編碼:RES-101-01
行政院主計總處委託研究
推動強化政府內部控制發展策略之研究
受委託單位
:
國立政治大學
計 畫 主 持 人 : 鄭丁旺 教授
共 同 主 持 人 : 許崇源 教授
陳錦烽 副教授
林宛瑩 副教授
研 究 助 理 : 潘俞自 研究生
鄭錦瑩 研究生
行政院主計總處編印
印製日期:101 年 12 月
I
摘 要
公共治理與廉能政府之基礎,仰賴完善之內部控制與內部稽核機制,以有效 監督、因應與管理風險,持續檢討並改善服務公眾之作業流程,進而健全政府治 理。為能精進強化我國政府內部控制機制,爰以本研究為規劃新猷之參據,進而 達成確保政府施政效能並與國際作法接軌等目標。 本研究之目的即在針對政府內部控制推動上面對之議題,參考美國之作法, 並評估我國國情之需要,研謀建構一長遠可行之政府內部控制發展策略,並分短、 中、長期,穩健逐步落實執行。 本研究共有五章。第一章為緒論,說明研究目的、推動政府內部控制之策略 架構及研究議題。第二章從政府治理(或公部門治理)的概念,闡明施政目標、 風險管理、內部控制之間的關係。第三章探討政府內部控制有效性之評估及其可 能採用的標準,其次討論政府內部控制制度聲明書之功能、內容、格式與發布方 式,接著探討政府內部稽核部門之設置,最後則說明持續性稽核之意義及應用。 第四章探討立法實施內部控制之議題,為促使政府機關更加完整、具體的實施內 部控制制度,將內部控制制度入法實有必要。第五章則彙總研究結論與建議。 關鍵詞:內部控制、內部稽核、政府治理II
目 錄
第一章 緒論 ...1 第一節 研究背景與目的 ... 1 第二節 研究議題與進行方法 ... 3 第二章 政府治理與內部控制之架構及設計 ...6 第一節 政府治理、風險管理與內部控制共通性架構之制定 ... 6 第二節 政府內部控制觀念架構及設計 ... 11 第三節 內部控制推動小組之設置 ...17 第四節 審計部在政府內部控制與稽核之角色 ...20 第三章 政府內部控制之評估 ... 25 第一節 政府內部控制有效性之評估 ...25 第二節 政府內部控制制度聲明書 ...38 第三節 政府內部稽核部門之設置 ...45 第四節 持續性稽核 ...55 第四章 立法實施內部控制之可行性 ... 61 第一節 國內推動現況...61 第二節 其他國家作法...64 第三節 研究建議 ...68 第五章 研究結論與建議 ... 71 第一節 研究結論 ...71 第二節 研究建議 ...73 參考書目 ...82 附錄一:民國 100 年度政府內控缺失彙總表... 85 附錄二:健全內部控制實施方案 ... 90 附錄三:政府內部控制觀念架構 ... 93 附錄四:內部控制制度設計原則 ... 96 附錄五:我國有關政府內部控制及內部審核之法令規定 ... 100III 圖表目錄 圖 1-1 推動政府內部控制之策略架構 ...3 圖 2-1 政府治理之觀念 ...8 圖 2-2 政府治理四大要素與施政目標之關係圖 ...9 圖 2-3 覆核政府治理要素應注意事項 ... 10 圖 2-4 政府內部控制觀念架構 ... 11 圖 2-5 內部稽核、內部控制、風險管理與治理過程之關係 ... 15 圖 2-6 內部控制推動小組與內部稽核之職能關係 ... 18 圖 2-7 政府決算循環過程 ... 23 圖 3-1 INTOSAI GOV 9120「內部控制:政府課責基礎之整體性架構」... 26 圖 3-2 內部控制之持續性監督機制 ... 31 圖 3-3 政府機關內部控制有效性之評估流程 ... 35 圖 3-4 政府各級機關出具內部控制制度聲明書期程 ... 37 圖 3-5 內部控制制度聲明書與政府及利害關係人間之關係 ... 39 圖 3-6 政府機關內部控制制度聲明書草案-內部控制制度係屬有效 ... 42 圖 3-7 政府機關內部控制制度聲明書草案-內部控制制度係屬部分有效 ... 43 圖 3-8 政府機關內部控制制度聲明書草案-內部控制制度係屬無效 ...44 圖 3-9 中央行政機關政府稽核評估職能現況 ... 48 圖 3-10 持續性稽核、監督及確認之觀念性模型... 56 圖 3-11 管理階層對監督內部控制付出的努力水準與稽核工作量的反向關係 .... 57 表 3-1 內部控制有效性聲明之判斷標準 ... 33 表 3-2 持續性稽核的關鍵步驟 ... 58 表 4-1 政府內部控制通則(或處理準則)建議大綱 ... 69
1
第一章 緒論
內部控制為公共治理、廉政建設與政府效能之基石。本章首先說明研究目的, 接著說明推動政府內部控制之策略架構及研究議題。 第一節 研究背景與目的 在全球化浪潮下,政府部門面臨來自科技創新、自由化經濟、公民意識高漲 等外在環境挑戰。各國紛紛致力於政府管理的革新,落實各項優質公共治理原則, 以提升政府效能與競爭力。 公共治理與廉能政府之基礎,仰賴完善之內部控制與內部稽核機制,以有效 監督、因應與管理風險,持續檢討並改善服務公眾之作業流程,進而健全政府治 理。強化政府之內部控制制度,除可協助各機關防止錯誤及舞弊,更可協助合理 確保政府使命與施政目標之達成、相關法令之遵循、資產安全之保障及可靠資訊 之提供等內部控制目標。 政府行政機關早期係透過在相關法規或行政命令中規範內部管理機制,強調 對於確保機關公款、維護財物安全、考核施政績效等之重視,但這些與內部控制 制度相關之管理規定,多散見於各個單行法規或行政命令中。近期各機關則因體 認有效內部控制之重要性,爰於其內部管理規定中充實內部控制機制,但仍有部 分機關發生內控違失與財務失控等現象,影響政府形象至鉅。針對內控違失與財 務失控發生原因之分析顯示,多係機關內部管理未能確實依照內部相關管理機制 運作所致,強化內部控制制度並落實執行,有其必要性。1 審計部民國97、98年度中央政府總決算審核報告指出,部分機關因內部控制 機制未臻健全,間有施政效能不彰、投入鉅資興建設施閒置浪費及未依法制執行 預算等,致有重大弊案陸續發生(如巴紐案)。審計部民國99年度中央政府總決 算審核報告,雖肯定行政院積極整合政府內部控制之基礎工程,惟仍提出參酌先 進國家作法,完備政府內部控制機制,如研議設置專責內部稽核單位、簽署內部 控制制度有效性聲明與提升行政機關內部控制實施之法律位階,以及應納入行政 1 內部控制違失案例可參見審計部中央政府總決算審核報告及主計總處政府內部控制專區提供 之資料。2 院以外之中央機關及地方政府為實施對象等建議。立法委員費鴻泰(2012)亦指 出,政府應參考國外作法,立法實施內部控制制度,並規定各機關應簽署內部控 制制度確認聲明書納入年度總決算,暨善用「持續性稽核」工具以監督風險。基 於前述,強化政府內部控制及內部稽核機制,以防杜違失、確保施政效能,實刻 不容緩。 基於內部及外部對政府強化內部控制之籲請,以及為期確保政府整體施政效 能之有效達成,行政院於民國 99 年 12 月 30 日籌組成立跨部會之「內部控制推 動及督導小組(簡稱行政院內部控制小組)」,規劃及執行各項工作重點。行政院 先於民國 100 年度督促各機關檢討健全內部控制作業,預計各機關將於民國 101 年底前完成內部控制制度設計,於民國 102 年度完成內部控制制度自行評估。行 政院內部控制小組於民國 100 及 101 年度中召開多次委員會議,審議通過及修訂 各項內部控制規範,以及督促各主管機關檢討現有內部控制作業,全面啟動強化 內部控制工作。其具體作為除訂定及修正「健全內部控制實施方案」規範外,並 包括內部控制制度設計原則、範例之提出,及教育宣導之進行。各機關內部控制 制度制度面之基礎,在該小組之推動下,逐步落實強化政府內部控制重點工作。 行政院曾於民國 89 年間函頒「健全財務秩序與強化內部控制實施方案」,惟 各機關執行未盡落實,而再度於民國 99 年底啟動強化政府內部控制之工作。由 此可知,內部控制之推動與執行,因事涉機關全員及各個層面,原有其困難與亟 待解決之處。完備政府內部控制機制非一蹴可幾,內部控制制度的實施要能成功 推動並落實執行,除機關內各階層同仁對內部控制之正確認知是關鍵因素外,亦 需在強化內部控制推動的整體架構上,針對組織及技術層面上必須考量的議題, 發展短期與中長期之執行策略,逐步執行。 本研究之目的即在針對政府內部控制推動上面對之議題,參考美國之作法, 並評估我國國情之需要,研謀建構一長遠可行之政府內部控制發展策略,並分短、 中、長期,穩健逐步落實執行。
3 第二節 研究議題與進行方法 本研究以圖 1-1 表示推動強化政府內部控制之策略架構,說明內部控制、風 險管理與政府治理之範疇與三者間之關係。在政府的使命與願景下,政府治理應 訂定符合利害關係人期望之施政目標。政府施政可能面臨各種來自內外部之不確 定性因素,例如我國各種保險年金未來給付能力疑慮、全球性經濟衰退、歐債危 機等。各機關應根據目標衡量其相關風險,決定因應對策並建立相關之內部控制 機制,以之確保策略導引下行動方案之執行成效,符合施政目標之設定,進而達 成政府治理之使命與願景。 施政目標 績效衡量 策略 行動方案 執行 內 部 控 制 風 險 管 理 政 府 治 理 ︵ 含 政 府 機 關 文 化 及 風 氣 ︶ 使命與願景 圖 1-1 推動政府內部控制之策略架構 資料來源:本研究
4 內部控制制度是一個為整合機關內各項管理活動而成的綜合管理制度,應強 調其實質意涵,流於形式之書面化作為,將無益於目標之達成,而管理制度的推 動,均有其組織、技術與行為層面上需要面對的議題。例如,組織層面上,需考 量機關內部之內部控制幕僚及內部稽核單位的設置問題;技術層面上,需思考內 部控制如何推動與運作、是否採職能別設計內部控制制度、機關成員是否具備內 控制度設計經驗、內部稽核專業能力的訓練問題、內部控制制度有效性如何出具 確保聲明,以及立法實施內部控制可採何種方式進行等問題;而行為層面上,亦 需考量如何督促機關內各階層同仁對內部控制有正確認知,如何透過適當的機制, 持續性溝通、教育與檢討,降低機關成員排斥心理及抗拒行為,以免制度流於形 式等問題。 目前行政院推動政府機關內部控制之具體作法為,組成內部控制推動單位、 辦理內部控制宣導訓練、檢討現有內部控制作業、設計有效內部控制制度、檢查 評估制度執行情形,及逐級督導落實執行方案。進行之方式採逐級分工,在行政 院設置行政院內控小組,負責整體規劃及推動內部控制事宜;各機關組設內部控 制專案小組,負責督導推動及執行內部控制方案相關工作。 基於前述推動強化政府內部控制制度執行策略之考量,及政府在推動內部控 制之具體作為及方式上,目前面對之主要議題包括: 一、政府內部控制制度之設計 探討內容包括內部控制推動小組幕僚單位之設置、審計部在政府內部控制與 內部稽核之角色。為強化管理,內部控制應融入標準作業流程,以期發揮內 部控制功能。流程係屬跨職能觀念,我國現行採職能別設計內部控制制度是 否適宜及其精進作法為何?配合內部稽核單位之統一,各機關內部控制推動 小組幕僚單位是否統一?而我國審計部在推動強化政府內部控制時,其應扮 演之角色為何?在稽核之上角色又為何? 二、政府內部控制之執行及自行評估 探討內容包括專責內部稽核單位之設置,內部控制制度有效性之評估,以及 持續性稽核之進行。
5 政府機關以內部控制自行評估的方式來檢討其內部控制制度的有效性時,參 採企業運作方式之可借鏡處及應注意事項為何?整體層級及作業層級自行 評估表之實施方式及判斷項目為何?各機關是否設置專責之內部稽核單位? 在不增加員額及經費下,內部稽核適任單位及其相關配套措施之作法為何? 三、內部控制制度聲明書之內容與出具方式 歐美先進國家內部控制制度聲明書之作法及其功能與內容為何?我國政府 機關如何出具內部控制制度聲明書?各機關是否皆應出具內部控制制度聲 明書及其出具方式、撰擬人、簽署人及格式為何? 四、立法實施內部控制之可行性 我國目前並無一針對內部控制制定之法律,而是散落在各個法律與制度中。 有鑒於此,本研究將藉由了解現有法規有關內部控制之規定後,於考量政府 組織架構,提出必要的整合或增修之建議。 本研究針對前述相關研究議題,採下列方式進行: 一、了解先進國家政府內部控制立法及實務運作之情形,並就該等資料加以比較 研究,汲取可借鏡之經驗,提出建議。 二、探討國內之法令及實務作法。 三、就國內相關法令及作法與國外部分作比較,並提出適合我國國情及法令之解 決方法。 理論部分之文獻,將從中外書籍及期刊中獲得;實務作法之文獻,則先從相 關管道洽詢取得或搜尋網際網路與相關國家政府網站資料而獲得。 本研究報告第二章說明政府治理與內部控制之架構及設計議題,第三章討論 政府內部控制之評估議題,第四章探討立法實施內部控制之議題,第五章則彙總 研究結論與建議。
6
第二章 政府治理與內部控制之架構及設計
內部控制為風險管理之延伸、政府效能與廉政建設之基石,強化政府內部控 制乃「黃金十年」國家願景中「廉能政府」願景與「效能躍升」施政主軸的一環, 也是風險管理不可或缺的部分,且「國家廉政建設行動方案」亦納併加強各機關 內部控制機制等具體策略與措施。政府期望透過統合前開管控規範,健全制度、 法規及人員等之執行與管理,有助相關工作的資源共享及回饋,發揮提升行政效 率等綜效,以確保公部門績效得以符合施政目標與預定策略成果,為設計及執行 內部控制的主要目標。 本章首先從政府治理(或公部門治理)的概念,說明施政目標、風險管理、 內部控制之間的關係,再簡要說明行政院針對公部門所定內部控制相關實施方案, 以及研究團隊的看法及建議。 第一節 政府治理、風險管理與內部控制共通性架構之制定 優質的政府治理,是提升國家競爭力的基礎,也是影響民眾對政府施政滿 意度的重要因素。為因應全球化下漸趨複雜的環境脈絡,政府治理的內涵除強調 政府部門的效能、效率和回應性外,亦重視制度和程序符合規範性要求。國際會計師聯盟(International Federation of Accountants,以下簡稱 IFAC) 及國際最高審計機關組織(International Organization of Supreme Audit Institutions, 以下簡稱 INTOSAI)分別提出報告及準則,希望政府部門之內部控制援引採用。 美國聯邦政府則在美國審計總署(Government Accountability Office,以下簡稱 GAO)的要求下,採行依 COSO 觀念所訂之內部控制準則(施炳煌 2004)。我國 行政院主計總處在設計政府行政機關適用之內部控制觀念架構時,亦援引採用 COSO 觀念。
政府部門設置內部控制之議題,可從公務機關為回應政府治理而設置內部 控制,以及如何藉由內部控制之實施達成政策目標等方面予以探討。
國際內部稽核協會(The Institute of Internal Auditors,以下簡稱 IIA)將政府 治理定義為「指導組織目標達成以及所有作業均符合道德及課責要求之所有政策
7
及程序」。國際會計師聯盟(IFAC)公共部門委員會在其「公部門治理─管理階 層觀點(Corporate Governance in the Public Sector: A Governing Body Perspective)」 報告中指出,公部門的最佳治理架構應涵蓋行為準則、組織架構與程序、控制作 業及外部報導等四項。台灣公共治理研究中心亦列出法治化程度、政府效能、政 府回應力、透明化程度、防治貪腐、課責程度及公共參與程度七個公共治理架構 應涵蓋的面向。
此外,澳洲國家審計署(The Australian National Audit Office)提出之政府治 理之範疇圍包括組織管理、治理架構、組織文化、政策及策略,及與不同利害關 係人之應對模式等。澳洲國家審計署之政府治理強調組織在決策之形成、政策意 見之建議及施政計畫之管理與提供等,須秉持公開、課責及嚴謹的態度,善盡管 理責任,其目的則在於確保組織達成整體成果,並藉此增加利害關係人對組織、 決策及作業之信賴度。英國財政部在「中央機關部會之法人治理:2011 優良實 務規範」(Corporate governance in central government departments: Code of good practice 2011)中,列出國會課責、機關董(理)事會之角色、組成與運作效益、 風險管理(重點包括董、理事會下設稽核與風險確保委員會及依據政府內部稽核 準則執行之內部稽核單位等)、受補助機構(如行政法人等)之治理等優良實務 規範原則。該規範特別強調機關之董(理)事會、獨立董(理)事在公部門治理 所扮演之角色(許哲源、郭大榮 2012)。 由前述可知,雖然各國家或組織所列舉之治理原則或指標不盡相同,然政府 或公部門治理之目標主要仍在將貪腐減至最少程度、使少數群體的觀點可被接納、 對社會的需要給予足夠的回應,以及使政府施政能獲得民眾的信任與滿意(林慶 隆 2010)。 以荷蘭政府為例,荷蘭在財政部設置由政府稽核政策理事會(the Government Audit Policy Directorate(dar) of the Ministry of Finance)與公司治理委員會(the Committee on Corporate Governance)合組之「政府治理工作小組」,並提出「政 府治理」(government governance)報告。2
根據荷蘭財政部將治理(governance) 概念應用、發展於公部門(public sector)的相關說明,可知近年來荷蘭政府當
8 局的焦點已從決策及風險管理延伸到良善治理(improving governance)及施政鏈 的透明度(transparency)。 以下針對荷蘭政府治理之發展,分別說明政府治理觀念下,治理要素、施政 目標、風險管理與內部控制間的關係。 一、政府(公部門)治理觀念 王怡心與周靜幸(2011)指出,荷蘭之公部門治理聚焦於政府利害關係人、 各種施政目標、管理者達成施政目標,以及管理者達成該等施政目標之責任,其 關係架構如圖 2-1 所示: 圖 2-1 政府治理之觀念 資料來源:本研究參考荷蘭 Government Governance(2000, P.8)繪製 圖 2-1 所示政府治理之觀念為,政府各機關存在之目的在保障利害關係人 (stakeholders)的權益,以達成施政目標。因此,政府治理須透過確保機制之設 置與執行,課予管理者相關責任,以責成其有效達成施政目標。因此,公務機關 應有適當之管理及控制機制,就其執行之各項施政工作與成效,向利害關係人負 責,並由利害關係人所選任之民意代表來監督其執行成效。 二、政府(公部門)治理要素 政府機關存在的基礎是為了達成利害關係人所期望的政策目標。從部會行政 責任之觀點,圖 2-2 說明治理的目的即在設計與設置促使政策目標得以被達成的 確保機制(safeguards)。為了達到此項治理目的,政府機關理應受到管理及控制,
9
且藉由督導(supervision)就其所從事之業務對利害關係人負責。由上述可知, 政府治理涵括管理者(management)、控制(control)、督導(supervision)、課責 (accountability)等四大要素。 圖 2-2 政府治理四大要素與施政目標之關係圖 資料來源:本研究參考荷蘭 Government Governance(2000, P.10)繪製 圖 2-2 所示政府治理四大要素中,管理者指導各機關施政目標之實現,透過 組織結構設計及擬定各種政策執行過程。控制為各機關執行及維持相關衡量方法 與程序之制度,使管理者可以確保機關運作維持在達成施政目標的正軌上。督導 確定各機關施政目標之實現是基於全體利害關係人的利益。至於課責則為各機關
10 應就所有被指派任務、被授權事項及其執行成效等提供有關資訊。各部會首長應 就管理、控制、督導以及政策執行結果等向民意機關負責。 在圖 2-2 的政府治理架構下,從部會首長到執行機關,對於各層級治理的設 計及執行均具有重要性,並可藉由政府治理四大要素的良好循環,將確保機制延 伸至整個施政鏈。 荷蘭財政部治理報告亦提出,覆核公部門治理要素時應注意之事項,如圖 2-3 所示。這些注意事項說明,政府治理要素的有效性需仰賴內部控制、風險管 理及內部稽核作為基石。 圖 2-3 覆核政府治理要素應注意事項 資料來源:本研究參考荷蘭 Government Governance(2000, P.16-18)繪製 由上述荷蘭財政部之例子可知,施政效能的達成,必須有健全的確保機制, 得以辨識目標不能達成之內、外在風險因素,評估其影響程度與可能性,並透過 業務流程的完善與內部控制作業的設計執行回應風險,融入確保機制。政府治理 與內部控制存在密不可分之關係,要達成良好的政府治理,必須思考政府治理與 內部控制之整體結合及有效協調(王怡心、周靜幸 2011)。
11 第二節 政府內部控制觀念架構及設計 一、政府內部控制觀念架構 我國主計總處應用美國 COSO 之「內部控制-整合架構」於政府,將政府內 部控制視為是一種管理過程,該過程係整合政府機關內部各種控管及評核措施, 並由機關全體人員共同參與,藉以合理促使達成「確保施政效能、遵循法令規定、 保障資產安全、提供可靠資訊」四項目標。內部控制包含控制環境、風險評估、 控制作業、資訊與溝通及監督等五項組成要素,機關各單位有關人員於設計其內 部控制制度時,應綜合考量前述要素及其彼此間之關係。茲以圖 2-4 呈現政府內 部控制之目標、各組成要素及其關係。 圖 2-4 政府內部控制觀念架構 資料來源:本研究
12 茲說明內部控制各組成要素及其關係如下。 (一)控制環境 塑造機關文化及影響其人員對內部控制認知之綜合因素,為其他四項組成要 素之基礎。控制環境之相關重點包括公務職業操守與倫理價值觀念之建立與維持、 首長與高階主管對推動及落實內部控制制度之重視與支持、機關組織架構及授權 之適當明確、人力資源之妥適管理,以及專業能力之提升。茲略述如下: 1. 公務職業操守與倫理價值觀念之建立與維持 強調操守、法制責任觀念及風險意識,落實執行廉政倫理規範,排除或減 少高階主管及員工從事非法行為之環境誘因、壓力或機會。 2. 首長與高階主管對推動及落實內部控制制度之重視與支持 機關首長全力支持且對內部控制制度之有效運作負責,各單位主管以上人 員以身示範,將施政理念及行動風格導入正向,確認目標且避免承受過量 風險。 3. 機關組織架構及授權之適當明確 各單位責任明確分工,授給員工之權力與其擔負之責任相稱。 4. 人力資源之妥適管理 建置適才適所之人員進用、升遷及獎懲措施,定期考核員工及維持擔任重 要職務所需之能力。 5. 專業能力之提升 辦理宣導及教育訓練、提升員工瞭解與落實執行工作之專業知識、經驗及 服務觀念。 (二)風險評估 風險評估係指機關辨識攸關之施政風險、分析該等風險之影響程度與發生可 能性,及評量對風險容忍度之過程,據以決定採取控制作業或監督等方式,俾處 理或回應相關風險。風險評估之相關重點包括風險之辨識、分析與評量。茲略述 如下: 1. 風險辨識 辨識影響目標達成之風險因素(事項)。政策及施政計畫之擬訂,應切合
13 機關整體層級目標,進而辨認作業層級目標,考量可能引發整體層級風險 (如導因於時空環境變遷等)與作業層級風險(基於業務特性)之因素、 必要之配套措施及替代方案之可行性等。 2. 風險分析 分析風險因素一旦發生對機關之影響程度(如財物損失、政務停擺或形象 受損等衝擊之嚴重性),及其發生之可能性(機率),綜合兩者據以估計風 險等級。 3. 風險評量 評量對風險之容忍度,並依據風險等級決定需優先處理之風險因素。 (三)控制作業 為了合理促使機關達成目標、降低風險,且有助於落實執行機關決策,所訂 定之控制規範及程序。控制作業之相關重點包括整體及作業層級控制: 1. 整體層級控制 對機關各單位多項業務有廣泛影響之控管措施或控制規範。 2. 作業層級控制 機關各單位經依個別業務職掌已確認之作業層級目標,所評估風險之結果, 選定業務項目,秉持化繁為簡原則,設計控制重點,並配合業務調整及作 業變動,適時檢討修訂。 (四)資訊與溝通 適時有效編製或蒐集資訊,並傳達予相關人員,使其有效履行職責或瞭解責 任履行情形。所稱資訊,包括與機關目標有關之財務及非財務資訊,可由內部產 生或自外部取得,以供決策及監督之用。所稱溝通,則包括內部溝通與外部溝通: 1. 內部溝通 告知機關全體人員在內部控制所扮演之角色及責任,並建立通報異常情事 之管道,促使機關上下或跨單位資訊充分傳達。
14 2. 外部溝通 依法對外部人士(如監督機關、主管機關及社會大眾)公開或提供資訊, 並對外界提出之意見及時處理與追蹤。 將內部控制制度以紙本、電子或其他方式儲存、管理與傳達,有利連貫及 支援四項組成要素: (1) 對機關全體人員宣達組織職掌及已確認之目標等,以營造良好的控制 環境。 (2) 進行風險評估時,得將內部控制制度之品質納入考量。 (3) 各項業務之控制作業得以書面文件訂定,使機關全體人員可瞭解、易 遵循,並掌握控制重點。 (4) 監督時,依各項文件檢視內部控制制度是否有效設計及執行;而相關 評估結果、建議及後續改善之紀錄,可供回饋或追蹤辦理情形。 (五) 監督 機關評估內部控制制度設計及執行成效之過程,藉以適時修正及改善內部控 制制度。監督之相關重點包括例行監督、自行評估與稽核評估: 1. 例行監督 由機關內部各項業務承辦單位主管人員,執行督導作業。 2. 自行評估 由機關內部各單位,就其內部控制制度設計及執行之有效性加以評估,並 及時補救或改正,且作成紀錄備供主管機關訪查及督導。自行評估分為下 列二類: (1) 整體層級自行評估 按內部控制五項組成要素,逐一檢視、評估內部控制制度之有效性。 (2) 作業層級自行評估 就各項業務之作業類別(項目)逐一檢視、評估控制作業之有效性。 3. 稽核評估
15 統合或運用相關稽核評估職能,客觀檢視內部控制制度設計及執行是否有 效,並就發現之缺失與相關建議,及時改善與追蹤,必要時檢討修正內部 控制制度。 從內部控制組成要素之定義與內容,可以進一步說明內部稽核、內部控制、 風險管理與治理間存在之關係如圖 2-5。圖 2-5 顯示,內部控制是治理的基石, 且內部控制包含在風險管理之內,係風險管理不可或缺的一部分。風險管理著重 風險觀念,自內部控制延伸,其涵蓋範圍比內部控制廣泛(馬秀如 2005)。內部 稽核則協助各層級機關管理者評估及覆核內部控制制度之缺失、評量施政效能與 效率,並適時提供改進建議,確保內部控制制度得以持續有效實施及作為檢討修 正內部控制制度之依據。 圖 2-5 內部稽核、內部控制、風險管理與治理過程之關係 資料來源:參考王怡心、周靜幸(2010, P.13) 二、政府內部控制制度之設計 美國及企業的內部控制係以交易循環別為基礎,針對每個環節進行評估,最 後由交易結果,即財務面的報表,評估內部控制。國內政府則是採用職能別,與 循環別有所不同,其中跨職能別的部分,是內部控制最容易產生問題之處,也是 內部控制的關鍵點,值得深度關切。因此,本研究建議,各機關執行業務之流程 應考量安全與效率,依各單位之實際情況與需要,在安全與效率中取得均衡,將
16 內部控制融入於各作業流程之訂定與檢討,透過作業流程建置內部控制機制,辨 識、分析與評量主要風險。 政府目前所採按職能別設計內部控制之作法,宜參採內建控制於作業流程之 建議。以作業作為業務流程之分析基礎,可以透過內部作業與外部作業之連結概 念,讓作業流程改善有更寬廣之空間,並提供資源投入與產出間流程績效之因果 關係,可提供作業基礎管理之架構。
17 第三節 內部控制推動小組之設置 機關單位內部控制推動小組幕僚單位之設置具有重要性,除該幕僚單位具有 協助推動內部控制之設置與執行之功能外,亦事涉內部控制的妥適定位。就此議 題,依研考會所擬不另增設專責內部稽核單位,則未來將面臨內部控制及內部稽 核推動之幕僚單位由誰擔任較為適宜,以及研考(綜合規劃)、主(會)計兩單 位未來在內部控制擔負之角色及其職能如何配套等問題。 內部控制不只包括財務稽核,也同時包括對環境、績效的稽核,亦即其並不 侷限於會計事務。依據主計總處之統計,目前 41 個主管機關內部控制小組之幕 僚單位約有 56.1%由會計單位擔任,另 43.9%則由研考、企劃等單位擔任。由會 計或研考單位擔任內部控制推動小組幕僚單位各有優點,即研考(綜合規劃)單 位對機關之整體目標較能掌握,而會計單位則較能追蹤執行結果。 以臺北市政府為例,其推動內部控制已近十年,因為過去曾發生一些弊端, 故其所推動之內部控制重點亦偏重防弊。臺北市政府似乎無法朝興利面去推動內 部控制,是否係因其內部控制推動小組幕僚單位皆是會計單位,且會計單位受限 於人力及時間,不易對機關提出改進的建議。因此,是否成立專責內部稽核機構, 以及內部控制推動小組幕僚單位由何單位擔任,至關重要。 部分機關為推動內部控制之設計與執行,於 2011 年 3 月建請行政院明確統 一指定各機關內部控制專案小組之幕僚單位,以減少內部衝突。研究團隊認為, 各機關執行業務之流程應考量安全與效率,依各單位之實際情況與需要,在安全 與效率中取得均衡。內部控制應融入於各作業流程之訂定與檢討,透過作業流程 建置內部控制機制,辨識、分析與評量主要風險。在此概念下,由內部控制推動 小組負責:(1)內部控制觀念之宣導,(2)作業流程價值化與合理化之檢討,及 (3)確認風險管控作法之合理性。內部稽核則負責:(1)執行遵循測驗,確認 作業流程(內部控制)執行落實程度,以及(2)作業流程之效益評估。內部稽 核可實行雙軌制,由主管機關制訂內部稽核規範、提出稽核計畫,由單位本身內 部稽核小組進行稽核,提出稽核報告。內部稽核宜為常設性組織,執行與內部控 制有關的例行性評估,提出改善建議,並與業務單位進行溝通。若內部控制相關 流程(或標準作業程序 SOP)需要修訂,則應與最終負責的單位首長溝通同意後,
18 再行修正。本研究以圖 2-6 說明內部控制推動小組與內部稽核之職能關係。其中, 有關內部稽核單位之設置議題,將於第三章說明。 圖 2-6 內部控制推動小組與內部稽核之職能關係 資料來源:本研究 基於圖 2-6 之架構下,內部控制推動小組需具備宣導內部控制觀念、檢討與 確認作業流程合理化及確認風險管控作法合理性之能力。各機關研考單位職司各 項施政計畫之綜合管考,協助機關就業務、人力、經費三個面向衡量各機關的施 政績效,並監控可能影響施政目標達成之各項風險,督促相關業務單位採取有效 之因應措施。因此,本研究建議內部控制推動小組由研考單位(或綜合規劃單位) 擔任幕僚,行政院宜責成各機關於短期內完成推動小組階段性任務後停止設置, 由不定期(每年至少一次)召開之內部控制會議(或督導會報)接替小組功能。 內部控制會議由副首長以上人員擔任召集人,各單位主管應出席。該會議除每年 至少召開一次外,並應視機關任務或環境變化之需要,設置內部控制專案小組研 議內部控制制度之修訂。該內部控制專案小組為臨時任務型編組,針對特定之內 部控制制度議題或方案進行研議,提交內部控制會議議決。
19 綜合上述,本研究提出下列建議: 1. 各業務主管機關所屬機關之規模大小、業務繁簡及人員多寡不同,主管機 關宜衡酌所屬機關之情況,要求其單獨設置內部控制推動幕僚小組或併入 其主管機關組設。 2. 各所屬機關內部控制推動小組宜由副首長以上人員擔任召集人,並採任務 編組之方式,共同協商討論適合各機關單位之內部控制制度。 3. 內部控制是每位員工的責任,而非只有內部控制推動小組或是內稽的責任。 就現行階段,各機關內部控制推動小組之性質可為任務編組,負責相關工 作之督導與執行。 針對各機關內部控制推動小組幕僚單位是否統一及其適任單位之議題,本研 究提出具體之短期及中長期執行策略如下: 1. 短期: (1) 內部控制推動小組由研考單位(或綜合規劃單位)擔任幕僚。 (2) 內部控制推動小組於階段性任務完成後停止設置。 (3) 機關不定期(每年至少一次)召開內部控制會議(或督導會報),由副 首長以上人員擔任召集人,各單位主管應出席。 2. 中長期: (1) 機關不定期(每年至少一次)召開內部控制會議(或督導會報),由副 首長以上人員擔任召集人,各單位主管應出席。 (2) 機關應視其任務或環境變化之需要,設置內部控制專案小組研議內部 控制制度之修訂。該內部控制專案小組為臨時任務型編組,針對特定 之內部控制制度議題或方案進行研議,提交內部控制會議議決。
20 第四節 審計部在政府內部控制與稽核之角色 政府績效管理及評估已蔚為國際潮流,政府審計之重心也從合規、遵循等合 規性審計,轉變為注重政策目標達成之績效性審計。國際透明組織(Transparency International)認為審計機關乃國家廉正體系重要支柱之一,為良好公部門治理架 構之關鍵因素,可協助發揮監督(oversight)、洞察(insight)及前瞻(foresight) 之治理角色。監督者角色促進行政機關之透明與確保課責機制之建立;洞察者角 色查核施政計畫之經濟、效率及效果性,對行政管理提出改進之建議;前瞻者角 色則聚焦未來的挑戰,確認風險及機會之所在。 一、 其他國家作法─以美國為例 茲以美國為例,說明政府部門、機關有關內部控制推動及稽核機制(何志欽、 李顯峰 2003)。依美國聯邦政府推動內部控制成功之經驗,GAO 扮演著重要的 角色,不但對行政部門持續進行監督,也積極協助研訂規制,例如參與 FMFIA 相關法條草案之修擬時,課責自己訂定內部控制準則,預先研擬發布配套規範以 供未來各機關遵循之參考,且依法訂定「聯邦政府內部控制準則」建立整體架構 供各機關整合評估內部控制制度,並與白宮預算管理總局(Office of Budget and Management,以下簡稱 OMB)通函各部會配合推動 FMFIA。GAO 更訂定「內部 控制管理及評估工具」,按內部控制五項要素整合編製系統化判斷清單,以利各 機關自行評估。GAO 另針對重要共通性業務訂定評核指引,以輔助各機關人員 與內、外部稽核人員評估內部控制制度。內部稽核人員須依 GAO「政府審計準 則」評核內部控制制度有效性。
美國 1990 年財務長法(The Chief Financial Officers Act of 1990, CFO Act)亦 是促進財務管理革新及加強內部控制督察功能過程中的一項重大里程碑。並提供 部門主管及時且正確的財務資訊,以作為內部控制的基礎。其最重要的職責在於 提供完全一致、正確完整的財務資訊及成本估算,並提供內部控制及績效改進的 評估標準。
美國政府設置稽核長制度的主要法源來自於 1950 年的會計及稽核法 (The Accounting and Auditing Act of 1950, AAA Act)。此一立法賦予聯邦政府主要部門 首長在內部控制及內部稽核方面的責任。但在 1950 – 1975 長達四分之一世紀的
21
時間裡,此項 AAA 法案的成效並不顯著,許多部門的內部控制稽核運作並不獨 立,稽核結果及建議並未受到應有的重視,而內部控制系統運作經常缺乏足夠人 員及經費,因此由 AAA 法所賦予部門首長內部控制稽查的職責未能實現。
1978 年稽核長法(The Inspectors General Act of 1978, IG Act)對於內部稽核 機能的提昇具有劃時代的意義。根據 1978 年的 IG Act,聯邦政府主要部會將設 立稽核長辦公室,賦予各聯邦部門稽核長稽查及調查的責任,並且給予完全獨立 的地位,使其不受部門內其他機構人員及預算的影響,以其能夠全力對部門內部 運作及方案執行上發生的浪費舞弊、管理失當,進行偵辦調查並展開稽核評估。 在 IG Act 的規定下有 27 個聯邦政府主要部會(Main Federal Departments)設置 由總統任命並由國會同意的稽核長。這 28 位聯邦部門的稽核長(其中財政部增 設一位專責稅務行政的稽核長)雖然在相關部門就主管業務仍對部長負責,但是 只有總統才有權將稽核長免除職位。此一免職行動必須由總統通知國會參眾兩院, 並須提供書面理由列入國會記錄,旨在確保部會稽核長的獨立地位。
1988 年稽核長法修訂條款(IG Act Amendment)主要是在原有 27 個設有總 統 任 命 稽 核 長 的 主 要 部 門 之 外 , 另 外 在 其 他 34 個 聯 邦 政 府 的 特 定 機 構 (Designated Federal Entities)設立非總統任命的稽核長。這 34 個特定機構的稽 核長是由該機構的行政首長任命,並對部門首長負責。這些特定機構的行政首長 在免除該機構稽核長時也必須通知國會參眾兩院,並提供書面理由列入國會記錄, 以確保非總統任命之督察長的獨立地位。
在 1990 年代之後,國會陸續通過多項有關財務管理、績效評估及政府施政 績效的法案,也使稽核長的職掌權責相對增加擴充。1990 年財務長法 (The Chief Financial Officers Act of 1990, CFO Act)擴增 IG 的內部控制稽核職權,使其能夠 透過對財務報表有關資料的稽查,有效而及時地確立財務管理系統的弱點及問題 所在,並且能夠提出可靠的財務資料,增加其監督查核的職能。1993 年政府績 效與成果法(The Government Performance and Results Act of 1993, GPR Act)賦予 稽核長一項新的角色及機會,規定各部門在提出策略規劃(Strategic Planning) 時,必須由稽核長認定可以用來衡量績效的因素。此一機會使稽核長的內部控制 稽核職掌,除了消極性的防止弊端、整飭不法,也增加積極性的提昇效率及加強 業績。
22
1996 年聯邦財務管理改進法(The Federal Financial Management Improvement Act of 1996, FFMI Act)規定稽查人員必須要求財務報表符合聯邦會計標準及聯 邦財務管理之規定。如果未達此項標準,部門主管必須提出改善方案(Remediation Plan),而部門稽核長必須監控該部門在執行此項改善方案的相關措施,向國會 相關委員會報告執行結成果。1995 年紙面作業減除法(The Paperwork Reduction Act of 1995, PR Act)對於資訊資源(Information Resource)的內部控制管理更賦 予稽核長更大的挑戰。在日新月異的資訊技術及日益複雜的資訊安全考量下,稽 核長必須對其所屬聯邦部門的資訊基本設施之安全及資訊技術現代化的內部控 制作業與資訊長(Chief Information Officer, CIO)做更多的協調互動。
美國行政部門由直屬白宮之預算及管理局(Office of Management and Budget, OMB)透過聯邦各部門之財務長(Chief Financial Officer)及稽核長(Inspector General)二個體系,實施內部監督及檢核機制。稽核長之職能包括: 1. 施政方案及運作上各項財務報表、績效報告之稽核與調查。 2. 領導及協調各項政策方案,以增進內部控制效率及擴大施政績效。 3. 偵查及防止各項施政方案及運作上可能發生之弊端、濫權及浪費。 美國的行政部門主要部會之稽核長須由總統任命並經國會同意,雖然是對部 長負責,惟有總統才能將其免除職位,而特定機構之稽核長,則由機關首長任命, 機關首長若免除其職務時,必需通知國會參、眾兩院。 二、 國內現況 根據我國民國 100 年政府審計年報中對於政府審計功能之闡述,民主政治制 度將政府財務依據預算循環過程劃分為財務行政、財務立法及財務司法三部分, 而謂三權財政。其中財務行政係指編製預決算、執行收支、保管公共資源等職權; 財務立法係指審議預決算職權;財務司法係指監督預算執行、審定決算等職權, 一般稱為政府審計權。三權財政之運用,必須三個職權各盡其職、不相逾越、相 輔而行、相制而成,始能收到完善效果。財務行政、財務立法與財務司法三權分 立,各司其職,從而建構具有分權制衡功效之政府課責體系,如圖 2-7 所示。
23 圖 2-7 政府決算循環過程 資料來源:本研究 從政府治理之觀點,政府審計職能主要在於「確認政府履行其財務與績效責 任」,而政府課責機制之精神,包括立法部門授予權力與預算予行政部門,行政 部門必須向立法部門提出公開透明之課責報告,這是行政部門對於立法部門之授 權所應負說明之責任;另由審計部門負責查核前開課責報告,對行政部門(受託 者)所提出之資訊加以驗證,並向立法部門提出獨立、客觀之審計報告,以降低 立法部門(委託者)使用行政部門直接提供資訊可能產生之風險。 評估各機關內部控制制度有效性,除端賴各機關自行評估人員之外,政府內 部稽核與外部稽核人員亦須評估機關內部控制制度是否有效。惟我國政府機關目 前尚無專責內部稽核單位,而審計部擔負行政機關之外部稽核職能,除已於「審 計法」及其施行細則明定,審計機關派員赴各機關辦理就地審計時審度其內部控 制實施之有效程度外,也已訂定「審計機關評核各機關內部控制基本觀念與共同 指引」,協助各審計單位評核各機關內部控制制度之良窳,並供作各廳處擬具各
24 項內部控制評核指引之參考。各廳處亦針對不同機關與業務等訂定各種評核內部 控制作業指引。 審計部隸屬監察院,就政府整體而言,審計機關是政府的一部分,故審計人 員為政府的內部稽核人員,其所執行之審計工作即為內部稽核工作。惟就行政機 關而言,審計人員並非該機關人員,其所執行之審計工作,應屬於外部稽核。依 據我國憲法及審計法等相關規定,以及政府治理之要素觀點,歸納我國政府審計 之角色為: 1. 監督功能,審核財務收支及審定決算,提高財務資訊公信力及促進透明 度、稽察機關人員財務上之違失,匡正財務紀律及致力於反貪腐,以及 審查決定機關人員財務行為應負之責任,落實課責機制。 2. 洞察功能,考核財務效能,提供財務管理諮詢之服務。審計機關考核各 機關之績效,其功能在於藉由評估計畫政策達成與否、分享標竿性資訊, 及各政府層級之橫向與縱向比較,提出對行政管理之改善建議;並提供 持續性回饋資訊,協助行政機關將組織學習制度化,俾及時調整政策。 3. 前瞻功能,及時辨識行政部門之關鍵趨勢與新興挑戰,提供預警服務。 導入「風險導向審計」,聚焦於機關整體風險管理架構,除辨識、確認機 關無法容忍之風險,適時提出建議意見外,並協助行政機關建立完備之 風險管理制度。 就審計部之上述功能與角色而言,審計機關之監督角色係其存在之基礎,惟 發展愈趨成熟之審計機關,多朝向以洞察及前瞻角色為重,督促各機關確保施政 績效,並協助其風險管理。審計部監督、考核及前瞻功能與內控要素攸關,其功 能之發揮可以協助行政部門達成內部控制目標,因此,審計部年度中央政府總決 算審核報告指出之違失(參見附錄一之內部控制缺失彙總),可以作為評估行政 機關內部控制制度是否有效之外部監督力量。審計部所提供各機關內部控制缺失 之具體改善建議,若可適度擴充功能,針對各機關提出之改善方案是否有效提供 評估意見,當更可有助於機關內部控制制度之落實執行。
25
第三章
政府內部控制之評估
政府內部控制制度之執行,應持續評估其有效性,並配合施政目標及環境的 變動進行必要的修正,以期發揮內部控制協助確保施政效能之作用。本章首先探 討政府內部控制有效性之評估及其可能採用的標準,其次討論政府內部控制制度 聲明書之功能、內容、格式與發布方式,接著探討政府內部稽核部門之設置,最 後則說明持續性稽核之意義及應用。 第一節 政府內部控制有效性之評估國際最高審計機關組織(The International Organization of Supreme Audit
Institutions,以下簡稱INTOSAI)於 2001 年提出INTOSAI GOV 9120「內部控制:
政府課責基礎之整體性架構」,其目的在於協助管理階層瞭解機關是否採取適當 措施,以確保其有效執行內部控制,並分別針對管理階層內部控制角色與責任、 稽核人員角色與責任、一般內部控制作業等,提供整體性架構(如圖 3-1 所示)。 該份指引強調管理階層應瞭解穩固的內部控制架構,是機關控制其目標、作業與 資源之基石。此外,管理階層宜在其內部控制與自行評估架構內,展現對內部稽 核之支持。 COSO「內部控制—整合架構」亦指出,內部控制由控制環境、風險評估、 控制作業、資訊與溝通、監督等五個相互關聯的要素組成,其中的監督係指自行 評估內部控制制度品質的過程,可分為持續性監督及個別監督兩種。持續性監督 是營運過程中的例行性監督,個別監督則大都由內部稽核人員進行評估,因此, 內部稽核對於組織內部控制的有效運作,扮演重要的角色。 美國聯邦政府提及各部會內部控制制度之執行與評估作業,應符合全國績效 評估報告之建議,但未明定如何搭配「政府績效與成果法」辦理績效衡量工作。 布希總統雖在 2001 年 1 月就職以後,推動「總統管理議程」,將各部會內部控制 制度聲明書所載「有無重複發生內部控制重大缺失或嚴重違反法令規定,致損及 財務報導或財務管理制度相關內部控制有效性」納入「總統管理議程」之「強化 財務管理」考核指標,並透過綠、黃、紅三色燈號呈現各部會實施成果,惟其作 法似側重防弊,未考量納入興利之評估標準。
26 圖 3-1 INTOSAI GOV 9120「內部控制:政府課責基礎之整體性架構」 一、 內部控制自行評估過程及標準 內部控制之建立及有效執行,管理階層責無旁貸。但內部控制制度之設計是 否適當,執行是否落實,應進行持續監督及定期評估。如圖 3-1 所示,管理階層 應持續監督內部控制作業之運作,並於必要時予以修正;內部稽核則定期評估內 部控制作業的有效性,並針對內部控制缺失提出改善建議。實務上,有些公司把 控制及風險之評估交由各營運單位管理階層自行負責,稱為「內部控制自行評估」 (control self-assessment,簡稱 CSA)。自 1990 年代中期起,CSA 實務已受到重 視,並逐漸被推廣。我國主管機關則將此項過程稱為「內部控制自行評估」。 依據我國「內部控制處理準則」,公開發行公司應自行評估其內部控制制度。 內部控制自行評估之目的,在於落實公司自我監督的機制、及時因應環境的改變, 以調整內部控制制度之設計及執行,並提昇內部稽核部門的評估品質及效率。內 部控制自行評估應涵蓋公司各類內部控制制度之設計及執行,並應於內部控制制 度訂定自行評估作業之程序及方法。公開發行公司決定自行評估作業程序及方法
27 時,應以風險評估的結果為基礎,並至少包含(1)確定應進行測試之控制作業, (2)確認應納入自行評估之營運單位,(3)評估各項控制作業設計之有效性, 以及(4) 評估各項控制作業執行之有效性。換言之,內部控制自行評估應同時 涵蓋內部控制設計及執行之有效性。 首次辦理股票公開發行及公開發行公司應每年自行評估內部控制制度設計 及執行的有效性。公開發行公司自行評估內部控制制度之結果,若其內部控制制 度能合理確保:(1)董事會及總經理知悉營運之效果及效率目標達成程度,(2) 財務報導係屬可靠,以及(3)已遵循相關法令,則為有效之內部控制制度;否 則為有重大缺失之內部控制制度。公司董事會應根據內部控制自行評估結果,通 過依規定格式作成的內部控制制度聲明書,於每會計年度終了後四個月內,在金 管會指定網站辦理公告申報,並依規定刊登於年報、股票公開發行說明書及公開 說明書。 (一)內部控制自行評估的性質 內部控制自行評估(CSA)類似於品質控制稽核,係由各營運單位組成工作 團隊,定期開會,坦誠溝通,找出作業流程或控制之問題所在,並提出改善之行 動方案。換言之,CSA 透過集思廣益的方式,針對企業經營流程、控制風險及 控制作業進行瞭解及評估,並進行必要的修正。因此,CSA 的有效設計及執行, 將有助於各營運單位之風險管理及流程改善。 CSA 雖屬於一種優良的管理實務,但其缺乏內部稽核所需之獨立性與客觀 性,不宜用於取代內部稽核之定期評估。近年來,不少組織進行人員縮編,中階 管理階層減少,管理控制範圍加大,可能影響其持續監督內部控制作業的能力及 效果,因此,內部稽核的功能反而益形重要。 一般而言,CSA 著重於利用相互交流的研討會形式,評估整個企業的運作— 包括確認目標、辨認可能的影響因素(威脅或風險)及其影響程度,以及如何有 效控制這些風險的程序。此種過程又稱為“結構性交談”(structured conversations)。 因此,有效的內部控制自行評估至少應考量:(1)如何引進 CSA、CSA 研討會 舉辦頻率,以及由誰主持;(2)高階管理階層是否支持、引導及瞭解 CSA;(3) 是否正式的分析及評估風險;(4)如何尋找及培養良好的 CSA 研討會主持人;(5)
28 如何促進各單位 CSA 成員坦誠討論及揭露風險及相關內部控制的優缺點;(6) 各單位明確界定自行評估所欲達成的結果,並取得共識;以及(7)如何有效的 報告及追蹤 CSA 結果,並取得參與人員的回饋。 (二)內部控制自行評估過程及效益 1. CSA 研討會 如前所述,CSA 通常透過研討會,由與會人員對控制與風險問題進行坦承 的討論。理想的 CSA 研討會通常有 8 到 15 位來自各部門的幹部參與。為使研討 會順利進行,宜有兩位主持人(稱為促進者或引導人),其中一位熟悉研討單位 的營運作業流程,以確保整個討論不離題,並兼任記錄人員。另一位是研討會的 靈魂人物,負責掌握整個研討會的進行,其對於 CSA 必須具有深厚的知識。內 部稽核人員通常會派代表參與,並引導如何做好控制評估。例如稽核人員可協助 說明內部控制之目的及其與該單位營運活動之關係。CSA 參與者透過討論,可 進一步瞭解各單位之間的互動,學習更多的相關流程,並將流程改善及內部控制 之修正一併列入行動方案。 CSA 研討會與會人員參與整個評估過程,有助於其形成認同感,促使與會 人員認真執行其職責,並與其他部門主管合作。稽核人員亦可透過 CSA 與機構 內的主要幹部溝通,並由與會人員共同檢視及討論主要的營運程序。此外,CSA 有助於蒐集傳統稽核程序中不易取得的「柔性控制」(soft control)(例如:員工 的正直、品德及相互信任的程度)資料。 一般而言,內部控制自行評估的成效,取決於 CSA 研討會的妥善安排與執 行。有效的 CSA 研討會通常包含(1)取得管理階層的承諾與支持,以得到各單 位管理階層對 CSA 的認知、承諾與支持;(2)適當的規劃:包括制定目標、準 備研討會問題、遴選及通知參與人員、決定日期、安排場所及設備,編製研討會 資料、電子投票機制等;(3)進行研討會:通常每次 4-8 小時,以不超過二天為 原則,並使參與人員均能公開、坦誠及彼此信任,以收集思廣益之效;(4)報告 研討結果:彙整討論結果,送交參與人員複核,並分析問題及改善方案,提出報 告初稿,連同相關建議及工作底稿,送交單位管理階層;以及(5)提出行動計 畫:協助管理階層針對研討會報告所提出之問題,決定其優先順序,擬訂改善方
29 案,並將正式的報告分送所有的營運單位管理階層及 CSA 參與人員。 上述的 CSA 研討會若能有效實施,可產生多種效益。例如,(1)各營運單 位更為瞭解內部控制之目的及作法;(2) 促使管理階層主動負責維護良好之控 制環境;(3)及時辨認及解決流程改善之問題,以及(4)可作為內部稽核人員 定期評估內部控制之重要依據。換言之,CSA 提供一個從基層往上的溝通資訊 管道,其能協助高階管理階層設計及執行有效率及效果的營運系統,加強內部 控制以降低營運風險,並激發所有相關人員坦誠合作的精神及利害與共的意 識。 2. CSA 問卷 內部控制自行評估除利用前述研討會方式進行外,也可採用問卷調查。問卷 調查又可分為二種:(1)一般的問卷設計,填答“是”、“否”,或“滿意”、“不滿意” 的程度(例如分為 1 至 5 分尺度),以及(2)風險/控制矩陣(risk/control matrix), 列出目的、風險及相關控制,並以文字敘述方式評估其有效性。 設計 CSA 問卷時,必須慎重,並提供明確的指示,以便於填答者回答。此 外,問卷問題的措詞應明確,避免語意不清。必要時,應由專家參與解釋問卷回 收的結果。 CSA 問卷調查與研討會各有其優缺點。前者之優點在於不具名(可以放心 填答)、有效率及避免“團體思考”,其缺點為對問題的探討不夠深入,且易流於 形式。後者之優點則為集思廣益,增進公開溝通及每一位參與者幫助研擬行動方 案;缺點則為需要投入較多的人力物力。 (三)內部控制自行評估之標準 企業進行內部控制制度設計及執行有效性之評估時,應建立相關的標準。我 國主管機關參考 COSO「內部控制—整合架構」之相關指引,針對股票公開發行 公司訂定「內部控制制度有效性判斷參考項目」,以作為公司管理階層判斷其內 部控制制度有效性之重要依據。因此,企業各單位進行內部控制自行評估時,應 根據其業務性質及運作方式,參考上述參考項目,建立內部控制有效性的評估標 準,以作為判斷內部控制制度設計及執行是否有效的準繩。
30 上述內部控制自行評估的標準,宜針對內部控制五大要素(亦即控制環境、 風險評估、控制作業、資訊與溝通,以及監督)分別訂定。至於自行評估之結果, 則應具體指出內部控制制度之設計及執行,是否達到有效性的標準。例如內部控 制制度設計的有效性可區分為「有效」、「大部分有效」、「少部分有效」及「無效」; 內部控制制度的執行則可分為「有效執行」、「大部分有效執行」、「少部分有效執 行」及「無效」。各單位管理階層在判斷內部控制制度的有效性時,應綜合考量 內部控制設計及執行的有效性,例如某項內部控制設計若屬無效,則該項內部控 制的有效執行並無法產生預期的作用,仍可能存在著重大的內部控制缺失。同樣 的,有效的內部控制設計若未被確實執行,亦難以有效降低相關的風險,而不利 於控制目標的達成。 如前所述,企業各單位應將其內部控制自行評估的結果做成書面報告,針對 所提出的內部控制問題,擬訂具體改善方案及實施時程。企業為確認各單位內部 控制自行評估的適足性,並有效彙整相關的報告,應指定內部稽核部門負責複核 上述的內部控制自行評估結果。 內部稽核部門複核各單位內部控制自行評估的結果時,除確認其範圍、程序 及方法是否符合公司政策及相關法規之外,亦應注意各單位是否考量由於組織及 經營環境的變動所帶來的風險,以及目前控制作業是否足以因應此種風險。此外, 各單位進行其內部控制自行評估時,可能未完整考量與其他單位業務流程之相關 風險及控制作業。內部稽核部門進行內部控制自評複核時,應綜合檢視相關單位 業務風險及控制作業之關聯性,並確認其已獲得適當的考量及評估。 二、 內部控制制度有效性之聲明 內部控制為企業風險管理及治理的重要基礎,有效的內部控制可協助企業落 實其風險管理及治理。為使利害關係人瞭解公司內部控制制度設計及執行的有效 性,公司治理單位及高階管理階層應提出相關的聲明。例如,我國公開發行公司 依據「內部控制處理準則」,應每年公告其內部控制制度聲明書,說明其內部控 制制度設計及執行是否足以合理確保達成(1)營運的效率及效果、(2)財務報 導的可靠性、(3)相關法規的遵循等內部控制目標。該聲明書係基於內部控制自 行評估及複核之結果,並經董事會通過,且由董事長及總經理(執行長)共同簽 署。
31 綜合上述可知,公司為落實自我監督、及時因應環境的改變,以調整內部控 制制度之設計及執行,並提昇內部稽核部門的查核品質及效率,應進行內部控制 自行評估。內部控制自行評估之範圍應涵蓋公司各類內部控制制度之設計及執行, 其結果則應由內部稽核部門進行複核,並提出複核報告。圖 3-2 列前述內部控制 自行評估、內部控制自行評估之複核,以及內部控制制度聲明書發布的過程,此 種過程可視為公司內部控制之持續性監督,董事會、管理階層及員工應重視及落 實此套機制,以合理確保內部控制目標之達成。 圖 3-2 內部控制之持續性監督機制 資料來源:本研究 三、 政府內部控制有效性之評估 政府內部控制有效性之評估,可參照「內部控制—整合架構」之指引及企業 內部控制自行評估之相關作法。為協助各機關設計有效的內部控制制度,並據以 落實執行,行政院已建立政府內部控制整體架構,且分行共通性及個別性業務自 行評估表件等範例,供各機關辦理作業層級自行評估之參考,並研訂整體層級之 有效性判斷標準。 環境改變 董事會通過 內部控制制度聲明書 內部稽核部門複核 內部控制自行評估結果 各單位內部控制自行評估 營運流程及 相關之內部控制 發布內部控制 制度聲明書 組織變動
32 此外,行政院參考 2012 年美國 COSO 提出之「內部控制-整合架構」修正 草案,設計相關判斷項目,供各機關內部單位進行初評,再由內部控制推動小組 幕僚單位針對各組成要素,提出複評情形說明,並針對機關現有問題進行診斷, 提出應採行之改善措施,進而綜合評析作成內部控制制度整體結論,供作判斷機 關內部控制制度整體有效性之依據。不過,各機關之業務屬性或有不同,上述判 斷項目係以一般性通用原則設計供各機關參考,各機關可另依業務屬性或管理需 要,調整訂定其適用之判斷項目。 各機關進行內部控制自行評估時,應按逐一檢視內部控制五項組成要素,以 評估內部控制制度的有效性。此項評估應同時針對內部控制制度之設計是否有效 與內部控制制度是否落實執行,判斷內部控制的有效程度。其中內部控制制度設 計有效性可分為「有效」、「大部分有效」、「少部分有效」,以及「無效」;內部控 制制度之執行則包含「完全落實執行」、「大部分落實執行」、「少部分落實執行」、 「未落實執行」等選項,亦可採用其他量化或加權量表等格式設計。各機關另可 參酌業務屬性或實際需要等予以調整修正,以利後續檢討與改善。 在衡量內部控制制度設計及執行之有效程度時,各機關宜參考內部控制缺失 情形進行判斷。行政院提出的建議如下:(1)無內部控制缺失時,可選填「有效」 或「完全落實執行」:(2)無明顯內部控制缺失,但對某項業務造成影響,致有 礙作業層級目標之達成,僅於內部提報,無需對外報告者,視為「大部分有效」 或「大部分落實執行」;(3)有明顯內部控制缺失,且對多項業務有廣泛影響, 致有礙整體層級目標之達成,但僅於內部提報,而無需對外報告者,應屬於「少 部分有效」或「少部分落實執行」;(4)有重大內部控制缺失,須於內部控制制 度聲明書中敘明,並對外報告者,則屬於「無效」或「未落實執行」。 各機關內部單位依權責分工對各判斷項目進行初評之結果,並經過內部控制 推動小組幕僚單位實地複評之後,分別按內部控制五項組成要素將評估結論填報 於「明細表」,並綜整於「自行評估表」,由機關首長簽章確認。至於內部控制自 行評估期間係以評估全年度為原則,遇有專案評估、內部控制制度調整、或首長 異動等情形,機關得視其風險及重要程度自訂較為頻繁的評估頻率及抽核比率。 本研究將上述內部控制設計及執行有效性之可能組合列示如表 3-1,並區分 為內部控制制度「有效」、「部分有效」及「無效」三種情況,可作為各機關決定
33 其內部控制制度有效性聲明之重要依據。例如,若機關內部控制制度之設計被判 定為「有效」或「大部分有效」,且該制度之執行屬於「完全落實」或「大部分 落實」,則可合理推斷其內部控制制度之設計與執行應屬「有效」(亦即無明顯的 內部控制缺失,且能合理確保內控目標的達成),而可出具內部控制制度係屬有 效之內部控制制度聲明書(參見圖 3-6)。 若機關內部控制制度之設計被判定為「少部分有效」(亦即僅能有效因應少 部分的風險),但該制度仍可「完全落實」或「大部分落實」,則其內部控制應被 認定為「部分有效」(亦即尙能合理保證部分內控目標的達成);同樣的,即使機 關內部控制制度之設計被判定為「有效」或「大部分有效」,但該制度之執行僅 為「少部分落實」,則其內部控制應被認定為「部分有效」。機關有上述兩種情況 時,應出具內部控制制度係屬部分有效之內部控制制度聲明書(參見圖 3-7)。 若機關內部控制制度之設計僅「少部分有效」,且「少部分落實」,則其內部 控制難以發揮作用,無法合理保證內控目標之達成,應視為無效之內部控制制度; 至於內控制度設計「無效」,且執行「未落實」,更應視為無效之內部控制制度。 此時機關應出具內部控制制度係屬無效之內部控制制度聲明書(參見圖 3-8)。若 各機關對其內部控制制度有效性之判斷為「部分有效」或「無效」時,應具體說 明內部控制之重大缺失及其影響,並提出相關的改善計畫。 表 3-1 內部控制有效性聲明之判斷標準 設計 執行 有效 大部分有效 少部分有效 無效 完全落實 有效 有效 部分有效 無效 大部分落實 有效 有效 部分有效 無效 少部分落實 部分有效 部分有效 無效 無效 未落實 無效 無效 無效 無效 資料來源:本研究
34 四、 研究建議 本研究參考企業內部控制自行評估實務及行政院推動內部控制之相關作法, 提出各機關內部控制有效性評估流程之建議,如圖 3-3 所示。以下說明本研究提 議之政府機關內部控制有效性評估流程。 政府機關內部控制有效性之評估,應基於內部控制共通性架構及相關判斷項 目與標準。各機關內部控制推動小組幕僚單位及內部稽核小組應負責宣導該共通 性架構,督促各單位辨認與其業務有關之風險,決定因應業務風險之控制作業, 並將其融入各項標準作業程序(SOP),作為執行業務之依據。內部稽核小組須 於年初時提出年度稽核重點項目之計畫,執行過程中協助確認各項標準作業程序 (含控制作業)之落實程度及其效益,並提出相關的改善建議。內部控制推動小 組幕僚單位及內部稽核小組可定期與各業務單位檢討其標準作業程序,並考量修 訂相關程序之必要性。 各業務單位應定期進行內部控制自行評估,並於規定之日期內填報內部控制 自行評估表。該項評估應同時確認作業層級及整體層級內部控制之有效性。內部 稽核小組負責複核各業務單位之內部控制自行評估結果,並提出複核報告。此外, 機關內部稽核單位(或小組)應訂定年度稽核計畫,據以執行稽核工作,並提出 稽核報告。機關首長則根據經過複核之各單位內部控制自行評估結果及內部稽核 報告,簽署及出具該機關之內部控制制度聲明書,並將內部稽核報告及內部控制 制度聲明書呈報上級機關。 短期而言,各機關內部控制有效性之評估應著重檢討現行關鍵作業流程之標 準作業程序,以確認其設計及執行之有效性。各機關內部控制制度有效性之評估, 應考量其是否足以有效因應機關之主要風險。此外,各機關針對其內控缺失應持 續追蹤改善情形。中長期而言,各機關持續檢討及評估關鍵作業流程之標準作業 程序,以確認其內部控制設計及執行是否足以有效因應環境之變動。各機關內部 控制制度有效性之評估,應持續考量其是否足以有效因應機關新增之主要風險, 並持續追蹤其內控缺失改善情形。
35
圖 3-3 政府機關內部控制有效性之評估流程
36 各上級機關之內部稽核單位(或小組)依據其年度稽核計畫,執行其稽核工 作,提出內部控制自行評估表及年度稽核報告,連同各下級機關內部稽核報告與 內部控制制度聲明書,作為機關首長簽署及出具該單位內部控制制度聲明書之依 據。短期而言,內部控制制度聲明書之出具,可由四級及三級機關先行試辦。中 期的作法,則二級機關亦應出具內部控制制度聲明書,並將其納入年度施政績效 報告。長期的目標則可設定為一級機關亦出具內部控制制度聲明書,並參照企業 年報之作法,將決算書、年度施政績效報告之主要內容及內部控制制度聲明書一 併納入其年報。 「行政院所屬各機關施政績效管理要點」規定,各機關應將其年度績效報告 於次年三月七日前,提送行政院研考會。本研究依據此項日期推算,建議一級機 關應於會計年度終了後三個月內提出年度施政績效報告與內部控制制度聲明書, 故二級機關應於會計年度終了後二個月內提出內部稽核報告與內部控制制度聲 明書,以利其上級機關(一級機關)出具年度施政績效報告與內部控制制度聲明 書。至於三級、四級機關則應於會計年度終了後一個月內提出內部稽核報告與內 部控制制度聲明書,以利其上級機關(二級機關)出具內部稽核報告與內部控制 制度聲明書。圖 3-4 列示各級機關提出內部稽核報告與內部控制制度聲明書,並 呈報其上級機關之期程。 此外,為落實自我監督、及時因應環境的改變,機關首長應定期召開內部控 制會議,檢討及調整內部控制制度之設計及執行,以合理確保其內部控制目標的 達成。上述會議之召開,可邀集下級機關相關人員(例如業務單位主管、內部控 制推動小組幕僚單位召集人、內部稽核小組召集人等),以收集思廣益之效,並 宣達上級機關對於內部控制之重視。
37
圖 3-4 政府各級機關出具內部控制制度聲明書期程
