企業會計資訊系統發展現況與電腦審計實務分享 陳威志 Jumper Chen 2011-12-14 Enterprise Risk Services Control Assurance

報告大綱 企業會計資訊系統發展現況 電腦審計簡介 電腦審計與內部控制 電腦審計與證實性查核 客問答 2

報告大綱 企業會計資訊系統發展現況 電腦審計簡介 電腦審計與內部控制 電腦審計與證實性查核 客問答 3

前十大 ERP 分布 ERP-AP % 1 　自行開發ERP 15.03% 2 　鼎新TipTop 12.29% 3 　鼎新Workflow 10.85% 4 　SAP 10.46% 5 　Oracle ERP 8.76% 6 　JDE 2.88% 7 　AS/400系統 1.96% 8 　鼎新Smart 1.31% 9 　MF2000 1.18% 10 　普揚ERP subtotal 65.90% 自行開發 ERP 佔整體企業母體的最大比例，自行開發 ERP 不強調系統控制，因此可預期系統控制比例應不高，且仍仰賴人工控制。 套裝 ERP 約佔整體企業母體的一半，表示不少比例企業流程自動化程度相對較高。 4

企業資訊系統發展現況 表單簽核流程系統化 ERP套裝化，系統自動化控制程度增加 因應公報修正做系統邏輯修改 10號公報存貨評價、34號公報金融商品之會計處理 因應IFRS會計原則適用，做系統流程變動 5

表單簽核流程系統化 訂單價格的核准簽核流程： 6

表單簽核流程系統化 超額放行申請單的簽核流程： 7

表單簽核流程系統化 超額放行申請單： 8

ERP套裝化，系統自動化控制程度增加 9

ERP套裝化，系統自動化控制程度增加 10

因應IFRS會計原則適用，做系統流程變動 會計資料需求 系統 A 系統 C 合併報表 會計總帳 系統 D 系統 B 系統 A 系統 B 系統 C 合併報表 會計總帳 IFRS 作業流程變更 系統變更 並行會計 General IT Control 系統 A 系統 C 會計總帳 合併報表 AP Control CAATs 系統 B JET

因應IFRS會計原則適用，做系統流程變動 ~以遞延可累積休假負債為例~ 系統及作業流程影響分析 會計原則差異 需新增(input)及產出(output)之額外資料？ 需新增或修改之 系統作業程序(process)？ 會計差異 需新增或修改之系統功能(function)？ 轉換 IT 語言 IFRS 會計總帳 系統 休假系統 給假 請假 結算 ? 必須修改系統功能及修改資料庫結構，才能在系統給假時，保留所增加之年休假，係歸屬於哪一年度之資訊。 必須修改系統功能，才能於員工請假時，判斷所請之年休假係今年所給予的還是以前年度所遞延的？ 針對遞延之可累積休假需估列負債，因此必須新增計算負債金額之系統功能。 實施 IFRS 後，當年度所遞延之可累積休假需估列負債，並認列為當年度費用。 同時必須新增拋轉總帳程序，才能在結算時拋轉分錄至總帳系統。

報告大綱 企業會計資訊系統發展現況 電腦審計簡介 電腦審計與內部控制 電腦審計與證實性查核 客問答 13

審計 (Audit) 何謂審計 財務報表 對財務報表提供保證 Financial 公司 Statement 經營成果 投資人、債權人 審計準則公報： 會計師對財務報表是否按一般公認會計原則編製並基於重大性之考量，對財務報表是否允當表達表示意見。 審計 (Audit) 對財務報表提供保證 財務報表 Financial Statement 我國審計公報第 32 號第 44 條 財務報表之聲明可分為以下五類 1.存在或發生 2.完整性 3.權利與義務 4.評價或分攤 5.表達與揭露 提供 公司 投資 !? 報導企業經濟資源 經營成果 經濟資源 投資人、債權人 14

會計師事務所服務介紹 認證服務 非認證服務 簽 證 會計處理 代客記帳業務 財務報表 > 查核 > 核閱 稅務報表 簽　證 會計處理 代客記帳業務 財務報表 > 查核 > 核閱 稅務報表 > 查核 顧問諮詢 專案服務 稅務服務 財務諮詢服務 其他確認服務 (如協議程序等) 企業風險服務 15

Manage the Audit Engagement Prepare, Review and Control Working Papers 會計師財務報告程序 Manage the Audit Engagement Perform Pre-Engagement Activities Assess and Respond to Engagement Risk - Preliminary Assessment of Management’s Process Select the Engagement Team Establish Terms of Engagement Perform Preliminary Planning Activities Understand the Entity’s Business Understand the Accounting Process - Understand Entity-Level Controls - Identify Entity-Level Objectives and Controls - Determine Multi-location Scope - Evaluate the Design of Entity-Level Controls - Identify Design Deficiencies - Understand Process-Level Controls - Identify Significant Accounts, Assertions and Processes - Perform Walkthroughs of Significant Processes - Evaluate the Design of Process-Level Controls Perform Preliminary Analytical Procedures Determine Planning Materiality Prepare Audit Planning Memorandum Develop Audit Plan Assess Risk at Account Balance and Potential-Error Level Plan Tests of Controls - Plan the Use of the Work of Others Plan Substantive Tests Perform Audit Plan Perform Tests of Controls and Evaluate - Test Entity-Level Controls - Test the Work of Others - Identify Operating Effectiveness Deficiencies - Test Process-Level Controls - Test the Work of Others - Evaluate Control Deficiencies Perform Substantive Tests and Evaluate Conclude and Report Perform Financial Statement Review Perform Subsequent Events Review Obtain Management Representations Prepare Audit Summary Memorandum Enggagement Reporting - Conclude on Management’s Process Perform Post-Engagement Activities Assess Engagement Quality Prepare, Review and Control Working Papers 交易循環 系統流程覆核 內部控制 遵循測試 資訊系統 風險評估 擬定查核 範圍及 工作計畫 電腦技術 輔助測試 科目餘額 證實測試 會計師 查核報告 16

電腦審計對傳統審計的角色 電腦審計 ! Input Process Output 一般審計 風險因子 系統控制 風險因子 電腦查核對策 交易處理人員是否經授權? 交易是否取得合法憑證? 原始憑證是否真實正確? 表單是否連續編號? 是否依據內控核決權限，留存權責主管書面覆核紀錄 帳務計算是否正確? 明細帳與總帳是否能夠勾稽? 各項報表是否經由主管覆核? 各項 PBC 報表日期與內容是否正確? 調節表是否正確編製? 系統控制 風險因子 系統存取權限控制是否符合經核准之職能分工原則? 資料輸入是否有合理性驗證? 前端系統資料拋轉是否正確? 是否驗證輸入資料完整性? 遠端登入是否安全? 機密資料是否適當? 系統參數是否依據會計原則設定? 關係個體會計科目是否正確使用? 電子交易是否皆由權責主管覆核? 系統開發與程式修改控制允當? 資料庫管理控制是否允當? 批次作業時程與結果是否正確? 帳務程式處理及計算是否正確? 大量交易資料如何抽樣? 明細帳之完整性是否正確? 報表產生結果是否與帳務程式會計邏輯及原始資料一致? 報表版本控制是否允當? 電腦審計 ! 電腦查核對策 覆核系統存取權限控制 覆核資料輸入合理性控制 覆核基礎網路架構與安全防護措施 執行資料拋轉之正確性驗證測試 覆核系統控制參數設定控制 覆核電子交易核決權限控制 覆核系統開發與程式修改控制 覆核資料庫存取、維護控制 覆核批次作業設定、執行控制 執行模擬程序，驗證帳務計算 採用電腦輔助工具執行抽樣作業 執行明細帳之完整性驗證測試 執行各項報表程式邏輯及原始資料之正確性及一致性驗證測試 17

電腦審計三大範疇 Meet Audit Approach Requirements 查核對策 覆核系統存取權限控制 覆核資料輸入合理性控制 覆核基礎網路架構與安全防護措施 執行資料拋轉之正確性驗證測試 覆核系統控制參數設定控制 覆核電子交易核決權限控制 覆核系統開發與程式修改控制 覆核資料庫存取、維護控制 覆核批次作業設定、執行控制 執行模擬程序，驗證帳務計算 採用電腦輔助工具執行抽樣作業 執行明細帳之完整性驗證測試 執行各項報表程式邏輯及原始資料之正確性及一致性驗證測試 General Computer Controls Meet Audit Approach Requirements Improve Audit Efficiency & Effectiveness Application Control Review CAATs - ACL 電腦 查核對策 覆核系統存取權限控制 覆核資料輸入合理性控制 覆核基礎網路架構與安全防護措施 執行資料拋轉之正確性驗證測試 覆核系統控制參數設定控制 覆核電子交易核決權限控制 覆核系統開發與程式修改控制 覆核資料庫存取、維護控制 覆核批次作業設定、執行控制 執行模擬程序，驗證帳務計算 採用電腦輔助工具執行抽樣作業 執行明細帳之完整性驗證測試 執行各項報表程式邏輯及原始資料之正確性及一致性驗證測試 18

Integrated Audit 電腦技術在審計查核中的應用架構 AP Control Review General Non IT Audit  IT Emphasis Financial Statements Understand Accounts / Disclosures And Related Potential Errors Test Controls AP Control Review Business Cycles Application Systems General Computer Controls Computer Processing Environment 19

報告大綱 企業會計資訊系統發展現況 電腦審計簡介 電腦審計與內部控制 電腦審計與證實性查核 客問答 20

一般電腦處理環境控制 一般電腦處理環境控制 Information Resource Strategy And Planning 公開發行公司建立內部控制制度處理準則 一般電腦處理環境控制 資訊處理部門之功能及職責劃分 Information Resource Strategy And Planning 系統開發及程式修改之控制 Application Systems Implementation & Maintenance 編製系統文書之控制 Database Implementation And Support 程式及資料之存取控制 Relationships With Outsourced Vendors 資料輸出入之控制 Information Systems Operations 資料處理之控制 Network Support 檔案及設備之安全控制 Systems Software Support 硬體及系統軟體之購置、使用及維護之控制 Hardware Support 系統復原計畫制度及測試程序之控制 Business Continuity Planning 資通安全檢查之控制 Information Security 向本會指定網站進行公開資訊申報作業之控制 21

Application Systems Implementation & Maintenance 一般電腦處理環境控制 Application Systems Implementation & Maintenance 資訊部主管覆核系統開發或程式修改結果 使用者測試驗收，確認報表正確性 單位主管覆核申請 資訊部主管評估可行性與核准申請 系統開發 程式修改 資料庫維護 使用者 需求申請 正式環境 上線運作 資訊部主管核准系統或程式上線 程式過版控制 撰寫更新技術文件 撰寫或更新操作手冊 文書管制 持續維護 22

Information Systems Operations 一般電腦處理環境控制 Information Systems Operations Network Support 批次拋轉 帳務結算 資料備份 應用系統帳號控管 應用系統權限控管 資料輸入控管 重要資料錯誤更正 批次時程與正確性 ﹝過帳、結帳﹞ 機密性、敏感性資料輸出控管 ERP MRP DB Payroll 網路基礎建構 網路通訊控管 應用系統存取控管 應用系統全球控管 23

ERP 一般電腦處理環境控制 MRP Payroll Information Security Internet 資訊安全 全球網路架構 網路頻寬管理 資訊安全 防火牆管理 入侵偵測控管 防毒安全架構 ERP MRP DB Payroll Internet 資訊安全 人員安全教育訓練 軟體合法授權使用 24

Confirmation of order for customer 應用系統流程覆核 REVENUE CYCLE Transaction Reports Credit Note Financial Report 傳統審計方法 1 2 3 Order Entry Module Shipping Invoicing 訂單控制測試 確認訂單查核 銷貨額度查核 Confirmation of order for customer Shipping Note Invoice General Ledger 出貨控制測試 出貨作業查核 庫存管理查核 財務報表查核 銷貨收入認列與入帳 評估帳齡分析表 Internal Control Points 25

Maintaining Customer Master Files 應用系統流程覆核 客戶主檔維護 銷貨客戶之真實性 銷貨額度之有效性 REVENUE CYCLE Principal Business Activities 1 Transaction Reports Credit Note Financial Report Maintaining Customer Master Files Customer Master File 電腦審計方法 2 3 4 5 Managing And Processing Orders Invoicing, Sales Returns And Adjustments Processing Cash Receipts 資料輸入控制 使用者權限控管 資料輸入驗證控制 資料拋轉控制 訂單確認之正確性 銷貨額度控制之有效性 資料拋轉控制 收入認列之正確性 銷貨發票之正確性 報表輸出控制 帳齡分析表之正確性 Confirmation of order for customer Invoice Cash Ledger General Ledger AP Control Review Points 26

報告大綱 企業會計資訊系統發展現況 電腦審計簡介 電腦審計與內部控制 電腦審計與證實性查核 客問答 27

資料品質與真確性重要性 Data Information Decision 價 值 資 料 Data 資 訊 Information 決 策 資　　料 Data Data 日常營運資料，如：交易資料、客戶資料、生產/銷售/採購基本資料 Data Processing Data Reporting Data Analysis 資　　訊 Information Information 管理性資訊，如:管理報表、營收分析報表、成本分析報表 Data Warehousing Data Modeling Data Mining 決　　策 Decision Decision 關鍵資訊支援決策，如:績效衡量指標、平均客戶營收貢獻度，使用量分析、業務量變動分析、促銷方案有效性分析、市場占有率分析、定價變動分析 即時的決策資訊 正確的決策資訊 完整的決策資訊 價 值 營收增加 擴大市場佔有率 降低成本 提升客戶滿意度 28

電腦審計與證實性查核 – 收入循環 (SAP 為例) SAP R/3 應用系統 報表 / Output 訂單、出貨單輸入及維護權限控制 發票開立及維護權限控制 應收帳款立帳及銷帳權控制 銷貨價格維護權限控制 銷貨額度維護權限控制 客戶基本資料維護權限控制 客戶信用額度維護權限控制 ABAP FI Module Financial Accounting Trial Balance 表單完整性控制 訂單、出貨單開立及維護控制 銷貨價格維護控制 銷貨額度維護控制 應收帳款立帳控制 應收帳款收款、銷帳控制 客戶基本資料維護控制 客戶信用額度維護控制 銷貨收入之有效性測試 Income Statement GL 應收帳款立帳控制 應收帳款收款、銷帳控制 Balance Statement 訂單 收入 訂單 SD Module Sales & Distribution 應收帳款 AR Aging AR 出貨 帳齡分析表之正確性測試 應收帳款 Cutoff 之正確性測試 29

電腦審計與證實性查核 – 採購循環 (SAP 為例) SAP R/3 應用系統 報表 / Output ABAP 請、採購作業權限控制 供應商主檔維護權限控制 特定付款作業權限控制 特定供應商付款權限控制 特定發票付款權限控制 FI Module Financial Accounting Trial Balance Income Statement GL 購料 MM Module Material Management 應付 帳款 Balance Statement 收料 AP 購料 成本 AP Details 表單完整性控制 請購單核決權限控制 採購單核決權限控制 應付帳款立帳控制 採購付款交易控制 供應商主檔維護控制 供應商採購價格維護控制 應付帳款 cutoff 之完整性測試 應付帳款入帳之完整性測試 30

客問答 31

聯絡資訊 陳威志（Jumper Chen） 勤業眾信 企業風險服務 經理 Tel: +886 (2) 2545-9988 ext. 7550 勤業眾信　企業風險服務　經理 Tel: +886 (2) 2545-9988 ext. 7550 email: jumperchen@deloitte.com.tw www.deloitte.com.tw 32

Global reach, local solutions Copyright ©2011 勤業眾信版權所有 保留一切權利 Deloitte (“德勤”) 泛指根據瑞士法律組成的社團性質的組織 Deloitte Touche Tohmatsu (“德勤全球”)、其任何一個會員事務所/公司對其他任何會員事務所/公司的行為或疏忽，不承擔任何法律責任。 以“Deloitte”、"Deloitte & Touche”、“Deloitte Touche Tohmatsu”、“德勤"、“勤業眾信”或其他相關的名稱營運的每一個會員事務所/公司均為獨立的法律實體。上述服務是由會員事務所/公司的附屬機構或關聯機構所提供而並非德勤全球的瑞士法律組織提供。 33