1、GLOBAL TECHNNOLOGYY AUDIIT AUIIDE全球技術審計指指南（第3號）（2005 年年 9 月公公布）Continuuous AAuditiing: Implicaationss for Assurrance,Monitorring, and Risk Assesssmentt連續審計：對保保證、監控和和風險評估的的意義AuthorDavid CCoderrre, Rooyal CCanadiian Moountedd Poliice (RRCMP)作者戴維德科德里里（加拿大皇皇家騎警）Subjectt Mattter ExxpertssJohn G. Vervver,

2、 AACL Seervicees Ltdd.Donald J. Waarren, Centter foor Conntinuoous Auuditinng, Ruutgerss Univeersityy主題專家約翰G沃沃沃（ACL公公司）唐納德J倭倭仁（魯特格格斯大學，連連續審計研究究中心）湘潭大學商學院院 陽杰譯譯（20066年11月）*注：原指南附附錄部分由于于篇幅限制，未未加翻譯作者水平有限，如如有錯誤之處處，請emaail到yaang-目錄1 首席審計計師簡述11.1 連續續審計21.2 連續續審計/連續續監控的必要要性：整合法法31.3 內部部審計和管理理層的角色41.4 連續續審計

3、的作用用41.5 實施施的問題52 導言62.1 連續續審計：一個個簡史72.2 當今今的審計環境境82.3 COOSO的企業業風險管理（EERM）框架架92.4 內部部審計行為和和管理層的角角色122.5 連續續審計和監控控的好處123 需要澄清清的一些關鍵鍵概念和術語語143.1 連續續審計的連續續系統174 連續審計計于連續保證證和連續監控控的關系184.1 連續續保證184.2 連續續監控194.3 連續續審計205 連續審計計的應用領域域225.1 應用用于連續控制制評估245.2 應用用于連續風險險評估296 實施連續續審計366.1 連續續審計目標376.2 連續續控制和風險險評

4、估的關系系476.3 連續續風險評估516.4 管理理和報告結果果536.5 挑戰戰和其他要考考慮的因素57今天的法規環境境下，首席審審計師們都發發現他們的部部門變得越來來越被為滿足足遵循要求的的監控和內部部控制測試所所吞噬。但是是，大多數的的運營和財務務審計行為保保留下來了。許許多內部審計計部門正借助助技術來減輕輕負擔，并提提升效率和生生產率，推動動經營績效。這份全球技術審審計指南“連續審計：對保證、監監控和風險評評估的意義”給首席審計計師們提供關關于如何實施施一個理想的的策略，結合合連續審計和和連續監控方方案來應對這這些挑戰。AACL的數據據分析技術和和連續控制監監控方案能夠夠最好地提升升

5、審計實踐，以以滿足當今對對有效控制地地高度要求。AACL能夠幫幫助你證明適適當的技術投投資的好處，并并且支持持續續的遵循需要要，增加運營營效率，并對對提高收益有有幫助。第一部分 首首席審計師簡簡述對風險管理和控控制系統的有有效性進行及及時和連續的的保證的需求求非常關鍵。組組織頻繁地暴暴露在重大錯錯誤、舞弊或或者無效率下下，這些會導導致財務損失失和風險升級級。一個變化化的法規環境境，經營的全全球化，市場場方面要求改改善經營的壓壓力，以及快快速變化的商商業環境要求求更加及時和和連續地對正正在運行的控控制的有效性性和風險水平平正在降低作作出保證。這些要求給首席席審計師們和和他們的職員員不斷增加壓壓力

6、。內部審審計部門卷入入遵循工作的的程度持續增增加，尤其是是由于法規的的原因，例如如美國20002年的薩班班斯法案第4404節。關關注度的提高高不僅與期望望值的增長有有關，還與內內部審計師在在評價內部控控制的有效性性、風險管理理和治理流程程中保持獨立立性和客觀性性的能力能力力有關。今天，內部審計計師面臨著的的挑戰來自一一系列的領域域：法規的遵循和控控制：評價和和識別事件和和流程，可持持續性，資源源，定義重要要性，優先級級和財務報告告風險。內部審計價值和和獨立性：對對內部審計的的高度期望，內內部控制問題題的增加，對對內部審計角角色可靠性和和獨立性的困困惑，客觀性性和獨立性的的削弱。舞弊：偵測和控控

7、制，識別盜盜竊，舞弊管管理責任，舞舞弊頻率和成成本的增加。可用的熟練審計計資源：缺乏乏能勝任的和和合適的熟練練審計師，審審計師短缺，持持續力，對風風險和控制缺缺乏理解。技術：支持遵循循的合適的解解決方案，技技術經營模型型，信息安全全，信息技術術優勢，外部部采購。顯然，必須要有有一種新的、能能夠提供連續續的、建設性性的和劃算的的方法來解決決這些問題。一、連續審計傳統的內部審計計所對控制測測試是一種向向后看的周期期性方式，通通常是在經營營行為發生后后的幾個月后后進行。測試試程序也是基基于抽樣的方方式，還包括括一些諸如對對政策、程序序、批準和調調節的評價。現現在，這種方方式被視為一一種僅僅能夠夠提供

8、內部審審計師一個狹狹窄范圍的評評價的審計方方法，通常由由于太遲而是是去了對經營營績效和法規規遵循的價值值。連續審計計是一種以更更加頻繁的方方式來自動執執行控制和風風險評估的方方法。技術是施行這樣樣一種方法的的關鍵。連續續審計改變了了審計模式，它它將對交易樣樣本的周期性性測試變為對對100的的樣本進行連連續性測試。它它已在許多層層次上已成了了現代審計不不可缺少的部部分。它也應應該緊密與管管理行為（如如行為監控，平平衡計分卡和和企業風險管管理框架）結結合在一起。連續審計方式能能讓內部審計計師完全理解解關鍵控制點點、控制規則則和例外情況況。通過對的的自動化和經經常性的分析析，他們能夠夠實時地或接接近

9、實時地執執行控制和風風險評估。他他們能從交易易層面的異常常和控制缺陷陷和出現風險險的數據驅動動指標兩方面面來分析關鍵鍵業務流程。最最后，通過連連續審計，分分析結果將被被整合進審計計程序的所有有方面，從制制定和維持這這個企業審計計計劃到開展展和繼續特定定的審計。二、連續審計/連續監控的的必要性：整整合法按照首席審計師師們對遵循努努力的負擔、資資源的缺乏以以及保持審計計獨立的必要要性的關注，將將連續審計和和連續監控結結合在一起將將是一種理想想的方法。連續監控管理層層設計的為保保證政策、程程序和業務流流程能有效運運行的程序。它它指出了管理理層對評價內內部控制的充充分性和有效效性的責任。這這包含識別控

10、控制目標和保保證聲明（aassuraance aasserttion）以以及建立自動動化的測試程程序來找出遵遵循失敗的活活動和交易。許許多管理層實實施的對控制制的連續監控控技術與內部部審計師執行行連續審計所所用技術類似似。管理層使用連續續監控程序，結結合內部審計計師執行的連連續審計，能能夠滿足對控控制程序的有有效性以及用用于決策的信信息的相關性性和可靠性的的保證需要。對組織的一種重重要的額外好好處是錯誤和和舞弊事件的的顯著減少，經經營效率也得得到了提高，線線下項目（bbottomm-linee）的結果也也通過成本的的減少和過度度支付及收入入泄漏的減少少得到改善。實實施了連續審審計和連續監監控的

11、組織通通常會發現他他們迅速地獲獲得了投資回回報。商業和法規環境境，以及出臺臺的審計準則則，驅使審計計師和管理層層更加有效地地利用信息和和數據分析技技術，作為連連續審計和連連續監控的可可行基本因素素之一。三、內部審計和和管理層的角角色管理層對評價風風險和設計、實實施、連續維維護組織內部部的控制負有有主要責任。內內部審計師的的行為要對識識別和評價由由管理層實施施的組織的風風險管理系統統和控制的有有效性負責。審審計師進行評評價以給審計計委員會和高高層經理在風風險的狀態和和控制系統，以以及在諸如薩薩班斯法案等等法規下，就就管理層關心心的控制狀況況的可靠性提提供保證。理理想的情況是是，內部審計計不是控制

12、監監控流程的一一部分，并且且沒有設計或或維護這些控控制，從而能能夠使他們的的獨立性得以以保持。盡管對內部控制制的監控是一一種管理職能能，內部審計計師行為能夠夠使用和借助助連續審計來來強化整個組組織的監控和和評價環境。管管理層事先執執行的監控水水平將直接影影響審計師實實施連續審計計。在管理層層已經對某項項內部控制進進行連續監控控的情況下，在在連續審計時時，相同層次次的詳細交易易測試就無需需再進行。取取而代之的是是，審計師能能夠關注審計計程序，來決決定管理層監監控程序有效效性，借助這這種測試的結結果來調整范范圍、數字和和審計測試的的頻率。四、連續審計的的作用連續審計的作用用依賴于對對對內部控制的的

13、連續性測試試的智能性和和有效性，及及時提示控制制缺口和薄弱弱環節存在的的風險，并允允許立即的追追蹤和進行補補救。通過改改變他們的審審計方式，審審計師將能夠夠更好地理解解經營環境和和公司風險以以支持遵循和和提高經營績績效。五、實施的問題題首席審計師必須須認識到連續續審計將改變變審計模式，包包括證據的特特征、時間、程程序和內部審審計師所需的的努力水平。這這將給審計部部門提出要求求，尤其是他他們必須：獲得和促成審計計委員會和高高級管理層支支持這個概念念并實施連續續審計。開發和保持技術術方面的能力力，以保證訪訪問、操作和和分析包含在在相互分離系系統中數據的的能力。使用（或實施）數數據分析技術術來支持審

14、計計項目，包括括使用合適的的分析軟件工工具，開發和和維護數據分分析技術，以以及審計組中中的專家。發起、促進和鼓鼓勵管理層對對連續審計的的支持。保證連續審計被被采用作為風風險導向審計計計劃中完整整的、相容的的一部分。管理和回應連續續審計的結果果，決定合適適的使用、跟跟蹤和報告機機制。首席審審計師將必須須確保對審計計發現報告的的問題管理層層已經采取合合適的行動，連連續審計的結結果在管理層層的評價時要要被考慮到，這這些評價包括括內部控制的的監控，業績績評價和企業業風險管理。這份國際內部審審計師協會（IIIA）的全全球技術審計計指南（GTTAG）確定定了那些必須須要做，以有有效利用技術術來支持連續續審

15、計，突出出需要進一步步關注的領域域。通過閱讀讀和遵照下面面列出的步驟驟，內部審計計師應該處于于一個更好的的位置來利用用技術和最大大化他們的投投資回報，同同時也要向管管理層證明進進行適當的技技術投資的必必要性不僅對影影響他們組織織的法規遵循循的需要起作作用，而且對對整個組織的的健康和競爭爭力起作用。第二部分 導言言這份全球技術審審計指南將著著重連續審計計的技術可行行性方面，并并且將介紹：過去30年間使使用的類似概概念的歷史和和背景。相關的術語和技技術的定義：連續審計，連連續性風險評評估，連續性性控制評估，連連續監控，連連續性鑒證。連續審計與連續續監控的關系系。連續審計能在內內部審計行為為中應用的

16、領領域。與連續審計有關關的挑戰和機機遇。對內部審計和首首席審計師以以及管理的影影響。一個連續審計自自我評估工具具。 自19980年以來來，許多的名名詞與實時或或接近實時地地提供連續審審計程序的概概念有關系，包包括：連續監監控、連續控控制評估、連連續審計。這這份全球審計計指南首先統統一使用“連續審計”的概念。它它論述了作為為連續審計的的主要組成部部分的連續控控制評估和連連續風險評估估。這份指南南將監控行為為視為管理層層的責任，同同時還論述了了審計和監控控的內在聯系系，以及內部部審計師在他他們的角色中中如何提供額額外的保證來來支持管理。當前最顯著的一一個連續審計計的推動力就就是高昂的法法規遵循成本

17、本。在美國，一一份20055年3月份的的國際財務執執行官組織調調查發現，每每個組織的薩薩班斯法案的的平均遵循成成本超過了四四百萬美元。由由于絕大部分分成本都與手手工的、員工工密集型（內內部資源和外外部顧問的使使用）有關。那那么我們對22005年11月份AMRR研究機構所所作的研究發發現關鍵技術術能夠用來減減少的遵循成成本超過255%就不會感感到奇怪了。遵循的壓力迫使使組織改進他他們對內部控控制進行連續續評價的方法法。在這種情情況下，美國國證券交易委委員會指出，“管理層和審計師必須運用合理的判斷，在（薩班斯法案404條款）遵循流程中運用嚴密的（TOP-DOWN）、風險基礎的方法”。這就導致了對連

18、續監控（由管理層實施）和連續審計的關注不斷增加。支持一套完整的審計行為，連續審計不僅幫助支持對控制的保證，還包括風險評估，識別舞弊、浪費和濫用，審計計劃，跟蹤審計建議等審計行為。一、連續審計：一個簡史自動控制測試開開始于20世世紀60年代代，當時是通通過安裝和執執行內嵌審計計模塊（EAAMs）來實實現的。但是是，這些模塊塊難以建立和和維護，而且且只是在相關關的少數組織織中使用。在在20世紀770年代后期期，審計師開開始離棄這種種方法。到了了20世紀880年代，審審計職業中有有些人開始接接受并使用計計算機輔助審審計工具和技技術（CAAATTs）用用于特殊的調調查和分析。與與此同時，連連續監控的概

19、概念首先是通通過大量的學學術文章介紹紹給審計師的的。最基本的的優點就是使使用連續的自自動化的數據據分析將幫助助審計師識別別風險最高的的領域，并作作為決定他們們的審計計劃劃的先導。但但是，在很大大程度上，審審計師們并沒沒有對這種審審計方法做好好準備。他們們缺乏容易訪訪問的合適軟軟件工具，以以及技術資源源和專家來克克服數據訪問問的挑戰，最最重要的是，組組織將是否支支持這種新的的與傳統審計計方法很不一一致的審計方方式和方法。在20世紀900年代，在全全球審計職業業界內，開始始大范圍的不不斷地接受數數據分析解決決方案，這些些解決方案被被視為支持有有效進行內部部控制測試的的關鍵工具。這這些技術用于于檢查

20、交易中中某些發生的的事件，這些些事件是由于于某項控制不不存在或沒有有適當地執行行。它也能夠夠識別與控制制標準不符的的交易。此外外，數據分析析支持不是直直接從交易數數據中獲取證證據的控制測測試。例如，企企業資源管理理計劃（ERRP）訪問和和授權表格能能夠用來分析析保持適當的的職責分離是是否失效。但但是，盡管有有這些技術基基礎，傳統審審計程序通常常依賴于典型型的樣本，而而不是對總體體進行評價，并并且是在經營營（交易）行行為發生一些些時間后進行行分析的。所所以，風險和和控制問題有有大量的機會會升級，并對對經營績效產產生消極的影影響。二、當今的審計計環境今天，經營環境境中信息系統統功能的普及及使得審計

21、師師能夠更加容容易地訪問更更加相關的信信息，同時也也包括對大量量增加的數據據和交易的管管理和評價。此外，經營的快快節奏要求提提升對控制問問題識別和反反應。在美國國像薩班斯法法案的4044條款之類的的法規要求及及時披露控制制的缺陷，管管理層要對內內部控制框架架充分性作出出保證。這些些法規遵循的的緊迫性、連連續審計準則則、審計軟件件的功能提升升，既促使而而且能夠讓審審計師采納新新的方法來評評估信息和評評價控制。首席審計師必須須給高層管理理者提供對內內部控制的健健康運行和組組織內的風險險水平作出連連續的評價，而而不是簡單的的周期性的評評價。今天的的內部審計師師不僅僅是對對控制進行審審計，他們還還關注

22、公司的的風險特征，而而且在識別風風險領域來改改善風險管理理流程中發揮揮關鍵作用。但但是，如果他他們不完全理理解經營流程程和相關風險險，審計師只只能僅僅執行行傳統的審計計核查工作。連連續審計給審審計師提供了了一個超脫傳傳統審計方式式的局限、樣樣本的限制、撰撰寫標準公告告、實時評價價的機會，連連續審計的關關鍵部分是能能夠在接近經經營行為發生生或者在經營營行為發生的的同時對交易易進行評價的的連續審計模模型。就像將第四部分分中要詳細討討論的一樣，影影響內部審計計師應用連續續審計方式的的一個關鍵因因素是管理層層已經實施了了用于連續控控制監控和識識別控制缺陷陷和風險指標標的系統的程程度。連續審計測量某某些

23、關鍵特征征，一旦某項項參數符合，將將會觸發審計計師采取某種種行為。在連連續審計條件件下，這里有有兩種主要的的行為：連續控制評估：使審計師能能夠盡早關注注控制的缺陷陷。連續風險評估：突出正在遭遭受比期望風風險更高的程程序或系統。連續審計的行為為的頻率取決決于程序或系系統的固有風風險。此外，它它可以從檢查查關鍵的控制制和風險領域域著手，在審審計師獲得經經驗和能夠獲獲取與遵循、經經營效率和效效果、財務報報告的公允性性等方面的可可測量結果時時，然后擴大大連續審計應應用領域的范范圍。三、COSO的的企業風險管管理（ERMM）框架Treadwaay委員會下下屬的發起組組織委員會（CCOSO）發發布的企業風

24、風險管理整合框架鼓鼓勵內部審計計師行為向管管理層經營方方式靠攏：控控制環境、風風險評估、信信息與溝通、風風險監控。CCOSO的EERM框架是是原來的COOSO內部控控制框架的擴擴展。它增加加了對內部控控制的關注，并并且對企業風風險管理（EERM）進行行了更加充分分的廣泛的論論述。它的四四個目標策略、運營營、報告和遵遵循，給內部部審計師增加加了評價內部部控制系統、識識別和評估風風險的壓力。要要完成這些任任務，內部審審計必須改變變它的傳統的的角色，向關關注公司目標標、策略、風風險管理和業業務流程、關關鍵控制行為為轉變。連續審計關注的的不單單是對對控制和法規規的遵循，而而更注重改進進組織的經營營效率

25、。連續續審計同時還還必須通過識識別和評估風風險以及給管管理層提供信信息對整個組組織的改進作作出貢獻，以以更好地適應應變化的商業業環境。它將將在所有的CCOSO企業業風險管理組組成部分方面面給內部審計計以幫助。內部環境和目標標設置：通過過正式確定連連續審計的目目標和內部審審計的角色。事項識別：通過過開發一個系系統來識別和和報告事項以以及應對這些些威脅和機遇遇的程序。風險評估：通過過分析和評估估風險，考慮慮可能性和影影響，從而給給決定如何管管理風險提供供基礎。風險反應：通過過考慮風險的的種類和關鍵鍵行為，通過過開發數據驅驅動方法來評評估和回應風風險。控制行為：通過過識別管理層層和內部控制制的角色；

26、證證明控制評估估不是一年一一次的行為，而而是一個持續續關注的行為為；自動化這這些控制測試試程序，使之之盡可能接近近實時運行。信息和溝通：通通過促進確保保信息的精確確性和關注事事項的實時報報告。監控和評價：通通過提供獨立立的評估來支支持由管理層層實施的連續續監控行為。圖1：COSOO企業風險管管理框架合法目目標標告標目營經報戰略目標子公司業務單位部門層面企業總體層面監控信 息 和 溝 通控制活動風險反應風險評估事項識別目標制定內部環境合法目目標標告標目營經報戰略目標子公司業務單位部門層面企業總體層面監控信 息 和 溝 通控制活動風險反應風險評估事項識別目標制定內部環境連續控制評估將將允許內部審審

27、計師評價管管理監控行為為的充分性，并并給審計委員員會和高層管管理員工提供供控制正在有有效運行以及及組織能夠快快速改進出現現的缺陷快速速反應并及時時改正的獨立立保證。連續續風險評估使使審計師能識識別正在出現現的使公司處處于風險的領領域，將這些些風險區分優優先次序，以以更加有效地地分配有限的的審計資源。但但是，這些行行為不能以任任何方式妨礙礙管理層實施施監控和管理理風險的職能能。監控和評價是CCOSO的企企業風險管理理作為一個有有效控制框架架的最后一個個要素，也是是一個組織朝朝持續改進所所做努力的關關鍵成分。連連續監控包含含管理層為保保證政策、程程序和經營流流程都有效地地運行，在適適當位置設置置的

28、程序。它它提出了管理理層評價控制制的充分性和和有效性的責責任。這包含含識別控制目目標和保證認認定，并建立立自動化的測測試程序將遵遵循相關控制制目標和保證證認定失敗的的交易凸顯出出來。連續監監控的許多技技術與內部審審計部門使用用的連續審計計技術是類似似的。四、內部審計行行為和管理層層的角色為了踐行管理者者的角色，管管理層對風險險評估和內部部控制的設計計、實施和連連續維護負有有主要責任。內內部審計行為為，根據它對對管理層和董董事會的職責責，他對識別別和評價組織織的由管理層層實施的風險險管理系統（內內部審計準則則2110）和和控制（內部部審計準則22120）的的有效性負有有責任。審計計師和管理層層之

29、間的角色色差異在于從從事內部控制制和風險評估估工作時，各各自對股東的的責任的特征征。審計師給給股東提供保保證服務；審審計委員會和和高層經理重重視風險和控控制系統的狀狀態；在法規規方面，諸如如薩班斯法案案，以及管理理層表現的對對內部控制的的關注的可靠靠性。理想上上，審計師并并不是流程的的一部分，也也不是來設計計和保持內部部控制的，這這樣，審計師師的客觀性和和獨立性就能能得以保持。五、連續審計和和監控的好處處連續審計和監控控（由管理層層實施）的結結果是類似的的，都包含提提示或警告，這這些提示或警警告指出了控控制的缺陷或或高風險水平平。這些提示示或警告能夠夠按優先次序序排列，這取取決于風險和和控制缺

30、陷的的嚴重程度，這這些提示或警警告會分發給給經營流程或或應用系統的的擔保人，運運營經理，審審計師，高級級財務經理，甚甚至法規制定定者。管理層層對這些提示示的回應能夠夠修補內部控控制缺陷和立立即修正錯誤誤的交易。審審計師對這些些警告的回應應能夠從立即即審計確認的的內部控制系系統到標記一一個領域以備備將來審計。例如，對財務交交易的持續審審計，當一個個分類賬憑證證超出了給定定限額，以及及留有非正常常關聯賬戶的的入口，測試試可能給出一一個提示。審審計師的反應應可能取決于于這是否視為為一個單一項項目這個反應應可能會是發發送一個Emmail給這這項交易的當當事人以得到到相應的解釋釋；也可能會會視為一個系系

31、統的問題，對對某個領域的的財務審計可可能狀況良好好。使用連續續審計進行額額外的測試來來決定這些異異常的特征能能夠回答諸如如以下問題：日記賬憑證是給給暫記賬戶留留有入口，而而且沒有在規規定的時間內內進行清除？日記賬憑證是否否給不正常的的關聯賬戶留留有入口？受影響的賬戶是是否可能會是是諸如人工操操縱收益之類類的舞弊？日記賬憑證的數數量和類型與與往年相比是是否有異常？個體之間登錄系系統時是否做做到了職責分分離？我們是否應該提提高或降低測測試的標準？財務比率是否與與公司的期望望相符？近幾年的收益趨趨勢如何？這這些趨勢與公公司的期望（ppeer）以以及總體的經經濟環境如何何匹配？連續審計幫助審審計師評價

32、管管理層的監控控功能的充分分性。這讓首首席審計師能能給審計委員員會和高級管管理層提供對對控制系統運運行的有效性性作出保證，以以及審計程序序在識別和指指出任何侵害害中發揮作用用。連續審計計還識別和評評估風險領域域，給審計師師提供信息，審審計師通過與與管理層的溝溝通能夠幫助助管理層減輕輕風險。此外外，他能夠用用于幫助制定定年度審計計計劃，以將審審計關注點和和資源轉向高高風險領域。然而，連續審計計最重要的優優勢之一在于于它獨立于所所審計的業務務和財務系統統和管理層實實施的監控。這這能改善組織織的管理和控控制框架，并并提供一個審審計師能夠用用來支持他們們的獨立評價價和評估行為為的機制。連續審計還面臨臨

33、著一些挑戰戰。這些技術術需要被理解解和控制。內內部審計師必必須能夠訪問問數據、軟件件工具和技術術，以及擁有有能夠智能使使用他們手頭頭所掌握的大大量的公司財財務和非財務務信息的必要要知識。連續續審計帶來的的機遇也對審審計師和首席席審計師提出出了要求。第三部分 需需要澄清的一一些關鍵概念念和術語已經采取了各種種嘗試來鼓勵勵審計師更好好地使用電子子信息，以改改進內部審計計行為的效率率和效果。最最近，多種術術語已經被用用于這些嘗試試，同時也導導致了職業界界認識上的混混亂。沒有一一個清晰的、通通用的術語，那那么將會很難難提升這些嘗嘗試，成功的的可能性也會會減少。因此此，實施連續續審計首先要要做的就是給給

34、定和傳播所所有相關術語語的清晰的定定義。理解與連續審計計相關的術語語的關鍵在于于理解控制和和風險是一個個問題的兩個個方面。控制制的存在是為為了幫助降低低風險；識別別控制缺陷能能凸顯潛在的的風險領域。相相反，通過檢檢查風險，審審計師能夠識識別哪些地方方需要控制和和（和）控制制沒有發生作作用。盡管對控制和風風險的評估通通常包含定量量分析也包含含定性分析，但但是最大化的的效率獲取是是來自于最大大化地利用技技術。對審計計師的挑戰是是確保數據的的利用和通用用性，理解相相關的業務流流程和系統，最最大化地運用用自動化。所所以，這份全全球審計技術術指南關注的的是支撐持續續審計的技術術輔助程序。保證可以認為是是

35、第三方對事事件狀態的意意見，這個事事件是關于一一個特定的交交易、業務或或治理流程、風風險或整個業業務流程中的的財務績效的的。審計保證證是對控制的的充分性和有有效性，信息息的完整性作作出的聲明。管理層實施的持持續控制監控控是有效保證證策略的核心心部分，但是是，審計師仍仍然必須確保保管理層的行行為是充分的的和有效的。連連續保證的框框架是聯結內內部審計師的的獨立性評價價行為：控制制的狀態、組組織內部的風風險管理、評評估管理監控控功能的充分分性。圖2：連續保證證的框架連續保證連續控制評估連續風險評估對連續監控的評評估首席審計師必須須保證所有的的審計師、高高級經理和審審計委員會理理解內部審計計行為和管理

36、理層在使連續續保證方程有有效的角色和和責任。以下下的定義可能能提供了額外外的視角：1、連續審計是是審計師為了了在一個更持持續、更頻繁繁的基礎上實實施與審計相相關的行為所所采取的任何何方法。它是是一系列行為為的聯合體，這這些行為從連連續控制評估估延伸到連續續風險評估。連續風險評估是是關于控制風險聯合體體的所有行為為。技術在識識別例外和（或或）異常、分分析關鍵數據據字段的模式式、趨勢分析析、從開始到到結束的明細細交易分析、控控制測試和將將組織的程序序或系統根據據不同的時點點比較或與其其他類似的單單位比較等方方面發揮著關關鍵作用。2、連續控制評評估是審計師師采取的準備備用來進行與與內部控制相相關的保

37、證的的行為。通過過連續控制評評估，通過識識別控制缺陷陷和侵害，審審計師給審計計委員會和高高層經理提供供關于控制是是否正在恰當當運行的保證證。單個的交交易是通過一一系列的控制制規則來進行行監控的，以以提供關于系系統內部控制制的保證，并并強調例外情情況。一系列列定義良好的的控制規則在在控制程序或或系統沒有按按期望運行或或受到威脅時時能夠及早地地提供警告。內部審計需要執執行連續控制制評估行為的的范圍取決于于管理層履行行其關于連續續監控的責任任的程度。一一個強有力的的管理監控系系統將減少審審計師必須執執行以對控制制提供保證的的詳細測試數數量。3、連續風險評評估是審計師師用來識別和和評估風險水水平的行為

38、。連連續風險評估估通過檢查趨趨勢和比較（在在單個程序或或系統里，與與之過去的表表現相比較，與與企業內的其其他的程序或或系統相比）來來識別和評估估風險水平。例例如，生產線線的表現可以以和先前年度度的結果相比比較，就像是是將一個企業業的績效與所所有的其他企企業相比較一一樣。這種比比較能夠較早早地警示某個個程序或系統統（審計主體體）的風險水水平高于以前前年度或其他他主體。審計計的反應也因因風險的特征征和水平而異異。連續風險險評估能應用用于大范圍的的審計領域，來來選擇訪問點點，來識別排排除包含在審審計計劃中的的特定的審計計或單位，或或觸發對某個個風險增加但但缺乏足夠解解釋的單位的的審計。它也也能夠用來

39、評評價管理行為為，來檢查審審計建議是否否得到合理的的貫徹，經營營風險水平是是否正在減少少。4、連續監控是是管理層為了了確保政策、程程序和業務流流程能夠有效效運行而實施施的一項程序序。管理層識識別關鍵控制制點和實施自自動化的測試試來決定這些些控制是否恰恰當運行。典典型的持續監監控程序包括括在給定的經經營流程領域域內，借助一一組控制規則則，自動測試試所有的交易易和系統行為為。監控通常常是按天、周周或月進行，這這取決于當前前的業務循環環的特征。取取決于特殊的的控制規則和和相關測試和和初始參數，某某些交易被標標記為控制例例外事項，且且告知管理層層。管理層監監控也可能依依靠關鍵績效效指標和其他他績效評價

40、行行為。對監控控警報和提示示作出回應并并立即修補控控制缺陷和改改正問題交易易是管理層的的責任。一、連續審計的的連續系統連續審計幫助審審計師識別和和評估風險，還還在組織中建建立智能和動動態閥值來回回應變化。它它也支持整個個審計范圍的的風險識別和和評估，幫助助制定年度審審計計劃，以以及確定某項項特定審計的的審計目標。因因此，連續審審計在很多層層面上可以視視為一個連續續系統。同時時，連續系統統中的不同位位置更加適合合不同的工作作，在連續系系統中當你執執行不同的任任務時還可能能超過一個位位置。對連續審計的關關注從控制基基礎到風險基基礎（見圖33）；分析性性技術從對明明細交易的實實時評價到對對整個單位進

41、進行趨勢分析析以及與其他他單位進行比比較分析，并并且隨著時間間進行。圖3：連續審計計的連續系統統連續審審計連續控制評估連連續風險評估估方法控制基礎 風險基礎礎（保證控制正在在運行）（識識別/評估風風險）財務控制 財務/運運營控制關注點實時/詳細交易易測試（財務務數據）趨勢/比較較（財務/運運營數據）分析技術控制保證 財財務鑒證 舞弊/浪費費/濫用 審計范圍和和目標 追追蹤審計記錄錄 年度審計計計劃相關審計行為控制監控 業績監控 平衡衡計分卡 全面質質量管理 企業風風險管理相關管理行為注1：在這個連連續系統的“控制”結尾，相關關審計行為包包括保證和財財務鑒證審計計。注2：連續系統統的另一個結結尾

42、的審計行行為包括通過過風險評估支支持審計項目目來識別舞弊弊、浪費和濫濫用，并提交交年度審計報報告。注3：相關管理理層行為包括括連續控制監監控，績效監監控，平衡計計分卡，全面面質量管理和和企業風險管管理。連續審計是一個個統一能夠帶帶來控制保證證、風險評估估、審計計劃劃、數據分析析以及其他審審計工具、技技術和科技結結合在一起的的統一結構或或框架。它支支持微觀審計計事項，例如如明細交易測測試來評價控控制的有效性性；宏觀審計計方面，通過過風險識別和和評估來準備備年度審計計計劃。它也能能滿足中觀層層面的需求，例例如為個別審審計開發審計計項目。微觀審計和宏觀觀審計兩個層層次的主要區區別在于兩者者信息需求的

43、的粒度不同：1、控制測試需需要細節信息息：需要深入入交易的源頭頭層次。連續續控制評估使使用仔細制定定的規則和實實時的或接近近實時的，測測試交易對這這些規則的遵遵循情況。2、個別審計通通常開始于年年度審計計劃劃中的風險識識別，但使用用更多的數據據分析和其他他技術（如訪訪問，自我控控制評估，實實地觀察waalkthrrough，調調查問卷）來來進一步定義義風險的主要要領域和風險險評估的關注注點和后續的的審計行為。3、年度審計計計劃需要高層層次的信息，可可能是幾年的的價值數據，來來建立風險因因素，并將風風險排序，設設置審計計劃劃開始的時間間和目標。第四部分 連連續審計與連續保證和和連續監控的的關系一

44、、連續保證前文已提到，保保證被描述為為第三方對事事件狀態的意意見。它通常常包括三個方方面：1、準備信息的的個人或團體體。2、使用這些信信息來進行決決策的個人或或團體。3、客觀存在的的第三方。通常，保證被視視為一項嚴格格的審計相關關行為，通常常具有財務方方面的特征。但但是其他的，諸諸如法律界也也提供保證服服務。審計保證是對控控制的充分性性和有效性以以及信息的完完整性發表意意見。管理層層對控制的連連續監控是有有效保證策略略的核心，但但是，審計行行為還必須保保證管理層行行為是充分和和有效的。內部審計通過客客觀檢查所獲獲取的證據以以提供對風險險管理策略和和實踐，管理理控制框架和和實踐，用于于決策和報告

45、告的信息的保保證服務。連連續保證服務務能夠在審計計師執行連續續控制和風險險評估（如連連續審計）和和評價管理層層實施的連續續監控行為的的充分性時提提供。審計師檢查管理理層的行為，證證實控制都在在運行，提出出改進建議，確確保風險正在在被控制。如如果審計師在在執行諸如檢檢查和證實控控制和風險，確確保管理層正正在進行監控控工作，那么么組織將有一一個對控制正正在運行，風風險正被控制制，用于決策策的信息具有有完整性的高高層次的保證證。管理層在在這個保證方方程（asssurancce equuationn）中起著開開發、設計和和監控控制和和控制風險的的作用。二、連續監控連續監控是管理理層設置的用用于確保政策

46、策、程序和經經營流程都在在有效運行的的程序。評價價控制的充分分性和有效性性通常是管理理層的責任。許許多管理層使使用的用于對對控制的連續續監控技術與與內部審計師師進行連續審審計所用技術術類似。連續續監控的原則則比較簡單，它它包含以下幾幾個方面：1、在一個給定定的經營流程程中定義控制制點，如果可可能的話可參參照COSOO的企業風險險管理框架。2、對每個控制制點識別控制制目標和保證證聲明。3、建立一系列列的自動化的的測試，以指指出某項交易易是否沒有遵遵循所有的相相關控制目標標和保證聲明明。4、在接近交易易發生的同時時，將所有的的交易進行測測試。5、調查沒有通通過控制測試試的所有交易易。6、如果合適的

47、的話，可以更更正這項交易易。7、如果合適的的話，更正控控制薄弱環節節。連續監控的關鍵鍵是這些程序序必須由管理理層掌控并由由管理層來執執行，因為實實施和保持有有效控制系統統是其職責的的一部分。既既然管理層對對內部控制負負有責任，那那么它就必須須有一個連續續的決定控制制是否按設計計在運行的方方法。通過實實時地識別和和更正控制的的問題，整個個的控制系統統將得以改善善。組織得到到的一個典型型的額外的好好處是錯誤和和舞弊顯著減減少，經營的的效率得到了了提高，通過過成本的減少少和過度支付付（overrpaymeent）和收收入泄漏的減減少，從而使使線下項目的的結果得以改改善。三、連續審計管理層監控和風風險

48、管理行為為的充分性與與審計師必須須執行對內部部控制的詳細細測試和風險險評估的程度度，它們之間間存在這一個個反比的關系系。連續審計計運用的方法法和工作量取取決于管理層層實施的連續續監控行為的的程度。圖4：反比關系系：管理層付付出的努力水水平與審計行行為對內部控制的完全監控對內部控制的完全監控對內部控制的少量監控減少工作量顯著的努力/更多的資源審計工作量管理層反應在管理層還沒有有實施連續監監控的地方，審審計師必須借借助連續審計計技術進行詳詳細測試。在在某些情況下下，審計師甚甚至可能主動動來幫助組織織建立風險管管理和控制評評估程序（見見國際內部審審計協會實務務報告21000-4：審審計師在一個個沒有

49、風險管管理程序組織織中的作用）。但但是，要注意意的是審計師師對這些程序序中并不擁有有所有者權，因因為這會損害害審計師的獨獨立性和客觀觀性。圖5：連續審計計、監控和保保證（概念框框架）連續保證連續保證連續審計和連續監控程序的結果連續監控審計測試連續審計審計連續監控管理行為、交易和事件經營系統和流程管理層全面地在在經營流程領領域中從頭到到尾地實施連連續監控，內內部審計師就就無需執行同同樣的詳細測測試來進行連連續審計。但但是，審計師師必須執行其其他的程序來來決定他們是是否可以依賴賴這個連續監監控程序。這這些程序包括括：1、評價偵測到到的異常和管管理層的反應應。2、評價和測試試連續監控程程序本身的控控

50、制，例如： （1）處理理日志/審計計軌跡 （2）調節節總額控制（ccontrool tottal reeconciiliatiions） （3）系統統測試參數的的變化通常，這些程序序與那些在正正常審計程序序中為確保計計算機輔助審審計技術被正正確應用的質質量控制測試試是相似的。通過結合評價監監控和連續審審計程序，審審計師能夠提提供關于內部部控制有效性性的保證。第五部分 連連續審計的應應用領域對內部審計部門門而言所面臨臨的壓力是以以較少的資源源做更多的事事情。也許最最困難的挑戰戰來自于審計計師必須對內內部控制的有有效性及時作作出保證，更更好地識別和和評估風險水水平，快速找找出沒有遵循循相關法規和和

51、政策的事項項。這些就是是連續審計可可以應用的領領域。適用技技術，從電子子表格軟件或或腳本開發使使用特種審計計軟件（sccriptss deveelopedd usinng auddit-sppecifiic sofftwaree）到商品化化的專業解決決方案軟件包包或客戶自行行開發的系統統。這些選擇擇的解決方案案必須是靈活活的可升級的的，允許審計計師從某個特特定的領域開開始，然后擴擴大范圍、規規模和分析的的頻率。盡管一些法定審審計需要每年年進行一次，但但是每年嚴格格執行這些審審計已不能滿滿足管理和法法規的需要。內內部審計行為為必須應用風風險評估和進進行控制保證證行為。雖然然需要更加關關注財務方面

52、面的審計，連連續審計支持持所有類型和和領域的審計計行為。歐洲洲聯邦內部審審計機構（EECIIA）在在2005年年意見書歐歐洲內部審計計中，鼓勵勵內部審計師師通過給管理理層提供的關關于風險已經經被識別并且且得到恰當的的控制的保證證，對組織面面臨的風險作作出反應。審審計師不僅必必須能夠評價價財務風險，而而且要能夠評評價運營風險險和策略風險險。這是持續續審計所關注注的新領域。用用于測試控制制的信息訪問問技術和技術術技能也能夠夠幫助首席審審計師通過支支持持續的評評價企業風險險管理有效性性的評價行為為和對一些警警告提出改進進建議，從而而給管理層提提供價值無法法估量的幫助助， 首席審計師通過過給高層管理理

53、員工提供獨獨立的風險和和控制評估來來支持其監控控職能。連續續審計有一系系列的功能來來支持審計行行為，首席審審計師，通過過以下的適用用方法和服務務，包括：1、風險管理策策略和實踐：通過及早識識別風險。2、管理控制框框架的可靠性性：通過找出出控制薄弱環環節。3、用于決策的的信息：通過過檢查管理者者使用的信息息的可靠性和和可獲取性。4、包含在年度度審計計劃中中審計項目的的選擇：通過過識別更高風風險領域。5、實施有效的的和及時的改改正行為：通通過檢驗審計計建議的執行行情況。首席審計師必須須認識到許多多的管理行為為與連續審計計有很強的聯聯系，例如整整合風險管理理、平衡計分分卡、連續改改進、連續監監控。審

54、計必必須決定那些些地方適合連連續審計，它它如何能用于于評估這些管管理措施行為為或者利用它它們所產生的的信息。實施連續審計框框架的期望好好處包括：1、增加減輕風風險的能力。2、減少評估內內部控制的成成本。3、增加對財務務結果的信心心。4、財務運營的的改善。5、減少財務錯錯誤和潛在的的舞弊。此外，完全運用用了連續審計計的組織，通通常會報告運運營成本的減減少和邊際利利潤的增加。一、應用于連續續控制評估（一）識別控制制缺陷由于新的法規需需要高層管理理者證明控制制環境的有效效性，以及財財務報告中所所含信息的精精確性，首席席執行官和首首席財務官開開始內部審計計行為來輔助助遵循這些法法規。盡管管管理層對監控

55、控、設計和維維持控制負有有責任以備廣廣泛認可，國國際內部審計計準則21220號，A11節指出內部部審計行為“應該通過評評價內部控制制的有效性和和效率性，以以及促進持續續改進來輔助助組織保持有有效的控制”。由于這些些外部和內部部的壓力，特特別是在一些些管理層沒有有恰當發揮其其監控角色的的作用，審計計師通常需要要執行一個更更加全面的評評估和提供更更加連續的控控制評估。這這對內部審計計流程和方法法有顯著的影影響。連續控制評估給給讓首席審計計師清楚地看看到內部控制制系統的有效效性。反過來來，給財務經經理，經營流流程管理這和和風險及遵循循經理提供對對內部控制的的獨立的和及及時的保證。對對關于內部控控制交

56、易數據據的連續控制制評估能夠迅迅速找出錯誤誤和異常，將將它們報告給給管理層，以以及時進行檢檢查和采取行行動。它也能能對財務和運運營信息的可可靠性和完整整性，營運的的效率和效果果起作用。連續控制評估還還能夠對連續續的風險評估估和管理層減減輕風險的行行為起作用。控控制和風險的的評估是相互互補充、相互互支持。以下的一個關于于內部審計中中應用連續控控制評估在財財務控制、系系統控制和安安全控制等三三個領域來支支持管理層監監控功能。（二）財務控制制：以采購卡卡項目為例一個全國性的采采購卡管理員員手工操作，每每個季度只能能對交易的極極小樣本進行行評價。審計計師決定管理理層的對于采采購的控制是是薄弱的，那那么

57、暴露出來來的風險是否否相當的高。在在評價采購卡卡使用的政策策后，審計師師進行一系列列的分析測試試來識別：1、不恰當的采采購卡使用，包包括與旅行支支出有關的交交易。2、用于個人項項目的支付（如如珠寶、酒，等等等）。3、可疑交易（如如未經授權的的持卡人使用用，銷售商重重復刷卡，分分次付款以避避免超過財務務限額，等等等）。分析的結果將提提交給持卡者者的經理，以以對這些可疑疑交易進行詳詳細審查將采購卡的的支出與商品品采購相匹配配。這識別出出許多的不恰恰當的采購和和以上三種類類型的舞弊。在審計完成后，連連續控制評估估應用測試就就轉向采購卡卡協調員，來來幫助運營經經理每個月對對采購卡控制制的監控。（三）系

58、統控制制：以職責分分離為例連續控制評估測測試也能夠用用來證實系統統是否按期望望值在起作用用。使用分析析技術，測試試程序能夠比比較個別交易易和規則基礎礎標準，對所所有的交易進進行評價以確確保個體沒有有執行不相容容的職責。在一個組織內，新新實施一個EERP系統，目目的是用自動動控制替代手手工控制來確確保職責的分分離。ERPP項目小組，通通過業主的投投入，開發一一系列基于使使用者角色的的特色配置，這這就允許使用用者能夠根據據自己的工作作職責來處理理各式各樣的的業務。盡管管審計師相信信在開發基于于角色的特色色配置中的方方法和程序，他他們關心實際際分配給使用用者的特色配配置，然后對對交易進行詳詳細檢查，

59、以以檢查哪些些些地方職責分分離沒有得到到保持。審計師抽出當年年第一季度的的所有處理的的交易，然后后利用數據分分析技術來計計算每個使用用者處理過的的交易（通過過交易類型）。這這發現兩個使使用者首先建建立采購安排排，然后記錄錄相同采購安安排的貨物接接受交易。結結果表明在基基于角色的特特色配置的設設計中職責分分離控制是薄薄弱的，因為為這些是被視視為不相容的的職責。由于ERP系統統經歷了額外外的變化例如，增加加新的角色和和改變現有角角色運行連續續控制評估測測試來證明沒沒有違反職責責分離的情況況。（四）安全控制制：以系統登登錄日志為例例連續控制評估能能夠測試安全全控制，證明明所有的系統統使用者都是是有效

60、的員工工，防止有企企圖者侵入系系統。在另一個組織的的例子中，每每周系統登錄錄日志被抽取取出來，然后后送交內部審審計部門。審審計師抽取相相關信息并將將每個使用者者與當前的員員工管理文件件相匹配。所所有的非員工工使用者被標標記出來，然然后一封郵件件將自動發送送給系統安全全部門，讓其其廢除該使用用者的身份（IID）。此外外，測試還檢檢查失敗的登登錄日志。通通過檢查發現現一例在早上上三點一個使使用者ID有有25次通過過撥號登錄失失敗。審計師師通過這份報報告來證明將將登錄參數改改為在諸如這這類使用者的的ID在嘗試試登錄失敗33次后將此IID鎖定是正正確的。連續控制評估的的潛在使用事事實上是無限限的。無論