持续性稽核(Continuou sAudit, CA)近年来在台湾的内部稽核专业社群中逐渐增温,其实在审计研究文献里,这个源自于美国贝尔实验室研究计划的技术概念,已存在超过 25 年(Groomer andMurphy 1989; Vasarhelyi and Halper1991);而最早的相关审计专业实务指引,也可追溯至1999年,由美国会计师公会(AICPA)和加拿大会计师公会(CICA)所共同出版的持续性稽核白皮书报告(A I C P Aand CICA 1999),该报告一度曾经引起审计专业界的广泛重视和讨论,但最终却未能立即发展为实务,主要因素有:一是相关科技尚未完全普及。例如,能将异常事件即时传达给处理人员的事件处理技术、资料转置技术与分析技术等,甚至企业资源规划系统的即时、整合流程处理,在当时的发展均十分有限。二是企业风险管理架构尚未成熟。
COSO ERM 架构直至 2004 年才被完整地提出,当时并无明确的风险辨认、评估与回应等概念。三是缺乏强烈的外在环境要求。直到2002年以后所发布的 SOX 法案,才开始真正强制要求企业管理当局内部控制的完整课责,包括定期的内部控制报告责任(第302、404节)以及即时报告责任(第409节)等。2005年,国际内部稽核协会提出全球技术稽核指引第三号:《持续性稽核:对确认、监控与风险评估之意义》(Global Technology Audit Guide(GTAG) 3: Continuous Auditing: Im-plications for Assurance Monitoring and Risk Assessment)时,以上三个因素均已发展完善,因此也引起了更广泛的实务发展,包括国际内部稽核协会、国际电脑稽核协会、四大会计师事务所等专业团体或管顾公司,近年来均提出各自的导入方法论和实务建议书,而ERP供应商大厂SAP以及专业审计软体供应商 A C L 、IDEA、Approva、Oversight等,更开发出能支援企业实施 CA 的工具软体,目前国际知名成功案例包括:Siemens, HCA Inc., Unibanco, the NewYork Federal Reserve, IBM等企业或组织。
在各方专业服务提供者的迅速聚焦之后,持续性稽核的蓬勃发展自然是水到渠成,专案顾问也坚定地强调这样的发展,绝对是一个参与者皆赢的局面:导入企业可以实质地改善营运作业效能和效率,而内部控制与公司治理形象的提升,更能带给更多市场投资者的信心,又能满足监理机关的遵循性报告要求,似乎不立即导入是一件不智之事。然而,在一阵风潮之中,多数有心导入却尚在门外的企业,则仍然存在几个问号,例如:我的企业真的需要导入 CA 吗?持续性稽核和企业原有的管理或监控作业有何关连?导入系统控制就够了吗?企业原有的控制似乎仍在运作,CA 能多带来些什么效益? CA 能用在哪些地方?是否就只是多加入一些控制点?本文即针对以上问题,参考国外若干相关文献与案例,希望能提供预备导入 CA 的台湾企业几个新的思维方向。
一、多变的企业经营环境需要CA
现代化企业经营已逐步朝向全球化、科技化、标准化的趋势发展,愈来愈多的企业为了追求全球化市场,以及其他国家低廉的原料、人工、生产与物流成本,选择把经营活动带向全球化、资源集中化、流程自动化的方向发展,而许多第三方服务厂商基于专业化产生规模经济,更吸引企业把经营活动大量外包给服务厂商,包括:掌控整体流程的企业资源规划系统、运筹、物流、生产管理及客户服务等。这些布局于全球各国成本低廉的标准化流程,虽然证明了它的效率,但也正因为自动化、不分时区、远距离的特性,反倒让管理者和内部稽核人员的管理、监督决策,经常面临混沌不明(例如:看来好像都还顺畅,但真的是这样吗?不放心 )、不知从何下手(例如:难道要我监督系统吗?我又不可能一天24 小时都坐在电脑前,怎么办?)的困境。
如果以上论述还不足激发您的意志,或许再加上现代企业最害怕的“声誉风险”:在社群媒体愈来愈普及的网络时代,企业势必要经营地“像自己所宣传(”as-advertised)的一样,否则只要一个风险环节出了问题,又无法妥善回应,都可能造成大灾难。最佳案例就是最近几家食品大厂接二连三地被报道出,在产品中加入了不当的工业用化学添加物,多数业者目前都解释为流程控管不当所致,若果真如此,试问管理者和内稽人员在愈趋复杂、大量的企业流程中,如何协助企业辨认出这些风险项目、评估风险的可能损害,进而设定必要的即时回应(侦知异常、预防、降低、分担或忽略)。
在如同大海般复杂且巨量的企业经营环境下,CA 或许是能够协助管理者和内稽人员,将掩盖于标准化流程下的经营风险,一一浮现出来的解决方案。相对于传统内部稽核,CA 有哪些特色能够因应多变的企业经营环境呢?
1.科技导向的查核。相对于传统稽核较不着重使用电脑技术,CA则必须依赖科技来进行。如前所述,使用科技虽然仍需要一些投资成本,但因多数技术均已商用化多年,可用性和可靠性绝对无虞。例如:使用基于ETL(Extract-Transform-Load)技术的内嵌式资料撷取软体(embeddeddataretrievalsoftware),可以即时地从资料来源端取得关键风险指标(key risk indicator, KRI)的正确资料,甚至追踪、撷取来源端的资料更新,因此后续的风险评估也能随时动态地进行。
2.持续进行(ongoing)的风险.评估。相对于传统仅能于某些选定时点执行风险评估,若KRI资料随时不断地载入,CA 的各种分析技术也能设计为由资料更新驱动的应用程序或系统服务(daemon),让风险评估成为在系统背景(background)持续进行的作业。CA 以资料为分析基础发展出各种分析技术,除了能指出例外事件的异常门槛值(anomalymetricsorthresholds)条件设定之外,更能搭配使用统计决策模型、资料探勘(data mining)、文字探勘(textmining)等分析技术,针对KRI的现况进行量化/非量化的各种评估。
3.流畅的稽核报告(streamlinedreporting)。传统内稽报告通常必须查核结果后,再传送给内稽人员与管理者,因此随之而来的顶多是事后的检讨,或是馈送至下个年度作为重订风险评估指标之参考;即使临时需要一份最新结果报告,恐怕也要经过烦冗的程序,无法立即取得;至于立即发生的一些风险异常情况,更难以立即通知到稽核人员。
若导入 CA,则可透过组合推播服务(push service)与需求拉动式(demand pull)技术,将预设重大的风险评估结果(特别是异常例外的情况),先以即时讯息的方式推送至稽核人员的终端设备,再让稽核人员点选后进入伺服器取得完整的报告,利用这些现代化网络与资料整合技术的支援,可将最新的风险情况、甚至是多人协同完成的稽核进度报告,立刻送到有能力、有权限、能即时回应的人员手上,不会有时间、作业或技术落差。
4.随时调整的查核计划。由于稽核分析与结果报告不再像传统稽核方法那么“定时、定量”,而是以“适合稽核的时机”来决定稽核作业的本质、时间与范围,因此传统以“年度”为基础的查核计划,将可以转变成由风险带动的查核计划,由科技所计算出的风险超过稽核能容忍的水准时,就可以启动稽核与回应作业。当然,借由需求(风险)拉动的设计,将会改变内部稽核的资源配置方式,从传统“专案式”稽核模式,改变为能因应企业风险、动态调整稽核资源的“反应式”(reactive)模式。
二、持续性稽核与管理控制监督的关系
CA 的特色经常会引发一般管理人员一个疑问:“在即时、持续稽核的解决方案里,稽核的角色是否会与直线管理者的角色有冲突,甚至逾越了稽核应独立于管理职能的客观性?”事实上,基于科技的CA解决方案,不止是稽核人员可以运用,管理人员一样也可以借助;想象一个建筑物里的火灾侦测器,它除了能通知建筑物内人员(直接关系人)以外,也能通知消防队(专业、独立的间接关系人)。CA的持续风险监控机制就像如此,管理人员与稽核人员各自的角色,并不会因为工具的导入而有所混淆:管理者仍然负担着达成营运目标的最终责任,只是多了专业而独立之稽核人员的支援。
在GTAG 3的报告中,亦明确地指出两者分别,并强调 CA 和 CM/CC(Mcontinuous monitoring / con-tinuouscontrolmonitoring)是相互支援而不互相排挤的。实施CA的主要目标在于针对企业整体风险控制程序的有效性执行稽核,主要角色是内部稽核人员;而 CM/CCM 的主要目标则在确保营运政策与流程有效地进行,主要角色是管理人员。对一个组织(包含公/私部门)来说,若CM/CCM 的管理机制已臻“持续进行”的品质,则CA自然不需再介入直接管理,以免造成多头马车现象,反之,若管理机制仍偏向传统方式,则主导 CA 的稽核长或内部稽核主管(chief audit executive)则应善用CA 机制,积极向管理人员即时而持续地提出管理上之改善建议。因此,在 GTAG 3 所设定的 CA 解决方案下,内部稽核将由传统较强调独立、客观、事后检讨等功能,转变成较具弹性、可因应组织需要而调整的企业伙伴(business partner)、甚至是“及时雨(”lifesaver)的角色。
三、如何建立风险导向的持续性稽核
无论是CA 或 CM/CCM,它们与传统控制活动的最大不同,除了强调“持续进行”的模式以外,它们更是以风险为导向的稽核与监控作业,因此,即使采用传统测试方法,发现原有的控制设定仍在运行,因而推定控制有效,但 CA 或 CM/CCM 则会 假设控制被权宜方法规避(workaround)的可能性。例如:传统查核可能发现,无对应采购单则无法进行收货的控制仍有效运作,但可能存在以下情况,使部分员工得以“规避”此一控制:当某供应商以塞货方式自行送货至仓库,仓管人员可能说服采购人员配合以权宜方式立即新增一笔采购单,以便收货人员开立验收单,如此,在并未违反原有控制的情况下,他们成功地“避开”了此一控制。
因此,CA 或 CM/CCM 必须评估这种“规避控制”的风险,进而设定应即时监控的控制、资料与流程。以前例来说,即可针对“塞货”问题,设定以下稽核异常之条件组合:(1)由采购人员、而非采购主管所不当放行的采购单;(2) 验收单日期与采购单日期同一天或过于接近。若两者存在其一即通知管理人员或稽核人员注意,若两者同时存在即表示有“塞货”之事实,应立即采取回应或要求采购部门改善其内部控制。
为了达到上述“持续进行”的稽核与监控,French(2011)在ISACA的CA白皮书中曾建议,企业至少必须做好以下准备:
1.不可或缺的“自动化”稽核解决方案。如前所述,要能够即时取得风险项目相关资料并立即加以分析、稽核,导入ETL、资料探勘、推式服务等自动化撷取、分析与报告技术,绝对是不可或缺的要素。
2 .建立全方位的关键风险指标。Caldwell and Procto(r2010)曾提出 CCM 的一般性架构,指出 CCM应建构360 度全方位的关键风险指标,至少必须包括四大支柱:一是存风险(access risk)。针对职能分工、系统功能、关键组合资料(使用者授权矩阵)、是否存在敏感性存取(sensitiveaccess)等权限控制资料进行分析,也包括身份验证、交易日志和密码管理等测试。二是系统设定风险(configuration risk)。针对系统流程的组态或参数设定情况进行撷取与分析,如前述的采购、验收、应付之流程控制设定。三是主档资料风险(master data risk)。针对客户、供应商、产品、员工等主档资料的大幅或不寻常之异动进行原因分析,有可能是避开控制的情形。四是交易风险(transactionrisk)。应监控企业主要交易活动资料,以利风险管理与绩效改善作业。以前述塞货一例来说,在存取风险方面,CA 应持续地侦测采购单、验收单的职能分工情形,看是否存在不当的冲突性、敏感性存取权限;在系统设定风险方面,CA 应侦测是否无采购单即不可新增验收单的设定仍持续地保持原状;在主档资料风险方面,应持续侦测是否存在不符合采购资格的供应商资料。例如:
缺少原物料供应价格资料,在交易风险方面,CA 应设定各项交易异常条件,包括采购单与验收单日期过于接近、甚至在同一日期者。而值得管理者注意的是,这些KRI的资料内涵,其实都非常具有管理价值,French(2011)甚至直言:“每一个KRI的背后,都隐含着一个关键绩效指标(KPI)。”值得大家深思。
3.稽核品质的“3C”。在稽核品质方面,French(2011)认为CA或CM/CCM 必须达到所谓“3C”的标准:(1)一致性(consistency)。对于企业内需执行稽核的风险与控制,应不论其所在地点(国外或国内)、单位(总部或分公司)、系统别(SAP或Oracle)等,均应一致地使用同一测试程度来审视。(2 )完整性(completeness)。由于采用进步的资讯科技,因此建议不再使用统计抽样方式来执行测试,而应朝向“全查”但“设定优先权”的方向发展,以避免因抽样误差而导致查核漏失的风险。(3)持续性(continuous)。应尽量缩短稽核周期,从过去的年、季进展到每月、每周甚至是每日进行,当然,针对不同的控制或风险指标,可以设定不同的持续周期。
四、持续性稽核的实务建议、应用领域与成本效益
在实际导入CA的过程中,仍然有许多实务的挑战必须克服,包括组织面、作业面、技术面与成本面的考量,因此,French(2011)的报告中,曾针对CA的实施,提供了几点非常实务的建议;该报告也列举出CA 能发挥作用的各项领域;此外,C A 是以科技为基础,当然需要投资,因此 CAE 可能会面临应如何说服执行阶层、应如何进行成本效益评析等问题。
(一)给 CAE 的几项实务建议
1.CA 绝对是跨不同功能的专案,因此专案经理必须具备良好的跨部门沟通能力,而且必须能得到执行阶层的大力支持。
2.最好能先找到一个“麻雀虽小、五脏俱全”的应用,在这个相对较小、较易聚焦的案例里,以“探路”(pathfinder)的模式,先将组织内由上而下的相关资源(包括最高的执行阶层到各部门、各流程、各个KRI/KPI、各系统、各个资料表等)有效地整合一次,除了可以借此演练以外,小案例的成功将更能获得执行阶层的支持,并为未来大幅动员的计划做出预告。
3.虽然 CA 必须导入进步的资讯科技,但千万不可被认定为只是一个“技术性专案”。
4.以各个KRI的风险程度和适合性来决定自动化的优先顺序。
5.采用反复式(iterative)方法进行测试的法则、流程与范围精良化(refinement):部署→使用→学习→复核→改良→延伸。
6.在导入过程中,时时都应复核、甚至再造现存程序和方法,以找出最佳的测试计划。
7.有机会就尽量和营业部门间建立良好沟通,并寻求可能的联盟关系。
8.除了确保风险降低以外,也要同时重视绩效改善的机会,并提供给营业部门。
9.谨记四个管理维度:组织、流程、人员与科技。
(二)CA 的最适应用领域
如前所述,CA 和 CM/CCM 最主要的应用,就是希望能找出传统稽核或控制方法所无法发现的异常性风险问题,主要是:
1.供应商重复付款;2.无对应采购单的付款记录;3.未请款的销货收入;4 .供应商账户资料的异常更动;5.某些特定订单价格或付款条件的异常改变;6.客户或供应商主档的资料异常变动;7.某些客户订单的金额总是恰好高过其信用额度或是根本超过其额度;8.违反职能分工的交易资料,如采购单由同一人制作并核发、验收单也是同一人;9.无对应客户订单的出货;10.超量出货(over delivery);11.不寻常的日记账分录(unusualjournals or postings),如借记费用、贷记应收账款此类异常分录;12.分割采购(split purchase);13.请购金额恰低于某些采购政策之限制条件。
(三)CA 的成本效益分析在规划成本效益分析报告时,以下是几点值得参考的有形/无形效益清单:
1. CA 可提供更有效率和效能的营运风险管理;2.CA 可对企业内部控制提供更全面性的检视和验证;3.CA 可支援管理阶层更有效地营运改善建议:(1)长期来说,CA可达到总稽核成本的节省,包括:内部稽核人力的节省;(2)外部查核人力与查核公费的节省;(3)财务部门的作业成本节省(因为CA可替代某些部门查核作业);(4)资讯部门人力的节省;(5)外部成本,包括委外执行的特定查核专案,如员工舞弊、重复付款、应收账款管理等成本。
当然,要达到上述效益,必须确保CA专案的成功,在整个专案进行过程中,CAE 必须维持领导地位和专业能力,特别要注意以下几项成功要诀:
1.CAE 必须非常清楚 CA 的任务和目标,以便明确定义何谓“成功的专案”。
2.CAE 必须充分了解新的稽核流程与技术能达成哪些任务和目标。
3.CAE 必须明确地掌握应投入哪些工作和资源,才能达成任务和目标。
4.整体来说,CAE 必须具备足够的专业能力来领导整个专案的规划、执行,并能有效地将CA相关技能扩散至整个组织。
五、结论
当企业的经营活动愈趋复杂而标准化,熟悉这些流程的员工却可能发现能有效“规避”控制的方法,并将其方法隐匿于这些复杂、自动化、标准化流程中。过度依赖使用检查表来进行的传统定期稽核,可能已无法协助企业因应这样的经营环境,本文所提出的新一代CA 或 CM/CMM 方法,除了导入新科技以外,更是一个协助企业进行变革的计划,预期将可引领内部稽核专业人员至一个崭新的稽核思维:内部稽核将不再只是完全独立于管理阶层的单一查核职能,而是在积极、持续性管理营运风险的同时,更能与管理阶层协同合作,对于企业营运绩效提出专业咨询的企业伙伴.