一、引言 从20世纪80年代起,随着信息技术的快速发展,持续审计(Continuous Auditing,也称为连续审计,简称CA),作为现代信息技术在内部审计和外部审计领域的创新性应用,开始了探索历程。在1990年AT&T的Bell实验室率先为公司成功研发设计完成连续处理的审计系统之后,西门子、IBM、HCA、Unibanco等许多组织也开展了持续审计。此外SOX法案404条款等法规的新要求①,ACL、IDEA、Approva和Oversight等审计软件供应商的发展成熟,都极大地推动了持续审计的发展。 IIA在2005年7月的一项调查显示,47%的被调查者认为在SOX法案后内部审计应该实施CA,23%的企业已经建立了CA机制。根据普华永道的2006内部审计行业调查,在2006年参加调查的392家美国公司中有半数的公司正在使用持续审计技术,相比2005年的35%有了大幅提高,同时在尚未采用连续审计技术的公司中,也有31%的公司表示已经拟定了实施计划,只有19%称他们既没有也不打算建立持续审计程序(普华永道,2006)。持续审计的实践效果也得到了普遍认同,如国际内部审计师协会IIA技术实践主管Heriot Prentice认为,持续审计具有更大的穿透力和覆盖面,并可更合理地分配审计资源到组织的高风险领域;苏黎世金融服务集团审计技术总监Paulette.Keller认为,持续审计能及时甚至立即发现异常情况或控制缺口,提高审计的主动性。与外部审计相比,内部审计更关注组织的经营活动,因此更适合也更多地运用了持续审计(IIA,2005)。目前,许多金融机构包括纽约联邦储备银行、花旗银行、汇丰银行等在内的国际大型银行的内部审计部门都大量运用了持续审计技术。从我国银行持续审计的实务看,虽然部分银行如工行、交行的内审部门已开始尝试开展持续审计,但由于缺乏系统的理论指导,内审人员对持续审计的内涵、范围、运作方式缺乏清晰的认识与定位,另外,分析已运用持续审计技术的公司具体应用过程及问题的公开披露资料基本为零,缺乏可参考借鉴的经验。 本文将先简单讨论持续审计相关理论和技术,然后以持续审计在某商业银行内审中的实施应用为例,对我国商业银行持续审计现状展开较深入的分析,指出其中存在的问题,并提出解决措施,以期为国内其他商业银行开展持续审计提供可操作的指导性建议。 二、持续审计相关理论和支持技术 (一)定义。持续审计由于其内涵不断发展,并没有完全统一的定义。AICPA和CICA将持续审计定义为能使独立审计师通过使用在委托项目出现相关事件的同时或短时间内生成的一系列审计报告,来对委托项目提供书面鉴证的一种审计方法。KPMG将持续审计定义为内部审计在一个固定时段内,经常或持续用来监控信息技术系统、交易和控制措施的自动反馈机制。认为该机制有助发现异常、例外、不一致和其他因素,以便集中审计资源,采用持续审计的企业可经常利用技术更有效地分析风险数据。有文献将持续审计定义为能在相关事件发生的同时或之后很短的时间内就产生审计结果的一种审计类型(Alexander等,1999)。 IIA则采用了更为广义的定义,认为审计师在持续的基础上开展的审计活动都是持续审计,并将持续审计分为持续控制评估和持续风险评估两种方法,两种方法关注的重点、分析技术稍有差异,不过这两种方法可以应用于相同的审计活动和管理活动(参见表1)。
(二)支持技术。持续审计是一种“技术驱动型审计方法”(Technology-enabled auditing),必须依托于信息技术来实现。实施持续审计一般应具备审计系统完全自动化和相关事件或结果能够即时被审计人员提取这两方面的技术条件(Alexander等,1999)。持续审计系统自动执行审计程序时,任何与初始设置不相符或者异常的记录都将引起报警,审计人员据此决定采取相应的措施。信息技术是持续审计成功的关键(IIA,2006),只有依靠信息技术,才可能自动识别例外、异常情况,分析关键数据特征,分析发展趋势,根据设定的基准分析具体交易,测试控制,比较类似实体的流程、系统。信息技术并非一定指庞大的系统或软件,专门开发持续审计系统当然好,但通用审计软件如A-CL、IDEA,甚至Excel也可以成为很好的工具,关键是要根据具体情况运用工具,即技术应“有弹性”。 常用持续审计技术方法和工具包括连续与间歇模拟方法(Continuous and Intermittent Simulation)、嵌入式审计模块技术(Embedded Audit Module)、持续处理审计系统(Continuous Process Auditing Systern)、审计数据仓库和审计数据集市等(阚京华,2008),综合测试法(Integrated Test Facilities)、快照法、平行模拟法(Parallel Simulation)、基于XMI/XBRL的持续审计技术等等也是可以采用的持续审计技术。