Apa yang Tersembunyi di Sebalik “Pengurangan 40 Jam Kitaran Audit”
Sebuah berita melaporkan bahawa syarikat perkhidmatan awan Planview berjaya mengurangkan lebih 40 jam masa kerja setiap kitaran audit dengan memperkenalkan alat automasi “Kiro CLI” untuk persediaan audit pematuhan SOC 2 (Piawaian Kawalan Organisasi Perkhidmatan). Angka ini pasti menjadi idaman ramai pengurus PKS dan ketua jabatan pengurusan. “Kalau kami pun boleh jimat masa sebanyak itu…”
Namun, berhenti sejenak dan fikirkan. “40 jam” ini sebenarnya dikurangkan daripada apa? Dan untuk tujuan apakah masa itu digunakan pada asalnya?
Mendalami jawapan soalan ini mendedahkan lebih daripada sekadar “penambahbaikan kecekapan operasi”; ia mendedahkan “kesilapan reka bentuk” asas dalam tadbir urus PKS, khususnya aktiviti pematuhan. Ini kerana dalam banyak organisasi, pematuhan telah menjadi “matlamat” itu sendiri, bertukar menjadi mesin pembiak sendiri yang menghasilkan “beban kerja tugas” yang sangat besar.
Hakikat Beban Kerja Pematuhan: Ia Adalah Pengulangan “Terjemahan” dan “Pencarian”
Berdasarkan analisis saya terhadap pecahan masa yang besar diperlukan untuk tindak balas audit dan penyediaan kawalan dalaman di PKS yang pernah saya bantu, terdapat corak yang sangat serupa. Hakikatnya, majoriti masa dihabiskan untuk tiga “tugas tidak produktif” berikut:
1. Kerja “Tafsiran” dan “Terjemahan” Keperluan
Ini adalah kerja “menterjemah” keperluan piawaian audit atau peraturan seperti “wujudkan dasar keselamatan” atau “laksanakan semakan berkala ke atas kebenaran akses” kepada proses operasi khusus syarikat. Sering kali, terjemahan ini kabur, menyebabkan soalan berterusan dari pihak operasi seperti “Adakah ini sudah memadai?”, memaksa jabatan pengurusan mengulangi tafsiran setiap kali.
2. Kerja “Pencarian” dan “Pengumpulan” Bukti (Evidence)
Ini adalah kerja mencari dan menyusun “bukti” yang membuktikan pemenuhan keperluan yang telah diterjemahkan, daripada pelbagai sistem, pelayan fail atau peti mel dalam syarikat. Inilah yang membentuk sebahagian besar “penyediaan bahan audit”. Jika sistem tidak bersepadu atau peraturan tidak didokumenkan, kerja ini akan memakan masa yang sangat lama.
3. Kerja “Penyelarasan” dan “Pengesahan” Antara Pihak Berkepentingan
Ini merujuk kepada emel atau mesyuarat untuk mengesahkan sama ada bahan yang dikumpul memenuhi keperluan, kelulusan daripada jabatan berkaitan diperoleh, atau tiada percanggahan dengan tindakan lepas. Semakin kabur tanggungjawab dalam organisasi, lebih banyak “pengesahan untuk pengesahan” berantai berlaku, menyebabkan beban kerja membengkak.
Hakikat “40 jam” yang dikurangkan oleh alat Planview kemungkinan besar adalah hasil automasi tugas kedua “pengumpulan/penjanaan bukti” dan tugas ketiga yang berkaitan. Alat tersebut mengumpul dan memformat log sistem serta konfigurasi secara automatik, dan menjana laporan untuk audit.
Masalah Asas: Pematuhan “Terpisah” Daripada “Perniagaan”
Walau bagaimanapun, pengenalan alat automasi hanyalah rawatan simptomatik untuk “gejala”. Masalah asas terletak pada fakta bahawa aktiviti pematuhan itu sendiri direka bentuk secara “terpisah” sepenuhnya daripada operasi perniagaan harian.
Contoh tipikal pemisahan ini ialah corak “bergegas menyediakan bahan apabila musim audit hampir tiba”. Ini bermakna penyediaan bukti pematuhan tidak dihasilkan setiap hari sebagai output semula jadi perniagaan, tetapi diletakkan sebagai “tugas khas” yang berasingan. Dalam keadaan ini, walau seberapa cekap pun alat yang digunakan, beban kerja akan terus wujud.
Saya mentafsirkan bahawa teras “Pembinaan Semula Pematuhan” yang dinyatakan dalam “Kajian Pematuhan Global PwC 2025” juga terletak di sini. Ia memerlukan peralihan dalam falsafah reka bentuk, bukan kepada automasi melalui alat, tetapi kepada peralihan kepada falsafah “Membenamkan (Embed) Pematuhan ke dalam Proses Perniagaan itu Sendiri”.
3 Amalan “Pembenaman” yang Patut Dimulakan PKS Mulai Hari Ini
Pembenaman pematuhan ke dalam perniagaan boleh dimulakan dengan mengubah pemikiran dan reka bentuk proses, tanpa memerlukan pelaburan sistem berskala besar.
Amalan 1: Takrifkan Peraturan Melalui “Output”
Daripada “Patuhi Dasar Kata Laluan”, takrifkan sebagai “Semasa log masuk ke Sistem A, pengesahan pelbagai faktor adalah wajib, dan log tersebut disimpan secara automatik ke dalam ‘Folder Log Keselamatan'”. Perkara penting di sini ialah memberi tumpuan bukan pada “tindakan” yang perlu dipatuhi, tetapi pada “output” (dalam kes ini, log pengesahan) yang dihasilkan secara semula jadi sebagai hasil pematuhan, dan mereka bentuk proses perniagaan dari awal supaya output itu disimpan dalam bentuk yang boleh digunakan sebagai bukti.
Amalan 2: Integrasikan Proses Kelulusan dengan “Proses Penjanaan Bukti” Amalan 3: Reka Bentuk Laporan Rutin sebagai “Bahan Mentah Audit” Perkongsian JSOL dengan WitnessAI AS untuk menawarkan penyelesaian tadbir urus AI, pendedahan laporan tadbir urus oleh syarikat tersenarai dalam artikel Nikkei, dan perbincangan mengenai tadbir urus Universiti Tokyo — semua ini menunjukkan bahawa kita berada dalam tempoh peralihan di mana tadbir urus berubah daripada “upacara rumit untuk pakar” kepada “teknik reka bentuk praktikal untuk memajukan perniagaan”. Automasi beban kerja audit hanyalah satu “hasil” penting dalam aliran ini. Sasaran sebenar yang perlu dituju ialah menghampirkan beban kerja khas untuk audit kepada sifar, iaitu, mereka bentuk keadaan di mana “menjalankan perniagaan harian dengan betul secara langsung mengukuhkan tadbir urus”. Dalam organisasi yang mencapai keadaan ini, peranan pegawai pematuhan beralih daripada “penyedia bahan” kepada “pereka yang membenamkan perspektif tadbir urus ke dalam proses perniagaan”. Apa yang dikurangkan bukan sekadar 40 jam masa kerja, tetapi kitaran “terjemahan dan pencarian” yang sia-sia antara “perniagaan” dan “pengurusan” itu sendiri. Anda mungkin mula sedar bahawa sebahagian besar masa yang sebelum ini dikenali sebagai “beban kerja pematuhan” sebenarnya adalah “gam untuk menyambung proses yang terpisah secara paksa”. Pada masa hadapan, apabila anda merasakan beban kerja tinggi dalam tindak balas audit atau penyediaan kawalan dalaman, anda akan mula bertanya: “Mengapakah tugas ini tidak dihasilkan sebagai output semula jadi operasi harian?” Pengenalan alat automasi adalah satu “jawapan” yang baik untuk soalan ini, tetapi sebelum itu, keupayaan untuk membentuk “soalan” yang betullah yang membezakan keupayaan reka bentuk tadbir urus PKS. Ambillah langkah pertama ke arah pembinaan tadbir urus yang lebih kukuh dan bersepadu dengan perniagaan, di sebalik pengurangan beban kerja.
Adakah kelulusan perbelanjaan atau pesanan dilakukan melalui emel atau secara lisan? Itu menyebabkan bukti berselerak. Manfaatkan alat aliran kerja kelulusan berasaskan awan (sering disertakan dalam perisian perakaunan untuk PKS), dan reka bentuk supaya “kelulusan itu sendiri menjadi bukti audit”
Adakah laporan bulanan ketua jabatan atau laporan kemajuan projek hanya dalam bentuk penulisan bebas? Benamkan item yang diperlukan audit (contoh: kejadian keselamatan maklumat, status perubahan sistem utama, status pembaharuan kontrak) ke dalam format laporan itu sendiri. Kemudian, mengumpul laporan rutin menjadi persediaan awal untuk bahan audit. Ini adalah reka bentuk di mana “output” aktiviti perniagaan menjadi “input” aktiviti pengurusan secara langsung.Falsafah Reka Bentuk Tadbir Urus di Sebalik “Automasi”
Keadaan Anda Selepas Membaca (After)
“Bagaimanakah proses perniagaan asal perlu ‘direka bentuk semula’ untuk mengumpul bukti ini?”
コメント