在過去幾年間,有關稽核及企業營運監控方法深受幾個主要的企業舞弊及財務危機事件(如WorldCom, Enron和國內力霸事件等)的影響而有所改變,直接促使政府部門修訂法規,加強公司治理觀念及企業內部控制制度(如美國沙賓法案),就其長期影響性,尚未得到明確的結果,但有一件事是可以確定的,就是加強對風險管理與內部控制系統有效性及時且持續性地確認,持續性稽核(Continuous Auditing)的重點不單只是為了法規上的遵循而已,而是要能夠對企業營運作業績效有所改善。
企業持續營運監控的目的,希望能提供早期預警的機制,避免決策或營運上的錯誤,對公司營運產生重大影響,而現今企業營運作業皆導入資訊化,其複雜的程度,多平台的作業環境,交易型態的多變性,使交易資料數量與日劇增,對一個從事日常營運分析或內部稽核人員來說,工作的負擔相當沉重,時間的壓力和資料的正確性,常讓他們喘不過氣來,如果沒有適當的工具協助,將營運資料分析與內部稽核作業自動化,是不可能使工作效率提升;現今大部份的企業營運分析人員和內部稽核人員都知道要使用像Excel、Access、或ACL等工具軟體來進行資料分析和查核工作,然而對資料分析或查核的目的及CAATs的正確應用觀念卻付之闕如,要如何進行自動化稽核作業, 顯然, 其先決條件是要瞭解資料分析的目的:
資料分析的主要目的,包括:
- 辨別問題傾向、精確地確認差異、突顯潛在風險區域
- 依照使用者作業準則,藉由比較分析檔案資料的方式,找尋錯誤及可能舞弊的地方
- 重新計算及確認餘額
- 確認各流程控制點及確保各作業準則之遵循
- 可對應收、應付帳款及任何時間敏感性交易進行帳齡分析
- 藉由對重複付款、帳單號碼缺漏或未發帳單的測試,回復其多支出或所損失的金額
- 可測試出未授權員工與廠商間的關係
而資料分析的程序,也就是之前所提到的資料分析循環(Data Analysis Cycle)包括:
- 規劃-清楚地設定查核目標,定義查核範圍,充份瞭解所要分析的資料定義,設計資料分析策略與查核程序,和考量預算時間。
- 擷取資料-擷取策略規劃中的資料檔,包括找尋資料、申請資料及擷取資料。
- 資料完整性驗證-驗證所擷取資料的完整性(Integrity)
- 資料分析-使用各項分析指令來達成資料分析與查核目的。
- 分析結果報告-產生報告,分析查核結果。
大部份的稽核人員皆遇到過資料分析與查核上的瓶頸,那就是不知道如何清楚地定義查核目的與查核範圍,因為對資料分析觀念和系統資料定義的不瞭解,但孰不知,這只是觀念上的轉變,從報表人工查核轉進到透過系統工具進行資料比對與差異分析,查核目的仍然相同,只是查核範圍在系統的資料當中,如果我們能夠按步就班地先依照專案進行,慢慢地形成固定的查核模式,就可以進入定期分析及進行自動化測試階段,這樣營運風險將可被有效降低,也可以達到遵循法規的目的,如果再加上定期排程規劃,就可以做到連續性審計作業,提昇企業公司治理的能力,而上述自動化稽核作業將可被標準化與元件化,方便進行稽核知識管理與例行性查核作業。