議題觀點
大數據稽核,你準備好了嗎?
勤業眾信風險管理諮詢 (股) 公司/張益紳執行副總經理、徐潔茹協理、于涵副理
根據2016年Deloitte Global內部稽核主管(Chief Audit Executive)調查報告顯示,當今內部稽核最需要加強的能力缺口包括:IT專業、資料分析能力、模型風險管理能力、創新和防舞弊,其中IT專業和資料分析能力高居前兩項。自工業3.0將生產導入電子與IT產品實際自動化的生產,MRP、ERP、POS、電子簽核……等各式系統,是企業提高作業效率、加強管理不可或缺的角色。稽核人員若不具備相關的系統知識和資訊技能,只能從大量的交易資料中進行簡單的分析及篩選,也無法辨識及判斷交易資料中隱含的異常情況及舞弊跡象。而如今已開始逐步邁向工業4.0,企業朝著智能製造、智能物流前進,大數據是其成功的關鍵之一。透過大量結構化和非結構化的資訊,讓機器設備可以相互「溝通」、人員能更即時發覺異常、減少生產及服務所需要時間和成本。而稽核人員面對這資訊爆炸的大數據時代,若還是運用傳統的抽核方式來執行稽核作業,龐大的數據量將無從面對,且對稽核結果的信賴度也會大打折扣。若不懂得如何從各式數據中取得有用的資訊,並運用適當的分析手法檢視數據,「稽核」這個角色,將很難為企業創造出更高的價值。
究竟掌握數據,能帶來什麼價值呢?運用數據分析技術於內部稽核作業,可為企業創造的好處可簡單歸類為下列四點:
- 提高信賴程度:過去查核範圍會以抽樣方式,如25筆、40筆資料檢視,而抽樣就不免會產生抽樣風險。樣本和抽樣風險成反比,也就是說樣本愈大,抽樣風險就愈小。而數據分析是以整個查核期間的母體進行分析,已直接將抽樣風險減低為零,而提高了信賴程度。
- 掌握衝擊影響:資料分析具有持續性和重複性,稽核人員可針對過往分析結果已知的控制失效,或是會對企業營運造成的衝擊及影響進行分析,做為風險評估的依據。例如,若以前年度對客戶付款條件和信用額度授予的控制存有缺失,除了確認缺失是否已改善外,對客戶延遲付款的情形就需要持續監控,以隨時掌握可能發生的壞帳風險。而透過建置儀表板、持續監控和對風險的預測,即可由現有的數據和趨勢,預測可能的風險和衝擊,及早發現和因應,降低可能造成的影響和損害。壞帳風險除了企業自身的交易資料外,若還能對同業的收款情形以及客戶的還款能力進行分析評估,客戶在同業間有倒帳情形能及時發出警訊,立即對該客戶催款並停止出貨,則可有效降低壞帳的損失。
- 培養洞察能力:稽核人員可將分析項目建構成模型,提昇執行稽核的效率,同時稽核人員可投入更多時間思考,哪些不同的測試可能會有新的發現?哪些資料間可能還有存在關連?透過不斷的腦力激盪,能更全面及深入的了解企業目前的風險及控制情況。
- 了解問題根因:有時分析呈現的結果,不見得是「事實」。這邊並非指數字造假,而是錯誤解讀。最有名的例子就是辛普森悖論(Simpson's Paradox)。A、B兩條生產線皆生產甲、乙兩種產品,上個月A生產線生產甲4,000件、乙1,000件;B生產線生產甲1,000件、乙4,000件。兩條生產線的不良率,A生產甲、乙分別為4%、6%,B生產甲、乙分別為3%、5%。單看不良率,A生產線生產甲、乙的不良率皆高於B,整體的不良率似乎較高,但經過仔細計算,B生產線的不良率4.6%反而高於A生產線的4.4%(A的不良率:(4,000×4%+1,000×6%) / 5,000=4.4%,B的不良率:(1,000×3%+4,000×5%) / 5,000=4.6%)。這種分別檢視時所得的結論和合併討論時的結論完全相反的現象,就稱辛普森悖論。而透過數據分析,有更多的數據來源和更完整詳細的資料,當發現有已失效的控制,可以透過不同面向,進行更廣或更深的分析,可了解到問題最根本的原因,而避免陷入辛普森悖論,提出不正確的結論。
數據分析對內部稽核有如此多的效益,是不是也開始心動,想追隨數據分析的腳步了?先別急,邁向成功不是盲目的向前,而是要朝著正確的方向。接下來,再談談大數據稽核施行的訣竅:
- 充分投資在了解資料全貌:數據會說話。的確,數據是客觀的資訊,但是若未充分了解完整的資訊來源、關連及其所扮演的角色(如:資料在何時、由何單位、在何情況下會產生),反而可能因錯誤解讀分析結果,而造成錯誤的決策。所以在分析數據前,首先要了解你的數據,你才能掌握並運用它。
- 投資在了解端點到端點的資料流:交易是持續不斷的過程,分析應更著重於整個交易的進行,而非僅是單一控制。例如,若僅專注查核採購單是否經過適當的簽核,並不能解釋未簽核的採購單造成企業多大的損失及影響,若能分析未簽核的採購單和適當簽核的採購單,其採購的價格是否有明顯的差異,管理階層才能由這些更多的訊息評估是否可以接受此風險,以及如何在控制及作業效率中取得平衡。
- 多投入時間在首年度範圍確認及計畫擬定:資料分析為內部稽核帶來的效益不僅是提高稽核過程的效率和效果,若於訂定年度計畫及擬定稽核範圍時,也能妥善運用資料分析,更可協助辨識出風險所在、提高資源配置效益,讓內部稽核機制更具影響力。
- 切勿僅從清單或知識庫中挑選分析項目:當擁有大量的數據時,應該要花費更多的心力從過去的分析結果,以及思考從不同的數據來源,訂定年度計畫及擬定稽核範圍,而不是年復一年查核同樣的內容。例如,當數據顯示今年度的匯率波動異常的劇烈,查核時對出口產品的價格變化就應該多注意。
- 針對不完整或品質不良的資料擬定因應計畫:分析項目若因無直接資料可供使用、缺漏,或散落在不同來源,而無法分析或需要額外花費人力整理,可先考慮是否有其他可替代的資訊可使用,並評估未來要如何記錄及保留這些資訊。
- 視資料分析為中長期專案:資料分析是持續性的,所以應對大數據如何應用於內部稽核有一中長期的計畫,包括數據來源、數據採集方式、分析工具、教育訓練等,都應適當的評估及規劃。沒有方向的投資工具、訓練,可能造成工具不適合、無法取得數據、無適當人力等問題產生。
- 鼓勵業務單位承接及採用:分析資料有內部和外部的資訊來源,而內部的資訊皆是自企業的各項作業活動所產生的,各負責的業務單位最清楚自己會產生哪些記錄,及目前有哪些記錄可以再強化。若由業務單位即開始注重高品質資料的留存,不但各單位也能透過這些資料進行管理,稽核單位也有更完整及豐富的資訊可供分析。
為資料分析型的稽核報告打造品牌知名度:內部稽核需要轉型,不再只是提供內部控制的缺失,而要更進一步提供企業營運管理的建議,才能提昇價值。而數據分析正好提供了這樣的機會,讓稽核人員不再只是專注於各循環的控制點,而能以更宏觀的視野,檢視企業營運的已知曝險及潛在風險,並給予更具影響力的管理建議。此外,應用視覺化的分析結果,能豐富管理階層對於所面臨風險的瞭解,並更快速及容易地掌握重點。
- 確保分析程式及邏輯的品質良好並加以維持:分析模型建置時,應考量重複性及持續性,模型架構、分析邏輯,以及註解都要適當的規範及遵守,切勿因貪一時方便,卻需要於未來投入更多的人力及時間。
透過數據分析強化內部稽核,是各企業已在面對且需要著手計畫的議題。對於已意識且關注此議題,卻因沒有方向而裹足不前的企業或稽核人員,期望本篇文章能引領你們邁開腳步前行;而現在才注意到此議題的,現在開始動作也不算晚,有了明確的指引,相信你們也能朝著正確的方向前進。