內部控制有效性之判斷參考項目

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

22

稽核人員是監督者而非規章制度制訂者、建議者而非強硬的執行 者、問題解決者而非問題製造者，應以「查核有依據、管理有數據」

之態度執行檢查業務，協助受檢單位導正相關作業缺失並提供適切 建議，以維持獨立且稱職之內部稽核功能。

圖 2-2、內部控制三道防線

資料來源：金融監督管理委員會檢查局 陳妍沂組長

第三節 內部控制有效性之判斷參考項目

金融監督管理委員會為利公司於設計及執行、自行檢查或會計師受託專案審 查公司內部控制制度時有所遵循，責成臺灣證券交易所股份有限公司以其現行判 斷項目為基本架構，參考我國相關法令規定、新版 COSO 內部控制整合架構、國 際內部稽核協會(IIA)內部稽核執業準則及國際財務報導準則(IFRS)等訂定內部控 制制度有效性判斷參考項目，最新版本為 102 年 5 月 13 日發布修正，除可作為 單位主管、內部稽核、管理階層及會計師審查內部控制有效性外，亦可作為董事 會通過年度内部控制聲明書之參考文件，以示負責確已建立及維護可靠財務報導 之有效內部控制制度。相關判斷參考項目之範例摘述如下：

一、控制環境

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

23

(一)操守及價值觀，如：是否訂有員工行為守則或類似規範及違反時之罰則 等等。

(二)執行之能力，如：是否訂有明確的職務說明書及各重要主管之知識及經 驗等等。

(三)股東會、董事會、監察人(或獨立董事)及審計委員會之運作情形。

(四)管理哲學及經營型態，如：管理階層對承受風險之態度及是否設定明確 的營運目標，財務報導目標及法令遵循目標等等。

(五)組織結構，如：組織結構是否配合公司的規模及作業之複雜性而設計及 部門責任分工是否明確等等。

(六)權責之分派，如：權責如何劃分、授給員工的權力與其擔負之責任是否 相稱、人數及教育訓練是否足夠等等。

(七)人力資源之政策與實行，如：如何聘僱員工、如何訓練員工、員工升遷 及薪酬的政策如何等等。

二、風險評估

(一)公司整體目標之制訂，如：公司策略如何訂定、整體目標是否有效地在 組織內傳達等等。

(二)作業層級目標之制訂，如：作業層級目標如何訂定及管理階層是否對財 務報導目標訂有充分之說明及標準等等。

(三)風險之管理，如：引發公司整體風險(包括舞弊風險)的公司內外部因素 及相關辨識機制等等。

三、控制活動

(一)公司的重大作業是否在成本效益原則下，設有相關的控制政策和程序？

(二)公司應依其內部控制制度(包含已書面化及未書面化)各項控制作業逐項 評估之，以確保制度之有效性。

(三)公司是否設計與建置適用的資訊科技控制，以支持財務報導目標之達 成？

四、資訊與溝通

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

24

(一)資訊

1.管理階層是否定期從內、外部收到攸關公司目標達成進度及所面臨風險的 可靠資訊以供決策及營運監控之用？

2.當公司目標及相關風險改變或發現內控缺失時，是否重新評估資訊及相關 資訊系統的需求？

3.每一控制作業的重要資訊是否被辨識、記錄、使用並以特定方式及於特定 時間內傳遞需運用該資訊執行其內控責任之人員？

(二)溝通

1.溝通機制是否充份使組織上下或跨部門資訊之傳達無礙，且溝通機制涵蓋 所有工作人員？

2.公司是否遵循個人資料保護法之規定，進行規範個人資料之蒐集、處理及 利用？

3.公司需對外揭露那些資訊？資訊的完整性、正確性如何？何時揭露？由誰 負責控管？

五、監督

(一)持續性的監督

1.在員工進行營業活動時，各單位主管如何監督？相關控制點是否被有效遵 守？

2.在各單位進行自行檢查時，是否作成書面紀錄？書面紀錄是否完備？主管 如何監督？

(二)個別評估

1.公司是否指定專人負責內部稽核的工作？多久評估一次？評估的對象是 什麼？各項評估是否客觀考量整體內部控制能否達成公司目標？

2.評估的結果是否作成書面紀錄？管理階層對內、外部稽核所提建議的態度 如何？

(三)缺失的報導

1.已辨認的內部控制缺失如何報導？報告對象是否適當？

2.缺失報告之後，有無定期進行追蹤？追蹤的有效性如何？

3.內控聲明書是否據實報導公司內控設計及執行有效性之情況？

‧