首頁 » GRC&BA » GRC治理風險管理與合規 » AACM在GRC(治理、風險管理、合規性)整合架構所扮演的角色

AACM在GRC(治理、風險管理、合規性)整合架構所扮演的角色

GRC & AACM

每當一個突發事件的發生,上層高階主管經常責備單位主管管理不當,但不知是否有真正探討問題發生的原由,也許,他真正發生的原因,來自公司組織內部投機取巧的文化,有因就有果,治理的方法出問題,請再好有專業能力的管理者來經營,都沒有用,也因此,當我們和客戶在討論稽核自動化與持續性稽核作業導入專案之前,不免都會談到GRC(Governance, Risk, and Compliance:治理、風險管理及合規)的整合架構,有許多人認為,他們企業或公司都認為,時機還不成熟,公司規模不大,還不需要GRC,但事實上,那可能是一個美麗的誤會,其實,GRC並不是新發展出來的管理架構,它只是將過去我們所強調的公司治理、風險管理及合規(或是法規遵循)作業整合起來,維基百科裡面對於GRC有明確的定義說明,現在公司或者組織越來越能夠認識到,治理、風險管理及合規(Governance, Risk Management, and Compliance,縮寫GRC)這三個領域應該被綜合整體來看待。建立 GRC 制度最初源自於SOX 法案,然而現在對 GRC 的需求已經發生變化,目前 GRC 被認為是推動企業風險管理 (ERM, Enterprise Risk Management) 的手段。尤其特別地,這不僅是代表把風險管理當作實行或合規的行為,也被認為可以提高決策制定和策略計劃的研擬,以增加商業價值的轉變。

談GRC架構,正好配合COSO內部控制架構,五大要素裡面的第五個要素:「監督」,「監督」係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。這個已在上個星期電子報做過說明,重點在為什麼要做持續性的稽核及監控呢?主要是上面有提到「風險管理」透過組織的內部控制來管理及減輕風險,也就是如何讓評估高的「固有風險」(High Level Inherent Risk),透過有效的內部控制措施,減少它的風險發生的機率和減緩它的風險影響程度,讓「剩餘風險」(Residual Risk)被保持在低水準(Low Level),而它的關鍵取決於「有效的內部控制措施」,因此,內部稽核的查核與確認性工作(Audit/Assurance)就變成相當重要,為確保風險項目的剩餘風險一直保持在低水準,則稽核測試的頻率須要增加,通常當交易完成時,若能夠及時檢查,是否有違反公司政策及內控程序的地方,立即檢查,找出問題,及時改正,提升內部控制有效性,確保低的風險水平。(關於風險管理議題,請參考https://blog.uprofit-tw.com/?p=1047)

提升查核測試頻率和組織資訊化程度有關,目前,一般企業公司內部日常交易作業,幾乎都已經變成資訊化管理,現代科技發展,促成持續性稽核與監控的技術精進,各企業幾乎超過50%以上,都已經電腦化,那我們還在使用傳統人工的查核方法進行稽核工作嗎?我只能說瞎子摸象、隔靴掻癢,閉著眼睛做,但對查核結果一點信心都沒有,發展持續性稽核監控技術,首要在資料分析能力的建置,遵循「資料分析能力成熟度模型」來發展稽核組織或其他營運分析單位的基本能力,才是建構有效的「持續性稽核與監控作業」的不二法門,相關作業內容與方式,請參考「AACM稽核分析能力成熟度模型- Audit Analytics Capability Model」

壹、前言

現今許多公司管理階層對內部稽核所扮演的角色,以及資訊科技重要性的討論,受到廣泛的關注,與日劇增,同時寄與厚望,尤其是稽核分析技術的運用、持續性稽核與監控的解決方案等議題,可以協助稽核人員達成年度查核目標,而內部稽核人員不只被要求能更有效率地執行傳統確認性工作的角色、評估企業組織風險管理作業的有效性,而且也被寄望能幫公司組織增加收益,提升他們服務的價值;稽核小組要如何做到這點?主要是利用眾所周知的『資料分析技術』來改善營運績效。

關於稽核分析作業運用的情境已完成,2010年,內部稽核職能依照國際內部稽核協會(IIA)的研究,將運用自動化工具或技術分成五大策略重點,今天,更多實務的焦點聚集在企業組織尋求如何成功導入新的稽核技術。『稽核分析能力成熟度模型』(Audit Analytic Capability),它是用來評估不同稽核分析技術與相關優點的架構,這個模型展示出五個進展階段,內部稽核單位應該專注在他們使用分析上的轉變,就人員、流程和技術而言,列出基本建設的障礙,各階段獨特的解決方案,協助企業與政府組織有效率地擴展他們在稽核分析上的應用。image
貮、稽核分析能力成熟度模型(AUDIT ANALYTIC CAPABILITY MODEL)

傳統稽核方法一直採用過去一段時間內發生過什麼事件的歷史回顧,當這種方法對查核規劃提供了必要與事後證明的同時,今天的環境要求更積極與有效的風險管理和營運確保全面的觀點,國際內部稽核協會(IIA)理事長,Richard Chambers,在2010年一般稽核管理會議(GAM)裡的主題演講中重申了這一點,他提到,為了增加稽核的意義和價值,如同確保在高階經營階層的地位,稽核需要了解昨天發生的事情,今天提供洞察營運上發生的原因,同時,了解組織將在明天面臨到什麼樣的風險,簡言之,稽核需要提供一系列的事後分析、洞察和遠見,總而言之,這些將形塑成內部稽核部門的“視線”(Line of Sight)。

稽核分析能力成熟度模型(Audit Analytic Capability Model)是連續性觀念的轉變,透過內部稽核能擴展運用資料分析來增加效益,展現出五個階段:基礎(Basic), 可應用(Applied), 可管理(Managed), 可自動化(Automated)及監控(Monitoring);對大多數的組織來說,分析能力的複雜性和內部稽核對營運作業提供策略價值與貢獻有關,內部稽核可以擴展稽核分析的運用及流程控管的建立,此將提升到自動化與持續性的模式,這使得內部稽核從被動反應轉變為主動去辨識和管理風險的方式,以及提供事後分析、洞察和遠見,產生對整體企業營運作業更大的確保與價值。

稽核分析能力成熟度模型
image

L EVE L 1 – B ASI C(基礎)

處於『基礎階段』的組織,使用以稽核設計為目的的資料分析技術,進行大量資料集的查詢與分析工作,稽核人員大部份經常做這種特定查核,在此情形下,稽核人員通常從使用分析程序產生數據資料統計概述和分類,或概括開始,這讓稽核人員可以辨識出異常的地方,並且更容易去瞭解特定區域內的交易內容及餘額,藉由預先建立好的分析測試程式,將很容易發現重大問題,例如重複交易事項,在系統間比對交易明細和主檔資料,提供錯誤及舞弊行為的預警指標。

特徵-

在基礎階段,採用資料分析方法通常是由特定受過基礎訓練的稽核人來操作,稽核主管經常較少參與,通常對技術運用有興趣的稽核人員挑選了分析軟體,只有稽核部門裡單獨或少數有限的專門人員會去使用,結果,促使個別或這個資料分析小組成為分析技術強大的使用者,具有相當高的稽核工作效能產出。

效益-

剛開始使用稽核分析軟體,稽核人員可以快速洞察查核範圍內的風險與控制缺失情形,藉由通用稽核軟體或人工檢核程序可以進行更深入的檢查作業,例如:稽核分析程式可以對所有的交易明細和餘額資料進行百分之百的複核,以達到查核的目的,結果,稽核人員能夠快速辨識舞弊、錯誤、及違法濫用的情境,以及無效率、有控制缺失的地方,在許多案例裡,當要和人工查核程序比較,系統分析測試資料的時間可以從數天節省到只剩下幾分鐘而已。

挑戰-

對大部份內部稽核人員共同的挑戰就是在開始進行基礎階段的分析時的資料擷取作業,這包含瞭解什麼樣的數據資料被需要去支持特定測試分析,以及取得一個完整、良好控制的資料範圍。

組織風險-

就像資料擷取問題在這個階段對內部稽核人員會是一項挑戰,取得資料可能會對組織變成一項重要的風險及資源的限縮,假如作業流程沒有做有效地規劃與管理,因為稽核設計為目的的軟體可以處理大量的資料,安全是首要考量的,例如,企業組織不希望將整個薪資或付款資料運行在沒有適當安全防護的筆記型電腦或網路伺服器中。

也有另外一項風險,就是稽核人員在有完全瞭解的情形下,直接依照分析的結果直接做出查核結論,在這個階段,經常缺少複核及品質確保程序,來確認所執行查核工作的有效性,以及確認所執行的工作在焦點上,正常來說,這種情況,認證訓練是很重要的。

稽核主管的角色-

稽核主管應鼓勵稽核部門成員,充份運用分析技術與工具,對許多關切的稽核領域進行更多的分析測試,掌握風險範圍及控制缺失;確保分析目標是可以實現的,讓稽核人員更容易移除障礙順利取得測試資料;檢查資料品質與完整性;考量獲取稽核特定技術以支援稽核工作的提昇,支持隨時提供所需要的教育訓練。

LE V E L 2 – A PPL I ED(可應用)

第二個階段是建構在第一個階段之上,不同於特定分析方式更具完整性,完全整合進稽核流程作業裡,並且開始轉換稽核工作如何進行;在這個階段,稽核規劃與程式設計將稽核分析程序考量進去,無論哪個地方是有利或具實用性,有效建立『使用分析技術的稽核程序』,稽核步驟與目標是以特定分析測試的輔助來達成,一套完整可重複執行測試的程式,被建構在支援整個查核範圍。

特徵-

供今天使用分析技術的廣泛範圍,大多數稽核單位實行在可應用階段(The Applied Level),然而,在這個階段中間,一些組織遠比其他更先進,有廣泛的技術與應用範圍,人員與作業流程問題在這個階段變得更為重要,稽核主管需要提供正確的方向與支持,以及專家需要被賦予資料分析師的職能,來綜觀分析測試專案與程序的推行,複核與品質確保程序應適當地確認所進行的稽核分析程序的品質與其有效性。

使用分析技術在這個階段期間是漸進式的,在開始於可輕鬆達成目標之後,在這段時間的使用成長就如同額外測試作業去增加支援廣泛的稽核目標,考量到分析程序能夠最佳應用在每一項新查核作業裡。

除此之外,訓練變得更加深入與實用,聚焦於資料擷取與整合,和為重複性有效程式設計,對稽核經理,訓練在於如何有效綜觀與套用稽核分析程序,透過稽核職能整合分析效益將變成無價。

效益-

在這個階段,分析程序開始根本地轉換稽核作業流程,提供在有效率與更高水準的確保內本質上的改善,人工查核、抽樣及測試程序減少到只需要實體驗證部份為止,結果,許多工作被執行在較短的時間以內,可以騰出多餘時間,讓稽核人員聚焦在新發生風險的領域。例如,奧克拉荷馬市的稽核人員使用稽核分析程式(Analytics),來稽查州銷售稅收入及找尋遺漏付款項、法令規定與費用申請不一致之處、不恰當的供應商報告,結果,有一個專案,稽核小組發現美金四千五百萬的市政收入損失,這項發現導致更改州裡面所有城市徵收銷售稅支出的方式。

稽核分析與評估也可以遠端遙控,例如,在一個需要對許多地區業務進行薪資查核的專案,稽核分析程式可以在整個企業中進行,這項稽核分析可以找出不正常工資、加班費及獎金的給付,假如一個區域出現高度異常情況,而其他部份是正常的,則適當的稽核程序會被採行聚焦在這個區域,如此可以降低出差與查核費用成本。

挑戰-

當他們採用廣泛實行稽核分析與整合稽核流程時,內部稽核可能會面臨一系列的挑戰,例如,內部稽核必須承認偶而使用分析工具和將分析技術列為稽核作業核心的一部份之間有很大的差別,分析程序需要擁有、流程改變、角色改變及人員訓練,這些都需要花時間、投入精力與資源,投資回收期是可觀的,但沒有先前的投資是無法達成目標的。

除此之外,許多與基礎階段相同,資料擷取的挑戰仍然存在於可應用階段,然而,當企業組織不斷地改進資料分析的使用與實行重複性測試時,這些問題需要與正式測試程式設計及實行作業,共同和與適當的品質確保程序整合,我們必須注意文件標準,促使測試作業可以獲得其他人的支持及瞭解。

組織風險-

在這個階段,對組織最大的風險就是演進自末端使用者增加的人數及成長中稽核分析內容的分散與分佈環境的結果;當數據資料轉移到一個更加分佈與分散的環境,跨越不同地方,沒效率地重複作業的風險會增加,資料與測試作業往往放在個人筆記型電腦、桌上型電腦和網絡伺服器裡,使其難以管理和追踪目前正確使用的版本,及任何後續的結果。

當數據資料和結果在筆記型和桌上型電腦的環境範圍內擴散,資訊安全問題也隨之增加,內部稽核人員電腦上的關鍵資料可能未遵循一般企業資訊安全標準,特別是敏感性數據資料,如信用卡和社會安全號碼,通常是不加密或設屏蔽,可以被其他圍觀者窺視,大量數據資料的複雜處理程序,可以消耗筆記型、桌上型電腦和網路伺服器處理能力相當長的時間,最後,有一個好機會就是知識掌握在幾個關鍵個人的腦袋裡,其可能的偏差會導致投資與進度的損失。

稽核主管的角色-

對於橫跨個別查核分析程式的運用,清楚設定我們預計的目標;

透過腦力激盪、分析程序的發展、測試和問答,對資訊及非資訊背景的同仁設定不同的職能;整合分析規劃作為正式稽核計畫處理作業的一部份;開始稽核規劃應早於被允許取得及剖析資料之前;

消除先前稽核預算的障礙;將分析的期望建立在稽核問答與同行複核作業裡;提供有效的團隊激勵方式。

LE V E L 3 – M AN AG ED(可管理)

可管理階段是一個從稽核分析測試的綜合性運用作為稽核作業核心部份的邏輯性演變,這個階段的目標是實現基於團隊的數據資料分析,將它的資料與處理作業集中化、安全化、可控制和效率高。

在可管理階段的稽核組織必須有人員、流程和技術,以有效管理稽核作業內容和活動,熟練地運行在可管理階段裡是為進展到模型裡下個階段的關鍵基石。

特徵-

可管理階段通常涉及處理許多大量不同資料數據集的分析測試和產生查核結果,通常涉及到機密資訊的分析,在大多數情況下,許多人都會參與其中,資料訊息往往會散佈在多個不同地區和地點的各式電腦中,因此,稽核部門通常在這個階段需要有一個良好架構、集中管理的伺服器環境,儲存及維護大量數據資料集和稽核分析作業(例如:測試、稽核結果、稽核程序文件及相關資料)內容的安全性,處理大型數據資料量的複雜作業,通常需要在高效能伺服器上執行,依據查核規劃程序,讀取和使用稽核作業內容,並且受到安全管控與防護,為稽核分析的程序、標準和文件的正規化是更甚於可應用階段,很明顯的,在這個階段裡,是更務實和對非技術背景的稽核人員可以被分享並有效地讀取及使用系統測試的結果。

效益-

移轉到稽核分析可管理階段有許多好處,稽核團隊的工作效率可以大大地提昇,因為它在整個稽核團隊中間,變得更加容易和高效共享稽核分析的內容,而不只是稽核分析專家可以使用而已;在這個階段,稽核分析工作是很容易重複地被執行,並且可持續發展;可減少依賴任何特定重要成員,一旦他們離開時,從而減少對現行作業變得無法使用的風險。

集中控管的中央儲存櫃可以支援持續性作業,使其更易於維護稽核分析工作的品質與完整性,對於讀取和變更稽核分析測試程式,是可以做到更有效地控管和容易依企業組織內數據資料安全標準來維護,集中化分析系統是以伺服器為基礎,代表它處理效能的提高,可以花費更少的時間讀取大型數據資料集,並等待大量、複雜分析作業的完成。

建立以伺服器為基礎的中央儲存櫃,可以有機會改善與資訊單位的關係,並遵循傳統標準在數據資料的存儲和處理上,這通常可以獲得資訊單位的充份支持。

此外,對經營管理階層來說,將更容易獲得所進行稽核工作的概述和審查測試結果,因為,所有必要的資訊都儲存在同一個地方。

挑戰-

對稽核主管(CAE)與稽核小組來說,轉移到一個可管理的分析模型需要一些準備工作,建立稽核分析可管理與集中化環境,是與流程、人員、和技術有關,這代表這項施行需要事前規劃、準備與資源分配,尤其,時間及其他資源分配需要妥適地規劃與執行是非常重要的,但是當持續成長及可擴展性可以投入最小額外的精力或重作來支持時,通常會獲得快速投資的回報。

組織風險-

相對於執行方面的挑戰,針對企業組織已經演進到可管理分析的環境,存在幾項立即性的風險,資深高階經理人的期望之一就是轉移到持續性稽核作業程序,在這個觀點上,稽核部門通常己經建立好測試程式和實施程序,將支持週期性稽核流程中分析測試程序的效益極大化,目前的趨勢可以當做一切都在開始做持續性稽核。

雖然持續性稽核的基礎材料可能是適當的,但有效的持續性稽核需要額外的規劃與導入的支持,特別是從人與流程的觀點來看。

稽核主管的角色-

支持以員工為中心的桌上型軟體移轉至具備安全性、協同性、以伺服器為基礎的科技技術環境;制訂集中化、標準化作業程序,共同分享稽核分析程式和數據資料,方便與資訊部門合作,開始擴展自動更新主要資料檔案至中央儲存櫃內;將問答及事後稽核評估作業正規化,並建立於稽核分析管理作業流程中;提供策略方案的監督,確保策略分析滿足更遠大的查核目標。

LE V E L 4 – AU T O M AT ED(可自動化)

一旦一個全面測試套件被發展出來,並進行完善的管理,我們的稽核作業就可以準備向前移動到可自動化階段,第四個階段,更是從科技技術的角度來著手,開始進行持續性稽核作業,然而,為了要達到應有的效果,持續性稽核在稽核流程中,涉及到一些根本性的改變,傳統週期性稽核會有一個明確的作業時間表,也就是產生稽核報告的開始和結束,而持續性稽核則不同,它是在執行分析測試、審查和報告結果的作業一直持續在進行中,執行持續性稽核的職能與責任將不同於傳統週期性查核的方法。

特徵-

在可自動化階段進行的持續性稽核與監控是以前一個階段為基礎而來建立的,綜合分析測試程式套件已被發展出來、經過測試和可提供於中央控制環境中,對分析與測試作業的資料讀取是安全的、可靠的,但也便於讓有關人員使用,從技術的觀點,可以依照排程固定測試適當的週期性數據資料。

然而,持續性稽核的需要超過待解決的技術問題,它通常需要在稽核流程中做出重大轉變,大多數內部稽核單位在一個查核領域展開持續性稽核,並隨著時間的推移,建立適當的查核程序與分析程式,接著擴展到其他查核領域,可自動化分析作業能讓我們共同在多個查核領域同時間進行持續性的稽核工作。

效益-

從歷史資料確認流程轉移到一個目前符合審計委員會和管理當局對內部稽核與日鉅增的期望能夠提供洞察力和確保能力,它是及時的與其價值遠高過其後的;一旦達到高階層稽核自動化作業,能夠追踪稽核、風險和控制問題目前狀態的能力,可導向更有效率及更有效的整合性稽核作業,稽核人員可以維持追踪風險圖像的改變與聚焦精力在需要查核的地方。

對於顯示較少或沒有重大問題的營運作業範圍,持續性稽核作業程序可以幫忙節省大量的費用與人力,將稽核資源分配到有重大風險問題的區域裡,這種方法可以讓資深稽核主管對審計委員會和經營管理階層提供更徹底和高價值的報告,例如,取代過去一季進行兩次稽核成果報告,稽核主管(CAE)可以對四個關鍵業務活動範圍,進行持續同時間的稽核結果報告,並且呈現當前所面臨的重大風險和主要關注的特定領域。

最後,持續性稽核作業也可以被用來展現給營運單位主管關於稽核分析技術的價值,打開與管理部門的溝通和對話,促使他們負責進行持續性監控作業。

這裡有一個範例,夏威夷航空公司內部稽核小組使用ACL的AuditExchange建立幾個航空業特定的自動化稽核分析程式,為了確保高階主管的認同,他們發現在其他部門的一些人工複核作業可以自動化,因此,替他們減少了用人工完成這些作業所需約 99%的時間,員工透過自動化程序節省數百小時的人工複核作業,該稽核小組也順勢進行特定目標的分析,並促進更有效的內部控制作業的建立。

挑戰-

從傳統的稽核程序中進行一項成功的轉移是相當困難的,除非獲得高階經營階層的主導與支持,他們不僅需要去了解它效益及目標,而且還需要進行必要的投資和努力;從稽核與技術的觀點,移動到持續性自動化稽核作業一定會有技術方面的挑戰,但更重要的挑戰是,經常遇到必須分配足夠的資源來支持這個方法上的變化,同時,要認同到這種類型的改變,需要持續不斷地審查,及來自相關管理部門的參與。

組織風險-

就稽核作業的效能及效益而言,有效的持續性稽核作業,能夠提供明顯的效益,然而,對企業組織最大的風險,是那些查核發現無法分享給管理部門,或者是沒有回饋機制,藉由改善內部控制作業與營運績效,增加價值。

稽核主管的角色-

重新思考傳統稽核作業程序,報告週期與頻率,問題的後續追踪及解決程序;對於將移轉到持續性稽核的作業,確定溝通的目標、目的及時程;對同仁提供足夠的技術教育訓練,以便將來發展完整自動化測試程序;不斷地重新思考,轉換之前在專案模式下設計的稽核分析程序到自動化模式下,從只針對測試新的或更新的交易資料, 到所有的資料;確保與資訊單位適當的溝通會在適當的分析計畫時發生。

LE V E L 5 – M O NI T O RI NG (監控)

隨著先前各階段基石的適當建構,企業組織已準備就緒,藉由擴展到其他業務領域,以增加稽核分析的效益,如果稽核是定期產生內部控制問題和潛在錯誤、舞弊欺詐或合規性失效的報告,那麼通常直接涉及到營運流程作業負責是更有意義的,他會立即被通知有關所發生例外狀況的原因,並作出適當的回應。

內部稽核經常以最佳位置,展示稽核分析測試政策漏洞、控制缺失及改善營運作業績效的實用價值給營運部門主管瞭解,鼓勵與支持推行持續性監控,稽核分析技術的效益,對大眾就會變得更加明顯,並開始應用在日常業務上,不是嗎? 我們經常聽到營運主管的評論,他們一直在尋找一些可以產生異常報告系統,對營運提供更深入的了解,能洞察營運績效,但相當訝異的是,稽核人員可以提供,並展現這種能力;持續性監控也可以成為一個企業組織風險管理作業中重要組成要素的部分,協助提供一個更清楚了解風險、問題和趨勢的面向。

在一般而言,內部稽核界的觀點是,執行持續性監控作業的責任在營運管理單位,這使得內部稽核人員可以獨立地去評估持續監控作業活動的影響性,透過這種方法,理想的結果可以將稽核部門所執行的持續性稽核作業與管理當局所進行的持續性監控作業結合,這些將提供對交易資料的完整性與控制有效性持續性的確認。

特徵-

最高階段稽核分析作業模式發生在當對交易資料與控制作業固定重複(持續)的測試結果,直接提供給管理當局進行回應,持續監控作業是一個持續性稽核的自然進程,涉及到許多類似的作業流程與技術,正當大多數稽核人員同意持續性監控作業是管理當局的責任時,稽核本於職責建議管理當局必須參與並負責對業務流程範圍內之控制及交易活動,進行持續分析測試作業;相較於其他營運作業負責人,在第四階段(持續性稽核)和第五階段(持續性監控)中間的主要特性上差異,是在作業流程,其中發生例外狀況通知管理單位及回應,如同使用儀表板對持續監控的結果、現狀和趨勢做全面性報告,在這個層面上,廣泛測試的結果能夠被累積,並報告顯示風險區域和不斷變化中的風險趨勢,例如,某些類型的例外情形變得越來越多的態樣,並且更加明顯。

效益-

稽核與控制分析測試使用的最大效益,會發生在當營運作業主管已經負責持續交易監控,當狀況發生時,可以立即處理被標記的問題,如果在這個階段完全落實,稽核人員可以站在後面,審查並且評估持續監控作業活動的結果,以及評估管理部門的回應及更正措施,以確定有什麼、或者是否需要額外的查核程序;也因為稽核人員可以專注於不受這些技術所影響的查核領域,提高稽核作業效率。

配合持續性監控作業,企業組織受益於改善內部控制有效性,並需要更少的控制程序,因為所有的交易循環都受到自動化監控,他們感受到舞弊欺詐、錯誤、效率低下、及濫用事件的減少-直接改善收益與提高經營績效,並減少相關的風險,持續性監控作業有助於企業更加了解稽核分析技術的效益,從而創造一個“有稽核意識的營運環境”,它也可以促進稽核與營運管理部門之間更密切的工作關係,對風險管理和內部控制作業的影響,內部稽核變得更加了解業務問題“有經營意識的稽核團隊”。

挑戰-

雖然越來越多的企業組織了解持續性監控作業的效益,在執行和維護成功作業的過程中,也會有各種挑戰,這通常是因為所有的流程、職能和技術所需要的基石沒有被正確建立,或因為管理當局不完全理解或接受他們關鍵角色與責任。

最常見的問題之一是,管理當局對一個例外事件有不同的標準,這可能是管理當局較不關注在內部控制被查核的缺失,而比較著重在經營績效問題上,這是一個管理部門和稽核聯合運作的機會,合併在整個營運作業流程中,融入各自的目標,引導改進、共同瞭解企業組織的需求和機會。

組織風險-

任何制度在實行過程當中,也會有該專案無法達到預期效果的風險,例如,持續監控作業程序可能沒有揭露任何顯著控制失敗的案例,儘管從稽核的角度來看,這可能是因為缺乏一個例外指示來確保控制作業的有效性,因此,企業老闆可能沒看到整個過程的價值,並解除或終止稽核程式運作-一項即可能有著長期負面影響的風險存在著。

Figure 2: How Continuous Monitoring Works

image

稽核主管的角色

鼓勵與支持組織持續性監控作業的實行;任何適當的情況下,建立持續改善與監控的作業,來轉移稽核分析模式到營運流程作業裡;支持整合科技技術提供公司全面向的監控結果與所發現問題回應的作業流程及延伸;轉換持續性稽核作業程序包括持續性監控作業方案的評估。

關於『稽核分析能力成熟度模型』(Audit Analytic Capability Model)的重點彙整如下:

    • 分析作業要整合到各階段稽核作業流程中。
    • 稽核分析能力成熟度模型能決定在每個階段最佳化效益的基石。
    • 每一個階段是通往下一個階段的基礎。
    • 可做為內部稽核的藍圖,評估與規劃他們稽核分析的使用和支持轉換到營運單位負責的持續性監控作業。

 

參、結論

你是在『稽核分析能力成熟度模型』(Audit Analytic Capability Model)的哪一個階段呢? 我們可以採取下列幾項作為:

    • 確定你在成熟度模型的哪一個階段,相較於你比較想在哪裡?
    • 坐下來和你的組員討論前進的障礙
    • 配合相關里程碑發展一套向前行的計畫
    • 每個步驟的負責人員是誰
    • 與經驗豐富的組織建立合作關係可能是有意義的
    • 當新技術可能需要移動到下一階段
    • 追踪和溝通達成目標的進展情況

開始著手規劃你的旅程-

當持續性稽核與持續性監控結合時,是有可能實現在營運流程範圍內,對控制有效性與交易完整性提供持續確保的水準,這種方式是不可能沒有這些技術的支援;在高階層裡,稽核分析能力成熟度模型提供內部稽核一個評估目前使用稽核分析作業的水準,並且確定運用的理想標準,共同對一些問題做根本的了解,以便進一步處理,這種模式可以被用來作為一個藍圖,溝通計劃,並做成實務案例提供給管理當局,為組織建立一個稽核分析策略。

總體而言,該模型支持使營運作業更加熟悉了解稽核分析技術的優點,以及協助稽核變得更加知道在營運作業中會發生什麼事,最終結果,是稽核對組織的貢獻增加它在其中不可或缺重要組成部分的價值。

參考資料:

IIA GTAG 16: Data Analysis Technologys

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員