產業動態
電腦稽核協會創會已屆20年,努力於電腦稽核及資通訊安全等領域,而資誠(PwC Taiwan)於台灣投注於風險管理及電腦稽核領域亦逾20來年,大家之共同願景均是期望引領台灣之組織能達國際標竿之管理體質。
『關鍵要素』
PwC 2014全球 CEO Survey中提及「63%之CEO關切組織所需重要才能之可用性」,所以,資誠向來重視人才之長期培育,以期能對社會有所貢獻。
□跨領域專長之人才
資誠負責風險管理、資訊安全及電腦稽核等之部門,全球統一之部門名稱為「Risk Assurance」,大中華區之中文名稱為「風險及控制服務部」,PwC Taiwan此部門人員之人才較多元化,且多數人員具備不同學經歷專長,並培育其專精領域之發展,這將有助於人才之長期職場發展。
□PwC全球一致之方法論及教育訓練
風險及控制服務部之人員除接受PwC全球一致之審計方法、電腦稽核、IFRS等課程外,並常派員至國外參與PwC Risk Assurance舉辦之各項專業智識課程,期能將有助於企業風險管理、控制制度及IT風險等新知與我國企業及學術界等分享。
『重要紀事』
□ERP蓬勃發展 奠定資誠風險確保及電腦審計之根基
台灣產業邁向國際化的過程中,ERP系統一直扮演重要的角色,從前端業務面資料的蒐集、生產成本面的分析、到整體財務面的報導,都仰賴系統的產出,然與客戶服務互動時,仍不時聽到企業高層道出心語「眼前現有的系統,跟我心裡想的不一樣…」,在資誠風險及控制服務部門多年協助客戶優化ERP系統的經驗中,經常遇到企業於先期ERP導入時,整體營運考量點不足、未納入未來擴展性、缺乏控制建置等,使得系統成效大打折扣;綜合觀之,客戶常於導入ERP系統時,未適時且落實地考量公司治理或管理所需要之資訊要求、重要內部控制點(如自動化控制、職能分工)等元素。
資誠風險及控制服務部門團隊,本於同時具有財務會計、內部控制及資訊科技專長之人才,因ERP之興起至企業大量運用,PwC全球聯盟所發展出完整之方法論及運作實務,PwC Taiwan也與PwC其他地區之聯盟所,攜手努力及累積實戰經驗,因對各個產業之熟悉,資誠團隊能深入營運之細部環節,期能協助企業在符合成本效益及風險管理下,優化其公司治理及內部控制體質。
□IFRS國際接軌 優化管理及確保資訊品質
我國為與國際接軌,推動採用國際財務報導準則(IFRS),此準則強調會計之處理應秉於經濟實質,且以合併報表為主體,然合併報表牽涉許多會計處理、作業流程控管及效率,所以,企業無不期望能一併解決會計、流程、系統及管理等多面向之課題。
資誠風險及控制服務部門團隊秉過往對會計、流程及資訊科技之熟悉,協助不同產業之企業,與客戶共同審慎評估,並提供專業之見解,使企業在IFRS轉換前、中、後,能按部就班解決IFRS對會計、流程、系統及管理等議題,順利產製合併財務報表或管理報表、預算管理等,同時逐步使管理資訊能與IFRS觀點相調和,使公司董事會及高階管理階層,能以IFRS之觀點評估及管理其整個集團。
■IFRS資訊系統變革考量重點
在決定最符合企業需求的IFRS系統變更方案之前,企業必須了解IFRS專案之系統變更,此舉不僅只是為了因應IFRS會計準則之導入工作,而更是透過此議題帶來之需求與契機,去徹底審視企業流程及資訊系統的使用與效能,藉由更完善的系統變更策略,提升企業資訊提供的效率及品質,使資訊系統成為營運上的最佳利器;IFRS系統變更方案的考量因素例舉如下:
●目前資訊系統是否有因應多軌會計之能力?
●目前資訊系統廠商是否提供能支援IFRS需求之更新版本?
●資訊系統前端之資料儲存與管理是否完善,足以提供後端系統產生相對應之不同會計準則財務報表?
●作業流程是否須因應IFRS規範而做大幅度調整,以及系統是否能夠支援公司未來之作業流程?
●財務報表系統因應IFRS之需求,蒐集與產生新資料之能力是否足夠?
●系統變更方案是否可於IFRS正式啟用期限前完成,是否具備其他替代的可行方案?
●面對持續更新之IFRS會計準則,系統之功能與彈性是否足以因應?
●IFRS會計準則之相關政策是否已納入公司管理報表與流程,作為策略性規劃之相關考量依據?
企業應考量自身組織架構及商業活動等的複雜性、系統現況、以及IFRS上線時程等因素,決定出最符合目前與未來發展的系統變更方案,以期在有效期限內達到IFRS合規性,並同時將系統變革的經濟效益最大化。
■確保IFRS資訊系統專案的成功
在資訊系統建置之前,企業應有完善的事前規劃與評估作業,方能有效完成系統建置,減少後續修改或新增範圍所產生的成本,常見的系統導入問題如:未考量未來作業流程將會導致無法有效支援企業運作、不符使用者認知及需求、未考量適當作業與系統控制機制、系統的延展性而無法因應企業未來發展需求、系統變更缺乏適當監控機制、僅技術性升級而未採系統提供的最佳功能、導入成本超出預期、資料轉置不正確/不完整、人員權限賦予不當等,所以企業於IFRS系統導入前應該評估目前與未來流程之差異與系統功能需求,以確保系統之選擇與系統建置符合企業營運目標。
此外,在系統導入時,企業亦應擬定並執行專案進度監督控管機制,確保專案進行時程與範圍與計畫相符,並透過系統與流程優化,提高公司資訊系統之實質效益。
系統導入後,專案小組亦應確認系統功能與作業流程符合使用者需求、IFRS規定、以及公司整體營運的流暢,並且透過導入後的檢核工作,確保已於系統內建置適當之權限及自動控管機制,進而提高管理階層對於新系統資訊品質的信賴度;且需隨時因應企業擴展所需,整合及更新管理面所需之資訊,許多客戶面臨企業績效管理系統化、跨國集團資訊整合(如產品別、事業部或地區別銷售管理)等急待優化之議題,使企業對具決策力之資訊品質有更高之期許。
□商業機密及個資安全刻不容緩
據資誠分析,資料外洩成本持續攀升,每次資料外洩的平均成本自2009年的675萬美元攀升到724萬美元,每筆平均成本從204美元增加到214美元;同樣的,惡意攻擊所造成的每筆資料外洩成本高達318美元,亦比2009年增加了103美元。
另個人資料保護法業已正式上路,所有的個資利用都必須取得當事人的書面同意,同時企業必須負起保護個人資料的責任。由於新法影響層面廣大,企業應全面盤點及檢視對於個人資料蒐集、處理及利用的狀況,並調整建置相應的因應對策,以降低企業法律遵循及資安管理成本。
因此,建議可從3大層面來解析企業內部容易面臨的個資風險,而三者的法律風險由高至低, 投入控管成本由低至高依序分別為,「法遵風險」(Compliance risk)、「責任風險」(Liability risk),以及「商譽風險」(Reputation risk)。
法遵風險是指在個資法下,平時即便沒有個資外洩的情形,行政主管機關依然擁有行政檢查權,如果企業未依個資法的規定,建立制度規章,即有遭受行政處罰的風險。至於責任風險,強調在個資法下,一旦發生個資外洩事件,卻不能在法院訴訟上舉證證明企業體本身並無故過失,則必須負擔損害賠償責任,原則上最高可處台幣2億元。
就實務而言,道高一尺,魔高一丈,如何確保個資不外洩,在合理比例原則下,投入適當資源,從而得以在個資外洩時,在法院有效主張已盡注意義務。最容易讓企業忽視的則是商譽風險,企業因為未能遵法而受到客訴,或發生個資外洩,對於企業商譽造成的損害。從最高規格的層面而言,商譽風險的管理,其導入個資保護建置的資源投入,所追求的層次係超過法遵及責任風險的低標考量。
瞭解企業內部個資可能會面臨的風險之後,接著必須著手進行「資料治理」。「企業資料治理是一個重複的過程,以確保標準化及高品質的資料,能以及時、可稽核性、安全的方式傳達予使用者。」
而面對近年來興起的雲端服務應用趨勢、智慧型裝置的管理、網路使用行為的改變等議題,皆一再顯示資訊技術之創新與進展,過去既有的資訊安全標準,亦必須依資訊技術之演進,進行相關修訂與調整,以確保符合資訊發展現況。
ISO 國際標準組織在經歷8年的時間後,去年正式公佈新版「ISO 27001 標準」,而轉版議題也成為各組織熱烈討論事項,解決新版之相關疑義,成功完成轉版,並以此延伸資安治理之能量,持續強化資安的體質,以建構長期性的競爭優勢,實為刻不容緩之課題。
『後續觀察』
■新數位經濟時代來臨 優化公司治理及內部控制
自1990年代網路興起後,至今亦已快接近20年了,現代隨著行動裝置之普遍、雲端之興起、 Bank 3.0及Big Data之探討,人們之經濟行為未來將有更大之變化,企業為求追求永續成長,這些議題,均高度結合著資訊科技之運用,這將使電腦稽核協會及熱心之協會志工們,將研討更多及更深入有關公司治理(包含資訊治理)、內部控制(包含COBIT 5.0)及資通訊安全等課題,以期提供企業更多之參考資訊,PwC Taiwan亦將秉持過往對電腦稽核協會之支持,於新數位經濟時代下,提供適時之見解。
企業布局下一波成長動能時,身為公司治理單位或管理階層之人,當思及公司未來長期發展所需具備之競爭優勢,這包括全球佈局、服務加值、電子商務通路、優秀人才培育等課題,綜上,未來之思考重點有三大方向:
●轉換營運模式,強化公司治理。
●全方位風險管理,強化產銷研價值鏈,健全內部控制。
●改變思維,優化人才策略。