估計投資報酬率的自動化內部控制架構 (A Framework for Estimating ROI of Automated Internal Controls) 

 
Download Article

在相互關聯的經濟裡,組織是靠資訊運作。隨著企業關鍵流程自動化,資訊已成為企業的命脈。

在過去,基於低量、相對穩定、整體基礎的資訊處理環境,組織能夠使用人工驗證,並稽核所使用及交換資訊的正確性、一致性及可靠性。由於分佈式技術出現及面向服務架構 (SOA)使用,資料量及遵循需求已經倍數增加。人工控制、半自動控制或自行開發控制已經變成昂貴、過時及簡易不可行。KPMG 404 研究所最近發表在大型企業人工控制的研究報告。1 在總樣本 1,000 家以上的公司中,有超過 50%的公司回報他們 80%的關鍵控制是以人工進行。而大約有 24%的公司回報他們 60%的關鍵控制是以人工進行。 

標準化、超然獨立及自動化的內部控制已經是企業必需品,而非可取捨。自動化內部控制用在降低成本、減輕風險、改善流程及落實遵循執行是毫無疑問的,企業應投資發展一套資訊基本架構,以支持自動化內部控制,並建立主動資訊風險管理文化。 2, 3, 4, 5  

由於一些先進企業內部控制的例外,大部份企業的內部控制是遵循導向,並經常依據風險事件執行內部控制。由於缺少任何近期明顯的訊息錯 誤事件,內部控制自動化專案在許多企業的優先順序裡都不具重要地位及競爭性。但是,若經營者能夠建立一個具備連續長短期價值主題自動化內部控制的重要經營個案,形勢會改變。當這個案的相關財務指標,類如淨變現價值(NPV)、投資報酬率(ROI)及償還期間表現更搶眼時,這自動化內部控制變成更重要。 

本文所使用的主要觀念就像 ROI 模式的支柱。典型的 ROI 模式有兩個要素:利潤的時間演化與成本的時間演化;前者等於自動化內部控制預期利潤除以工時,而後者自動化內部控制成本則包括最初展開成本及營運、保養再發成本。 

內部控制自動化案例 

內部控制自動化主要理由:6 降低 成本、降低風險、提高效率及管理透 明化。下列案例展示一些先進企業如 何使用自動化內部控制,獲得積極明 確的 ROI:

  • 總帳(GL)調整-一家地區銀行大約有 2,400 個總帳科目,每月月底利用明細帳調整總帳。內部控制自動化前,這銀行有四個全職人員(FTEs),這些人使用交易資料摘取及 Excel 作業基礎,以人工比對方式調整總帳。除了全職人員的成本,這銀行還需經歷準 時結帳的挑戰。 因為依賴人工

    取得資料及人工比對,典型的月底調整總帳作業需要三天。自動化內部控制的解決方案是從明細帳及總帳自動取得資料,並提供自動比對。因此,這銀行能夠重新指派三個人員去研究及處理無法比對的交易。
  • 檔案監控-一家信用卡交易公司有 12 位全職人員監控超過 600 個結算檔案,並傳送到超過 400 家財務單位。對於支付結算程序,及時傳送結算檔案是關鍵的一環。若無法及時傳送這些檔案,可能造成很重的罰款及客戶不滿意。這家公司配置了自動化內部控制解決方案來監控檔案傳送程序,以取代預設的控制表單,以消除人工觀察檔案傳送程序的需求。而取得的自動化內部控制成果,將所需人力降到 3 人(且其中一人為輪值)。除了節省人力成本,這公司還能省下原本因違反「服務合約(SLAs)」所遭致每年將近美金 30 萬元的罰款。
  • 重覆付款偵查-一家壽險公司想消除重覆出險付款的風險。在執行內部控制自動化之前,這公司從出險付款交易抽樣 10%,以偵查是否存在重覆付款。而展開內部控制自動化解決方案,這公司能夠從每筆請款資料及最近 90 天已付款資料檢查每筆應付交易,以偵查是否有重覆付款及詐欺交易。這公司亦能夠自動偵查出大於美金 5 佰萬元的詐欺交易。不像人工抽樣及稽核程序,自動化內部控制解決方案能夠執行複雜邏輯,以偵查重覆付款、化整為零及詐欺交易。

以典型作業程序來看,那些已經以電子檔案存放資訊的區塊正是採行內部控制自動化的主要候選者。

評估內部控制自動化效益 

內部控制自動化的效益廣泛適用於兩類:定 量效益及定性效益。當量化效益造成企業個案強烈爭議時,定性效益的價值便不應被忽略。表一敘述內部控制自動化四方面的效益,係依據文獻評論及作者協助 Fortune500 企業發展內部控制自動化個案的經驗發展而來。7, 8, 9, 10  

內部控制自動化四方面效益包括: 

  1. 降低成本-降低成本係來自所有因執行內部控制自動化而實現的直接與間接成本節省。最低限度,應考量下列三類型的成本:
    • 控制的成本-內部控制自動化能夠降低或消除現有人工控制成本。典型降低成本包括執行必要控制的資源數量。例如,在檔案監控案例中,信用卡交易公司由於減少 9 個全職人員,結果每年估計節省美金 72 萬元。 
    • 研究的成本-企業花費時間及努力,去研究並解決偵查內部控制所帶來的例外問題。內部控制自動化保存完整稽核軌跡,並使研究‐解決程序順暢。例如,一家產險公司透過總帳調整程序,使用兩種資源研究及解決問題。總帳調整程序自動化後,這公司便能夠辨認及區隔所有異常之交易,並降低 50%其原本在研究及解決模式所需之投入。 
    • 避免成本-高人力成本及內建內部控制,逼迫許多企業接受風險。例如,因為查核整套資料計花成本且費時,企業只好採取技術性抽樣。內部控制自動化使企業能夠選擇瞄準已辨識的風險,來避免可能發生的成本。舉例來說,一家財富管理機構需要雇用 5 位全職人員來驗證其為高資產客戶編製的每月報表之準確度。且在內部控制自動化之前,這機構僅抽樣 10%的報表。藉由內部控制自動化,這機構不僅能減少驗證所需之全職人力,同時還能查對 100%報表。 
  2. 降低風險-「風險」定義為任何事件對未來成果造成負面影響,且評估其具有造成事件有不良結果或往不良方向發展之可能性。內部控制自動化藉由在早期程序偵查過失減輕影響或偵查過失減輕之可性,以降低資訊風險。除了財務方面的影響,風險更能長期的造成企業信譽的不利影響。最低限度,應考量下列三類型的成本: 
    • 收入風險-因為資訊風險表現在企業收入鏈,企業失去收入。這種風險的例子包括漏計帳單及少計帳單。 
    • 成本風險-企業因為核心流程的資訊失誤,招致額外成本。這種風險的例子包括重覆付款及溢付款項。
    • 信譽風險-企業與客戶、供應商、股東、管理者及公眾交換資訊的失誤造成信譽喪失,以及可能發生的罰款。例如財務報表重置及顧客抱怨。 
  3. 遵循執行-企業因執行內部及外部稽核、監管標準改變、風險管理的更大需求及確保財務報表及其他報告材料精確性的需求均是造成遵循執行成本持續攀升的原因。遵循執行成本的案例就像是稽核成本及違反服務品質協定。自動化內部控制經由降低內部控制稽核及測試成本、降低遵循執行失敗遭致的罰款、以及提供更好的保險項目降低整個企業的風險以減少遵循執行成本。而最低限度,應考量下列三類型遵循執行相關的成本: 
    • 降低稽核成本-因為自動化內部控制被設計只需要在測試期間測試一次,而人工內部控制則需要測試很多次,故自動化內部控制得以較低的成本稽核。除此以外,自動化內部控制降低了整體稽核所需的時間,因為當失誤偵查時,其可提供內部控制執行及解決方案的完整稽核軌跡。例如,一家壽險公司在執行內部控制自動化前,每年使用將近 50 小時測試是否符合每個關鍵的美國沙賓法案內部控制項目。經由自動化,這公司可以將每年每個內部控制項目的測試時間降低至 10 個小時以下。以這家公司在橫跨數州的多重業務範圍,超過 200 項沙賓法案內部控制項目,估計藉由內部控制自動化每年可以省下 8,000 個小時在內部控制測試之投入。
    • 減少罰款-自動化內部控制藉由提早偵查失誤,並使企業執行矯正措施,以減少罰款成本。在先前描述的檔案監控案例中,這種節省成本類型便是範例。 
    • 增加內部控制效果及範圍-自動化內部控制對減輕風險是很有效的,因為自動化內部控制是標準化且可再使用,在企業內提供減輕風險的更佳範圍。例如,多數企業並不聚焦在某些開展內部控制的流程,基於人工成本或內部開發成本而被認為是低度至中度風險。在這些流程開展自動化內部控制的低增加成本,促使企業用有效方法減輕風險。 
  4. 流程改善-自動化內部控制經由人工程序及人工確認自動化,簡化及加速這些流程。當流程改善的財務價值難以量化時,發展企業個案的價值不應被忽視。而所期待的流程改善需要很清楚的與企業個案連結,且應當使用適當的假設來評估價值。當考慮流程改善時,必須顧及下列三種改善類型: 
    • 流程周期-自動化內部控制徹底減少執行控制活動所需時間。在前文提到的總帳調整案例,銀行能自動進行其總帳資料取得 及資料比對程序。因此,每月調整合計時間可由 3 天減至 10 分鐘。 
    • 完成確認及企業能見度-自動化內部控制經由內部控制活動 100%驗證所有交易及提高企業能見度,提昇了股東信心。而查核人員及企業流程擁有者能夠在中心監控點確認內部控制正常進行。假使有內部控制例外發生,查核人員及企業流程擁有者能夠看到何者是錯誤的、何時錯誤、誰被注意、及問題該如何解決。 
    • 決策效能-資訊的準確可信賴搭配以完整 稽核軌跡,能夠為達成有效決策提供更佳視野。 

投資報酬率自動化內部控制效益摘要 

若要分析自動化內部控制各方面的效益,可 以用類似表二的模板來量化其效益。而在此模板 內呈現的財務數字是一家北歐主要銀行在其技術、 營運及財務流程中超過 5,000 項內部控制項目中 自動化估計出來的代表項目 

自動化內部控制成本評估 

正確且完整的估計內部控制相關成本,就和 估計一個可靠的企業個案利益同等重要。成本的 每一項要素均應被充分評價。評估一次性成本及 循環性成本均必須謹慎執行。需要考慮包括下列 的關鍵成本要素:

  • 硬體及支援軟體成本-硬體的建置成本及後續支援的軟體成本。不僅初期建置硬體是成本要素,包括持續性的支援及軟體更新的成本也均需完整考慮。
  • 自動化內部控制軟體成本-自動化內部控制軟體年度特許成本。
  • 執行成本-期初執行及持續維護的成本。
  • 訓練成本-內部控制發展及運作的訓練資源成本。

投資報酬率自動化內部控制成本摘要

若要分析自動化內部控制各方面的成本,必 須用類似表三中顯示的模板來量化其成本。

評估投資報酬率的財務模式 

成本效益分析初期估計必須使用適當的財務 模式表達。多數企業對下列財務資訊有興趣: 

  • 初期投資-大量金額投資需要開始知道效益。
  • 淨現值(NPV)-所有估計未來效益的淨現在價值。
  • 損益兩平期間-補平專案成本/投資所需要之時間。
  • 內部報酬率(IRR)-投資年限期間內,企業所賺的年度平均投資報酬率。

我們應該擷取自動化內部控制的成本與效益來建立一份 10 年期的現金流量表,以估計前面提到之關鍵指標。在表四,假設企業在第 2 年第 3 季開始實現自動化效益。

假設通貨膨脹率 3%及資本成本 10%,我們可以利用表四估算下列關鍵財務指標:

  • 期初投資需求:US$1,470,000 
  • 淨現值:US$10 million  所有估計未來效益的淨現在價值。 
  • 損益兩平期間:30 個月 
  • 內部報酬率:94%

瞭解非財務價值 

除了投資報酬率,獲得以下關鍵非財務價值 是很重要的:

  • 提高對財務資訊的信心 
  • 企業觀點的內部控制及控制結果 

加強資訊例外管理程序 

結論 

採用自動化內部控制不再只是個選項,得以 加速原有系統改變以滿足企業需求、提高企業關 鍵營運及決策資訊可信賴度、擴大(含改變中)法 規及遵循需求。自動化內部控制是確保資訊在整 體企業內部正確的唯一方法。企業應該遵循下列 步驟,得以發展一個引人注目的企業個案: 

  • 量化自動化內部控制效益。
  • 聯結自動化內部控制的無形效益。
  • 量化自動化內部控制成本,需同時考量一次性成本及循環性成本。
  • 發展一套財務模式以規劃投資報酬率。
  • 運用企業個案總結關鍵發現。
  • 向所有主要股東展現企業企業個案。

Endnotes

1 404 Institute, Maintaining Your Control Environment in Turbulent Times, Fifth Annual Benchmark Study, KPMG LLP, USA, 2009
2 Whitehouse, Tammy; “The Next Goal in SOX Compliance: Automation,” Compliance Week, 1 April 2008
3 Miller, Danny; Automated Controls Strategy, Implementation & Practical Examples, Grant Thornton LLP, USA, 2008
4 Ronald, Holly; “Operational Excellence through Internal Controls,” Financial Executive, 1 November 2007, www.allbusiness.com/company-activities-management/ management-risk-management/5844373-1.html
5 Scott, Mitchell; “Automated Controls And Risk Management,” Compliance Week, 27 March 2007
6 These examples are taken from the authors’ experiences in the field.
7 Op cit, Whitehouse
8 Op cit, Miller
9 Op cit, Ronald
10 Op cit, Scott  

作者: Angsuman Dutta is the unit leader of the marketing and customer acquisition support teams at Infogix. Since 2001, he has assisted numerous industry-leading enterprises in their implementation of automated controls by providing assessment, advisory, implementation and support services.

Dan Dopp joined Infogix in 1998 and is responsible for the North American Expansion Initiative. He is a group leader and continues to support the Customer Development Unit responsible for establishing and maintaining relationships with Infogix’s European customers. Previously, Dopp held positions at Zurich American Insurance, SunGuard Investment Systems and Northern Trust Co.

譯者: 陳禮炫, ISACA Taiwan Chapter Supervisor, 中華民國電腦稽核協會 監事


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2011 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在 ISACA 總會的授權之下,摘錄 ISACA Journal 2011,Volume 5中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2011 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2011 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取0.25美金。欲複印文章者則需支付CCC上述費用,並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經 ISACA或版權所有者許可之複製行為則嚴明禁止。