第二章 文獻探討
第一節 國際內部控制制度
Committee of Sponsoring Organization of the Treadway Commission, COSO)發布「內部 控制-整合架構」之報告後,方使得內部控制之架構更臻完善。由於美國為內部 控制之發源地,且本國之內部控制之發展,又多沿用或參考美國之制度,因此,
茲將美國內部控制之發展歷程,簡述如下表:
表 2-1、美國內部控制之發展歷程
時間(年) 主要內容
1940 成立內部稽核協會(Institute of Internal Auditors)研究內部控制之理論 1949 會計師協會(AICPA)提出內部控制之定義及目標
1958
審計程序委員會(Committee on Auditing Procedure)發布審計準則公報 (Statement on Auditing Procedure, SAP)第 29 號,區分內部控制為內部 會計控制及內部管理控制二種
制定懲治外國行賄法案(Foreign Corrupt Practices Acts),要求證券交易 管理委員會管轄之公司,應訂定一套妥適之內部控制制度,且應有 公司高層授權及核准,方可執行交易
1981
財務經理人協會(Financial Executive Institute)指出,內部管理控制為經 營者之責任,其包括防止舞弊及減少錯誤,以達成管理階層及員工 之目標
1985 不實財務報導委員會(National Commission on Fraudulent Financial Reporting)指出內部控制制度不佳與不實財務報導具有高度之關聯
‧
1992-1994
COSO 委員會發布「內部控制-整合架構」之報告,認為內部控制
從上表可得知,內部控制之概念自 1949 年會計師協會(AICPA)提出內部控制 之定義及目標後,其發展歷程已超過六十餘年,相關架構業臻成熟,且符合時代
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
11
依據 COSO 在 1992 年發布之「內部控制-整合架構」報告,有關內部控制 之規劃與執行係由五項關聯要素所組成,即控制環境(Control Environment)、風險 評估(Risk Assessment)、控制活動(Control Activities)、資訊與溝通(Information and Communication)及監督(Monitoring),相關內容分述如下:
圖 2-1、內部控制組成要素圖 資料來源:COSO「內部控制-整合架構」
一、控制環境
係指塑造組織文化及影響員工控制意識等相關因素。有關控制環境之影 響因素,包括董事會及管理階層之管理模式、經營風格,以及聘僱、訓 練、組織員工與權責分派之方式;董事會與監察人之領導及監督方式;
員工操守、能力展現及價值觀等等。內部控制為公司內部其他組成要素 之基礎。
控制方式可分為軟性及硬性兩種。所謂硬性控制亦稱為正式控制,如作 成書面記錄之規章辦法;軟性控制為非正式的控制,如組織成員的操守 及能力、經營者的管理哲學與經營風格等(馬秀如,2002)。
軟性控制幾乎是有關於「人」的特質,企業透過組織、規章、制度、價 值及道德體系等規範,均是要降低人為作業對風險產生之不確定影響。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
12
然而實務上,企業隨著組織規模越大,人員配置亦會越多,相對地,人 員對控制環境之影響就越大,亦會產生更多之風險。對於高風險的人、
事、物,企業經營者通常可選擇「規避風險」或「抑制風險」之控制政 策及程序,以減少風險發生的概率及損失(陳文彬,2005)。因此,多數 企業均會朝向自動化及電子化發展,並透過專業分工,以降低人員在作 業流程中所扮演角色及工作負荷。
二、風險評估
係指公司辨認其目標不能達成之內部及外部因素,並評估其影響程度及 可能性之過程,相關評估結果,可協助公司設計必要之控制作業及流程 (公開發行公司建立內部控制處理準則)。任何形式之風險評估,均應建 立可具體衡量之指標,方可有效地測度風險。
三、控制活動
係指建立完善之作業控制架構及訂定各層級之作業控制程序,以協助董 事會及管理階層確保其指令已被落實執行,包括核准、驗證、調節、覆 核、盤點、記錄、職能分工、保障資產安全,以及計畫、預算或前期績 效之比較等(公開發行公司建立內部控制處理準則)。
常見之內部控制方法主要計有九項:組織規劃控制、授權批准控制、文 件記錄控制、全面預算控制、實物保全控制、員工素質、風險防範控制、
電算控制及內部審計(郭永清,2006)。
設計控制活動之關鍵要素就是應具備通暢及有效整合之資訊系統。用來 蒐集、處理及傳遞有關企業銷售、存貨、利潤及其他營業活動的資訊。
讓企業不論那一部門發生變化,均應將資訊及時通知相關人員加以因應 及處置(陳文彬,2005)。
四、資訊與溝通
資訊係指資訊系統辨認、處理、衡量及報導之標的,包括財務或非財務 資訊之營運、財務報導或遵循法令等目標。溝通係指將資訊傳達與相關
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
13
人員知悉,包括公司的內部溝通及外部溝通。意即內部控制應具有產生 規劃及監督等所需之資訊,以及提供資訊需求者適時取得相關資訊。(公 開發行公司建立內部控制處理準則)
透過設定之資訊蒐集方式加以辨識風險,以期提升企業之經營績效及降 低營運風險。過去有關原始記錄之留存模式,主要係以人為媒介,現已 逐漸轉變成仰賴資訊系統來執行。例如,客戶於銀行之存、提款交易,
均已透過資訊系統處理,並可留存相關交易之電子檔案。
另溝通部份,雖有設定溝通之各項條件,但目前仍由人來判別溝通條件 之啟動,因此,人不執行或遺漏或不回報時,就無法達到溝通的目標(郭 永清,2006)。
五、監督
係指評估內部控制品質之過程,包括評估控制環境良窳、風險評估之及 時性與正確性、控制作業之妥適性、資訊及溝通系統之完備性等等。監 督可分為持續性監督及個別評估,前者謂營業過程中之例行性監督,後 者係由內部稽核人員或管理階層在內之其他人員進行定期或不定期之 評估(公開發行公司建立內部控制處理準則)。
所謂持續性監督係指企業建置內部控制時,將監督活動設計在制度中。
其又可分為內部及外部監督兩種。內部監督係指在日常的營運活動設計 內部控制之牽制原則,對單據辦理審查、進行表報管理或經分層負責之 權限加以控管業務…等等。外部監督意指與外部之溝通,如主管機關、
會計師、客戶、股東…等等。
另個別評估係由內部稽核單位之人員執行內部查核之活動,其執行方式 應符合主管機關之法令規定,亦可依企業之營運需求,適時改變,惟不 可抵觸法令之規範。然而受限於監督人力及監督成本,查核係以抽查為 主,尚無法進行全面性之查核,以致仍有相關風險之存在(郭永清,2006)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
14
COSO 委員會於 1992 年發布「內部控制-整合架構」,迄今已有二十多年,
用以設計、執行與監督內部控制,以及評估內部控制之有效性。惟為因應各機構 之業務及營運環境日趨複雜化,以及科技導向及全球化,COSO 委員會又於 2013 年提出新的「內部控制-整合架構」,特別強調承諾與落實,協助各機構以有效 率及效果的方式,清楚地闡述如何建立並維持內部控制制度,協助達成機構目 標。茲將新版原則彙整如下表:
表 2-2、2013 年新版架構 一、控制環境
1.機構展現對於誠信與道德價值之承諾。
2.董事會展現其獨立於管理階層,並對內部控制之建立與成效行使監督。
3.管理階層在董事會監督之下,建立達成各項目標之結構、報導體系,以及適 當權限與責任。
4.機構為配合目標而展現延攬、培育及留用適任人才之承諾。
5.機構要求各級人員在達成各項目標的過程中,應擔負其內部控制之責任。
二、風險評估
6.機構具體指明適合目標,以辨識及評估與目標相關的風險。
7.機構辨識達成其目標之風險,並分析各項風險,以作為應如何管理該等風險 之基礎。
8.機構評估達成目標之風險時,考量可能發生的舞弊。
9.機構辨識及評估可能對內部控制制度產生重大影響之各項改變。
三、控制活動
10.機構選擇及建立控制作業,用以降低達成目標之相關風險至可接受水準。
11.機構選擇及建立科技之一般控制作業,以支持目標之達成。
12.機構透過制定各項政策與程序,以建置其控制作業,政策係指建立欲達成之 項目,程序則係將政策付諸行動。
四、資訊與溝通
13.機構蒐集或產生及使用攸關、具品質資訊,以支持內部控制之持續運作。
14.機構向內部溝通支持內部控制持續運作之必要資訊,包括內部控制之目標與 責任。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
15
15.機構向外部人士溝通影響內部控制持續運作之相關事項。
五、監督
16.機構選擇、建立及執行持續性及(或)個別評估,以確定內部控制各要素是否 存在及持續運作。
17.機構評估並及時與負責採取改正行動者溝通內部控制缺失;必要時,包含高 階主管及董事會。
資料來源:內部稽核季刊,102 年 10 月,P.28
上述五個要素各有其不同之功能,內部控制之有效性並非五個要素累加的效 果,而是這些要素應相互聯繫、相互制約、相輔相成;內部控制之設計,可以根 據企業特徵及個別需求,如企業規模、產業特性、業務性質、管理水準…等,對 內部控制之要素加以有效組合,以發揮組織之最大效用。