吳勇　周楠　王尚純　朱衛(wèi)東

[摘要]本文在系統(tǒng)明晰持續(xù)性審計的內(nèi)涵、核心特征及其動態(tài)演進的基礎(chǔ)上，基于管理的視角剖析了內(nèi)部審計的管理職能，全面關(guān)注持續(xù)性審計與內(nèi)部審計功能、組織情境以及績效結(jié)果之間的系統(tǒng)性聯(lián)系，構(gòu)建了融入持續(xù)性審計的內(nèi)部審計系統(tǒng)框架，以便高效地將持續(xù)性審計集成、嵌入到企業(yè)內(nèi)部審計系統(tǒng)中，更好地推動企業(yè)內(nèi)部審計部門開展持續(xù)性的風險評估和風險管控，增強監(jiān)督成效。

[關(guān)鍵詞]持續(xù)性審計? ?內(nèi)部審計? ?三線模型

一、引言

新一代信息技術(shù)的快速發(fā)展及經(jīng)濟全球化趨勢的快速推進，激發(fā)了對核查經(jīng)濟交易以及其他決策相關(guān)數(shù)據(jù)真實性、完整性的需求，持續(xù)性審計（Continuous Auditing，CA）作為一種基于信息技術(shù)的綜合性解決方案，能夠在近乎實時背景下核查相關(guān)信息，提供實時運營保障，助力事前的風險預防、事中的風險控制和事后的風險應(yīng)對，在流程重復且容易發(fā)生風險的應(yīng)用場景中最具價值，日益受到理論和實務(wù)界的關(guān)注。企業(yè)內(nèi)部審計（Internal Audit，IA）部門是持續(xù)性審計的主要用戶和支持者，現(xiàn)有研究從合規(guī)的視角探討了內(nèi)部審計的職能，重點關(guān)注如何利用技術(shù)協(xié)助內(nèi)部控制，確保政策、標準和法規(guī)的合規(guī)性（Bumgarner & Vasarhelyi，2015）。與組織其他管理職能一樣，內(nèi)部審計具有特定的目標任務(wù)和組織模式，并對員工行為產(chǎn)生重要影響。因此，從管理的視角出發(fā)，立足于持續(xù)性審計的內(nèi)涵與特征，面向內(nèi)部審計的管理職能，探索構(gòu)建基于持續(xù)性審計的內(nèi)部審計新模式及其整合性分析框架是一項重要的研究課題。

構(gòu)建基于持續(xù)性審計的內(nèi)部審計系統(tǒng)，將會引發(fā)現(xiàn)有內(nèi)部審計模式的系統(tǒng)性變革，學術(shù)界和實務(wù)界對此也進行了多維度的探討。首先，面向持續(xù)性審計系統(tǒng)，內(nèi)部審計人員能夠在近乎實時的時間內(nèi)報告一個主題事項。與傳統(tǒng)的年度審計流程相比，內(nèi)部審計人員能夠在異常情況發(fā)生時主動發(fā)現(xiàn)和調(diào)查，而不像傳統(tǒng)審計流程存在很長的時滯效應(yīng)，錯過了風險或危機的最佳處置時間（Chan & Vasarhelyi，2011）。其次，持續(xù)性審計系統(tǒng)中的持續(xù)性控制評估能夠近乎實時地發(fā)現(xiàn)組織內(nèi)部控制的缺陷和薄弱環(huán)節(jié)，并及時將其納入年度審計計劃和審計實施工作中，使得管理層能夠第一時間采取積極的補救措施（Chiu & Vasarhelyi，2014）。此外，持續(xù)性審計系統(tǒng)通過應(yīng)用數(shù)據(jù)分析技術(shù)，提高了審計程序的自動化水平，極大地提升了對于重復性審計任務(wù)的審計效率。再次，持續(xù)性審計系統(tǒng)通常覆蓋組織所有的部門、崗位和交易，審計人員通過自動化流程獨立獲取審計證據(jù)，不再依賴于組織人員所提供的數(shù)據(jù)和資料，從而最大限度地減少了數(shù)據(jù)操縱的機會，審計證據(jù)的范圍、質(zhì)量和有效性均得到有效提高。

盡管持續(xù)性審計在內(nèi)部審計的應(yīng)用可以產(chǎn)生多重價值，但持續(xù)性審計在企業(yè)內(nèi)審業(yè)務(wù)中仍未得到充分利用，而僅被視為內(nèi)部審計職能的一個應(yīng)用拓展領(lǐng)域，可能的原因在于缺乏指導具體應(yīng)用實施的理論性框架。為推動持續(xù)性審計在內(nèi)部審計領(lǐng)域的應(yīng)用，本研究立足于持續(xù)性審計的內(nèi)涵及其核心特征，致力于構(gòu)建融入持續(xù)性審計的內(nèi)部審計系統(tǒng)框架，重點探究如何將連續(xù)審計成功地集成、嵌入于企業(yè)內(nèi)部審計系統(tǒng)中，以更好地推動企業(yè)內(nèi)部審計部門開展持續(xù)性的風險評估和風險管控，增強監(jiān)督的成效。

二、持續(xù)性審計的概念、分類與特征

（一）持續(xù)性審計的概念

根據(jù)美國注冊會計師協(xié)會（AICPA）的定義：“持續(xù)性審計是在可容許的很短的時間范圍內(nèi)，提供實時、準確審計報告的模式，以期持續(xù)、快速、精確地反映出被審計單位所發(fā)生的情況。”國際內(nèi)部審計師協(xié)會（IIA）認為持續(xù)性審計是審計人員使用任何方法持續(xù)不斷地執(zhí)行審計相關(guān)的作業(yè)活動，其活動范圍包含了持續(xù)風險評估和持續(xù)控制評估兩大類型，其中持續(xù)風險評估側(cè)重于感知、評估和預警風險程度，持續(xù)控制評估則旨在關(guān)注內(nèi)部控制的有效性問題。IIA在其全球科技審計指南第三號定義“持續(xù)監(jiān)督”為管理當局合理確保其政策、程序和業(yè)務(wù)流程有效運行的過程，管理當局在確定重要關(guān)鍵控制點后，能夠通過自動化測試來確定這些控制執(zhí)行是否正常。持續(xù)監(jiān)督通常會涉及在既定的業(yè)務(wù)流程范圍內(nèi)，按照一組控制規(guī)則，對所有交易和系統(tǒng)活動進行自動化測試（Marc E & Artur K，2017）。綜合各方觀點，筆者認為持續(xù)性審計是指審計人員將現(xiàn)代信息技術(shù)集成應(yīng)用于組織運營管理全流程而提供的一種實時審計，能夠在近乎實時或短時間內(nèi)為相關(guān)事項提供書面保證，生成審計報告。有關(guān)持續(xù)性審計的定義如表1所示。

（二）持續(xù)性審計的分類

持續(xù)性審計通過確定的流程、技術(shù)和方法，對風險和控制的持續(xù)評估以及對系統(tǒng)可靠性進行實時監(jiān)測。Bumgarner和Vasarhelyi（2015）將現(xiàn)代持續(xù)審計劃分為四類，即持續(xù)性數(shù)據(jù)審計、持續(xù)性控制評價、持續(xù)性風險監(jiān)測和持續(xù)性合規(guī)監(jiān)測，如圖1所示。這些子類別適用于企業(yè)內(nèi)部審計職能部門的持續(xù)性審計活動，即三道防線模型中的第三道防線。

1.持續(xù)性數(shù)據(jù)審計。早期的持續(xù)性審計僅限于對交易的持續(xù)分析以及異常報告機制，具體包括提取超過授權(quán)限額的交易，并將賬戶余額與以往期間進行比較。Bumgarner和Vasarhelyi（2015）將最初的持續(xù)性審計歸類為持續(xù)性數(shù)據(jù)審計。

2.持續(xù)性控制評價。隨著持續(xù)性審計的推進，持續(xù)性數(shù)據(jù)審計的范圍逐步擴大到保證控制的充分性和有效性（Alles & Vasarhelyi，2012）。內(nèi)部審計部門典型的持續(xù)性控制評價是根據(jù)基線標準評價配置控制（如IT配置、應(yīng)用控制和職責分離控制），識別任何后續(xù)的變化，以便進一步評估控制的有效性。持續(xù)性控制評價還可以擴展到對安全和事件日志以及非結(jié)構(gòu)化數(shù)據(jù)的分析。值得注意的是，內(nèi)部審計部門（第三道防線）部署的持續(xù)控制評價不應(yīng)與業(yè)務(wù)部門（第一道防線）和風險管理部門（第二道防線）實施的持續(xù)監(jiān)測舉措相混淆。

3.持續(xù)性風險監(jiān)測。Vasarhelyi和Alles（2004）建議將持續(xù)性風險監(jiān)測納入持續(xù)性審計的定義中。內(nèi)部審計部門監(jiān)測選定的關(guān)鍵指標，以發(fā)現(xiàn)風險的重大變化。風險指標的任何變化都會被考慮納入審計計劃，或者告知管理層。例如，IT安全事件的增加可能是系統(tǒng)泄密的一個表征指標。此類持續(xù)性審計可以為確定企業(yè)年度審計計劃的重點領(lǐng)域提供重要支持，也可以及時辨識企業(yè)新出現(xiàn)或變化的風險。

4.持續(xù)性合規(guī)監(jiān)測。企業(yè)外部政策法治環(huán)境的不斷變化以及國際化、全球化的經(jīng)營，極大地提高了企業(yè)對法律法規(guī)合規(guī)性的要求，Bumgarner和Vasarhelyi（2015）將持續(xù)性合規(guī)監(jiān)測作為第四類持續(xù)性審計，這也是企業(yè)內(nèi)部審計部門的重要職責。

（三） 持續(xù)性審計的特征

1.審計過程的連續(xù)性。持續(xù)性審計強調(diào)將審計工作完全融入組織生產(chǎn)經(jīng)營全過程。持續(xù)性審計模式下，審計進程、風險評估、控制評估、審計報告等都是持續(xù)進行的，持續(xù)性開展審計計劃、評估和報告。實時、持續(xù)、循環(huán)式的審計流程可以有效預防和控制風險，對于高風險的項目尤為重要。

2.審計信息的及時性。持續(xù)性審計的最基本特征就是實時性，要求審計系統(tǒng)能夠及時提供審計信息。傳統(tǒng)審計模式大多為事后審計，不能滿足實時性的需求，事后審計無法幫助組織有效做出預見性決策。持續(xù)性審計則可以實現(xiàn)事前、事中、事后的全時域、全方位審計，并及時提供實時性審計信息。

3.審計程序的自動化和智能化。分析處理大量數(shù)據(jù)要求持續(xù)性審計系統(tǒng)擁有精準的數(shù)據(jù)分析工具，實時監(jiān)測和監(jiān)控被審計單位的狀況，然后通過網(wǎng)絡(luò)觸發(fā)器對被審計單位進行風險預警，這些均要求持續(xù)性審計系統(tǒng)的審計程序必須高度自動化和智能化。而大數(shù)據(jù)、云計算、區(qū)塊鏈、流程自動化與人工智能等新一代信息技術(shù)在審計中的深度應(yīng)用，為持續(xù)性審計系統(tǒng)的有效運轉(zhuǎn)提供了極佳的環(huán)境。

三、傳統(tǒng)審計到持續(xù)性審計的發(fā)展歷程

（一）傳統(tǒng)審計階段

傳統(tǒng)審計技術(shù)的特點是手工程序，通常以抽樣為基礎(chǔ)，其中也包括專門的數(shù)據(jù)分析。內(nèi)部審計人員使用的數(shù)據(jù)分析主要是對各種形式的數(shù)據(jù)進行識別、收集、驗證、分析和解釋。傳統(tǒng)審計技術(shù)涵蓋數(shù)據(jù)分析的初始階段，即專案分析、應(yīng)用分析和管理分析，此時的數(shù)據(jù)分析通常只是一種替代人工程序的方法，并沒有改變審計的總體目標和范圍。（1）專案分析（Ad hoc analytics）。專案分析是商業(yè)智能（Business Intelligence，BI）過程，旨在通過綜合使用多源數(shù)據(jù)來回答一個特定的商業(yè)問題，以便幫助利益相關(guān)者做出科學的評估并給出可行的應(yīng)對措施。如針對銷售量下降這一特定的商業(yè)問題，當現(xiàn)有分析報告沒有或不能回答這個問題時，為獲得更多的細節(jié)信息并給出問題的解決方案，用戶可以選擇數(shù)據(jù)源，根據(jù)問題需要建立統(tǒng)計模型，以圖表、表格和交叉分析等多種形式呈現(xiàn)分析結(jié)果。然而，在沒有標準方法和文件的情況下，專案分析通常難以重復。（2）應(yīng)用分析（The applied analytics）。應(yīng)用分析的特點是將分析融入審計流程，并主要在審計實務(wù)工作中使用，也可用于制訂審計計劃，例如確定財務(wù)報表趨勢。（3）管理分析（The managed analytics）。管理分析提出了一種控制方法，利用開發(fā)的標準分析程序?qū)械臄?shù)據(jù)進執(zhí)行分析應(yīng)用，相關(guān)數(shù)據(jù)、審計程序和結(jié)果也將集中保留。雖然應(yīng)用和管理分析層次的自動化程度更高，且有可能通過實施可重復的審計，發(fā)展為持續(xù)性審計分析程序，然而我們通常仍把這些具有某些持續(xù)性審計的特征的分析方法劃歸為傳統(tǒng)審計。

（二）持續(xù)性審計階段

有別于傳統(tǒng)審計階段，持續(xù)性審計階段數(shù)據(jù)分析的目標、范圍和時間均有所不同。持續(xù)性審計技術(shù)通常源于深度的數(shù)據(jù)分析和從以前的審計中獲得的經(jīng)驗教訓，分析程序的使用更具系統(tǒng)、更加頻繁，并超越了特定審計業(yè)務(wù)的時空范圍。雖然數(shù)據(jù)分析被認為是持續(xù)性審計的先導，但數(shù)據(jù)分析技術(shù)的應(yīng)用并不意味著持續(xù)性審計也得到了實施?；诨顒拥某墒於仍u估，數(shù)據(jù)分析的初始階段，即專案分析、應(yīng)用分析和管理分析，在實現(xiàn)更高程度的自動化之前，通常不被認為是持續(xù)性審計。自動分析（The automated analytics）是持續(xù)性審計的第一個成熟度水平，由于分析邏輯是在程序腳本中捕獲的，分析程序可重復，并且可以自動實施。

隨著自動化程度的提高和管理水平的提升，持續(xù)性審計舉措會逐漸趨于成熟，達到高成熟度的持續(xù)保證。持續(xù)保證（Continuous Assurance）是內(nèi)部審計人員將持續(xù)性審計過程和對財務(wù)、運營和IT管理部門開展的持續(xù)監(jiān)控活動的有機結(jié)合，持續(xù)性審計和持續(xù)性監(jiān)控共同構(gòu)成了持續(xù)性保證。如圖2所示，其中持續(xù)性監(jiān)控是由第一和第二道防線共同進行的一個過程，目的是持續(xù)監(jiān)測控制措施，以確定內(nèi)部控制措施是否有效運行。由于持續(xù)性審計和持續(xù)性監(jiān)控都起源于數(shù)據(jù)分析，管理層采用的許多持續(xù)監(jiān)控技術(shù)可能與內(nèi)部審計人員采用的持續(xù)性審計技術(shù)重疊。因此，持續(xù)性審計與持續(xù)性監(jiān)控之間存在著緊密的聯(lián)系，內(nèi)部審計部門應(yīng)根據(jù)管理層持續(xù)監(jiān)控過程的充分性來調(diào)整持續(xù)性審計工作的程度。

因此，持續(xù)性保證是一種實施組合保證的有效模式，其中三道防線中的部門管理、風險管理和內(nèi)部審計是該模式中三個重要的保證提供者，如果這些保證提供者將持續(xù)性審計和持續(xù)監(jiān)控有機融結(jié)合，營造一個集成有效的組合保證環(huán)境，有助于保證內(nèi)部決策和外部報告信息的真實性和完整性，如圖3所示。

四、內(nèi)部審計的管理職能

內(nèi)部審計負責為組織治理和風險管理工作的適當性和有效性提供獨立且客觀的確認和咨詢。旨在評估控制環(huán)境的有效性，改進組織業(yè)務(wù)，提升組織價值。因此，它是一種評估和改進風險管理、內(nèi)部控制和公司治理實踐有效性的規(guī)范程序和方法。2002年美國《薩班斯-奧克斯利法案》的出臺，迫使高級管理人員走上了確立目標、識別風險和建立控制措施以降低風險的道路。與會計、市場和銷售等其他職能一樣，內(nèi)部審計也是一種管理職能，具有一定的管理任務(wù)、組織模式和對成員行為的影響。下面將對這些進行進一步探討。

（一）內(nèi)部審計的目標任務(wù)

內(nèi)部審計的總體目標是確保組織治理，這涉及管理協(xié)調(diào)組織內(nèi)部多個主體之間的關(guān)系，以確定組織的方向和績效。這一目標是通過推進三項主要任務(wù)來實現(xiàn)的，即推進公司問責制的執(zhí)行、完善風險管理和建立健全內(nèi)部控制。

1.推進公司問責制的執(zhí)行。重點是構(gòu)建組織的整體問責制框架，包括公司利益相關(guān)者為確保對管理和財務(wù)業(yè)績的適當問責而采用的制度、規(guī)則、關(guān)系和程序框架。一些治理機制（如審計委員會和內(nèi)部控制制度）是組織內(nèi)部的，而另一些則是由外部的監(jiān)管機構(gòu)、立法部門來組織實施。執(zhí)行公司問責任務(wù)的一個重要方面是審計報告，以對公司財務(wù)報表是否存在重大錯報發(fā)表獨立鑒證意見，為此必須獲取充分適當?shù)淖C據(jù)來形成和支持這一意見。相關(guān)的任務(wù)包括制定總體審計戰(zhàn)略和具體審計計劃，并執(zhí)行各類嚴格的審計測試，以產(chǎn)生可用于對財務(wù)報表的合法性和公允性形成意見的證據(jù)。

2.完善風險管理。COSO委員會將風險管理定義為“董事會、管理層和其他人員制定戰(zhàn)略和實施過程的程序，旨在確定可能影響組織的潛在風險事件，并將風險控制在其風險承受范圍內(nèi)，為實現(xiàn)組織目標提供合理的保證”。COSO框架認為組織的戰(zhàn)略、業(yè)務(wù)、報告和合規(guī)目標都有相關(guān)的業(yè)務(wù)風險，這些風險由內(nèi)外部事件引起，可能會抑制一個組織實現(xiàn)其目標的能力。因此，企業(yè)實行風險管理，以識別、分類、監(jiān)測和應(yīng)對可能影響本組織實現(xiàn)其目標和任務(wù)能力的風險。這包括為識別、披露和緩解風險制定合適的政策，設(shè)計和實施風險管理和嚴格的內(nèi)部控制制度。

3.建立健全內(nèi)部控制。內(nèi)部控制是“組織的董事會、管理層和員工為實現(xiàn)經(jīng)營的效率和效果、財務(wù)和管理報告的可靠性、法律法規(guī)遵循以及資產(chǎn)安全完整等目標提供合理保證而實施的控制政策和程序”。因此，內(nèi)部控制是組織全員參與的，旨在為保障組織目標實現(xiàn)而采取的任何行動，包括管理層設(shè)計、實施和維護內(nèi)部控制和財務(wù)報告流程，以便保障財務(wù)和非財務(wù)信息的可靠性。

（二）內(nèi)部審計的組織模式

組織中的內(nèi)部審計主要有兩重組織模式，一是整個組織中公司治理、風險管理和內(nèi)部控制的組織;二是內(nèi)部審計部門自身的組織。首先，當前，公司治理、風險管理和內(nèi)部控制的主要組織設(shè)置遵循三道防線理論。國際內(nèi)部審計師協(xié)會（IIA）2013年發(fā)布的三道防線模型被看作是良好組織治理和風險管理的基礎(chǔ)性指引，原版三道防線模型主要關(guān)注助力組織降低和控制風險，但是隨著新興風險的出現(xiàn)，組織面臨的外部環(huán)境也越來越復雜多變，原有模型在突出價值創(chuàng)造、各利益相關(guān)方密切協(xié)作方面仍有待完善。為此，IIA牽頭完成了對模型的修訂，并于2020年7月正式發(fā)布全新的“三線模型”，如圖4所示。第一線是組織為客戶提供產(chǎn)品和/或服務(wù)的前沿職能，包含支持性部門，負責管理風險，并實施有效的控制策略和程序。第二線是負責協(xié)助開展風險管理工作的風險管理部門，以監(jiān)督、審查和測試第一道防線風險控制的有效性。第三線是內(nèi)部審計部門，獨立評估并提供關(guān)于第一和第二道防線的充分性和有效性的意見，以向董事會、審計委員會、首席執(zhí)行官和利益相關(guān)者提供保證。因此，內(nèi)部審計職能被認為是公司風險管控系統(tǒng)的重要組成部分。其次，至于內(nèi)部審計部門自身的組織，必須考慮內(nèi)部審計職能的固有角色。自20世紀40年代初以來，這些角色伴隨著組織環(huán)境變遷而不斷演變，主要包括風險評估、提供控制保證、合規(guī)性保證和面向經(jīng)營管理的咨詢，旨在提高組織的效率和效果，提升組織價值創(chuàng)造能力和水平。

（三）內(nèi)部審計的行為影響

理念和行為是公司治理、風險管理和內(nèi)部控制的重要因素。如果內(nèi)部審計職能的發(fā)揮不會促發(fā)組織成員行為的改變，進而提高效率和效果，那么其存在的價值就會受到質(zhì)疑。貝克爾在犯罪經(jīng)濟學方面的研究為阻止不誠實行為提供了洞見，認為當處罰越嚴重，犯罪行為被發(fā)現(xiàn)的可能性越大時，有助于阻止個體的犯罪行為。員工的舞弊行為與被發(fā)現(xiàn)的認知成反比，因此，與加強制裁相比，提高偵查感知可能是阻止員工舞弊的有效手段。欺詐威懾計劃營造了一種抑制組織利益相關(guān)者實施舞弊行為的內(nèi)部環(huán)境，這通常是通過各種機制實現(xiàn)的，包括使用持續(xù)性審計系統(tǒng)（Singh & Best，2015）。然而，即使是最好的持續(xù)性審計技術(shù)也可能會被串通或管理層凌駕所規(guī)避。因此，組織在防范員工舞弊和欺詐時，需要實現(xiàn)從舞弊預防到舞弊威懾的范式轉(zhuǎn)變，以創(chuàng)建有助于防范舞弊和欺詐的環(huán)境。遵循這一思路，企業(yè)在內(nèi)部審計中實施持續(xù)性審計，通過持續(xù)性欺詐預防和舞弊威懾計劃，改善組織的內(nèi)部環(huán)境，進而最大限度地改變員工的行為認知，將有助于從源頭上遏制員工的舞弊和欺詐行為。

五、基于持續(xù)性審計的內(nèi)部審計框架構(gòu)建

信息系統(tǒng)是為了方便組織的規(guī)劃、控制、協(xié)調(diào)和決策而整合起來的硬件、軟件、基礎(chǔ)設(shè)施、流程和人力資源的組合。企業(yè)中的信息系統(tǒng)有不同的類型，包括管理信息系統(tǒng)、知識管理系統(tǒng)、決策支持系統(tǒng)和執(zhí)行信息系統(tǒng)等。不同類型的信息系統(tǒng)具有一些共同的特點。（1）數(shù)據(jù)管理，包括從不同數(shù)據(jù)庫訪問數(shù)據(jù)、處理數(shù)據(jù)以及不同來源和目的地之間的數(shù)據(jù)流進行實時監(jiān)測和分析。（2）數(shù)據(jù)分析，商業(yè)智能的數(shù)據(jù)分析框架將數(shù)據(jù)分析劃分為描述性分析、診斷性分析、預測性分析和規(guī)范性分析。其中描述性分析（Descriptive analysis）旨在回答過去發(fā)生了什么，通過將過去和當前數(shù)據(jù)轉(zhuǎn)換為總結(jié)性、概括性的報告、圖表、數(shù)據(jù)透視表等形式，幫助審計人員全面、高效地了解被審計單位當前經(jīng)營狀況和財務(wù)業(yè)績。診斷性分析（Diagnostic analysis）旨在分析為什么會發(fā)生，詮釋當前結(jié)果的原因，以便識別異常并揭示多個變量直接未知的連接、模式和關(guān)系。預測性分析（Predictive analysis）旨在回答將來可能會發(fā)生什么，它利用各種統(tǒng)計、建模、數(shù)據(jù)挖掘工具對一定時間內(nèi)累積的歷史數(shù)據(jù)進行研究，從而對未來進行預測。規(guī)范性分析（Prescriptive analysis）旨在回答如何做得更好或者應(yīng)該如何改善，針對前述現(xiàn)狀和問題分析給出相應(yīng)的解決方案和行動建議（吳勇等，2020）。（3）流程支持，即支持審計流程、法律流程、合規(guī)流程的功能。而一些解決方案中的流程支持具有和知識管理系統(tǒng)類似的功能，如包括文件管理、內(nèi)容管理和知識共享等，允許安全、可追溯和可審計地存儲、共享和管理文件，具有電子簽名驗證和內(nèi)容更改跟蹤的功能。（4）信息傳遞，涵蓋報告和可視化信息的功能，如通過儀表盤和記分卡，能夠更加直觀形象地展示企業(yè)的各種情況。上述這些功能是持續(xù)性審計系統(tǒng)解決方案的重要構(gòu)成要素。

構(gòu)建基于持續(xù)性審計的內(nèi)部審計系統(tǒng)框架，除關(guān)注持續(xù)性審計所基于的具體技術(shù)之外，還應(yīng)該關(guān)注：持續(xù)性審計系統(tǒng)如何與內(nèi)部審計的管理職能互動并對其產(chǎn)生影響;內(nèi)部審計職能還會受到哪些情境變量的影響;在各種情況下采納、執(zhí)行和應(yīng)用持續(xù)性審計系統(tǒng)會產(chǎn)生何種結(jié)果和績效。筆者所構(gòu)建的持續(xù)性審計系統(tǒng)與內(nèi)部審計之間關(guān)系的框架如圖5所示。

（一）內(nèi)部審計和持續(xù)性審計系統(tǒng)

引入持續(xù)性審計系統(tǒng)后，要求審計人員改變思維模式，超越其傳統(tǒng)的業(yè)務(wù)保障角色范圍，當涉及公司治理、風險管理和內(nèi)部控制時，持續(xù)性審計系統(tǒng)的應(yīng)用將可能會影響審計人員和審計委員會的作用和決策，成為公司戰(zhàn)略發(fā)展和價值提升的咨詢顧問。在職能方面，內(nèi)部審計與業(yè)務(wù)高度關(guān)聯(lián)，治理、風險與合規(guī)遵從（Governance， Risk and Compliance，GRC）技術(shù)將三道防線融合在一個公共平臺，進行協(xié)作和信息交換，通過技術(shù)實現(xiàn)靈活且動態(tài)的風險評估作業(yè)流程，使內(nèi)部審計能夠覆蓋不斷變化的風險藍圖;在工具技術(shù)方面，基于分析的測試將焦點從傳統(tǒng)的基于底稿樣本的審計程序轉(zhuǎn)移到數(shù)據(jù)分析和關(guān)鍵風險指標的識別;從執(zhí)行傳統(tǒng)審計到依靠自動化審計，審計將通過機器人和機器學習增強數(shù)字化能力，以同時滿足對數(shù)據(jù)處理的大容量、高速和復雜性要求;采用持續(xù)性監(jiān)控，將審計重點從風險監(jiān)測轉(zhuǎn)向事前的風險預防和事中的實時控制。鑒于基礎(chǔ)財務(wù)數(shù)據(jù)是持續(xù)性審計執(zhí)行預警和異常報告的基礎(chǔ)，持續(xù)性審計與企業(yè)系統(tǒng)之間呈現(xiàn)高度的數(shù)據(jù)集成，數(shù)據(jù)、硬件/軟件和信息的高度集成會給內(nèi)部控制等帶來諸多挑戰(zhàn)。而且現(xiàn)有的內(nèi)審職能可能不再是內(nèi)部審計部門的唯一領(lǐng)域，內(nèi)審的角色可能會與信息系統(tǒng)審計、質(zhì)量審計和合規(guī)審計等角色融合，進而影響內(nèi)部審計師的作用和角色。

（二）采納、執(zhí)行和應(yīng)用持續(xù)性審計系統(tǒng)

加強頂層設(shè)計和戰(zhàn)略規(guī)劃，確保包括持續(xù)性審計系統(tǒng)在內(nèi)的信息系統(tǒng)發(fā)展與組織目標相一致?；趧?chuàng)新擴散模型（Rogers， 1995），組織采納、執(zhí)行和應(yīng)用持續(xù)性審計系統(tǒng)會受組織支持、外部壓力、感知的收益和組織文化等因素影響和制約。成本、支持、源代碼訪問、可靠性、學習曲線、兼容性和許可等問題，也會影響企業(yè)選擇自主開發(fā)還是外部購買持續(xù)性審計系統(tǒng)。

（三）組織情境因素

持續(xù)性審計系統(tǒng)建設(shè)大多是戰(zhàn)略性的，這意味著管理層的承諾和支持至關(guān)重要，其他重要的組織情境因素還包括組織文化和組織規(guī)模等。組織在開發(fā)和實施信息系統(tǒng)時，技術(shù)接受度是一個重要的問題。技術(shù)接受模型（Technology Acceptance Model，TAM）認為，技術(shù)有用性、技術(shù)易用性和感知的行為控制等會影響個體對持續(xù)性審計系統(tǒng)的接受和使用。專業(yè)知識、經(jīng)驗背景、社會心理特征或計算機焦慮等個體特征也會影響接受度。此外，組織培訓、管理支持或任務(wù)特征等外部因素也會影響接受度。

持續(xù)性審計系統(tǒng)是在計算機軟件中實現(xiàn)的，需要明確的定義和規(guī)則。因此，準則制定者需要適時制定和修訂會計和審計準則，助力持續(xù)性審計系統(tǒng)的有效實施，以確保審計質(zhì)量。大數(shù)據(jù)環(huán)境下給眾多組織的會計和審計職能帶來眾多挑戰(zhàn)，海量、多源、異構(gòu)、不穩(wěn)定和快速擴展的數(shù)據(jù)集將為審計過程提供更多類型的審計證據(jù)，將這些證據(jù)納入到基于持續(xù)性審計的內(nèi)部審計系統(tǒng)也至關(guān)重要（Alles & Grey，2016）。

（四）結(jié)果與績效

持續(xù)性審計系統(tǒng)的成功實施是由使用結(jié)果驅(qū)動的，其結(jié)果必須綜合考慮技術(shù)的進步、審計模式的變化及其對組織的影響。一方面，基于持續(xù)性審計的內(nèi)部審計系統(tǒng)使得審計人員能夠自動化地評價、監(jiān)督管理層，并能夠更頻繁地進行控制和風險評估，還可以促進全組織內(nèi)部審計和控制活動的協(xié)調(diào)，改善組織各部門、各層級之間的溝通和信息交流，能夠有效降低審計成本，提升審計效率，提高保證和內(nèi)部審計對組織的感知價值，并能夠?qū)M織整體績效產(chǎn)生積極影響。另一方面，持續(xù)性審計系統(tǒng)的投資和創(chuàng)新會對組織價值、生產(chǎn)力、組織效率等產(chǎn)生影響，進而會帶來組織服務(wù)、利潤、市場價值等方面的績效改善，特別是持續(xù)性審計系統(tǒng)會對組織的治理實踐以及內(nèi)部審計任務(wù)績效產(chǎn)生正面的影響。因此，應(yīng)基于更加系統(tǒng)和集成的視角，建立綜合性的分析框架，將應(yīng)用持續(xù)性審計系統(tǒng)引發(fā)人員的行為變化、創(chuàng)新技術(shù)的使用、持續(xù)性審計的組織及其應(yīng)用帶來的組織績效改善等結(jié)果建立有機關(guān)聯(lián)，系統(tǒng)明晰內(nèi)部各要素的交互機理和作用路徑。

六、結(jié)論

持續(xù)性審計作為一個多維構(gòu)造，涵蓋持續(xù)性數(shù)據(jù)審計、持續(xù)性控制評價、持續(xù)性風險監(jiān)測和持續(xù)性合規(guī)監(jiān)測多個不同要素，流程重復且易受風險影響的組織對持續(xù)性審計的需求日益增長。然而，持續(xù)性審計不僅是一種技術(shù)工具，部分地還是一種對組織眾多利益相關(guān)者有價值的信息系統(tǒng);其應(yīng)用不僅是技術(shù)問題，還改變了公司治理、風險管理和內(nèi)部控制的方式，因而會對內(nèi)部審計的目標任務(wù)、組織模式以及員工行為產(chǎn)生深遠影響。為此，本研究在明晰持續(xù)性審計的內(nèi)涵核心特征及其動態(tài)演進的基礎(chǔ)上，基于管理的視角剖析了內(nèi)部審計的管理職能，全面關(guān)注持續(xù)性審計與內(nèi)部審計功能、組織情境以及績效結(jié)果之間的系統(tǒng)性聯(lián)系，構(gòu)建了融入持續(xù)性審計的內(nèi)部審計系統(tǒng)框架，以便高效成功地將持續(xù)性審計集成、嵌入于企業(yè)內(nèi)部審計系統(tǒng)中，更好地推動企業(yè)內(nèi)部審計部門開展持續(xù)性地風險評估和風險管控，增強監(jiān)督的成效，也幫助管理者能夠更加理性地審視持續(xù)性審計系統(tǒng)能夠在多大程度上改變組織的流程、風險和控制，進而實現(xiàn)組織的業(yè)務(wù)目標。

（作者單位：合肥工業(yè)大學管理學院，郵政編碼：230009，電子郵箱：wuyong@hfut.edu.cn）

主要參考文獻

[1]茅芯，李勇，李衛(wèi)星.基于技術(shù)創(chuàng)新的智慧型內(nèi)部審計的探索與研究[J].中國內(nèi)部審計， 2020（11）：25-34

[2]Chan， D.，Vasarhelyi， M. Innovation and practice of continuous auditing[J].International journal of accounting information systems， 2011（12）：152-160

[3]Chiu， V.， Liu， Q. ，Vasarhelyi， M. The development and intellectual structure of continuous auditing research[J]. Journal of Accounting Literature， 2014（33）：37-57

[4]Bumgarner，N.，Vasarhelyi，M.A. Continuous auditing-A new view[R].In AICPA： Audit Analytics and Continuous Audit： Looking Towards the Future， New York： AICPA，2015

[5]Sebastian Weins，Bastian Alm，Tawei Wang.An Integrated Continuous Auditing Approach[J]. Journal of emerging technologies in accounting，2017（2）： 47-57