案例

    西门子公司三年前开始实施连续审计。公司实施了交易事后检查，并对ERP系统的控制过程实施了防范性检查。防范性措施表明，公司需要修改内部连续审计计划。西门子公司没有把整个内部人工审计计划自动化，而是全面检查ERP审计流程，并尽可能提高自动化程度。公司选出一些耗时长、成本高、参考价值不在的审计活动，将其自动化，比如与流程的控制人员访谈，询问是否已经实施必要的控制措施等等。

    防范性的检查措施还表明，一些针对控制采取的连续审计产生的异常提示报告需要有人工监控。“自动提示报告非常重要，也很有用。 ”布伦南说*6*2， “不过，如果我通过一个连续审计系统每天或每小时观察SAP的ERP系统的防范控制，当某个人对系统的控制已经改变时，系统工具就会每天或每小时向那个人发送电子提示邮件。因此，这种工具必须得到有效的管理。”

    事后检查措施也开始出成果。西门子使用了电子软件检查采购付款循环交易和差旅费管理。“我们使用的时间大概才一年，但已经节省了可观的成本。”布伦南说。

    西门子公司还和罗格斯大学的连续审计专家一起，对系统产生的异常报告进行统计、分析，并研究其模型与特征，发现很多异常报告都属于误报。不过，如果进行恰当的分解与组合，这些数据可以提醒内部审计人员哪些部门或者流程可能存在问题，而缺乏这些数据，发现这些问题可能就需要更长的时间。

    西门子公司连续审计的深度可能使一些规模较小的公司的财务管理人员感到紧张，因为他们可没有450名内部审计人员可供使用。幸运的是，开展连续审计并不是一门高深学问。

    建议

    “开展小规模连续审计的办法有很多。”独立内部审计和风险咨询公司Protiviti Inc内部审计服务部总监赫斯（Robert Hirth）说， “即使规模小，你也可以取得很大的效果。”

    赫斯建议可以按以下步骤开展连续审计：

    考虑需要防范的风险。首先，确定公司、交易和控制系统的哪些方面对于公司来说是至关重要并需要不断进行监控的。

    利用现有资源。接着，了解公司现有的自动化实施能力。“许多公司可以在ERP系统中安装自动化功能，充分利用ERP的资源。”赫斯说， “这是公司现成的东西，为什么不用呢？使用这些功能可以减少核对的工作，提供数据的可信度。

    开始实施。“尝试一些简单的作法。”赫斯建议采取一些实验性的措施开始连续审计。比如，下载应付账款供应商管理档案，与员工的住址档案相比。“如果没有地址是一致的，感谢上天。”赫斯说，“不过，如果有三个供应商的地址刚好和三个员工的家庭住址一样，怎么办呢？”你还可以检查加班情况，把工资档案按照加班时间由长至短分类检查。赫斯高度评价ACL服务公司提供的数据检查工具。这些工具针对性极强，成本却比整个连续审计应用系统低得多，赫斯说。

    仅仅是一年前，只有小部分专家学者和供应商以及偶然实施连续审计的企业在高举“连续审计时代即将到来”的口号。今天，更多的内部审计人员和企业财务管理人员加入到这个行列中来，因为他们已经明白，实施连续审计是一个明智之举。企业何乐而不为呢？