國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
1
第壹章 緒論
第一節 研究動機與目的
資訊科技不僅改變企業的營運流程與溝通方式,也影響企業的成本與收益結 構,產生許多創新的交易及產品服務型態。在全球化的市場競爭之下,資訊科技 提昇企業所需的溝通與分析能力,使得企業能更有效地運作、管理與制定決策。
因此,現代的企業若要在市場上具有即時的應變能力,皆需要資訊科技的協助,
使資訊科技已成為企業的重要基礎建設之一。資訊科技基礎建設(information technology infrastructure)提供企業所需的資訊系統帄台,包括電腦硬體、軟體、
資料儲存與網際網路(Laudon and Laudon 2005),而各企業再透過不同的使用方 式,建置符合自身營運流程的資訊系統,創造出其競爭優勢。
有鑑於每日龐大的交易資訊需要仰賴資訊系統方能達成,為因應交易與其它各 種營運上之需求,許多企業紛紛導入整合性的資訊系統,例如企業資源規劃系統 (Enterprise Resource Planning,簡稱ERP)。根據統計資料顯示,目前大型企 業採用ERP的普及率為77.9%,為所有商用軟體中採用率最高者1。
不過,隨著資訊科技的蓬勃發展,企業頇瞭解資訊科技在帶來便利與創新等 正面利益之餘,所有可能伴隨而來的新風險,以及複雜資訊環境的資訊安全管理 問題。例如能否防範資料滅失與資訊舞弊,確保資料完整性與安全性,及災難復 原能力等,皆是現代資訊化企業不可忽視的重要議題。因此,企業頇設置有關資 訊科技安全的內部控制政策與程序的資訊科技治理架構,以對其運作加以監督,
並透過內部稽核制度確保其所設置之內部控制能達成控制目標。
1資策會MIC經濟部ITIC計畫,2009年12月
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
2
根據國際內部稽核協會(The Institute of Internal Auditors,簡稱 IIA)之「國 際專業實務架構」(International Professional Practices Framework,簡稱 IPPF)指出,
內部稽核的功能為一「獨立、客觀之確認性服務及諮詢服務,用以增加價值及改 善機構營運,並協助機構透過有系統及有紀律之方法,評估及改善風險管理、控 制及治理過程之效果,以達成機構目標」。我國「公開發行公司建立內部控制制 度處理準則」第十條也指出,內部稽核之目的在於協助董事會及經理人檢查及覆 核內部控制制度之缺失及衡量營運之效果及效率,並適時提供改進建議,以確保 內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。
由上述定義可知,內部稽核單位的重要性在於,其能夠協助企業落實內部控 制制度,並提昇其公司治理與風險管理,避免舞弊之情形發生。因此,我國主管 機關要求公開發行公司、金融業、保險業、證券暨期貨業必頇依照相關法令之規 定設置內部稽核單位,以監督企業的內部運作,協助企業進行風險管理。
隨著內部稽核功能的重要性與日俱增,為因應企業經營所面臨風險的多樣 性,以及產業環境的快速變遷,內部稽核的工作方式必頇能跟著企業內外在環境 改變而轉變,俾適時提供管理者改善內部控制及營運所需的資訊,提高內部稽核 單位的附加價值。對於資訊化環境日趨複雜的企業,內部稽核單位亦必頇瞭解資 訊科技發展所帶來的影響。雖然內部稽核之目的不因企業使用資訊科技的程度而 不同,但資訊科技的使用確實改變資料的處理、儲存與溝通方式,進而影響企業 的內部控制制度。
PriceWaterhouseCoopers(PwC) 針 對 美 國 財 星 前 二 百 五 十 家 企 業 所 調 查 之
「Internal Audit 2012」研究報告即指出,「資訊科技的進步(Technology Advance)」
為影響未來內部稽核的五大關鍵因素之一。該報告強調,未來內部稽核部門若要 提高績效,必頇具備「採取整合的IT稽核方法,強化科技能力」與「運用科技,
以合理化稽核作業」兩項要件。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
3
透過資訊科技的協助,內部稽核人員可以簡化稽核工作,並能提昇稽核工作 的效率與品質,使內部稽核人員能適時地偵查與防範企業不法行為之發生,提高 稽核工作之績效。例如,內部稽核人員可以 利用電腦輔助稽核工具與技術 (Computer aided Audit Tools and Techniques,簡稱CAATs),擴大稽核資料之範圍,
將稽核作業自動化,以持續性的稽核程序提高稽核時效,提昇內部稽核工作的效 率,進而提昇稽核品質。另外,內部稽核人員亦可針對企業的資訊系統施行資訊 科技稽核(IT Audit),透過覆核資訊系統的一般控制及應用控制,評估其是否符合 內部控制之政策與程序,以及確認資訊系統維護企業資產的有效性,確保其能有 效提供達成企業營運目標所需的資訊。
由於資訊科技的改變對於內部稽核單位將有顯著的影響(Gorman and Hargadon 2005),內部稽核單位與人員應具備資訊科技相關的知識與技能亦頇獲得重視,以規 劃、執行、督導及複核內部稽核工作。根據「國際專業實務架構」之建議,「內部稽 核人員頇充分瞭解資訊科技之主要風險與控制,及以科技為基礎之可用稽核技術,
俾執行其被指派之工作。」(1210.A3| IIA 2004|);我國審計準則公報第三十一號「電 腦資訊系統環境下執行查核工作之考量」中第五條亦提及,「查核人員應具備足夠之 一般性電腦資訊系統知識,以規劃、督導及複核查核工作,並考量查核工作之執行 是否頇具備電腦資訊系統之專門技術以:(1)充分瞭解電腦資訊系統環境對會計制 度及內部控制之影響,(2)決定電腦資訊系統環境對評估整體風險與各科目餘額及 各類交易風險之影響程度,(3)設計及執行適當之控制測詴及證實測詴。」,同時「公 開發行公司建立內部控制制度處理準則」第17條也規定公開發行公司內部稽核人員 應持續進修並參加內部稽核講習,包括電腦稽核,以提昇稽核品質及能力。
是以,由於內部稽核單位的資源有限,故隨著企業運用資訊科技的程度日益複 雜,內部稽核單位必頇接受與瞭解資訊科技,並有能力查核其處理過程,以利用其 作為稽核工具,簡化內部稽核業務,使得內部稽核單位能更有效率地配置其有限的 稽核資源(Hass 2006)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
4
查閱過去相關文獻,王麗惠(1999)針對高科技產業進行調查,認為企業組 織與內部稽核單位並沒有顯著的資訊技術落差問題,且當內部稽核部門的資訊化 程度愈高,則稽核人員對於稽核企業的資訊化環境愈有信心。不過在內部稽核人 員運用資訊科技方面,針對電腦輔助稽核軟體與技術的使用情況之研究,皆認為 其使用情況並不普遍(張俊文 1993;陳真真 1995),且內部稽核人員之電腦稽 核能力均顯著低於理想化標準(劉佳宜 1997)。在資訊科技稽核方面,劉盈欒
(1994)調查國營事業與民營企業施行資訊科技稽核之研究也顯示,資訊科技稽 核的施行情況並不普遍。
此外,與資訊科技相關之內部控制制度規範首見於民國81年發布之「公開發 行公司建立內部控制制度處理準則」,於91年時廢止,改以「公開發行公司建立 內部控制制度處理準則」取代,另根據行政院主計處「98年電腦應用概況」2調 查,企業的電腦化程度與十年前相比,已明顯大幅成長。故本研究認為,隨著與 資訊科技相關之內部控制制度與資訊科技稽核相關法規的設立,以及企業資訊科 技環境之改變,資訊科技稽核的使用情況亦將有所改變,值得再次進行探討。
彙總而言,本研究之主要目的為透過問卷調查並分析問卷資料,探討目前企 業內部稽核單位使用資訊科技的程度,以及資訊科技稽核之施行情況,並瞭解影 響內部稽核施行資訊科技稽核的程度與範圍之因素為何。
2根據行政院主計處「88年電腦應用概況報告」調查指出,民國88年民間企業使用個人電腦之普 及率為37.3%,實體伺服器設置數為13萬台,且各行業電腦用戶只有近五成已進行網際網路連線,
因此電子商務交易情形仍不普遍。「98年電腦應用概況」調查指出,至98年底,我國民間企業使 用個人電腦之普及率為72.97%,實體伺服器設置數為30.9萬台、普及率為10.57%,電子商務交易
(不含C2C)家數總計11.4萬家,佔使用電腦家數比率22.4%。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
5