持續性電腦稽核

最近讀了兩篇關於持續性電腦稽核(Continuously Computer Auditing)的文章,這兩篇文章很具體的描述出企業應如何導入持續性監控(Continuous Monitoring)系統,以及它應該要具備什麼樣的特色。個人覺得相當有意思,因此,以下整理出小弟的讀後感想。

監控系統

在一個高度資訊化的企業環境中,企業的財務與營運交易量以驚人的速度成長,甚至交易程序的複雜度都比以往增加許多。面對這樣的環境,傳統的審計程序能否為企業的營運提供適切的確保(Business Assurance)已備受質疑。原因是傳統的審計程序往往都是在交易發生之後才開始執行,談不上是即時偵測,更別提預防這些例外交易行為的發生。另外,由於時間、人力與成本的考量,傳統的審計程序已無法檢視所有的交易行為是否遵循(Compliance)企業的各項控制制度。因此,面對著這樣的風險,許多企業已經開始尋找新的方法來協助內部控制與內部稽核作業能夠勝任目前的企業交易型態,而這個新的方法或稱新科技技術(New Technology)的運用即為:持續性監控系統(Continuous Monitoring System)。

最近這幾年,由於各種法規(如:Sarbanes-Oxley Act)要求企業提供完整的內控報告書,以及要求管理者對內部控制的有效性提出確保聲明書,為了要遵循這些法令要求,許多企業已經利用各種新的科技技術發展出許多持續性監控的解決方法(Solutions),但是,這些系統往往都淪為一個批次處理(Batch Processing)的、或功能有限的工具。這些系統既不持續(Continuous),分析的範圍也無法涵蓋整個企業層級(Enterprise Level)。最後,這些系統似乎都不是現在企業所面臨的風險的最佳解決方法。

那麼,一個持續性監控系統應該具備哪些特色呢?從“持續性監控系統”字面上來解釋:這套系統要能夠持續運作,必須具備高度的可用性(High Availability),能夠分析大量的交易資料,其分析的範圍必須要能涵蓋整個企業層級(Enterprise Level)。也就是說,這套系統應該要具備下列幾項特色:

  1. 獨立(Independent)監控ERP系統控制以及交易資料。
  2. 持續性稽核系統應獨立於企業的財務與營運交易系統之外,在進行稽核分析作業時,不會影響到現行企業資源規劃(Enterprise Resource Planning, ERP)系統的運作。另外,持續監控系統雖然獨立於企業資源規劃系統之外,但是,在進行系統介接的過程應避免需要在另外花費時間做修正或投入其他成本。

  3. 即時(on Real-Time)辨識異常交易以及偵測異常作業程序。
  4. 也就是說,此系統必須能夠隨時(Always-on)驗證交易資料的完整性,並且確保企業的內部控制度的有效性。這種即時分析的能力越接近交易發生的時點就越能夠對企業的營運作業提出確保。

  5. 所分析的範圍能夠涵蓋整個企業層級(Enterprise Level, probably Global)。
  6. 有關這個議題個人認為會是建構一個持續性稽核系統時最困難的部分。現實的企業環境中,資訊系統架構的複雜度往往令人聞之生畏,一個經歷過企業合併的組織,其所使用的ERP系統往往會呈現多平台(Multi-Platform)的架構;各個資訊系統可能為獨立運作的模式,系統間的資料流也許無法達到自動結轉的功能;而資料庫系統中的資料來源可能來自於新的ERP系統、老舊系統(Legacy system)、外部系統(Outsourced System),甚至是以人工作業(Manual Operation)的方式進行資料調整(Reconciliations)與合併(Consolidations)。面對這種多平台以及複雜的資料庫(Complex Database)系統環境,持續性監控系統必須要有能力可以彙總來自不同平台的資料,而且要能夠持續且即時的完成彙總的作業。

  7. 具備分析大量交易資料的能力。
  8. 時效性是稽核作業的一項重要條件,在現今的企業環境中,每天所產生出的資料可能不下數千筆,人工稽核作業已無法勝任這種數量的資料,要在時效之內提出分析報告幾乎不可能。因此,持續性稽核系統必須要能夠以很有效率的方式對大量的交易資料進行分析,並且在時程之內提出分析報告。

  9. 持續性稽核系統應具備“稽核知識”以洞察各項交易資料。
  10. 這套系統要有能夠“執行稽核”的能力,也就是說,有能力判斷交易紀錄的適切性以及各種控制制度的有效性。也就是說,它須要有一組預先建立的演算法程式庫(Pre-Built Library of Algorithms),將一組標準的稽核程序(Standard Auditing Processes)建入這套程式庫,然後,利用這些稽核作業標準持續評估企業的交易資料,以辨識異常交易行為、為企業的營運提供適切的確保… 等等。另外,值得一提的是,這套稽核程式庫,必須要擁有足夠的彈性(Flexibility)以及擴充(Extension)能力,原因是每個產業的營運作業皆有很大的差異,每個產業適用的標準皆不同;就算是同產業的公司,其所關注的作業流程及其稽核重點也會有所差異。而且,持續性稽核系統還要能夠讓企業因應不同時期的重點項目,每個階段所關注的不同的內控議題,來持續擴充新的稽核程式庫。

  11. 即時提出診斷報告。
  12. 一套有效的持續性監控系統還必須要能夠即時地將關鍵訊息傳遞給主要負責人。當系統辨識出任何異常交易資料時,接著便要能夠即時通知關鍵負責人,擁有資訊溝通(Information Communication)的能力才能將偵測到的診斷報告做最適當的傳遞,已展開後續的深入調查或證實測試(Substantive Testing)。

前幾年的幾件企業弊案,引發出各項新的法令要求,使得企業開始重視內部控制的有效性以及營運確保的議題,內部控制與稽核工作者在這樣的環境中,扮演著關鍵角色,運用新的科技技術來管理以及確保企業營運,將能夠發揮極大的效用。套一句其中一篇文章的slogan當作結語:

The future of auditing may look very different.