第三章 研究方法
第三節 樣本選取及內部控制缺失之判斷
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
40
第三節 樣本選取及內部控制缺失之判斷6
一、內部控制缺失之判斷
自SOX302及304條款生效後,美國對於內部控制缺失之研究多從企業自行發 布之內部控制聲明書著手。中國於2006年滬深市兩交易所的《上市公司內部控制 指引》與2008年財政部等五部委聯合發布《企業內部控制基本規範》,要求上市 公司應對內部控制控制的有效性進行自我評估,揭露年度自我評估報告,明確規 範管理階層在內部控制建設的責任是全面性,不僅限於與財務報導相關的內部控 制,亦包含非財務相關的內部控制。
然而,《企業內部控制基本規範》僅規定企業應當結合內部監督情況,定期 對內部控制的有效性進行自我評價,並出具內部控制自我評價報告,而《企業內 部控制評價指引》第22條以原則性規定敘明內部控制評價報告應包含的內容7, 因此上市公司內部控制資訊揭露的品質會因公司對內部控制的態度而有所不同。
內部控制評價報告之揭露範圍包含內部控制的五大目標─合理確保企業經 營管理合法合規、資產安全、財務報告及相關資訊真實完整,提高經營效果和效 率,促進企業實現發展戰略;揭露主體為董事會,其負責內部控制的建立健全和 有效實施,監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導 企業內部控制的日常運行。
資料蒐集過程發現,部份公司的內部控制評價報告的內容並未涵蓋《企業內 部控制評價指引》所規定;報告揭露品質較為優良者,以華意壓縮機股份有限公 司(000404) 2011年度內部控制自我評價報告為範例,其架構如下:
1. 董事會聲明
其內容包含董事會對於報告真實性的聲明與責任;董事會、監事會及管理階
6 本節內容為政治大學會計系碩士班邱佩柔、許琬琪及莊璧滋共同蒐集資料,彙總整理而成。
7 《企業內部控制評價指引》第 22 條:「內部控制評價報告至少應當披露下列內容:(一)董事會 對內部控制報告真實性的聲明;(二)內部控制評價工作的總體情況;(三)內部控制評價的依據;
(四)內部控制評價的範圍;(五)內部控制評價的程序和方法;(六)內部控制缺失及其認定情況;
(七)內部控制缺失的整改情況及重大缺失擬採取的整改情況;(八)內部控制有效性結論。」
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
41
層對內部控制的職責範圍;該企業內部控制所涉及的目標。
2. 內部控制評價工作的整體情況
該公司為江西省自願試點類上市公司,自2011年起開始實施內部控制相關工 作,並成立相關領導小組和工作推進小組;該年的評價工作由企業本身進行,並 未聘請專業機構協助或聘請會計師事務所進行內部控制獨立審計。
3. 公司建立內部控制的依據
其內容包含所遵循的法規及評價原則,例如:合法性原則(法規的遵循)、全 面性原則(內部控制涵蓋的層級與範圍)、重要性原則(重要環節採取更為嚴格的控 制)、有效性原則(確保及時糾正和處理)、制衡性原則(職位設置合理,相互監督 制約)、適應性原則(視情況加以改進與完善)及成本效益原則(合理的控制成本以 達成最佳效果)。
4. 公司建立內部控制的評價範圍
其內容包含:組織架構、發展策略、人力資源、社會責任、企業文化、主要 經營業務(如:資金營運、採購、銷售、存貨、擔保、全面預算等)、訊息系統等 範圍。
5. 內部控制評價的程序和方法
其內部控制評價程序包含:制定工作方案、組成評價小組、實施現場測試、
認定控制缺失、對缺失進行改進、重大缺失向董事會提報、編制評價報告等流程。
其方法則包含訪談、專題討論、抽樣檢查、穿透測試、比較分析等。
6. 內部控制缺失及其認定情況
說明財務報告與非財務報告的缺失,如何適用定性和定量標準。
7. 內部控制缺失的修改情況及採取的修改措施
分別說明缺失的發生時間、缺失的具體描述、對於財務報告的影響、擬實施 改進措施和預計時間、責任單位及改進效果等。
8. 內部控制有效性結論
其內容包含:本年度的有效性結論與公司對內部控制提供合理的保證。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
42
本研究資料主要取自中國上市公司公告之內部控制評價報告、證監會公佈之 行政裁罰與滬深兩市對上市公司之處分,以發生於2007年至2011年的事件為樣 本,逐一判斷各事件是否與內部控制缺失有所關聯。財務資料取自CCER資料庫 之一般產業財務資料模組;公司治理及審計資料,則取自TEJ資料庫之中國公司 治理分析模組、中國審計模組。
本研究根據上述資訊,並參考中國《企業內部控制規範─基本規範》及相 關配套指引的五大目標和五大要素為主,五大目標分別為策略性目標、營運效率 及效果、保障資產安全、財務報導及法令遵循,並輔以COSO報告及企業風險管 理(ERM)整合架構的內容協助判斷,將內部控制缺失所涉及的目標、要素和缺失 類型予以分類。
本研究之目的係探討內部控制發生缺失當年對經營績效之影響,故需逐筆將 報導日期追蹤調整至事件發生年度。譬如:方達再生資源產業股份有限公司 (600656) 2007年年度報告存在虛假陳述,違反了《證券法》第六十六條的規定,
遭證監會裁罰,雖裁罰年度為2011年,但計入2007年事件發生當年度內部控制缺 失。
若有跨年度持續發生之事件,則有缺失之年度均計入。例如:濰坊亞星化學 股份有限公司(600319)於2009年1月至2010年11月,與亞星集團存在大額直接非 經營性資金往來,未進行臨時資訊揭露,且期中報告和年度報告資訊揭露存在虛 假記載及重大遺漏,違反了《證券法》第六十三條的規定,2012年遭證監會裁罰,
分別計入2009年及2010年事件發生當年度的內部控制缺失。
本研究依據事件發生類型判斷內部控制缺失之要素及涉及之目標,將事件分 為資產占用、資訊公告、董監及經理人失職、風險管控系統、公司制度與環境、
公司營運活動、後勤支援活動、子公司之控制、內部控制設計及執行等九大類,
各大類涵蓋範圍參見表3-2。
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
44
及保障資產安全目標無法達成,若違反法令則導致法令之遵循無法達成。
受影響之內部控制目標:可靠之財務報導、保障資產安全;受影響之內部控 制要素: 控制環境、控制作業、監督。
2. 資訊公告
依據《企業內部控制應用指引》規定,企業應當依照法律法規和國家統一的 會計準則制度的規定,及時對外提供財務報告。關於上市公司平時應公告申報之 重大財務業務事項主要規定於:
(1) 《中華人民共和國證券法》第三章證券交易之第三節持續資訊公開(第63條 至72條);
(2) 《上市公司資訊揭露管理辦法》為規範發行人、上市公司及其他資訊揭露義 務人的資訊揭露行為,加強資訊揭露事務管理,保護投資者合法權益,根據
《公司法》、《證券法》等法律、行政法規制定之法規。
此分類尚包括財務報導不實及財務預測重大差異,因其均屬向外部資訊使用 者隱瞞真實資訊。此類缺失主要關係公告申報、發布資訊之控制作業及對外部利 害關係人(如投資人、主管機關)溝通要素失效,導致法令遵循目標無法達成。
此類缺失由於個案狀況不相同,本研究依據個案之嚴重程度逐一判斷缺失要 素及涉及目標。
3. 董監及經理人失職
控制環境為內部控制之基礎,若無有效的內部控制環境,則不論其他四項組 成要素之品質如何,均不可能獲致有效的內部控制。控制環境深受董事會及經營 階層認知與態度之影響,上位者若沒有良好的操守與價值觀、以身作則的經營態 度,再完善之制度也可能流於形式。
本研究蒐集此分類資料大多為公司重大決策未經董事會或股東會同意,例 如:錦化化工集團氯堿股份有限公司(000818) 2008年全年對外擔保額共計 345,000,000元,其中5筆共計195,000,000元的對外擔保未經董事會審議,為資產
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
45
負債率大於70%的葫蘆島華天實業有限公司提供70,000,000萬元擔保未經股東大 會審議。此案件違反決策過程,顯示董事會無法發揮效用,控制環境、監督要素 失效,導致公司策略性目標、營運效率及效果、保障資產安全、法令遵循目標無 法達成。
受影響之內部控制目標:策略性目標、營運效率及效果、保障資產安全、
法令遵循;受影響之內部控制要素:控制環境、監督。
4. 風險管控系統
任何類型的企業,其組織內不同層級皆會遭遇來自於內部或外部的風險,經 營企業本身即是創造風險,然而企業透過風險評估,識別與實現控制目標相關的 風險,確定相應的風險承受度。企業亦應當結合不同發展階段和業務拓展情況,
持續收集與風險變化相關的資訊,進行風險識別和風險分析,及時調整風險應對 策略。
此類型的缺失主要集中在風險管控系統的建立與評估以及各層級人員缺乏 對風險控制的意識,如:精工科技(002006)2009年的內部控制評價報告指出,2008 年由於缺乏全面且常規化的風險分析和管理程式,亦無建立有效的風險評估相關 部門,導致公司的控股企業精功紹興太陽能技術有限公司年底存貨量過多,而該 存貨發生了跌價損失,對企業的影響大。
受影響之內部控制要素為風險評估、控制作業、資訊與溝通及監督。受影響 之內部控制目標為營運的效率與效果。
5. 公司制度與環境
《企業內部控制應用指引》分別以原則性規定敘述組織架構、發展策略、社 會責任及企業文化等方面應注意的風險及設計與執行,如:治理結構不完善,缺 乏良性運行機制與執行力,則可能導致企業策略無法實現,甚至經營失敗;又內 部機構權責分配不清、職能重疊,則使企業運作效率低落,經營效果不佳。因此
《企業內部控制應用指引》分別以原則性規定敘述組織架構、發展策略、社 會責任及企業文化等方面應注意的風險及設計與執行,如:治理結構不完善,缺 乏良性運行機制與執行力,則可能導致企業策略無法實現,甚至經營失敗;又內 部機構權責分配不清、職能重疊,則使企業運作效率低落,經營效果不佳。因此