持续审计(Continuous Auditing, 即CA)能实现企业从单一事后审计向经济业务的事中与事后审计的转变,在提高审计质量和防范潜在风险的同时,达成公司战略目标,是企业内部审计发展的必然趋势。
一、持续审计的内涵与特征
持续审计,最早提出于20世纪60年代,起源于注册会计师审计领域。作为一种审计方法,持续审计的理论根源是传统审计理论。其目的在于通过持续调查和报告取得更加可靠、及时的相关信息,增加与决策相关信息的价值。
(一)持续审计的内涵
1999年,加拿大特许会计师协会(CICA)和美国注册会计师协会(AICPA)联合发布《持续审计》研究报告认为,持续审计是一种由独立的审计人员使用的,在一系列审计报告基础上,为一个由企业管理当局承担责任的项目提供书面保证的技术。2012年,美国注册会计师协会(AICPA)发布《持续审计和持续监控的现状研究》,总结内部审计在应用持续审计方面的经验,提出实施持续审计直接由内部审计实施。综合来讲,持续审计是指由独立审计人员应用审计软件工具对经济业务进行自动持续测试,在经济业务发生的同时或稍后较短时间内收集证据,发现例外事项,据此确定并报告被审计的事项与既定标准符合程度的系统化过程。
(二)持续审计的特征
持续审计利用信息技术优势,采用自动控制和风险评估的审计方法,有效缩短内部审计周期、改善风险和控制安全系数等。持续审计具有以下特征:
1、审计过程的连续性
持续审计过程涵盖审计计划、控制评估、风险评估、审计报告、审计意见跟踪等,且这些过程是连续循环进行的,尤其对现金、银行存款等高风险项目,能有效预防和控制错误的发生。
2、审计实施的即时性
持续审计强调在审计事项发生后立即进行审计,也就是要求审计实施的即时性,分别体现在信息证据收集、监控和分析、发布审计报告等环节。
3、审计程序的自动化
持续审计拥有高度自动化的审计程序,要求被审计单位与审计单位置身于网络之中,并在网络环境中完成审计证据的取得,审计计划的制定以及审计报告的发布。
二、企业未应用持续审计的原因
持续审计是对企业经营系统实时的监控和测试,不仅可直接发现异常,还具有威慑作用,有效地抑制机会主义等行为,提供及时、有效和可靠的信息以降低不确定性。笔者通过与企业内部审计人员访谈,并对已开展的审计业务进行调研和分析,发现现阶段企业未应用持续审计的主要原因,体现在以下几个方面。
(一)持续审计及其业务范围的制度和规范不健全
为明确内部审计系统的组织机构和工作职责,规范内部审计行为,加强内审管理,已制定审计工作管理规定。审计工作管理规定中,对审计的管理权限、审计人员行为规范、审计事项的处理依据、审计类型、审计项目、审计工作底稿、审计报告、后续审计以及日常审计工作流程等进行的明确界定。这些是建立在传统审计模式下的制度和规范。其中,后续审计是指内部审计人员对被审计单位管理层采取的纠正措施是否及时、合理、有效进行的评价,亦属于传统审计。
在审计工作管理规定中,因持续审计及约定其业务范围的制度和规范不健全,导致应用持续审计出现断续性、滞后性等问题。企业要在实际审计业务过程应用持续审计,就需要在审计过程中,对企业的运营状况信息进行收集处理,然后生成相关审计报告。对于实时审计过程中的信息披露,须要符合相关的规定,并做到及时、准确、完整。在披露相关审计信息之后,还需要对反馈的问题,做出及时有效地回应和处理。相对于传统审计,持续审计就是对企业信息进行实时的监控和处理。因此,健全持续审计实施过程的相关规章制度,约定持续审计的具体业务范围是企业内部审计部门应用持续审计的重要前提。
(二)缺乏持续审计运行的技术条件
由于缺乏持续审计运行所必须的实时会计系统(Real Time Accounting System, RTAS)、可扩展商业报告语言、电子数据交换技术(Electronic Data Interchange, EDI)、人工智能(Artificial Intelligence, AI)和专家系统(Expert System, ES)等技术和标准,使得开展持续审计在技术上尚不具备可行性。具体如下:
1、实时会计系统,将企业的各项经营活动和事项实时储存在数据库当中,实时生成财务报告供审计人员及时有效地选取、分析所需信息,对财务报表进行审计。
2、可扩展标识语言(Extensible Markup Language, XML),通过一系列的技术手段使信息按照公认会计准则来转换,满足审计人员提取不同平台、不同数据库的信息的需要。
3、电子数据交换技术,是一种应用电子化的处理过程对资料进行交换、传播的技术,减少人工方式下对纸张文件的处理成本,满足审计人员及时获得电子化审计证据的需求。
4、人工智能\专家系统,持续审计中的人工智能涉及到推理、判断和决策,是属于人工智能的高级形式—专家系统。通过网络,专家系统可选择合适的审计程序,确定可接受的重要性水平,还能根据审计目的予以调整,解决审计人员无法随时到现场的难题。
(三)缺少企业管理层的理解和支持
实施持续审计不仅能扩大审计范围和风险防范的覆盖深度和广度,还会对企业的盈余管理产生一定影响。虽然合理的盈余管理可以促进企业发展,但持续审计会导致盈余管理的空间减少,加大管理层对持续审计接受的难度。
相对完整的持续审计系统,在初期购买时,企业将投入成本较高、投资回报时间周期较长。加之,采用嵌入式技术的持续审计,需要花费大量的时间去测试并完成持续审计系统与企业信息系统的对接工作;采用代理技术的持续审计,则需要企业建立单独的数据库以方便持续审计系统读取数据。因网络环境下持续审计系统易受到攻击,还需要投入大量的资金用以完善持续审计执行的网络环境安全性。由于持续审计的预期效果不被企业管理层看好,最终导致持续审计业务在企业内部审计业务中推行受阻。
(四)内部审计人员欠缺持续审计专业技能
企业内部审计人员作为内部审计业务的执行者,有权随时访问信息系统及数据库,获得必需的数据,其专业技能高低直接影响到内部审计工作的质量。
持续审计要求企业内部审计人员不仅懂得审计知识、会计知识,还要对企业整体经营环境和过程的清晰了解,同时要掌握现代网络技术,进而才能保证审计过程中做到实时掌握、实时控制、保证持续审计的顺利进行。经实地调研发现,现阶段企业内部审计人员所学专业多数集中在财务和审计类,在计算机专业知识和业务技能储备方面较为匮乏,能开展持续审计所必需的计算机专业人员严重不足,尚无法满足开展持续审计的需要。
三、企业应用持续审计的建议
开展持续审计能在审计工作质量、实现审计价值增值、提高查错防弊识别能力和弥补审计缺失等方面发挥更大的作用。与传统审计相比,持续审计的实现需要有与之相匹配措施予以支持,下面将分别从推行持续审计试点范围、加强企业内部信息化环境建设、取得管理层的理解和支持、提升内部审计人员持续审计业务技能方面,探索持续审计在企业内部审计业务中有效应用的建议。
(一)健全持续审计制度约定其试点范围
企业要改变偏重事后审计和按照项目审计的问题,必须把审计重心从事后审计转向事前预防和事中监督,创建事前预防和事中监督且事后审计相融合的持续审计模式,使其存在于经济业务的全过程。首先,健全持续审计实施过程的相关制度,明确约定持续审计的具体业务范围;其次,筛选企业整体业务流程,确定持续审计应用范围,找出能够开展持续审计的业务流程;最后,确定控制目标与关键控制点。按照企业风险管理的相关要求,对控制目标与关键控制点予以确定,发现流程中各节点的关键要素,对涉及数据访问与修改的业务流程,应作为持续审计的重点内容。业务流程一经确定,审计人员就能够通过业务流程特点,确定出监督与测试的类型,从而健全与完善相应自动审计流程,实现对企业内部关键的业务流、资金流、数据流进行持续、动态、半可视化的监控,并逐步推广试行。
(二)加强企业内部信息化环境建设
持续审计是在交易发生的整个过程进行审计,同时兼顾事前、事中、事后。持续审计的实施,需要建立一个安全可靠的信息系统,应从系统开发、应用、维护以及网络安全四个方面加强信息系统的内部控制,包括对系统开发的可行性研究,对数据输入、传输、处理、输出的控制,软件、代码结构的修改,以及计算机硬件和通讯设备的维修等。它应含有信息的收集系统、分析系统和反馈系统等,且可靠的信息系统还应该达到有效性、安全性、完整性与可维护性等原则。还要建立和完善持续审计的标准库,使其成为审计系统在审计分析过程中的参照物,这对审计报告的真实性有重要影响。
(三)取得企业管理层的理解和支持
持续审计作为一种技术性较强的审计方法,其所需的硬件和软件配置成本较高,其实施难点不在于技术,而在于管理层是否重视和支持,这也是持续审计应用的前提。取得企业管理层对持续审计的理解和支持,需要适时引导好管理层对持续审计的预期,增强管理层对持续审计的重视。
任何新事物的出现都离不开人的思想作支撑,要积极组织与持续审计相关的宣传活动,向企业管理层推介持续审计。企业内部审计部门可尝试通过审计实践,向管理层提报某一领域的重大审计发现,适时提出应用持续审计的建议。一方面,介绍持续审计可以向管理层提供及时的审计信息,能对企业各部门进行实时控制;另一方面,通过持续审计可以简单化传统审计的复核程序,提高审计复核效率,更重要的是减少再次审计的成本。让管理层切实了解持续审计给企业管理带来的快捷性和实效性,展示持续审计为企业带来的巨大效益,使其能够认识持续审计、接受持续审计,进一步强化持续审计在内部审计中应用的重要性。
(四)提升企业内部审计人员持续审计专业技能
持续审计是传统审计发展的结果,持续审计的实施须运用高度自动化的持续审计软件,持续审计的开展与审计人员的专业构成成正比,专业构成越广泛,持续审计工作越容易顺利开展。企业内部审计人员应加强对自身基础知识的更新,进一步学习网络审计的相关内容。必要时应聘请外部机构和专业人员为企业内部审计人员开展持续审计专业技能方面的职业培训,如Internet/Intranet技术、大型数据库技术(Sybase,Informix,Oracle,SQL-Server)等。
实施持续审计内部审计人员必须具备较为全面的计算机软硬件知识、计算机网络和信息系统安全性方面的专业知识,还需要具有特殊的职业敏感性和对财务会计和企业内部控制深刻的理解能力,在尽快掌握持续审计技术的同时,将持续审计这一新型的审计方式应用并贯穿到内部审计实际工作中,以适应企业开展持续审计的需要,真正实现持续审计在企业内部审计业务中的顺利应用。
四、结语
随着企业信息化水平的不断提升,传统审计模式已不能适应ERP环境的变化,需对审计模式进行改革。持续审计能通过对控制和风险进行智能化和有效的持续测试,及时告知控制差错和缺陷,帮助企业内部审计人员更好地理解经营环境和风险,完善内部控制制度、降低经营舞弊。企业应以自身经营运作的实际情况为出发点,借鉴国内外先进经验,将持续审计应用到企业内部审计业务实践中,不断提升审计效率与效果,促进企业持久经营和健康发展。
参考文献:
[1] 石爱中主编.国家审计信息化持续发展研究报告(上、下)[M].北京:中国时代经济出版社,2014.
[2] 张文秀,刘雷编著.持续审计[M].大连:东北财经大学出版社,2012.
[3] 张晓岚,张超著.持续经营审计判断质量的改进研究[M].上海:立信会计出版社,2011.
[4] 何芹著.持续审计研究[M].上海:立信会计出版社,2008.
