试论连续审计实施可行性与实施流程,本文主要内容关键词为:可行性论文,试论论文,流程论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
根据CICA/AICPA的最新定义,连续审计(Continuous Auditing,CA)是“一种审计方法,这种方法能让独立的审计人员,在审计事件发生的同时或者发生后的极短时间内,通过审计报告提供关于审计对象的书面证明”。CA的目标就是比传统审计更及时、更全面、更精确、成本更低。
一、连续审计与传统审计的比较
(一)相同点
1.性质相同。连续审计和传统审计都属于保证服务。保证服务是为了使决策人改进信息质量。保证服务可分为鉴证服务和非鉴证服务,连续审计和传统审计两者都属于鉴证服务。
2.内容与标准基本相同。连续审计和传统审计都涉及基本的财务报告,诸如资产负债表、利润表、现金流量表(或股东权益表)等内容。两者的基本标准都是公认的会计原则(GAAP)和公认的审计准则(GAAS)。
(二)不同点
1.时效不同。通常情况下,传统审计一年仅实施一次,且审计工作耗时费力,为保证公司财务报告的公允性,审计人员往往不得不花费较长时间(如几个星期)做实地调查工作。但对连续审计而言,审计人员可降低交易和账户余额审核的成本和时间,审计报告可在短时间内生成或者立即提供实时的保证报告,且报告信息全部以电子数据流格式保存,因此,可以经常性地编制甚至可以依据客户的需要定制审计报告。
2.线索不同。传统审计线索包括书面的凭证、日记账、分类账和报表,审计人员利用这些资料能够从原始业务,追踪到报表中的合计数,或者将合计数分解为原始业务并通过这些线索来确定其是否正确地反映了被审计单位的经济业务活动。连续审计则是通过改变某些关键因素(如数据存储介质、存取方式、处理程序等),使信息系统中的审计线索更具易逝性,审计线索由可视的证、账、表等形式,变成了可视的证、账、表与存储在磁性介质上的不可视的审计线索相结合的形式,两种审计线索交叉相补。由于数据存储介质的磁性化、数据处理过程的自动化,使被审计单位信息系统的可见审计线索减少,审计人员难以像传统审计那样对经济业务进行追踪。特别是当大多数信息仅仅以电子形式存在时,只能实施连续审计。
连续审计与传统审计比较表
3.风险不同。由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,信息技术风险日益增长。企业风险识别、评估与防范,不仅要考虑内外部环境,而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依赖度等因素。在连续审计条件下,审计人员必须采用(信息、系统)风险导向审计计划,同时还要突出对文件及电子交易的测试。因此,连续审计难度更高,审计风险更大。
4.重点不同。连续审计过程中,评价内部控制必须以信息系统的运转为基础,着重于实时会计系统(RTA)和内部控制活动的适当性和效能,使审计重点从传统审计的对“资产负债表”的审计向“系统和经营成果”的审计转变。连续审计还要特别关注诸如资料互通等情况,使得企业计算机系统的安全性与正确性不仅要受到企业内部控制的影响,同时也要受到其电子商务交易对方计算机系统的影响。连续审计比传统的“事后”审计更为关注整个过程,包括那些非财务报告的组成部分,并且要分析多公司间的商业过程和风险。
5.方法不同。连续审计的方法更为复杂多样,它依靠创新技术手段(如数据挖掘)发现异常情况(如特别、不寻常或者偶尔的事项),扩充了传统审计方法。连续审计更依赖于审计软件(如IDEA软件和XBRL)的应用,从而进入并检查实时会计系统(RTA),进行数据抽取和分析。连续审计执行诸如现金流分析的程序,这样的程序不仅监控直接的负债,而且包括间接的负债诸如表外筹资等。
6.质量标准不同。连续审计也规定交易事项的选择标准,在此基础上搜集有说服力的证据,可以进行符合性测试工作,进而确定实质性测试的范围,降低测试成本。连续审计中运用计算机辅助审计系统(CATTS)测试全年连续交易,通常比传统审计中的人工测试更能降低成本。连续审计测试的客户交易样本较大,甚至可以保证100%的交易被检查,而且检查数据快速有效,相对于传统审计的交易抽样检查,大大提高了审计质量。
二、可行性分析
(一)技术环境可行性
连续审计可以具体为三个环节:审计人员连续获取与企业的交易和事项等有关的信息;审计人员对企业的交易和事项等有关信息的记录过程进行监督和分析,以确保信息的可靠;审计人员对审计最终结果的呈报。
在信息的获取环节中,连续审计的执行需要依赖两个重要的技术因素,一是会计信息以电子形式的记录和存储,二是计算机网络的普及使得人们可以连续地获得相关的信息。随着低成本的数据存储和检索设备的使用,加上以网络为基础的数据交换和新型的B2B电子商务协议的使用,使得企业中原始数据的存储、传输能以低廉的成本进行。
在第二个环节中,有两种技术方法:一是连续监督被审单位的信息系统,具体做法是内嵌入审计模块;二是建立一个“镜像系统”,连续的重复处理被审计单位的所有信息。通过对两个系统处理结果的比照作出判断,目前审计人员大多选择前者,究其原因,一是前者成本较低,二是存在审计人员的锁定效应。审计人员对审计最终结果的呈报,通过信息技术,如点对点的传输、电子邮件或发布在网站上等,都可以实现审计报告的提交。虽然当前企业的信息系统参差不齐,系统之间很多还是相互独立的、未网络化的,但建立相互关联的、集成的信息系统是一种不可逆转的趋势。既然连续审计在技术上是可行的,可是为什么到目前为止还没有推广开来呢?问题的关键在于经济上的可行性!一项技术只有当它能带来价值增加,且增加的价值超过付出的成本时,它才会有市场。
(二)经济上的可行性
一般而言,CA的成本主要由三个部分组成,分别是初始成本、实施成本和后续成本。
1.初始成本。CA的初始成本产生于CA投入使用之前,是指为达到CA的要求而产生的成本。CA的初始成本主要是CA所需的IT设施,包括相关的软件支持及网络设施等基础建设,和相关审计人员职业培训的费用。一般而言,CA的初始成本是十分巨大的。当企业决定利用CA对其现有的业务流程进行实时监控时,CA的巨大初始成本将是其面临的首要问题。一方面,安装一个实时CA系统的巨额固定成本几乎是沉没成本;另一方面,除了巨额固定成本的投入,为了使CA能真正发挥效用,企业可能还要面临修改其现有流程的问题,进而造成现有系统的不稳定。对此,Robert-Mainard,PennMutua保险公司的首席审计师就表示:将CA融入现有的功能所产生的成本,无论是与购买新的软件或是购买信息储存能力有关,都会造成许多企业的观望心态。
2.实施成本。CA的实施成本产生于企业在实施CA的过程中。CA的实施成本在于,在对系统进行事中审计时,由于数据本身的错误而导致其无法通过CA的认证系统所造成的数据丢失或过时。在现代电子商务交易的环境下,企业的业务处理系统往往涵盖了多个方面的功能。这意味着,当一个数据被录入系统的时候,它会同时被录入许多其他相关联的界面,由系统对其进行多功能的记录。CA就是对这种在线实时系统进行监控,防止当一个数据录入出现错误时,所有与之有关的界面的数据处理都出现问题的系统。由于CA要求所有数据和业务在被处理前都要通过数据完整性约束检验,因此,对于企业,特别是拥有大型数据库的企业而言,CA的实施成本是昂贵的、也是可变的。因为,只要有一个数据或者业务无法通过,系统就不会对其进行处理,这样就造成了数据的滞后,进而会产生更多的无法被识别和发现的错误。与初始成本不同,其实施成本可以在不影响准确及时发现舞弊行为的基础上,对CA监控适当间断或减少,对实施成本进行有效地控制。
3.后续成本。CA的后续成本是指CA在投入使用后需要花费的成本。主要包括数据的采集、分析及处理成本,人工及时间成本和报告成本三大部分。
①数据采集、分析及处理成本。与传统审计相比,在CA条件下,被审计项目的数据采集、分析及处理成本是十分小的。在CA辅助软件的支持下,审计人员不必人工手动地收集数据,而是通过审计接口软件,在保质保量的前提下,对有关数据进行快速、完整的抓取,并自动对所采集的数据进行计算、分析、核查和核对。相对于传统的人工收集、手动处理,它的成本是微不足道的。
②人工及时间成本。人工及时间成本的减少,可以说是CA的必然结果。由于CA是用计算机辅助技术完成的,传统审计中大量花费人工费用的步骤,在CA环境下都由计算机代替,避免了传统审计中大量人力及时间的浪费。这样,人工及时间成本的支出几乎可以忽略不计。
③报告成本。CA的报告方式是实时的,只要有需要,系统都能即时自动生成审计报告,对截止到报告时之前的所有业务提供保证。由于报告是系统自动生成的,且不需要追加任何的审计程序,CA的报告成本也是十分微小的。由此可见,CA的成本主要是CA的初始成本,这是企业对是否应用CA产生犹豫的主要原因,是企业将CA投入使用要克服的主要困难。一旦设备购置到位,人员达到了上岗要求,CA的后续成本是非常小的,这是许多研究将成本作为CA优势的主要原因。CA的可变成本就是它的实施成本,实施成本是可以通过对数据监控方式的适当调整而降低的,如何将CA的实施成本降到最小,因企业而异。
(三)经济效益层面的分析
从外部信息需求来看,期间较长的审计报告会使得投资者要求较高的股票溢价,导致企业资本市场融资成本的上升,所以,CA提供的及时和短期间的审计报告对企业增加经济价值是很重要的。从内部管理看,现代电子商务瞬间完成,由于有了CA带来的及时审计报告,能为企业的及时内部决策提供信息基础,有助于捕抓瞬间的商机。另外,CA可以实现非现场审计,减少手工操作,达到无纸化作业,这也是CA明显的效益。CA的成本主要是CA所需IT设施的初置成本,IT设施是企业的基础设施,CA完全可以依托这些基础设施,一旦初始基础设施到位,其后的报告和审计成本就相比传统审计大大减少,人工费用几乎可以忽略不计,尤其是当XBRL和推动技术日益流行的时候,CA的后续成本将非常小。根据以上成本收益的分析,最先开始实施CA的,会是那些已经有较好的IT基础设施的企业。随着CA的推广,成本更低,收益更为显著,此时就会有越来越多的企业从实施CA中获取净收益,普及CA也就很容易了。有人还认为,CA的自动化、及时性和减少人工参与,将很大程度上抑制企业盈余管理和利润操纵现象,而且CA可以降低传统审计过程中的浪费和时滞问题,能自动化分析复核程序,降低审计错误和风险,由此可以降低企业的法律风险。
三、连续审计流程
如上图所示,企业日常商务交易数据,通过各地的银行机构对信息汇总整理后存入其数据库中。企业根据与银行签订的协议,把本单位的网络服务器与其数据库进行对接从而实现消费数据的实时反馈。之后通过向被审计单位内部网络服务器嵌入审计模块进行监控,以连续收集所需的审计信息。在这之前审计人员通过审视企业的信息系统,选择所需的监督对象,并确定对照的标准以及拉响警报的临界点,然后将这些参数写入审计模块中并嵌入系统,对系统中的数据流进行连续的监督和分析。当数据流出现与标准不符的情况时,审计模块拉响警报,发出例外报告,审计人员就开始实施相应的审计。审计完毕,审计人员直接将审计结果传递给审计报告使用者,同时收取费用。这就是连续审计的基本流程。连续审计流程由6大要素组成,它们之间相互整合,构成一个有机的整体。
(一)网络服务器
网络服务器是连续审计最基本的要素,它由客户、审计师、第三方的网络服务器组成。作为最基础的层次,连续审计需要网络服务器来进行连接并提供访问授权。被审计单位的网络服务器应当允许审计师有控制地访问其数据库。而会计师事务所的网络服务器则应允许第三方利益关系者和外部使用者有限、受控地访问被审计单位数据库的中间件。其中“第三方利益相关者”是与审计师和被审计客户有利益关系的,并允许参与到连续审计关系中来的供应商(商品的提供者)和金融机构(资本的提供者),还有顾客。而第三方服务器则能够提供卖方(商品的提供者)、金融机构(资本的提供者)和顾客等方面的信息。由于参与方的网络服务器进行了互联,并能随时获取相关信息,因此,对账户余额的确认(应付账款、现金和应收账款)能够电算化自动地进行。
(二)数字审计代理程序
在连续审计环境中,数字审计代理程序是一系列计算机指令(软件),它代表审计师以半自动的方式完成一些与审计业务相关的服务。通过数据代理,审计师的许多测试都可在非现场进行,审计程序设计成远程执行方式,来连续进行交易测试和控制测试,并将测试的结果与实际的结果相比较,以了解情况。在一个连续审计环境中,数字审计代理程序能让审计师方便地利用网上发布的最新信息。审计师设置一个数字代理程序以与客户的数据库进行通信。数字审计代理仿照网络客户机,发送请求来激活程序或从网络服务器中取回信息。连续审计环境中的代理可以分为反应式和主动式两种。它们在系统中事先定义好的位置,当接收到网络服务器信息时,其通过从历史数据库中调用定义好的与之相应的标准数据放入事先设定好的程序中,并分析其交易和余额,当发现一个变量实际值与变量的标准值有重大差异,就会给审计师发送警报,然后返回结果。而主动式的审计代理是移动的,并且能够智能运行。主动式审计代理能够自由地在网络中移动,从一个站点跳到另一个站点收集最新的数据信息,同时对客户的行业,客户的竞争对手,客户的业务,法定的或调整的环境进行“学习”,并且把所学到的信息进行整理并放入标准数据库中,同时它们也能够考虑客户的数据库,决定合适的审计程序,运行审计程序决定控制状态和产生报告。
(三)连续审计协议
连续审计协议是利益相关者(如审计师事务所、客户、供应者和顾客)之间的连续审计合约。其中最主要的是审计师事务所和客户之间的协议。但是,一旦审计师需要获取客户的供应者的信息(供应商和金融机构)和顾客信息,那么协议中应该存在关于审计师事务所和第三方的关于执行连续审计程序的效力与责任的谅解条款。关于审计师事务所和客户之间的协议将帮助我们理解连续审计的进展和实际执行的状况。除包含传统的条款之外,协议还应该讨论连续审计方面的技术问题。审计师应该能够访问和利用客户的信息系统,同时,审计中的发送、清除和例外事项提醒等都要在连续审计协议中注明。
(四)可靠的系统
连续审计依赖于相互连接的系统的可靠性。如果没有会计信息、系统可靠性的保证,那么审计师对客户财务信息提供的保证将毫无意义,尤其是在连续审计的环境中。在连续审计环境下的自动处理程序必须具有高度的可信度,可靠的会计信息系统要具有四大特征:完整性、安全性、实用性、可维护性。
(五)安全的系统
在实体之间传递信息必须经过授权并且要保证机密性、完整性和可信性。只有经过授权的使用者才能获取限制性的信息,这时可采用防火墙、密码和生物识别设备。为了提高保密性,使传输中的信息不受到干扰,可采用各种加密技术或采用数字签名。而完整性则能够检测信息是否被截取和篡改。因为“长青报告”的输出要求必须有防止未经授权删改的措施。为保证信息传送的安全性,可采用散列法和完整性检查。
(六)“长青报告”
“长青报告”是在连续审计环境下,信息使用者可以随时通过网络访问的经过审计的报告。“长青报告”将下列三个层次鉴证的结果传递给最终的信息使用者。
第一层次的鉴证,与连续审计环境的可靠性和安全性有关。这个层次是最重要的,任何检测到与系统可靠性和安全性特征不符的情况,应触发例外报告,告知审计师当前系统正在受到威胁。第一层次的例外将阻止由该系统产生财务报告和相关信息的发布。如果连续审计系统的可靠性或通信的安全性受到怀疑,那么任何从这个系统中产生的信息都是值得怀疑的。连续审计通过数字审计代理以电子邮件的方式将第一层次的例外情况通知审计师。一旦收到报告,审计师必须确定问题产生的源头和原因,然后监督责任方修正这个问题。
第二层次的鉴证,与被审计企业的财务报告是否公允地反映了企业的财务状况、经营成果、现金流量和是否遵守了公认的会计原则有关。第二层次的例外报告,与危害被审计单位财务报表信息和异常账户有关,数字审计代理通过连续监控被审计单位的交易和程序来发送第二个层次的例外报告。和其他层次的鉴证报告一样,审计师通过Email接收例外报告。审计师采取的行动取决于哪个账户或审计程序触发了例外事件。采取的行动应严格按照当前审计师所使用的立足于传统审计环境的解决异常情况的方法。
第三层次的鉴证,与被审计单位、事务所以及相关第三方之间就某个特定领域的遵循情况所达成的协议,以及连续审计协议中的相关条款有关。第三个层次的例外报告,用来通知审计师和第三方有关特定领域内的技术犯规。这些技术犯规实现定义为“默认放弃”。在“默认放弃”设置下,所有的技术犯规都会被放弃,除了那些明确拒绝的之外。一旦生成了第三个层次的关于技术犯规的例外报告,第三方会利用电子邮件来通知审计师,告知他们被审计单位正在违反连续审计协议,审计师需要采取的行动取决于连续审计协议中的相关条款。这些行动可能会包括不采取任何行动到采取必要的步骤将被审计单位拉回到遵循协议的范围内。
由于实时报告依托的是连续审计环境,因此它与传统审计报告的定义在措辞上有所不同。一些主要的不同包括:一是报告的日期是实时日期,即使用者请求获取报告的时间;二是报告采用的是现在时态;三是每个层次的鉴证报告都包含了一些假定,即第二个层次的报告假定已经有了第一个层次的鉴证,第三个层次的报告假定已经有了第一层次和第二个层次的鉴证。
连续审计是信息技术发展的产物,它可以协助外审人员提高审计质量。同时,它也是一个改善内审与外审关系的新起点。它的目标应该是扩大内审与外审的总体审计覆盖范围,为信息技术环境下企业的经营活动保驾护航。
标签:审计师论文; 审计报告论文; 信息系统审计师论文; 审计软件论文; 审计质量论文; 审计计划论文; 会计与审计论文; 相关性分析论文; 审计方法论文; 流程管理论文; 审计流程论文; 审计准则论文; 单位成本论文; 相关成本论文; 客户分析论文; 审计目标论文;