如何建立风险导向的持续性稽核,审计论文

如何建立风险导向的持续性稽核,审计论文持续性稽核〔ContinuousAudit,CA〕近年来在台湾的内部稽核专业社群中逐步增温，其实在审计研究文献里，这个源自于美国贝尔实验室研究计划的技术概念，已存在超过25年〔GroomerandMurphy1989;VasarhelyiandHalper1991〕；而最早的相关审计专业实务指引，可以追溯至1999年，由美国会计师公会〔AICPA〕和加拿大会计师公会〔CICA〕所共同出版的持续性稽核白皮书报告〔AICPAandCICA1999〕，该报告一度曾经引起审计专业界的广泛重视和讨论，但最终却没有能立即发展为实务，主要因素有：一是相关科技尚未完全普及。例如，能将异常事件即时传达给处理人员的事件处理技术、资料转置技术与分析技术等，甚至企业资源规划系统的即时、整合流程处理，在当时的发展均特别有限。二是企业风险管理架构尚未成熟。COSOERM架构直至2004年才被完好地提出，当时并无明确的风险分辨体认、评估与回应等概念。三是缺乏强烈的外在环境要求。直到2002年以后所发布的SOX法案，才开场真正强迫要求企业管理当局内部控制的完好课责，包括定期的内部控制报告责任〔第302、404节〕以及即时报告责任〔第409节〕等。2005年，国际内部稽核协会提出全球技术稽核指引第三号：(持续性稽核：对确认、监控与风险评估之意义〕〔GlobalTechnologyAuditGuide(GTAG)3:ContinuousAuditing:Im-plicationsforAssuranceMonitoringandRiskAssessment〕时，以上三个因素均已发展完善，因而也引起了更广泛的实务发展，包括国际内部稽核协会、国际电脑稽核协会、四大会计师事务所等专业团体或管顾公司，近年来均提出各自的导入方式方法论和实务建议书，而ERP供给商大厂SAP以及专业审计软体供给商ACL、IDEA、Approva、Oversight等，更开发出能支援企业施行CA的工具软体，当前国际知名成功案例包括：Siemens,HCAInc.,Unibanco,theNewYorkFederalReserve,IBM等企业或组织。在各方专业服务提供者的迅速聚焦之后，持续性稽核的蓬勃发展自然是水到渠成，专案参谋也坚定地强调这样的发展，绝对是一个介入者皆赢的局面：导入企业能够本质地改善营运作业效能和效率，而内部控制与公司治理形象的提升，更能带给更多市场投资者的自信心，又能知足监理机关的遵循性报告要求，似乎不立即导入是一件不智之事。然而，在一阵风潮之中，多数有心导入却尚在门外的企业，则仍然存在几个问号，例如：我的企业真的需要导入CA吗？持续性稽核和企业原有的管理或监控作业有何关连？导入系统控制就够了吗？企业原有的控制似乎仍在运作，CA能多带来些什么效益？CA能用在哪些地方？能否就只是多参加一些控制点？本文即针对以上问题，参考国外若干相关文献与案例，希望能提供预备导入CA的台湾企业几个新的思维方向。一、多变的企业经营环境需要CA当代化企业经营已逐步朝向全球化、科技化、标准化的趋势发展，愈来愈多的企业为了追求全球化市场，以及其他国家低廉的原料、人工、生产与物流成本，选择把经营活动带向全球化、资源集中化、流程自动化的方向发展，而很多第三方服务厂商基于专业化产生规模经济，更吸引企业把经营活动大量外包给服务厂商，包括：掌控整体流程的企业资源规划系统、运筹、物流、生产管理及客户服务等。这些布局于全球各国成本低廉的标准化流程，固然证明了它的效率，但也正由于自动化、不分时区、远距离的特性，反倒让管理者和内部稽核人员的管理、监督决策，经常面临混沌不明〔例如：看来好似都还顺畅，但真的是这样吗？不放心〕、不知从何下手〔例如：难道要我监督系统吗？我又不可能一天24小时都坐在电脑前，怎么办？〕的窘境。假如以上阐述还缺乏激发您的意志，或许再加上当代企业最害怕的声誉风险：在社群媒体愈来愈普及的网络时代，企业势必要经营地像自个所宣传〔as-advertised〕的一样，否则只要一个风险环节出了问题，又无法妥善回应，都可能造成大灾难。最佳案例就是近期几家食品大厂接二连三地被报道出，在产品中参加了不当的工业用化学添加物，多数业者当前都解释为流程控管不当所致，若果真如此，试问管理者和内稽人员在愈趋复杂、大量的企业流程中，怎样协助企业分辨体认出这些风险项目、评估风险的可能损害，进而设定必要的即时回应〔侦知异常、预防、降低、分担或忽略〕。在好像大海般复杂且巨量的企业经营环境下，CA或许是能够协助管理者和内稽人员，将掩盖于标准化流程下的经营风险，逐一浮现出来的解决方案。相对于传统内部稽核，CA有哪些特色能够因应多变的企业经营环境呢？1．科技导向的查核。相对于传统稽核较不着重使用电脑技术，CA则必须依靠科技来进行。如前所述，使用科技固然仍需要一些投资成本，但因多数技术均已商用化多年，可用性和可靠性绝对无虞。例如：使用基于ETL〔Extract-Transform-Load〕技术的内嵌式资料撷取软体〔embeddeddataretrievalsoftware〕，能够即时地从资料来源端获得关键风险指标〔keyriskindicator,KRI〕的正确资料，甚至追踪、撷取来源端的资料更新，因而后续的风险评估也能随时动态地进行。2．持续进行〔ongoing〕的风险.评估。相对于传统仅能于某些选定时点执行风险评估，若KRI资料随时不断地载入，CA的各种分析技术也能设计为由资料更新驱动的应用程序或系统服务〔daemon〕，让风险评估成为在系统背景〔background〕持续进行的作业。CA以资料为分析基础发展出各种分析技术，除了能指出例外事件的异常门槛值〔anomalymetricsorthresholds〕条件设定之外，更能搭配使用统计决策模型、资料探勘〔datamining〕、文字探勘〔textmining〕等分析技术，针对KRI的现况进行量化／非量化的各种评估。3．流畅的稽核报告〔streamlinedreporting〕。传统内稽报告通常必须查核结果后，再传送给内稽人员与管理者，因而随之而来的顶多是事后的检讨，或是馈送至下个年度作为重订风险评估指标之参考；即便临时需要一份最新结果报告，恐怕也要经过烦冗的程序，无法立即获得；至于立即发生的一些风险异常情况，更难以立即通知到稽核人员。若导入CA，则可透过组合推播服务〔pushservice〕与需求拉动式〔demandpull〕技术，将预设重大的风险评估结果〔十分是异常例外的情况〕，先以即时讯息的方式推送至稽核人员的终端设备，再让稽核人员点选后进入伺服器获得完好的报告，利用这些当代化网络与资料整合技术的支援，可将最新的风险情况、甚至是多人协同完成的稽核进度报告，立即送到有能力、有权限、能即时回应的人员手上，不会有时间、作业或技术落差。4．随时调整的查核计划。由于稽核分析与结果报告不再像传统稽核方式方法那么定时、定量，而是以合适稽核的机会来决定稽核作业的本质、时间与范围，因而传统以年度为基础的查核计划，将能够转变成由风险带动的查核计划，由科技所计算出的风险超过稽核能容忍的水准时，就能够启动稽核与回应作业。当然，借由需求〔风险〕拉动的设计，将会改变内部稽核的资源配置方式，从传统专案式稽核形式，改变为能因应企业风险、动态调整稽核资源的反响式〔reactive〕形式。二、持续性稽核与管理控制监督的关系CA的特色经常会引发一般管理人员一个疑问：在即时、持续稽核的解决方案里，稽核的角色能否会与直线管理者的角色有冲突，甚至逾越了稽核应独立于管理职能的客观性？事实上，基于科技的CA解决方案，不止是稽核人员能够运用，管理人员一样可以以借助；想象一个建筑物里的火灾侦测器，它除了能通知建筑物内人员〔直接关系人〕以外，也能通知消防队〔专业、独立的间接关系人〕。CA的持续风险监控机制就像如此，管理人员与稽核人员各自的角色，并不会由于工具的导入而有所混淆：管理者仍然负担着达成营运目的的最终责任，只是多了专业而独立之稽核人员的支援。在GTAG3的报告中，亦明确地指出两者分别，并强调CA和CM/CC〔Mcontinuousmonitoring/con-tinuouscontrolmonitoring〕是互相支援而不相互排斥的。施行CA的主要目的在于针对企业整体风险控制程序的有效性执行稽核，主要角色是内部稽核人员；而CM/CCM的主要目的则在确保营运政策与流程有效地进行，主要角色是管理人员。对一个组织〔包含公/私部门〕来讲，若CM/CCM的管理机制已臻持续进行的品质，则CA自然不需再参与直接管理，以免造成多头马车现象，反之，若管理机制仍偏向传统方式，则主导CA的稽核长或内部稽核主管〔chiefauditexecutive〕则应善用CA机制，积极向管理人员即时而持续地提出管理上之改善建议。因而，在GTAG3所设定的CA解决方案下，内部稽核将由传统较强调独立、客观、事后检讨等功能，转变成较具弹性、可因应组织需要而调整的企业伙伴〔businesspartner〕、甚至是及时雨〔lifesaver〕的角色。三、怎样建立风险导向的持续性稽核无论是CA或CM/CCM，它们与传统控制活动的最大不同，除了强调持续进行的形式以外，它们更是以风险为导向的稽核与监控作业，因而，即便采用传统测试方式方法，发现原有的控制设定仍在运行，因此推定控制有效，但CA或CM/CCM则会假设控制被权宜方式方法躲避〔workaround〕的可能性。例如：传统查核可能发现，无对应采购单则无法进行收货的控制仍有效运作，但可能存在下面情况，使部分员工得以躲避此一控制：当某供给商以塞货方式自行送货至仓库，仓管人员可能讲服采购人员配合以权宜方式立即新增一笔采购单，以便收货人员开立验收单，如此，在并未违背原有控制的情况下，他们成功地避开了此一控制。因而，CA或CM/CCM必须评估这种躲避控制的风险，进而设定应即时监控的控制、资料与流程。以前例来讲，即可针对塞货问题，设定下面稽核异常之条件组合：(1)由采购人员、而非采购主管所不当放行的采购单；(2)验收单日期与采购单日期同一天或过于接近。若两者存在其一即通知管理人员或稽核人员注意，若两者同时存在即表示有塞货之事实，应立即采取回应或要求采购部门改善其内部控制。为了到达上述持续进行的稽核与监控，French〔2018〕在ISACA的CA白皮书中曾建议，企业至少必须做好下面准备：1．不可或缺的自动化稽核解决方案。如前所述，要能够即时获得风险项目相关资料并立即加以分析、稽核，导入ETL、资料探勘、推式服务等自动化撷取、分析与报告技术，绝对是不可或缺的要素。2．建立全方位的关键风险指标。CaldwellandProcto〔r2018〕曾提出CCM的一般性架构，指出CCM应建构360度全方位的关键风险指标，至少必须包括四大支柱：一是存风险〔accessrisk〕。针对职能分工、系统功能、关键组合资料〔使用者受权矩阵〕、能否存在敏感性存取〔sensitiveaccess〕等权限控制资料进行分析，也包括身份验证、交易日志和密码管理等测试。二是系统设定风险〔configurationrisk〕。针对系统流程的组态或参数设定情况进行撷取与分析，如前述的采购、验收、应付之流程控制设定。三是主档资料风险〔masterdatarisk〕。针对客户、供给商、产品、员工等主档资料的大幅或不寻常之异动进行原因分析，有可能是避开控制的情形。四是交易风险〔transactionrisk〕。应监控企业主要交易活动资料，以利风险管理与绩效改善作业。以前述塞货一例来讲，在存取风险方面，CA应持续地侦测采购单、验收单的职能分工情形，看能否存在不当的冲突性、敏感性存取权限；在系统设定风险方面，CA应侦测能否无采购单即不可新增验收单的设定仍持续地保持原状；在主档资料风险方面，应持续侦测能否存在不符合采购资格的供给商资料。例如：缺少原物料供给价格资料，在交易风险方面，CA应设定各项交易异常条件，包括采购单与验收单日期过于接近、甚至在同一日期者。而值得管理者注意的是，这些KRI的资料内涵，其实都非常具有管理价值，French〔2018〕甚至直言：每一个KRI的背后，都隐含着一个关键绩效指标〔KPI〕。值得大家深思。3．稽核品质的3C。在稽核品质方面，French〔2018〕以为CA或CM/CCM必须到达所谓3C的标准：〔1〕一致性〔consistency〕。对于企业内需执行稽核的风险与控制，应不管其所在地点〔国外或国内〕、单位〔总部或分公司〕、系统别〔SAP或Oracle〕等，均应一致地使用同一测试程度来审视。〔2〕完好性〔completeness〕。由于采用进步的资讯科技，因而建议不再使用统计抽样方式来执行测试，而应朝向全查但设定优先权的方向发展，以避免因抽样误差而导致查核漏失的风险。〔3〕持续性〔continuous〕。应尽量缩短稽核周期，从过去的年、季进展到每月、每周甚至是每日进行，当然，针对不同的控制或风险指标，能够设定不同的持续周期。四、持续性稽核的实务建议、应用领域与成本效益在实际导入CA的经过中，仍然有很多实务的挑战必须克制，包括组织面、作业面、技术面与成本面的考量，因而，French〔2018〕的报告中，曾针对CA的施行，提供了几点非常实务的建议；该报告也列举出CA能发挥作用的各项领域；除此之外，CA是以科技为基础，当然需要投资，因而CAE可能会面临应怎样讲服执行阶层、应怎样进行成本效益评析等问题。〔一〕给CAE的几项实务建议1．CA绝对是跨不同功能的专案，因而专案经理必须具备良好的跨部门沟通能力，而且必须能得到执行阶层的大力支持。2．最好能先找到一个麻雀虽小、五脏俱全的应用，在这个相对较小、较易聚焦的案例里，以探路〔pathfinder〕的形式，先将组织内由上而下的相关资源〔包括最高的执行阶层到各部门、各流程、各个KRI/KPI、各系统、各个资料表等〕有效地整合一次，除了能够借此演练以外，小案例的成功将更能获得执行阶层的支持，并为将来大幅发动的计划做出预告。3．固然CA必须导入进步的资讯科技，但千万不可被认定为只是一个技术性专案。4．以各个KRI的风险程度和合适性来决定自动化的优先顺序。5．采用反复式〔iterative〕方式方法进行测试的法则、流程与范围精良化〔refinement〕：部署使用学习复核改进延伸。6．在导入经过中，时时都应复核、甚至再造现存程序和方式方法，以找出最佳的测试计划。7．有时机就尽量和营业部门间建立良好沟通，并寻求可能的联盟关系。8．除了确保风险降低以外，也要同时重视绩效改善的时机，并提供应营业部门。9．谨记四个管理维度：组织、流程、人员与科技。〔二〕CA的最适应用领域如前所述，CA和CM/CCM最主要的应用，就是希望能找出传统稽核或控制方式方法所无法发现的异常性风险问题，主要是：1．供给商重复付款；2．无对应采购单的付款记录；3．未请款的销货收入；4．供给商账户资料的异常更动；5．某些特定订单价格或付款条件的异常改变；6．客户或供给商主档的资料异常变动；7．某些客户订单的金额总是恰好高过其信誉额度或是根本超过其额度；8．违背职能分工的交易资料，如采购单由同一人制作并核发、验收单也是同一人；9．无对应客户订单的出货；10．超量出货〔overdelivery〕；11．不寻常的日记账分录〔unusualjournalsorpostings〕，如借记费用、贷记应收账款此类异常分录；12．分割采购〔splitpurchase〕；13．请购金额恰低于某些采购政策之限制条件。〔三〕CA的成本效益分析在规划成本效益分析报告时