首頁 » GRC&BA » 營運確保(BA) » 在海量資料環境下的舞弊防制與持續性稽核

在海量資料環境下的舞弊防制與持續性稽核

第5屆鑑識會計高峰論壇論文徵選入選文章:

摘 要

高度資訊化的環境下,為有效做好舞弊防治工作,大量並且全面地、經常分析異常交易資料已是必經的途徑,面對日常工作所使用的系統環境日趨複雜,營運活動不斷地在改變,以及為規避現有偵測技術而不斷翻新的舞弊手法。要能夠進行持續性分析與偵測工作,但又要顧及錯誤警示發生的風險和個人隱私的保護,真的需要發揮你我的創造力與想像思考能力,充份運用專業知識與實務經驗,來阻絶舞弊事件的發生和影響範圍;面對海量資料環境,要如何及時與有效地決定營運過程中的重要風險區域,適時進行風險分析與評估,端賴事前建立完整的內部控制制度與有效執行,並能夠持續及時進行稽核確認(Audit Assurance)與監督作業。

壹、 前言

最近大家都喜歡討論Big Data,有人說是「巨量資料」、「大數據」、或者是「海量資料」,不管中文名詞是如何翻譯?都是在講日常生活或是工作場所裡所產生的大量電腦數據資料,而目前探討Big Data(海量資料)的方式有很多種,大部份都是在談如何導入使用大數據管理系統或者是從提升資訊安全標準的角度出發,例如個人資料保護等,然而,我們必須在這裡先釐清什麼是Big Data? 根據維基百科的定義指出「Big Data是所涉及的資料量規模巨大到無法透過人工,在合理時間內達到擷取、管理、處理、並整理成為人類所能解讀的資訊。在總資料量相同的情況下,與個別分析獨立的小型資料集(data set)相比,將各個小型資料集合併後進行分析可得出許多額外的資訊和資料關聯性,可用來察覺商業趨勢、判定研究品質、避免疾病擴散、打擊犯罪或測定即時交通路況等;這樣的用途正是大型資料集(data set)盛行的原因。」所以,Big Data(巨量資料)對我們來說,能夠產生價值(Value),對我們或公司的經營有利,才是我們要使用的資料,不然,就是一堆垃圾,不值得投入浪費太多時間與精力在整理無用的資料上。大家應該能夠理解,就是要和企業的營運目標與策略一致,而以一般資訊使用者的角度來說,就是要和個人使用需求一致。
海量資料是現代科技的產物,隨著資訊化服務品質的提升,以及網路訊息傳遞所帶來的便利性,交易型態的改變,流程不斷地翻新,交易被要求處理的速度不斷地加快,資料堆積成長的速度也十分驚人,然而,魔鬼就在資料裡面,就是因為,它的資料量龐大,交易速度加快,交易型態與種類繁雜,相信公司主管人員沒有能力、也沒有時間去檢查交易的真實性與完整性的比率,將大幅增加,如何做到大海撈針,迅速又確實?在現今已經變成一門顯學,大家都在找尋最適切的方法,防止弊端的發生,減少重大財務損失的風險。
所謂海量或者巨量資料,來自結構化及非結構化的資料系統,例如我們日常工作使用的ERP系統或相關辦公室作業的管理應用系統,其資料來源是來自日常交易行為和營運上的需求,依照預先建置的作業流程,有系統、有組織地記錄到資料庫中,方便我們做後續的分析與產出管理報表,另外,我們還會從外部取得第三方資料庫資料,方便我們進行勾稽與比對,而在非結構性資料裡,例如系統工作日誌檔案,或者是網路傳遞訊息記錄檔案,記錄所有使用網路的人員進出網域及登入系統記錄,這些往往是內部控制作業查核比對的目標,也是確認線上使用者權限劃分及授權適當性與合理性的資訊來源,加上近年來社群網路的興起,許多交易的洽談、合作、協議、溝通、交流、經驗分享、影像、照片圖案、文件檔案等的傳遞,不但已構成資訊安全上的考量,同時,也影響到營業祕密的保全,對所有企業內部負責營運的主管或是從事分析與內部稽核的人員,都構成一大挑戰。

貳、 探索海量資料的發展與潛在風險

在二十一世紀數位時代裡,政府與私人企業組織基於永續經營原則,會宣示其主要營運目標及經營理念,面對未來不確定的經營挑戰,各組織都必須建構一套完整的風險管理與評估制度,以有效掌控可能發生的重大風險及衝擊影響程度,不論是COSO ERM企業風險管理整合性架構,還是ISO31000風險管理標準,要如何及時與有效地決定營運過程中的重要風險區域,適時進行風險分析與評估,端賴事前建立完整的內部控制制度與有效執行,並能夠持續及時進行稽核確認(Audit Assurance)作業;現代內部稽核能力的展現,是基於有足夠能力對組織持續進行營運績效評估作業,做到持續改善的風險管理目的,而『稽核分析能力(Audit Analytics Capability)』是否具備足夠的成熟度(mature ),扮演中間關鍵的角色,它是所有組織實現對內部控制作業『持續性稽核、監控與確認』的碁石,有效控管組織風險的最佳途逕與方法,相信這是管理階層的主要責任與管理目標。
電腦稽核在台灣發展已二十多年,一直到最近幾年,才逐漸受到大家的重視,當然也要拜全球資訊化及行動化之賜,除了雲端科技在企業內部的普遍應用以外,海量資料的收集與分析,更是促使所有政府單位與企業主管迫不及待要解決的問題,在現今的資訊環境裡,已經不能再用單向思考模式,只仰賴資訊部門提供的管理報表,實已不足以應付日常多變的決策管理模式,交易資料量的大型化與型態的多樣化,迫使營運、財務分析人員和內部稽核人員必須具備動態多維度分析架構,做到與資料互動的能力,進而從中獲取有價值的資訊與異常資料,方便管理階層能夠立刻做出回應。BI報表的目的,是方便我們能夠及時監督和立刻回應,但必須更深入瞭解資料態樣或探尋問題發生原因時,似乎缺少一套能夠以交易資料層(Transactional Data)進行探查且可以隨時依各種不同維度階層做出分類彙總找出差異,有誰說這個可以事先規劃好?特定式專案分析(Ad Hoc Analysis)是我們對事情分析的基本能力,每次分析都會有不同的看法及想法,想看哪裡?就看哪裡?一個好的資料分析或內部稽核人員就是必須要具備這樣的能力,才足以應付主管決策判斷的需求。
如同維基百科所解釋「海量資料(Big Data)」是指資料量規模巨大到無法透過人工,在合理時間內達到擷取、管理、處理、並整理成為人類所能解讀的資訊,截至2012年,單一資料集的大小從數兆位元組(TB)至數十兆億位元組(PB)不等。它具備四種特性:

一、 海量(Volume) – 大量資料的產生、處理、保存。
二、 速度(Velocity) – 處理時效,Big Data其中一用途是市場預測,處理的時效太長即失去了預測的意義。
三、 多樣性(Variety) – 資料形態的多樣性包含文字、影音、網頁、串流等等結構性與非結構性的資料。
四、 真實性(Veracity) – 資料的來源變得更多元,資料本身的可靠度,品質是足夠?若資料本身就是有問題的,分析後的結果也將不會是正確。

         VINCENT M. WALDEN(2014)於ACFE Fraud 雜誌2014年8月份刊出一篇「Big data」- Big risks require big data thinking (巨量風險需要巨量資料的思維) , 這是一個非常好的思考角度,許多人都只針對眼前的認知來思考事情的發生與解決方式,但都沒有進行廣泛全面性的探查,深入瞭解問題發生的面向,以及可能帶來衝擊的嚴重性,這時候BIG Data和你所面對問題挑戰有什麼關聯性? 想必這個又會是從確認(Assurance)或稽核(Audit)或監督(Monitor)的角度出發,只有從這個角度,才能夠讓你免於遭受重大風險的衝擊!我們必須特別強調,企業需要能夠看到一個範圍廣泛的風險群組(Risk Group),其中包括更多的數據資料來源,使用更好的工具和對不斷增長中的數據資料量即時分析或接近即時分析,它會使我們的營運監控和法令遵循稽核計畫的制訂更有效率及效果,並將焦點高度集中在重要企業營運作業有缺失、容易發生錯誤和舞弊欺詐風險領域中,例如臨櫃交易、採購付款、退貨作業、客服中心等。
這裡特別舉出一家全球技術領先的藥品製造公司為例,他們運用「資料分析技術」(Data Analysis Technology)設計「監控模式」,來管理他們銷售代表與醫療保健專業人員在某些高風險國家間所從事交易活動、人員之間的交往互動與訊息交換,是否符合公司的政策和程序規範,在過去有許多內部稽核或舞弊調查人員使用傳統的檢查方法,只考慮使用一個主要數據資料來源進行分析,例如差旅和交際科目資料,但現在公司採取了許多不同的思維的查核方法,加入“巨量數據資料”的思考方向,公司不僅僅是採用傳統的電子試算表(如Excel)和資料庫應用軟體(如SQL),它們加入了多個結構化與非結構化數據資料來源進行整合,配合更先進可視化分析(Visualization Analysis)和文字探勘(Text Mining)的應用,使得這些數據資料來源包括演講活動資料、差旅和交際科目、產品樣本、銷售和客戶關係管理的資料、醫生互動資料、還有社群網路資料被聯結,具體呈現在眼前,同時,公司透過新發展出來的分析方法,劃分不同的風險等級,利用互動式監控儀表板(Dashboard),從所提供可視化圖表來判斷異常交易、資料錯誤、以及員工惡意舞弊不法等行為,大幅提高公司營運流程作業的透明度,顯著地降低公司財務上的損失;從這個案例,我們可以看出來,若心中沒有「BIG Data」(巨量資料)的概念,如果,你還是在默守成規,對公司經營環境的變化,完全不關心,即使今天公司遭遇重大意外、災難或是舞弊事件,你仍然是會被蒙蔽,並不想真正地去瞭解問題發生的成因,更不用說要如何採行正確的改善行動,公司損失的持續擴大,應是無可避免的。
當然,現代資訊科技的發展,也為我們創造許多機會,巨量資料意謂著巨大的機會,巨量資料分析技術與科技的運用,對許多產業和區域具有多重職能身份的高階企業主管,當他們在進行營運決策時,有著相當顯著的影響,是否具備足夠能力去整合不同數據資料來源的資料與資訊,進行資料分析,將原本難以瞭解和解釋的現象,一一挖掘出來,辨別出市場產品趨勢,消費者購買行為的傾向,或是員工舞弊詐欺的異常交易,提供具體解決方案,才能夠搶得先機並採取必要的行動!

參、 資料分析技術的發展對e化時代舞弊查核的影響

一般內部稽核人員對電腦輔助查核技術(Computer Assisted Audit Techniques, CAATs)的認識,多半停留在電腦稽核工具的運用,如Excel、Access、ACL、Idea及Arbutus等,能夠提升查核效益,節省時間及成本,但仍然較少的人能夠真正瞭解它的本質,更別說它與『資料分析技術』間的關係。
維基百科對「資料分析(Analysis of data)」的定義是,以發現有用資訊、建議具體結論及支持決策的目標所進行檢視、清理、格式轉換、和模組化資料的作業流程,數據資料分析具有多重面向和方法,在不同商業、科技和社會科學領域裡,各種名目之下涵蓋不同的技術。

一、 資料採礦(Data Mining)是一種特定的資料分析技術,專注於模組化及知識發現上,做為預測而不是純粹描述性的目的。
二、 商業智慧(Business Intelligent)含蓋很大程度上依賴彙集、重心放在業務訊息上的資料分析。
三、 在統計應用中,有些人劃分的資料分析為描述性統計(Descriptive Statistics)、探索性資料分析(EDA, Exploratory data analysis)及證實性資料分析(CDA, Confirmatory data analysis), EDA專注於發現資料中新的特性(New Features),而CDA則是在進行證實或否定已知的假設
四、 預測分析(Predictive Analyics)側重於統計或結構模型的應用以進行預測或分類。
五、 文字分析(Text Analytics)應用統計、語言和結構技術,從文字敘述來源或非結構化資料中擷取及分類資訊。

因此資料分析可以做到下列幾個重點:

一、 辨別問題傾向、精確地確認差異、突顯潛在風險區域。
二、 依照使用者作業準則,藉由比較分析檔案資料的方式,找尋錯誤及可能舞弊的地方。
三、 重新計算及確認餘額。
四、 確認各流程控制點及確保各作業準則之遵循‧
五、 可對應收、應付帳款及任何時間敏感性交易進行帳齡分析‧
六、 藉由對重複付款、帳單號碼缺漏或未發帳單的測試,回復其多支出或所損失的金額‧
七、 可測試出未授權員工與廠商間不正常的關係‧

CAATs的資料分析技術要件包含:

  • File access 可以讀取各種不同檔案結構及記錄格式的資料
  • File reorganization 可以對資料檔進行索引或排序、與另一關聯性檔案進行連結或結合的作業
  • Data selection 可以建立過濾條件及選樣標準,或者利用統計抽樣的方法
  • Statistical functions 可以進行統計分析、分類、分期、分層和頻率分析
  • Arithmetical functions 可以使用算術運算子及函數

舞弊查核的各種資料分析技術

一、 統計參數的計算,如平均值、標準差、用最高和最低值來判別統計數據上的差異。
二、 分類彙總目的是要找出各資料群組的態樣與之間的關聯。
三、 數值資料範圍分層彙總找出未經常出現及偏遠的數值。
四、 執行班佛數位分析,可辨別出統計上較不可能出現的數值金額。
五、 聯結不同資料來源,進行資料合併與比對,找出中間不相符的差異,如姓名、地址、電話、或序號等。
六、 重複性測試可檢視出簡單與複雜條件式的重複資料情形。
七、 缺漏項測試可辨識出連續編號資料的遺漏情形。
八、 加總測試可檢查報表合計數字是否被竄改。
九、 資料輸入日期的驗證,為辨識不當或可疑的資料輸入或過帳日期

 

由此可知CAATs的核心其實就是資料分析技術,透過它,我們將非常容易探索並找尋資料內所隱藏不為人知的祕密。

我們非常瞭解風險管理是一個多維度的管理,可以從許多不同面向切入,下列舉出幾個企業風險管理的策略:

 

 營運風險管理
 專案風險管理
 企業永續經營管理
 自行控制評估
 資訊及通訊技術的發展
 環境及環保管理
 職業健康與安全
 風險值
 管理目標與策略
 公司治理
 安全
 設施管理風險
 舞弊防範管理
 法令遵循政策

根據擬定的風險管理策略,找尋風險管理目標,進行風險辨識與評估,首先,要先進行風險辨識(Risk Identification)及其影響範圍(Consequence),交易資料(Transactional Data)是企業營運的結果,右圖顯示COSO與COBIT內部控制目標的關係圖,很明顯地看出,營業循環(Business Processes)所產生的交易資料(Transactional Data),透過資訊系統(Information systems),並且在適當的存取與授權控制下,建立在資料庫裡,相關資訊系統控制如應用系統控制(Application Control)和一般資訊環境控制(ITGC)之有效性,是確保財務交易資料的完整性與正確性的基本條件。從這裡面我們可以運用CAATs來偵測出發生風險的位置和其來源,並藉此達到鎖定並計算風險影響範圍。
Transactional Data Monitoring

圖一

一、 交易資料記錄不完整(Non-integrity)

(一) 輸入(Inpute)

不良系統輸入控制,造成交易資料記錄錯誤或不完整-
這個經常發生在系統開發或導入時,未依據內部控制目標設立系統控制環境,而導致交易資料經常記載不完整或輸入錯誤的情形,財務報表誤述 (misstatement)的可能性就變得極高,提供錯誤的管理報表數據,當然會讓公司管理當局做出重大的決策錯誤;為了探究公司是否存在這一類風險,可簡單執行CAATs的資料完整性檢驗程序,偵測與所有控制目標有關的交易資料,是否有完整性不足的情形,方法包括,檢驗所有數值欄位的加總及筆數,依據範圍條件和原始文件或系統報表核對是否相符,同時,還可以將正數值、負數值與零值個別累計,與資料欄位定義及公司內控政策是否相符,例如右圖顯示存貨金額有負的情況,這時候要判斷存貨管理系統內之存貨數量及價格,是否有依照公司內部控制政策來設定,而一些有順序關係的控制性資料欄位,可以驗證其資料是否有缺漏(Gap)或重複(Duplicate)編號之情況,這將會導致資料被忽略或錯誤處理,這些簡單的檢查方式可以提供我們一項重要資訊,公司的營運資訊系統是否有遵循公司的內部控制政策來設定,它是保障公司的內部控制設計是有效的,但是,如果經過確認系統已有遵照內控政策設定相關控制程序,但經檢測交易資料仍發生資料記錄不全或輸入錯誤的情形,則表示公司的資訊系統控制執行無效,風險範圍將立刻被顯現出來,當進行風險評估時,還能夠依據CAATs的分析結果,定義出影響後果的嚴重性之量化指標,一舉多得。

Statistics圖2

系統輸入控制良好,但所輸入資料有瑕疵-
一個良好的系統控制環境,有效的輸入控制是保障交易記錄完整性的基本要件,因此,除了確認所有資料欄位輸入的有效性以外,還包括系統自動序號的正確性、關鍵欄位的唯一性、及多重關聯式資料庫新增與修改的一致性等,但許多資料品質輸入的瑕疵問題,如地址城市名稱『台北市』與『北市』,依照現行系統控制架構,除非已有考量到過濾問題資料的控制程序,否則,它們會被視為兩個不同的城市,客戶名稱或供應商名稱也一樣,因此,會不會有一個客戶在公司系統中被給予兩個以上的代號,信用額度加倍的情形,或者是重複下採購單、重複請款、重複付款,在現行資訊系統控制良好的情形下,因為人為的疏忽或者是刻意繞過控制程序所建立的資料,我們可以利用CAATs的重複性測試程序,對特定資料態樣(相同的供應商、同一天付款、相同的品項、及數量)進行分析,其實這是舞弊查核的初步,尋找可能的徵兆,標示出重大風險區塊,比起人工辨識來得精確和有效,再進一步探尋風險發生的可能性與其嚴重性。

Duplicate圖3

(二) 處理(Process)

        我們經常習慣去相信資訊系統的運算能力,但從不去懷疑資料處理的運算邏輯是否正確?例如你相信銀行或大哥大公司向你收取手續費或通話費的計算都完全正確嗎?這個道理很簡單,因為那些程式都是人去寫出來的,即使經過嚴格的程式測試程序,都難保之後不會出現Bug,主要原因是人的邏輯很容易出現盲點,尤其是來自經營環境不斷的改變,相關資料處理的邏輯運算是否會隨之異動? 如果剛好碰上自身的程式變更控管作業不是很完善(這是業界普遍性的問題),當然,發生財務報表誤述及管理數據錯誤的機會就會大增,CAATs可協助我們重新驗算資料處理的正確性及完整性,依照資料處理的運算邏輯,演算出結果,再進行資料比對作業,很快能夠掌握系統在處理資料的正確性與完整性,若出現差異,也能夠迅速進行風險評估及釐清影響範圍。

處理運用

圖4

(三) 抛轉、轉換與傳輸(Transfer、Conversion、and Transmission)

         在一個高度資訊化的企業環境裡,凡事講求作業效率,但熟悉資訊系統控制的資訊人員,會經常點出交易資料在不同模組間抛轉、轉換或傳輸所遇到不完整的情況,這裡並不是單獨指ERP系統,許多採用半自動化資訊作業環境的企業,所存在這一類的問題會更多,主要是因為他們的核心營運作業系統與財會系統無法直接連結,需要依靠中介系統轉換或人工轉檔的方式,進行資料交換作業,因此,相關的資料抛轉、轉換、及傳輸的風險也會隨之大幅增加,利用CAATs資料分析技術,將兩端資料進行聯結與比對,找出資料轉換不完整之處,一旦差異發生,立即標定為風險區塊,進行影響性評估,再進一步尋找適當的改善控制措施。

Relation
圖5
Filter
圖6

(四) 輸出報表(Output Report)

         報表輸出一樣是程式邏輯上的表現,要如何確保完整地呈現資料庫的資料,沒有任何重複或遺漏的情況,同時報表程式要能夠正確傳達資料的正實涵意,而不能有誤述的情況發生,這裡和交易資料處理作業有些不同,報表的功能主要是將資料庫裡,每個代表符號轉譯成容易被解讀的文字,因此,正確地選出資料範圍,依照資料定義,轉譯並正確地顯示在正確的報表位置,當然,有許多報表上的欄位資料並不真正實際存在於資料庫中,因此,験證這些額外產出的報表欄位資料之正確性與完整性,便是我們查核工作的重點之一,CAATs可以協助進行報表上數據計算正確性與完整性的驗證,同時,也可以與資料庫中的原始資料進行核對,是否有任何缺漏或重複的地方,或者是資料轉譯錯誤,可由此建立風險範圍,深入瞭解系統程序開發是否依照標準作業程序進行,是否符合內部控制作業目標。

二、 交易資料異常群組態樣

在大量交易資料環境裡,潛藏著許多不為人知的訊息,如果不經過適度的歸類,將很難一窺其中的奧妙,依照不同群組歸類彙總數值欄位,將非常容易辨識出異常資料及突顯出重大性風險區塊。
(一) 依照資料屬性分類

        在資料分析裡,最經常性的作法,是利用資料內容的各項屬性進行分類如客戶別、供應商別、部門別、訂單號碼、交易型態等,累計發生的頻率與次數,和累計相關的數值欄位資料,辨識出重大或異常違反公司內控政策的資料屬性,而我們可以依照累計金額及發交易次數的多寡排序,顯示出最大風險範圍,或者是檢查異常群組所產生之不合法交易,找出真正違反公司政策的交易記錄,從趨勢分析過程,可以挖掘出許多不為人知的內部控制弱點及人為弊端。

(二) 依照資料數值範圍分層

         將交易資料依特定不同數值範圍分層產生群組,累計發生的頻率與次數,和累計相關的數值欄位資料,很容易突顯出重大風險資料範圍,從各群組數值欄位所佔比率,我們可以用來評估它對整體財務資料的衝擊程度,同時,也可以很容易發覺異常數值資料存在於資料庫當中,我們仍繼續需要依賴CAATs的資料分析方法,篩選(Filter)出異常資料出來,進行深入調查這些交易記錄的正當性。

(三) 依照資料期間分期

         許多交易資料對時間具有相當的敏感性,如逾期應收帳款、存貨存放期間、食品有效期等,除了計算時間成本(利息費用)以外,還要評估發生呆帳或損失的機率有多高?衝擊有多大?目前市面上的通用稽核軟體,皆可以依照交易日期或到期日與截止日期做分期彙總分析,藉此聚焦於重大風險區域上。

圖七
圖7

三、 關聯性資料檔間明細帳與總帳不一致

         相信這是許多財務會計人員經常面臨頭痛的問題,應用系統各模組間明細帳與總帳餘額不符,主要原因來自於系統程式邏輯問題、或資料庫結構及索引檔不穩定所致,常導致重大財務報表的誤述的情況,而且有可能引起重大財務危機事件,許多資訊單位,直覺地從系統內部建立勾稽報表來解決,但並沒有真正解決整體結構性問題,因此,利用CAATs於系統外部,進行過帳驗證作業,將上期結轉金額加上本期交易累計數,產生重算期末金額,再與原檔案內期末金額比對是否相同,若經常發生差異,表示系統程式過帳處理作業的完整性與正確性有很大的的風險,但同時也有可能是人為疏失,藉此,可以迅速將重大風險位置確認出來。

四、 交易限額管控無效

         不論是人工作業或是系統自動化作業,皆會建立許多額度控管的機制,如客戶信用額度,一旦控管失效,經常會危及公司的現金流量及資金調度,容易發生呆帳或成本浪費及收入減少的情形,其重要性可見一般,因此,CAATs可以將交易明細資料依照資料屬性(如客戶代號)分類彙總,再和主檔聯結,接著將明細資料彙總額與限額比較是否有超限,藉此,判斷系統內相關額度控管的有效性,風險就能夠被迅速標定。

五、 交易資料處理的不當授權與核准

         當在應用系統上輸入交易資料時,系統上必須先具備適當的存取控制機制,建立、更改、查詢、刪除、及核准等權限,因此,透過CAATs將交易明細資料與系統權限表進行比對,是否有違反授權之情形,當然,系統權限表應先被複核是否有違反公司職能劃分政策的情況,此將能很快辨識出企業組織在職能分工控制活動的設計是否有效?及釐清風險範圍。

六、 不相干的交易資料發生異常關聯性

         在不相干的交易資料間產生關聯,例如:員工基本資料檔的員工的地址與供應商主檔的供應商地址有相同的資料,這是導致舞弊風險的主要來源之一,而經過CAATs的資料連結與核對,可以迅速鎖定查核目標,再進一步定義出風險範圍,當然,這種查核模式,必須建構在豐富的創造力與想像力,而批判性思考(Critical thinking)是大家必須先具備的能力。

肆、 持續性稽核與監控對舞弊防制的重要性

       「持續性稽核」與「監控」起源自「COSO」內部控制框架五大要素中的「監督」(Monitor),依照公開發行公司建立內部控制制度處理準則第六條的說明,「監督」係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。而「持續性稽核」(Continuous Auditing) 一詞是來自審計學中「連續性審計」的觀念,它將近有五十年歷史,直到二十年前電腦資訊環境的大幅發展,以及資料分析技術的精進,對商業交易資料的測試需求,與日俱增,但國內開始發展持續性稽核作業也是最近十年的事情,當然,ACL公司創辦人Dr. Hart Will 長期在學術界與業界的推動持續性稽核的觀念,實屬功不可沒,同時,2009年IIA 國際內部稽核協會發佈「GTAG全球科技稽核指引」,第三號「 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment」正式向業界公佈「持續性稽核、監控與確認」的架構,整體觀念的核心在確認(Assurance),而所謂「確認」(Assurance)的定義,Dr. Hart Will 是這樣說的:

『確認』是指資訊能夠符合其接受者 (或其使用者) 的知識 (或信仰、信任或信心) 需求,以支援在一或多個特定背景中之合理行為的充份必要證明。
而IIA 「國際內部稽核執業準則」 的定義是: 確認性服務包含內部稽核人員對於證據之客觀評估,以便針對某個體、某項營運、某項職能、某項流程、某個系統或其他主題提出獨立的意見或結論。

上述這些定義對內部稽核人員是耳熟能詳每天在做的工作,但是對營運單位或非內部稽核職務但從事內部控制管理檢查工作的人員來說,則相對會比較陌生,無法掌握檢查的目標、方向、範圍、與目的,更不用說要採用哪種查核方法、程序、重點及步驟,而這些不單單是內部稽核人員的職責,同時,也是各單位執行內部控制自行評估的程序,它是監督的一環,因此,依照IIA GTAG No3, 對「持續性稽核、監控與確認」的架構定義的簡單說明:

continuous
圖8

持續性稽核(Continuous Auditing)
–此方法被使用來以連續性的基礎進行稽核相關的作業活動
– 包括控制與風險評估
–由內部稽核來執行
持續性監控(Continuous Monitoring)
–去確保政策與程序有效運行的作業,且評估控制的妥適性及有效性。
–由營運作業/財務管理人員執行;稽核是去獨立評估管理作業活動的適當性。
持續性確認(Continuous Assurance)
–結合持續性稽核與監控的執行成效

伍、 善用科技技術是現代舞弊防制的成功關鍵要素

         如何即時掌握公司營運績效第一手資料,資料收集方式與技術會是基本門檻,許多公司往往受限於資訊設備的提供,資料管理與整合人才的缺乏,經常抱怨資料的不完整、不齊備,不正確,但又無可奈何,其實,要做好資料收集,除了要具備良好的硬體設備,也必須要有資料整合非常有效的工具,才能運用發揮,當然,最不能忽略的三件重要事情,那就是「資料探索」、「資料分析」、「資料態樣」,三者缺一不可。你若是希望隨時可以有最新的報表提供,上面的數據或者是指標(KPI)可以清楚告訴你,各項營運作業是否有遵循所設定的目標及規則,若有任何偏離的跡象,立即採取行動改正(如下圖所示),然而,這些指標及數據的呈現,是從交易資料態樣所彙整出來的,而資料態樣的產生,而透過資料分析方法建構相關各階層的資料集(Data Set)進行交叉比對而得,而所採用的分析方法,則需要靠資料探索的方式掌握有效管理與控制方向,並且隨時都可以即時修正,假使,無法即時提供資料,假使,一開始沒有適當地做資料探索,也就沒有透過資料分析掌握企業營運的命脈,” No Key Driver, No Business “,相信各位企業先進都能夠知道中間的關鍵要素,那我們何不從現在開始,按步就班掌握未來發展的金鑰;廣泛且有效地運用CAATs在企業風險管理及內部控制環境查核中,可提供我們一個大幅改善作業績效及降低營運風險的機會,加強自動化稽核作業與分析技術於企業組織內的運用,所產生的效益將非常容易反應在投資報酬上,大家不應忽視這個營運改善的機會。

 

參考文獻:
Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment , GTAG No 3. 2009, The Institute of Internal Auditors, IIA.

網路資料引用:
中文維基百科
http://zh.wikipedia.org/wiki/%E5%A4%A7%E6%95%B8%E6%93%9A。
英文維基百科
http://en.wikipedia.org/wiki/Big_data
VINCENT M. WALDEN(2014), Big risks require big data thinking, ACFE Fraud.
http://www.fraud-magazine.com/article.aspx?id=4294983057

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員