InfoSec Taiwan 國際資安組織大會上,今年 ISACA (國際電腦稽核協會)系列演講,第一場演講議題由 ISACA 台灣分會副會長陳政龍,分享「ISACA 數位信任」內容,接著由兆益數位(股)公司總經理莊盛祺講演「風險管理框架」的議題,接棒第二場演講。
風險管理 需全體動起來
莊盛祺總經理位於資訊系統、會計、與稽核領域,已超過 35 年的時間,至今多重身分,中華民國電腦稽核協會理事、台灣舞弊防治與鑑識協會理事( ACFE TW )、中華民國內部稽核協會理事( IIA )及台灣企業風險治理與量化協會理事,演講開始,莊盛祺對現場聽眾提出一個問題,他問 :「風險的議題討論與關注,為何這幾年一路升溫?」,其中的答案是「加強安全」。他強調,企業透過風險管理來減少威脅與失誤的發生,是可以具體實施與產生的,但是企業必需從組織由上而下,內部高階管理層級的積極參與與和提供必要資源的協助。
早期稽核企業內部營運控管與績效,常使用紙本資料,至今許多交易行為皆在數位環境中進行,對於現今稽核人員所採用的查核方式已不同於傳統稽核的方式,針對稽核數位化環境的目的,莊盛祺強調「控制作業的有效性」是為重要指標,它包含「控制執行的有效性」與「控制設計的妥適性」,尤其是「控制設計」是否適當?更是風險被有效管理之關鍵,因此「控制設計」對稽核人員所採取查帳方法的正確性與預期達到的品質有絕對的影響,攸關著風險管理作業有效性的呈現。
增進辨識各類資訊系統風險 提昇稽核技能
1985 年成立的 COSO 全美反舞弊委員會贊助組織委員會(Committee of Sponsoring Organizations of the Treadway Commission,COSO)所發佈的《內部控制整合性框架》及《企業風險管理整合策略與績效》,目的為了改善企業組織的財務報導品質、強化內部控制制度、預防與偵測財務舞弊行為,進而提升企業治理與風險管理成效,莊盛祺表示,稽核人員職責是評估風險管理作業是否有效,企業自身的風險管理為何 ? 企業稽核人員是否有能力可以評估風險管理 ? 這些問題的提問值得企業思考。