第四章 內部控制實作探討
第二節 風險評估
國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
雖然長期以來,政府機關同仁常倚賴主(會)計單位執行內部審核協助各 項施政,所以賴森本【民 93】在內部控制之迷思與真相一文提及,許多人對 內部控制的觀念,存在著內部控制是財會人員之事,與業務人員無關之錯誤解 讀。雖然健全內部控制實施方案在行政院係由行政院主計總處主政推動,但在 各機關應由何單位主政則無明確規範,並於行政院內部控制推動及督導小組第 2 次委員會會議決議: 內部控制涉及機關整體業務,又各機關業務特性不一,
故仍由機關首長衡酌機關內部實況並綜合考量各項因素後,決定適當單位辦 理。然礙於主計在我國行政體系中採一條鞭的架構,所以各主管機關及各機關 亦多認定應由會計部門負責推動,在個案機關亦然,致使在推動初期,大家都 認為內部控制僅限於與財務有關的事項。
內部控制的目的是發現組織的風險,評估風險,並對有礙目標達成的風險 加以控制,所以主政單位應對組織的業務運作以及風險管理有深入的瞭解,才 能有效的推動方案。行政機關的研考單位平時就是機關績效考核的主政單位,
熟稔機關各業務面的運作,而 97 年行政院推動風險管理,亦由研考單位負責。
基此,為打破內部控制是財會人員之事的迷思並有效整合,本研究建議宜由機 關研考單位負責推動健全內部控制實施方案,此亦與接受訪談多數同仁的看法 一致。
第二節風險評估 壹、意涵
健全內部控制實施方案對風險評估要素定義為:辨識攸關之施政風險、分析 風險之影響程度與發生可能性,及評量對風險容忍度之過程,據以決定採取控制 作業或監督等方式,處理或回應相關風險。至於馬秀如【民 87】則謂每個企業 皆面臨來自內部與外部的不同風險,這些風險皆有必要加以評估。評估風險的先 決條件,是訂定目標,目標有不同之層級,這些目標內部間須一致。風險評估係
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
在辨認並分析達成目標之攸關風險,風險評估形成風險應如何管理的基礎。目標 之設定是風險評估的先決條件,管理階層須先訂定目標,然後才能辨識無法達成 該目標的風險,並採取必要之管理風險行動。
另本研究第二章第三節提及政府行政機關風險管理方案之作業手冊就風險評 估相關解釋包括:風險辨識是找出需要管理的風險,而風險分析則是分析風險因 素之影響程度及發生可能性,至於風險評量則是將風險分析中所決定的風險等級 與先前訂定的風險標準相比較,並就風險之容忍度及風險等級,決定需優先處理 之風險因素。
雖然依行政學觀點,有主張企業型的政府,但在風險的這個領域裡,本研究 認為政府與企業有著許多的不同,首先是目標的不同,政府追求的是公共政策的 完成,而企業追求的是股東最大利益,再則是範圍的不同,政府部門面對的是全 體國民,提供的是無所不包的服務,而在提供服務的過程中帶有一定程度的風 險。而這些風險發生的原因可能是天然災害或人為意外事件的發生,亦或是政府 人員未能達成較佳的執行效能,甚或是政策的錯誤無法達成民眾的期望,也就是 說政府的風險影響程度是不易評估的,而最重要的是面對風險的心態不同,政府 人員通常會逃避風險,以避免外界的責難,此與企業會將風險視為轉機的態度截 然不同。
政府行政機關風險管理方案作業手冊,並將政府風險類別分為 10 項:
一、天然災害:伴隨自然災害而來的風險,包括洪水、森林大火、地震、颶風、
暴風雨或暴風雪。
二、合約與法令:伴隨法律或合約關係而來的風險。
三、財政狀況:伴隨財政操作而來的風險,包括收稅、付款費用及所有內部與外 部的財務安全程序。
四、公務員瀆職:因公務員違法或處置錯誤而產生的風險。
五、第三者的行為或疏失:因機關以外之機構的行為或疏失而產生的風險。
六、景氣狀況:國內外的經濟狀況所產生的風險。
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
七、對外界的依賴性:對機關以外供應商之商品、服務及公用設施產生依賴性,
而帶來的風險。
八、資產損失:因業務活動而遭受財產損失時所產生的風險(自有、租借)。 九、科技的應用:因業務活動而使用電腦及其他技術時所產生的風險。
十、執行人力:為維持執行力在人力上產生的風險。
其中財政狀況及公務員瀆職應是政府部門與民間企業風險來源最大的不同 點。
貳、訪談意見:
健全內部控制實施方案要求各機關依據確認之整體層級目標及作業層級目 標參考風險管理及危機處理作業手冊所列之風險來源,及施政計畫、監察院糾正 案件、審計機關建議改善及外界關注事項等,進行風險辨識,並參採風險評估工 具,依機關業務特性,訂定衡量風險影響程度與發生機率之參考,並據以評量風 險,就可容忍風險之外的項目,訂定控制作業。然經由訪談發現,個案機關在內 部控制制度建置過程中,至今未將風險評估作業程序落實納入。
一、納入內控項目未經風險評估:目前挑選的項目,大都偏向有負面消息或是被 監察院糾正的案件來作檢討,反而沒有再去考慮整個作業流程,或是原來可 能的風險。以現有資料較易達成的事項優先,不會重新予以檢視所有作業流 程。
二、未先訂定機關整體層級及作業層級目標:經由行政院的流程範例,才瞭解應 該從整體層級目標先作好,再就風險評估部分納入討論。雖然未能依學術理 論先訂定整體層級目標和作業層級目標,但對風險項目之選定不會有太大影 響。
三、對風險評估無完整認知,僅以經驗判斷:即使是推動小組成員,對於風險評 估亦無完整認知,目前都以經驗判斷,同時認為與財務有關者均應納入內部 控制。承辦人員可能對他們的業務或流程很熟悉,但是表達不出來,所以就
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
以可能產生弊端、舞弊、或影響政府形象的項目列為重點
四、未能就現況評估風險:被選定之項目並未經業務單位進行風險評估之程序,
所以後來要求撰寫風險圖像時,發現所選定的不一定是高風險事項,而會 有前後矛盾的情形。目前所選定的部分項目是因曾經遭監察院糾正的事 項,但經過檢討改善後,以現階段觀之已非本機關高風險之事項。
參、建議
一、應先建立機關整體目標
依 COSO 內部控制-整體架構謂「目標之設定是風險評估的先決條件」,蓋 因管理階層須先訂定目標,然後才能夠辨識達不成該目標的風險,並採取必要 之管理風險行動。然因依「各機關辦理健全內部控制實施方案 100 年重點工作」
規定,各機關應優先檢討 98 年度監察院糾正案件及審計機關建議改善事項,
爰各機關均未經目標設定之程序,直接將前揭事項納入機關內部控制的範疇,
並未以機關整體目標為風險評估的標的。復因機關施政目標選定之幕僚單位為 機關的研考單位,與內部控制幕僚單位不同,致產生作業步調不一致的情形。
此狀況非僅發生在個案機關,幾乎所有政府行政部門均如此,這使得健全內部 控制實施方案失去其理論的基礎,同時造成同仁對內部控制認知的偏誤。此值 得所有機關在後續推動作為時重新檢視。
二、落實風險評估
爰於前述各機關為達到行政院檢討 98 年度監察院糾正案件及審計機關建 議改善事項,優先納入內部控制機制之要求,各機關不僅未先行建立機關整體 層級目標及作業層級目標,更未依風險評估程序進行風險辨識、風險分析及風 險評量等評估機關風險因素之影響程度及可能性,以及機關對風險容忍度之界 定,以至於產生受訪者所稱被選定之項目並未經業務單位進行風險評估之程 序,所以後來要求撰寫風險圖像時,發現所選定的不一定是高風險事項,而會 有前後矛盾的情形。
‧ 國
立 政 治 大 學
‧
Na tiona
l Ch engchi University
三、配合環境變化,修正風險評估
風險之所以令人畏懼,即在於其「不確定」的特性,政府行政機關所面臨 的風險來自各個不同的面向,舉凡政策不完善,無法符合民眾的期待、未適當 導入新技術、缺乏機關間橫向整合、公務人員違法或處置錯誤等等,由本研究 第三章就個案機關內控缺失案例的分析即可見一般。所以政府機關更應改變以 往逃避風險的心態,勇於正視風險,配合環境變遷適時修正評估,以避免產生 受訪者所稱曾經遭監察院糾正的事項,經過檢討改善後,已非本機關高風險之 事項,卻仍優先被選定優先納入內部控制。
第三節 控制作業