政府內部控制有效性之評估

國際最高審計機關組織（The International Organization of Supreme Audit Institutions，以下簡稱INTOSAI）於 2001 年提出INTOSAI GOV 9120「內部控制：

政府課責基礎之整體性架構」，其目的在於協助管理階層瞭解機關是否採取適當 措施，以確保其有效執行內部控制，並分別針對管理階層內部控制角色與責任、

稽核人員角色與責任、一般內部控制作業等，提供整體性架構（如圖 3-1 所示）。

該份指引強調管理階層應瞭解穩固的內部控制架構，是機關控制其目標、作業與 資源之基石。此外，管理階層宜在其內部控制與自行評估架構內，展現對內部稽 核之支持。

COSO「內部控制—整合架構」亦指出，內部控制由控制環境、風險評估、

控制作業、資訊與溝通、監督等五個相互關聯的要素組成，其中的監督係指自行 評估內部控制制度品質的過程，可分為持續性監督及個別監督兩種。持續性監督 是營運過程中的例行性監督，個別監督則大都由內部稽核人員進行評估，因此，

內部稽核對於組織內部控制的有效運作，扮演重要的角色。

美國聯邦政府提及各部會內部控制制度之執行與評估作業，應符合全國績效 評估報告之建議，但未明定如何搭配「政府績效與成果法」辦理績效衡量工作。

布希總統雖在 2001 年 1 月就職以後，推動「總統管理議程」，將各部會內部控制 制度聲明書所載「有無重複發生內部控制重大缺失或嚴重違反法令規定，致損及 財務報導或財務管理制度相關內部控制有效性」納入「總統管理議程」之「強化 財務管理」考核指標，並透過綠、黃、紅三色燈號呈現各部會實施成果，惟其作 法似側重防弊，未考量納入興利之評估標準。

26

圖 3-1 INTOSAI GOV 9120「內部控制：政府課責基礎之整體性架構」

一、 內部控制自行評估過程及標準

內部控制之建立及有效執行，管理階層責無旁貸。但內部控制制度之設計是 否適當，執行是否落實，應進行持續監督及定期評估。如圖 3-1 所示，管理階層 應持續監督內部控制作業之運作，並於必要時予以修正；內部稽核則定期評估內 部控制作業的有效性，並針對內部控制缺失提出改善建議。實務上，有些公司把 控制及風險之評估交由各營運單位管理階層自行負責，稱為「內部控制自行評估」

（control self-assessment，簡稱 CSA）。自 1990 年代中期起，CSA 實務已受到重 視，並逐漸被推廣。我國主管機關則將此項過程稱為「內部控制自行評估」。

依據我國「內部控制處理準則」，公開發行公司應自行評估其內部控制制度。

內部控制自行評估之目的，在於落實公司自我監督的機制、及時因應環境的改變，

以調整內部控制制度之設計及執行，並提昇內部稽核部門的評估品質及效率。內 部控制自行評估應涵蓋公司各類內部控制制度之設計及執行，並應於內部控制制 度訂定自行評估作業之程序及方法。公開發行公司決定自行評估作業程序及方法

27

時，應以風險評估的結果為基礎，並至少包含（1）確定應進行測試之控制作業，

（2）確認應納入自行評估之營運單位，（3）評估各項控制作業設計之有效性，

以及（4） 評估各項控制作業執行之有效性。換言之，內部控制自行評估應同時 涵蓋內部控制設計及執行之有效性。

首次辦理股票公開發行及公開發行公司應每年自行評估內部控制制度設計 及執行的有效性。公開發行公司自行評估內部控制制度之結果，若其內部控制制 度能合理確保：（1）董事會及總經理知悉營運之效果及效率目標達成程度，（2）

財務報導係屬可靠，以及（3）已遵循相關法令，則為有效之內部控制制度；否 則為有重大缺失之內部控制制度。公司董事會應根據內部控制自行評估結果，通 過依規定格式作成的內部控制制度聲明書，於每會計年度終了後四個月內，在金 管會指定網站辦理公告申報，並依規定刊登於年報、股票公開發行說明書及公開 說明書。

（一）內部控制自行評估的性質

內部控制自行評估（CSA）類似於品質控制稽核，係由各營運單位組成工作 團隊，定期開會，坦誠溝通，找出作業流程或控制之問題所在，並提出改善之行 動方案。換言之，CSA 透過集思廣益的方式，針對企業經營流程、控制風險及 控制作業進行瞭解及評估，並進行必要的修正。因此，CSA 的有效設計及執行，

將有助於各營運單位之風險管理及流程改善。

CSA 雖屬於一種優良的管理實務，但其缺乏內部稽核所需之獨立性與客觀 性，不宜用於取代內部稽核之定期評估。近年來，不少組織進行人員縮編，中階 管理階層減少，管理控制範圍加大，可能影響其持續監督內部控制作業的能力及 效果，因此，內部稽核的功能反而益形重要。

一般而言，CSA 著重於利用相互交流的研討會形式，評估整個企業的運作—

包括確認目標、辨認可能的影響因素（威脅或風險）及其影響程度，以及如何有 效控制這些風險的程序。此種過程又稱為“結構性交談”（structured conversations）。

因此，有效的內部控制自行評估至少應考量：（1）如何引進 CSA、CSA 研討會 舉辦頻率，以及由誰主持；（2）高階管理階層是否支持、引導及瞭解 CSA；（3）

是否正式的分析及評估風險；（4）如何尋找及培養良好的 CSA 研討會主持人；（5）

28

如何促進各單位 CSA 成員坦誠討論及揭露風險及相關內部控制的優缺點；（6）

各單位明確界定自行評估所欲達成的結果，並取得共識；以及（7）如何有效的 報告及追蹤 CSA 結果，並取得參與人員的回饋。

（二）內部控制自行評估過程及效益 1. CSA 研討會

如前所述，CSA 通常透過研討會，由與會人員對控制與風險問題進行坦承 的討論。理想的 CSA 研討會通常有 8 到 15 位來自各部門的幹部參與。為使研討 會順利進行，宜有兩位主持人（稱為促進者或引導人），其中一位熟悉研討單位 的營運作業流程，以確保整個討論不離題，並兼任記錄人員。另一位是研討會的 靈魂人物，負責掌握整個研討會的進行，其對於 CSA 必須具有深厚的知識。內 部稽核人員通常會派代表參與，並引導如何做好控制評估。例如稽核人員可協助 說明內部控制之目的及其與該單位營運活動之關係。CSA 參與者透過討論，可 進一步瞭解各單位之間的互動，學習更多的相關流程，並將流程改善及內部控制 之修正一併列入行動方案。

CSA 研討會與會人員參與整個評估過程，有助於其形成認同感，促使與會 人員認真執行其職責，並與其他部門主管合作。稽核人員亦可透過 CSA 與機構 內的主要幹部溝通，並由與會人員共同檢視及討論主要的營運程序。此外，CSA 有助於蒐集傳統稽核程序中不易取得的「柔性控制」（soft control）（例如：員工 的正直、品德及相互信任的程度）資料。

一般而言，內部控制自行評估的成效，取決於 CSA 研討會的妥善安排與執 行。有效的 CSA 研討會通常包含（1）取得管理階層的承諾與支持，以得到各單 位管理階層對 CSA 的認知、承諾與支持；（2）適當的規劃：包括制定目標、準 備研討會問題、遴選及通知參與人員、決定日期、安排場所及設備，編製研討會 資料、電子投票機制等；（3）進行研討會：通常每次 4-8 小時，以不超過二天為 原則，並使參與人員均能公開、坦誠及彼此信任，以收集思廣益之效；（4）報告 研討結果：彙整討論結果，送交參與人員複核，並分析問題及改善方案，提出報 告初稿，連同相關建議及工作底稿，送交單位管理階層；以及（5）提出行動計 畫：協助管理階層針對研討會報告所提出之問題，決定其優先順序，擬訂改善方

29

案，並將正式的報告分送所有的營運單位管理階層及 CSA 參與人員。

上述的 CSA 研討會若能有效實施，可產生多種效益。例如，（1）各營運單 位更為瞭解內部控制之目的及作法；（2） 促使管理階層主動負責維護良好之控 制環境；（3）及時辨認及解決流程改善之問題，以及（4）可作為內部稽核人員 定期評估內部控制之重要依據。換言之，CSA 提供一個從基層往上的溝通資訊 管道，其能協助高階管理階層設計及執行有效率及效果的營運系統，加強內部 控制以降低營運風險，並激發所有相關人員坦誠合作的精神及利害與共的意 識。

2. CSA 問卷

內部控制自行評估除利用前述研討會方式進行外，也可採用問卷調查。問卷 調查又可分為二種：（1）一般的問卷設計，填答“是”、“否”，或“滿意”、“不滿意”

的程度（例如分為 1 至 5 分尺度），以及（2）風險/控制矩陣（risk/control matrix），

列出目的、風險及相關控制，並以文字敘述方式評估其有效性。

設計 CSA 問卷時，必須慎重，並提供明確的指示，以便於填答者回答。此 外，問卷問題的措詞應明確，避免語意不清。必要時，應由專家參與解釋問卷回 收的結果。

CSA 問卷調查與研討會各有其優缺點。前者之優點在於不具名（可以放心 填答）、有效率及避免“團體思考”，其缺點為對問題的探討不夠深入，且易流於 形式。後者之優點則為集思廣益，增進公開溝通及每一位參與者幫助研擬行動方 案；缺點則為需要投入較多的人力物力。

（三）內部控制自行評估之標準

企業進行內部控制制度設計及執行有效性之評估時，應建立相關的標準。我 國主管機關參考 COSO「內部控制—整合架構」之相關指引，針對股票公開發行

企業進行內部控制制度設計及執行有效性之評估時，應建立相關的標準。我 國主管機關參考 COSO「內部控制—整合架構」之相關指引，針對股票公開發行