加拿大政府內部控制制度

壹、內部控制法令規範及權責

加拿大聯邦政府內部控制、內部稽核之主要法源為財務管理法（Financial Administration Act）與聯邦課責法（Federal Accountability Act），對部會副首長²⁵

（deputy head）之內部控制（含內部稽核）權責做出規範，並明訂由國庫委員會秘 書處（Treasury Board of Canada Secretariat，以下簡稱 TBS）整合協調推動內部控 制（含內部稽核）相關工作。TBS 自 1966 年起陸續以政策、指引或準則等行政規 章形式，提出聯邦政府內部控制（含內部稽核）之概念及作法。

25各部會首長須先當選為國會議員後才能接受加國總理之政治任命兼任首長職務，各部會內具體事 務，實質係由副首長督管，因此聯邦各部會由副首長兼任課責長(accounting officer)，就部會 內部控制(含內部稽核)向其部會首長、國庫委員會及加國總理負責。

TBS 於 2009 年 4 月發布之「內部控制政策」（Policy on Internal Control），係採 用美國 COSO 內部控制整合架構²⁶，並指出國會及民眾對聯邦政府之期待包括審慎 運用資金、維護公共資產、有效率且有效益地使用公共資源及提供可靠的報告以 提升施政之透明度與課責性，內部控制之目的即在於管控上述目標無法達成之風 險。依據上開政策之定義，加拿大聯邦政府內部控制涵蓋組織中所有層級，且以 風險為基礎。

上開政策中明訂副首長之職責包括：

一、確保部會建立、維持、監督及覆核內部控制機制以管控以下 3 大類別之風險：

(一)施政、營運及資源管理（包括保障資產安全）之效率及效益。

(二)財務報導可靠性。

(三)法規、政策及授權事項之遵循。

二、每年與財務長一同簽署「含與財務報導有關內部控制之管理責任聲明書」

（ Statement of Management Responsibility Including Internal Control over Financial Reporting）。

貳、內部控制架構及內部控制機制之設計

依 TBS 發布之「內部控制政策」，係採用美國 COSO 內部控制整合架構，另 TBS 於「內部控制政策指引」（Guideline for the Policy on Internal Control）中提出

「內部控制管理」（Internal Control Management）概念，要求部會建立內部控制管 理之架構，經首長核准後由上而下建立對內部控制管理有效性落實程度之方針。

其中內部控制管理包括下列管理活動：

一、監督部會確實對關鍵內部控制進行風險基礎之評估並定期重新評估。

二、遇有必要時進行修正。

三、透過有效的管理機制（例如建立內部控制管理之架構並定期逐級向管理者、

審計委員會及副首長報告）進行監督。

261992 年加拿大特許會計師協會（CICA）成立了控制基準委員會（The Canadian Criteria of Control Board，以下簡稱 COCO），該委員會的使命是制定發布加拿大內部控制系統設計、評估和報告的 標準。該委員會參考美國 COSO 內部控制整合架構於 1995 年提出了 COCO 內部控制架構，並訂定 控制標準提供實務操作之指導。

內部控制管理架構應包含下列要素：

一、內部控制管理之治理架構、規則及責任。

二、將內部控制之衡量納入管理者之管理績效。

三、財務長管轄之內部控制管理專案小組。

四、每年評估內部控制管理結果。

由上開 TBS 制定之規範可知，加拿大聯邦政府內部控制係以風險為導向，其 目的在於控管影響內部控制目標達成之風險，並由各部會依實務自行建構內部控 制機制。以加拿大衛生部為例，其內部控制除了以五大要素之概念分析及建立外，

亦區分為核心管理控制（Core Management Controls）、與財務報導有關之內部控制

（Internal Control over Financial Reporting）、財務管理控制（Financial Management Controls）及資訊系統一般控制（IT General Control）四大領域（如圖 3-3，引自何 永智等，2014）。

圖 3-3 加拿大政府衛生部內部控制制度

資料來源：Health Canada （2012）, Health Canada System of Internal Control.（簡報資料）

參、內部控制監督機制

一、內部控制自行評估

聯邦政府內部控制自行評估作業亦以風險為基礎（risk-based approach）來進 行。各部會依實務自行製作其風險圖像²⁷，並劃分風險等級，再依據風險等級設定 控制領域之控制項目自行評估之頻率及其他注意事項，據以擬訂橫跨數年度之評 估計畫。進行完整內部控制自行評估須耗時數年，基於各部會規模、複雜度、風 險、負擔能力及授權程度等有所差異，完成完整評估之時間不同。TBS 依內部控 制推動情形將部會分門別類，分別訂出推動進度及揭露要求，且無論其進度為何，

皆須於聲明書附註中明確揭露其評估進度、所發現缺失及其改善措施，並提供後 續年度評估階段及進度之規劃（何永智等，2014）。

為推動內部控制自行評估，聯邦政府將評估作業分為設計有效性、執行有效 性及持續監督三階段，針對未完成完整評估之部會，要求就各階段之評估狀況及 所 發 現 缺 失 之 改 善 情 形 於 附 註 中 聲 明 。 其 自 行 評 估 之 項 目 除 作 業 流 程 控 制

（Business Cycle Controls，近似於我國之作業層級自行評估）外，尚包括整體層級 控制（Entity Level Controls，ELC）及資訊系統一般控制（IT General Controls）（何 永智等，2014）。

二、內部稽核

加拿大聯邦政府之內部稽核由 TBS 下設之主計總處負責統合推動及督導各項 工作，包括：提供政策、指引、準則與實務等指導，監督考評各部會績效，訂定 政府整體之風險基礎內部稽核計畫，對部會共通性風險事項實施整體稽核，以及 協助內部稽核人力之專業培訓發展等。

聯邦部會按其規模大小與風險屬性等區分為大、小部會。²⁸其中大部會係個別 設置內部稽核單位及審計委員會（Departmental Audit Committee，DAC）²⁹，稽核 結果由內部稽核主管直接向部會副首長及部會稽核委員會報告；副首長應確保內

27本部分內容詳見 Health Canada (2012), Risk Based Monitoring Strategy to Address Requirements of Policy on Internal Control。該部之風險圖像與我國依「影響程度」及「發 生機率」設定「風險分布」之作法不同，係以「固有風險」及「控制風險」設定「風險等級」。

28國庫委員會以每年預算 3 億元為基準將各部會區分為大部會及小部會。

29該委員會除由部會副首長等擔任委員外，尚包括 3 至 4 位獨立委員是由部會以外人士擔任，獨立 委員係由主計總處針對各部會屬性推薦數名人選，委員及主席名單須經國庫委員會核定。

部稽核報告等依限送交主計總處，由主計總處監督其遵循情況並定期向 TBS 通 報。小部會可自行設置內部稽核單位或稽核委員會，亦可由主計總處針對核心控 制 辦 理 稽 核 或 由 統 籌 組 設 之 小 部 會 稽 核 委 員 會 （ Small Department Audit Committee，SDAC）³⁰辦理整體稽核，稽核結果須向其副首長與審計委員會報告。

主計總處發現某個部會未遵循內部稽核政策、指引與準則時，可要求該部會副首 長進行業務檢查，並於採行改善計畫後向主計總處提交改善成果報告。針對上開 未遵循內部稽核政策、指引與準則之部會或其改善計畫未能辦理完成者，主計總 處可建議國庫委員會限制該部會的經費支用或採取其他懲處措施等（盧惠伶，

2013）。

加拿大聯邦政府係導入國際內部稽核協會之國際專業實務架構（IPPF）訂定

「內部稽核準則」，供部會自訂內部稽核作業手冊等規範，以利遵循內部稽核政 策、指引與準則。該準則明定內部稽核工作包括覆核內部控制制度、績效稽核、

財務稽核、遵循稽核及特殊專案稽核等。各部會內部稽核作業手冊之內容，除了 敘明職業道德規範外，亦包括內部稽核規劃、執行與報告各階段等應辦事項。

各部會每年訂定風險基礎內部稽核計畫，以風險評估結果為基礎排定內部稽 核工作之優先順位；且每年應製作內部稽核報告。前開計畫或報告完成後，均先 提報部會內部跨單位主管會議討論，再提請審計委員會提供諮詢建議，最終由部 會副首長核定。內部稽核報告中針對問題根源提供策略性具體建議，以協助機關 改善效率、效果及達成目標，不侷限或著重法規遵循性之稽核，同時對於令人滿 意之績效事蹟給予肯定。除了稽核工作外，內部稽核人員在不致承擔管理者責任 之情況下，亦可協助機關扮演諮商、顧問的角色，例如複核內部控制自行評估之 結果，為該制度在設計面及執行面之有效程度等提出整體意見等（盧惠伶，2013）。

另自 2006 年「聯邦課責法」立法後，加拿大聯邦政府基於內部控制（含內部 稽核）之良窳為影響機關施政績效之關鍵，TBS 將聯邦各部會內部稽核實施狀況 納入「管理課責架構」統籌辦理施政績效評估作業，考核指標包括內部稽核報告 品質符合內部稽核準則之要求、落實風險基礎內部稽核工作（內部稽核涵括高風

30該委員會亦包括獨立委員，係由主計總處、國庫委員會秘書處與小部會副首長共同商議決定人 選，委員及主席名單須經國庫委員會核定。

險及重要事項）及管理者改善計畫能落實執行等（盧惠伶，2013）。

肆、內部控制聲明書簽署機制

美國沙賓法案（Sarbanes-Oxley Act）要求公開發行公司特別對與財務報導有 關內部控制之有效性提供確認聲明。加拿大聯邦政府參考沙賓法案之精神，僅要 求由副首長及財務長簽署「包含與財務報導有關內部控制之管理責任聲明書」，故 聯邦政府之內部控制雖涵蓋財務與非財務層面，但聲明側重於與財務報導有關之 內部控制。加拿大聯邦政府採逐步漸進（phased-in）方式推動聲明書簽署作業，將 部會分為四大群組，分別提供指引及聲明書範例，並於內部控制政策指引要求大 部會於 2013-14 財政年度³¹起將內部控制管理情形納入「包含與財務報導有關內部 控制之管理責任聲明書」之附錄加以揭露，規模較小之部會僅就財務內部控制情 形於上開管理責任聲明書之附錄揭露，又各部會須於聲明書附註中明確揭露內部 控制自行評估進度、所發現缺失及其改善措施（何永智等，2014）。上開聲明書與

美國沙賓法案（Sarbanes-Oxley Act）要求公開發行公司特別對與財務報導有 關內部控制之有效性提供確認聲明。加拿大聯邦政府參考沙賓法案之精神，僅要 求由副首長及財務長簽署「包含與財務報導有關內部控制之管理責任聲明書」，故 聯邦政府之內部控制雖涵蓋財務與非財務層面，但聲明側重於與財務報導有關之 內部控制。加拿大聯邦政府採逐步漸進（phased-in）方式推動聲明書簽署作業，將 部會分為四大群組，分別提供指引及聲明書範例，並於內部控制政策指引要求大 部會於 2013-14 財政年度³¹起將內部控制管理情形納入「包含與財務報導有關內部 控制之管理責任聲明書」之附錄加以揭露，規模較小之部會僅就財務內部控制情 形於上開管理責任聲明書之附錄揭露，又各部會須於聲明書附註中明確揭露內部 控制自行評估進度、所發現缺失及其改善措施（何永智等，2014）。上開聲明書與