月旦會計網
首頁執業進修電子銀行函證

電子銀行函證

文章發表: 2018/06/12

黃宣蓉

  • 政治大學會研所研究生

湯明勳

  • 政治大學會研所研究生

陳伊瑩

  • 政治大學會研所研究生

壹、前言

銀行函證為審計實務上之必要證實性查核程序,其外部之來源性質有助於降低查核風險,審計公報第38號第23條規定:「對金融機構之函證應採積極式。凡所查核財務報表涵蓋之期間內,受查者與金融機構有往來者,無論期末是否仍有餘額,或雖已核閱該機構寄發之對帳單,查核人員仍應對受查者之往來金融機構發函詢證。」以審計人員的立場,寄發不填寫金額或其他資訊之空白式詢證函,收到銀行回函時,應對所查核財務報表提供存在及完整性聲明。

貳、紙本銀行函證作業流程之痛點

國內銀行函證流程普遍仍採傳統紙本函證方式進行,一般完整程序如下(見【圖一】:

【圖一】傳統紙本銀行函證流程

一、會計師填寫詢證函:會計師首先選取詢證樣本,本文以銀行函證為主,有往來之金融機構必須全數發函,函證以空白式發函而無須載明餘額。

二、會計師請求客戶授權(用印)。

三、客戶核對資料無誤。

四、客戶確認授權(用印)。

五、會計師郵寄發函:紙本發函需備齊經客戶授權之函證、函證控制表、發函信封、回函信封、郵資表。函證控制表為確認詢證事項、回函結果及相關索引編號等之控制程序,置於工作底稿中以適當統計並追蹤回函情況。

六、銀行回函填寫。

七、銀行郵寄回函(回覆結果):函證之回覆結果有四種情況:銀行回函、銀行否認回函、銀行未回函以及郵局退回,若為後三種,會計師須催函或再次發函。

八、會計師就回函結果進行分析:會計師收到函證,就銀行回覆之結果進行分析,若仍有疑慮,則再次進行二次發函(重發函)之動作。

函證程序在準則的規範下,審計方需要控制函證程序以維持函證的可靠性,現行紙本函證的運行下耗費高昂郵寄費用與時間成本,發回函過程中極依賴人力作業,銀行方需額外成立函證團隊或聘僱函證人員,在年末集中處理大量詢函案件,除了處理缺乏效率之外,容易發生錯誤、偽造、遺失與舞弊。

參、電子函證趨勢

隨著資訊化時代來臨,電子函證逐漸開始取代紙本函證,然而就前述函證作業流程進行分析,一般電子函證(郵件伺服器)並不能真正改善紙本函證作業流程的問題,其最大效益在於降低審計方負擔之郵寄成本及往來函證之傳遞時間成本,審計方改行電子郵件形式之函證仍無法避免人工催函、函證追蹤軌跡不易取得、客戶干擾函證流程、函證格式不一等之成本與風險。除此之外,電子郵件形式發函安全性低,藉由外部郵件系統傳遞資訊,其面臨的資訊安全疑慮如下:

一、用戶端(個人電腦)密碼是否安全?

二、是否以數位簽章、數位憑證等進行資料加密?

三、伺服器或用戶端的防火牆是否建立並阻止未授權之侵入?

四、伺服器或用戶端是否有預防侵入之系統防護或防毒軟體建置?

若有任何一點未妥善把關,遭受竄改之風險極高,是以,資安是一般電子函證可靠性備受質疑的癥結點。

肆、國外第三方電子函證機構

第三方電子函證機構的出現是為了改善一般電子函證作業流程之痛點,所謂「第三方」是指審計方、受查客戶以及回應方以外之第三方,目前以confirmation.com為國際間最大之第三方平台。

一、作業流程

Confirmation.com平台開放審計方與回應方進行註冊,根據提供服務不同將回應方分類,平台只對「網內回應方」進行身分驗證,兩者之間具有合約關係。若審計方請求之回應方不是「網內回應方」,仍可以使用平台進行電子函證,網內與網外之使用方式相同,差別僅於收費標準和是否提供身分驗證之確保(見【圖二】)。

【圖二】Confirmation.com回應方分類

第三方電子函證平台作業流程如下(見【圖三】):

【圖三】第三方電子函證平台作業流程

步驟一:審計方登入Confirmation.com,進行客戶資料登錄。

步驟二: 透過平台對客戶發送函證授權請求。

步驟三: 客戶以電子簽章形式授權。

步驟四: 審計方取得授權後,審計方平台使用介面之發函功能開啟。

步驟五: 平台收到發函指令,通知回應方上線登入。回應方除了身分驗證,其使用介面有授權機制,函證部門主管有管理者權力,可分別設定各函證與對應回函人員之權限。

步驟六: 平台自動將函證送至對應回應方之介面。

步驟七: 函證統一在平台上進行回覆,平台提供統一格式,並設置「必填」欄位降低漏填之機率。

步驟八: 回函結果直接送至審計方使用介面。

二、分析

函證作業流程於單一平台上執行,藉由掌控此平台伺服器端資訊安全等級,具有降低資訊風險的優勢。Confirmation.com通過ISO 27001認證、TRUSTe私隱政策認證以及歐盟隱私護盾認證,每六個月需接受全部三次服務組織控制(Service Organization Control, SOC)測試。透過認證驗證其執行的控制,具保護用戶數據的私隱和機密性,以及系統的安全性、可用性和過程完整性之能力。除了提升資訊交換品質,使用網內服務作為函證程序的媒介,可降低函證程序的兩大風險,分別為「身分驗證」與「授權」。透過平台會員制確定身分,並依使用者分類功能介面,幫助確認雙方授權。任何往來電子函證上,均以log紀錄方式載明審計方和回應方登錄資料時間與IP位置,提供審計方往後追蹤軌跡證據。

對於審計方來說,利用第三方平台服務還有另一大誘因,就是節省人工催函成本。函證進度掌控作業由第三方進行,透過介面可以管理並快速接收銀行的要求與回應,避免傳統紙本函證下二次發函所需耗費兩倍以上的時間成本。

第三方平台對於函證流程改善成效明顯,但由於函證對象並非審計方合作對象,而是客戶的往來對象,故若要達到第三方平台最大優勢,平台需與大量的回應方進行締約,就Confirmation.com「網內回應方」而言,平台於銀行部分主要以美國銀行與匯豐銀行的全球分行為其主要簽約對象,台灣僅有兆豐銀行為其合作對象,普及率偏低,為審計方使用之一大考量。

另外,第三方電子函證平台非為數位自動化回函,採用傳統人工填覆,未與銀行資料庫進行直接對連,降低之時間成本僅有遞送流程,無法降低回函人力成本與人工填誤之風險。

伍、電子函證區塊鏈

考量到第三方電子函證機構並未在國內發展,為了達到函證作業流程改善之目的,可考慮將區塊鏈技術導入此流程以為另一解決方案。

一、區塊鏈優勢

區塊鏈(block chain)為一網狀式結構網路,網內傳輸均為不對稱加密形式,各節點均為獨立,不因少數壞點而導致資訊傳輸失敗,其核心技術「共識機制」使侵入網路之成本非常高,具不可竄改性。根據作業流程改善方向(見【圖四】),對應區塊鏈之特性關係如下:

【圖四】區塊鏈特性──改善流程

除了區塊鏈本身所具特性外,區塊鏈類型分為:

(一)公有鏈

參與者無限制,任何人都可以加入這個區塊鏈網路,如比特幣、以太坊。

(二)許可鏈

參與者有限制,寫入許可權至區塊鏈中,身分需要先被確認後才能加入,又可分為:

1.私有鏈

具中心者(建立區塊鏈之最高權限者),區塊鏈成員有限,故整體網路交易速度較快且成本較低,比公有鏈的安全等級更高,且具備身分驗證。

2.聯盟鏈

成員為機構或組織,一個機構或組織能擁有多個節點,可以幫助機構間進行資料或交易傳輸。

(三)混合鏈

結合公有鏈與私有鏈的特點,每個節點可以有不同的權限,但開發成本較高。

以上類型沒有任何一種應用方式占絕對優勢,端看應用層面為開發依據,接下來就應用在審計方面的電子函證區塊鏈架構與作業流程進行介紹。

二、電子函證區塊鏈架構

依函證作業流程需求,電子函證區塊鏈導入之區塊鏈類型為許可鏈(根據開發亦可擴展為混合鏈),主要參與成員為審計方與回應方,為了維持整體網路資訊傳輸速度及減少傳輸成本,電子函證區塊鏈內各節點分為函證節點、共用節點與直連銀行節點(見【圖五】):

【圖五】電子函證區塊鏈作業流程

(一)函證節點

審計方共用之一節點。考量審計方組織數量與規模,於函證節點架設Web共用系統(查核單位)以供審計方參與電子函證區塊鏈。

(二)共用節點

回應方共用之一節點,參與者為非直連銀行。考量國內銀行電子化程度、規模、各支行硬體設備等因素,於共用節點架設Web共用系統(銀行)以供非直連銀行以人工填覆方式參與電子函證區塊鏈。

(三)直連銀行節點

回應方之多節點,參與者為直連銀行。透過大型銀行或銀行總行之設備與高電子化特色,為主要維持電子函證區塊鏈之節點,並直接與銀行內部資料庫連線,達到自動化填覆功能。

三、電子函證區塊鏈作業流程

(一)步驟一

查核人員(審計方)登入Web共用系統(查核單位)進行函證申請,查核人員登入節點後,可以進行填寫詢證單作業(見【圖六】)。

【圖六】電子函證區塊鏈作業流程步驟一

(二)步驟二、三、四

透過Web共用系統(查核單位)向受查客戶請求授權,受查企業以工商憑證註冊進行授權簽章,此階段Web共用系統(查核單位)會執行驗證以確認受查企業存在性與受查企業與審計方之關係(見【圖七】)。

【圖七】電子函證區塊鏈作業流程步驟二、三、四

(三)步驟五:直連銀行節點

授權之函證發函至回應方,回應方分為直連銀行節點與共用節點。直連銀行節點主動接收函證請求,並直接與銀行資料庫進行核對及自動填覆,約在一天內或僅需數小時即可回函(見【圖八】)。

【圖八】電子函證區塊鏈作業流程步驟五:直連銀行節點

(四)步驟五:共用節點

授權之函證發函至回應方,回應方分為直連銀行節點與共用節點。共用節點為非直連銀行利用Web共用系統(銀行)進行接收電子函證,以人工填覆方式於系統上直接回函,回函時間較長(見【圖九】)。

【圖九】電子函證區塊鏈作業流程步驟五:共用節點

(五)步驟六

一旦回應方確定回函,函證直接回傳於函證節點,Web共用系統(查核單位)提供載點以供下載,電子函證係經數位加密,若為放行人員所下載,則需經由線下傳遞(區塊鏈網路以外)方式交由會計師,會計師以自己私鑰解密函證(見【圖十】)。

【圖十】電子函證區塊鏈作業流程步驟六

四、電子函證區塊鏈分析

電子函證區塊鏈具身分驗證、授權及資訊安全保證,並藉由區塊鏈之特性,達到流程軌跡查證,提供不可竄改之log紀錄勾稽查詢與軌跡查證授權,增加函證證據之可靠性。除此之外,直連銀行節點進行100%回覆率之自動化回函,節省銀行於函證部門之人力成本,並縮短會計師函證作業時間,降低函證證據取得成本,增加審計品質,為電子函證區塊鏈之優勢。

考量到國內環境較為特殊,導入電子函證區塊鏈需要公部門來執行,故產生是否需要監管與收費之問題。電子函證區塊鏈為許可鏈,就架構上來說,架設區塊鏈網路者(中心者)擁有許可進入權,以保障此網路不會有非相關的參與者存在,並承擔維護區塊鏈網路運行之責任,而函證作業流程中應負擔此成本(伺服器運行、維護與Web共用系統建置等)之對象為審計方,可藉由函證節點之Web共用系統進行計費,以達成使用者付費之效,故對於整體函證作業來說,中心者不需要監管即可運行,不應將函證證據可靠性之查證責任轉嫁由公部門所承擔。

國內導入電子函證區塊鏈,除了監管與收費問題,就現行設計之電子函證區塊鏈作業流程,考量回應方分為兩種類型,以下兩問題仍需探討:

(一)國內銀行電子化普及率

國內銀行支行電子化程度仍偏低,以人工填覆方式參與電子函證區塊鏈流程,未能根本解決銀行人力成本問題。若國內銀行電子化普及率提高,則可以考慮以Web共用系統(銀行)直連各支行進行資料庫連接,達到自動化回函效果。

(二)催函流程

非直連銀行之回覆率是否由區塊鏈架設方(中心者)進行把關?如前段討論,中心者不需監管函證作業流程,若催函流程由中心者負責,將會與國外第三方電子函證機構扮演之角色功能相似,在目前無法達到100%電子化的情形下,中心者承擔催函責任只是其中一種解決方式,又或者可以考慮諸如以與回應方簽約時即明定回覆率、以獎勵方式提供誘因等方式,中心者可與審計方和回應方共同商議如何改善回覆率與催函方式。

陸、電子函證不同類型比較

將一般電子函證、第三方電子函證機構、電子函證區塊鏈等不同類型之比較彙整如【表一】。

【表一】電子函證不同類型比較

柒、小結

函證為重要之審計證據,紙本函證作業實行以來產生諸多問題,隨著電子函證趨勢到來,審計方仍需要謹慎評估其成本、效益與限制。電子函證區塊鏈之作業方式,能提供一管道讓會計師事務所能達到100%銀行函證回覆率,有別以往消極等待回函,審計方可以避免諸如博達案未收齊證據即出具報告之作為,節省時間成本,並減少舞弊風險。考量到國內金融體系之特殊,導入電子函證區塊鏈之可能性與效率比其他國家高,公部門應充分思考其在區塊鏈網路中之角色,在國內還未完全銀行資料庫電子化的情況下,必須搭配配套措施讓非直連銀行節點亦有高回覆率。透過完善的流程設計,國內電子函證區塊鏈導入可預期提升整個審計的品質。

本文刊登於月旦會計實務研究,第5期:稅改浪潮來襲,應該如何因應

 

影音館

書籍

從反洗錢法制趨勢看公司治理
稅捐優惠與稅捐不利負擔
會計師節限定禮遇,月旦會計網

月旦會計實務研究月刊跨數位平台,月旦會計網
從反洗錢法制趨勢看公司治理
稅捐優惠與稅捐不利負擔
會計師節限定禮遇,月旦會計網

月旦會計實務研究月刊跨數位平台,月旦會計網
^