稽核也用大數據 企業風險一把抓

大數據乃是21世紀最夯的名詞之一，企業每日的營運均會產生大量的數據，其產生及傳遞之方式從紙本、ERP系統、電子郵件、社交媒體到通訊軟體，型式從文字、圖形到影音檔，來源從內部到外部，其大量、快速、複雜且多元的特性使得許多企業從初次接觸大數據概念時的驚豔，逐漸轉化為將數據蒐集、整理、分析、解讀與運用之過程視為一場經營管理的惡夢，既無能量亦無足夠技術消化大量的數據，卻又對於未能掌握的資訊黑洞膽戰心驚。

行銷是較早將大數據運用得爐火純青的領域，從消費者購買行為及潛在客戶網路瀏覽紀錄分析、廣告投放、消費品項及消費金額預測等，都已是家喻戶曉的策略與手法。反觀身為企業內部管理第三道防線的內部稽核，多囿於人力不足或忙碌於規律之文書作業，或不易跨越的技術門檻，而限制了運用進階工具或技術擴展稽核能量與價值的空間；然而，傳統的人工抽樣查核方式不僅面臨資源有限且耗時耗力的窘境，更易陷於抽樣樣本量不足或樣本不具代表性的挑戰，最令人擔心的是，可能因不適當的查核方式而造成統計學上第一型錯誤(false positives)的假警報發生情境，使企業錯誤投注資源在管控及追蹤低風險或是無風險的事件中(請參見圖1)。

企業內部的各種數據如同一座蘊藏豐富的寶庫，縱橫交錯織就成各類風險資訊，如何在龐大的數據寶庫中挖掘出對企業風險管控應聚焦的風險事件，可透過交易對象(如供應商、客戶、員工)以及交易本身(如採購單、銷售訂單、費用支出)二種角度來分析不同類型的風險，常見風險類型包含與內部規範、集團政策與外部法令規章遵循程度相關之合規風險；資產侵占、不實費用、賄賂或回扣收受等之舞弊風險；與經營效率、效果相關之營運風險；預算控管、帳務收付、投資或避險相關之財務管理風險；採購價高、銷售價低、重複購買之潛在浪費或短收風險，藉由此種全面向的風險剖析，透過綜合考量對象與交易的風險係數，依各項風險類型的風險計分加以平準化後，再結合系統化的風險計算邏輯(風險計算引擎)得出風險值，將可讓隱含於雜亂無章之原始數據內的種種風險，以整合性的風險儀表板來視覺化呈現各類風險分析資訊，引導企業快速且精準地聚焦風險分佈情況及量化其衝擊與影響。(請參見下圖之Deloitte風險智能儀表板示例)。

當企業可透過風險智能儀表板彙整各面向的營運事實數據(Single Version of  The Truth)，除發現潛在風險事件(防弊)外，更可進一步探索如何協助經營管理上的優化(興利)。以企業最常見的銷售金額及毛利率分析為例，這二個關鍵指標數字是企業檢討及關注的重點，然而，卻鮮少企業會將二個指標放在一起，進行關聯性的綜合分析，當企業改採如下圖的管理分析模型，將可為企業帶來更多的觀察發現及管理洞見：

１． 隨著產品生命週期的增長，所累積的銷售金額與毛利率會呈現一致的線性趨勢，這種情況符合一般的管理認知；同時，也隱含著採人工隨機抽樣的查核方式，將有極高的比例，所抽樣的產品皆是符合趨勢發展樣態的產品。

２． 在趨勢線以外的離群值，應是管理及稽核的重點項目，銷貨毛利率明顯偏高的產品，值得我們進一步探究其產品優勢，並思考如何將此優勢擴大應用至其他產品，或是針對此優勢去設計企業行銷方案。

３． 銷貨毛利率明顯偏低的產品也是得我們進一步深入了解的重點項目，我們應該探究問題所在，檢視是市場競爭及客戶接受度的外在因素，還是產品訂價不當及生產及原料成本控制不良的內部因素，抑或是為了搭售高毛利產品的策略性銷售考量。

根據Deloitte實際輔導客戶的經驗，企業導入如風險智能儀表板的大數據分析平台，不僅可使企業內部稽核人員提高風險確信程度，更可協助企業發掘營運優化契機，以單一採購付款循環為例，列舉導入大數據分析工具的質化及量化效益，以及營運優化契機的發現如下：

質化效益

１．董事會及管理階層可運用平台快速聚焦公司高風險採購付款交易及往來供應商，全面掌握風險變化情況。

２．前端採購單位運用此平台可強化風險管理第一道防線之自行監督功能以及早採取因應措施。

３．建置過程中內部稽核及管理單位針對公司內部控制設計可行性、執行落實度、管理弱點等議題進行檢討與優化。

４．可協助內部稽核人員轉向以風險為導向之稽核，有效配置稽核資源。

量化效益

１．從過去每次查核需花費８小時重新取得所需資料以進行分析轉為平台資料之架構及格式皆已標準化並自動匯入(０小時)。

２．從過去每次查核需花費8～16小時進行資料清理、調整、增減欄位、確認不同來源資料間可正確連結轉為平台可自動清理及彙整資料(０小時)。

３．從過去每次查核需花費8～16小時使用Excel進行單廠單項抽樣料件採購付款資料分析及報告內容製作轉為平台可在1小時內產出全年度所有廠區全料件上百萬筆採購及付款所有交易之風險分析報告並在10分鐘內更新儀表板數據。

營運優化契機

１．找出實際付款條件劣於供應商主檔付款條件之採購單，其金額超過600萬美金，進而檢討付款條件的管控。

２．找出過去一年內，月平均單價變異係數前10%之物料採購，其金額超過1,000萬美金，進而檢討價格波動根因。

３．找出分析過去一年採購金額在前10%之物料，且最後報價日期超過一年以上，其金額超過4,000萬美金，進而分析採購合約及進價審核的管控。

近年ETL、數據分析工具，以及將分析結果以視覺化方式呈現之軟體漸趨普及，已大幅降低數據整理及分析所需之時間及人力，不論內部自行發展或仰賴外部顧問協助，相關成本已可妥善預估及控制。藉由數據分析可驅動企業內部稽核轉型與創新，伴隨內部稽核引進不同數據分析技術以及應用場景，將可參考如下圖所示的發展進程：

內部稽核所需之數據分析首重分析標的之決定，初步宜從結構化之數據著手，先就企業日常營運所產製或取得之原始資料進行分析，就分析結果異常項目深入查核，即可快速展現稽核成效。諸如：採購、銷售、員工費用申請及支付、生產與存貨管理等，均為基本之分析標的。

透過數據分析將原始資料進行全母體查核、發現其中時間順序異常、勾稽不符、離群值、趨勢偏離、比例過高或過低等各種類型風險警訊，提出相關稽核建議以強化內部管理。然前述僅為單點數據分析，須進一步將各項分析結果整合為線與面，方能形成企業整體風險地圖。當提高分析頻率時，合規遵循、舞弊、營運效率及效果、財務管理及可能之浪費或短收等風險分布與消長變化便一覽無遺，高階管理者可即時監控，內部稽核亦能採取風險導向式的稽核，將有限之稽核資源精準投入於風險較高或新興之風險領域，在完善內部控制之基礎上，提出有別於傳統偏重合規遵循議題之稽核建議，進而轉化為營運面的稽核，優化稽核價值。

立基於結構化數據之分析，將分析範圍擴展至非結構化數據，運用文字或影像辨識技術蒐集與整理更廣泛來源之數據，導入認知智能分析等人工智慧及機器學習技術，增加風險監控態樣及提高回應時效也將不再是夢想。