從舉報機制下延伸之風險資料庫建立及治理趨勢議題

依據以往Deloitte對全球法遵主管調查顯示；超過42%舞弊事件是透過內部舉報發現。故企業在包含調查(或對應之治理)委員會架構設立、消息的初步驗證程序，及正式調查專案啟動下的跨部門和外部專家的統合協助等之完整舉報機制是舞弊事件及風險管理的重要基礎。而除前述的機制外，在相關的資料庫建立及衍生的資料治理議題也是企業需要思考規劃的範圍。在以往進行鑑識調查專案時，即使在時間期限壓力下，仍需在過程中講求資料鑑識的嚴謹分析程度，且需要進行不同的手法假設模擬來規劃不同資料範圍的取得，然而，卻常需要投入許多時間在資料的取得及彙整過程，甚至在索取以往舉報或舞弊事件資料進行歷史模式比對分析時，卻發現未有完整的資料可供參考，或作為企業初步驗證舉報消息之真實性的評估工具。

另外，在調查專案結束後，對於部分調查報告所佐證之系統性整合資料，企業也可能未因為資料整理投入時間冗長而完整思考進行資料彙整管控機制優化的規劃，以致後續再次啟動舞弊案件的鑑識調查專案時，仍遭遇同樣的資料彙整及確認的耗時情形。此外，於調查專案中所發現的管控環節弱點及可能衍生的風險，企業可能也未能納入完整的風險管理或優化調整方向，以達到調查後之更大的管理效益。

在完整的舉報機制架構下宜有三大環節；其一為專責之治理單位架構，台灣一般為審計委員會作為其權責架構，另外海外部份企業則甚至設置調查治理委員會隸屬於董事會下，並由幕僚小組協助整合法律、人資及財務等功能資源以彙整予委員會進行評估。其二則為完整的舉報機制，承如上述包含初步舉報消息驗證、經確認後的正式調查啟動程序、及結案後的法律程序評估及進行等。最後則係在於舉報消息及風險評估資料庫的整合建立，該除可作為各項風險評估的參考資料庫外，甚至也可以加速內部對於舉報消息的初步驗證時間。

而在風險資料庫規劃建置中也有3項重點，第1點為資料整合的來源範圍；初步規劃可包含屬於內部的「以往的調查專案」、「重大稽查發現事項」，及「風險評估的彙總資訊」，和外部「特定業界或第三方的交易模式蒐集彙整」，該些範圍即為內部風險事件及評估的相關資訊進行以趨於內部資料整合範圍的完整性，另外對於外部資料的蒐集，則係蒐集評估作為特定對象或交易下，是否會有潛規則模式運作，甚至後續此些資料還可以延伸作為第三方風險管理的參考效益。第2點為資料整合的分類方式；該即為資料庫建置的標準化設計，惟須考量風險管控的角度進行規劃，如可包含風險態樣、類別、涉及之作業循環和控管環節、細部的事件(或發現)描述、佐證資料分析、資料來源和驗證紀錄，及最終的調查結果或持續追蹤事項等，甚至在協助部分客戶進行該類別設計的優化過程中，還會加入量化權數，以可彙整初步風險量化的參考指標。第3點則是前後端的配套分析及回饋機制，在前述的分類設計規劃下，當收到舉報消息的初步驗證時，即可依據分析後的態樣、事件或行為、部門或區域的集團個體，與舉報風險資料庫進行檢視比對，若評估真實性大於設定門檻下，則可給予正式啟動調查專案的案件識別碼，作為後續正式調查過程的進度追蹤，並追蹤該調查專案結案後之相關資料，對於舉報風險資料庫的更新回饋，達到持續滾動調整的有效性。

考量該舉報風險資料庫的內容皆係屬於高度敏感的資料，故衍生另一個對於資料庫的使用、管控及安全性等重要的議題，即為資料治理及管理機制，該包含對於納入舉報資料庫的資料盤點規劃、管理階層之對應管控機制規劃，以及治理單位的監理重點規劃，以在適當的資料、流程及人員的管控下，讓「正確」的資料「安全」存放於舉報風險資料庫中，以利有效輔助舉報消息的分析判斷和風險管理，且由此開發出相對較為精確的監控指標來進行更即時的預防管控目的。

在企業加速數位化轉型及人工智能應用等熱門議題的策略規劃方向下，同樣也宜包含舞弊甚至企業相關風險管理之應用範圍中，另外也在鑑識調查的經驗裡，持續發現到該些舉報、風險評估及對應之交易分析資料進行整合為資料庫的重要性及效益性，故企業在為因應相關規範而建置舉報之權責架構及概略程序政策後，可在了解該舉報風險資料庫建立背後的精神即為數位化的風險管理目的下，亦加速該規劃的進行，以讓數位化策略目標不單是營運轉型或助益，更廣泛應用至動盪環境下所需要的風險管理。