基于CRCA模型的持續(xù)性審計與監(jiān)控系統(tǒng)：模型、技術(shù)和架構(gòu)

吳勇 張律信 何長添 朱衛(wèi)東

一、引言

近年來，隨著經(jīng)濟全球化、網(wǎng)絡(luò)信息技術(shù)的發(fā)展以及商業(yè)模式的變革，組織營運活動呈現(xiàn)出全球化、資源集中化、流程自動化的特征，使得企業(yè)營運風險特征發(fā)生重大變化，不再局限于傳統(tǒng)的業(yè)務(wù)風險或財務(wù)風險，反而可能隱匿于龐雜且“管理者仍自認為有效”的標準化流程中（林宜隆等，2014）。傳統(tǒng)審計大多是事后審計而非實時偵測，未能及時偵測到組織內(nèi)部控制缺陷或隱藏性風險。而且傳統(tǒng)審計基于抽樣技術(shù)，難以全面?zhèn)刹槔饨灰仔袨榈陌l(fā)生。另外隨著對治理環(huán)境、風險管理、法律遵循（Governance Risk Compliance,GRC）等議題的持續(xù)關(guān)注，如何以自動化作業(yè)程序提供實時、準確的審計報告，以便迅速精確地反映企業(yè)各類風險事實和狀況，將傳統(tǒng)的事后審計模式提前至實時審計偵測，以便實現(xiàn)近乎實時、持續(xù)的監(jiān)督防范效果，進一步提升審計的效率和價值，即“持續(xù)性審計與監(jiān)控”（Continuous Auditing & Continuous Monitoring，CA/CM），日益成為會計、審計領(lǐng)域的新興議題（Vasarhelyi et al.，2004，2012）。

伴隨著信息科技的快速發(fā)展，商業(yè)作業(yè)流程已進入無紙化與網(wǎng)絡(luò)交易的時代，企業(yè)需要應(yīng)用諸如企業(yè)資源計劃（ERP）、客戶關(guān)系管理（CRM）、供應(yīng)鏈管理（SCM）、電子商務(wù)（EC）等不同類型的信息系統(tǒng)完成各項營運活動。信息系統(tǒng)架構(gòu)多樣化與復雜化在提升運營效率的同時，也增加了系統(tǒng)質(zhì)量管控難度，易于造成數(shù)據(jù)錯誤，并產(chǎn)生更多舞弊的機會與可能。如何基于企業(yè)多個信息系統(tǒng)產(chǎn)生的海量數(shù)據(jù)，進行相關(guān)作業(yè)流程的分析與異常現(xiàn)象的發(fā)掘，已成為新企業(yè)治理時代審計人員必須面對的挑戰(zhàn)。審計人員亟需將流程挖掘（Process Mining）技術(shù)應(yīng)用到持續(xù)性審計與監(jiān)控之中，以便能持續(xù)偵測企業(yè)流程作業(yè)的相關(guān)變化，有效地探測信息系統(tǒng)流程的異常與弱點，進而對企業(yè)的內(nèi)部控制和流程優(yōu)化提出完善建議。

本研究核心議題是構(gòu)建適應(yīng)于現(xiàn)行信息系統(tǒng)架構(gòu)與功能需求的持續(xù)性審計與監(jiān)控系統(tǒng)的體系架構(gòu)，以便能實時進行信息與溝通，及時、準確地識別風險，持續(xù)評估、監(jiān)控內(nèi)部控制的有效性。為此，本研究首先對比分析了持續(xù)性審計與持續(xù)性監(jiān)控的本質(zhì)內(nèi)涵及其異同點，從技術(shù)發(fā)展視角剖析持續(xù)性審計與監(jiān)控的技術(shù)演進歷程，系統(tǒng)總結(jié)梳理持續(xù)性審計與監(jiān)控的概念模型、架構(gòu)類型及其優(yōu)缺點比較，在此基礎(chǔ)上，基于持續(xù)性風險評估與控制保證模型（Continuous Risk and Control Assurance Model，CRCA），構(gòu)建了由“持續(xù)性風險評估模塊”、“持續(xù)性控制監(jiān)督模塊”和“持續(xù)性異常偵測模塊”三大核心模塊組成的持續(xù)性審計與監(jiān)控的體系架構(gòu)。

二、相關(guān)概念

（一）持續(xù)性審計與持續(xù)性監(jiān)督

根據(jù)美國注冊會計師協(xié)會的定義：“持續(xù)性審計是在可容許的盡可能短的時間范圍內(nèi)，提供實時、準確的審計報告的方法，以便能夠快速、精確地反應(yīng)組織所發(fā)生的事實或狀況”。國際內(nèi)部審計師協(xié)會則指出持續(xù)性審計是審計人員使用任何方法持續(xù)不斷地來執(zhí)行審計相關(guān)的作業(yè)活動，其活動范圍包含了（Continuous Control Assessment，CCA) 和持續(xù)性風險評估(Continuous Risk Assessment，CRA) 兩大類型。持續(xù)性控制評估重點關(guān)注內(nèi)部控制的有效性，而持續(xù)性風險評估則注重于識別、評估風險程度。國際內(nèi)部審計師協(xié)會在其全球科技審計指南（Global Technology Audit Guide，GTAG）第三號中定義：“持續(xù)性監(jiān)督”是管理當局合理確保其政策、程序和業(yè)務(wù)流程有效運行的過程，管理當局在確定重要關(guān)鍵控制點后，能夠通過自動化測試來確定這些控制執(zhí)行是否正常。持續(xù)性監(jiān)督通常會涉及到在既定的業(yè)務(wù)流程范圍內(nèi)，按照一組控制規(guī)則，對所有交易和系統(tǒng)活動進行自動化測試（內(nèi)部審計協(xié)會，2011）。

持續(xù)性審計和持續(xù)性監(jiān)督兩者的重要差異在于執(zhí)行主體的不同。一般組織內(nèi)的風險管理架構(gòu)可分為管理與治理兩道防線（業(yè)務(wù)管理者與管理制度制定者），持續(xù)性監(jiān)督是由管理層驅(qū)動，而持續(xù)性審計則由內(nèi)部審計部門執(zhí)行，可作為風險管理的第三道防線，提供進一步的確認（KPMG，2012）。表1從責任部門、工作重點、效益等方面，對比分析了持續(xù)性監(jiān)控與持續(xù)性審計差異。雖然持續(xù)性審計和持續(xù)性監(jiān)督存在一些差異，但是兩者均以改善企業(yè)流程、提升企業(yè)價值為最終目標，“持續(xù)性確認”通過整合管理部門的“持續(xù)性監(jiān)控”責任及內(nèi)部審計部門的“持續(xù)性審計”，實現(xiàn)持續(xù)評估內(nèi)部控制的有效性。而且在某些情形下，企業(yè)可以將“持續(xù)性審計”程序移轉(zhuǎn)給營運作業(yè)部門，由營運作業(yè)部門執(zhí)行“持續(xù)性監(jiān)控”的程序。當持續(xù)性審計與持續(xù)性監(jiān)督有效結(jié)合時，將可在企業(yè)的營運流程范圍內(nèi)，對控制有效性與交易完整性提供持續(xù)確保的水平。

（二）持續(xù)性審計與監(jiān)控和傳統(tǒng)審計或管理控制的關(guān)系

持續(xù)性審計與監(jiān)控和傳統(tǒng)以定期方式進行的審計監(jiān)督最大的差異，除了強調(diào)“持續(xù)進行”的模式之外，更加強調(diào)風險導向型審計。然而，這兩者之間是否存在著沖突和替代的關(guān)系呢？審計人員應(yīng)視CA/CM為另一種形式的監(jiān)督控制計劃，其主要目的是及時地協(xié)助管理者掌握風險狀況、降低企業(yè)風險；而定期審計計劃則應(yīng)從整體視角定期、全面性地檢查各類、各層級控制的實施績效和適用性。因此，CA/CM比較接近于控制作用持續(xù)性改善的即時監(jiān)督機制，而定期審計計劃也仍應(yīng)進行，但可調(diào)整定位為較全面性的再造工程。此外，CA/CM的特征也易于引發(fā)管理人員的疑問：“在即時、持續(xù)審計的解決方案里，審計的角色是否會與管理者的角色有所沖突，甚至逾越了審計應(yīng)獨立于管理職能的客觀性？”事實上，基于科技的CA/CM解決方案，審計人員和管理人員均可利用，例如建筑物里的火災(zāi)偵測器，它除了能通知建筑物內(nèi)人員（直接關(guān)系人），也能通知消防隊（專業(yè)、獨立的間接關(guān)系人），CA/CM的持續(xù)風險監(jiān)控機制就是如此。管理人員和審計人員基于各自的角色和職能定位，不會因為工具的導入而有所混淆，管理者仍然負擔著實現(xiàn)營運目標的最終責任，只是多了專業(yè)而獨立的審計人員的持續(xù)支持。

表1 持續(xù)性審計的概念界定

表2 持續(xù)性監(jiān)控與持續(xù)性審計

表3 持續(xù)性審計與監(jiān)控技術(shù)的驅(qū)動因素與預期收益

（三）持續(xù)性審計與監(jiān)控的驅(qū)動因素

企業(yè)推進持續(xù)性審計與監(jiān)控，有助于降低風險，提高審計作業(yè)效率，提升運營效率，增強企業(yè)的法律法規(guī)遵循度。

三、持續(xù)性審計與監(jiān)控的技術(shù)演進歷程

從技術(shù)視角出發(fā)，持續(xù)性審計與監(jiān)控是基于計算機輔助審計技術(shù)(Computer-Assisted Audit Tools and Techniques，CAATTs)。 根據(jù)是內(nèi)建在信息系統(tǒng)內(nèi)部還是獨立于信息系統(tǒng)外部，持續(xù)性審計與監(jiān)控技術(shù)可分為兩大類型：可實時監(jiān)控的內(nèi)嵌審計模塊（Embedded Audit Modules：EAMs）和事后分析的監(jiān)督與控制層系統(tǒng)（Monitoring and Control Layer：MCL）。

內(nèi)嵌審計模塊是在信息系統(tǒng)內(nèi)部加入控制測試（control testing）而設(shè)計的審計模塊程序，因為要將審計與監(jiān)控機制直接建置于信息系統(tǒng)當中，不論是在系統(tǒng)開發(fā)過程中還是在系統(tǒng)上線后再建構(gòu)，內(nèi)嵌審計模塊的開發(fā)成本均較高，且維護管理也較為復雜困難，使得在過去相當長一段時間并未能被廣泛采用(Debreceny, Gray et al.2003)。然而，近年來，隨著企業(yè)資源計劃系統(tǒng)（ERP）的廣泛采用，以及企業(yè)對風險管理、法律法規(guī)遵循及控制監(jiān)督的重視，促使各大ERP廠商及第三方軟件業(yè)者紛紛推出與ERP系統(tǒng)整合的審計信息系統(tǒng)(Audit Information Systems，AIS)或GRC產(chǎn)品，通過ERP系統(tǒng)的相同信息架構(gòu)及廣大用戶的規(guī)模經(jīng)濟效益，使得過去不易自行開發(fā)與維護的內(nèi)嵌審計模塊，成為巿場上能夠方便選購的各式軟件包（Kuhn &Sutton, 2010）。

通過事后分析的監(jiān)督與控制層系統(tǒng)，如通用審計軟件，審計人員利用ACL，IDEA，CaseWare 等工具，可以自行獲取各種源數(shù)據(jù)，并搭建各種審計分析功能。其特性在于將通用審計軟件強大的數(shù)據(jù)分析處理能力與審計人員的風險評估和專業(yè)判斷有機整合，能夠高效驗證業(yè)務(wù)和交易數(shù)據(jù)的正確性，并篩選出不符合控制原則的異常數(shù)據(jù)。監(jiān)督與控制層系統(tǒng)因為其不容易受到事前或事后的操縱，對所取得的審計軌跡資料也可提供有效的安全防護。

表4 兩類持續(xù)性審計技術(shù)的優(yōu)缺點及發(fā)展趨勢分析

表5 四種持續(xù)性審計與監(jiān)控技術(shù)

圖1 持續(xù)性審計與監(jiān)控的集成性體系架構(gòu)

相較于內(nèi)嵌審計模塊需要事前明確定義控制規(guī)則、缺乏分析上的彈性等弊端，通用審計軟件則能提供互動分析功能。例如一般審計程序，審計人員可以根據(jù)數(shù)據(jù)呈現(xiàn)特征，決定后續(xù)的數(shù)據(jù)獲取與分析規(guī)則，可同時采集多源數(shù)據(jù)進行匯總對比分析，究其本質(zhì)而言是一類事后審計。此外，通用審計軟件可以獨立于信息系統(tǒng)之外而獨立運行，因此能夠融合處理各種不同來源和格式的數(shù)據(jù)，但是數(shù)據(jù)字段的定義與識別也是應(yīng)用通用審計軟件的主要困擾所在。可喜的是，近年來各通用審計軟件廠商紛紛推出與各大ERP廠商兼容的數(shù)據(jù)接口，大大減輕了數(shù)據(jù)導入和獲取的困難，還提供常見的審計項目自動化審核程序，縮短建置時間，并通過與數(shù)據(jù)庫實時連接以及增加定時自動審計頻率，以提升持續(xù)性審計的實時效益。表3對比分析了兩大持續(xù)性審計技術(shù)的優(yōu)缺點及其發(fā)展趨勢。

四、持續(xù)性審計與監(jiān)督的技術(shù)架構(gòu)分類

從技術(shù)分類視角出發(fā)，當前的持續(xù)性審計與監(jiān)控技術(shù)主要包含四種技術(shù)分類，分別是職責劃分審核（CCM for Segregation of Duties，CCMSOD）、企業(yè)交易數(shù)據(jù)審核（CCM for Transactions，CCM-T）、ERP系統(tǒng)主數(shù)據(jù)審核（CCM for Master Data，CCM-MD）以及應(yīng)用系統(tǒng)設(shè) 定 審 核（CCM for Application Configuration，CCM-AC），表4列出相關(guān)的技術(shù)分類及說明。四種持續(xù)性審計與監(jiān)控技術(shù)中，CCMSOD與CCM-T是主要的控制技術(shù)，而CCMMD及CCM-AC是次要的控制技術(shù)。在監(jiān)控權(quán)責劃分及企業(yè)交易時，需要同時監(jiān)控相關(guān)的主要數(shù)據(jù)文件是否正確及應(yīng)用系統(tǒng)配置是否適當。例如：為了監(jiān)控重復付款，需監(jiān)控應(yīng)付賬款的主文件數(shù)據(jù)及付款流程的應(yīng)用系統(tǒng)設(shè)定，確認數(shù)據(jù)與設(shè)定未曾遭受不當修改，以確保付款數(shù)據(jù)的正確性，才能維持交易與權(quán)責劃分的審計或監(jiān)督質(zhì)量。

五、持續(xù)性審計與監(jiān)控系統(tǒng)的體系架構(gòu)

上述持續(xù)性審計技術(shù)仍以控制導向設(shè)計審計程序，因此缺乏對風險和績效的應(yīng)有關(guān)注。為了彌補控制規(guī)則為基礎(chǔ)（Rule Based）的審計方法的不足（Davies et al.,2006），部分企業(yè)組織引入關(guān)鍵風險指標（Key Risk Indicators, KRIs），強化持續(xù)性風險評估。關(guān)鍵風險指標可以視為一組預測組織風險狀況變化的參數(shù)，這些參數(shù)能夠引導組織及時采取風險處置行動（Lloyd’s, 2007）。KRIs大多為追蹤管理整個組織中不斷演變的風險與組織潛在機會的關(guān)鍵比率，當某些特征或變動發(fā)生，表明組織必須對其采取回應(yīng)機制或應(yīng)對措施（Young，2012）。相對于傳統(tǒng)風險評估程序僅能在某些特定時點執(zhí)行風險評估，若關(guān)鍵風險指標數(shù)據(jù)能實時更新和自動載入，結(jié)合持續(xù)性審計的各種分析技術(shù)，就可以發(fā)展成為持續(xù)性風險評估系 統(tǒng)（Beasler et al.，2010）。 此外，隨著大數(shù)據(jù)分析應(yīng)用技術(shù)的深度應(yīng)用，已有許多行業(yè)將數(shù)據(jù)挖掘（Data Mining）技術(shù)應(yīng)用于政策法規(guī)遵循和舞弊偵查（Kirkos et al.，2007）。數(shù)據(jù)挖掘是一個通過自動化或人工進行反復迭代運算而發(fā)現(xiàn)有價值信息和知識的過程。如將數(shù)據(jù)挖掘與持續(xù)性審計與監(jiān)控整合，開發(fā)的持續(xù)性審計模塊將能夠預測風險或是偵查舞弊的發(fā) 生（Kuenkaikaew，2013）， 利用數(shù)據(jù)挖掘技術(shù)進行海量數(shù)據(jù)的特征分析，篩選出審計人員感興趣的數(shù)據(jù)異常形態(tài)，經(jīng)過適當?shù)谋孀R與確認后，即快速辨別其他相似的異常數(shù)據(jù)，大幅度提升審計工作效率（Capriotti，2014）。

就技術(shù)架構(gòu)層面而言，現(xiàn)行的持續(xù)性審計與監(jiān)督技術(shù)，仍存在很大的發(fā)展空間。首先，目前很多仍然停留在當個項目層面的控制活動，尚未與上層的風險管理及績效管理目標建立關(guān)聯(lián)，使得在應(yīng)用上較為繁雜且不易凸顯企業(yè)的整體風險狀況。隨著風險導向型審計深入以及可視化技術(shù)的發(fā)展，董事會對于企業(yè)管理監(jiān)督和審計的功能需求發(fā)生了重要變化：監(jiān)督焦點由空中導向轉(zhuǎn)為風險導向，審計方法也由確認過去的錯誤轉(zhuǎn)為具有戰(zhàn)略前瞻性地改善錯誤和降低風險，監(jiān)督和審計的模式由成本驅(qū)動（cost-driven）轉(zhuǎn)變?yōu)榭冃?qū)動（Becker，2010）。因此，學者們提出“關(guān)鍵風險指標”（Key Risk Indicators，KRIs）以及 “持續(xù)保證儀表盤”（Continuous Assurance Dashboard）的設(shè)計理念，以便于更加直觀地反映持續(xù)審計與監(jiān)控的狀況，更好地引導審計活動的重要領(lǐng)域。

（一）基于CRCA模型的持續(xù)性審計與監(jiān)控系統(tǒng)的體系架構(gòu)

為了整合企業(yè)營運目標與現(xiàn)有持續(xù)性審計相關(guān)技術(shù)，Marks于2010年提出持續(xù)性風險評估與控制保證模型（Continuous risk assessment and control assurance model CRCA），其以企業(yè)營運方針與目標為起點，向下延伸至目標的風險和管理相關(guān)風險的控制活動，并構(gòu)建了評估整體風險與控制活動的關(guān)鍵風險指標。CRCA利用關(guān)鍵風險指標監(jiān)控對組織影響大或易產(chǎn)生變化的風險，并利用各種數(shù)據(jù)分析機制來進行持續(xù)性審計與監(jiān)督（Marks，2010）。此外，由于內(nèi)部控制的固有局限性，憑借原有內(nèi)部控制機制難以判斷新出現(xiàn)的各種內(nèi)控缺陷的合理性，此時利用數(shù)據(jù)挖掘技術(shù)能夠進一步提供信息協(xié)助組織進行風險識別，并對所辨識出的錯誤或舞弊進行評估。待確認新型內(nèi)控缺陷后，再提供給計算機輔助審計軟件擴充相應(yīng)內(nèi)控缺陷庫，并建立持續(xù)性審計與監(jiān)控的自動化審核程序，以便日后實時識別出相關(guān)的潛在風險。利用可視化技術(shù)、信息儀表盤技術(shù)等直觀展示各類風險，并實時向利益相關(guān)者推送風險預警信息，使得各類風險能夠得到及時處置。

本研究參考CRCA模型，設(shè)計出一個具有反饋修正機制的持續(xù)性審計與監(jiān)控的技術(shù)整合架構(gòu)，包括三個核心大模塊（林宜隆、孫嘉明、邱靜宜，2015）：

（1）持續(xù)性風險評估模塊。通過系統(tǒng)的文獻梳理與相關(guān)領(lǐng)域?qū)＜以L談，構(gòu)建、篩選與修正關(guān)鍵風險指標，設(shè)計全方位的KRIs系統(tǒng)，建立持續(xù)性風險評估模塊。由于CA/CM必須通過系統(tǒng)工具開發(fā)出管理或戰(zhàn)略層級的控制風險指標，Caldwell&Proctor（2010）指出關(guān)鍵風險指標至少應(yīng)包括下述四類核心指標：①存取風險（Access risk）：針對職能分工、系統(tǒng)功能、關(guān)鍵組合資料（使用授權(quán)矩陣）、是否存在敏感性存取（Sensitive access）等權(quán)限控制資料進行分析，也包括身份驗證、交易日志和密碼管理等測試。②系統(tǒng)設(shè)定風險（Configuration risk）：針對系統(tǒng)流程的組態(tài)或參數(shù)設(shè)定情況進行與分析，例如企業(yè)采購、驗收、付款流程的控制設(shè)定等。③主要數(shù)據(jù)風險（Master data risk）：針對客戶、供應(yīng)商、產(chǎn)品、員工等主要資料的大幅或異常變動進行原因分析，識別是否存在刻意避開控制的情形。④交易風險（Transaction risk）：監(jiān)控企業(yè)主要交易活動資料，以便風險管理與績效改善。

（2）持續(xù)性控制監(jiān)督模塊。一方面，搜集、審核、分析組織內(nèi)部控制缺陷的典型案例，由內(nèi)部控制缺陷樣本識別可能存在的控制弱點，進而分析信息系統(tǒng)相關(guān)作業(yè)流程，確定審核的目標、范圍和重點，并采用計算機輔助審計工具（如：ACL軟件）設(shè)計計算機分析程序，再依據(jù)審計結(jié)果找出產(chǎn)生內(nèi)部控制缺陷的相關(guān)控制活動和程序存在的核心問題，分析內(nèi)控缺陷可能引發(fā)的風險，并針對暴露的內(nèi)部控制缺陷，完善相應(yīng)的內(nèi)部控制程序，以減少該內(nèi)部控制缺陷再次發(fā)生的可能性，并可利用自動化審計程序，進行持續(xù)控制監(jiān)督。另一方面，對企業(yè)采購與付款、銷售與收款、生產(chǎn)活動、投融資和資金的作業(yè)流程圖進行詳細分析，分析關(guān)鍵控制點的風險評估程序和控制活動有效性，提出持續(xù)性監(jiān)督控制的完善建議。

（3）持續(xù)性異常偵測模塊。利用數(shù)據(jù)挖掘技術(shù)進行異常作業(yè)數(shù)據(jù)挖掘與偵測。由于信息系統(tǒng)日趨復雜，過多的數(shù)據(jù)字段不僅影響數(shù)據(jù)挖掘的執(zhí)行效率，更有可能對結(jié)果質(zhì)量造成不利影響。由于REA模型能夠以會計觀點簡化組織活動信息，使其能夠在進行字段選擇時，針對資源（Resources）、代理人（Agents）、事件（Events）等三類核心信息，篩選出所需的必要字段。因此考慮利用本體論REA模型（Resource Event Agent Model REA）進行數(shù)據(jù)字段的變量篩選，將前述步驟篩選及前置處理轉(zhuǎn)換后的數(shù)據(jù)，采用聚類算法將異常數(shù)據(jù)進行聚類分析，尋找最佳的分類樹，再利用機器學習（監(jiān)督式、非監(jiān)督式）、深度學習等異常偵測算法，明確異常特征的數(shù)據(jù)，便于確定進一步審核重點和方向。具體體系架構(gòu)如圖1所示。

（二）基于CRCA模型的持續(xù)性審計與監(jiān)控系統(tǒng)的運行機理

本研究提出的持續(xù)性審計技術(shù)架構(gòu)的三大模塊各有不同的功能特性，所采用的關(guān)鍵風險指標、通用審計軟件、數(shù)據(jù)挖掘等三種持續(xù)性審計技術(shù)具有互補的關(guān)系。其中“持續(xù)性風險評估模塊”有助于指引審計目標，明確審計范圍和高風險審計領(lǐng)域；再運用“持續(xù)性控制監(jiān)督模塊”進行更進一步的細致審核。“持續(xù)性異常偵測模塊”所檢測到的異常數(shù)據(jù)，如果確認為內(nèi)部控制漏洞或新的內(nèi)部控制缺陷，則可以反饋至“持續(xù)性控制監(jiān)督模塊”，定義為新增的審核項目及程序（林宜隆、孫嘉明、邱靜宜，2015）。

持續(xù)性審計與監(jiān)控對審計質(zhì)量將產(chǎn)生系統(tǒng)性影響，F(xiàn)rench（2011）指出持續(xù)性審計與監(jiān)控必須達到“3C”標準：首先是一致性（Consistency）：對于企業(yè)內(nèi)需執(zhí)行審計的風險與控制，不論其所在地域（國外或國內(nèi)）、單位（總部或分公司）或系統(tǒng)類型（SAP或Oracle）差異等，均應(yīng)一致地使用同一測試程序。其次是完整性（Completeness）：由于云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)的快速發(fā)展，極大地提升了企業(yè)信息的存儲和處理能力，因此建議不再使用統(tǒng)計抽樣方式來執(zhí)行測試，而轉(zhuǎn)向“全面審查”但“設(shè)定優(yōu)先權(quán)”，以避免因抽樣誤差而導致審計風險。再次是持續(xù)性（continuous）：報告使用者對信息時效性的要求越來越高，XBRL及其引發(fā)的實時財務(wù)報告模式變革，驅(qū)使著要盡量縮短審計周期，從過去的年、季發(fā)展到月、周甚至是日，當然，針對不同的控制或風險指標，可以設(shè)定不同的持續(xù)審計周期。

六、結(jié)論

伴隨著人工智能、數(shù)據(jù)分析與可視化、區(qū)塊鏈、流程自動化等創(chuàng)新技術(shù)深度應(yīng)用，公司日常營運過程中產(chǎn)生海量數(shù)據(jù)，為了迎接持續(xù)自動生成大量即時可訪問數(shù)據(jù)的挑戰(zhàn)，審計人員亟需使用新方法來分析和審計這些“大數(shù)據(jù)”。此外，持續(xù)性報告和基于網(wǎng)絡(luò)財務(wù)信息的可獲得性，定期審計報告模式將可能轉(zhuǎn)變?yōu)閷崟r審計報告模式，為此需要對企業(yè)運營管理過程及其內(nèi)部控制執(zhí)行情況進行持續(xù)審計與監(jiān)控，以便能盡早識別潛在的問題和風險，及時加以改進和完善。

持續(xù)性審計與監(jiān)控技術(shù)利用流程自動化技術(shù)，基于大數(shù)據(jù)分析的異常偵測技術(shù)和過程挖掘技術(shù)，持續(xù)探測內(nèi)部控制的遵循情況和有效性，能夠提供近乎實時的審計監(jiān)督。然而審計自動化的前提在于能夠在事前精準分析后續(xù)審計流程的規(guī)則，但是實際審計過程中常常發(fā)生各種不可預期的情境及特例。因此，事前難以定義出明確且涵蓋范圍廣泛的各種自動化審計程序。客觀地說，審計人員應(yīng)視持續(xù)性審計與監(jiān)控為輔助工具，對其應(yīng)有合理的期望。充分利用持續(xù)性審計與監(jiān)控的自動化特質(zhì)，在常規(guī)性、例行化的審計項目中，提升審計效率，或者協(xié)助進行風險評估與控制測試，從而減輕審計人員的工作負擔，使得審計人員能夠?qū)⒏嗑ν度氲礁枰獙Ｗ⒂趯I(yè)判斷與價值創(chuàng)造的工作中。