第二章 內部控制制度概論及美國內部控制法制
第一節 內部控制制度概論
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二章 內部控制制度概論及美國內部控 制法制
第一節 內部控制制度概論
第一項 內部控制法制之源由
18 世紀興起之工業革命,促使技術、資本、勞力集中,產生組織日益膨脹 及業務趨向複雜之企業。而企業經營階層為管理之需求,及防範舞弊、揭發錯誤、
阻止未經授權之活動,發展出組織分工、權責劃分、相互檢查之內部牽制
(Inter-Diversionary Check)制度,成為企業內部控制之基礎。且為尋求業務之 控制與考核,企業內亦開始出現專門之稽查人員,形成內部稽核(Internal Auditing)
制度。而為追求此項功能之專業化,美國於 1941 年成立內部稽核協會(Institute of Internal Auditors)7,促進內部控制於理論及實務上的專業發展。
1940 年代後期,內部控制制度已開始被廣泛討論及運用。美國會計師協會 以對財務報表審計之角度出發,開始關注企業之內部控制制度8,早期是把內部 控制分為會計控制及管理控制二類9,爾後,揚棄此種區分,僅以審計財務報表 之立場,來定義內部控制之組成要素 10。1980 年代美國一連串財報不實案件,
促 使 反 詐 欺 財 務 報 導 委 員 會 ( National Commission on Fraudulent Financial Reporting)之成立,其所贊助成立之 COSO 委員會(Committee of Sponsoring Organizations of the Treadway Commission)11於 1992 年公布「內部控制-整體架 構」(Internal Control – Integrated Framework)及 1994 年發布補充報告(此二份 報告稱為「COSO Report」),其除在美國被推薦採用外,我國亦予以繼受,並成 為法規範之強制事項。
我國自 1998 年訂定「公開發行公司建立內部控制制度實施要點」及「會計師 執行公開發行公司內部控制制度專案審查作業要點」即以 COSO Report 為訂定架 構,並於 2002 年正式以法規命令將其法制化,發布「公開發行公司建立內部控
7 參閱美國內部稽核協會網站(The Institute of Internal Auditors),Mission & History,
https://na.theiia.org/about-us/Pages/About-The-Institute-of-Internal-Auditors.aspx。(瀏覽日期:2015 年 1 月 9 日)
8 美國會計師協會審計程序委員會於 1949 年對內部控制提出定義。
9 參閱美國會計師協會審計程序委員會之第 29 號審計程序公報(1958)。
10 參閱美國會計師協會審計程序委員會之第 55 號審計程序公報(1988)。
11 參閱美國 COSO 網站(Committee of Sponsoring Organizations of the Treadway Commission),
About Us,http://www.coso.org/aboutus.htm。(瀏覽日期:2015 年 1 月 9 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
制制度處理準則」12。2013 年 COSO 委員會提出「內部控制-整體架構」之更 新報告13,我國亦於 2014 年 9 月 22 日跟進修正「公開發行公司建立內部控制制 度處理準則」14,該準則第 3 條對「內部控制」之定義為「內部控制制度係由經 理人所設計,董事會通過,並由董事會、經理人及其他員工執行之管理過程,其 目的在於促進公司之健全經營,以合理確保下列目標之達成:一、營運之效果及 效率(包括獲利、績效及保障資產安全等目標);二、報導具可靠性、及時性、
透明性及符合相關規範(包括公司內部與外部財務報導及非財務報導。其中外部 財務報導之目標,包括確保對外之財務報表係依照證券發行人財務報告編製準則 及一般公認會計原則編製,交易經適當核准等目標);三、相關法令規章之遵循。」
此與 COSO 委員會對「內部控制」之定義:Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance. Operations Objectives – related to the effectiveness and efficiency of the entity’s operations, including operational and financial performance goals, and safeguarding assets against loss. Reporting Objectives – related to internal and external financial and non-financial reporting to stakeholders, which would encompass reliability, timeliness, transparency, or other terms as established by regulators, standard setters, or the entity’s policies. Compliance Objectives – related to adhering to laws and regulations that the entity must follow.近乎完全相同。
第二項 內部控制制度之目標
由內部控制制度之源起可知,內部控制最早係由公司內部之經理人為滿足日 常管理之需要,而自發性的設置,並衍生成一種企業營運功能及專業:內部稽核。
後來,公司外部之會計師認為此制度可以提升公司財務報表品質,有助於其審計 工作之達成,故而參與推廣。而隨著資本市場之蓬勃發展,為維護市場秩序,立 法者也想利用此制度之業者自律效果,來促成法令遵循。此等歷史之自然演進,
塑造出下列內部控制制度所欲達成之三大目標。
12 參閱林淑芸,公開發行公司建立內部控制制度處理準則最新修正介紹,內部稽核季刊,88 期,
頁 31,2015 年 1 月。
13 COSO 於 2013 年對「內部控制」發布新版本之定義為:內部控制是一套過程,受到組織之董 事會、管理階層及其他人員的影響,被設計來提供合理的確認關於達成下列各類的目標:一、有 效果和有效率的營運;二、可靠的報導;三、遵循相關法令。其與 1992 年發布之定義,差異不 大。參閱王怡心,COSO 2013 的「內部控制」定義,內部稽核季刊 81 期,頁 17,2013 年 1 月。
14 金管證審字第 1030036318 號令,於公開發行公司建立內部控制制度處理準則修正總說明中,
即述明「本次係參考美國 COSO 委員會 2013 年提出之「內部控制-整體架構」更新報告,修正內 部控制制度三大目標及五大組成要素之相關內涵,並配合該報告強調公司治理觀念及考量國內實 務需加強事項,增訂相關控制作業,另參酌各界意見,酌作文字修正,以更符合實務運作,爰修 正本準則。」。
‧
管理學中對管理功能(Management Function)之闡述如下。其中之控制功能 就是對企業營業活動進行監控,以確保一切按照計畫進行,來實現組織所設定的
(planning) 確定目標,
制定策略,
訂定計畫以 協調活動。
組織
(organizing) 決定做什 麼,怎麼 做,由誰去 做。
領導 (leading) 指導和激勵 所有參與者 及解決衝 突。
控制 (control) 對活動進行 監控,以確 保按照計畫 完成。
資料來源:Stephen P. Robbins, MANAGEMENT, Prentice Hall, (1994).
報導具可靠性、及時性、透明性及符合相關規範
1936 年美國會計師協會首次提出會計師於查核財務報表時,應查核企業之 內部牽制和控制。爾後,隨著漸增之審計訴訟所帶來的風險,國際性大型會計師 事務所也借鑒 COSO Report,期待藉由內部控制來降低審計成本,同時保證審計 品質。美國證券交易委員會(以下簡稱「SEC」)也在法律授權下提出財務報導 的內部控制(Internal Control over Financial Reporting),促使企業提高財務報告 的可靠性16。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三項 內部控制制度之架構
論及內部控制制度時,常會連結到董事及經理人之監督義務、內部稽核制 度19、風險管理20等議題。由下表可知,董事及經理人之監督義務即在督促風險 管理的三道防線係有效運作。其中,內部控制措施是第一道防線,經理人之持續 性監督是第二道防線,獨立內部稽核人員之稽查是第三道防線,透過此三道防線 協助董事會及經理人確保內部控制制度持續有效運作。且當整體內部控制制度架 構起來,並有效運作時,即可發揮風險管理之功效,促成前述內部控制制度目標 之達成,並有助於公司治理。
圖表 二:內部控制制度之架構
治理單位/董事會/審計委員會
↑
高階管理階層 ∣
↑ ↑ ↑ ∣
第一道防線 第二道防線 第三道防線
財務控制 外 主
管理 內部 安全 部 管
控制 控制 風險管理 內部稽核 稽 機
措施 品質 核 關
檢查 遵循
第一道防線 第二道防線 第三道防線
基本 角色 特性
風險承擔/管理者
營運管理
風險控制與遵循
有限的獨立性
主要向管理階層 報告
風險確認
內部稽核
較高的獨立性
向治理單位報告 資料來源:陳錦烽,國際內部稽核協會(IIA)立場聲明書:「有效風險管理與控 制的三道防線」簡介,內部稽核季刊,82 期,頁 44-46,2013 年 4 月。
19 公開發行公司建立內部控制制度處理準則第 4 條第 1 項前段規定「公開發行公司應以書面訂定 內部控制制度,含內部稽核實施細則,並經董事會通過。」第 10 條規定「公開發行公司應實施內 部稽核,其目的在於協助董事會及經理人檢查及覆核內部控制制度之缺失及衡量營運之效果及效 率,並適時提供改進建議,以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度 之依據。」
20 公開發行公司建立內部控制制度處理準則第 44 條規定「公開發行公司宜訂定適當之風險管理 政策與程序,建立有效風險管理機制,以評估及監督其風險承擔能力、已承受風險現況、決定風 險因應策略及風險管理程序遵循情形。」
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第四項 內部控制制度之範疇
自 1992 年 COSO Report 公布後,來自企業、會計師、政府等各界對內部控 制制度之定義及看法已趨於一致,將內部控制制度視為風險管理之一環,並把建 立內部控制制度訂定在上市上櫃公司治理實務守則第一章總則之第 3 條,視其為 公司治理之基石,是建置有效的公司治理架構之必要事項。而公司治理架構之是 否完善,亦影響內部控制制度發生缺失之可能性21。
此外,上市上櫃公司企業社會責任實務守則第 4 條對公司實踐企業社會責任 之四項原則中之第一項,即為「落實公司治理」,將公司治理包含在企業社會責任 底下。據此,可以歸納出內部控制制度所隸屬之範疇如下圖。
圖表 三:內部控制制度之範疇
企業社會責任 公司治理 風險管理 內部控制制度 資料來源:本研究整理。
近年來,天候異常、土地過度開發,貿易自由化與全球化、企業交互投資、
公司經營權與所有權間之利益衝突、舞弊事件、貪腐賄賂等問題,使得企業被賦 予的期待已不再只是績效的提升與獲利能力的追求,更應對社會及環境等承擔責 任。而對於跨國企業的管理與規範,傳統遵循單一政府之各別法規已有不足,超 越法規範以外之企業社會責任的國際規範與準則,被許多成功的跨國企業納入營 運活動中,並結合成核心策略,成為永續經營的基石22。
現代企業面對股東(投資人)、客戶(消費者)、供應商、員工、債權人、社 區、政府等利害關係人,無可迴避的必須承擔企業社會責任。而由上圖可知,談 到企業社會責任,必定涵蓋公司治理;討論公司治理,就需論述風險管理;而風 險管理則奠基於內部控制制度。此即點出內部控制制度所涉之範疇,及日益加重
現代企業面對股東(投資人)、客戶(消費者)、供應商、員工、債權人、社 區、政府等利害關係人,無可迴避的必須承擔企業社會責任。而由上圖可知,談 到企業社會責任,必定涵蓋公司治理;討論公司治理,就需論述風險管理;而風 險管理則奠基於內部控制制度。此即點出內部控制制度所涉之範疇,及日益加重