持續性稽核（Continuou sAudit, CA）近年來在臺灣的內部稽核專業社群中逐漸增溫，其實在審計研究文獻里，這個源自于美國貝爾實驗室研究計劃的技術概念，已存在超過 25 年（Groomer andMurphy 1989; Vasarhelyi and Halper1991）；而最早的相關審計專業實務指引，也可追溯至1999年，由美國會計師公會（AICPA）和加拿大會計師公會（CICA）所共同出版的持續性稽核白皮書報告（A I C P Aand CICA 1999），該報告一度曾經引起審計專業界的廣泛重視和討論，但最終卻未能立即發展為實務，主要因素有：一是相關科技尚未完全普及。例如，能將異常事件即時傳達給處理人員的事件處理技術、資料轉置技術與分析技術等，甚至企業資源規劃系統的即時、整合流程處理，在當時的發展均十分有限。二是企業風險管理架構尚未成熟。
COSO ERM 架構直至 2004 年才被完整地提出，當時并無明確的風險辨認、評估與回應等概念。三是缺乏強烈的外在環境要求。直到2002年以后所發布的 SOX 法案，才開始真正強制要求企業管理當局內部控制的完整課責，包括定期的內部控制報告責任（第302、404節）以及即時報告責任（第409節）等。2005年，國際內部稽核協會提出全球技術稽核指引第三號：《持續性稽核：對確認、監控與風險評估之意義》（Global Technology Audit Guide\\(GTAG\\) 3: Continuous Auditing: Im-plications for Assurance Monitoring and Risk Assessment）時，以上三個因素均已發展完善，因此也引起了更廣泛的實務發展，包括國際內部稽核協會、國際電腦稽核協會、四大會計師事務所等專業團體或管顧公司，近年來均提出各自的導入方法論和實務建議書，而ERP供應商大廠SAP以及專業審計軟體供應商 A C L 、IDEA、Approva、Oversight等，更開發出能支援企業實施 CA 的工具軟體，目前國際知名成功案例包括：Siemens, HCA Inc., Unibanco, the NewYork Federal Reserve, IBM等企業或組織。
在各方專業服務提供者的迅速聚焦之后，持續性稽核的蓬勃發展自然是水到渠成，專案顧問也堅定地強調這樣的發展，絕對是一個參與者皆贏的局面：導入企業可以實質地改善營運作業效能和效率，而內部控制與公司治理形象的提升，更能帶給更多市場投資者的信心，又能滿足監理機關的遵循性報告要求，似乎不立即導入是一件不智之事。然而，在一陣風潮之中，多數有心導入卻尚在門外的企業，則仍然存在幾個問號，例如：我的企業真的需要導入 CA 嗎？持續性稽核和企業原有的管理或監控作業有何關連？導入系統控制就夠了嗎？企業原有的控制似乎仍在運作，CA 能多帶來些什么效益？ CA 能用在哪些地方？是否就只是多加入一些控制點？本文即針對以上問題，參考國外若干相關文獻與案例，希望能提供預備導入 CA 的臺灣企業幾個新的思維方向。

一、多變的企業經營環境需要CA

現代化企業經營已逐步朝向全球化、科技化、標準化的趨勢發展，愈來愈多的企業為了追求全球化市場，以及其他國家低廉的原料、人工、生產與物流成本，選擇把經營活動帶向全球化、資源集中化、流程自動化的方向發展，而許多第三方服務廠商基于專業化產生規模經濟，更吸引企業把經營活動大量外包給服務廠商，包括：掌控整體流程的企業資源規劃系統、運籌、物流、生產管理及客戶服務等。這些布局于全球各國成本低廉的標準化流程，雖然證明了它的效率，但也正因為自動化、不分時區、遠距離的特性，反倒讓管理者和內部稽核人員的管理、監督決策，經常面臨混沌不明（例如：看來好像都還順暢，但真的是這樣嗎？不放心 ）、不知從何下手（例如：難道要我監督系統嗎？我又不可能一天24 小時都坐在電腦前，怎么辦？）的困境。
如果以上論述還不足激發您的意志，或許再加上現代企業最害怕的“聲譽風險”：在社群媒體愈來愈普及的網絡時代，企業勢必要經營地“像自己所宣傳（”as-advertised）的一樣，否則只要一個風險環節出了問題，又無法妥善回應，都可能造成大災難。最佳案例就是最近幾家食品大廠接二連三地被報道出，在產品中加入了不當的工業用化學添加物，多數業者目前都解釋為流程控管不當所致，若果真如此，試問管理者和內稽人員在愈趨復雜、大量的企業流程中，如何協助企業辨認出這些風險項目、評估風險的可能損害，進而設定必要的即時回應（偵知異常、預防、降低、分擔或忽略）。
在如同大海般復雜且巨量的企業經營環境下，CA 或許是能夠協助管理者和內稽人員，將掩蓋于標準化流程下的經營風險，一一浮現出來的解決方案。相對于傳統內部稽核，CA 有哪些特色能夠因應多變的企業經營環境呢？
1．科技導向的查核。相對于傳統稽核較不著重使用電腦技術，CA則必須依賴科技來進行。如前所述，使用科技雖然仍需要一些投資成本，但因多數技術均已商用化多年，可用性和可靠性絕對無虞。例如：使用基于ETL（Extract-Transform-Load）技術的內嵌式資料擷取軟體（embeddeddataretrievalsoftware），可以即時地從資料來源端取得關鍵風險指標（key risk indicator, KRI）的正確資料，甚至追蹤、擷取來源端的資料更新，因此后續的風險評估也能隨時動態地進行。
2．持續進行（ongoing）的風險.評估。相對于傳統僅能于某些選定時點執行風險評估，若KRI資料隨時不斷地載入，CA 的各種分析技術也能設計為由資料更新驅動的應用程序或系統服務（daemon），讓風險評估成為在系統背景（background）持續進行的作業。CA 以資料為分析基礎發展出各種分析技術，除了能指出例外事件的異常門檻值（anomalymetricsorthresholds）條件設定之外，更能搭配使用統計決策模型、資料探勘（data mining）、文字探勘（textmining）等分析技術，針對KRI的現況進行量化／非量化的各種評估。
3．流暢的稽核報告（streamlinedreporting）。傳統內稽報告通常必須查核結果后，再傳送給內稽人員與管理者，因此隨之而來的頂多是事后的檢討，或是饋送至下個年度作為重訂風險評估指標之參考；即使臨時需要一份最新結果報告，恐怕也要經過煩冗的程序，無法立即取得；至于立即發生的一些風險異常情況，更難以立即通知到稽核人員。
若導入 CA，則可透過組合推播服務（push service）與需求拉動式（demand pull）技術，將預設重大的風險評估結果（特別是異常例外的情況），先以即時訊息的方式推送至稽核人員的終端設備，再讓稽核人員點選后進入伺服器取得完整的報告，利用這些現代化網絡與資料整合技術的支援，可將最新的風險情況、甚至是多人協同完成的稽核進度報告，立刻送到有能力、有權限、能即時回應的人員手上，不會有時間、作業或技術落差。
4．隨時調整的查核計劃。由于稽核分析與結果報告不再像傳統稽核方法那么“定時、定量”，而是以“適合稽核的時機”來決定稽核作業的本質、時間與范圍，因此傳統以“年度”為基礎的查核計劃，將可以轉變成由風險帶動的查核計劃，由科技所計算出的風險超過稽核能容忍的水準時，就可以啟動稽核與回應作業。當然，借由需求（風險）拉動的設計，將會改變內部稽核的資源配置方式，從傳統“專案式”稽核模式，改變為能因應企業風險、動態調整稽核資源的“反應式”（reactive）模式。

二、持續性稽核與管理控制監督的關系

CA 的特色經常會引發一般管理人員一個疑問：“在即時、持續稽核的解決方案里，稽核的角色是否會與直線管理者的角色有沖突，甚至逾越了稽核應獨立于管理職能的客觀性？”事實上，基于科技的CA解決方案，不止是稽核人員可以運用，管理人員一樣也可以借助；想象一個建筑物里的火災偵測器，它除了能通知建筑物內人員（直接關系人）以外，也能通知消防隊（專業、獨立的間接關系人）。CA的持續風險監控機制就像如此，管理人員與稽核人員各自的角色，并不會因為工具的導入而有所混淆：管理者仍然負擔著達成營運目標的最終責任，只是多了專業而獨立之稽核人員的支援。
在GTAG 3的報告中，亦明確地指出兩者分別，并強調 CA 和 CM/CC（Mcontinuous monitoring / con-tinuouscontrolmonitoring）是相互支援而不互相排擠的。實施CA的主要目標在于針對企業整體風險控制程序的有效性執行稽核，主要角色是內部稽核人員；而 CM/CCM 的主要目標則在確保營運政策與流程有效地進行，主要角色是管理人員。對一個組織（包含公/私部門）來說，若CM/CCM 的管理機制已臻“持續進行”的品質，則CA自然不需再介入直接管理，以免造成多頭馬車現象，反之，若管理機制仍偏向傳統方式，則主導 CA 的稽核長或內部稽核主管（chief audit executive）則應善用CA 機制，積極向管理人員即時而持續地提出管理上之改善建議。因此，在 GTAG 3 所設定的 CA 解決方案下，內部稽核將由傳統較強調獨立、客觀、事后檢討等功能，轉變成較具彈性、可因應組織需要而調整的企業伙伴（business partner）、甚至是“及時雨（”lifesaver）的角色。

三、如何建立風險導向的持續性稽核

無論是CA 或 CM/CCM，它們與傳統控制活動的最大不同，除了強調“持續進行”的模式以外，它們更是以風險為導向的稽核與監控作業，因此，即使采用傳統測試方法，發現原有的控制設定仍在運行，因而推定控制有效，但 CA 或 CM/CCM 則會 假設控制被權宜方法規避（workaround）的可能性。例如：傳統查核可能發現，無對應采購單則無法進行收貨的控制仍有效運作，但可能存在以下情況，使部分員工得以“規避”此一控制：當某供應商以塞貨方式自行送貨至倉庫，倉管人員可能說服采購人員配合以權宜方式立即新增一筆采購單，以便收貨人員開立驗收單，如此，在并未違反原有控制的情況下，他們成功地“避開”了此一控制。
因此，CA 或 CM/CCM 必須評估這種“規避控制”的風險，進而設定應即時監控的控制、資料與流程。以前例來說，即可針對“塞貨”問題，設定以下稽核異常之條件組合：\\(1\\)由采購人員、而非采購主管所不當放行的采購單；\\(2\\) 驗收單日期與采購單日期同一天或過于接近。若兩者存在其一即通知管理人員或稽核人員注意，若兩者同時存在即表示有“塞貨”之事實，應立即采取回應或要求采購部門改善其內部控制。
為了達到上述“持續進行”的稽核與監控，French（2011）在ISACA的CA白皮書中曾建議，企業至少必須做好以下準備：
1．不可或缺的“自動化”稽核解決方案。如前所述，要能夠即時取得風險項目相關資料并立即加以分析、稽核，導入ETL、資料探勘、推式服務等自動化擷取、分析與報告技術，絕對是不可或缺的要素。
2 ．建立全方位的關鍵風險指標。Caldwell and Procto（r2010）曾提出 CCM 的一般性架構，指出 CCM應建構360 度全方位的關鍵風險指標，至少必須包括四大支柱：一是存風險（access risk）。針對職能分工、系統功能、關鍵組合資料（使用者授權矩陣）、是否存在敏感性存?。╯ensitiveaccess）等權限控制資料進行分析，也包括身份驗證、交易日志和密碼管理等測試。二是系統設定風險（configuration risk）。針對系統流程的組態或參數設定情況進行擷取與分析，如前述的采購、驗收、應付之流程控制設定。三是主檔資料風險（master data risk）。針對客戶、供應商、產品、員工等主檔資料的大幅或不尋常之異動進行原因分析，有可能是避開控制的情形。四是交易風險（transactionrisk）。應監控企業主要交易活動資料，以利風險管理與績效改善作業。以前述塞貨一例來說，在存取風險方面，CA 應持續地偵測采購單、驗收單的職能分工情形，看是否存在不當的沖突性、敏感性存取權限；在系統設定風險方面，CA 應偵測是否無采購單即不可新增驗收單的設定仍持續地保持原狀；在主檔資料風險方面，應持續偵測是否存在不符合采購資格的供應商資料。例如：
缺少原物料供應價格資料，在交易風險方面，CA 應設定各項交易異常條件，包括采購單與驗收單日期過于接近、甚至在同一日期者。而值得管理者注意的是，這些KRI的資料內涵，其實都非常具有管理價值，French（2011）甚至直言：“每一個KRI的背后，都隱含著一個關鍵績效指標（KPI）?！敝档么蠹疑钏?。
3．稽核品質的“3C”。在稽核品質方面，French（2011）認為CA或CM/CCM 必須達到所謂“3C”的標準：（1）一致性（consistency）。對于企業內需執行稽核的風險與控制，應不論其所在地點（國外或國內）、單位（總部或分公司）、系統別（SAP或Oracle）等，均應一致地使用同一測試程度來審視。（2 ）完整性（completeness）。由于采用進步的資訊科技，因此建議不再使用統計抽樣方式來執行測試，而應朝向“全查”但“設定優先權”的方向發展，以避免因抽樣誤差而導致查核漏失的風險。（3）持續性（continuous）。應盡量縮短稽核周期，從過去的年、季進展到每月、每周甚至是每日進行，當然，針對不同的控制或風險指標，可以設定不同的持續周期。

四、持續性稽核的實務建議、應用領域與成本效益

在實際導入CA的過程中，仍然有許多實務的挑戰必須克服，包括組織面、作業面、技術面與成本面的考量，因此，French（2011）的報告中，曾針對CA的實施，提供了幾點非常實務的建議；該報告也列舉出CA 能發揮作用的各項領域；此外，C A 是以科技為基礎，當然需要投資，因此 CAE 可能會面臨應如何說服執行階層、應如何進行成本效益評析等問題。

（一）給 CAE 的幾項實務建議

1．CA 絕對是跨不同功能的專案，因此專案經理必須具備良好的跨部門溝通能力，而且必須能得到執行階層的大力支持。
2．最好能先找到一個“麻雀雖小、五臟俱全”的應用，在這個相對較小、較易聚焦的案例里，以“探路”（pathfinder）的模式，先將組織內由上而下的相關資源（包括最高的執行階層到各部門、各流程、各個KRI/KPI、各系統、各個資料表等）有效地整合一次，除了可以借此演練以外，小案例的成功將更能獲得執行階層的支持，并為未來大幅動員的計劃做出預告。
3．雖然 CA 必須導入進步的資訊科技，但千萬不可被認定為只是一個“技術性專案”。
4．以各個KRI的風險程度和適合性來決定自動化的優先順序。
5．采用反復式（iterative）方法進行測試的法則、流程與范圍精良化（refinement）：部署→使用→學習→復核→改良→延伸。
6．在導入過程中，時時都應復核、甚至再造現存程序和方法，以找出最佳的測試計劃。
7．有機會就盡量和營業部門間建立良好溝通，并尋求可能的聯盟關系。
8．除了確保風險降低以外，也要同時重視績效改善的機會，并提供給營業部門。
9．謹記四個管理維度：組織、流程、人員與科技。

（二）CA 的最適應用領域

如前所述，CA 和 CM/CCM 最主要的應用，就是希望能找出傳統稽核或控制方法所無法發現的異常性風險問題，主要是：
1．供應商重復付款；2．無對應采購單的付款記錄；3．未請款的銷貨收入；4 ．供應商賬戶資料的異常更動；5．某些特定訂單價格或付款條件的異常改變；6．客戶或供應商主檔的資料異常變動；7．某些客戶訂單的金額總是恰好高過其信用額度或是根本超過其額度；8．違反職能分工的交易資料，如采購單由同一人制作并核發、驗收單也是同一人；9．無對應客戶訂單的出貨；10．超量出貨（over delivery）；11．不尋常的日記賬分錄（unusualjournals or postings），如借記費用、貸記應收賬款此類異常分錄；12．分割采購（split purchase）；13．請購金額恰低于某些采購政策之限制條件。

（三）CA 的成本效益分析在規劃成本效益分析報告時，以下是幾點值得參考的有形/無形效益清單：

1． CA 可提供更有效率和效能的營運風險管理；2．CA 可對企業內部控制提供更全面性的檢視和驗證；3．CA 可支援管理階層更有效地營運改善建議：（1）長期來說，CA可達到總稽核成本的節省，包括：內部稽核人力的節??；（2）外部查核人力與查核公費的節??；（3）財務部門的作業成本節?。ㄒ驗镃A可替代某些部門查核作業）；（4）資訊部門人力的節??；（5）外部成本，包括委外執行的特定查核專案，如員工舞弊、重復付款、應收賬款管理等成本。
當然，要達到上述效益，必須確保CA專案的成功，在整個專案進行過程中，CAE 必須維持領導地位和專業能力，特別要注意以下幾項成功要訣：
1．CAE 必須非常清楚 CA 的任務和目標，以便明確定義何謂“成功的專案”。
2．CAE 必須充分了解新的稽核流程與技術能達成哪些任務和目標。
3．CAE 必須明確地掌握應投入哪些工作和資源，才能達成任務和目標。
4．整體來說，CAE 必須具備足夠的專業能力來領導整個專案的規劃、執行，并能有效地將CA相關技能擴散至整個組織。

五、結論

當企業的經營活動愈趨復雜而標準化，熟悉這些流程的員工卻可能發現能有效“規避”控制的方法，并將其方法隱匿于這些復雜、自動化、標準化流程中。過度依賴使用檢查表來進行的傳統定期稽核，可能已無法協助企業因應這樣的經營環境，本文所提出的新一代CA 或 CM/CMM 方法，除了導入新科技以外，更是一個協助企業進行變革的計劃，預期將可引領內部稽核專業人員至一個嶄新的稽核思維：內部稽核將不再只是完全獨立于管理階層的單一查核職能，而是在積極、持續性管理營運風險的同時，更能與管理階層協同合作，對于企業營運績效提出專業咨詢的企業伙伴.