中央行政機關強化內部控制之研究

國立臺灣大學社會科學院政治學系 政府與公共事務碩士在職專班

碩士論文

Department of Political Science College of Science

National Taiwan University Master Thesis

中央行政機關強化內部控制之研究 The Strengthening of Internal Controls

in the Executive Branch

林美杏 Mei-Hsing Lin

指導教授：蘇彩足博士 Advisor: Tsai-Tsu Su, Ph.D

中華民國 107 年 8 月

August 2018

謝 辭

能夠提筆寫謝辭的同時，也代表著這篇論文終於完成並且順利通過口試，心 中除了有難以言喻的激動及暢快感外，更多是滿滿的感恩。對於已經步入中年，

必須兼顧家庭、工作及課業的我來說，實現一個年輕時未竟的夢想－取得國內最 高學府臺大碩士學位，這個過程雖然艱辛，卻也充滿甜美的回憶，回首這一路走 來，上課、準備考試及繳交報告，乃至於論文的撰寫，不斷地考驗著自己的體力、

智力及耐力，然而這段時間裡，給予我指導、協助或支持的師長、朋友、同學、

同事及家人，更是我完成學業最強而有力的後盾，藉此機會向各位表達我最誠摯 的謝意。

首先要感謝的是我最敬愛的論文指導教授蘇彩足老師，優雅睿智的談吐、親 切溫暖的關懷，令人如沐春風，同時在課業或待人處事上的教誨與啟發，亦讓我 獲益良多，尤其對於本篇論文的撰寫給我偌大的揮灑空間，並適時指導及鼓勵，

使我能順利完成研究；其次，承蒙歐進士教授及郭昱瑩教授兩位口試審查委員的 提點及指導，除了對論文大綱的撰擬方向給予精闢中肯的建議外，也在最後論文 內容的舖陳表達上提供諸多寶貴意見，使我的論文能夠修正的更臻完善。

再者，本論文的研究過程中涉及許多機關實務執行資料的蒐集分析，在此特 別感謝提供資料及接受訪談的工作夥伴及朋友們，以及同事友聰協助聯絡及邀約 訪談對象、惠伶與俞賢幫忙檢視國外文獻資料，幸芳在論文繕打與編排上的援 助，還有葉仁細心準備論文口試茶點與佈置會場等事宜；此外，同學惠玲、學妺 惠莉在論文口試、提交與印製審定文本等相關經驗的傾囊相授，以及同門師兄超 哥及瑞淵、同學彥豪、學妹室珍的加油打氣，謝謝你們的熱心協助及鼓勵，讓我 這趟學習旅程得以開花結果並劃下完滿的句點。

最後，感謝我的先生智宏，以及公公、婆婆的體諒與包容，不管是在上課或 論文撰寫期間，對於家務及孩子照顧無條件的付出，還有精神上的支持，使我能 夠無後顧之憂地完成學業。另外，我的兒子仕育，雖然度過了許多個缺少媽媽的

陪伴的週末假日，卻總是向我展露最真誠的童稚笑顏及給予温暖的問候和關心，

不時撫慰我疲憊的身體和心靈，謝謝你寶貝！還有兩年來專班授課的師長、一起 共度充實又歡樂校園生活的第十四屆同學們、行政院主計總處的長官與同事，以 及所有曾經幫助我的朋友，謝謝你們！

1

國立臺灣大學 106 學年度第 2 學期 碩士學位論文提要 論文題目：中央行政機關強化內部控制之研究

研 究 生： 林美杏 指導教授： 蘇彩足博士

關 鍵 字：內部控制、風險評估、自行評估、內部稽核、風險管理

論文提要內容：

內部控制為風險管理、政府效能與公共治理之重要基石，中央行政機關原本已有相 關內部管控機制，惟部分機關執行不夠落實，時有重大違失發生，為協助中央行政機關 建立及執行有效內部控制，行政院於 2010 年底籌組成立跨部會小組推動強化行政機關內 部控制工作，截至 2016 年底，內部控制規制已趨於完備，該小組完成階段性任務後裁撤，

續由機關自主管理。

本研究旨在探討我國政府內部控制架構及相關規範之內涵，以及中央行政機關依上 開規定執行內部控制工作之實況，透過文獻分析、參與觀察、深度訪談及跨國比較等研 究方法，綜整分析後發現美加澳三國均有相關法律作為實施內部控制之依據，且均設有 專責內部稽核單位，有利於內部控制之落實推動及發揮其功能；又美、澳兩國近年來進 一步將政府內部控制連結風險管理及績效管理，並推展至公共治理領域，以提升政府治 理效能，值得我國借鏡。另行政院所訂內部控制規範雖大致完備，惟適用對象及拘束力 有所侷限，且內部控制與其他管考機制亟待整合簡化；至於機關執行則存有（一）風險 評估作業有待落實深化；（二）內部控制機制以防弊為主，跨機關間內部控制有待檢討強 化；（三）內部控制自行評估仍具一定程度監督效果，惟實務作業易流於形式；（四）內 部稽核尚未能有效發揮功能；（五）內部控制聲明書對機關實施內部控制具有正面影響，

惟外界關注程度不高；（六）控制環境有待持續強化，機關同仁尚未能感受內部控制執行 效益等情形。

最後，本研究對我國中央行政機關內部控制有效落實運作提出具體建議，其中在法 令規範方面應簡化內部控制相關作業，適度賦予機關執行彈性；並儘速推動整合內部控 制、風險管理及績效管理制度；至機關執行層面應採行作法包括：（一）型塑良好控制環 境；（二）落實及深化風險評估作業；（三）結合資訊系統簡化精進業務流程，並強化跨 機關控制機制；（四）加強資訊溝通，結合內部控制強化行政透明；（五）持續精進與落 實內部控制監督作業；（六）主管機關應落實督導責任並採取有效管理作為。

ABSTRACT

THE STRENGTHENING OF INTERNAL CONTROLS IN THE EXECUTIVE BRANCH

by

MEI-HSING LIN August 2018 ADVISOR(S): TSAI-TSU SU, Ph. D.

DEPARTMENT: POLITCAL SCIENCE

MAJOR: GOVERNMENT AND PUBLIC AFFAIRS DEGREE: MASTER OF ARTS

KEY WORD: Internal Control; Risk Assessment; Self -Assessment; Internal Audit;

Risk Management

Internal control is the important cornerstone of government risk management, performance management and public governance. The central executive departments already have the relevant internal control mechanism. However, as the internal control of some of the departments is not thoroughly executed, major problems might occur.

Therefore, in order to assist the construction and execution of effective internal control in the central executive departments, the Executive Yuan has established a cross-departmental team for internal control by the end of 2010. By the end of 2016, since the regulations for the internal control mechanism were near completion, the team disbanded upon completion of its short-term objectives, followed-up with self-management by the department itself.

This study focused on and explored the implication of the structure and relevant regulations of Taiwan government’s internal control and the actual implementation of the above-mentioned regulations of central executive departments. Upon comprehensive analysis of research methods such as the literature analysis, participation in observation, in-depth interview and cross-country comparison, the study found that the implementation of internal control in the USA, Canada and Australia all three countries was based on relevant legal acts, with an internal audit unit formed solely responsible for which. Such units can help promote the implementation of internal control to perform its designed functions. Looking into the promotion of internal control in the USA and Australian governments, the system is increasingly linked with risk management and performance management in recent years, also expanded to the public governance aspect for improving governmental governance, which is something Taiwan should learn from. Furthermore, the study found that the governmental internal control regulations set by the Executive Yuan are

near completion. However, limitations exist in applicable targets and the level of constraints. The internal control and other management mechanisms are yet to be integrated and simplified; as for the actual implementation of government departments, the data collected shows that: (1) the implementation of risk assessment is yet to be deepened; (2) the internal control mechanism is mainly for prevention, cross-departmental internal control is yet to be examined for deepening; (3) self-assessment on internal control still composes a certain degree of monitoring, however, the implementation of which can easily fall to that of a superficial one; (4) the current internal audit is yet to function properly; (5) internal control statements can have a positive impact on the implementation of internal control within departments, however, they only attract a relatively low amount of attention from outside of the department; (6) the control environment is yet to be consistently enhanced, as employees within the departments are not yet able to feel the benefits brought by the execution of internal control.

Lastly, this research provided actual suggestions for the effective functioning of internal control for Taiwan’s central executive departments. In terms of legal regulations, researchers suggested simplifying the operations of internal control, providing the execution a certain level of flexibility during execution; at the same time, the departments shall promote integration of the internal control, risk management and performance management mechanism as soon as possible; as for departmental execution, suggestions include: (1) construct an easily control environment; (2) implement and deepen risk assessment; (3) combine information systems to simplify process of operation, while enhancing cross-departmental control mechanism; (4) strengthen information and communication, paired with internal control to enhance administrative transparency; (5) continue to refine and implement internal control monitoring activities; (6) competent authorities shall be responsible for supervision of internal control, and adopt effective management.

目錄

第一章 緒論 ... 1

第一節 研究背景與動機 ... 1

第二節 研究目的 ... 6

第三節 研究方法 ... 6

第四節 文獻探討 ... 9

第二章 內部控制架構體系 ... 17

第一節 內部控制之意涵 ... 17

第二節 內部審核、內部稽核與內部控制之關係 ... 24

第三節 內部控制、風險管理與公共治理之關係 ... 29

第三章 各國政府內部控制制度之比較 ... 35

第一節 我國中央行政機關內部控制制度 ... 35

第二節 美國政府內部控制制度 ... 48

第三節 加拿大政府內部控制制度 ... 53

第四節 澳洲政府內部控制制度 ... 58

第五節 小結... 63

第四章 機關實施內部控制之探討 ... 73

第一節 個案機關簡介 ... 73

第二節 內部控制制度之設計 ... 75

第三節 內部控制自行評估... 99

第四節 內部稽核 ... 105

第五節 內部控制聲明書之簽署 ... 118

第六節 實施影響檢討 ... 120

第五章 結論與建議 ... 125

第一節 研究發現 ... 125

第二節 研究建議 ... 129

第三節 研究限制與未來研究建議 ... 136

參考文獻 ... 137

附錄一 訪談大綱 ... 145

附錄二 深度訪談紀錄 ... 147

附錄三 政府內部控制制度設計原則 ... 205

附錄四 政府內部控制監督作業要點 ... 221

附錄五 政府內部控制聲明書簽署作業要點 ... 231

表目次

表 1-1

2000-2010 年間行政院頒行與政府內部控制有關規定一覽表 .... 1

表 1-2

政府原有稽核評估職能一覽表 ... 3

表 1-3

深度訪談對象一覽表 ... 8

表 2-1 COSO 內部控制整合架構（2013 年版）五大要素與總體原則 21 表 2-2 公部門內部稽核獨立性與客觀性標準 ... 28

表 3-1 政府內部控制制度共通性作業範例一覽表... 42

表 3-2 政府內部控制制度共通性作業跨職能整合範例一覽表 ... 43

表 3-3 各國政府內部控制制度之比較 ... 68

表 4-1

內部控制小組設置及運作情形 ... 74

表 4-2 A 機關風險影響程度評量指標 ... 76

表 4-3 A 機關風險發生機率評量指標 ... 76

表 4-4 A 機關風險項目彙總表（摘錄） ... 76

表 4-5 A 機關風險評估及處理表（摘錄） ... 77

表 4-6 V 機關影響敘述分類表 ... 79

表 4-7 V 機關機率敘述分類表 ... 79

表 4-8 V 機關風險項目彙總表（摘錄） ... 80

表 4-9 V 機關風險評估及處理表（摘錄） ... 80

表 4-10 Ｉ機關影響之敘述分類表 ... 83

表 4-11 Ｉ機關機率之敘述分類表 ... 83

表 4-12 Ｉ機關風險項目彙總表（摘錄） ... 84

表 4-13 Ｉ機關風險評估及處理表（摘錄） ... 85

表 4-14

T 機關影響之敘述分類表 ... 88

表 4-15

T 機關機率之敘述分類表 ... 88

表 4-16 T 機關風險項目彙總表（摘錄） ... 89

表 4-17 T 機關風險評估及處理表（摘錄） ... 90

表 4-18 自行評估結果統計表 ... 102

表 4-19

Ａ機關內部控制自行評估缺失項目追蹤表(摘錄) ... 103

表 4-20

I 機關內部控制自行評估缺失項目追蹤表(摘錄) ... 103

表 4-21 個案機關內部稽核執行情形統計表 ... 109

表 4-22 V 機關 2017 年度稽核結果(摘錄) ... 110

表 4-23

A 機關 2015 年度稽核結果(摘錄) ... 111

表 4-24

I 機關 2016 年度稽核結果(摘錄) ... 112

表 4-25

T 機關 2017 年度稽核結果(摘錄) ... 112

圖目次 圖 1-1

1992 年版與 2013 年版 COSO 內部控制整合架構 ... 20

圖 2-1

治理要素關係圖 ... 33

圖 3-1 我國政府內部控制觀念架構圖 ... 37

圖 3-2 政府內部控制制度設計流程圖 ... 41

圖 3-3 加拿大政府衛生部內部控制制度 ... 55

第一章 緒論

第一節 研究背景與動機

全球化及知識經濟的浪潮下，國際政經環境快速變遷，各國政府面臨的治理 問題日益複雜，民眾對政府部門提供優質公共服務之期待亦愈趨殷切，為因應上 述內外在治理環境的嚴峻挑戰，有賴良好的管理制度妥善管控施政風險，並使治 理機制發揮功能。

對政府部門而言，內部控制之功能，在於透過機關內部各項業務之控管及評 核機制，協助員工履行職責，防止錯誤及舞弊之發生，並降低機關所面臨之風險，

以合理確保機關管理運作之有效性及達成施政目標。基於內部控制之重要性，多 年來行政院相關權責主管機關雖陸續訂頒「健全財務秩序與強化內部控制實施方 案」等規定（如表 1-1），要求各機關應建立相關內部控制機制，強化內部管理功 能；此外，各機關亦透過施政管考、資訊安全稽核、政風查核、政府採購稽核、

工程施工查核、人事考核、內部審核及事務管理工作檢核等 8 項稽核評估職能（以 下簡稱稽核評估職能）實施稽核或評估（如表 1-2），並由上開職能權責主管機關 各自就職掌業務進行督導，以維持內部控制有效運作。

表 1-1 2000-2010 年間行政院頒行與政府內部控制有關規定一覽表 規定名稱 訂(修)頒日期 主要內容 健全財務秩序與強化內部

控制實施方案

2000.2.9 函頒 2001.3.27 修正

(註 1)

請各機關建立有效內部控 制機制。

行政機關風險管理推動方 案

2005.8.8 函頒

(註 2)

為培養各機關風險意識、促 使其清楚瞭解與管理施政 之主要風險，以形塑風險管 理文化，提升風險管理能 量，有效降低風險發生之可 能性。94 年底各部會提報 3 至 5 項風險，並針對其中 1 項風險，建立風險管理機 制；95 年底各部會完成組 織風險圖像之建立；96 年

底各部會完成建構該機關 的整合性風險管理機制。

行政院所屬各機關風險管 理及危機處理作業基準

2008.12.8 函頒

請各機關持續營造良好的 行政機關風險管理環境，建 置整合性風險管理機制，並 強化危機事件之預警、應變 及復原。

加強財務控管及落實會計 審核方案

2008.9.25 函頒

(註 1)

請各機關檢討改善現存各 項缺失，並維持有效之管控 機制。

強化中程計畫預算作業促 進資源有效運用方案

2009.1.21 函頒

(註 3)

請各機關提升財務效能及 有效運用資源。

強化特種基金預算管理提 升營運效能方案

2009.1.22 函頒 2012.7.20 修正

國家廉政建設行動方案 20099.7.8 函頒

2016.8.24 第 3 次修正

請各機關加強內部控制機 制，針對風險較高之業務實 施稽核。

提升政府財務效能方案 2009.3.9 函頒

2013.6.24 第 4 次修正

請各機關有效增裕收入及 減少不經濟支出，提升政府 整體財務績效。

整合服務效能躍升方案 2010.7.9 函頒

(註 4) 請各機關強化內部管理，簡

化表單及行政流程，減少申 辦案件核章，提升行政效 整合服務效能躍升 101 年續 能。

階方案

2012.3.2 函頒

(註 4) 註：

1.行政院業於 2010 年底成立「行政院內部控制推動及督導小組」，並陸續訂定「強化內部控制實施 方案」及相關規定，為免相同（近）事項重複規範，故「健全財務秩序與強化內部控制實施方案」

及「加強財務控管及落實會計審核方案」分別於 2014 年 4 月 14 日及 2016 年 7 月 11 停止適用。

2.已於 2008 年 4 月 1 日停止適用。

3.2012 年 7 月訂定之「預算編製作業落實零基預算精神實施方案」係整合、強化現有預算編製作業，

以及增列具體作業方式、管考與獎勵機制等，已將「強化中程計畫預算作業促進資源有效運用方 案」之內容納入規範，為免重複，故該方案停止適用。

4.整合服務效能躍升方案實施期程至 2011 年 12 月 31 日止，整合服務效能躍升 101 年續階方案實施 期程至 20121 年 12 月 31 日止。

資料來源：本研究參考行政院主計總處網站資料整理。

表 1-2 政府原有稽核評估職能一覽表

稽核評

估項目 權責機關 各機關

主辦單位 主要法令 稽核評估內容 主要目的 1. 施 政 管

考

國 家 發 展 委 員 會

研考(綜合規 劃)單位

行政院 所屬 各機關 個案計畫管制評核作 業要點、管制考核業 務查證實施要點

個案計畫（年度施政 計畫所列重要計畫 項目等計畫）管制及 評核。

提升個案計畫施 政績效。

2. 資 訊 安 全稽核

行 政 院 資 通 安 全辦公室

資訊及政風 單位

行政院國家資通安全 會報設置要點、本院 及所屬各機關資訊安 全管理要點

資訊機密維護及稽 核使用管理。

保障資訊資產安 全。

3. 政 風 查 核

法務部廉政署 政風單位 政風機 構人 員設置 管理條 例及 其施行 細則、政風業務督導 考核實施要點

具有貪瀆風險業務 之清查、貪瀆與不法 事項之處理、政風業 務督導考核。

遵循法令規定、

預防貪瀆不法、

推動行政程序透 明。

4. 政 府 採 購稽核

行 政 院 公 共 工 程委員會

部會組成之 採購稽核小 組

政府採購法、採購稽 核小組組織準則、採購 稽核小組作業規則

工程定作、財物買 受、定製、承租及勞 務委任或僱傭等採 購之稽核。

強化政府採購作 業、確保採購品 質。

5. 工 程 施 工查核

行 政 院 公 共 工 程委員會

部會組成之 工程施工查 核小組

政府採購法、工程施 工 查 核小組組織準 則、工程施工查核小 組作業辦法

公共工程之品質管 理制度、施工品質及 施工進度等事宜之 查核。

提 升 公共工程品 質、確依進度完 成。

6. 人 事 考 核

行 政 院 人 事 行 政總處

人事單位 行政院 所屬 各級人 事機構 人員 設置管 理要點、中央政府機 關員額管理辦法、行 政院及所屬各機關公 務人員平時考核要點

人事機構業務績效 考核、員額評鑑、公 務人員平時考核。

人力資源合理配 置及妥適管理。

7. 內 部 審 核

行 政 院 主 計 總 處

主(會)計單位 主計機 構人 員設置 管理條例、會計法、

內部審核處理準則

主 計 業 務 督 導 考 核、財務審核、財物 審核、工作審核。

財務收支審核，

提升經費使用效 能及避免浪費。

8. 事 務 管 理 工 作 檢核

財政部(國庫署、國 有財產署)、行政 院主計總處、交通 部、內政部(營建 署、消防署)、行 政院人事行政總 處

總 務 ( 秘 書 ) 單位

出納管理手冊、國有 公 用 財 產 管 理 手 冊、物品管理手冊、

車輛管理手冊、辦公 處所管理手冊、宿舍 管理手冊、安全管理 手冊、工友管理要點

出納、國有公用財 產、物品、車輛、辦 公處所、宿舍、安全 及工友等 8 項管理 工作之檢核。

保障資產安全、

提升工作效率。

資料來源：政府內部控制之推動(2015)，行政院主計總處電子書平台（行政院主計總處網站 www.dgbas.gov.tw）

從前述規範面觀之，行政機關原有內部控制係由相關權責主管機關就財務、廉 政或效能等個別特定面向加以規範，其中風險管理相關規範著重強調由機關形塑 風險管理文化及建立整合性風險管理機制，惟未明訂抑減風險（例如運用內部控 制機制控管風險）之具體作法供機關實務操作參考；另從機關內部控管機制之實 際運作情形來看，行政機關並未設置專責之內部稽核部門，但實際從事內部稽核 相關工作者包含研考、人事、政風、會計等人員，稽核職責分散、缺乏整合（賴 森本，2003；陳慶財，2005），且部分機關因執行不夠落實，時有重大違失案件發 生，¹依審計部中央政府、各直轄市及縣市總決算審核報告，2007 至 2009 年度涉有 違失案件遭處分人數，平均每年度達 1,469 人，斲傷政府形象及公信力甚鉅。此外，

審計部於民國 97 及 98 年度中央政府總決算審核報告亦提出「政府機關內部控制制 度整體架構尚未確立，部分機關發生施政效能不彰及弊端情事，允宜積極研謀妥 處」（審計部，2008：乙-12）、「建構健全之內部控制機制刻不容緩，允宜積極推動 辦理，以確實強化各機關內部稽（審）核功能」（審計部，2009：乙-14）等意見，

建議行政部門建立及實施內部控制制度。

為協助中央行政機關建立及執行有效內部控制，行政院於 2010 年底籌組成立 跨部會之內部控制推動及督導小組，由行政院秘書長擔任召集人，行政院主計總 處負責幕僚作業，除融合美國反舞弊性財務報告委員會所屬發起組織委員會

（ Committee of Sponsoring Organizations of the Treadway Commission ，以下簡稱 COSO）發布之「內部控制整合架構」（Internal Control-Integrated Framework

） ，

197 年爆發巴紐外交公款侵吞案，外交部與巴布亞紐幾內亞洽談建立全面外交關係，兩國官員商議 多次後，巴紐無意建交，惟外交部預計給予巴布亞紐幾內亞的外交援助款 3,000 萬美元，遭仲介中 間人私吞，時任外交部部長黃志芳辦理建交案未切實評估風險並進行控管致肇生重大弊案，遭監察 院彈劾。

(https://zh.wikipedia.org/wiki/%E5%B7%B4%E7%B4%90%E5%A4%96%E4%BA%A4%E5%85%AC%E6%AC

%BE%E4%BE%B5%E5%90%9E%E6%A1%88。)。

（http://www.appledaily.com.tw/realtimenews/article/new/20160707/902825/）

依循辦理，且自 2013 年起分階段推動機關試辦簽署內部控制聲明書，已分別輔導 18、64 及 118 個機關完成簽署 2013、2014 及 2015 年度內部控制聲明書，2017 年擴 大推動已完成組織調整之 650 個機關簽署 2016 年度內部控制聲明書，並要求行政 院及所屬各機關於 2018 年全面簽署 2017 年度內部控制聲明書。

基於政府內部控制相關規制業趨於完備，各機關亦逐步將內部控制納入常態 運作，行政院於 2016 年 12 月 29 日以院授主綜規字第 1050600782 號函裁撤行政院 內部控制推動及督導小組，²並停止適用「行政院內部控制推動及督導小組設置要 點」、「強化內部控制實施方案」及「政府內部控制考評及獎勵要點」，另為強化機 關自主管理，落實逐級督導責任，提出相關配套作法如下：

推動各機關全面簽署內部控制聲明書；請行政院所屬一級機關針對所屬機關遇有未落實辦 理風險評估、外界關注事項、簽署部分有效或少部分有效類型內部控制聲明書等，應綜合 評估對所屬機關內部控制之影響程度，採取例外管理，包括要求所屬機關於期限內就特定 議題提出檢討改善情形或前往實地督導等；主管機關³及其所屬機關如發生內部控制重大缺 失及執行情形不佳等，行政院將責成主管機關進行檢討，並由行政院主計總處邀集相關機 關研商，或由行政院主計總處會同相關權責機關實地瞭解提供意見等，如有重大須協調事 項，行政院將召開專案會議處理。另為利各機關加強控管各項施政風險，國家發展委員會 與主計總處共同研議整合風險管理及內部控制相關規範，請各機關適時整併現行風險管理 小組及內部控制小組，將風險管理及內部控制融入機關日常作業中。

鑒於前述我國中央行政機關內部控制規制之建立，乃我國施政管理制度之重 大變革，其他先進國家如美國、加拿大及澳洲等國參考美國 COSO 之「內部控制 整合架構」等研究報告，發展建構其公部門內部控制制度均早於我國，渠等國家 政府內部控制規制之設計及實施經驗是否可供借鏡，以及我國中央行政機關內部 控制規制是否有需檢討改進之處，頗值得探究。

另考量內部控制係組織自主管理事項，縱使相關機制或規範已合宜完備，倘 若員工未能依規制落實執行，仍無法發揮其應有之功能，因此本研究亦希望透過 檢討分析中央行政機關推動內部控制工作情形，就機關實務執行上如何促使全體

2立法院預算中心民國 106 年度中央政府總預算案整體評估報告就行政院設置多個任務編組，為避 免組織疊床架屋並撙節人力物力，提出宜全面檢討存續必要性之意見（參考立法院網站

http://www.ly.gov.tw/06_lyacc/search/accOutlineList.action?id=25557）。立法院第 9 屆第 2 會期內 政委員會嗣於 105 年 10 月 31 日召開第 9 次會議審查 106 年度中央政府總預算案關於行政院主管 收支部分，通過立法委員賴瑞隆、李俊俋等人提案並作成決議，請行政院就 61 個任務編組業務執 行情形重行檢討予以整併或裁撤，於 6 個月內向內政委員會專案報告，並於 1 年內完成。行政院 於 105 年 11 月 9 日召開行政院任務編組檢討調整作業會議，其中針對行政院內部控制推動及督 導小組部分，因考量該小組已完成階段任務，後續宜由機關落實自主管理，故決議予以裁撤。

3所稱主管機關即中央二級行政機關。

員工落實執行以維持內部控制持續有效運作，提出建議供政府機關參考。

第二節 研究目的

基於前述背景說明及研究動機，本研究以行政院 2010 年起推動強化中央行政 機關內部控制為研究主題，並將其所建構行政機關內部控制架構及規範，以及機 關在此架構規範下實際執行情形列為本研究之研究重點，因此本研究希望達成下 列目的：

一、探討我國中央行政機關內部控制架構及相關規範之內涵，並與美、加、澳等 國家政府內部控制規制進行比較分析，以撷取值得我國借鏡參考之作法。

二、探討中央行政機關依行政院所訂規制及作法執行內部控制工作之實際狀況及 所遭遇問題。

三、根據上述研究結果評估現有內部控制相關規制與作法是否有需再檢討改進之 處，以及就機關實務執行時如何落實內部控制並維持其有效運作，提出建議 供政府機關參考。

第三節 研究方法

本研究所採取的研究方法，包括文獻探討法、參與觀察法、深度訪談法及跨國 比較法 4 種，說明如下：

壹、文獻分析法

本研究將蒐集國內外內部控制、內部稽核理論之專書、期刊文章、研究報 告、法令規定、網站資料，以及我國中央行政機關內部控制推動單位提供之初 級與次級資料進行分析。首先本研究有關文獻回顧的部分係就探討我國政府內 部控制為主題之博碩士論文、期刊文章及官方研究報告進行整理，以歸納前人 之研究成果做為本研究之基礎；其次，透過搜尋國外政府網站資料、公務人員 出國報告、期刊及國際組織研究報告等國外文獻資料加以整理檢視，以掌握國

際間政府內部控制之發展脈絡。至於我國中央行政機關內部控制規制作法及其 推動情形，則以筆者參與推動內部控制工作機會所取得之第一手資料（包括本 研究所擇選機關實際執行內部控制相關作業資料）、政府出版品及研究計畫報 告等相關資料進行分析，並與國際公部門內部控制發展趨勢加以比較研究。

貳、參與觀察法

筆者在行政院主計總處服務多年，目前所任職部門係負責辦理政府內部控 制制度之綜合規劃、研究發展與推動及督導等事宜，因此對於行政院推動強化 中央行政機關內部控制之歷程有深入之瞭解，並參與執行行政院主計總處內部 控制與內部稽核工作，將藉由筆者實際參與之經驗與觀察，蒐集本研究所需資 料對欲探討之問題加以分析並提出建議。

參、深度訪談法

為瞭解機關內部控制實施情形，以及在執行過程中所遭遇的問題與挑戰，

本研究將採半結構式訪談方式進行，⁴訪談時以訪談大綱（詳附錄一）作為訪 談之指引，但在訪談進行過程中，對訪談內容保有彈性處理之空間，可視實際 狀況調整訪談大綱的順序或提問的內容，以利探知受訪者的感受、認知與想 法。至訪談對象部分，係以立意抽樣法⁵選擇部分參與本研究探討分析內部控 制工作執行實況之個案機關內部控制業務相關人員，並以涵蓋不同單位或不同 官職等人員為原則，共計 10 人，訪談名單如表 1-3，訪談前先寄發邀請函，獲 受訪者同意後安排訪談時間，並以電子郵件寄送訪談大綱內容，同時預為事先 做好相關調查準備工作，包括蒐整受訪者服務機關基本資料等，訪談完成後做 成訪談紀錄（詳附錄二），並與受訪者確認後，再據以歸納整理分析。

4半結構式訪談又稱為半標準化訪談或引導式訪談，此種訪談方式是介於結構式與非結構式訪談之 間的一種資料蒐集方式，研究者在訪談進行之前，根據研究問題與目的，設計訪談的大綱，但實 際訪談時可視受訪者狀況對訪談問題做彈性調整。

5

表 1-3 深度訪談對象一覽表

訪談對象（編號） 訪談者背景 年資 訪談時間 A1 薦任九職等科長 某二級部會業管內部控制及

內部稽核幕僚作業科長

24 年 106.6.9

A2 約聘研究員 某二級部會業務單位同仁 5 年 106.6.9

Ｂ1 薦任九職等技正 某二級部會業管內部控制及 內部稽核幕僚作業承辦人

13 年 106.6.13

B2 薦任九職等科長 某二級部會主計室科長 16 年 106.6.13

B3 約聘研究員 某二級部會所屬三級機關內 部控制及內部稽核幕僚作業 承辦人

15 年 107.1.24

C1 薦任八職等視察 某三級機關業管內部稽核幕 僚作業承辦人

15 年 106.6.29

C2 簡任十一職等主任 曾負責辦理某三級機關及二 級部會內部控制幕僚作業

30 年 107.1.23

C3 簡任十三職等首長（已 退休）

曾任職某三級機關業務首長

（已退休），100 至 105 年擔 任該機關內部控制小組召集 人

45 年 106.6.29

D1 薦任七職等秘書 某四級機關業管內部控制及 內部稽核幕僚作業承辦人

13 年 106.6.21

D2 薦任九職等科長 某四級機關業務單位科長 22 年 106.6.21

資料來源：本研究整理

肆、跨國比較法

鑒於我國業參採美國 COSO「內部控制整合架構」及國際最高審計機關組織⁶

（International Organization of Supreme Audit Institutions，以下簡稱 INTOSAI）「公 部門內部控制準則指引」等規範建置中央行政機關內部控制規制，宜參考其他參 採 COSO「內部控制整合架構」先進國家建立之政府內部控制制度及實施經驗，以 及重要國際組織對於公部門內部控制之建議意見，因應國際潮流趨勢與時俱進。

故本研究將歸納梳理國際組織【COSO、國際內部稽核協會（The Institute of Internal ⁷ Auditors，簡稱 IIA）、INTOSAI】對於內部控制之研究與建議，以及同屬參採 COSO 內部控制整合架構之美國、加拿大及澳洲等國家內部控制制度與實施經驗，與我 國中央行政機關內部控制規制進行比較，擷取值得借鏡部分作為研提改進建議之 參考。

第四節 文獻探討

揆諸國外內部控制之研究發展源自強化民間企業經營管理與提升營運效能，

並防止舞弊及確保財務資訊之揭露公開透明，以保障投資大眾權益等為目的，我 國亦由民間企業率先啟動內部控制之制度化規範，因此早期文獻對內部控制議題 的探討，多偏重於民間企業的內部控制為主。隨著 1980 至 1990 年代國際間推動政 府再造運動潮流，為師法民間企業作法強化組織管理功能，以建構一套適用公部 門的內部控制制度，行政院主計總處曾於 2001 年間首度將機關建立內部控制制度 之觀念要旨，納入會計法修正草案送請立法院審議，⁸行政院嗣於 2010 年底成立行 政院內部控制推動及督導小組，著手建構中央行政機關內部控制整體架構及規制 以來，開始有較多的文獻以公部門內部控制為研究對象進行相關議題的探討與研 究。

6國際最高審計機關組織創立於 1953 年，由世界各國最高國家審計機關所組成的國際性組織，其主 要職責是統一規範審計標準，透過各會員國之間的經驗交流等加強業務合作，以促進審計工作之 推展。

7國際內部稽核協會成立於 1941 年，為一全球性之非政府組織（NGO），致力於內部稽核專業認證 及相關理論與實務之推廣。

8因立法院屆期未審畢，下屆不續審，故撤回重新檢討。

本研究經蒐集整理國內公部門內部控制，大致從內部控制之影響因素與執行 成效、內部控制之建立及實施三個面向來探討，茲將各面向所提重要見解析述如 下：

壹、內部控制影響因素與執行成效之探討

陳保良（2005）調查瞭解台北市信義區公所人員對內部控制 5 項組成要素、內部 控制有效運作之關鍵因素及內部稽核功能之認知態度，實證調查發現大多數同仁 雖肯定內部控制對行政機關之重要性，惟對風險評估、資訊與溝通之認知，有待 加強宣導及教育訓練；內部控制是提升行政效能的重要工具，其最主要的關鍵因 素在於行政機關主管的支持與重視；內部稽核是內部控制有效運作的關鍵因素，

且其推行重點在於達成稽核功能，未必要成立獨立的內部稽核部門，可透過組成 專案稽核小組方式來執行稽核工作。

江秀慧（2006）、張漢卿（2008）及邱振冬（2009）以問卷調查方法進行實證 研究結果發現，員工對內部控制重要性的認知，與組織績效或行政績效滿意度具 有正向的關聯性。

簡嘉賢（2006）及辛甫福（2007）分別就內部控制及風險管理與國軍績效之關 聯性，以及軍事機關單位採行自我檢查對組織內部控制成果及組織績效之干擾效 果，實證研究結果驗證內部控制及風險管理與國軍績效呈正相關，且內部控制與 風險管理呈正相關，即兩者為相輔相成關係；自我檢查活動對內部控制成果有正 面影響，內部控制成果及自我檢查活動對組織經營績效有正面影響，內部稽核機 制會干擾內部控制與組織績效中單位業務間的關係。

陳美娟（2012）探討政府機關內部控制制度之執行、角色壓力與組織效能之關 係，以及角色壓力對政府機關內部控制制度之執行與組織效能的中介效果。以財 政部國有財產局、關稅總局及所屬各關稅局與國稅局員工作為樣本對象，採用問 卷調查進行實證研究結果，角色壓力對內部控制制度之執行與組織效能之關係，

具有部分中介效果，表示內部控制制度之執行，可有效降低機關員工之角色壓力，

進而提升組織效能。

戴秀雲（2013）探討政府機關內部控制缺失對施政績效的影響，利用統計迴歸

模型分析 2007 年至 2011 年審計部中央政府總決算審核報告所揭露之我國中央政府 機關資訊，研究發現機關有發生未盡職責或績效過低缺失對政府施政績效呈顯著 負相關，即有發生缺失之機關其施政績效顯著較無缺失者差；另將審計機關重要 審核意見依五大要素分類進行敏感性分析，實證發現其中「控制作業」對政府施 政績效有較顯著負相關，即控制作業之有效性，有助於提升機關施政計畫執行效 果。

何秀蓮（2016）則以某公立博物館為研究對象，探討該機關員工內部控制角色 認知對內部控制成效之影響，研究發現無角色認知落差之員工，在設計內部控制 制度相關控制作業與辦理自行評估作業時，呈現積極態度，能主動提出興革建議 事項，且機關成員無角色認知落差時，較能落實風險評估，監督機制也較具成效。

因此認為政府機關內部控制要有效運作，首長與各一級單位主管要能重視與支 持，且須持續辦理相關教育訓練，建立同仁正確的內部控制觀念及認知。

貳、行政機關建立內部控制之探討

彭火樹、馬秀如（2001）認為應訂定「內部控制實施準則」，其內容應包括內 部控制之三大目標及五大要素，並強調控制環境、風險評估及獨立稽核功能之建 立，以作為全國各機關實施內部控制之準繩。各機關則依「內部控制實施準則」， 應視機關規模、業務性質及人員多寡之不同來建置內部控制制度，並確立各單位 內控職責與角色，俾利各單位人員據以執行。各機關應定期自評其業務及內部控 制執行情形，並因時因地制宜檢討、修正其「內部控制制度」書面手冊，以符合 內部控制為動態管理過程之精神。公正與具體之績效評估為落實內部控制之必要 機制，如能與獎懲切實配合，將可收內部控制興利之效。其可行的方法很多，如

「標竿制度(Benchmarking)」及「平衡計分卡制度(Balanced Scorecard System)」皆 為可考慮的選擇。

施炳煌（2004）認為內部控制要能落實，必需在觀念層面、執行層面及法規層 面多管齊下，始克有成，並建議我國中央行政機關可參採 COSO 的內部控制架構 體系訂定內部控制實施準則，並由各機關依據其業務特性，訂定其適用之內部控 制制度；設立正式的內部稽核部門，且對各機關內部控制實施情形應有課責機制；

加強人員訓練及溝通，宣導內部控制人人有責，以及首長應重視並負落實內部控 制之責等觀念，以營造優質的控制環境；控制活動應經風險評估，並配合環境變 遷作動態之修正。

鄭丁旺、許崇源、陳錦烽、林宛瑩（2012）認為機關內部控制制度之設計，應 由各單位辨認與其業務有關之風險，決定因應業務風險之控制作業，並將其融入 作業流程中作為執行業務之依據；內部控制有效性之評估流程，除了由機關各業 務單位定期進行自行評估，並由內部稽核協助確認各項控制作業之落實程度及其 效益，提出改善建議，再由機關首長依據上述評估及稽核結果簽署內部控制聲明 書；另建議先透過試辦再逐步擴大推動機關全面簽署內部控制聲明書，並將聲明 書納入機關年度施政績效報告及年報；內部稽核單位則建議短期可採任務編組方 式組設，長期則應朝設置專責內部稽核部門研議規劃，並保障其獨立行使稽核職 權。

陳慶財（2005）與賴森本、許哲源及周靜幸（2009）則認為內部稽核在內部控 制體系中扮演重要角色，建議行政機關應設立內部稽核專責部門配賦專責人力，

明定內部稽核單位法定職掌及報告體系，保障其獨立行使稽核職權，提升稽核人 員專業素質，執行成果導向內部稽核，並將稽核成果作為管理及擬定政策重要依 據，以及建立與外部審計之溝通協調機制。

何永智、詹瑞華、羅孟瑜、李正心、周明政、張庭蓉、何俞賢（2014），針對 行政院於 2013 年間所訂定之內部控制自行評估及內部稽核機制進行研究分析，⁹建 議簡化自行評估流程、強化風險導向內部稽核工作、提升稽核人員專業知能及建 立缺失追蹤複查機制等。

參、行政機關內部控制實施情形之探討

蔡福建（2001）探討公務機關財務活動與採購活動可能發生的弊端與缺點，透 過分析內部控制缺失案例及問卷調查進行研究，研究結論提出內部控制未能落實

9行政院於 102 年 5 月訂頒「各機關內部控制制度自行評估原則」及「政府內部稽核應行注意事項」，

作為各機關辦理內部控制制度自行評估及內部稽核工作之依據，嗣於 104 年間整併上開規定另訂

「政府內部控制監督作業要點」，故「各機關內部控制制度自行評估原則」及「政府內部稽核應行 注意事項」已配合停止適用。

的原因包括風險因人而起及未遵循控制等，故建議應建立良好的內部控制制度及 環境、加強內控宣導、整合行政系統建立內部稽核等，以提升公部門行政效率。

王威智（2004）、官穎萱（2016）分別就採購制度、內部控制與內部稽核關聯 性，以及內部控制在大專院校採購循環之運用進行研究，研究建議適時研修政府 採購法以提升採購效率，採購主管機關應加強督導與考核；強化採購作業之內部 控制，包括形塑良好內部控制環境及落實風險評估，並配合評估結果增加控制點，

要求做好自主檢查且由主管確實複核；強化內部稽核功能，成立專責單位採購稽 核小組，對於重大採購案件之稽核宜委託專家學者辦理；定期辦理業務宣導，加 強採購、採購監辦與稽核人員專業訓練等。

巫雅琳（2008）、陳素珍（2014）探討公務機關出納管理內部控制機制，研究 發現對於出納管理內部控制失控或發生舞弊，多為人為因素或久任出納職務，建 議加強和宣導內部控制觀念及教育訓練、出納管理人員應落實職期輪調及休假代 理制度，以及強化職能分工及內部稽功能，並利用電腦輔助發展持續性稽核等。

陳淑妙（2008）探討台北市區公所內部控制實施檢核之概況及對內部控制之影 響，研究發現大多數區公所將內部控制制度視為完成上級機關命令之產物，形式 意義大於實質效益。至內部控制檢核部分，其檢核所抽查項目及範圍，偏重財務 稽核範圍，而其他重要業務循環等非財務面向則係透過年度業務檢查辦理，稽核 獨立性與專業技能不足，且受限查核人力及時間，難以與管理階層作充分溝通，

風險評估亦較難周全，對於缺失報導之處理方式，則大多數採行文追蹤改善情況，

缺乏實質的獎懲機制，督導規勸大於實質約束力。故建議以工作流程上網為目標，

並整併標準作業流程手冊與內部控制制度、規範各所屬機關擴增內部控制自行檢 查項目，建立並落實內部控制獎懲制度、成立專責內控稽核單位以強化內部稽核 功能、強化風險評估以提升內部稽核效益。

呂秀珠（2012）針對某中央行政機關依行政院訂頒之強化內部控制實施方案推 動內部控制工作情形進行研究，透過深度訪談方法發現該機關控制環境尚未完 備、未能落實風險評估、控制作業不易律定，以及同仁對於自身在內部控制的責 任認知不夠清楚明瞭等情形，故建議內部控制績效應列為施政重點及關鍵策略目 標；內部控制教育訓練應列為中高階人員核心能力課程；先確認機關整體目標，

並落實風險評估；檢討現有標準作業流程，並與資訊系統結合；結合資訊透明化，

督促政府提升行政效能；由各機關研考單位負責推動方案，並以中階幹部為主力；

建立內部稽核專責單位，並由政風單位擔任幕僚。

趙麗慶（2013）以花蓮縣政府行政機關內部控制制度實施情形為研究主題，研 究發現縣府各機關尚未建立完整之內部控制制度，同仁對內部控制觀念有待導正 與加強，建議將政府機關建立內部控制賦予明確法律依據，以提高機關首長的重 視與支持，以及比照中央行政機關作法成立機關內部控制推動小組加強橫向聯 繫、加強宣導內部控制觀念作法、訂定控制作業及自我檢視評估控制作業是否落 實執行。

黃秀蘭（2014）、游秀蘭（2015）分別就新北市政府行政機關與台北市政府某 機關推行內部控制狀況進行探討，研究發現受訪者所服務機關管理階層普遍認同 及支持內部控制之推動與建置，惟多數機關尚未能將內部控制形塑為機關文化，

或內部控制制度雖已建置完備，惟機關成員對內部控制仍不甚瞭解，未將內部控 制與日常作業結合，致產生流於形式現象等。建議加強辦理教育訓練與建立學習 型組織，以擴散內部控制觀念，以及強化績效考核與提供有效獎勵措施等。

肆、小結

綜合上述探討政府部門內部控制有關文獻，其中以內部控制影響因素及執行 成果方面的研究最多，其次，針對如何建立有效內部控制之研究，絕大多數係就 尚未建立系統化內部控制制度之狀況與問題進行探討，進而提出改進之建議作法

（彭火樹、馬秀如，2001；施炳煌，2004；陳慶財，2005；賴森本、許哲源及周靜 幸，2009；鄭丁旺等，2012），至於探討內部控制機制本身在組織中如何運作的實 證研究則相對較少，且研究範圍多半侷限於財物（務）管理、出納管理及採購作 業等特定業務內部控制機制之運作（蔡福建，2001；王威智，2004；巫雅琳，2008；

陳素珍，2014；官穎萱，2016），目前雖已有少數文獻以中央行政機關自 2010 年起 強化內部控制辦理情形為主題進行研究，惟多僅就制度面或執行面單一面向加以 討論，且大多以單一特定機關為研究對象（呂秀珠，2012；何永智等，2014；何秀 蓮，2016）。

從宏觀的政策角度來看，政府機關內部控制之實施，涵蓋規範之制定及其實 務執行的問題，惟現有的研究對於以上兩個層面的問題尚缺乏完整的討論，顯示 這個領域的研究仍有相當大的發展空間；其次，就制度面觀之，我國中央政府導 入 COSO「內部控制整合架構」觀念作法創建之行政機關內部控制規制，透過與其 他國家政府內部控制制度進行跨國比較，以及對照國際間內部控制研究之發展趨 勢與時俱進，亦是值得關注的重要研究方向；另就執行面而言，過去的研究多侷 限於單一個案機關實施經驗之探討，無法瞭解不同機關間實務執行所面臨問題進 行周全的評估。因此，本研究希望補足此一主題研究之不足。

第二章 內部控制架構體系 第一節 內部控制之意涵

壹、內部控制之意義、目標與組成要素 一、美國 COSO 的內部控制報告

西 元 1949 年 美 國 會 計 師 公 會 （ American Institute of Certified Public Accountants，AICPA）首先提出內部控制這個名詞，其所發表一篇名為「內部控制

－整合控制之要素及管理階層與獨立會計師之重要性」研究報告認為「內部控制 係指企業為保護資產的安全、提高會計資訊的正確性和可靠性、促進經營效率及 推動既有管理政策之執行，所採行的計畫及所有的各種協調方法與措施」（Tipgos，

2002）。

美國企業嗣於 1970 年至 1980 年間陸續發生許多不實財務報導案件，1985 年由 美國會計師公會（American Institute of Certified Public Accountants）、美國會計學會

（American Accounting Association）、內部稽核協會（The Institute of Internal Auditors）、管理會計人員學會（The Institute of Management Accountants）及財務負 責人協會（Financial Executive Institute）共同贊助成立一個不實財務報導的全國性 調查委員會－Treadway 委員會，主要在探討財務報導舞弊產生的原因，針對許多 問題提出建議，但未對內部控制作成結論。兩年後在該委員會的建議下，由其贊 助機構另外成立 COSO，專責研究內部控制相關議題。1992 年 COSO 提出「內部 控制－整合架構」（Internal Control-Integrated Framework

）

修改對外報告之範圍並納入與保障資產安全有關的控制，獲得 GAO 的接受，「內 部控制－整合架構」方告定案（馬秀如譯，1998:11）。

2000 年前後，美國陸續發生世界通訊（World Com）及安隆(Enron)等多起重大

10已於 2004 年調整功能並更名為政府課責總署(Governmental Accountability Office，GAO)。

企業虛飾財務報導導致全球證券市場動盪的案件，美國遂於 2002 年發布沙氏法案 (Sarbanes-Oxley Act)，強化財務報告資訊之揭露並強調公司及其主管人員之責任。

為因應沙氏法案，COSO 於 2004 年發布了「企業風險管理-整合架構」，其關注之 焦點延伸擴大至風險管理的範疇。嗣後陸續再提出「財務報導的內部控制-較小型 公開發行公司指引」、「內部控制監督指引」，至此幾已完整建構內部控制之觀念、

架構體系及應用指引。由於 COSO 這一系列的報告及指引對內部控制的研究頗為 完整，逐漸為世界各國政府及企業所參採應用，成為內部控制研究發展歷程中的 重要里程碑。

COSO「內部控制－整合架構」報告將內部控制定義為一個過程，這個過程由 企業的董事會、管理階層及其他成員負責執行，係合理確保達成下列各類目標（馬 秀如譯，1998）：

（一）營運之效果及效率：與企業的基本業務目標，包括績效、營利、保障資產 的安全有關。

（二）財務報導之可靠性：與編製可靠的對外公開財務報表有關。

（三）相關法令之遵循：與企業遵循相關法律及行政命令有關。

此外，內部控制包括控制環境、風險評估、控制作業、資訊與溝通及監督等 5 項互有關聯的組成要素，它們源自組織經營的方式，且與管理的過程相結合。這 5 個組成要素的內涵如下（王怡心等編譯，2013）：

（一）控制環境：係指整套的準則、過程及結構，其作為整個機構執行內部控制 的基礎。影響控制環境的因素包括組織的誠信與道德價值、促成董事會行 使其監督責任的各種要素、組織架構及權限分派、管理階層的管理哲學及 經營風格、延攬、培育及留用人才等力資源政策，以及董事會的關注與指 導等。

（二）風險評估：每個組織皆面臨來自外部及內部的不同風險，風險係指某事件 將發生且會不利於影響目標達成之可能性。風險評估為一種動態和反覆的 過程，藉以辨識及評估影響目標達成的風險。風險評估的前提為確立連結 組織不同層級的各項目標。風險評估係在辨認並分析達成目標之攸關風 險，為決定風險應如何管理的基礎。

（三）控制作業：控制作業是確保管理階層降低風險的指令被有效執行的各種政 策與程序。控制作業的執行遍及組織所有層級、業務流程內的各個階段，

它們本質上具有預防或偵測功能，亦可能涵蓋一系列人工及自動化作業，

諸如授權與核准，驗證、調節、業務績效複核及職責分工等。

（四）資訊與溝通：資訊是組織履行內部控制責任所必須，以支持其目標之達成。

管理階層從內部及外部來源，蒐集、產生或使用攸關且具品質之資訊，以 支持內部控制之持續運作。溝通是提供、分享及取得必要資訊之持續、反 覆的過程。內部溝通包含整個組織內之向上、向下及橫向的資訊傳遞，外 部溝通則可提升攸關外部資訊的內在溝通，亦可提供資訊給外界以回應各 種要求與期望。

（五）監督作業：監督作業旨在評估內部控制五大要素及其相關原則之每一要素 及原則是否已經存在及持續運作。組織可運用持續性評估、個別評估或兩 者兼用，以確定內部控制五大要素是否已經存在及持續運作，包含為實現 個別要素內相關原則之各項控制作業。持續性監督被嵌入組織不同層級之 營運過程中，包括例行的管理和監督活動，以及其他員工為履行其職務所 採取的行動。個別評估的範圍及頻率，將因風險評估、持續性監督之效果 及管理階層的考量而有不同。組織個體會依據管制機構、準則制定團體或 管理階層與董事會等所制定標準，對各種監督發現進行評估，以及向適當 層級管理階層及董事會呈報內部控制缺失。

近年來，隨著全球化浪潮興起及資訊科技的快速發展，企業經營環境、管理 型態與組織結構產生大幅變化，為順應時勢，COSO 於 2013 年 5 月推出新版內部 控制架構，原則上仍維持內部控制 5 項組成要素及 3 項目標，但將原先的「財務 報導可靠性」目標，更新為「報導可靠性」，擴大其報導範疇至非財務層面；另過 去 5 大要素是以控制環境為基礎，惟考量個別及持續地評估內部控制執行情形，

可確保 5 大要素之存在及運作，在新版架構中，將 5 大要素之基礎調整為監督作 業(如圖 1-1)，並進一步提出 5 項組成要素的 17 項總體原則（如表 2-1）及 82 個關 注點，分別說明內部控制基本概念，以及代表相關原則的主要特性和關注焦點，

作為適用於所有組織內部控制建立與評價的主要標準。此外，舊架構的重點在於

「知悉與建立內部控制制度」，新架構的重點則強調「董事會與管理階層的承諾與

實踐」，並強調公司治理的觀念，即透過董事會及管理階層負起內部控制建置與使 其有效的責任，以及將評估舞弊的風險列入風險評估要素的總體原則之一，以期 對組織從事內部控制設計、執行與評估等提供更完整之指引（王怡心，2012）。

圖 1-1 1992 年版與 2013 年版 COSO 內部控制整合架構

資料來源：COSO（1992）及 COSO（2013）

表 2-1 COSO 內部控制整合架構（2013 年版）五大要素與總體原則

組成要素 總體原則

控制環境

1. 組織對誠正與道德價值表明承諾

2. 董事會應表現管理時之獨立性，並且監督內部控制的發展和 表現

3. 管理階層在追求目標時，應在董事會的監督下，建立組織的 結構、報導規範及適當之授權制度

4. 組織應依循目標，並表明承諾，以吸引、發展和保留適任人 才

5. 組織在追求目標時，需維持成員對內部控制之責任

風險評估

6. 組織應明辨目標，以識別及評估相關之風險

7. 組織應辨認為達成目標所承擔的風險，並進行分析以決定如 何管理該風險

8. 組織在評估風險時，應考量潛在的舞弊因子

9. 組織應辨認及評估對內部控制制度有重大衝擊的改變

控制作業

10. 組織應選擇並建構控制活動，以降低追求目標時可能遭遇之 風險至可接受程度

11. 組織為達成目標，應建立科技的一般控制活動 12. 組織應藉由符合期待的政策與程序來發展控制活動

資訊與溝通 13. 組織應取得、產生或運用攸關及可靠資訊，以支持內部控制 之運作

14. 為支持內部控制之運作，組織應於內部溝通關於內部控制目 標與責任之資訊

15. 組織應與外界溝通有關影響內部控制運作之事項

監督作業

16. 組織應選擇、發展並執行持續性及個別之評估，以確定內部 控制的組成要素是否存在且運作

17. 組織應向高階主管及董事會等權責單位，進行即時評估和溝 通內部控制缺失

資料來源：COSO（2013）、王怡心等編譯（2013）

二、國際最高審計機關組織內部控制相關規範

國際最高審計機關組織（INTOSAI）於 1974 年會員大會中討論內部控制與內 部稽核之重要性，並於 INTOSAI 專業準則委員會下成立內部控制準則委員會，該 委員會於 1992 年頒布 INTOSAI GOV 9100「公部門內部控制準則指引」，提供公部 門建立及執行有效內部控制制度，並作為內部稽核人員或外部審計人員評估內部

控制之基礎，該指引於 2001 及 2004 年兩度修訂，將 COSO「內部控制－整合架構」

觀念納入，該指引將內部控制定義為「由組織個體的管理階層與員工影響的一個 整體過程，它被設計用來解決風險與合理保證達成組織任務及下列總體目標：包 括（一）組織有秩序地運作，且營運符合道德、具經濟性、效率與效果，與；（二）

履行課責義務；（三）遵守適用的法令規定；（四）保護資源，防止其遺失、濫用 和損壞。」並指出內部控制包含控制環境、風險評估、控制作業、資訊與溝通及 監督等 5 項互有關聯的組成要素。該委員會之後又陸續訂頒 INTOSAI GOV 9110

「 有 效 內 部 控 制 之 報 告 指 引 ： 審 計 機 關 執 行 與 評 估 內 部 控 制 之 經 驗 」、

INTOSAIGOV 9120「內部控制：提供政府課責之基礎架構」、INTOSAI GOV 9130

「機關風險管理」、INTOSAI GOV 9140「公部門內部稽核之獨立性」及 INTOSAI GOV 9140「公部門內部稽核人員與審計機關之合作與協調」。其中第 9120 號指引

「內部控制：提供政府課責之基礎架構」又進一步針對管理階層的內部控制角色 與責任、稽核人員的角色與責任、一般內部控制作業等，提供整體性架構，協助 管理階層持續監督營運及內部控制措施並適時修正，以及協助稽核人員定期評估 內部控制作業的有效性，以確保內部控制有效執行，合理促使達成組織目標。

三、我國民間企業內部控制相關規範

財團法人中華民國會計研究發展基金會審計準則委員會於 1987 年發布審計準 則公報第 5 號「內部會計控制之調查與評估」，將內部控制定義為「受查者之組織 及其所採用之各種協調方法與措施，以保護資產安全、提高會計資訊之可靠性及 完整性、增進經營效率，並促使遵行管理政策達成預期目標；一般分為內部會計 控制與內部管理控制」，內部會計控制係為保護資產安全、提高會計資訊之可靠性 及完整性，內部管理控制則為增進經營效率、促使遵行管理政策達成預期目標之 控制。該基金會嗣於 1998 年參考美國 COSO「內部控制－整合架構」訂定發布審 計準則公報第 32 號「內部控制之考量」，取代第 5 號公報，將內部控制定義為「一 種管理過程，由管理階層設計並由董事會（或相當之決策單位）核准，藉以合理 確保下列目標之達成：1.可靠之財務報導；2.有效率及有效果之營運；3.相關法令 之遵循。該等目標能否達成繫於內部控制設計之良窳及董事會、管理階層與員工 之有效監督與執行。上開第 32 號公報內容復於 2010 年由該基金會另訂第 48 號公 報「瞭解受查者及其環境以辨認並評估重大不實表達風險」所取代，其對於內部

控制之定義仍維持合理確認前述 3 項內部控制目標的管理過程。

中華民國內部稽核協會於 1995 年發布內部稽核執業準則公報第 5 號「內部控 制觀念與責任」，將美國 COSO「內部控制－整合架構」之內部控制五大要素納入，

並定義內部控制為一種管理過程，用以合理保證達成下列項目的：1.資訊之可靠性 與完整性；2.政策、計畫、程序、法令及規章之遵循;3.資產之保全；4.資源之經濟 及有效使用；5.營運或專案計畫目標之達成。

我國政府亦甚早關注民間企業的內部控制議題，1986 年財政部證券管理委員 會(現為金融監督管理委員會證券及期貨管理局)發布「上市公司建立內部控制實施 要點」，經宣導實施後再逐步擴大至公開發行公司，迄至 2002 年將「公開發行公司 建立內部控制制度實施要點」行政規則提升至法律位階，即於證券交易法第十四 條之一明訂公開發行公司、證券交易所、證券商及證券金融等事業應建立財務、

業務之內部控制制度，並授權主管機關訂定上開公司或事業內部控制制度準則。

依金融監督管理委員會 2014 年修正發布之「公開發行公司建立內部控制制度處理 準則」第三條規定：「公開發行公司之內部控制制度係由經理人所設計，董事會通 過，並由董事會、經理人及其他員工執行之管理過程，其目的在於促進公司之健 全經營，以合理確保下列目標之達成：一、營運之效率及效果；二、報導具可靠 性、及時性、透明性及符合相關規範；三、相關法令規章之遵循。」另第六條規 定，公開發行公司之內部控制制度應包括控制環境、風險評估、控制作業、資訊 與溝通、監督作業 5 項組成要素。其餘銀行、金融控股公司、保險業、信用合作 社、農漁會信用部、信託業、證券與期貨市各服務專業及一般商業等內部控制制 度建立，則依據銀行法、金融控股公司法、保險法、信用合作社法、農業金融法、

信託業法、期貨交易法及商業會計法等規定辦理，上開機構大致亦應用內部控制 五大要素及三項目標之精神執行內部控制。

貳、內部控制之限制

COSO「內部控制－整合架構」報告除了對內部控制之定義及 5 項組成要素內 涵有詳盡的描述外，並就內部控制之限制另立專章說明，該報告認為內部控制不 論如何妥善設計、實施及管理，只能對管理階層及董事會合理確認達成組織目標。

主要來自於內部控制有其先天限制，受到下列因素影響，限制其功能發揮，無法 絕對保證內部控制目標之達成：

一、控制範圍之限制：組織政策決定及目標設定非屬內部控制之範圍，因此組織 不適切之目標與決策無法透過內部控制來加以防範。另內部控制制度之設 計，通常僅針對正常環境下預定辦理之一般事項，倘發生情況變遷、特殊事 項或超越機關控制範圍之外部事件，所設計之制度恐難以因應。

二、人為疏忽或判斷錯誤：不能完全避免以既存有限資訊為基礎之判斷錯誤、疏 忽、誤解規定或承受壓力等人性弱點，且遵循有日久鬆懈的可能，致未能落 實執行內部控制制度。

三、管理階層踰越控制程序：高階主管具有踰越內部控制職能及相關決策的能力，

可能有掩飾其不當行為之意圖。

四、串謀舞弊或蓄意偽造：內部控制可能因多人相互勾結而被規避，故無法完全 排除串謀舞弊之可能。

五、成本效益之考量：應將若無控制而遭受失敗之風險及對組織之潛在影響，與 增加控制所需成本併同考量。

第二節 內部審核、內部稽核與內部控制之 關係

監督內部控制有效運作之「內部稽核」與政府部門中由會計人員執行之「內部 審核」兩者英文均譯為「internal audit」，以上兩者與內部控制一起出現時，常令人 混淆執行之主體、工作內容及其職責分際（馬秀如，1999），以下先分別說明內部審 核、內部稽核之意涵與工作範圍，再進一步探討其與內部控制三者間之關係：

壹、內部審核之意涵與工作範圍

民國初年，歐風東進，國內鐵路、鹽務等行業，由於業務上發生對外之債務 或抵押關係，較早引入國外之管理方法，在組織中即有內部審核部門之設立，隨 後部分銀行、大規模公民營事業相繼設立審核處實施審核制度，惟因審核範圍較