ISACA Journal
Volume 3, 2,014 

Translated Articles 

以稽核為焦點的探勘方法—整合流程探勘與內部控制的新視野 Audit-focused Mining—New Views on Integrating Process Mining and Internal Control 

作者:Martin Schultz, CISA, CIA, Alexander Ruehle, CISA, CIA and Nick Gehrke, Ph.D., CISA 

多數的傳統作業稽核方法未能有效發揮稽核人員的能力與企業資源規劃系 (ERP) 的潛在價值。反之,改將可取得的資料應用於現場作業稽核專案,如:將實際的作業流程完整呈現於可攜式裝置;或是將高風險交易資料進行分析,把與受查核者的財務報導直接關聯的重要內控措施明確標示出來。

為了在ERP 環境系統下建立更有系統化的作業稽核方式,有必要先瞭解現行作業稽核的方法。仔細檢視現行稽核實務可發現兩大不足的地方:

  1. 針對複雜的作業稽核任務,通常先進行初步人工查核程序。這些現行作業的人工調查多半以訪談、徵詢或對作為控制證據的文件進行抽樣檢視。很可惜的是幾乎所有與稽核相關的資料都可在組織的資訊環境中取得。對稽核用途而言,資訊科技工具可快速一個步驟便取得所需資料。例如: SAS 99 號審計公報1 即建議運用資訊科技進行資料分析,可用於證實測試,找尋出可疑的交易活動。然而,目前實務上,卻很少利用資訊科技針對複 雜的作業稽核進行事前的整體分析。
  2. 雖然企業作業流程與資訊科技緊密相關,審計人員卻很少採用整合式審計方法2。作業審計與電腦稽核分別由不同部分的審計人員執行。查核報告雖然有整併在一起但是並未在編製報告前的查核工作即進行整合。即使作業與資訊的整合性審計已被證實較有有效率(節省時間)且更具效果(提供更具整體性的稽核計劃,而不是各別揭露風險)3

是什麼因素限制稽核人員未能有效應用資訊科技呢?以科技為基礎,由資料驅動的整合查核程序將有什麼不同且如何進行呢?

以資料驅動的方法瞭解流程

由圖一作業稽核的流程中,稽核人員必須先回答這四個問題:

  1. 確認範圍;那些流程必須進行查核?
  2. 走穿測試:那些作業項目為流程中的查核重點?
  3. 控制測試:那些控制是否仍有效運作?

步驟2 的走穿測試為第一個可能進行自動化的步驟。流程探勘 (process mining) 提供了一系列的方法可由已發現的作業記錄文件(稱為:事件日誌)中4,擷取出知識。流程探勘就相似於稽核人員在一開始查核時所進行的現況檢視一般。相對於之前以口頭進行的現況徵詢,流程探勘的優點為:可製作完整清明確的流程現況圖而不是以抽樣方式摘錄表達。另外,由於為自動化方案,花費時間較少,可避免人為錯誤而且採用獨立於受查核人員的資料5, 6

但是要在 ERP 環境中使用一般的流程探勘技術仍有些挑戰。常見的ERP 系統 (如:SAP, Oracle, 微軟 )並非採流程導向設計7。 與特定活動相關的作業資料散落在多個資料表當中,而且並沒有提供作業鏈結(如案例識別碼)。因此,使用ERP 資料進行流程探勘需要進行大量的前置處理作業。在這樣的情況下,有學者提出一套財務流程探勘 方法(FPM: financial process mining)。其作法是利用財會文件之間的鏈結關係,用來定義單一的作業案例8。 這些鏈結根基於基本的會計原則,因此各式的ERP 系統皆可提供。如此,所有的文件將都可歸屬到特定自動識別的事件。由此,一個交易事件(如:由採購到入庫),便包含了多種單據,如:採購單、收貨單及廠商的請款發票等。這些文件都可以輕易地與採購付款程序中的各個活動相互對應。

基於稽核期間的完整流程案例資料,將可應用一般的流程探勘技術,建立一個完整的流程模型。這樣的流程模型將有助於對受查對象實際所發生的作業得到綜合性的瞭解。透過活動發生的頻率分析,可以很方便地辨別那些是標準作業流程,那部分為異常活動。此外,更可下探(drill down) 至個別的作業案例,針對可疑交易活動,進行細部分析。圖2 中提供了一個流程模型範例, 可對應到採購付款的作業內容。其中的流程模型是使用流程探勘軟體Disco所自動繪製的9

以財會文件為主的企業流程探勘對稽核人員提供些好處。財會觀點的資訊可同時查看整體流程模型或是個別的作業案例。如此便可以單一活動對其他活動的影響進行分析。而且,每個活動均可對應彙總至特定的會計科目。在圖2右邊的圖例當中,便以稽核及會計人員所熟悉的T字帳格式來表達10。 這樣的與財會影響相關的明細資料將提供一個不同的重大性範圍檢視方式。目前,稽核人員多數採用經驗法則來判定特定科目的相關作業是否應當列入查核。例如:因為負債科目通常被視為重要科目,因此採購支出流程為常見查核範圍;但是,對稽核人員來說,並不容易明確知道採購支出流程中包含了那些作業項目,或是那些作業對科目餘額具有重大性影響。透過財務流程探勘方法,流程模型可以只顯示超出特定科目某一金額上限的相關作業案例資料。至今,一般稽核人員仍然不易直接將財務報表與作業流程資料得到如此緊密的連結資訊11

內控評估自動化

由上可知,財務流程探勘方法可建立詳細且精準的作業分析基礎,包含了開始到結束的所有作業文件,而且可以直接與財務報表連結。基於 這些細部資訊,將可針對整體流程或個別案例快速進行內部控制檢視。由流程組成中可以找出可疑、罕見或不一致的交易活動。與已規定的標準作業流程或法令規範不符的作業,以及未執行的控制作業活動(如:採購單與付款單的核淮),或是職能分工衝突等,都能夠輕易地識別出來。例如:在圖2左邊,可明顯看出有42張入庫收貨單並沒有對應的採購單,如此並不符合完整的採購程序。這樣的分析可以用人工查看或是以遵循查核或規則檢核方法自動地識別12, 13。 總而言之,稽核人員可以對所稽核的流程得到真實且清楚的概觀。

截至今日,目前的ERP或會計資訊系統都提供了大量與稽核相關的自訂設定,一般被稱為「應用控制」(application control: AC) 14。 常見的應用控制如:發票重覆性檢查、批次付款的總計餘額檢查或是限制對敏感性系統功能的存取等15, 16。 應用控制稽核可直接檢查相關系統設定,但是這樣的查核方法,要對特定的ERP系統有很深入的瞭解,而且一項應用控制可能同時與多個系統設定有關。所以通常由電腦稽核人員來執行,而非一般稽核人員。由於這些設定以電子方式儲存在系統當中,也可以採自動化程序分析。在文獻中,有些軟體可與ERP系統獨立運作,而且能夠依稽核觀點,進行應用控制自動化查核17, 18。 因此,這些方案可提供目前相關應用控制設定報表;基於預設值進行風險評估,以及針對差異,列出建議的改善事項。如此,這些方案對稽核人員而言,可將複雜的技術細節隱藏起來。在圖3中,列出了針對SAP ERP的三項應用控制所自動編製的報表19, 20 。除了現有設定外,ERP系統也記錄了相關設定的變動日期、原有值與新設選項。這樣的變動記錄可以還原受查期間特定時點的應用控制情況。

整合資訊與作業稽核結果

如果將前面所介紹的流程模型與內部控制分析結合應用,可將作業案例的分析與作業相關的內部控制,緊密無縫地整合起來。這樣的整合流程模型包含了作業稽核的重要項目。整合自動化的作法是基於應用控制與ERP系統功能模組特定作業兩者之間的關係。例如:發票重覆性檢查會在發票處理活動之前或之後進行檢查。圖4中將圖2的流程模型增加了二項應用控制作業(發票重覆性檢查與核淮付款)。在考量相關作業活動與系統模組、控制的特性(預防或偵測)以及應用控制狀態(啟用或停用)之後,所需的應用控制將可增設為特定的作業活動。如此,這個增強的流程模型可顯示在整個稽核期間當中,應用控制是否被適當地啟用。例如,在圖4當中,有部分交易活動的發票並未進行重覆性檢查(由功能模組 MR01所開立的業務發票);透過下探功能可顯示相關的作業活動進行更細部的審查。相較之下,其他由FB60所建立的發票則都已經透過應用控制進行預防的重覆性檢查。此外,所有的發票都必須經過付款作業中的審核與核淮。一般而言,以上述的作法,不論是應用控制或是人工控制方法都可以加註在這個流程案例模型當中。由此可見,使用該增強流程模型,新增的作業項目將可提供稽核人員更有效地依據相關的風險或控制類型進行分析。稽核人員可針對控制較為不足的交易活動,查看是否存在蓄意或非蓄意錯誤的風險。同樣的,這些內部控制的分析可以採用人工或是應用遵循及規則查核功能進行自動化檢核。未經減緩處理的風險或是未被重視的控制目標、或是缺少的控制項目都能夠在彈指間輕易取得資訊。

針對特定員工進行證實稽核

目前所介紹的自動化分析包含了多個資料層級(作業活動、作業案例、流程模型、會計科目)有助於聚焦於最相關的稽核議題。整合了不同觀點也有助於瞭解全貌。可用於:

  • 識別流程模型中罕見的作業依序方式。
  • 分析是否遵循標準作業與遵循要求。
  • 偵測控制不足的作業項目或作業案例。
  • 指出實際存在的職能分工衝突作業案例。
  • 針對特定重要科目或部門進行過濾分析

基於上述的個別指標,可針對每個作業案例計算其整體風險係數,並依據作業項目或特定會計科目、甚至任意的科目清單,彙總計算其風險值。利用前後下探或上捲的資料檢視,有助於細部資料審視或是在較大的範圍內找尋特定的發現。 與傳統依個別單據的資料分析方式相比,這樣的整合審視將可大量減少誤判的機會。

應用實例

至今,上述以資訊科技為基礎的作業稽核方式,已經在德國漢堡大學建置一個軟體雛型,稱 之為App2Audit。 圖5提供了預期使用介面的概略輪廓。這個雛型的目的在於供作執行複雜稽核任務時,利用整合性的軟體支援,可使稽核人員由多種資料的整合分析中得益。

結論

本文所展示的整合技術支援與提供稽核人員機會,將時間投入於更具價值或高風險的事務 21, 22。 隨著受查者的作業流程日趨複雜,以及大量可取得的稽核相關資料,是否能夠以具效果與效率的方法執行稽核工作相形更加重要。的確,稽核人員並不能完全被自動化作業所取代,因為最終的稽核評估仍依賴於專業判斷。然而,在現 有的稽核實務當中,對稽核工作的準備階段,資訊科技的應用與支援仍有很大的改善空間。總而言之,這類的資訊科技整合應用將可能完全改變稽核工作的作業方式。

Endnotes

1 KPMG, 2013 IT Internal Audit Survey, 2013, www.kpmg.com/uk/en/issuesandinsights/articlespublications/pages/it-internal-audit-survey-2012-13.aspx
2 Henderson, D. L.; J. M. Davis; M. S. Lapke; The Effect of Internal Auditors’ Information Technology Knowledge on Integrated Internal Audits, International Business Research, 2013, p. 147-163
3 Ibid.
4 Van der Aalst, W.; A. Adriansyah; A. K. A. Medeiros; F. Arcieri; T. Baier; “Process Mining Manifesto,” In: Daniel, F.; K. Barkaoui; S. Dustdar (eds.), Business Process Management Workshops, Springer, Germany, 2012, p. 169-194
5 Jans, M.; M. Alles; M. Vasarhelyi; “The Case for Process Mining in Auditing: Sources of Value Added and Areas of Application,” International Journal of Accounting Information Systems, vol. 14, 2013, p. 1-20
6 Omoteso, K.; Audit Effectiveness: Meeting the IT Challenge, Gower, UK, 2013
7 Van der Aalst, W. M. P.; K. M. van Hee; J. M. van Werf; M. Verdonk; “Auditing 2.0: Using Process Mining to Support Tomorrow’s Auditor,” Computer, vol. 43, 2010, p. 90-93
8 Gehrke, N.; “Basic Principles of Financial Process Mining: A Journey Through Financial Data in Accounting Information Systems,” Americas Conference on Information Systems (AMCIS) 2010 Proceedings, 2010
9 Fluxicon, Disco, 2013, http://fluxicon.com/disco/
10 Mueller-Wickop, N.; M. Schultz; M. Nuettgens; “Modelling Concepts for Process Audits—Empirically Grounded Extension of BPMN,” Proceedings of the 21st European Conference on Information Systems (ECIS), Utrecht, The Netherlands, 2013
11 Carnaghan, C.; “Business Process Modeling Approaches in the Context of Process Level Audit Risk Assessment: An Analysis and Comparison,” International Journal of Accounting Information Systems, vol. 7, 2006, p. 170-204
12 Becker, J.; P. Delfmann; M. Eggert; S. Schwittay; “Generalizability and Applicability of Model-based Business Process Compliance-checking Approaches—A State-of-the-art Analysis and Research Roadmap,” BuR - Business Research, vol. 5, 2012, p. 221-247
13 Caron, F.; J. Vanthienen; “Applications of Business Process Analytics and Mining for Internal Control,” ISACA Journal, USA, vol. 4, 2012
14 Asprion, P.; G. Knolmayer; “Compliance und ERPSysteme: Eine bivalente Beziehung,” Controlling & Management, vol. 53, 2009, p. 40-47
15 Bellino, C.; J. Wells; S. Hunt; Global Technology Audit Guide (GTAG) 8: Auditing Application Controls, 2007
16 ISACA, COBIT and Application Controls: A Management Guide, 2009, www.isaca.org
17 Gehrke, N.; “The ERP Auditlab—A Prototypical Framework for Evaluating Enterprise Resource Planning System Assurance,” 43rd Hawaii International Conference on System Sciences (HICSS), 2010, p. 1-9
18 Alles, M.; G. Brennan; A. Kogan; M. A. Vasarhelyi; “Continuous Monitoring of Business Process Controls: A Pilot Implementation of a Continuous Auditing System at Siemens,” International Journal of Accounting Information Systems, vol. 7, 2006, p. 137-161
19 Schultz, M.; “Enriching Process Models for Business Process Compliance Checking in ERP Environments,” In: Brocke, J.; R. vom, Hekkala; S. Ram; M. Rossi (eds.); Design Science at the Intersection of Physical and Virtual Design, Springer, Germany, 2013, p. 120-135
20 Schultz, M.; “Towards an Empirically Grounded Conceptual Model for Business Process Compliance,” In: W. Ng; V. C. Storey; J. C. Trujillo (eds.); Conceptual Modeling, Springer, Germany, 2013, p. 138-145
21 Op cit, Omoteso
22 Bierstaker, J. L.; P. Burnaby; J. Thibodeau; “The Impact of Information Technology on the Audit Process: An Assessment of the State of the Art and Implications for the Future,” Managerial Auditing Journal, vol. 16, 2001, p. 159-164

作者:Martin Schultz, CISA, CIA, is a Ph.D. student in the department of information systems at the University of Hamburg (Germany). He works in the field of business process compliance. Previously, he was a manager at PricewaterhouseCoopers, where he was responsible for IT and process audits.

Alexander Ruehle, CISA, CIA, is managing partner of Smart Audit in Hamburg, Germany. He specializes in ERP-related internal audit services and related internal controls.

Nick Gehrke, Ph.D., CISA, is a tax consultant and professor for information systems in Elmshorn, Germany. He has strong theoretical and practical knowledge of SAP systems and processes.

譯者: 孫嘉明,電腦稽核協會編譯出版委員會/舞弊稽核與數位鑑識委員會委員、雲林科技大學會計系副教授


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 3, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2014,Volume 3中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印 ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.