稽核分析能力

持續學習與成長

稽核分析能力

從近年來不斷發生的舞弊事件來看,不論是企業部門、政府部門或是NGO團體,都可以看到長期以外對風險意識的忽視,以及如何有效執行內部控制與稽核制度的觀念及方法無所適從,管理階層認知上的問題一直存在著,適逢幾件重大金融事件的發生,加上國際上對法規遵循的要求,有效的風險管理作業與內控三道防線的落實,就變成提升國內在風險管理及內部控制與稽核作業方法的最大助力。

第一道防線負責及持續管理營運活動所產生的相關風險,包含下列:

一、辨識、評估、控制及降低營運活動所產生的風險,確保營運活動與銀行目標及任務一致。

二、第一道防線應將風險控制在其單位可承擔之範圍內,依需要向第二道防線報導其曝險狀況。

三、建立內部控制程序。

四、執行風險管理程序並維持有效的內部控制。

五、當流程及控制程序不足時,應立即提出改善計畫。

第一道防線應定期或不定期就前項內容辦理自我評估,以確保風險有被適當控管。

第二道防線的功能係在訂定整體政策及建立管理制度,協助及監督第一道防線管理風險與自我評估執行情形。依照不同的功能性質,第二道防線之權責包含協助辨識及衡量風險、定義風險管理角色及責任、提供風險管理架構及定期將風險管理結果呈報高階管理階層。說明如下:

一、風險管理單位負責建立獨立有效的風險管理機制,以評估及監督整體風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。

二、法令遵循單位負責法令遵循制度之規劃、管理及執行,訂定法令遵循之評估內容與程序,並督導各單位定期辦理法令遵循自行評估及綜理法令遵循事務。

三、其他專職單位,包含但不限於財務控制、人力資源、法務等。

內部稽核單位係第三道防線,負責查核與評估第一道及第二道防線所設計並執行之內部控制與風險管理制度之有效性,並適時提供改進建議。

每當一個突發事件的發生,上層高階主管經常責備單位主管管理不當,但不知是否有真正探討問題發生的原由,也許,他真正發生的原因,來自公司組織內部投機取巧的文化,有因就有果,治理的方法出問題,請再好有專業能力的管理者來經營,都沒有用,也因此,當我們和客戶在討論稽核自動化與持續性稽核作業導入專案之前,不免都會談到GRC(Governance, Risk, and Compliance:治理、風險管理及合規)的整合架構,有許多人認為,他們企業或公司都認為,時機還不成熟,公司規模不大,還不需要GRC,但事實上,那可能是一個美麗的誤會,其實,GRC並不是新發展出來的管理架構,它只是將過去我們所強調的公司治理、風險管理及合規(或是法規遵循)作業整合起來,維基百科裡面對於GRC有明確的定義說明,現在公司或者組織越來越能夠認識到,治理、風險管理及合規(Governance, Risk Management, and Compliance,縮寫GRC)這三個領域應該被綜合整體來看待。建立 GRC 制度最初源自於SOX 法案,然而現在對 GRC 的需求已經發生變化,目前 GRC 被認為是推動企業風險管理 (ERM, Enterprise Risk Management) 的手段。尤其特別地,這不僅是代表把風險管理當作實行或合規的行為,也被認為可以提高決策制定和策略計劃的研擬,以增加商業價值的轉變。

談GRC架構,正好配合COSO內部控制架構,五大要素裡面的第五個要素:「監督」,「監督」係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。這個已在上個星期電子報做過說明,重點在為什麼要做持續性的稽核及監控呢?主要是上面有提到「風險管理」透過組織的內部控制來管理及減輕風險,也就是如何讓評估高的「固有風險」(High Level Inherent Risk),透過有效的內部控制措施,減少它的風險發生的機率和減緩它的風險影響程度,讓「剩餘風險」(Residual Risk)被保持在低水準(Low Level),而它的關鍵取決於「有效的內部控制措施」,因此,內部稽核的查核與確認性工作(Audit/Assurance)就變成相當重要,為確保風險項目的剩餘風險一直保持在低水準,則稽核測試的頻率須要增加,通常當交易完成時,若能夠及時檢查,是否有違反公司政策及內控程序的地方,立即檢查,找出問題,及時改正,提升內部控制有效性,確保低的風險水平。(關於風險管理議題,請參考https://blog.uprofit-tw.com/?p=1047)

提升查核測試頻率和組織資訊化程度有關,目前,一般企業公司內部日常交易作業,幾乎都已經變成資訊化管理,現代科技發展,促成持續性稽核與監控的技術精進,各企業幾乎超過50%以上,都已經電腦化,那我們還在使用傳統人工的查核方法進行稽核工作嗎?我只能說瞎子摸象、隔靴掻癢,閉著眼睛做,但對查核結果一點信心都沒有,發展持續性稽核監控技術,首要在資料分析能力的建置,遵循「資料分析能力成熟度模型」來發展稽核組織或其他營運分析單位的基本能力,才是建構有效的「持續性稽核與監控作業」的不二法門,相關作業內容與方式,請參考「AACM稽核分析能力成熟度模型- Audit Analytics Capability Model」


現今許多公司管理階層對內部稽核所扮演的角色,以及資訊科技重要性的討論,受到廣泛的關注,與日劇增,同時寄與厚望,尤其是稽核分析技術的運用、持續性稽核與監控的解決方案等議題,可以協助稽核人員達成年度查核目標,而內部稽核人員不只被要求能更有效率地執行傳統確認性工作的角色、評估企業組織風險管理作業的有效性,而且也被寄望能幫公司組織增加收益,提升他們服務的價值;稽核小組要如何做到這點?主要是利用眾所周知的『資料分析技術』來改善營運績效。

關於稽核分析作業運用的情境已完成,2010年,內部稽核職能依照國際內部稽核協會(IIA)的研究,將運用自動化工具或技術分成五大策略重點,今天,更多實務的焦點聚集在企業組織尋求如何成功導入新的稽核技術。『稽核分析能力成熟度模型』(Audit Analytic Capability),它是用來評估不同稽核分析技術與相關優點的架構,這個模型展示出五個進展階段,內部稽核單位應該專注在他們使用分析上的轉變,就人員、流程和技術而言,列出基本建設的障礙,各階段獨特的解決方案,協助企業與政府組織有效率地擴展他們在稽核分析上的應用。

從以上架構來看,要提升良好的公司治理能力,則需靠有效的風險管理作業,要建立以風險為基礎的內部控制與稽核制度,依照內部控制三道防線的觀念與作法,推動持續性稽核與監控作業,才是達成營運目標成功關鍵之所在,而建置稽核分析能力是執行持續性稽核與監控作業的基石,也就是說不具備稽核分析能力,一切都是空談,要讓內部稽核部門人員及其他營運單位具備稽核分析與監控能力,兆益數位學院提供全方位的稽核分析能力建置學程和相關稽核分析實務課程,能培養組織中需要的稽核分析專業人才,同時,我們還建立一套CBAA營運確保分析認證制度,確保所訓練出來的稽核分析人員的核心能力與價值,讓組織能夠有能力面對未來營運上的挑戰,以及對新風險的處理有充份的信心。

選單