20、内部审计的数据监控与持续审计

内部审计的数据监控与持续审计

1. 监控工具概述

监控工具形式多样，用途广泛。许多工具最初并非为持续监控而设计，但可轻松适配该用途。例如，计算机变更控制旨在确保程序投入生产环境后，只有经过充分测试的授权变更才能以授权方式实施。对生产系统进行持续监控，可识别未经授权的变更，并为处理完整性提供持续保证。

管理层可利用通用审计软件和其他数据分析工具，持续监控交易流是否符合已知的容忍水平，以确定旨在防止特定异常的控制措施是否被突破。同时，使用相同工具对错误和异常报告进行电子监控，能及时发现可能表明控制失效的模式。

持续监控计算机访问日志，可查找表明对系统敏感区域进行无效访问尝试的模式，以及可能助长欺诈的交易类型。这些分析还能揭示违反公司政策的行为，如未经授权使用互联网或在未经授权的时间从未经授权的终端进行访问。

管理层使用通用审计软件对数据进行重复或持续分析时，需设置脚本对大量数据进行持续运行，以识别一段时间内出现的异常。脚本创建和测试后，可对数据运行，当出现异常情况时，管理层会定期收到通知。或者，在不需要实时通知时，可在夜间运行脚本，主要用于识别异常趋势和模式。

2. 持续监控的要点与注意事项

2.1 持续监控的本质

持续监控并非预防性控制，而是一种检测性控制，只能检测其编程设定要检测的事件。即使拥有最佳工具、最合适的技术和最有效的监控，如果管理层忽视其提供的信息，整个过程也可能变得无效。在这种情况下，持续监控可能比无用更糟糕，因为它会让管理层产生虚假的安全感，实际上可能只是进行了持续记录。

2.2 与全面风险管理的关系

持续监控不能提供全面的企业级风险管