基于持續(xù)性審計(jì)的內(nèi)部審計(jì)模式變革研究

吳勇　周楠　王尚純　朱衛(wèi)東

[摘要]本文在系統(tǒng)明晰持續(xù)性審計(jì)的內(nèi)涵、核心特征及其動(dòng)態(tài)演進(jìn)的基礎(chǔ)上，基于管理的視角剖析了內(nèi)部審計(jì)的管理職能，全面關(guān)注持續(xù)性審計(jì)與內(nèi)部審計(jì)功能、組織情境以及績(jī)效結(jié)果之間的系統(tǒng)性聯(lián)系，構(gòu)建了融入持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)框架，以便高效地將持續(xù)性審計(jì)集成、嵌入到企業(yè)內(nèi)部審計(jì)系統(tǒng)中，更好地推動(dòng)企業(yè)內(nèi)部審計(jì)部門(mén)開(kāi)展持續(xù)性的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管控，增強(qiáng)監(jiān)督成效。

[關(guān)鍵詞]持續(xù)性審計(jì)? ?內(nèi)部審計(jì)? ?三線模型

一、引言

新一代信息技術(shù)的快速發(fā)展及經(jīng)濟(jì)全球化趨勢(shì)的快速推進(jìn)，激發(fā)了對(duì)核查經(jīng)濟(jì)交易以及其他決策相關(guān)數(shù)據(jù)真實(shí)性、完整性的需求，持續(xù)性審計(jì)（Continuous Auditing，CA）作為一種基于信息技術(shù)的綜合性解決方案，能夠在近乎實(shí)時(shí)背景下核查相關(guān)信息，提供實(shí)時(shí)運(yùn)營(yíng)保障，助力事前的風(fēng)險(xiǎn)預(yù)防、事中的風(fēng)險(xiǎn)控制和事后的風(fēng)險(xiǎn)應(yīng)對(duì)，在流程重復(fù)且容易發(fā)生風(fēng)險(xiǎn)的應(yīng)用場(chǎng)景中最具價(jià)值，日益受到理論和實(shí)務(wù)界的關(guān)注。企業(yè)內(nèi)部審計(jì)（Internal Audit，IA）部門(mén)是持續(xù)性審計(jì)的主要用戶和支持者，現(xiàn)有研究從合規(guī)的視角探討了內(nèi)部審計(jì)的職能，重點(diǎn)關(guān)注如何利用技術(shù)協(xié)助內(nèi)部控制，確保政策、標(biāo)準(zhǔn)和法規(guī)的合規(guī)性（Bumgarner & Vasarhelyi，2015）。與組織其他管理職能一樣，內(nèi)部審計(jì)具有特定的目標(biāo)任務(wù)和組織模式，并對(duì)員工行為產(chǎn)生重要影響。因此，從管理的視角出發(fā)，立足于持續(xù)性審計(jì)的內(nèi)涵與特征，面向內(nèi)部審計(jì)的管理職能，探索構(gòu)建基于持續(xù)性審計(jì)的內(nèi)部審計(jì)新模式及其整合性分析框架是一項(xiàng)重要的研究課題。

構(gòu)建基于持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)，將會(huì)引發(fā)現(xiàn)有內(nèi)部審計(jì)模式的系統(tǒng)性變革，學(xué)術(shù)界和實(shí)務(wù)界對(duì)此也進(jìn)行了多維度的探討。首先，面向持續(xù)性審計(jì)系統(tǒng)，內(nèi)部審計(jì)人員能夠在近乎實(shí)時(shí)的時(shí)間內(nèi)報(bào)告一個(gè)主題事項(xiàng)。與傳統(tǒng)的年度審計(jì)流程相比，內(nèi)部審計(jì)人員能夠在異常情況發(fā)生時(shí)主動(dòng)發(fā)現(xiàn)和調(diào)查，而不像傳統(tǒng)審計(jì)流程存在很長(zhǎng)的時(shí)滯效應(yīng)，錯(cuò)過(guò)了風(fēng)險(xiǎn)或危機(jī)的最佳處置時(shí)間（Chan & Vasarhelyi，2011）。其次，持續(xù)性審計(jì)系統(tǒng)中的持續(xù)性控制評(píng)估能夠近乎實(shí)時(shí)地發(fā)現(xiàn)組織內(nèi)部控制的缺陷和薄弱環(huán)節(jié)，并及時(shí)將其納入年度審計(jì)計(jì)劃和審計(jì)實(shí)施工作中，使得管理層能夠第一時(shí)間采取積極的補(bǔ)救措施（Chiu & Vasarhelyi，2014）。此外，持續(xù)性審計(jì)系統(tǒng)通過(guò)應(yīng)用數(shù)據(jù)分析技術(shù)，提高了審計(jì)程序的自動(dòng)化水平，極大地提升了對(duì)于重復(fù)性審計(jì)任務(wù)的審計(jì)效率。再次，持續(xù)性審計(jì)系統(tǒng)通常覆蓋組織所有的部門(mén)、崗位和交易，審計(jì)人員通過(guò)自動(dòng)化流程獨(dú)立獲取審計(jì)證據(jù)，不再依賴于組織人員所提供的數(shù)據(jù)和資料，從而最大限度地減少了數(shù)據(jù)操縱的機(jī)會(huì)，審計(jì)證據(jù)的范圍、質(zhì)量和有效性均得到有效提高。

盡管持續(xù)性審計(jì)在內(nèi)部審計(jì)的應(yīng)用可以產(chǎn)生多重價(jià)值，但持續(xù)性審計(jì)在企業(yè)內(nèi)審業(yè)務(wù)中仍未得到充分利用，而僅被視為內(nèi)部審計(jì)職能的一個(gè)應(yīng)用拓展領(lǐng)域，可能的原因在于缺乏指導(dǎo)具體應(yīng)用實(shí)施的理論性框架。為推動(dòng)持續(xù)性審計(jì)在內(nèi)部審計(jì)領(lǐng)域的應(yīng)用，本研究立足于持續(xù)性審計(jì)的內(nèi)涵及其核心特征，致力于構(gòu)建融入持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)框架，重點(diǎn)探究如何將連續(xù)審計(jì)成功地集成、嵌入于企業(yè)內(nèi)部審計(jì)系統(tǒng)中，以更好地推動(dòng)企業(yè)內(nèi)部審計(jì)部門(mén)開(kāi)展持續(xù)性的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管控，增強(qiáng)監(jiān)督的成效。

二、持續(xù)性審計(jì)的概念、分類與特征

（一）持續(xù)性審計(jì)的概念

根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）的定義：“持續(xù)性審計(jì)是在可容許的很短的時(shí)間范圍內(nèi)，提供實(shí)時(shí)、準(zhǔn)確審計(jì)報(bào)告的模式，以期持續(xù)、快速、精確地反映出被審計(jì)單位所發(fā)生的情況。”國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）認(rèn)為持續(xù)性審計(jì)是審計(jì)人員使用任何方法持續(xù)不斷地執(zhí)行審計(jì)相關(guān)的作業(yè)活動(dòng)，其活動(dòng)范圍包含了持續(xù)風(fēng)險(xiǎn)評(píng)估和持續(xù)控制評(píng)估兩大類型，其中持續(xù)風(fēng)險(xiǎn)評(píng)估側(cè)重于感知、評(píng)估和預(yù)警風(fēng)險(xiǎn)程度，持續(xù)控制評(píng)估則旨在關(guān)注內(nèi)部控制的有效性問(wèn)題。IIA在其全球科技審計(jì)指南第三號(hào)定義“持續(xù)監(jiān)督”為管理當(dāng)局合理確保其政策、程序和業(yè)務(wù)流程有效運(yùn)行的過(guò)程，管理當(dāng)局在確定重要關(guān)鍵控制點(diǎn)后，能夠通過(guò)自動(dòng)化測(cè)試來(lái)確定這些控制執(zhí)行是否正常。持續(xù)監(jiān)督通常會(huì)涉及在既定的業(yè)務(wù)流程范圍內(nèi)，按照一組控制規(guī)則，對(duì)所有交易和系統(tǒng)活動(dòng)進(jìn)行自動(dòng)化測(cè)試（Marc E & Artur K，2017）。綜合各方觀點(diǎn)，筆者認(rèn)為持續(xù)性審計(jì)是指審計(jì)人員將現(xiàn)代信息技術(shù)集成應(yīng)用于組織運(yùn)營(yíng)管理全流程而提供的一種實(shí)時(shí)審計(jì)，能夠在近乎實(shí)時(shí)或短時(shí)間內(nèi)為相關(guān)事項(xiàng)提供書(shū)面保證，生成審計(jì)報(bào)告。有關(guān)持續(xù)性審計(jì)的定義如表1所示。

（二）持續(xù)性審計(jì)的分類

持續(xù)性審計(jì)通過(guò)確定的流程、技術(shù)和方法，對(duì)風(fēng)險(xiǎn)和控制的持續(xù)評(píng)估以及對(duì)系統(tǒng)可靠性進(jìn)行實(shí)時(shí)監(jiān)測(cè)。Bumgarner和Vasarhelyi（2015）將現(xiàn)代持續(xù)審計(jì)劃分為四類，即持續(xù)性數(shù)據(jù)審計(jì)、持續(xù)性控制評(píng)價(jià)、持續(xù)性風(fēng)險(xiǎn)監(jiān)測(cè)和持續(xù)性合規(guī)監(jiān)測(cè)，如圖1所示。這些子類別適用于企業(yè)內(nèi)部審計(jì)職能部門(mén)的持續(xù)性審計(jì)活動(dòng)，即三道防線模型中的第三道防線。

1.持續(xù)性數(shù)據(jù)審計(jì)。早期的持續(xù)性審計(jì)僅限于對(duì)交易的持續(xù)分析以及異常報(bào)告機(jī)制，具體包括提取超過(guò)授權(quán)限額的交易，并將賬戶余額與以往期間進(jìn)行比較。Bumgarner和Vasarhelyi（2015）將最初的持續(xù)性審計(jì)歸類為持續(xù)性數(shù)據(jù)審計(jì)。

2.持續(xù)性控制評(píng)價(jià)。隨著持續(xù)性審計(jì)的推進(jìn)，持續(xù)性數(shù)據(jù)審計(jì)的范圍逐步擴(kuò)大到保證控制的充分性和有效性（Alles & Vasarhelyi，2012）。內(nèi)部審計(jì)部門(mén)典型的持續(xù)性控制評(píng)價(jià)是根據(jù)基線標(biāo)準(zhǔn)評(píng)價(jià)配置控制（如IT配置、應(yīng)用控制和職責(zé)分離控制），識(shí)別任何后續(xù)的變化，以便進(jìn)一步評(píng)估控制的有效性。持續(xù)性控制評(píng)價(jià)還可以擴(kuò)展到對(duì)安全和事件日志以及非結(jié)構(gòu)化數(shù)據(jù)的分析。值得注意的是，內(nèi)部審計(jì)部門(mén)（第三道防線）部署的持續(xù)控制評(píng)價(jià)不應(yīng)與業(yè)務(wù)部門(mén)（第一道防線）和風(fēng)險(xiǎn)管理部門(mén)（第二道防線）實(shí)施的持續(xù)監(jiān)測(cè)舉措相混淆。

3.持續(xù)性風(fēng)險(xiǎn)監(jiān)測(cè)。Vasarhelyi和Alles（2004）建議將持續(xù)性風(fēng)險(xiǎn)監(jiān)測(cè)納入持續(xù)性審計(jì)的定義中。內(nèi)部審計(jì)部門(mén)監(jiān)測(cè)選定的關(guān)鍵指標(biāo)，以發(fā)現(xiàn)風(fēng)險(xiǎn)的重大變化。風(fēng)險(xiǎn)指標(biāo)的任何變化都會(huì)被考慮納入審計(jì)計(jì)劃，或者告知管理層。例如，IT安全事件的增加可能是系統(tǒng)泄密的一個(gè)表征指標(biāo)。此類持續(xù)性審計(jì)可以為確定企業(yè)年度審計(jì)計(jì)劃的重點(diǎn)領(lǐng)域提供重要支持，也可以及時(shí)辨識(shí)企業(yè)新出現(xiàn)或變化的風(fēng)險(xiǎn)。

4.持續(xù)性合規(guī)監(jiān)測(cè)。企業(yè)外部政策法治環(huán)境的不斷變化以及國(guó)際化、全球化的經(jīng)營(yíng)，極大地提高了企業(yè)對(duì)法律法規(guī)合規(guī)性的要求，Bumgarner和Vasarhelyi（2015）將持續(xù)性合規(guī)監(jiān)測(cè)作為第四類持續(xù)性審計(jì)，這也是企業(yè)內(nèi)部審計(jì)部門(mén)的重要職責(zé)。

（三） 持續(xù)性審計(jì)的特征

1.審計(jì)過(guò)程的連續(xù)性。持續(xù)性審計(jì)強(qiáng)調(diào)將審計(jì)工作完全融入組織生產(chǎn)經(jīng)營(yíng)全過(guò)程。持續(xù)性審計(jì)模式下，審計(jì)進(jìn)程、風(fēng)險(xiǎn)評(píng)估、控制評(píng)估、審計(jì)報(bào)告等都是持續(xù)進(jìn)行的，持續(xù)性開(kāi)展審計(jì)計(jì)劃、評(píng)估和報(bào)告。實(shí)時(shí)、持續(xù)、循環(huán)式的審計(jì)流程可以有效預(yù)防和控制風(fēng)險(xiǎn)，對(duì)于高風(fēng)險(xiǎn)的項(xiàng)目尤為重要。

2.審計(jì)信息的及時(shí)性。持續(xù)性審計(jì)的最基本特征就是實(shí)時(shí)性，要求審計(jì)系統(tǒng)能夠及時(shí)提供審計(jì)信息。傳統(tǒng)審計(jì)模式大多為事后審計(jì)，不能滿足實(shí)時(shí)性的需求，事后審計(jì)無(wú)法幫助組織有效做出預(yù)見(jiàn)性決策。持續(xù)性審計(jì)則可以實(shí)現(xiàn)事前、事中、事后的全時(shí)域、全方位審計(jì)，并及時(shí)提供實(shí)時(shí)性審計(jì)信息。

3.審計(jì)程序的自動(dòng)化和智能化。分析處理大量數(shù)據(jù)要求持續(xù)性審計(jì)系統(tǒng)擁有精準(zhǔn)的數(shù)據(jù)分析工具，實(shí)時(shí)監(jiān)測(cè)和監(jiān)控被審計(jì)單位的狀況，然后通過(guò)網(wǎng)絡(luò)觸發(fā)器對(duì)被審計(jì)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警，這些均要求持續(xù)性審計(jì)系統(tǒng)的審計(jì)程序必須高度自動(dòng)化和智能化。而大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈、流程自動(dòng)化與人工智能等新一代信息技術(shù)在審計(jì)中的深度應(yīng)用，為持續(xù)性審計(jì)系統(tǒng)的有效運(yùn)轉(zhuǎn)提供了極佳的環(huán)境。

三、傳統(tǒng)審計(jì)到持續(xù)性審計(jì)的發(fā)展歷程

（一）傳統(tǒng)審計(jì)階段

傳統(tǒng)審計(jì)技術(shù)的特點(diǎn)是手工程序，通常以抽樣為基礎(chǔ)，其中也包括專門(mén)的數(shù)據(jù)分析。內(nèi)部審計(jì)人員使用的數(shù)據(jù)分析主要是對(duì)各種形式的數(shù)據(jù)進(jìn)行識(shí)別、收集、驗(yàn)證、分析和解釋。傳統(tǒng)審計(jì)技術(shù)涵蓋數(shù)據(jù)分析的初始階段，即專案分析、應(yīng)用分析和管理分析，此時(shí)的數(shù)據(jù)分析通常只是一種替代人工程序的方法，并沒(méi)有改變審計(jì)的總體目標(biāo)和范圍。（1）專案分析（Ad hoc analytics）。專案分析是商業(yè)智能（Business Intelligence，BI）過(guò)程，旨在通過(guò)綜合使用多源數(shù)據(jù)來(lái)回答一個(gè)特定的商業(yè)問(wèn)題，以便幫助利益相關(guān)者做出科學(xué)的評(píng)估并給出可行的應(yīng)對(duì)措施。如針對(duì)銷售量下降這一特定的商業(yè)問(wèn)題，當(dāng)現(xiàn)有分析報(bào)告沒(méi)有或不能回答這個(gè)問(wèn)題時(shí)，為獲得更多的細(xì)節(jié)信息并給出問(wèn)題的解決方案，用戶可以選擇數(shù)據(jù)源，根據(jù)問(wèn)題需要建立統(tǒng)計(jì)模型，以圖表、表格和交叉分析等多種形式呈現(xiàn)分析結(jié)果。然而，在沒(méi)有標(biāo)準(zhǔn)方法和文件的情況下，專案分析通常難以重復(fù)。（2）應(yīng)用分析（The applied analytics）。應(yīng)用分析的特點(diǎn)是將分析融入審計(jì)流程，并主要在審計(jì)實(shí)務(wù)工作中使用，也可用于制訂審計(jì)計(jì)劃，例如確定財(cái)務(wù)報(bào)表趨勢(shì)。（3）管理分析（The managed analytics）。管理分析提出了一種控制方法，利用開(kāi)發(fā)的標(biāo)準(zhǔn)分析程序?qū)械臄?shù)據(jù)進(jìn)執(zhí)行分析應(yīng)用，相關(guān)數(shù)據(jù)、審計(jì)程序和結(jié)果也將集中保留。雖然應(yīng)用和管理分析層次的自動(dòng)化程度更高，且有可能通過(guò)實(shí)施可重復(fù)的審計(jì)，發(fā)展為持續(xù)性審計(jì)分析程序，然而我們通常仍把這些具有某些持續(xù)性審計(jì)的特征的分析方法劃歸為傳統(tǒng)審計(jì)。

（二）持續(xù)性審計(jì)階段

有別于傳統(tǒng)審計(jì)階段，持續(xù)性審計(jì)階段數(shù)據(jù)分析的目標(biāo)、范圍和時(shí)間均有所不同。持續(xù)性審計(jì)技術(shù)通常源于深度的數(shù)據(jù)分析和從以前的審計(jì)中獲得的經(jīng)驗(yàn)教訓(xùn)，分析程序的使用更具系統(tǒng)、更加頻繁，并超越了特定審計(jì)業(yè)務(wù)的時(shí)空范圍。雖然數(shù)據(jù)分析被認(rèn)為是持續(xù)性審計(jì)的先導(dǎo)，但數(shù)據(jù)分析技術(shù)的應(yīng)用并不意味著持續(xù)性審計(jì)也得到了實(shí)施。基于活動(dòng)的成熟度評(píng)估，數(shù)據(jù)分析的初始階段，即專案分析、應(yīng)用分析和管理分析，在實(shí)現(xiàn)更高程度的自動(dòng)化之前，通常不被認(rèn)為是持續(xù)性審計(jì)。自動(dòng)分析（The automated analytics）是持續(xù)性審計(jì)的第一個(gè)成熟度水平，由于分析邏輯是在程序腳本中捕獲的，分析程序可重復(fù)，并且可以自動(dòng)實(shí)施。

隨著自動(dòng)化程度的提高和管理水平的提升，持續(xù)性審計(jì)舉措會(huì)逐漸趨于成熟，達(dá)到高成熟度的持續(xù)保證。持續(xù)保證（Continuous Assurance）是內(nèi)部審計(jì)人員將持續(xù)性審計(jì)過(guò)程和對(duì)財(cái)務(wù)、運(yùn)營(yíng)和IT管理部門(mén)開(kāi)展的持續(xù)監(jiān)控活動(dòng)的有機(jī)結(jié)合，持續(xù)性審計(jì)和持續(xù)性監(jiān)控共同構(gòu)成了持續(xù)性保證。如圖2所示，其中持續(xù)性監(jiān)控是由第一和第二道防線共同進(jìn)行的一個(gè)過(guò)程，目的是持續(xù)監(jiān)測(cè)控制措施，以確定內(nèi)部控制措施是否有效運(yùn)行。由于持續(xù)性審計(jì)和持續(xù)性監(jiān)控都起源于數(shù)據(jù)分析，管理層采用的許多持續(xù)監(jiān)控技術(shù)可能與內(nèi)部審計(jì)人員采用的持續(xù)性審計(jì)技術(shù)重疊。因此，持續(xù)性審計(jì)與持續(xù)性監(jiān)控之間存在著緊密的聯(lián)系，內(nèi)部審計(jì)部門(mén)應(yīng)根據(jù)管理層持續(xù)監(jiān)控過(guò)程的充分性來(lái)調(diào)整持續(xù)性審計(jì)工作的程度。

因此，持續(xù)性保證是一種實(shí)施組合保證的有效模式，其中三道防線中的部門(mén)管理、風(fēng)險(xiǎn)管理和內(nèi)部審計(jì)是該模式中三個(gè)重要的保證提供者，如果這些保證提供者將持續(xù)性審計(jì)和持續(xù)監(jiān)控有機(jī)融結(jié)合，營(yíng)造一個(gè)集成有效的組合保證環(huán)境，有助于保證內(nèi)部決策和外部報(bào)告信息的真實(shí)性和完整性，如圖3所示。

四、內(nèi)部審計(jì)的管理職能

內(nèi)部審計(jì)負(fù)責(zé)為組織治理和風(fēng)險(xiǎn)管理工作的適當(dāng)性和有效性提供獨(dú)立且客觀的確認(rèn)和咨詢。旨在評(píng)估控制環(huán)境的有效性，改進(jìn)組織業(yè)務(wù)，提升組織價(jià)值。因此，它是一種評(píng)估和改進(jìn)風(fēng)險(xiǎn)管理、內(nèi)部控制和公司治理實(shí)踐有效性的規(guī)范程序和方法。2002年美國(guó)《薩班斯-奧克斯利法案》的出臺(tái)，迫使高級(jí)管理人員走上了確立目標(biāo)、識(shí)別風(fēng)險(xiǎn)和建立控制措施以降低風(fēng)險(xiǎn)的道路。與會(huì)計(jì)、市場(chǎng)和銷售等其他職能一樣，內(nèi)部審計(jì)也是一種管理職能，具有一定的管理任務(wù)、組織模式和對(duì)成員行為的影響。下面將對(duì)這些進(jìn)行進(jìn)一步探討。

（一）內(nèi)部審計(jì)的目標(biāo)任務(wù)

內(nèi)部審計(jì)的總體目標(biāo)是確保組織治理，這涉及管理協(xié)調(diào)組織內(nèi)部多個(gè)主體之間的關(guān)系，以確定組織的方向和績(jī)效。這一目標(biāo)是通過(guò)推進(jìn)三項(xiàng)主要任務(wù)來(lái)實(shí)現(xiàn)的，即推進(jìn)公司問(wèn)責(zé)制的執(zhí)行、完善風(fēng)險(xiǎn)管理和建立健全內(nèi)部控制。

1.推進(jìn)公司問(wèn)責(zé)制的執(zhí)行。重點(diǎn)是構(gòu)建組織的整體問(wèn)責(zé)制框架，包括公司利益相關(guān)者為確保對(duì)管理和財(cái)務(wù)業(yè)績(jī)的適當(dāng)問(wèn)責(zé)而采用的制度、規(guī)則、關(guān)系和程序框架。一些治理機(jī)制（如審計(jì)委員會(huì)和內(nèi)部控制制度）是組織內(nèi)部的，而另一些則是由外部的監(jiān)管機(jī)構(gòu)、立法部門(mén)來(lái)組織實(shí)施。執(zhí)行公司問(wèn)責(zé)任務(wù)的一個(gè)重要方面是審計(jì)報(bào)告，以對(duì)公司財(cái)務(wù)報(bào)表是否存在重大錯(cuò)報(bào)發(fā)表獨(dú)立鑒證意見(jiàn)，為此必須獲取充分適當(dāng)?shù)淖C據(jù)來(lái)形成和支持這一意見(jiàn)。相關(guān)的任務(wù)包括制定總體審計(jì)戰(zhàn)略和具體審計(jì)計(jì)劃，并執(zhí)行各類嚴(yán)格的審計(jì)測(cè)試，以產(chǎn)生可用于對(duì)財(cái)務(wù)報(bào)表的合法性和公允性形成意見(jiàn)的證據(jù)。

2.完善風(fēng)險(xiǎn)管理。COSO委員會(huì)將風(fēng)險(xiǎn)管理定義為“董事會(huì)、管理層和其他人員制定戰(zhàn)略和實(shí)施過(guò)程的程序，旨在確定可能影響組織的潛在風(fēng)險(xiǎn)事件，并將風(fēng)險(xiǎn)控制在其風(fēng)險(xiǎn)承受范圍內(nèi)，為實(shí)現(xiàn)組織目標(biāo)提供合理的保證”。COSO框架認(rèn)為組織的戰(zhàn)略、業(yè)務(wù)、報(bào)告和合規(guī)目標(biāo)都有相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)由內(nèi)外部事件引起，可能會(huì)抑制一個(gè)組織實(shí)現(xiàn)其目標(biāo)的能力。因此，企業(yè)實(shí)行風(fēng)險(xiǎn)管理，以識(shí)別、分類、監(jiān)測(cè)和應(yīng)對(duì)可能影響本組織實(shí)現(xiàn)其目標(biāo)和任務(wù)能力的風(fēng)險(xiǎn)。這包括為識(shí)別、披露和緩解風(fēng)險(xiǎn)制定合適的政策，設(shè)計(jì)和實(shí)施風(fēng)險(xiǎn)管理和嚴(yán)格的內(nèi)部控制制度。

3.建立健全內(nèi)部控制。內(nèi)部控制是“組織的董事會(huì)、管理層和員工為實(shí)現(xiàn)經(jīng)營(yíng)的效率和效果、財(cái)務(wù)和管理報(bào)告的可靠性、法律法規(guī)遵循以及資產(chǎn)安全完整等目標(biāo)提供合理保證而實(shí)施的控制政策和程序”。因此，內(nèi)部控制是組織全員參與的，旨在為保障組織目標(biāo)實(shí)現(xiàn)而采取的任何行動(dòng)，包括管理層設(shè)計(jì)、實(shí)施和維護(hù)內(nèi)部控制和財(cái)務(wù)報(bào)告流程，以便保障財(cái)務(wù)和非財(cái)務(wù)信息的可靠性。

（二）內(nèi)部審計(jì)的組織模式

組織中的內(nèi)部審計(jì)主要有兩重組織模式，一是整個(gè)組織中公司治理、風(fēng)險(xiǎn)管理和內(nèi)部控制的組織;二是內(nèi)部審計(jì)部門(mén)自身的組織。首先，當(dāng)前，公司治理、風(fēng)險(xiǎn)管理和內(nèi)部控制的主要組織設(shè)置遵循三道防線理論。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）2013年發(fā)布的三道防線模型被看作是良好組織治理和風(fēng)險(xiǎn)管理的基礎(chǔ)性指引，原版三道防線模型主要關(guān)注助力組織降低和控制風(fēng)險(xiǎn)，但是隨著新興風(fēng)險(xiǎn)的出現(xiàn)，組織面臨的外部環(huán)境也越來(lái)越復(fù)雜多變，原有模型在突出價(jià)值創(chuàng)造、各利益相關(guān)方密切協(xié)作方面仍有待完善。為此，IIA牽頭完成了對(duì)模型的修訂，并于2020年7月正式發(fā)布全新的“三線模型”，如圖4所示。第一線是組織為客戶提供產(chǎn)品和/或服務(wù)的前沿職能，包含支持性部門(mén)，負(fù)責(zé)管理風(fēng)險(xiǎn)，并實(shí)施有效的控制策略和程序。第二線是負(fù)責(zé)協(xié)助開(kāi)展風(fēng)險(xiǎn)管理工作的風(fēng)險(xiǎn)管理部門(mén)，以監(jiān)督、審查和測(cè)試第一道防線風(fēng)險(xiǎn)控制的有效性。第三線是內(nèi)部審計(jì)部門(mén)，獨(dú)立評(píng)估并提供關(guān)于第一和第二道防線的充分性和有效性的意見(jiàn)，以向董事會(huì)、審計(jì)委員會(huì)、首席執(zhí)行官和利益相關(guān)者提供保證。因此，內(nèi)部審計(jì)職能被認(rèn)為是公司風(fēng)險(xiǎn)管控系統(tǒng)的重要組成部分。其次，至于內(nèi)部審計(jì)部門(mén)自身的組織，必須考慮內(nèi)部審計(jì)職能的固有角色。自20世紀(jì)40年代初以來(lái)，這些角色伴隨著組織環(huán)境變遷而不斷演變，主要包括風(fēng)險(xiǎn)評(píng)估、提供控制保證、合規(guī)性保證和面向經(jīng)營(yíng)管理的咨詢，旨在提高組織的效率和效果，提升組織價(jià)值創(chuàng)造能力和水平。

（三）內(nèi)部審計(jì)的行為影響

理念和行為是公司治理、風(fēng)險(xiǎn)管理和內(nèi)部控制的重要因素。如果內(nèi)部審計(jì)職能的發(fā)揮不會(huì)促發(fā)組織成員行為的改變，進(jìn)而提高效率和效果，那么其存在的價(jià)值就會(huì)受到質(zhì)疑。貝克爾在犯罪經(jīng)濟(jì)學(xué)方面的研究為阻止不誠(chéng)實(shí)行為提供了洞見(jiàn)，認(rèn)為當(dāng)處罰越嚴(yán)重，犯罪行為被發(fā)現(xiàn)的可能性越大時(shí)，有助于阻止個(gè)體的犯罪行為。員工的舞弊行為與被發(fā)現(xiàn)的認(rèn)知成反比，因此，與加強(qiáng)制裁相比，提高偵查感知可能是阻止員工舞弊的有效手段。欺詐威懾計(jì)劃營(yíng)造了一種抑制組織利益相關(guān)者實(shí)施舞弊行為的內(nèi)部環(huán)境，這通常是通過(guò)各種機(jī)制實(shí)現(xiàn)的，包括使用持續(xù)性審計(jì)系統(tǒng)（Singh & Best，2015）。然而，即使是最好的持續(xù)性審計(jì)技術(shù)也可能會(huì)被串通或管理層凌駕所規(guī)避。因此，組織在防范員工舞弊和欺詐時(shí)，需要實(shí)現(xiàn)從舞弊預(yù)防到舞弊威懾的范式轉(zhuǎn)變，以創(chuàng)建有助于防范舞弊和欺詐的環(huán)境。遵循這一思路，企業(yè)在內(nèi)部審計(jì)中實(shí)施持續(xù)性審計(jì)，通過(guò)持續(xù)性欺詐預(yù)防和舞弊威懾計(jì)劃，改善組織的內(nèi)部環(huán)境，進(jìn)而最大限度地改變員工的行為認(rèn)知，將有助于從源頭上遏制員工的舞弊和欺詐行為。

五、基于持續(xù)性審計(jì)的內(nèi)部審計(jì)框架構(gòu)建

信息系統(tǒng)是為了方便組織的規(guī)劃、控制、協(xié)調(diào)和決策而整合起來(lái)的硬件、軟件、基礎(chǔ)設(shè)施、流程和人力資源的組合。企業(yè)中的信息系統(tǒng)有不同的類型，包括管理信息系統(tǒng)、知識(shí)管理系統(tǒng)、決策支持系統(tǒng)和執(zhí)行信息系統(tǒng)等。不同類型的信息系統(tǒng)具有一些共同的特點(diǎn)。（1）數(shù)據(jù)管理，包括從不同數(shù)據(jù)庫(kù)訪問(wèn)數(shù)據(jù)、處理數(shù)據(jù)以及不同來(lái)源和目的地之間的數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析。（2）數(shù)據(jù)分析，商業(yè)智能的數(shù)據(jù)分析框架將數(shù)據(jù)分析劃分為描述性分析、診斷性分析、預(yù)測(cè)性分析和規(guī)范性分析。其中描述性分析（Descriptive analysis）旨在回答過(guò)去發(fā)生了什么，通過(guò)將過(guò)去和當(dāng)前數(shù)據(jù)轉(zhuǎn)換為總結(jié)性、概括性的報(bào)告、圖表、數(shù)據(jù)透視表等形式，幫助審計(jì)人員全面、高效地了解被審計(jì)單位當(dāng)前經(jīng)營(yíng)狀況和財(cái)務(wù)業(yè)績(jī)。診斷性分析（Diagnostic analysis）旨在分析為什么會(huì)發(fā)生，詮釋當(dāng)前結(jié)果的原因，以便識(shí)別異常并揭示多個(gè)變量直接未知的連接、模式和關(guān)系。預(yù)測(cè)性分析（Predictive analysis）旨在回答將來(lái)可能會(huì)發(fā)生什么，它利用各種統(tǒng)計(jì)、建模、數(shù)據(jù)挖掘工具對(duì)一定時(shí)間內(nèi)累積的歷史數(shù)據(jù)進(jìn)行研究，從而對(duì)未來(lái)進(jìn)行預(yù)測(cè)。規(guī)范性分析（Prescriptive analysis）旨在回答如何做得更好或者應(yīng)該如何改善，針對(duì)前述現(xiàn)狀和問(wèn)題分析給出相應(yīng)的解決方案和行動(dòng)建議（吳勇等，2020）。（3）流程支持，即支持審計(jì)流程、法律流程、合規(guī)流程的功能。而一些解決方案中的流程支持具有和知識(shí)管理系統(tǒng)類似的功能，如包括文件管理、內(nèi)容管理和知識(shí)共享等，允許安全、可追溯和可審計(jì)地存儲(chǔ)、共享和管理文件，具有電子簽名驗(yàn)證和內(nèi)容更改跟蹤的功能。（4）信息傳遞，涵蓋報(bào)告和可視化信息的功能，如通過(guò)儀表盤(pán)和記分卡，能夠更加直觀形象地展示企業(yè)的各種情況。上述這些功能是持續(xù)性審計(jì)系統(tǒng)解決方案的重要構(gòu)成要素。

構(gòu)建基于持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)框架，除關(guān)注持續(xù)性審計(jì)所基于的具體技術(shù)之外，還應(yīng)該關(guān)注：持續(xù)性審計(jì)系統(tǒng)如何與內(nèi)部審計(jì)的管理職能互動(dòng)并對(duì)其產(chǎn)生影響;內(nèi)部審計(jì)職能還會(huì)受到哪些情境變量的影響;在各種情況下采納、執(zhí)行和應(yīng)用持續(xù)性審計(jì)系統(tǒng)會(huì)產(chǎn)生何種結(jié)果和績(jī)效。筆者所構(gòu)建的持續(xù)性審計(jì)系統(tǒng)與內(nèi)部審計(jì)之間關(guān)系的框架如圖5所示。

（一）內(nèi)部審計(jì)和持續(xù)性審計(jì)系統(tǒng)

引入持續(xù)性審計(jì)系統(tǒng)后，要求審計(jì)人員改變思維模式，超越其傳統(tǒng)的業(yè)務(wù)保障角色范圍，當(dāng)涉及公司治理、風(fēng)險(xiǎn)管理和內(nèi)部控制時(shí)，持續(xù)性審計(jì)系統(tǒng)的應(yīng)用將可能會(huì)影響審計(jì)人員和審計(jì)委員會(huì)的作用和決策，成為公司戰(zhàn)略發(fā)展和價(jià)值提升的咨詢顧問(wèn)。在職能方面，內(nèi)部審計(jì)與業(yè)務(wù)高度關(guān)聯(lián)，治理、風(fēng)險(xiǎn)與合規(guī)遵從（Governance， Risk and Compliance，GRC）技術(shù)將三道防線融合在一個(gè)公共平臺(tái)，進(jìn)行協(xié)作和信息交換，通過(guò)技術(shù)實(shí)現(xiàn)靈活且動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估作業(yè)流程，使內(nèi)部審計(jì)能夠覆蓋不斷變化的風(fēng)險(xiǎn)藍(lán)圖;在工具技術(shù)方面，基于分析的測(cè)試將焦點(diǎn)從傳統(tǒng)的基于底稿樣本的審計(jì)程序轉(zhuǎn)移到數(shù)據(jù)分析和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)的識(shí)別;從執(zhí)行傳統(tǒng)審計(jì)到依靠自動(dòng)化審計(jì)，審計(jì)將通過(guò)機(jī)器人和機(jī)器學(xué)習(xí)增強(qiáng)數(shù)字化能力，以同時(shí)滿足對(duì)數(shù)據(jù)處理的大容量、高速和復(fù)雜性要求;采用持續(xù)性監(jiān)控，將審計(jì)重點(diǎn)從風(fēng)險(xiǎn)監(jiān)測(cè)轉(zhuǎn)向事前的風(fēng)險(xiǎn)預(yù)防和事中的實(shí)時(shí)控制。鑒于基礎(chǔ)財(cái)務(wù)數(shù)據(jù)是持續(xù)性審計(jì)執(zhí)行預(yù)警和異常報(bào)告的基礎(chǔ)，持續(xù)性審計(jì)與企業(yè)系統(tǒng)之間呈現(xiàn)高度的數(shù)據(jù)集成，數(shù)據(jù)、硬件/軟件和信息的高度集成會(huì)給內(nèi)部控制等帶來(lái)諸多挑戰(zhàn)。而且現(xiàn)有的內(nèi)審職能可能不再是內(nèi)部審計(jì)部門(mén)的唯一領(lǐng)域，內(nèi)審的角色可能會(huì)與信息系統(tǒng)審計(jì)、質(zhì)量審計(jì)和合規(guī)審計(jì)等角色融合，進(jìn)而影響內(nèi)部審計(jì)師的作用和角色。

（二）采納、執(zhí)行和應(yīng)用持續(xù)性審計(jì)系統(tǒng)

加強(qiáng)頂層設(shè)計(jì)和戰(zhàn)略規(guī)劃，確保包括持續(xù)性審計(jì)系統(tǒng)在內(nèi)的信息系統(tǒng)發(fā)展與組織目標(biāo)相一致。基于創(chuàng)新擴(kuò)散模型（Rogers， 1995），組織采納、執(zhí)行和應(yīng)用持續(xù)性審計(jì)系統(tǒng)會(huì)受組織支持、外部壓力、感知的收益和組織文化等因素影響和制約。成本、支持、源代碼訪問(wèn)、可靠性、學(xué)習(xí)曲線、兼容性和許可等問(wèn)題，也會(huì)影響企業(yè)選擇自主開(kāi)發(fā)還是外部購(gòu)買持續(xù)性審計(jì)系統(tǒng)。

（三）組織情境因素

持續(xù)性審計(jì)系統(tǒng)建設(shè)大多是戰(zhàn)略性的，這意味著管理層的承諾和支持至關(guān)重要，其他重要的組織情境因素還包括組織文化和組織規(guī)模等。組織在開(kāi)發(fā)和實(shí)施信息系統(tǒng)時(shí)，技術(shù)接受度是一個(gè)重要的問(wèn)題。技術(shù)接受模型（Technology Acceptance Model，TAM）認(rèn)為，技術(shù)有用性、技術(shù)易用性和感知的行為控制等會(huì)影響個(gè)體對(duì)持續(xù)性審計(jì)系統(tǒng)的接受和使用。專業(yè)知識(shí)、經(jīng)驗(yàn)背景、社會(huì)心理特征或計(jì)算機(jī)焦慮等個(gè)體特征也會(huì)影響接受度。此外，組織培訓(xùn)、管理支持或任務(wù)特征等外部因素也會(huì)影響接受度。

持續(xù)性審計(jì)系統(tǒng)是在計(jì)算機(jī)軟件中實(shí)現(xiàn)的，需要明確的定義和規(guī)則。因此，準(zhǔn)則制定者需要適時(shí)制定和修訂會(huì)計(jì)和審計(jì)準(zhǔn)則，助力持續(xù)性審計(jì)系統(tǒng)的有效實(shí)施，以確保審計(jì)質(zhì)量。大數(shù)據(jù)環(huán)境下給眾多組織的會(huì)計(jì)和審計(jì)職能帶來(lái)眾多挑戰(zhàn)，海量、多源、異構(gòu)、不穩(wěn)定和快速擴(kuò)展的數(shù)據(jù)集將為審計(jì)過(guò)程提供更多類型的審計(jì)證據(jù)，將這些證據(jù)納入到基于持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)也至關(guān)重要（Alles & Grey，2016）。

（四）結(jié)果與績(jī)效

持續(xù)性審計(jì)系統(tǒng)的成功實(shí)施是由使用結(jié)果驅(qū)動(dòng)的，其結(jié)果必須綜合考慮技術(shù)的進(jìn)步、審計(jì)模式的變化及其對(duì)組織的影響。一方面，基于持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)使得審計(jì)人員能夠自動(dòng)化地評(píng)價(jià)、監(jiān)督管理層，并能夠更頻繁地進(jìn)行控制和風(fēng)險(xiǎn)評(píng)估，還可以促進(jìn)全組織內(nèi)部審計(jì)和控制活動(dòng)的協(xié)調(diào)，改善組織各部門(mén)、各層級(jí)之間的溝通和信息交流，能夠有效降低審計(jì)成本，提升審計(jì)效率，提高保證和內(nèi)部審計(jì)對(duì)組織的感知價(jià)值，并能夠?qū)M織整體績(jī)效產(chǎn)生積極影響。另一方面，持續(xù)性審計(jì)系統(tǒng)的投資和創(chuàng)新會(huì)對(duì)組織價(jià)值、生產(chǎn)力、組織效率等產(chǎn)生影響，進(jìn)而會(huì)帶來(lái)組織服務(wù)、利潤(rùn)、市場(chǎng)價(jià)值等方面的績(jī)效改善，特別是持續(xù)性審計(jì)系統(tǒng)會(huì)對(duì)組織的治理實(shí)踐以及內(nèi)部審計(jì)任務(wù)績(jī)效產(chǎn)生正面的影響。因此，應(yīng)基于更加系統(tǒng)和集成的視角，建立綜合性的分析框架，將應(yīng)用持續(xù)性審計(jì)系統(tǒng)引發(fā)人員的行為變化、創(chuàng)新技術(shù)的使用、持續(xù)性審計(jì)的組織及其應(yīng)用帶來(lái)的組織績(jī)效改善等結(jié)果建立有機(jī)關(guān)聯(lián)，系統(tǒng)明晰內(nèi)部各要素的交互機(jī)理和作用路徑。

六、結(jié)論

持續(xù)性審計(jì)作為一個(gè)多維構(gòu)造，涵蓋持續(xù)性數(shù)據(jù)審計(jì)、持續(xù)性控制評(píng)價(jià)、持續(xù)性風(fēng)險(xiǎn)監(jiān)測(cè)和持續(xù)性合規(guī)監(jiān)測(cè)多個(gè)不同要素，流程重復(fù)且易受風(fēng)險(xiǎn)影響的組織對(duì)持續(xù)性審計(jì)的需求日益增長(zhǎng)。然而，持續(xù)性審計(jì)不僅是一種技術(shù)工具，部分地還是一種對(duì)組織眾多利益相關(guān)者有價(jià)值的信息系統(tǒng);其應(yīng)用不僅是技術(shù)問(wèn)題，還改變了公司治理、風(fēng)險(xiǎn)管理和內(nèi)部控制的方式，因而會(huì)對(duì)內(nèi)部審計(jì)的目標(biāo)任務(wù)、組織模式以及員工行為產(chǎn)生深遠(yuǎn)影響。為此，本研究在明晰持續(xù)性審計(jì)的內(nèi)涵核心特征及其動(dòng)態(tài)演進(jìn)的基礎(chǔ)上，基于管理的視角剖析了內(nèi)部審計(jì)的管理職能，全面關(guān)注持續(xù)性審計(jì)與內(nèi)部審計(jì)功能、組織情境以及績(jī)效結(jié)果之間的系統(tǒng)性聯(lián)系，構(gòu)建了融入持續(xù)性審計(jì)的內(nèi)部審計(jì)系統(tǒng)框架，以便高效成功地將持續(xù)性審計(jì)集成、嵌入于企業(yè)內(nèi)部審計(jì)系統(tǒng)中，更好地推動(dòng)企業(yè)內(nèi)部審計(jì)部門(mén)開(kāi)展持續(xù)性地風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管控，增強(qiáng)監(jiān)督的成效，也幫助管理者能夠更加理性地審視持續(xù)性審計(jì)系統(tǒng)能夠在多大程度上改變組織的流程、風(fēng)險(xiǎn)和控制，進(jìn)而實(shí)現(xiàn)組織的業(yè)務(wù)目標(biāo)。

（作者單位：合肥工業(yè)大學(xué)管理學(xué)院，郵政編碼：230009，電子郵箱：wuyong@hfut.edu.cn）

主要參考文獻(xiàn)

[1]茅芯，李勇，李衛(wèi)星.基于技術(shù)創(chuàng)新的智慧型內(nèi)部審計(jì)的探索與研究[J].中國(guó)內(nèi)部審計(jì)， 2020（11）：25-34

[2]Chan， D.，Vasarhelyi， M. Innovation and practice of continuous auditing[J].International journal of accounting information systems， 2011（12）：152-160

[3]Chiu， V.， Liu， Q. ，Vasarhelyi， M. The development and intellectual structure of continuous auditing research[J]. Journal of Accounting Literature， 2014（33）：37-57

[4]Bumgarner，N.，Vasarhelyi，M.A. Continuous auditing-A new view[R].In AICPA： Audit Analytics and Continuous Audit： Looking Towards the Future， New York： AICPA，2015

[5]Sebastian Weins，Bastian Alm，Tawei Wang.An Integrated Continuous Auditing Approach[J]. Journal of emerging technologies in accounting，2017（2）： 47-57