金治中

【摘 要】 文章从成本最小化视角讨论了连续审计数据库的成本问题，使用计数策略和定期策略分析方法探讨了连续审计的成本分析模型，构建了一种连续审计数据库的成本分析性方法，并对连续审计成本模型进行了简要的数值检验。研究发现，相比定期策略而言，计数策略是更加有效的。值得注意的是，尽管审计长期平均成本是一个很重要的考虑因素，但是还有其他一些因素例如错误的容忍性和对财务报告的影响也不能忽视。

【关键词】 连续审计； 成本； 计数策略； 定期策略

【中图分类号】 F239.1 【文献标识码】 A 【文章编号】 1004-5937（2018）14-0107-04

信息质量对审计师的重要性不言而喻，在给一个客户的财务报告做出审计报告之前，审计师必须确保通过客户的管理信息系统产生的信息是可靠的[ 1 ]。这要求审计师对客户的信息生产系统的控制充分性进行评估，并且对其进行测试，看是否存在错误和不一致性。常规审计中，审计师仅在一个客户的报告时期已经结束和审计财务报告开始时执行这样一种评估和测试[ 2 ]。一年一次或者通过有限的检查是不可能使审计师对系统的可靠性做出准确判断的。要保证这些系统有效，就需要更频繁的检查和更多的监控，并且必须在一个连续的基础上进行，这要求审计师通过嵌入监控工具收集关于一个客户的系统信息和定期评估系统的可靠性[ 3 ]。

过去一些研究探讨了连续审计的技术可行性，然而这些研究还没有回答的一个重要问题是连续审计的经济可行性，即连续审计的成本问题。尽管连续审计的支持者（如Elliott committee，2007）认为对这种审计将会有很大的需求，但企业和审计师并没有快速普及连续审计客户的数据库系统。正如Alles et al.（2008）所认为的，对连续审计较低采纳的理由是实施的成本较高。对连续审计实施的成本探讨有助于企业和审计师在实践中更有效地采纳连续审计，为正确指引连续审计实践活动做出贡献。

一、连续审计监控策略

（一）数据库完整性约束

在一个数据库中，完整性约束被作为主要的发现错误的工具。完整性约束的各种规则整合在数据库管理系统的各种程序里[ 4 ]。完整性约束要求在一项事件输入系统进行处理时检验它们是否满足预设条件，并且在每一个事件处理之后，能够鉴证结果是否满足预订的目标（Davis and Weber，1986）。完整性约束可以通过很多方法得到触发，第一是在事件发生时，按照自动化和作为连续完整性工具来监控数据和事件，第二是作为间歇性工具得到触发，第三是通过数据库管理系统或者通过某个特定人员（例如审计师）来证实控制和数据输入及处理的完整性。

在所有的期间都通过完整性约束来监控一个数据库通常被认为是最安全的方法。它要求在一项事件接受处理时，所有的完整性约束都要得到满足，因此这种方法能够监控百分之百的事件处理，同时也能及时发现错误。然而，对处理成千上万种事件的大型数据库而言，连续执行完整性约束将会耗费过多的计算机系统资源，代价高昂。并且如果完整性约束没有得到满足，事件将不会被及时处理，这会在其他事件不断进入数据库系统等待处理时导致重要的耽搁延迟问题[ 5 ]。另外，在事件处理存在耽搁延迟现象时，也会因为一些数据可能丢失或者过期而产生额外的错误（Wang et al.，1995）。这也是为什么连续审计监控很少得到使用的原因。对所有事件进行连续审计监控的一个替代方案是间歇性监控，即仅在一定的间隔期以后才对到达和已经进入数据库管理系统的事件施加完整性约束，例如每隔n次事件，或者在一定数量的时间（x）已经过去以后，完整性约束才得到触发。这种强制执行完整性约束方式相比连续监控而言，其发生的频率会降低，能克服一些由于不间断的连续监控而引发的流程耽搁和系统停止问题。但是，因为间断使用的完整性约束监控少于百分之百的全面监控，在两个监控期之间引入的错误将有可能无法及时发现。

这里没有两全其美的方法实施完整性约束监控，无论使用哪一种方法，都有一个成本效率的权衡问题。2001年审计专家阿尔曼曾提出了两种监控策略，即计数策略和定期监控策略。在他的研究中，讨论了三种监控策略，即计数策略、定期策略和混合策略，混合策略包含了计数策略和定期策略的特征。这里仅选择检验前面两个主要的策略，因为第三种策略混合策略要求完整性约束在每一个事件之后部分予以执行。阿尔曼也指出，频繁执行混合型策略需要的完整性约束在没有改善监控质量的情况下将增加平均的错误率。因此，可以认为阿尔曼提出的混合策略与真实世界的审计实际情况存在较大差异，这里不予以讨论。

阿尔曼（2001）仅仅关注在不同的监控策略里如何使错误最小化，但没有分析这种监控的成本。通过在两个战略下引入监控成本，可以扩展阿尔曼的分析技术。这里没有使用阿尔曼最初讨论的定期策略形式，他要求在一个固定长度的时间过去以后实施定期的监控。为更符合实际，有必要使用一个变化的时间长度，因为相比固定的监控周期，变化的时间更能代表真实世界的监控情形。而且变化的时间长度考虑了在时期P能够到达的事件数量和审计期间被处理事件的数量。尽管阿尔曼使用了标准的排队模型，但使用马尔科夫的再生理论（排队模型也使用了再生循环，再生理论的一个变种）更加适合代表线性流程（例如，事件进入一个数据库）。同时需要放松阿尔曼研究中所使用的许多严格的假设，从而使研究更加代表真实世界的监控情况，较少的严格假设也使研究结果更加稳健。

（二）连续审计监控的計数策略和定期策略

1.计数策略

为了发现错误和完整性是否被侵犯，这种方法要求在每隔n次事件以后，数据库就需要进行审计监控。一项事件包括输入、删除，或者一个和更多的在数据库中的记录更改。计数策略的关键问题是如何选择n。在这些数量的事件完成以后，数据库必须被审计监控以确认是否完整性受到了侵犯。如果n太大，有些完整性侵犯将不会被发现；如果n太小，监控成本将会增加。由于只要预定数量的事件n还没有（完全）进入到这个系统，数据库的完整性检验就不会得到触发，因此计数策略的一个不利方面是部分错误可能无法及时发现。

2.定期策略

這种方法要求在一定数量的时间经过以后，数据库就需要进行审计监控。定期策略的一个关键要求是选择适当的最优间隔期进行审计监控。如果两次审计监控之间的间隔时间很长，在间隔时期引入到数据库的错误将会无法及时发现和纠正。在间隔时期里产生的数据、信息和报告包含错误并将导致不正确的决策，如果检查之间的间隔太短，就会增加审计监控的成本。

计数和定期监控策略需要一定程度的错误容忍并在数据准确性和数据及时性之间进行适当权衡。如果数据准确性主导着审计监控策略的选择，及时性将会做出牺牲，导致数据容易过期；如果及时性主导着审计监控策略的选择，数据准确性将会做出牺牲，导致在数据库中更大的错误。研究需要考虑这些因素，以便合理处理监控成本问题。

二、连续审计的成本问题分析

审计师最主要的一项任务是在一个审计流程中证实审计数据的质量。数据质量的主要计量是数据库中的错误数。当数据库为避免错误而被监控，错误就有可能降低。阿尔曼研究了一种分析技术来观察在不同监控策略下的错误率。阿尔曼研究的分析流程给予了几个方面的假定：（1）所有的错误同等重要；（2）每一个错误独立产生，并与其他错误无关，同时会以一种随机的方式到达；（3）每一个错误要求T单位的确定时间来监控、发现和纠正。尽管这些简化的假定产生了比较合理的结果，但它们不能代表一个真实的审计环境，因为所有的错误不是同等重要的，并且一些错误相比其他的错误将会更加严重。例如：相比职员工资支付比率的错误，关于内部备忘录的时间错误就不太严重；错误不会在固定的间隔时间产生，它们很有可能在一项事件流程中任何一个时间段里产生，错误没有花费相同数量的时间来监控、发现或者纠正；一些错误可能要求较短的清理时间，其他的可能需要更长的时间。因此，基于阿尔曼的工作，可以做出如下假定：（1）事件到达一个数据库的概率服从泊松分布，每单位时间有r次事件到达。（2）每一个事件要求T单位时间来处理和证实，T单位时间长度依赖事件的类型，因此对不同的事件而言，它是不断变化的。（3）相继事件处理的时间，T1，T2，T3，…，Tn是独立的随机变量，并服从概率密度函数f。（4）在审计期间每次检查和证实一个事件。

这里使用马尔科夫更新理论作为建立连续审计成本分析模型的基础。在更新理论中一个基本的结论是每单位时间的平均成本可以使用如下关系表达：LCT=RC/ECT，这里LCT意味着每单位时间的长期平均审计成本，ECT是期望的周期时间，RC表示在一个更新循环中发生的期望成本。

（一）计数策略的连续审计成本分析

1.计数策略分析模型

计数策略下，为发现错误，在一个固定数量的事件产生以后事件监控开始触发。用n代表事件的数量，这些事件发生后，监控必须开始启动。监控持续进行直到所有的事件得到鉴证，包括在监控时期按照线程到达的所有事件。在两个相邻的审计期间经过的时间被称为一个审计周期时间，用C表示。周期时间C能够被分成C1和C2。C1表示审计n次事件和在审计时期按照线程到达的事件的时间；C2表示审计完成到下一次审计开始之前所经过的时间，这段期间没有审计发生。

通过具体的数字计算可知，在定期审计策略下，一项新的审计应该开始于7单位时间已经经过时，在这段时期内，从以前的审计结论到所有的审计事件已经到达，并且所有的事件发生在这个时期将花费的每单位时间的长期平均审计成本是12.55。

【主要参考文献】

[1] ALLES G， KOGAN A， VASARHELYI MA. Putting continuous auditing theory into practice： lessons from two pilot implementations[J]. J Inf Syst，2008，22（2）：195-214.

[2] GROOMER S M，MURTHY U S.Continuous auditing of database applications： an embedded audit module approach[J]. Journal of Information Systems，1989，3（2）：53-69.

[3] HUNTON J E，ROSE J M.21st century auditing： advancing decision support systems to achieve continuous auditing[J]. Accounting Horizons，2010，24（2）：297-312.

[4] KIM H， MANNINO M， NIESCHWIETZ R. Information technology acceptance in the internal audit profession： impact of technology features and complexity[J]. Int J Account Inf Syst，2009，10（2）：14-28.

[5] KOGAN A，VASARHELYI MA， WU J. Continuous data level auditing using continuity equations[R].Working paper，Rutgers Business School，2010，42（7）：436-452.