Professional Documents
Culture Documents
「2013 亞洲區內部稽核研討會」
(ACIIA Conference) 專題分享
-淺談持續性稽核與持續性監控
陳建文 / 財金資訊公司總稽核
一、 前言 稱 CICA) 共同出版「持續性稽核」白皮書報告,
提出相關審計專業實務指引。由於當時與「持
傳統的審計或稽核是在交易發生之後才開 續性稽核」相關之資訊科技、企業風險管理架
始執行,並非即時偵測,且係依傳統的抽樣技 構尚未成熟,且亦無外部法規強烈要求,致該
術取得樣本進行查核,無法預防例外交易行為 機制在實務運用方面並不多見。2005 年,「國
的發生。另外,由於時間、人力與成本的考量, 際內部稽核協會」(Institute of Internal Auditors,
傳統的稽核無法全面檢視所有的交易行為是 簡 稱 IIA) 提 出「 全 球 科 技 稽 核 指 引 」(Global
否遵循 (Compliance) 企業的各項控制制度。 Technology Audit Guide, 簡 稱 GTAG) GTAG 3
近年來,隨著治理環境、風險管理、法令遵 Continuous Auditing 時,上述專業上的限制或法
循 (Governance、Risk、Compliance, 簡 稱 規的不足已不存在,因此激發了更廣泛的實務
GRC) 等議題一再被提起及重視,為了減輕內 應用價值。近年來,「國際內部稽核協會」及「國
部稽核人員的工作負擔,解決無法即時與全面 際電腦稽核協會」均提出各自的導入方法與實
查核之風險,並提升稽核作業效率與價值,企 務建議。專業審計軟體廠商,如 ACL、IDEA、
業界及內部稽核組織遂開始尋找新的方法與技 Oversight 等,更開發支援 CA 的工具軟體,CA
術,以強化內部控制與內部稽核之功能,「持 及 CM 之推動時機,已較成熟。
續 性 稽 核 」(Continuous Auditing, 簡 稱 CA) 「國際內部稽核協會」理事長 Mr. Paul J.
及「 持 續 性 監 控 」(Continuous Monitoring, Sobel 在 2013 年「亞洲區內部稽核研討會」
簡稱 CM) 乃應運而生。 之「內部稽核的未來:無限的可能性」演講
「 持 續 性 稽 核 」 是 1989 年 由 貝 爾 實 驗 中,提出內部稽核人員在未來 10 年內,必須
室 首 先 發 展 應 用, 嗣 於 1999 年, 美 國 會 計 解決的 5 大問題之一:「強化資料採礦與分析
師 公 會 (American Institute of Certified Public 之專業能力」;另在闡述稽核人員超越當前內
Accountants,簡稱 AICPA) 與加拿大會計師公會 部稽核專業之各種可能性時,論及其所應加強
(Canadian Institute of Chartered Accountants,簡 之能力,包括:「善用資訊科技,惟應注意資
www.fisc.com.tw ■ 41
資訊分享〡「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享
二、 持續性確認 美國會計師及加拿大會計師公會對於「持
續性稽核」之定義:「持續性稽核乃是提供一
「持續性確認」包含「持續性監控」與「持 種使稽核者能在可容許的時間落差情況下,提
續性稽核」。 供即時、準確之稽核報告的方法,稽核報告應
「持續性監控」是指管理單位為確保政策 能迅速並精確地反映所發生之事實或狀況」。
及程序之有效運作所使用之過程,著重於評估 「持續性稽核」以自動化作業減輕稽核人
管理階層控制適當與有效之責任;「持續性稽 員的沈重負擔,並將一般的事後查核模式提前
核」則為稽核人員在執行稽核相關作業所使用 至即時偵測查核,以達到相近於「持續性監
之各種方法,包括持續控制評估與風險評估。 控」的防範效果,可提升稽核工作的價值。
「持續性稽核」高度倚賴資訊科技,而其執行 CA 與 CM 其實並非新興的查核技術,其
頻率通常依風險之高低程度而定。 運作原理仍奠基於電腦輔助查核工具與技術
「持續性確認」可藉由結合經理部門的 (Computer-Assisted Audit Tools and Techniques,
「持續性監控」責任及內部稽核之「持續性稽 簡稱 CAATTs),常見的應用技術類型可分為:
核」作業,以持續評估內部控制的有效性。 內 嵌 稽 核 模 組 (Embedded Audit Modules,
經理部門負責設計及執行「持續性監控」 簡稱 EAMs) 與通用稽核軟體 (General Audit
的過程,以確認內部控制是否存在及有效運 Software,簡稱 GAS) 等兩大類型。隨著資訊
作,並改善控制問題與制度。內部稽核單位不 科技與網路環境的快速發展,這些技術也持續
負責監控責任,惟在合適的情形下,可以將 地改進,使得建置系統更容易及執行查核更具
「持續性稽核」程序移轉給經理部門,成為經 時效性。
類別
持續性監控 持續性稽核
項目
責任 管理部門 稽核部門
指管理單位為確保政策及程序之有效運 稽核人員在執行稽核相關作業所使用之各
定義 作所使用之過程,著重於評估管理階層 種方法,包括持續控制評估與風險評估。
控制適當與有效之責任。
1. 為控制架構流程- COSO 監督角色之 1. 依據事先確定之標準與認定之異常門
重點 一部分。 檻,進行交易測試之流程。
2. 控制流程之一部分。 2. 確認流程之一部分。
1. 透過改善財務及營運控 制 以 增 加 價 1. 改善風險及控制之確認品質與時間。
值。 2. 擴大稽核範圍及降低內部稽核成本。
2. 加速報告以支援決策及改善業務。 3. 更有效執行的稽核程序。
效益
3. 及時偵測例外情形並即時回應。 4. 更即時、低成本地遵守政策、程序及法
4. 降低持續遵循的成本。 規。
5. 與業務或其他確認單位更好的合作。
( 二 ) 持續性稽核之特性
1. 科技導向的查核
導入「持續性稽核」及「持續性監控」可 CA 與 CM 必須高度依賴科技始得進行,
實質改善營運作業效率與效能,提升內部控制 目 前 之 科 技 水 準, 已 可 確 保 可 用 性 及 可 靠
與風險管理的形象,以及滿足監理機關遵循性 性,如資料從來源端經過萃取、轉置、載入
報告的要求,其效益頗為顯著。相對於傳統的 (Extract-Transform-Load,簡稱 ETL) 至目的
內部稽核,CA 與 CM 有下列之特性: 端之技術,可以即時地從資料來源端取得關鍵
www.fisc.com.tw ■ 43
資訊分享〡「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享
定適用之「持續性稽核」及「持續性監控」項 ( 一 ) 定義稽核需求
目;( 二 ) 發展實際執行的策略;( 三 ) 規劃設
計及執行的細部作業;( 四 ) 建立「持續性稽 為符合新的稽核目標,稽核主管必須瞭解
核」及「持續性監控」所使用的資訊系統;( 五 ) 未來稽核程序及「持續性稽核」之技術;稽核
評估稽核或監控實施的績效與進度,並做必要 人員必須瞭解行業特性、組織架構、營運流程、
的修正;以及 ( 六 ) 建立持續稽核的架構等。 相關控制措施、及以技術為基礎的解決方案。
「全球科技稽核指引」對建立「持續性稽
核」則有較詳細之步驟,包括:( 一 ) 定義稽 ( 二 ) 獲得管理當局的支持
核需求;( 二 ) 獲得管理當局的支持;( 三 ) 決
定測試範圍;( 四 ) 確定資訊來源;( 五 ) 協商 「持續性稽核」目標確定後,應該獲得審
擷取資料;( 六 ) 瞭解業務流程;( 七 ) 確定關 計委員會或高階經理人員的支持,並告知相關
鍵控制與風險;( 八 ) 資料讀取與使用;( 九 ) 事項,如:開始實施「持續性稽核」、資料存
讀取資料;( 十 ) 建立稽核技術能力與知識; 取的需求、如何及何時將稽核結果呈報等。
( 十一 ) 確保資料的完整性;以及 ( 十二 ) 考慮
資料之應用等。茲分別簡述如后: ( 三 ) 決定測試範圍
( 一 ) 定義稽核需求 本步驟要確定控制與風險之稽核活動的詳
細測試程度,而該決策的關鍵因素在於管理部
( 二 ) 獲得管理當局的支持
門行動與監控活動的充足性。如果經理部門已
( 三 ) 決定測試範圍
建立良好的運作程序,來評估控制與風險,則
稽核活動可更依賴其控制與風險報告;但若經
( 四 ) 確定資訊來源 評估經理部門之管理作業充足性不足時,則稽
核人員必須在「持續性稽核」上執行自已詳細
( 五 ) 協商擷取資料 的控制與風險評估作業。
( 六 ) 瞭解業務流程
( 四 ) 確定資訊來源
( 七 ) 確定關鍵控制與風險
界定範圍後,要識別實現既定目標所需之
( 八 ) 資料讀取與使用 資訊,以及確定這些資訊的來源;在確定資料
需求前,必須清楚瞭解企圖實現的目標是什麼。
( 九 ) 讀取資料
( 五 ) 協商擷取資料
( 十 ) 建立稽核技術能力與知識
( 十一 ) 確保資料的完整性
在實施「持續性稽核」作業時,取得正確
的數據資料是重要關鍵,稽核主管必須確定稽
( 十二 ) 考慮資料之應用
www.fisc.com.tw ■ 45
資訊分享〡「2013 亞洲區內部稽核研討會」(ACIIA Conference) 專題分享
核部門要進行審視之營運系統,以及決定那些 網路流量、系統效能等,另須確保取得適當的
應用系統最為關鍵重要,其次是要與系統管理 使用權限。
人員洽談查詢與擷取資料之權限。
( 十 ) 建立稽核技術能力與知識
( 六 ) 瞭解業務流程
「國際內部稽核協會」1210 號準則規定,
一旦主要資料來源被確定,稽核人員不但 內部稽核人員應具備或獲取其履行職責所需之
要瞭解資訊系統,還要瞭解被支援的營運作業 知識、技能與其他能力。依據「全球科技稽核
流程。 指引」說明,指出「組織需要各種不同層級
的資訊科技知識,為組織提供一個系統化、嚴
( 七 ) 確定關鍵控制與風險 謹的方法去評估及改善風險管理、控制及治理
作業的有效性。」因此,稽核部門之人員必須
「持續性稽核」之最終目標是確認所有的 有適當的訓練,具專業技能以支援「持續性稽
控制之有效性,並協助降低風險。實務上,可 核」作業之執行。
透過關鍵控制與風險之良好辨識,達成這些目
標。稽核主管應排定優先執行「持續性稽核」 ( 十一 ) 確保資料的完整性
之營運流程與系統,並確定需要有效進行「持
續性稽核」之知識、技能及訓練。 資料的完整性對順利實施「持續性稽核」
非常重要,稽核人員須先對企業系統之資料作
( 八 ) 資料讀取與使用 完整性評估。稽核人員必須確保分析的完整
性,以及資料與結果的完整性。
執行「持續性稽核」需要讀取資料,隨著
科技技術的精進,稽核軟體已可讀取不同類型 ( 十二 ) 考慮資料之應用
的資料,容易受到挑戰的是來自於經理部門不
願意稽核人員進入其應用系統讀取資料。因 確認主要關鍵營運系統,也取得所需資
此,管理階層的支持,對稽核人員取得所需要 料,並驗證其完整性後,稽核人員應考量如何
的資訊是必要的。另,稽核主管必須確保讀取 使用這些資料。「持續性稽核」的功能之一就
及使用營運系統的資料不影響營運系統的作業 是能夠跨組織到各系統中擷取資料,進行資料
效率,以及稽核技術相容於現行企業電腦資訊 合併以備後續跨平台之分析。
環境。
五、 結語
( 九 ) 讀取資料
為減輕內部稽核人員的工作負擔,並提升
讀取資料的方法取決於「持續性稽核」目 稽核活動的效率與價值,「持續性稽核」及「持
標的設定,並應考慮多種因素,如:資料數量、 續性監控」的應用與發展,已成為內部稽核與
徵稿啟事
「財金資訊季刊」誠摯地向您邀稿,舉凡電子金融最新科技與趨勢、資訊安全、財金議
題、金融資訊科技相關應用技術發展、企業經營理念、法律新知、行銷推廣心得等論述,皆歡
迎投稿,文稿字數以三千字至五千字為宜,圖文並茂者尤佳。惠請不吝賜稿,刊出後酌致稿費,
文稿內容不同意增刪修改者,請於投稿時載明。
財 金 資 訊 季 刊 每 逢 一、 四、 七、 十 月 出 刊, 網 址 為: http://www.fisc.com.tw/tc/
knowledge/quarterly.aspx ,歡迎您上網瀏覽並參考相關徵稿啟事與稿件格式!投稿請以電子
郵件傳送至財金資訊公司管理部文書組張小姐 laura_chang@mail.fisc.com.tw。
投稿者應就文稿內容、影像及圖形自負其責,並不得有違反智慧財產權等事宜;首次稿
件一經錄用,投稿者即概括讓與本公司為著作財產權人,本公司得逕行使著作權法上重製、改
作、編輯、散布、發行、出版、公開傳輸及衍生著作等權利,投稿者不同意增補刪減,應於投
稿時載明;一稿如因二投或多投,發生任何侵權行為或法律責任者,投稿者應自負其責。
www.fisc.com.tw ■ 47