ISACA Journal
Volume 2, 2,017 

Translated Articles 

如何將分析轉換為內部稽核 

Robert E. (Bob) Kress and Dave M. Hildebrand, CPA, CFE   

很多公司正開始將分析技術運用在內部稽核中的各種挑戰上。一開始分析技術之運用只著重於如何改善內部稽核的執行,然而,在接下來的三到五年間,分析技術可能會改變在更為重要層次上之內部稽核方法。這篇文章主要在檢視內部稽核中的分析技術對營運的影響,尤其在執行風險評估以及稽核的規劃、範圍與執行。這篇文章也將試著去定義下個世代的內部稽核分析技術之前景與策略。

內部稽核功能中分析技術之演變過程

作者在 Accenture 公司使用分析技術於內部稽核的經驗說明了分析技術的是如何演進至如今的成熟。在 2012 年前,Accenture 只是在一個有限的基礎上借助分析技術的力量。Accenture 的內部稽核功能採用的是一種分散式模型,即在每個稽核人員的電腦上安裝分析工具進行稽核。那些熟悉分析技術的稽核人員能夠在特定的責任範圍內使用這些分析工具,但在整體影響上卻受到多方面的阻礙。雖然相關的教育訓練在部門內廣泛地執行著,然而,稽核人員在面對處理大量數據時仍舊相當掙扎。這些數據往往都超過 50GB 的大小,這使得個人電腦也面臨同樣的困難。

如果在未經整合這些數據下就 進行分析,收集和處理資料的過程基本上是無效率的。在缺乏整合且泛功能性的策略下,分析技術的愛好者會面臨一個艱難的開始而且難以獲得正確數據資料的情況。

要清楚列出分散式模型轉變至集中式分析程序所需支出的費用以及所能帶來的報酬是相當困難的,數據資料安全問題也面臨同樣的狀況。

根據與各產業其他公司的稽核同仁之討論與交流,發現到原來這樣的窘境並非是 Accenture 公司才有的。由於內部稽核試圖想要開始借用分析技術的力量,在進入分析技術的成熟階段前,他們開始進行各式各樣的探索(圖一)。最早階段的探索其主要的特徵是僅有於少數的個人具備這樣的分析能力。在這個階段,分析技術的應用並不一致且其成效以及對業務上的影響是有限的。但隨著更多的稽核人員變得更加熟練於使用這些分析工具,他們發現到他們的分析能力與他們的工作兩者間存在的相關性。最後,隨著定義好的目標與日漸標準化的程序與工具兩者相互連結,這些分析能力將一致地被開發並被使用。

然而,在整個早期的階段,甚至是在分析技術更為穩固地被使用後,其主要還是聚焦於利用分析技術來改進內部稽核的規劃與執行上。

向上移動:利用分析技術來改變整個稽核

Accenture 的內部稽核功能開始在稽核執行期間使用分析技術。在風險評估與稽核規劃的早期階段從廣泛的層面來評估風險,並根據已知的風險因子、稽核功能與稽核範圍中的討論、以及歷史性的測試程序來確定稽核範圍。只有這樣,傳統分析技術才能應用於審計工作,並根據結果進行測試。

但 Accenture 的內部稽核團隊很快發現到分析技術不僅能為稽核工作的執行帶來幫助外,只有藉由分析技術的不斷成熟,並「向上游移動」將分析技術之運用轉為用在更為根本的層次上,才能完全發揮分析技術的力量。隨著分析技術越來越融入內部稽核工作,資料來源隨時可用,原本的一次性活動變成可重複之流程並導入指標來衡量績效。簡而言之,分析將被嵌入對整個組織和業務單位的稽核中,並實施改善方法與嚴格監控指標。

在完全成熟階段時,以分析為基礎的風險模型會被企業組織所使用,分析技術的力量開始改變稽核師的行為,新的價值主張開始出現。

圖 2 顯示了從稽核過程開始到結論之向上移動和利用分析技術的影響。

透過這種方式持續應用,分析技術賦予各個營業單位、地區以及功能性區域持續衡量風險之能力來辨認較高風險之領域。除此之外,獲取廣泛全面數據的權利使得分析技術之運用可以推動風險評估、稽核規劃以及母體測試 vs.抽樣測測。藉由挖掘資料,可以讓我們確認哪個國家、哪個營業單位、哪個營業流程或其他地區可能正隱藏著一些代表上升中的風險或法規遵循爭議之異常值。一旦確定了某個營業單位或地區,透過更深入鑽取數據放寬風險較高之範圍以及減少風險可能較小之範圍可以進一步細分業務範圍。整體結果會形成一種更加動態的稽核計劃,而所謂動態是基於持續且即時的風險評估;能確切針對風險區進行更有效的稽核;從聚焦於高風險領域之稽核進而產生更有效的稽核結 果並自動生成稽核報告。

一覽分析技術的成果-資料的視覺化

隨著分析技術的運用在內部稽核工作上日益成熟,藉由儀錶板(Dashboard) 和其他資料視覺化技術能讓我們深入分析那些透過分析技術所辨認之風險因子。透過展示數據點(Data points)以及分析技術與關鍵績效指標兩者的相互結合,稽核人員就有能力能夠深入挖掘並以縱向與橫向的方式查看風險區域來辨認個人的稽核工作、範圍與關鍵測試程序。透過儀錶板提供業務部門和流程風險評估還可以為內部審計團隊提供自助服務模型,以定期或實時評估風險。

在 Accenture 的內部稽核作業中,這樣的儀錶板已被各業務單位用來顯示其風險。整個業務範圍需要一項可供調整的矩陣式儀表板並讓整個稽核管理有能力去辨識特定業務流程之風險。企業儀 錶板將會很快地被引進並產出更為詳細全球風險狀況圖,該圖上會顯示個別公司的職能(如人力資源、採購和特殊分類,如轉包商),進而讓公司能更進一步透視個個業務部門與國家的風險。這項企業職能儀表板將在多個層面上來建構,使讓管理階層能夠辨識稽核工作與該工作之範圍,並提供詳細測試所需的數據,讓管理階層直接從該工具中提取。儀錶盤利用現有的分析技術組合和每個流程的關鍵指標來顯示所有地區及所有業務單位的全球視圖。基於風險結果,一個內部稽核團隊就能針對特定區域、國家、流程與分析進行深入研究,以提供全面性的觀點。資料會定期自動更新,並提供一項實時的評估,可以利用這些評估結果來辨認稽核工作並在一整年中相對應地去調整稽核計劃。

隨著自動化與視覺化工具的相互結合,Accenture 能夠預想到將來其組資內的個別小組將有能力在完全自助的模式下利用各種分析技術來規劃並執行查核工作,並提供對某個區域、地區、流程或子流程等其範圍與高風險部分之深刻見解。

使用案例: 業務流程風險評估

特定風險範圍以及如旅行(Travel)和 娛樂(Entertainment)這類業務流程的風險評估提供了一個很好的實例來說明內部稽核結合分析工具所產生的效果。對很多公司來說,T&E 費用在預算中是屬於相對較不重要的項目。然而,對顧問公司來說,T&E 費用則需要有效地控管,因為往返拜訪客戶的旅行對顧問公司來說是常見的事。對於旅行支出採用有效分析技術的稽核也帶來快速致勝,並讓 Accenture 領導階層與稽核委員會了解到分析技術的價值,促使他們成為最早的分析技術支持者。

Accenture 的全球旅行團隊在與內部稽核合作下,利用分析技術來分析每年耗費數百萬美元的機票支出,並研究整個企業的機票購買方式。針對最上層的旅行支出費用群之分析顯示了最佳預訂機票時間(通常是兩個禮拜前)和屬於較差的異常支出,例如,在短時間多次預訂機票的人。Accenture 的員工已經使用的全球預訂機票平台,但對於行為變化的需求卻更變得多。透過分析技術針對預訂機票所做的分析,不只是 Accenture,其客戶也看見一個對預訂機票實務上價值數百萬美元的改善。一旦公司看見透過分析技術所帶來的價值,這些公司領導人們對分析技術的渴求就會變得更加強烈。

從內部稽核中的分析完成投資報酬

把分析技術引進內部稽核功能會產生相應的成本。流程必須經過工程再造、人們需要培訓、以及加入新的分析技術功能。這份投資報酬率該如何計算呢?它的回報可以從數個不同的形態中看到。利用分析技術所辨認屬於較高風險的區域就執行較多的稽核,而屬於較低風險的區域則可以減少甚至選擇不進行稽核。當分析技術被用來從上游的角度來監控龐大的業務範圍時,特別會採 用這種模式進行稽核。稽核技術會告訴我們風險正存在於某個地區或某個業務個帖中,並讓我們只需對存在風險的地方進行稽核。這種透過將稽核活動集中在那些最高風險的區域,能讓我們做到更為廣泛的風險包覆(Risk coverage)。除了風險包覆程度以及生產力的提升外,分析技術在辨識特定的成本節省上也是相當有效的。

從分析技術中要獲得滿意的投資報酬率其關鍵在於將這樣的分析技術融入標準作業流程。如果僅只一次性地使用 這類分析技術,那麼投報率恐怕會令人相當失望。當分析技術與持續性監控流程相互整合時,分析技術能發揮的效果將會是以數倍計之,其投報率亦是如此。

分析技術與內部稽核功能的未來

從 Accenture 公司在 2012 年首次使用這些分析工具後,其分析技術之使用其成熟度是否已經廣泛或顯著提升?根據作者與其他公司的稽核同業交流與合作中發現分析技術使用之成熟度似乎未 有顯著的提升,即使當中是有機會去極大化分析技術的潛力,而這不僅僅只針對於稽核的執行,還包括整個內部稽核流程。作者認為,內部稽核部門中的文化應該對分析技術採取更開放的態度,並對分析技術所能提供的價值有更多的認識。

對於改變內部稽核這項議程中,首先要做的必須是強調價值主張(value proposition)。內部稽核人員必須是想要使用分析技術,而且這些分析技術必須是於聚焦於有形的商業價值上,像是對風險評估的改善、或是改善對涵蓋整個母體之稽核生產力及異常值的辨識,或是改善對於各種「成本節省」機會的辨識。一個區域的成功就能夠展示內部稽核的貢獻,而且這樣的成功可以用來確保更多對分析技術的支持以及對它們的購入。

分析人才的稀少與缺乏會是許多公 司會面臨的另一個主要挑戰。人力市場目前嚴重缺乏這些受過專業訓練的人才,特別是很難找到同時具備內部稽核知識與具有分析經驗的人。Accenture 發現與其尋找一個分析專家並在內部稽核中訓練他,不如找那些具備稽核經驗且對分析技術具有強烈興趣的人給予訓練來得更為容易。

這些挑戰會讓公司對於分析技術望而生畏,然而,事實上這些挑戰並非無法克服。在 Accenture 公司的稽核工作中,分析技術之使用所佔的比例已經超過百分之七十八,而且在這幾數年間,分析技術的存在與其力量很可能會持續的改變其內部稽核的功能,而且這類職業將會以飛快地發展,而且這樣的發展會是其他任何工作方式難以想像、甚至是到了無法想像的地步。

作者: Robert E. (Bob) Kress
Is the managing director of Global IT Audit in Accenture’s internal audit organization. He is responsible for identifying, evaluating and reporting on the full range of client-facing and internal technology, financial, and operational risk to Accenture senior leadership and the audit committee of the board of directors. Previously, Kress was the chief operating officer in Accenture’s high-performance internal IT organization responsible for running IT like a business, including IT strategy, IT planning, IT risk and all IT operations. He has published two books, Running IT Like a Business and IT Governance to Drive High Performance: Lessons from Accenture. He has most recently published an article on digitizing internal audit.

Dave M. Hildebrand, CPA, CFE
Is the director of internal audit Americas and global lead of continuous audit and investigations at Accenture. He has 17 years of experience in external and internal audit, internal controls, regulatory compliance, external reporting, and strategic planning. His areas of expertise include effective team management, planning and organization, and maximizing resources to achieve objectives.

譯者:黃劭彥 , 國立中正大學會計與資訊科技學系教授,中華民國電腦稽核協會編譯出版委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2017 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2017,Volume 2中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2017 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2017 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取 0.25美金。欲複印文章者則需支付CCC上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.