马上注册,结交更多财务经理人,享用更多功能,成就财务总监之路……
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
续:根据普华永道会计师事务所发布的《2006内部审计状况职业研究》,被调查的美国公司中有半数的公司目前正在使用“连续审计”(continuous auditing)技术。这种技术的典型特征是利用技术优势来缩短内部审计周期、改善风险和控制安全系数。本文中提到的研究证明了这一点:实施连续审计工具和做法的企业在提高效率、财务信息准确度和风险控制程度方面都取得了突破。 企业面对连续审计的长时间犹豫终于要结束了。软件供应商、学者、咨询顾问和一些较早采取了连续审计的企业感到不能理解:为什么企业用了这么长的时间,才最终决定采用?这种耽误可不能说是成本高的原因。一个连续审计应用软件所需的投资仅为20至30万美元,但可以在大量的应收账款、差旅费和总账处理中找出差错,因此而节省的费用在一年内就可以弥补成本。这节省的成本还仅仅算的是找出来的那些差错的账面价值。而且,现在有更加细分的CA应用软件可供下载,价格也已降到了五位数。
效益
不管企业犹豫的理由是什么,对实时财务报告的需要已经促使他们实施连续审计。然而,还有更重要的因素推动连续审计的不断升温。“你如何使价值最大化,如何管理并降低风险?我个人认为,连续监控与连续审计对这两方面都有帮助。”美国会计总署总审计师兼罗格斯大学(Rutgers)连续审计中心(CCA)主席沃克(David M. Walker)阐述了这样的观点, “我认为,企业既需要由管理层实施连续监控,也需要由外部审计员或者内部审计员,或者两种人员共同实施连续审计,进行检验与稽核。这个方法将变得越来越重要。”
企业的财务高管和内部审计人员也同意这样的观点。西门子公司的IT审计总监布伦南(Rod Brennan)的博士论文对连续审计做了研究。布伦南有MBA学位,在财务主管和财务IT经理的位子上都工作过。他说,研究表明考虑到连续审计节约的成本、提高的效率和在风险防范方面取得的效益,实施连续审计几乎是不需要斟酌的。
“我想,有效防范欺诈的惟一办法就是全面使用自动化。”他说。但连续审计的最大价值在于能够支持实时财务状况报告,布伦南补充说。“这可能是采用连续审计而不是其他手段的最大原因。”
涵义
连续审计25年前孕育于贝尔实验室(Bell Labs),经过今天罗格斯大学的连续审计中心以及连续稽核与报告实验室(Continuous Assurance and Reporting Laboratory)的研究取得了不断发展。
在技术手段的帮助下,连续审计通过两种方式将内部审计部门人工操作的审计工作自动化。第一种方式是借助应用软件在成千上万的账单、采购、开支和总账交易中,找出与要求不符的地方,帮助公司全面地了解交易过程,而且比依赖人工审计更可靠。另一种方式是对财务信息系统的相关控制措施进行连续的监控。其主要目标是确保在企业的需求和法规的要求有所改变时,ERP和其他会计应用系统的所有相关功能可以正常运行。
连续审计的不同种类和相应的不同名称让准备采用的企业困惑不已。罗格斯大学商学院会计学教授兼连续审计中心主任小沃伦(J. Donald Warren Jr.)指出:“‘连续审计’*6*2、 ‘连续稽核’和‘连续监控’这三个术语常常被交换使用,在定义上还没有统一的看法。”
这些名称到目前为止也还没有统一的标准。不过一些相关的解释已经形成。国际内部审计协会(IIA)已经认同并宣传连续审计的重要性。IIA2005年发表过两篇关于连续审计的论文:一篇极为详细的长篇巨论《连续审计:内部审计人员操作模式》,另一篇是《连续审计:稽核、监控、风险评估的应用》,亦名《全球审计技术指引》(GTAG)。后一篇文章为连续审计的新手提供了简明易懂的介绍。GTAG在独立性与实施主体两方面区分连续审计的不同定义:连续审计由内部审计人员实施,而连续监控由管理层实施。
布伦南在他撰写的论文中将连续审计方法分为检查活动与预防活动。检查活动主要通过技术手段对发生的大量交易进行监控,而预防活动则重点确保ERP系统内部及外部的其他财务和会计应用系统是否有实施恰当的控制措施。 方法
控制监控并不是万无一失,所以一些业内人士认为企业不能只采用这种内部审计方式。ERP系统的控制机制可以建立,也可以正常实施,但是,使用ERP的人往往会绕过这些控制机制,有些是为了更方便,有的却有着不可告人的目的。“所以,真相在交易之中。”总部在加拿大的ACL服务有限公司(ACL Services Ltd)负责专业服务的副总裁维佛(John Verver)如是说。
发现真相也需要方法。首先,企业本身必须建立连续审计流程与技术,并掌握其所有权。然后再解决内部审计的一些调整与技术问题。较早实施内部审计的企业、软件供应商和专家对公司应该掌握控制权有一致意见。
“内部审计员的工作不是去盯住每一笔交易,也不是盯住每一件异常的事件。”维佛说, “如果他们每天所做的事情就是这些,他们会被琐事所淹没。”相反,管理层可以用连续审计的工具和流程来衡量交易流程的有效性。当交易和相关的监控出现问题时,他们也可以随时发现并做出处理。“而审计的作用是在这个流程中加入透明度,并审视在整个时间段出现的控制问题是什么性质。”
布伦南同意这种看法。“我们能够感觉到,并已经通过研究证实的一个情况是,企业必须具备这些审计工具,并提供给审计人员使用。”他解释说。在西门子,“我们认为,公司投资于一个内部审计系统产品,我们参与进来,利用系统进行独立审计。我们可以使用一个安全密码使用公司的数据,这样可以保证数据前后一致。”
布伦南还提到,将来外部审计人员也可以使用同样的数据来进行分析。尽管外部审计人员对连续审计计划的参与程度还不明朗,但他们的参与对于公司采用连续审计应该不是一个障碍。
出于独立性原则的考虑,外部审计人员可能不会帮助他们的审计客户开发连续审计系统,但不会妨碍他们利用系统所产生的数据。只是,他们对这些数据的依赖程度尚未可知。不过,会计公司和软件供应商目前正在设计工具帮助外部审计人员进入财务系统,增加审计工作的深度与广度。
内部审计人员同样面临挑战。正如布伦南指出,他们必须学习新的工具,也必须改变旧的工作方式。“你会发现审计人员比以前更具备利用技术的能力。”小沃伦说。这种改变已经开始发生了,像西门子之类的大公司已经在内部审计部门中开发了IT审计系统。
连续审计应用软件,如ACL服务公司和Approva为西门子公司提供的应用工具,都很容易使用。不过布伦南和他在西门子的同事发现,连续审计使内部审计人员重新思考应该如何开展审计工作。在简单化的方式下,内部审计就意味着少出差,多对着电脑屏幕分析出现异常情况的交易以及分析其他数据。
“作为审计人员,我们最大的敌人可能是自己。连续审计在工作的稳定性、所要求的技能以及技术性的工作等方面都让我们感到害怕。”布伦南说,“这些担心虽然可以理解,但在当今没有太多意义。我认为连续审计不可能完全自动化。完全依靠自动化,你无法了解问题的真相,或者发现问题。你必须走出去,向相关人员了解他们的工作情况和职责。不过可以肯定的是自动化有助于审计人员抽出时间处理这些对工作有重要影响的关系。”
企业实施连续审计时可能遇到的最后一个障碍是现有的技术环境。“真正实现审计和控制自动化需要一个整合的ERP系统。”布伦南指出, “而很少企业拥有真正经过整合的ERP系统。” 案例
西门子公司三年前开始实施连续审计。公司实施了交易事后检查,并对ERP系统的控制过程实施了防范性检查。防范性措施表明,公司需要修改内部连续审计计划。西门子公司没有把整个内部人工审计计划自动化,而是全面检查ERP审计流程,并尽可能提高自动化程度。公司选出一些耗时长、成本高、参考价值不在的审计活动,将其自动化,比如与流程的控制人员访谈,询问是否已经实施必要的控制措施等等。
防范性的检查措施还表明,一些针对控制采取的连续审计产生的异常提示报告需要有人工监控。“自动提示报告非常重要,也很有用。 ”布伦南说*6*2, “不过,如果我通过一个连续审计系统每天或每小时观察SAP的ERP系统的防范控制,当某个人对系统的控制已经改变时,系统工具就会每天或每小时向那个人发送电子提示邮件。因此,这种工具必须得到有效的管理。”
事后检查措施也开始出成果。西门子使用了电子软件检查采购付款循环交易和差旅费管理。“我们使用的时间大概才一年,但已经节省了可观的成本。”布伦南说。
西门子公司还和罗格斯大学的连续审计专家一起,对系统产生的异常报告进行统计、分析,并研究其模型与特征,发现很多异常报告都属于误报。不过,如果进行恰当的分解与组合,这些数据可以提醒内部审计人员哪些部门或者流程可能存在问题,而缺乏这些数据,发现这些问题可能就需要更长的时间。
西门子公司连续审计的深度可能使一些规模较小的公司的财务管理人员感到紧张,因为他们可没有450名内部审计人员可供使用。幸运的是,开展连续审计并不是一门高深学问。
建议
“开展小规模连续审计的办法有很多。”独立内部审计和风险咨询公司Protiviti Inc内部审计服务部总监赫斯(Robert Hirth)说, “即使规模小,你也可以取得很大的效果。”
赫斯建议可以按以下步骤开展连续审计:
考虑需要防范的风险。首先,确定公司、交易和控制系统的哪些方面对于公司来说是至关重要并需要不断进行监控的。
利用现有资源。接着,了解公司现有的自动化实施能力。“许多公司可以在ERP系统中安装自动化功能,充分利用ERP的资源。”赫斯说, “这是公司现成的东西,为什么不用呢?使用这些功能可以减少核对的工作,提供数据的可信度。
开始实施。“尝试一些简单的作法。”赫斯建议采取一些实验性的措施开始连续审计。比如,下载应付账款供应商管理档案,与员工的住址档案相比。“如果没有地址是一致的,感谢上天。”赫斯说,“不过,如果有三个供应商的地址刚好和三个员工的家庭住址一样,怎么办呢?”你还可以检查加班情况,把工资档案按照加班时间由长至短分类检查。赫斯高度评价ACL服务公司提供的数据检查工具。这些工具针对性极强,成本却比整个连续审计应用系统低得多,赫斯说。
仅仅是一年前,只有小部分专家学者和供应商以及偶然实施连续审计的企业在高举“连续审计时代即将到来”的口号。今天,更多的内部审计人员和企业财务管理人员加入到这个行列中来,因为他们已经明白,实施连续审计是一个明智之举。企业何乐而不为呢?
原文经许可摘自Eric Krell发表在Business Finance杂志2006年3月号上的Continuous Auditing Is Here To Stay一文。Penton Media公司2006年登记版权。陈舜英译。
[此贴子已经被作者于2007-5-17 14:10:44编辑过] |