一、问题的提出——一组来自美国内部审计的数据 2006年,普华永道专家团队针对美国的内部审计作了题为《连续审计昂首前行》的2006年内部审计行业调查报告。报告指出了美国内部审计发展的四大趋势,首当其冲的便是连续审计。报告具体数据显示:(1)在392家接受调查的企业中,已经有81%拥有或正在计划建立连续审计/监控流程。(2)2005—2006年间,表示已拥有连续审计/监控流程的调查反馈者的比例从35%上升到50%,增幅显著。(3)56%的反馈者表示:公司的连续审计既包括手工作业也包括自动程序;41%表明其审计程序完全是手工作业,相比之下只有3%的反馈者称其拥有完全自动化的程序。(4)连续审计程序最常见的周期为季度,有57%的反馈者表示他们以此为标准;另有34%的人称他们关注于月度临控活动;只有9%的反馈者关注连续审计程序中的每日控制。 通过这份调查报告,不难看出:在美国,由于对SOX法案的强制遵循,对审计有效性和效率的更高要求迫使许多公司选择连续审计的监控方法作为解决方案。 二、连续审计[Continuous Auditing (CA)]的概念 美国注册会计师协会(AICPA)/加拿大特许会计协会(CICA)在其1999年的调查报告中将连续审计界定为:连续审计是一项由独立的审计人员使用的,为一个由企业管理当局承担责任的项目提供书面保证的技术。这些书面保证是由审计人员发布的一系列与这个项目有关的审计报告。而且发布审计报告的时间与事件的发生是同步的或紧跟其后的。 但是很多学者对这一定义表示了异议,认为其实际上是定义了即时审计。Vasarhelyi(1999)认为:真正的连续审计应该是一个全部自动化的方法,一个能立即获得相关事件并产生相关结论的方法。Vasarhelyi在这里强调了技术的力量。 但是,根据上文提及的调查,我们可以看到,41%的企业所采用的连续审计程序是完全手工的。对此,我们应该如何去理解呢? J Donald Warren Jr L Murphy Smith (2006)认为:连续审计是审计人员在连续控制的基础上实施的审计程序。其中连续审计程序的制定是审计人员的职责,而连续控制的方法制定则是管理层的职责所在。 笔者认为,J Donald Warren Jr,L Murphy Smith的界定能使我们更好地理解连续审计,以及在连续审计中审计人员独立性的保持。 综合上述,可以通过对比连续审计与传统审计的差别将连续审计的定义概述如下:(1)频率:不再是原来的年度风险评估——执行审计程序——发布审计报告的线性模式,而是更加关注每季、每月、每天乃至实时的指标。(2)动因:技术是连续审计重要驱动因素,也是连续审计发展的力量,同时加强了内审部门和其他部门的沟通。(3)范围:不再是原来的抽样审计,而是100%的全面审计。(4)职能:可以涵盖评估、鉴证、审核三大职能。 除此之外,连续审计还可以消除传统审计的六大弊端:过度审计、审计数据的收集滞后、审计执行的时间滞后、审计执行的效率低下、错误和误差的频出,审计报告系统的效率差。 三、对我国内部审计发展的启示 1、连续审计的实施契合了我国内部审计的发展趋势。2006年4月,中国内部审计协会王道成会长在云南会议的讲话中提出:要推进内部审计全面转型与发展,具体是实现六个转变。一是在审计的理念上,由对内部审计本质的认识是检查系统向内部审计本质是控制机制的认识转变;由内部审计注重结果、重在治标向注重过程,重在治本转变;二是在审计的职能上,由单纯监督向监督与服务并重转变;三是在审计的目标上,从查错纠弊向内部控制评价和风险评估转变;四是在审计内容上,由财务控制向业务控制和信息系统控制转变;五是在审计的方式上,由事后监督向事前、事中全过程监督转变;六是在审计的手段上,由手工操作为主向利用计算机、网络信息技术为主的转变。连续审计独有的特性使连续审计可以完美地推进内部审计的全面转型与发展,加速六个转变的完成。 2、连续审计不同于后续审计,它的实施加强了内部审计的完整性。根据《内部审计具体准则第8号——后续审计》中的定义,后续审计是指内部审计机构为检查被审计单位对审计发现的问题所采取的纠正措施及其效果而实施的审计。而连续审计是一个完整的内部审计过程,它将后续审计纳入连续的审计活动之中,加大了后续审计的频率和效率,加强了后续审计对企业经济活动的监控作用。 3、将连续审计与企业风险控制有机结合,有利于适时发现风险,识别风险,及时采取应变措施。通过HCA集团开展连续审计的一些较具体的做法,我们不难看出,连续审计不仅仅执行了传统审计的功能,而且由于其实施频率(可以做到实时)及实施力度(可以做到100%审计),所以在控制风险方面也是管理层强有力的工具。可以说,连续审计为实现更好的公司治理、风险控制提供了一个十分有效的途径。