第五章 相關法令規範及管理控制校準之理論探討
第四節 計畫執行單位之內部控制及內部稽核
一、 計畫執行單位之內部控制
自 1992 年 COSO 委員會(Committee of Sponsoring Organizations of the Treadway Commission)頒布「內部控制整合架構(Internal Control Integrated Framework)」後,已廣泛獲得世界各地之應用,然為順應時勢發展與環境之 變遷,COSO 委員會於 2013 年 5 月修訂並重新頒布內部控制整合架構,此套 整合架構適用於營利、非營利或政府單位等不同型式的組織,強調組織內管 理階層對設計、實施及評估內部控制制度有效性判斷之重要性,進而幫助組 織達成目標的可能性。該架構因應企業(組織)及營運環境的改變趨勢,主要強 化下列功能,並重新定義內部控制之涵義:
強化之功能:
利害關係人對治理監督之期望;
市場及營運的全球化;
營業模式的改變;
各種法律、規章、準則之國際化與複雜化;
組織對不斷進步科技之使用與依賴;
監理機構對於預防及偵測業務舞弊之期望。
內部控制定義:
內部控制為一套過程,受到組織的董事會、管理階層及其他人 員的影響,以為達成下列各類目標提供合理確信:
有效果和有效率的營運-專注於營運的效果和效率,包含營 運和財務的績效目標以及防範損失的資產保護。;
可靠的報導-專注於可靠的報導,包含內部和外部財務及非 財務的報導;
遵循相關法令-致力於組織所須遵守的法律及規定。
任一形式的組織都應考量其使命及組織環境,制定有效的內部控制制 度,以期達成內部控制三大目標。然而,為達成內部控制追求「有效果和有
效率的營運」目標,則應多發揮「原則許可,例外管理」創意思考,針對關 鍵且重要之控制重點加以控制,才不至阻礙組織追求效果與效率(賴森本,
2012)。
建立一套內部控制只能合理確信組織目標之達成,因此在設置內部控制 制度時,也必須考量設置之成本與效益,以成本、控制與便利等三條件為考 量原則,故建立該內部控制制度所花費的成本不宜超過其可能產生的效益。
就科技部補助專題研究計畫而言,雖賦予各受補助單位自行辦理研究經費之 核銷,但為符合科技部追求提升我國研發能量之目的,各受補助單位除考量 財務面之效果,也應衡量非財務面之效率,不應一味僅以舊有防弊稽查思維 行之。
內部控制包含控制環境、風險評估、控制活動、資訊與溝通及監督等五 大要素,圖九為內部控制整體架構圖,並於表三十四彙整說明各組成要素之 內涵26,其中「控制環境」係其他四項組成要素之基礎,主要營造組織風氣,
建構組織成員對內部控制結構之認知,因此,受補助單位之高階主管應於組 織環境中校準受補助單位之查核思維。而在「控制活動」中,包括「授權」
概念,受補助單位可訂定一金額上限,授予計畫主持人逕自辦理與計畫相關 之採購業務,而省去繁複會簽手續,以提高執行計畫之效率。
控制環境
風險評估 控制活動 資訊與溝通 監督
資料來源:Alvin A. Arens, Randal J. Elder, and Mark S. Beasley (2010), Auditing and Assurance Services
圖九 內部控制整體架構圖
26 我國審計準則第 48 號公報「瞭解受查者及其環境以辦認並評估重大不實表達風 險」,主要將內部控制組成要素名稱定義為控制環境、受查者之風險評估流程、與財務 報導攸關之資訊系統(含相關營運流程)及溝通、與查核攸關之控制作業與控制之監 督,但其實質規範內涵與美國 COSO 委員會提出之五項組成要素並無重大差異。
101
表三十四 COSO 內部控制整體架構之五大要素
要 素 說 明
控 制 環 境
(control environment)
控制環境係塑造組織文化,進而影響組織成員對 內部控制之重視,包括治理與管理功能,及對於內部 控制及其重要性之態度、認知及作為,係其他四項要 素之基礎。其中影響控制環境之因素包含:
1. 操守及價值觀:內部控制之有效性繫於負責內 部控制設計、管理及監督者之操守及道德觀。操守及 道德觀之落實,包括排除或減少可能導致員工從事不 誠實、違法或不道德行為之誘因或誘惑。操守及道德 觀政策之溝通,可能包括政策宣示、行為準則訂定及 管理階層示範等方式。
2. 專業能力之承諾:完成個人職務所須具備之知 識及技能。
3. 治理單位之參與:治理單位對內部控制被重視 之程度有重大影響,其責任之重要性亦可見諸於相關 法令或指引。治理單位之其他責任,包括監督檢舉程 序之設計及有效執行,暨監督內部控制有效性之評估 流程。
4. 組織結構:建立適當之組織結構,包括考量權 力及責任之主要範圍,暨適當之報告層級關係。
5. 權責劃分:權責劃分可能包括與實務、主要負 責人員之知識及經驗、完成任務所須資源等有關之政 策;亦可能包括為確保所有員工瞭解目標、瞭解其個 人作為與該目標之關聯及對目標之貢獻、員工在何種 情況下需負責及如何負責之政策與溝通。
6. 人力資源政策及實務:包括招募、職前說明、
訓練、考核、諮商、升遷及獎懲作業有關之政策及實 務,極具效果的人事方針,常能彌補控制環境上其他
方面之弱點。招募適任員工之標準包括重視教育背 景、工作經驗、過去之成就及操守與道德行為。訓練 政策涵蓋向員工溝通其應扮演之角色、所擔負之責任 及相關訓練實務作法(例如透過學校及研討會之訓 練),將展現出對員工績效及行為之期許。且定期績 效評估作為晉升之依據,則可展現其使適任員工承擔 更高層級責任之承諾。
風 險 評 估
(risk assessment)
風險係指目標不能達成之可能性。風險評估即指 辨認及分析、評估風險之過程,以協助及時設計、修 正及執行必要之控制活動。與可靠財務報導攸關之風 險,包括對財務資料之產生、處理、記錄及報導可能 產生不利影響之內部或外部情事(包括事件、交易或 情況)。上述情事一旦發生,將使實際財務資料與財 務報表所隱含之聲明不相一致。受補助單位之高階主 管可擬訂計畫、步驟或行動以處理特定風險,亦可因 成本或其他考量而決定接受該風險。
控 制 作 業
(control activities)
控制作業係指用以確保組織成員確實執行組織 之政策及程序,執行時應考量組織層級及職能不同,
分別依其目標設置適當之控制作業並予執行,控制作 業可分為五種類型:
1. 職能分工:安排不同的人員負責交易之授權、交 易之記錄及資產之保管,其目的為減少員工於正 常工作流程中發生並隱瞞錯誤或舞弊之機會。
2. 授權:確保各項交易及作業均在授予職權範圍內 執行。另依Arens(2010)專書定義,授權係將政
103 communication)
資訊與溝通係將有關之資訊以適時有效之方式,
(monitoring)
監督係指隨時(包括及時性)評估內部控制執行成 取得某項目之固定再訂購點(fixed reorder points for making acquisitions)。「個 別授權」係指對個別交易的適用,如業務經理授權與二手車公司的銷售交易即屬之。
目的執行且因應情況變化而作適當修正。
設置內部稽核人員或執行類似功能之員工,定期提 供內部控制是否有效運作之資訊,並對內部控制之優缺 點進行溝通及提出內部控制之改善建議。監督作業可能 包括使用來自外部溝通之資訊,該等資訊可能顯示內部 控制之問題及需改進之重點。
資料來源:我國審計準則第 48 號公報「瞭解受查者及其環境以辦認並評估重大不實表達風險」。
另外,在上述內部控制整體架構基礎下,考量現行受補助單位向科技部 辦理經費核銷時,該流程至少應包括收入循環、採購與支付循環、薪資循環、
財產管理循環及研發循環等五大交易循環及相關所屬作業(見表三十五), 並據以於各作業項下說明其流程、控制重點與相關重要表單,才能建構完善 之內部控制制度。
表三十五 與受補助單位經費核銷相關五大交易循環
交易循環 作業名稱
1.收入循環 1. 建教合作收入作業 2.採購與支付循環 1. 請購作業
2. 科研採購作業 3. 政府採購作業 4. 小額採購作業 5. 緊急採購作業
6. 公開招標/開標/決標作業 7. 驗收與退貨作業
8. 應付帳款核銷與付款作業 9. 零用金支出作業
3.薪資循環 1. 薪資編製及發放作業
2. 特殊講座費用編製及發放作業
105
4.財產管理循環 1. 財產分類編號與登記作業 2. 工程發包及控管作業 5.研發循環 1. 建教合作計畫管理作業
2. 專利申請作業 3. 技術移轉管理作業
備註:本經費核銷五大交易循環僅以科技部補助研究計畫為主。
二、 計畫執行單位之內部稽核
內部稽核協會28(Institute of Internal Auditors)對內部稽核之定義:
內部稽核是獨立客觀的確認與顧問活動,用以改善組織 之營運,並增加其附加價值。其可藉由建立系統化之紀律以評 估改善組織之風險管理、控制及治理流程,而有助組織達成設 定之目標。
由上述定義可知,內部稽核除了具備執行如複核資訊之可靠性與正直 性、確保符合組織政策及各項法規、保護組織資產等責任外,也被賦以改 善組織營運效率以提供附加價值之積極角色29。
另參考《公開發行公司建立內部控制制度處理準則》第十條對實施內 部稽核之目的:
“公開發行公司應實施內部稽核,其目的在於協助董事 會經理人檢查及覆核內部控制制度之缺失及衡量營運之效果 及效率,並適時提供改進建議,以確保內部控制制度得以持續 有效實施及作為檢討修正內部控制制度之依據。”
“公開發行公司應實施內部稽核,其目的在於協助董事 會經理人檢查及覆核內部控制制度之缺失及衡量營運之效果 及效率,並適時提供改進建議,以確保內部控制制度得以持續 有效實施及作為檢討修正內部控制制度之依據。”