论文部分内容阅读
[摘 要] 面对电子商务的瞬间性、信息报告的及时性以及投资者对实时信息的需求,动态会计和动态财务突破了原先会计周期的制约,对提供会计信息保证服务的审计方法和模式提出挑战。在这种背景下,连续审计(Continuous Auditing,CA)被提上日程,它是能让独立的审计人员,在审计事件发生的同时或者发生后的极短时间内,通过审计报告提供关于审计对象的书面证明的审计方法。而目前,我国对连续审计的定义还是停留在传统审计基础上,主要是指传统审计业务的双方续签合约,并没有涉及或强调“实时”的特征。这显然不适应信息化时代对审计要求,也不利于指导我国审计实践与国际接轨。有鉴于此,本文对连续审计的发展、理论研究和运用现状进行阐述,分析其对我国审计模式发展的启示,以期为推动我国审计信息化理论和实践的发展提供参考。
[关键词] 连续审计;信息化;SOX
[中图分类号]F239.1 [文献标识码]A [文章编号]1673-0194(2007)02-0067-03
近年来,随着计算机技术、网络技术、信息技术和会计信息化的快速发展,审计方法和模式也在与时俱进,计算机辅助审计、联网审计、非现场审计等概念应运而生。然而,面对电子商务的瞬间性、信息报告的及时性以及投资者对实时信息的需求,这些审计方法都显得捉襟见肘。一个早在20世纪60年代就提出构思,但长期未得到完全实现的审计方法重新被提上日程,这就是连续审计(Continuous Auditing,CA)。根据CICA/AICPA的最新定义,连续审计是“一种审计方法,这种方法能让独立的审计人员,在审计事件发生的同时或者发生后的极短时间内,通过审计报告提供关于审计对象的书面证明”,它将成为信息化时代审计发展的最主要趋势之一。
目前,我国对连续审计的定义还是停留在传统审计基础上,例如中国注册会计师审计准则——审计业务约定书(征求意见稿)提到“对于连续审计,注册会计师应当考虑是否需要根据具体情况修改业务约定的条款,以及是否需要提醒客户注意现有的业务约定条款”。显然,这里的连续审计概念是指审计业务双方的续约,并没有涉及或强调“实时”的特征。这显然不适应信息化时代对审计要求,也不利于指导审计实践与国际接轨。有鉴于此,本文对连续审计的发展、理论研究和运用现状进行阐述,分析其对我国审计模式发展的启示,以期为推动我国审计信息化理论和实践的发展提供参考。
一、连续审计的发展历史
早在20世纪60年代,就有运用嵌入式审计模块(EAMs)进行控制检测自动化的尝试,EAMs是一种能够自动搜寻和找到超出预定标准之外的数据并引发报警系统的程序。但在当时,设计和获取准确度较高的EAMs比较困难,这种方法只能在极少数的组织中得到运用,于是,审计工作者们不得不逐渐舍弃了这种方法。直至80年代,计算机辅助审计工具和技术(Computer Assisted Audit Tools and Techniques,CAATTs)在审计工作中得到运用后,开始有大量的研究文献提出具有自动化和实时性特点的“连续审计”概念,并引发审计职业界对具体实施问题的思考。但当时“我们准备好迎接连续审计了吗”?回答是否定的。因为尽管组织对计算机系统依赖性的增加和管理层对内部控制的责任加强等许多因素意味着连续审计的时代即将到来,但由于缺乏合适的软件、技术和专家来克服数据获取难题,尤其是缺乏正式组织的认可和支持,CA在实践中还是难以推广。
进入90年代,随着电子商务的发展和企业信息化建设的加快,越来越多的企业对经济事件的确认、计量、记录和报告已经采取电子方式,数据分析解决方案得到普及,但是审计方法仍采用传统审计(即使是运用CAATTs进行的审计)中的抽样分析,审计开始的时点仍远落后于事件发生的时点,这导致组织风险和内部控制问题日益突出和扩大。在90年代中后期,信息技术迅速发展和普及,尤其是网络应用服务器技术、网络和数据库管理技术的完善,以及RTA(Real Time Accounting)和XBRL的推广,使得传统的事后审计越发显得难以满足人们对会计信息的需求。越来越多的商业和会计界的人士开始重视实时会计系统、电子财务报告和连续审计之间的关系。1998年,CICA和AICPA发布了关于连续审计的研究报告,提出连续审计的最新定义,根据该定义,CA能让审计人员通过数据代理实时监控公司的信息系统,任何和数据代理的设定值存在较大差异的记录将通过电子邮件传递给审计客户和审计人员。这种过程不仅仅用于年度审计,而且更强调实时性,由此,投资者可以随时通过网络获取经过审计的公司信息。报告还重申了连续审计的重要性,讨论了实施框架和涉及的主要审计问题。
进入21世纪,安然和世通财务舞弊案使人们更为切实地认识到连续审计和实时监控的重要性。2002年,美国证监会SEC颁布了SOX法案(Sarbanes-Oxley Act),其中404条款要求审计师对公司管理层的评估过程和内部控制出具书面意见。尽管404条款没有具体提到信息技术的运用和连续审计的概念,但为节约遵从SOX的404条款的成本,越来越多的组织在实务中开始运用连续审计技术。
二、连续审计的过程和条件
连续审计和传统审计都是以会计准则为标准,表达关于客户财务报告的意见。传统审计中,审计人员只是在客户完成财务报告并准备向外公布的时候才进行审计,而且审计中并不是检查所有的信息,只是抽样分析。这种有限的检查在简单的商业系统能起到监督作用,但对复杂的商业系统来说,生产、库存或会计记录等任何环节出错,都将通过连环反映导致整体上的较大错误,往往不易被发现,此时传统审计方法就难以达到较高的可信度了。而且传统审计中不可避免地存在过度审计、等待时滞、时间落后、程序低效、复核、难以避免错误和失误等不足之处。
信息技术的进步已经使得在网上提供财务报告成为可能,作为全球财务报告信息提供框架的XBRL也已经被开发和投入使用。为了让网上的实时财务信息有价值,就需要实时审计的跟进,以保证信息使用者能及时获取决策所需要的信息。而连续审计具有的及时性和全面性优势,满足了这种要求。最近XARL(eXtensible Assurance Reporting Language)作为XBRL的衍生格式也在开发和完善中,网络信息的安全得到一定的保证。由于连续审计的实用性和技术支持的提高,连续审计系统已经取得了一定的成效。IIA的一项调查显示,47%的人认为在SOX后内部审计具有连续审计的职责,23%的企业已经建立了连续审计或监控机制。
具体说来,连续审计的平台如图1所示。
连续审计的实施过程首先是审计人员运用数字代理通过网络连续实时审计公司的信息系统。任何与数字代理不相符的记录都可以通过电子邮件传送到客户和审计人员那里,审计人员也就可以决定采取相应的措施。例如,执行账户分析程序的数字代理将那些波动超过设置参数的账户报告给审计师。而且,一旦发现这种超过边界参数的现象,数字代理将进一步调查相关的交易层次来确认问题并报告给审计人员,它还会和消费者确认销售,并将确认结果邮寄给审计师。所有这些程序将自动完成,不仅可以克服传统审计的种种缺陷,而且可以用于年度、季度或月度审计,最主要的是能完成实时审计。实施连续审计的条件主要有5个:一是为保证被审计单位的信息能够得到及时更换,各个子系统的数据能整合到总信息系统中;二是确保整个连续审计程序是高度自动化的,需要有文件询问、数据提取和分析功能,而且审计软件还要和被审计单位的系统兼容,可以利用EAMs进行审计程序;三是审计系统和实体的信息系统的实时、准确和安全的连接;四是审计报告能够被使用者理解而且快速获取;五是审计人员熟练掌握信息技术审计。
三、连续审计的实施和研究现状
一般认为,SOX法案是推动连续审计实施的重要因素之一。在美国,一项国际财务主管的调查(2005年3月)发现,一个组织遵守SOX法案的平均成本大约是400万美元。这其中大部分的成本是由手工和人力密集的程序引起的,而AMR2005年1月的调查也表明,运用关键技术能够将成本降低约25%。尽管SOX是推动连续审计的一个主要因素,但调查也发现,有很大一部分企业运用CA是为了提高工作的效率,增加收益。EM
[关键词] 连续审计;信息化;SOX
[中图分类号]F239.1 [文献标识码]A [文章编号]1673-0194(2007)02-0067-03
近年来,随着计算机技术、网络技术、信息技术和会计信息化的快速发展,审计方法和模式也在与时俱进,计算机辅助审计、联网审计、非现场审计等概念应运而生。然而,面对电子商务的瞬间性、信息报告的及时性以及投资者对实时信息的需求,这些审计方法都显得捉襟见肘。一个早在20世纪60年代就提出构思,但长期未得到完全实现的审计方法重新被提上日程,这就是连续审计(Continuous Auditing,CA)。根据CICA/AICPA的最新定义,连续审计是“一种审计方法,这种方法能让独立的审计人员,在审计事件发生的同时或者发生后的极短时间内,通过审计报告提供关于审计对象的书面证明”,它将成为信息化时代审计发展的最主要趋势之一。
目前,我国对连续审计的定义还是停留在传统审计基础上,例如中国注册会计师审计准则——审计业务约定书(征求意见稿)提到“对于连续审计,注册会计师应当考虑是否需要根据具体情况修改业务约定的条款,以及是否需要提醒客户注意现有的业务约定条款”。显然,这里的连续审计概念是指审计业务双方的续约,并没有涉及或强调“实时”的特征。这显然不适应信息化时代对审计要求,也不利于指导审计实践与国际接轨。有鉴于此,本文对连续审计的发展、理论研究和运用现状进行阐述,分析其对我国审计模式发展的启示,以期为推动我国审计信息化理论和实践的发展提供参考。
一、连续审计的发展历史
早在20世纪60年代,就有运用嵌入式审计模块(EAMs)进行控制检测自动化的尝试,EAMs是一种能够自动搜寻和找到超出预定标准之外的数据并引发报警系统的程序。但在当时,设计和获取准确度较高的EAMs比较困难,这种方法只能在极少数的组织中得到运用,于是,审计工作者们不得不逐渐舍弃了这种方法。直至80年代,计算机辅助审计工具和技术(Computer Assisted Audit Tools and Techniques,CAATTs)在审计工作中得到运用后,开始有大量的研究文献提出具有自动化和实时性特点的“连续审计”概念,并引发审计职业界对具体实施问题的思考。但当时“我们准备好迎接连续审计了吗”?回答是否定的。因为尽管组织对计算机系统依赖性的增加和管理层对内部控制的责任加强等许多因素意味着连续审计的时代即将到来,但由于缺乏合适的软件、技术和专家来克服数据获取难题,尤其是缺乏正式组织的认可和支持,CA在实践中还是难以推广。
进入90年代,随着电子商务的发展和企业信息化建设的加快,越来越多的企业对经济事件的确认、计量、记录和报告已经采取电子方式,数据分析解决方案得到普及,但是审计方法仍采用传统审计(即使是运用CAATTs进行的审计)中的抽样分析,审计开始的时点仍远落后于事件发生的时点,这导致组织风险和内部控制问题日益突出和扩大。在90年代中后期,信息技术迅速发展和普及,尤其是网络应用服务器技术、网络和数据库管理技术的完善,以及RTA(Real Time Accounting)和XBRL的推广,使得传统的事后审计越发显得难以满足人们对会计信息的需求。越来越多的商业和会计界的人士开始重视实时会计系统、电子财务报告和连续审计之间的关系。1998年,CICA和AICPA发布了关于连续审计的研究报告,提出连续审计的最新定义,根据该定义,CA能让审计人员通过数据代理实时监控公司的信息系统,任何和数据代理的设定值存在较大差异的记录将通过电子邮件传递给审计客户和审计人员。这种过程不仅仅用于年度审计,而且更强调实时性,由此,投资者可以随时通过网络获取经过审计的公司信息。报告还重申了连续审计的重要性,讨论了实施框架和涉及的主要审计问题。
进入21世纪,安然和世通财务舞弊案使人们更为切实地认识到连续审计和实时监控的重要性。2002年,美国证监会SEC颁布了SOX法案(Sarbanes-Oxley Act),其中404条款要求审计师对公司管理层的评估过程和内部控制出具书面意见。尽管404条款没有具体提到信息技术的运用和连续审计的概念,但为节约遵从SOX的404条款的成本,越来越多的组织在实务中开始运用连续审计技术。
二、连续审计的过程和条件
连续审计和传统审计都是以会计准则为标准,表达关于客户财务报告的意见。传统审计中,审计人员只是在客户完成财务报告并准备向外公布的时候才进行审计,而且审计中并不是检查所有的信息,只是抽样分析。这种有限的检查在简单的商业系统能起到监督作用,但对复杂的商业系统来说,生产、库存或会计记录等任何环节出错,都将通过连环反映导致整体上的较大错误,往往不易被发现,此时传统审计方法就难以达到较高的可信度了。而且传统审计中不可避免地存在过度审计、等待时滞、时间落后、程序低效、复核、难以避免错误和失误等不足之处。
信息技术的进步已经使得在网上提供财务报告成为可能,作为全球财务报告信息提供框架的XBRL也已经被开发和投入使用。为了让网上的实时财务信息有价值,就需要实时审计的跟进,以保证信息使用者能及时获取决策所需要的信息。而连续审计具有的及时性和全面性优势,满足了这种要求。最近XARL(eXtensible Assurance Reporting Language)作为XBRL的衍生格式也在开发和完善中,网络信息的安全得到一定的保证。由于连续审计的实用性和技术支持的提高,连续审计系统已经取得了一定的成效。IIA的一项调查显示,47%的人认为在SOX后内部审计具有连续审计的职责,23%的企业已经建立了连续审计或监控机制。
具体说来,连续审计的平台如图1所示。
连续审计的实施过程首先是审计人员运用数字代理通过网络连续实时审计公司的信息系统。任何与数字代理不相符的记录都可以通过电子邮件传送到客户和审计人员那里,审计人员也就可以决定采取相应的措施。例如,执行账户分析程序的数字代理将那些波动超过设置参数的账户报告给审计师。而且,一旦发现这种超过边界参数的现象,数字代理将进一步调查相关的交易层次来确认问题并报告给审计人员,它还会和消费者确认销售,并将确认结果邮寄给审计师。所有这些程序将自动完成,不仅可以克服传统审计的种种缺陷,而且可以用于年度、季度或月度审计,最主要的是能完成实时审计。实施连续审计的条件主要有5个:一是为保证被审计单位的信息能够得到及时更换,各个子系统的数据能整合到总信息系统中;二是确保整个连续审计程序是高度自动化的,需要有文件询问、数据提取和分析功能,而且审计软件还要和被审计单位的系统兼容,可以利用EAMs进行审计程序;三是审计系统和实体的信息系统的实时、准确和安全的连接;四是审计报告能够被使用者理解而且快速获取;五是审计人员熟练掌握信息技术审计。
三、连续审计的实施和研究现状
一般认为,SOX法案是推动连续审计实施的重要因素之一。在美国,一项国际财务主管的调查(2005年3月)发现,一个组织遵守SOX法案的平均成本大约是400万美元。这其中大部分的成本是由手工和人力密集的程序引起的,而AMR2005年1月的调查也表明,运用关键技术能够将成本降低约25%。尽管SOX是推动连续审计的一个主要因素,但调查也发现,有很大一部分企业运用CA是为了提高工作的效率,增加收益。EM