由于传统的内部审计方式需要大量的手工操作,而且审计的效用存在很大的滞后性,在企业信息化水平不断提高的今天,已很难适应企业对内部审计的质量和效率的要求,因此,需要一种方式能够在信息化背景下对企业ERP系统中的业务和交易进行快速有效的审计,而持续审计(CA)具备这种能力。 持续审计强调审计过程的持续性和审计实施的即时性,是一种例外事项基础的审计,强调“自上而下”与“自下而上”方法的结合以及审计活动的整合性。 在CA的审计过程中,信息技术起到了关键性的作用,包括自动化的内控测试、发现违例事项、实时的交易分析和余额测试等。CA从技术层面主要有两种实现方式:嵌入式CA和分离式CA。所谓嵌入式CA就是在ERP系统中嵌入审计模块(EAM)负责监控在业务流程关键控制点上的信息,并能够直接提供给审计系统进行分析;所谓分离式CA就是利用ERP系统之外的审计数据采集程序对系统的数据进行抽样,并通过网络传送给审计部门分析,这种方式一般适用于不能直接全方位获取企业信息资源的国家审计或第三方审计。由于内部审计员不仅可以较容易地直接从企业中获取开发、实现、运行和维护CA系统所需的资源,而且还能够以最直接的方式使用ERP系统中的数据,所以适合采用嵌入式CA的实现方式。 一、CA模式对内部审计的影响 1.审计行为强度的转变。首先,审计行为从传统的定期审计转变为高频率或者实时审计,其强度大大增加,这也使内部审计从事后审计转变为事前或事中审计。CA在内部审计中一般是通过嵌入到ERP系统中的EAM收集、处理和展示审计线索,并将审计线索存储在审计数据库中,以备进一步审查,一旦发现了违例和异常,CA系统就可以立即将审计线索发送给审计员进行处理。其次,审计报告的周期也将缩短,由原来的定期报告转变为不定期报告或者实时报告,报告周期的缩短从某种程度上是由于大部分审计证据的收集工作是由EAM自动完成的,EAM形成的实时审计日志将作为重要的审计证据。最后,审计行为的强度增加并不意味着审计员的工作强度也会有所增加,如果安排得当,审计员可以从大部分琐碎的证据收集工作中解脱出来,把大部分精力投入到问题的分析和解决上。 2.由人工审计到审计自动化的转变。对于规模较大的企业,传统的内部审计一般通过人工完成,往往需要大量的人力和时间,例如,为了更好地鉴证一个企业事务,审计员通常会在企业ERP系统中对该事务的执行路径进行跟踪。ERP系统的执行路径往往很复杂,因此对此类系统进行跟踪会很困难。 CA技术可以代替审计员收集那些通常要通过人工跟踪才能获得的信息。EAM可以捕获事务执行路径上的一个个映像,随后写入审计数据库形成映像文件以备后续检查。这样直接使用映像文件审计员就可以对事务的执行路径进行跟踪和分析。 CA提出的是一种将审计程序固化到企业的ERP系统中,从而在ERP系统的运行过程中自动完成审计程序的新理念,这将使部分审计事项由原来的人工审计方式转变为系统自动审计方式来完成。对于部分明确的业务过程,如企业通过ERP系统对外采购服务,如果拟签订的服务合同金额大于采购预算,则EAM模块会自动暂停该业务,并将问题的细节存储和反馈给审计员;又如通过CA自动将资产和债务的实际数与账存数进行核对,对相关的账证、账账、账表进行核对。 本文假设内部审计的工作流程分为五个步骤:第一步,审计计划和风险评估;第二步,交易鉴证;第三步,符合性测试;第四步,实质性测试和合理性评估;第五步,审计结论和报告。传统内部审计只是在前两个步骤中使用了少量的信息技术,而CA在当前的技术条件下已经可以在前三个步骤中充分应用信息技术,实现初步的自动化审计。 虽然审计自动化不可能完全实现,因为一些审计事项需要进行复杂的判断和专业的甄别,比如对于企业管理事项的一些评估,但是随着人工智能等相关信息技术的发展,会有更多的审计程序能够固化到企业的ERP系统中,在未来将会在第四和第五个步骤中实现更为高级的自动化审计形式(如图1所示),那时内审部门可以将更多的人力投入到更为重要和复杂的审计事项中,从而提高内部审计的工作效率,降低内部审计的资源消耗。
3.审计行为趋于实时和并发。传统的事后审计会带来很多问题,例如,在某一次审计刚结束,对于企业新出现的问题,往往要延续到下一次审计开始的时候才能够被发现,随着企业规模不断扩大,信息系统趋于复杂化,出现错误的概率会增加,这会导致积累大量的问题,而这些问题会给企业的经营带来很多隐患。大量的问题一般不可能在下一次审计的短时间内被全部发现,而且即使发现了,也很难在短时间内处理,这可能会给企业造成损失,因此,在信息化背景下传统的审计方式会导致企业内部审计功能的部分失效。 当系统之间是紧耦合时,一个系统中发生的错误和违规行为会很快扩散到其他系统中并造成损失。上述处理流程中如果客户订单输入错误,那么后面整个的流程都会发生错误。