新一代信息技术的快速发展及经济全球化趋势的快速推进,激发了对核查经济交易以及其他决策相关数据真实性、完整性的需求,持续性审计(Continuous Auditing,CA)作为一种基于信息技术的综合性解决方案,能够在近乎实时背景下核查相关信息,提供实时运营保障,助力事前的风险预防、事中的风险控制和事后的风险应对,在流程重复且容易发生风险的应用场景中最具价值,日益受到理论和实务界的关注。企业内部审计(Internal Audit,IA)部门是持续性审计的主要用户和支持者,现有研究从合规的视角探讨了内部审计的职能,重点关注如何利用技术协助内部控制,确保政策、标准和法规的合规性(Bumgarner&Vasarhelyi,2015)。与组织其他管理职能一样,内部审计具有特定的目标任务和组织模式,并对员工行为产生重要影响。因此,从管理的视角出发,立足于持续性审计的内涵与特征,面向内部审计的管理职能,探索构建基于持续性审计的内部审计新模式及其整合性分析框架是一项重要的研究课题。 构建基于持续性审计的内部审计系统,将会引发现有内部审计模式的系统性变革,学术界和实务界对此也进行了多维度的探讨。首先,面向持续性审计系统,内部审计人员能够在近乎实时的时间内报告一个主题事项。与传统的年度审计流程相比,内部审计人员能够在异常情况发生时主动发现和调查,而不像传统审计流程存在很长的时滞效应,错过了风险或危机的最佳处置时间(Chan&Vasarhelyi,2011)。其次,持续性审计系统中的持续性控制评估能够近乎实时地发现组织内部控制的缺陷和薄弱环节,并及时将其纳入年度审计计划和审计实施工作中,使得管理层能够第一时间采取积极的补救措施(Chiu&Vasarhelyi,2014)。此外,持续性审计系统通过应用数据分析技术,提高了审计程序的自动化水平,极大地提升了对于重复性审计任务的审计效率。再次,持续性审计系统通常覆盖组织所有的部门、岗位和交易,审计人员通过自动化流程独立获取审计证据,不再依赖于组织人员所提供的数据和资料,从而最大限度地减少了数据操纵的机会,审计证据的范围、质量和有效性均得到有效提高。 尽管持续性审计在内部审计的应用可以产生多重价值,但持续性审计在企业内审业务中仍未得到充分利用,而仅被视为内部审计职能的一个应用拓展领域,可能的原因在于缺乏指导具体应用实施的理论性框架。为推动持续性审计在内部审计领域的应用,本研究立足于持续性审计的内涵及其核心特征,致力于构建融入持续性审计的内部审计系统框架,重点探究如何将连续审计成功地集成、嵌入于企业内部审计系统中,以更好地推动企业内部审计部门开展持续性的风险评估和风险管控,增强监督的成效。 二、持续性审计的概念、分类与特征 (一)持续性审计的概念 根据美国注册会计师协会(AICPA)的定义:“持续性审计是在可容许的很短的时间范围内,提供实时、准确审计报告的模式,以期持续、快速、精确地反映出被审计单位所发生的情况。”国际内部审计师协会(IIA)认为持续性审计是审计人员使用任何方法持续不断地执行审计相关的作业活动,其活动范围包含了持续风险评估和持续控制评估两大类型,其中持续风险评估侧重于感知、评估和预警风险程度,持续控制评估则旨在关注内部控制的有效性问题。IIA在其全球科技审计指南第三号定义“持续监督”为管理当局合理确保其政策、程序和业务流程有效运行的过程,管理当局在确定重要关键控制点后,能够通过自动化测试来确定这些控制执行是否正常。持续监督通常会涉及在既定的业务流程范围内,按照一组控制规则,对所有交易和系统活动进行自动化测试(Marc E&Artur K,2017)。综合各方观点,笔者认为持续性审计是指审计人员将现代信息技术集成应用于组织运营管理全流程而提供的一种实时审计,能够在近乎实时或短时间内为相关事项提供书面保证,生成审计报告。有关持续性审计的定义如表1所示。 (二)持续性审计的分类 持续性审计通过确定的流程、技术和方法,对风险和控制的持续评估以及对系统可靠性进行实时监测。Bumgarner和Vasarhelyi(2015)将现代持续审计划分为四类,即持续性数据审计、持续性控制评价、持续性风险监测和持续性合规监测,如图1所示。这些子类别适用于企业内部审计职能部门的持续性审计活动,即三道防线模型中的第三道防线。 1.持续性数据审计。早期的持续性审计仅限于对交易的持续分析以及异常报告机制,具体包括提取超过授权限额的交易,并将账户余额与以往期间进行比较。Bumgarner和Vasarhelyi(2015)将最初的持续性审计归类为持续性数据审计。 2.持续性控制评价。随着持续性审计的推进,持续性数据审计的范围逐步扩大到保证控制的充分性和有效性(Alles&Vasarhelyi,2012)。内部审计部门典型的持续性控制评价是根据基线标准评价配置控制(如IT配置、应用控制和职责分离控制),识别任何后续的变化,以便进一步评估控制的有效性。持续性控制评价还可以扩展到对安全和事件日志以及非结构化数据的分析。值得注意的是,内部审计部门(第三道防线)部署的持续控制评价不应与业务部门(第一道防线)和风险管理部门(第二道防线)实施的持续监测举措相混淆。