洞察解析
內部稽核3.0(下)內部稽核未來的關鍵即是現在
勤業眾信風險管理諮詢 (股) 公司 / 張益紳執行副總經理、徐潔茹協理、魏以涵副理
在上篇我們介紹了內部稽核3.0的演進過程與體系總覽後,接下來,我們將針對內部稽核3.0體系的核心價值及特徵進一步說明,以協助讀者了解內部稽核3.0應如何運用在升級內部稽核功能及價值,並符合利害關係人的期望。
確信:內部稽核之核心,但非唯一功能
核心流程:通過自動化來增加價值
內稽計畫旨在平衡組織核心流程與重大風險兩大功能之確信。因稽核資源及時間有其限制,內部稽核人員每年查核可以涵蓋的流程有一定的數量,且經常採取循環基礎的輪查方式,以達在有限的時間內可以提供適度的確信。然而,利害關係人需要內部稽核可以提供二種型態的確信,包括核心財務和運營流程,如採購、應付帳款、薪工、員工健康及安全等皆良好運行,以及組織重大風險均已適當管控(例如網絡、數位化、變革管理等),並可以更為持續的頻率來提供確信服務。
想像一下,是否可能透過數位科技的運用,使核心確信流程自動化,並相較於傳統查核方式,在涵蓋相同的核心流程數目的範圍下,卻能大幅降低所需投入的查核資源,並提供持續性稽核?自動化核心確信可利用分析技術、流程自動化機器人(RPA)、和人工智慧(AI)以即時監控控制落實的情形,並標示指出不符合政策或規範的狀況。如果將其再與自動化報告做結合,內部稽核部門可立即將不符合政策或規範的狀況與相關業務單位進行溝通,以便即時做出修正與調整,而不用再透過每幾年輪查一次才可以針對有關控制進行檢核。
使用資料分析與機器人相關技術將核心確信流程自動化,以提供持續性之確信,並可釋出更多資源投入在提升內部稽核服務。
自動化核心確信的主要效益在於:
- 內部稽核部門可同時提供核心流程與策略性風險範圍的確信服務,而不再因資源有限而面臨取捨,僅可顧及其中一項;
- 釋出的稽核資源可妥適分配投入在因應組織重大風險;
- 釋出資源使內部稽核部門可針對問題發生的根本原因進行分析,包含因不符規定所導致的行為及改善與修正問題的方案;
- 可協助內部稽核部門轉換角色從問題發現者,變成共同找出解決方案的合作夥伴,從稽核已知的重大議題開始著手;
- 促使內部稽核部門能夠運用知識、職能和經驗幫助企業改善流程和控制。
自動化核心確信是內部稽核3.0的重點之一。它不僅可將自動化技術與人力資源極大化,產生最大的價值與提供更有效的確信外,還能運用資料分析、RPA等技術來提供即時監控和測試,進而使內部稽核的定位可從過去已發生議題的報告者轉而成為企業內部的策略性合作夥伴。
行為上的確信
管理階層及員工的行為都可能會驅動風險的發生,然而,人員行為及企業文化過去常被內部稽核視為難以稽核及評估的項目。在內部稽核3.0架構下,內部稽核將可從三個面向提供有關人員行為的確信服務:個人當責(人員是否妥適履行其職責)、營運紀律(人員是否確實了解及落實控制)、第一及第二道防線中對於改善方案的主責(人員是否對第一、二道防線的缺失改善負起責任)。這三方面的確信將可以使企業員工對於風險及控制的態度與行為發揮潛移默化的效果,進而帶來顯著影響。
數位科技上的確信
許多企業漸漸開始採用新興數位科技,流程自動化機器人(RPA)、人工智慧(AI)等的興起同時也伴隨而來較不易理解的特定新興風險領域;內部稽核亟需針對新興數位科技的風險進行確信,因為企業將可能因員工編譯、採購與引進應用程式或其他數位化科技,包含與物聯網(IoT)相關的技術,而面臨真實且正在發生的威脅。
這種情況也促使企業對擁有新興技術能力的人才與具備不同技術及經驗的內部稽核人員有強烈的需求,包含同時瞭解企業營運流程與技術能力的跨界人才,以及能掌握商業應用認知科技系統的專業人士。此外,內部稽核部門需要更多相關議題的跨領域專家,他們會提出精準的問題、了解利害關係人的需求、辨識出真正的風險、並引進新的方式來提供確信。這不僅僅是找一個人對應用系統開發或資訊資產的管理進行稽核,而是找到一個人能真正瞭解企業因採用特定的人工智慧(AI)或流程自動化機器人(RPA)而衍生的曝險程度,並做出適當的相關假設。具備這樣技能的人才相當稀少,卻對企業非常關鍵。
建議:可為利害關係人最大化服務價值
獨立性:成功因素還是限制因素?
根據我們的經驗,內部稽核部門往往過度仰賴「獨立性」來作為他們固守自身防線且避開提供洞察分析及真知灼見的藉口,然而,這卻是大部份的利害關係人真正期望內部稽核所提供的價值。僅能針對過去發生的事件進行報告將使得內部稽核的價值被貶抑,而這也絕不會是內部稽核的未來發展潮流。獨立性非常重要且不容忽略,但內部稽核部門應能明智地判斷,在不損害內稽職能與獨立性的情況下,可提供何種類型的專業建議。
通常內部稽核的建議諮詢需能夠提供以下功能,包含提出自身觀點、挑戰管理階層、或即時傳達時洞察意見。在提供這些建議諮詢的過程中若在適時串連起跨單位的溝通及他人所忽略的企業整體性,將可促進組織內化性的變革。內部稽核部門在組織中擁有特殊的優先地位,若不善加利用這項有利位置,將會錯失提升內稽價值的良機。
獨立性意味著脫離可能因偏見所導致的風險,且內部稽核部門應具有充分自由以表達自身觀點,並可透過內部資料分析、外部調查研究、同行實踐(peer practices)、及過去經驗來提供洞察意見。使用「獨立性」做為藉口以逃避提出協助營運改善的建議並不會使組織受益。在內部稽核3.0框架下,稽核部門能在尊重獨立性的同時,經由強調客觀性、完整性、及專業性來為企業提供營運改善的諮詢建議。
強化三道防線
在內部稽核3.0中,內部稽核在維持客觀性及獨立性之前提下,可提供建議及分享方法及工具,以協助第一、第二道防線提升自我確信的能力。這樣做的目的在於能以最接近即時的頻次,以最有效率及效果的方式完成確信作業。考量獨立性的情況下,內部稽核應清楚了解到不應該介入管理決策或是設計將被自己所稽核的控制機制。這樣的做法完全合法正當,且我們以為,這也十分符合內部稽核的功能角色—協助第一、第二道防線改善自身的管控能力。
在適當實施的前提下,內部稽核3.0能有效地移轉部份確信作業至第一及第二道防線,舉例來說,如果內部稽核開發了一套分析工具,應針對相關知識及工具進行分享,供第一及第二道防線使用,使他們可以進行自主檢核,以確認相關安全防護措施皆已適當設置且正常運行,讓效益可以更廣泛地擴散在組織之中。這種方式的推行將會因不同的產業及不同的企業而有差異。
控制有效性
針對控制設計有效性進行確信是一種權衡手段,對企業而言,最有價值的建議發生在控制機制被設計的當下,如果內部稽核僅僅是在控制機制已實施之後才進行覆核,並提出修正意見,則對企業所帶來的效益將遠低於在控制機制設計之時即針對其有效性進行確信。內部稽核、業務單位或功能性委員會皆應建立起維持內稽獨立性的防護措施,在此前提下,內部稽核可從旁觀察這些控制機制方案,並於設計階段提供其控制專業的即時回饋。
在變革期間提出建議
在企業變革期間內部稽核將扮演關鍵之諮詢角色,針對相關專案或管理方法提供確信。內部稽核也應參與策略方案及企業轉型相關議題之討論,而不僅僅是針對變革計畫提供確信,除可喚起大家對風險的疑慮、挑戰管理階層風險管理的方式、更能提出改善方式建議,以提升討論內容的品質,並針對策略及轉型方案提供確信。在某些高度監管的金融行業中,內部稽核有權出席功能性委員會會議和其他重要管理決策場合,即是為了發揮這種功能,只不過現今這種情形並不經常發生。
確信的設計(Assurance by Design)
內部稽核能協助管理階層在營運中導入相關持續監控機制,以消滅或減低要求第二道或第三道防線提供作業流程及內部控制確信的需求。這個理想狀況的達成需仰賴資訊系統可容易地產出不合規範的交易異常報告,而非倚靠人工方式進行的控制措施。我們應思考的基本問題是,如何設計與建立此持續監控機制於營運流程之中,才能減少需由人工方式提供確信的比重。這個問題應從控制機制能緩減風險的程度來思考,內部稽核應對持續監控制機可緩減風險的效率效果進行覆核與提供確信。事實上,確信設計所希望達成的目標是能夠提供即時的確信及風險報告,這與自動化核心確信的目標,二者相輔相成。
實際上,內部稽核3.0 所提出的各項功能皆可相互支援、彼此相輔相成。
預測:提供具前瞻性之風險觀點
透過內部稽核所擁有組織內部資訊存取不可設限的優先權、伴隨引用外部數據的能力提升、以及具備從組織整體性及高度性出發的宏觀視界,內部稽核立足於一個十分理想的位置,可對影響組織目標達成的潛在風險與議題加以預測。
風險感知:查看風險狀況
目前的風險感知平台都是根據內、外部數據或綜合兩者以對風險指標進行監控。例如,許多企業監控社交媒體以掌握顧客情緒及商譽風險,或是透過新聞推播、監管機關發佈資訊、運用文字探勘及分析技術以辨識風險議題與發展趨勢。金融服務業或大型產業公司會監控央行施策來預測利率波動與其對業務所造成的影響。許多企業皆透過監控內部各項管理資訊,以辨識財務及運營績效表現、客戶行為、品質瑕疵等的發展趨勢及其他可能影響營運的重大議題。
風險感知結合了先進分析技術與人為專業判斷,較過往已知的可辨識風險更加延伸至新興風險領域,可提供企業全方位的風險觀點。風險感知聚焦在新興、通常未知的風險,為了能夠預測問題及議題並提供洞察分析建議,風險感知是內部稽核應具備的關鍵能力之一。風險感知也提供了即時與持續的風險評估能力,從而擺脫傳統的年度風險評估方式。風險感知的有效利用將可以協助內部稽核提高對風險的理解,從而可聚焦對應的控制活動以進行確信。
風險學習:查明為何發生
風險學習或是風險預測則是運用資料分析以針對風險事件與週邊因素梳理其間的因果關係。當風險事件發生,分析人員可檢測其他什麼情況在風險事件的前、中、後也會發生。經過一段時間,運用認知技術與根因分析建立起風險事件及其週邊因素的分析資料庫,企業可以釐清風險事件的相關性、時間性、及因果關係。這將可協助管理階層採取預應措施以避免風險事件的發生或減輕其影響;此外,內部稽核也可以針對與預應措施有關的執行步驟進行確信。風險學習可帶領內部稽核及組織超出傳統風險導向計畫的限制,同時也可降低管理階層所面臨「不知之不知」的不確定性。
升級至內部稽核3.0
數位資產、技巧與能力、及其他推動方式使得內部稽核3.0得以實現。內部稽核團隊如何開發、使用與部署數位資產、技巧與能力、及其他推動方式將視部門、組織、及利害關係人而定。關鍵的第一步是打造內部稽核3.0的共同願景,並據以展開實現此願景的發展路徑。對某些讀者來說,這可能包含引進敏捷式內部稽核—這是我們爰用系統敏捷式開發實務於內部稽核作業的方法,它將可以協助內部稽核改革成為具有前瞻思考性的部門。對其他讀者而言,也許是採用風險感知或是自動化核心確信。內部稽核3.0旨在幫助內部稽核部門與現今商業環境的變化保持相同步調、創造價值、維持攸關性、並提升影響力。
變革的必然性
如同一句俗諺所說:「有人促使改變發生、有人見證改變正在發生、還有人詢問發生什麼改變」,如果內部稽核是最後的那群人,則對內部稽核自身及組織來說,都將會是一場豪賭。利害關係人的需要已經足夠清楚讓內部稽核深刻體認轉型的必要性,而這需要對內部稽核所提供的功能及其在組織中所扮演的角色與定位有一個明確的願景。透過此項跨單位協同發展、明確陳述且上下理解一致、及獲得高階強力支持的願景,內部稽核方可升級至內部稽核3.0,也才能提供利害關係人最大的價值。
內部稽核的未來已相當明確,而現在就是改革升級的時候!
(本文節錄自Internal Audit 3.0 - The future of Internal Audit is now 2018)