基于CRCA模型的持續(xù)性審計(jì)與監(jiān)控系統(tǒng)：模型、技術(shù)和架構(gòu)

吳勇 張律信 何長(zhǎng)添 朱衛(wèi)東

一、引言

近年來，隨著經(jīng)濟(jì)全球化、網(wǎng)絡(luò)信息技術(shù)的發(fā)展以及商業(yè)模式的變革，組織營(yíng)運(yùn)活動(dòng)呈現(xiàn)出全球化、資源集中化、流程自動(dòng)化的特征，使得企業(yè)營(yíng)運(yùn)風(fēng)險(xiǎn)特征發(fā)生重大變化，不再局限于傳統(tǒng)的業(yè)務(wù)風(fēng)險(xiǎn)或財(cái)務(wù)風(fēng)險(xiǎn)，反而可能隱匿于龐雜且“管理者仍自認(rèn)為有效”的標(biāo)準(zhǔn)化流程中（林宜隆等，2014）。傳統(tǒng)審計(jì)大多是事后審計(jì)而非實(shí)時(shí)偵測(cè)，未能及時(shí)偵測(cè)到組織內(nèi)部控制缺陷或隱藏性風(fēng)險(xiǎn)。而且傳統(tǒng)審計(jì)基于抽樣技術(shù)，難以全面?zhèn)刹槔饨灰仔袨榈陌l(fā)生。另外隨著對(duì)治理環(huán)境、風(fēng)險(xiǎn)管理、法律遵循（Governance Risk Compliance,GRC）等議題的持續(xù)關(guān)注，如何以自動(dòng)化作業(yè)程序提供實(shí)時(shí)、準(zhǔn)確的審計(jì)報(bào)告，以便迅速精確地反映企業(yè)各類風(fēng)險(xiǎn)事實(shí)和狀況，將傳統(tǒng)的事后審計(jì)模式提前至實(shí)時(shí)審計(jì)偵測(cè)，以便實(shí)現(xiàn)近乎實(shí)時(shí)、持續(xù)的監(jiān)督防范效果，進(jìn)一步提升審計(jì)的效率和價(jià)值，即“持續(xù)性審計(jì)與監(jiān)控”（Continuous Auditing & Continuous Monitoring，CA/CM），日益成為會(huì)計(jì)、審計(jì)領(lǐng)域的新興議題（Vasarhelyi et al.，2004，2012）。

伴隨著信息科技的快速發(fā)展，商業(yè)作業(yè)流程已進(jìn)入無紙化與網(wǎng)絡(luò)交易的時(shí)代，企業(yè)需要應(yīng)用諸如企業(yè)資源計(jì)劃（ERP）、客戶關(guān)系管理（CRM）、供應(yīng)鏈管理（SCM）、電子商務(wù)（EC）等不同類型的信息系統(tǒng)完成各項(xiàng)營(yíng)運(yùn)活動(dòng)。信息系統(tǒng)架構(gòu)多樣化與復(fù)雜化在提升運(yùn)營(yíng)效率的同時(shí)，也增加了系統(tǒng)質(zhì)量管控難度，易于造成數(shù)據(jù)錯(cuò)誤，并產(chǎn)生更多舞弊的機(jī)會(huì)與可能。如何基于企業(yè)多個(gè)信息系統(tǒng)產(chǎn)生的海量數(shù)據(jù)，進(jìn)行相關(guān)作業(yè)流程的分析與異?，F(xiàn)象的發(fā)掘，已成為新企業(yè)治理時(shí)代審計(jì)人員必須面對(duì)的挑戰(zhàn)。審計(jì)人員亟需將流程挖掘（Process Mining）技術(shù)應(yīng)用到持續(xù)性審計(jì)與監(jiān)控之中，以便能持續(xù)偵測(cè)企業(yè)流程作業(yè)的相關(guān)變化，有效地探測(cè)信息系統(tǒng)流程的異常與弱點(diǎn)，進(jìn)而對(duì)企業(yè)的內(nèi)部控制和流程優(yōu)化提出完善建議。

本研究核心議題是構(gòu)建適應(yīng)于現(xiàn)行信息系統(tǒng)架構(gòu)與功能需求的持續(xù)性審計(jì)與監(jiān)控系統(tǒng)的體系架構(gòu)，以便能實(shí)時(shí)進(jìn)行信息與溝通，及時(shí)、準(zhǔn)確地識(shí)別風(fēng)險(xiǎn)，持續(xù)評(píng)估、監(jiān)控內(nèi)部控制的有效性。為此，本研究首先對(duì)比分析了持續(xù)性審計(jì)與持續(xù)性監(jiān)控的本質(zhì)內(nèi)涵及其異同點(diǎn)，從技術(shù)發(fā)展視角剖析持續(xù)性審計(jì)與監(jiān)控的技術(shù)演進(jìn)歷程，系統(tǒng)總結(jié)梳理持續(xù)性審計(jì)與監(jiān)控的概念模型、架構(gòu)類型及其優(yōu)缺點(diǎn)比較，在此基礎(chǔ)上，基于持續(xù)性風(fēng)險(xiǎn)評(píng)估與控制保證模型（Continuous Risk and Control Assurance Model，CRCA），構(gòu)建了由“持續(xù)性風(fēng)險(xiǎn)評(píng)估模塊”、“持續(xù)性控制監(jiān)督模塊”和“持續(xù)性異常偵測(cè)模塊”三大核心模塊組成的持續(xù)性審計(jì)與監(jiān)控的體系架構(gòu)。

二、相關(guān)概念

（一）持續(xù)性審計(jì)與持續(xù)性監(jiān)督

根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的定義：“持續(xù)性審計(jì)是在可容許的盡可能短的時(shí)間范圍內(nèi)，提供實(shí)時(shí)、準(zhǔn)確的審計(jì)報(bào)告的方法，以便能夠快速、精確地反應(yīng)組織所發(fā)生的事實(shí)或狀況”。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)則指出持續(xù)性審計(jì)是審計(jì)人員使用任何方法持續(xù)不斷地來執(zhí)行審計(jì)相關(guān)的作業(yè)活動(dòng)，其活動(dòng)范圍包含了（Continuous Control Assessment，CCA) 和持續(xù)性風(fēng)險(xiǎn)評(píng)估(Continuous Risk Assessment，CRA) 兩大類型。持續(xù)性控制評(píng)估重點(diǎn)關(guān)注內(nèi)部控制的有效性，而持續(xù)性風(fēng)險(xiǎn)評(píng)估則注重于識(shí)別、評(píng)估風(fēng)險(xiǎn)程度。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)在其全球科技審計(jì)指南（Global Technology Audit Guide，GTAG）第三號(hào)中定義：“持續(xù)性監(jiān)督”是管理當(dāng)局合理確保其政策、程序和業(yè)務(wù)流程有效運(yùn)行的過程，管理當(dāng)局在確定重要關(guān)鍵控制點(diǎn)后，能夠通過自動(dòng)化測(cè)試來確定這些控制執(zhí)行是否正常。持續(xù)性監(jiān)督通常會(huì)涉及到在既定的業(yè)務(wù)流程范圍內(nèi)，按照一組控制規(guī)則，對(duì)所有交易和系統(tǒng)活動(dòng)進(jìn)行自動(dòng)化測(cè)試（內(nèi)部審計(jì)協(xié)會(huì)，2011）。

持續(xù)性審計(jì)和持續(xù)性監(jiān)督兩者的重要差異在于執(zhí)行主體的不同。一般組織內(nèi)的風(fēng)險(xiǎn)管理架構(gòu)可分為管理與治理兩道防線（業(yè)務(wù)管理者與管理制度制定者），持續(xù)性監(jiān)督是由管理層驅(qū)動(dòng)，而持續(xù)性審計(jì)則由內(nèi)部審計(jì)部門執(zhí)行，可作為風(fēng)險(xiǎn)管理的第三道防線，提供進(jìn)一步的確認(rèn)（KPMG，2012）。表1從責(zé)任部門、工作重點(diǎn)、效益等方面，對(duì)比分析了持續(xù)性監(jiān)控與持續(xù)性審計(jì)差異。雖然持續(xù)性審計(jì)和持續(xù)性監(jiān)督存在一些差異，但是兩者均以改善企業(yè)流程、提升企業(yè)價(jià)值為最終目標(biāo)，“持續(xù)性確認(rèn)”通過整合管理部門的“持續(xù)性監(jiān)控”責(zé)任及內(nèi)部審計(jì)部門的“持續(xù)性審計(jì)”，實(shí)現(xiàn)持續(xù)評(píng)估內(nèi)部控制的有效性。而且在某些情形下，企業(yè)可以將“持續(xù)性審計(jì)”程序移轉(zhuǎn)給營(yíng)運(yùn)作業(yè)部門，由營(yíng)運(yùn)作業(yè)部門執(zhí)行“持續(xù)性監(jiān)控”的程序。當(dāng)持續(xù)性審計(jì)與持續(xù)性監(jiān)督有效結(jié)合時(shí)，將可在企業(yè)的營(yíng)運(yùn)流程范圍內(nèi)，對(duì)控制有效性與交易完整性提供持續(xù)確保的水平。

（二）持續(xù)性審計(jì)與監(jiān)控和傳統(tǒng)審計(jì)或管理控制的關(guān)系

持續(xù)性審計(jì)與監(jiān)控和傳統(tǒng)以定期方式進(jìn)行的審計(jì)監(jiān)督最大的差異，除了強(qiáng)調(diào)“持續(xù)進(jìn)行”的模式之外，更加強(qiáng)調(diào)風(fēng)險(xiǎn)導(dǎo)向型審計(jì)。然而，這兩者之間是否存在著沖突和替代的關(guān)系呢？審計(jì)人員應(yīng)視CA/CM為另一種形式的監(jiān)督控制計(jì)劃，其主要目的是及時(shí)地協(xié)助管理者掌握風(fēng)險(xiǎn)狀況、降低企業(yè)風(fēng)險(xiǎn)；而定期審計(jì)計(jì)劃則應(yīng)從整體視角定期、全面性地檢查各類、各層級(jí)控制的實(shí)施績(jī)效和適用性。因此，CA/CM比較接近于控制作用持續(xù)性改善的即時(shí)監(jiān)督機(jī)制，而定期審計(jì)計(jì)劃也仍應(yīng)進(jìn)行，但可調(diào)整定位為較全面性的再造工程。此外，CA/CM的特征也易于引發(fā)管理人員的疑問：“在即時(shí)、持續(xù)審計(jì)的解決方案里，審計(jì)的角色是否會(huì)與管理者的角色有所沖突，甚至逾越了審計(jì)應(yīng)獨(dú)立于管理職能的客觀性？”事實(shí)上，基于科技的CA/CM解決方案，審計(jì)人員和管理人員均可利用，例如建筑物里的火災(zāi)偵測(cè)器，它除了能通知建筑物內(nèi)人員（直接關(guān)系人），也能通知消防隊(duì)（專業(yè)、獨(dú)立的間接關(guān)系人），CA/CM的持續(xù)風(fēng)險(xiǎn)監(jiān)控機(jī)制就是如此。管理人員和審計(jì)人員基于各自的角色和職能定位，不會(huì)因?yàn)楣ぞ叩膶?dǎo)入而有所混淆，管理者仍然負(fù)擔(dān)著實(shí)現(xiàn)營(yíng)運(yùn)目標(biāo)的最終責(zé)任，只是多了專業(yè)而獨(dú)立的審計(jì)人員的持續(xù)支持。

表1 持續(xù)性審計(jì)的概念界定

表2 持續(xù)性監(jiān)控與持續(xù)性審計(jì)

表3 持續(xù)性審計(jì)與監(jiān)控技術(shù)的驅(qū)動(dòng)因素與預(yù)期收益

（三）持續(xù)性審計(jì)與監(jiān)控的驅(qū)動(dòng)因素

企業(yè)推進(jìn)持續(xù)性審計(jì)與監(jiān)控，有助于降低風(fēng)險(xiǎn)，提高審計(jì)作業(yè)效率，提升運(yùn)營(yíng)效率，增強(qiáng)企業(yè)的法律法規(guī)遵循度。

三、持續(xù)性審計(jì)與監(jiān)控的技術(shù)演進(jìn)歷程

從技術(shù)視角出發(fā)，持續(xù)性審計(jì)與監(jiān)控是基于計(jì)算機(jī)輔助審計(jì)技術(shù)(Computer-Assisted Audit Tools and Techniques，CAATTs)。 根據(jù)是內(nèi)建在信息系統(tǒng)內(nèi)部還是獨(dú)立于信息系統(tǒng)外部，持續(xù)性審計(jì)與監(jiān)控技術(shù)可分為兩大類型：可實(shí)時(shí)監(jiān)控的內(nèi)嵌審計(jì)模塊（Embedded Audit Modules：EAMs）和事后分析的監(jiān)督與控制層系統(tǒng)（Monitoring and Control Layer：MCL）。

內(nèi)嵌審計(jì)模塊是在信息系統(tǒng)內(nèi)部加入控制測(cè)試（control testing）而設(shè)計(jì)的審計(jì)模塊程序，因?yàn)橐獙徲?jì)與監(jiān)控機(jī)制直接建置于信息系統(tǒng)當(dāng)中，不論是在系統(tǒng)開發(fā)過程中還是在系統(tǒng)上線后再建構(gòu)，內(nèi)嵌審計(jì)模塊的開發(fā)成本均較高，且維護(hù)管理也較為復(fù)雜困難，使得在過去相當(dāng)長(zhǎng)一段時(shí)間并未能被廣泛采用(Debreceny, Gray et al.2003)。然而，近年來，隨著企業(yè)資源計(jì)劃系統(tǒng)（ERP）的廣泛采用，以及企業(yè)對(duì)風(fēng)險(xiǎn)管理、法律法規(guī)遵循及控制監(jiān)督的重視，促使各大ERP廠商及第三方軟件業(yè)者紛紛推出與ERP系統(tǒng)整合的審計(jì)信息系統(tǒng)(Audit Information Systems，AIS)或GRC產(chǎn)品，通過ERP系統(tǒng)的相同信息架構(gòu)及廣大用戶的規(guī)模經(jīng)濟(jì)效益，使得過去不易自行開發(fā)與維護(hù)的內(nèi)嵌審計(jì)模塊，成為巿場(chǎng)上能夠方便選購(gòu)的各式軟件包（Kuhn &Sutton, 2010）。

通過事后分析的監(jiān)督與控制層系統(tǒng)，如通用審計(jì)軟件，審計(jì)人員利用ACL，IDEA，CaseWare 等工具，可以自行獲取各種源數(shù)據(jù)，并搭建各種審計(jì)分析功能。其特性在于將通用審計(jì)軟件強(qiáng)大的數(shù)據(jù)分析處理能力與審計(jì)人員的風(fēng)險(xiǎn)評(píng)估和專業(yè)判斷有機(jī)整合，能夠高效驗(yàn)證業(yè)務(wù)和交易數(shù)據(jù)的正確性，并篩選出不符合控制原則的異常數(shù)據(jù)。監(jiān)督與控制層系統(tǒng)因?yàn)槠洳蝗菀资艿绞虑盎蚴潞蟮牟倏v，對(duì)所取得的審計(jì)軌跡資料也可提供有效的安全防護(hù)。

表4 兩類持續(xù)性審計(jì)技術(shù)的優(yōu)缺點(diǎn)及發(fā)展趨勢(shì)分析

表5 四種持續(xù)性審計(jì)與監(jiān)控技術(shù)

圖1 持續(xù)性審計(jì)與監(jiān)控的集成性體系架構(gòu)

相較于內(nèi)嵌審計(jì)模塊需要事前明確定義控制規(guī)則、缺乏分析上的彈性等弊端，通用審計(jì)軟件則能提供互動(dòng)分析功能。例如一般審計(jì)程序，審計(jì)人員可以根據(jù)數(shù)據(jù)呈現(xiàn)特征，決定后續(xù)的數(shù)據(jù)獲取與分析規(guī)則，可同時(shí)采集多源數(shù)據(jù)進(jìn)行匯總對(duì)比分析，究其本質(zhì)而言是一類事后審計(jì)。此外，通用審計(jì)軟件可以獨(dú)立于信息系統(tǒng)之外而獨(dú)立運(yùn)行，因此能夠融合處理各種不同來源和格式的數(shù)據(jù)，但是數(shù)據(jù)字段的定義與識(shí)別也是應(yīng)用通用審計(jì)軟件的主要困擾所在?？上驳氖?，近年來各通用審計(jì)軟件廠商紛紛推出與各大ERP廠商兼容的數(shù)據(jù)接口，大大減輕了數(shù)據(jù)導(dǎo)入和獲取的困難，還提供常見的審計(jì)項(xiàng)目自動(dòng)化審核程序，縮短建置時(shí)間，并通過與數(shù)據(jù)庫(kù)實(shí)時(shí)連接以及增加定時(shí)自動(dòng)審計(jì)頻率，以提升持續(xù)性審計(jì)的實(shí)時(shí)效益。表3對(duì)比分析了兩大持續(xù)性審計(jì)技術(shù)的優(yōu)缺點(diǎn)及其發(fā)展趨勢(shì)。

四、持續(xù)性審計(jì)與監(jiān)督的技術(shù)架構(gòu)分類

從技術(shù)分類視角出發(fā)，當(dāng)前的持續(xù)性審計(jì)與監(jiān)控技術(shù)主要包含四種技術(shù)分類，分別是職責(zé)劃分審核（CCM for Segregation of Duties，CCMSOD）、企業(yè)交易數(shù)據(jù)審核（CCM for Transactions，CCM-T）、ERP系統(tǒng)主數(shù)據(jù)審核（CCM for Master Data，CCM-MD）以及應(yīng)用系統(tǒng)設(shè) 定 審 核（CCM for Application Configuration，CCM-AC），表4列出相關(guān)的技術(shù)分類及說明。四種持續(xù)性審計(jì)與監(jiān)控技術(shù)中，CCMSOD與CCM-T是主要的控制技術(shù)，而CCMMD及CCM-AC是次要的控制技術(shù)。在監(jiān)控權(quán)責(zé)劃分及企業(yè)交易時(shí)，需要同時(shí)監(jiān)控相關(guān)的主要數(shù)據(jù)文件是否正確及應(yīng)用系統(tǒng)配置是否適當(dāng)。例如：為了監(jiān)控重復(fù)付款，需監(jiān)控應(yīng)付賬款的主文件數(shù)據(jù)及付款流程的應(yīng)用系統(tǒng)設(shè)定，確認(rèn)數(shù)據(jù)與設(shè)定未曾遭受不當(dāng)修改，以確保付款數(shù)據(jù)的正確性，才能維持交易與權(quán)責(zé)劃分的審計(jì)或監(jiān)督質(zhì)量。

五、持續(xù)性審計(jì)與監(jiān)控系統(tǒng)的體系架構(gòu)

上述持續(xù)性審計(jì)技術(shù)仍以控制導(dǎo)向設(shè)計(jì)審計(jì)程序，因此缺乏對(duì)風(fēng)險(xiǎn)和績(jī)效的應(yīng)有關(guān)注。為了彌補(bǔ)控制規(guī)則為基礎(chǔ)（Rule Based）的審計(jì)方法的不足（Davies et al.,2006），部分企業(yè)組織引入關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（Key Risk Indicators, KRIs），強(qiáng)化持續(xù)性風(fēng)險(xiǎn)評(píng)估。關(guān)鍵風(fēng)險(xiǎn)指標(biāo)可以視為一組預(yù)測(cè)組織風(fēng)險(xiǎn)狀況變化的參數(shù)，這些參數(shù)能夠引導(dǎo)組織及時(shí)采取風(fēng)險(xiǎn)處置行動(dòng)（Lloyd’s, 2007）。KRIs大多為追蹤管理整個(gè)組織中不斷演變的風(fēng)險(xiǎn)與組織潛在機(jī)會(huì)的關(guān)鍵比率，當(dāng)某些特征或變動(dòng)發(fā)生，表明組織必須對(duì)其采取回應(yīng)機(jī)制或應(yīng)對(duì)措施（Young，2012）。相對(duì)于傳統(tǒng)風(fēng)險(xiǎn)評(píng)估程序僅能在某些特定時(shí)點(diǎn)執(zhí)行風(fēng)險(xiǎn)評(píng)估，若關(guān)鍵風(fēng)險(xiǎn)指標(biāo)數(shù)據(jù)能實(shí)時(shí)更新和自動(dòng)載入，結(jié)合持續(xù)性審計(jì)的各種分析技術(shù)，就可以發(fā)展成為持續(xù)性風(fēng)險(xiǎn)評(píng)估系 統(tǒng)（Beasler et al.，2010）。 此外，隨著大數(shù)據(jù)分析應(yīng)用技術(shù)的深度應(yīng)用，已有許多行業(yè)將數(shù)據(jù)挖掘（Data Mining）技術(shù)應(yīng)用于政策法規(guī)遵循和舞弊偵查（Kirkos et al.，2007）。數(shù)據(jù)挖掘是一個(gè)通過自動(dòng)化或人工進(jìn)行反復(fù)迭代運(yùn)算而發(fā)現(xiàn)有價(jià)值信息和知識(shí)的過程。如將數(shù)據(jù)挖掘與持續(xù)性審計(jì)與監(jiān)控整合，開發(fā)的持續(xù)性審計(jì)模塊將能夠預(yù)測(cè)風(fēng)險(xiǎn)或是偵查舞弊的發(fā) 生（Kuenkaikaew，2013）， 利用數(shù)據(jù)挖掘技術(shù)進(jìn)行海量數(shù)據(jù)的特征分析，篩選出審計(jì)人員感興趣的數(shù)據(jù)異常形態(tài)，經(jīng)過適當(dāng)?shù)谋孀R(shí)與確認(rèn)后，即快速辨別其他相似的異常數(shù)據(jù)，大幅度提升審計(jì)工作效率（Capriotti，2014）。

就技術(shù)架構(gòu)層面而言，現(xiàn)行的持續(xù)性審計(jì)與監(jiān)督技術(shù)，仍存在很大的發(fā)展空間。首先，目前很多仍然停留在當(dāng)個(gè)項(xiàng)目層面的控制活動(dòng)，尚未與上層的風(fēng)險(xiǎn)管理及績(jī)效管理目標(biāo)建立關(guān)聯(lián)，使得在應(yīng)用上較為繁雜且不易凸顯企業(yè)的整體風(fēng)險(xiǎn)狀況。隨著風(fēng)險(xiǎn)導(dǎo)向型審計(jì)深入以及可視化技術(shù)的發(fā)展，董事會(huì)對(duì)于企業(yè)管理監(jiān)督和審計(jì)的功能需求發(fā)生了重要變化：監(jiān)督焦點(diǎn)由空中導(dǎo)向轉(zhuǎn)為風(fēng)險(xiǎn)導(dǎo)向，審計(jì)方法也由確認(rèn)過去的錯(cuò)誤轉(zhuǎn)為具有戰(zhàn)略前瞻性地改善錯(cuò)誤和降低風(fēng)險(xiǎn)，監(jiān)督和審計(jì)的模式由成本驅(qū)動(dòng)（cost-driven）轉(zhuǎn)變?yōu)榭?jī)效驅(qū)動(dòng)（Becker，2010）。因此，學(xué)者們提出“關(guān)鍵風(fēng)險(xiǎn)指標(biāo)”（Key Risk Indicators，KRIs）以及 “持續(xù)保證儀表盤”（Continuous Assurance Dashboard）的設(shè)計(jì)理念，以便于更加直觀地反映持續(xù)審計(jì)與監(jiān)控的狀況，更好地引導(dǎo)審計(jì)活動(dòng)的重要領(lǐng)域。

（一）基于CRCA模型的持續(xù)性審計(jì)與監(jiān)控系統(tǒng)的體系架構(gòu)

為了整合企業(yè)營(yíng)運(yùn)目標(biāo)與現(xiàn)有持續(xù)性審計(jì)相關(guān)技術(shù)，Marks于2010年提出持續(xù)性風(fēng)險(xiǎn)評(píng)估與控制保證模型（Continuous risk assessment and control assurance model CRCA），其以企業(yè)營(yíng)運(yùn)方針與目標(biāo)為起點(diǎn)，向下延伸至目標(biāo)的風(fēng)險(xiǎn)和管理相關(guān)風(fēng)險(xiǎn)的控制活動(dòng)，并構(gòu)建了評(píng)估整體風(fēng)險(xiǎn)與控制活動(dòng)的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。CRCA利用關(guān)鍵風(fēng)險(xiǎn)指標(biāo)監(jiān)控對(duì)組織影響大或易產(chǎn)生變化的風(fēng)險(xiǎn)，并利用各種數(shù)據(jù)分析機(jī)制來進(jìn)行持續(xù)性審計(jì)與監(jiān)督（Marks，2010）。此外，由于內(nèi)部控制的固有局限性，憑借原有內(nèi)部控制機(jī)制難以判斷新出現(xiàn)的各種內(nèi)控缺陷的合理性，此時(shí)利用數(shù)據(jù)挖掘技術(shù)能夠進(jìn)一步提供信息協(xié)助組織進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)所辨識(shí)出的錯(cuò)誤或舞弊進(jìn)行評(píng)估。待確認(rèn)新型內(nèi)控缺陷后，再提供給計(jì)算機(jī)輔助審計(jì)軟件擴(kuò)充相應(yīng)內(nèi)控缺陷庫(kù)，并建立持續(xù)性審計(jì)與監(jiān)控的自動(dòng)化審核程序，以便日后實(shí)時(shí)識(shí)別出相關(guān)的潛在風(fēng)險(xiǎn)。利用可視化技術(shù)、信息儀表盤技術(shù)等直觀展示各類風(fēng)險(xiǎn)，并實(shí)時(shí)向利益相關(guān)者推送風(fēng)險(xiǎn)預(yù)警信息，使得各類風(fēng)險(xiǎn)能夠得到及時(shí)處置。

本研究參考CRCA模型，設(shè)計(jì)出一個(gè)具有反饋修正機(jī)制的持續(xù)性審計(jì)與監(jiān)控的技術(shù)整合架構(gòu)，包括三個(gè)核心大模塊（林宜隆、孫嘉明、邱靜宜，2015）：

（1）持續(xù)性風(fēng)險(xiǎn)評(píng)估模塊。通過系統(tǒng)的文獻(xiàn)梳理與相關(guān)領(lǐng)域?qū)＜以L談，構(gòu)建、篩選與修正關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，設(shè)計(jì)全方位的KRIs系統(tǒng)，建立持續(xù)性風(fēng)險(xiǎn)評(píng)估模塊。由于CA/CM必須通過系統(tǒng)工具開發(fā)出管理或戰(zhàn)略層級(jí)的控制風(fēng)險(xiǎn)指標(biāo)，Caldwell&Proctor（2010）指出關(guān)鍵風(fēng)險(xiǎn)指標(biāo)至少應(yīng)包括下述四類核心指標(biāo)：①存取風(fēng)險(xiǎn)（Access risk）：針對(duì)職能分工、系統(tǒng)功能、關(guān)鍵組合資料（使用授權(quán)矩陣）、是否存在敏感性存?。⊿ensitive access）等權(quán)限控制資料進(jìn)行分析，也包括身份驗(yàn)證、交易日志和密碼管理等測(cè)試。②系統(tǒng)設(shè)定風(fēng)險(xiǎn)（Configuration risk）：針對(duì)系統(tǒng)流程的組態(tài)或參數(shù)設(shè)定情況進(jìn)行與分析，例如企業(yè)采購(gòu)、驗(yàn)收、付款流程的控制設(shè)定等。③主要數(shù)據(jù)風(fēng)險(xiǎn)（Master data risk）：針對(duì)客戶、供應(yīng)商、產(chǎn)品、員工等主要資料的大幅或異常變動(dòng)進(jìn)行原因分析，識(shí)別是否存在刻意避開控制的情形。④交易風(fēng)險(xiǎn)（Transaction risk）：監(jiān)控企業(yè)主要交易活動(dòng)資料，以便風(fēng)險(xiǎn)管理與績(jī)效改善。

（2）持續(xù)性控制監(jiān)督模塊。一方面，搜集、審核、分析組織內(nèi)部控制缺陷的典型案例，由內(nèi)部控制缺陷樣本識(shí)別可能存在的控制弱點(diǎn)，進(jìn)而分析信息系統(tǒng)相關(guān)作業(yè)流程，確定審核的目標(biāo)、范圍和重點(diǎn)，并采用計(jì)算機(jī)輔助審計(jì)工具（如：ACL軟件）設(shè)計(jì)計(jì)算機(jī)分析程序，再依據(jù)審計(jì)結(jié)果找出產(chǎn)生內(nèi)部控制缺陷的相關(guān)控制活動(dòng)和程序存在的核心問題，分析內(nèi)控缺陷可能引發(fā)的風(fēng)險(xiǎn)，并針對(duì)暴露的內(nèi)部控制缺陷，完善相應(yīng)的內(nèi)部控制程序，以減少該內(nèi)部控制缺陷再次發(fā)生的可能性，并可利用自動(dòng)化審計(jì)程序，進(jìn)行持續(xù)控制監(jiān)督。另一方面，對(duì)企業(yè)采購(gòu)與付款、銷售與收款、生產(chǎn)活動(dòng)、投融資和資金的作業(yè)流程圖進(jìn)行詳細(xì)分析，分析關(guān)鍵控制點(diǎn)的風(fēng)險(xiǎn)評(píng)估程序和控制活動(dòng)有效性，提出持續(xù)性監(jiān)督控制的完善建議。

（3）持續(xù)性異常偵測(cè)模塊。利用數(shù)據(jù)挖掘技術(shù)進(jìn)行異常作業(yè)數(shù)據(jù)挖掘與偵測(cè)。由于信息系統(tǒng)日趨復(fù)雜，過多的數(shù)據(jù)字段不僅影響數(shù)據(jù)挖掘的執(zhí)行效率，更有可能對(duì)結(jié)果質(zhì)量造成不利影響。由于REA模型能夠以會(huì)計(jì)觀點(diǎn)簡(jiǎn)化組織活動(dòng)信息，使其能夠在進(jìn)行字段選擇時(shí)，針對(duì)資源（Resources）、代理人（Agents）、事件（Events）等三類核心信息，篩選出所需的必要字段。因此考慮利用本體論REA模型（Resource Event Agent Model REA）進(jìn)行數(shù)據(jù)字段的變量篩選，將前述步驟篩選及前置處理轉(zhuǎn)換后的數(shù)據(jù)，采用聚類算法將異常數(shù)據(jù)進(jìn)行聚類分析，尋找最佳的分類樹，再利用機(jī)器學(xué)習(xí)（監(jiān)督式、非監(jiān)督式）、深度學(xué)習(xí)等異常偵測(cè)算法，明確異常特征的數(shù)據(jù)，便于確定進(jìn)一步審核重點(diǎn)和方向。具體體系架構(gòu)如圖1所示。

（二）基于CRCA模型的持續(xù)性審計(jì)與監(jiān)控系統(tǒng)的運(yùn)行機(jī)理

本研究提出的持續(xù)性審計(jì)技術(shù)架構(gòu)的三大模塊各有不同的功能特性，所采用的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)、通用審計(jì)軟件、數(shù)據(jù)挖掘等三種持續(xù)性審計(jì)技術(shù)具有互補(bǔ)的關(guān)系。其中“持續(xù)性風(fēng)險(xiǎn)評(píng)估模塊”有助于指引審計(jì)目標(biāo)，明確審計(jì)范圍和高風(fēng)險(xiǎn)審計(jì)領(lǐng)域；再運(yùn)用“持續(xù)性控制監(jiān)督模塊”進(jìn)行更進(jìn)一步的細(xì)致審核?！俺掷m(xù)性異常偵測(cè)模塊”所檢測(cè)到的異常數(shù)據(jù)，如果確認(rèn)為內(nèi)部控制漏洞或新的內(nèi)部控制缺陷，則可以反饋至“持續(xù)性控制監(jiān)督模塊”，定義為新增的審核項(xiàng)目及程序（林宜隆、孫嘉明、邱靜宜，2015）。

持續(xù)性審計(jì)與監(jiān)控對(duì)審計(jì)質(zhì)量將產(chǎn)生系統(tǒng)性影響，F(xiàn)rench（2011）指出持續(xù)性審計(jì)與監(jiān)控必須達(dá)到“3C”標(biāo)準(zhǔn)：首先是一致性（Consistency）：對(duì)于企業(yè)內(nèi)需執(zhí)行審計(jì)的風(fēng)險(xiǎn)與控制，不論其所在地域（國(guó)外或國(guó)內(nèi)）、單位（總部或分公司）或系統(tǒng)類型（SAP或Oracle）差異等，均應(yīng)一致地使用同一測(cè)試程序。其次是完整性（Completeness）：由于云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)的快速發(fā)展，極大地提升了企業(yè)信息的存儲(chǔ)和處理能力，因此建議不再使用統(tǒng)計(jì)抽樣方式來執(zhí)行測(cè)試，而轉(zhuǎn)向“全面審查”但“設(shè)定優(yōu)先權(quán)”，以避免因抽樣誤差而導(dǎo)致審計(jì)風(fēng)險(xiǎn)。再次是持續(xù)性（continuous）：報(bào)告使用者對(duì)信息時(shí)效性的要求越來越高，XBRL及其引發(fā)的實(shí)時(shí)財(cái)務(wù)報(bào)告模式變革，驅(qū)使著要盡量縮短審計(jì)周期，從過去的年、季發(fā)展到月、周甚至是日，當(dāng)然，針對(duì)不同的控制或風(fēng)險(xiǎn)指標(biāo)，可以設(shè)定不同的持續(xù)審計(jì)周期。

六、結(jié)論

伴隨著人工智能、數(shù)據(jù)分析與可視化、區(qū)塊鏈、流程自動(dòng)化等創(chuàng)新技術(shù)深度應(yīng)用，公司日常營(yíng)運(yùn)過程中產(chǎn)生海量數(shù)據(jù)，為了迎接持續(xù)自動(dòng)生成大量即時(shí)可訪問數(shù)據(jù)的挑戰(zhàn)，審計(jì)人員亟需使用新方法來分析和審計(jì)這些“大數(shù)據(jù)”。此外，持續(xù)性報(bào)告和基于網(wǎng)絡(luò)財(cái)務(wù)信息的可獲得性，定期審計(jì)報(bào)告模式將可能轉(zhuǎn)變?yōu)閷?shí)時(shí)審計(jì)報(bào)告模式，為此需要對(duì)企業(yè)運(yùn)營(yíng)管理過程及其內(nèi)部控制執(zhí)行情況進(jìn)行持續(xù)審計(jì)與監(jiān)控，以便能盡早識(shí)別潛在的問題和風(fēng)險(xiǎn)，及時(shí)加以改進(jìn)和完善。

持續(xù)性審計(jì)與監(jiān)控技術(shù)利用流程自動(dòng)化技術(shù)，基于大數(shù)據(jù)分析的異常偵測(cè)技術(shù)和過程挖掘技術(shù)，持續(xù)探測(cè)內(nèi)部控制的遵循情況和有效性，能夠提供近乎實(shí)時(shí)的審計(jì)監(jiān)督。然而審計(jì)自動(dòng)化的前提在于能夠在事前精準(zhǔn)分析后續(xù)審計(jì)流程的規(guī)則，但是實(shí)際審計(jì)過程中常常發(fā)生各種不可預(yù)期的情境及特例。因此，事前難以定義出明確且涵蓋范圍廣泛的各種自動(dòng)化審計(jì)程序?？陀^地說，審計(jì)人員應(yīng)視持續(xù)性審計(jì)與監(jiān)控為輔助工具，對(duì)其應(yīng)有合理的期望。充分利用持續(xù)性審計(jì)與監(jiān)控的自動(dòng)化特質(zhì)，在常規(guī)性、例行化的審計(jì)項(xiàng)目中，提升審計(jì)效率，或者協(xié)助進(jìn)行風(fēng)險(xiǎn)評(píng)估與控制測(cè)試，從而減輕審計(jì)人員的工作負(fù)擔(dān)，使得審計(jì)人員能夠?qū)⒏嗑ν度氲礁枰獙Ｗ⒂趯I(yè)判斷與價(jià)值創(chuàng)造的工作中。