GTAG-17: 稽核資訊科技治理

內部稽核協會剛於上週五(2/21)公佈『全球科技查核指引』GTAG-17: 稽核資訊科技治理,翻譯本, 這是由副理事長戴龍擔任翻譯, 陳錦烽教授負責複核工作, 感謝他們為協會及內部稽核界的大力付出。

編製本查核指引其最主要的目的, 在於董事會是公司治理最高的權責單位, 但大部份都聚焦於治理服務的交付, 卻往往忽略了公司對IT的倚賴, 許多高度的先天性或固有性風險存在組織裡, 隨時都會對公司營運造成重大衝擊, 因此, 內部稽核單位或人員須要評估機構之資訊科技治理是否支持機構之策略及目標。

在我過去於事務所負責電腦審計工作時期, 經常遇到客戶的資訊部門主管回答, 他們的資訊策略與發展目標, 是自己定義出來, 他們不太瞭解公司當下的營運目標及策略, 當然, 我們在後續進行電腦稽核時, 就很明顯地看到, 其他使用單位的抱怨, 資訊部門的發展策略未配合使用單位的需求而調整, 這就造成所謂自立救濟, 自己找解決方案, 而這又會繞過IT的監控, 形成內控上的弱點, 而營運系統所儲存資料的完整性立即會被質疑, 因為, 應用系統未依使用單位流程變更而異動, 使部份商業交易資料更新不夠完全, 系統財務或管理報表就會失真, 容易造成錯誤的決策, 我這裡往後還會探討應用系統的資料品質問題, 所以, 董事會是否真的瞭解資訊科技治理的重要性, 是否有納入公司治理作業的一環, 一起評估是否有遵循企業整體營運目標與策略。

資訊科技治理整合IT與業務

[資料來源: 參考自內部稽核協會網站公佈GTAG-17翻譯本]

在GTAG-17提出資訊技術治理的五大要素:  1. 組織與治理的架構  2. 高階主管的領導與支持  3. 策略與營運的規劃  4. 服務的交付與衡量 5. IT的組織與風險管理

內部稽核在資訊科技治理的角色, 是要決定IT功能是否配合及了解機構的目標及策略, 決定IT資源及績效管理的有效性, 評估可能不利影響IT環境的風險。

相關說明與介紹, 請參考中華民國內部稽核協會網站下載: https://www.iia.org.tw/dld_files.aspx?files_id=1330  (只有協會有效會員才可以檢視)

 

 

 

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員