持續性稽核

內部控制制度之有效運作，有賴於持續的監督。內部稽核部門應定期評估內 部控制制度設計及執行之有效性，並提出改善建議。不過，內部控制室一種持續 的過程，內部稽核應考慮採用適當的持續性稽核方法與技術，以彌補定期評估之 不足。本節首先闡述持續性稽核的定義及作用，其次說明持續性稽核與持續性確 認、持續性監督的關係，接著介紹持續性稽核的實施步驟，最後則針對政府內部 稽核採行持續性稽核提出建議。

一、 持續性稽核的定義及作用

根據 IIA 全球科技稽核指引（Global Technology Audit Guide，以下簡稱 GTAG）

第三號「持續性稽核：確認、監督及風險評估之意義」，持續性稽核是一種運用 較高頻率的方式，自動執行控制及風險評估的方法。為維持稽核獨立性及有效運 用稽核資源，內部稽核部門可採取將持續性稽核與持續性監督結合的策略。

持續性監督之工作包括由管理階層適當確保公司政策、程序、及營運作業皆 能有效運作的相關作業，其說明管理階層負責評估內部控制設計的妥適性與執行 有效性。此種監督涉及確定控制目標和確認的聲明，並建立自動化測試，以突顯 違反規定的營運活動及交易紀錄。許多由管理部門進行的持續性監督控制技術與 內部稽核人員進行持續性稽核的情形相類似。換言之，持續性監督是為管理階層 所設計，藉以確保各項政策、程式及業務流程的有效運作。管理階層實施的持續 性監督技術常類似於內部稽核人員執行持續性稽核技術。

持續性稽核的有效運作，有賴於對內部控制持續性測試的智慧及有效性。持 續性稽核可及時提示控制缺口及脆弱環節所存在的風險，以便相關人員立即追蹤 及進行補救。藉由稽核方式的改變，稽核人員更能瞭解經營環境及機構風險，以 支持各項政策及法規之遵循，協助機構提高經營績效。

持續性稽核有助於稽核人員評估管理層監督功能的充分性，稽核主管可藉以 向給審計委員會及高階管理層提出控制制度運作行有效性之確認。持續性稽核有 助於辨識及評估風險領域，提供稽核人員相關資訊，以便與管理層的溝通，協助 機構降低風險。

此外，持續性稽核可用於協助制定年度稽核計畫，將稽核重點及資源轉向高

56

風險領域。持續性稽核獨立於所稽核的業務及財務系統，有助於改善組織的管理 及控制架構，並可作為支援稽核人員進行獨立查核及評估的機制。

二、 持續性稽核與持續性確認、持續性監督的關係

圖 3-10 為持續性稽核、監督和確認之觀念性模型，茲說明三者的關係如下。

圖 3-10 持續性稽核、監督及確認之觀念性模型

資料來源：IIA, GTAG 3, P.10.

（一）持續性確認（Continuous Assurance）

「確認」被描述為第三方對事件狀態的意見，其通常涉及準備資訊的個人或 團體、使用這些資訊來進行決策的個人或團體，以及客觀存在的第三方。「確認」

通常被視為一項嚴格的稽核相關行為，其具有財務方面的特徵，亦可運用於法律 界提供的確認性服務。內部稽核藉由客觀評估所獲取的證據，以提供對於風險管 理策略及管理控制架構之施行，以及決策與報告資訊之確認性服務。若稽核人員 執行持續控制和風險評估（例如持續性稽核）及管理階層實施的持續性監督係屬 充分，則可提供持續性的確認。

確認

57

（二）持續性監督（Continuous Monitoring）

持續性監督成功的關鍵，在於相關過程必須由管理階層掌控及執行。實施及 維持有效的控制制度是管理階層職責的一部分，其必須採用適當的方法，持續確 認各項控制是否依照設計的方式運行，並經由即時辨識及改正控制問題，以改善 整個控制系統。

（三）持續性稽核（Continuous Auditing）

一般而言，管理階層監督及風險管理行為的充分性與內部稽核人員應執行的 內部控制詳細測試及風險評估程度之間，存在著反向的關係（如圖 3-11 所示）。

因此，持續性稽核運用的方法和工作量取決於管理層實施的持續性監督行為的程 度。

圖 3-11 管理階層對監督內部控制付出的努力水準與稽核工作量的反向關係

資料來源：IIA, GTAG 3, P.9.

三、 持續性稽核的實施

持續性稽核的實施應建置或取得相關的系統元件，且應採用階段性的方法找 出最關鍵的經營流程。雖然各個機構的業務性質及規模可能不同，在開發及支援 持續性稽核應用系統時，皆應審慎規劃及管理相關的作業。表 3-2 列示實施持續 性稽核的關鍵步驟，說明如下。

58

59

（一）界定持續性稽核目標（Continuous Auditing Objectives）

對內部稽核主管而言，應考慮持續性稽核的短期及長期目標。內部稽核部門 針對存取及瞭解關鍵業務系統及流程，所投入的心力，有助於減輕遵循的負荷及 提升經營績效。上述業務系統及交易資料的可靠性，不僅關係到內部控制架構及 財務報告的完整性，並影響業務運作的效率。因此，內部稽核主管應協助高階管 理階層確保業務系統及資料的可靠性、完整性及有效性。持續性稽核可藉由控制 有效性及風險水準之評估，協助機構達到此項目標。

（二）持續性控制評估及風險評估的關係

持續性「控制─風險」評估過程的關鍵要素之一，在於控制及風險資訊的雙 向自由流動。稽核人員執行持續性風險評估時，不僅提供管理階層風險管理所需 之資訊，亦應利用風險評估的結果進行持續性的控制評估。風險水準的增加，可 指出控制缺失或欠缺相關控制；在檢視風險水準時，則應考量已發現的控制缺失。

換言之，內部稽核部門宜交互使用持續性控制評估與風險評估之結果。

1. 持續性風險評估（Continuous Risk Assessment）

風險管理在於連結該機構的策略、流程、技術及知識，以提升機構評估及 管理可能影響其目標達成之不確定性的能力。因此，風險管理是一項重要 的管理職能。國際內部稽核執業準則 2110 指出，內部稽核人員應協助機 構辨認及評估機構的各項暴險（risk exposures），內部稽核部門作業的規 劃亦應以風險評估為基礎。

2. 瞭解潛在的風險

為辨認及評估風險水準，內部稽核人員應瞭解組織的任務、關鍵業務目標 及細部目標。此外，內部稽核人員應知道在機構正常經營過程中或遇到特 殊事項時，可能會發生的情況及其時點。內部稽核主管必須瞭解內部和外 部環境中發生的可能影響到機構實現其目標能力的情況及其可能的衝 擊。

3. 考量風險的類型及其影響

執行持續性風險評估時，應辨認風險的類別或暴險的型態。典型的風險種

60

類涵蓋外部環境、運營、法律、資訊、法規、人力資源、治理、財務、策 略和技術等層面。機構若未能適當管理或減輕其風險，將影響該機構之健 全營運。瞭解風險的類別有助於辨識及評估相關風險，並可協助稽核人員 考量潛在的事項可能如何影響機構經營目標的達成。

4. 辨認暴險的影響

風險可能導致機構損失金錢、資產遭竊、機密資料遺失或喪失競爭優勢。

即使稽核人員能夠辨認所有可能的暴險，但其通常缺乏足夠的資源，以處 理所有的風險。為使稽核作業有效聚焦，內部稽核人員不僅應辨認及評估 風險，亦應瞭解機構的風險胃納，以便將辨識的風險排序。

5. 評估風險水準

各項暴險獲得辨識之後，應評估其風險水準。兩種常用的風險衡量指標為

「可能性」及「嚴重性」。「可能性」衡量暴險導致損失的確定程度；「嚴 重性」則指將感受到的衝擊程度。風險評估應包含檢視用於減輕這些風險 的控制。

四、 研究建議

我國推動電子化政府已逾十年，順利完成政府網路及基礎建設及政府網路應 用推廣等中程計畫，無論在提昇效率及服務品質方面，已有相當具體的成果。未 來在建構政府整體內部控制制度時，除應強化整合目前分散式稽核體系之垂直或 橫向功能外，並應在電子化政府的資訊科技架構上，嵌入持續性稽核體制，有效 監督各種新興風險，以適時採取因應措施，並作為檢討及修正內部控制制度之重 要依據。

如前所述，持續性監督、持續性稽核與持續性確認之間，存在著密切的關係。

政府機關管理階層應負責進行持續性監督，以確保內部控制的有效運作。政府內 部稽核職能則應適度採用持續性稽核技術及方法，提升整體稽核成效，以協助政 府機關改善其治理、風險管理及內部控制之過程。持續性監督及持續性稽核之有 效結合，有助於確認內部控制制度設計及執行的有效性，為政府施政目標達成奠 定良好的基礎。

61