本節將先整理內部控制整合性架構內容,介紹其範疇,再說明美國銀行業 內部控制規範和適用於美國上市公司的沙賓法中,內部控制規定的部分,以及 法令實行後,帶來的影響,最終介紹我國金融業適用的內部控制法令規章。
1. 內部控制-整合性架構
內部控制-整合性架構,本項介紹,整理中華民國內部稽核學會 2013 譯著
—COSO 內部控制-整合架構內容,原著則為美國 COSO 委員會出版的 2013 COSO Internal Control – Integrated Framework。
依據內部控制-整合性架構規範:內部控制是一過程,由組織之董事會、管 理階層及其他成員負責執行,以合理確認營運、報導及遵循等相關目標之達 成,並發展出 5 項要素,分別為控制環境、風險評估、控製作業、資訊與溝 通、監督作業,再依各要素拆分出 17 項原則。內部控制-整合性架構有系統地 說明內部控制的設計、執行及監督,形成一套嚴謹架構,幫助企業達成目標。
營運、報導及遵循等相關目標設定,由管理階層在董事會的監督下,訂下 與公司使命、願景、策略一致的目標,這些目標反映管理階層及董事會之各項 選擇,如何為利害關係人謀求創造、維護及實現價值。在 COSO—內部控制整 合架構中,目標分為 3 大類,分別為營運目標、報導目標、遵循目標,定義如 下:
營運目標:有關達成一個個體的基本使命及願景—亦即個體存在之基本理 由。這些目標因管理階層對管理營運方式、產業考量、及績效 等各種選擇而有所不同。營運目標可能關乎改善財務績效、生 產力、品質、環境實務、創新、顧客、及員工滿意度。此外也 包含資產安全,保護及維護個體資產。
15
報導目標:報導目標是有關各種報告之編製、以供機構及利害關係人所 用。報導目標可能關乎財務或非財務報導,及內部或外部報 導。內部報導目標因內部要求而被驅動,以回應諸如個體策略 方向、營運計畫、各層級績效衡量標準等各式各樣潛在需求。
外部報導目標,主要是因應管制者準則制定團體之各法律規章 及(或)準則而設定。
遵循目標:法令規章建立個體之最低預期行為準則,機構需要瞭解哪些法 令規章適用於整個組織,且被期望整合這些法令規章至個體目 標中。各個體依據適用法令規章而須執行活動,並經常採取具 體行動,作為具體遵循目標之一部分。
一個有效內部控制制度,可降低組織目標無法達成之風險,至可接受水 準,內部控制整合架構要求五大要素及攸關原則存在並以整合方式整體運作,
並將該狀態判定為內部控制制度有效。
「內部控制缺失」係指五大要素及各攸關原則之一項缺點,降低一個個體達
成其目標可能性。當管理階層確定五大要素及各攸關原則不存在或不持續運 作,或各要素不是整體運作時,內部控制制度即存在一項重大缺失,將嚴重降 低一個個體達成其目標之可能性,該個體無法作成已符合有效內部控制制度要 求之結論。
2015 年 7 月, COSO 委員會發布與國際內部稽核協會合作之「運用 COSO 於三道防線(Leveraging COSO Across The Three Lines Of Defense)」報 告,確立 COSO 內部控制—整合架構與三線防務模型的關聯性,以指引如何表 達與分配組織中內部控制的角色與責任,幫助組織提升整體監督機制。
16
Altamuro and Beatty(2010)及 LaFond and You(2010)以聯邦存款保險公 司改革法實行年度前後的資料做比較,實證研究發現,銀行在遵守聯邦存款保 險公司改革法後,每年壞帳費用的提列,與後續年度實際發生的壞帳金額相較 於遵守改革法前,呈現更顯著的正向關係,此外 Altamuro and Beatty(2010)
17
還發現銀行的現金預測能力增加,會計處理不再只是依循保守穩健原則,所編 製出的財務報表更能忠實表達。Jin et al.(2013)以銀行核心業務收益變動性
(利息淨收益的標準差/總資產),衡量銀行經營承受的風險,發現遵守改革法 大適用範圍(Ettredge et al. 2006)。
沙賓法實施前,Hermanson(2000)研究管理階層出具的內部控制報告的有
18
值。
沙賓法開始實行,尤其是沙賓法第 404 條實施後,許多研究開始探討,管 理階層揭露關於財務報表編製的重大內部控制缺失所帶來的改變。Ashaugh-Skaife et al.(2008)以經常性損益扣除營運活動現金流量,衡量公司財務報表 實際應計金額,並以產業數據衡量估計財務報表應計金額,其差異為超常應計 金額,發現若當年度揭露內部控制缺失,則與財務報表超常應計金額成顯著正 相關;如果之後年度缺失已修正,無揭露缺失,則與財務報表超常應計金額成 顯著的負相關,顯示財務報表的品質隨財務報導有關的內部控制有效與否而改 變。不過因為沙賓法第 404 條的要求,外部查核人員查核工作增加,Ettredge et al.(2006)及 Munsif et al.(2012)針對內部控制重大缺失與會計期間結束日至 查核報告日的期間進行迴歸分析,發現若某一會計年度有重大財務報表編製的
19
機構設立隸屬董事會之內部稽核單位,以獨立超然之精神,執行稽核業務,並 且由總稽核應至少每半年向董事會及監察人或審計委員會報告稽核業務;自行 查核制度則要求金融機構財務、業務和資訊等其他單位定期辦理一般自行查 核、專案自行查核。董事長、總經理、總稽核及總機構法令遵循主管則需聯名 出具內部控制制度聲明書,說明內部控制度應加強事項及改善計畫,提報董事 會通過後,於每個會計年度終了後三個月內,將內部控制制度聲明書內容揭露 於公司網站、向主管機關公告申報、且應依金融監督管理委員會發布的年報應 行記載事項準則,將聲明書刊登於年報中,另外企業違法受處分及主要缺失與 改善情形也一併揭露於年報中。法令遵循制度係要求金融業者設立隸屬於總經 理之法令遵循單位,負責法令遵循制度之規劃、管理及執行。並由總機構法令 遵循主管至少每半年向董事會及監察人或審計委員會報告。兩實施辦法第三章 也特別專節規範會計師的責任,要求金控、銀行和保險業者年度財務報表由會 計師辦理查核簽證時,應委託該會計師辦理內部控制制度之查核,並對金融業 者申報主管機關報表資料正確性、內部控制制度及法令遵循制度執行情形表示 意見。
20