持续审计

2024年1月24日发(作者：)

持续审计

1.持续审计的基本概念

持续审计是指独立审计师用以对委托项目的相关事项以一系列实时或短时间内生成的审计报告，对其提供书面认证的一套审计方法，是为了提高审计质量，降低审计风险，而将审计投入到整个组织运行流程中的一种实时审计。

2. 持续审计的特点

(一)审计过程的连续性。

持续审计要求审计工作融入企业的生产经营过程。这样，只要企业在持续经营，那么审计工作就会伴随着生产经营过程循环往复下去。在持续审计下，审计计划、控制评估、风险评估、审计报告等都是连续进行的。一个期间审计报告发出的同时，便开始了下一个期间审计计划的制定，进而步入下一期间审计评估工作的开始。这样连续的、循环的审计工作，对现金、银行存款等高风险的项目来说，可以很好地预防和控制错误的发生。

(二)审计信息的及时性。

持续审计要求提供的审计信息必须是及时的。传统的审计工作是在既定的时间内，对过去已经发生的事项进行审计。因此，提供的信息在时效上很弱，这样的信息对企业做出决策就帮助不大。持续审计则是强调在审计事项发生后或者发生时立即进行审计，提供的信息体现了实时性，进而也符合会计信息质量要求中重要性、相关性原则。

(三)审计程序的自动化。

持续审计的运作是在网络环境下进行，要求被审计单位与审计单位都应该置身于网络中。在网络环境下，完成审计证据的取得，审计计划的制定以及审计报告的发布。简单说来，持续审计的审计对象是一堆数据，那么持续审计必须拥有数据分析工具。持续审计要求及时发现被审计单位的问题，那么持续审计必须拥有网络触发器，可在被审计单位错误发生时便通过网络传递到审计单位，由审计单位进行分析，进而将审计信息发还给被审计单位并且予以公布。在这样的审计条件下，持续审计只有必须拥有高度自动化的审计程序。才能保证审计工作的正常开展。

(四)审计的风险控制。

持续审计是控制风险型的审计，重点在于被审计单位会计信息系统中内部控制的适时性和有效性。通过对被审计单位内部和外部经营环境的全面评估，对被审计单位形成一个整体印象，在关注会计报告审计的同时，对内部控制制度运行和运作效果进行审计。这对完善企业内部控制，降低审计风险，提高审计质量具有一定的意义。

3.与传统审计的区别

传统审计主要是基于一定期间进行的审计，常常是一年、半年或者一个季度；持续审计是根据需要实时进行的审计，与传统期间审计最本质的差异在于审计时间不同，持续审计强调审计的及时性和审计过程的持续性，因而极大地提高了审计效果和效率。

4.持续审计的产生背景

传统审计的缺陷：

（一）难以实时获取准确的信息

在生产经营过程中，由于不确定因素的存在，企业风险在所难免。当面临经营失败和财务失败的威胁时，被审计单位可能发生重大的错报。通过了解被审计单位及其环境有利于了解被审计单位面临的风险，进而有利于评价被审计单位产生重大错报风险的可能性。但是，随着知识经济时代的来临，经济全球化的发展，市场竞争的加剧，在一定时期内，被审计单位及其环境将发生很大的变化。为了及时了解被审计单位存在的风险，注册会计师必须持续收集和分析被审计单位的信息，判断被审计单位存在重大错报的可能性。《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大

错报风险》第五条提出了“了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。”但是在传统的鉴证业务中，一般采用定期了解被审计单位及其环境的方法，即只在签订业务约定书和执行外勤工作时了解被审计单位及其环境，这种方法下信息更新速度较慢，难以实时获得准确可靠的信息。

（二）难以实时获取充分适当的电子审计证据

审计证据是形成审计结论和意见的基础，只有获得充分适当的审计证据，才能形成正确的审计结论和意见。在传统的经营模式下，审计人员利用各种文件和记录，采用观察、询问和分析性复核等方法获取审计证据。但是随着信息技术的广泛应用，电子商务活动的深入开展，企业的经营活动与信息系统的联系愈来愈紧密，越来越多的数据资料采用电子文档的方式保存。由于发生档案更新或备份文件不存在，致使某些电子化的审计证据只在某一特定时点存在。为了取得充分适当的审计证据，《中国注册会计师审计准则第1633号———电子商务对财务报表审计的影响》指出：“电子商务系统高度自动化或未保留包含审计轨迹的电子证据的情况下，仅依靠实施实质性程序不足以将审计风险降至可接受的低水平，注册会计师应当实施控制测试，并考虑使用计算机辅助审计技术。”目前常用的计算机辅助审计技术主要是采用通用审计软件，这些审计软件能够提供凭证准确性校验、账户平衡校验、年度间结转校验、总账明细账分类校验等年末时点的审计，以及简单的明细账查询、科目余额分析、审计抽样、跨年度账龄分析、固定资产及工资系统的分析，但是不能实时获取被审计单位的资料，缺乏强大的分析程序，不利于获取充分适当的电子证据。

（三）难以对实时财务报告进行审计

随着网络技术的广泛应用，被审计单位采用信息技术在网站公布本单位的财务报告将逐渐成为主流。这些财务报告采用实时生成系统，报告周期较短，甚至缩短到每日一份财务报告。其作为被审计单位出具的一种形式的财务报告，也构成注册会计师审计的对象。根据第1101号审计准则《财务报表审计的目标和一般原则》第四条的要求，财务报表要在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。但是仅通过传统的定期审计方法，注册会计师难以实时获取财务信息，更无法对实时的财务报告的合法性和公允性进行审计。

5.持续审计-------一种解决方法

（一）有利于获取及时准确的信息

持续审计的方法有多种，既可以通过嵌入审计模块的方法，也可以采用持续审计代理的方法。在嵌入审计模块法下，审计人员把审计软件嵌入客户的信息系统中，在被审计单位业务发生的同时，依据既定的标准进行控制测试和实质性测试。但是在被审计单位业务量较大的情况下，采用嵌入审计模块的方法会浪费客户的系统资源，影响客户的运行速度。持续审计代理的方法下，可以在企业的信息系统设置代理服务器，把相关信息储存至服务器中，再通过虚拟专用网把信息下载到实时审计系统的数据库中。数据经过审计系统的自动分析转换成注册会计师所需的各种数据，根据预设的程序发送到注册会计师的电脑中。此外，计算机程序在分析处理数据的过程中，如果发现数据有重大异常现象，也将会发送异常情况报告给特定的注册会计师。在这种方法下，注册会计师可以根据需要随时启动数字代理来获取被审计单位的信息，及时进行分析处理。

（二）有利于实时获取电子证据

在电子商务活动中，双方通过网络进行商品或服务的交易，很难形成有效的审计证据。利用持续审计的方法，注册会计师可以把交易的实时数据下载到数据库，根据交易记录和日志文件以及财务信息的内容，借助持续审计分析系统强大的索引功能，提取每笔业务的订货记录、订货合同、货物或服务的交付记录、赊销情况和回款记录，通过分析程

序把每笔交易按照业务循环重新分类，实时获取电子证据。

（三）有利于对实时财务报告的审计

在持续审计系统中，审计软件按照既定的标准对生成的财务信息和非财务信息进行验证，对于完全符合标准的信息，系统自动生成电子签名，报表使用者在使用实时的财务报告的同时也在使用实时的审计报告。对于不符合标准或者严重偏离标准的交易事项，系统自动将相关信息以电子邮件或者消息提示的方式迅速送达注册会计师的电脑中，注册会计师对这些事项进行专业判断，必要时进行现场审计，以确定这些信息的真实性。对于符合按照会计准则和相关会计制度编制的财务信息，以及所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量的财务信息，信息系统自动对实时财务报表出具标准无保留意见。至于是否应当出具非标意见，则由注册会计师在专业判断的基础上确定

.6. 持续审计的流程

持续审计的发展需要开发一种信息技术，能够将从不同的系统及平台接收数据和修改不同文件类型和记录格式的数据。这个过程能将从不同的数据源和系统获取的数据标准化 其中，将数据标准化是最复杂和最有挑战性的步骤。因为一旦数据读取和复制过程中发生错误，其成本和风险会给终端用户的审计测试和分析带来难以克服的障碍。

在这些技术的支持下，持续审计得以进行。图1说明了持续审计的流程。应当说明的是这些步骤都是相互关联的，不一定是线性排列。

步骤l和步骤2是每种审计方式都必须进行的。每项审计业务都包括通过收集充分、适当的证据来测试管理当局的认定(如资产是否存在)。在这个阶段独立审计人员应当考虑以电子形式存在的证据适当性，以及在决定控制测试范围以及实质性测试的目的、时间安排和范围时，电子证据对它们的影响。

在评估内部控制的有效性时，CAITs通常应用于以下方面：1.通过检测数据和ITF(Integrated Text Facilities)以判断实时会计系统是否对有效或无效的交易作了正确处理，处理是否正确、完整。2.对客户应用系统中的部分系统进行模拟重复运行，以评估内部控制的有效性。3.将同步处理审计模块整合到重要的计算机应用程序中以不间断的选择与监控数据处理。4.在进行复核和在线审计时使用CIS(Continuous and Intermittent Simulation)选择交易。同步审计技术如快照法、SCARF(systems control andaudit review facility)都得到了越来越多的重视，并在持续审计下应用于测试客户内部控制结构的有效性。ITF方法需要在客户的应用系统中创建小型的子系统，将处理过的审计测试数据同客户的数据进行比较，以证实处理过程的真实、正确与完整。SCARF是将审计模块整合到数据处理程序中，根据预定的标准不间断的运行测试程序，这项技术要求将审计软件模块植入客户的应用程序中，以对系统的交易处理过程进行不断的监督，符合特定标准的交易和事项被写入到一个文件中，仅供审计人员作进一步检查之用。快照法是分别在计算机处理运行之前和之后对数据库进行检查，以检测处理程序是否正确。步骤3是收集信息的准备阶段。在大型公司，各个业务单位的数据管理者是最重要的，他们能提供关于数据定义，文件排列的基本信息，也能确定供审计测

试用的关键数据。审汁人员通过与它们的沟通与交流，可以明确目标。确定下一步的行动。

步骤4是建立数据通道和取得授权协议。这样持续审汁的应用程序就能够从复杂的平台中获取和传递数据 这些包含在企业数据系统中的数据通常被储存在不同数据平台和系统多维数据库的多重地址中，有些数据还是高度相关的。复杂的平台，物理地址的分散都会对处理程序产生影响。持续审计必须能使审计人员快速进入和渎取存储在任一企业计算机平台(如SAP R/3，。Oracle，SQL等)以及不同的格式(如IMS，ASCII，MDB，CSV，XIS，TXT等)的数据。

在步骤5中，利用信息技术为业务单位创建审计数据集市。包括从源数据库中获取数据，按照一定标准将其转换为标准的可供审计人员使用的转换数据，并按照审计人员的选择进行下一步处理。

步骤6是执行审计数据集市中的标准审计测试程序 这些审计测试程序可以按事先设定的时间段进行，它们能够自动收集所需审计证据，产生报告供审计人员分析和判断。很多因素导致了对数据仓库与数据集市的需要，这些因素包括不同数据库的时间差异.企业级数据完整性和一贯性的缺乏，数据定义和业务规则的不准确与不完整，不完整的审计线索，对进入企业系统的限制等。持续审计是在信息时代下发展起来的，因此与传统审计模式相比，无论从方法、程序还是应用上都紧密的与信息技术相联系 随着技术的进步，仍然需要不断的将先进的技术引入到持续审计模型之中，以便更好的发展持续审计。

7.持续审计面临的挑战

连续审计作为一种内部审计新操作模式，在西方其方法正在逐渐为内部审计部门所接受，他们也在使用连续审计程序来改善审计流程和审计结果以满足各利益相关方对快速、高质量实时鉴证服务的要求。

作为新模式，不可避免的存在需要完善的地方。即使是欢迎这项新技术的公司也面临着一些挑战。例如，GTAG引用了下面一些企业在执行持续审计时通常会遇到的问题：

1．内部审计人员缺乏必要的指导和技能来执行组织中的连续审计。

2．审计者在谁将最终为连续审计买单的问题上困惑不已。

3．审计者必须能够接触到组织的系统和数据并且必须知道怎么使用系统能接触到的大量信息。

4．审计者必须确定连续审计的适用范围以及它们如何将流程联系起来以实现综合风险管理措施和连续审计流程的结合。

5．连续审计的概念经常会缺少关键利益相关者的支持。

普华永道《2006年内部审计行业调查报告》的调查结果显示：当被问及什么是建立连续审计程序的最主要挑战时，380家调查反馈企业中有37％认为是“定义需审计的活动”；20％的企业认为是“如何使用好这项技术”；18％认为是“获得公司内部支持”；另有13%认为是“如何确定是否要对业务部门和内部进行监控”。而一个出人意料的比例则是，只有12％的人认为“成本”是连续审计目前所面临的主要挑战。

综上所述，当前连续审计面临的主要问题是：

1．内部审计合格人才的持续短缺。

2．连续审计的实施范围。

3．连续审计理论体系的构建。

4．理顺审计人员与被审单位的关系。

5．完善连续审计的技术。

6．降低连续审计的成本。

8.持续审计对我国的启示

连续审计是一种主要采用经常进行自动控制和风险评估的审计方法。它改变了传统的日

常定期审计范式，而是对交易情况进行连续百分之百审计。它正日益成为一种现代审计方法，与绩效监督、平衡计分卡和企业风险管理等管理活动结合在一起发挥作用。在西方连续审计的实施已经逐渐展开，而我国的相关研究还很少，无法满足信息技术环境下特别是网络环境下审计发展的需要。因此很有必要结合我国的审计信息化现状，借鉴国外连续审计实施经验，推进我国连续审计的发展。主要有以下几点：

1．着手将连续审计规范化。近年来，如何规范和指导连续审计成为AICPA的重要议程之一。2002年，AICPA的审计委员会（ASB）主席Jim Gerson 公开声明将对连续审计进行全面研究，至今这一研究还在进行中。我国有必要借鉴这种思路，先引导审计人员将连续审计与现有重要的审计规范和指导联系起来，再根据实施经验，研究出台正式的连续审计规范。

2．关注国外研究重点，结合我国国情，确定研究方向。由于西方的连续审计的研究和开展比我们先进和成熟，我们理应关注国际上连续审计的研究重点。在学习和吸收的基础上，结合我国的实际情况，根据现实的需要，确定研究方向。

3．全面深化对连续审计软件的开发。连续审计的运用关联到很多方面的专业知识，其中最为重要的是涉及的许多IT知识，这就很有必要IT等相关部门提供技术支持。我国若要推进连续审计，可由审计署牵头，联合财政部和信息产业部，同时吸收不同行业和规模的企业加入研发，并且以一些科研机构或者高校为依托，成立专门的连续审计研究中心。

4．制定推进连续审计的步骤和顺序。作为一种审计模式，连续审计可以同样被运用到外部审计中，随着企业自愿进行网络财务披露不断增加的情况下，对外财务信息披露的时间间隔将不断被缩短，这最终会导致连续审计在外部审计中的广泛运用。借鉴这种推广模式，我国应先在内部审计中推进连续审计的实施，当时机成熟的时候再将连续审计推广到外部审计。

5．加强连续审计的职业培训。连续审计与传统审计的转换较大，加强相关职业培训是必不可少的。我国在推进连续审计的过程中，需要注意连续审计的不同层次培训，入门和基础培训可由审计署通过发放资料和主办一些培训课程来实施，而进一步的深化培训可由市场化的培训机构来完成。

6．开展案例研究。这些案例只要是类似于连续审计的案例都应当在研究范围之列，因为我国没有真正意义上的连续审计，所以这些案例对今后开展连续审计弥足珍贵。