「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享〡資訊分享

「2013 亞洲區內部稽核研討會」
(ACIIA Conference) 專題分享
－淺談持續性稽核與持續性監控

陳建文 / 財金資訊公司總稽核

一、 前言 稱 CICA) 共同出版「持續性稽核」白皮書報告，
提出相關審計專業實務指引。由於當時與「持
傳統的審計或稽核是在交易發生之後才開 續性稽核」相關之資訊科技、企業風險管理架
始執行，並非即時偵測，且係依傳統的抽樣技 構尚未成熟，且亦無外部法規強烈要求，致該
術取得樣本進行查核，無法預防例外交易行為 機制在實務運用方面並不多見。2005 年，「國
的發生。另外，由於時間、人力與成本的考量， 際內部稽核協會」(Institute of Internal Auditors，
傳統的稽核無法全面檢視所有的交易行為是 簡 稱 IIA) 提 出「 全 球 科 技 稽 核 指 引 」(Global
否遵循 (Compliance) 企業的各項控制制度。 Technology Audit Guide， 簡 稱 GTAG) GTAG 3
近年來，隨著治理環境、風險管理、法令遵 Continuous Auditing 時，上述專業上的限制或法
循 (Governance、Risk、Compliance， 簡 稱 規的不足已不存在，因此激發了更廣泛的實務
GRC) 等議題一再被提起及重視，為了減輕內 應用價值。近年來，「國際內部稽核協會」及「國
部稽核人員的工作負擔，解決無法即時與全面 際電腦稽核協會」均提出各自的導入方法與實
查核之風險，並提升稽核作業效率與價值，企 務建議。專業審計軟體廠商，如 ACL、IDEA、
業界及內部稽核組織遂開始尋找新的方法與技 Oversight 等，更開發支援 CA 的工具軟體，CA
術，以強化內部控制與內部稽核之功能，「持 及 CM 之推動時機，已較成熟。
續 性 稽 核 」(Continuous Auditing， 簡 稱 CA) 「國際內部稽核協會」理事長 Mr. Paul J.
及「 持 續 性 監 控 」(Continuous Monitoring， Sobel 在 2013 年「亞洲區內部稽核研討會」
簡稱 CM) 乃應運而生。 之「內部稽核的未來：無限的可能性」演講
「 持 續 性 稽 核 」 是 1989 年 由 貝 爾 實 驗 中，提出內部稽核人員在未來 10 年內，必須
室 首 先 發 展 應 用， 嗣 於 1999 年， 美 國 會 計 解決的 5 大問題之一：「強化資料採礦與分析
師 公 會 (American Institute of Certified Public 之專業能力」；另在闡述稽核人員超越當前內
Accountants，簡稱 AICPA) 與加拿大會計師公會 部稽核專業之各種可能性時，論及其所應加強
(Canadian Institute of Chartered Accountants，簡 之能力，包括：「善用資訊科技，惟應注意資

www.fisc.com.tw ■ 41
資訊分享〡「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享
訊 科 技 瞬 息 萬變」。而 IIA 總裁 Mr. Richard
F. Chambers 在同一場合則主講「2014 年的
內部稽核：新的趨勢與未來的展望」，他提到
2020 年卓越內部稽核單位之屬性，包括：「瞭
解最新資訊科技」。二位 IIA 領導人異口同聲
對稽核人員加強資訊科技的瞭解與應用均有很
高的期許。可以預見，善用資訊科技協助辦理
查核作業，乃稽核人員必須走的路。
本文以 2013 年「亞洲區內部稽核研討會」
之「內部稽核職能－持續性稽核與監控」專題
資料為基礎，參考學界論述及「國際內部稽核
協會」有關資料，對「持續性稽核」及「持續
性監控」做簡單探討，冀使讀者對此議題得
有概略的認知，也希望對企業規劃「持續性稽
核」及「持續性監控」有所助益。
二、 持續性確認
「持續性確認」包含「持續性監控」與「持
續性稽核」。
「持續性監控」是指管理單位為確保政策
及程序之有效運作所使用之過程，著重於評估
管理階層控制適當與有效之責任；「持續性稽
核」則為稽核人員在執行稽核相關作業所使用
之各種方法，包括持續控制評估與風險評估。
「持續性稽核」高度倚賴資訊科技，而其執行
頻率通常依風險之高低程度而定。
「持續性確認」可藉由結合經理部門的
「持續性監控」責任及內部稽核之「持續性稽
核」作業，以持續評估內部控制的有效性。
經理部門負責設計及執行「持續性監控」
的過程，以確認內部控制是否存在及有效運
作，並改善控制問題與制度。內部稽核單位不
負責監控責任，惟在合適的情形下，可以將
「持續性稽核」程序移轉給經理部門，成為經
42 ■ 財金資訊季刊 / No.78 / 2014.04
理部門執行「持續性監控」的程序。
內部稽核設計「持續性稽核」的範圍及規
模時，應考量「持續性稽核」之目標、組織的
風險胃納、以及經理部門「持續性監控」的程
度與性質。內部稽核人員應檢視經理部門「持
續性監控」的可信賴程度，以決定稽核工作的
性質及頻率。「持續性稽核」可促使「持續性
監控」進步，而前者之執行範圍又受「持續性
監控」程度之影響。
三、 持續性稽核及持續性監控之定
義、差異與特性
( 一 ) 持續性稽核及持續性監控之定義與差
異
美國會計師及加拿大會計師公會對於「持
續性稽核」之定義：「持續性稽核乃是提供一
種使稽核者能在可容許的時間落差情況下，提
供即時、準確之稽核報告的方法，稽核報告應
能迅速並精確地反映所發生之事實或狀況」。
「持續性稽核」以自動化作業減輕稽核人
員的沈重負擔，並將一般的事後查核模式提前
至即時偵測查核，以達到相近於「持續性監
控」的防範效果，可提升稽核工作的價值。
CA 與 CM 其實並非新興的查核技術，其
運作原理仍奠基於電腦輔助查核工具與技術
(Computer-Assisted Audit Tools and Techniques，
簡稱 CAATTs)，常見的應用技術類型可分為：
內 嵌 稽 核 模 組 (Embedded Audit Modules，
簡稱 EAMs) 與通用稽核軟體 (General Audit
Software，簡稱 GAS) 等兩大類型。隨著資訊
科技與網路環境的快速發展，這些技術也持續
地改進，使得建置系統更容易及執行查核更具
時效性。
 「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享〡資訊分享

內嵌稽核模組之作法是在資訊系統內部加 EAMs 需要事前明確定義控制規則，較缺乏分

入測試控制 (control testing) 有效性而設計的
稽核模組程式。通用稽核軟體則可使稽核人員
獨立自行擷取各種來源資料，並內建各種查核
分析功能，不需要撰寫複雜程式，即可擷取資
料 進 行 分 析， 如 ACL、IDEA、 及 CaseWare
等，其特性在於結合稽核人員的風險評估與專
業判斷，與 GAS 的大量資料快速運算能力，
分析交易資料的正確性，並篩選出未符合控制
原則的異常資料或交易。
GAS 本質上為事後稽核，因此不易提供
事前的預防控制與即時的偵測控制功能；而
析上的彈性，但可即時地蒐集及分析各項交易
紀錄，並即時提出警訊。
電腦輔助稽核與「持續性稽核」，在技術
與執行面仍有差異。前者，通常應用受查者之
設備與技術，以人工方式擷取資料，由稽核人
員進行分析；後者，使用較先進的分析工具，
應用高效能設備，以自動化方式擷取特定期間
之資料並進行分析。
「持續性監控」及「持續性稽核」之區別
分析如下表：

類別
持續性監控 持續性稽核
項目
責任 管理部門 稽核部門
指管理單位為確保政策及程序之有效運 稽核人員在執行稽核相關作業所使用之各
定義 作所使用之過程，著重於評估管理階層 種方法，包括持續控制評估與風險評估。
控制適當與有效之責任。
1. 為控制架構流程－ COSO 監督角色之 1. 依據事先確定之標準與認定之異常門
重點 一部分。 檻，進行交易測試之流程。
2. 控制流程之一部分。 2. 確認流程之一部分。
1. 透過改善財務及營運控 制 以 增 加 價 1. 改善風險及控制之確認品質與時間。
值。 2. 擴大稽核範圍及降低內部稽核成本。
2. 加速報告以支援決策及改善業務。 3. 更有效執行的稽核程序。
效益
3. 及時偵測例外情形並即時回應。 4. 更即時、低成本地遵守政策、程序及法
4. 降低持續遵循的成本。 規。
5. 與業務或其他確認單位更好的合作。

( 二 ) 持續性稽核之特性
1. 科技導向的查核

導入「持續性稽核」及「持續性監控」可
實質改善營運作業效率與效能，提升內部控制
與風險管理的形象，以及滿足監理機關遵循性
報告的要求，其效益頗為顯著。相對於傳統的
內部稽核，CA 與 CM 有下列之特性：
CA 與 CM 必須高度依賴科技始得進行，
目 前 之 科 技 水 準， 已 可 確 保 可 用 性 及 可 靠
性，如資料從來源端經過萃取、轉置、載入
(Extract-Transform-Load，簡稱 ETL) 至目的
端之技術，可以即時地從資料來源端取得關鍵

www.fisc.com.tw ■ 43
資訊分享〡「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享
風險指標 (Key Risk Indicator，簡稱 KRI) 資
料，甚至追蹤、擷取來源端的資料更新，其後
續之風險評估也能隨時動態地進行。
2. 持續進行風險評估
CA 是控制風險型的稽核，重點在確認被
稽核單位之內部控制作業的有效性。相對於傳
統稽核僅能選擇特定時間執行風險評估，CA
可設計為由資料更新驅動應用程式或查核服
務，使風險評估同時進行。
3. 即時之稽核或監控報告
傳統之稽核報告無法即時完成，對於突然
發生的風險或異常情況，更難立即通知稽核人
員。導入 CA 與 CM 後，系統能夠即時驗證交
易資料的完整性，並確認企業內部控制制度的
有效性，即時分析的能力越接近交易發生的
時點，就越能夠對企業的營運作業提出即時確
認。另，可透過推播服務 (Push Service) 與需
求拉動 (Demand Pull) 技術，將預設之重大風
險評估結果 ( 如異常例外情形 )，以即時訊息
推送至稽核人員之終端設備，再供稽核人員點
選進入系統取得完整的報告，可將最新的風險
報告送到有權限、能即時回應的人員手上，不
致有時間落差。
4. 彈性調整監控與稽核計畫
CA 與 CM 不像傳統稽核定時執行稽核分
析及產出結果，而是以最適合之稽核時機來決
定稽核作業的內容、時間與範圍。因此，查核
計畫將依風險評估結果而定，即更接近由風險
驅動的即時性查核，而非傳統依評估過去的風
險所訂定之定期、專案式的查核。
44 ■ 財金資訊季刊 / No.78 / 2014.04
5. 獨立監控及稽核系統之控制及交易資料
CA 與 CM 系統應獨立於企業的財務與營
運交易系統之外，在進行監控及稽核分析作業
時，不會影響到現行企業營運系統的運作。另
外，上述系統雖然獨立於企業營運系統之外，
但在進行系統介接的過程，應避免額外花費時
間做修正或投入其他成本。
6. 分析的範圍涵蓋整個企業之業務與系統
這是建構 CA 與 CM 系統最困難的部分，
企業之資訊系統架構通常非常複雜，系統亦不
斷因應業務需求而更新或轉置，且各營運系統
可能分散在不同的平台 ( 如傳統主機或開放式
系統 )，資料亦可能分散在不同的資料庫系統。
面對這種多平台以及複雜的資料庫系統環境，
系統必須有能力彙總來自不同平台的資料，而
且要能夠持續且即時地完成彙總的作業，以對
整個企業之業務與系統進行監控或稽核。
7. 具備分析大量交易資料的能力
時效性是「持續性稽核」的一項重要條
件，企業每天所產出的資料可能高達百萬筆以
上，人工稽核作業已無法勝任，要在時效之內
提出分析報告幾乎不可能。因此，須藉由「持
續性稽核」系統，以有效率的方式對大量的交
易資料進行分析，並在時程之內提出分析報
告。
四、 進行持續性稽核之程序
依 2013 年「亞洲區內部稽核研討會」之
「內部稽核職能－持續性稽核與監控」演講，
指出建置「持續性稽核」及「持續性監控」的
主要步驟為：( 一 ) 依據風險與成本效益，選
 「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享〡資訊分享
定適用之「持續性稽核」及「持續性監控」項
目；( 二 ) 發展實際執行的策略；( 三 ) 規劃設
計及執行的細部作業；( 四 ) 建立「持續性稽
核」及「持續性監控」所使用的資訊系統；( 五 )
評估稽核或監控實施的績效與進度，並做必要
的修正；以及 ( 六 ) 建立持續稽核的架構等。
「全球科技稽核指引」對建立「持續性稽
核」則有較詳細之步驟，包括：( 一 ) 定義稽
核需求；( 二 ) 獲得管理當局的支持；( 三 ) 決
定測試範圍；( 四 ) 確定資訊來源；( 五 ) 協商
擷取資料；( 六 ) 瞭解業務流程；( 七 ) 確定關
鍵控制與風險；( 八 ) 資料讀取與使用；( 九 )
讀取資料；( 十 ) 建立稽核技術能力與知識；
( 十一 ) 確保資料的完整性；以及 ( 十二 ) 考慮
資料之應用等。茲分別簡述如后：
( 一 ) 定義稽核需求
( 二 ) 獲得管理當局的支持
( 三 ) 決定測試範圍
( 四 ) 確定資訊來源
( 五 ) 協商擷取資料
( 六 ) 瞭解業務流程
( 七 ) 確定關鍵控制與風險
( 八 ) 資料讀取與使用
( 九 ) 讀取資料
( 十 ) 建立稽核技術能力與知識
( 十一 ) 確保資料的完整性
( 十二 ) 考慮資料之應用
( 一 ) 定義稽核需求
為符合新的稽核目標，稽核主管必須瞭解
未來稽核程序及「持續性稽核」之技術；稽核
人員必須瞭解行業特性、組織架構、營運流程、
相關控制措施、及以技術為基礎的解決方案。
( 二 ) 獲得管理當局的支持
「持續性稽核」目標確定後，應該獲得審
計委員會或高階經理人員的支持，並告知相關
事項，如：開始實施「持續性稽核」、資料存
取的需求、如何及何時將稽核結果呈報等。
( 三 ) 決定測試範圍
本步驟要確定控制與風險之稽核活動的詳
細測試程度，而該決策的關鍵因素在於管理部
門行動與監控活動的充足性。如果經理部門已
建立良好的運作程序，來評估控制與風險，則
稽核活動可更依賴其控制與風險報告；但若經
評估經理部門之管理作業充足性不足時，則稽
核人員必須在「持續性稽核」上執行自已詳細
的控制與風險評估作業。
( 四 ) 確定資訊來源
界定範圍後，要識別實現既定目標所需之
資訊，以及確定這些資訊的來源；在確定資料
需求前，必須清楚瞭解企圖實現的目標是什麼。
( 五 ) 協商擷取資料
在實施「持續性稽核」作業時，取得正確
的數據資料是重要關鍵，稽核主管必須確定稽
www.fisc.com.tw ■ 45
資訊分享〡「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享
核部門要進行審視之營運系統，以及決定那些
應用系統最為關鍵重要，其次是要與系統管理
人員洽談查詢與擷取資料之權限。
( 六 ) 瞭解業務流程
一旦主要資料來源被確定，稽核人員不但
要瞭解資訊系統，還要瞭解被支援的營運作業
流程。
( 七 ) 確定關鍵控制與風險
「持續性稽核」之最終目標是確認所有的
控制之有效性，並協助降低風險。實務上，可
透過關鍵控制與風險之良好辨識，達成這些目
標。稽核主管應排定優先執行「持續性稽核」
之營運流程與系統，並確定需要有效進行「持
續性稽核」之知識、技能及訓練。
( 八 ) 資料讀取與使用
執行「持續性稽核」需要讀取資料，隨著
科技技術的精進，稽核軟體已可讀取不同類型
的資料，容易受到挑戰的是來自於經理部門不
願意稽核人員進入其應用系統讀取資料。因
此，管理階層的支持，對稽核人員取得所需要
的資訊是必要的。另，稽核主管必須確保讀取
及使用營運系統的資料不影響營運系統的作業
效率，以及稽核技術相容於現行企業電腦資訊
環境。
( 九 ) 讀取資料
讀取資料的方法取決於「持續性稽核」目
標的設定，並應考慮多種因素，如：資料數量、
46 ■ 財金資訊季刊 / No.78 / 2014.04
網路流量、系統效能等，另須確保取得適當的
使用權限。
( 十 ) 建立稽核技術能力與知識
「國際內部稽核協會」1210 號準則規定，
內部稽核人員應具備或獲取其履行職責所需之
知識、技能與其他能力。依據「全球科技稽核
指引」說明，指出「組織需要各種不同層級
的資訊科技知識，為組織提供一個系統化、嚴
謹的方法去評估及改善風險管理、控制及治理
作業的有效性。」因此，稽核部門之人員必須
有適當的訓練，具專業技能以支援「持續性稽
核」作業之執行。
( 十一 ) 確保資料的完整性
資料的完整性對順利實施「持續性稽核」
非常重要，稽核人員須先對企業系統之資料作
完整性評估。稽核人員必須確保分析的完整
性，以及資料與結果的完整性。
( 十二 ) 考慮資料之應用
確認主要關鍵營運系統，也取得所需資
料，並驗證其完整性後，稽核人員應考量如何
使用這些資料。「持續性稽核」的功能之一就
是能夠跨組織到各系統中擷取資料，進行資料
合併以備後續跨平台之分析。
五、 結語
為減輕內部稽核人員的工作負擔，並提升
稽核活動的效率與價值，「持續性稽核」及「持
續性監控」的應用與發展，已成為內部稽核與
 「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享〡資訊分享

內部控制領域的新興議題。 ※ 參考文獻 / 資料來源：

「持續性稽核」是內部稽核所使用之方
法，俾在持續性之基礎上執行稽核工作。稽核
人員執行「持續性稽核」除需要業務知識與電
腦技術外，亦須與經理部門協同合作，取得共
識並提供作業環境及相關查核資料。
「持續性稽核」以自動化作業減輕稽核人
員之沉重負擔，並將事後查核模式提前至即時
性偵測，以達到相近於「持續性監控」的防範
效果，可提升稽核工作的價值。
「持續性稽核」並不容易採用一步到位的
建置方式，不宜將「持續性稽核」視為取代
CAATTs 的新興稽核技術，而是 CAATTs 應用
的延伸與蛻變，可藉由現有 CAATTs 工具的探
索應用與學習，找尋融入原有稽核活動的可行
方式。
稽核主管亦不宜對「持續性稽核」抱持過
高的期望，而應視其為輔助工具，善用其自動
化特質，將較為例行性的查核項目，採用「持
續性稽核」系統以提升執行效率，或協助進行
風險評估及控制測試。
1. 2013 年「亞洲區內部稽核研討會」會議
資料。
2. 「 國 際 內 部 稽 核 協 會 」 之「 全 球 科
技 稽 核 指 引 」(Global Technology
Audit Guide，簡稱 GTAG) GTAG-3:
Continuous Auditing (2005)。
3. 孫嘉明－「如何藉由電腦輔助稽核跨至
持 續 性 稽 核 與 監 控 」， 內 部 稽 核 季 刊
(100.05)。
4. 黃士銘、嚴紀中、阮金聲編著「電腦稽
核－理論與實務應用」，全華圖書公司
出版 (102.2 第二版 )。
5. 周濟群－持續性稽核與持續性監督的觀
念與思維，會計研究月刊 (102.11)。
6. 陳錦烽－實務諮詢 2320-4 持續性確認簡
介，內部稽核季刊 (103.01)。

徵稿啟事
「財金資訊季刊」誠摯地向您邀稿，舉凡電子金融最新科技與趨勢、資訊安全、財金議
題、金融資訊科技相關應用技術發展、企業經營理念、法律新知、行銷推廣心得等論述，皆歡
迎投稿，文稿字數以三千字至五千字為宜，圖文並茂者尤佳。惠請不吝賜稿，刊出後酌致稿費，
文稿內容不同意增刪修改者，請於投稿時載明。
財 金 資 訊 季 刊 每 逢 一、 四、 七、 十 月 出 刊， 網 址 為： http://www.fisc.com.tw/tc/
knowledge/quarterly.aspx ，歡迎您上網瀏覽並參考相關徵稿啟事與稿件格式！投稿請以電子
郵件傳送至財金資訊公司管理部文書組張小姐 laura_chang@mail.fisc.com.tw。
投稿者應就文稿內容、影像及圖形自負其責，並不得有違反智慧財產權等事宜；首次稿
件一經錄用，投稿者即概括讓與本公司為著作財產權人，本公司得逕行使著作權法上重製、改
作、編輯、散布、發行、出版、公開傳輸及衍生著作等權利，投稿者不同意增補刪減，應於投
稿時載明；一稿如因二投或多投，發生任何侵權行為或法律責任者，投稿者應自負其責。

www.fisc.com.tw ■ 47