國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
100
4. 內部稽核單位設置資訊科技稽核人員
整體而言,超過 75.6%的填答者服務於 3 人以下之內部稽核單位,顯示目前我 國內部稽核單位規模仍屬於小規模。以產業別而言,金融業 10 人以上者為 3.5%,高 於非金融業的 2.1%,應與金融業其所受之法令規範較為嚴格及其較重視內部稽核業 務有關。
在設置資訊科技稽核人員方面,僅有 28.8%之填答者其所屬之內部稽核單位已 有設置專職的資訊科技稽核人員,顯示有設置專職資訊科技稽核人員仍為少數。
5. 資訊科技稽核預算配置情形及內部稽核單位對於資訊科技稽核的未來看法 大約五成的填答者所屬之內部稽核單位,分配予資訊科技稽核預算占整體內部 稽核預算為 10%,總計內部稽核預算在 10%以下之比例為 75.4%,顯示內部稽核單 位在稽核預算配置上仍以非資訊科技稽核為主。另資訊科技稽核預算配置情形會因 公司資訊科技風險程度不同而有所差異,即資訊科技風險程度較高之公司,其資訊 科技稽核預算高於資訊科技風險程度較低之公司。
此外,大約四成之樣本公司考慮在未來五年內增加資訊科技稽核的稽核資 源,顯示資訊科技稽核業務逐漸受到重視,可作為日後相關機構推廣資訊科技稽 核之參考。
第二節 研究限制與建議
1. 研究限制 (1) 研究範圍
本研究因考量時間上之限制,選定至內部稽核協會所舉辦之年會及座談會活動 現場發放研究問卷,故調查對象為參與中華民國內部稽核協會所舉辦之年會與座談 會活動之會員及非會員,並未涵蓋所有上市櫃公司。因此,本研究之結論可能無法 推論至未納入調查對象之公司及其內部稽核單位。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
101
(2) 問卷設計
基於填答意願的考量,本研究問卷的篇幅有限,未能更深入地調查內部稽核 單位在各項稽核作業使用資訊科技的程度,及使用資訊科技的所有方式。在內部 稽核人員資訊科技相關知識與技能方面,為提高作答意願,則以較簡化之方式提 問,例如以百分比表示交易循環電腦化程度,供填答者選答,因而可能影響研究 分析之深度。
(3) 問卷調查法之限制
採取問卷調查法最大的缺點在於,施測者無法確認填答者是否依據真實情況 作答,或是否對問卷題意有所誤解。本研究問卷主要採親自發放方式,在活動結 束後予以回收,無法對填答者詳細解釋本問卷之研究目的,因而可能影響填答者 對研究議題的瞭解,以及存在無法完全反映真實情況的可能性。本研究以針對問 調查結果進行信度分析,以降低上述限制的影響。
2. 研究建議
本研究對後續研究者之建議如下:
(1) 本研究僅對參與中華民國內部稽核協會大型活動之人員進行調查,故無法得 知未參與上述活動之稽核人員對於本研究議題之看法。建議後續研究者可將 其他地區內部稽核協會會員一併納入研究範圍,或輔以其他問卷調查方式
(例如郵寄問卷),以獲得更完整之研究結果。
(2) 本研究並未深入探討我國內部稽核單位對於資訊科技控制項目的實際稽核 程序,因此無法調查資訊科技稽核的稽核深度與廣度。建議後續研究者可採 實地訪談方式,以實際瞭解資訊科技控制項目的稽核程序與方式。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
102
另本研究對內部稽核人員之建議如下:
(1) 雖然本研究結果顯示內部稽核人員目前使用電腦輔助稽核工具或軟體之比 例已達七成,但多數仍以資料分析與擷取為主,用於風險評估與舞弊偵測者 上仍為少數,仍有改善的空間。另一方面,內部稽核人員參與電腦稽核協會 所舉辦之進修課程者亦屬少數,顯示其在資訊科技稽核知識與能方面的持續 進修可再增強。換言之,內部稽核人員仍應多方面地加強自身的資訊科技知 識與專業技能,以因應日趨複雜的資訊環境及交易型態,以提供更全面的稽 核服務。
(2) 就內部稽核主管而言,本研究建議其可向審計委員會或公司高階主管強調電 腦輔助稽核工具或軟體對於內部稽核作業的效益,說明其能如何應用電腦輔 助稽核工具或軟體提供公司有價值之服務,協助強化相關之監督與營運活 動,以獲得更多的稽核資源,進而強化內部稽核單位之功能。
‧
‧
Aston, B. 2005. What every new it auditor should know. EDPACS 32(8): 12-20.
Baker, N. 2009. Software trend spotting. The Internal Auditor 66(4):30-34
Bartolucci, D., and D. Anderson, and R. Chambers. 2007. Internal Audit 2012-A study examining the future of internal auditing and the potential decline of a controls-centric approach. PricewaterhouseCoopers LLP.
Barr, R. and S. Chang. 1993. Outsourcing internal audits: A boon or bane ?
Managerial Auditing Journal 8(1):14-17.
Bodnar, G. H., and W. S. Hopwood. 2004. Accounting Information Systems. 9th ed.
Upper Saddle River, NJ: Prentice Hall.
Brazel , J. F. 2005. A Measure of Perceived Auditor ERP Syste m Expertise.
Managerial Auditing Journal 20(6): 619-631.
Braun, R.L., and H.E. Davis. 2003. Computer-assisted Audit Tools and Techniques:
Analysis and Perspectives. Managerial Auditing Journal 18(9):727
Cheney P.H., and G.W. Dickson. 1982. Organizational characteristics and information systems: An exploratory investigation. Academy of Management Journal 25(1):170-184.
Del Vecchio, S. C., and B. D. Clinton, 2003, Cosourcing and other alternatives in acquiring internal audit services, Internal Auditing 18:33–39.
Ernst & Young. 2010. Unlocking the strategic value of Internal Audit.
Hall, J. 2000. Information systems auditing and assurance. 1st ed. Masson, OH:
South-Western College Publishing.
Hunton, J. E., and A. M. Wright, and S. Wright. 2004. Are Financial Auditors Overconfident in Their Ability to Assess Risks Association with Enterprise Resource Planning Systems? Journal of Information System 18(2):7-28.
IIA. 2005. GTAG 1: IT Controls. Institute of Internal Auditors.
IIA. 2006. GTAG 4: Management of IT Auditing. Institute of Internal Auditors.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
105
IIA. 2008. GTAG 11: Developing the IT Audit Plan. Institute of Internal Auditors.
IIA. 2010. Global Internal Audit Survey.
ISACA. 1999. IS Auditing Guideline: Use of Computer-Assisted Audit Techniques, Information Systems Audit and Control Association.
James, K. L. 2000. The effects of internal audit outsourcing on financial statement users’ confidence in their protection from fraudulent financial reporting. Knoxville:
The university of Tennessee.
Laudon, K. C. and J. P. Laudon. 2005. Management Information System: Managing the Digital Firm. 9th ed. Upper Saddle River, NJ:Prentice Hall.
Leavitt, H. J. and, T. L. Whisler 1958. Management in the 1980’s. Harvard Business
Review (November-December):41-48.
Moller, R. R. 2005. Brink’s modern internal auditing. 6th ed. Hoboken, N.J:John Wiley & Sons.
Nolan R.L. 1973. Managing the computer resource: A stage hypothesis.
Communications of the ACM 16 (7): 399- 405.
Oxner, T., and K.W. Hawkins, and R. Rivers. 1995. A Study Of Computer Usage By Internal Auditors In Canada And The United States. Journal Of International
Accounting Auditing & Taxation 4(1):27-37.
Pare G., and C. Sicotte. 2001. Information technology sophistication in health care:
An instrument validation study among Canadian hospitals. International Journal
of Medical Informatics 63:205-23.
Parker, X. L. 2001. An e-Risk Primer. Altamonte Springs, FL:The Institute of Inernal Auditors Research Foundation.
Protiviti. 2010. 2010 Internal Audit Capabilities and Needs Survey.
Raymond L., and G. Paré. 1992. Measurement of IT Sophistication in Manufacturing Businesses. Information Resources Management Journal 5(2):4-16.
Sayana, S. A. 2002. The IS Audit Process. ISACA Journal 1: 20-21.
Susan H. 2006. The Americas literature review on internal auditing. Managerial
Auditing Journal 21(8):835-844.
Weber, Ron. 1988. EDP Auditing—Conceptual Foundations and Practice. 2nd ed.
New York, NY: McGraw-Hill, Inc.
Weidenmier, M. L. and S. Ramamoorti. 2006. Research Opportunities in Information Technology and Internal Auditing. Journal Of Information System 20(1):205-219.
‧
SAP Business Information
Warehouse………... □ □ □ □ □ □______
‧
‧
‧
□貴公司內部稽核業務完全委由外部稽核機構執行(Total outsourcing)
□將資訊科技稽核以契約方式委外(Subcontracting)交由外部稽核機構執行
‧
(6) 其他方式:_________________________________________________________ □第四部份:公司資訊環境
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
111
□有系統存取權限管理軟體 □設有 VPN 或專線 □資訊系統設有異地備援架構 □設有大型主機
□設有不斷電系統(UPS) □公司交易多由系統自動產生 □使用大型資料庫並支援多個應用系統
□已使用決策支援系統(DSS)、商業智慧(BI)、資料倉儲(DW)等資訊系統
第五部分:公司及內部稽核單位基本資料
1. 您認為貴公司整體資訊科技控制(IT Control)*的風險程度為:
□非常低 □低 □普通 □高 □非常高
2. 貴公司所屬產業:□金融 □水泥 □食品 □塑膠 □紡織 □電機 □電器 □化學 □生技 □玻璃 □造紙 □鋼鐵 □橡膠 □汽車 □半導體 □電腦及週邊 □光電 □通訊網路 □電子零件 □資訊服務 □營造 □航運 □觀光 □貿易□油電 □電子通路 □其他:________
3. 貴公司為:□上市公司 □上櫃公司 □興櫃公司 □其他_________
4. 貴公司年度營業收入淨額(新台幣)為:□未達 15 億 □15-40 億 □41-100 億 □101 億以上 5. 貴公司員工總人數約為:__________人,內部稽核單位人數為: 人
6. 貴公司是否必頇遵循美國 SOX 規範:□否 □是
7. 會計師事務所進行貴公司財務報表審計工作時,是否針對資訊科技控制進行查核:□是 □否 8. 貴公司是否為跨國企業或多角化*經營:□兩者皆具 □僅為跨國企業 □僅多角化經營 □兩者皆否 9. 貴公司是否設置子公司或分公司:□否 □是
10. 貴公司內部稽核單位是否具有專職之資訊稽核人員:□是,共____位 □否
11. 您的主修科系為:□會計系 □會計資訊系 □資訊相關科系 □其它:___________
12. 請問您每年參與電腦稽核協會所舉辦的在職訓練課程時數帄均為:□未曾參加 □約______小時 13. 請問您過去是否曾擔任本公司或其他公司與資訊相關之職務?:□否 □是,曾任職___年 14. 請問您過去是否曾任職於會計師事務所?:
□否| 是,□一般審計部門,約__年 □電腦審計部門,約__年
15. 您的年齡為:□24 歲(含)以下 □25-30 歲 □31-40 歲 □41-50 歲 □51-60 歲 □60 歲以上 16. 請問您是否擁有下列相關專業證照:(可複選)
□CIA 國際內部稽核師 □CRISC 國際資訊風險控制師認證 □CCSA 國際內控自評師
□CISA 國際電腦稽核師 □CGEIT 國際企業資訊治理師 □CISM 國際資訊安全經理人認證
□CPA 會計師 □CFSA 國際金融稽核師 □CGAP 國際政府稽核師
□ISO27001 Lead Auditor
17. 請問您是否曾修習下列相關課程:(可複選)
□資料處理 □計算機概論 □資料庫 □系統分析與設計 □資訊安全 □審計學 □作業系統
□電腦審計 □會計資訊系統 □資訊管理(管理資訊系統) □稽核軟體應用 □電腦網路原理與應用 感謝您的耐心填答!