國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
48
本研究建立相關研究假說如下:
假說 3-1:公司資訊環境複雜度會影響內部稽核單位是否施行資訊科技稽核。
假說 3-2:公司規模會影響內部稽核單位是否施行資訊科技稽核。
假說 3-3:資訊科技風險程度會影響內部稽核單位是否施行資訊科技稽核。
4. 內部稽核單位是否施行資訊科技稽核與內部稽核單位特性
柯思豪(2009)指出,內部稽核負責的功能,對稽核單位的規模有正向顯著 的影響。稽核工作所涵蓋的範圍、執行的作業量及工作複雜度,皆會影響其對人 力的需求,導致稽核單位規模的差異。因此,本研究認為,若內部稽核單位的規 模較小,則其施行資訊科技稽核之能力或意願將可能較低,而可能改以其它方式 確認資訊科技相關控制的有效性,例如仰賴會計師財務簽證之結果。本研究所建 立相關假說如下:
假說 4:內部稽核單位規模會影響其是否施行資訊科技稽核。
第三節 研究變數
1. 公司資訊環境複雜程度
本研究對於企業資訊環境的複雜度主要係依循 Raymond and Paré(1992)所提 出之定義與架構,參酌 Moller(2005)對於大型資訊系統所觀察之特徵,設計衡量 項目,並參考 Pare and Sicotte(2001),從四個構面衡量受訪問企業資訊環境複雜 度,分別為:(1)技術複雜度、(2)功能複雜度、(3)組織複雜度,以及(4)
系統整合複雜度,列示於表 3-1。14
14 本研究主要係採用上述四個構面之概念,設計用以衡量各構面之題目,但未特別著重特定構 面,因此未針對各構面之衡量結果予以標準化。本研究若將各構面分數經標準化,則第四節實證 分析之迴歸模型 2 實證結果略有改變,導致所有自變數之係數皆未達顯著水準。
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
50
2. 內部稽核單位使用資訊科技的程度
本研究將內部稽核人員執行內部稽核作業時,使用電腦輔助稽核工具或軟體 的用途做為判斷內部稽核人員使用資訊科技程度的依據。首先參考 IIA 於 2009 年所作之稽核軟體調查15,將內部稽核人員使用電腦輔助稽核工具或軟體的用途,
依照內部稽核作業區分為下列主要類別:
資料分析(Data Analysis),
資料擷取(Data Extraction),
工作底稿自動化(Workpaper Automation),
風險評估(Risk Assessment),
舞弊偵測與調查(Fraud Detection/Investigation) 。
其次,在問卷中列示出上述各種用途可能會使用到的各式電腦輔助稽核工具 或軟體,供填答者選答。本研究問卷所定義之電腦輔助稽核工具或軟體係採取較 廣義之定義(Braun and Davis 2003),認為稽核工作中任何涉及使用電腦都可包含 在電腦輔助稽核之範圍(Chambers and Court 1991;引述自黃士銘 2009),並參 考 IIA 的定義,16將其分為下列各項:
嵌入式稽核模組,
資料擷取軟體,如 SAP BW 及 Direct Link,
資料分析與驗算軟體,如 ACL、IDEA、Excel,
工作底稿自動化軟體,如 Word17、Excel、Lotus Notes18、AutoAudit 等,
風險評估軟體,如 Team Risk,
舞弊偵測與調查軟體,以及
其他,如內部自建軟體、Access、專業稽核管理軟體 TeamMate 等。
15 IT Audit Benchmarking Study 2009, IIA Research Foundation’s Global Audit Information Network.
轉引自 Neil Baker, Software trend spotting, The Internal Auditor.
16 國 際 內 部 稽 核 師 (CIA) 電 腦 化 考 試 簡 章 - 考 試 綱 要 之 Computerized audit tools and techniques定義。
17 同 16。
18 同 16。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
51
上述特定電腦輔助稽核工具或軟體並不限於一種用途,填答者若在任一種用 途類別中勾選一款電腦輔助稽核工具或軟體於即可獲得 1 分,同一種用途中若使 用兩款電腦輔助稽核工具或軟體,可再獲得 1 分,餘此類推。若在該項用途類別 中,未使用任一款電腦輔助稽核工具或軟體,則給予 0 分。加總所有用途類別之 得分即為內部稽核單位使用資訊科技的程度。上述分數愈高,即代表該內部稽核 單位在執行內部稽核業務時,使用較多的資訊科技。
3. 內部稽核單位資訊科技專業知識與技能
本研究參酌國內文獻對於影響內部稽核人員資訊科技稽核能力的衡量方式
(劉佳宜 1997;賴永裕 1996),使用表 3-2 所列示之項目及評分方式,藉以衡 量內部稽核人員的資訊科技稽核專知識與技能。
(1) 內部稽核人員的教育背景
賴永裕(1996)以內部稽核人員曾修習過之課程數量作為衡量方式,其列舉
「會計資訊系統」、「管理資訊系統」、「電腦會計制度設計」、「系統分析與設計」、
「審計學」等課程。劉佳宜(1997)參考賴永裕之設計,並加入「電腦稽核」、「資 料庫管理系統」及「資訊安全」課程。
本研究參考賴永裕(1996)及劉佳宜(1997)之設計,列舉以下課程作為衡 量依據:「資料處理」、「計算機概論」、「資料庫」、「系統分析與設計」、「資訊安 全」、「審計學」、「作業系統」、「電腦審計」、「會計資訊系統」、「資訊管理(管理 資訊系統)」、「稽核軟體應用」及「電腦網路原理與應用」。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
52
(2) 內部稽核人員的專業資格
內部稽核人員若具備內部稽核師、會計師等專業資格,則有助於稽核專業能 力之提昇(賴永裕 1996;Sayers 1978)。本研究參考賴永裕與劉佳宜之設計,根 據內部稽核人員其本身所擁有之專業資格給分,所列舉之專業資格包括「CIA 國 際內部稽核師」、「CISA 國際電腦稽核師」、「CPA 會計師」、「CRISC 國際資訊風 險控制師認證」、「CGEIT 國際企業資訊治理師」、「CFSA 國際金融稽核師」、
「CCSA 國際內控自評師」、「CISM 國際資訊安全經理人認證」、「CGAP 國際政 府稽核師」、「ISO27001 Lead Auditor」等。
(3) 內部稽核人員之在職訓練
本研究參考賴永裕(1996)及劉佳宜(1997)之設計,採計內部稽核人員所 填答之在職訓練總時數,並以內部稽核人員參與電腦稽核協會所舉辦之訓練課 程、講座之實際時數為主。
(4) 內部稽核人員使用電腦輔助稽核工具或軟體之經驗
本研究參考劉佳宜(1997)之設計,以內部稽核人員是否曾任職於會計師事 務所或公司其他部門與資訊相關之職務,及其使用電腦輔助稽核工具或軟體之程 度,作為衡量其資訊能力之方式。
表 3-2 內部稽核人員資訊科技稽核專知識與技能衡量方式 衡 量 項 目 評 分 方 式
內部稽核人員的教育背景
若為資訊相關科系為 3 分,會計資訊系為 2 分,會 計系則為 1 分。
依據各課程對資訊科技稽核能力相關程度給與不 同分數,如曾修習過電腦審計為 4 分,若曾修習過
「會計資訊系統+審計學」則為 3 分,修習過「稽 核軟體應用」為 2 分,其餘資訊相關課程各 1 分。
專業資格
依據內部稽核人員本身所擁有之稽核相關證照給與 不同程度的分數。若擁有 CISM 或 CISA、CRISC,
可獲得 3 分,CGEIT、CIA、CCSA、CFSA 為 2 分,
CPA、CGAP 則為 1 分。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
53
表 3-2 內部稽核人員資訊科技稽核專知識與技能衡量方式(續)
衡 量 項 目 評 分 方 式
在職訓練 填答實際時數者以所填答之小時數計分,若未曾參
加則給與 0 分。
工作經驗
若曾任職於會計師事務所一般審計部門者,依所填 答之實際時數計分,若曾任職於電腦審計部門者,
則依所填答之實際時數加權 2 倍方式計分。
4. 資訊科技風險程度(IT Risk)
本研究中將資訊科技風險定義為-與企業使用資訊科技有關的企業風險 (business risk)。參照國際內部稽核協會 IIA 所發布之第 4 號資訊科技稽核指引 (GTAG), IT 風險涵蓋下列各式風險:
可用性(Availability)– 系統無法使用之風險
安全性(Security) – 未經授權存取系統之風險
完整性(Integrity)– 資料不完整或不正確之風險
保密性(Confidentiality)– 資料未受保護之風險
有效性(Effectiveness)– 系統無法提供正確或所需功能之風險
效率(Efficiency)–系統資源使用無效率之風險
本研究依據填答者對資訊科技風險程度之認知,以表 3-3 所列之程度做為衡 量公司資訊科技風險程度之方式。
表 3-3 資訊科技風險程度
程度 發生可能性 影響程度說明
非常高 風險發生可能性非常高 對企業的營收、資產、商譽、利害關係人 等具重大影響的潛在可能性極高
高 風險發生可能性高 對企業的營收、資產、商譽、利害關係人 等具重大影響的潛在可能性大
普通 風險發生可能性中等
對企業的營收、資產、商譽、利害關係人 等的潛在影響或許重大,但對企業整體而 言影響程度中等
低 風險發生可能性低 對於企業的潛在影響小或影響範圍有限 非常低 風險發生可能性非常低 對於企業的潛在影響極小或無影響
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
54
5. 內部稽核人員是否施行資訊科技稽核之可能影響因素
本研究參考吳琮璠(1991)之研究,將可能影響資訊科技稽核施行之因素歸 納為下列 8 項,如下所示:
(1) 與公司有關者
公司該年度的營運狀況
治理單位對資訊科技稽核的重視程度
公司資訊環境的複雜程度
公司資訊科技風險的高低 (2) 與內部稽核單位有關者
內部稽核單位的人力、預算、時間等是否充足
內部稽核單位是否具備足夠的資訊科技專業能力
內部稽核單位是否將直接採用會計師財務報表查核之相關工作結果
是否有其他專家(如資訊部門或資訊科技稽核專家)可提供協助 6. 內部稽核人員資訊科技使用程度之可能影響因素
本研究參考吳琮璠(1991)及張俊文(1993),將可能影響內部稽核人員使 用資訊科技程度之因素歸納為下列 8 項,分別為:
(1) 與公司有關者
公司是否提供預算購置電腦輔助稽核工具(軟體)
公司給與稽核人員的教育訓練是否充足
公司是否設置資訊科技稽核之專職人員
公司是否曾發生電腦舞弊情事
相關法規是否要求使用電腦輔助稽核工具(軟體)
(2) 與內部稽核人員有關者
稽核人員對電腦輔助稽核工具(軟體)熟悉度
稽核人員對於該項受查業務的重視程度
稽核主管對電腦輔助稽核工具(軟體)的支持度
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
55
(3) 與受稽核業務有關者
該項受查業務電腦化的程度
該項受查業務的目標與性質
該項受查業務稽核風險的高低 (4) 與電腦輔助稽核工具(軟體)有關者
該項受查業務稽核風險的高低 (4) 與電腦輔助稽核工具(軟體)有關者