基于持续性审计的内部审计模式变革研究
2021-10-30吴勇周楠王尚纯朱卫东
吴勇 周楠 王尚纯 朱卫东
[摘要]本文在系统明晰持续性审计的内涵、核心特征及其动态演进的基础上,基于管理的视角剖析了内部审计的管理职能,全面关注持续性审计与内部审计功能、组织情境以及绩效结果之间的系统性联系,构建了融入持续性审计的内部审计系统框架,以便高效地将持续性审计集成、嵌入到企业内部审计系统中,更好地推动企业内部审计部门开展持续性的风险评估和风险管控,增强监督成效。
[关键词]持续性审计 内部审计 三線模型
一、引言
新一代信息技术的快速发展及经济全球化趋势的快速推进,激发了对核查经济交易以及其他决策相关数据真实性、完整性的需求,持续性审计(Continuous Auditing,CA)作为一种基于信息技术的综合性解决方案,能够在近乎实时背景下核查相关信息,提供实时运营保障,助力事前的风险预防、事中的风险控制和事后的风险应对,在流程重复且容易发生风险的应用场景中最具价值,日益受到理论和实务界的关注。企业内部审计(Internal Audit,IA)部门是持续性审计的主要用户和支持者,现有研究从合规的视角探讨了内部审计的职能,重点关注如何利用技术协助内部控制,确保政策、标准和法规的合规性(Bumgarner & Vasarhelyi,2015)。与组织其他管理职能一样,内部审计具有特定的目标任务和组织模式,并对员工行为产生重要影响。因此,从管理的视角出发,立足于持续性审计的内涵与特征,面向内部审计的管理职能,探索构建基于持续性审计的内部审计新模式及其整合性分析框架是一项重要的研究课题。
构建基于持续性审计的内部审计系统,将会引发现有内部审计模式的系统性变革,学术界和实务界对此也进行了多维度的探讨。首先,面向持续性审计系统,内部审计人员能够在近乎实时的时间内报告一个主题事项。与传统的年度审计流程相比,内部审计人员能够在异常情况发生时主动发现和调查,而不像传统审计流程存在很长的时滞效应,错过了风险或危机的最佳处置时间(Chan & Vasarhelyi,2011)。其次,持续性审计系统中的持续性控制评估能够近乎实时地发现组织内部控制的缺陷和薄弱环节,并及时将其纳入年度审计计划和审计实施工作中,使得管理层能够第一时间采取积极的补救措施(Chiu & Vasarhelyi,2014)。此外,持续性审计系统通过应用数据分析技术,提高了审计程序的自动化水平,极大地提升了对于重复性审计任务的审计效率。再次,持续性审计系统通常覆盖组织所有的部门、岗位和交易,审计人员通过自动化流程独立获取审计证据,不再依赖于组织人员所提供的数据和资料,从而最大限度地减少了数据操纵的机会,审计证据的范围、质量和有效性均得到有效提高。
尽管持续性审计在内部审计的应用可以产生多重价值,但持续性审计在企业内审业务中仍未得到充分利用,而仅被视为内部审计职能的一个应用拓展领域,可能的原因在于缺乏指导具体应用实施的理论性框架。为推动持续性审计在内部审计领域的应用,本研究立足于持续性审计的内涵及其核心特征,致力于构建融入持续性审计的内部审计系统框架,重点探究如何将连续审计成功地集成、嵌入于企业内部审计系统中,以更好地推动企业内部审计部门开展持续性的风险评估和风险管控,增强监督的成效。
二、持续性审计的概念、分类与特征
(一)持续性审计的概念
根据美国注册会计师协会(AICPA)的定义:“持续性审计是在可容许的很短的时间范围内,提供实时、准确审计报告的模式,以期持续、快速、精确地反映出被审计单位所发生的情况。”国际内部审计师协会(IIA)认为持续性审计是审计人员使用任何方法持续不断地执行审计相关的作业活动,其活动范围包含了持续风险评估和持续控制评估两大类型,其中持续风险评估侧重于感知、评估和预警风险程度,持续控制评估则旨在关注内部控制的有效性问题。IIA在其全球科技审计指南第三号定义“持续监督”为管理当局合理确保其政策、程序和业务流程有效运行的过程,管理当局在确定重要关键控制点后,能够通过自动化测试来确定这些控制执行是否正常。持续监督通常会涉及在既定的业务流程范围内,按照一组控制规则,对所有交易和系统活动进行自动化测试(Marc E & Artur K,2017)。综合各方观点,笔者认为持续性审计是指审计人员将现代信息技术集成应用于组织运营管理全流程而提供的一种实时审计,能够在近乎实时或短时间内为相关事项提供书面保证,生成审计报告。有关持续性审计的定义如表1所示。
(二)持续性审计的分类
持续性审计通过确定的流程、技术和方法,对风险和控制的持续评估以及对系统可靠性进行实时监测。Bumgarner和Vasarhelyi(2015)将现代持续审计划分为四类,即持续性数据审计、持续性控制评价、持续性风险监测和持续性合规监测,如图1所示。这些子类别适用于企业内部审计职能部门的持续性审计活动,即三道防线模型中的第三道防线。
1.持续性数据审计。早期的持续性审计仅限于对交易的持续分析以及异常报告机制,具体包括提取超过授权限额的交易,并将账户余额与以往期间进行比较。Bumgarner和Vasarhelyi(2015)将最初的持续性审计归类为持续性数据审计。
2.持续性控制评价。随着持续性审计的推进,持续性数据审计的范围逐步扩大到保证控制的充分性和有效性(Alles & Vasarhelyi,2012)。内部审计部门典型的持续性控制评价是根据基线标准评价配置控制(如IT配置、应用控制和职责分离控制),识别任何后续的变化,以便进一步评估控制的有效性。持续性控制评价还可以扩展到对安全和事件日志以及非结构化数据的分析。值得注意的是,内部审计部门(第三道防线)部署的持续控制评价不应与业务部门(第一道防线)和风险管理部门(第二道防线)实施的持续监测举措相混淆。
3.持续性风险监测。Vasarhelyi和Alles(2004)建议将持续性风险监测纳入持续性审计的定义中。内部审计部门监测选定的关键指标,以发现风险的重大变化。风险指标的任何变化都会被考虑纳入审计计划,或者告知管理层。例如,IT安全事件的增加可能是系统泄密的一个表征指标。此类持续性审计可以为确定企业年度审计计划的重点领域提供重要支持,也可以及时辨识企业新出现或变化的风险。
4.持续性合规监测。企业外部政策法治环境的不断变化以及国际化、全球化的经营,极大地提高了企业对法律法规合规性的要求,Bumgarner和Vasarhelyi(2015)将持续性合规监测作为第四类持续性审计,这也是企业内部审计部门的重要职责。
(三) 持续性审计的特征
1.审计过程的连续性。持续性审计强调将审计工作完全融入组织生产经营全过程。持续性审计模式下,审计进程、风险评估、控制评估、审计报告等都是持续进行的,持续性开展审计计划、评估和报告。实时、持续、循环式的审计流程可以有效预防和控制风险,对于高风险的项目尤为重要。
2.审计信息的及时性。持续性审计的最基本特征就是实时性,要求审计系统能够及时提供审计信息。传统审计模式大多为事后审计,不能满足实时性的需求,事后审计无法帮助组织有效做出预见性决策。持续性审计则可以实现事前、事中、事后的全时域、全方位审计,并及时提供实时性审计信息。
3.审计程序的自动化和智能化。分析处理大量数据要求持续性审计系统拥有精准的数据分析工具,实时监测和监控被审计单位的状况,然后通过网络触发器对被审计单位进行风险预警,这些均要求持续性审计系统的审计程序必須高度自动化和智能化。而大数据、云计算、区块链、流程自动化与人工智能等新一代信息技术在审计中的深度应用,为持续性审计系统的有效运转提供了极佳的环境。
三、传统审计到持续性审计的发展历程
(一)传统审计阶段
传统审计技术的特点是手工程序,通常以抽样为基础,其中也包括专门的数据分析。内部审计人员使用的数据分析主要是对各种形式的数据进行识别、收集、验证、分析和解释。传统审计技术涵盖数据分析的初始阶段,即专案分析、应用分析和管理分析,此时的数据分析通常只是一种替代人工程序的方法,并没有改变审计的总体目标和范围。(1)专案分析(Ad hoc analytics)。专案分析是商业智能(Business Intelligence,BI)过程,旨在通过综合使用多源数据来回答一个特定的商业问题,以便帮助利益相关者做出科学的评估并给出可行的应对措施。如针对销售量下降这一特定的商业问题,当现有分析报告没有或不能回答这个问题时,为获得更多的细节信息并给出问题的解决方案,用户可以选择数据源,根据问题需要建立统计模型,以图表、表格和交叉分析等多种形式呈现分析结果。然而,在没有标准方法和文件的情况下,专案分析通常难以重复。(2)应用分析(The applied analytics)。应用分析的特点是将分析融入审计流程,并主要在审计实务工作中使用,也可用于制订审计计划,例如确定财务报表趋势。(3)管理分析(The managed analytics)。管理分析提出了一种控制方法,利用开发的标准分析程序对集中的数据进执行分析应用,相关数据、审计程序和结果也将集中保留。虽然应用和管理分析层次的自动化程度更高,且有可能通过实施可重复的审计,发展为持续性审计分析程序,然而我们通常仍把这些具有某些持续性审计的特征的分析方法划归为传统审计。
(二)持续性审计阶段
有别于传统审计阶段,持续性审计阶段数据分析的目标、范围和时间均有所不同。持续性审计技术通常源于深度的数据分析和从以前的审计中获得的经验教训,分析程序的使用更具系统、更加频繁,并超越了特定审计业务的时空范围。虽然数据分析被认为是持续性审计的先导,但数据分析技术的应用并不意味着持续性审计也得到了实施。基于活动的成熟度评估,数据分析的初始阶段,即专案分析、应用分析和管理分析,在实现更高程度的自动化之前,通常不被认为是持续性审计。自动分析(The automated analytics)是持续性审计的第一个成熟度水平,由于分析逻辑是在程序脚本中捕获的,分析程序可重复,并且可以自动实施。
随着自动化程度的提高和管理水平的提升,持续性审计举措会逐渐趋于成熟,达到高成熟度的持续保证。持续保证(Continuous Assurance)是内部审计人员将持续性审计过程和对财务、运营和IT管理部门开展的持续监控活动的有机结合,持续性审计和持续性监控共同构成了持续性保证。如图2所示,其中持续性监控是由第一和第二道防线共同进行的一个过程,目的是持续监测控制措施,以确定内部控制措施是否有效运行。由于持续性审计和持续性监控都起源于数据分析,管理层采用的许多持续监控技术可能与内部审计人员采用的持续性审计技术重叠。因此,持续性审计与持续性监控之间存在着紧密的联系,内部审计部门应根据管理层持续监控过程的充分性来调整持续性审计工作的程度。
因此,持续性保证是一种实施组合保证的有效模式,其中三道防线中的部门管理、风险管理和内部审计是该模式中三个重要的保证提供者,如果这些保证提供者将持续性审计和持续监控有机融结合,营造一个集成有效的组合保证环境,有助于保证内部决策和外部报告信息的真实性和完整性,如图3所示。
四、内部审计的管理职能
内部审计负责为组织治理和风险管理工作的适当性和有效性提供独立且客观的确认和咨询。旨在评估控制环境的有效性,改进组织业务,提升组织价值。因此,它是一种评估和改进风险管理、内部控制和公司治理实践有效性的规范程序和方法。2002年美国《萨班斯-奥克斯利法案》的出台,迫使高级管理人员走上了确立目标、识别风险和建立控制措施以降低风险的道路。与会计、市场和销售等其他职能一样,内部审计也是一种管理职能,具有一定的管理任务、组织模式和对成员行为的影响。下面将对这些进行进一步探讨。
(一)内部审计的目标任务
内部审计的总体目标是确保组织治理,这涉及管理协调组织内部多个主体之间的关系,以确定组织的方向和绩效。这一目标是通过推进三项主要任务来实现的,即推进公司问责制的执行、完善风险管理和建立健全内部控制。
1.推进公司问责制的执行。重点是构建组织的整体问责制框架,包括公司利益相关者为确保对管理和财务业绩的适当问责而采用的制度、规则、关系和程序框架。一些治理机制(如审计委员会和内部控制制度)是组织内部的,而另一些则是由外部的监管机构、立法部门来组织实施。执行公司问责任务的一个重要方面是审计报告,以对公司财务报表是否存在重大错报发表独立鉴证意见,为此必须获取充分适当的证据来形成和支持这一意见。相关的任务包括制定总体审计战略和具体审计计划,并执行各类严格的审计测试,以产生可用于对财务报表的合法性和公允性形成意见的证据。
2.完善风险管理。COSO委员会将风险管理定义为“董事会、管理层和其他人员制定战略和实施过程的程序,旨在确定可能影响组织的潜在风险事件,并将风险控制在其风险承受范围内,为实现组织目标提供合理的保证”。COSO框架认为组织的战略、业务、报告和合规目标都有相关的业务风险,这些风险由内外部事件引起,可能会抑制一个组织实现其目标的能力。因此,企业实行风险管理,以识别、分类、监测和应对可能影响本组织实现其目标和任务能力的风险。这包括为识别、披露和缓解风险制定合适的政策,设计和实施风险管理和严格的内部控制制度。
3.建立健全内部控制。内部控制是“组织的董事会、管理层和员工为实现经营的效率和效果、财务和管理报告的可靠性、法律法规遵循以及资产安全完整等目标提供合理保证而实施的控制政策和程序”。因此,内部控制是组织全员参与的,旨在为保障组织目标实现而采取的任何行动,包括管理层设计、实施和维护内部控制和财务报告流程,以便保障财务和非财务信息的可靠性。
(二)内部审计的组织模式
组织中的内部审计主要有两重组织模式,一是整个组织中公司治理、风险管理和内部控制的组织;二是内部审计部门自身的组织。首先,当前,公司治理、风险管理和内部控制的主要组织设置遵循三道防线理论。国际内部审计师协会(IIA)2013年发布的三道防线模型被看作是良好组织治理和风险管理的基础性指引,原版三道防线模型主要关注助力组织降低和控制风险,但是随着新兴风险的出现,组织面临的外部环境也越来越复杂多变,原有模型在突出价值创造、各利益相关方密切协作方面仍有待完善。为此,IIA牵头完成了对模型的修订,并于2020年7月正式发布全新的“三线模型”,如图4所示。第一线是组织为客户提供产品和/或服务的前沿职能,包含支持性部门,负责管理风险,并实施有效的控制策略和程序。第二线是负责协助开展风险管理工作的风险管理部门,以监督、审查和测试第一道防线风险控制的有效性。第三线是内部审计部门,独立评估并提供关于第一和第二道防线的充分性和有效性的意见,以向董事会、审计委员会、首席执行官和利益相关者提供保证。因此,内部审计职能被认为是公司风险管控系统的重要组成部分。其次,至于内部审计部门自身的组织,必须考虑内部审计职能的固有角色。自20世纪40年代初以来,这些角色伴随着组织环境变迁而不断演变,主要包括风险评估、提供控制保证、合规性保证和面向经营管理的咨询,旨在提高组织的效率和效果,提升组织价值创造能力和水平。
(三)内部审计的行为影响
理念和行为是公司治理、风险管理和内部控制的重要因素。如果内部审计职能的发挥不会促发组织成员行为的改变,进而提高效率和效果,那么其存在的价值就会受到质疑。贝克尔在犯罪经济学方面的研究为阻止不诚实行为提供了洞见,认为当处罚越严重,犯罪行为被发现的可能性越大时,有助于阻止个体的犯罪行为。员工的舞弊行为与被发现的认知成反比,因此,与加强制裁相比,提高侦查感知可能是阻止员工舞弊的有效手段。欺诈威慑计划营造了一种抑制组织利益相关者实施舞弊行为的内部环境,这通常是通过各种机制实现的,包括使用持续性审计系统(Singh & Best,2015)。然而,即使是最好的持續性审计技术也可能会被串通或管理层凌驾所规避。因此,组织在防范员工舞弊和欺诈时,需要实现从舞弊预防到舞弊威慑的范式转变,以创建有助于防范舞弊和欺诈的环境。遵循这一思路,企业在内部审计中实施持续性审计,通过持续性欺诈预防和舞弊威慑计划,改善组织的内部环境,进而最大限度地改变员工的行为认知,将有助于从源头上遏制员工的舞弊和欺诈行为。
五、基于持续性审计的内部审计框架构建
信息系统是为了方便组织的规划、控制、协调和决策而整合起来的硬件、软件、基础设施、流程和人力资源的组合。企业中的信息系统有不同的类型,包括管理信息系统、知识管理系统、决策支持系统和执行信息系统等。不同类型的信息系统具有一些共同的特点。(1)数据管理,包括从不同数据库访问数据、处理数据以及不同来源和目的地之间的数据流进行实时监测和分析。(2)数据分析,商业智能的数据分析框架将数据分析划分为描述性分析、诊断性分析、预测性分析和规范性分析。其中描述性分析(Descriptive analysis)旨在回答过去发生了什么,通过将过去和当前数据转换为总结性、概括性的报告、图表、数据透视表等形式,帮助审计人员全面、高效地了解被审计单位当前经营状况和财务业绩。诊断性分析(Diagnostic analysis)旨在分析为什么会发生,诠释当前结果的原因,以便识别异常并揭示多个变量直接未知的连接、模式和关系。预测性分析(Predictive analysis)旨在回答将来可能会发生什么,它利用各种统计、建模、数据挖掘工具对一定时间内累积的历史数据进行研究,从而对未来进行预测。规范性分析(Prescriptive analysis)旨在回答如何做得更好或者应该如何改善,针对前述现状和问题分析给出相应的解决方案和行动建议(吴勇等,2020)。(3)流程支持,即支持审计流程、法律流程、合规流程的功能。而一些解决方案中的流程支持具有和知识管理系统类似的功能,如包括文件管理、内容管理和知识共享等,允许安全、可追溯和可审计地存储、共享和管理文件,具有电子签名验证和内容更改跟踪的功能。(4)信息传递,涵盖报告和可视化信息的功能,如通过仪表盘和记分卡,能够更加直观形象地展示企业的各种情况。上述这些功能是持续性审计系统解决方案的重要构成要素。
构建基于持续性审计的内部审计系统框架,除关注持续性审计所基于的具体技术之外,还应该关注:持续性审计系统如何与内部审计的管理职能互动并对其产生影响;内部审计职能还会受到哪些情境变量的影响;在各种情况下采纳、执行和应用持续性审计系统会产生何种结果和绩效。笔者所构建的持续性审计系统与内部审计之间关系的框架如图5所示。
(一)内部审计和持续性审计系统
引入持续性审计系统后,要求审计人员改变思维模式,超越其传统的业务保障角色范围,当涉及公司治理、风险管理和内部控制时,持续性审计系统的应用将可能会影响审计人员和审计委员会的作用和决策,成为公司战略发展和价值提升的咨询顾问。在职能方面,内部审计与业务高度关联,治理、风险与合规遵从(Governance, Risk and Compliance,GRC)技术将三道防线融合在一个公共平台,进行协作和信息交换,通过技术实现灵活且动态的风险评估作业流程,使内部审计能够覆盖不断变化的风险蓝图;在工具技术方面,基于分析的测试将焦点从传统的基于底稿样本的审计程序转移到数据分析和关键风险指标的识别;从执行传统审计到依靠自动化审计,审计将通过机器人和机器学习增强数字化能力,以同时满足对数据处理的大容量、高速和复杂性要求;采用持续性监控,将审计重点从风险监测转向事前的风险预防和事中的实时控制。鉴于基础财务数据是持续性审计执行预警和异常报告的基础,持续性审计与企业系统之间呈现高度的数据集成,数据、硬件/软件和信息的高度集成会给内部控制等带来诸多挑战。而且现有的内审职能可能不再是内部审计部门的唯一领域,内审的角色可能会与信息系统审计、质量审计和合规审计等角色融合,进而影响内部审计师的作用和角色。
(二)采纳、执行和应用持续性审计系统
加强顶层设计和战略规划,确保包括持续性审计系统在内的信息系统发展与组织目标相一致。基于创新扩散模型(Rogers, 1995),组织采纳、执行和应用持续性审计系统会受组织支持、外部压力、感知的收益和组织文化等因素影响和制约。成本、支持、源代码访问、可靠性、学习曲线、兼容性和许可等问题,也会影响企业选择自主开发还是外部购买持续性审计系统。
(三)组织情境因素
持续性审计系统建设大多是战略性的,这意味着管理层的承诺和支持至关重要,其他重要的组织情境因素还包括组织文化和组织规模等。组织在开发和实施信息系统时,技术接受度是一个重要的问题。技术接受模型(Technology Acceptance Model,TAM)认为,技术有用性、技术易用性和感知的行为控制等会影响个体对持续性审计系统的接受和使用。专业知识、经验背景、社会心理特征或计算机焦虑等个体特征也会影响接受度。此外,组织培训、管理支持或任务特征等外部因素也会影响接受度。
持续性审计系统是在计算机软件中实现的,需要明确的定义和规则。因此,准则制定者需要适时制定和修订会计和审计准则,助力持续性审计系统的有效实施,以确保审计质量。大数据环境下给众多组织的会计和审计职能带来众多挑战,海量、多源、异构、不稳定和快速扩展的数据集将为审计过程提供更多类型的审计证据,将这些证据纳入到基于持续性审计的内部审计系统也至关重要(Alles & Grey,2016)。
(四)结果与绩效
持续性审计系统的成功实施是由使用结果驱动的,其结果必须综合考虑技术的进步、审计模式的变化及其对组织的影响。一方面,基于持续性审计的内部审计系统使得审计人员能够自动化地评价、监督管理层,并能够更频繁地进行控制和风险评估,还可以促进全组织内部审计和控制活动的协调,改善组织各部门、各层级之间的沟通和信息交流,能够有效降低审计成本,提升审计效率,提高保证和内部审计对组织的感知价值,并能够对组织整体绩效产生积极影响。另一方面,持续性审计系统的投资和创新会对组织价值、生产力、组织效率等产生影响,进而会带来组织服务、利润、市场价值等方面的绩效改善,特别是持续性审计系统会对组织的治理实践以及内部审计任务绩效产生正面的影响。因此,应基于更加系统和集成的视角,建立综合性的分析框架,将应用持续性审计系统引发人员的行为变化、创新技术的使用、持续性审计的组织及其应用带来的组织绩效改善等结果建立有机关联,系统明晰内部各要素的交互机理和作用路径。
六、结论
持续性审计作为一个多维构造,涵盖持续性数据审计、持续性控制评价、持续性风险监测和持续性合规监测多个不同要素,流程重复且易受风险影响的组织对持续性审计的需求日益增长。然而,持续性审计不仅是一种技术工具,部分地还是一种对组织众多利益相关者有价值的信息系統;其应用不仅是技术问题,还改变了公司治理、风险管理和内部控制的方式,因而会对内部审计的目标任务、组织模式以及员工行为产生深远影响。为此,本研究在明晰持续性审计的内涵核心特征及其动态演进的基础上,基于管理的视角剖析了内部审计的管理职能,全面关注持续性审计与内部审计功能、组织情境以及绩效结果之间的系统性联系,构建了融入持续性审计的内部审计系统框架,以便高效成功地将持续性审计集成、嵌入于企业内部审计系统中,更好地推动企业内部审计部门开展持续性地风险评估和风险管控,增强监督的成效,也帮助管理者能够更加理性地审视持续性审计系统能够在多大程度上改变组织的流程、风险和控制,进而实现组织的业务目标。
(作者单位:合肥工业大学管理学院,邮政编码:230009,电子邮箱:wuyong@hfut.edu.cn)
主要参考文献
[1]茅芯,李勇,李卫星.基于技术创新的智慧型内部审计的探索与研究[J].中国内部审计, 2020(11):25-34
[2]Chan, D.,Vasarhelyi, M. Innovation and practice of continuous auditing[J].International journal of accounting information systems, 2011(12):152-160
[3]Chiu, V., Liu, Q. ,Vasarhelyi, M. The development and intellectual structure of continuous auditing research[J]. Journal of Accounting Literature, 2014(33):37-57
[4]Bumgarner,N.,Vasarhelyi,M.A. Continuous auditing-A new view[R].In AICPA: Audit Analytics and Continuous Audit: Looking Towards the Future, New York: AICPA,2015
[5]Sebastian Weins,Bastian Alm,Tawei Wang.An Integrated Continuous Auditing Approach[J]. Journal of emerging technologies in accounting,2017(2): 47-57