畢業(yè)論文_連續(xù)性控制監(jiān)控

1、協(xié)助審計：利用IT審計作為出發(fā)點來進行連續(xù)性控制監(jiān)控 Ryan Teeter1 Gerard Brennan2內(nèi)容摘要：近幾年，隨著企業(yè)資源計劃（ERP）系統(tǒng)越來越穩(wěn)健和監(jiān)控平臺的成熟，大公司對內(nèi)部控制的連續(xù)性監(jiān)控的要求也在逐年增長?，F(xiàn)在的問題是如何有效地實施連續(xù)性控制監(jiān)控(CCM)模型。我們遵循對最近收購的一個大型軟件公司進行的IT審計，并與內(nèi)部審計團隊一起創(chuàng)建了一套基于母公司現(xiàn)有審計程序的自動化規(guī)則。在系統(tǒng)審計的最后，大約63%的控制測試成功實現(xiàn)了自動化。此外，由于母公司信息系統(tǒng)的同質(zhì)性，創(chuàng)建的這套規(guī)則和報告可以大規(guī)模的用于其他子公司，而不需要重復(fù)全部的創(chuàng)建過程。本文詳細介紹了將連續(xù)性控制

2、監(jiān)控(CCM)實施的模型用于IT審計的優(yōu)點和局限性。關(guān)鍵詞：連續(xù)性監(jiān)控；連續(xù)性控制監(jiān)控；控制設(shè)置；自動化；重建簡介在提供實時會計和業(yè)務(wù)流程信息方面，信息技術(shù)（IT）已成為基本的驅(qū)動程序。因此，針對這些提供海量信息的信息系統(tǒng)的內(nèi)部控制已變得越來越復(fù)雜且難以評估。這些內(nèi)部控制的評估已得到學(xué)術(shù)界、新聞界和政府監(jiān)管部門的相當(dāng)重視，特別是隨著薩班斯-奧克斯利法案以及后來的審計準(zhǔn)則5的發(fā)布（見Brown等人，2007和Damianides，2005）。理想的情況是，審計人員將利用這一先進技術(shù)帶來的好處去評估信息系統(tǒng)內(nèi)的全部數(shù)據(jù)總體，并利用這些證據(jù)向管理人員證明內(nèi)部控制有效地維護了信息。由COSO委員會定義

3、的內(nèi)部控制的持續(xù)監(jiān)控的相關(guān)政策和程序，旨在防止組織的資產(chǎn)遭受欺詐和錯誤，確保通過這些復(fù)雜的技術(shù)驅(qū)動系統(tǒng)獲得的信息能準(zhǔn)確的反映業(yè)務(wù)往來并具有代表性（2009）。為了響應(yīng)審計人員和管理人員的指導(dǎo)要求，COSO委員會出版了“監(jiān)控內(nèi)部控制系統(tǒng)的指南”，其中提到：有效的監(jiān)控包括：為監(jiān)控建立一個有效的基礎(chǔ)，優(yōu)先設(shè)計和執(zhí)行基于風(fēng)險的監(jiān)控程序，報告結(jié)果，并且跟蹤必要的糾正措施。鑒于信息的實時性，監(jiān)控程序的自動化減少了報告控制故障的延誤時間。這就使得審計人員和管理人員將重點放在及時糾正措施上，而不是定期的手工提取和比較數(shù)據(jù)。凡是應(yīng)用自動化的地方，就可以使用一套規(guī)則或程序集來查詢數(shù)據(jù)，并且可以自動生成一個關(guān)于潛在

4、問題的報告。這些自動化的工具可以作為獨立控制來運行或就其他控制的完整性以中間控制（元控制）的形式提出報告。自動化審計有雙重的好處：首先可以提供更及時的控制故障的反饋；其次可以將審計人員解放出來從而應(yīng)用他們的專業(yè)知識更多地解釋警報和追蹤潛在的控制故障。重要的是，為了（近似于）實時監(jiān)控內(nèi)部控制的狀態(tài)，審計自動化對連續(xù)性控制監(jiān)控（CCM）而言是至關(guān)重要的。盡管存在多種模型證明在內(nèi)部控制的完整性方面連續(xù)性控制監(jiān)控（CCM）如何提供有意義的反饋，大范圍實施連續(xù)性控制監(jiān)控（CCM）的實際結(jié)果卻很少。我們采取的成功實施連續(xù)性控制監(jiān)控（CCM）的基本模型是基于文獻的，見圖1所示。首先，Vasarhelyi等人

5、（2004）認為企業(yè)采用連續(xù)性審計（CA）更容易適應(yīng)現(xiàn)有的內(nèi)部審計程序，而不是從頭開始構(gòu)建一個連續(xù)性控制監(jiān)控（CCM）計劃。第二個因素作為可行性研究的一部分被討論，可行性研究在本文前面提到過。Alles等人（2006）指出利用經(jīng)驗豐富的審計專業(yè)人員的專業(yè)知識可以協(xié)助創(chuàng)建有效且相關(guān)的控制測試?，F(xiàn)有計劃下，連續(xù)性控制監(jiān)控（CCM）需要的控制測試的發(fā)展有相當(dāng)一部分已經(jīng)完成并且在周期性時間表中證明是普遍有效的；只需要控制實現(xiàn)自動化。連續(xù)性控制監(jiān)控（CCM）標(biāo)志著內(nèi)部審計工作的漸進式變革。內(nèi)部審計人員對管理人員而言擔(dān)任顧問的角色，這促成了我們模型中的第三個因素，為實施控制測試的有效性提供驗證和實時反饋。

6、在稍后的時間里，這個反饋可以限制精煉規(guī)則的成本?，F(xiàn)有的審計計劃審計者的專業(yè)知識實時反饋成功的連續(xù)性控制監(jiān)控實施圖1：成功的連續(xù)性控制監(jiān)控實施的參與者利用這個模型，我們提出了一個連續(xù)性控制監(jiān)控（CCM）實施的案例，在本文中它的實施平行于IT審計。在IT審計計劃中定義的這個案例也特別適合于手工審計程序，內(nèi)部審計人員提供相關(guān)的對發(fā)展有效的連續(xù)性控制監(jiān)控（CCM）平臺來說非常必要的專業(yè)知識。為了對文獻中的連接提供支持，本文提供了對以下問題的深刻理解：1） IT審計計劃的自動化能達到何種程度？2） 大規(guī)模連續(xù)性控制監(jiān)控（CCM）實施的特征是什么？3） 審計人員在自動化過程中如何使用自己的專業(yè)知識？我們利

7、用標(biāo)準(zhǔn)案例研究方法來確定我們研究的問題的關(guān)鍵發(fā)展(Stake，1995；Denzin 和 Lincoln，1994)。案例遵循連續(xù)性控制監(jiān)控（CCM）實施的概念驗證，基于以產(chǎn)品生命周期管理為基礎(chǔ)完成的工作，西門子公司最近收購的一個大型軟件部門。這個研究是Alles等人的探索性研究的一個延伸，詳細內(nèi)容見Alles等人（2006）。在本文中，我們確定現(xiàn)有的解決方案可以用來協(xié)助IT審計的自動化并且提出使IT審計程序自動化的考慮，自動化的對象是由西門子的內(nèi)部審計團隊手工執(zhí)行的具有代表性的程序。對和我們一起執(zhí)行IT審計的審計師的貢獻進行小心詳細的檢查，并且我們論述向其他公司推薦這個具體案例的意義，而這些

8、公司可能希望使自己審計方案正規(guī)化和自動化。我們最后以關(guān)鍵點和未來研究機會的小結(jié)來結(jié)束。審計自動化和連續(xù)性控制監(jiān)控的概述審計自動化是手工審計程序正規(guī)化和創(chuàng)建工具的過程，它將提供與IT審計類似的輸出。審計程序自動化的需求由大企業(yè)的一般業(yè)務(wù)流程自動化推動（Keenoy，1958；Alles等，2009）。管理人員使用這些系統(tǒng)提供的信息來幫助實現(xiàn)公司的目標(biāo)并提供遵守的條例。隨著技術(shù)的進步，會計信息系統(tǒng)可以提供（近似于）實時的財務(wù)數(shù)據(jù)，根據(jù)管理人員的要求評估風(fēng)險以及解決所發(fā)生的控制弱點，而不是在單獨的定期的時間間隔開發(fā)穩(wěn)健的連續(xù)性控制監(jiān)控（CCM）平臺以及工具（Brown等，2007；Alles等，20

9、09）。只要實施和運行適當(dāng)，連續(xù)性控制監(jiān)控（CCM）“可以提高整個內(nèi)部控制系統(tǒng)的效率和有效性”（COSO，2009）。此外，在Vasarhelyi等人（2004）提出的模型中，連續(xù)性控制監(jiān)控（CCM）扮演了一個很重要的連續(xù)性保證的角色，為企業(yè)過程有效性的評估提供必要工具。外部審計師也受益于連續(xù)性控制監(jiān)控（CCM），因為他們可能依靠連續(xù)性控制監(jiān)控（CCM）系統(tǒng)的輸出為自己提供審計證據(jù)，正如審計準(zhǔn)則5允許的。連續(xù)性監(jiān)控平臺隨著連續(xù)性控制監(jiān)控（CCM）逐漸增加的通用性和可取性，特別是為了回應(yīng)薩班斯-奧克斯利法案第302和404條款的要求，許多公司正在尋找解決方案，軟件供應(yīng)商已經(jīng)在開發(fā)解決方案，使其能

10、夠更加容易地創(chuàng)建執(zhí)行測試的規(guī)則。很多情況下，這些工具為那些執(zhí)行復(fù)雜SQL數(shù)據(jù)庫查詢的工具提供了用戶友好界面。大型公共會計事務(wù)所對控制監(jiān)控外包的限制也激勵了第三方供應(yīng)商的開發(fā)。Alles等（2006）指出，盡管許多大型公共會計事務(wù)所開發(fā)連續(xù)性控制監(jiān)控（CCM）平臺和內(nèi)部的解決方案，這些解決方案不能被審計客戶獲得，而是往往直接出售給非審計客戶和許多第三方供應(yīng)商。內(nèi)部開發(fā)的傳統(tǒng)審計工具，如西門子的eAudit，在協(xié)助定期審計方面很有成效，但因為實時環(huán)境而使穩(wěn)健性遭到損害。一些由學(xué)術(shù)研究人員創(chuàng)建的自動化工具因性能問題而受到損害（見Alles等，2006）。因此，選擇一個可以處理連續(xù)性控制監(jiān)控（CCM）

11、和提供匹配審計程序的分析的監(jiān)控平臺是必不可少的?？刂圃u價為了提供風(fēng)險評估和測試ERP系統(tǒng)（如SAP，Oracle和其他混合或傳統(tǒng)的系統(tǒng)）的控制，要定期執(zhí)行IT審計（也稱為ERP認證審計）。IT審計具體的控制測試存在于公司現(xiàn)有的業(yè)務(wù)流程中。Alles等（2006）決定進行連續(xù)性控制監(jiān)控（CCM）試點，在現(xiàn)有的審計計劃很少或根本沒有發(fā)生改變的情況下，他們的審計方案中有大約50%的控制測試實現(xiàn)了自動化。另有25%的測試有潛力被規(guī)范化和審計，但為了驗證控制的功能需要大量的重建。將現(xiàn)有的審計計劃作為基礎(chǔ)，有經(jīng)驗的審計人員可以區(qū)分控制風(fēng)險的優(yōu)先次序，并直接測試連續(xù)性控制監(jiān)控（CCM）的規(guī)則，而不是從定期的IT審計中得到標(biāo)準(zhǔn)的和預(yù)期的結(jié)果。專業(yè)詞匯匯總IT audit IT審計 internal controls 內(nèi)部控制continuous controls monitoring（CCM） 連續(xù)性控制監(jiān)控 continuous monitoring 連續(xù)性監(jiān)控enterprise resource planning (ERP) 企業(yè)資源計劃（ERP） reengineering 重建parent company 母公司 subsidiary 子公司controls tests 控制測試 control settings 控制設(shè)置create 創(chuàng)建 acquire 收購Aud