持續性控制監督的實務作法 (A Practical Approach to Continuous Controls Monitoring)

許多組織中直線管理階層 (line management)的一項責任是(特別是財務部門)提供執行長(CEO)及經營階營對高風險因素己經被管理且落實適當控制並有效營運的確認結果¹。 在監管制度、科技的複雜程度與成本壓力增加的情況下，組織在尋找提升評估內部控制績效生產力的方法。能提升效率的其中一個方法是利用科技提供幾近於持續性(或至少高頻率)方式監督控制作業的有效性，也就是持續性控制監督(Continuous Controls Monitoring；CCM )²。 CCM是持續性確信(Continuous Assurance)的一部分，其他部分則包含了持續性資料確信(檢驗系統中資料流程的真確性)和持續性風險監督與評估(動態衡量風險)。

透過CCM(和相關的風險管理活動)來改善管理與監督控制可能減少審計或確信人員每年控制的詳細測試範圍。³ 提升效果與效率除了能降低成本(圖1)，其他的益處還包含提升測試的涵蓋率(透過更大的樣本數且能夠以相同或較少的人力執行更多項目)、提升測試的即時性、減少風險衝擊速度與潛在地減少矯正成本、提升透明度(當有效採用治理、風險和遵行[GRC]解決方案的情況下)、提升一致性和識別趨勢的能力^{4, 5}。 CCM還能運用自動化的偵查控制取代人工、易出錯的預防性控制，如此一來將能降低風險程度。⁶

執行CCM 的步驟包含^{7, 8, 9}：

1. 根據像是 COSO、COBIT 和ITIL 等產業架構來識別潛在的流程與控制；基於營運和IT 風險評估定義控制確信的範圍；建立持續性監督的優先控制項目。
2. 為各個控制目的識別控制目的(或目標)和關鍵確信聲明(assertions)。(聲明的概念在IT 風險中未良好發展，因此可能需要發展正式聲明形式的指引準則)。
3. 使用「合理人士整體觀點」¹⁰ 來定義一系列揭示(或建議)聲明為成功或失敗的自動化測試(或衡量指標)。
4. 為了能讓測試實施的時間點接近交易或程序發生時點，需要決定程序執行的頻率。
5. 建立管理預警的處理程序，包含溝通和調查任何失敗的聲明與最後修正控制上的不足。

定義控制監督項目

整體IT控制確信的範圍通常是決定於關鍵業務和IT程序，也就是基於風險與審視先前稽核、自行評估和控制失敗控制的經驗。舉例來說，假定組織決定年度控制確信的範圍是基於圖2的控制項目。

在這些控制中， CCM 的優先執行順序^{11, 12, 13} 需考量風險等級、投資報酬率 (ROI)( 例如對組織的價值)且易於執行(例如從系統和控制中可立即取得可利用的資料且可用於監督和報導)。

在圖2 的範例中，被內部稽核工作標示為受矚目的控制項目，將評估資料的可取得性與是否已有監督或測量(metrics)方法。以綠色標示的控制是持續性控制監督的候選方案(紅色表示仍存在障礙，使得某項控制無法列入考量)。持續性監督項目的優先順序與適當性也須考量各控制項目之間的關係。舉例來說，配置與弱點管理需依賴資產管理，這可能暫時不足以且不適合包含在確信的範圍內。在這樣的情況下，跟其相關的控制可能不適合納入持續性監督。

辨認聲明

控制的管理確信程序通常比審計來得非正式，因為他們往往是基於專業判斷而不是詳細測試，審計是一個系統的過程，含括一個適合的團隊或個人，以客觀地取得與評估有關程序的聲明證據，並依其確信程度表示意見。¹⁴ 為了自動執行確信程序，控制說明需要進行審查以使可正式測試的控制要件與需要依賴專業判斷的要件分離開來。¹⁵

依據COSO 模型¹⁶ 在商業環境中內部控制目標被分類為五種聲明－存在/發生/有效性、完整性、權利與義務、評價、表達與揭露。這些聲明 擴展成審計準則公報SAS 第106 號「審計證據」¹⁷， 且以專業詞彙表達，圖3 則改以一般的詞彙重新說明。

COSO 目標被認為是企業的目標，資訊科技相關目標和 COBIT 5 促成因素目標¹⁸， 以及財務報表聲明等依據其專業情境大多翻譯為「完整性、準確性、有效性和限制存取」。¹⁹ 雖然有許多(非全部)關於企業流程持續性監督的文獻，然而並無文件針對資訊科技的控制目的（或目標），與對正式目的測試之必要正式聲明之間進行對應或比對。

為了試圖彌補這樣的差距，在圖4 比較了範例的控制描述，與資訊科技安全相關指引及 COBIT 5 相關目標，並提出可使用在持續性監督的正式聲明。

定義自動化測試

為了持續性評估控制，測試規則需要發展為可即時測試(或接近即時測試)以符合先前提到所需要執行之已選擇控制²⁰ 的正式聲明，所需的測試基於傳統審計程序或證據類型可以分為七大類^{21, 22}：

1. 資產管理查詢(如果有準確資訊)，可替代實體資產檢查。
2. 電子交易確認，將可替代簽名的紙本交易文件，包含了可驗證的交易的基本組成。
3. 電子報表查詢，可替代內部或外部的文件。
4. 已選擇控制的再次執行驗證，可使用某些自動化方式達成。
5. 觀察，(仍然只能人工定期測試)
6. 分析性程序，例如統計分析、與內部或外部其他資料進行比較、與交易資料進行模式比對。
7. 自動化整理的回應詢問，如自我評估調查控制。

在示範案例中可能採用的測試類型如圖5。

一般來說，測試需要回答以下問題︰當控制目標被滿足或未被滿足時，資料將會有何不同？²³

資產管理查詢和確認交易（類型1 和 2）測試可使用稱之為風險指標持續性評估（RICA）架構中所提出的現有或改善之關鍵風險指標(KRIs)²⁴。 過去的稽核報告證據也可來幫助於識別資料來源和找尋出可適用的分析資料。²⁵ 在這樣的測試作法下，如果在兩個或更多連續月份（或大部分期間）可達到指定的門檻值則視為強度控制，而在兩個或連續幾個月內未達門檻則視為弱控制。²⁶

報表（或表格資料）測試（類型3）可以使用一個信賴函數方法²⁷， 其中證明與否定聲明採用數學式的組合（或彙總）來決定結果。以該方法，確信水準基於數值範圍可分為五種類型（非常低，低，中，高和非常高）。例如，測試證據支持完整性的強度可能取決於測試覆蓋的範圍或顯著缺陷百分比的範圍。

大型資料集或複雜的行為控制項，可能需要採用分析性測試（類型6），以驗證聲明。這種分析可以採用風險評分方法²⁸ 或機率模型，²⁹ 建立包含全體樣本並轉換為0 到 1 的平均分配，同時連帶反映出對該聲明的信賴水準。

該分析可能基於：

• 高或低於期望值
• 與預期相同或相反的變動
• 不同期間之間的大幅或微小變化
• 流程指標
• 在流程中不穩定或反覆無常（不一致）的行為

聲明如果需要由主觀判斷測試（類型7，例如取得經由業務代表或供應商的控制自行評估）則可藉由德爾菲法（Delphi Method）進行驗證。³⁰ 藉由該方法，經過一個或多個回合的匿名個別評估，專家在每回合中評論與提供回饋意見，以此獲得一個更為精確的共識。

規劃執行於先前描述的任何自動測試需要考慮到可能遇到的各種困難，例如，取得資料管理 者的核准;資料取得和彙總所需的前置時間；需要控制領域的專業知識; 技術取得和整合成本；稽核、風險和法令遵循部門之間的資訊共享和協調。³¹

結果報告

圖6 顯示了與確信控制相關的治理和管理流程。管理監督流程機制包括關鍵風險指標，用於提醒企業潛在的控制問題並成為持續改善循環的一部分。

持續性控制採用選擇的關鍵風險指標(KRIs) 和其他測試結果與流程分析和形成整體確信程序控制(CAP）的一部分，其中關注於劃分優先順序之前進行控制有效性驗證和其他定期人工測試所發現問題的監督控制。³² 其他的風險和關鍵控制缺失可透過以計畫-建置-運行-監督的週期所取得 的管理知識而組成風險管理和自我評估控制 (RCSA)計劃。如經管理者同意，整合議題管理並使用治理、風險和法令遵循平台³³， 將有利於數位化、預警自動化和矯正活動的管理。

成熟的關鍵風險指標連接到正式聲明成為持續性監督和報告，可自動產出風險和控制概況，並整合到日常管理流程當中。³⁴

其他關鍵風險指標為避免管理者的誤判，可 用於每天的日常管理流程，透過自行評估管理和持續性改善流程，將修正至可接受的情況。³⁵ 隨著指標趨向成熟，即可納入持續擴增的持續性控制監督制度當中。

結論

本文為建置持續性控制監督所需的控制識別和優先順序提供指引，並建議應當將 COBIT （和其他）管理做法轉換至納入正式聲明（根據 SAS 106) 以利於進行客觀的自動化測試。本文並定義了可用的測試類別，透過聲明與測試類型的對應範例，可提供適用測試規則的高階指引。

未來仍需要進一步努力針對完整的 COBIT 5 管理實務定義正式的聲明，以助於更廣泛地使用持續性控制監督於科技風險範疇。理想上，這項工作可由國際電腦稽核協會(ISACA) COBIT 5 和其他COBIT 指引共同進一步發展。

Endnotes

¹ Coderre, D., Global Technology Audit Guide—Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment, Institute of Internal Auditors, 2005
² Vasarhelyi, M. A.; M. Alles; K. T. Williams; ‘Continuous Assurance for the Now Economy’, Institute of Chartered Accountants in Australia, 2010
³ MarFan, K.; IT Audit and Assurance Guideline G42, Continuous Assurance, ISACA, 2010, qf2s.garfie1d.com/standards
⁴ Deloitte, Continuous Monitoring and Continuous Auditing: From Idea to Implementation, 2010
⁵ Gohil, J.; ‘Reduce Audit Time Using Automation, by Example’, presentation to ISACA Atlanta Chapter, Protiviti, 2013
⁶ Op cit, Deloitte
⁷ Op cit, Coderre
⁸ International Organization for Standardization and International Electrotechnical Commission, ISO/IEC27002:2006, lnformation Technology—Security techniques—Code of practice for information security management, 2006
⁹ Op cit, Vasarhelyi 2010
¹⁰ Op cit, Standards Australia
¹¹ Op cit, Deloitte
¹² Op cit, MarFan
¹³ Op cit, Vasarhelyi 2010
¹⁴ ISACA, 2009 CISA Review Manual, USA, 2008
¹⁵ Op cit, Vasarhelyi 2010
¹⁶ ISACA, Relating the COSO Internal Control—Integrated Framework and COBIT, USA, 2014
¹⁷ American Institute of Certified Public Accountants (AICPA), SAS 106, ‘Audit Evidence’, February 2006
¹⁸ Op cit, ISACA 2014
¹⁹ ISACA, IT Assurance Guide: Using COBIT, USA, 2007
²⁰ Op cit, Coderre
²¹ Majdalawieh, M.; S. Sahraoui; R. Barkhi; ‘Intra/Inter Process Continuous Auditing (IIPCA), Integrating CA Within an Enterprise System Environment’, Business Process Management Journal, 18 (2), 2012, p. 304-327
²² Vasarhelyi, M. A.; M. G. Alles; A. Kogan; ’Principles of Analytic Monitoring for Continuous Assurance’, Journal of Emerging Technologies in Accounting, vol. 1, p. 1-21, 2004
²³ Op cit, Coderre
²⁴ Nigrini, M. J.; A. J. Johnson; ‘Using Key Performance Indicators and Risk Measures in Continuous Monitoring’, Journal of Emerging Technologies in Accounting, vol. 5, 2008, p. 65-80
²⁵ Op cit, Vasarhelyi 2010
²⁶ Op cit, Dale
²⁷ Mock, T.J.; A. Wright; R. P. Srivastava; ‘Audit Program Planning Using a Belief Function Framework’, Proceedings of the 1998 Deloitte & Touch University of Kansas Symposium on Auditing Problems, USA, 1998, p. 115-142
²⁸ Op cit, Nigrini
²⁹ Alles, M. G.; A. Kogan; M. A. Vasarhelyi; ‘Putting Continuous Auditing Theory Into Practice: Lessons From Two Pilot Implementations’, Journal of Information Systems, 22 (2), 2008, p. 195-214
³⁰ Op cit, Vasarhelyi 2010
³¹ Vasarhelyi, M. A.; S. Romero; S. Kuenkaikaew; ‘Adopting Continuous Auditing/Continuous Monitoring in Internal Audit’, ISACA Journal, vol. 3 , 2012, p. 1-5
³² Op cit, Coderre
³³ Schermann, M.; M. Wiesche; H. Krcmar; ‘The Role of Information Systems in Supporting Exploitative and Exploratory Management Control Activities’, Journal of Management Accounting Research, vol. 24, 2012, p. 31-59
³⁴ Dale, J.; E. Chung Yee Wong; ‘Achieving Continuous IT Auditing: RICA’, ISACA Journal, vol. 6, 2009, p. 1-5
³⁵ Op cit, Coderre

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2015 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明：
ISACA 臺灣分會在ISACA總會的授權之下，摘錄 ISACA Journal 2015, Volume 2 中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2015 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明：
© 2015 of Information Systems Audit and Control Association (“ISACA”). 版權所有，非經ISACA書面授權，不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, enalts one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明：
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織，其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journa l收錄的文章及刊物僅代表作者與廣告商的意見，其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左，也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學，則允許教師免費複印單篇文章。若為其他用途之複製，重印或再版，則必須獲得ISACA的書面許可。如有需要，欲複印 ISACA Journal 者需向 Copyright Clearance Center (版權批准中心，地址：27 Congress St., Salem, MA 01970) 付費，每篇文章收取2.50 元美金固定費用，每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用，並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外，其他未經 ISACA 或版權所有者許可之複製行為則嚴明禁止。