美國 COSO Report 之內部控制制度

1985 年 ， 美 國 全 國 不 實 財 務 報 導 委 員 會 （ National Commission on Fraudulent Financial Reporting）成立，專門探討蓄意不實財務報導有關的問題。

因其主席為前證管會（SEC）主委 Mr. Treadway，故又稱為 Treadway Commission。

此委員會的贊助機構為美國會計師公會（American Institute of Certified Public Accountants, AICPA）、美國會計協會（American Accounting Association）、

內部稽核協會（The Institute of Internal Auditors）、管理主計人員協會（Institute of Management Accountants），及財務主管協會（Financial Executive Institute）。

這五個機構雖無公權力，但已具權威性及代表性。Treadway 委員會於 1987 年 提出報告，針對許多問題均做成建議，但對造成不實財務報導的原因之一「內 部控制不良」則未提出結論，只建議由其贊助機構再組成一個委員會，即 COSO 委員會 (Committee of Sponsoring Organizations of the Treadway Commission)，

專門研究與內部控制有關的問題。

COSO 委員會於 1992 年提出報告：內部控制－整體架構 (Internal Control

－ Integrated Framework)，內容共分四冊，即經營負責人要覽（Executive Summary）、架構（Framework）、對外報告（Reporting to External Parties），

及評估工具（Evaluation Tools）。本以為已大功告成，然美國審計總署（General Accounting Office, GAO）認為 COSO 報告中之「對外報告」冊並未納入保障

34

資產安全之內部控制，比一般人認知的範圍還少，故拒絕接受該報告。COSO 委員會另於 1994 年提出「對外報告」的補篇，納入部分與保障資產安全有關 之內部控制。至此，美國審計總署才肯接受 COSO 報告，而內部控制之整體 架構方告定案。

依 COSO 報告之定義，內部控制為一過程（process），這個過程受企業 的董事會、管理階層，及其他人影響。設計這個過程，係在為達成三大目標 提供合理的保證。三大目標即：

1. 營運之效果及效率（或行政效能）

2. 財務報導之可靠性 3. 相關法令之遵循

同時內部控制包括五個相互關連的組成要素，即：

1. 控制環境 2. 風險評估 3. 控制活動 4. 資訊與溝通 5. 監督

這些組成要素之間因具有協力的作用及關連性，於是形成一個整合的系 統，這個系統可對改變中的環境作出動態的反應。內部控制的組成要素是組 織中各單位所欲奮力達成目標所必備的。每一個組成要素皆適用於所有的目 標類別，例如，資訊與溝通要素即為達成單位營運、可靠財務報導，及遵循 相關法令所必需。而每一個目標之達成，也需適用所有的組成要素，例如，

營運之效果及效率目標之達成，即需借助五大要素之協力運作，方可竟其功。

35

內部控制三大目標及五大要素之「縱橫」整合，即構成一完整的「立方體」，

足以應付動態環境的變化。

其運作及關聯性如圖 2.1 所示。

由上圖顯示，任一單位欲達成內部控制的三大目標，需透過五大要素之 運作，而每一要素也要兼顧三大目標之達成。

值得注意的是，內部控制僅提供目標達成的「合理保證」，無法提供「絕 對保證」。所有內部控制皆有其先天的限制。這些限制包括：人在決策過程 中可能發生的判斷錯誤、控制設計之成本與效益間有取捨的問題，以及人的 無心疏忽而使內部控制制度失效等。此外，內部控制還可能因為二人或二人 以上之串謀而被避過，管理階層亦可能有心踰越而讓內部控制制度束之高 閣。

作業活動２作業活動１

目標

組成要素

作業活動 法令遵詢

財務報導

營運效果

監督 資訊與溝通

控制作業 風險評估 控制環境

圖2.1 內部控制組成要素、目標及作業活動之關係圖（資料來源：行政院主計處九十 四年度委託研究強化政府內部控制機制與內部審核之研究）

36

美國審計總署（GAO）於 1999 年 11 月修正其聯邦政府內部控制準則

（Standards for Internal Control in the Federal Government），主要參考 COSO 報告，並考量資訊科技進步之事實及政府績效提升之迫切性。其對內部控制 之定義為：「組織管理階層為合理確保達成下列目標所建構之整合性架構：

營運之效果及效率，財務報導之可靠，及相關法令之遵循。」COSO 委員會 解釋內部控制，認為內部控制知識是內部審計中最基本的。然而，內部控制 不是由審計人員負責，而是由管理層負責。審計人員負責為管理層提供有關 內部控制如何運行的資訊。

美國政府在內控制度上較重視撥款之監督，1939 年羅斯福總統考量為藉 由對預算的控制，來直接監督行政機關之效能，將由原隸屬財政部之預算局 改隸總統辦公室，於 1970 年更名為預算管理局（Office of Management and Budget, OMB），負責各機關預算分配、財務報告，以及財政分析工作；但對 國家財務活動則設置獨立之審計總署（GAO）以執行監督功能。1978 年所訂 之檢核長法（Inspector General Act），規定檢核長為內部稽核與政風調查單位，

負有責任督促部會首長改善管理制度。

美國政府為增進其機關之作業效能在 1990 年代通過四項立法，如 1990 年的財務主管法案（The Chief Financial Officers Act, CFOA），要求提出已審核 的財務報表。1993 年的政府績效與成果法案（Government Performance and Result Act），規定各機關均需設定長程目標及訂定年度施政目標，並就實際執 行績效與預計目標作比較報告。1994 年的政府管理改革法案（The Government Management Reform Act, GMRA），要求各機關編製及呈送給 OMB 已核審的 財務報表，此報表應包括機關所牽涉的所有帳戶及活動。1996 年的聯邦財務 管理改進法案（The Federal Financial Management Improvement Act, FMIA），

則要求政府發展出一套統一的聯邦會計制度。在美國聯邦會計準則諮詢委員

37

會（Federal Accounting Standard Advisory Board, FASAB）的準則指導下運作。

自 1996 年 10 月 1 日起，機關首長應依 FMIA 建立適當的財務管理制度。透 過以上這些立法，美國政府各機關更加重視其內部控制、績效考核及功能目 標之達成，此項進步值得我國借鏡。

美國聯邦政府各部會及所屬機關，有其內部控制架構，會計部門職司紀 錄交易與報告，檢核長（Inspector General）負責各部會及所屬機關內部稽核 工作，GAO 則負國家財務活動之整體監督工作，層次分明，事權統一，顯示 美國政府機構內部控制建構之努力，這點值得我國政府機構建構內部控制制 度時之參考。COSO 報告中許多新的、有價值的觀點被提出。其要點如下：

1、明確對內部控制的「責任」；在世界內部控制發展史上，COSO 報告第 一次明確地闡述了內部控制的制定與實施的責任問題。該報告認為，

不僅僅是管理人員、內部審計或董事會，組織中的每一個人都對內部 控制負有責任。確立這種組織思想有利於將企業的所有員工團結一致，

使其主動地維護及改善企業的內部控制，而不是與管理階層相互對立，

被動地執行內部控制。

2、強調內部控制應該與企業的經營管理過程相結合；COSO 報告認為，

經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管 理。這個過程由組織的某一個單位或部門進行，或由若干個單位或（及）

部門共同進行。內部控制是企業經營過程的一部分，與經營過程結合 在一起，而不是凌駕於企業的基本活動之上，它使經營達到預期的效 果，並監督企業經營過程的持續進行。不過，內部控制只是管理的一 種工具，並不能取代管理。

3、強調內部控制是一個「動態過程」；內部控制是對企業的整個經營管理 活動進行監督與控制的過程，企業的經營活動是永不停止的，企業的

38

內部控制過程也因此不會停止。企業內部控制不是一項制度或一個機 械的規定，企業經營管理環境的變化必然要求企業內部控制越來越趨 於完善，內部控制是一個發現問題、解決問題、發現新問題、解決新 問題的循環往復的過程。

4、強調「人」的重要性；COSO 報告特別強調，內部控制受企業的董事會、

管理階層及其他員工影響，透過企業之內的人所做的行為及所說的話 而完成。只有人才可能制定企業的目標，並設置控制的機制。反過來，

內部控制影響著人的行動。

5、強調「軟控制」的作用；相對於以前的內部控制研究成果而言，COSO 報告更加強調軟控制的作用。軟控制主要是指那些屬於精神層面的事 物，如高級管理階層的管理風格、管理哲學、企業文化、內部控制意 識等。

6、強調風險意識；現代社會是一個充滿劇烈競爭的社會，每一個企業都 面臨著成功的挑戰和失敗的風險，對風險的管理是現代企業的主旋律 之一。風險影響著每個企業生存和發展的能力，也影響其在產業中的 競爭力及在市場上的聲譽和形象。COSO 報告指出，所有的企業，不論 其規模、結構、性質或產業是什麼，其組織的不同層級都會遭遇風險，

管理階層須密切注意各層級的風險，並採取必要的管理措施。

7、融合管理與控制的界限；在 COSO 報告中，控制已不再是管理的一部分，

管理和控制的職能與界限已經模糊。

8、強調內部控制的分類及目標；COSO 報告單獨對內部控制的目標進行了 解析和闡釋。目標的設定是管理過程的—個重要部分，雖然它不是內 部控制的組成要素，但卻是內部控制的先決條件，也是促成內部控制 的要件。制定目標的過程不是控制活動，但其對內部控制的意義重大，

39

直接影響到內部控制是否有存在的必要。COSO 報告將內部控制目標分 為三類：與營運有關的目標、與財務報告有關的目標以及與法令的遵 循性有關的目標等。這樣的分類高度概括了企業控制目標，有利於不 同的人從不同的視角關注企業內部控制的不同方面。

9、明確指出內部控制只能做到「合理」保證。COSO 報告認為，不論設計 及執行有多麼完善，內部控制都只能為管理階層及董事會提供達成企

9、明確指出內部控制只能做到「合理」保證。COSO 報告認為，不論設計 及執行有多麼完善，內部控制都只能為管理階層及董事會提供達成企