全球技術審計必備指南

1、GLOBAL TECHNNOLOGYY AUDIIT AUIIDE全球技術審計指指南（第3號）（2005 年年 9 月公公布）Continuuous AAuditiing: Implicaationss for Assurrance,Monitorring, and Risk Assesssmentt連續(xù)審計：對保保證、監(jiān)控和和風險評估的的意義AuthorDavid CCoderrre, Rooyal CCanadiian Moountedd Poliice (RRCMP)作者戴維德科德里里（加拿大皇皇家騎警）Subjectt Mattter ExxpertssJohn G. Vervver,

2、 AACL Seervicees Ltdd.Donald J. Waarren, Centter foor Conntinuoous Auuditinng, Ruutgerss Univeersityy主題專家約翰G沃沃沃（ACL公公司）唐納德J倭倭仁（魯特格格斯大學，連連續(xù)審計研究究中心）湘潭大學商學院院 陽杰譯譯（20066年11月）*注：原指南附附錄部分由于于篇幅限制，未未加翻譯作者水平有限，如如有錯誤之處處，請emaail到y(tǒng)aang-目錄1 首席審計計師簡述11.1 連續(xù)續(xù)審計21.2 連續(xù)續(xù)審計/連續(xù)續(xù)監(jiān)控的必要要性：整合法法31.3 內(nèi)部部審計和管理理層的角色41.4 連續(xù)續(xù)審計

3、的作用用41.5 實施施的問題52 導言62.1 連續(xù)續(xù)審計：一個個簡史72.2 當今今的審計環(huán)境境82.3 COOSO的企業(yè)業(yè)風險管理（EERM）框架架92.4 內(nèi)部部審計行為和和管理層的角角色122.5 連續(xù)續(xù)審計和監(jiān)控控的好處123 需要澄清清的一些關鍵鍵概念和術語語143.1 連續(xù)續(xù)審計的連續(xù)續(xù)系統(tǒng)174 連續(xù)審計計于連續(xù)保證證和連續(xù)監(jiān)控控的關系184.1 連續(xù)續(xù)保證184.2 連續(xù)續(xù)監(jiān)控194.3 連續(xù)續(xù)審計205 連續(xù)審計計的應用領域域225.1 應用用于連續(xù)控制制評估245.2 應用用于連續(xù)風險險評估296 實施連續(xù)續(xù)審計366.1 連續(xù)續(xù)審計目標376.2 連續(xù)續(xù)控制和風險險評

4、估的關系系476.3 連續(xù)續(xù)風險評估516.4 管理理和報告結(jié)果果536.5 挑戰(zhàn)戰(zhàn)和其他要考考慮的因素57今天的法規(guī)環(huán)境境下，首席審審計師們都發(fā)發(fā)現(xiàn)他們的部部門變得越來來越被為滿足足遵循要求的的監(jiān)控和內(nèi)部部控制測試所所吞噬。但是是，大多數(shù)的的運營和財務務審計行為保保留下來了。許許多內(nèi)部審計計部門正借助助技術來減輕輕負擔，并提提升效率和生生產(chǎn)率，推動動經(jīng)營績效。這份全球技術審審計指南“連續(xù)審計：對保證、監(jiān)監(jiān)控和風險評評估的意義”給首席審計計師們提供關關于如何實施施一個理想的的策略，結(jié)合合連續(xù)審計和和連續(xù)監(jiān)控方方案來應對這這些挑戰(zhàn)。AACL的數(shù)據(jù)據(jù)分析技術和和連續(xù)控制監(jiān)監(jiān)控方案能夠夠最好地提升升

5、審計實踐，以以滿足當今對對有效控制地地高度要求。AACL能夠幫幫助你證明適適當?shù)募夹g投投資的好處，并并且支持持續(xù)續(xù)的遵循需要要，增加運營營效率，并對對提高收益有有幫助。第一部分 首首席審計師簡簡述對風險管理和控控制系統(tǒng)的有有效性進行及及時和連續(xù)的的保證的需求求非常關鍵。組組織頻繁地暴暴露在重大錯錯誤、舞弊或或者無效率下下，這些會導導致財務損失失和風險升級級。一個變化化的法規(guī)環(huán)境境，經(jīng)營的全全球化，市場場方面要求改改善經(jīng)營的壓壓力，以及快快速變化的商商業(yè)環(huán)境要求求更加及時和和連續(xù)地對正正在運行的控控制的有效性性和風險水平平正在降低作作出保證。這些要求給首席席審計師們和和他們的職員員不斷增加壓壓力

6、。內(nèi)部審審計部門卷入入遵循工作的的程度持續(xù)增增加，尤其是是由于法規(guī)的的原因，例如如美國20002年的薩班班斯法案第4404節(jié)。關關注度的提高高不僅與期望望值的增長有有關，還與內(nèi)內(nèi)部審計師在在評價內(nèi)部控控制的有效性性、風險管理理和治理流程程中保持獨立立性和客觀性性的能力能力力有關。今天，內(nèi)部審計計師面臨著的的挑戰(zhàn)來自一一系列的領域域：法規(guī)的遵循和控控制：評價和和識別事件和和流程，可持持續(xù)性，資源源，定義重要要性，優(yōu)先級級和財務報告告風險。內(nèi)部審計價值和和獨立性：對對內(nèi)部審計的的高度期望，內(nèi)內(nèi)部控制問題題的增加，對對內(nèi)部審計角角色可靠性和和獨立性的困困惑，客觀性性和獨立性的的削弱。舞弊：偵測和控控

7、制，識別盜盜竊，舞弊管管理責任，舞舞弊頻率和成成本的增加?？捎玫氖炀殞徲嬘嬞Y源：缺乏乏能勝任的和和合適的熟練練審計師，審審計師短缺，持持續(xù)力，對風風險和控制缺缺乏理解。技術：支持遵循循的合適的解解決方案，技技術經(jīng)營模型型，信息安全全，信息技術術優(yōu)勢，外部部采購。顯然，必須要有有一種新的、能能夠提供連續(xù)續(xù)的、建設性性的和劃算的的方法來解決決這些問題。一、連續(xù)審計傳統(tǒng)的內(nèi)部審計計所對控制測測試是一種向向后看的周期期性方式，通通常是在經(jīng)營營行為發(fā)生后后的幾個月后后進行。測試試程序也是基基于抽樣的方方式，還包括括一些諸如對對政策、程序序、批準和調(diào)調(diào)節(jié)的評價。現(xiàn)現(xiàn)在，這種方方式被視為一一種僅僅能夠夠提供

8、內(nèi)部審審計師一個狹狹窄范圍的評評價的審計方方法，通常由由于太遲而是是去了對經(jīng)營營績效和法規(guī)規(guī)遵循的價值值。連續(xù)審計計是一種以更更加頻繁的方方式來自動執(zhí)執(zhí)行控制和風風險評估的方方法。技術是施行這樣樣一種方法的的關鍵。連續(xù)續(xù)審計改變了了審計模式，它它將對交易樣樣本的周期性性測試變?yōu)閷?00的的樣本進行連連續(xù)性測試。它它已在許多層層次上已成了了現(xiàn)代審計不不可缺少的部部分。它也應應該緊密與管管理行為（如如行為監(jiān)控，平平衡計分卡和和企業(yè)風險管管理框架）結(jié)結(jié)合在一起。連續(xù)審計方式能能讓內(nèi)部審計計師完全理解解關鍵控制點點、控制規(guī)則則和例外情況況。通過對的的自動化和經(jīng)經(jīng)常性的分析析，他們能夠夠?qū)崟r地或接接近

9、實時地執(zhí)執(zhí)行控制和風風險評估。他他們能從交易易層面的異常常和控制缺陷陷和出現(xiàn)風險險的數(shù)據(jù)驅(qū)動動指標兩方面面來分析關鍵鍵業(yè)務流程。最最后，通過連連續(xù)審計，分分析結(jié)果將被被整合進審計計程序的所有有方面，從制制定和維持這這個企業(yè)審計計計劃到開展展和繼續(xù)特定定的審計。二、連續(xù)審計/連續(xù)監(jiān)控的的必要性：整整合法按照首席審計師師們對遵循努努力的負擔、資資源的缺乏以以及保持審計計獨立的必要要性的關注，將將連續(xù)審計和和連續(xù)監(jiān)控結(jié)結(jié)合在一起將將是一種理想想的方法。連續(xù)監(jiān)控管理層層設計的為保保證政策、程程序和業(yè)務流流程能有效運運行的程序。它它指出了管理理層對評價內(nèi)內(nèi)部控制的充充分性和有效效性的責任。這這包含識別控

10、控制目標和保保證聲明（aassuraance aasserttion）以以及建立自動動化的測試程程序來找出遵遵循失敗的活活動和交易。許許多管理層實實施的對控制制的連續(xù)監(jiān)控控技術與內(nèi)部部審計師執(zhí)行行連續(xù)審計所所用技術類似似。管理層使用連續(xù)續(xù)監(jiān)控程序，結(jié)結(jié)合內(nèi)部審計計師執(zhí)行的連連續(xù)審計，能能夠滿足對控控制程序的有有效性以及用用于決策的信信息的相關性性和可靠性的的保證需要。對組織的一種重重要的額外好好處是錯誤和和舞弊事件的的顯著減少，經(jīng)經(jīng)營效率也得得到了提高，線線下項目（bbottomm-linee）的結(jié)果也也通過成本的的減少和過度度支付及收入入泄漏的減少少得到改善。實實施了連續(xù)審審計和連續(xù)監(jiān)監(jiān)控的

11、組織通通常會發(fā)現(xiàn)他他們迅速地獲獲得了投資回回報。商業(yè)和法規(guī)環(huán)境境，以及出臺臺的審計準則則，驅(qū)使審計計師和管理層層更加有效地地利用信息和和數(shù)據(jù)分析技技術，作為連連續(xù)審計和連連續(xù)監(jiān)控的可可行基本因素素之一。三、內(nèi)部審計和和管理層的角角色管理層對評價風風險和設計、實實施、連續(xù)維維護組織內(nèi)部部的控制負有有主要責任。內(nèi)內(nèi)部審計師的的行為要對識識別和評價由由管理層實施施的組織的風風險管理系統(tǒng)統(tǒng)和控制的有有效性負責。審審計師進行評評價以給審計計委員會和高高層經(jīng)理在風風險的狀態(tài)和和控制系統(tǒng)，以以及在諸如薩薩班斯法案等等法規(guī)下，就就管理層關心心的控制狀況況的可靠性提提供保證。理理想的情況是是，內(nèi)部審計計不是控制

12、監(jiān)監(jiān)控流程的一一部分，并且且沒有設計或或維護這些控控制，從而能能夠使他們的的獨立性得以以保持。盡管對內(nèi)部控制制的監(jiān)控是一一種管理職能能，內(nèi)部審計計師行為能夠夠使用和借助助連續(xù)審計來來強化整個組組織的監(jiān)控和和評價環(huán)境。管管理層事先執(zhí)執(zhí)行的監(jiān)控水水平將直接影影響審計師實實施連續(xù)審計計。在管理層層已經(jīng)對某項項內(nèi)部控制進進行連續(xù)監(jiān)控控的情況下，在在連續(xù)審計時時，相同層次次的詳細交易易測試就無需需再進行。取取而代之的是是，審計師能能夠關注審計計程序，來決決定管理層監(jiān)監(jiān)控程序有效效性，借助這這種測試的結(jié)結(jié)果來調(diào)整范范圍、數(shù)字和和審計測試的的頻率。四、連續(xù)審計的的作用連續(xù)審計的作用用依賴于對對對內(nèi)部控制的的

13、連續(xù)性測試試的智能性和和有效性，及及時提示控制制缺口和薄弱弱環(huán)節(jié)存在的的風險，并允允許立即的追追蹤和進行補補救。通過改改變他們的審審計方式，審審計師將能夠夠更好地理解解經(jīng)營環(huán)境和和公司風險以以支持遵循和和提高經(jīng)營績績效。五、實施的問題題首席審計師必須須認識到連續(xù)續(xù)審計將改變變審計模式，包包括證據(jù)的特特征、時間、程程序和內(nèi)部審審計師所需的的努力水平。這這將給審計部部門提出要求求，尤其是他他們必須：獲得和促成審計計委員會和高高級管理層支支持這個概念念并實施連續(xù)續(xù)審計。開發(fā)和保持技術術方面的能力力，以保證訪訪問、操作和和分析包含在在相互分離系系統(tǒng)中數(shù)據(jù)的的能力。使用（或?qū)嵤?shù)數(shù)據(jù)分析技術術來支持審

14、計計項目，包括括使用合適的的分析軟件工工具，開發(fā)和和維護數(shù)據(jù)分分析技術，以以及審計組中中的專家。發(fā)起、促進和鼓鼓勵管理層對對連續(xù)審計的的支持。保證連續(xù)審計被被采用作為風風險導向?qū)徲嬘嬘媱澲型暾?、相容的的一部分。管理和回應連續(xù)續(xù)審計的結(jié)果果，決定合適適的使用、跟跟蹤和報告機機制。首席審審計師將必須須確保對審計計發(fā)現(xiàn)報告的的問題管理層層已經(jīng)采取合合適的行動，連連續(xù)審計的結(jié)結(jié)果在管理層層的評價時要要被考慮到，這這些評價包括括內(nèi)部控制的的監(jiān)控，業(yè)績績評價和企業(yè)業(yè)風險管理。這份國際內(nèi)部審審計師協(xié)會（IIIA）的全全球技術審計計指南（GTTAG）確定定了那些必須須要做，以有有效利用技術術來支持連續(xù)續(xù)審

15、計，突出出需要進一步步關注的領域域。通過閱讀讀和遵照下面面列出的步驟驟，內(nèi)部審計計師應該處于于一個更好的的位置來利用用技術和最大大化他們的投投資回報，同同時也要向管管理層證明進進行適當?shù)募技夹g投資的必必要性不僅對影影響他們組織織的法規(guī)遵循循的需要起作作用，而且對對整個組織的的健康和競爭爭力起作用。第二部分 導言言這份全球技術審審計指南將著著重連續(xù)審計計的技術可行行性方面，并并且將介紹：過去30年間使使用的類似概概念的歷史和和背景。相關的術語和技技術的定義：連續(xù)審計，連連續(xù)性風險評評估，連續(xù)性性控制評估，連連續(xù)監(jiān)控，連連續(xù)性鑒證。連續(xù)審計與連續(xù)續(xù)監(jiān)控的關系系。連續(xù)審計能在內(nèi)內(nèi)部審計行為為中應用的

16、領領域。與連續(xù)審計有關關的挑戰(zhàn)和機機遇。對內(nèi)部審計和首首席審計師以以及管理的影影響。一個連續(xù)審計自自我評估工具具。 自19980年以來來，許多的名名詞與實時或或接近實時地地提供連續(xù)審審計程序的概概念有關系，包包括：連續(xù)監(jiān)監(jiān)控、連續(xù)控控制評估、連連續(xù)審計。這這份全球?qū)徲嬘嬛改鲜紫冉y(tǒng)統(tǒng)一使用“連續(xù)審計”的概念。它它論述了作為為連續(xù)審計的的主要組成部部分的連續(xù)控控制評估和連連續(xù)風險評估估。這份指南南將監(jiān)控行為為視為管理層層的責任，同同時還論述了了審計和監(jiān)控控的內(nèi)在聯(lián)系系，以及內(nèi)部部審計師在他他們的角色中中如何提供額額外的保證來來支持管理。當前最顯著的一一個連續(xù)審計計的推動力就就是高昂的法法規(guī)遵循成本

17、本。在美國，一一份20055年3月份的的國際財務執(zhí)執(zhí)行官組織調(diào)調(diào)查發(fā)現(xiàn)，每每個組織的薩薩班斯法案的的平均遵循成成本超過了四四百萬美元。由由于絕大部分分成本都與手手工的、員工工密集型（內(nèi)內(nèi)部資源和外外部顧問的使使用）有關。那那么我們對22005年11月份AMRR研究機構(gòu)所所作的研究發(fā)發(fā)現(xiàn)關鍵技術術能夠用來減減少的遵循成成本超過255%就不會感感到奇怪了。遵循的壓力迫使使組織改進他他們對內(nèi)部控控制進行連續(xù)續(xù)評價的方法法。在這種情情況下，美國國證券交易委委員會指出，“管理層和審計師必須運用合理的判斷，在（薩班斯法案404條款）遵循流程中運用嚴密的（TOP-DOWN）、風險基礎的方法”。這就導致了對連

18、續(xù)監(jiān)控（由管理層實施）和連續(xù)審計的關注不斷增加。支持一套完整的審計行為，連續(xù)審計不僅幫助支持對控制的保證，還包括風險評估，識別舞弊、浪費和濫用，審計計劃，跟蹤審計建議等審計行為。一、連續(xù)審計：一個簡史自動控制測試開開始于20世世紀60年代代，當時是通通過安裝和執(zhí)執(zhí)行內(nèi)嵌審計計模塊（EAAMs）來實實現(xiàn)的。但是是，這些模塊塊難以建立和和維護，而且且只是在相關關的少數(shù)組織織中使用。在在20世紀770年代后期期，審計師開開始離棄這種種方法。到了了20世紀880年代，審審計職業(yè)中有有些人開始接接受并使用計計算機輔助審審計工具和技技術（CAAATTs）用用于特殊的調(diào)調(diào)查和分析。與與此同時，連連續(xù)監(jiān)控的概

19、概念首先是通通過大量的學學術文章介紹紹給審計師的的。最基本的的優(yōu)點就是使使用連續(xù)的自自動化的數(shù)據(jù)據(jù)分析將幫助助審計師識別別風險最高的的領域，并作作為決定他們們的審計計劃劃的先導。但但是，在很大大程度上，審審計師們并沒沒有對這種審審計方法做好好準備。他們們?nèi)狈θ菀自L訪問的合適軟軟件工具，以以及技術資源源和專家來克克服數(shù)據(jù)訪問問的挑戰(zhàn)，最最重要的是，組組織將是否支支持這種新的的與傳統(tǒng)審計計方法很不一一致的審計方方式和方法。在20世紀900年代，在全全球?qū)徲嬄殬I(yè)業(yè)界內(nèi)，開始始大范圍的不不斷地接受數(shù)數(shù)據(jù)分析解決決方案，這些些解決方案被被視為支持有有效進行內(nèi)部部控制測試的的關鍵工具。這這些技術用于于檢查

20、交易中中某些發(fā)生的的事件，這些些事件是由于于某項控制不不存在或沒有有適當?shù)貓?zhí)行行。它也能夠夠識別與控制制標準不符的的交易。此外外，數(shù)據(jù)分析析支持不是直直接從交易數(shù)數(shù)據(jù)中獲取證證據(jù)的控制測測試。例如，企企業(yè)資源管理理計劃（ERRP）訪問和和授權表格能能夠用來分析析保持適當?shù)牡穆氊煼蛛x是是否失效。但但是，盡管有有這些技術基基礎，傳統(tǒng)審審計程序通常常依賴于典型型的樣本，而而不是對總體體進行評價，并并且是在經(jīng)營營（交易）行行為發(fā)生一些些時間后進行行分析的。所所以，風險和和控制問題有有大量的機會會升級，并對對經(jīng)營績效產(chǎn)產(chǎn)生消極的影影響。二、當今的審計計環(huán)境今天，經(jīng)營環(huán)境境中信息系統(tǒng)統(tǒng)功能的普及及使得審計

21、師師能夠更加容容易地訪問更更加相關的信信息，同時也也包括對大量量增加的數(shù)據(jù)據(jù)和交易的管管理和評價。此外，經(jīng)營的快快節(jié)奏要求提提升對控制問問題識別和反反應。在美國國像薩班斯法法案的4044條款之類的的法規(guī)要求及及時披露控制制的缺陷，管管理層要對內(nèi)內(nèi)部控制框架架充分性作出出保證。這些些法規(guī)遵循的的緊迫性、連連續(xù)審計準則則、審計軟件件的功能提升升，既促使而而且能夠讓審審計師采納新新的方法來評評估信息和評評價控制。首席審計師必須須給高層管理理者提供對內(nèi)內(nèi)部控制的健健康運行和組組織內(nèi)的風險險水平作出連連續(xù)的評價，而而不是簡單的的周期性的評評價。今天的的內(nèi)部審計師師不僅僅是對對控制進行審審計，他們還還關注

22、公司的的風險特征，而而且在識別風風險領域來改改善風險管理理流程中發(fā)揮揮關鍵作用。但但是，如果他他們不完全理理解經(jīng)營流程程和相關風險險，審計師只只能僅僅執(zhí)行行傳統(tǒng)的審計計核查工作。連連續(xù)審計給審審計師提供了了一個超脫傳傳統(tǒng)審計方式式的局限、樣樣本的限制、撰撰寫標準公告告、實時評價價的機會，連連續(xù)審計的關關鍵部分是能能夠在接近經(jīng)經(jīng)營行為發(fā)生生或者在經(jīng)營營行為發(fā)生的的同時對交易易進行評價的的連續(xù)審計模模型。就像將第四部分分中要詳細討討論的一樣，影影響內(nèi)部審計計師應用連續(xù)續(xù)審計方式的的一個關鍵因因素是管理層層已經(jīng)實施了了用于連續(xù)控控制監(jiān)控和識識別控制缺陷陷和風險指標標的系統(tǒng)的程程度。連續(xù)審計測量某某些

23、關鍵特征征，一旦某項項參數(shù)符合，將將會觸發(fā)審計計師采取某種種行為。在連連續(xù)審計條件件下，這里有有兩種主要的的行為：連續(xù)控制評估：使審計師能能夠盡早關注注控制的缺陷陷。連續(xù)風險評估：突出正在遭遭受比期望風風險更高的程程序或系統(tǒng)。連續(xù)審計的行為為的頻率取決決于程序或系系統(tǒng)的固有風風險。此外，它它可以從檢查查關鍵的控制制和風險領域域著手，在審審計師獲得經(jīng)經(jīng)驗和能夠獲獲取與遵循、經(jīng)經(jīng)營效率和效效果、財務報報告的公允性性等方面的可可測量結(jié)果時時，然后擴大大連續(xù)審計應應用領域的范范圍。三、COSO的的企業(yè)風險管管理（ERMM）框架Treadwaay委員會下下屬的發(fā)起組組織委員會（CCOSO）發(fā)發(fā)布的企業(yè)風

24、風險管理整合框架鼓鼓勵內(nèi)部審計計師行為向管管理層經(jīng)營方方式靠攏：控控制環(huán)境、風風險評估、信信息與溝通、風風險監(jiān)控。CCOSO的EERM框架是是原來的COOSO內(nèi)部控控制框架的擴擴展。它增加加了對內(nèi)部控控制的關注，并并且對企業(yè)風風險管理（EERM）進行行了更加充分分的廣泛的論論述。它的四四個目標策略、運營營、報告和遵遵循，給內(nèi)部部審計師增加加了評價內(nèi)部部控制系統(tǒng)、識識別和評估風風險的壓力。要要完成這些任任務，內(nèi)部審審計必須改變變它的傳統(tǒng)的的角色，向關關注公司目標標、策略、風風險管理和業(yè)業(yè)務流程、關關鍵控制行為為轉(zhuǎn)變。連續(xù)審計關注的的不單單是對對控制和法規(guī)規(guī)的遵循，而而更注重改進進組織的經(jīng)營營效率

25、。連續(xù)續(xù)審計同時還還必須通過識識別和評估風風險以及給管管理層提供信信息對整個組組織的改進作作出貢獻，以以更好地適應應變化的商業(yè)業(yè)環(huán)境。它將將在所有的CCOSO企業(yè)業(yè)風險管理組組成部分方面面給內(nèi)部審計計以幫助。內(nèi)部環(huán)境和目標標設置：通過過正式確定連連續(xù)審計的目目標和內(nèi)部審審計的角色。事項識別：通過過開發(fā)一個系系統(tǒng)來識別和和報告事項以以及應對這些些威脅和機遇遇的程序。風險評估：通過過分析和評估估風險，考慮慮可能性和影影響，從而給給決定如何管管理風險提供供基礎。風險反應：通過過考慮風險的的種類和關鍵鍵行為，通過過開發(fā)數(shù)據(jù)驅(qū)驅(qū)動方法來評評估和回應風風險?？刂菩袨椋和ㄟ^過識別管理層層和內(nèi)部控制制的角色；

26、證證明控制評估估不是一年一一次的行為，而而是一個持續(xù)續(xù)關注的行為為；自動化這這些控制測試試程序，使之之盡可能接近近實時運行。信息和溝通：通通過促進確保保信息的精確確性和關注事事項的實時報報告。監(jiān)控和評價：通通過提供獨立立的評估來支支持由管理層層實施的連續(xù)續(xù)監(jiān)控行為。圖1：COSOO企業(yè)風險管管理框架合法目目標標告標目營經(jīng)報戰(zhàn)略目標子公司業(yè)務單位部門層面企業(yè)總體層面監(jiān)控信 息 和 溝 通控制活動風險反應風險評估事項識別目標制定內(nèi)部環(huán)境合法目目標標告標目營經(jīng)報戰(zhàn)略目標子公司業(yè)務單位部門層面企業(yè)總體層面監(jiān)控信 息 和 溝 通控制活動風險反應風險評估事項識別目標制定內(nèi)部環(huán)境連續(xù)控制評估將將允許內(nèi)部審審

27、計師評價管管理監(jiān)控行為為的充分性，并并給審計委員員會和高層管管理員工提供供控制正在有有效運行以及及組織能夠快快速改進出現(xiàn)現(xiàn)的缺陷快速速反應并及時時改正的獨立立保證。連續(xù)續(xù)風險評估使使審計師能識識別正在出現(xiàn)現(xiàn)的使公司處處于風險的領領域，將這些些風險區(qū)分優(yōu)優(yōu)先次序，以以更加有效地地分配有限的的審計資源。但但是，這些行行為不能以任任何方式妨礙礙管理層實施施監(jiān)控和管理理風險的職能能。監(jiān)控和評價是CCOSO的企企業(yè)風險管理理作為一個有有效控制框架架的最后一個個要素，也是是一個組織朝朝持續(xù)改進所所做努力的關關鍵成分。連連續(xù)監(jiān)控包含含管理層為保保證政策、程程序和經(jīng)營流流程都有效地地運行，在適適當位置設置置的

28、程序。它它提出了管理理層評價控制制的充分性和和有效性的責責任。這包含含識別控制目目標和保證認認定，并建立立自動化的測測試程序?qū)⒆褡裱嚓P控制制目標和保證證認定失敗的的交易凸顯出出來。連續(xù)監(jiān)監(jiān)控的許多技技術與內(nèi)部審審計部門使用用的連續(xù)審計計技術是類似似的。四、內(nèi)部審計行行為和管理層層的角色為了踐行管理者者的角色，管管理層對風險險評估和內(nèi)部部控制的設計計、實施和連連續(xù)維護負有有主要責任。內(nèi)內(nèi)部審計行為為，根據(jù)它對對管理層和董董事會的職責責，他對識別別和評價組織織的由管理層層實施的風險險管理系統(tǒng)（內(nèi)內(nèi)部審計準則則2110）和和控制（內(nèi)部部審計準則22120）的的有效性負有有責任。審計計師和管理層層之

29、間的角色色差異在于從從事內(nèi)部控制制和風險評估估工作時，各各自對股東的的責任的特征征。審計師給給股東提供保保證服務；審審計委員會和和高層經(jīng)理重重視風險和控控制系統(tǒng)的狀狀態(tài)；在法規(guī)規(guī)方面，諸如如薩班斯法案案，以及管理理層表現(xiàn)的對對內(nèi)部控制的的關注的可靠靠性。理想上上，審計師并并不是流程的的一部分，也也不是來設計計和保持內(nèi)部部控制的，這這樣，審計師師的客觀性和和獨立性就能能得以保持。五、連續(xù)審計和和監(jiān)控的好處處連續(xù)審計和監(jiān)控控（由管理層層實施）的結(jié)結(jié)果是類似的的，都包含提提示或警告，這這些提示或警警告指出了控控制的缺陷或或高風險水平平。這些提示示或警告能夠夠按優(yōu)先次序序排列，這取取決于風險和和控制缺

30、陷的的嚴重程度，這這些提示或警警告會分發(fā)給給經(jīng)營流程或或應用系統(tǒng)的的擔保人，運運營經(jīng)理，審審計師，高級級財務經(jīng)理，甚甚至法規(guī)制定定者。管理層層對這些提示示的回應能夠夠修補內(nèi)部控控制缺陷和立立即修正錯誤誤的交易。審審計師對這些些警告的回應應能夠從立即即審計確認的的內(nèi)部控制系系統(tǒng)到標記一一個領域以備備將來審計。例如，對財務交交易的持續(xù)審審計，當一個個分類賬憑證證超出了給定定限額，以及及留有非正常常關聯(lián)賬戶的的入口，測試試可能給出一一個提示。審審計師的反應應可能取決于于這是否視為為一個單一項項目這個反應應可能會是發(fā)發(fā)送一個Emmail給這這項交易的當當事人以得到到相應的解釋釋；也可能會會視為一個系系

31、統(tǒng)的問題，對對某個領域的的財務審計可可能狀況良好好。使用連續(xù)續(xù)審計進行額額外的測試來來決定這些異異常的特征能能夠回答諸如如以下問題：日記賬憑證是給給暫記賬戶留留有入口，而而且沒有在規(guī)規(guī)定的時間內(nèi)內(nèi)進行清除？日記賬憑證是否否給不正常的的關聯(lián)賬戶留留有入口？受影響的賬戶是是否可能會是是諸如人工操操縱收益之類類的舞弊？日記賬憑證的數(shù)數(shù)量和類型與與往年相比是是否有異常？個體之間登錄系系統(tǒng)時是否做做到了職責分分離？我們是否應該提提高或降低測測試的標準？財務比率是否與與公司的期望望相符？近幾年的收益趨趨勢如何？這這些趨勢與公公司的期望（ppeer）以以及總體的經(jīng)經(jīng)濟環(huán)境如何何匹配？連續(xù)審計幫助審審計師評價

32、管管理層的監(jiān)控控功能的充分分性。這讓首首席審計師能能給審計委員員會和高級管管理層提供對對控制系統(tǒng)運運行的有效性性作出保證，以以及審計程序序在識別和指指出任何侵害害中發(fā)揮作用用。連續(xù)審計計還識別和評評估風險領域域，給審計師師提供信息，審審計師通過與與管理層的溝溝通能夠幫助助管理層減輕輕風險。此外外，他能夠用用于幫助制定定年度審計計計劃，以將審審計關注點和和資源轉(zhuǎn)向高高風險領域。然而，連續(xù)審計計最重要的優(yōu)優(yōu)勢之一在于于它獨立于所所審計的業(yè)務務和財務系統(tǒng)統(tǒng)和管理層實實施的監(jiān)控。這這能改善組織織的管理和控控制框架，并并提供一個審審計師能夠用用來支持他們們的獨立評價價和評估行為為的機制。連續(xù)審計還面臨臨

33、著一些挑戰(zhàn)戰(zhàn)。這些技術術需要被理解解和控制。內(nèi)內(nèi)部審計師必必須能夠訪問問數(shù)據(jù)、軟件件工具和技術術，以及擁有有能夠智能使使用他們手頭頭所掌握的大大量的公司財財務和非財務務信息的必要要知識。連續(xù)續(xù)審計帶來的的機遇也對審審計師和首席席審計師提出出了要求。第三部分 需需要澄清的一一些關鍵概念念和術語已經(jīng)采取了各種種嘗試來鼓勵勵審計師更好好地使用電子子信息，以改改進內(nèi)部審計計行為的效率率和效果。最最近，多種術術語已經(jīng)被用用于這些嘗試試，同時也導導致了職業(yè)界界認識上的混混亂。沒有一一個清晰的、通通用的術語，那那么將會很難難提升這些嘗嘗試，成功的的可能性也會會減少。因此此，實施連續(xù)續(xù)審計首先要要做的就是給給

34、定和傳播所所有相關術語語的清晰的定定義。理解與連續(xù)審計計相關的術語語的關鍵在于于理解控制和和風險是一個個問題的兩個個方面。控制制的存在是為為了幫助降低低風險；識別別控制缺陷能能凸顯潛在的的風險領域。相相反，通過檢檢查風險，審審計師能夠識識別哪些地方方需要控制和和（和）控制制沒有發(fā)生作作用。盡管對控制和風風險的評估通通常包含定量量分析也包含含定性分析，但但是最大化的的效率獲取是是來自于最大大化地利用技技術。對審計計師的挑戰(zhàn)是是確保數(shù)據(jù)的的利用和通用用性，理解相相關的業(yè)務流流程和系統(tǒng)，最最大化地運用用自動化。所所以，這份全全球?qū)徲嫾夹g術指南關注的的是支撐持續(xù)續(xù)審計的技術術輔助程序。保證可以認為是是

35、第三方對事事件狀態(tài)的意意見，這個事事件是關于一一個特定的交交易、業(yè)務或或治理流程、風風險或整個業(yè)業(yè)務流程中的的財務績效的的。審計保證證是對控制的的充分性和有有效性，信息息的完整性作作出的聲明。管理層實施的持持續(xù)控制監(jiān)控控是有效保證證策略的核心心部分，但是是，審計師仍仍然必須確保保管理層的行行為是充分的的和有效的。連連續(xù)保證的框框架是聯(lián)結(jié)內(nèi)內(nèi)部審計師的的獨立性評價價行為：控制制的狀態(tài)、組組織內(nèi)部的風風險管理、評評估管理監(jiān)控控功能的充分分性。圖2：連續(xù)保證證的框架連續(xù)保證連續(xù)控制評估連續(xù)風險評估對連續(xù)監(jiān)控的評評估首席審計師必須須保證所有的的審計師、高高級經(jīng)理和審審計委員會理理解內(nèi)部審計計行為和管理

36、理層在使連續(xù)續(xù)保證方程有有效的角色和和責任。以下下的定義可能能提供了額外外的視角：1、連續(xù)審計是是審計師為了了在一個更持持續(xù)、更頻繁繁的基礎上實實施與審計相相關的行為所所采取的任何何方法。它是是一系列行為為的聯(lián)合體，這這些行為從連連續(xù)控制評估估延伸到連續(xù)續(xù)風險評估。連續(xù)風險評估是是關于控制風險聯(lián)合體體的所有行為為。技術在識識別例外和（或或）異常、分分析關鍵數(shù)據(jù)據(jù)字段的模式式、趨勢分析析、從開始到到結(jié)束的明細細交易分析、控控制測試和將將組織的程序序或系統(tǒng)根據(jù)據(jù)不同的時點點比較或與其其他類似的單單位比較等方方面發(fā)揮著關關鍵作用。2、連續(xù)控制評評估是審計師師采取的準備備用來進行與與內(nèi)部控制相相關的保

37、證的的行為。通過過連續(xù)控制評評估，通過識識別控制缺陷陷和侵害，審審計師給審計計委員會和高高層經(jīng)理提供供關于控制是是否正在恰當當運行的保證證。單個的交交易是通過一一系列的控制制規(guī)則來進行行監(jiān)控的，以以提供關于系系統(tǒng)內(nèi)部控制制的保證，并并強調(diào)例外情情況。一系列列定義良好的的控制規(guī)則在在控制程序或或系統(tǒng)沒有按按期望運行或或受到威脅時時能夠及早地地提供警告。內(nèi)部審計需要執(zhí)執(zhí)行連續(xù)控制制評估行為的的范圍取決于于管理層履行行其關于連續(xù)續(xù)監(jiān)控的責任任的程度。一一個強有力的的管理監(jiān)控系系統(tǒng)將減少審審計師必須執(zhí)執(zhí)行以對控制制提供保證的的詳細測試數(shù)數(shù)量。3、連續(xù)風險評評估是審計師師用來識別和和評估風險水水平的行為

38、。連連續(xù)風險評估估通過檢查趨趨勢和比較（在在單個程序或或系統(tǒng)里，與與之過去的表表現(xiàn)相比較，與與企業(yè)內(nèi)的其其他的程序或或系統(tǒng)相比）來來識別和評估估風險水平。例例如，生產(chǎn)線線的表現(xiàn)可以以和先前年度度的結(jié)果相比比較，就像是是將一個企業(yè)業(yè)的績效與所所有的其他企企業(yè)相比較一一樣。這種比比較能夠較早早地警示某個個程序或系統(tǒng)統(tǒng)（審計主體體）的風險水水平高于以前前年度或其他他主體。審計計的反應也因因風險的特征征和水平而異異。連續(xù)風險險評估能應用用于大范圍的的審計領域，來來選擇訪問點點，來識別排排除包含在審審計計劃中的的特定的審計計或單位，或或觸發(fā)對某個個風險增加但但缺乏足夠解解釋的單位的的審計。它也也能夠用來

39、評評價管理行為為，來檢查審審計建議是否否得到合理的的貫徹，經(jīng)營營風險水平是是否正在減少少。4、連續(xù)監(jiān)控是是管理層為了了確保政策、程程序和業(yè)務流流程能夠有效效運行而實施施的一項程序序。管理層識識別關鍵控制制點和實施自自動化的測試試來決定這些些控制是否恰恰當運行。典典型的持續(xù)監(jiān)監(jiān)控程序包括括在給定的經(jīng)經(jīng)營流程領域域內(nèi)，借助一一組控制規(guī)則則，自動測試試所有的交易易和系統(tǒng)行為為。監(jiān)控通常常是按天、周周或月進行，這這取決于當前前的業(yè)務循環(huán)環(huán)的特征。取取決于特殊的的控制規(guī)則和和相關測試和和初始參數(shù)，某某些交易被標標記為控制例例外事項，且且告知管理層層。管理層監(jiān)監(jiān)控也可能依依靠關鍵績效效指標和其他他績效評價

40、行行為。對監(jiān)控控警報和提示示作出回應并并立即修補控控制缺陷和改改正問題交易易是管理層的的責任。一、連續(xù)審計的的連續(xù)系統(tǒng)連續(xù)審計幫助審審計師識別和和評估風險，還還在組織中建建立智能和動動態(tài)閥值來回回應變化。它它也支持整個個審計范圍的的風險識別和和評估，幫助助制定年度審審計計劃，以以及確定某項項特定審計的的審計目標。因因此，連續(xù)審審計在很多層層面上可以視視為一個連續(xù)續(xù)系統(tǒng)。同時時，連續(xù)系統(tǒng)統(tǒng)中的不同位位置更加適合合不同的工作作，在連續(xù)系系統(tǒng)中當你執(zhí)執(zhí)行不同的任任務時還可能能超過一個位位置。對連續(xù)審計的關關注從控制基基礎到風險基基礎（見圖33）；分析性性技術從對明明細交易的實實時評價到對對整個單位進

41、進行趨勢分析析以及與其他他單位進行比比較分析，并并且隨著時間間進行。圖3：連續(xù)審計計的連續(xù)系統(tǒng)統(tǒng)連續(xù)審審計連續(xù)控制評估連連續(xù)風險評估估方法控制基礎 風險基礎礎（保證控制正在在運行）（識識別/評估風風險）財務控制 財務/運運營控制關注點實時/詳細交易易測試（財務務數(shù)據(jù)）趨勢/比較較（財務/運運營數(shù)據(jù)）分析技術控制保證 財財務鑒證 舞弊/浪費費/濫用 審計范圍和和目標 追追蹤審計記錄錄 年度審計計計劃相關審計行為控制監(jiān)控 業(yè)績監(jiān)控 平衡衡計分卡 全面質(zhì)質(zhì)量管理 企業(yè)風風險管理相關管理行為注1：在這個連連續(xù)系統(tǒng)的“控制”結(jié)尾，相關關審計行為包包括保證和財財務鑒證審計計。注2：連續(xù)系統(tǒng)統(tǒng)的另一個結(jié)結(jié)尾

42、的審計行行為包括通過過風險評估支支持審計項目目來識別舞弊弊、浪費和濫濫用，并提交交年度審計報報告。注3：相關管理理層行為包括括連續(xù)控制監(jiān)監(jiān)控，績效監(jiān)監(jiān)控，平衡計計分卡，全面面質(zhì)量管理和和企業(yè)風險管管理。連續(xù)審計是一個個統(tǒng)一能夠帶帶來控制保證證、風險評估估、審計計劃劃、數(shù)據(jù)分析析以及其他審審計工具、技技術和科技結(jié)結(jié)合在一起的的統(tǒng)一結(jié)構(gòu)或或框架。它支支持微觀審計計事項，例如如明細交易測測試來評價控控制的有效性性；宏觀審計計方面，通過過風險識別和和評估來準備備年度審計計計劃。它也能能滿足中觀層層面的需求，例例如為個別審審計開發(fā)審計計項目。微觀審計和宏觀觀審計兩個層層次的主要區(qū)區(qū)別在于兩者者信息需求的

43、的粒度不同：1、控制測試需需要細節(jié)信息息：需要深入入交易的源頭頭層次。連續(xù)續(xù)控制評估使使用仔細制定定的規(guī)則和實實時的或接近近實時的，測測試交易對這這些規(guī)則的遵遵循情況。2、個別審計通通常開始于年年度審計計劃劃中的風險識識別，但使用用更多的數(shù)據(jù)據(jù)分析和其他他技術（如訪訪問，自我控控制評估，實實地觀察waalkthrrough，調(diào)調(diào)查問卷）來來進一步定義義風險的主要要領域和風險險評估的關注注點和后續(xù)的的審計行為。3、年度審計計計劃需要高層層次的信息，可可能是幾年的的價值數(shù)據(jù)，來來建立風險因因素，并將風風險排序，設設置審計計劃劃開始的時間間和目標。第四部分 連連續(xù)審計與連續(xù)保證和和連續(xù)監(jiān)控的的關系一

44、、連續(xù)保證前文已提到，保保證被描述為為第三方對事事件狀態(tài)的意意見。它通常常包括三個方方面：1、準備信息的的個人或團體體。2、使用這些信信息來進行決決策的個人或或團體。3、客觀存在的的第三方。通常，保證被視視為一項嚴格格的審計相關關行為，通常常具有財務方方面的特征。但但是其他的，諸諸如法律界也也提供保證服服務。審計保證是對控控制的充分性性和有效性以以及信息的完完整性發(fā)表意意見。管理層層對控制的連連續(xù)監(jiān)控是有有效保證策略略的核心，但但是，審計行行為還必須保保證管理層行行為是充分和和有效的。內(nèi)部審計通過客客觀檢查所獲獲取的證據(jù)以以提供對風險險管理策略和和實踐，管理理控制框架和和實踐，用于于決策和報告

45、告的信息的保保證服務。連連續(xù)保證服務務能夠在審計計師執(zhí)行連續(xù)續(xù)控制和風險險評估（如連連續(xù)審計）和和評價管理層層實施的連續(xù)續(xù)監(jiān)控行為的的充分性時提提供。審計師檢查管理理層的行為，證證實控制都在在運行，提出出改進建議，確確保風險正在在被控制。如如果審計師在在執(zhí)行諸如檢檢查和證實控控制和風險，確確保管理層正正在進行監(jiān)控控工作，那么么組織將有一一個對控制正正在運行，風風險正被控制制，用于決策策的信息具有有完整性的高高層次的保證證。管理層在在這個保證方方程（asssurancce equuationn）中起著開開發(fā)、設計和和監(jiān)控控制和和控制風險的的作用。二、連續(xù)監(jiān)控連續(xù)監(jiān)控是管理理層設置的用用于確保政策

46、策、程序和經(jīng)經(jīng)營流程都在在有效運行的的程序。評價價控制的充分分性和有效性性通常是管理理層的責任。許許多管理層使使用的用于對對控制的連續(xù)續(xù)監(jiān)控技術與與內(nèi)部審計師師進行連續(xù)審審計所用技術術類似。連續(xù)續(xù)監(jiān)控的原則則比較簡單，它它包含以下幾幾個方面：1、在一個給定定的經(jīng)營流程程中定義控制制點，如果可可能的話可參參照COSOO的企業(yè)風險險管理框架。2、對每個控制制點識別控制制目標和保證證聲明。3、建立一系列列的自動化的的測試，以指指出某項交易易是否沒有遵遵循所有的相相關控制目標標和保證聲明明。4、在接近交易易發(fā)生的同時時，將所有的的交易進行測測試。5、調(diào)查沒有通通過控制測試試的所有交易易。6、如果合適的

47、的話，可以更更正這項交易易。7、如果合適的的話，更正控控制薄弱環(huán)節(jié)節(jié)。連續(xù)監(jiān)控的關鍵鍵是這些程序序必須由管理理層掌控并由由管理層來執(zhí)執(zhí)行，因為實實施和保持有有效控制系統(tǒng)統(tǒng)是其職責的的一部分。既既然管理層對對內(nèi)部控制負負有責任，那那么它就必須須有一個連續(xù)續(xù)的決定控制制是否按設計計在運行的方方法。通過實實時地識別和和更正控制的的問題，整個個的控制系統(tǒng)統(tǒng)將得以改善善。組織得到到的一個典型型的額外的好好處是錯誤和和舞弊顯著減減少，經(jīng)營的的效率得到了了提高，通過過成本的減少少和過度支付付（overrpaymeent）和收收入泄漏的減減少，從而使使線下項目的的結(jié)果得以改改善。三、連續(xù)審計管理層監(jiān)控和風風險

48、管理行為為的充分性與與審計師必須須執(zhí)行對內(nèi)部部控制的詳細細測試和風險險評估的程度度，它們之間間存在這一個個反比的關系系。連續(xù)審計計運用的方法法和工作量取取決于管理層層實施的連續(xù)續(xù)監(jiān)控行為的的程度。圖4：反比關系系：管理層付付出的努力水水平與審計行行為對內(nèi)部控制的完全監(jiān)控對內(nèi)部控制的完全監(jiān)控對內(nèi)部控制的少量監(jiān)控減少工作量顯著的努力/更多的資源審計工作量管理層反應在管理層還沒有有實施連續(xù)監(jiān)監(jiān)控的地方，審審計師必須借借助連續(xù)審計計技術進行詳詳細測試。在在某些情況下下，審計師甚甚至可能主動動來幫助組織織建立風險管管理和控制評評估程序（見見國際內(nèi)部審審計協(xié)會實務務報告21000-4：審審計師在一個個沒有

49、風險管管理程序組織織中的作用）。但但是，要注意意的是審計師師對這些程序序中并不擁有有所有者權，因因為這會損害害審計師的獨獨立性和客觀觀性。圖5：連續(xù)審計計、監(jiān)控和保保證（概念框框架）連續(xù)保證連續(xù)保證連續(xù)審計和連續(xù)監(jiān)控程序的結(jié)果連續(xù)監(jiān)控審計測試連續(xù)審計審計連續(xù)監(jiān)控管理行為、交易和事件經(jīng)營系統(tǒng)和流程管理層全面地在在經(jīng)營流程領領域中從頭到到尾地實施連連續(xù)監(jiān)控，內(nèi)內(nèi)部審計師就就無需執(zhí)行同同樣的詳細測測試來進行連連續(xù)審計。但但是，審計師師必須執(zhí)行其其他的程序來來決定他們是是否可以依賴賴這個連續(xù)監(jiān)監(jiān)控程序。這這些程序包括括：1、評價偵測到到的異常和管管理層的反應應。2、評價和測試試連續(xù)監(jiān)控程程序本身的控控

50、制，例如： （1）處理理日志/審計計軌跡 （2）調(diào)節(jié)節(jié)總額控制（ccontrool tottal reeconciiliatiions） （3）系統(tǒng)統(tǒng)測試參數(shù)的的變化通常，這些程序序與那些在正正常審計程序序中為確保計計算機輔助審審計技術被正正確應用的質(zhì)質(zhì)量控制測試試是相似的。通過結(jié)合評價監(jiān)監(jiān)控和連續(xù)審審計程序，審審計師能夠提提供關于內(nèi)部部控制有效性性的保證。第五部分 連連續(xù)審計的應應用領域?qū)?nèi)部審計部門門而言所面臨臨的壓力是以以較少的資源源做更多的事事情。也許最最困難的挑戰(zhàn)戰(zhàn)來自于審計計師必須對內(nèi)內(nèi)部控制的有有效性及時作作出保證，更更好地識別和和評估風險水水平，快速找找出沒有遵循循相關法規(guī)和和

51、政策的事項項。這些就是是連續(xù)審計可可以應用的領領域。適用技技術，從電子子表格軟件或或腳本開發(fā)使使用特種審計計軟件（sccriptss deveelopedd usinng auddit-sppecifiic sofftwaree）到商品化化的專業(yè)解決決方案軟件包包或客戶自行行開發(fā)的系統(tǒng)統(tǒng)。這些選擇擇的解決方案案必須是靈活活的可升級的的，允許審計計師從某個特特定的領域開開始，然后擴擴大范圍、規(guī)規(guī)模和分析的的頻率。盡管一些法定審審計需要每年年進行一次，但但是每年嚴格格執(zhí)行這些審審計已不能滿滿足管理和法法規(guī)的需要。內(nèi)內(nèi)部審計行為為必須應用風風險評估和進進行控制保證證行為。雖然然需要更加關關注財務方面

52、面的審計，連連續(xù)審計支持持所有類型和和領域的審計計行為。歐洲洲聯(lián)邦內(nèi)部審審計機構(gòu)（EECIIA）在在2005年年意見書歐歐洲內(nèi)部審計計中，鼓勵勵內(nèi)部審計師師通過給管理理層提供的關關于風險已經(jīng)經(jīng)被識別并且且得到恰當?shù)牡目刂频谋ＷC證，對組織面面臨的風險作作出反應。審審計師不僅必必須能夠評價價財務風險，而而且要能夠評評價運營風險險和策略風險險。這是持續(xù)續(xù)審計所關注注的新領域。用用于測試控制制的信息訪問問技術和技術術技能也能夠夠幫助首席審審計師通過支支持持續(xù)的評評價企業(yè)風險險管理有效性性的評價行為為和對一些警警告提出改進進建議，從而而給管理層提提供價值無法法估量的幫助助， 首席審計師通過過給高層管理理

53、員工提供獨獨立的風險和和控制評估來來支持其監(jiān)控控職能。連續(xù)續(xù)審計有一系系列的功能來來支持審計行行為，首席審審計師，通過過以下的適用用方法和服務務，包括：1、風險管理策策略和實踐：通過及早識識別風險。2、管理控制框框架的可靠性性：通過找出出控制薄弱環(huán)環(huán)節(jié)。3、用于決策的的信息：通過過檢查管理者者使用的信息息的可靠性和和可獲取性。4、包含在年度度審計計劃中中審計項目的的選擇：通過過識別更高風風險領域。5、實施有效的的和及時的改改正行為：通通過檢驗審計計建議的執(zhí)行行情況。首席審計師必須須認識到許多多的管理行為為與連續(xù)審計計有很強的聯(lián)聯(lián)系，例如整整合風險管理理、平衡計分分卡、連續(xù)改改進、連續(xù)監(jiān)監(jiān)控。審

54、計必必須決定那些些地方適合連連續(xù)審計，它它如何能用于于評估這些管管理措施行為為或者利用它它們所產(chǎn)生的的信息。實施連續(xù)審計框框架的期望好好處包括：1、增加減輕風風險的能力。2、減少評估內(nèi)內(nèi)部控制的成成本。3、增加對財務務結(jié)果的信心心。4、財務運營的的改善。5、減少財務錯錯誤和潛在的的舞弊。此外，完全運用用了連續(xù)審計計的組織，通通常會報告運運營成本的減減少和邊際利利潤的增加。一、應用于連續(xù)續(xù)控制評估（一）識別控制制缺陷由于新的法規(guī)需需要高層管理理者證明控制制環(huán)境的有效效性，以及財財務報告中所所含信息的精精確性，首席席執(zhí)行官和首首席財務官開開始內(nèi)部審計計行為來輔助助遵循這些法法規(guī)。盡管管管理層對監(jiān)控

55、控、設計和維維持控制負有有責任以備廣廣泛認可，國國際內(nèi)部審計計準則21220號，A11節(jié)指出內(nèi)部部審計行為“應該通過評評價內(nèi)部控制制的有效性和和效率性，以以及促進持續(xù)續(xù)改進來輔助助組織保持有有效的控制”。由于這些些外部和內(nèi)部部的壓力，特特別是在一些些管理層沒有有恰當發(fā)揮其其監(jiān)控角色的的作用，審計計師通常需要要執(zhí)行一個更更加全面的評評估和提供更更加連續(xù)的控控制評估。這這對內(nèi)部審計計流程和方法法有顯著的影影響。連續(xù)控制評估給給讓首席審計計師清楚地看看到內(nèi)部控制制系統(tǒng)的有效效性。反過來來，給財務經(jīng)經(jīng)理，經(jīng)營流流程管理這和和風險及遵循循經(jīng)理提供對對內(nèi)部控制的的獨立的和及及時的保證。對對關于內(nèi)部控控制交

56、易數(shù)據(jù)據(jù)的連續(xù)控制制評估能夠迅迅速找出錯誤誤和異常，將將它們報告給給管理層，以以及時進行檢檢查和采取行行動。它也能能對財務和運運營信息的可可靠性和完整整性，營運的的效率和效果果起作用。連續(xù)控制評估還還能夠?qū)B續(xù)續(xù)的風險評估估和管理層減減輕風險的行行為起作用。控控制和風險的的評估是相互互補充、相互互支持。以下的一個關于于內(nèi)部審計中中應用連續(xù)控控制評估在財財務控制、系系統(tǒng)控制和安安全控制等三三個領域來支支持管理層監(jiān)監(jiān)控功能。（二）財務控制制：以采購卡卡項目為例一個全國性的采采購卡管理員員手工操作，每每個季度只能能對交易的極極小樣本進行行評價。審計計師決定管理理層的對于采采購的控制是是薄弱的，那那么

57、暴露出來來的風險是否否相當?shù)母?。在在評價采購卡卡使用的政策策后，審計師師進行一系列列的分析測試試來識別：1、不恰當?shù)牟刹少徔ㄊ褂茫ㄅc旅行支支出有關的交交易。2、用于個人項項目的支付（如如珠寶、酒，等等等）。3、可疑交易（如如未經(jīng)授權的的持卡人使用用，銷售商重重復刷卡，分分次付款以避避免超過財務務限額，等等等）。分析的結(jié)果將提提交給持卡者者的經(jīng)理，以以對這些可疑疑交易進行詳詳細審查將采購卡的的支出與商品品采購相匹配配。這識別出出許多的不恰恰當?shù)牟少徍秃鸵陨先N類類型的舞弊。在審計完成后，連連續(xù)控制評估估應用測試就就轉(zhuǎn)向采購卡卡協(xié)調(diào)員，來來幫助運營經(jīng)經(jīng)理每個月對對采購卡控制制的監(jiān)控。（三）系

58、統(tǒng)控制制：以職責分分離為例連續(xù)控制評估測測試也能夠用用來證實系統(tǒng)統(tǒng)是否按期望望值在起作用用。使用分析析技術，測試試程序能夠比比較個別交易易和規(guī)則基礎礎標準，對所所有的交易進進行評價以確確保個體沒有有執(zhí)行不相容容的職責。在一個組織內(nèi)，新新實施一個EERP系統(tǒng)，目目的是用自動動控制替代手手工控制來確確保職責的分分離。ERPP項目小組，通通過業(yè)主的投投入，開發(fā)一一系列基于使使用者角色的的特色配置，這這就允許使用用者能夠根據(jù)據(jù)自己的工作作職責來處理理各式各樣的的業(yè)務。盡管管審計師相信信在開發(fā)基于于角色的特色色配置中的方方法和程序，他他們關心實際際分配給使用用者的特色配配置，然后對對交易進行詳詳細檢查，

59、以以檢查哪些些些地方職責分分離沒有得到到保持。審計師抽出當年年第一季度的的所有處理的的交易，然后后利用數(shù)據(jù)分分析技術來計計算每個使用用者處理過的的交易（通過過交易類型）。這這發(fā)現(xiàn)兩個使使用者首先建建立采購安排排，然后記錄錄相同采購安安排的貨物接接受交易。結(jié)結(jié)果表明在基基于角色的特特色配置的設設計中職責分分離控制是薄薄弱的，因為為這些是被視視為不相容的的職責。由于ERP系統(tǒng)統(tǒng)經(jīng)歷了額外外的變化例如，增加加新的角色和和改變現(xiàn)有角角色運行連續(xù)續(xù)控制評估測測試來證明沒沒有違反職責責分離的情況況。（四）安全控制制：以系統(tǒng)登登錄日志為例例連續(xù)控制評估能能夠測試安全全控制，證明明所有的系統(tǒng)統(tǒng)使用者都是是有效

60、的員工工，防止有企企圖者侵入系系統(tǒng)。在另一個組織的的例子中，每每周系統(tǒng)登錄錄日志被抽取取出來，然后后送交內(nèi)部審審計部門。審審計師抽取相相關信息并將將每個使用者者與當前的員員工管理文件件相匹配。所所有的非員工工使用者被標標記出來，然然后一封郵件件將自動發(fā)送送給系統(tǒng)安全全部門，讓其其廢除該使用用者的身份（IID）。此外外，測試還檢檢查失敗的登登錄日志。通通過檢查發(fā)現(xiàn)現(xiàn)一例在早上上三點一個使使用者ID有有25次通過過撥號登錄失失敗。審計師師通過這份報報告來證明將將登錄參數(shù)改改為在諸如這這類使用者的的ID在嘗試試登錄失敗33次后將此IID鎖定是正正確的。連續(xù)控制評估的的潛在使用事事實上是無限限的。無論