內部稽核規範

關於內部稽核，依財團法人中華民國會計研究發展基金會審計準則委員會公 布之審計準則公報第二十五號第四條：「內部稽核係內部控制之一環，目的在協助 管理階層善盡其責任。內部稽核之功能有：1. 檢查保護資產安全之措施是否適當。

2. 檢查會計及業務資訊是否可靠及完整。3. 檢查各項資源之運用是否有效率。4.

檢查各項營運活動是否按照既定計畫執行，並達成預期目標。5. 調查內部控制是 否持續有效運作，並提出改善之建議。⁴²⁶

稽核人員由公司(總經理以上)之最高主管指揮監督，遇有疑問時，應於獲得解 釋並瞭解後始得提出處理意見；如發現員工有不當情事，除與其直屬主管聯繫外，

應即向公司最高主管報告，不得直接處理；執行工作時，得調閱一切檔案；稽核 人員應定期稽核並於每次查核完畢作成稽核報告呈報缺失及改進建議等，並繼續

424 鄭明裕，同前註，頁 50。

425 證券商內部控制制度標準規範第 11 條。

426 證券商內部控制制度標準規範第 11 條。

112

追蹤改進情形。⁴²⁷

關於內部稽核法令規定立意雖佳，然大部分證券業稽核單位一般僅依標準規 範作最低標準之查核，最多也只依受處分經驗強化或增加某部份之查核項目，再 就執行負擔言，通常一位總公司必須負責述業務單位之查核，外加每月出差以瞭 解各分公司業務狀況。故亦難以要求稽核人員深入瞭解其轄下業務之所有內外規 範及運作之全貌。⁴²⁸對此，僅能依賴內部稽核主管要求稽核人員盡量掌握管轄部 門之業務全貌，非僅侷限於查核明細表所列之點與工作底稿之樣本抽查數。⁴²⁹其 主要之任務應著重於確實發現問題以提醒業務單位可能之風險，幫助其改善。

第五款 銀行內部控制制度法規

依據公開發行公司建立內部控制制度處理準則第二條規定，銀行為金融事業，

應依其性質訂定內部控制制度。銀行法第四十五條之一授權主管機關訂銀行內部 控制及稽核制度實施辦法，規定了銀行內部控制應該設立的內部控制要點及內容。

430該實施辦法於 2001 年訂定與實施，全文共 30 條，內容以 COSO 委員會在 1992 年發布「內部控制整體架構」及 1997 年實施的公開發行公司建立內部控制制度實 施要點為藍本。2005 年，為了配合行政院金融監督管理委員會成立、落實執行公 開發行公司年度稽核計畫機制，並且參考美國沙賓法案第 404 條與會計監督委員 會(PCAOB)發布之審計準則第二號公報規定，條文全部修正並且增加至 42 條。

銀行內部控制及稽核制度實施辦法開宗明義即指出銀行應建立內部控制制度

427 證券商內部控制制度標準規範第 13 條。

428 鄭明裕，前揭註 421，頁 51。

429 同前註。

430 銀行法第 45 條之 1「銀行應建立內部控制及稽核制度；其目的、原則、政策、作業程序、內部 稽核人員應具備之資格條件、委託會計師辦理內部控制查核之範圍及其他應遵行事項之辦法，由主

管機關定之。（第 1 項）銀行對資產品質之評估、損失準備之提列、逾期放款催收款之清理及呆帳

之轉銷，應建立內部處理制度及程序；其辦法，由主管機關定之。銀行作業委託他人處理者，其對 委託事項範圍、客戶權益保障、風險管理及內部控制原則，應訂定內部作業制度及程序；其辦法，

由主管機關定之。（第 2 項）」

113

及內部稽核制度，並確保該制度得以持續有效執行，以促進銀行健全發展，維護 金融安定。⁴³¹其目的在於促進銀行健全經營，並應由其董 (理) 事會、管理階層及 所有從業人員共同遵行，以合理確保達成營運效果、可靠財報及法令遵循目標。

該準則說明內部控制制度原則與規範、遵守法令主管制度、風險管理機制、內部 稽核制度及查核、會計師之查核、追蹤考核及申報及通報等，並且導入美國沙賓 法案第 404 條款與企業風險管理的觀念上。

2007 年 9 月 6 日的修訂了第 25 條及第 32 條，⁴³²係考量銀行年度財務報表由 會計師辦理查核簽證時，對銀行申報主管機關報表資料、內部控制制度及遵守法 令主管制度執行情形、備抵呆帳提列政策之妥適性表示意見。銀行總經理應督導 各單位審慎評估及檢討內部控制制度執行情形，由董(理)事長、總經理、總稽核及 總機構遵守法令主管聯名出具內部控制制度聲明書，並提報董(理)事會通過，但銀 行被接管期間，接管人已有效監督及執行內部控制制度，毋須再藉由會計師或出 具內部控制制度聲明書，以瞭解銀行的內控執行的情況。

第六款 小結

由前所述可見無論是何層次之內部控制規範所涵蓋該制度之定義、目的、內 部稽核計畫及稽核報告、追蹤之規定均相當一致，此外亦要求內部稽核人員應有 之超然獨立、公正客觀之立場態度，且要求其應持續進修、參加主管機關舉辦之 內部稽核講習，以提升稽核之能力和品質。本文建議如下：

1. 應轉為風險導向內部稽核制度

現階段採用者係以週期性與例行性審計計畫以確保控制質量，對此，有實務 界人士認為傳統內部稽核方式可能導致效能不合時宜，例如以傳統稽核方法所發

431 銀行內部控制及稽核制度實施辦法第 2 條。

432 中華民國九十六年年九月六日行政院金融監督管理委員會金管銀(二)字第 09620006295 號令修 正發布第 25 條、第 32 條條文。

114

現之問題並未如理想中被企業優先處理，且也不足以確保問題被解決，⁴³³以我國 而言，雖已漸漸走向風險導向之內稽制度，但仍不脫以每日、月、週、季、年為 週期之方式。

面對全球性資本市場下企業公司治理、內控內稽已成為提供競爭優勢之條件 的趨勢，實可考慮採用以風險為導向之策略，超越原本的風險與控制概念，此一 新概念意謂針對審計、風險評估與風險管理採用全面性且概念性之方式，使稽核 時必須瞭解真實風險之全貌，以提升整個金融機構之最大效率，就此，稽核人員 必須對業務風險與風險承受有全盤理解，熟悉各項風險評估技術，具有模型運算 之專業知識，才能以積極之方式查核金融機構之風管程序和資本相關作業是否健 全，⁴³⁴進而使風險評估與風險管理成為利害關係人考慮之要素提升內控之價值。⁴³⁵ 此外，在發展趨勢上，亦應注意到美國已漸漸從風險基礎的審計計畫進展到確保 風險管理效能之控制保證，以及，為降低成本可考慮將稽核委外以降低成本並加 強專業度。

2. 加強政府與業界溝通

另外，則是政府與金融機構有必要加強溝通之問題，對此建議將來證期局與 證券周邊單位於訂定或修訂相關條文時，能先透過與證券工會稽核委原會之平台 與業者交換意見，蓋依照行政程序法規定以預告僅接受單方面地意見表達，並無 法達到使實務與法規接軌之目標，透過雙向溝通可避免法規文義不夠明確造成其 期待與業者執行間產生落差。

433 方燕玲，從金融業巨額損失台內部稽核的發展，證券櫃檯第 134 期，頁 43，2008 年 4 月。

434 周大慶，從新巴賽爾資本協定的角度看公司治理、稽核與法律遵循，證券公會季刊，頁 16，2007 年 10 月。

435 陳麗莉，國內證券業內部控制與內部稽核概論，證券櫃檯第 134 期，頁 31-32，2008 年 4 月。

115

第三項 美國法之參考

第一款 證券交易法 Rule 13a-15(c)

證交法 Rule 13a-15(c) 規定每個依 13(a) or 15(d)必須備製年報之發行人的經理 階層都必須在每個會計年度結束前與主要經理人與主要財務人員評價公司針對財 務報表之內部控制有效性，且該架構係由遵循正當程序之團體或組織所通過。⁴³⁶雖 然評斷內控有效性的標準有很多種類，不過證管會對此有作出解釋供參考。⁴³⁷

由於 COSO 之內部控制報告廣為世界各國所採納，證管會亦依其對內部控制 之規範作出實施 404 規則之修法，因此，在 Rule 13a-15(f)將 ICFR 之定義增訂為：

一個確保財報可靠性之內部程序這個程序包括以下政策 1. 對財產之交易與處分作 出紀錄；2. 依照 GAAP 對財報所需之交易保留記錄；3. 確保財產之使用處分等均 經過授權⁴³⁸。由於 404 號規則僅著眼於財務報告，故這些要求並未如同 COSO ICFR 所定義的範圍那麼大，證管會並未關注作業程序之有效性與效率和法令遵循。而 沙氏法案中亦體現了 COSO 兩大要素—控制環境與控制行為，即重視資深經理人 對財務報告管理之態度價值與哲學，後者為維持財報可靠性採取之政策程序與系 統。

第二款 沙氏法案

沙氏法案係因安隆、世界通訊及其他許多涉及證券醜聞之公司行為嚴重減損 美國證券法之核心規範故而制定，如反詐欺條款與揭露義務。這些公司的經理人

436 17 C.F.R. § 240.13a-15(c) (2006). ” The framework on which management's evaluation of the issuer's internal control over financial reporting is based must be a suitable, recognized control framework that is established by a body or group that has followed due-process procedures, including the broad distribution of the framework for public comment.”

437 SEC, Commission Guidance Regarding Management's Report On Internal Control Over Financial Reporting Under Section 13(A) Or 15(D) Of The Securities Exchange Act Of 1934, Release No. 34- 55929 (June 20, 2007).

438 17 C.F.R. § 240.13a-15 (2006).

116

與財務長並未對財報正確性投注心力，對此，國會制訂了三方面的規定以重拾投 資人信心。其中第 302 條要求總經理與財務長保證公司財務報告中並無重大不實 或隱匿，且公正地表現公司財務狀況。⁴³⁹此外經理人必須負責內部控制事務、設 計該制度確保重大消息會被發現、並評估其有效性並表現在報表中以及討論制度 之改進。

如果經理人故意發布不實財報第 906 條將加諸其刑事責任。⁴⁴⁰而第 404 條要

如果經理人故意發布不實財報第 906 條將加諸其刑事責任。⁴⁴⁰而第 404 條要