銀行和證券業內部稽核如何因應關於破壞性新興技術的風險 (上)

數位化時代

我們正處於一個最令人興奮的融合時期。資訊科技的進步與先進的分析技術、流程自動化機器人 (robotic process automation, RPA) 和認知智能 (cognitive intelligence, CI) 的趨勢，正迅速的重塑銀行和證券業 (banking and securities, B＆S) 的商業模式與提高生產力，並使日常營運和業務執行有創新的方式。

這些先進的資訊科技也帶來更錯綜複雜的經營環境。隨著銀行和證券業持續採用新興的自動化技術，內部稽核 (Internal Audit, IA) 人員必須主動評估與和瞭解與這些技術相關的新風險，並藉此使高階管理人員放心，確信組織已實施適當的控管措施來預防及偵測新興風險。

許多內部稽核部門在面對破壞性 (disruption) 新興技術的中取得了一些進展。有些公司採用的方法可能已經較其他人都來得成熟，但大多數的內部稽核部門正處於初期起步階段。內部稽核部門不僅是單純地回應監管要求，而是越來越積極地尋找管理破壞性新興科技風險的方法。此外，內部稽核更利用先進技術以進一步實現現代化及提高內部稽核計劃的有效性。

正如Deloitte先前發表的「與破壞性共舞：銀行和證券業內部稽核的前瞻性看法」文中所討論的那樣，Deloitte認為銀行和證券業與內部稽核部門推動破壞性創新的四大力量為：

• 破壞性數位轉型
• 破壞性商業模式
• 破壞性數據
• 破壞性法規遵循策略

本文重點是四種力量的第一種：破壞性數位轉型。在下面的文章中，我們將仔細研究破壞性數位轉型技術的具體風險，並提供協助內部稽核部門因應準備的相關建議。

破壞性數位轉型

破壞性數位技術建構在分析技術上並據以擴充。透過流程自動化機器人及認知智能引進全新的自動化功能，破壞性數位技術可以提高內部稽核的效率及效果。許多領先的銀行和證券業採用了其中一種或是全部的技術來管理他們的日常營運。因此，這些組織的內部稽核部門必須跟上腳步，以維持相同的節奏。

以下是內部稽核面對破壞性數位轉型的概覽 - 過去、現在和未來。

一切皆起始於：資料整合

銀行和證券業為了能及時推動整個組織的改進，必須能快速且一致地分析數據。這樣的要求創造了一個能助長創新的環境，因為數據整合是自動化成功的基礎。

在這個領域內部稽核必須堅持不懈，持續針對數據的完整性和正確性提供確信，以支援實時決策需求。

最近做了什麼：分析技術

越來越多銀行和證券業利用分析技術來闡明隱藏在大量且持續增長數據裡的態樣、洞見和機會。透過預應式分析來探究未來的趨勢及風險。組織也可以部署數據視覺化的工具來獲得有意義與全面性的圖像化內容。

內部稽核部門正在為培養分析能力而建立良好基礎。有一些企業已經進展到將分析技術運用在風險評估、稽核和報告中，從而建立一個更加靈活、成果導向、與價值驅動的部門。

我們現在在哪裡：自動化

RPA是利用軟體在虛擬環境中透過模擬使用者操作，在多元系統的介面上執行規律性的任務。銀行和證券業對於RPA產生強烈的興趣，因為透過RPA可將耗時的活動自動化以提高效率，讓員工可專注於更有價值的活動。另外一個好處是擴充性，可以提升對於需求和業務量高低峰的回應速度。

這種破壞性數位轉型推動內部稽核部門必須去理解和因應許多新興風險。稽核計畫需要透過監督、變革管理、議題辨識及解決的主題式稽核來監督各項營運作業。

下一步：認知智能

先進的認知智能技術，例如自然語言處理 (NLP) 和機器學習 (ML)，使用這些演算法來處理：

• 從數據中擷取出概念與關係
• 「理解」它們的含義
• 從數據的態樣和先前的經驗中學習，擴展出人類與機器人可以各司其職

內部稽核部門需要瞭解這些科技的能力與使用案例。這將有助內部稽核部門可針對組織內已有效地因應不斷演進的認知智能風險提供確信。

因應眼前數位化環境的問題

銀行和證券業將最新的科技引進到企業環境中，他們採用先進的分析技術、RPA和CI自動化計畫。反過來，這些新興科技將對現有控制環境帶來新風險，這意味著導入這些新興科技並不是一個企業亳不費力就可以完成的事情。如果在三道防線上沒有適當的管理，這些風險可能會毀壞或減低新興科技的價值。

內部稽核部門應該鼓勵利益相關人評估導入先進分析技術和智慧自動化技術的相關風險。這些評估可以從以下問題開始：

• 您將如何確保bots遵守政策？
• 是否有一個事件管理框架來確認bots在管控中？
• 您將如何防止bots錯誤擴散？
• 您將如何確認系統存取權限不被濫用？
• bots的變更管理流程會是什麼？
• 如何針對受影響的利益相關人教育有關機器人的一切？
• 控制bots的管理者有什麼責任？

在上述的問題中，「bots」是指智慧自動化技術，它們可以由規則導向或是認知智能的演算法所驅動。

在下一期，我們將探討與自動化相關的主要風險，以及內部稽核部門該如何掌握及因應這些風險。

(本文節錄自Deloitte Auditing the risks of disruptive technologies 2017)