內部控制、內部審核與內部稽核管理週期概念

每一組成要素又包含數個控制政策與程序，以合理保證上述三項目標之達 成。

第二節 內部控制、內部審核與內部稽核管理週期概念

內部審核、內部稽核與內部控制三者是容易使人產生混淆的名詞，馬秀 如（1999）指出內部審核一詞中，內部的英文字為 internal，審核的英文字為 audit，二字合來為 internal audit，而 internal audit 又常被譯為內部稽核。在此 將三個名詞分項解說，並整理其異同處。

一、內部控制

控制是作用者對被作用者的一種能動作用，被作用者按照作用者的這種 作用而行動，並達到系統的預定目標。因此，可以從以下幾個方面來理解內 部控制。

(一)內部控制具有一定的目的性，為達成某種或某些目標而實施。

(二)內部控制是為了達到某個或某些目的而進行的過程，且是一種動態的過 程，是使組織經營依循既定的目標前進的過程。它本身是一種手段而非 一種目的。

(三)內部控制不是某個事件或某種狀況，而是散佈在組織作業中的一連串活 動，是組織經營過程的一部分，與經營過程結合在一起，使經營過程發 揮其應有的功能，並監督著企業經營過程的持續進行。換言之，內部控 制與組織經營活動相互交織，為組織基本的經營活動而存在。

(四)內部控制深受內部和外部環境的影響，環境影響組織控制目標的制定與 實施。

(五)組織中的每一個員工既是控制的主體又是控制的客體，既對其所負責的 作業實施控制，又受到他人的控制和監督。

7

(六)所有的內部控制都是針對“人”而設立和實施的，組織內部會因此形成 一種控制精神和控制觀念，直接影響到控制效率和效果。

「內部控制」為一種管理過程，由管理階層規劃設計，經機關首長核准，

據以遵循。係在合法中提昇績效，提高資源運用效能，透過興利、制度管理，

消彌弊端於無形的綜合管理制度。就政府機關部門而言，內部控制之範圍為 凡與施政活動攸關事項均屬之。

內部控制大致可以區分為內部牽制、內部控制制度、內部控制結構與內 部控制整體框架等幾個不同的階段。內部牽制觀念，以帳目間的相互核對為 主並實施單位分離，早期被認為是確保所有帳目正確無誤的一種理想控制方 法。內部控制制度，認為內部控制應分為內部會計控制（用以保護資產、檢 查會計資料的準確性和可靠性），和內部管理控制或內部業務控制（在於提高 經營效率、促使有關人員遵守既定的管理方針）。近代西方學界認為內部會計 控制和管理控制，兩者應是相互聯繫而不可分割的，因此提出了內部控制結 構的概念，認為「內部控制結構包括為合理保證特定目標的實現而建立的各 種政策和程序」，並且明確了內部控制結構的內容為控制環境、會計制度和控 制程式三個方面。

做好內部控制，從消極的一面看，它可以避免讓人誤蹈法網；從積極的 一面看，它可以協助單位貫徹政策、達成預期績效目標。一般政府機關現在 均已存在某些型式或累積相當程度的內部控制，但如能引進新的觀念，或改 進原有制度的缺失，則可在「繼往開來」的前提下，做好「強化」績效。 內 部控制的新觀念皆認為其為動態的管理過程，以合理確保下列目標之達成：

1. 營運之效果及效率（包括獲利、績效及保障資產安全等目標）。

2. 財務報導之可靠性。

3. 相關法令之遵循。

8

二、內部控制理論的進展

20 世紀 70 年代，與內部控制有關的實際活動大多集中在其制度的設計和 審計方面，注重改進內部控制制度的方法和提高審計的品質、效率與效果。

1973 年至 1976 年間，對水門（Watergate）事件的調查使得美國立法機關與行 政機關開始注意到內部控制問題。水門事件案專案檢查官辦公室及美國證券 交易委員會（SEC）所進行的調查顯示，過去不少美國大企業進行了違法的國 內政治獻金、可疑或違法的國外支付（包括賄賂外國政府官員）。針對這些調 查的結果，美國國會於 1997 年通過了《反國外賄賂法》（Foreign Corrupt Practices Act，簡稱 FCPA）。FCPA 除了具有反賄賂的條款外，還規定了與會 計及內部控制有關的條款。因此，FCPA 通過立法之後，企業都陸續開始設立 內部控制。很多職業團體及主管機關也就內部控制的不同層面進行研究，發 佈指南。如，美國會計師協會（CPA）所屬審計人員責任委員會發佈了《報告、

結論與建議》（Repon, Conclusions and Recommendations），並頒佈了審計準則 公告第三十號（1980）、第四十三號（1982）、第四十八號（1984）；財務經理 人員協會（FEI）發佈《美國公司之內部控制：現狀》（Intemal Control in U.S.Corporations：The Statement of The Art）；SEC 擬訂強制公司對其內部會計 控制提出報告書，即《管理階層對內部會計控制的報告書》（Statement of Management on Internal Accounting Control）；內部審計人員協會發佈內部審計 準則公告第一號《控制：觀念及責任》（Contml：Concepts and Responsibilities）

等。

1985 年，由 AICPA、美國審計總署（AAA）、FEI-I 及管理會計師協會（1MA）

共 同 贊 助 成 立 了 全 國 舞 弊 性 財 務 報 告 委 員 會 （ National Commission On Fraudulent Financial Reporting），即 Treadway 委員會，該委員會所探討的問題 之一就是舞弊性財務報告產生的原因，其中包括內部控制不健全問題。兩年

9

之後，Treadway 委員會提出報告，並提出了很多有價值的建議。雖然 Tradway 委員會未對內部控制提出結論，但它的報告立刻引起了很多組織的回應。基 於 Treadway 委員會的建議，其贊助機構又組成了一個專門研究內部控制問題 的委員會，COSO 委員會（Committee of Sponsoring Organizations of The Treadway Commission）。1992 年，COSO 委員會提出報告《內部控制—整體 框架》。1996 年美國會計師協會發佈 SAS 78（審計準則公告第七十八號），全 面接受 COSO 報告的內容，並從 1997 年 1 月起取代 1988 年發佈的 SAS 55（審 計準則公告第五十五號）。新準則將內部控制的定義為：「內部控制是由企業 董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠 性、相關法令的遵循性等目標的達成而提供合理保證的過程。」該準則將內 部控制分為五項構成要素，其來源於管理階層經營企業的方式，並與管理的 過程相結合。具體包括：

(一)控制環境（Control environment），任何企業的核心是企業中的人及其活動。

人的活動在環境中進行，人的品性包括操守、價值觀和能力等，它們既 是構成環境的重要要素之一，又與環境相互影響、相互作用。環境要素 是推動企業發展的引擎，也是其他一切要素的核心。控制環境不僅包括 非正式，經常是無形的軟控制，例如道德價值觀、誠信原則、管理哲學、

勝任能力等，同時還包括組織結構和職責劃分等更為正式的控制。控制 的其他要素發揮作用都依賴於這一基礎的可靠性。

(二)風險評估（Risk appraisal），首先要建立明確、一致性的目標，才能做風 險評估，該目標必須和銷售、生產、行銷、財務等作業相結合。其次為 風險之認定，包括作業範圍的質與量、管理上之協商、預測和策略規劃，

及審核或其他評估的發現等；最後做風險評估，如重要性評估、發生可 能性之評估、風險管理之決擇及應採取之行動方案等。美國審計總署

10

（General Accounting Office, GAO）現已定期發布美國政府績效、會計責 任，及高風險項目，並且定期評估，其對政府作業風險評估相當重視。

(三)控制活動（Control activity），企業必須制定控制的政策及程序，並予以執 行，以幫助管理階層保證「為保證其控制目標的實現，其用以辨認並用 以處理風險所必須採取的行動業已有效落實。」控制作業的範圍是廣泛 的，如核准、授權、驗證、調節、績效複核、資產安全維護及適當之檔 案保管等皆是。它是整合政府整體規劃、執行及檢討之主要活動。COSO 控制框架提出風險控制矩陣作為建立控制活動的一種方法，分析企業經 營目標、風險和控制。其他建立控制活動的方法還有流程圖；分析業務 輸入、處理、輸出的完整性、準確性、授權、及時性以及維護狀況；SWOT 分析。甚至還存在完整的框架或模型可以適用於該要素。COSO 框架並 不是要代替這些控制活動，它所做的是要指出需要控制的活動，然後由 管理層決定選取一種最好的方法來完成這一指令。

(四)資訊和溝通（Information and communication），圍繞在控制活動周圍的是 資訊與溝通系統。這些系統使企業內部的員工能取得他們在執行、管理 和控制企業經營過程中所需的資訊，並交換這些資訊。資訊是指員工能 夠獲得其工作中所需要的資訊，溝通是指資訊向上的、向下的、橫向的、

在組織內外自由的流動。同控制環境相同，審計人員如果不事先訪問員 工是不能對這一要素做出評價的。因而，自我評價過程常常用來收集審 計證據。

(五)監督（Monitoring），整個內部控制的過程必須施以恰當的監督，通過監 督活動在必要時對其加以修正。COSO 委員會同時提出，企業所設定的 目標是一個企業努力的方向，而內部控制組成要素則是為實現或達成該 目標所必需的條件，兩者存在直接的關係。每一個組成要素適用於所有

11

的目標類別，每一個組成要素也與每一個目標相關。對於任何企業或企 業中的任何部門，內部控制都極為重要。內部控制靠監督來維持正常運 作，它包含括持續監督與個別監督或二者並用。因此管理者必須有下列 作為：(1)迅速評估及檢討，包括由審計人員和其他評估人員所提出之缺 點與建議報告。(2)決定適當的行動以回應審核結果和其他檢討建議。(3)

的目標類別，每一個組成要素也與每一個目標相關。對於任何企業或企 業中的任何部門，內部控制都極為重要。內部控制靠監督來維持正常運 作，它包含括持續監督與個別監督或二者並用。因此管理者必須有下列 作為：(1)迅速評估及檢討，包括由審計人員和其他評估人員所提出之缺 點與建議報告。(2)決定適當的行動以回應審核結果和其他檢討建議。(3)