林維琪 資誠聯合會計師事務所會計師
張書恆 資誠聯合會計師事務所副總經理
一、銀行業內部稽核數位轉型現況
(一)將數位轉型侷限在稽核文件的無紙化以及流程自動化
近年來,隨著金融科技蓬勃發展,銀行業也積極推動內部稽核的數位化。然而,多數專案仍侷限於「形式的轉換」,即將原本紙本的作業流程轉為電子作業,例如使用稽核管理系統進行派差、工作底稿電子化、稽核報告自動化簽核等。這些作為雖能提升作業效率與流程追蹤能力,但實質上屬於「數位化階段,而非數位轉型」。亦即,工具的變化未必代表核心能力或策略的進化。這使得許多稽核單位雖然導入了新科技,卻未真正實現價值創造、風險預警或組織治理的升級。
更進一步觀察,可以發現部分銀行即便啟用場外監控報表平台或資料視覺化工具,也多半仍將這些工具用於報告撰寫與文件管理等「事後紀錄」用途,鮮少用於即時性風險偵測、跨部門即時回饋,亦無法支援彈性化風險因子的識別與追蹤。這種情形下,數位化僅止於提升文書處理效能,而無法觸及風險治理與組織反應速度的根本強化。因此,若將數位轉型的期待限縮為「數位工具應用」,將無法實現真正的治理升級。
(二)數位化的範圍,亦僅限縮在內部稽核自身工作範圍,例如風險評估、行前規劃、題庫管理或自動抽樣,較少與管理層(第一道及第二道)的協同自動化。
現階段大多數銀行的內部稽核數位化專案,多聚焦於稽核部門內部流程的優化,例如風險導向稽核制度的風險評估模組建置、查核題庫的自動維護、標準抽樣機制的設定等。然而這些應用往往缺乏與第一道業務部門或第二道風險管理、法遵等的協同自動化。舉例而言,若稽核部門建置了一套自動抽樣工具,但業務端的交易資料格式或更新頻率不一致,就難以實現即時查核。
再者,稽核行前規劃雖可數位化,但若缺乏與管理層即時風險感知機制的連結,稽核仍是「在事後介入」。部分銀行雖嘗試以儀表板呈現查核結果與風險等級,但若風險資料與管理層風險策略並未建立共享平台,其價值仍侷限於單向傳遞,無法建構一個運作順暢的治理系統。
此外,稽核流程中的報告撰寫與簽核雖已可在稽核管理系統平台上進行,但許多銀行仍缺乏「稽核資料的結構化管理」,即底稿、發現、建議與追蹤記錄往往無法有效串聯,導致資料再利用率偏低,無法建立以數據驅動的風險監控模型。因此,未來的數位轉型應跳脫單位內部的作業優化思維,轉向與其他治理單位的資料共享,始能達到真正的數位融合與治理強化。
二、數位轉型的目標應是價值鏈的智慧化
(一)數位轉型的常見作法
在企業管理實務中,「數位轉型」一詞常被誤解為單純的無紙化作業、自動化工具導入或系統上雲,然而這些僅屬於數位化或數位優化的階段。真正的數位轉型應著眼於企業價值鏈的全面升級,從策略、流程、文化到商業模式的重構。
常見的數位轉型作法包含:導入 ERP、CRM、RPA 等提升營運效率;應用資料分析強化客戶洞察與精準行銷;導入 AI 模型進行信用風險預測、異常交易偵測;甚至採用區塊鏈技術重塑信任機制。這些技術工具的應用,若能嵌入公司價值鏈節點,就能強化決策能力與營運韌性,進而創造可持續的競爭優勢。
值得注意的是,數位轉型的成功不僅仰賴技術部署,更取決於組織是否能同步進行文化變革與流程重構。例如,若企業仍以部門為本位進行資訊管理,即使導入資料整合平台,若缺乏共享與協作機制,仍無法發揮應有效益。因此,智慧化的數位轉型應包含價值鏈的「再定義」,將顧客價值、營運效率與風險控制納入同一個治理邏輯中。
(二)對公司整體價值具最高影響力的數位轉型
對公司整體價值最具影響力的數位轉型,通常發生在能「改變資訊流向與決策模式」的關鍵處。例如,透過資料整合平台,將原本分散於各單位的交易、客戶與風險資訊統整為即時可見的營運儀表板,不僅能改善跨部門協作,也能加快管理層對異常事件的反應速度。又如,透過 AI 自動風險預測模型,將被動式的事後稽核轉化為主動預警,大幅提升風險防範的即時性與精準度。
此外,在 ESG 風險監控、資安治理、AI 模型偏誤偵測等新興領域,數位轉型可賦予企業快速學習與即時調整的能力,確保風險控管機制不落後於業務創新速度。這類應用不僅強化合規,更有助於企業建立市場信任與長期競爭力。
換言之,最有價值的數位轉型,不只是導入新科技,而是「透過新科技重塑企業價值邏輯」。這樣的轉型,會直接反映在公司治理品質、股東信任度、市場聲譽與長期財務表現上。
然稽核單位作為公司的第三道,其數位轉型亦須符合公司整體經營策略以及透過跨部門協作提升公司整體價值,故於思考數位轉型目標時,應考慮內部稽核於公司的定位以及提供價值的可能性,建議參考全球內部稽核準則以及最新版之三道模型設計。
三、全球內部稽核準則與三道模型的轉變趨勢
(一)新版《全球內部稽核準則》(GIAS)強調價值創造與公眾利益
2024 年發布的新版《全球內部稽核準則》(GIAS)不再僅將內部稽核定位於「查核與通報」的功能,而是明確要求稽核單位須透過前瞻性、風險導向與具影響力的稽核活動,協助組織「創造、保護與維持價值」,最終服務於「公眾利益」。此一定位擴展了稽核的任務範圍,從原本聚焦於合規與內控檢查,走向治理支援、風險預測與決策建議,反映出內部稽核已成為企業策略實踐的重要推力。
「公眾利益」在數位稽核中的具體落實方式,舉例如下:
- 在金融消費者保護方面,數位稽核可以及早發現潛在爭議或資訊揭露缺失,例如透過語意分析偵測客訴趨勢、掌握違規銷售風險,保障大眾基本金融權益。
- 在防範重大金融風險方面,藉由大數據分析異常交易、交叉帳戶異動、自動化預警系統等,即可大幅提升對系統性風險與金融犯罪的監測精準度,協助銀行強化穩健經營。
- 在ESG與永續議題上,內部稽核若能數位化監控碳排資訊揭露、社會責任承諾履行與治理透明度指標,亦可強化企業對社會與環境的責任,體現企業於服務公眾利益之本質。
當稽核以公眾利益為導向推動數位轉型,首要挑戰即是維持應有的獨立性與客觀性。所幸,透過制度化設計與技術運用,這兩者並不衝突,反而能相輔相成。
首先,公眾利益並非等同於代表利害關係人發聲,而是透過具證據基礎與風險導向的稽核活動,確保組織在經濟、法規與道德層面的行為能對社會整體有正向貢獻。稽核報告的立足點,必須是獨立取得的證據與數據模型,例如運用語意分析偵測客訴風險,或以異常偵測系統輔助詐欺行為辨識,而非基於社會輿情或主管直覺。
其次,數位稽核工具如 RPA、AI 模型、自動化預警儀表板等,強化的是稽核的證據力與客觀性。系統判讀資料、例外項目與風險趨勢,能降低個別稽核人員的主觀偏誤,提升報告品質與可信度。例如,AI 可全量分析交易資料找出異常模式,而非稽核人員以抽樣方式判定合規與否。
當然,最需警覺的是「角色模糊」的風險。若稽核人員深入參與資料設計與控制規則的建構,可能產生第二道防線的職能重疊。GIAS與三道模型皆強調:稽核雖可提供建議與洞察,但不得負責日常控制或營運執行。舉例,稽核在參與風險儀表板設計時,應僅限於確保數據可被稽核性與預警邏輯合理性,並保留對其結果的獨立審視空間。
總而言之,數位轉型下的稽核,在善用科技、回應公眾利益期待的同時,亦能透過制度設計與角色邊界管控,強化而非削弱其客觀性,實現 GIAS 所主張的「高品質稽核」。
(二)三道模型強調協同與價值導向的風險治理架構
國際內部稽核協會2020年發布《國際內部稽核協會三道防線模型:三道防線的更新版》,已徹底改寫過往「三道防線」以分工為本的靜態架構,轉而強調三道防線同步運作及相互協作。該模型指出:治理層(董事會)確保機構有適當的結構與流程以進行有效之治理,及確保機構目標與活動,與利害關係人優先利益是一致的;管理層,也就是第一道與第二道(業務部門、風控、法遵等)負責風險管理與日常控制;而第三道,即內部稽核,應提供獨立和客觀的「確認」與「建議」,以支持組織達成治理目標。這三個角色並非壁壘分明,而應持續互動、資訊透明並共同回應外部風險與利害關係人需求。
(三)新準則與新模型共同指向數位轉型的新定位
無論是 GIAS 或三道模型,均揭示一項核心命題:內部稽核必須轉型為「策略導向、價值驅動」的主動協助治理的角色,而數位轉型正是實現此目標的核心手段。透過科技手段建立持續性確信機制(如即時監控、數據驅動預警系統、AI 判讀報告等),稽核得以快速識別治理風險、提出具體建議並提升報告即時性。
此外,這些轉變也說明了內部稽核不能再停留於事後驗證與靜態報告,而應進入數位時代的即時回饋循環,透過技術深度與洞察廣度回應治理層與監理機關的期望。對於台灣銀行業而言,這亦為未來內稽功能定位與人員職能升級提供了清晰的改革路徑。尤其在公眾利益日益受到重視的時代背景下,稽核的數位轉型不僅是提升效率,更是履行社會責任、維護企業穩定與客戶信任的關鍵手段。
四、持續性確信框架在內部稽核數位轉型中扮演的角色
(一)銀行導入持續性確信框架,對銀行整體的效益
持續性確信(Continuous Assurance)框架的導入,象徵銀行稽核功能由「間歇式、樣本式」走向「即時性、全查式」的質變。透過科技手段,如自動化控制測試、異常行為偵測與資料視覺化儀表板,銀行得以建立一套可持續運作、即時預警與滾動更新的稽核監控機制。此舉不僅能大幅縮短風險揭露與回應的時差,更可提升風險預測能力、改善決策品質,甚至主動預防可能對銀行造成重大損害的營運風險與聲譽風險。
更重要的是,持續性確信框架有助於內部稽核在整體企業治理中提升其對企業提出「有價值的洞察」的角色地位。透過即時洞察、動態報告與管理層、董事會的協作溝通,稽核報告不再僅是追溯的記錄,而能轉變為支持策略決策的資訊資產。此外,在 ESG、資安、AI治理等新興風險領域,持續性確信能建立跨部門聯防的稽核架構,強化企業對利害關係人的信任回應。
(二)在持續性確信框架中,內部稽核的重要工作
為了支撐持續性確信的運作,內部稽核須重新界定其核心職能與技術能力。
第一,稽核部門應發展「數據導向」的查核策略,設計風險指標、監控模組與例外警訊觸發邏輯。
第二,需建立跨部門的數據介接流程,確保稽核所依賴之資料源具備完整性、即時性與可解釋性。
第三,稽核團隊應引進資料分析、AI模型與自動化測試技術,以提升對大量交易活動的監控涵蓋率與異常偵測靈敏度。
此外,稽核在持續性確信框架下也須強化其「解釋能力」與「影響力」,即能將複雜的數據訊號轉譯為決策有用的洞察,並以視覺化、趨勢分析或風險熱點方式,協助管理層快速理解風險全貌。這代表稽核報告將不再僅是「是/否」型的檢查,而是以價值為導向的風險故事,以策略對齊為目標,並連結組織整體治理。
五、落實持續性確信框架的內部稽核數位化藍圖
(一)盤點銀行重要業務流程的關鍵控制點自動化程度
為了實現持續性確信的稽核模式,銀行必須先全面盤點現有業務流程中的「關鍵控制點」,並評估這些控制點目前的數位化與自動化成熟度。以常見的業務流程為例,例如授信審核、交易核銷、反洗錢監控、存放款帳務處理等,這些流程中存在著大量控制點及合規要求,稽核部門需主動識別哪些控制環節已透過系統自動執行(如系統內建條件限制、RPA流程機制),哪些仍仰賴人工作業。
這項盤點工作不僅能提供稽核部門建構數據驅動監控機制的基礎資料,也能為後續的「持續監控策略」設計提供依據。舉例而言,若發現放款流程中仍有關鍵步驟(如利率設定)無法追溯或無控制記錄,稽核單位便可建議強化系統權限控管與留下軌跡機制,提升日後監控自動化比重。
(二)依據現行關鍵控制點的自動化程度,提出建議並納入內部稽核持續性確信角色
透過前述控制點盤點與分類分析後,稽核單位可進一步依據自動化程度將控制點分為三類:第一類為「高度自動化控制點」,適合導入系統監控模組與異常警示邏輯;第二類為「部分自動化但資料介面尚不穩定者」,可與IT部門協作改善資料流通性與即時性;第三類為「完全仰賴人工判斷與紙本記錄者」,需提出具體改善建議,或以抽查為主要查核手段。
在此基礎上,內部稽核部門應設計一套以風險為導向的持續性稽核計畫,包含資料串接介面、監控指標設定、預警規則、例外處理機制與報表格式,並與第一道、第二道防線建立例外通報流程。例如,在自動化反洗錢模組中,稽核可要求導入月度高風險交易比對報表,並針對異常值定期進行根因分析及建議改善方案。如此一來,內部稽核將不再僅依賴傳統查核,而是以科技驅動、風險導向、即時回應的角色深度參與銀行治理。
六、內部稽核數位轉型在五大構面上的最終目標
要使數位轉型落地並發揮實質效益,內部稽核部門必須從五個構面進行全面強化:策略、組織、人員、流程與技術。這五個構面構成數位轉型的支柱,彼此環環相扣、缺一不可。策略層面決定稽核在企業治理中的定位,組織層面關乎職能配置與跨域整合能力,人員層面則牽涉專業技能與數位素養的培養,流程層面需重新設計查核機制與資訊流動,而技術層面則是轉型的操作基礎,包括資料平台、自動化工具與AI應用等。
唯有從這五大構面系統性發展,稽核才能由合規檢查者轉型為風險導引者與策略參與者,發揮預警、防禦與創造價值的多重功能。以下將分別就這五大構面加以說明其轉型目標、牽涉角色及對應準則依據。
(一)稽核策略
- 轉型目標:從以合規為中心的稽核任務,轉變為強化組織韌性與價值導向的治理策略,落實風險導向、資料驅動與前瞻預警的稽核觀念,並使稽核職能與公司整體策略高度對齊。
- 牽涉的部門/角色及其相關轉型權責:稽核主管(CAE)應與董事會、CEO、風險長(CRO)及營運長(COO)密切合作,確保稽核策略與企業風險偏好與營運目標一致。
(二)稽核組織
- 轉型目標:稽核部門需具備跨域整合與技術導向的架構,設置資料分析、數位工具導入、AI模型審查等職能單元,形成多元化、任務導向的專業團隊。
- 牽涉的部門/角色及其相關轉型權責:稽核部門內部需建立技術支援單元,並與IT部門、資安團隊、資料治理單位建立合作常態機制。
(三)稽核人員
- 轉型目標:稽核人員應具備資料分析、資訊科技、AI模型理解、視覺化工具操作等技能,並能融合專業判斷進行風險評估與異常解釋。
- 牽涉的部門/角色及其相關轉型權責:稽核主管負責制定人員職能藍圖,與人資部門合作設計培訓與招聘機制。
(四)稽核流程
- 轉型目標:稽核流程應由週期性抽查改為持續性風險監控;查核程序從底稿撰寫、發現判斷、報告撰擬,全面數位化與模組化。
- 牽涉的部門/角色及其相關轉型權責:稽核部門與IT、風控、法遵等單位協作,建立共同數據模型與控制流程規格。
(五)稽核工具/技術
- 轉型目標:導入稽核資料倉儲、儀表板、AI預測模型、RPA自動測試機制等,建立稽核科技架構及轉型藍圖。
- 牽涉的部門/角色及其相關轉型權責:IT部門提供工具支持,稽核技術小組負責運用設計與模型驗證,必要時可與外部專業顧問合作。
七、內部稽核數位轉型的困境
儘管數位轉型已成全球金融產業趨勢,對內部稽核而言,其推進卻面臨多重結構性困境。
首先,在人員心態層面,許多稽核人員長期以合規為導向、依賴傳統查核底稿與現場訪談進行查核,對於導入科技、運用資料分析甚至使用AI模型常感到排斥或不安。他們可能擔心專業性被科技取代,或缺乏跨域學習的意願與資源,導致在數位轉型浪潮中出現技能斷層與心態抵抗。例如,銀行稽核團隊在導入資料分析工具初期,因團隊多數成員不熟悉 Python 或 Power BI,導致工具使用率極低,轉型效果不彰。
其次,科技本身發展迅速,新興技術如RPA、AI、區塊鏈、ESG揭露工具等層出不窮,稽核部門常無法及時掌握應用情境、風險特性與實作門檻,甚至連基本的資料串接與儀表板維護都需仰賴外部支援,造成推動力不足。例如,有稽核單位雖規劃導入異常交易自動監控模型,卻因資料來源多為非結構化或無法即時串接,導致預警系統常出現延遲或誤判情況,反而增加查核負擔。
再來,銀行業務本身日益複雜且跨界,如數位金融、開放銀行、生態圈平台、資安與AI模型等,讓稽核查核範疇急遽擴張,但稽核資源與人力配置卻未同步增加,造成查核品質與涵蓋率難以兼顧。例如,稽核人員需同時查核數位帳戶開戶流程、API介接安全性與雲端服務的資料儲存合規性,在缺乏相關專業背景與資源支持下,常需外包顧問或簡化查核深度,難以滿足治理期待。
最後,也是最根本的問題:內部稽核作為「非生產單位」,難以用營收貢獻或成本效益論證其價值,導致稽核部門在資源分配、系統建置預算與高階技術人員招聘上,經常不具優先順位。例如,銀行稽核部門多年未更新稽核管理系統,僅靠Excel與Email溝通查核進度,無法達成即時監控與自動紀錄,卻因資源預算有限,轉型計畫數度擱置。
因此,若無法突破上述心態、技能、資源與定位四重瓶頸,內部稽核數位轉型將難以真正落地,更遑論實現持續性確信框架的高標目標。
八、結語與未來展望
回顧本文從稽核現況、數位轉型定義、國際準則趨勢、持續性確信框架角色,到轉型藍圖、構面目標與執行困境的討論,不難看出:「內部稽核數位轉型」絕非單一技術或流程革新,而是一場深層的職能重塑與價值定位調整。這項轉型工作之所以重要,正是因為新版《全球內部稽核準則》(GIAS)已明確賦予稽核「內部稽核透過為董事會和管理階層提供獨立、風險導向和客觀的確信、建議、深度洞察和前瞻遠見,強化組織創造、保護和維持價值的能力」的目的,並將提高組織服務於公眾利益的能力。
然而,要實踐這樣的期待,我們不能僅止於無紙化或工具更新,更要思考如何透過策略、組織、人員、流程與技術的整合升級,建立一個能即時提供利害關係人洞察、具備風險預測能力、能主動支援決策的「智慧稽核系統」。這不僅需要技術導入的能力,更需要從治理層出發的思維改造。董事會與高階管理團隊應積極支持稽核部門的數位升級,將其視為強化整體治理與提升回應風險敏捷度的核心工程。
同時,組織文化也需要改變。數位轉型不只是技術更新,更是態度的革新。稽核人員應從「查核執行者」轉變為「風險顧問」、「數據分析師」與「策略參與者」。這樣的角色轉換,需要內部建立持續學習與專業發展的文化,提供跨域知識培訓,並容許試錯與創新。
為確保數位轉型的可持續性,銀行可以定期評估稽核活動的自動化程度、資料驅動決策的比重、與管理層協同程度,以及稽核回饋在企業策略中的影響力。此定期評估不僅可作為內部稽核轉型的自我檢核機制,也能協助組織與主管機關溝通稽核能力建設的長期規劃與資源需求。
放眼未來,數位轉型將不再是選項,而是必經之路。ESG、AI治理、開放銀行、資安法規、虛擬貨幣等新興議題,將持續挑戰稽核的敏捷度與深度。只有透過技術驅動與價值導向並行的轉型模式,內部稽核才能從後端管控者,轉型為前端價值創造的推手。
最終,我們要相信:稽核不只是防線,更是價值的放大器。在不確定的時代,唯有主動轉型、擁抱科技、落實確信,我們才能在GIAS的框架下,讓稽核真正成為促進企業永續與守護公眾利益的關鍵力量。
Contact us
