能能满足中观观层面的需需求，例如如为个别审审计开发审审计项目。微观审计和和宏观审计计两个层次次的主要区区别在于两两者信息需需求的粒度度不同：1、控制测测试需要细细节信息：需要深入入交易的源源头层次。连续控制制评估使用用仔细制定定的规则和和实时的或或接近实时时的，测试试交易对这这些规则的的遵循情况况。2、个别审审计通常开开始于年度度审计计划划中的风险险识别，但但使用更多多的数据分分析和其他他技术（如如访问，自自我控制评

45、评估，实地地观察waalkthhrouggh，调查查问卷）来来进一步定定义风险的的主要领域域和风险评评估的关注注点和后续续的审计行行为。3、年度审审计计划需需要高层次次的信息，可可能是几年年的价值数数据，来建建立风险因因素，并将将风险排序序，设置审审计计划开开始的时间间和目标。第四部分 连续审审计与连续保证证和连续监监控的关系系一、连续保保证前文已提到到，保证被被描述为第第三方对事事件状态的的意见。它它通常包括括三个方面面：1、准备信信息的个人人或团体。2、使用这这些信息来来进行决策策的个人或或团体。3、客观存存在的第三三方。通常，保证证被视为一一项严格的的审计相关关行为，通通常具有财财务方面

46、的的特征。但但是其他的的，诸如法法律界也提提供保证服服务。审计保证是是对控制的的充分性和和有效性以以及信息的的完整性发发表意见。管理层对对控制的连连续监控是是有效保证证策略的核核心，但是是，审计行行为还必须须保证管理理层行为是是充分和有有效的。内部审计通通过客观检检查所获取取的证据以以提供对风风险管理策策略和实践践，管理控控制框架和和实践，用用于决策和和报告的信信息的保证证服务。连连续保证服服务能够在在审计师执执行连续控控制和风险险评估（如如连续审计计）和评价价管理层实实施的连续续监控行为为的充分性性时提供。审计师检查查管理层的的行为，证证实控制都都在运行，提提出改进建建议，确保保风险正在在被

47、控制。如果审计计师在执行行诸如检查查和证实控控制和风险险，确保管管理层正在在进行监控控工作，那那么组织将将有一个对对控制正在在运行，风风险正被控控制，用于于决策的信信息具有完完整性的高高层次的保保证。管理理层在这个个保证方程程（asssurannce eequattion）中中起着开发发、设计和和监控控制制和控制风风险的作用用。二、连续监监控连续监控是是管理层设设置的用于于确保政策策、程序和和经营流程程都在有效效运行的程程序。评价价控制的充充分性和有有效性通常常是管理层层的责任。许多管理理层使用的的用于对控控制的连续续监控技术术与内部审审计师进行行连续审计计所用技术术类似。连连续监控的的原则比

48、较较简单，它它包含以下下几个方面面：1、在一个个给定的经经营流程中中定义控制制点，如果果可能的话话可参照CCOSO的的企业风险险管理框架架。2、对每个个控制点识识别控制目目标和保证证声明。3、建立一一系列的自自动化的测测试，以指指出某项交交易是否没没有遵循所所有的相关关控制目标标和保证声声明。4、在接近近交易发生生的同时，将将所有的交交易进行测测试。5、调查没没有通过控控制测试的的所有交易易。6、如果合合适的话，可可以更正这这项交易。7、如果合合适的话，更更正控制薄薄弱环节。连续监控的的关键是这这些程序必必须由管理理层掌控并并由管理层层来执行，因因为实施和和保持有效效控制系统统是其职责责的一部

49、分分。既然管管理层对内内部控制负负有责任，那那么它就必必须有一个个连续的决决定控制是是否按设计计在运行的的方法。通通过实时地地识别和更更正控制的的问题，整整个的控制制系统将得得以改善。组织得到到的一个典典型的额外外的好处是是错误和舞舞弊显著减减少，经营营的效率得得到了提高高，通过成成本的减少少和过度支支付（ovverpaaymennt）和收收入泄漏的的减少，从从而使线下下项目的结结果得以改改善。三、连续审审计管理层监控控和风险管管理行为的的充分性与与审计师必必须执行对对内部控制制的详细测测试和风险险评估的程程度，它们们之间存在在这一个反反比的关系系。连续审审计运用的的方法和工工作量取决决于管理

50、层层实施的连连续监控行行为的程度度。图4：反比比关系：管管理层付出出的努力水水平与审计计行为对内部控制的完全监控对内部控制的少量监控减少工作量显著的努力/更多的资源审计工作量管理层反应在管理层还还没有实施施连续监控控的地方，审审计师必须须借助连续续审计技术术进行详细细测试。在在某些情况况下，审计计师甚至可可能主动来来帮助组织织建立风险险管理和控控制评估程程序（见国国际内部审审计协会实实务报告22100-4：审计计师在一个个没有风险险管理程序序组织中的的作用）。但是，要要注意的是是审计师对对这些程序序中并不拥拥有所有者者权，因为为这会损害害审计师的的独立性和和客观性。图5：连续续审计、监监控和保

51、证证（概念框框架）连续保证连续审计和连续监控程序的结果连续监控审计测试连续审计审计连续监控管理行为、交易和事件经营系统和流程管理层全面面地在经营营流程领域域中从头到到尾地实施施连续监控控，内部审审计师就无无需执行同同样的详细细测试来进进行连续审审计。但是是，审计师师必须执行行其他的程程序来决定定他们是否否可以依赖赖这个连续续监控程序序。这些程程序包括：1、评价侦侦测到的异异常和管理理层的反应应。2、评价和和测试连续续监控程序序本身的控控制，例如如： （1）处处理日志/审计轨迹迹 （2）调调节总额控控制（coontrool tootal recooncilliatiions） （3）系系统测试参

52、参数的变化化通常，这些些程序与那那些在正常常审计程序序中为确保保计算机辅辅助审计技技术被正确确应用的质质量控制测测试是相似似的。通过结合评评价监控和和连续审计计程序，审审计师能够够提供关于于内部控制制有效性的的保证。第五部分 连续审审计的应用用领域对内部审计计部门而言言所面临的的压力是以以较少的资资源做更多多的事情。也许最困困难的挑战战来自于审审计师必须须对内部控控制的有效效性及时作作出保证，更更好地识别别和评估风风险水平，快快速找出没没有遵循相相关法规和和政策的事事项。这些些就是连续续审计可以以应用的领领域。适用用技术，从从电子表格格软件或脚脚本开发使使用特种审审计软件（sscrippts

53、ddevellopedd usiing aauditt-speecifiic sooftwaare）到到商品化的的专业解决决方案软件件包或客户户自行开发发的系统。这些选择择的解决方方案必须是是灵活的可可升级的，允允许审计师师从某个特特定的领域域开始，然然后扩大范范围、规模模和分析的的频率。尽管一些法法定审计需需要每年进进行一次，但但是每年严严格执行这这些审计已已不能满足足管理和法法规的需要要。内部审审计行为必必须应用风风险评估和和进行控制制保证行为为。虽然需需要更加关关注财务方方面的审计计，连续审审计支持所所有类型和和领域的审审计行为。欧洲联邦邦内部审计计机构（EECIIAA）在20005年意

54、意见书欧欧洲内部审审计中，鼓鼓励内部审审计师通过过给管理层层提供的关关于风险已已经被识别别并且得到到恰当的控控制的保证证，对组织织面临的风风险作出反反应。审计计师不仅必必须能够评评价财务风风险，而且且要能够评评价运营风风险和策略略风险。这这是持续审审计所关注注的新领域域。用于测测试控制的的信息访问问技术和技技术技能也也能够帮助助首席审计计师通过支支持持续的的评价企业业风险管理理有效性的的评价行为为和对一些些警告提出出改进建议议，从而给给管理层提提供价值无无法估量的的帮助， 首席审计师师通过给高高层管理员员工提供独独立的风险险和控制评评估来支持持其监控职职能。连续续审计有一一系列的功功能来支持持

55、审计行为为，首席审审计师，通通过以下的的适用方法法和服务，包包括：1、风险管管理策略和和实践：通通过及早识识别风险。2、管理控控制框架的的可靠性：通过找出出控制薄弱弱环节。3、用于决决策的信息息：通过检检查管理者者使用的信信息的可靠靠性和可获获取性。4、包含在在年度审计计计划中审审计项目的的选择：通通过识别更更高风险领领域。5、实施有有效的和及及时的改正正行为：通通过检验审审计建议的的执行情况况。首席审计师师必须认识识到许多的的管理行为为与连续审审计有很强强的联系，例例如整合风风险管理、平衡计分分卡、连续续改进、连连续监控。审计必须须决定那些些地方适合合连续审计计，它如何何能用于评评估这些管管

56、理措施行行为或者利利用它们所所产生的信信息。实施连续审审计框架的的期望好处处包括：1、增加减减轻风险的的能力。2、减少评评估内部控控制的成本本。3、增加对对财务结果果的信心。4、财务运运营的改善善。5、减少财财务错误和和潜在的舞舞弊。此外，完全全运用了连连续审计的的组织，通通常会报告告运营成本本的减少和和边际利润润的增加。一、应用于于连续控制制评估（一）识别别控制缺陷陷由于新的法法规需要高高层管理者者证明控制制环境的有有效性，以以及财务报报告中所含含信息的精精确性，首首席执行官官和首席财财务官开始始内部审计计行为来辅辅助遵循这这些法规。尽管管理理层对监控控、设计和和维持控制制负有责任任以备广泛

57、泛认可，国国际内部审审计准则22120号号，A1节节指出内部部审计行为为“应该通过过评价内部部控制的有有效性和效效率性，以以及促进持持续改进来来辅助组织织保持有效效的控制”。由于这这些外部和和内部的压压力，特别别是在一些些管理层没没有恰当发发挥其监控控角色的作作用，审计计师通常需需要执行一一个更加全全面的评估估和提供更更加连续的的控制评估估。这对内内部审计流流程和方法法有显著的的影响。连续控制评评估给让首首席审计师师清楚地看看到内部控控制系统的的有效性。反过来，给给财务经理理，经营流流程管理这这和风险及及遵循经理理提供对内内部控制的的独立的和和及时的保保证。对关关于内部控控制交易数数据的连续续

58、控制评估估能够迅速速找出错误误和异常，将将它们报告告给管理层层，以及时时进行检查查和采取行行动。它也也能对财务务和运营信信息的可靠靠性和完整整性，营运运的效率和和效果起作作用。连续控制评评估还能够够对连续的的风险评估估和管理层层减轻风险险的行为起起作用。控控制和风险险的评估是是相互补充充、相互支支持。以下的一个个关于内部部审计中应应用连续控控制评估在在财务控制制、系统控控制和安全全控制等三三个领域来来支持管理理层监控功功能。（二）财务务控制：以以采购卡项项目为例一个全国性性的采购卡卡管理员手手工操作，每每个季度只只能对交易易的极小样样本进行评评价。审计计师决定管管理层的对对于采购的的控制是薄薄

59、弱的，那那么暴露出出来的风险险是否相当当的高。在在评价采购购卡使用的的政策后，审审计师进行行一系列的的分析测试试来识别：1、不恰当当的采购卡卡使用，包包括与旅行行支出有关关的交易。2、用于个个人项目的的支付（如如珠宝、酒酒，等等）。3、可疑交交易（如未未经授权的的持卡人使使用，销售售商重复刷刷卡，分次次付款以避避免超过财财务限额，等等等）。分析的结果果将提交给给持卡者的的经理，以以对这些可可疑交易进进行详细审审查将采购购卡的支出出与商品采采购相匹配配。这识别别出许多的的不恰当的的采购和以以上三种类类型的舞弊弊。在审计完成成后，连续续控制评估估应用测试试就转向采采购卡协调调员，来帮帮助运营经经理

60、每个月月对采购卡卡控制的监监控。（三）系统统控制：以以职责分离离为例连续控制评评估测试也也能够用来来证实系统统是否按期期望值在起起作用。使使用分析技技术，测试试程序能够够比较个别别交易和规规则基础标标准，对所所有的交易易进行评价价以确保个个体没有执执行不相容容的职责。在一个组织织内，新实实施一个EERP系统统，目的是是用自动控控制替代手手工控制来来确保职责责的分离。ERP项项目小组，通通过业主的的投入，开开发一系列列基于使用用者角色的的特色配置置，这就允允许使用者者能够根据据自己的工工作职责来来处理各式式各样的业业务。尽管管审计师相相信在开发发基于角色色的特色配配置中的方方法和程序序，他们关关