持續性稽核與持續性監控的觀念與思維

doi:10.6650/ARM.2013.336.107
會計研究月刊, (336), 2013

作者/Author： 周濟群

頁數/Page： 107-113
出版日期/Publication Date：2013/11
引用本篇文獻時，請提供DOI資訊，並透過DOI永久網址取得最正確的書目資訊。
To cite this Article, please include the DOI name in your reference data.

請使用本篇文獻DOI永久網址進行連結:
To link to this Article:

http://dx.doi.org/10.6650/ARM.2013.336.107

DOI是數位物件識別碼（Digital Object Identifier, DOI）的簡稱，

是這篇文章在網路上的唯一識別碼，
用於永久連結及引用該篇文章。

若想得知更多DOI使用資訊，
請參考 http://doi.airiti.com

For more information,

Please see: http://doi.airiti.com
 內稽內控
Strategic Management
↑熟悉流程控制弱點的員工，仍可以發展出能規避控制的方法，並將其行為隱匿於龐雜且管理者仍自認為有效的標準化流程中。

持續性稽核與
持續性監控的觀念與思維
現
多變的企業經營環境下，規避控制的方法可能隱藏 代化企業經營已逐步朝向全球化、

在複雜、自動化、標準化流程中，管理者與稽核人 科技化、標準化的趨勢發展，愈來
愈多的企業為了追求全球化市場，以及其
員需要持續性稽核與監控來幫助發掘舞弊，掌控無
它國家低廉的原料、人工、生產與物流成
效風險，本文介紹持續性稽核與持續性監控之定義
本，選擇把經營活動帶向全球化、資源集
與關聯、發展沿革，佐以相關案例，說明如何開啟
中化、流程自動化的方向發展，而許多第
內稽內控新頁。
三方服務廠商基於專業化產生規模經濟，
更吸引企業把經營活動大量外包給這些服
☉周濟群
務廠商，包括：掌控整體流程的企業資源
規劃系統、運籌、物流、生產管理及客戶

www.accounting.org.tw 會計研究月刊 no.336︱107

 服務等。這些布局於全球各國成本低廉的 後果）。本例雖然簡單卻頗富寓意，更能
標準化流程，雖然證明了它易於導入與移 由小見大，它告訴我們，即使導入自動
植，但也正因為自動化、不分時區、遠距 化的標準控制（例如：企業資源規劃系
離的特性，反倒讓核心管理者和內部稽核 統）
，但若缺乏對於控制無效風險的認知
內稽內控

人員進行管理、監督時，經常感到鞭長莫 與管理，熟悉流程控制弱點的員工，仍可
及（例如：國外子公司的作業是否真的 以發展出能規避控制的方法，並將其行為
依照全球工作手冊進行？）；面臨混沌不 隱匿於龐雜且管理者仍自認為有效的標準
明（例如：看來好像都還順暢，但真的是 化流程中。
這樣嗎？不放心…）
；不知從何下手（例 使得企業更加重視控制無效風險的
Strategic Management

如：難道要我監督系統中的所有作業嗎？ 原因之一則是風險本質的改變（風險廣泛
我又不可能一天 24 小時都坐在電腦前， 化）
；例如，在社群媒體愈來愈普及的網
怎麼辦？）等困境。 路時代，企業勢必要經營地「如同自己
所宣傳」的一樣，否則只要一個控制環
當前複雜化經營環境 節出了問題，又無法妥善回應，都可能造
弱點隱匿標準化流程 成「聲譽風險」的損失，甚至形成莫大災
在如同大海般複雜且交易標準化、巨 難。最佳案例就是近來國內幾家食品大廠
量化的企業經營環境下，熟悉這些流程的 或連鎖食品商店接二連三地被報導出，在
員工，卻可能發現能有效「規避」控制的 產品中加入了不當的工業用化學添加物，
方法，並將其方法隱匿於這些複雜、自動 或是成份標示與廣告不實，而導致輿論撻
化、標準化流程中。French 於 2011 年在國 伐、消費訴訟甚至刑事責任。這些廠商與
際電腦稽核協會（ISACA）的持續性稽核 業者多數都辯稱為流程控管不當所致，若
白皮書中曾提出一個「規避控制」有趣的 果真如此（而非管理者故意），試問管理
例子，他舉出一張雪地裡拍攝的停車場照 者和內稽人員在愈趨複雜、大量的企業流
片，該停車場設有常見的出入卡控制通行 程中，如何協助企業辨認出這些經營風險
柵欄（流程控制）
，但由於停車場周邊並 項目、並評估風險的可能損害，進而設定
，僅有駕
未建立圍牆或籬笆（控制弱點） 必要的即時回應，包括偵知並報告各種異
駛可以輕鬆開上開下的路邊石，因此，從 常情況、嘗試預防、降低、分擔或忽略這
車輛行經該停車場所留下的「軌跡」
（交 些風險的必要作業等。很顯然地，過度依
易證據）可以看出，雖然多數車輛使用正 賴使用檢查表來進行的傳統定期稽核，已
常的方式通行，但也有許多雪地中非正 無法協助企業因應這樣的經營環境。
常通行路線的軌跡顯示，若干駕駛會「繞 除了上述國內案例以外，國際社群媒
過」柵欄迂迴行進，避開出入卡控制系 體間流傳甚廣的另一風險控管不良而導致
統，得以「免費」或「違規」停車（損失 「聲譽風險」損失的例子，則為 2009 年所

108︱會計研究月刊 no.336 www.accounting.org.tw

對於控制無效風險的考量必須全面、廣泛，
且其偵測活動的運作必須即時、持續。
發生的”United Breaks Guitars”事件，一
位加拿大民謠歌手 Dave Carroll，在 2008
年 搭 乘 聯 合 航 空（United Airline；UA）
的某次飛行旅途中，將他價值約 3,500 美
元的木吉他託運給 UA 的行李人員，未料
下機時卻發現心愛的吉他毀壞了，因而當
場曾對 UA 地勤人員三度提出抗議，卻被
習慣於踢皮球的員工冷淡回應，並請他
依 UA 規定，以書面方式提出行李損壞申
請；在長達不可思議的九個月的交涉以
後，UA 卻以 Dave Carroll 提出書面申請時
間已超過 24 小時為由，仍是非常強勢地
拒絕了他的賠償申請（僅約 3,000 美元）
。 卻無法滿足其需求；
因為 UA 的處理態度令 Dave Carroll 感到十
分受屈辱，身為一個熟悉社群媒體的音樂
人，他乃決定以”United Breaks Guitars”
為名，寫下一系列的敘事歌曲來描述此一
事件，並將它們上傳至 Youtube 網站，歌
詞中點出了 UA 強制客戶服務員工遵守的
流程有缺陷，而且會讓客戶感到非常受
辱。誰都沒想到，一夕間這些歌曲竟得到
網民們廣大的迴響：第一首歌在 2009 年
7 月 6 日上傳後，短短一天內就累積了 15
萬個點閱次數，同年 8 月中則已達 500 萬
次，而 UA 則因為此一歌曲上傳後（雖然
有些分析師認為不完全是此事的影響）
， 近年來，以風險為本且以資訊科技為
在四天內股價曾一度暴跌 10%，股東損失
則將近 1 億 8,000 萬美元。
”United Breaks Guitars”的例子，再
次讓我們見識到企業風險愈來愈廣泛化，
不再只限於大家熟知的基本作業風險或財
務風險，更可能隱匿於龐雜且「管理者仍
自認為有效」的標準化流程中，而管理者
卻缺少適當的連結工具，把這些幅員廣泛
的風險指標資訊，迅速而有效地傳送到他
們手上或決策過程中。依據 PwC（2011）
的調查報告，基於下列因素，驅動了企業
追求新稽核與管理方法的腳步：
（一）董事會愈來愈重視並需要更多有關
策略風險的資訊，但傳統資訊系統
（二）高階主管也愈來愈重視策略、組織
和營運相關風險管理；
（三）全球化擴張所引發的風險複雜度；
（四）雖然財務與基本風險管理已愈趨成
熟與有效率，但卻忽視了其它更廣
泛的風險，例如前述的社群媒體風
險；
（五）
「事半功倍」的需求，沙氏法已生效
多年，企業普遍希望能將法規遵循
的成本逐漸降低。
持續性稽核與持續性監控
用的持續性稽核（continuous audit；CA）
與 持 續 性 監 控（continuous monitoring；
www.accounting.org.tw 會計研究月刊 no.336︱109
 CM） 或 持 續 性 控 制 監 控（continuous
control monitoring；CCM）已被會計師、
內部稽核師、管理顧問師等專業人員一致
內稽內控
公認為是能夠協助管理者和稽核人員，將
掩蓋於標準化流程下的經營風險，一一浮
現出來的解決方案。就如同過去在倡導低
庫存或零庫存的即時生產（Just in time；
JIT）模式，藉由降低庫存來發現並改善
Strategic Management
隱含於高庫存背後的各種作業問題與風
險，CA/CM 也被視為是能讓管理者與稽
核人員充分掌控隱匿風險資訊與回應行動
的最佳利器。
雖然近年來在國內的內部稽核專業
社群中，CA/CM 的推廣亦逐漸增溫，但
對於國內多數會計審計專業人員來說，仍
是相對陌生的議題。在本系列的文章中，
將逐步介紹 CA/CM 的基本觀念與思維，
並探討 CA/CM 的導入如何影響企業原有
管理或稽核功能？相對於傳統內部稽核，
CA/CM 有那些特色能夠因應多變的企業
經營環境呢？應如何導入？企業真有需要
導入嗎？導入系統控制就夠了嗎？企業原
有的控制似乎仍在運作，CA/CM 能多帶
來些什麼效益？能用在那些地方？是否就
只是多加入一些控制點？針對以上問題，
筆者將參考國外相關文獻與案例，希望能
提供預備導入 CA/CM 的國內企業若干新
思維方向。
在國際內部稽核協會提出的全球技術
稽核指引第三號：「持續性稽核：確信監
（Global Technology
督與風險評估之意涵」
Audit Guide（GTAG）3: Continuous
110︱會計研究月刊 no.336 www.accounting.org.tw
Auditing: Implications for Assurance
Monitoring and Risk Assessment） 中， 先
針對持續性監控說明其定義，GTAG 3 認
為，CM 其實是管理當局的責任，主要目
標在於持續地確保各種讓企業政策、程序
與營運流程有效進行的相關管理控制仍正
常地運作，具體來說，必須做到：
（一）依據 COSO ERM 架構定義企業流程
中應有之控制點；
（二）確認各控制點的控制目標與相關確
信聲明；
（三）建置有效的自動化測試方法以偵測
到未達成控制目標與相關確信聲明
的交易事件；
（四）交易測試作業應儘可能接近於交易
發生之時點；
（五）針對未通過控制測試的交易展開調
查；
（六）儘可能修正未通過控制測試的交易；
（七）儘可能修正該項控制弱點。
上述定義的意涵十分明顯，首先，
CM 的擁有者仍為管理者，而非內部稽核
人員，其次，對於控制無效風險的考量必
須全面、廣泛，且其偵測活動的運作必須
即 時、 持 續。 至 於 CA， 雖 然 GTAG 3 並
未正式提供定義，但由其描述中，可以闡
述為查核管理控制是否有效的控制，當管
理控制無效且缺乏偵測機制時，CA 就必
須執行更多即時、持續的詳細控制測試。
換 言 之， 若 CM/CCM 的 管 理 機 制 已 臻
「持續進行」的品質，則 CA 自然不需再
介入直接管理，以免造成多頭馬車現象，
由內部稽核的觀點來看持續性稽核與監控，
稽核分析與結果報告不再像傳統稽核方法那麼「定時、定量」，
而是以「最適合稽核的時機」來決定稽核作業的本質、時間與範圍。

反之，若管理機制仍偏向傳統方式，則 相關科技尚未完全普及：例如，能將異常
主導 CA 的稽核長或內部稽核主管（chief 事件即時傳達給處理人員的事件處理技
audit executive）則應善用 CA 機制，積極 術、資料轉置技術與分析技術等，甚至企
向管理人員即時而持續地提出管理上之改 業資源規劃系統的即時、整合流程處理，
善建議。因此，在 GTAG 3 所設定的 CA/ 在當時的發展均十分有限；第二、企業風
CM 解決方案下，CA 與 CM 應該呈現反向 險管理架構尚未發展成熟：COSO ERM 架
的關聯性，且內部稽核將由傳統較強調獨 構直至 2004 年才被完整地提出，當時並
立、客觀、事後檢討等功能，轉變成較具 無明確的風險辨認、評估與回應等概念；
彈性、可因應組織管理需要而調整的企業 第三、缺乏強烈的外部法規遵循要求：直
夥伴，甚至是及時雨般的角色。 到 2002 年以後所發布的沙氏法，才開始
真正強制要求企業管理當局內部控制的完
發展沿革 整課責，包括定期的內部控制報告責任
在 審 計 研 究 與 實 務 文 獻 裡，CA、 （第 302、404 節）以及即時報告責任（第
CM/CCM 中 最 早 出 現 的 其 實 是 CA， 這 409 節）等。
個源自於美國貝爾實驗室研究計畫的 直到 2005 年時，國際內部稽核協會
技 術 概 念， 已 存 在 超 過 25 年（Groomer 提出 GTAG 3 時，上述三個專業上的限制
and Murphy 1989; Vasarhelyi and Halper 均已發展完善，因此也激發了更廣泛的實
1991）； 而 最 早 的 相 關 專 業 實 務 指 引， 務應用價值，包括國際內部稽核協會、國
則可追溯至 1999 年，由美國會計師公會 際電腦稽核協會、四大會計師事務所等專
（AICPA）和加拿大會計師公會（CICA） 業團體或管顧公司，近年來均提出各自的
所共同出版的持續性稽核白皮書報告 導入方法論和實務建議書，而 ERP 供應商
（AICPA and CICA 1999），該報告一度曾 大廠 SAP 以及專業審計軟體供應商 ACL、
經引起審計專業界的廣泛重視和討論，但 IDEA、Approva、Oversight 等，更開發出
最終卻因為幾個限制因素而未能於當時 能支援企業實施 CA 的工具軟體，目前國
（2000 年以前）立即發展為實務。第一、 際知名成功案例包括：Siemens, HCA Inc.,

www.accounting.org.tw 會計研究月刊 no.336︱111

 Unibanco, the New York Federal Reserve,
IBM 等 企 業 或 組 織（Elder de Aquino,
Lopes da Silva, Sigolo, and Vasarhelyi
內稽內控
2010）。
特色
在各方專業服務提供者的迅速聚焦
之後，CA/CM 的蓬勃發展自然是水到渠
Strategic Management
成，專案顧問也堅定地強調這樣的發展，
絕對是一個參與者皆贏的局面：導入企業
可以實質地改善營運作業效能和效率，而
內部控制與公司治理形象的提升，更能帶
給更多市場投資者的信心，又能滿足監理
機關的遵循性報告要求，似乎不立即導入
是一件不智之事。然而，具體來說，相對
於傳統內部稽核，CA 有那些特色能夠因
應多變的企業經營環境呢？
一、科技導向的查核：
相對於傳統稽核較不著重使用電腦
技術，CA/CM 則必須依賴科技來進行。
如前所述，使用科技雖然仍需要一些投資
成本，但因多數技術均已商用化多年，
可用性和可靠性絕對無虞。例如：資料
從來源端經過萃取、轉置、載入至目的
端（Extract-Transform-Load；ETL）
術 的 內 嵌 式 資 料 擷 取 軟 體（embedded
data retrieval software）， 可 以 即 時 地 從
資料來源端取得關鍵風險指標（key risk
indicator；KRI） 的 正 確 資 料， 甚 至 追
踪、擷取來源端的資料更新，因此後續的
風險評估也能隨時動態地進行。
112︱會計研究月刊 no.336 www.accounting.org.tw
二、持續進行的風險評估：
相對於傳統僅能於某些選定時點執行
風險評估，若 KRI 資料隨時不斷地載入，
CA 的各種分析技術也能設計為由資料更
新驅動的應用程序或系統服務，讓風險評
估成為在系統背景持續進行的作業。CA/
CM 以資料為分析基礎發展出各種分析技
術，除了能指出例外事件的異常門檻值
（anomaly metrics or thresholds）條件設定
之外，更能搭配使用統計決策模型、資料
探勘、文字探勘等分析技術，針對 KRI 的
現況進行量化／非量化的各種評估。
三、流暢的稽核或監控報告：
傳統內稽報告通常必須彙整查核結果
後，再傳送給內稽人員與管理者，因此隨
之而來的頂多是事後的檢討，或是饋送至
下個年度作為重訂風險評估指標之參考；
即使臨時需要一份最新結果報告，恐怕也
要經過繁冗的程序，無法立即取得；至於
立即發生的一些風險異常情況，更難以立
即通知到稽核人員。若導入 CA/CM，則
可透過組合推播服務（push service）與需
求拉動式（demand pull）技術，將預設重
大的風險評估結果（特別是異常例外的情
技 況）
，先以即時訊息的方式推送至稽核人
員的終端設備，再讓稽核人員點選後進入
伺服器取得完整的報告，利用這些現代化
網路與資料整合技術的支援，可將最新的
風險情況、甚至是多人協同完成的稽核進
度報告，立刻送到有能力、有權限、能即
時回應的人員手上，不會有時間、作業或
 技術落差。
103 學年度會計學系
四、隨時調整的查核與監控計畫：
碩士在職專班
由內部稽核的觀點，CA/CM 的最大啟示
招生名額：21名
是，稽核分析與結果報告不再像傳統稽核方
報名資格：取得一般應試資格，並須具工作經驗
法那麼「定時、定量」，而是以「最適合稽 1年（含）以上。
核的時機」來決定稽核作業的本質、時間與 考試科目：

範圍，因此傳統以「年度」為基礎的查核計 1. 書面審查（50％）
➊大學歷年成績單（最高學歷成績單）。
畫，將可以轉變成由風險帶動的查核計畫，
➋自傳
由科技所計算出的風險超過稽核能容忍的水 ➌工作資歷調查表
準時，就可以啟動稽核與回應作業，改變後 ➍其他有利審查之資料
2. 口試（50％）
的稽核作業，將更接近於能夠依風險情境自
動「開」或「關」的模式。當然，藉由需求
碩士班
（風險）拉動的設計，將會改變內部稽核的資
源配置方式，從傳統「專案式」稽核模式， 招生名額：14名（含甄試7名）
報名資格：教育部認可之國內外各大學校院各學
改變為能因應企業風險、動態調整稽核資源
系畢業生，或同等學歷資格者（含應
的「反應式」模式。 屆）。
考試科目：英文、中級會計學、成本及管理會計
【參考文獻】 學、審計學（各佔25%）
1. AICPA and CICA. 1999. Continuous Auditing.
2. Elder de Aquino, C., W. Lopes da Silva, N. Sigolo, and M. A.
Vasarhelyi 2010, Six Steps to an Effective Continuous Audit
Process. 報名與考試時間
3. French, D. 2011. Continuous Audit: Technology Enabled
Continuous Assurance‘ Challenging Assumptions with 報名月份：
Practical Experience ’ , ISACA North American CACS 預計 102 年 11 月 20 日發售簡章
Conference.
預計 103 年 01 月 02 日 ~103 年 02 月 27 日報名
4. Groomer, S.M. and Murthy, U.S. 1989. Continuous auditing
of database applications: An embedded audit module
考試月份：
approach. Journal of Information Systems 3（2）: 53–69.
5. PWC, 2011. The Path Forward for Data Analysis and 碩士在職專班→ 3 月 15 日（基河校區）
Continuous Auditing. 碩士班→ 3 月 18 日（台北校區）
6. The Institute of Internal Auditor. 2005. Continuous Auditing:
Implications for Assurance Monitoring and Risk Assessment, ※ 一律採網路通訊報名，收件日期以郵戳為憑
Global Technology Audit Guide（GTAG）3. ※ 相關招生資訊以本校 103 學年度招生簡章為準
7. Vasarhelyi, M.A. and Halper, F.B. 1991. The continuous ※ 簡章索購請洽銘傳大學研教組（02）2882-4564 轉 2247
audit system: A UNIX-based auditing tool. The EDP Auditor
Journal 3: 85-91.

聯絡資訊
周濟群／台北商業技術學院會計資訊系副教授
基河校區地址：台北市士林區基河路 130 號
台北校區地址：台北市士林區中山北路 5 段 250 號
（02）2882-4564 轉 8030
本所聯絡電話：