David Chuang の觀網 兆益數位莊盛祺的部落格
最近關於「持續性監控」與「稽核」作業的討論議題變得相當多,這是相當好的現象,表示大眾已經開始注意到內部控制措施的有效性,需要定期檢核,而且必需做到持續監督,才有降低風險的效果;然而,最近參加幾場研討會發覺,許多主講人或與談人可能並非來自稽核單位,或者是本身並沒有實際參與內控自評的實務操作經驗,導致演講內容與演講主題對持續性稽核作業的重點無法聯結,甚至於有些聽起來是雞同鴨講,完全弄不清楚狀況,我想身為IIA GTAG No. 3:Continuous Auditing的主要翻譯者及訓練講師,以及加上在國內推動「持續性稽核」實務超過十年以上經驗,在此想向大家再一次重新說明,避免被誤導或誤用方法,浪費成本又時間,最後產生導入效益不彰的結果,這是大家不願意見到的。
「持續性稽核」與「監控」起源自「COSO」內部控制框架五大要素中的「監督」(Monitor),依照公開發行公司建立內部控制制度處理準則第六條的說明,「監督」係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。而「持續性稽核」(Continuous Auditing) 一詞是來自審計學中「連續性審計」的觀念,它將近有五十年歷史,直到二十年前電腦資訊環境的大幅發展,以及資料分析技術的精進,對商業交易資料的測試需求,與日俱增,但國內開始發展持續性稽核作業也是最近十年的事情,當然,ACL公司創辦人Dr. Hart Will 長期在學術界與業界的推動持續性稽核的觀念,實屬功不可沒,同時,2009年IIA 國際內部稽核協會發佈「GTAG全球科技稽核指引」,第三號「 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment」正式向業界公佈「持續性稽核、監控與確認」的架構,整體觀念的核心在確認(Assurance),而所謂「確認」(Assurance)的定義,Dr. Hart Will 是這樣說的:
『確認』是指資訊能夠符合其接受者 (或其使用者) 的知識 (或信仰、信任或信心) 需求,以支援在一或多個特定背景中之合理行為的充份必要證明。
而IIA 「國際內部稽核執業準則」 的定義是: 確認性服務包含內部稽核人員對於證據之客觀評估,以便針對某個體、某項營運、某項職能、某項流程、某個系統或其他主題提出獨立的意見或結論。確認性專案之目的與範圍由內部稽核人員決定。確認性服務通常涉及下列三方面人員:(1)與該個體、營運、職能、流程、系統或主題直接有關的人員或團體-流程負責人,(2)進行該項評估的人員或團體-內部稽核人員,以及(3)使用該項評估的個人或團體-使用者。
諮詢服務之性質為提供建議,通常根據專案客戶之特定要求進行。諮詢專案之性質及範圍取決於與專案客戶之協議。諮詢服務通常涉及下列雙方當事人:(1)提供該項諮詢的人員或團體-內部稽核人員以及(2)尋求及接受諮詢的人員或團體-專案客戶。進行諮詢服務時,內部稽核人員應維持客觀性,並不得承擔管理階層之責任。
上述這些定義對內部稽核人員是耳熟能詳每天在做的工作,但是對營運單位或非內部稽核職務但從事內部控制管理檢查工作的人員來說,則相對會比較陌生,無法掌握檢查的目標、方向、範圍、與目的,更不用說要採用哪種查核方法、程序、重點及步驟,而這些不單單是內部稽核人員的職責,同時,也是各單位執行內部控制自行評估的程序,它是監督的一環,因此,依照IIA GTAG No3, 對「持續性稽核、監控與確認」的架構定義的簡單說明:
- 持續性稽核(Continuous Auditing)
- –此方法被使用來以連續性的基礎進行稽核相關的作業活動
- – 包括控制與風險評估
- –由內部稽核來執行
- 持續性監控(Continuous Monitoring)
- –去確保政策與程序有效運行的作業,且評估控制的妥適性及有效性。
- –由營運作業/財務管理人員執行;稽核是去獨立評估管理作業活動的適當性。
- 持續性確認(Continuous Assurance)
- –結合持續性稽核與監控的執行成效
有關每一項真正的涵意與實質操作內容,仍需要參加GTAG 第三號指引,若有必要,可到內部稽核協會參加定期的教育訓練課程,或是本公司(兆益數位公司)所對外舉辦的研討會(如7/16下午二點在電腦稽核協會),我會再為大家做更深入的講解,當然,各位若有進一步問題,也可以隨時用E-mail或是在部落格及臉書留言給我,我會迅速回覆給各位的,祝大家一切順利!
