如何運用電腦輔助查核技術(CAATs)協助風險管理

政府和各大企業組織都知道必須落實以風險為導向的內部控制與稽核制度,但它是否有真正在組織內部被落實?企業的風險是否有被辨識出來的? 影響範圍多大? 內部稽核人員是否有能力執行有效之確認性(Assurance)服務?此議題正嚴峻的考驗著我們。

企業經營為具有風險性之投資行為,目的是為牟取利益。面對企業經營諸多的不確定性因素,需經由確認(Assurance)的程序,以確保所採取的行動及判斷是正確的,並有助於企業經營目標之達成。例如公司財務報表上的數據,是否完成信賴度之確認性工作,以供為決策參考之依據。Dr. Hart Will 對確認(Assurance)的定義有了下面精闢的見解:

確認是指資訊能夠符合其接受者 (或其使用者) 的知識 (或信仰、信任或信心) 需求,以支援在一或多個特定背景中之合理行為的充份必要證明。 

 使得電腦輔助查核技術CAATs的運用,自2002年美國沙賓法案公佈之後,獲得相當廣泛的迴響,除了輔助企業內部控制有效性的查核與確認之外,還包括資訊系統安全、資料品質、以及舞弊的查核,它運用資料分析技術,協助我們迅速辨別問題之本質,突顯潛在風險區塊,這是內部稽核工作的重點及應具備的技能。

電腦輔助查核技術(Computer Assisted Audit Techniques, CAATs)的本質

一般內部稽核人員對CAATs的認識,多半仍停留在電腦稽核工具的運用,如Excel、Access及ACL等,能夠提升查核品質和節省時間及成本;但僅有少數的人能夠真正瞭解它的本質,及它與『資料分析技術』間的關係。

  • 資料分析(Analysis of data)是以發現有用資訊、建議具體結論及支持決策的目標所進行檢視、清理、格式轉換、和模組化資料的作業流程,數據資料分析具有多重面向和方法,在不同商業、科技和社會科學領域裡,各種名目之下涵蓋不同的技術。

資料採礦(Data Mining)是一種特定的資料分析技術,專注於模組化及知識發現上,做為預測而不是純粹描述性的目的。

商業智慧(Business Intelligent)涵蓋很大程度上依賴彙集、重心放在業務訊息上的資料分析。

–在統計應用中,有些人劃分的資料分析為描述性統計(Descriptive Statistics)探索性資料分析(EDA, Exploratory data analysis)證實性資料分析(CDA, Confirmatory data analysis), EDA專注於發現資料中新的特性(New Features),而CDA則是在進行證實或否定已知的假設

預測分析(Predictive Analyics)側重於統計或結構模型的應用以進行預測或分類。

文字分析(Text Analytics)應用統計、語言和結構技術,從文字敘述來源或非結構化資料中擷取及分類資訊。

  • 資料整合(Data Integration)是資料分析的先行步驟和資料分析是緊密地與資料數據可視化與資料傳遞相連,因此資料分析一詞有時候被當作資料建模的同義詞。

資料分析可以做到下列項目:

  • 辨別問題之本質、精確地確認差異、突顯潛在風險區域。
  • 依照使用者作業準則,藉由比較分析檔案資料的方式,找尋錯誤及可能舞弊的地方。
  • 重新計算及確認餘額。
  • 確認各流程控制點及確保各作業準則之遵循‧
  • 可對應收、應付帳款及任何時間敏感性交易進行帳齡分析‧
  • 藉由對重複付款、帳單號碼缺漏或未發帳單的測試,回復其多支出或所損失的金額‧
  • 可測試出未授權員工與廠商間不正常的關係‧

利用CAATs協助風險辨識與評估

組織依其風險管理策略,擬訂風險管理目標,進行風險辨識與評估。首要先進行風險辨識(Risk Identification)及其影響範圍(Consequence)。交易資料(Transactional Data)是企業營運的結果,下圖顯示COSO與COBIT內部控制目標的關係圖,很明顯地看出,營業循環(Business Processes)所產生的交易資料(Transactional Data)儲存於資訊系統之資料庫,可提供我們運用CAATs來偵測出發生風險之區塊及來源,進而鎖定並計算風險影響範圍,然其要件為有妥適之資訊作業控制,以確保財務交易資料之完整性與正確性。茲將造成財務交易資料不完整與不正確之緣由及偵測方式,詳述如下:Transactional Continuous Monitoring

(1)  交易資料記錄不完整(Non-integrity)

  •  輸入(Input)

系統開發、導入或維護時,未建置妥適之控制機制,導致有交易資料記載不完整或不正確,影響組織內部控制之有效性,進而造成財務報表誤述及公司管理當局依錯誤之管理報表做出不當的決策,為了驗證公司有無此類風險,其執行方式如下:

    • 可執行CAATs的資料完整性檢驗程序,偵測與控制目標有關的交易資料,檢驗所有數值欄位的加總及筆數,依據範圍條件和原始文件或系統報表核對是否相符,且將正數值、負數值與零值個別累計,與資料欄位定義及公司內控制度是否相符,如右圖顯示存貨金額為負(Negative)的情形,此時要探究存貨管理系統內之存貨數量及價格之設定是否正確?Statistics
    •  對於有關作業順序之控制性資料欄位,偵測資料是否有缺漏(Gap)或重複(Duplicate)編號,以驗證序號或欄位值的正確性、關鍵欄位的唯一性、及多重關聯式資料庫新增與修改的一致性等,例如:地址城市名稱『台北市』與『北市』,將會被視為兩個不同的城市;同一個客戶於營運系統中被賦予兩個以上的代號,致虛增其信用額度。對於重複下採購單、重複請款及重複付款等情況,可以用CAATs的重複性測試程序,可依據特定資料態樣(相同的供應商、憑單日期、應付款金額)進行分析,從下圖重複性測試結果,發現憑單單別與單號皆不同,但與舞弊徵兆,標示出重大風險區塊,再進行深度範圍的資料分析與查核,顯然較人為之辨識來得精確和有效,進而評估風險發生的可能性與其嚴重性。

Duplicate

 

  • 處理(Process)

通常我們不會懷疑系統資料處理能力及其資料之正確性,然而你相信銀行或電信公司向你收取手續費或通話費的計算正確嗎? 這個道理很簡單,因為那些程式是人撰寫出來的,即使經過嚴格的測試程序,亦難保不會出現Bug,且經營環境不斷的改變,相關資料處理的邏輯運算亦會隨之改變,如其程式變更控管作業不是很完善(這是業界普遍性的問題),發生財務報表誤述及管理報表數據錯誤的機率就大增,CAATs可協助我們重新驗算資料處理的正確性及完整性,依照資料處理的運算邏輯,演算出結果,再進行資料比對作業,很快能夠掌握系統在處理資料的正確性與完整性,若出現差異,也能夠迅速進行風險評估及釐清影響範圍,如下圖關於業務人員(Sales_no)佣金發放正確性查核,可利用CAATs的方法重新計算是否有多付的情形。

Process

  • 抛轉、轉換與傳輸(Transfer、Conversion、and Transmission)

企業之業務系統隨著營運規模及業務項目之擴展而增設,致交易資料需要於不同業務系統及模組間抛轉、轉換或傳輸,將遇到不完整的情況,半自動化資訊作業環境的企業尤甚,主要是因為他們的核心營運作業系統與財會系統無法直接連結,需經由中介系統轉換或人工轉檔的方式,進行資料交換作業,因而大幅增加資料抛轉、轉換、及傳輸之風險,例如右圖運用CAATs資料分析技術,利用採購單號將應付帳款資料檔與採購單檔進行聯結,再利用Filter功能,篩選出沒有對應到的應付帳款記錄(如下圖),尋找其發生原因,並研擬適當的改善措施。

relationFiltering

  •  輸出報表(Output Report)

報表輸出控制之目的,在確保完整及正確地呈現資料庫的資料,無重複或遺漏的情況,且將資料欄位值正確轉譯為報表使用者所瞭解的文字及正確傳達資料的真實意涵,不致有遭誤解之情形,有些報表上的欄位資料是經由報表程式運算所產生的,驗證這些額外的報表欄位資料之正確性與完整性,也是我們查核工作的重點之一,CAATs可以協助進行報表上數據計算正確性與完整性的驗證,同時,也可以與資料庫中的原始資料進行核對,是否有任何缺漏或重複的地方,或者是資料轉譯錯誤,藉此建立風險範圍,深入瞭解系統程序開發是否依照標準作業程序進行,是否符合內部控制作業目標。

(2)  交易資料異常群組態樣

在大量交易資料中,潛藏著許多不為人知及有用的訊息,如果不經過適度的歸類,將很難一窺其中的奧妙,依照不同群組歸類彙總數值欄位,將非常容易辨識出異常資料及突顯出重大性風險之區塊。

  • 依照資料屬性分類

在資料分析裡,最經常性的作法,是利用資料內容的各項屬性進行分類如客戶別、供應商別、部門別、訂單號碼、交易型態等,累計發生的頻率與次數,和累計相關的數值欄位資料,辨識出重大或異常違反公司內控政策的資料屬性,而我們可以依照累計金額及發生交易次數的多寡排序,顯示出最大風險範圍,或者是檢查異常群組所產生之不合法交易,找出真正違反公司政策的交易資料,從趨勢分析過程,可以挖掘出許多不為人知的內部控制弱點及人為弊端。

  • 依照資料數值範圍分層

將交易資料依特定不同數值範圍分層產生群組,累計發生的頻率與次數,和累計相關的數值欄位資料,很容易突顯出重大風險資料範圍,從各群組數值欄位所佔比率,我們可以用來評估它對整體財務資料的衝擊程度,同時,也可以很容易發覺異常數值資料存在於資料庫當中,我們仍繼續需要依賴CAATs的資料分析方法,篩選(Filter)出異常資料出來,進行深入調查這些交易記錄的正當性。

  • 依照資料期間分期

許多交易資料對時間具有相當的敏感性,如逾期應收帳款、存貨存放期間、食品有效期等,除了計算時間成本(利息費用)以外,還要評估發生呆帳或損失的機率有多高?衝擊有多大?目前市面上的通用稽核軟體,皆可以依照交易日期或到期日與截止日期做分期彙總分析,藉此聚焦於重大風險區域上。

 

(3)  關聯性資料檔間明細帳與總帳不一致

相信這是許多財務會計人員經常面臨頭痛的問題,應用系統各模組間明細帳與總帳餘額不符,主要原因來自於系統程式邏輯問題、或資料庫結構及索引檔不穩定所致,常導致重大財務報表的誤述的情況,而且有可能引起重大財務危機事件,許多資訊單位,直覺地從系統內部建立勾稽報表來解決,但並沒有真正解決整體結構性問題,因此,利用CAATs於系統外部,進行過帳驗證作業,將上期結轉金額加上本期交易累計數,重新計算期末數,再與原檔案期末金額比對是否一致,若經常發生差異,表示系統程式過帳處理作業的完整性與正確性有很大的的風險,不過也有可能是人為疏失,藉此,可以迅速將重大風險位置確認出來。

(4)  交易限額管控無效

不論是人工作業或是系統自動化作業,皆會建立許多額度控管的機制,如客戶信用額度,一旦控管失效,經常會危及公司的現金流量及資金調度,容易發生呆帳或成本浪費及收入減少的情形,其重要性可見一般,因此,CAATs可以將交易明細資料依照資料屬性(如客戶代號)分類彙總,再和主檔聯結,接著將明細資料彙總額與限額比較是否有超限,藉此,判斷系統內相關額度控管的有效性,風險就能夠被迅速標定。

(5)  交易資料處理的不當授權與核准

當在應用系統上輸入交易資料時,系統上必須先具備適當的存取控制機制,建立、更改、查詢、刪除、及核准等權限,因此,透過CAATs將交易明細資料與系統權限表進行比對,是否有違反授權之情形,當然,系統權限表應先被複核是否有違反公司職能劃分政策的情況,此將能很快辨識出企業組織在職能分工控制活動的設計是否有效,以及釐清風險範圍。

(6)  不相干的交易資料發生異常關聯性

在不相干的交易資料間產生關聯,例如:員工基本資料檔員工的地址與供應商主檔的地址相同,這是導致舞弊風險的主要來源之一,經過CAATs的資料連結與核對,可以迅速鎖定查核目標,再進一步定義出風險範圍,當然,這種查核模式,必須建構在豐富的創造力與想像力,而批判性思考(Critical thinking)是大家必須先具備的能力。

持續性風險監控與評估

當所有風險項目被辨識出來之後,可以透過CAATs的自動化程序,不論你是採用那一種稽核工具,目前大部份都已具有巨集或自動化批次作業的能力,可協助迅速達到自動化定期查核的目的,以有限的人力及高效率進行持續性的風險監控,相關控制活動執行的有效性將可獲得確保,任何異常事件將可經過事先設定的篩選條件而被偵測出來,因此,不論風險評估及控制設計做的再好,如果沒有持續有效的監督,那控制作業的有效性將無法確保。

Continuous Audit

總結

廣泛且有效地運用CAATs在企業風險管理及內部控制環境查核中,可提供我們一個大幅改善作業績效及降低營運風險的機會,加強自動化稽核作業與分析技術於企業組織內的運用,所產生的效益將非常容易反應在投資報酬上,大家不應忽視這個營運改善的機會。

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員