《持续性审计模型的构建与实施》——审计论文发表
摘要:随着信息技术的进步,持续性审计已具备了推行的技术条件和经济可能,代写审计论文 而后安然时代为重建审计信任提出的相关要求更是为持续性审计的实施提供了制度保障。在分析了持续性审计的技术环境和制度背景后,构建了持续性审计的概念模型,并提出其有效实施的关键在于建立审计日志。
关键词:信息技术 持续性审计 审计日志
1 信息技术催生持续性审计电子信息技术的迅猛发展带来了企业信息系统的变革。计算机和网络的普及使企业和全球各地供应商、消费者及合作伙伴之间的沟通和交流得到了极大增强,信息使用者对信息及时性、可预测性和多样性对要求日益提高。企业信息系统顺应时代需要具备了以下特征:数据采集和处理自动化,信息处理无形化,信息输出实时化。信息技术的变革带来了会计信息生成和披露的革命,实时财务报告应运而生。实时财务报告是指企业在充分利用信息技术的基础上,通过计算机网络将企业发生的各种生产经营活动和事项反应在财务报告上,并将其储存在可供查阅的数据库中,供使用者随时查询。财务报告的实时性不仅体现在使用者查询的实时性,更为重要的是“实时报告”的实现,可扩展的报告语言(XBRL)的发展使企业能够将财务报告发布时间缩至“零”天。企业报告信息速度的加快,在线持续报告的出现,以及追踪交易和持续性监控系统的实施都给审计带来了新的压力,能够提供实时担保的持续性审计(Continuous Audit)势在必行。所谓持续性审计是指能够使审计人员在连续信息发布的同时或稍稍滞后提供某种程度上的鉴证的电子审计过程[1],它可以同时运用于内部审计或外部审计中。内部审计的职责包括检查管理人员和员工是否遵守公司的政策和程序,评价内部控制是否有效等。随着ERP系统和更加复杂的信息系统的广泛使用,审计线索已日渐模糊,内部审计师需要持续性审计来检查和监督内部控制环境。为保证企业实时财务报告中信息的真实性和完整性,注册会计师需借助嵌入式智能软件对公司交易和信息进行系统地、持续性检验,并以此为依据发表审计意见。从电子数据交换(EDI)到电子商务再到INTERNET网上交易,数字技术不断改变着企业的业务环境。随着因特网的安全、认证和隐私等问题逐步得到解决,越来越多的企业开始采用基于网络的EDI技术。EDI技术下程序控制和传感器取代手工控制,与此相适应审计师需要先进的技术工具实现持续性审计。数字代理(DigitalAgent)在嵌入式审计模块中的成功使用,继XBRL后XCAL (可扩展的持续性审计语言)的顺利开发以及数据挖掘在审计领域的广泛运用,持续性审计的实施已具备了技术上和经济上的可行性。#p#分页标题#e#
2 重建审计信任推动持续性审计继2001年安然财务造假案后,施乐、世通等大型企业如多米诺骨牌般坍塌,同时安达信事务所也因此而退出了审计市场。这一系列事件沉重打击了投资者对公司治理和财务报告的信心,审计职业形象黯然失色。不论这些公司丑闻背后的真正原因是内部控制的失效还是商业道德沦丧,最终的结果是损害了公众对审计职业的信任。正如美国2002年出台的公司改革法案《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct)所言,如果说经过审计的财务报告对资本市场交易至关重要的话,那么当前的首要任务便是重建审计信任。《萨班斯-奥克斯利法案》(以下简称SOX法案)特别强调公司有必要披露更多的实时财务信息和保证以此来重建公众对财务报告的信任。此外无论是证券交易所(SEC)还是美国注册会计师协会(AICPA)都提议将持续性审计作为改革框架中的重要组成部分。在2002年4月的一次国会宣言中,证券交易所主席Harvey Pitt号召采用及时的、全面的披露和鉴证来增强市场对财务报告和审计师的信任。AICPA主席Chair James Castellano主张顺应财务报告和审计模式的转变, AICPA的一项重要职责是为持续性审计提供一种切实可行的授权技术。安然事件后,除美国以立法的形式提倡实时财务报告和持续性审计以重建投资者信任外,世界各国纷纷制定各种法律、法规和标准来保护投资者权益,例如加拿大、澳大利亚、新加坡和欧盟等都有类似SOX法案的法规出台。这些法律、法规和标准的执行无疑为持续性审计的广泛推行起到了强有力地推动作用。
3 持续性审计模型的构建:概念模型持续性审计并非一项单纯的审计工作,而是涵盖网络服务、持续性审计环境、数字代理、持续性审计协议、常青报告等内容的一个复杂系统。图1初步描述了持续性审计的概念模型。
(1)网络服务。作为持续性审计的基础层,网络服务是持续性审计得以顺利实现的前提条件。各参与主体的网络服务相互连接并且在授权范围内进行数据交换。例如内部审计是受被审单位内部相关权力机构委托而进行的审计,因此它的网络服务仅仅与被审单位网络服务相连。被审单位的网络服务可以允许内部审计人员和外部审计师与其建立网络连接。审计师作为被审单位和其他第三方之间的中介,可以允许第三方在一定限度下获取被审单位的相关数据。其中的第三方是指图1中的投资人、债权人、供应商、客户、政府和其他利益相关者。
(2)持续性审计环境。在持续性审计环境中,通过被审单位系统的数据流由内置于该系统的工具软件进行持续性的监督和分析,当有例外事件发生时将自动报警,通过因特网传达给审计师。持续性审计的前提是其保证的对象即财务报告能够实时获取,实时财务报告的基础是其反映的信息能够实时收集,与此相适应持续性审计环境需提供以下三个层次的保证:1)对被审单位信息系统的可靠性和数据交换的安全性做出保证;2)对被审单位提供的实时财务报告的公允性做出保证;3)对被审单位与第三方间所达成的持续性审计协议中的条款做出保证。为提供上述保证,持续性审计环境必需满足两个假设条件。其一是审计师要有能力承担持续性审计约定中的职责,即审计师既要熟悉审计业务,又要掌握能够设计和保持持续性审计环境的信息和网络技术;其二是审计环境应能够对数据的搜集、存储、加工和报告具有较高的自动化处理功能,从而为持续性审计提供实时基础。#p#分页标题#e#
(3)数字代理。数字代理是在持续性审计环境中代替审计师自动执行某些任务的智能软件。数字代理的使用,使以往需要审计师现场进行的测试实现远程操作,即审计师可以持续性地遥控交易与内控的测试。持续性审计中所使用的数字代理是一种智能型自动化软件,它不仅能够在本地网络自动运行,而且能够搜索其他网络,从一个网站进入另一个网站来搜集信息;它不仅能够识别被审单位的行业、竞争者、法律和制度环境,而且可以通过观察数据确定相应的审计程序和可接受的误差水平,实施审计程序并出具审计报告;此外智能代理还可以察觉出被审单位内部环境与外部环境的变化,自动做出相应的调整[2]。
(4)持续性审计协议。持续性审计活动中参与各方所订立的和约称为持续性审计协议,其中参与者包括审计事务所、被审单位、投资者和供应商等。虽然持续性审计协议中主要的参与者仅包括审计事务所和被审单位,但是由于审计师需要从被审单位的供应商、客户和金融机构等部门获取相关数据,因此持续性审计协议中应当包括能够被第三方理解的有关持续性审计执行和责任的概括性语言。随着持续性审计在实践中的不断发展和人们对持续性审计认识的逐步深入,审计事务所与被审单位间的审计协议条款也将不断完善。持续性审计协议除了包括传统审计约定条款外,还应包括有关持续性审计相关技术问题的条款。例如审计师取得被审单位相关数据的可获取性和有效性的约定,持续性审计过程中对例外事项的发送、处理和公告的约定等,都应包含在持续性审计协议中。
(5)常青审计报告。当使用者访问持续性审计环境下的网站时,他所获取的审计报告为常青审计报告。所谓常青审计报告是审计报告中的内容会依据用户的访问时间而随时更新。正如上文所述,持续性审计环境为审计活动提供了三个层次的保证,而常青审计报告的功能则是将这三个层次的保证传送给最终用户。由于审计报告呈报环境的不同,持续性审计环境下呈报的常青审计报告在以下三个方面不同于传统审计报告: 1)无论用户何时提出审计报告需求,常青审计报告中的数据都是实时数据; 2)正是由于常青数据报告的实时性,其内容的表达更具有准确性; 3)基于三个层次保证的常青审计报告,其审计鉴证的对象更加广泛和全面。
4 持续性审计的有效实施:审计日志随着数字经济时代的到来,持续性审计作为审计技术革命的必然产物,其相比传统审计在及时性、准确性和全面性等方面的优势已毋庸置疑。然而既使持续性审计具备了以上优点,是否意味着实施持续性审计必然有助于重建投资者信任呢?如果企业的失败是源于信息的缺乏和分析的不足,持续性审计显然有助于问题的解决,然而如果管理者与审计师串通来故意误导投资者,那么持续性审计并不比传统审计更加有效。因此为使持续性审计有效实施,需建立供第三方审计的审计日志。日志分析是指在企业信息系统中对事件进行记录,并在此基础上加以规范、整合、分析及做出适当的追踪、调查及应对措施。审计日志是日志分析在持续性审计领域的运用,它通过在持续性审计程序中建立日志文档,记录直接影响审计的关键决策,并以此作为对审计进行第三方审计的依据[3]。审计日志是持续性审计克服其自动测试程序缺点的内生解决方案,通过提供一种更为有效的第三方监督形式,持续性审计的优越性更为突出。作为一种只读文档,审计日志的特点主要表现在内容全面、组织灵活和运行安全三个方面。由于建立审计日志的目的在于为第三方审计提供审计线索,因此其内容应当包括对重要的自动审计及人工处理的真实记录,例如被审单位提供的详细信息、审计测试的结果、审计执行的程序等。概括而言审计日志应当是以传统的审计工作底稿为主体,以其他审计处理中重要活动记录为补充的全面审计档案。为有效实施第三方监督,审计日志的组织结构安排应有利于监督者在搜寻的同时进行数据的配置和例外报告,即审计日志中的文档应能够实现自动排列和组合。对第三方审计而言,最为重要的是其审计线索不受外界的操纵和破坏,审计日志的只读性 和第三方存储为其安全运行提供了保障。审计日志虽然不能够复制审计活动的全部细节,但它有助于揭示导致公司丑闻和审计失败的关键决策,因此其事后的透明性有利于达到事前威慑的效果。持续性审计中建立审计日志不仅可以使第三方对审计师的工作做出评价,而且有利于其了解被审单位对审计师行为的影响,从而使审计过程更加透明、审计结果更为可靠。#p#分页标题#e#
5 小结
持续性审计在具备了技术支持和制度保障后,其在实践中的具体运用已成为了当前理论界和实务界关注的焦点。本文通过持续性审计概念模型的构建为持续性审计提供了一种可操作的概念框架,由于该模型本身并不能防止审计师与被审单位管理人员间的共谋行为,因此有必要在持续性审计中建立审计日志以保证其有效运行。
参考文献:
[1] STEPHEN FLOWERDAY, ROSSOUW VON SOLMS. Continuous au-diting: verifying information integrity and providing assurances for fi-nancial reports [J]. ComputerFraud Security, 2005, 7: 12-16•
[2] JON WOODROOF, DEWAYNE SEARCY. Continuous auditModeldevelopment and implementation within a debt covenant compliancedomain [ J]. Accounting Information Systems, 2001, 2: 169 -191•
[3] MICHAEL G ALLES, ALEXANDER KOGAN, MIKLOS A. Vasar-hely,i Restoring auditor credibility tertiary monitoring and logging ofcontinuous assurance systems [J]. Accounting Information Systems,2004, 5: 183-202•
