审计和会计的发展关系密切,会计系统的每次重大变革伴随的都是审计模式的随之调整。在IT环境下,会计信息的供求矛盾,使得会计流程要结合其所处的信息生态环境进行再造。会计流程再造首先应该保证会计信息的可靠性,就必须实施对会计流程的有效控制。同时,为了进一步保障会计流程持续有效和高效,需要对其实施持续监控,进行持续控制评估和持续风险评估,也即进行持续审计。持续审计只有实现与业务系统的无缝链接和信息流程的融合,才能充分发挥它的作用。所以,我们有必要研究如何将审计流程嵌入会计流程,实现两者的共生和良性互动。 一、持续审计对持续监控的利用 对会计流程实施持续监控,审计人员可以利用管理层实施的持续监控系统,也可以通过在会计流程中内嵌审计模块(EAM)来实现。这两种监控方式的运作模式基本相同,都是通过对系统及其会计系统和业务流程的控制设置和业务数据进行分析,识别控制缺陷和异常交易,并通过邮件或手机短信的方式向审计人员、企业内部相关责任人发送预警,以期他们采取进一步的行动。 从内部审计的角度来看,EAM和持续监控在功能上存在交叉,这是由内部审计部门在内部控制监控中的作用决定的。因为内部审计部门既可以是管理层内部控制监控系统实施中的主要参与者,也可以是内部控制监控职能的执行者。国际内部审计师协会(IIA)在第3号全球技术审计指南《持续审计》中,详细地阐述了持续审计与持续监控之间的依存关系,提出在持续审计中,充分利用持续监控,能够同时满足对控制程序的有效性和用于决策的信息的可靠性和相关性确认的需要。 不过,根据COSO《内部控制系统监控指南》的观点,当前很多企业没有很好地利用持续监控程序,或者总体上缺乏必要的监控程序,这就给依赖持续监控而运行的持续审计实施带来障碍。在这种情况下,内部审计部门可能会主动帮助管理层建立持续监控程序,虽然他们并不拥有该程序的所有权。持续审计是一种在较高频率上进行审计的方式,实现审计程序自动化是开展持续审计的必要条件。内部审计部门无论是为了满足审计的需要来开发EAM,还是为了帮助管理层实施持续监控系统,都应该考虑将更多的现有审计程序整合进EAM或者持续监控系统,也即如何将现有审计程序实现自动化,进而实现审计流程对会计流程的嵌入。 二、审计流程嵌入的基本思路 审计是一种充斥着职业判断的工作,由于计算机对审计程序执行刚性与人工处理柔性之间的差异,使得在将审计流程转换成计算机可执行程序时,必须对现有审计流程进行重构。审计流程重构主要是将当前针对会计流程的手工审计程序和审计判断的可规范部分与不可规范部分相分离,目的在于减少对非正式审计判断技术的依赖,以使审计程序尽可能实现自动化。 (一)规范审计程序 要实现审计程序自动化,首先必须对现有的手工审计程序进行规范化。规范化就是通过建立一种统一的审计方式,减少不同审计人员对于具体审计程序理解和运用上的差异,借以提升审计程序执行上的准确性和一致性。 根据自动化的实现可能性与程度,手工审计程序可分为可直接实现自动化、不可能实现自动化和具备实现自动化潜力三类。一般来说,那些用于完成常规的、重复性的结构化工作的审计程序都可以实现自动化。对于那些既不能分离出可自动化部分,也不能利用计算机来实现对审计职业判断的模拟,或者必须由人工来完成的部分,是不能实现自动化的。某些审计程序虽然需要运用审计人员的职业判断,但这种职业判断具有一定的逻辑性,可以通过计算机实现模拟,这类审计程序可以通过进行重构实现规范化,进而使之具备实现自动化的潜力。 对审计程序进行规范就是针对具备自动化潜力的审计程序部分。这种规范化并非消除审计职业判断的空间,而是通过考虑审计人员在不同审计环境下执行审计程序的各种可能情形,将这些情形内化于计算机审计程序中,用一种统一的方式来执行,而不能由审计人员根据自身偏好进行选择。对于那些需要审计人员进行逻辑推理和形式思维才能完成的工作,可能需要借鉴构建审计专家系统时采用的方法,如知识工程学。由于规范化的最终目的是将人工审计程序转换为计算机可执行的程序,所以,在软件设计人员所进行的审计程序设计中,需要有经验丰富的审计人员的参与。 (二)利用基线来实现审计程序自动化 某些审计程序想要实现规范化,不是在技术上不可行,就是成本太高,此时可以考虑采用对基线的监控来实现审计程序的自动化。如果规范化的审计程序是自动化“审计面”,那么通过基线所进行的监控则是自动化“审计点”。基线是对某个时点系统和业务流程设置的一个参照,它是作为后续审计过程中的参照标准。在系统运行过程中,通过将后续时点与基线进行比较,识别偏离基线的情况,借以实现审计自动化。这种方式的优势在于容易实施、成本较低。不足之处在于其审计覆盖面狭窄,且仅仅对那些限制性的控制设置起作用。在进行基线设置的时候,可以采用前次全面审计的结果,也可以通过对内部控制系统进行重新评估来获取。企业经营环境的变化,要求基线也随之调整,这就需要大量的手工工作来验证基线的有效性。所以,在基线设置中还需要在风险和成本之间进行权衡。一般来说,参数值越固定,越适用于基线监控。基线设置并非一蹴而就,在初始设置运行之后的一段时间内需要对监控结果进行仔细分析,审慎决定是否应该对当前基线值进行添加、删除或者修改,直到系统平稳运行为止。控制基准设定好之后,还应定期对其进行评估。