財務審計所需評估之基本資訊科技控制(上) 

 

資訊科技一般控制(ITGC: IT general control)的某些領域,幾乎對整個財務審計有著重大的影響,其控制失效的潛在風險,因為與財務報導及作業相關,而可能導致重大錯誤報導的風險 (RMM: risk of material misstatement)。因此,這些重要的IT控制項目可適用於各個進行財務審計的組織,並且應當依據評估出來的風險,考量其對於財務審計目標的影響。

在風險評估程序中,如何制訂出合適的資訊科技一般控制關鍵議題,並不容易。由於資訊科技所涵蓋的範圍廣泛,使得就算是內控制度良好的組織,仍然可能存在著一些潛在資訊科技風險,導致有太多的風險因素都可能被IT稽核人員判斷為潛在問題。尤其對於偏向IT專長背景和僅有IT查核經驗的稽核人員而言,更將難以判斷何者為與財務審計相關的查核項目。因此,新手的IT稽核人員將傾向將各個IT問題都視為控制上的缺失,但實際上並不是每個IT問題都具有導致財務報導出現重大錯誤的風險。

本系列文章主要分成(上)(下)兩個單元,介紹IT稽核人員如何訂出與財務審計相關的重要稽核範圍,以發展所需IT稽核程序1 。首先,本文先說明如何依據查核對象的整體IT環境複雜程度,以決定IT稽核的主要範圍。另外,在後續的文章中將說明財務審計相關最基本IT控制的五大類型。

IT複雜度的判定

在SAS第94號2 「審計人員於資訊科技對財務報導相關控制之考量」 (“The Effect of IT on the Auditor's Consideration of Internal Control in a Financial Statement Audit") 中提及資訊科技對財務報導的影響,不必然與組織的規模大小相關,而應當由資訊科技的複雜程度判斷其影響力。例如,有一家中小企業,利用電子資金轉帳(EFT)支付員工薪資與供應商貨款,以及利用即時網路連線的資訊系統管理企業的各式交易活動;那麼即使這家公司,員工數少於50人,企業規模不大,但卻應視為擁有中高度的 IT複雜度。相對而言,如果一家擁有數百個員工的公司,但卻是僅使用簡易的小型商業套裝軟體(COTS : commercial off-the-shelf)處理公司的業務,則該公司的資訊複雜度反而較低。

為了方便辨別與討論,資訊科技的複雜度通常被區分為低、中、高度,也有可能採用1級、2 級、3級表示。雖然資訊科技的複雜度仍存在部分主觀的認定而沒有絶對客觀的標準,但是區分企業的IT複雜度,將有助於選擇相關的查核議題與查核程序。

一般而言,資訊科技的複雜度與查核項目的數量及所需的查核程序證實效力成正比,例如:若公司的IT複雜度較低3 ,則可能僅採用較簡單的查核程序(如詢問和觀察),查核程序的步驟較為簡略;相反的,若公司擁有較高的IT複雜度,則其財務審計風險較高,故需要更有證實效力的查核程序,例如:重新計算或是驗證而非僅僅只是詢問和觀察。

為了要幫助IT稽核人員評估查核的範圍,故以下提出可供評估IT複雜程度的模型,此模型還可以用以幫助產業的領域專家(如中小企業)或IT稽核人員(如CISA:國際電腦稽核師)判斷是否需要在財務審計活動中增加特定的IT查核程序,或是由一般的財務審計人員自行執行相關的IT查核程序即可。

IT複雜度評估模型

第二級(level 2)的IT複雜度為中級,一般來說可能擁有超過一台與財務報導業務相關的伺服器,採用多種不同的網路作業系統,或是為非標準的網路作業系統環境;個人電腦工作站的台數較第一級更多(level 1),但仍不到30台;在應用系統上,可能有部分為客製化的系統;與財務報表有關的內部控制(ICFR)對資訊科技控制的需求為中

我們將企業的IT複雜度分為三個等級,各個等級的分類特徵及區分標準,如表一所示。但這些分類的評估標準僅限於與財務資訊系統相關的資訊技術及作業流程有關,而那些與財務報導沒有直接相關的資訊科技因素,其風險將予以忽略。

第一級(level 1)指的是擁有較低的IT複雜度,一般來說可能只有一台與財務報導有關的伺服器,數量有限的個人電腦工作站(不多於15台),沒有財務報導業務相關之遠端連線位置,採用標準的的套裝應用軟體與基本設備環境,未採用或僅少數之新興或先進資訊技術,而且沒有線上交易活動。與財務報表有關的內部控制(ICFR)並未過度依賴資訊科技或套裝軟體的系統控制機制,或是僅有極少數的人工作業與控制。許多的小中型企業都符合這個層級的描述,這個層級所需的IT稽核程序較為簡略,故一般的財務審計人員稍加訓練後即可自行執行查核。

第二級(level 2)的IT複雜度為中級,一般來說可能擁有超過一台與財務報導業務相關的伺服器,採用多種不同的網路作業系統,或是為非標準的網路作業系統環境;個人電腦工作站的台數較第一級更多(level 1),但仍不到30台;在應用系統上,可能有部分為客製化的系統;與財務報表有關的內部控制(ICFR)對資訊科技控制的需求為中 度依賴;且已採用一些新興或先進的資訊技術,和部分的線上交易活動。這個層級已經需要領域專家或電腦稽核師協助設計或執行必要的IT稽核程序。

第三級(level 3)為高度IT複雜度,這個層級通常擁有三台以上與財務報導相關的伺服器;個人電腦工作站一般都已超過30台;可能採用大型ERP 系統或是全部自行客製開發的應用系統;採用了大量的新興先進資訊技術;或是具有大量或頻繁的線上交易活動。此類的企業,通常需要一個或多個領域專家或IT稽核人員來協助執行適當的IT 稽核程序。

結論

此篇文章為系列文章中的第一部分,其討論的重點為決定企業的IT複雜度,用以判定IT稽核的範圍,進而決定所需的稽核程序。也就是說,資訊科技複雜程度越高的企業就越可能需要較多或較完整的IT稽核程序。而第二部份的文章將在下期發表,其內容主要說明如何針對ITGC的五個領域進行查核,且採用本文中的IT複雜度評估模型決定查核的性質、時間及範圍。

1 Singleton, Tommie; “What Every IT Auditor Should Know About Scoping an IT Audit,” ISACA Journal, vol. 4, 2009
2 The use of the term “IT sophistication” implies that, as the IT portfolio becomes more sophisticated, there is more likelihood of RMM related to IT. Thus, occasionally, for clarification of reading, the term will be stated as “IT sophistication and relevance.” That relevance is the back end of the IT sophistication process, where eventually the IT auditor in a financial statement audit must eliminate IT-related controls, problems and risks that do not represent RMM and cannot be directly linked to RMM. That is, only those IT issues that could lead to a material misstatement are relevant to the financial audit and are included in the IT audit procedures. But, that level of risk is invariably directly associated with the level of IT sophistication of the entity.
3 The risk-based standards state that inquiry alone is not sufficient to gain adequate assurance over some control in the further audit procedures. Thus, some other type (“nature”) of procedure would be needed to complement inquiry, and the lowest level “nature” procedure other than inquiry is observation. Thus, for a “low” level of risk where some procedure is being designed, something other than simple inquiry would need to be included. Examination and reperformance are considered “stronger” types (“nature”) of procedures in a financial audit.

作者: Tommie W. Singleton, Ph.D., CISA, CITP, CMA, CPA
is an associate professor of information systems (IS) at the University of Alabama at Birmingham (USA), a Marshall IS Scholar and a director of the Forensic Accounting Program. Prior to obtaining his doctorate in accountancy from the University of Mississippi (USA) in 1995, Singleton was president of a small, value-added dealer of accounting IS using microcomputers. Singleton is also a scholar-in-residence for IT audit and forensic accounting at Carr Riggs Ingram, a large regional public accounting firm in the southeastern US. In 1999, he Alabama Society of CPAs awarded Singleton the 1998-1999 Innovative User of Technology Award. Singleton is the ISACA academic advocate at the University of Alabama at Birmingham. His articles on fraud, IT/IS, IT auditing and IT governance have appeared in numerous publications, including the ISACA Journal.

譯者: 孫嘉明, CISA, ISO27001 LA,雲林科技大學會計系 助理教授