稽核(Audit)一詞,源自拉丁文「Audire」,意思是「聽」(to hear),
意即稽核人員赴現場,看、聽,根據觀察的結果,提出報告(林炳滄)。
惟商業活動的廣度、及營運活動的深度,隨其活動的加劇,單憑「聽」已 未能克盡其功,市場競爭的瞬息萬變,商品種類的更替創新,交易行為、
方式與途徑的推陳出新,在在增加了勾稽、檢核的困難度,稽核的本意隨 之應予擴大為:AAAAccuracy(準確性)、UUUUnlimitation(廣泛性)、
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
D DD
Development(延伸性)、IIIIntegrality(完整性)、TTTTalisman(法寶/方法論),
以適當之稽核方法準確地掌握整個企業體之各項作業及產品的內容、品質 及其未來之發展和趨勢。
內部稽核單位之目的、職權及責任,須明訂於內部稽核規程,其內容 須符合內部稽核之定義、職業道德規範及本準則之要求。內部稽核主管須 定期檢討內部稽核規程,並將其呈報高階管理階層及董事會通過。對機構 提供「確認性服務」或「諮詢服務」之性質須於內部稽核規程明定。若確 認性服務係提供給機構外之對象,此等服務之性質亦須於內部稽核規程明 定。
為達成前述稽核目的,企業體委由獨立、客觀、及專業人員,進行各 項營運活動之確認,此等專業人員由企業長期聘任駐留企業體內者,為內 部稽核,其活動依國際內部稽核執業準則「1100 獨立性與客觀性」必需是 免予遭受干擾,獨立性係指內部稽核單位或內部稽核主管以無偏袒方式執 行內部稽核職責之能力,免於受到威脅。為達到有效執行內部稽核單位職 責所需之獨立性程度,內部稽核主管可以直接及無限制地與高階管理階層 及董事會接觸。此項需求可透過雙重之報告關係予以達成。對於獨立性之 威脅須從個別稽核人員、專案、功能性及機構別等層級,加以管理。客觀
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
作結果具有信心,且無品質上之妥協。客觀性要求內部稽核人員對於稽核 事項之判斷,不受他人影響。對於客觀性之威脅須從個別稽核人員、專案、
功能性及機構別等層級,加以管理;而非長期聘任,僅於特定需要時聘任 者,為外部稽核,可能為會計師或會計師事務所,亦可能為各類專業人員 或主管機構。其所進行者均稱為稽核活動。
依國際內部稽核協會之定義,「內部稽核是一種獨立、客觀的確認及 諮詢活動,用以增加價值及改善一個組織的營運。它協助一個組織透過一 系統化的方法,評估及改善風險管理、控制及治理過程的效果,以達成組 織的目標。」,內部稽核單位獨立性及個人客觀性之受損可能包含(但不 侷限於)個人利害衝突、範圍限制、資源受限(例如經費),以及對於紀 錄、人員及財產接觸之限制。獨立性或客觀性受損細節須揭露之適當對象,
取決於內部稽核規程記載之內部稽核單位及內部稽核主管對於高階管理階 層及董事會應負之責任,以及該項損害之性質。
如前言所述,董事會擁有企業體之「政權」,代表股東;而相對之「治 權」係指經營管理階層自身的力量。董事會授予經營管理階層充分的治權,
經營管理階層才能提高經營效率,謀取最大利益,但在授予充分治權的同 時,為避免經營管理階層擅斷妄為、損害股東權益,除政府之主管機關設 定應有其法令規定及董事會依公司章程設定固有之政策及應有之一定程序
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
外,為確保公司治理及內部控制制度之有效執行,以永續經營獲利,董事 會責成及委任內部稽核「確保內部制度得以持續有效實施」並「適時提供 各項改進建議」,此即內部稽核存在之意義。
二、內部稽核的組織架構
內部稽核的有效性,在於其持續性的監督,以確定經營管理階層是否 依公司治理的內涵有效執行內部控制,為確保內部稽核程序及作業的嚴 謹,應先建置內部稽核架構及內部稽核程序。一般而言,內部稽核架構可 依不同構面再分不同類型,謹臚列如下(連煥明,2001):
(一)組織架構
內部稽核單位之設置,原係為檢核各執行單位是否依組織之政策、決 策、目標而設立,故有對總經理負責者,亦有向董事會負責者,即如政治 上之內閣制或總統制,並未有一定論。我國主管機關為求公司之永續經營 及強化公司之專業治理,在經營權與所有權的隔離而不脫離的前提下,將 內部稽核單位設置於董事會下,獨立行使其稽核權。
1.組織位階
(1)組織位置
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
為獨立而有效評估內部控制制度之運作及營運效率之衡量,我國依 內控內稽辦法將稽核單位設置在董事會之下,期望該架構能使內部稽核 跳脫經營管理階層之節制,以超然獨立之精神,綜理稽核業務。稽核單 位除定期向董事會及監察人報告外,並能對經營管理階層適時提供改進 建議。
2.組織方式
(1)集中式
統由總公司所設置之稽核單位負責,並由總公司稽核單位編列預 算、執行稽核計劃、追蹤考核。由於資源及管理的集中,內部稽核政策 執行較直接及有效,而作業品質之效率及效果亦易趨於一致,且內部稽 核獨立於管理及營業單位之外,不受各單位之節制,可確保其獨立性與 客觀性。
(2)分散式
總公司不設置稽核單位,而僅於分公司或分區域設置稽核單位,由 各稽核單位獨立編列預算、執行稽核計劃、追蹤考核。其優點在於可依 各分公司或分區域所在或業務重心,作不同之資源分配,如以法人金融 為主要業務之單位,其內部稽核之延攬可取擁有法人金融業務背景之專
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
業人員擔任;又如金融交易及相關部門,含金融交易之前台(金融交易 部)及交易風險控管之中台(風險管理部)和負責清算交割作業之後台 (清算科),之內部稽核可延攬財務工程等之專業人員擔任內部稽核。
(3)混合式
金融控股公司或組織較為龐大之金融機構,可能因分支機構分布幅 員較為廣闊,或因特殊原因而設置有區域母行者,其內部稽核組織結 構,將無法由總公司所設置之內部稽核單位獨自所能負擔,因而以分層 負責及責任分工方式混合前二種方式,執行內部稽核作業,管理上屬地 方事務則由地方負責,惟整體稽核政策和策略則由設於總公司之稽核單 位負責。
(二)執行作業架構
金融機構之組織大致上均較其它產業之企業體為大,一般而言,絕無 法在一定的時間內完成全部或整體之內部稽核作業,而勢必需依不同之構 面,切割或規劃成不同之內部稽核範圍,俾以有系統、有組成地執行稽核 工作。
1.控制流程
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
或是「營業循環」為管理架構。如:以營業循環為帳務流程架構者,
可依九大循環為內部稽核之架構。
(2)管理流程即「管理控制」,可以是「全面品質管理(TQM)」28或「品 質管理流程」。如:以ISO作業品質管理流程為管理架構者,可循ISO 之五個文件架構為內部稽核架構,其中並含對各項流程之確認,如:
作業流程、產品流程、會計流程⋯等。
圖4 ISO 文件管理架構圖
2.風險架構
風險架構依風險分類之不同而有以下不同之方式:
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(1)依財務中介之風險(Risks of Financial Intermediation)29種類 為架構,如:
A.利率風險(Interest Rate Risk)
B.市場風險(Market Risk)
C.信用風險(Credit Risk)
D.表外風險(Off-Balance-Sheet Risk)
E.技術及作業風險(Technology and Operational Risk)
F.外匯風險(Foreign Exchange Risk)
G.國家或主權風險(Country or Sovereign Risk)
H.流動性風險(Liquidity Risk)
I.破產風險(Insolvency Risk)
J.其他風險(Other Risks and the Interaction of Risks)
(2)依2003 COSO Report之企業風險管理(ERM)架構
A.檢視策略(Strategic)、營運(Operations)、報告(Reporting)及 法令遵循(Compliance)等目標。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
B.業務及行為(Business and actions)與策略目的和目標是否吻 合。
C.ERM八要素(8 Components of the COSO ERM Framework)30範疇之 各項檢核,如:
a.內部環境(Internal Environment)-包括風險管理原則、風險 胃納、風險文化、管理哲學及營運風格、承諾及能力、組織架 構、授權及責任、人力資產政策及實務等。
b.目標設定(Objective Setting)-包括策略目標及願景、相關目 標、選用目標、風險胃納、風險容忍度等。
c.事件辨識(Event identification)-包括事件所在、影響策略 及目標之因素、方法及技巧、事件分類、風險及機會等。
d.風險評估(Risk Assessment)-包括固有風險及殘留風險
(Inherent and Residual Risk)、可能性及影響、質與量及方 法與技巧、相互關係(如:連續事件、種類、壓力測試、及各種 情況)等。
e.風險回應(Risk Response)-包括辨識風險的回應(Identify Risk esponses)、評估可能風險的回應(Evaluate Possible Risk
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
Responses)、選擇回應(Select Response)(如:管理階層的決 策)、檢視組合 (Portfolio View)(如:就整個金融機構立場觀 之、就各單位立場觀之、以固有風險和殘留風險基礎觀之)等。
f.控制活動(Control Activities)-包括風險回應的整合(直接納 入管理程序)、控制活動(含政策、程序、預防措施、偵測、手 冊及自動化)、一般控制活動(General Controls)(資訊管理、
資訊基礎設備、安全管理、軟體開發及維護)、運用控制
(Application Controls)(完整性、精確、權限及合法)、金融 機構本身特定事項。
g.資訊與溝通(Information and Communication)-包括有關資訊 (內部、外部、手冊、電腦化資料、正式及非正式、資訊系統架 構)、策略性及整合性系統、溝通(內部、外部、整個金融機構、
預期及責任、架構、傳遞的方法)等。
h.監控(Monitoring)-包括監控的持續性(即時、內建式、及日常 作業)、獨立評估(含範圍、頻率、自行查核、文件)、及呈報程 序不足(含持續性、外部單位、傳遞途徑、替代管道)等。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二節 第二節
第二節 第二節 內部稽核人員之原 內部稽核人員之原 內部稽核人員之原則 內部稽核人員之原 則 則立場 則 立場 立場 立場
第八屆海峽兩岸內部稽核交流研討會,以內部審計協助董事會確保機 構之風險管理與內部審計在公司治理之角色扮演為主軸,進行研討交流。
在各主軸之下,又分別提出台灣與大陸之不同經驗,與所有與會的兩岸專 家與學者朋友們分享。本篇報導為根據台灣內部稽核協會理事會顧問,同 時也擔任雙鴻科技股份有限公司稽核長黃慶森先生之報告內容所撰寫,期 望透過不同的實務經驗與資訊分享,協助兩岸內部稽核的專業人員,對組 織功能與自我績效有大幅度提升之功能。(劉清明,2008)
一、內部稽核與其功能構面之定義與關連
內部稽核為公司內部所設立的獨立評鑑機制,其目的在於協助董事會 及經理人檢查及覆核內部控制制度之缺失,與衡量營運之效率與效果,並
內部稽核為公司內部所設立的獨立評鑑機制,其目的在於協助董事會 及經理人檢查及覆核內部控制制度之缺失,與衡量營運之效率與效果,並