議題觀點
內部稽核轉型之利器 - 淺談資料分析於內部稽核之運用
勤業眾信風險管理諮詢 (股) 公司 / 張益紳執行副總經理、徐潔茹協理、羅苡菱資深顧問
民國九十一年「公開發行公司建立內部控制制度處理準則」正式上路,為主管機關行政院金融監督管理委員會(時為財政部證券暨期貨管理委員會)首次引用美國COSO委員會發布之「內部控制 - 整體架構」,規範公開發行公司應建立書面內部控制制度,並實施內部稽核,正式將我國公開發行公司內部管理層次提升至與國際公認架構接軌。綜觀前開準則實施近十六年來內部稽核執行情形,多數仍停留於傳統思惟與模式,稽核成效未能完全彰顯,或有公司將內部稽核視為雞肋,未予重視。內部稽核之蛻變與轉型並非遙不可及,本文即簡介如何透過資料分析之運用為內部稽核開啟新頁。
內部稽核之發展階段
隨著企業管理需求的日新月異,內部稽核不論於理論或實務作法均已有長足的演進,可概依其發展成熟度分為三個階段。基礎階段為一般所認知之內部稽核角色,稽核重點著眼於已發生之交易或事件,並以合規性稽核為主,使用制式之工作底稿且採人工作業,稽核結果常為有關表單填寫或作業流程之缺失,被稽核者易感覺吹毛求疵或行政作業負擔加重;進階階段除作業流程之風險外亦關注較高層級之財務及營運等風險,惟雖已逐漸導入風險概念,仍尚難運用高階分析技術、工具或風險評估方法,故僅能以抽樣方式就所抽樣本進行個案分析,而無法就交易資料做普查式之全面分析;領先階段之內部稽核已轉型為提供企業全方位風險監控及諮詢之顧問角色,從發現問題昇華為預防問題,降低風險發生可能性,同時透過資料分析等技術及工具達成全面查核與即時監控。
|
基礎階段 |
進階階段 |
領先階段 |
主要思惟 |
關注於過去:追溯過去所發生之交易或事件 |
關注於現在 |
關注於未來:採取主動積極之方式降低風險 |
角色 |
為符合法規要求所設置,主要執行合規性稽核 |
支援組織之內部管理及運作 |
組織內部之諮詢顧問 |
風險關注 |
流程及作業風險 |
財務及營運風險 |
組織所有風險 |
被稽核個體之選擇 |
採輪流方式決定稽核順序 |
依據被稽核個體之固有風險排定優先順序 |
依組織發展策略、經營模式及程序之相關風險擇定被稽核個體 |
稽核技術 |
機械式 / 標準化之工作底稿 |
製作抽樣計劃,並對所抽樣本作個別分析 |
即時監控 |
舞弊偵測與預防 |
並未特別著重 |
發現與偵測舞弊 |
預防舞弊 |
資料分析於內部稽核轉型過程扮演之角色
從前述發展階段可知,內部稽核轉型及價值提升仰賴風險監控與高效能資料分析之能力。在資料分析部分,已採用電腦化之作業均為可分析之素材,而資料分析運用成熟度依分析廣度及深度之不同,由淺至深可進一步區分為個案分析、針對高風險交易使用如ACL等工具進行全面分析、融入風險概念預擬分析指標並將分析對象擴及所有交易循環、運用自動化稽核工具提高分析頻率與即時性以達持續性稽核等層次。其中,分析結果須持續反饋至分析指標之設定與調整,以客製最適之分析指標,最終搭配自動化稽核軟體或平台,方能極大化風險監控效果。
資料分析運用實務
內部稽核轉型初期囿於技術及資源,不易執行完整之風險評估作業,亦難兼顧所有類型交易,爰可依公司特性及過去管理經驗擇定較為關注之交易循環優先進行分析。收支主要來源之銷售循環及採購循環常為首次執行資料分析企業之優先選項,其次則依行業特性為生產循環或存貨管理等。茲就實務作法說明如下。
一、釐清交易規則與邏輯
於分析前釐清交易規則與邏輯有助於提高分析效率,避免判斷為異常之分析結果其實乃正常交易態樣,因而耗費查證人力與時間。交易規則與邏輯包括:銷售價格之訂價原則、單據開立與核准規則、付款條件由各採購組織自行設定或須遵循總公司統一之規定、行業專屬之交易特性(如:原料之採購價格每月波動幅度在15%以內為常態)、進貨或銷貨折扣比率係依據交易數量或交貨日期、兼職與職務代理規則與權限……等,皆因產業類型、企業規模、營運型態及管理模式而異。
二、設定分析項目
參考勤業眾信設計之分析指標,包含資料品質、舞弊、遵循、財務、營運五大類別之分析項目。首次運用資料分析技術於內部稽核之企業在資料品質類別宜分配較高比重,分析項目如:相同供應商是否以不同代碼建立一筆以上資料、客戶主檔之重要欄位是否允許重複或缺漏等,此等資料品質之確認攸關後續分析結果的正確性;舞弊類型之分析項目諸如:特殊時間點執行之授權、放行、核准、付款,或疑似重複之交易、通訊地址異常之供應商等;遵循類別除產業相關法規外,亦包含公司管理制度之遵循,如交易內容、交易條件、信用額度、廠商類型之設定、變更及核准等;財務類別之分析項目如:付款失敗或作廢、提早付款或延遲收款等;營運類別則涵蓋退貨比率、採購或銷售價格之分布與變動、價量關係、交易類型與價量相關性分析等。前述五大類別為橫向分析,進一步輔以供應商別、客戶別、員工、產品別、銷售或採購組織別、子公司或產業別之縱向分類,組成二維度之監控與分析模型,另經配置各類別之風險值及權重之後,企業整體風險值高低之分布便可一目瞭然。
三、分析結果之追蹤與回饋
經前述資料分析可快速有效聚焦異常資料,縮小風險範圍,協助內部稽核擇定被稽核個體以及時辦理深度稽核。然多數內部稽核將分析結果之追蹤與查證視為資料分析的最終步驟,而忽略將查證與改善結果回饋至分析指標及風險值之設定,據以滾動調整分析項目及風險值之權重。例如:非首次執行資料分析之企業可調降資料品質類別所占比重,另內部控制經改善及補強後,宜提高營運類別之風險權重,發揮內部稽核強化營運效率及效果之積極功能,方能因應企業在不同發展階段之管理需求。
結語
常見內部稽核因人力有限及獲配資源不足而難以跨出轉型的第一步,然所謂好的開始乃成功的一半,倘能妥為運用資料分析這項利器,作為內部稽核蛻變及價值提升之墊腳石,必能扭轉普羅大眾的刻板印象,使內部稽核成為企業經營管理之得力助手。