2019金融服務業 - 打造稽核新方法

走過2018年，整個金融服務產業發生了些變化，利率持續維持在低檔，公司策略仍聚焦在降低成本，而英國脫歐及中美貿易戰依舊是全球政治上的重要議題。

儘管如此，金融服務業的內部稽核部門仍如同其他單位不停追求創新及優化，藉由引進新概念、新方法、新科技、新人才以更符合利害關係人的期望，以更有效率的方式進行確信作業，為企業提供更高的價值。

我們特別提出了一些金融服務業的稽核新方法，希望有助於內部稽核進行年度稽核計畫時，能與主要的利害關係人與團隊成員，進行更有意義的風險議題探討，並思考如何協助內部稽核部門的數位轉型。

敏捷式內部稽核(Agile Internal Audit)

• 敏捷式內部稽核的重要性？

敏捷式(Agile)方法是當前正逐步興起的熱門議題。在整個金融服務產業中，內部稽核部門引進敏捷式的概念，並應用其價值與原則於內部稽核實務中的企業數量有顯著的提升。敏捷式內部稽核是一個心態的轉變，它能協助塑造一個合作的環境，透過迭代程序與固定時間的方法，讓內部稽核與業務單位共同解決稽核問題。

然而敏捷式內部稽核不一定適用於每一個金融機構，在決定是否採取該方法前必須審慎考量成本效益。因此許多內部稽核部門在正式採取行動前會先舉辦工作坊或啟動先導案，以評估是否該進行更進一步的投資。一旦企業釐清內部稽核的願景及敏捷式內部稽核的發展藍圖，下一步則是啟動先導計畫。

• 內部稽核如何應用敏捷式概念？

敏捷式內部稽核是一套經過驗證的執行框架，聚焦團隊價值與影響力。透過敏捷式技巧的應用，內部稽核團隊可提供更好、更快的工作成果，並使成員的工作過程更加愉快：

1. 透過與利害關係人更好的互動，有助於內部稽核創造更多價值與影響力；

2. 使問題更快浮出水面，迫使團隊成員能正視、改善及促進稽核作業品質；

3. 關注團隊整體表現、生產力提升、創造穩定的工作模式，及透過對團隊成員的賦權以建立信任感；

4. 減少投入資源並最小化為提供確信所需的稽核工作時間；

5. 透過迭代與協同的方法，使內部稽核作業能快速地因應企業需求而進行改變；

6. 創造團隊當責文化，賦權團隊成員進行決策、成員相互學習並感覺受到肯定。

• 潛在挑戰？

敏捷式內部稽核可能面臨的挑戰：

1. 高層的態度：敏捷式內部稽核不是方法論，而是一種心態的轉變及藉由技巧及流程所構建的執行框架。採行敏捷式方法需要管理階層行為模式的轉變。

2. 指導：要確實做到團隊成員的心態轉變，需要管理高層帶頭落實變革，以及整個組織對敏捷式方法的支持。成功採行敏捷式方法的那些組織，便是透過管理高層作為敏捷式教練，協助團隊改變他們的行為。

專業人才(Talent)

• 為什麼重要？

內部稽核成員角色及其職權愈來愈被強調，審計委員會期望內部稽核可提供更多更複雜的確信型態。因此，聘僱非傳統稽核背景人員(如會計師)以及特定專業領域人才(如精算師、風險管理專家、資料科學專家)就愈顯重要。加入多元專業人才將有助於內部稽核回應當下以及未來的挑戰。

• 稽核如何發揮專才的優勢？

越來越多的內部稽核部門培養建立自家的資料分析、資訊安全、及精算能力，但許多組織卻未能吸引這些專才。以下幾點建議將有助於那些以傳統稽核資源為主的組織迎向可能面臨的挑戰：

1. 辨識團隊內的技術缺口：內部稽核部門應針對潛在的技術缺口進行初步評估，並與審計委員會成員及呈報主管進行討論，以利於找出必須優先解決的技術缺口。

2. 善用協同稽核資源：許多外部服務廠商可配合企業需求，提供特定專業技能，當預算有限或某項專業領域技術僅有一次性的需要時，可考慮聘請外部人員進行單次的稽核作業。

3. 靈活運用現有的企業內部專業人才：以暫時調任或借用企業內部既有的專業人才，如資訊、資料分析、及其他團隊人力以彌補技術缺口，在短期是較符合成本效益的做法。

• 潛在挑戰？

雖然在蓬勃發展的金融服務市場中，延攬各種不同領域的專才儼然成為一種趨勢，但仍存在以下幾項潛在挑戰：

1. 預算：聘任專業人才的成本高昂。尤其在內部稽核預算長期固定的情況下，招聘專業人才的支出將更顯昂貴。

2. 費時：找出合適的人才以在適當的時機發揮專業將需要花費不少時間。

3. 訓練：專業人才轉任至內部稽核部門將會需要一段培訓期以學習內部稽核的工作模式及專業術語。

品質保證(Quality Assurance, QA)

• 為什麼QA重要？

內部稽核利害關係人及管理者愈來愈關注稽核的職權範圍及方法程序，他們期待針對內部稽核為組織帶來的價值、成果以及影響進行評估。

不同規模的內部稽核部門都在嘗試改善品質保證的創新方法，以兼顧各方面的稽核品質。內部稽核品質保證的範圍包括了：方法論的遵循、稽核風險、持續改善機會、稽核價值創造、學習發展以及文化。

許多內部稽核部門採行的品質保證尚包含了品質指導(Quality Coaching)，此方法可協助保質保證但又不失獨立性及客觀性。

其他企業則持續採行更政策導向的方法，重視方法論的遵行及確保內部稽核人員能維持獨立性。

• 內部稽核如何充分發揮品質保證？

越來越多的內部稽核部門利用不同類型的品質保證，並在稽核作業的各個階段加以設計以納入品質保證，其目標還包括了協助持續發展及改善內部稽核團隊。一些具體的例子包括：

1. 動態覆核(In flight reviews)：透過高度涉入參與並即時提供回饋予稽核團隊，以針對稽核循環中的關鍵點進行影子覆核(Review Shadowing)。

2. 主題式覆核：針對高風險或高影響領域的稽核報告進行事後抽樣覆核。

3. 持續性監控：針對內部稽核部門追蹤與品質保證有關的關鍵績效指標、辨識目前興起趨勢或重大議題、以及部門內的資訊透明度

4. 數據分析：針對一些較大的內部稽核部門可透過資料分析，以即時發現重大品質議題(如查核時間、稽核檔案中保存的文件數量、及稽核報告歸檔時效)。透過持續性監控能力將有助於建立前瞻性預見能力、主動積極的角色以驅動提升稽核品質水準。

5. 報告：在規模較大的內部稽核部門中，建立起稽核品質保證與內部稽核負責人例行會議，將有助於負責人的管理職能的發揮。

• 潛在挑戰？

稽核部門採取修正後的保質保證方法將可能會遭遇到以下挑戰：

1. 資源：要採納新的品質保證方法將需要更多資源、技術能力或專業知識，有些情況下，內部稽核部門會考量將品質保證委外進行。

2. 溝通：新方法的引進將帶來部門改變的需要，任何改變都需要預先管理及與部門成員清楚溝通。

3. 途逕：內部稽核部門如有良好發展與清楚說明的品質保證方法，將會提升內部稽核團隊的自信心並帶來抗拒減緩的監理紅利，進而可採取入侵性較低的推動方法。

4. 回應性：當稽核部門導入了敏捷式內部稽核後，內部稽核團隊將需要思考如何發展一個同樣具有回應性的品質保證方法，以反映敏捷式內稽的價值與原則。

以網路為基礎的風險感應機制(Web-Based Risk Sensing, WBRS)

• 為什麼重要？

隨著資料的價值愈來愈受重視，更多有效率、目標導向評估及分析資訊的方法也隨之出現。危機感應機制即是利用分析開放式資料，進而發掘正在發生的風險。企業可以用來處理以下挑戰：

1. 監督與追蹤監管環境，包括辨識全球性監管體制的變化；

2. 辨識商業風險，並連結不同領域的風險節點；

3. 透過資料分析，洞察並建立可執行的資安情報予決策者；

4. 了解企業的數位化歷程與發展。

• 內部稽核如何發揮風險感應機制的優勢？

風險感應機制是一項新興科技，能提供可執行的資安情報予內部稽核部門，同時可應用在年度稽核計畫及稽核生命週期，說明如下：

1. 風險評估與年度計畫：內部稽核部門可以利用風險感應機制辨識正在發生的風險。除此之外，它還能提供審計委員會潛在隱藏風險的概況；

2. 查核範圍：風險感應機制也可以被利用在稽核計劃進行的過程中，找出關鍵優先項目以及界定查核範圍；

3. 實地查核與報告：風險感應機制可以藉由資料分析，在稽核的實地查核與報告上，提供額外的商業洞察資訊。

• 潛在挑戰

1. 影響：風險感應機制依賴開放式資料，包括對推特、臉書等社群媒體的監測。相對於來自企業內部的資訊，若將這些外部感知資訊應用在內部稽核上，相對於內部產生的管理資訊，其精準度及正確性可能較低。

2. 進入門檻：對內部稽核部門來說，要應用風險感應機制這項新興技術存在著進入門檻的障礙。風險感應機制通常是一項由市場上許多廠商所提供的一種管理服務，若能與風險感應機制廠商進行進一步溝通，可以讓內部稽核部門更了解風險感應機制對稽核工作可帶來的助益。

行為分析(Behavioural Analytics)

• 為什麼重要？

企業正面臨前所未有的法規監管 - 包括行為風險及辨識與監控對消費者不當反饋風險的能力。行為分析方法可以幫助企業：

1. 超越傳統的監控方法，聚焦在更資料導向、自動化監測以評估整個組織內部的風險。

2. 利用過去的行為指標作為基礎，評估固定一段時間內的全面性行為風險，發掘異常行為態樣以進一步調查。

3. 從過去側重時間與資源密集的覆核程序，轉導為更有效率的方法論；

4. 辨識金融犯罪、防範舞弊以及洗錢，確保法令遵循以及監測其他高風險領域，如交易與經紀業務。

• 稽核如何運用行為分析？

行為分析代表著科技創新的前緣，可同步應用在商業與內部稽核領域以改良過往的作業流程。內部稽核部門可參考以下兩點：

1. 作為第一道及第二道防線的防禦機制，內部稽核需要對科技工具的使用是否適當進行確信。最具效率的方法即是了解演算法在支援商業運作之餘，是否會產生偏差或錯誤。除此之外，內部稽核亦須針對產出結果加以審視，如產出是否公平正當。

2. 在挖掘潛在風險方面，比起傳統的抽樣查核方法，行為分析可以挖掘出更多資訊，並擴大分析的涵蓋範圍，透過覆核過程中的互動，可提供較傳統方法查核時無法獲取的資訊。

• 潛在挑戰

1. 成本與效益：使用行為分析工具，需要在人力投入、導入實施、與維護成本和其所能帶來的利益之間取得平衡。

2. 可執行的產出：確立由資料分析驅動的洞察方法，以確保相關產出能有助於商業決策，且明確可執行。

3. 例外情況：因風險與議題的界線模糊或範圍常不易界定，因此也提高了例外情況定義的困難度。

4. 安全考量：使用行為分析工具需要蒐集資料，內部稽核部門必須確保蒐集及使用的資料皆符合相關法規且避免濫用。

5. 資料品質：能即時取得品質良好的資料，仍是內部稽核團隊的一大挑戰。

語音監控科技(Call Monitoring Technology)

• 為什麼重要？

金融行為監理機關在行為風險議程上愈來愈重視企業提供給消費者的服務是否能達成正向結果。目前的反饋機制皆採資源密集模式，需要大量團隊去監控與消費者的互動。

若能使用資訊科技，將可檢視商業流程並強化管控機制。語音分析平台便是使用認知科技與風險演算法，藉由語音的語調、行為、情緒變化以進行監控。

• 稽核如何發揮語音監控科技的優勢？

相較於傳統抽樣查核方法，語音監控科技可帶來數項優勢，並已設計納入許多使用案例以提供協助。

1. 增加語音監控的覆蓋範圍，取代傳統的抽樣查核方法；

2. 減少人力投入與成本，讓資源得以轉移至更高風險的互動領域；

3. 透過預應式主動發掘具高風險的語音通話，及提升與消費者互動過程中的可視程度，以改善消費者服務的成果。

4. 可與現有的基礎架構進行小範圍的整合，以快速展現出語音監控科技能帶來的效益實現；

5. 利用語音監控科以技評估員工是否有遵守企業規範的準確度更高。

• 潛在挑戰

企業擁有成千上萬小時的通話資料得以被內部稽核用來進行語音監控分析，藉以取得更多在客戶服務方面的新發現。然而，使用通話監測工具仍存有以下數項挑戰：

1. 整合：與原有的一般或專案查核計畫加以整合？這將取決於事先決定的稽核計畫範圍。

2. 樣本量：選定適切的、具代表性的樣本量將有助於內部稽核將工具的效用發揮到最大。

3. 可取得性：內部稽核的查核作業是否能順利進行，很大程度上取決於資料的可取得性，若無資料，則無法進行進一步的工作。其他考量包含如何使用資料、如何確保過程遵守相關規範，如GDPR。

風險評估(Risk Assessments)

• 風險評估的重要性？

某些內部稽核部門指出，傳統的稽核計畫模式在風險評估的過程缺乏透明度，許多重要的風險未被納入稽核循環中。傳統計畫模式在過程中產生的其他影響，諸如稽核實體規模的不一致，某種程度上將導致以下結果：

1. 無法建立常態的稽核領域；

2. 對個別稽核實體缺乏關注；

3. 針對某風險事項是否進行評估，在不同實體之間產生的論述並不一致。

因此，為了增加透明度以及一致性，許多內部稽核組織重新修正了它們評估與辨識風險的計畫模型，並以個別稽核為單位進行追蹤。

• 稽核如何發揮風險評估的優勢？

稽核部門應藉此機會重新檢視他們的風險評估流程與稽核領域，以期釐清稽核計畫形成的過程及與利害關係人、審計委員會溝通風險事項時，如何更能增加透明度。當進行風險評估時，稽核須考慮到其他確信提供者，並針對風險分類與報告進行校準。

從重新檢視與建立稽核計畫和稽核領域的原則做為起點，思考內部稽核究竟要達成什麼目的？首要目標應著眼於強化初始風險評估原則，以及個別稽核計畫與執行風險涵蓋範圍之間的連結。

其他的優勢如：使稽核領域的組成要素與完備程度更令人放心，僅需聚焦在主要的關鍵風險上以增加效率，促進內部稽核部門中針對個別風險或可稽核實體的角色與職權變得更加明確。

• 潛在挑戰

稽核可能會面對以下挑戰：

1. 針對現存的風險評估與計畫方法論進行修正必須花上不少時間，尤其是對那些規模較大，以及深度涉入、或已引進相關工具來評估風險及進行計畫的組織而言。

2. 在稽核領域中建立稽核實體的等級 / 規模是非常重要的，規模必須夠大，大到足以包含重大風險及產出有意義的稽核結果，但也必須是夠精細，足以針對關鍵風險促進細部執行計畫之形成(以及將特定領域納入聚焦範圍，如關聯企業)。

3. 從先前的模式轉變到新的稽核模式需要一段轉換期，才能將中間的落差調整彌補起來。

結語

前述提及的稽核新方法可供金融服務業內部稽核進行年度稽核計畫時的參考，並可提供與利害關係人與內部稽核團隊相關的泂察建議及值得討論的重要議題，希望透過本文，可協助內部稽核部門進行數位稽核的創新及轉型。