全球技術審計指南（第3號）連續(xù)審計：對保證監(jiān)控和風險評估的意義

全球技術審計指南（第3號）連續(xù)審計：對保證監(jiān)控和風

險評估的意義

全球技術審計指南（第3號）

（2005年9月公布）

ContinuousAuditing:

ImplicationsforAssurance,

^Monitoring,and<^is^Assessment

典續(xù)審計：對保證、監(jiān)控與風險評估的意義

Author

DavidCoderre,RoyalCanadianMountedPolice(RCMP)

作者

戴維德?科德里（加拿大皇家騎警）

SubjectMatterExperts

JohnG.Verver,ACLServicesLtd.

DonaldJ.Warren,CenterforContinuousAuditing,RutgersUniversity

主題專家

約翰?G?沃沃（ACL公司）

唐納德?J?倭仁（魯特格斯大學，連續(xù)審計研究中心）

湘潭大學商學院陽杰譯（2006年11月）

*注：原指南附錄部分由于篇幅限制，未加翻譯

目錄

1首席審計師簡述1

1.1連續(xù)審計2

1.2連續(xù)審計/連續(xù)監(jiān)控的必要性：整合法3

1.3內部審計與管理層的角色4

1.4連續(xù)審計的作用4

1.5實施的問題5

2導言6

2.1連續(xù)審計：一個簡史7

2.2當今的審計環(huán)境8

2.3COSO的企業(yè)風險管理（ERM）框架9

2.4內部審計行為與管理層的角色12

2.5連續(xù)審計與監(jiān)控的好處12

3需要澄清的一些關鍵概念與術語14

3.1連續(xù)審計的連續(xù)系統(tǒng)17

4連續(xù)審計于連續(xù)保證與連續(xù)監(jiān)控的關系18

4.1連續(xù)保證18

4.2連續(xù)監(jiān)控19

4.3連續(xù)審計20

5連續(xù)審計的應用領域22

5.1應用于連續(xù)操縱評估24

5.2應用于連續(xù)風險評估29

6實施連續(xù)審計36

6.1連續(xù)審計目標37

6.2連續(xù)操縱與風險評估的關系47

6.3連續(xù)風險評估51

6.4管理與報告結果53

6.5挑戰(zhàn)與其他要考慮的因素57

今天的法規(guī)環(huán)境下，首席審計師們都發(fā)現他們的部門變得越來越被為

滿足遵循要求的監(jiān)控與內部操縱測試所吞噬。但是，大多數的運營與財務

審計行為保留下來了。許多內部審計部門正借助技術來減輕負擔，并提升

效率與生產率，推動經營績效。

這份全球技術審計指南“連續(xù)審計：對保證、監(jiān)控與風險評估的意義”

給首席審計師們提供關于如何實施一個理想的策略，結合連續(xù)審計與連續(xù)

監(jiān)控方案來應對這些挑戰(zhàn)。ACL的數據分析技術與連續(xù)操縱監(jiān)控方案能夠

最好地提升審計實踐，以滿足當今對有效操縱地高度要求。ACL能夠幫助

你證明適當的技術投資的好處，同時支持持續(xù)的遵循需要，增加運營效率，

并對提高收益有幫助。

第一部分首席審計師簡述

對風險管理與操縱系統(tǒng)的有效性進行及時與連續(xù)的保證的需求非常關

鍵。組織頻繁地暴露在重大錯誤、舞弊或者者無效率下，這些會導致財務

缺失與風險升級。一個變化的法規(guī)環(huán)境，經營的全球化，市場方面要求改

善經營的壓力，與快速變化的商業(yè)環(huán)境要求更加及時與連續(xù)地對正在運行

的操縱的有效性與風險水平正在降低作出保證。

這些要求給首席審計師們與他們的職員不斷增加壓力。內部審計部門

卷入遵循工作的程度持續(xù)增加，特別是由于法規(guī)的原因，比如美國2002年

的薩班斯法案第404節(jié)。關注度的提高不僅與期望值的增長有關，還與內

部審計師在評價內部操縱的有效性、風險管理與治理流程中保持獨立性與

客觀性的能力能力有關。

今天，內部審計師面臨著的挑戰(zhàn)來自一系列的領域:

1、法規(guī)的遵循與操縱：評價與識別事件與流程，可持續(xù)性，資源,

定義重要性，優(yōu)先級與財務報告風險。

2、內部審計價值與獨立性：對內部審計的高度期望，內部操縱問題

的增加，對內部審計角色可靠性與獨立性的困惑，客觀性與獨立性

的削弱。

3、舞弊：偵測與操縱，識別盜竊，舞弊管理責任，舞弊頻率與成本

的增加。

4、可用的熟練審計資源：缺乏能勝任的與合適的熟練審計師，審計

師短缺，持續(xù)力，對風險與操縱缺乏懂得。

5、技術：支持遵循的合適的解決方案，技術經營模型，信息安全，

信息技術優(yōu)勢，外部采購。

顯然，務必要有一種新的、能夠提供連續(xù)的、建設性的與劃算的方法來

解決這些問題。

一、連續(xù)審計

傳統(tǒng)的內部審計所對操縱測試是一種向后看的周期性方式，通常是在經

營行為發(fā)生后的幾個月后進行。測試程序也是基于抽樣的方式，還包含一

些諸如對政策、程序、批準與調節(jié)的評價?，F在，這種方式被視為一種僅

僅能夠提供內部審計師一個狹窄范圍的評價的審計方法，通常由于太遲而

是去了對經營績效與法規(guī)遵循的價值。連續(xù)審計是一種以更加頻繁的方式

來自動執(zhí)行操縱與風險評估的方法。

技術是施行這樣一種方法的關鍵。連續(xù)審計改變了審計模式，它將對交

易樣本的周期性測試變?yōu)閷?00%的樣本進行連續(xù)性測試。它已在許多層

次上已成了現代審計不可缺少的部分。它也應該緊密與管理行為(如行為

監(jiān)控，平衡計分卡與企業(yè)風險管理框架)結合在一起。

連續(xù)審計方式能讓內部審計師完全懂得關鍵操縱點、操縱規(guī)則與例外情

況。通過對的自動化與經常性的分析，他們能夠實時地或者接近實時地執(zhí)

行操縱與風險評估。他們能從交易層面的特殊與操縱缺陷與出現風險的數

據驅動指標兩方面來分析關鍵業(yè)務流程。最后，通過連續(xù)審計，分析結果

將被整合進審計程序的所有方面，從制定與維持這個企業(yè)審計計劃到開展

與繼續(xù)特定的審計。

二、連續(xù)審計/連續(xù)監(jiān)控的必要性：整合法

按照首席審計師們對遵循努力的負擔、資源的缺乏與保持審計獨立的必

要性的關注，將連續(xù)審計與連續(xù)監(jiān)控結合在一起將是一種理想的方法。

連續(xù)監(jiān)控管理層設計的為保證政策、程序與業(yè)務流程能有效運行的程

序。它指出了管理層對評價內部操縱的充分性與有效性的責任。這包含識

別操縱目標與保證聲明(assuranceassertion)與建立自動化的測試程序

來找出遵循失敗的活動與交易。許多管理層實施的對操縱的連續(xù)監(jiān)控技術

與內部審計師執(zhí)行連續(xù)審計所用技術類似。

管理層使用連續(xù)監(jiān)控程序，結合內部審計師執(zhí)行的連續(xù)審計，能夠滿足

對操縱程序的有效性與用于決策的信息的有關性與可靠性的保證需要。

對組織的一種重要的額外好處是錯誤與舞弊事件的顯著減少，經營效率

也得到了提高，線下項目(bottom-line)的結果也通過成本的減少與過度

支付及收入泄漏的減少得到改善。實施了連續(xù)審計與連續(xù)監(jiān)控的組織通常

會發(fā)現他們迅速地獲得了投資回報。

商業(yè)與法規(guī)環(huán)境，與出臺的審計準則，促使審計師與管理層更加有效地

利用信息與數據分析技術，作為連續(xù)審計與連續(xù)監(jiān)控的可行基本因素之一。

三、內部審計與管理層的角色

管理層對評價風險與設計、實施、連續(xù)保護組織內部的操縱負有要緊責

任。內部審計師的行為要對識別與評價由管理層實施的組織的風險管理系

統(tǒng)與操縱的有效性負責。審計師進行評價以給審計委員會與高層經理在風

險的狀態(tài)與操縱系統(tǒng)，與在諸如薩班斯法案等法規(guī)下，就管理層關心的操

縱狀況的可靠性提供保證。理想的情況是，內部審計不是操縱監(jiān)控流程的

一部分，同時沒有設計或者保護這些操縱，從而能夠使他們的獨立性得以

保持。

盡管對內部操縱的監(jiān)控是一種管理職能，內部審計師行為能夠使用與借

助連續(xù)審計來強化整個組織的監(jiān)控與評價環(huán)境。管理層事先執(zhí)行的監(jiān)控水

平將直接影響審計師實施連續(xù)審計。在管理層已經對某項內部操縱進行連

續(xù)監(jiān)控的情況下，在連續(xù)審計時，相同層次的全面交易測試就無需再進行。

取而代之的是，審計師能夠關注審計程序，來決定管理層監(jiān)控程序有效性,

借助這種測試的結果來調整范圍、數字與審計測試的頻率。

四、連續(xù)審計的作用

連續(xù)審計的作用依靠于對對內部操縱的連續(xù)性測試的智能性與有效性，

及時提示操縱缺口與薄弱環(huán)節(jié)存在的風險，并同意立即的追蹤與進行補救。

通過改變他們的審計方式，審計師將能夠更好地懂得經營環(huán)境與公司風險

以支持遵循與提高經營績效。

五、實施的問題

首席審計師務必認識到連續(xù)審計將改變審計模式，包含證據的特征、時

間、程序與內部審計師所需的努力水平。這將給審計部門提出要求，特別

是他們務必：

1、獲得與促成審計委員會與高級管理層支持這個概念并實施連續(xù)

審計。

2、開發(fā)與保持技術方面的能力，以保證訪問、操作與分析包含在相

互分離系統(tǒng)中數據的能力。

3、使用（或者實施）數據分析技術來支持審計項目，包含使用合適

的分析軟件工具，開發(fā)與保護數據分析技術，與審計組中的專家。

4、發(fā)起、促進與鼓勵管理層對連續(xù)審計的支持。

5、保證連續(xù)審計被使用作為風險導向審計計劃中完整的、相容的一

部分。

6、管理與回應連續(xù)審計的結果，決定合適的使用、跟蹤與報告機制。

首席審計師將務必確保對審計發(fā)現報告的問題管理層已經采取合適

的行動，連續(xù)審計的結果在管理層的評價時要被考慮到，這些評價

包含內部操縱的監(jiān)控，業(yè)績評價與企業(yè)風險管理。

這份國際內部審計師協(xié)會（IIA）的全球技術審計指南（GTAG）確定了

那些務必要做，以有效利用技術來支持連續(xù)審計，突出需要進一步關注的

領域。通過閱讀與遵照下面列出的步驟，內部審計師應該處于一個更好的

位置來利用技術與最大化他們的投資回報，同時也要向管理層證明進行適

當的技術投資的必要性一一不僅對影響他們組織的法規(guī)遵循的需要起作

用，而且對整個組織的健康與競爭力起作用。

第二部分導言

這份全球技術審計指南將著重連續(xù)審計的技術可行性方面，同時將介

紹：

1、過去30年間使用的類似概念的歷史與背景。

2、有關的術語與技術的定義：連續(xù)審計，連續(xù)性風險評估，連續(xù)性

操縱評估，連續(xù)監(jiān)控，連續(xù)性鑒證。

3、連續(xù)審計與連續(xù)監(jiān)控的關系。

4、連續(xù)審計能在內部審計行為中應用的領域。

5、與連續(xù)審計有關的挑戰(zhàn)與機遇。

6、對內部審計與首席審計師與管理的影響。

7、一個連續(xù)審計自我評估工具。

自1980年以來，許多的名詞與實時或者接近實時地提供連續(xù)審計程序

的概念有關系，包含：連續(xù)監(jiān)控、連續(xù)操縱評估、連續(xù)審計。這份全球審

計指南首先統(tǒng)一使用“連續(xù)審計”的概念。它論述了作為連續(xù)審計的要緊

構成部分的連續(xù)操縱評估與連續(xù)風險評估。這份指南將監(jiān)控行為視為管理

層的責任，同時還論述了審計與監(jiān)控的內在聯(lián)系，與內部審計師在他們的

角色中如何提供額外的保證來支持管理。

當前最顯著的一個連續(xù)審計的推動力就是高昂的法規(guī)遵循成本。在美

國，一份2005年3月份的國際財務執(zhí)行官組織調查發(fā)現，每個組織的薩班

斯法案的平均遵循成本超過了四百萬美元。由于絕大部分成本都與手工的、

員工密集型（內部資源與外部顧問的使用）有關。那么我們對2005年1月

份AMR研究機構所作的研究發(fā)現關鍵技術能夠用來減少的遵循成本超過

25%就不可能感到驚奇了。

遵循的壓力迫使組織改進他們對內部操縱進行連續(xù)評價的方法。在這種

情況下，美國證券交易委員會指出，“管理層與審計師務必運用合理的推斷,

在（薩班斯法案404條款）遵循流程中運用嚴密的（TOP-DOWN）,風險基礎

的方法”。這就導致了對連續(xù)監(jiān)控（由管理層實施）與連續(xù)審計的關注不斷

增加。支持一套完整的審計行為，連續(xù)審計不僅幫助支持對操縱的保證，

還包含風險評估，識別舞弊、浪費與濫用，審計計劃，跟蹤審計建議等審

計行為。

一、連續(xù)審計：一個簡史

自動操縱測試開始于20世紀60年代，當時是通過安裝與執(zhí)行內嵌審

計模塊（EAMs）來實現的。但是，這些模塊難以建立與保護，而且只是在

有關的少數組織中使用。在20世紀70年代后期，審計師開始離棄這種方

法。到了20世紀80年代，審計職業(yè)中有些人開始同意并使用計算機輔助

審計工具與技術（CAATTs）用于特殊的調查與分析。與此同時，連續(xù)監(jiān)控

的概念首先是通過大量的學術文章介紹給審計師的。最基本的優(yōu)點就是使

用連續(xù)的自動化的數據分析將幫助審計師識別風險最高的領域，并作為決

定他們的審計計劃的先導。但是，在很大程度上，審計師們并沒有對這種

審計方法做好準備。他們缺乏容易訪問的合適軟件工具，與技術資源與專

家來克服數據訪問的挑戰(zhàn)，最重要的是，組織將是否支持這種新的與傳統(tǒng)

審計方法很不一致的審計方式與方法。

在20世紀90年代，在全球審計職業(yè)界內，開始大范圍的不斷地同意

數據分析解決方案，這些解決方案被視為支持有效進行內部操縱測試的關

鍵工具。這些技術用于檢查交易中某些發(fā)生的事件，這些事件是由于某項

操縱不存在或者沒有適當地執(zhí)行。它也能夠識別與操縱標準不符的交易。

此外，數據分析支持不是直接從交易數據中獲取證據的操縱測試。比如，

企業(yè)資源管理計劃(ERP)訪問與授權表格能夠用來分析保持適當的職責分

離是否失效。但是，盡管有這些技術基礎，傳統(tǒng)審計程序通常依靠于典型

的樣本，而不是對總體進行評價，同時是在經營(交易)行為發(fā)生一些時

間后進行分析的。因此，風險與操縱問題有大量的機會升級，并對經營績

效產生消極的影響。

二、當今的審計環(huán)境

今天，經營環(huán)境中信息系統(tǒng)功能的普及使得審計師能夠更加容易地訪

問更加有關的信息，同時也包含對大量增加的數據與交易的管理與評價。

此外，經營的快節(jié)奏要求提升對操縱問題識別與反應。在美國像薩班

斯法案的404條款之類的法規(guī)要求及時披露操縱的缺陷，管理層要對內部

操縱框架充分性作出保證。這些法規(guī)遵循的緊迫性、連續(xù)審計準則、審計

軟件的功能提升，既促使而且能夠讓審計師采納新的方法來評估信息與評

價操縱。

首席審計師務必給高層管理者提供對內部操縱的健康運行與組織內的

風險水平作出連續(xù)的評價，而不是簡單的周期性的評價。今天的內部審計

師不僅僅是對操縱進行審計，他們還關注公司的風險特征，而且在識別風

險領域來改善風險管理流程中發(fā)揮關鍵作用。但是，假如他們不完全懂得

經營流程與有關風險，審計師只能僅僅執(zhí)行傳統(tǒng)的審計核查工作。連續(xù)審

計給審計師提供了一個超脫傳統(tǒng)審計方式的局限、樣本的限制、撰寫標準

公告、實時評價的機會，連續(xù)審計的關鍵部分是能夠在接近經營行為發(fā)生

或者者在經營行為發(fā)生的同時對交易進行評價的連續(xù)審計模型。

就像將第四部分中要全面討論的一樣，影響內部審計師應用連續(xù)審計

方式的一個關鍵因素是管理層已經實施了用于連續(xù)操縱監(jiān)控與識別操縱缺

陷與風險指標的系統(tǒng)的程度。

連續(xù)審計測量某些關鍵特征，一旦某項參數符合，將會觸發(fā)審計師采

取某種行為。在連續(xù)審計條件下，這里有兩種要緊的行為：

1、連續(xù)操縱評估：使審計師能夠盡早關注操縱的缺陷。

2、連續(xù)風險評估：突出正在遭受比期望風險更高的程序或者系統(tǒng)。

連續(xù)審計的行為的頻率取決于程序或者系統(tǒng)的固有風險。此外，它能夠

從檢查關鍵的操縱與風險領域著手，在審計師獲得經驗與能夠獲取與遵循、

經營效率與效果、財務報告的公允性等方面的可測量結果時，然后擴大連

續(xù)審計應用領域的范圍。

三、COSO的企業(yè)風險管理(ERM)框架

Treadway委員會下屬的發(fā)起組織委員會(COSO)公布的企業(yè)風險管理

——整合框架鼓勵內部審計師行為向管理層經營方式靠攏：操縱環(huán)境、風

險評估、信息與溝通、風險監(jiān)控。COSO的ERM框架是原先的COSO內部操

縱框架的擴展。它增加了對內部操縱的關注，同時對企業(yè)風險管理(ERM)

進行了更加充分的廣泛的論述。它的四個目標一一策略、運營、報告與遵

循，給內部審計師增加了評價內部操縱系統(tǒng)、識別與評估風險的壓力。要

完成這些任務，內部審計務必改變它的傳統(tǒng)的角色，向關注公司目標、策

略、風險管理與業(yè)務流程、關鍵操縱行為轉變。

連續(xù)審計關注的不單單是對操縱與法規(guī)的遵循，而更注重改進組織的經

營效率。連續(xù)審計同時還務必通過識別與評估風險與給管理層提供信息對

整個組織的改進作出奉獻，以更好地習慣變化的商業(yè)環(huán)境。它將在所有的

COSO企業(yè)風險管理構成部分方面給內部審計以幫助。

1、內部環(huán)境與目標設置：通過正式確定連續(xù)審計的目標與內部審計

的角色。

2、事項識別：通過開發(fā)一個系統(tǒng)來識別與報告事項與應對這些威脅

與機遇的程序。

3、風險評估：通過分析與評估風險，考慮可能性與影響，從而給決

定如何管理風險提供基礎。

4、風險反應：通過考慮風險的種類與關鍵行為，通過開發(fā)數據驅動

方法來評估與回應風險。

5、操縱行為：通過識別管理層與內部操縱的角色；證明操縱評估不

是一年一次的行為，而是一個持續(xù)關注的行為；自動化這些操縱測

試程序，使之盡可能接近實時運行。

6、信息與溝通：通過促進確保信息的精確性與關注事項的實時報

告。

7、監(jiān)控與評價：通過提供獨立的評估來支持由管理層實施的連續(xù)監(jiān)

控行為。

圖?。篊OSO企業(yè)風險管理框架

標標標標

目目目目

略營告法門

戰(zhàn)經報合I—?

連續(xù)操縱評估將同意內部審計師評價管理監(jiān)控行為的充分性，并給審計

委員會與高層管理員工提供操縱正在有效運行與組織能夠快速改進出現的

缺陷快速反應并及時改正的獨立保證。連續(xù)風險評估使審計師能識別正在

出現的使公司處于風險的領域，將這些風險區(qū)分優(yōu)先次序，以更加有效地

分配有限的審計資源。但是，這些行為不能以任何方式妨礙管理層實施監(jiān)

控與管理風險的職能。

監(jiān)控與評價是COSO的企業(yè)風險管理作為一個有效操縱框架的最后一個

要素，也是一個組織朝持續(xù)改進所做努力的關鍵成分。連續(xù)監(jiān)控包含管理

層為保證政策、程序與經營流程都有效地運行，在適當位置設置的程序。

它提出了管理層評價操縱的充分性與有效性的責任。這包含識別操縱目標

與保證認定，并建立自動化的測試程序將遵循有關操縱目標與保證認定失

敗的交易凸顯出來。連續(xù)監(jiān)控的許多技術與內部審計部門使用的連續(xù)審計

技術是類似的。

四、內部審計行為與管理層的角色

為了踐行管理者的角色，管理層對風險評估與內部操縱的設計、實施與

連續(xù)保護負有要緊責任。內部審計行為，根據它對管理層與董事會的職責,

他對識別與評價組織的由管理層實施的風險管理系統(tǒng)（內部審計準則2110）

與操縱（內部審計準則2120）的有效性負有責任。審計師與管理層之間的

角色差異在于從事內部操縱與風險評估工作時，各自對股東的責任的特征。

審計師給股東提供保證服務；審計委員會與高層經理重視風險與操縱系統(tǒng)

的狀態(tài)；在法規(guī)方面，諸如薩班斯法案，與管理層表現的對內部操縱的關

注的可靠性。理想上，審計師并不是流程的一部分，也不是來設計與保持

內部操縱的，這樣，審計師的客觀性與獨立性就能得以保持。

五、連續(xù)審計與監(jiān)控的好處

連續(xù)審計與監(jiān)控（由管理層實施）的結果是類似的，都包含提示或者警

告，這些提示或者警告指出了操縱的缺陷或者高風險水平。這些提示或者

警告能夠按優(yōu)先次序排列，這取決于風險與操縱缺陷的嚴重程度，這些提

示或者警告會分發(fā)給經營流程或者應用系統(tǒng)的擔保人，運營經理，審計師,

高級財務經理，甚至法規(guī)制定者。管理層對這些提示的回應能夠修補內部

操縱缺陷與立即修正錯誤的交易。審計師對這些警告的回應能夠從立即審

計確認的內部操縱系統(tǒng)到標記一個領域以備將來審計。

比如，對財務交易的持續(xù)審計，當一個分類賬憑證超出了給定限額，與

留有非正常關聯(lián)賬戶的入口，測試可能給出一個提示。審計師的反應可能

取決于這是否視為一個單一項目一一這個反應可能會是發(fā)送一個Email給

這項交易的當事人以得到相應的解釋；也可能會視為一個系統(tǒng)的問題，對

某個領域的財務審計可能狀況良好。使用連續(xù)審計進行額外的測試來決定

這些特殊的特征能夠回答諸如下列問題：

1、日記賬憑證是給暫記賬戶留有入口，而且沒有在規(guī)定的時間內進

行清除？

2、日記賬憑證是否給不正常的關聯(lián)賬戶留有人口？

3、受影響的賬戶是否可能會是諸如人工操縱收益之類的舞弊？

4、日記賬憑證的數量與類型與往年相比是否有特殊？

5、個體之間登錄系統(tǒng)時是否做到了職責分離？

6、我們是否應該提高或者降低測試的標準？

7、財務比率是否與公司的期望相符？

8、近幾年的收益趨勢如何？這些趨勢與公司的期望(peer)與總體

的經濟環(huán)境如何匹配？

連續(xù)審計幫助審計師評價管理層的監(jiān)控功能的充分性。這讓首席審計

師能給審計委員會與高級管理層提供對操縱系統(tǒng)運行的有效性作出保證，

與審計程序在識別與指出任何侵害中發(fā)揮作用。連續(xù)審計還識別與評估風

險領域，給審計師提供信息，審計師通過與管理層的溝通能夠幫助管理層

減輕風險。此外，他能夠用于幫助制定年度審計計劃，以將審計關注點與

資源轉向高風險領域。

然而，連續(xù)審計最重要的優(yōu)勢之一在于它獨立于所審計的業(yè)務與財務

系統(tǒng)與管理層實施的監(jiān)控。這能改善組織的管理與操縱框架，并提供一個

審計師能夠用來支持他們的獨立評價與評估行為的機制。

連續(xù)審計還面臨著一些挑戰(zhàn)。這些技術需要被懂得與操縱。內部審計

師務必能夠訪問數據、軟件工具與技術，與擁有能夠智能使用他們手頭所

掌握的大量的公司財務與非財務信息的必要知識。連續(xù)審計帶來的機遇也

對審計師與首席審計師提出了要求。

第三部分需要澄清的一些關鍵概念與術語

已經采取了各類嘗試來鼓勵審計師更好地使用電子信息，以改進內部

審計行為的效率與效果。最近，多種術語已經被用于這些嘗試，同時也導

致了職業(yè)界認識上的混亂。沒有一個清晰的、通用的術語，那么將會很難

提升這些嘗試，成功的可能性也會減少。因此，實施連續(xù)審計首先要做的

就是給定與傳播所有有關術語的清晰的定義。

懂得與連續(xù)審計有關的術語的關鍵在于懂得操縱與風險是一個問題的

兩個方面。操縱的存在是為了幫助降低風險；識別操縱缺陷能凸顯潛在的

風險領域。相反，通過檢查風險，審計師能夠識別什么地方需要操縱與（與）

操縱沒有發(fā)生作用。

盡管對操縱與風險的評估通常包含定量分析也包含定性分析，但是最

大化的效率獲取是來自于最大化地利用技術。對審計師的挑戰(zhàn)是確保數據

的利用與通用性，懂得有關的業(yè)務流程與系統(tǒng)，最大化地運用自動化。因

此，這份全球審計技術指南關注的是支撐持續(xù)審計的技術輔助程序。

保證能夠認為是第三方對事件狀態(tài)的意見，這個事件是關于一個特定

的交易、業(yè)務或者治理流程、風險或者整個業(yè)務流程中的財務績效的。審

計保證是對操縱的充分性與有效性，信息的完整性作出的聲明。

管理層實施的持續(xù)操縱監(jiān)控是有效保證策略的核心部分，但是，審計

師仍然務必確保管理層的行為是充分的與有效的。連續(xù)保證的框架是聯(lián)結

內部審計師的獨立性評價行為：操縱的狀態(tài)、組織內部的風險管理、評估

管理監(jiān)控功能的充分性。

圖2：連續(xù)保證的框架

連續(xù)保證

連續(xù)操縱評估連續(xù)風險評估對連續(xù)監(jiān)控的評估

首席審計師務必保證所有的審計師、高級經理與審計委員會懂得內部

審計行為與管理層在使連續(xù)保證方程有效的角色與責任。下列的定義可能

提供了額外的視角：

1、連續(xù)審計是審計師為了在一個更持續(xù)、更頻繁的基礎上實施與審計

有關的行為所采取的任何方法。它是一系列行為的聯(lián)合體，這些行為從連

續(xù)操縱評估延伸到連續(xù)風險評估。

連續(xù)風險評估是關于操縱一風險聯(lián)合體的所有行為。技術在識別例外

與（或者）特殊、分析關鍵數據字段的模式、趨勢分析、從開始到結束的

明細交易分析、操縱測試與將組織的程序或者系統(tǒng)根據不一致的時點比較

或者與其他類似的單位比較等方面發(fā)揮著關鍵作用。

2、連續(xù)操縱評估是審計師采取的準備用來進行與內部操縱有關的保證

的行為。通過連續(xù)操縱評估，通過識別操縱缺陷與侵害，審計師給審計委

員會與高層經理提供關于操縱是否正在恰當運行的保證。單個的交易是通

過一系列的操縱規(guī)則來進行監(jiān)控的，以提供關于系統(tǒng)內部操縱的保證，并

強調例外情況。一系列定義良好的操縱規(guī)則在操縱程序或者系統(tǒng)沒有按期

望運行或者受到威脅時能夠及早地提供警告。

內部審計需要執(zhí)行連續(xù)操縱評估行為的范圍取決于管理層履行其關于

連續(xù)監(jiān)控的責任的程度。一個強有力的管理監(jiān)控系統(tǒng)將減少審計師務必執(zhí)

行以對操縱提供保證的全面測試數量。

3、連續(xù)風險評估是審計師用來識別與評估風險水平的行為。連續(xù)風險

評估通過檢查趨勢與比較（在單個程序或者系統(tǒng)里，與之過去的表現相比

較，與企業(yè)內的其他的程序或者系統(tǒng)相比）來識別與評估風險水平。比如,

生產線的表現能夠與先前年度的結果相比較，就像是將一個企業(yè)的績效與

所有的其他企業(yè)相比較一樣。這種比較能夠較早地警示某個程序或者系統(tǒng)

（審計主體）的風險水平高于往常年度或者其他主體。審計的反應也因風

險的特征與水平而異。連續(xù)風險評估能應用于大范圍的審計領域，來選擇

訪問點，來識別排除包含在審計計劃中的特定的審計或者單位，或者觸發(fā)

對某個風險增加但缺乏足夠解釋的單位的審計。它也能夠用來評價管理行

為，來檢查審計建議是否得到合理的貫徹，經營風險水平是否正在減少。

4、連續(xù)監(jiān)控是管理層為了確保政策、程序與業(yè)務流程能夠有效運行而

實施的一項程序。管理層識別關鍵操縱點與實施自動化的測試來決定這些

操縱是否恰當運行。典型的持續(xù)監(jiān)控程序包含在給定的經營流程領域內，

借助一組操縱規(guī)則，自動測試所有的交易與系統(tǒng)行為。監(jiān)控通常是按天、

周或者月進行，這取決于當前的業(yè)務循環(huán)的特征。取決于特殊的操縱規(guī)則

與有關測試與初始參數，某些交易被標記為操縱例外事項，且告知管理層。

管理層監(jiān)控也可能依靠關鍵績效指標與其他績效評價行為。對監(jiān)控警報與

提示作出回應并立即修補操縱缺陷與改正問題交易是管理層的責任。

、連續(xù)審計的連續(xù)系統(tǒng)

連續(xù)審計幫助審計師識別與評估風險，還在組織中建立智能與動態(tài)閥值

來回應變化。它也支持整個審計范圍的風險識別與評估，幫助制定年度審

計計劃，與確定某項特定審計的審計目標。因此，連續(xù)審計在很多層面上

能夠視為一個連續(xù)系統(tǒng)。同時，連續(xù)系統(tǒng)中的不一致位置更加適合不一致

的工作，在連續(xù)系統(tǒng)中當你執(zhí)行不一致的任務時還可能超過一個位置。

對連續(xù)審計的關注從操縱基礎到風險基礎（見圖3）；分析性技術從對

明細交易的實時評價到對整個單位進行趨勢分析與與其他單位進行比較分

析，同時隨著時間進行。

圖3：連續(xù)審計的連續(xù)系統(tǒng)

—連續(xù)審計f

連續(xù)操縱評估-------—---------------?連續(xù)風險評估方法

操縱基礎風險基礎

（保證操縱正在運行）<---------------------------------------------------------------?（識別/評估風險）關注點

財務操縱財務/運營操縱

大口」/土凹乂勿1火々力?姒少白/''心1力'/以1儀1此J力■/心呂姒

分析技術

據）

操縱保證財務鑒證舞弊/浪費/濫用審計范圍與目標追蹤審計記錄

有關審計行為

年度審計計劃

操縱監(jiān)控業(yè)績監(jiān)控平衡計分卡全面質量管理企業(yè)風險管理有關管理行為

注1：在這個連續(xù)系統(tǒng)的“操縱”結尾，有關審計行為包含保證與財務

鑒證審計。

注2：連續(xù)系統(tǒng)的另一個結尾的審計行為包含通過風險評估支持審計項

目來識別舞弊、浪費與濫用，并提交年度審計報告。

注3：有關管理層行為包含連續(xù)操縱監(jiān)控，績效監(jiān)控，平衡計分卡，全

面質量管理與企業(yè)風險管理。

連續(xù)審計是一個統(tǒng)一能夠帶來操縱保證、風險評估、審計計劃、數據分

析與其他審計工具、技術與科技結合在一起的統(tǒng)一結構或者框架。它支持

微觀審計事項，比如明細交易測試來評價操縱的有效性；宏觀審計方面，

通過風險識別與評估來準備年度審計計劃。它也能滿足中觀層面的需求，

比如為個別審計開發(fā)審計項目。

微觀審計與宏觀審計兩個層次的要緊區(qū)別在于兩者信息需求的粒度不

一致：

1、操縱測試需要細節(jié)信息：需要深入交易的源頭層次。連續(xù)操縱評估

使用認真制定的規(guī)則與實時的或者接近實時的，測試交易對這些規(guī)則的遵

循情況。

2、個別審計通常開始于年度審計計劃中的風險識別，但使用更多的數

據分析與其他技術（如訪問，自我操縱評估，實地觀察walkthrough,調

查問卷）來進一步定義風險的要緊領域與風險評估的關注點與后續(xù)的審計

行為。

3、年度審計計劃需要高層次的信息，可能是幾年的價值數據，來建立

風險因素，并將風險排序，設置審計計劃開始的時間與目標。

第四部分連續(xù)審計與連續(xù)保證與連續(xù)監(jiān)控的關系

一、連續(xù)保證

前文已提到，保證被描述為第三方對事件狀態(tài)的意見。它通常包含三個

方面：

1、準備信息的個人或者團體。

2、使用這些信息來進行決策的個人或者團體。

3、客觀存在的第三方。

通常，保證被視為一項嚴格的審計有關行為，通常具有財務方面的特征。

但是其他的，諸如法律界也提供保證服務。

審計保證是對操縱的充分性與有效性與信息的完整性發(fā)表意見。管理層

對操縱的連續(xù)監(jiān)控是有效保證策略的核心，但是，審計行為還務必保證管

理層行為是充分與有效的。

內部審計通過客觀檢查所獲取的證據以提供對風險管理策略與實踐，管

理操縱框架與實踐，用于決策與報告的信息的保證服務。連續(xù)保證服務能

夠在審計師執(zhí)行連續(xù)操縱與風險評估(如連續(xù)審計)與評價管理層實施的

連續(xù)監(jiān)控行為的充分性時提供。

審計師檢查管理層的行為，證實操縱都在運行，提出改進建議，確保風

險正在被操縱。假如審計師在執(zhí)行諸如檢查與證實操縱與風險，確保管理

層正在進行監(jiān)控工作，那么組織將有一個對操縱正在運行，風險正被操縱,

用于決策的信息具有完整性的高層次的保證。管理層在這個保證方程

(assuranceequation)中起著開發(fā)、設計與監(jiān)控操縱與操縱風險的作用。

二、連續(xù)監(jiān)控

連續(xù)監(jiān)控是管理層設置的用于確保政策、程序與經營流程都在有效運行

的程序。評價操縱的充分性與有效性通常是管理層的責任。許多管理層使

用的用于對操縱的連續(xù)監(jiān)控技術與內部審計師進行連續(xù)審計所用技術類

似。連續(xù)監(jiān)控的原則比較簡單，它包含下列幾個方面：

1、在一個給定的經營流程中定義操縱點，假如可能的話可參照COSO的

企業(yè)風險管理框架。

2、對每個操縱點識別操縱目標與保證聲明。

3、建立一系列的自動化的測試，以指出某項交易是否沒有遵循所有的

有關操縱目標與保證聲明。

4、在接近交易發(fā)生的同時，將所有的交易進行測試。

5、調查沒有通過操縱測試的所有交易。

6、假如合適的話，能夠更正這項交易。

7、假如合適的話，更正操縱薄弱環(huán)節(jié)。

連續(xù)監(jiān)控的關鍵是這些程序務必由管理層掌控并由管理層來執(zhí)行，由于

實施與保持有效操縱系統(tǒng)是其職責的一部分。既然管理層對內部操縱負有

責任，那么它就務必有一個連續(xù)的決定操縱是否按設計在運行的方法。通

過實時地識別與更正操縱的問題，整個的操縱系統(tǒng)將得以改善。組織得到

的一個典型的額外的好處是錯誤與舞弊顯著減少，經營的效率得到了提高,

通過成本的減少與過度支付(overpayment)與收入泄漏的減少，從而使線

下項目的結果得以改善。

三、連續(xù)審計

管理層監(jiān)控與風險管理行為的充分性與審計師務必執(zhí)行對內部操縱的

全面測試與風險評估的程度，它們之間存在這一個反比的關系。連續(xù)審計

運用的方法與工作量取決于管理層實施的連續(xù)監(jiān)控行為的程度。

圖4：反比關系：管理層付出的努力水平與審計行為

管理層反應

在管理層還沒有實施連續(xù)監(jiān)控的地方，審計師務必借助連續(xù)審計技術進

行全面測試。在某些情況下，審計師甚至可能主動來幫助組織建立風險管

理與操縱評估程序（見國際內部審計協(xié)會實務報告2100-4：審計師在一個

沒有風險管理程序組織中的作用）。但是，要注意的是審計師對這些程序中

并不擁有所有者權，由于這會損害審計師的獨立性與客觀性。

圖5：連續(xù)審計、監(jiān)控與保證（概念框架）

連續(xù)保證

管理層全面地在經營流程領域中從頭到尾地實施連續(xù)監(jiān)控，內部審計師

就無需執(zhí)行同樣的全面測試來進行連續(xù)審計。但是，審計師務必執(zhí)行其他

的程序來決定他們是否能夠依靠這個連續(xù)監(jiān)控程序。這些程序包含：

1、評價偵測到的特殊與管理層的反應。

2、評價與測試連續(xù)監(jiān)控程序本身的操縱，比如:

(1)處理日志/審計軌跡

(2)調節(jié)總額操縱(controltotalreconciliations)

(3)系統(tǒng)測試參數的變化

通常，這些程序與那些在正常審計程序中為確保計算機輔助審計技術被

正確應用的質量操縱測試是相似的。

通過結合評價監(jiān)控與連續(xù)審計程序，審計師能夠提供關于內部操縱有效

性的保證。

第五部分連續(xù)審計的應用領域

對內部審計部門而言所面臨的壓力是以較少的資源做更多的情況。也許

最困難的挑戰(zhàn)來自于審計師務必對內部操縱的有效性及時作出保證，更好

地識別與評估風險水平，快速找出沒有遵循有關法規(guī)與政策的事項。這些

就是連續(xù)審計能夠應用的領域。適用技術，從電子表格軟件或者腳本開發(fā)

使用特種審計軟件(scriptsdevelopedusingaudit-specificsoftware)

到商品化的專業(yè)解決方案軟件包或者客戶自行開發(fā)的系統(tǒng)。這些選擇的解

決方案務必是靈活的可升級的，同意審計師從某個特定的領域開始，然后

擴大范圍、規(guī)模與分析的頻率。

盡管一些法定審計需要每年進行一次，但是每年嚴格執(zhí)行這些審計已不

能滿足管理與法規(guī)的需要。內部審計行為務必應用風險評估與進行操縱保

證行為。盡管需要更加關注財務方面的審計，連續(xù)審計支持所有類型與領

域的審計行為。歐洲聯(lián)邦內部審計機構(ECIIA)在2005年意見書《歐洲

內部審計》中，鼓勵內部審計師通過給管理層提供的關于風險已經被識別

同時得到恰當的操縱的保證，對組織面臨的風險作出反應。審計師不僅務

必能夠評價財務風險，而且要能夠評價運營風險與策略風險。這是持續(xù)審

計所關注的新領域。用于測試操縱的信息訪問技術與技術技能也能夠幫助

首席審計師通過支持持續(xù)的評價企業(yè)風險管理有效性的評價行為與對一些

警告提出改進建議，從而給管理層提供價值無法估量的幫助，

首席審計師通過給高層管理員工提供獨立的風險與操縱評估來支持其

監(jiān)控職能。連續(xù)審計有一系列的功能來支持審計行為，首席審計師，通過

下列的適用方法與服務，包含：

1、風險管理策略與實踐：通過及早識別風險。

2、管理操縱框架的可靠性：通過找出操縱薄弱環(huán)節(jié)。

3、用于決策的信息：通過檢查管理者使用的信息的可靠性與可獲取性。

4、包含在年度審計計劃中審計項目的選擇：通過識別更高風險領域。

5、實施有效的與及時的改正行為：通過檢驗審計建議的執(zhí)行情況。

首席審計師務必認識到許多的管理行為與連續(xù)審計有很強的聯(lián)系，比如

整合風險管理、平衡計分卡、連續(xù)改進、連續(xù)監(jiān)控。審計務必決定那些地

方適合連續(xù)審計，它如何能用于評估這些管理措施行為或者者利用它們所

產生的信息。

實施連續(xù)審計框架的期望好處包含:

1、增加減輕風險的能力。

2、減少評估內部操縱的成本。

3、增加對財務結果的信心。

4、財務運營的改善。

5、減少財務錯誤與潛在的舞弊。

此外，完全運用了連續(xù)審計的組織，通常會報告運營成本的減少與邊際

利潤的增加。

一、應用于連續(xù)操縱評估

（一）識別操縱缺陷

由于新的法規(guī)需要高層管理者證明操縱環(huán)境的有效性，與財務報告中所

含信息的精確性，首席執(zhí)行官與首席財務官開始內部審計行為來輔助遵循

這些法規(guī)。盡管管理層對監(jiān)控、設計與維持操縱負有責任以備廣泛認可，

國際內部審計準則2120號，A1節(jié)指出內部審計行為“應該通過評價內部

操縱的有效性與效率性，與促進持續(xù)改進來輔助組織保持有效的操縱”。由

于這些外部與內部的壓力，特別是在一些管理層沒有恰當發(fā)揮其監(jiān)控角色

的作用，審計師通常需要執(zhí)行一個更加全面的評估與提供更加連續(xù)的操縱

評估。這對內部審計流程與方法有顯著的影響。

連續(xù)操縱評估給讓首席審計師清晰地看到內部操縱系統(tǒng)的有效性。反過

來，給財務經理，經營流程管理這與風險及遵循經理提供對內部操縱的獨

立的與及時的保證。對關于內部操縱交易數據的連續(xù)操縱評估能夠迅速找

出錯誤與特殊，將它們報告給管理層，與時進行檢查與采取行動。它也能

對財務與運營信息的可靠性與完整性，營運的效率與效果起作用。

連續(xù)操縱評估還能夠對連續(xù)的風險評估與管理層減輕風險的行為起作

用。操縱與風險的評估是相互補充、相互支持。

下列的一個關于內部審計中應用連續(xù)操縱評估在財務操縱、系統(tǒng)操縱與

安全操縱等三個領域來支持管理層監(jiān)控功能。

（二）財務操縱：以采購卡項目為例

一個全國性的采購卡管理員手工操作，每個季度只能對交易的極小樣本

進行評價。審計師決定管理層的關于采購的操縱是薄弱的，那么暴露出來

的風險是否相當的高。在評價采購卡使用的政策后，審計師進行一系列的

分析測試來識別：

1、不恰當的采購卡使用，包含與旅行支出有關的交易。

2、用于個人項目的支付（如珠寶、酒，等等）。

3、可疑交易（如未經授權的持卡人使用，銷售商重復刷卡，分次付款

以避免超過財務限額，等等）。

分析的結果將提交給持卡者的經理，以對這些可疑交易進行全面審查一

一將采購卡的支出與商品采購相匹配。這識別出許多的不恰當的采購與以

上三種類型的舞弊。

在審計完成后，連續(xù)操縱評估應用測試就轉向采購卡協(xié)調員，來幫助運

營經理每個月對采購卡操縱的監(jiān)控。

（三）系統(tǒng)操縱：以職責分離為例

連續(xù)操縱評估測試也能夠用來證實系統(tǒng)是否按期望值在起作用。使用分

析技術，測試程序能夠比較個別交易與規(guī)則基礎標準，對所有的交易進行

評價以確保個體沒有執(zhí)行不相容的職責。

在一個組織內，新實施一個ERP系統(tǒng)，目的是用自動操縱替代手工操縱

來確保職責的分離。ERP項目小組，通過業(yè)主的投入，開發(fā)一系列基于使

用者角色的特色配置，這就同意使用者能夠根據自己的工作職責來處理各

式各樣的業(yè)務。盡管審計師相信在開發(fā)基于角色的特色配置中的方法與程

序，他們關心實際分配給使用者的特色配置，然后對交易進行全面檢查，

以檢查什么些地方職責分離沒有得到保持。

審計師抽出當年第一季度的所有處理的交易，然后利用數據分析技術來

計算每個使用者處理過的交易（通過交易類型）。這發(fā)現兩個使用者首先建

立采購安排，然后記錄相同采購安排的貨物同意交易。結果說明在基于角

色的特色配置的設計中職責分離操縱是薄弱的，由于這些是被視為不相容

的職責。

由于ERP系統(tǒng)經歷了額外的變化---比如，增加新的角色與改變現有角

色一一運行連續(xù)操縱評估測試來證明沒有違反職責分離的情況。

（四）安全操縱：以系統(tǒng)登錄日志為例

連續(xù)操縱評估能夠測試安全操縱，證明所有的系統(tǒng)使用者都是有效的員

工，防止有企圖者侵入系統(tǒng)。

在另一個組織的例子中，每周系統(tǒng)登錄日志被抽取出來，然后送交內部

審計部門。審計師抽取有關信息并將每個使用者與當前的員工管理文件相

匹配。所有的非員工使用者被標記出來，然后一封郵件將自動發(fā)送給系統(tǒng)

安全部門，讓其廢止該使用者的身份（ID）。此外，測試還檢查失敗的登錄

日志。通過檢查發(fā)現一例在早上三點一個使用者ID有25次通過撥號登錄

失敗。審計師通過這份報告來證明將登錄參數改為在諸如這類使用者的ID

在嘗試登錄失敗3次后將此ID鎖定是正確的。

連續(xù)操縱評估的潛在使用事實上是無限的。不管哪里暴露出問題，內部

審計師都能夠進行一項測試或者一系列的分析程序來搜索某人試圖利用操

縱缺口或者薄弱環(huán)節(jié)的證據。在某些情況下，操縱暴露出來的問題，包含

潛在的舞弊、浪費與濫用。這些測試的頻率與時間取決于潛在的經營風險

與操縱框架與管理監(jiān)控功能的充分性。

（五）舞弊、浪費與濫用

國際內部審計準則1210號第A2節(jié)要求審計師對舞弊的信號擁有足夠的

知識。第A3節(jié)也需要審計師對關鍵信息技術風險、操縱與可利用技術來開

展他們工作的知識。使用技術來支持連續(xù)操縱評估能夠幫助審計師檢查全

面交易，也包含匯總數據，識別特殊與其他的舞弊、浪費與濫用信號。比

如，利用數據分析技術，審計師能夠容易識別那些地方超越了合約的授權

（如合約超過了給個人規(guī)定的合同限額）與被躲避（avoid）（如撕毀合約）。

在工薪領域，它能夠被用來識別薪水冊上的員工非員工數據庫中的員工或

者者識別薪金中的不正常比率。

由于舞弊很大程度上是一種機會主義的犯罪，操縱缺口與薄弱環(huán)節(jié)務必

被找出來，假如可能的話，甚至消除它或者者減少它。廣泛應用的審計指

南與準則已直接地提到了對這種暴露問題的關注。比如，國際內部審計準

則實務公告1210號第A2-1節(jié)：識別舞弊，第A2-2節(jié)：舞弊偵測的責任，

需要審計師對可能的舞弊擁有充分的知識以識別它們的征兆。審計師務必

意識到它會出什么問題，它怎么能出問題與誰會牽涉其中。美國注冊會計

師協(xié)會頒布的審計標準的公告第99號（SASNo.99）“考慮財務報告審計中

的舞弊”也是出臺來幫助審計師偵測舞弊的。它比SASNo.82更進一步，

它包含的新的規(guī)定包含:

1、集體討論舞弊的風險。

2、強調增加職業(yè)懷疑。

3、確保管理者意識到舞弊。

4、使用各類分析程序。

5、偵測管理層踐踏內部操縱的情況。

它也定義了舞弊財務報表與盜竊的風險因素，這能夠被用來作為評估舞

弊財務報告風險的模型。在SASNo.99中列出來的風險因素包含：管理層

狀況、競爭與經營環(huán)境、運營與財務的穩(wěn)固性。

(六)結論與建議

連續(xù)操縱評估技術可能類似于管理層實施的連續(xù)監(jiān)控技術。在內部審計

師能夠依靠管理層實施的連續(xù)監(jiān)控的地方，而無需使用相同層次的細節(jié)連

續(xù)操縱評估技術。取而代之的是，審計師能夠關注執(zhí)行其他的程序來提供

連續(xù)的關于管理層的連續(xù)監(jiān)控程序的保證。但是，當管理層監(jiān)控不充分時,

審計師應該借助連續(xù)操縱評估技術來執(zhí)行全面測試以評價操縱的充分性。

通過智能運用分析技術，審計師能夠評估內部操縱框架的充分性，給審計

委員會與高層經理提供獨立的保證。

連續(xù)操縱評估并不需要在實時運行。分析的頻率取決于風險水平與管理

層監(jiān)控操縱的程度。比如，采購卡分析可能每月運行一次一一在信用卡公

司收到采購卡交易時進行。薪金能夠在每個付款周期使用，在支票出具之

前進行。對發(fā)票副本(duplicateinvoice)的測試能夠每天進行。在某些

情況下，審計師可能執(zhí)行初始的操縱測試，然后將連續(xù)監(jiān)控移交給管理層。

額外的應用連續(xù)操縱評估的例子包含：

1、檢查交易數據：如標記所有的嚴重超出采購卡的限額，包含有禁止

采購商品的采購卡花費。

2、檢查匯總數據：如當月的持卡者消費匯總超過$10.000的情況與持

卡人不在采購部門中的情況。

3、借助比較分析：如匯總加班報酬然后與所有的其他在相同工種與層

次的員工相比，以識別潛在的濫用加班（過量的、未經授權的，等等）。

4、測試總分類賬戶總發(fā)生額：如找出那些與上年相比金額超過25%的

賬戶，識別不正常的行為，如銷賬的增加。

在所有的情況下，審計師能夠快速檢查所有的全面交易來發(fā)現原因，然

后快速地、容易地執(zhí)行所需的后續(xù)工作。

二、應用于連續(xù)風險評估

管理層負有開發(fā)與維持一個系統(tǒng)來識別與減輕風險的責任，國際內部審

計準則2110號指出，審計師應該通過識別與評估重大的暴露在風險下的項

目來幫助組織，并在改進風險管理與操縱系統(tǒng)中發(fā)揮作用。國際內部審計

準則2010號鼓勵首席審計師建立風險基礎的計劃來決定內部審計行為的

優(yōu)先次序，以與組織的目標相一致。這兩項行為是有關的，審計師能夠利

用連續(xù)風險評估來識別與評估風險水平的變化。這同意他們評估管理層的

減輕風險行為，支持制定個別審計目標與年度審計計劃。

連續(xù)風險評估能夠連續(xù)地用來識別與評估風險。它不僅通過測量某個交

易點，還通過使用通過比較分析法來進行交易的總體分析來完成這些工作。

通過這種形式的比較，審計師能夠通過衡量許多方面的可變性來檢查流程

的一致性。在經營中，比如，檢查一些缺陷的可變性是測試生產線協(xié)調的

一種方法。操縱缺陷數量的可變性越大，生產線的合理性與功能的協(xié)調性

就越要得到關注。相同的前提能夠很容易通過檢查變量（如調整主體的數

字與美元價值）來應用于測量財務系統(tǒng)的完整性?？勺冃缘母拍钍沁B續(xù)風

險評估與內嵌審計模塊與例外報告的關鍵區(qū)分因素。

通過執(zhí)行連續(xù)風險評估，首席審計師能夠應用更加具有策略性的背景來

制定審計計劃，在風險變化時為使審計計劃在整個年度都能保持最近的狀

態(tài)進行連續(xù)調整，同時分配稀缺資源，將高度熟練的審計資源分配到組織

內高暴露出最高風險的地方。連續(xù)風險評估還能夠找出一些要么沒有操縱

要么這些操縱沒有充分地執(zhí)行的地方，幫助審計師在特定領域執(zhí)行連續(xù)操

縱評估。因此，連續(xù)風險評估不僅對審計計劃有幫助，而且對連續(xù)操縱評

估也是起作用的。

舉例：基于風險選擇審計點

在全國擁有超過1100家零售商店，ABC食品的內部審計部門需要一個

高效率與高效果的方式來選擇單個商店審計。在過去，審計師試圖至少每

年要對每家商店訪問一次來執(zhí)行遵循基礎審計。但是，這不是一項有效的

確定真正風險領域的方式。

首席審計師需要一個可信賴的風險評估方案，通過數據驅動標準，能夠

不用每年訪問這些商店，而且能對所有的noo家商店提供保證。連續(xù)風險

評估用于建立必要的分析程序，如報告存貨缺失與熟練員工的營業(yè)額?，F

在，內部審計師小組能夠快速指出風險程度最高的商店，并制定出一個更

加及時、效果好與效率高的方法。

（一）制定審計計劃

與傳統(tǒng)的審計計劃根據標準的循環(huán)（如一年、兩年、三年的比率進行）

相比而言，企業(yè)經營過程中審計的頻率更應該基于風險因素。最高層次的

連續(xù)風險評估支持制定審計計劃，同意數據驅動識別與評估風險指標。它

不僅支持建立審計總體，而且支持收集定量化的數據，而且，讓內部審計

部門優(yōu)先關注公司內部的高風險領域，將適當的資源分配到新的與變化的

領域。

第一步是定義審計行為的范圍與覆蓋面的程度，然后利用從不一致系統(tǒng)

（如財務、人力資源與運營信息系統(tǒng)）中獲取的數據來確定重大性與風險

指標。在重大性方面，一種方式是參照規(guī)模相似的企業(yè)一一盡管風險指標

還可能要考慮一個單位與另一個單位的復雜性。連續(xù)風險評估應該還要包

含對管理層監(jiān)控職能的評價，包含業(yè)績評價、質量操縱與職責分離。

舉例：制定審計計劃

建立ABC公司的風險基礎審計計劃需要建立一個審計域（audit

universe）,并界定被審計單位；收集與分析量化數據，如經營計劃、組織

結構圖、管理投入與促成會議（facilitatedsession）；收集、規(guī)范化與

分析量化的數據，如財務、人力資源與經營信息；根據風險指標安排審計

（單位）的優(yōu)先次序。

下列描述ABC公司如何使用連續(xù)風險評估來幫助制定年度審計計劃。連

續(xù)風險評估是用來測量與對每個單位與財務、人力資源與經營有關的固有

風險水平進行優(yōu)先排序。

1、財務標準/指標：財務重要性要緊處理支出、收入與資產方面的總額。

在不一致情況下有不一致的考慮。比如，不是所有的審計單位擁有收入，

甚至一些沒有資產。復雜性指標考慮的不僅是相對先前年度與相似規(guī)模企

業(yè)的變化，而且還么考慮諸如責任中心的數量、可自由支配的個人開支的

百分比、單位是否需要管理花費、收入與資產等項目。比如，單位A,有

1500萬支出，要緊是薪金，那么它相對單位B而言，兩者不在同一風險水

平，由于B盡管只有500萬的支出（其中82%是慎重的），1000萬的收入

與1200萬的資產。同樣，假如這是第一個年度，單位B沒有任何收入，那

么將會增加它的財務風險水平。

2、人力資源標準/指標：人力資源要緊考慮總的員工數量，但是年各類

員工（如員工與承包人，全職與兼職），還包含員工變動與關鍵技能的喪失

的員工等復雜指標。它還考慮與先前年度對比的變化（如一個快速進展的

組織可能相對穩(wěn)固的組織擁有不一致的風險）與分部的數量（如地理分散）。

3、經營標準/指標：在ABC公司，經營標準與指標要緊是關于產品數量

的；因此，重要性也與產品的數量有關聯(lián)。復雜性不僅與產品數量與組合

的變化有關，而且與產品訂貨到交貨的時間、響應客戶的時間，制造流程

的復雜程度有關。制造的復雜程度能夠分為三種：高復雜性、中等復雜性

與低復雜性，這是基于制造過程中所包含的時間來劃分的。就是說一個產

品要20個小時的制造時間，不僅花更長的時間來制造，而且?guī)砹吮纫粋€

只需兩個小時的制造時間的產品更高水平的經營風險。制造人員根據這種

方法來確認復雜性的合理標志。

一旦所有的來自這三個業(yè)務系統(tǒng)的數據被收集、規(guī)范化與對每個單位進

行分析，有關單位的打分也被計算出來。這個分數是按照該單位排在前十

位的風險指標上的時間來決定的。這些單位根據分數劃分不一致的等級，

而不是在一個點上。假如一個絕對數與分離點（cut-off）不是用于任何的

特征，那么就沒有必要調整參數，由于績效已經達到改善。

在一個快速變化的商業(yè)環(huán)境下，年度審計計劃可能不足以習慣風險變化

的水平。但是，通過技術輔助行為，能夠很容易持續(xù)地更新風險評估與風

險監(jiān)控指標。風險評估測試能夠頻繁運行來保證部署的審計能夠發(fā)現當前

或者出現的風險。此外，通過比較不一致時點的風險評估結果，審計師能

夠在新出現的風險變得嚴重前進行預測。其結果能夠用來設置正式審計的

參數與決定審計時間。

審計反應因風險水平的強度與緊急情況而異。及早地識別風險可能不需

要一個完整的審計，可能只要一個簡單的管理建議書，指出風險暴露點，

并要求管理層作出回應。這不僅將審計資源置于風險最高的地方，而且還

最大化地有效利用了這些資源。

（二）支持個別審計

連續(xù)風險評估也能夠通過支持識別與評估風險與確定審計范圍與審計

目標來輔助個別審計。進一步地，它能夠用于決定什么位置將會被訪問到

與識別特定的標準（如調查范圍）。

連續(xù)風險評估用來制定企業(yè)的年度審計計劃與支持個別審計的要緊區(qū)

別在于用于識別與評估風險的信息全面程度不一致。企業(yè)范圍的審計計劃

可能只需要每個單位的合計層次的信息，然而，在一個特定審計層面，需

要更多的全面信息來識別某個水平的風險，以支持對一個給定的審計來定

義審計范圍與制定審計目標。

在一個常規(guī)審計中，分析性評價程序的規(guī)模與范圍受到傳統(tǒng)技術所能收

集數據類型與數量的限制。連續(xù)審計具有潛在增加審計師所能獲取數據的

數量。比如，一個年度調節(jié)，一旦自動化了，能夠內嵌到一個連續(xù)審計過

程中，同時能夠更加頻繁地執(zhí)行。分析性復核中計算的比率能夠并入到連

續(xù)審計軟件中，能夠更加頻繁地進行計算，并與標準值進行復核與比較。

然后，顯著的不一致即可被標識出來。

舉例：支持應付賬款審計

作為制定一項應付賬款審計功能（要在全國眾多的地方進行）計劃中執(zhí)

行風險評估的一部分，審計師計算應付賬款部門每筆交易程序的數量的與

成本，與員工數量與技能。通過總體分析確定了應付賬款被分散化了，而

且沒有任何標準程序。而且，不一致類型的交易在不一致的部門進行處理。

此外，審計師使用“每筆交易成本”與“每個使用者的交易數量”來評估

不一致的發(fā)票處理的影響，識別特定部門的效率與效果。這些結果被用于

決定那些地方將在線功能工作時要被訪問到的程序。

在一些相同審計需要在許多位置或者每年執(zhí)行，特定的審計測試將會被

用到，其結果能夠與其他單位或者與不一致的時點的結果相比較。連續(xù)風

險評估能夠用來檢查特定的風險，如沒有有效地使用采購卡。比如，比較

每個單位兩年的數據來識別趨勢，以讓審計師更好地懂得哪個單位正在積

極地改進。連續(xù)風險評估也能夠通過在后續(xù)年度執(zhí)行相同的審計程序來評

估程序中任何變化的影響。此外，將來年度的數據能夠容易地用來評價實

施審計建議的影響。

（三）審計建議的跟蹤調查

通過連接數據驅動指標到審計建議，審計師能夠使用連續(xù)風險評估來決

定這些建議是否已經被實施與它們是否達到了期望的減少風險水平的效

果。特別是，假如連續(xù)風險評估用來識別與評價風險，作為定義審計范圍

與目標地一部分的話，相同的指標能夠用于評價實施審計建議的影響。

理想狀態(tài)是，每一個審計將給每條建議確定一個數據驅動指標。這將

能透容易建立一個底線與比較結果一一在實施這項建議的前后。但是，這

就意味著審計師將需要找到合適的能夠電子化測量的指標。這些指標能夠

作為它們測量對象的代理。比如，假如一項審計確定員工的道德水平低，

那么將出具一項改進溝通的建議。審計師可能檢查使用的病假的天數與正

式報告的疾病數。盡管這不直接衡量道德，審計師能夠使用這些指標，由

于他們可能對道德變化作出反應。病假天數與報告疾病的減少能夠用來證

明溝通的改進已經得到貫徹并收到了預期的效果。

舉例：采購單

一項財務操縱要求每筆超過5000美元的交易要提交采購單。審計師建

立了連續(xù)審計測試來檢查所有金額大于5000美元的發(fā)票，以證實所需的采

購單是否已提交。起初，它標記了許多沒有按照政策采購的情況。審計師

改變財務系統(tǒng)中的編輯操縱。過了一個月，在實施了新的編輯檢查后，