基于業務流程的連續審計模型構建

肖薇　金治中

【摘 要】 隨著信息技術的不斷發展，連續審計愈發受到關注。連續審計是計算機審計發展的一種高級形式，其應用得益于自動化水平的不斷提高。在幾十年的發展過程中，許多學者提出了連續審計的應用模型，這無疑有助于推動其在實務中的應用。選擇合理的連續審計應用模型是成功實施連續審計的關鍵所在。以業務流程執行技術為基礎，構建了基于業務流程的連續審計模型，以期對連續審計的應用有所裨益。

【關鍵詞】 連續審計； 業務流程； 審計模型

中圖分類號：F239 文獻標識碼：A 文章編號：1004-5937（2014）07-0103-04

自動化控制測試起源于20世紀60年代對嵌入式審計模塊（EAMs）的安裝和實施。然而，這些模塊難以建立和維護，只能在相對極少數的組織中應用。在20世紀70年代，審計師逐步開始放棄這一做法。進入20世紀80年代后，審計界的先行者開始使用電腦輔助審計工具與技術（CAATTs）來進行專門的調查與分析。與此同步，連續審計的概念在一個較大的學術背景下首次面向審計師。

一、連續審計及其模型

連續審計的基本前提是：連續自動數據分析的使用將幫助審計師識別風險最大的領域，以此作為確定他們審計計劃的基礎。但對于大多數的審計師而言，他們并沒有為這種方法做好準備。他們缺乏對適當軟件工具的應用技能，缺乏克服數據存儲難題的技術資源和專門知識，但最重要的是，組織將承擔采用顯著不同的審計方式和方法的新責任。

20世紀90年代，全球審計職業對數據分析解決方案的應用日益廣泛，數據分析被視為支持內部控制有效性測試的一個重要工具。該技術被用來檢查經濟交易，以發現那些因為控制不存在或者不能妥善執行所造成的重大問題。它也識別那些不符合控制標準的交易。此外，數據分析支持那些并沒有交易數據可直接證明的控制測試。舉例來說，企業資源規劃的訪問和授權表可以被用來分析、找出故障以保持適當的職責分工。但是，即使有這種技術作為支撐，傳統的審計程序往往依賴于具有代表性的抽樣，而非評估整體樣本，并且是在商業活動發生一段時間后才進行。因此，風險與控制問題更有可能導致擴大對經營業績的負面影響。

從連續審計的技術原理來看，其運行類似于病毒掃描，在自動執行審計的過程中，如果發現任何的異常，都會立即觸發警報，并迅速傳遞到客戶或審計人員那里進行處理。選擇合理的連續審計應用模型是成功實施連續審計的關鍵所在。迄今為止，學術界提出了不同的模型，如早期的格仁曼爾（1989）提出的EAM模型，海拉普爾（1991）提出的CPAS模型，近期的沃頓斯瑞（2001）、瑞斯（2002）、歐林尼斯（2003）、莫斯（2004）、查勒斯（2007）等均提出了各自的模型。這些模型均以不同的技術為基礎進行構建，對連續審計的實施有一定的指導意義。本文擬從業務流程技術出發構建連續審計模型。

二、業務流程執行技術

為了詳細說明針對網頁服務的業務流程技術，一個由多家大型公司組成的聯盟組織提出了一個標準的基于網頁服務的業務流程執行標準，簡稱為BPEL4WS。BPEL4WS為形式化描述業務流程和業務交互協議提供了一種流程語言。它擴展了網頁服務交互模型，并能夠支持業務交易。BPEL4WS可以定義一個彼此協作的整合模型，在內部的公司和企業對企業的空間里，這個流程語言有助于自動化流程整合的擴展。

BPEL4WS業務流程的目的是詳細說明在用服務描述語言（WSDL）描述的服務之間的端對端的交互作用。交互的流程和涉及的合作者被模型化為WSDL服務。實質上，BPEL4WS流程使用一個或者更多的WSDL服務，為合作者的流程實例進行相關的行為描述。這就是說，BPEL4WS在一個業務流程交互作用里具體的定義了信息交互協議。

使用BPEL4WS，業務流程是可執行的。可執行的業務流程模擬了在一個業務交互作用里一個參與者實際的行為，能夠區分一個業務流程外部和內部工作的具體細節。抽象的業務流程本質上是業務協議，這種協議使用流程描述，具體地說明了每一個參與到這個協議的合作方可視化的信息交換行為。在沒有揭示它們內部行為的情況下，抽象的流程不能夠執行，使用BPEL4WS，可執行的和抽象的業務流程能夠被定義，然而，為數據處理的特征組依賴于BPEL4WS是否正在被使用為可執行的業務流程。為定義可執行的業務流程，BPEL4WS分為四個主要的部分：容器、合作者、錯誤處理和一個主要的流程部分。

BPEL4WS的一項重要方面是它具有可擴展性。考慮到它來源于可擴展的標記性語言（簡稱XML），通過參考其他的來自于XML命名空間的結構，在一個BPEL4WS文檔里使用的結構能夠得到擴展。只要來自于擴展的命名空間的結構不與BPEL4WS結構相互沖突，就可能非常穩健地處理需要的業務流程。

在這種情況下，BPEL4WS能夠被用來進行連續審計。使用BPEL4WS作為一種基于XML的語言需要定制開發一個內部的會計系統。這樣一個基于BPEL4WS的系統將是理想的適合處理連續審計的流程模型的要求。

三、基于業務流程的連續審計模型構建

基于業務流程的連續審計模型如圖1。

就BPEL4WS而言，每一個商業流程封裝器包括特有的連續審計聯絡來幫助審計師和被審計方之間使用超文本傳輸協議進行簡單對象訪問協議的交流。不僅外部的審計師使用連續審計技術，從而實施外部審計流程，而且連續審計流程能夠通過審計師按照需求進行激發，例如投資者、分析師和金融機構等。終端用戶要求一些關于被審計方對商業流程認定的證明，或者其他一些感興趣的審計目標的證明。對外部審計師來說，連續審計技術的使用代表了一個潛在的以前并不會考慮的收益流。由連續審計提供的連續審計報告通過傳統的網頁進行描述，并通過運用一種可擴展樣式表語言來發布審計報告數據。考慮到連續審計流程駐留在審計方而不是被審計方的環境下，提出的框架能夠加強審計師的獨立性。endprint

每一個業務流程具體的封裝器被寫入BPEL4WS，詳細地說明了審計師所要求的信息，并考慮了特殊的業務流程。在審計師的環境下，必須為每一個業務流程創造一個連續審計流程，定義審計客戶的業務流程參數，這必須通過端口類型才能觸發。在每一個連續審計流程內，必須準確地配比那些已經在客戶業務流程封裝器里詳細描述的標準。每一個連續審計流程的端口類型輸入操作，必須通過客戶的業務流程進行輸出，客戶的業務流程會通過審計師的連續審計流程進行檢查，這種運作方式類似于通用的審計軟件（GAS），例如ACL的運作。使用GAS在年末進行審計時，客戶的數據文件輸送給審計師，審計師隨后在被審計師控制的環境（例如，審計師自己的計算機）下執行審計流程，從而產生某種審計結果，其主要目的是認定是否不同的審計目標已經完成。許多GAS直接與客戶的會計系統相互作用，隨著審計軟件程序在審計師的計算機上運行，可以無縫獲取交易數據。

每一個連續審計流程必須為審計例外或者操作缺陷定義一種標準，在實施活動中，憑借簡單訪問對象或者超文本傳輸協議（SOAP/HTTP）收到關于業務流程的具體參數。對一項錯誤的典型反應是立即記錄為一項例外，如果識別為一種嚴重的例外事項，便會立即發送郵件通知審計師。例外的數據將被儲存在數據結構庫里。當駐留在審計師環境下的連續審計流程由利益相關者觸發后，連續審計流程將會：（1）訪問業務流程具體參數；（2）隨著錯誤處理器觸發例外，處理連續審計流程活動；（3）儲存例外數據到特定的倉庫中；（4）獲取數據和對終端用戶報告結果。例如，被用戶要求的認證、什么構成了一個“例外”？業務流程具體參數需要確定例外是否存在，在連續審計流程庫里儲存的數據都將會變化。隨著業務流程類型的功能和業務流程審計目標的變化，存在性、完整性和交易流程的精確性方面都會有所變化。

四、實例：銷售業務的連續審計模型

銷售業的連續審計模型如圖2。

這個過程開始于一些連續審計的需求者（投資者，分析師，金融機構等）要求的某項認定。要求被提出后，在審計師系統中就會觸發銷售認定的連續審計流程。基于在連續審計流程中定義的參數被連續審計需求者觸發時，會從審計客戶的銷售系統獲取數據。連續審計流程從銷售系統獲得的數據，構成了在銷售系統封裝器里為輸出端口類型的域定義，顯示如圖2，基于銷售系統數據的獲取，在審計師系統中的銷售鑒證連續審計流程會要求從以下的參照系統里證實數據：從客戶的訂單系統獲得相關訂單數據（銷售訂單是否收到？）；來自于客戶的信貸審批系統的相關信貸信息（客戶支持信貸嗎？）；來自于客戶存貨系統的存貨相關數據（產品有效嗎？他們定價正確嗎？）；來自于客戶的運輸系統的運輸相關的數據（商品運輸了嗎？）；來自于客戶的賬單系統的支票相關數據（銷售對客戶簽訂了票據嗎？）。事實上，這些要求的數據項目服務于鑒證這些由客戶的銷售系統報告的特別的銷售交易。從客戶的參照系統里獲取的反饋意見在審計師系統中的銷售鑒證連續審計流程進行了必要的處理（配比，計算等），并且向連續審計客戶反饋一個認證結果。

對圖2中描述的模型一個潛在擴展是，審計師要求確定的數據來自于適當的外部代理，這些外部代理在全部的銷售業務流程中為審計客戶負責具體的子程序。

五、總結與結論

本文討論了新興的IT架構，例如可擴展的標記性語言怎樣得以利用來促進連續審計新一代的會計系統。在不斷增強的XML環境下，本文提出了一個連續審計方式構架，在這種方式下，終端用戶呼叫駐留在審計師客戶系統中的連續審計業務流程。因此，連續審計機制自身運行像一個網絡服務器，所有的優勢來源于新興的技術架構。

一個模型的構建是連續審計發展的關鍵第一步，將來的研究需要探索許多相關問題。例如由連續審計所要求的計算機運行能力、連續審計怎樣才能連續得到觸發、有多少終端用戶愿意每次支付連續審計服務來獲得認證。將來的研究也能更全面地研究連續審計模型怎樣能夠操作來提供連續審計關于連續報告的收益。

看起來相對確定的是會計系統正進入到一個新領域，在這里商業數據處理的通用語言是可擴展的標記性語言。在一個不斷增加的虛擬世界里，全球經濟，信息在任何時候傳遞到任何地方不再是一種幻想，這在當前已經變成了一種現實。考慮到安然危機和世界通訊等丑聞所造成的信任危機，投資者、管制者、信貸者將越來越需要關于財務業績的信息，這些信息不僅會在一個更加及時的基礎上進行提供，而且也需要由獨立審計師用連續審計來保障其可靠性。在這篇文章中討論的框架，在一定意義上有助于朝著滿足這個需求的方向邁進一步。

【參考文獻】

[1] Groomer，S. M. and Murthy，Continuous Auditing of Database Applications： An Embedded Audit Module Approach[J].Journal of Information Systems，1989，3（2）：53-69.

[2] Vasarhelyi，M.A. and Halper，F. B.，The Continuous Audit of Online Systems Auditing[J]. A Journal of Practice and Theory，1991，10（1）：110-125.

[3] Hawaii.Woodroof，J. and Searcy， D.，Continuous Audit： Model Development and Implementation within a Debt Covenant Compliance Domain[J]. InternationalJournal of Accounting Information Systems，2001，2（3）：169-191.

[4] Rezaee，Z.； Sharbatoghlie A.； Elam，R. and McM-ickle，P. L. Continuous Auditing： Building Automated Auditing Capability[J]. A Journal of Practice and Theory，2002，21（1）：147-163.

[5] Murthy，U. S. and Groomer，S. M.，A Continuous Auditing Web Services Model for XML-Based Accounting Sys tems[J].International Journal of AccountingInformation Systems，2004，5（2）：139-163.

[6] Charles Ling-yu Chou，Timon Du，Vincent S.Lai，Continuous Auditing with A Multi-agent System[J].Decision Support Systems，2007，42（6）：2274-2292.endprint