內部控制、風險管理與公共治理之關係

壹 、風險管理之意涵

關於風險（Risk）一詞，學界或實務界尚無一致之定義，國際標準組織

（International Organization for Standardization，ISO）將風險定義為事件發生的可 能 性 及 其 影 響 的 組 合 。 鄭 燦 堂 （ 1998 ） 則 將 風 險 稱 為 事 故 發 生 的 不 確 定 性

（Uncertainty）或事故發生而遭受損失的機會（Chance of Loss）；鄧家駒（2002）

則認為風險來自於其未來結果的不確定，而可能造成人身或財物方式、非預期的 獲益或損失。而風險管理的目的在於確保管理的個體，不論是個人、企業或國家 社會，在合理可行的代價下，盡量消除未來的之不確定因素，使預期結果與實際 結果間的差距減到最低。

COSO 基於風險管理對企業經營與管理之重要性，於 2004 年提出「企業風險 管理-整合架構」(Enterprise Risk Management-Integrated Framework)，將企業風險管 理定義為一個受到董事會、管理階層及所有員工影響的流程，適用在策略的制訂 與整個企業。企業風險管理被設計用來辨認可能影響個體（Entity）的潛在事件，

並將風險控管在個體的風險胃納¹⁵（Risk Appetite）以內，以合理確保整體目標的

15風險胃納是組織在追求其價值時，所願意接受的風險值。它反映了組織的風險管理哲學，並因此 影響了組織的文化及營運風格。許多組織係以非量化的方式考量風險胃納，例如將之分成高度、

達成。該報告討論的內容由內部控制擴大為風險管理，以 COSO 於 1992 年所提「內 部控制-整合架構」為基礎，擴充為四個目標(策略性、營運、報導及遵循)及八項 構成要素，原屬內部控制的五個要素均予保留，僅將「控制環境」改為更一般性 措詞的「內部環境」，至於與風險有關的組成要素，則由原來的一個「風險評估」

增至四個：自「風險評估」獨立出「事項辨認」，新增「目標設定」及「風險回應」，

把風險管控的時間提前，俾建立一個有效辨認、評估及管理風險的強韌架構，以 協助組織強化其風險管理（馬秀如等譯，2005）。依 COSO 所提「內部控制-整合架 構」及「企業風險管理-整合架構」之目標及組成要素觀之，內部控制包含在風險 管理之內，係風險管理中不可或缺的一部分；風險管理自內部控制延伸，其涵蓋 的範圍比內部控制廣泛，且著重風險觀念（馬秀如，2005）。

近年來資通訊科技等快速發展，為了協助組織因應日益複雜的經營環境，

COSO 於 2017 年 9 月正式發布新版之企業風險管理整合架構，命名為「企業風險 管理—整合策略與績效」，該架構將風險管理定義為「組織在開創、保存及實現價 值時，為管理風險所倚賴之各種文化、能力與實務，並與策略與執行相互整合」， 同時為與內部控制區隔，將風險管理之組成要素更新為「治理與文化」、「策略與 目標訂定」、「執行」、「複核與修正」及「資訊、溝通與報導」5 個要素（周靜幸，

2017）。由前述風險管理範疇涵蓋治理，並連結策略與績效，為組織各級管理階層 規劃及執行風險管理提供實務指引，顯示風險管理已朝向更能有效協助組織達成 目標、提升經營績效，以及為利害關係人爭取更高價值之功能發展（王怡心，2016）。

貳、公共治理之意涵

聯合國全球治理委員會於 1995 年發表「我們的全球伙伴關係」研究報告中提 出「治理是各種公共或私人的個人和機構，管理其共同事務諸多方式的總和。它 是使相互衝突或不同利益得以協調，並採取聯合行動的持續過程，包括具強制力 的正式制度和規則，也包括非正式度安排。」英國學者 Rhodes(1996) 認爲治理有 別於傳統政府統治的方式，是一種新的統治過程和方法，並將治理界定了六種意 義，包含：（一）最小化國家的治理，即小而能的政府是最好的政府；（二）公司

中度及低度；有些則用量化的方法來反映與平衡在考量了風險之後的成長與報酬目標。

治理的治理，意味公部門可採取企業管理方法，來改善傳統公部門的組織文化；

（三）新公共管理的治理，將市場機制和私部門的管理方式，引入政府的公共服 務中；（四）善治，強調效率及法治；（五）社會網絡體系的治理，強調政府與社 會其他組織間互動；（六）自我組織網路的治理，即建立一個信任與互利的社會協 調網路。Nzongola-Ntalaja 則將治理分為三種層次，分別為公共治理、經濟治理與 社會治理。其中公共治理由國家主導，進而組織與管理社會的過程；經濟治理由 私部門主導，是管理與生產、配送服務或商品相關決策與過程；而社會治理則是 由公民與非營利組織，進行管理社會價值與公共行為的系統，這三種治理層次並 非獨立存在，而是相輔相成、相互依存的（引自莊文忠、洪永泰、陳俊明、蔡季 廷，2015:17）。Neo&Chen（2007）認為治理指的是「政治與公民之間，使公共政 策得以規劃、執行及評估的一種關係」。同時也提出動態治理的概念，認為政府因 應外在環境改變，應重新調整既有的政策選擇，使政府與制度常保功能，以符合 社會長期發展目標。

目前學界雖對公共治理尚無一致性的定義，惟提升政府施政品質，達成良善 治理（good governance）目標為各國政府所共同追求的目標，聯合國、經濟合作發 展組織(OECD)及世界銀行(World Bank)等國際組織，已針對此一議題揭櫫定義或相 關原則，作為應用上之指引。經濟合作暨發展組織（OECD）提出良好治理原則，

至少應包括透明與課責、公平與公正、效率與效能、尊重法治及高道德標準等。

聯合國亞太經濟社會委員會（The Economic and Social Commission for Asia and the Pacific）提出良善治理的 8 項特質包括參與、法治、透明、回應、共識導向、平等 包容、效能效率及課責。世界銀行（World Bank）每年定期發布的「全球政府治理 指標」則強調言論自由及政府誠信、政治穩定及無暴力、政府效能、法治品質、

法律規章及貪污管制等優質治理原則；亞太經濟合作會議（APEC）則於 2007 年 的經濟政策報告（Economic Policy Report）中揭示優質公共政治理包含法治化程 度、政府透明、課責、績效管理、倫理與廉潔、政府回應力、政治與官僚結構、

良善政策與制度，以及風險管理等 9 項內涵。國際會計師聯盟（International Federation of Accountants，IFAC）公共部門委員會在其「公部門治理—管理階層觀

點（Corporate Governance in the Public Sector：A Governing Body Perspective）」報 告中指出，公部門的最佳治理架構應涵蓋行為準則、組織架構與程序、控制作業 及外部報導等 4 項。臺灣公共治理研究中心（TPGRC）發布之臺灣公共治理指標 則以法治化程度、政府效能、政府回應力、透明化程度、防制貪腐、課責程度及 公共參與程度為評估面向。

此外，澳洲國家審計總署（The Australian National Audit Office）提出之政府治 理範疇包括組織管理、治理架構、組織文化、政策及策略，以及與不同利害關係 人之應對模式等，其概念強調組織在決策之形成、政策意見之建議及施政計畫之 管理與提供等，須秉持公開、課責及嚴謹的態度，善盡管理責任，其目的在於確 保組織達成整體成果，並藉此增加利害關係人對組織、決策及作業之信賴度。英 國財政部在「中央機關部會之法人治理：2011 優良實務規範」（Corporate governance in central government departments：Code of good practice 2011）中，列出有國會課責、

機關董（理）事會之角色、組成與運作效益；風險管理（重點包括董、理事會下 設稽核與風險確保委員會及依據政府內部稽核準則執行內部稽核等）、受補助機構

（如行政法人等）之治理等優良實務規範原則。該規範特別強調機關之董（理）

事會在公部門治理所扮演的角色（許哲源、郭大榮，2012）。荷蘭在財政部設置由 政府稽核政策理事會（The Government Audit Policy Directorate of the Ministry of Finance）與公司治理委員會（The Committee on Corporate Governance）合組之政 府治理工作小組，並提出政府治理報告，該報告指出公部門治理聚焦於政府利害 關係人、各種施政目標、管理者達成施政目標，以及管理者達成該等施政目標之 責任。政府存在的基礎是為了達成利害關係人所期望的政策目標，治理的目的即 在設計與設置促使政策目標得以被達成的確保機制，為了達到此項治理目的，政 府機關理應受到管理及控制，且藉由督導就其所從事之業務對利害關係人負責。

依據其所揭示的政府治理觀念，政府治理包括管理者、控制、督導及課責四大要 素（王怡心、周靜幸，2011）。

綜上所述，國際組織及各國政府所列舉之治理指標或原則雖不盡相同，惟公 部門治理之主要目標乃在於將貪腐減至最低程度，對社會需要給予足夠回應，並 使政府施政獲得民眾的信任。因此，良好的政府治理應具備透明、課責、政府效 能等基本要件。

參、內部控制為風險管理與公共治理之基石

對於政府部門而言，施政過程中往往面臨各種可能影響施政目標無法達成的 內、外在風險，透過風險評估(包括風險辨識、分析及評量)、風險處理、監督及審 查等風險管理作業，可管控影響施政目標達成之風險，降低風險發生的可能性，

並減少或避免風險衝擊所帶來的負面影響。又前述風險管理過程中，其中風險處 理階段常見的對策包括風險規避、降低、保有和轉移，機關如經評估決定降低風 險，則須採行強化內部控制等措施來因應（薛月對，2015）。故內部控制為降低施 政風險的重要工具，亦為有效管理風險之基礎，透過妥善之風險管理，可使政府 治理機制發揮功能，協助達成施政目標。此外，內部控制有助於確認所有權責機 關及機關內各階層員工之責任，為政府課責提供基礎，透過持續檢討並改善服務 公眾之作業流程，提升政府治理績效，從而達到良善公共治理的效果。因此，內 部控制乃風險管理、政府效能與公共治理之重要基石（鄭丁旺等，2012），三者間

並減少或避免風險衝擊所帶來的負面影響。又前述風險管理過程中，其中風險處 理階段常見的對策包括風險規避、降低、保有和轉移，機關如經評估決定降低風 險，則須採行強化內部控制等措施來因應（薛月對，2015）。故內部控制為降低施 政風險的重要工具，亦為有效管理風險之基礎，透過妥善之風險管理，可使政府 治理機制發揮功能，協助達成施政目標。此外，內部控制有助於確認所有權責機 關及機關內各階層員工之責任，為政府課責提供基礎，透過持續檢討並改善服務 公眾之作業流程，提升政府治理績效，從而達到良善公共治理的效果。因此，內 部控制乃風險管理、政府效能與公共治理之重要基石（鄭丁旺等，2012），三者間