國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
13
第二節 內部控制
在內部控制相關文獻部分,由於內部控制起源於美國,本節先說明美國內部 控制規範與發展歷程,再進一步闡述台灣內部控制規範與發展歷程。
一、美國內部控制規範與發展歷程
內部控制議題起源於 1920 年代的美國,美國面臨經濟大恐慌,企業為免於 破產,開始重視內部的監督及管理機制,並建立許多的管理活動,例如預算、品 質管理、人員訓練及內部稽核等,以確保企業之營運效率(江美英,2007)。
1940年代起,外部審計與內部稽核專業組織陸續發表報告、指引文及準則,
討論內部控制的定義、要素與評估內部控制的技術,以及內部控制責任之歸屬。
美國會計師公會(American Institute of Certified Public Accountants,簡稱AICPA)
於1949年發表「內部控制─一個協調制度下的要素及對管理階層與獨立會計師之 重要性」之研究報告,將內部控制定義如下:
1. 保障資產安全(safeguard its assets);
2. 檢查會計資料之精確性及可靠性(accuracy and reliability of its accounting data);
3. 提高營業效率(operational efficiency);及
4. 鼓勵員工遵守既定管理政策(adherence to prescribed managerial policies)。 由上述定義可知,該報告係以內部控制欲達成的目標來定義內部控制,且不 以直接與會計及財務部門有關的功能為限。
美國審計程序委員會(Committee on Auditing Procedure,簡稱 CAP)於 1958 年發布審計程序公報(Statement on Auditing Procedure,簡稱 SAP)第 29 號「獨 立會計師覆核內部控制的範圍」,將內部控制分成會計控制(accounting control)
及管理控制(administrative control)兩類。會計控制包括組織之計畫及所有與保 障資產安全與財務紀錄可靠性直接有關之方法及程序,包括 1.授權與核准制度;
2.記錄、營運及資產保管之分工;3.資產之實體控制與 4.內部稽核。管理控制則 包括組織之計畫及所有與營運效率、遵循管理政策有關的方法與程序,包含 1.
統計分析;2.動作及時間研究;3.績效報告;4.員工訓練計畫及 5.品質管制。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
14
1972 年,美國會計師公會(AICPA)在第 54 號公報中,加強區分會計控制 和管理控制,並說明會計控制的四項目標,包括:1.交易活動的授權;2.編製財 務報表的準則;3.資產的取得必須經適當的程序及授權;及 4.資產帳冊與實務差 異的合理調整及處置。
1972年水門事件(Watergate Scandal)爆發,在1973年至1976年水門案調查 期間,專案檢察官辦公室及證券交易委員會(Security and Exchange Commission,
簡稱SEC)的調查6顯示,過去超過四百家美國大公司曾進行違法的國內捐款、
可疑或違法的國外支付(包括賄賂外國政府官員),總金額超過三億美元。針對 調查結果,美國國會之委員會針對美國公司對外國政府的不當支付舉行公聽會,
草擬法案,並於1977年通過「反國外貪腐法」(Foreign Corrupt Practices Act,簡 稱FCPA)立法。FCPA除反賄賂條款外,尚有與會計及內部控制有關之規定。其 中與內部控制有關之條款,要求受「1934年證券交易法」管制之公開發行公司管 理階層設計並維持能完成某些目標之適當內部控制制度。此法案通過立法之後,
一個健全內部控制制度的關鍵精神就是能有效阻止不法支付之發生。FCPA立法 後,企業積極展開設立內部控制的活動,若干專業團體及主管機關也就內部控制 的不同層面進行研究,發布提案與指引(江美英,2007)。
1985年,企業假帳風波不斷,引發許多社會問題。美國會計師公會(AICPA)、 美國會計學會(American Accounting Association,簡稱AAA)、財務負責人協會
(Financial Executives Institute,簡稱FEI)、內部稽核協會(Institute of Internal Auditors,簡稱IIA)、管理會計人員(Institute of Management Accountants,簡稱 IMA)五個機構共同贊助成立不實財務報導全國委員會(National Commission on Fraudulent Financial Reporting),又稱Treadway委員會,其成立宗旨在於辨認引 起不實財務報導的因素,以及對如何減少不實財務報導作出建議。 1987年 Treadway委員會報告出爐,提出許多直接針對內部控制的建議,強調控制環境、
行為守則、能幹及積極的監督委員會與活躍而客觀的內部稽核功能之重要性,也 重新呼籲管理階層應針對其內部控制的有效性提出報告。此外,Treadway委員會 建議其贊助機構共同合作,以整合不同的內部控制觀念及定義,發展出一套共同 可用的參考準則。此準則可以幫助公開發行公司改進其內部控制制度,並衡量其
6The Foreign Corrupt Practices Act and the Dodd-Frank Act,參見 http://whistleblower-claims.com。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
15
內部控制是否有效。因此,Treadway委員會的五個贊助機構再成立一個專門研究 與內部控制相關問題的COSO委員會(Committee of Sponsoring Organizations of the Treadway Commission)。
1988年,AICPA發表審計準則公報(Statement on Auditing Standards,簡稱 SAS)第55號「財務報表審計下的內部控制結構之考量」,不再把內部控制分為 會計控制及管理控制,只問查核人員在財務報表審計時是否關心這項內部控制。
COSO委員會於1992年發布「內部控制─整體架構」,藉以協助企業及其他 組織評估並加強其內部控制,並於1994年提出補篇,擴大對外報告範圍,報告定 稿。COSO「內部控制─整體架構」7之報告更新內部控制之觀念,影響美國會計、
審計實務甚鉅。COSO報告指出,內部控制係為達成營運之效率與效能、財務報 導之可靠性、遵循法令與規範三項目標,提供合理保證而設計之過程。COSO報 告同時指出,內部控制係由控制環境(control environment)、風險評估(risk assessment)、控制作業(control activities )、資訊 及溝通(information and communication),與監督(monitoring)五個要素所組成,此五要素相互關係與 企業營運活動緊密結合,且整合於管理過程中。五個內控組成要素之涵義如下:
1. 控制環境,係指形塑企業文化,影響企業員工之內部控制意識。其所提 供之紀律與架構為其他內部控制指標之基礎。影響控制環境之因素涵蓋 企業人員之操守、價值觀與能力,以及企業管理階層之管理哲學與經營 風格、指派權責、培養企業人員之方式,加上對企業控制環境所提供之 關注與指引。
2. 風險評估,係指有關達成目標之認定、分析與風險管理。為達成企業之 目標,管理階層應考慮並評估影響目標達成之風險因素。評估風險之 前,企業應建立整體及內部作業活動目標,再辨識並分析與目標相關之 風險,考慮所能接受的風險。最後,決定如何管理已知的風險。鑒於內 部與外部環境不斷之變動,企業宜持續評估風險。
3. 控制作業,係為確保管理階層之指令會被實現之政策與程序。它們可協 助企業對風險採取必要行動,以達成企業目標。控制作業涵蓋核准、授 權、驗證、調節、覆核營運績效、保障資產安全,以及職能分工。
7參考馬秀如譯(1998),內部控制─整體架構。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
16
4. 資訊及溝通,乃係企業須依某種形式及於特定時程內,辨識取得適切的 資訊並做良好溝通,使員工能夠履行責任。資訊系統之產生報告,大多 與營運、財務及遵循法令有關的資訊,包括企業內部資訊與外部資訊,
這些資訊皆為企業制訂決策或對外報導所需。
5. 監督係為評估內部控制長期績效品質之過程,包含持續性監督(ongoing monitoring)、個別性監督(separate monitoring)或兩者合併。由於內 部控制制度會隨時間而改變,因此,監督可確保內部控制持續有效地運 作。所謂持續性監督係在營運過程中,評估內部控制之設計及執行,並 採取必要之改正行動。個別性監督則非於營運過程中即時監督,而是視 持續性監督的績效,即發生缺失的風險決定其次數及範圍。企業通常透 過持續性及個別性監督,辨識內部控制之缺失,提報高階管理階層及董 事會。
鑒於內部控制存在人為判斷、資源、成本效益考量、內部控制失靈、管理階 層逾越與員工串謀等先天限制,亦即無論內部控制之設計與執行多麼完善,僅能 降低企業無法達成目標之風險,無法保證企業目標之整體達成,故COSO之內部 控制架構僅提出「有內部控制,可幫助企業提高達成企業目標之可能性」的合理 保證,而不能提出「有內部控制,企業目標必能達成」的絕對保證。
2004 年 COSO 委員會發布「企業風險管理─整合架構」,擴大內部控制觀 點,將內部控制納入企業風險管理中。在內部控制五個組成要素的基礎上,對風 險評估這項要素進一步劃分出目標設定、事項辨認、風險評估與風險回應,從而 形成了八大要素,並在三大目標的基礎上,增加一個策略目標,形成了四大目標
(馬秀如、賴森本、李美雀、葉秀惠、阮中祺、謝雅仁,2005)。2006 年 COSO 委員會為協助中小企業建立及實行內部控制,提出「財務報導的內部控制─較小 型公開發行公司指引」,以達成財務報導相關的目標。2009 年,再次發布「內 部控制監督指引」,協助企業監督其內部控制制度的品質(王怡心、周靜幸、黃 琬玲,2009)。
在歷經安隆、世界通訊等知名企業的企業醜聞後,為重建投資大眾對公開發 行公司財報及美國證券市場的信心,於 2002 年 7 月 30 日通過了沙氏法
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
17
(Sarbanes-Oxley Act),用立法行動強調內部控制的重要性,其中的 404 條款要 求企業管理階層每年須對其財務報告內部控制的有效性進行評估,且須由會計師 出具內部控制之查核報告。沙氏法 404 條款規定,公開發行公司應評估內部控制 制度,並向主管機關申報類似我國內部控制聲明書之「公司財務報導內部控制之 管理報告」(Management’s Report on Internal Control Over Financial Reporting),
由負責財務報導之管理階層─執行長、財務長(CEO、CFO)簽署。其主要內容 有三:首先,管理階層必須負責建立、實施和維護有效的與財務報導有關之內部 控制制度(Internal Controls Over Financial Reporting,簡稱 ICOFR)。其次,管 理階層每年度必須對各界提出其對有關財務務報導之內部控制有效性的評估報
由負責財務報導之管理階層─執行長、財務長(CEO、CFO)簽署。其主要內容 有三:首先,管理階層必須負責建立、實施和維護有效的與財務報導有關之內部 控制制度(Internal Controls Over Financial Reporting,簡稱 ICOFR)。其次,管 理階層每年度必須對各界提出其對有關財務務報導之內部控制有效性的評估報