肖薇　金治中

【摘 要】 隨著信息技術(shù)的不斷發(fā)展，連續(xù)審計(jì)愈發(fā)受到關(guān)注。連續(xù)審計(jì)是計(jì)算機(jī)審計(jì)發(fā)展的一種高級(jí)形式，其應(yīng)用得益于自動(dòng)化水平的不斷提高。在幾十年的發(fā)展過(guò)程中，許多學(xué)者提出了連續(xù)審計(jì)的應(yīng)用模型，這無(wú)疑有助于推動(dòng)其在實(shí)務(wù)中的應(yīng)用。選擇合理的連續(xù)審計(jì)應(yīng)用模型是成功實(shí)施連續(xù)審計(jì)的關(guān)鍵所在。以業(yè)務(wù)流程執(zhí)行技術(shù)為基礎(chǔ)，構(gòu)建了基于業(yè)務(wù)流程的連續(xù)審計(jì)模型，以期對(duì)連續(xù)審計(jì)的應(yīng)用有所裨益。

【關(guān)鍵詞】 連續(xù)審計(jì)； 業(yè)務(wù)流程； 審計(jì)模型

中圖分類號(hào)：F239 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1004-5937（2014）07-0103-04

自動(dòng)化控制測(cè)試起源于20世紀(jì)60年代對(duì)嵌入式審計(jì)模塊（EAMs）的安裝和實(shí)施。然而，這些模塊難以建立和維護(hù)，只能在相對(duì)極少數(shù)的組織中應(yīng)用。在20世紀(jì)70年代，審計(jì)師逐步開(kāi)始放棄這一做法。進(jìn)入20世紀(jì)80年代后，審計(jì)界的先行者開(kāi)始使用電腦輔助審計(jì)工具與技術(shù)（CAATTs）來(lái)進(jìn)行專門的調(diào)查與分析。與此同步，連續(xù)審計(jì)的概念在一個(gè)較大的學(xué)術(shù)背景下首次面向?qū)徲?jì)師。

一、連續(xù)審計(jì)及其模型

連續(xù)審計(jì)的基本前提是：連續(xù)自動(dòng)數(shù)據(jù)分析的使用將幫助審計(jì)師識(shí)別風(fēng)險(xiǎn)最大的領(lǐng)域，以此作為確定他們審計(jì)計(jì)劃的基礎(chǔ)。但對(duì)于大多數(shù)的審計(jì)師而言，他們并沒(méi)有為這種方法做好準(zhǔn)備。他們?nèi)狈?duì)適當(dāng)軟件工具的應(yīng)用技能，缺乏克服數(shù)據(jù)存儲(chǔ)難題的技術(shù)資源和專門知識(shí)，但最重要的是，組織將承擔(dān)采用顯著不同的審計(jì)方式和方法的新責(zé)任。

20世紀(jì)90年代，全球?qū)徲?jì)職業(yè)對(duì)數(shù)據(jù)分析解決方案的應(yīng)用日益廣泛，數(shù)據(jù)分析被視為支持內(nèi)部控制有效性測(cè)試的一個(gè)重要工具。該技術(shù)被用來(lái)檢查經(jīng)濟(jì)交易，以發(fā)現(xiàn)那些因?yàn)榭刂撇淮嬖诨蛘卟荒芡咨茍?zhí)行所造成的重大問(wèn)題。它也識(shí)別那些不符合控制標(biāo)準(zhǔn)的交易。此外，數(shù)據(jù)分析支持那些并沒(méi)有交易數(shù)據(jù)可直接證明的控制測(cè)試。舉例來(lái)說(shuō)，企業(yè)資源規(guī)劃的訪問(wèn)和授權(quán)表可以被用來(lái)分析、找出故障以保持適當(dāng)?shù)穆氊?zé)分工。但是，即使有這種技術(shù)作為支撐，傳統(tǒng)的審計(jì)程序往往依賴于具有代表性的抽樣，而非評(píng)估整體樣本，并且是在商業(yè)活動(dòng)發(fā)生一段時(shí)間后才進(jìn)行。因此，風(fēng)險(xiǎn)與控制問(wèn)題更有可能導(dǎo)致擴(kuò)大對(duì)經(jīng)營(yíng)業(yè)績(jī)的負(fù)面影響。

從連續(xù)審計(jì)的技術(shù)原理來(lái)看，其運(yùn)行類似于病毒掃描，在自動(dòng)執(zhí)行審計(jì)的過(guò)程中，如果發(fā)現(xiàn)任何的異常，都會(huì)立即觸發(fā)警報(bào)，并迅速傳遞到客戶或?qū)徲?jì)人員那里進(jìn)行處理。選擇合理的連續(xù)審計(jì)應(yīng)用模型是成功實(shí)施連續(xù)審計(jì)的關(guān)鍵所在。迄今為止，學(xué)術(shù)界提出了不同的模型，如早期的格仁曼爾（1989）提出的EAM模型，海拉普爾（1991）提出的CPAS模型，近期的沃頓斯瑞（2001）、瑞斯（2002）、歐林尼斯（2003）、莫斯（2004）、查勒斯（2007）等均提出了各自的模型。這些模型均以不同的技術(shù)為基礎(chǔ)進(jìn)行構(gòu)建，對(duì)連續(xù)審計(jì)的實(shí)施有一定的指導(dǎo)意義。本文擬從業(yè)務(wù)流程技術(shù)出發(fā)構(gòu)建連續(xù)審計(jì)模型。

二、業(yè)務(wù)流程執(zhí)行技術(shù)

為了詳細(xì)說(shuō)明針對(duì)網(wǎng)頁(yè)服務(wù)的業(yè)務(wù)流程技術(shù)，一個(gè)由多家大型公司組成的聯(lián)盟組織提出了一個(gè)標(biāo)準(zhǔn)的基于網(wǎng)頁(yè)服務(wù)的業(yè)務(wù)流程執(zhí)行標(biāo)準(zhǔn)，簡(jiǎn)稱為BPEL4WS。BPEL4WS為形式化描述業(yè)務(wù)流程和業(yè)務(wù)交互協(xié)議提供了一種流程語(yǔ)言。它擴(kuò)展了網(wǎng)頁(yè)服務(wù)交互模型，并能夠支持業(yè)務(wù)交易。BPEL4WS可以定義一個(gè)彼此協(xié)作的整合模型，在內(nèi)部的公司和企業(yè)對(duì)企業(yè)的空間里，這個(gè)流程語(yǔ)言有助于自動(dòng)化流程整合的擴(kuò)展。

BPEL4WS業(yè)務(wù)流程的目的是詳細(xì)說(shuō)明在用服務(wù)描述語(yǔ)言（WSDL）描述的服務(wù)之間的端對(duì)端的交互作用。交互的流程和涉及的合作者被模型化為WSDL服務(wù)。實(shí)質(zhì)上，BPEL4WS流程使用一個(gè)或者更多的WSDL服務(wù)，為合作者的流程實(shí)例進(jìn)行相關(guān)的行為描述。這就是說(shuō)，BPEL4WS在一個(gè)業(yè)務(wù)流程交互作用里具體的定義了信息交互協(xié)議。

使用BPEL4WS，業(yè)務(wù)流程是可執(zhí)行的?？蓤?zhí)行的業(yè)務(wù)流程模擬了在一個(gè)業(yè)務(wù)交互作用里一個(gè)參與者實(shí)際的行為，能夠區(qū)分一個(gè)業(yè)務(wù)流程外部和內(nèi)部工作的具體細(xì)節(jié)。抽象的業(yè)務(wù)流程本質(zhì)上是業(yè)務(wù)協(xié)議，這種協(xié)議使用流程描述，具體地說(shuō)明了每一個(gè)參與到這個(gè)協(xié)議的合作方可視化的信息交換行為。在沒(méi)有揭示它們內(nèi)部行為的情況下，抽象的流程不能夠執(zhí)行，使用BPEL4WS，可執(zhí)行的和抽象的業(yè)務(wù)流程能夠被定義，然而，為數(shù)據(jù)處理的特征組依賴于BPEL4WS是否正在被使用為可執(zhí)行的業(yè)務(wù)流程。為定義可執(zhí)行的業(yè)務(wù)流程，BPEL4WS分為四個(gè)主要的部分：容器、合作者、錯(cuò)誤處理和一個(gè)主要的流程部分。

BPEL4WS的一項(xiàng)重要方面是它具有可擴(kuò)展性?？紤]到它來(lái)源于可擴(kuò)展的標(biāo)記性語(yǔ)言（簡(jiǎn)稱XML），通過(guò)參考其他的來(lái)自于XML命名空間的結(jié)構(gòu)，在一個(gè)BPEL4WS文檔里使用的結(jié)構(gòu)能夠得到擴(kuò)展。只要來(lái)自于擴(kuò)展的命名空間的結(jié)構(gòu)不與BPEL4WS結(jié)構(gòu)相互沖突，就可能非常穩(wěn)健地處理需要的業(yè)務(wù)流程。

在這種情況下，BPEL4WS能夠被用來(lái)進(jìn)行連續(xù)審計(jì)。使用BPEL4WS作為一種基于XML的語(yǔ)言需要定制開(kāi)發(fā)一個(gè)內(nèi)部的會(huì)計(jì)系統(tǒng)。這樣一個(gè)基于BPEL4WS的系統(tǒng)將是理想的適合處理連續(xù)審計(jì)的流程模型的要求。

三、基于業(yè)務(wù)流程的連續(xù)審計(jì)模型構(gòu)建

基于業(yè)務(wù)流程的連續(xù)審計(jì)模型如圖1。

就BPEL4WS而言，每一個(gè)商業(yè)流程封裝器包括特有的連續(xù)審計(jì)聯(lián)絡(luò)來(lái)幫助審計(jì)師和被審計(jì)方之間使用超文本傳輸協(xié)議進(jìn)行簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議的交流。不僅外部的審計(jì)師使用連續(xù)審計(jì)技術(shù)，從而實(shí)施外部審計(jì)流程，而且連續(xù)審計(jì)流程能夠通過(guò)審計(jì)師按照需求進(jìn)行激發(fā)，例如投資者、分析師和金融機(jī)構(gòu)等。終端用戶要求一些關(guān)于被審計(jì)方對(duì)商業(yè)流程認(rèn)定的證明，或者其他一些感興趣的審計(jì)目標(biāo)的證明。對(duì)外部審計(jì)師來(lái)說(shuō)，連續(xù)審計(jì)技術(shù)的使用代表了一個(gè)潛在的以前并不會(huì)考慮的收益流。由連續(xù)審計(jì)提供的連續(xù)審計(jì)報(bào)告通過(guò)傳統(tǒng)的網(wǎng)頁(yè)進(jìn)行描述，并通過(guò)運(yùn)用一種可擴(kuò)展樣式表語(yǔ)言來(lái)發(fā)布審計(jì)報(bào)告數(shù)據(jù)。考慮到連續(xù)審計(jì)流程駐留在審計(jì)方而不是被審計(jì)方的環(huán)境下，提出的框架能夠加強(qiáng)審計(jì)師的獨(dú)立性。endprint

每一個(gè)業(yè)務(wù)流程具體的封裝器被寫(xiě)入BPEL4WS，詳細(xì)地說(shuō)明了審計(jì)師所要求的信息，并考慮了特殊的業(yè)務(wù)流程。在審計(jì)師的環(huán)境下，必須為每一個(gè)業(yè)務(wù)流程創(chuàng)造一個(gè)連續(xù)審計(jì)流程，定義審計(jì)客戶的業(yè)務(wù)流程參數(shù)，這必須通過(guò)端口類型才能觸發(fā)。在每一個(gè)連續(xù)審計(jì)流程內(nèi)，必須準(zhǔn)確地配比那些已經(jīng)在客戶業(yè)務(wù)流程封裝器里詳細(xì)描述的標(biāo)準(zhǔn)。每一個(gè)連續(xù)審計(jì)流程的端口類型輸入操作，必須通過(guò)客戶的業(yè)務(wù)流程進(jìn)行輸出，客戶的業(yè)務(wù)流程會(huì)通過(guò)審計(jì)師的連續(xù)審計(jì)流程進(jìn)行檢查，這種運(yùn)作方式類似于通用的審計(jì)軟件（GAS），例如ACL的運(yùn)作。使用GAS在年末進(jìn)行審計(jì)時(shí)，客戶的數(shù)據(jù)文件輸送給審計(jì)師，審計(jì)師隨后在被審計(jì)師控制的環(huán)境（例如，審計(jì)師自己的計(jì)算機(jī)）下執(zhí)行審計(jì)流程，從而產(chǎn)生某種審計(jì)結(jié)果，其主要目的是認(rèn)定是否不同的審計(jì)目標(biāo)已經(jīng)完成。許多GAS直接與客戶的會(huì)計(jì)系統(tǒng)相互作用，隨著審計(jì)軟件程序在審計(jì)師的計(jì)算機(jī)上運(yùn)行，可以無(wú)縫獲取交易數(shù)據(jù)。

每一個(gè)連續(xù)審計(jì)流程必須為審計(jì)例外或者操作缺陷定義一種標(biāo)準(zhǔn)，在實(shí)施活動(dòng)中，憑借簡(jiǎn)單訪問(wèn)對(duì)象或者超文本傳輸協(xié)議（SOAP/HTTP）收到關(guān)于業(yè)務(wù)流程的具體參數(shù)。對(duì)一項(xiàng)錯(cuò)誤的典型反應(yīng)是立即記錄為一項(xiàng)例外，如果識(shí)別為一種嚴(yán)重的例外事項(xiàng)，便會(huì)立即發(fā)送郵件通知審計(jì)師。例外的數(shù)據(jù)將被儲(chǔ)存在數(shù)據(jù)結(jié)構(gòu)庫(kù)里。當(dāng)駐留在審計(jì)師環(huán)境下的連續(xù)審計(jì)流程由利益相關(guān)者觸發(fā)后，連續(xù)審計(jì)流程將會(huì)：（1）訪問(wèn)業(yè)務(wù)流程具體參數(shù)；（2）隨著錯(cuò)誤處理器觸發(fā)例外，處理連續(xù)審計(jì)流程活動(dòng)；（3）儲(chǔ)存例外數(shù)據(jù)到特定的倉(cāng)庫(kù)中；（4）獲取數(shù)據(jù)和對(duì)終端用戶報(bào)告結(jié)果。例如，被用戶要求的認(rèn)證、什么構(gòu)成了一個(gè)“例外”？業(yè)務(wù)流程具體參數(shù)需要確定例外是否存在，在連續(xù)審計(jì)流程庫(kù)里儲(chǔ)存的數(shù)據(jù)都將會(huì)變化。隨著業(yè)務(wù)流程類型的功能和業(yè)務(wù)流程審計(jì)目標(biāo)的變化，存在性、完整性和交易流程的精確性方面都會(huì)有所變化。

四、實(shí)例：銷售業(yè)務(wù)的連續(xù)審計(jì)模型

銷售業(yè)的連續(xù)審計(jì)模型如圖2。

這個(gè)過(guò)程開(kāi)始于一些連續(xù)審計(jì)的需求者（投資者，分析師，金融機(jī)構(gòu)等）要求的某項(xiàng)認(rèn)定。要求被提出后，在審計(jì)師系統(tǒng)中就會(huì)觸發(fā)銷售認(rèn)定的連續(xù)審計(jì)流程。基于在連續(xù)審計(jì)流程中定義的參數(shù)被連續(xù)審計(jì)需求者觸發(fā)時(shí)，會(huì)從審計(jì)客戶的銷售系統(tǒng)獲取數(shù)據(jù)。連續(xù)審計(jì)流程從銷售系統(tǒng)獲得的數(shù)據(jù)，構(gòu)成了在銷售系統(tǒng)封裝器里為輸出端口類型的域定義，顯示如圖2，基于銷售系統(tǒng)數(shù)據(jù)的獲取，在審計(jì)師系統(tǒng)中的銷售鑒證連續(xù)審計(jì)流程會(huì)要求從以下的參照系統(tǒng)里證實(shí)數(shù)據(jù)：從客戶的訂單系統(tǒng)獲得相關(guān)訂單數(shù)據(jù)（銷售訂單是否收到？）；來(lái)自于客戶的信貸審批系統(tǒng)的相關(guān)信貸信息（客戶支持信貸嗎？）；來(lái)自于客戶存貨系統(tǒng)的存貨相關(guān)數(shù)據(jù)（產(chǎn)品有效嗎？他們定價(jià)正確嗎？）；來(lái)自于客戶的運(yùn)輸系統(tǒng)的運(yùn)輸相關(guān)的數(shù)據(jù)（商品運(yùn)輸了嗎？）；來(lái)自于客戶的賬單系統(tǒng)的支票相關(guān)數(shù)據(jù)（銷售對(duì)客戶簽訂了票據(jù)嗎？）。事實(shí)上，這些要求的數(shù)據(jù)項(xiàng)目服務(wù)于鑒證這些由客戶的銷售系統(tǒng)報(bào)告的特別的銷售交易。從客戶的參照系統(tǒng)里獲取的反饋意見(jiàn)在審計(jì)師系統(tǒng)中的銷售鑒證連續(xù)審計(jì)流程進(jìn)行了必要的處理（配比，計(jì)算等），并且向連續(xù)審計(jì)客戶反饋一個(gè)認(rèn)證結(jié)果。

對(duì)圖2中描述的模型一個(gè)潛在擴(kuò)展是，審計(jì)師要求確定的數(shù)據(jù)來(lái)自于適當(dāng)?shù)耐獠看?，這些外部代理在全部的銷售業(yè)務(wù)流程中為審計(jì)客戶負(fù)責(zé)具體的子程序。

五、總結(jié)與結(jié)論

本文討論了新興的IT架構(gòu)，例如可擴(kuò)展的標(biāo)記性語(yǔ)言怎樣得以利用來(lái)促進(jìn)連續(xù)審計(jì)新一代的會(huì)計(jì)系統(tǒng)。在不斷增強(qiáng)的XML環(huán)境下，本文提出了一個(gè)連續(xù)審計(jì)方式構(gòu)架，在這種方式下，終端用戶呼叫駐留在審計(jì)師客戶系統(tǒng)中的連續(xù)審計(jì)業(yè)務(wù)流程。因此，連續(xù)審計(jì)機(jī)制自身運(yùn)行像一個(gè)網(wǎng)絡(luò)服務(wù)器，所有的優(yōu)勢(shì)來(lái)源于新興的技術(shù)架構(gòu)。

一個(gè)模型的構(gòu)建是連續(xù)審計(jì)發(fā)展的關(guān)鍵第一步，將來(lái)的研究需要探索許多相關(guān)問(wèn)題。例如由連續(xù)審計(jì)所要求的計(jì)算機(jī)運(yùn)行能力、連續(xù)審計(jì)怎樣才能連續(xù)得到觸發(fā)、有多少終端用戶愿意每次支付連續(xù)審計(jì)服務(wù)來(lái)獲得認(rèn)證。將來(lái)的研究也能更全面地研究連續(xù)審計(jì)模型怎樣能夠操作來(lái)提供連續(xù)審計(jì)關(guān)于連續(xù)報(bào)告的收益。

看起來(lái)相對(duì)確定的是會(huì)計(jì)系統(tǒng)正進(jìn)入到一個(gè)新領(lǐng)域，在這里商業(yè)數(shù)據(jù)處理的通用語(yǔ)言是可擴(kuò)展的標(biāo)記性語(yǔ)言。在一個(gè)不斷增加的虛擬世界里，全球經(jīng)濟(jì)，信息在任何時(shí)候傳遞到任何地方不再是一種幻想，這在當(dāng)前已經(jīng)變成了一種現(xiàn)實(shí)?？紤]到安然危機(jī)和世界通訊等丑聞所造成的信任危機(jī)，投資者、管制者、信貸者將越來(lái)越需要關(guān)于財(cái)務(wù)業(yè)績(jī)的信息，這些信息不僅會(huì)在一個(gè)更加及時(shí)的基礎(chǔ)上進(jìn)行提供，而且也需要由獨(dú)立審計(jì)師用連續(xù)審計(jì)來(lái)保障其可靠性。在這篇文章中討論的框架，在一定意義上有助于朝著滿足這個(gè)需求的方向邁進(jìn)一步。

【參考文獻(xiàn)】

[1] Groomer，S. M. and Murthy，Continuous Auditing of Database Applications： An Embedded Audit Module Approach[J].Journal of Information Systems，1989，3（2）：53-69.

[2] Vasarhelyi，M.A. and Halper，F(xiàn). B.，The Continuous Audit of Online Systems Auditing[J]. A Journal of Practice and Theory，1991，10（1）：110-125.

[3] Hawaii.Woodroof，J. and Searcy， D.，Continuous Audit： Model Development and Implementation within a Debt Covenant Compliance Domain[J]. InternationalJournal of Accounting Information Systems，2001，2（3）：169-191.

[4] Rezaee，Z.； Sharbatoghlie A.； Elam，R. and McM-ickle，P. L. Continuous Auditing： Building Automated Auditing Capability[J]. A Journal of Practice and Theory，2002，21（1）：147-163.

[5] Murthy，U. S. and Groomer，S. M.，A Continuous Auditing Web Services Model for XML-Based Accounting Sys tems[J].International Journal of AccountingInformation Systems，2004，5（2）：139-163.

[6] Charles Ling-yu Chou，Timon Du，Vincent S.Lai，Continuous Auditing with A Multi-agent System[J].Decision Support Systems，2007，42（6）：2274-2292.endprint