連續審計的成本問題探討

金治中

【摘 要】 文章從成本最小化視角討論了連續審計數據庫的成本問題，使用計數策略和定期策略分析方法探討了連續審計的成本分析模型，構建了一種連續審計數據庫的成本分析性方法，并對連續審計成本模型進行了簡要的數值檢驗。研究發現，相比定期策略而言，計數策略是更加有效的。值得注意的是，盡管審計長期平均成本是一個很重要的考慮因素，但是還有其他一些因素例如錯誤的容忍性和對財務報告的影響也不能忽視。

【關鍵詞】 連續審計； 成本； 計數策略； 定期策略

【中圖分類號】 F239.1 【文獻標識碼】 A 【文章編號】 1004-5937（2018）14-0107-04

信息質量對審計師的重要性不言而喻，在給一個客戶的財務報告做出審計報告之前，審計師必須確保通過客戶的管理信息系統產生的信息是可靠的[ 1 ]。這要求審計師對客戶的信息生產系統的控制充分性進行評估，并且對其進行測試，看是否存在錯誤和不一致性。常規審計中，審計師僅在一個客戶的報告時期已經結束和審計財務報告開始時執行這樣一種評估和測試[ 2 ]。一年一次或者通過有限的檢查是不可能使審計師對系統的可靠性做出準確判斷的。要保證這些系統有效，就需要更頻繁的檢查和更多的監控，并且必須在一個連續的基礎上進行，這要求審計師通過嵌入監控工具收集關于一個客戶的系統信息和定期評估系統的可靠性[ 3 ]。

過去一些研究探討了連續審計的技術可行性，然而這些研究還沒有回答的一個重要問題是連續審計的經濟可行性，即連續審計的成本問題。盡管連續審計的支持者（如Elliott committee，2007）認為對這種審計將會有很大的需求，但企業和審計師并沒有快速普及連續審計客戶的數據庫系統。正如Alles et al.（2008）所認為的，對連續審計較低采納的理由是實施的成本較高。對連續審計實施的成本探討有助于企業和審計師在實踐中更有效地采納連續審計，為正確指引連續審計實踐活動做出貢獻。

一、連續審計監控策略

（一）數據庫完整性約束

在一個數據庫中，完整性約束被作為主要的發現錯誤的工具。完整性約束的各種規則整合在數據庫管理系統的各種程序里[ 4 ]。完整性約束要求在一項事件輸入系統進行處理時檢驗它們是否滿足預設條件，并且在每一個事件處理之后，能夠鑒證結果是否滿足預訂的目標（Davis and Weber，1986）。完整性約束可以通過很多方法得到觸發，第一是在事件發生時，按照自動化和作為連續完整性工具來監控數據和事件，第二是作為間歇性工具得到觸發，第三是通過數據庫管理系統或者通過某個特定人員（例如審計師）來證實控制和數據輸入及處理的完整性。

在所有的期間都通過完整性約束來監控一個數據庫通常被認為是最安全的方法。它要求在一項事件接受處理時，所有的完整性約束都要得到滿足，因此這種方法能夠監控百分之百的事件處理，同時也能及時發現錯誤。然而，對處理成千上萬種事件的大型數據庫而言，連續執行完整性約束將會耗費過多的計算機系統資源，代價高昂。并且如果完整性約束沒有得到滿足，事件將不會被及時處理，這會在其他事件不斷進入數據庫系統等待處理時導致重要的耽擱延遲問題[ 5 ]。另外，在事件處理存在耽擱延遲現象時，也會因為一些數據可能丟失或者過期而產生額外的錯誤（Wang et al.，1995）。這也是為什么連續審計監控很少得到使用的原因。對所有事件進行連續審計監控的一個替代方案是間歇性監控，即僅在一定的間隔期以后才對到達和已經進入數據庫管理系統的事件施加完整性約束，例如每隔n次事件，或者在一定數量的時間（x）已經過去以后，完整性約束才得到觸發。這種強制執行完整性約束方式相比連續監控而言，其發生的頻率會降低，能克服一些由于不間斷的連續監控而引發的流程耽擱和系統停止問題。但是，因為間斷使用的完整性約束監控少于百分之百的全面監控，在兩個監控期之間引入的錯誤將有可能無法及時發現。

這里沒有兩全其美的方法實施完整性約束監控，無論使用哪一種方法，都有一個成本效率的權衡問題。2001年審計專家阿爾曼曾提出了兩種監控策略，即計數策略和定期監控策略。在他的研究中，討論了三種監控策略，即計數策略、定期策略和混合策略，混合策略包含了計數策略和定期策略的特征。這里僅選擇檢驗前面兩個主要的策略，因為第三種策略混合策略要求完整性約束在每一個事件之后部分予以執行。阿爾曼也指出，頻繁執行混合型策略需要的完整性約束在沒有改善監控質量的情況下將增加平均的錯誤率。因此，可以認為阿爾曼提出的混合策略與真實世界的審計實際情況存在較大差異，這里不予以討論。

阿爾曼（2001）僅僅關注在不同的監控策略里如何使錯誤最小化，但沒有分析這種監控的成本。通過在兩個戰略下引入監控成本，可以擴展阿爾曼的分析技術。這里沒有使用阿爾曼最初討論的定期策略形式，他要求在一個固定長度的時間過去以后實施定期的監控。為更符合實際，有必要使用一個變化的時間長度，因為相比固定的監控周期，變化的時間更能代表真實世界的監控情形。而且變化的時間長度考慮了在時期P能夠到達的事件數量和審計期間被處理事件的數量。盡管阿爾曼使用了標準的排隊模型，但使用馬爾科夫的再生理論（排隊模型也使用了再生循環，再生理論的一個變種）更加適合代表線性流程（例如，事件進入一個數據庫）。同時需要放松阿爾曼研究中所使用的許多嚴格的假設，從而使研究更加代表真實世界的監控情況，較少的嚴格假設也使研究結果更加穩健。

（二）連續審計監控的計數策略和定期策略

1.計數策略

為了發現錯誤和完整性是否被侵犯，這種方法要求在每隔n次事件以后，數據庫就需要進行審計監控。一項事件包括輸入、刪除，或者一個和更多的在數據庫中的記錄更改。計數策略的關鍵問題是如何選擇n。在這些數量的事件完成以后，數據庫必須被審計監控以確認是否完整性受到了侵犯。如果n太大，有些完整性侵犯將不會被發現；如果n太小，監控成本將會增加。由于只要預定數量的事件n還沒有（完全）進入到這個系統，數據庫的完整性檢驗就不會得到觸發，因此計數策略的一個不利方面是部分錯誤可能無法及時發現。

2.定期策略

這種方法要求在一定數量的時間經過以后，數據庫就需要進行審計監控。定期策略的一個關鍵要求是選擇適當的最優間隔期進行審計監控。如果兩次審計監控之間的間隔時間很長，在間隔時期引入到數據庫的錯誤將會無法及時發現和糾正。在間隔時期里產生的數據、信息和報告包含錯誤并將導致不正確的決策，如果檢查之間的間隔太短，就會增加審計監控的成本。

計數和定期監控策略需要一定程度的錯誤容忍并在數據準確性和數據及時性之間進行適當權衡。如果數據準確性主導著審計監控策略的選擇，及時性將會做出犧牲，導致數據容易過期；如果及時性主導著審計監控策略的選擇，數據準確性將會做出犧牲，導致在數據庫中更大的錯誤。研究需要考慮這些因素，以便合理處理監控成本問題。

二、連續審計的成本問題分析

審計師最主要的一項任務是在一個審計流程中證實審計數據的質量。數據質量的主要計量是數據庫中的錯誤數。當數據庫為避免錯誤而被監控，錯誤就有可能降低。阿爾曼研究了一種分析技術來觀察在不同監控策略下的錯誤率。阿爾曼研究的分析流程給予了幾個方面的假定：（1）所有的錯誤同等重要；（2）每一個錯誤獨立產生，并與其他錯誤無關，同時會以一種隨機的方式到達；（3）每一個錯誤要求T單位的確定時間來監控、發現和糾正。盡管這些簡化的假定產生了比較合理的結果，但它們不能代表一個真實的審計環境，因為所有的錯誤不是同等重要的，并且一些錯誤相比其他的錯誤將會更加嚴重。例如：相比職員工資支付比率的錯誤，關于內部備忘錄的時間錯誤就不太嚴重；錯誤不會在固定的間隔時間產生，它們很有可能在一項事件流程中任何一個時間段里產生，錯誤沒有花費相同數量的時間來監控、發現或者糾正；一些錯誤可能要求較短的清理時間，其他的可能需要更長的時間。因此，基于阿爾曼的工作，可以做出如下假定：（1）事件到達一個數據庫的概率服從泊松分布，每單位時間有r次事件到達。（2）每一個事件要求T單位時間來處理和證實，T單位時間長度依賴事件的類型，因此對不同的事件而言，它是不斷變化的。（3）相繼事件處理的時間，T1，T2，T3，…，Tn是獨立的隨機變量，并服從概率密度函數f。（4）在審計期間每次檢查和證實一個事件。

這里使用馬爾科夫更新理論作為建立連續審計成本分析模型的基礎。在更新理論中一個基本的結論是每單位時間的平均成本可以使用如下關系表達：LCT=RC/ECT，這里LCT意味著每單位時間的長期平均審計成本，ECT是期望的周期時間，RC表示在一個更新循環中發生的期望成本。

（一）計數策略的連續審計成本分析

1.計數策略分析模型

計數策略下，為發現錯誤，在一個固定數量的事件產生以后事件監控開始觸發。用n代表事件的數量，這些事件發生后，監控必須開始啟動。監控持續進行直到所有的事件得到鑒證，包括在監控時期按照線程到達的所有事件。在兩個相鄰的審計期間經過的時間被稱為一個審計周期時間，用C表示。周期時間C能夠被分成C1和C2。C1表示審計n次事件和在審計時期按照線程到達的事件的時間；C2表示審計完成到下一次審計開始之前所經過的時間，這段期間沒有審計發生。

通過具體的數字計算可知，在定期審計策略下，一項新的審計應該開始于7單位時間已經經過時，在這段時期內，從以前的審計結論到所有的審計事件已經到達，并且所有的事件發生在這個時期將花費的每單位時間的長期平均審計成本是12.55。

【主要參考文獻】

[1] ALLES G， KOGAN A， VASARHELYI MA. Putting continuous auditing theory into practice： lessons from two pilot implementations[J]. J Inf Syst，2008，22（2）：195-214.

[2] GROOMER S M，MURTHY U S.Continuous auditing of database applications： an embedded audit module approach[J]. Journal of Information Systems，1989，3（2）：53-69.

[3] HUNTON J E，ROSE J M.21st century auditing： advancing decision support systems to achieve continuous auditing[J]. Accounting Horizons，2010，24（2）：297-312.

[4] KIM H， MANNINO M， NIESCHWIETZ R. Information technology acceptance in the internal audit profession： impact of technology features and complexity[J]. Int J Account Inf Syst，2009，10（2）：14-28.

[5] KOGAN A，VASARHELYI MA， WU J. Continuous data level auditing using continuity equations[R].Working paper，Rutgers Business School，2010，42（7）：436-452.