結論

本節主要在將研究結果經過資料分析與討論後加以統整，提出重要發現做為本研究 之結論，分述如下:

一、建構教育體制內部控制三道防線模式概念

鑒於高等教育領域大數據分析的日益重要，校務研究亦為攸關重要環節，係指針對 校務所進行的研究（彭森明，2013），校務資料的蒐集、分析、報告以及根據資料所產生 的資訊解讀與策略之決定，強調應用性經驗知識（experiential knowledge）重要性與理論 知識（theoretical knowledge)認知度，以研究為本的校務行動是校務研究的核心精神（王 麗雲，2013）。

為建立教育體制之內部控制三道防線基礎架構，各校可自行參酌內部控制自評實務 指引(2011)、COSO 報告(2013)與私校內部控制訪視輔導計畫(2013-2015)，以利內部控 制滾動方式推展，遂行內部管理作業之目的，檢查及評估內部控制的妥當性與有效性，

藉以改善校務品質及根據量化評估大學經營的績效責任、表達善盡善良管理人之責任，

以達良善大學治理目標。建構教育體制內部控制三道防線，如表 5-1 所示、運用 COSO 建立內部控制有效性之評估重點及判斷項目簡表，如表 5-2 所示，運用 COSO 建構教育 體制內部控制三道防線模式的關係，如圖 5-1 所示、運用 COSO 建構教育體制內部控制 第一道防線模式的關係，如圖 5-2 所示、運用 COSO 建構教育體制內部控制第二道防線 模式的關係，如圖 5-3 所示、運用 COSO 建構教育體制內部控制第三道防線模式的關 係，如圖 5-4 所示。

表 5-1 運用 COSO 建立教育體制內部控制三道防線模式

表 5-2 運用 COSO 建立內部控制有效性之評估重點及判斷項目簡表

控制環境

風險評估

面展現為歷程（process）、風險（risk）、改善（improvement）、成果／績效（achievement/

accountability）四類模式，分述如下:

(一)歷程模式:重視行政程序導向的內部控制，強調「行政過程」（administrative process）循序規範的精準性，具有妥適性的控制作業設計規劃，謹守嚴明的規

則、制度與辦法，強調控制業務運作的品質與效果。歷程模式如彭火樹與馬秀 如(2001)、韋伯韜(2005)之研究結果。本研究提出整合內部控制三道防線架構，

第一道防線，由作業層級(二級單位)，負責有效設計與執行其承作業務；第二 道防線，由整體層級(一級單位)，在 COSO(2013)控制環境課責性原則下，經由 單向溝通頻率與品質，負責監督與控管作業層級運作情況，檢視合理的作業流 程及管理；第三道防線是內部稽核單位，藉由關鍵查核事項(Key Audit Matters；

KAM)，評估前二道防線所分層負責營運情形與落實法令遵循（Compliance，以 下簡稱法遵）管理過程，以呈現法遵控管機制。。

(二)風險控管模式:面對產業環境與經濟模式轉型、人口結構組成變遷等外在風險 因素，內在隱藏校務營運多重風險（如未落實風險與未即時陳報風險等），為身 處風險中卻無覺察到，是最大的風險。風險控管模式如吳清在與陳錦烽(2007)、

劉火欽(2011)之研究結果。在 COSO ERM 報告(2004)架構中，風險類別為環 境風險、流程風險及決策資訊風險。而風險控管模式可分為事前、事中、事後 風險評估，對策略性風險、營運風險、報導風險、遵循風險等，透過風險登錄 與預防風險情境模擬，為此模式的核心價值。本研究提出整合內部控制三道防 線架構，第一道防線，由作業層級(二級單位)負責辨識、評估以及控管其承作 業務時所面對的各式風險；第二道防線，由整體層級(由一級單位專責風險控 管)，負責蒐集、彙整與分析風險資訊，而法遵面也歸屬於整體層級，經由橫向 與縱向充分溝通，可由風險登錄，確保風險能被適當的辨認及管理；第三道防 線是內部稽核單位，藉由風險登錄與實地查核，評估前二道防線所設計之相關 程序、內部控制缺失辨識及確認前兩道防線的有效性，是否可以發揮預期之功 能，以呈現風險管理機制。。

(三)改善導向:重視學校組織自身的自我定位、目標與願景，結合校務發展計畫，以 持續有效提升營運的目標為主要衡量標準，屬於「校務發展自我檢視」的推動 歷程評比，依據內部控制設計與執行的有效性設定，以及內部控制自行評估時 達成的效果，據以評估結果是否通過。改善導向模式如鄭丁旺(2012)之研究結 果。本研究提出整合內部控制三道防線架構，第一道防線，由作業層級(二級單 位)，負責衡量與改善其承作業務；第二道防線，由整體層級(一級單位)，負責 監督與追蹤控管作業層級改善情況，經由雙向溝通頻率與品質，檢視妥適的改 善措施及落實管理；第三道防線是內部稽核單位，藉由關鍵查核事項與實地查

核，評估前二道防線所改善情形與落實管理過程，以呈現改善追蹤回饋機制。 估活動之計畫（plan）、執行（do）、檢討（check）、改善措施（act）的滾動式循環過程，

建置持續有效監督及「內部控制三道防線」分層控管機制，本研究歸納整理出有關私立

自行評估項目與參考效標，且加以闡述其內涵與最佳實務，使全校各單位能就本身單位 現況，因應個別差異之性質，提出量化數據或質性證據說明，內部控制自行評估結果認 定之標準，認可結果分為「通過」、「有條件通過」及「未通過」三種結果，內部控制自 行評估結果係根據受評單位自評表單(書面審查)以及實地訪查(內部稽核)結果，由作業 層級(二級單位)與整體層級(一級單位)之自我檢查作業，經稽核人員綜合相關資訊與實 地查核後，產出稽核報告與結果建議，經提交稽核報告陳報校長、監察人，通過報告案 後，並在年度彙報董事會備查，依 2016 年教育部獎勵私立大學校院校務發展計畫要點，

落實校務及財務資訊公開化，於學校網頁公告「內控內稽執行情形表」。

三、建構教育體制風險導向內部控制自行評估活動模式概念

本研究發現為使內部控制自行評估活動更具備有效的監督及完備的有效性風險管 理過程，在 IIA 協會(2013)發布有效風險管理與內部控制三道防線模型聲明書中指出，

以衡量、監督、控管流動性風險，適性調整組織內部控制三道防線模型，以確保每一道 防線在組織治理架構中確實發揮功能，周靜幸(2017)提出建議內部稽核作業可使用確認 地圖(IIA，2015)為輔助工具，透視極大化工作範圍及極小化重複工作，並與各單位溝通 各確認活動，建立確認地圖，益處為呈現組織所有確認活動之全貌，可利董事會及內外 部利害關係人便於執行監督管理。王怡心(2016)指出會計師查核報告重大變革為新增關 鍵查核事項(KAM)，會計師依其專業判斷，內部控制評估於查核中發現之內部控制缺失 重大查核事項及採用之因應查核程序，所做假設及運用資料，為編製可靠及透明之表達 與揭露，有效的外部財務報導之內部控制，可降低管理階層(此指校長、監察人、董事會) 行使判斷之潛在偏誤與潛在風險來源。在楊文安(1997)、許永明(2006)、簡嘉賢(2006)、

葉秀惠(2010)、鄭惠之(2011)與本研究結果發現，運用風險為導向之內部控制制度自行 評估活動過程，可參照 COSO 委員會 COSO ERM 報告(2004)中「目標-風險-控制」公式為 基礎，建立風險與控制自行評估(Risk & Control Self -Assessment，RCSA)，並以內部稽 核促導自行評估活動，運用風險控制矩陣，作為記錄風險基礎稽核作業，可檢視組織風 險容忍度最佳覆蓋範圍，及加以延續建立個人資料檔案安全維護稽核機制或緊急應變計 畫。本研究歸納整理出有關私立學校運用內部稽核促導內部控制自行評估活動模式關係，

如圖 5-5 所示。

陳送校長核閱