內部控制與公司治理之概述

一、內部控制觀念

1949 年美國會計師公會(American Institude of Certtified Public Accountants 以下簡稱 AICPA)提出內部控制(Internal Control)一詞，會計師關注企業財務報告審計的影響及重 要作用方面發展，內部控制定義指企業為達成「保障資產安全」、「確保會計資訊的正確 性及可靠性」、「促進營運效率」、「確保員工遵循既定管理政策」所採取方法與措施。

1994 年美國 COSO 委員會(Committee of Sponsoring Organizations of the Treadway Commission)提出「內部控制-整合性架構」(Internal Control-Integrated Framework，ICIF) 的研究報告。1994 年又提出 ICIF 的補充報告(ICIF 補充報告，以下通稱 COSO 報告)，

認為內部控制係為一種管理過程，受企業董事會、管理階層及其他員工影響，企業為合 理確保(reasonable assurance)達成「營運效果及效率」、「可靠的財務報導」、「遵循相關法 令」管理目標的過程(process)，該報告中亦定義內部控制組成要素(components)為「控 制 環 境 (control activites) 」、「 風 險 評 估 (risk assessments) 」、「 控 制 活 動 (control environment)」、「資訊與溝通(information & communication)」、「監督(monitoring)」等五 項(王怡心等譯，2009)。

1996 年美國會計師公會(AICPA)審計準則公報第 78 號，對第 55 號公報進一步修 訂，確認內部控制整體架構由「控制環境」、「風險評估」、「控制活動」、「資訊與溝通」、

「監督」等五項要素組成。2004 年 9 月美國 COSO 委員會為因應沙賓法案「Sarbanes-Oxley Act of 2002」（簡稱沙賓法案）302 條款「公司對財務報告責任」和 404 條款「管 理階層對內部控制的自行評估」之要求，COSO 委員會發布了內部控制組成要素為「內部 環境(control activites)」、「目標設定(objective setting)」、「事件辨識(event identificaion)」、

「 風 險 評 估 (risk assessments) 」、「 風 險 回 應 (risk response) 」、「 控 制 活 動 (control environment)」、「資訊與溝通(information & communication)」、「監督(monitoring)」等八 項的「企業風險管理:整合性架構」研究報告(Enterprise Risk Management-Integrated Framework，以下通稱 COSO ERM 報告)。

2015 年 7 月 COSO 委員會發布其與 IIA 協會合作之「運用 COSO 報告於三道防線 (Leveraging COSO Across The Three Lines Of Defense」研究報告，闡明「內部控制-整合 架構」之內部控制特定角色及責任，如何調適至三道防線模型各防線，協助各機構提高

整體治理結構。強調董事會和管理階層是為落實內部控制重要角色，唯有透過董事會和 管理階層的監督，才能得以有效達成內部控制目標，促使組織達成整體目標。

二、內部控制之整合架構

內部控制相互有關聯的組成要素，2004 年 COSO 公布 COSO ERM 報告，明確的指 出風險管理包括內部控制作為一個子系統，經比對 1992 年至 2015 年 COSO 報告「內 部控制-整合架構」(ICIF) 與 2004 年 COSO ERM 報告之八項組成要素，COSO ERM 報 告為風險管理在內部控制五項組成要素的基礎上，增加了目標設定、事件辨識以及風險 回應等三項組成要素，將內部控制整合在內，進而強化整個管理架構。如表 2-1 所示。

表 2-1 COSO 報告與 COSO ERM 報告之差異表

COSO 報告 (1992、2013、2015) COSO ERM 報告(2004)

五大組成要素 八大組成要素

控制環境

事件辨識 目標設定 內部環境

風險評估 風險回應

風險評估 控制活動

資訊與溝通 監督

資料來源: 陳文彬，2009 ；本研究整理

2013、2015 年 COSO 委員會發布之「內部控制─整合架構」修正版，仍有三冊文 件，內容變化差距不大，故本研究以更新 COSO 報告(2013)進行探討「內部控制─整合 架構」分析如下:

COSO 報告(2013)中對列入利害相關人所提供的意見及其所注意的細節內容同時 並保留、釐清和強化 1992 年發布原始的核心架構。更新報告也涵括 COSO ERM 報告 (2004)企業風險管理範圍較廣，內部控制僅為企業風險管理環節之一；賴森本(2009)在 監督內部控制制度指引介紹一文中指出監督功能係涵括在更新報告中作為管理階層之 相關參考文件。COSO 報告(2013)指出有效內部控制制度之前提為五項組成要素及十七 項原則均存在且持續運作，並且組織需考量內部控制設計、執行及管理內部控制之成本

與效益。規模較小的組織可能需要簡潔明瞭之管理運作模式；內部控制產生缺失可能經 其他因素控制、或透過加強控制予以補償，進而影響組織整體目標之風險降低至可容忍 的水準範圍。依據 2013 年 COSO 報告「內部控制-整合架構」，提出內部控制的 17 項 原則，其依序對應於五大組成要素，如表 2-2 所示；1992 年版與 2013 年版 COSO 報告

「內部控制五大組成要素差異」，如表 2-3 所示。COSO 委員會長期致力於內部控制之 研究與推展，並發布多篇具影響之研究報告，如表 2-4 所示。COSO 報告可作為企業組 織設計及執行內部控制時重要指引，藉以建立內部控制架構，採行適宜且富彈性的控制 作業與監督。

(一)控制環境

控制環境是準則、過程及結構之集合，為整個組織設計及執行內部控制之基礎。

董事會及高階主管應建立有關內部控制重要性之高層基調及行為準則。

2013 年 COSO 報告「內部控制-整合架構」，提出其相關原則如次：

1.組織展現對於誠信與道德價值之承諾。

2.董事會展現其獨立於管理階層，並對內部控制之建立與成效行使監督。

3.管理階層在董事會監督之下，建立達成各項目標之結構、報導體系，以及適當權 限與責任。

4.組織為配合目標而展現延攬、培育及留用適任人才之承諾。

5.組織要求各級人員在達成各項目標的過程中，應擔負其內部控制責任。

控制環境係為其他組成要素之基礎，並影響企業文化及組織成員對內部控制認 知 (林柄滄，2013)。控制環境概念為高階主管及基層員工，對各司其職之責任歸 屬與認知程度會對控制環境產生重大影響。企業高階管理者必須負擔對於組織內所 有營運工作或活動之最終成敗責任。

所謂目標(objectives)即為標的(goals)，也是個人、群體或組織所嚮往與期望的 結果。個人或企業因為對未來有期許所以會設定目標。Edwin Locke (1978)曾提出

「目標設定理論(Goal-Setting Theory)」，認為目標即為良好的激勵(motivation)因子，

為達到充滿挑戰性的目標，員工會努力以赴增進績效，因此，接受困難目標之成效，

會比容易達成目標獲得更佳的績效。Kinney, W. (2000)與 Krishnan, J., (2005)認為 企業目標是為指引全體員工工作方向、建立內部組織協同努力的指標，形成決策朝 目標邁進，帶來可衡量之實際成果及成效。

企業策略形成中若有太多目標不當授權又無適當複查審核流程，以監督決策品

質，企業與高階管理者會產生高度風險。因此，目標如何設定、高階主管支持與否、

分層負責授權控管機制等對評估企業內部控制是具有重要性及攸關性。

(二)風險評估

組織進行風險評估時應先考量潛在事項影響與其目標達成之程度，並從潛在事 項發生的可能性及其影響程度兩個方面，以量化與非量化之方法來評估。

在 COSO ERM 報告(2004)對企業風險管理定義為所謂企業風險管理是一種過 程，它受企業董事會、管理階層及其他員工影響，應用於策略制定並貫穿於企業中，

旨在辨識可能會影響企業的潛在事件，管理風險以使其在該企業的風險胃納中，以 合理確保企業目標達成。COSO ERM 報告(2004)報告界定管理階層對經營風險之 態度與控制方法應涵蓋原則如下:

1.使策略得以追隨(aligning)風險胃納(risk appetite)並與其一致:管理階層在設定相 關目標、評價備選的策略和建立相關風險管理機制的過程中需要考慮企業風險胃 納。

2.使風險回應之決策得以強化:風險管理為辨識和在備選的風險回應策略-風險迴 避(avoidance)、風險降低(reduction)、風險分散(sharing)、風險接受(acceptance) 之間進行選擇提供嚴密規範。

3.使經營的意外(surprises)和損失(losses)得以抑減:因企業辨識潛在事件和實施應 對的能力得以增強，抑減了意外情況以及由此帶來的成本或損失。

4.使多重貫穿於企業風險得以辨識和管理:每一個企業都面臨影響組織不同部門的 一系列風險，風險管理將有助於有效的應對交叉影響，以及整合性的應對多重風 險。

5.使機會得以掌握:風險管理得以促使管理階層透過考慮組織全方位潛在事件的地 位，辨識機會並積極地實現機會。

6.使資源之配置得以改善:企業獲取強而有力的(robust)風險資訊，使得管理階層能 夠有效的評估總體資源需求，並改善資源配置。

在 2013 年 COSO 報告「內部控制-整合架構」，提出其相關原則如次：

1.組織具體指明妥適之目標，以辨識及評估與目標相關的風險。

(1)外部財務報導目標：「遵循適用的會計準則」、「考量重大性」及「反映個體業務」。 (2)外部非財務報導目標：「遵循外部已建立的準則及架構」、「考量被規範的正確水

準」及「反映個體業務」。

(3)內部報導目標：「反映管理階層的選擇」、「考量被規範的正確水準」及「反映個 體業務」。

(4)遵循目標：「反映外部法律及條例」及「考量風險容忍」。

2.組織辨識妨礙達成其目標之風險，並分析各項風險，以作為應如何管理該等風險 之基礎。

3.組織評估達成目標之風險時，考量可能發生的舞弊。

4.組織辨識及評估可能對內部控制制度產生重大影響之各項改變。

(三)控制活動

控制活動是組織根據風險評估結果，採用適當政策及程序之行動，俾將風險控 制在可容忍範圍之內。控制活動之執行遍及組織整體層級與作業層級各個階段，以 及所有資訊科技環境等範圍。2013 年 COSO 報告「內部控制-整合架構」，提出其 相關原則如次：

1.組織選擇及建立控制作業，用以降低達成目標之相關風險至可接受水準。

2.組織選擇及建立科技之一般控制作業，以支持目標之達成。

3.組織透過制定各項政策及程序，以建置其控制作業。政策係指建立欲達成之項目，

程序則係將政策付諸行動。

由於內部控制是企業透過實施一系列的組織設計政策程序等，朝目標邁進的一 種過程。因此，設立完善之控制作業架構及訂定各層級之控制程序，包括核准、驗 證、調節、複核定期、盤點紀錄、核對、職能分工、保障資產實體安全及與計畫、

預算或前期績效之比較的控制活動以及對子公司之監理等，以及幫忙董事會及管理 階層確保其風險回應已被執行，係內部控制重要的外在體現。

企業風險管理之核心理念是將風險管理精神融入到企業策略、組織結構、營業 活動程序等各個環節。

(四)資訊與溝通

資訊對組織行使內部控制責任以支持目標之達成是必要的，溝通須同時於組織

資訊對組織行使內部控制責任以支持目標之達成是必要的，溝通須同時於組織