內部稽核與內部控制自行評估之概述

內部稽核屬內部控制組成要素中之一環，為監督內部控制有效運作之重要防線。國 際內部稽核協會（The Institute of InternalAuditors，以下簡稱 IIA）成立於 1941 年，為全 球性之專業機構，致力於內部稽核專業認證及相關理論與實務之推廣。為使內部稽核人 員從事稽核工作時有所遵循，IIA 協會發布各類準則、公報及釋示等專業稽核指引為「國 際專業實務架構」（International Professional Practices Framework，以下簡稱 IPPF）。中華 民國內部稽核協會成立於 1988 年，並於 1992 年以 IIA-Taiwan Chapter 名義，於 1992 年正式加入成為會員。IIA 協會於 1978 年發布「內部稽核執業準則」(Standards for the Professional Practice of Internal Auditing) 之 後 ， 陸 續 發 布 各 種 內 部 稽 核 準 則 公 報 (Statements on Internal Auditing Standards , 簡稱 SIAS)，以協助內部稽核人員確保合理 內部稽核品質。

一、內部稽核新價值之探討

IIA 協會(2013)洞見內部稽核專業必須因應瞬息萬變的環境與時代潮流，以及時滾 動修正國際專業實務架構(IPPF，2013)(林柄滄、陳錦烽譯，2014)，現今依內部稽核協 會定義「內部稽核」所評估及審核的範圍非常廣泛且複雜，是具有矯正與協調企業內部 的工作，其目的的達成有賴於管理階層如董事會及董事長、高階經理人等的支持。

馬秀如(1998)指出內部審核及內部稽核兩者工作雖然看似有重疊但範圍有所不同，

但皆與內部控制制度整體運作息息相關。審計（audit）原含有「檢查帳目」的蘊意，在 實務中，「審計」底蘊在不同的場合中，作不同的運用，而出現不同的審計樣態，蘇裕惠 (2013)。會計師依照「會計師查核簽證財務報表規則」及「一般公認審計準則」之規定，

在接受委任後，對受查企業公司進行規劃並執行查核工作，以便對受查者是否依據「一 般公認會計原則」編製年度財務報表，以及公司報表是否足以允當表達該年度之經營結 果等，出具報告表示會計師的查核意見。查核工作如使用抽查的方式獲取財務報表所列 金額及所揭露事項之查核證據，評估受查者編製財務報表時所採用的會計原則和所作的 重大會計估計，以及評估財務報表整體之表達等。Watts, R.L.& J.L.Zimmerman (1978)，

傳統審計特性，例如，屬例行性接受委任作業，委任範圍為一般性查核年度財務報表，

會計師運用傳統的審計技術、方法，蒐取查核證據，與受查者關係乃至所持心證必須抱 持「專業上懷疑」的態度等。

依 IPPF(2013)之定義，內部稽核係獨立、客觀之確認性服務及諮詢服務，用以增加

價值及改善組織營運。內部稽核協助組織透過有系統及有紀律之方法，評估及改善風險 管理、控制及治理成效，並提出適當之改善建議，以達成下列目標：

(一)提升組織之倫理與價值觀。

(二)確保組織有效之績效管理及責任歸屬。

(三)對組織內之適當對象溝通風險及控制資訊。

(四)確保董事會、外部稽核人員、內部稽核人員與管理階層間作業協調及資訊溝通。

內部稽核是內部控制執行成效的評估機制(林柄滄，2013)是一項獨立的、系統的、

客觀的活動或方法，評估及增進風險管理、控制、及管理程序的有效性，以提昇組織價 值，達成組織目標。內部稽核的範圍已從過去傳統的財務稽核擴大至管理(營運)稽核。

財務稽核定義為以過去歷史資料的比較審核，而管理稽核角度則較重視未來策略的發展，

管理稽核定義的範圍非常廣泛，包括以組織之整體及各作業層級進行評估組織內各層級 單位管理階層的規劃、管理程序、品質管控等，其目的在於協助組織各層級管理者發現 問題，並且提供未來改善的建議。

二、內部控制自行評估與內部控制三道防線之探討

內部控制自行評估(Control Self-Assessment，以下簡稱 CSA)起源於 1980 年，加拿 大天然資源公司(Gulf Canada Resources Ltd.)所設計的一種創新的內部稽核方式，企業 管理階層與員工有著共同標準範疇依據才能自行檢查內部控制設計的適當性及執行有 效性，標準範疇組成要素為用以評估內部控制制度是否有效的控制架構。

張翊(1998)、江明益(1999)、黃士銘(2011，2012)認為內部控制自行評估(CSA)係 一種以風險程度為基準的控制評估概念，從過去會計及稽核專業人士常使用的問卷是 CSA 的一種基本形式，這類傳統正規的問卷，近期成為量身定制的網路(GRID)形式或 電腦稽核軟體(ACL)，以電腦科技迅速偵測可疑作業或控制弱點，同一網路或軟體具備 連結性，可在同一企業環境中利用。然而電子特性之於員工授權或權責劃分傳統控制作 業等面向，基於行為管理科學的發展使人們意識到使用者(稽核人員或受稽核人員)參與 整個評估過程重要性，以具體的面談或讓使用者上研討會或以補充問卷或重於利用相互 交流討論的研討會，以評估整個企業運作，結構性交流(Structured Conversation)包括確 認目標，識別可能影響目標的風險因素及正確控制組成因素的程序。

依 COSO 委員會 2013 年修正版「內部控制─整合架構」(ICIF) 所提供之「評估 內部控制制度有效性之解說工具」（以下簡稱解說工具），其可協助管理階層從組織整體

層級評估內部控制組成要素及原則是否存在且持續運作，以便共同將未能達成內部控制 目標之風險降至可容忍水準，俾利評估內部控制制度之有效性。解說工具之各範本及情 境，適用各組織大小或複雜程度不同，皆可應用於評估各組成要素及其相關原則。管理 階層在判斷是否屬於內部控制缺失及其重大程度時，可參考 2013 年修正版「內部控制

─整合架構」中針對內部控制缺失之定義，即因單一組成要素或各組成要素及其相關原 則之某項缺點，而降低組織達成其目標之可能性；當內部控制缺失會嚴重降低該組織達 成其目標之可能性時，即屬於內部控制重大缺失。

IIA 協會另於 2015 年 3 月發布第 3 號全球科技稽核指引（GTAG 3）「持續性稽核」

指出，基礎或基本持續性確認架構（Continuous Assurance Framework），包括內部稽核持 續性稽核（continuous auditing）過程、以及持續性監控（continuous monitoring）之稽核 測試兩者。內部稽核具有獨立的、客觀的為有效風險管理與控制之第三道防線，應致力 於偵測組織控制架構內受關注之重要領域，並提供給組織機構最高水準之客觀確認。

公部門內部稽核相關法令之訂定，歷時甚久，2015 年 5 月修正公布施行之保險業內 部控制及稽核制度實施辦法及 2017 年 3 月修正公布施行之金融控股公司及銀行業內部 控制及稽核制度實施辦法等內容皆有指出，確保法令遵循制度及落實內部控制三道防線 機制，以維持有效之內部控制制度運作。2016 年 12 月修正政府內部控制監督作業要點 內容為落實自我監督機制，應確實辦理例行性監督、自行評估、內部稽核，以檢查內部 控制建立及執行情形。

王怡心(2015)認為企業組織應清楚定義與治理、風險和控制有關的責任，以縮小風 險與控制範圍的差距、減低不必要重覆之風險與控制相關的被指派責任。建立內控三道 防線模式:不管組織大小或複雜程度，可運用組織架構，設定組織內各單位的角色職掌 和責任，以便執行風險管理與內部控制工作。第一道防線:直線單位的管理控制、內部控 制衡量指標，歸屬營運管理，風險與責任為組織內全體員工；第二道防線:幕僚單位對財 務控制、安全管制、風險管理、品質管理、檢驗、法遵執行控管，有限的獨立性，風險 與責任為組織內基礎層級主管(二級主管)與高階管理主管(一級主管)；第三道防線:內 部稽核，IIA 協會定義為一個獨立的、客觀的確認和諮詢作業，可增加組織價值與改善 組織營運，用以評估與改善風險管理、控制與治理過程的有效性，與其他兩道防線的區 隔，是組織獨立性和客觀性的高水準，提供可靠和客觀的風險、控制、治理之確認服務 給高階管理層級主管與董事會。我國「中華民國內部稽核協會」在 2015 年 8 月刊中登 載專題報導內容「運用 COSO 於三道防線」係按五大組成要素與十七項原則分別闡明

三道防線之角色與責任，其中以「第 16 原則為持續評估內部控制制度及個別評估」，闡

資料來源:周靜幸，2015；王怡心，2015

三、小結

林寶珠(2013)在會計研究月刊一文中指出隨著企業組織現代化，現今在大數據且巨 量化的國際企業經營環境中，組織內熟悉作業流程的員工，卻可能因此發現「規避」控

制的方法，並在複雜、自動化、標準化流程中隱匿其「規避控制」行為。如 2011 年在國 際電腦稽核協會（ISACA）的持續性稽核白皮書中曾提出一個「規避控制」案例，在積 雪之雪地裡拍攝的停車場之影片，該停車場設有常見的出入卡控制通行柵欄（流程控制）， 但由於停車場周邊並未建立圍牆或籬笆（控制弱點），並且停車場外圍邊緣是駕駛者可 以輕鬆開上開下的路邊石，由車輛行經該停車場所留下的「軌跡」（交易證據）可以看 出，雖然多數車輛使用經出入卡控制通行柵欄方式通行，但也有在雪地中直接經非正常 通行路線進出停車場，迂迴行進避開出入卡控制系統，得以「免費」或「違規」停車（損 失後果）。由本例顯見，即使導入自動化的標準控制（例如：企業資源規劃系統），若缺 乏控制無效風險的認知與管理，熟悉流程控制弱點的員工，仍可發展出規避的方法，在 複雜且管理者自認為有效的標準化流程中，隱匿「規避控制」行為。

依 COSO 報告(2013)，內部控制為一個持續的任務及行動，以達到營運有效率、報 導可靠性及法令遵循等多個目標，企業組織內每一階層的人員及其行動都影響了內部控 制的成敗，由管理階層及董事會提供合理之保證；有效的內部控制將幫助企業組織達成 重要目標及維持並改善營運運作，COSO 報告(2013)係以原則性基礎(principle-based

依 COSO 報告(2013)，內部控制為一個持續的任務及行動，以達到營運有效率、報 導可靠性及法令遵循等多個目標，企業組織內每一階層的人員及其行動都影響了內部控 制的成敗，由管理階層及董事會提供合理之保證；有效的內部控制將幫助企業組織達成 重要目標及維持並改善營運運作，COSO 報告(2013)係以原則性基礎(principle-based