銀行和證券業內部稽核如何因應關於破壞性新興技術的風險(下)

銀行和證券業正因導入流程自動化機器人與認知智能等破壞性技術進行數位轉型，我們分別在二月號及三月號《通訊》的〈銀行和證券業內部稽核如何因應關於破壞性新興技術的風險〉系列文章(上)、(中)二篇內容中探討了內部稽核如何面對銀行和證券業的破壞性數位轉型，以及該採取哪些行動以掌握及因應這些風險；在本系列最後一期的文章中，我們將進一步探討內部稽核如何協助組織在推動破壞性數位轉型和風險管控中取得平衡。

內部稽核除了提供建議和確信之外，還需要著重於預測與RPA和CI智慧自動化技術相關的新興風險。

在突破極限與提升風險胃納間取得平衡：為了提升內部稽核單位的策略價值，並可針對破壞性數位轉型提供風險政策設定的觀點，內部稽核應該主動瞭解RPA跟CI自動化解決方案的使用案例。內部稽核應設置一個風險排序評估框架，以稽核導入破壞性新興技術所衍生的關鍵風險，如網路與第三方供應商風險等。

風險感測與分析：因應預期導入的RPA和CI智慧自動化技術，內部稽核部門應結合資料分析和風險感測工具以主動辨識出新的風險，並發展出稽核這些新興技術的最佳方法。

危機模擬和預警系統：運用各種針對導入智慧自動化技術(bot)策劃可能發生的危機場景以進行模擬，將有助於內部稽核部門設身處地想像危機發生時所應扮演的角色。它還可以反映出內部稽核在組織不同層面的回應能力：包含戰略面、行為面和戰術面。

內部稽核必須維持節奏

當銀行和證券業為了獲取具體的運營效率而不斷引進破壞性新興技術，內部稽核部門需要維持節奏跟上腳步。以下是內部稽核部門如何發揮領導作用的一些務實的考量項目：

策略規劃與調校：

內部稽核部門應針對引進RPA和CI智慧自動化與先進分析技術的各項自動化流程制定稽核策略願景、目標與藍圖。所採用的稽核方式應明確定義對於這些流程查核標的選定方法論 (高風險、頻率)、抽樣方法、工作底告範本和問題解決流程。

此外，稽核願景應該和企業既有的風險管理框架校準與整合，並納入組織整體策略願景之內。

風險評估：

內部稽核部門應盡速開展對於RPA和CI智慧自動化技術的風險評估。根據風險評估的結果，內部稽核部門更能好好地衡量組織脆弱程度與排序應優先查核的目標領域。為了調適技術進步與適應的速度，內部稽核應持續評估與數位化相關的風險 (見下圖)。

分析與儀表板：

善用分析技術來設計儀表板內容以協助內部稽核部門更能掌握RPA與CI智慧自動化技術的健康指數，保持對相關議題的領先地位。

訓練與招募：

內部稽核人員必須適應因自動化技術引進所帶來的改變。了解這些自動化技術的差異性，將可以使內部稽核人員更有效率地執行查核作業。

此外，為了讓組織有新的觀點與知識，高階管理人員應從其他部門或是其他公司招募及聘僱專業人士。對於內部稽核人力資源來說，具備評估技術有關的知識，與了解稽核所需方法論是一樣地重要。

自動化的力量：

最後，值得一提的是內部稽核部門應考慮善用先進分析與RPA和CI智慧自動化技術以實現稽核生命週期自動化的機會，包括風險評估、稽核計劃、實地查核、工作底稿和報告。這不僅可使內部稽核部門以現代化的方法執行稽核作業，同時也為採用這些破壞性技術帶來的挑戰和風險提供了重要的洞察見解。

掌握破壞性技術引進的步驟

對於銀行和證券業來說，每家公司導入破壞性數位轉型的速度都不一樣，也因此，每個內部稽核部門對於因應相關衍生風險的準備程度也將有所不同；然而，所面對的總體挑戰是一樣的：亟需在不適應中找尋舒適地帶，並加強各項配合破壞性新興技術引進的必要步驟。

（本文節錄自Deloitte Auditing the risks of disruptive technologies 2017）