第四章 金融控股公司內部控制與稽核制度
第一節 內部控制制度
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第四章 金融控股公司內部控制與稽核 制度
第一節 內部控制制度
第一項 內控制度的意義與目的
內部控制是金融機構為實現既定的經營目標和防範風險,對內部各職 能部門和其工作人員從事的活動業務進行風險控制方法措施和程序的總 稱。內部控制基本功能是控制風險,但內部控制並不能代替風險管理,實 際上內部控制是一種機制而不是一套制度,是能夠不斷進行風險控制、資 訊反饋,並能及時進行自我調整的動態過程107。
內部控制機制主要包含「會計控制」(accounting control)與「管理控 制」(administrative control)兩部分,會計控制係為了保護公司資產,並確 保公司財務的可靠性;管理控制則是為了提昇公司經營效率,使經營策略 得以有效執行。加強內部控制目的不僅是為防止經營過程中之業務犯罪,
同時也為了提高經營效率、保證財務數字之可靠性,以及經營活動之法律 遵循等目標。內控機制側重內部流程之監督,要求效率,並需對一般社會 大眾揭露資訊,以保障投資人利益108。依據巴賽爾監理委員 1988 年 1 月公 佈之「內部控制制度評估架構」(Framework for Internal Control System In Banking Organizations)109之建議,內部控制是董事會、高階管理階層與員 工之間互動之過程,主要有三大目標:(一)達成經營活動之有效性與效 率性;(二)實現財務資訊與管理資訊之可靠性和完整性;(三)遵循相關
107 參閱賴鈺城、陳賢名,金融風險管理機制--銀行之公司治理,財稅研究,2004.09,頁 159-160。
108 我國「公開發行公司建立內部控制制度處理準則」及要求上市、櫃公司應每年自行評估,並 出具說明書刊年報或公開說明書。
109 參見 1998 年 9 月巴賽爾監理委員會所公布的報告-“Framework for Internal Control System In Banking Organizations” ,http://www.bis.org/publ/bcbsc131.pdf。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
法律規範。所稱營運活動之效果及效率目標,包括獲利、績效及保障資產 安全等目標,概括而言就是效率、透明度和合法性。
第二項 內控制度原則
內部控制除重視事前防範、事後檢查外,還特別強調事中過程監控,
要求金融機構風險控制的三道防線—櫃臺操作、部門管理、內部稽核,都 必須體現職責分離與相互制約。內部控制制度的實施必須符合下列原則:
1. 有效性原則:不能存在特殊及例外。
2. 審慎性原則:以防範風險及審慎經營為出發點。
3. 全面性原則:覆蓋各項業務過程,各個操作環節、所有部門和人員。
4. 時效性原則:開辦新機關或業務必須「內控先行」。
5. 獨立性原則:內部稽核部門不受管理階層的控制和干預,獨立而暢通的 內部控制資訊反饋管道。
內部控制的建立必須有下列五個構成要素110: 一、管理階層之監督及控制文化
指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因 素,包括員工之操守、價值觀及能力;董事會及經理人之管理哲學、經營 風格;聘僱、訓練、組織員工與指派權責之方式;董事會及監察人之關注 及指導等。董事會應負責核准並定期複核公司整體經營策略與重大經營政 策,並確保健力有效之內部控制制度;高階管理階層應負責執行董事會之 經營策略與政策,建立健全之辨識、衡量、監督及控制金融機構風險的程 序,制訂適當之內部控制政策,並監督政策之有效性與適切性。
控制文化是其他組成要素之基礎,經營者是否以法令遵循為依歸、員
110 公開發行公司建立內部控制制度處理準則第六條;銀行內部控制及稽核制度實施辦法第四 條;金融控股公司內部控制及稽核制度實施辦法第六條。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
工是否被安排在適當之職位、組織結構權責分明、資訊暢通等是控制環境 之重要意涵。
二、風險辨識與評估
指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可 能性之過程,其評估結果,可協助公司及時設計、修正及執行必要之控制 作業。有效之內部控制制度須可辨識並持續評估所有對銀行目標之達成可 能產生負面影響之重大風險,並決定如何因應相關風險,使其能被限制在 可承受之範圍內。
辨識風險應應包括企業整體層面與作業層面,而風險辨識之分析內容 則應對風險大小、發生風險的可能性及頻率、風險控管方法為評估檢討。
三、控制活動與職務分工
指設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及經 理人確保其指令已被執行,包括核准、授權、驗證、調節、覆核、定期盤 點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效 之比較及對子公司之監督與管理等之政策及程序。控制活動應是銀行每日 整體營運之一部分,應設立完善之控制架構,及訂定各層級之內控程序;
有效之內部控制制度應有適當之職務分工,且管理階層及員工不應擔任責 任相互衝突之工作。
四、資訊及溝通
所稱資訊,係指資訊系統所辨認、衡量、處理及報導之標的,包括與 營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通,
係指把資訊告知相關人員,包括公司內、外部溝通。內部控制制度須具備 產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。應保 有適切完整之財務、營運及遵循資訊;資訊應具備可靠性、及時性與容易 取得之特性,並以一致性之格式提供,有效之內部控制制度應建立有效之 溝通管道。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
五、監督活動與更正缺失
指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,
風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是 否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監 督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。銀行 內部控制整體之有效性應予持續監督,營業單位、內部稽核或其他內控人 員發現之內部控制缺失均應即時向適當層級報告,若屬重大之內部控制缺 失應向高階管理階層及董 (理) 事會報告,並應立即採取改正措施。
第三項 金融控股公司內控制度規範
關於金融控股公司內部控制制度之相關規範,主要見於「金融控股公 司內部控制及稽核制度實施辦法」111、「銀行內部控制及稽核制度實施辦 法」112與「公開發行公司建立內部控制制度處理準則」113,金融控股公司 內控制度作業之建立與落實,應依上述相關規定辦理114。
第一款 內控制度設計與規劃
金融控股公司之內部控制制度應涵蓋金融控股公司之營運活動,並應 訂定下列適當之政策及作業程序,且應適時檢討修訂115:
一、組織規程或公司章則,包括明確之組織系統、單位職掌、業務範圍、
授權及分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一) 投資準則。
111 金融控股公司法第五十一條規定訂定之。
112 依銀行法第四十五條之一第一項規定訂定之。
113 依證券交易法 (以下簡稱本法) 第十四條之一第二項規定訂定之。
114 金融控股公司內部控制及稽核制度實施辦法第二條規定:「金融控股公司內部控制制度及內部 稽核制度,依本辦法之規定;本辦法未規定者,依其他相關法令之規定。」
115 金融控股公司內部控制及稽核制度實施辦法第七條。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(二) 子公司管理。
(三) 共同行銷管理。
(四) 客戶資料保密。
(五) 利害關係人交易規範。
(六) 股權管理。
(七) 會計暨財務報表編製流程、總務、資訊、人事管理。
(八) 對外資訊揭露作業管理。
(九) 其他業務之規範及作業程序。
內控辦法中將內控制度劃分為:1.遵守法令主管制度、2.風險管理機 制、3.內部稽核制度、4.自行查核制度,除內部稽核制度另行於下一節詳 細介紹外,以下就內控制度之設計與規劃,說明如次:
一、遵守法令主管制度
金融控股公司應建立遵守法令主管制度,指定單位負責該制度之規 劃、管理及執行,建立諮詢、協調、溝通系統,對各單位施以法規訓練,
並應指派人員擔任遵守法令主管,負責執行法令遵循事宜,以確保遵守法 令主管制度之有效運行,並加強自律功能。金融控股公司,應指定一隸屬 於董事會或總經理之單位,負責制度之規劃、管理及執行,並指派高階主 管一人擔任遵守法令主管,綜理法令遵循事務,至少每半年向董事會及監 察人報告;遵守法令主管名單應以網際網路資訊系統申報主管機關備查
116。
遵守法令單位應辦理下列事項:1.建立清楚適當之法令傳達、諮詢、
協調與溝通系統。2.確認各項作業及管理規章均配合相關法規適時更新,
使各項營運活動符合法令規定。3.訂定法令遵循之自行查核及評估內容與
116 金融控股公司內部控制及稽核制度實施辦法第九條。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
程序,並督導各單位定期自行查核執行情形。4.對各單位人員施以適當合 宜之法規訓練。其中自行查核法令遵循作業,每半年至少須辦理一次,其 辦理結果應送遵守法令單位備查。各單位辦理自行查核作業,應由該單位 主管指定專人辦理117。
二、風險管理機制
金融控股公司應訂定適當之風險管理政策與程序,建立獨立有效風險 管理機制,以評估及監督金融控股公司及其子公司之風險承擔能力、已承 受風險現況、決定風險因應策略及風險管理程序遵循情形。風險管理政策 與程序應經董事會通過並適時檢討修訂。此外,金融控股公司應設置獨立 之專責風險控管單位,並定期向董事會提出風險控管報告,若發現重大暴 險,危及財務或業務狀況或法令遵循者,應立即採取適當措施並向董事會
金融控股公司應訂定適當之風險管理政策與程序,建立獨立有效風險 管理機制,以評估及監督金融控股公司及其子公司之風險承擔能力、已承 受風險現況、決定風險因應策略及風險管理程序遵循情形。風險管理政策 與程序應經董事會通過並適時檢討修訂。此外,金融控股公司應設置獨立 之專責風險控管單位,並定期向董事會提出風險控管報告,若發現重大暴 險,危及財務或業務狀況或法令遵循者,應立即採取適當措施並向董事會