稽核方法论与技术
「对有槌子的人来说,每个东 西都像钉子」这句玩笑话描述 了无脑地使用工具和技术,但 其实在运用许多常用的技术时 ,使用者并没有适当的使用理 由或考虑到使用的后果。另一 方面,技术同样可以被用来蒙骗其他技术,也可以用来掩饰某些意图。
譬如说,有人可能会搜集所有与事件、目标、状态 与主体有关的不同资料,然后使用电脑筛选或汇总 ,以此来隐藏真相而非揭露真相。我们似乎太常忘 记机器并没有心智,也太常忘记心智其实能使机器 被误用或善用。知道这个差异是很关键的一件事, 而且需要心智与技术上的付出和资源,像是猜测、 实验、想象力、语言、观察力、测量能力、与逻辑 推理。纯工具论其实是心智上的匮乏。
稽核代表至少使用以下两种方式,提供技术性质的 责任资讯的担保给需求者∶(1) 当它为会计资讯时 ,会计师使用目标语言、并由财务会计分类系统与 处理方式与技术产生担保;(2) 当它为电脑基础的 会计资讯时,会计师、簿记人员、或资料管理者使 用任何的程序语言呈现之,以便能够搜集、储存、 筛选交易资料、并显示财务的良窳。为了提供责任 资讯之担保,我们需要存取任何相关证据、并以批 判的角度评估;然而,像这样的心智与技术上的能 力,并不足以提供经济活动与行为,以及一些令人 心服口服且满意的解释。
知道事情是如何完成的,并不能解释它为什么会以这 个特定的方法完成,也无法解释它是否被恰当且正确 地完成。我们需要稽核的方法论以作为了解和控制会 计方法与技术之管道。内部控制系统 ( ICS ) 被人最普遍认为是种后设资 讯系统,因为他们被设计来保护目标资讯 ( 这些资 讯可能完全由机器自动产出 ) 的接受者之权利。不 过,组织的参与者需要负责 ( 至少要对彼此负责 ) 确定适当的资料有被收集到、任何驱动出的资讯可被 信任且其为真,或者至少没有明显错误。因此,内控 系统应该监控所有组织参与者所做之与经济相关且可 担负责任的行为。为了能够规范系统,以避免发生错 误、失败、故障,我们需要监控活动与行为,并将这 些活动与行为文件化,以应付萤幕中的「模范行为」 。举例来说,在一个高度网路化的组织中,我们可以 透过网路直接连结我们的供应商与客户,任何讯息都 会透过电子网路变成「广义的交易」,它们可能会被 用以解释组织中与跨组织间到底发生了什么事,以及 为何会发生这些事。
因此,稽核在方法论上至少有两方面的付出∶(1)「 稽核 I」是检验支持会计资讯的文件 ( 后设语言的 任务 );(2) 「稽核 II」是为文件的内容,像是成 本、顾客、投资人、放款人、价格、产品、销售、服 务、股票、供应商、价值等,检验其记载的东西是真 的存在 ( 实证的任务 )。以上两者的发现会进入稽 核意见,它忠实地解释 ( 根据所有可使用的攸关证 据 ) 组织中哪些事情完成了,这不只仅是在某些情 况下,有意追求合法的组织目标与合理性而已。它也 在组织与其环境或其市场的法律架构下,考虑组织行 动与行为的道德。我们应该要记住,稽核是在组织内 ( 内部稽核 ) 或社会环境中 ( 外部稽核 ) ,「根 据不同个案,使用不同处理方式」,如我在先前文章 中所说的。稽核需要的不仅是工具!
稽核人员仅为「后设报告提供者」而非法律、政策和 规范的「执法人员」,例如组织管理、政府或执法机 关的成员。稽核人员仅拥有理性批判及合理怀疑的权 利,并使用可取得的工具以执行发掘与评断的任务, 但他们对于资讯与内部控制的解释却一定要合理且可 供验证,以确定其可提供担保。因此,稽核软体也协 助监控所有的稽核活动,而监控所产生的日志可以被 合法的执法人员用来进行后续追踪,当有规则外的例 外状况发生时,执法人员可以立刻被告知。
总的说来,用来做为确保用途的稽核工作,是个 复杂的认知与沟通任务。稽核方法论一定要包含会计 与稽核技术的应用程序。不像会计是个数学与计算的 流程,稽核技术永远不会只是单纯的算法,也不会只 是自动化或例行性的工作;它不会只是个使用元语言 去建立支持数字的文件,也不只会是个用来验证–或 者,夸张一点,用来伪造–文件本身的实证任务,在 可能性与可行性上皆是如此。