持续审计模式对内部审计的影响及其应用分析,本文主要内容关键词为:及其应用论文,内部审计论文,模式论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
由于传统的内部审计方式需要大量的手工操作,而且审计的效用存在很大的滞后性,在企业信息化水平不断提高的今天,已很难适应企业对内部审计的质量和效率的要求,因此,需要一种方式能够在信息化背景下对企业ERP系统中的业务和交易进行快速有效的审计,而持续审计(CA)具备这种能力。
持续审计强调审计过程的持续性和审计实施的即时性,是一种例外事项基础的审计,强调“自上而下”与“自下而上”方法的结合以及审计活动的整合性。
在CA的审计过程中,信息技术起到了关键性的作用,包括自动化的内控测试、发现违例事项、实时的交易分析和余额测试等。CA从技术层面主要有两种实现方式:嵌入式CA和分离式CA。所谓嵌入式CA就是在ERP系统中嵌入审计模块(EAM)负责监控在业务流程关键控制点上的信息,并能够直接提供给审计系统进行分析;所谓分离式CA就是利用ERP系统之外的审计数据采集程序对系统的数据进行抽样,并通过网络传送给审计部门分析,这种方式一般适用于不能直接全方位获取企业信息资源的国家审计或第三方审计。由于内部审计员不仅可以较容易地直接从企业中获取开发、实现、运行和维护CA系统所需的资源,而且还能够以最直接的方式使用ERP系统中的数据,所以适合采用嵌入式CA的实现方式。
一、CA模式对内部审计的影响
1.审计行为强度的转变。首先,审计行为从传统的定期审计转变为高频率或者实时审计,其强度大大增加,这也使内部审计从事后审计转变为事前或事中审计。CA在内部审计中一般是通过嵌入到ERP系统中的EAM收集、处理和展示审计线索,并将审计线索存储在审计数据库中,以备进一步审查,一旦发现了违例和异常,CA系统就可以立即将审计线索发送给审计员进行处理。其次,审计报告的周期也将缩短,由原来的定期报告转变为不定期报告或者实时报告,报告周期的缩短从某种程度上是由于大部分审计证据的收集工作是由EAM自动完成的,EAM形成的实时审计日志将作为重要的审计证据。最后,审计行为的强度增加并不意味着审计员的工作强度也会有所增加,如果安排得当,审计员可以从大部分琐碎的证据收集工作中解脱出来,把大部分精力投入到问题的分析和解决上。
2.由人工审计到审计自动化的转变。对于规模较大的企业,传统的内部审计一般通过人工完成,往往需要大量的人力和时间,例如,为了更好地鉴证一个企业事务,审计员通常会在企业ERP系统中对该事务的执行路径进行跟踪。ERP系统的执行路径往往很复杂,因此对此类系统进行跟踪会很困难。
CA技术可以代替审计员收集那些通常要通过人工跟踪才能获得的信息。EAM可以捕获事务执行路径上的一个个映像,随后写入审计数据库形成映像文件以备后续检查。这样直接使用映像文件审计员就可以对事务的执行路径进行跟踪和分析。
CA提出的是一种将审计程序固化到企业的ERP系统中,从而在ERP系统的运行过程中自动完成审计程序的新理念,这将使部分审计事项由原来的人工审计方式转变为系统自动审计方式来完成。对于部分明确的业务过程,如企业通过ERP系统对外采购服务,如果拟签订的服务合同金额大于采购预算,则EAM模块会自动暂停该业务,并将问题的细节存储和反馈给审计员;又如通过CA自动将资产和债务的实际数与账存数进行核对,对相关的账证、账账、账表进行核对。
本文假设内部审计的工作流程分为五个步骤:第一步,审计计划和风险评估;第二步,交易鉴证;第三步,符合性测试;第四步,实质性测试和合理性评估;第五步,审计结论和报告。传统内部审计只是在前两个步骤中使用了少量的信息技术,而CA在当前的技术条件下已经可以在前三个步骤中充分应用信息技术,实现初步的自动化审计。
虽然审计自动化不可能完全实现,因为一些审计事项需要进行复杂的判断和专业的甄别,比如对于企业管理事项的一些评估,但是随着人工智能等相关信息技术的发展,会有更多的审计程序能够固化到企业的ERP系统中,在未来将会在第四和第五个步骤中实现更为高级的自动化审计形式(如图1所示),那时内审部门可以将更多的人力投入到更为重要和复杂的审计事项中,从而提高内部审计的工作效率,降低内部审计的资源消耗。
3.审计行为趋于实时和并发。传统的事后审计会带来很多问题,例如,在某一次审计刚结束,对于企业新出现的问题,往往要延续到下一次审计开始的时候才能够被发现,随着企业规模不断扩大,信息系统趋于复杂化,出现错误的概率会增加,这会导致积累大量的问题,而这些问题会给企业的经营带来很多隐患。大量的问题一般不可能在下一次审计的短时间内被全部发现,而且即使发现了,也很难在短时间内处理,这可能会给企业造成损失,因此,在信息化背景下传统的审计方式会导致企业内部审计功能的部分失效。
当系统之间是紧耦合时,一个系统中发生的错误和违规行为会很快扩散到其他系统中并造成损失。上述处理流程中如果客户订单输入错误,那么后面整个的流程都会发生错误。
在紧耦合系统中,为了减少此类损失,就必须能够实时确定系统中发生的错误和违规行为。有鉴于此,审计员可以使用CA技术实时报告相关的事件,然后跟踪这些事件以确定是否发生了错误。
CA针对内部控制程序设置了相对于信息流的“触发器”(EAM),当它接受到反馈的信息时,能够进行分析并启动相应的控制程序,对于内部控制的快速反馈作用能够保证单位对非正常现象及时做出控制和修正。
传统内部审计中,内部控制程序的测试一般在规划阶段进行,而业务数据的测试和鉴证是在审计过程中进行,而CA对于内部控制程序和业务数据的测试可以同时进行,而且是持续进行,这就极大地降低了企业运营的风险。
二、CA的工作过程
CA的工作过程分为四个阶段,如图2所示。
1.阶段一:确定CA实施范围。由内审部门对企业内部的业务过程进行筛选,以确定可以实施CA的业务过程,然后,根据全面风险管理框架,确定给定经营程序中的关键控制点及其控制目标。根据(Alles et al.,2006;Vasarhelyi et al.,2004)研究表明,涉及企业数据访问或修改的业务过程和相对成熟的业务过程应作为CA的实施重点,一旦确定了业务过程,内审部门就可以根据业务过程的特点确定监督和测试的类型,建立相应的自动审计过程。
2.阶段二:建立CA的比对数据模型。CA的重点在于建立比对数据模型,所谓比对数据模型,就是将企业的内控机制、历史数据(业务数据和审计数据)和行业数据(企业所处行业的统计数据)以业务过程为单位,综合运用统计分析和数据挖掘等技术手段建立一个参照体系,通过将实时监测的行为和数据与该参照体系进行系统比对,从而对是否存在异常情况进行判断。
比对数据模型中的数据集分为两类:测试数据集和有效数据集。测试数据集主要用于训练准备用于CA的内控机制分析算法,通过人工智能等技术手段使内控机制分析算法趋于稳定和成熟,使之成为比对数据模型中的内控测试规则或测试工具,然后再利用其对生产系统中的业务过程、交易过程和账户信息进行测试;有效数据集主要是用来测试和衡量经过测试数据集训练的内控测试规则和测试工具的准确性和有效性。一般来说,相对成熟的业务过程都会积累大量的业务数据和审计数据,可以用来构建测试数据集或有效数据集,但测试数据集和有效数据集不能相同。
3.阶段三:数据分析。CA通过数据分析,以期纠正交易错误和控制缺陷,应用比对数据模型对内部控制程序、交易细节和账户信息进行测试和监督。
CA可以由持续控制监督(CCM)和持续数据鉴证(CDA)两部分构成。
CCM负责持续性地监督内部控制程序的有效性,即对业务过程的实现是否与相关的控制目标相一致进行监督和测试,使用比对数据模型中的内控测试规则将业务过程与企业的内控制度进行对照,一旦交易事项违反内部控制程序或者内部控制程序受到破坏,CCM就会产生违例报告并通知审计员处理,从而确保及时发现违反内控制度的行为。一般来说,CCM涉及的相关管理活动包括控制监控、业绩监控、平衡记分卡、全面质量管理(TQM)和全面风险管理(ERM)。
CDA负责对系统运行过程中产生的数据进行侦测,使用测试工具参照比对数据模型对交易细节、账户结余及相关信息进行测试,不仅对详细交易数据进行实时复核,而且还通过比对数据模型对本企业不同时期的数据进行纵向趋势分析以及将本企业数据和行业数据进行横向比较分析,一旦有异常数据,CDA就会将其记录并通知审计员处理。
对于违反了内控制度的行为和交易过程中出现的数据异常,CA系统会暂停该行为或交易,并标记为违例,同时自动生成关于违例或异常的细节报告并实时传送给审计员。审计员在评估报告后决定是否进一步调查。如果无须进一步调查,则根据情况可以撤销或恢复该行为或交易;如果进行调查,将针对该情况收集系统和非系统层面的信息进行综合分析,最后得出评估结果和解决方案。
4.阶段四:系统审计报告。CA是针对违例的审计活动。如果业务行为和交易过程没有违例发生,那么CA系统不会生成任何违例报告,系统产生的审计报告将说明企业ERP系统中的业务行为和交易过程在当前是有效的。
综上所述,CA模式能够适应信息化背景下企业内部审计的要求,而且CA和企业的经营管理活动体现出一种逐步融合的趋势,这将促进企业管理水平和竞争力的提升。
标签:内部审计论文; 审计员论文; 大数据论文; 审计计划论文; 审计质量论文; 审计流程论文; 审计方法论文; 审计目标论文; 内部控制论文;