《基于业务流程的连续审计模型构建》-管理学论文，会计论文-论文范文参考-科学狗论文网

标题

基于业务流程的连续审计模型构建

范文

肖薇　金治中

【摘要】随着信息技术的不断发展，连续审计愈发受到关注。连续审计是计算机审计发展的一种高级形式，其应用得益于自动化水平的不断提高。在几十年的发展过程中，许多学者提出了连续审计的应用模型，这无疑有助于推动其在实务中的应用。选择合理的连续审计应用模型是成功实施连续审计的关键所在。以业务流程执行技术为基础，构建了基于业务流程的连续审计模型，以期对连续审计的应用有所裨益。

【关键词】连续审计；业务流程；审计模型

中图分类号：F239 文献标识码：A 文章编号：1004-5937（2014）07-0103-04

自动化控制测试起源于20世纪60年代对嵌入式审计模块（EAMs）的安装和实施。然而，这些模块难以建立和维护，只能在相对极少数的组织中应用。在20世纪70年代，审计师逐步开始放弃这一做法。进入20世纪80年代后，审计界的先行者开始使用电脑辅助审计工具与技术（CAATTs）来进行专门的调查与分析。与此同步，连续审计的概念在一个较大的学术背景下首次面向审计师。

一、连续审计及其模型

连续审计的基本前提是：连续自动数据分析的使用将帮助审计师识别风险最大的领域，以此作为确定他们审计计划的基础。但对于大多数的审计师而言，他们并没有为这种方法做好准备。他们缺乏对适当软件工具的应用技能，缺乏克服数据存储难题的技术资源和专门知识，但最重要的是，组织将承担采用显著不同的审计方式和方法的新责任。

20世纪90年代，全球审计职业对数据分析解决方案的应用日益广泛，数据分析被视为支持内部控制有效性测试的一个重要工具。该技术被用来检查经济交易，以发现那些因为控制不存在或者不能妥善执行所造成的重大问题。它也识别那些不符合控制标准的交易。此外，数据分析支持那些并没有交易数据可直接证明的控制测试。举例来说，企业资源规划的访问和授权表可以被用来分析、找出故障以保持适当的职责分工。但是，即使有这种技术作为支撑，传统的审计程序往往依赖于具有代表性的抽样，而非评估整体样本，并且是在商业活动发生一段时间后才进行。因此，风险与控制问题更有可能导致扩大对经营业绩的负面影响。

从连续审计的技术原理来看，其运行类似于病毒扫描，在自动执行审计的过程中，如果发现任何的异常，都会立即触发警报，并迅速传递到客户或审计人员那里进行处理。选择合理的连续审计应用模型是成功实施连续审计的关键所在。迄今为止，学术界提出了不同的模型，如早期的格仁曼尔（1989）提出的EAM模型，海拉普尔（1991）提出的CPAS模型，近期的沃顿斯瑞（2001）、瑞斯（2002）、欧林尼斯（2003）、莫斯（2004）、查勒斯（2007）等均提出了各自的模型。这些模型均以不同的技术为基础进行构建，对连续审计的实施有一定的指导意义。本文拟从业务流程技术出发构建连续审计模型。

二、业务流程执行技术

为了详细说明针对网页服务的业务流程技术，一个由多家大型公司组成的联盟组织提出了一个标准的基于网页服务的业务流程执行标准，简称为BPEL4WS。BPEL4WS为形式化描述业务流程和业务交互协议提供了一种流程语言。它扩展了网页服务交互模型，并能够支持业务交易。BPEL4WS可以定义一个彼此协作的整合模型，在内部的公司和企业对企业的空间里，这个流程语言有助于自动化流程整合的扩展。

BPEL4WS业务流程的目的是详细说明在用服务描述语言（WSDL）描述的服务之间的端对端的交互作用。交互的流程和涉及的合作者被模型化为WSDL服务。实质上，BPEL4WS流程使用一个或者更多的WSDL服务，为合作者的流程实例进行相关的行为描述。这就是说，BPEL4WS在一个业务流程交互作用里具体的定义了信息交互协议。

使用BPEL4WS，业务流程是可执行的。可执行的业务流程模拟了在一个业务交互作用里一个参与者实际的行为，能够区分一个业务流程外部和内部工作的具体细节。抽象的业务流程本质上是业务协议，这种协议使用流程描述，具体地说明了每一个参与到这个协议的合作方可视化的信息交换行为。在没有揭示它们内部行为的情况下，抽象的流程不能够执行，使用BPEL4WS，可执行的和抽象的业务流程能够被定义，然而，为数据处理的特征组依赖于BPEL4WS是否正在被使用为可执行的业务流程。为定义可执行的业务流程，BPEL4WS分为四个主要的部分：容器、合作者、错误处理和一个主要的流程部分。

BPEL4WS的一项重要方面是它具有可扩展性。考虑到它来源于可扩展的标记性语言（简称XML），通过参考其他的来自于XML命名空间的结构，在一个BPEL4WS文档里使用的结构能够得到扩展。只要来自于扩展的命名空间的结构不与BPEL4WS结构相互冲突，就可能非常稳健地处理需要的业务流程。

在这种情况下，BPEL4WS能够被用来进行连续审计。使用BPEL4WS作为一种基于XML的语言需要定制开发一个内部的会计系统。这样一个基于BPEL4WS的系统将是理想的适合处理连续审计的流程模型的要求。

三、基于业务流程的连续审计模型构建

基于业务流程的连续审计模型如图1。

就BPEL4WS而言，每一个商业流程封装器包括特有的连续审计联络来帮助审计师和被审计方之间使用超文本传输协议进行简单对象访问协议的交流。不仅外部的审计师使用连续审计技术，从而实施外部审计流程，而且连续审计流程能够通过审计师按照需求进行激发，例如投资者、分析师和金融机构等。终端用户要求一些关于被审计方对商业流程认定的证明，或者其他一些感兴趣的审计目标的证明。对外部审计师来说，连续审计技术的使用代表了一个潜在的以前并不会考虑的收益流。由连续审计提供的连续审计报告通过传统的网页进行描述，并通过运用一种可扩展样式表语言来发布审计报告数据。考虑到连续审计流程驻留在审计方而不是被审计方的环境下，提出的框架能够加强审计师的独立性。

每一个业务流程具体的封装器被写入BPEL4WS，详细地说明了审计师所要求的信息，并考虑了特殊的业务流程。在审计师的环境下，必须为每一个业务流程创造一个连续审计流程，定义审计客户的业务流程参数，这必须通过端口类型才能触发。在每一个连续审计流程内，必须准确地配比那些已经在客户业务流程封装器里详细描述的标准。每一个连续审计流程的端口类型输入操作，必须通过客户的业务流程进行输出，客户的业务流程会通过审计师的连续审计流程进行检查，这种运作方式类似于通用的审计软件（GAS），例如ACL的运作。使用GAS在年末进行审计时，客户的数据文件输送给审计师，审计师随后在被审计师控制的环境（例如，审计师自己的计算机）下执行审计流程，从而产生某种审计结果，其主要目的是认定是否不同的审计目标已经完成。许多GAS直接与客户的会计系统相互作用，随着审计软件程序在审计师的计算机上运行，可以无缝获取交易数据。

每一个连续审计流程必须为审计例外或者操作缺陷定义一种标准，在实施活动中，凭借简单访问对象或者超文本传输协议（SOAP/HTTP）收到关于业务流程的具体参数。对一项错误的典型反应是立即记录为一项例外，如果识别为一种严重的例外事项，便会立即发送邮件通知审计师。例外的数据将被储存在数据结构库里。当驻留在审计师环境下的连续审计流程由利益相关者触发后，连续审计流程将会：（1）访问业务流程具体参数；（2）随着错误处理器触发例外，处理连续审计流程活动；（3）储存例外数据到特定的仓库中；（4）获取数据和对终端用户报告结果。例如，被用户要求的认证、什么构成了一个“例外”？业务流程具体参数需要确定例外是否存在，在连续审计流程库里储存的数据都将会变化。随着业务流程类型的功能和业务流程审计目标的变化，存在性、完整性和交易流程的精确性方面都会有所变化。

四、实例：销售业务的连续审计模型

销售业的连续审计模型如图2。

这个过程开始于一些连续审计的需求者（投资者，分析师，金融机构等）要求的某项认定。要求被提出后，在审计师系统中就会触发销售认定的连续审计流程。基于在连续审计流程中定义的参数被连续审计需求者触发时，会从审计客户的销售系统获取数据。连续审计流程从销售系统获得的数据，构成了在销售系统封装器里为输出端口类型的域定义，显示如图2，基于销售系统数据的获取，在审计师系统中的销售鉴证连续审计流程会要求从以下的参照系统里证实数据：从客户的订单系统获得相关订单数据（销售订单是否收到？）；来自于客户的信贷审批系统的相关信贷信息（客户支持信贷吗？）；来自于客户存货系统的存货相关数据（产品有效吗？他们定价正确吗？）；来自于客户的运输系统的运输相关的数据（商品运输了吗？）；来自于客户的账单系统的支票相关数据（销售对客户签订了票据吗？）。事实上，这些要求的数据项目服务于鉴证这些由客户的销售系统报告的特别的销售交易。从客户的参照系统里获取的反馈意见在审计师系统中的销售鉴证连续审计流程进行了必要的处理（配比，计算等），并且向连续审计客户反馈一个认证结果。

对图2中描述的模型一个潜在扩展是，审计师要求确定的数据来自于适当的外部代理，这些外部代理在全部的销售业务流程中为审计客户负责具体的子程序。

五、总结与结论

本文讨论了新兴的IT架构，例如可扩展的标记性语言怎样得以利用来促进连续审计新一代的会计系统。在不断增强的XML环境下，本文提出了一个连续审计方式构架，在这种方式下，终端用户呼叫驻留在审计师客户系统中的连续审计业务流程。因此，连续审计机制自身运行像一个网络服务器，所有的优势来源于新兴的技术架构。

一个模型的构建是连续审计发展的关键第一步，将来的研究需要探索许多相关问题。例如由连续审计所要求的计算机运行能力、连续审计怎样才能连续得到触发、有多少终端用户愿意每次支付连续审计服务来获得认证。将来的研究也能更全面地研究连续审计模型怎样能够操作来提供连续审计关于连续报告的收益。

看起来相对确定的是会计系统正进入到一个新领域，在这里商业数据处理的通用语言是可扩展的标记性语言。在一个不断增加的虚拟世界里，全球经济，信息在任何时候传递到任何地方不再是一种幻想，这在当前已经变成了一种现实。考虑到安然危机和世界通讯等丑闻所造成的信任危机，投资者、管制者、信贷者将越来越需要关于财务业绩的信息，这些信息不仅会在一个更加及时的基础上进行提供，而且也需要由独立审计师用连续审计来保障其可靠性。在这篇文章中讨论的框架，在一定意义上有助于朝着满足这个需求的方向迈进一步。

【参考文献】

[1] Groomer，S. M. and Murthy，Continuous Auditing of Database Applications： An Embedded Audit Module Approach[J].Journal of Information Systems，1989，3（2）：53-69.

[2] Vasarhelyi，M.A. and Halper，F. B.，The Continuous Audit of Online Systems Auditing[J]. A Journal of Practice and Theory，1991，10（1）：110-125.

[3] Hawaii.Woodroof，J. and Searcy， D.，Continuous Audit： Model Development and Implementation within a Debt Covenant Compliance Domain[J]. InternationalJournal of Accounting Information Systems，2001，2（3）：169-191.

[4] Rezaee，Z.； Sharbatoghlie A.； Elam，R. and McM-ickle，P. L. Continuous Auditing： Building Automated Auditing Capability[J]. A Journal of Practice and Theory，2002，21（1）：147-163.

[5] Murthy，U. S. and Groomer，S. M.，A Continuous Auditing Web Services Model for XML-Based Accounting Sys tems[J].International Journal of AccountingInformation Systems，2004，5（2）：139-163.

[6] Charles Ling-yu Chou，Timon Du，Vincent S.Lai，Continuous Auditing with A Multi-agent System[J].Decision Support Systems，2007，42（6）：2274-2292.

随便看

科学优质学术资源、百科知识分享平台，免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。