內部控制理論 - 內控、監督 & 內稽

內部控制理論內部控制理論 - - 內控、監督內控、監督 & & 內稽內稽

王怡心博士 100.3.10

98.7. 6

國立臺北大學會計學系教授兼副校長中華民國內部稽核協會副理事長

內部控制理論基本功考驗 - 正確數

1 2 3 4 5

6 7 8 9 10

11 12 13 14 15

16 17 18 19 20

報告大綱　　　　一、ＣＯＳＯ財務報導的內部控制

　　　　較小型公開發行公司指引。　　　　

二、ＣＯＳＯ內部控制監督指引。

三、 IIA 準則– IPPF 。

四、政府稽核服務之類型。　　　　

一、ＣＯＳＯ財務報導的內部控制一、ＣＯＳＯ財務報導的內部控制較小型公開發行公司指引較小型公開發行公司指引

第第 1 1 冊︰高階主管摘要冊︰高階主管摘要 ; ; 第第 2 2 冊︰指引冊︰指引 ; ; 第第 33 冊︰評估工具冊︰評估工具

年年 6 6 月月

原著　美國原著　美國 C O S O C O S O 委員會委員會譯者　王怡心．陳錦烽譯者　王怡心．陳錦烽

中華民國內部稽核協會中華民國內部稽核協會 2008 2008 年年 3 3 月月

ＣＯＳＯ財務報導的內部控制較小型公開發行公司指引

• 第 1 冊︰高階主管摘要

•崔德威（ Treadway ）委員會所屬的 COSO 委員會，在 1992 年發布內部控制整合架構，幫助企業和其他組織評估和加強內部控制系統。

•財務報導、相關的法律和法規管理環境發生了改變。尤其是 2002 年沙賓法案（ Sarbanes-Oxley ）在美國被立法成為法律。在其條款中，第 404 條款要求公開發行公司的管理階層，必須每年評估和報告，關於財務報導的內部控制有效性。


•第 2 冊︰指引

•第 2冊提供較小型企業財務報導內部控制的概要說明，包括公司特徵的描述，和他們如何影響內部控制，以及對較小型公司的挑戰，和企業如何使用此架構。

•本報告引用整合架構的二十個基本原則，並列出相關屬性、方法和範例等，說明較小型公司如何以符合成本 -效益的模式來應用這些原則。


•第 3 冊︰評估工具

•第 3 冊包含評估工具，以協助管理階層評估內部控制。經理人員也可使用這些工具，以確認該公司是否有效地應用這些原則。

較小型公司的特徵•第 1 冊︰高階主管摘要•

• 生產線較少和每條生產線的產品類別較少。• 行銷焦點集中，以通路或地理區域。• 由具有較大經營權者領導公司。• 管理層級較少，與更寬的控制範圍。• 較不複雜交易處理系統和協議。• 較少人員，有些人負擔較大範圍責任。• 維護直線資源及幕僚人員（例如法律、人力資源、會計和內部稽核）的能力有限。

達到更好的效率的內部控制

•第 1 冊︰高階主管摘要

•一、以風險為焦點•二、正確程度的文件化•三、將內部控制視為一個整合過程

•第 1 冊︰高階主管摘要 •達到財務報導有效內部控制的應用原則

•本指引提供一套二十項的基本原則，其代表與直接從整合架構摘錄之五個要素有關的基本概念。

•一、控制環境•二、風險評估•三、控制活動•四、資訊與溝通•五、監督


•一、控制環境

•1. 誠正與道德價值─建立及了解健全的誠正與道德價值，尤其是• 針對高階管理階層，並建立財務報導之行為標準。•2. 董事會─董事會了解並行使與財務報導及內部控制有關之監督• 責任。•3. 管理哲學與經營風格─管理哲學與經營風格支持有效的財務• 報導內部控制之達成。•4. 組織架構─公司之組織架構支持有效的財務報導內部控制。•5. 財務報導能力─公司留任具備財務報導及相關監督角色能力之• 人員。•6. 權限與責任─管理階層及員工獲得適當層級之權限與責任，• 以促進有效的財務報導內部控制。•7. 人力資源─人力資源政策與實務之設計與執行，有助於• 有效的財務報導內部控制。


•二、風險評估

•8. 財務報導目標─管理階層所指定之財務報導目標具有充分的說明及標準，以促使可靠財務報導風險之辨識。

•9. 財務報導風險─公司辨識及分析達成財務報導目標之風險，以作為決定該風險管理之基礎。

•10. 舞弊風險─評估財務報導目標達成之風險時，明確考量因為舞弊而發生重大錯誤之可能性。

•第 1 冊︰高階主管摘要 •

•三、控制活動•11.與風險評估之整合─採取一些行動，以因應達成財務報導目標• 之風險。

•12. 控制活動之選擇及建置─控制活動之選擇及建置，系考量其• 成本，以及其減輕財務報導目標達成風險之潛在效益。

•13. 政策與程序─在公司內部建立及溝通與可靠財務報導有關之• 政策，並經由相關程序促成管理階層指示之執行。

•14. 資訊科技─設計與建置適用的資訊科技控制，以支持• 財務報導目標之達成。


•四、資訊與溝通•15. 財務報導資訊─公司各階層辨識、搜集及使用有關之資訊，• 並透過一定的模式及時點傳送，以支持財務報導目標之達成。

•16. 內部控制資訊─辨識及搜集用以執行其他控制要素之資訊，• 並透過一定的模式與時點傳送，以促使機構成員• 履行其內部控制責任。

•17. 內部溝通─各項溝通促使及支持機構內各個階層• 了解與執行內部控制目標、流程和個人責任。

•18. 外部溝通─向外部人士溝通影響財務報導目標• 達成之事項。


•五、監督•19. 持續性及個別評估─持續性及個別評估，可促使管理階層確認財務報導內部控制是否存在並發揮功能。

•20. 缺失之報導─適時辨識內部控制缺失，• 並向負責採取改正行動之人員溝通。• 必要時，向管理階層及董事會報告。


•第 2 冊︰指引 • 概要• •第 2冊提供較小型企業財務報導內部控制的概要說明，包括公司特徵的描述，和他們怎么影響內部控制，以及對較小型公司的挑戰，和企業如何使用此架構。本報告引用整合架構的二十個基本原則，並列出相關屬性、方法和範例等，說明較小型公司如何以符合成本 -效益的模式來應用這些原則。


•第 2 冊︰指引 • 屬性•支持各項原則的是屬性，代表與該原則有關的特性。

• 方法•各項方法描述較小型公司如何應用一項原則。

• 範例•範例說明如何用來應用某項原則、屬性與方法。

Ⅲ. 控制活動 ( 4 項原則 )•公司不同層級執行控制活動，以降低達成財務報導目標之風險。

•在企業整體層級，高階管理者比較實際數與預算數、覆核財務報告，並考量營運及財務績效指標。範圍廣泛的控制，讓管理階層有效使用這些型式報告，藉以管理企業，並偵測出流程層級控制活動運作的缺失，以及值得注意的營運變動。

原則 11 ︰與風險評估之整合

•採取一些行動，以因應達成財務報導目標之風險。

原則的屬性 ( 與風險評估之整合 )

• 轉移風險

• 考量公司總分類帳的所有重要切入點

• 考量資訊科技

應用原則範例 ( 與風險評估之整合 )

•1. 使用共同控制活動模板• •一家醫療保健產品和服務提供者具有七億美元的資本，使用與人力資源活動相關之共同風險和控制活動模板。管理階層覆核共同控制活動清單，並與其風險評估所辨識之風險連結，以建立適當企業政策及程序。

Ⅳ. 資訊與溝通 ( 4 項原則 ) •資訊系統辨識、記錄、處理，並發布支援達成財務報導目標之資訊。

•許多公司仰賴人工或獨立的資訊科技應用程序，可以促進其最高管理階層及員工間有效的內部溝通。

原則 15 ︰財務報導資訊

•公司各階層辨識、搜集及使用有關之資訊，並透過一定的模式即時點傳送，以支持財務報導目標之達成。

應用原則的 3 方法 ( 財務報導資訊 )

• 一、利用矩陣詳細描述資訊流

• 二、從外部來源獲取資訊

• 三、與其他企業領域人士開會

應用原則範例 ( 財務報導資訊 )•1.使用矩陣紀錄資訊流

•資訊科技之會計長主導於記錄資訊以支援財務報導之流程中，使用矩陣記錄資訊流之服務。此矩陣包含個人或部門負責創造、修正、核准，使用與監控每一流程及子流程之資訊，例如「應付帳款的資訊地圖」。

應用原則範例 ( 財務報導資訊 )•2.使用管理階層會議，將關鍵假設予以證實及文件化

•生鮮食品採買與行銷公司之執行長於每季會見財務長，且部門將去證明促使公司提列準備金及遞延款項之關鍵假設文件化。

應用原則範例 ( 財務報導資訊 )•3.應用營運資訊到財務報導

•電器設備及零件製造商，也是負責環保及其他法規遵循事項的會員，定期與財務主管會面，討論遵循及相關補償成本，以使財務報導作業較適切。

原則 16 ︰內部控制資訊

•辨識及搜集用以執行其他控制要素之資訊，並透過一定的模式與時點傳送，以促使機構成員履行其內部控制責任。

應用原則的 2 方法 ( 內部控制資訊 )

• 一、建立與維護資訊地圖

• 二、透過討論辨識資訊

應用原則範例 ( 內部控制資訊 )•1. 於應付帳款中使用資訊地圖• •一家年收入達二億五千萬元之汽車零件製造商，利用資訊地圖記錄其應付帳款流程資訊。權限由會計長新增，經由財務長權限，並由會計與應付帳款、資訊科技、材料採購與驗收使用。•資訊地圖描述資訊之使用屬於內部控制之ㄧ部分，且為監控與測試控制操作之基礎。

應用原則範例 ( 內部控制資訊 )•2.使用軟體整合流程、控制及系統文件化• •一家年收入 5億元外部服務業之遵循經理(財務長指定之工作，並非全職角色 )，使用文件軟體工具，此工具促進流程之了解及評估更清楚與文件化更有效率。

應用原則範例 ( 內部控制資訊 )•3. 風險評估考量資訊系統之改變

•在九個國家營業之一家特殊樹酯公司之執行長覆核公司之風險。在每月主管會議中，執行長要求資深經理對於新風險之辨識提出建議，包含與那些系統改變、人事流程或作業相關之風險。

COSO 2009

二、內部控制監督指引

Internal Audit 內部稽核• 內部稽核為獨立、客觀之

確認性服務及諮詢服務，用以增加價值及改善機構營運。內部稽核協助機構透過有系統及有紀律之方法，評估及改善風險管理、控制及治理過程之效果，以達成機構目標。

• Internal Audit helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

COSO 委員會重要報告一覽表時間報告名稱

1992 年第一份報告：內部控制－整體架構（ ICIF ）中文翻譯本 1998年出版

1994 年發行補篇，內部控制架構方為大家所接受

2004 年第二份報告：企業風險管理－整合架構與應用技術（ ERM）中文翻譯本 2005出版整合架構、 2006年出版應用技術

2006年第三份報告：財務報導的內部控制－較小型公開發行公司指引（ ICFR），中文翻譯本 2008年出版

2009 年第四份報告：內部控制監督指引，中文翻譯本預計 2009 年 12月中出版（目前送國際 IIA 總會審查中）

善用 COSOCOSO來作好內部控制與內部稽核

才能強化公司治理

COSO 2006 版內部稽核與外部審計策略性整合來降低風險

37

內部控制監督指引架設簡介

•一、概論•二、第 1冊：指引•三、第 2冊：應用•四、第 3冊：範例

一、概論• 監督：內部控制組成要素之一•

一、概論 ( 續 )

• 監督在治理過程之效益為何？ – 及時地辨識及改正內部控制問題– 產生更正確及更可靠資訊提供決策運用– 編製正確且及時之財務報表– 關於內部控制之有效性，提供定期證明或聲明。

• 有效監督之基本原則 – 為監督建構一個基礎– 設計及執行監督程序 – 評估及報告監督成果

一、概論 ( 續 )

• 監督程序之範疇—惟可行監督範疇不限於下面所列 – 內部稽核單位定期評估及測試內部控制– 將各個持續監督計畫嵌入資訊系統中– 分析及適當追蹤各種營運報告或矩陣資訊，俾辨識控制失

敗之異常跡象– 控制之監管覆核，例如調節覆核可以視為監管覆核流程之

正常部分– 董事會及管理階層就其「內部控制之基調」，以及監督功

能之效果等，進行自行評核。– 審計委員會詢問內部稽核人員及外部審計人員– 內部稽核單位之品質評核 (QA – Quality Assessment)

一、概論 ( 續 )• 運用本指引促使監督更趨於成熟－(一 )在詳細閱讀監督指引後，管理階層能處理下列問題

– 是否已辨識出攸關組織目標之有意義風險，例如編製正確、及時及完整財務報表之相關風險？

– 哪些關鍵控制是最有效支持與有意義風險領域相關內部控制效果的結論？– 哪些資訊在判定控制是否持續有效執行時，是最具說服力的資訊？– 是否刻正執行有效監督，該等監督因未能於內部控制評估充分運用，導致

需執行不必要且高成本之額外測試？ (二 )其他重要概念

– 與評估者客觀性相關的特質。– 組織能信賴適當設計的間接資訊之期間及情況，當與持續或定期具說服力

之直接資訊合併運用時，就能評論內部控制仍是有效的。– 決定監督所運用資訊之充分及適切，確保監督結果能適當地支持內部控制

之結論。– 組織可以更有效率執行監督之方式，卻不會降低監督之效果。

二、第 1 冊指引•指引之目的– 協助組織改善其內部控制制度之效率及效果– 提供實務指引以闡明監督作業如何併入組織內部控制過程—本指引第 2冊有關「應用觀念」提供簡易之參考重點；第 3冊進一步提供專案進行期間，訪談相關組織所獲得之各種監督範例。

二、第 1 冊指引 ( 續 )

•監督之性質及目的－監督指引係依據 2006年較小型公開發行公司指引之 2 個基本原則加以發展

– 持續性監督及個別評估，有助管理階層判定內部控制其他組成要素是否持續發揮其功用；

– 內部控制缺失應及時加以辨識，及向負責執行改正行動相關人員作溝通；必要時，得向管理階層及董事會報告。


• 監督的模式•


• (一 ) 建立基礎– 1. 高層之基調－和每一個內部控制組成要素一樣，管

理階層及董事會成員表達他們對監督重要性信念之方式，對內部控制之有效性有直接影響，管理階層的基調影響員工的行為方式及對監督之反應。同樣地，董事會的基調影響管理階層的行為方式及對監督之反應。

– 2.組織結構－管理階層應就組織內部控制制度有效性負起主要的責任，董事會的角色是治理、指導及監督之一環。當高階主管成員無法客觀地監督，董事會可能決定應由其他具客觀性之適當層級人員執行監督程序。


• (一 ) 建立基礎– 3.內部控制有效性之基本瞭解


• (二 ) 設計與執行監督程序– 1.排定風險優先順序 – 2. 辨識關鍵控制 – 3. 辨識具說服力資訊 – 4. 執行監督程序


• (三 )評估及報告結果– 1.排定監督結果之先後順序– 2. 向組織適當層級報告監督結

果– 3.追蹤改正行動


• 其他考量– 委外工作之監督– 運用科技監督– 文件化之格式與水準– 監督之規模

三、第 2 冊應用

•針對第 1冊監督模式各指引，列舉概念應用例 1：高層之基調

三、第 2 冊應用 ( 續 )

•例 2：評估者的特性

三、第 2 冊應用 ( 續 )

•例 3 ：排列風險優先順序

四、第 3 冊範例•列舉許多組織在應用第 1及 2冊（分別為：指引及應用）中所概述之原則，所使用之技術。

•例 1：高層之基調

四、第 3 冊範例 ( 續 )

•例 2：管理階層與董事會之角色


•例 3 ：內部控制有效性之基本瞭解


•例 4：排列風險優先順序

58

三、 IIA 準則– IPPF

2.倫理 (道德 )規範3.準則

4.實務諮詢5.稽核發展與實務輔助工具

1.內部稽核定義

4. 實務諮詢4. 實務諮詢

6. 實務指引

59

1. 內部稽核定義• “ 內部稽核為

– 獨立、客觀之確認性服務及諮詢性服務，用以增加價值及改善機構營運。

– 協助機構透過有系統及有紀律之方法，評估及改善風險管理、控制及治理過程之效果，以達成機構目標。”

獨立係指內部稽核單位之組織地位 (PA1110-1,p90)

客觀係個別稽核人員之態度 (PA1120-1,p93)

有系統及有紀律之方法係指稽核專案之過程

60

1. 內部稽核定義—稽核之二大工作

• 確認– 評估相關證據以提出意見或評論– 與設計及維護作業流程者、內部稽核人員，以

及作業流程使用者有關• 諮詢

– 在本質上屬顧問性質，通常係根據要求才提供– 與內部稽核人員及需要諮詢服務者有關

61

1. 內部稽核定義 ( 續 )—確認與諮詢比較

• 確認– 專案目的及範圍由

內部稽核人員決定– 主要參與者有三方，

包括受稽核者、內部稽核、稽核報告使用者

諮詢– 專案之性質及範圍

由內部稽核人員與專案客戶協議

– 主要參與者有二方，包括內部稽核及委託者

財報稽核

績效稽核

舞弊稽核

內控自評

促導服務

建議服務

62

2. 倫理 ( 道德 ) 規範 –– 兩項組成要素

基本原則 (p32)– 誠正– 客觀– 保密– 適任

行為準則 – 針對每個基本原則詳訂內容適用於內部稽核人員及單位說明哪些是無法接受之行為 ? 應該予以懲處

使其他人得以信賴其所提之意見

2000年以後，將適用範圍擴大至執行內部稽核的個人及機關，不限於 IIA會員

63

3. 國際內部稽核執業準則

國際內部稽核執業準則之目的 :

• 建立內部稽核應具備之基本原則• 為加值型內部稽核工作建立良好之架構 • 作為評估內部稽核有無績效之基礎• 促進機構流程及營運之改善

64

3. 國際內部稽核執業準則 ( 續 )

• 國際內部稽核執業準則包括 :– 3.1一般準則 (AS)：探討執行內部稽核活動

之機構與個人之特性 – 3.2作業準則 (PS)：描述內部稽核活動之性

質，並提供用以評估內部稽核服務執行情形之品質標準

– 3.3實施準則：特定類型之專案• 確認性 (ISA)• 諮詢性 (ISC)

• 自 2002 年 1 月起正式生效

65

4. 立場聲明書

• IIA對某項議題之正式聲明書，以協助包括非審計稽核專業團體之相關團體，了解治理、風險或控制議題，並敘明內部稽核專業在上開議題之角色及責任

• 例：「內部稽核在企業風險管理之角色」以及「內部稽核在內部稽核單位資源配置之角色」

• 係屬強烈推薦的指引，但不具強制性

66

5. 實務諮詢

• 以前稱之為“指南”• 係屬強烈推薦的指引，但不具強制性• 應用於特定之內部稽核情境• 部分可一體適用，部分則僅適用於特定範圍• 只適用於某一期間，必要時提升至準則位階• 協助稽核人員如何適用執業準則及道德規範• 內部稽核協會之會員可線上查閱

67

6. 實務指引

• 提供執行內部稽核業務之細部指引• 包含細部的流程及程序，例如各種工具及技術、工作程式，以及詳細的方法

• 釋例– 資訊科技控制評估指引 (GAIT)–全球科技稽核指引 (GTAG)

• 係屬強烈推薦的指引，但不具強制性

68

四、政府稽核服務之類型遵循稽核1

財務報表稽核2

內部會計控制稽核3

資訊科技稽核5

績效 /衡功量值 /作業稽核

4

諮詢 /支援服務6

違背誠守之稽核7

69

( 一 )遵循稽核• 對於遵循某一要求之檢視

– 法律、契約、補助條件、機關政策及程序 • 有效遵循制度之特性

– 訂有書面相關規定，實際作業程序符合書面規定

– 相關人員及管理階層了解應遵循之規定– 對於機關目標、作業及法規遵循等，指派有

專責單位負責監督– 機關訂有作業規範及道德規範– 指派專業人員負責業務

• 部分工作亦可為績效稽核

70

( 二 ) 財務報表稽核

• 目的在於評核管理當局的五大聲明，並出具對財務報表允當表達之查核意見–存在 / 發生 – 實際存在–完整 – 沒有遺漏 – 評價及分配 – 適當數量或金額–權利及義務 – 如所有權– 表達及揭露—如符合一般公認會計原則

71

( 三 ) 內部會計控制稽核

• 會計控制的目標係確保所有交易經過授權；正確、完整與及時之紀錄等

• 會計控制之稽核係用以決定管理階層是否訂有會計與財務報導制度，俾利及時提供必要資訊

• 在稽核開始前填寫內部控制問卷，以初步辨識控制缺失– 問卷之題目宜以 ( 是∕否 ) 為之– 稽核人員於實地稽核時，對於答“否”的題目應深入分析其重要性；是否有補償性控制；或者根本是不必要或不經濟的控制

72

( 三 ) 內部會計控制稽核 ( 續 )

• 一般方法–區分各職能及類別，將其歸入適當“循環”中

–走穿測試 / 流程圖–測試

• 有效的控制制度，包括– 良好之控制環境–妥適規劃與執行之會計制度– 確保資料正確與資產安全之適當政策與程序

73

( 四 ) 績效稽核—定義

• “…對所蒐集之證據，執行客觀且有系統的檢驗，以對於計畫管理與績效，提供獨立評估… (期盼 ) 對負有督導 ( 改正 ) 之責的有關單位，提供改善計畫作業之意見，並協助其制訂決策…，提昇課責性

74

( 四 ) 績效稽核 ( 續 )— 對決策者之服務

• 提供決策過程使用之資訊• 對施政計畫經濟、效率及效益程度，提出結論及建議意見

• 草擬立法機關舉行公聽會之問題• 提出對於新計畫或提案評估的方法與步驟• 預測可能之計畫結果• 執行調查工作

75

(五 ) 資訊科技稽核

• 稽核人員應評估– 支援財務、績效或其他領域報導之資訊系統資料之可靠性

– 協助降低因舞弊、錯誤、違背安全性及重大災難，而產生潛在不利後果影響之資訊系統控制措施之有效性

76

(五 ) 資訊科技稽核 ( 續 )

政策

準則

組織與管理

實體與控制環境系統軟體控制系統開發控制

應用系統控制

治理

管理

技術

資訊科技控制架構

(GAIT,p175)

77

(六 ) 諮詢 /支援服務—諮詢服務

• 依據美國 GAGAS ，管理階層請求稽核人員提供有關支持機關作業的服務– 設計會計制度

• 依據 IPPF ，係指諮詢及及相關之客戶服務活動，其性質與範圍業經委任者同意，增加價值及改善機關作業

• 內控自評 (CSA) – 促導式團體討論、調查、管理階層作成之分析

• 訓練• 其他

78

(七 )違背誠正之稽核• 違背誠正之行為，包括：舞弊、浪費、濫權、違法、失職

• 規劃稽核工作時，應考量可能發生誠正之問題，惟不百分之百保證；又因濫權的認定較為主觀，因此，並不針對濫權之稽核提供確信

• 重大性標準之衡量，包括金額大小及公眾之認知

• 當存有違反誠正之可能性時，稽核人員可能須執行更進一步之稽核步驟

79

(七 )違背誠正之稽核 ( 續 )

• 違法—違反法律規定之行為• 舞弊—是違法行為之一，經由蓄意不實陳述，以獲取利益

• 未遵循—除包括違法行為外，尚有違背契約或補助款規定

• 濫權—與違法或未遵循不同，濫權係因行為未符合社會對於謹慎行為之期待

• 浪費—資源使用不經濟或無效率

80

(七 )違背誠正之稽核 ( 續 )—尋求協助

•可能需要與法律顧問、調查人員及 /或執法人員商談–辨識應用之相關法律、設計各種遵循測試、尋求專家協助、評估稽核或調查結果

•對稽核工作之影響–報導、中止 /取消稽核工作、協調

◎　敬請指教　◎ 　

王怡心聯絡信箱 :[email protected]

內部控制理論 - 內控、監督 & 內稽

Documents