会计流程内嵌审计流程的基本思路探讨
(二)利用基线来实现审计程序自动化
某些审计程序想要实现规范化,不是在技术上不可行,就是成本太高,此时可以考虑采用对基线的监控来实现审计程序的自动化。如果规范化的审计程序是自动化“审计面”,那么通过基线所进行的监控则是自动化“审计点”。基线是对某个时点系统和业务流程设置的一个参照,它是作为后续审计过程中的参照标准。在系统运行过程中,通过将后续时点与基线进行比较,识别偏离基线的情况,借以实现审计自动化。这种方式的优势在于容易实施、成本较低。不足之处在于其审计覆盖面狭窄,且仅仅对那些限制性的控制设置起作用。在进行基线设置的时候,可以采用前次全面审计的结果,也可以通过对内部控制系统进行重新评估来获取。企业经营环境的变化,要求基线也随之调整,这就需要大量的手工工作来验证基线的有效性。所以,在基线设置中还需要在风险和成本之间进行权衡。一般来说,参数值越固定,越适用于基线监控。基线设置并非一蹴而就,在初始设置运行之后的一段时间内需要对监控结果进行仔细分析,审慎决定是否应该对当前基线值进行添加、删除或者修改,直到系统平稳运行为止。控制基准设定好之后,还应定期对其进行评估。
(三)确定持续审计活动的执行频率
持续审计活动的频率将会从对详细交易的实时或接近实时的评价到对详细交易、快照或者综合数据的周期性评价。高频率的持续审计可以提供较高水平的认证,因为持续审计的高频率将导致留给不符合要求的调整或者进行交易的时间有限,而且,执行一些高频率的审计程序,可以减少对那些不能够实现自动化的审计程序的依赖。因此,审计人员可以考虑在持续审计的频率和范围之间进行权衡。
持续审计相对于传统审计之所以能够在一个更高的频率上执行,是因为自动化的持续审计测试可以降低执行风险评估和控制确认的成本。审计频率将不仅取决于所检查的系统或者流程的风险水平,也取决于审计程序的自动化程度和可以使用的资源。比如拥有关键控制的系统可能需要对交易数据进行实时分析;支持年度审计计划的风险评估可能每季度进行一次;用于支持单项审计和对审计建议的追踪可能会在一个特定的基础上进行。
(四)强化持续审计系统生成的警报管理
持续审计系统是企业预警管理系统的一种,该系统一旦发现控制异常或风险增加的情况,会自动生成警报,然后通过电子邮件、短信或自动电话系统通知审计人员,并选择性的通知企业内部相关责任人或管理人员,以促使问题及时得到纠正,防止形成重大控制缺陷或重大风险,从而提升内部控制系统的“免疫力”。警报需要记录的细节应该包括所检测到的结果、关于将要采取什么行动的决策、谁应该被告知、应该何时被告知、期望得到响应的日期。警报有轻重缓急之分,审计人员应该先将这些审计结果进行排序,然后再按照顺序执行。审计警报管理关键不在于如何将警报发送给相关人员,而在于如何解决“警报涌现”的问题。如果出现警报大规模涌现,将不利于审计人员和企业相关人员对这些问题的处理。最糟糕的是,警报涌现可能使得企业相关人员决定全部忽略警报或强迫审计师关闭信息警报开关。产生警报涌现的原因可能是审计系统中发送警报的控制参数设定错误,或者设定的过于保守。通常一个持续审计系统在初次实施的时候,会出现警报涌现的情况,但并不能据此作出结论,因为持续审计系统初次设置的参数通常具有一定的主观性和片面性。在出现这种情况时,应该先对例外报告进行调查,然后对相应的控制参数进行调整,如此反复,不断完善。如果在系统平稳运行一段时间后,再次发生警报涌现,则可能是企业经营环境发生变化的信号,需要重新对原有的控制参数进行评估和调整。
三、审计流程嵌入在我国会计信息化建设中的相关考虑
2009年4月财政部印发的《关于全面推进我国会计信息化工作的指导意见》中提出,未来5-10年要实现大型企事业单位会计信息化与经营管理信息化融合,同时要根据企事业单位内部控制规范的要求,将内部控制流程、关键控制点等固化在信息系统中,促进各单位内部控制规范制度的设计和运行,并形成自我评价报告。2011年9月9日财政部发布的《会计改革与发展“十二五”规划纲要》中重点要求“全面推进会计信息化建设,为会计科学化和精细化管理提供助力”,则再次重申了企业要实现内部控制信息化、内部控制评价报告信息化和内部控制审计信息化。
虽然上述两个文件没有要求将审计流程嵌入会计流程,却明确提出了要将会计流程、业务流程和内部控制流程进行融合。从效率和效果方面考虑可看出,将审计流程嵌入会计流程,通过对会计流程、业务流程和内部控制流程进行实时监控,实现持续审计,无疑是内部审计的发展方向。国际上,普华永道的调查,以及ACL公司和IIA的联合调查都表明,持续审计已经受到了广泛的重视,许多大公司内部审计部门已经开始部分采用了持续审计。IIA和ISACA还专门发布了进行持续审计的指南。在我国,一些特大型企业,如中国石油天然气集团公司,已经能够通过信息化手段随时掌握全国各地加油站交易等相关信息,以此实现集团对所属各单位业务流程的实时监控。
将审计流程嵌入会计流程,需要进行大规模的定制。目前一些主流ERP软件厂商(如SAP、Oracle)推出的“治理、风险管理和法规遵循”解决方案,能够与他们的ERP软件进行集成,实现对业务流程的持续监控。许多ERP软件还内嵌了一些持续监控模块。但这些应用只能局限于某个特定的ERP软件。
要克服大规模定制所带来的高成本,前提是实现会计流程标准化。从我国当前会计信息化发展现状来看,如果能够实现原始凭证基本数据项的统一,建立基于业务事件的财务会计系统标准流程,开发行业标准化的会计核算软件,那么相应的审计流程设计就可以有的放矢,既可以将审计流程作为会计核算软件的一个组成部分,也可以单独设计商品化的持续审计软件。不过这个方案仅仅局限在会计核算领域,待我国会计信息化标准体系建立后,再考虑根据信息资源标准、信息技术控制标准和信息审计标准,来开发实现会计流、业务流、控制流和审计流充分融合的会计信息化软件,或者根据标准制定针对标准会计信息化软件的通用持续审计软件。