Continuous auditing is not simply the practice of moving year-end audit procedures to different months during the year. Although both approaches may reduce the workload at year-end, they differ in their objectives, frequency, use of technology, scope of testing, and speed of response to identified exceptions.
Spreading year-end procedures throughout the year is normally an interim audit approach. The auditor performs selected tests of controls or substantive procedures before the reporting date and later performs roll-forward procedures to cover the remaining period. The engagement continues to follow an annual audit cycle, and the auditor ultimately forms an opinion on the financial statements as of the official year-end.
For example, an auditor may test revenue, purchases, payroll, and fixed asset additions through September or November. After year-end, the auditor updates the work for the remaining period, tests cut-off, examines significant year-end journal entries, and reconciles the interim trial balance to the final financial statements. This approach changes the timing of traditional audit procedures but does not fundamentally change the audit operating model.
Continuous auditing involves recurring or event-driven assessments of transactions, risks, and controls, normally supported by technology and automated analysis. The Institute of Internal Auditors explains that continuous auditing uses technology to provide ongoing assessments of risks and controls and may support audit planning, individual engagements, and follow-up of audit findings. (The Institute of Internal Auditors)
The procedures may run daily, weekly, monthly, or whenever a predefined event occurs. Rather than waiting for the next scheduled fieldwork visit, the system can analyse data, apply risk rules, identify exceptions, and send alerts for investigation. Continuous auditing therefore changes not only when the work is performed but also how risks are detected and how quickly the auditor responds.
A practical example is continuous journal-entry auditing. Under a conventional interim audit, the auditor may obtain journal-entry data for the first nine or eleven months and select samples during a scheduled visit. Under continuous auditing, journal-entry data may be transferred automatically to an audit platform every night or every week. The system may identify entries posted by privileged users, entries made outside normal working hours, journals posted directly to revenue or reserves, unusual account combinations, round-number entries, or transactions posted just below an approval threshold.
When an alert is generated, the auditor investigates the entry promptly by examining supporting documents, approval evidence, user access, and the business purpose. If several unusual entries are identified in one department, the auditor may revise the fraud-risk assessment and expand testing without waiting until year-end. Audit data analytics can support this process by identifying patterns, anomalies, and other useful information in the underlying audit data. (AICPA & CIMA)
A second example is continuous auditing of revenue. A retail or digital business may generate thousands of sales transactions each day. An automated routine may compare sales data with delivery records, cash collections, credit notes, customer master data, and expected gross margins. The system may flag sales recorded without evidence of delivery, unusual increases near month-end, repeated credit notes issued immediately after period-end, transactions with newly created customers, or selling prices significantly below approved levels.
Suppose a company normally records daily sales of approximately Baht 10 million, but the system identifies Baht 45 million of sales during the final two days of a quarter. The alert does not by itself prove that revenue is incorrect. However, it allows the auditor to examine the transactions immediately, inspect contracts and delivery evidence, evaluate cut-off, and determine whether management accelerated revenue recognition. Under a traditional audit, the same issue might not be identified until several months later.
A third example is continuous auditing of the procure-to-pay process. The system may compare supplier invoices, purchase orders, receiving records, payment files, and vendor master data. It may identify duplicate invoice numbers, repeated payments of the same amount, invoices split below approval limits, payments to inactive vendors, or changes to supplier bank accounts shortly before payment.
For example, if a supplier’s bank account is changed and a large payment is released on the same day, the system may immediately create an exception. The auditor can then examine whether the change was independently verified and appropriately approved. If the alert relates to an actual attempted fraud, timely investigation may prevent the loss rather than merely reporting it after year-end.
These examples show that continuous auditing is built around repeated data acquisition, predefined risk indicators, automated exception detection, and timely follow-up. By contrast, performing revenue testing in March, payroll testing in June, and fixed asset testing in September is still only a distribution of annual audit procedures unless the results are generated and assessed on a sufficiently regular and responsive basis.
Continuous auditing must also be distinguished from continuous monitoring. Continuous monitoring is normally performed by management to determine whether controls and business processes are operating as intended. Continuous auditing is performed by an internal audit or assurance function to independently assess those controls and risks. The two processes may use the same data, but the auditor should not assume management’s responsibility for operating or correcting controls. (The Institute of Internal Auditors)
For external financial statement audits, automated tools may be used in risk assessment, tests of controls, substantive procedures, and analytical procedures. IAASB guidance explains that procedures using automated tools and techniques may serve as risk-assessment procedures, further audit procedures, or both, depending on how they are designed. The use of technology does not remove the auditor’s responsibility to evaluate the reliability of the information, investigate exceptions, exercise professional judgment, and document the procedures and conclusions. (IAASB)
Continuous auditing also does not eliminate year-end procedures. The external auditor must still address the final closing process, year-end estimates, cut-off, significant journal entries, subsequent events, and changes occurring after earlier testing. Continuous routines may improve risk identification and direct attention to unusual items, but the auditor must still obtain sufficient appropriate evidence to support the year-end audit opinion.
In summary, spreading year-end procedures throughout the year primarily changes the timing of a conventional annual audit. Continuous auditing changes the operating model by using frequent or event-driven data analysis, automated risk rules, exception alerts, and timely investigation. Practical applications include continuous journal-entry screening, revenue and cut-off monitoring, and automated testing of supplier payments and master-data changes. The approach can identify risks earlier and improve audit focus, but it requires reliable data, well-designed rules, clear responsibility for investigating alerts, appropriate human judgment, and disciplined follow-up.
Continuous Auditing หรือการตรวจสอบอย่างต่อเนื่อง ไม่ได้หมายถึงเพียงการนำวิธีตรวจสอบที่เคยทำปลายปีมากระจายทำในเดือนต่าง ๆ แม้ทั้งสองแนวทางอาจช่วยลดปริมาณงานในช่วงสิ้นปี แต่มีความแตกต่างกันทั้งด้านวัตถุประสงค์ ความถี่ การใช้เทคโนโลยี ขอบเขตของข้อมูลที่ตรวจ และความรวดเร็วในการตอบสนองต่อข้อยกเว้นที่พบ
การนำวิธีตรวจสอบปลายปีมากระจายทำระหว่างปี โดยทั่วไปเป็นการตรวจสอบระหว่างงวด ผู้สอบบัญชีอาจทดสอบการควบคุมหรือตรวจสอบเนื้อหาสาระบางส่วนก่อนวันสิ้นรอบบัญชี แล้วทำวิธีตรวจสอบเพิ่มเติมเพื่อเชื่อมโยงผลจากวันระหว่างงวดไปยังวันสิ้นปี งานยังคงอยู่ภายใต้วงจรการสอบบัญชีประจำปี และผู้สอบบัญชียังคงแสดงความเห็นต่องบการเงิน ณ วันสิ้นรอบบัญชีจริง
ตัวอย่างเช่น ผู้สอบบัญชีอาจตรวจรายได้ การซื้อ เงินเดือน และสินทรัพย์ถาวรถึงเดือนกันยายนหรือพฤศจิกายน เมื่อสิ้นปีจึงตรวจสอบช่วงเวลาที่เหลือ ทดสอบการตัดยอด ตรวจรายการบันทึกบัญชีปลายปี และกระทบยอดงบทดลองระหว่างงวดกับงบการเงินฉบับสุดท้าย วิธีนี้เป็นการเปลี่ยนช่วงเวลาของงานตรวจสอบแบบเดิม แต่ยังไม่ได้เปลี่ยนรูปแบบการทำงานให้เป็น Continuous Auditing
Continuous Auditing เป็นการประเมินธุรกรรม ความเสี่ยง และการควบคุมด้วยความถี่สูงหรือทันทีเมื่อเกิดเหตุการณ์ที่กำหนด โดยมักใช้ระบบอัตโนมัติและการวิเคราะห์ข้อมูลเข้ามาช่วย สถาบันผู้ตรวจสอบภายในอธิบายว่า Continuous Auditing ใช้เทคโนโลยีเพื่อประเมินความเสี่ยงและการควบคุมอย่างต่อเนื่อง และสามารถนำไปใช้สนับสนุนการวางแผนงาน การตรวจสอบแต่ละเรื่อง และการติดตามการแก้ไขข้อค้นพบได้ (The Institute of Internal Auditors)
วิธีตรวจสอบอาจทำงานทุกวัน ทุกสัปดาห์ ทุกเดือน หรือทำงานเมื่อเกิดเหตุการณ์เฉพาะ ระบบจะวิเคราะห์ข้อมูลตามกฎความเสี่ยง ระบุรายการผิดปกติ และส่งสัญญาณให้ผู้ตรวจสอบดำเนินการต่อโดยไม่ต้องรอการเข้าตรวจรอบถัดไป ความแตกต่างจึงไม่ได้อยู่เพียงว่า “ตรวจเมื่อใด” แต่รวมถึง “ค้นพบความเสี่ยงอย่างไร” และ “ตอบสนองเร็วเพียงใด”
ตัวอย่างแรกคือการตรวจสอบรายการบันทึกบัญชีอย่างต่อเนื่อง หากเป็นการตรวจสอบระหว่างงวดแบบปกติ ผู้สอบบัญชีอาจขอข้อมูลรายการบันทึกบัญชีของเก้าหรือสิบเอ็ดเดือนแรก แล้วเลือกตัวอย่างมาตรวจในช่วงที่เข้าปฏิบัติงาน แต่ในระบบ Continuous Auditing ข้อมูลรายการบันทึกบัญชีอาจถูกส่งเข้าสู่ระบบตรวจสอบทุกคืนหรือทุกสัปดาห์
ระบบอาจค้นหารายการที่บันทึกโดยผู้ใช้งานที่มีสิทธิสูง รายการที่บันทึกนอกเวลาทำการ รายการที่บันทึกตรงเข้ารายได้หรือส่วนของผู้ถือหุ้น คู่บัญชีที่ผิดปกติ รายการจำนวนกลม หรือรายการที่มีจำนวนเงินต่ำกว่าวงเงินอนุมัติเพียงเล็กน้อย เมื่อพบรายการดังกล่าว ผู้สอบบัญชีสามารถตรวจเอกสาร การอนุมัติ สิทธิผู้ใช้งาน และเหตุผลทางธุรกิจได้ทันที
หากพบรายการผิดปกติหลายรายการจากหน่วยงานเดียวกัน ผู้สอบบัญชีอาจปรับการประเมินความเสี่ยงด้านการทุจริตและขยายการตรวจสอบโดยไม่ต้องรอถึงปลายปี การวิเคราะห์ข้อมูลช่วยค้นหารูปแบบและความผิดปกติในข้อมูลจำนวนมาก และช่วยให้ผู้สอบบัญชีมุ่งความสนใจไปยังรายการที่มีความเสี่ยงสูงขึ้นได้ (AICPA & CIMA)
ตัวอย่างที่สองคือการตรวจสอบรายได้อย่างต่อเนื่อง ธุรกิจค้าปลีกหรือธุรกิจดิจิทัลอาจมีรายการขายหลายพันรายการต่อวัน ระบบสามารถเปรียบเทียบข้อมูลการขายกับเอกสารส่งมอบ การรับชำระเงิน ใบลดหนี้ ข้อมูลลูกค้า และอัตรากำไรขั้นต้นที่คาดหมาย แล้วแจ้งเตือนเมื่อพบการขายที่ไม่มีหลักฐานส่งมอบ ยอดขายเพิ่มขึ้นผิดปกติใกล้วันสิ้นเดือน การออกใบลดหนี้จำนวนมากหลังปิดงวด หรือการขายให้ลูกค้าที่เพิ่งถูกสร้างขึ้นในระบบ
สมมติว่าบริษัทมียอดขายเฉลี่ยวันละประมาณ 10 ล้านบาท แต่ระบบพบยอดขาย 45 ล้านบาทในสองวันสุดท้ายของไตรมาส การแจ้งเตือนดังกล่าวยังไม่ใช่ข้อสรุปว่ารายได้ผิด แต่ช่วยให้ผู้สอบบัญชีตรวจสัญญา หลักฐานการส่งมอบ การตัดยอด และเงื่อนไขการรับรู้รายได้ได้อย่างรวดเร็ว หากเป็นการตรวจสอบแบบเดิม ประเด็นนี้อาจไม่ถูกพบจนผ่านไปหลายเดือน
ตัวอย่างที่สามคือการตรวจสอบกระบวนการจัดซื้อและจ่ายเงิน ระบบสามารถเปรียบเทียบใบแจ้งหนี้ ใบสั่งซื้อ ใบรับสินค้า รายการจ่ายเงิน และข้อมูลหลักของผู้ขาย เพื่อค้นหาเลขที่ใบแจ้งหนี้ซ้ำ การจ่ายเงินซ้ำ รายการที่ถูกแบ่งให้ต่ำกว่าวงเงินอนุมัติ การจ่ายให้ผู้ขายที่ไม่มีการเคลื่อนไหว หรือการเปลี่ยนบัญชีธนาคารของผู้ขายใกล้วันจ่ายเงิน
ตัวอย่างเช่น หากมีการเปลี่ยนบัญชีธนาคารของผู้ขายและจ่ายเงินจำนวนสูงในวันเดียวกัน ระบบอาจแจ้งเตือนทันที ผู้ตรวจสอบสามารถตรวจว่าการเปลี่ยนแปลงดังกล่าวได้รับการยืนยันจากผู้ขายและอนุมัติโดยบุคคลที่เหมาะสมหรือไม่ หากเป็นความพยายามทุจริต การตรวจพบอย่างรวดเร็วอาจช่วยป้องกันความเสียหายได้ แทนที่จะพบและรายงานหลังสิ้นปีเท่านั้น
ตัวอย่างทั้งสามแสดงให้เห็นว่า Continuous Auditing ต้องมีการรับข้อมูลอย่างสม่ำเสมอ มีกฎระบุความเสี่ยง มีระบบตรวจข้อยกเว้น และมีกระบวนการติดตามผลอย่างทันท่วงที การตรวจรายได้ในเดือนมีนาคม ตรวจเงินเดือนในเดือนมิถุนายน และตรวจสินทรัพย์ถาวรในเดือนกันยายน ยังถือเป็นเพียงการกระจายงานประจำปี หากข้อมูลไม่ได้ถูกวิเคราะห์ซ้ำอย่างต่อเนื่องและผลที่พบไม่ทำให้แผนตรวจสอบเปลี่ยนแปลงอย่างรวดเร็ว
Continuous Auditing ต้องแยกจาก Continuous Monitoring ด้วย โดย Continuous Monitoring เป็นหน้าที่ของฝ่ายบริหารในการติดตามว่าการควบคุมและกระบวนการทำงานตามที่กำหนดหรือไม่ ส่วน Continuous Auditing เป็นหน้าที่ของฝ่ายตรวจสอบภายในหรือผู้ให้ความเชื่อมั่นในการประเมินความเสี่ยงและการควบคุมอย่างเป็นอิสระ แม้ทั้งสองฝ่ายอาจใช้ข้อมูลและเทคโนโลยีเดียวกัน แต่ผู้ตรวจสอบไม่ควรเข้าไปรับผิดชอบการควบคุมแทนฝ่ายบริหาร (The Institute of Internal Auditors)
สำหรับผู้สอบบัญชีภายนอก เครื่องมืออัตโนมัติอาจใช้ในการประเมินความเสี่ยง ทดสอบการควบคุม ตรวจสอบเนื้อหาสาระ และทำวิธีการวิเคราะห์ได้ แนวทางของ IAASB อธิบายว่าวิธีตรวจสอบที่ใช้เครื่องมืออัตโนมัติอาจเป็นวิธีประเมินความเสี่ยง วิธีตรวจสอบเพิ่มเติม หรือทำหน้าที่ทั้งสองอย่าง ขึ้นอยู่กับการออกแบบวิธีตรวจสอบ อย่างไรก็ตาม การใช้เทคโนโลยีไม่ได้ลดหน้าที่ของผู้สอบบัญชีในการประเมินความน่าเชื่อถือของข้อมูล ตรวจสอบข้อยกเว้น ใช้ดุลยพินิจ และจัดทำเอกสารการสอบบัญชีให้เพียงพอ (IAASB)
Continuous Auditing ไม่ได้ทำให้วิธีตรวจสอบปลายปีหมดความจำเป็น ผู้สอบบัญชียังต้องตรวจสอบกระบวนการปิดบัญชีขั้นสุดท้าย ประมาณการปลายปี การตัดยอด รายการบันทึกบัญชีที่สำคัญ เหตุการณ์ภายหลังวันสิ้นงวด และการเปลี่ยนแปลงที่เกิดขึ้นหลังจากทำวิธีตรวจสอบก่อนหน้า ระบบตรวจสอบอย่างต่อเนื่องช่วยค้นหาความเสี่ยงและชี้เป้ารายการผิดปกติได้เร็วขึ้น แต่ผู้สอบบัญชียังต้องได้มาซึ่งหลักฐานที่เหมาะสมอย่างเพียงพอเพื่อรองรับความเห็นต่องบการเงินประจำปี
โดยสรุป การนำ Year-end Procedures มากระจายทำตลอดปีเป็นการเปลี่ยนจังหวะเวลาของงานสอบบัญชีประจำปีแบบเดิม ส่วน Continuous Auditing เป็นการเปลี่ยนรูปแบบการทำงานไปสู่การวิเคราะห์ข้อมูลด้วยความถี่สูงหรือเมื่อเกิดเหตุการณ์ มีการใช้กฎอัตโนมัติ แจ้งเตือนข้อยกเว้น และติดตามผลอย่างรวดเร็ว ตัวอย่างที่พบได้จริง ได้แก่ การตรวจรายการบันทึกบัญชีอย่างต่อเนื่อง การติดตามรายได้และการตัดยอดที่ผิดปกติ และการตรวจการจ่ายเงินซ้ำหรือการเปลี่ยนข้อมูลบัญชีธนาคารของผู้ขาย แนวทางนี้ช่วยให้เห็นความเสี่ยงเร็วขึ้น แต่ต้องอาศัยข้อมูลที่น่าเชื่อถือ การออกแบบกฎที่เหมาะสม ผู้รับผิดชอบตรวจสอบข้อยกเว้น และดุลยพินิจของผู้สอบบัญชีในการสรุปผล