主講人：張信一 經濟部會計長 中華民國100年4月13日 中華民國100年6月14、17日 內部審核與內部控制 主講人：張信一 經濟部會計長 中華民國100年4月13日 中華民國100年6月14、17日

報告大綱 前言 解惑 認知 施行 結語 附件─內部控制之演進

前言 動機是成功的關鍵（內部審核如何協助推動內部控制？） 92年3月26日 茉莉花… 海嘯、地震、核災… 巴紐案… 徒法不足以自行 行政院89年2月訂頒「健全財務秩序與強化內控實施方案」 行政院94年8月訂頒「行政機關風險管理推動方案」 97年4月訂頒「行政院所屬各機關風險管理作業基準」，並於同年12月修正更名為「行政院所屬各機關風險管理及危機處理作業基準」 行政院97年9月訂頒「加強財務控管及落實會計審核方案」 行政院於98年7月訂頒「國家廉政建設行動方案」 行政院於99年7月訂頒「整合服務效能躍升方案」 茉莉花… 海嘯、地震、核災… 巴紐案… 徒法不足以自行 動機是成功的關鍵（內部審核如何協助推動內部控制？）

解惑─內審、內控及其他關聯 內部牽制(Internal Check)，又稱內部制衡，為內部控制活動設計原則之一 內部審核(Internal Audit)，為內部之及時線上查核工作，有助於內部控制功能之發揮，當內部審核著重現行會計法下之財務審核與財物審核時，其性質傾向於內部控制組成要素之控制活動；當著重工作審核時，則傾向於資訊與溝通要素中之資訊。又考量監督要素，則指持續性監督（或營運過程中之例行監督），可以由營運人員自己、他的長官或更上級長官等負責，也可部分交由會計人員執行，而由會計人員執行部分，即屬會計法所稱之內部審核；至非例行監督（個別評估），則應由內部稽核執行 內部稽核(Internal Auditing)為獨立、客觀之確認性服務及諮詢服務，用以增加價值及改善機構營運。內部稽核協助機構透過有系統及有紀律之方法，評估及改善風險管理、控制及治理過程之效果，以達成機構目標

解惑─內審、內控及其他關聯 公司治理 (Governance)係企業之股東與利害關係人等透過企業內部控制關於上層統理結構的公司統理機制（以董事會為核心），以及外部之公司監理機制（來自政府、社會、非政府組織等之法制強制性或非法制強制性的各種法律規章與組織制度，促使企業得以在市場環境中公平競爭）的安排，來共同治理公司；其目標不僅要追求股東利益最大化，也要顧及其他利害關係人利益之均衡 風險管理 (Risk Management)係為企業真正落實美國沙賓法案之要求，於20世紀90年代採取之新的管理方法，其功能在於(1)應用於策略之制定、(2)辨識可能會影響企業之潛在事件及管理風險、(3)合理確保企業目標之達成，而依據COSO　ERM報告，明確指出風險管理之五個基本程序：(1)資訊蒐集（使命與目標）、(2)風險評估（SOWT分析）、(3)風險回應（風險決策─目標、策略、計畫之調整及修正）、(4)風險控制及其相關控制活動（風險控制之施行）、(5)監督與回饋，並將包括內部控制，將其作為一個子系統

解惑─內審、內控及其他關聯 鑒於新公共管理過分強調市場機制，輕忽公共利益、社會正義與法治行政，並欠缺民主課責機制，故逐漸轉向以「治理（governance）」取代「統治（government）」，計有下列六項基本要素： 合法性：係指社會秩序和權威被自覺認可和服從之性質和狀態，而取得和增大合法性之主要途徑則在於盡可能增加公民之共識和政治認同感，故要求管理機構與管理者執行之公共管理活動應盡最大努力協調各種公民之間、以及公民與政府之間之利益矛盾，俾取得最大之同意和認可

解惑─內審、內控及其他關聯 透明性：係指政治資訊之公開程度，每一位公民都有權獲得與自己利益關關之政府政策資訊，包括立法活動、政策制定、法律條款、政策實施、行政預算、公共支出以及其他有關政治資訊，俾便公民能夠有效參與公共決策過程，並對公共管理過程實施有效之監督 責任性：係指人們應當對自己的行為負責，尤其係指公職人員與管理機構，應透過運用法律和道義等雙重手段，增強其應履行一定職能和義務之責任 法治：係為保障公民之自由、平等及其他基本政治權利，而透過健全法制，直接規範管理者和公民之行為，俾能維持正常社會生活秩序

解惑─內審、內控及其他關聯 回應：係責任性之延伸，要求管理機構和管理者必須對公民之要求作出及時且負責之反應不得無故推拖，必要時還應定期、主動地向公民徵詢意見、解釋政策與回答問題 有效：係指管理之效率，包括合理設置管理機構，採行科學化及靈活之管理作為，並儘可能降低管理成本 台灣公共治理指標，包括「法治化程度」、「政府效能」、「政府回應力」、「透明化程度」、「防治貪腐」、「課責程度」及「公共參與程度」等七個面向，而我國近年來之具體作為如下：

解惑─內審、內控及其他關聯 法治化程度 政府效能 司法院於100年1月邀集各界代表成立「全民司法改革策進會」，健全我國司法政策諮詢平台，以提供改革之具體建言 99年5月修訂「個人資料保護法」，落實個人資料管理及隱私保護，推動法制現代化 政府效能 行政院於98年4月訂頒「行政院所屬各機關施政績效管理要點」，期使施政績效管理制度更臻完備 行政院於99年7月訂頒「整合服務效能躍升方案」，以精進擴大政府整體服務效能 行政院於100年2月訂頒「健全內部控制實施方案」，透過政府積極自我評估檢查與推動內部稽核制度，提升施政效能

解惑─內審、內控及其他關聯 政府回應力 透明化程度 行政院於97年12月修訂「行政院所屬各機關風險管理及危機處理作業基準」，各部會在建置整合性風險管理機制過程中，更能強化危機事件之預警指標及標準作業程序之檢討 人事行政局99年7月將「99年度公務人員政策溝通與宣導能力、執行力、應變力訓練」納入績效考核，要求各行政機關執行訓練計畫，提升公務人員服務品質，強化公務員即時回應人民需求之能力 透明化程度 94年12月總統令公布「政府資訊公開法」，增進民眾對公共事務之瞭解、信賴及監督之效 99年1月總統令公布修訂「政治獻金法」，合理規範政治獻金，並於各地選委會及地方政府機關網站設立「政治獻金法第7條查詢專區」，強化公開透明機制

解惑─內審、內控及其他關聯 防治貪腐 課責程度 法務部97年8月訂頒「公務員廉政倫理規範」，對公務員執行職務，提升政府清廉形象，予以規範 98年6月總統令公布「行政中立法」，規範公務人員依法行政，政治中立 100年7月成立法務部廉政署，增強肅貪、防貪及反貪能量，專責打擊貪腐 課責程度 我國建國之初即有審計制度，審計權由審計機關依法獨立行使，監督政府預算執行及決算審定事宜 行政院公共工程委員會於94年7月成立，並依「政府採購法」進行工程查核及採購稽核

解惑─內審、內控及其他關聯 公共參與程度 88年2月總統令公布「行政程序法」，並自90年度起實施，規範行政行為應遵循公正、公開與民主之程序，俾確保依法行政之原則，以保障人民權益，提高行政效能，期能增進人民對行政之信賴 98年9月26日澎湖縣辦理博弈公投，讓澎湖縣民以投票方式表達個人意願 100年4月21日原子能委員會辦理「核能安全公聽會」，邀集專家學者、環保人士及政府部門等進行意見交流

解惑─內審、內控及其他關聯 內部審核之規定與類型 內部稽核之類型 會計法第四章內部審核 內部審核處理準則 第95條至第103條 內部審核處理準則 第3條第2項：各機關實施內部審核，應由會計人員執行之。但涉及非會計專業規定、實質或技術事項，應由主辦部門負責辦理 第4條：內部審核之範圍 財務審核：謂計畫、預算之執行與控制之審核 包括預算審核、收支審核及會計審核 財物審核：謂現金及其他財物之處理程序之審核 包括現金審核、採購及處分財物審核 工作審核：謂計算工作負荷及工作成果每單位所費成本之審核 內部稽核之類型 通常包括財務稽核及非財務稽核（含營運稽核、遵循稽核、資訊科技稽核、績效或經濟與效率稽核、專案稽核等）

解惑─內審、內控及其他關聯 對受查單位之內部控制制度進行瞭解與評估，並對其有效性提供專業建議 內控制度是否有效 會計師查核 內部稽核 會計師查核 內部控制制度 組織首腦與管理階層及所有員工所共同執行之管理過程 是否遵行內控制度 內控制度是否有效 對受查單位之內部控制制度進行瞭解與評估，並對其有效性提供專業建議 內部控制制度之建立係管理者之責任 查核組織人員對現存內控制度是否確實遵行

解惑─內審、內控及其他關聯 內部控制與內部審核之關係： 內部控制制度與會計制度之關係： 會計制度，係用來產生財務資訊，並保證其所產生資訊為正確之一套程序 就整體目標而言，內部控制制度之範圍大於會計制度 就財務報導目標而言，內部控制制度之範圍未必大於會計制度 內部控制與內部審核之關係： 內部審核可能包括內部控制中的下列三種性質，並須視特定機構賦予執行者之角色而定： 控制活動，如對財務、財物及績效之審核 資訊，如對單位成本之計算及核對帳冊之記錄 持續性監督，即例行性監督，由負責日常營運活動的人來進行，如複核原始憑證是否合法

認知─內部控制之必要性 一個組織為達到設定之目標，必須透過管理程序來完成 管理循環，包括：規劃→組織→領導→命令→協調→控制→規劃 管理程序＝規劃＋執行＋控制 戴明品質管理PDCA 控制是一種軌道之設計，力避出軌情事發生 控制又可分由內部及外部來執行，前者稱為內部控制；後者稱為外部監理 內部控制係一種過程，受治理單位、管理階層及其他員工的影響，旨在合理確保組織下述目標之達成

認知─內部控制之必要性 內部控制之目標 營運效果及效率 含保障資產安全 財務報導可靠性 相關法令之遵循

認知─內部控制之必要性 內部控制之要素 監督 資訊及溝通 控制活動 風險評估 控制環境 係指評估內部控制執行成效之過程 將有關之資訊以適時有效之方式，予以辨識、蒐集、傳遞予相關人士，使其有效履行責任 用以確保組織成員確實執行管理階層指令之政策及程序 風險係指組織目標不能達成之可能性。風險評估即指組織辨認及分析風險之過程，以作為風險應如何管理之依據 用以塑造組織之紀律及內部控制之架構，係其四項組成要素之基礎，可影響組織文化及組織成員對內部控制之認知

認知─內部控制之必要性 內部控制之設計僅能合理保證目標之達成 設計時之成本效益考量 先天性限制會導致內控失效 起司理論 人為疏失 串同舞弊 管理階層逾越

打疫苗，要「五對」 病人對、藥品對、時間對、劑量對、方法對 注射 看診 施打藥物時，要確認病人對、藥品對、時間對、劑量對、方法對

身分核驗 搭飛機，要安檢 放行登機 行李檢查 全身檢查

認知─內部控制之必要性 審計風險 = 固有風險 x 控制風險 x 偵察風險 AR = IR x CR x DR DR = AR / ( IR x CR ) 風險類別 評估風險高低 所需查核證據 固有風險 高 多 控制風險 可接受之偵察風險 少

認知─內部控制應由誰主政 依據內部控制之定義，其外觀不僅有可能是一種有形的成文規範（硬性控制），也有可能是語言或行為表示，或根本是一種無形的企業文化與控制意識（軟性控制） 而受影響者包括組織治理單位、管理階層及其他所有員工，故應人人有責，而基於風行草偃之教化功能，領導者之支持尤其重要

認知─內部控制之迷失 迷失 真相 控制政策及程序重要 控制環境重要 法規要求才需要稽核人員 內部控制係管理階層職掌工作 主要對財務事項之控管 內部控制係組織營運活動之一 內部控制係負面的戒律 內部控制係正面地去做正確的事 內部控制為必要之惡，屬外加程序 內部控制應整合入營運活動中 因組織精簡，故需不同類別之控制 組織精簡且可刪除部分控制 確保正確且不會舞弊 提供合理而非絕對保證 內部控制是會計人員之責 內部控制是人人有責

認知─內部控制之迷失 我國政府部門內部控制之缺失 強調防弊，忽略興利，導致政府競爭力未能有效提升 過多與過時之控制，導致行政效率低落 如強調預算執行率，卻忽略執行成果 為方便衡量，相關績效指標常以投入面考量而非成果面 過多與過時之控制，導致行政效率低落 如新增控制程序時，未能適時檢討舊有的控制程序，造成重複監督或漏未監督之情形 使得溝通變得更困難，無法使相關資訊作為輔助政府決策之有效工具 內部控制觀念認知不清，難以揮揮應有之功能 將內部控制範圍侷限於會計或財務之控制面向 內部控制之設計，常為達目的而不考慮成本效益 誤認為內部控制建立後，弊端絕對不會再發生；或內部控制措施完備嚴密，不會產生弊端；以及過分自信機關員工之操守，絕不會產生內部控制問題

認知─內部控制之迷失 內部之監督系統未能整合，難以有效發揮監督功能 部分控制，違反職能分工員原則，難以防杜弊端發生 誤以為內部控制是技術層面之問題，與首長關係不深 忽略風險管理觀念，使面對瞬息萬變之情勢，透過內部控制改善施政之成效不大 政府已設有主計單位與審計單位 ，不勞費神辦理內部控制 誤將「手段」當成「目標」，只重視內部控制之建置與考核，忽略現有內部控制組成要素之檢討與改進 內部之監督系統未能整合，難以有效發揮監督功能 會計人員執行內部審核 政風人員防杜貪瀆不法 採購人員執行財物稽核 研考人員評估施政績效 事務主管辦理工作檢核 部分控制，違反職能分工員原則，難以防杜弊端發生 如員工薪俸表及國庫存款差額解釋表等習慣由出納代編 對內控自行評估報告尚未於決算表達，有違治理透明化原則

認知─政府現行管考工作之區分 行政管考 主管機關：行政院研究發展考核委員會 主辦單位：研考(企劃)單位 法律依據：行政院所屬各機關施政績效管理要點、施政計畫管制作業要點、施政計畫評核作業要點 稽核內容：施政績效評估、施政計畫管制及評核 行政管考

認知─政府現行管考工作之區分 人事查核 主管機關：行政院人事行政局 主辦單位：人事單位 法律依據：行政院及所屬各機關公務人員平時考核要點、中央政府機關員額管理辦法 稽核內容：員額管理、任免遷調、考核獎懲及待遇福利之審核 人事查核

認知─政府現行管考工作之區分 政風查核 主管機關：法務部 主辦單位：政風單位 法律依據：政風機構人員設置條例、行政院及所屬各機關資訊安全管理要點、政風業務督導考核實施要點 稽核內容：員工貪瀆不法之預防、發掘與處理；採購監辦；資訊機密維護及稽核使用管理 政風查核

認知─政府現行管考工作之區分 政府採購稽核 主管機關：行政院公共工程委員會 主辦單位：部會組成之採購稽核小組 法律依據：政府採購法 稽核內容：工程定作、財物買受、定製、承租及勞務委任或僱傭等採購之稽核 政府採購稽核

認知─政府現行管考工作之區分 事 務 管 理 工 作 檢 核 主管機關：財政部國庫署、國有財產局、行政院主計處、交通部、內政部營建署、內政部消防署、行政院人事行政局 主辦單位：總務單位 法律依據：事務管理彙編 稽核內容：出納、財產、物品、 車輛、辦公處所、安全、宿舍及工友管理等8項檢核 事 務 管 理 工 作 檢 核

認知─政府現行管考工作之區分 內部審核 主管機關：行政院主計處 主辦單位：主(會)計單位 法律依據：會計法、內部審核處理準則 稽核內容：財務審核、財物審核、工作審核 內部審核

施行─健全內部控制實施方案之重點 目的 目標 實施對象 行政院為提升政府施政效能、依法行政及展現肅貪之決心而訂定 以促進合理確保達成下列四項目標： 提升施政效能 遵循法令規定 保障資產安全 提供可靠資訊 實施對象 行政院及所屬機關（構）、學校 國營事業除已依現行法令規定訂定內部控制制度者，應加強落實辦理外，準用本方案之規定

施行─健全內部控制實施方案之重點 實施策略及方法 組設統籌單位 加強宣導內部控制重要性及實施作法，獲取共識與支持 優先辦理事項 行政院成立內部控制推動及督導小組 各機關分別組設內部控制專案小組 主管機關得衡酌所屬之規模大小、業務繁簡及人員多寡等因素，將本機關連同所屬成立該專案小組，並將所屬首長等相關人員納為專案小組成員 加強宣導內部控制重要性及實施作法，獲取共識與支持 由行政院推動及督導小組負責對主管機關首長、副首長加以說明 由主管機關負責對所屬首長、副首長進行宣導 由各機關對內部同仁定期或不定期舉辦內部控制教育訓練 優先辦理事項 就每年度監察院糾正案件及審計部中央政府總決算審核報告建議改善事項，優先列入檢討 其他如上級與權責機關督導及自行檢查發現之內部控制缺失，亦應適時檢討

施行─內部控制評估表 目標 風險 現行控制活動 評估 設計 執行

施行─設計及執行內部控制之評估 評估原則： 設計部分，係以現行設計與應有設計進行比較，前者係考量過去之目標及當時之內外在環境因素而設計出來之控制措施，後者則考量是現在之相關目標與因素 執行部分，係以現行設計與執行情形進行比較 專注於每項作為是否符合COSO五大要素之內涵，如果不符，應如何改善

評估焦點之參考範例(一) 控制環境 操守及價值觀 勝任之承諾 目標：由學校管理階層將不可妥協之訊息與決心傳遞給全部教職員工 焦點：是否訂定行為守則或替代方式？有無確實遵循？如有違反，處置方式是否合宜？ 勝任之承諾 目標：學校管理階層應訂明各項工作所需能力之水準，並轉換為需具備之知識及技能 焦點：是否訂定職務說明書或有其他替代方式可以確認某特定工作係由那些職務所組成？

評估焦點之參考範例(二) 校務會議及相關委員會 管理哲學和經營風格 目標：各種會議之運作應適任、積極、主動、且有效 焦點：會議成員之代表性、操守、知識、經驗及時間等是否充分？其他單位能否充分提供有關資訊？ 管理哲學和經營風格 目標：將具正面意義之管理階層管理哲學及經營風格散播於組織內 焦點：管理階層之態度？包括對風險之偏好程度，對財務資訊與資產安全之關心程度

評估焦點之參考範例(三) 組織結構 權責之分派 目標：學校設置之組織結構，應能配合其目標、業務及既有人力 焦點：在該組織結構下是否可及時提供必要之資訊？及進行必要之監督活動？並具備必要之彈性調整機能？ 權責之分派 目標：透過責任之指派、權限之授與及制訂相關政策，俾協助學校達成其目標，也是控制各教職員工執行職務之基礎 焦點：與控制有關之準則及程序是適當？授與教職員工之權力與其擔負之責任是否相當？

評估焦點之參考範例(四) 人事辦法 目標：招募能力強、操守好的教職員工，並留住他們 焦點：是否明訂適當之聘用、訓練、升遷及俸給辦法？如有違反，其補救或懲處措施是否適當？

評估焦點之參考範例(五) 風險評估 學校整體目標 作業目標 目標：辨別可能使目標不達成之內外部原因及其發生之可能性與嚴重程度 焦點：策略計畫與學校整體目標是否一致？學校之計畫與預算是否與整體目標、策略計畫及目前情況一致？ 作業目標 目標：為每一重要作業活動訂定明確目標及辨別其目標無法達成之內外部原因及其發生之可能性與嚴重程度 焦點：作業目標是否明確？所需資源配置是否適當？各作業目標間是否一致？

評估焦點之參考範例(六) 風險 對改變的管理 目標：辨認使目標不達成之風險，並考量風險發生之後果，俾作為風險管理之基礎 焦點：是否設有辨認風險之機制？風險分析之程序是否周延？且所分析之風險是否攸關目標之達成？ 對改變的管理 目標：設置辨認改變及對改變做出回應之機制 焦點：對涉及外界環境與內部有關事項如教職員工、資訊系統、規模、學程、組織、科技、校區等改變是否對學校之目標產生影響並予以妥適因應？

評估焦點之參考範例(七) 控制活動 為達目標學校必須先辨認風險，評估風險，再據以進行風險管理，設計必要之控制活動 目標：所設置之控制活動均為攸關並已執行，而未設置之控制活動則不予執行 焦點：各種營運活動是否設有必要且相關之控制政策及程序？並確實執行？

評估焦點之參考範例(八) 資訊與溝通 資訊 溝通 目標：取得及產生可靠之資訊，俾傳遞供資訊者決策使用 焦點：是否設置必要及適用之資訊系統以取得內外部之資訊？是否設置可用來報導疑似不當行為之溝通管道？ 溝通 目標：傳達資訊之速度快、未失真，俾使決策不致延遲偏誤 焦點：是否把必要資訊如員工所擔負之任務及控制責任提供給必要人員？是否有接納不同意見之雅量？及外界對學校道德標準之瞭解程度如何？

評估焦點之參考範例(九) 監督 持續監督 個別評估 目標：持續日常管理和監督活動，俾使內部控制持續有效 焦點：定期比對帳載與實際資產？是否藉外界溝通而確認內部產生資訊之正確？內、外部審核是否有效並作出適當回應？ 個別評估 目標：依據評估活動之風險及持續監督之有效程度，俾於一段時間後由不同人以全新觀點來判斷內部控制之有效性 焦點：進行個別評估之範圍和次數是否適當？評估方法是否合乎邏輯？且評估記錄完善？

評估焦點之參考範例(十) 錯失報導 目標：將內部控制之缺失陳報與適當管理階層知悉 焦點：是否已設置辨認內部控制缺失均須報導之機制？更正與追查行動是否適當並確實執行？

結語 當責Accountability 能力發展之步驟 SOS＋D 學習Learn→觀察Look→詢問Ask→嘗試Try See it正視問題 面對冷酷事實，察納他人批評，誠懇公開溝通 Own it擁有問題 積極介入，承諾目標，與組織校準目標 Solve it解決問題 面對難題，專注最後成果，不斷思考：為了成果，我還可以多做什麼？What else can I do? Do it著手完成 確實執行，主動報告進度，不斷有後續追蹤 能力發展之步驟 學習Learn→觀察Look→詢問Ask→嘗試Try

附件─內部控制之演進 人類自從有了群體活動，即有了一定意義之內部控制Internal Control 18世紀末已有內部稽核Internal Auditing制度 20世紀初已有內部牽制Inter-Diversionary Check制度 20世紀40年代初期成立內部稽核協會Institute of Internal Auditors促進了內部控制理論的發展 「內部控制」最早見於1949年AICPA所提，係企業為達成下列目標所採取的方法與措施： 保障資產安全 確保會計資訊的正確性及可靠性 促進營運效率 確保員工遵循既定的管理政策

附件─內部控制之演進 1950年首次將內部控制之要求載入美國預算及會計程序法案中 1958年AICPA第29號審計程序公報把企業內部控制分為會計控制及管理控制兩類： 會計控制 授權制度 記錄、營運及資產保管之分工 對資產的實體控制 內部稽核等 管理控制 著重於促進營運效率及遵循管理政策之控制 1972年AICPA第54號審計程序公報，更進一步闡明： 外部審計人員執行財務報表審計，其主要重點為會計控制；內部稽核人員則對會計控制及管理控制均應同等重視

附件─內部控制之演進 1981年美國財務經理人協會從企業觀點提出內部控制之定義，仍區分為會計控制和管理控制，並認為後者應具備下列三項基本特性： 是管理階層的責任 較會計控制之範圍為廣，包括用以降低錯誤與舞弊的方法，以及導引達成組織目標的所有積極活動 其目的在促進組織員工在組織政策及約束下達成組織目標 1988年AICPA第55號審計準則公報從財務報表審計考慮，認為內部控制結構包括下列三項組成要素： 控制環境 會計制度 控制程序 1992年英國公司治理原則委員會為改善企業內部控制環境，提出第一個公司治理原則

附件─內部控制之演進 1992年美國COSO委員會提出「內部控制─整合性架構」報告，並於1994年提出補充報告（合稱COSO報告），認為： 內部控制係為合理確保達成企業下列目標之一種管理過程： 營運的效果及效率 可靠的財務報導 遵循相關法令 同時也定義了內部控制的組成要素： 控制環境 風險評估 控制活動 資訊與溝通 監督

附件─內部控制之演進 2004年COSO提出「企業風險管理ERM─整合性架構」報告，關注焦點更為廣泛和深入，認為內部控制之組成要素，包括： 內部環境 目標設定 事項辨認 風險評估 風險回應 控制活動 資訊與溝通 監督 係將原控制環境名稱改為更一般性措詞之「內部環境」，並強調風險胃納；將原風險評估擴增為四項，包括獨立出「事項辨認」，並新增「目標設定」及「風險回應」，並強調將控管之時間提前；惟並未試圖取代上述COSO報告

附件─COSO：1992年及1994年內部控制五大要素

附件─COSO：2004年企業風險管理 從「控制導向稽核」轉為「風險導向稽核」 傳統稽核重視內控之查核，而輕忽機關目標之達成；風險導向稽核則是先確認機關之可稽核目標，然後經由風險評估，提出是否達成有效管理組織風險之結論

內部控制之定義及觀念 內部控制： 由內部所有人員落實執行 管理階層(尤其是首長)對內部控制制度的建立及維持，負主要責任 是一動態的管理過程 係由內部管理階層及其他所有人員 →人人有責 所設計、執行及維持之管理過程 →五大要素 藉以合理確保達成其目標 →三大目標 由內部所有人員落實執行 管理階層(尤其是首長)對內部控制制度的建立及維持，負主要責任 是一動態的管理過程 透過五項互有關聯之組成要素，以整合內部各種引導及約束措施 內部控制制度有其先天限制 不論設計及執行如何有效，僅能「合理確保」而非絕對確保目標之達成 55

三維立方體模式，在呈現目標、要素、組織單位及作業活動 內部控制之目標及要素 監 督 資 訊 與 溝 通 控 制 作 業 風 險 評 估 控 制 環 境 法令遵循 財務報導 營 運 作 業 活 動 2 作 業 活 動 1 單位A 單位B 三大目標： ●營運效果與效率 ●財務報導之可靠 ●相關法令之遵循 五大要素： 1.控制環境：機關文化、內部控制認知 2.風險評估：辨認、估計與評量風險 3.控制作業：政策及程序、SOP 4.資訊與溝通：資訊處理及傳達 5.監督：評估內部控制制度執行有效性 三維立方體模式，在呈現目標、要素、組織單位及作業活動 之間的靜態關聯性。 56

內部控制五大要素金字塔 控制環境係內部控制的基礎，位於金字塔底部 資訊與溝通 資訊與溝通 監 督 作業 控制 評估 風 險 環 境 控 制 COSO控制模式是以控制環境為基礎。根據組織的控制環境及目標，管理當局必須辨認、分析及管理相關的風險，也就是進行風險評估與管理。緊接著，企業應建立與執行適當的控制政策與程序，以有效的執行與風險相關的控制作業。至於組織的資訊與溝通系統的作用，則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過程必須加以監督，並做必要的修正，以維持內部控制制度的有效性。換句話說，這五項組成要素之間密切相關，而形成一個完整的內部控制模式。 環 境 控 制 根據控制環境及目標，進行風險評估 有效設計、執行與風險相關的控制作業 透過資訊與溝通，及時連貫其他四個要素 藉由監督活動，全面檢查內部控制制度品質

內部控制五大要素—控制環境 塑造機關文化及影響其人員對內部控制認知之綜合因素，為其他四項組成要素的基礎。 包括： 公務職業操守及倫理價值觀念之建立與維持； 機關首長對推動及落實內部控制之重視與支持； 機關組織架構及授權之適當明確； 人力資源之健全管理(含員工的聘僱、考核與獎懲)； 專業能力之提升。 組設內部控制專案小組；辦理內部控制宣導及訓練。

內部控制五大要素—風險評估(1/2) 辨認攸關之施政風險、估計該等風險之影響程度及評估風險發生可能性之過程。 包括： 施政計畫儘量將目標明確化，並考量可能影響目標達成的風險因素(事項)，例如環境改變、組織調整、人員異動、新興業務等。 估計風險因素所造成的影響程度(衝擊)，例如導致形象受損、民意抗爭、財物損失或政務停擺等的嚴重性。 參考以往經驗，評估風險因素發生的可能性(機率)。 依風險性原則建立相關因應措施，並考量其成本與效益，以決定必要之內部控制機制。 內部控制的主要作用即在於降低或消除各風險因素的預期損失 風險評估與建立相關內部控制的步驟： 辨認威脅 估計風險 估計可能損失 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序

採購作業之 風險因素 內部控制五大要素—風險評估(2/2) 法令繁雜、專業知識 眾多 攸關廠商利益，常 引發爭議 規劃欠周， 致使用效益不佳 相關人員未依規定 公正處事 自行採購 成本高，可能 較無效率 資訊設備由各單位自行採購，因未達大量規模或缺乏價格參考資訊，導致採購成本增加，且因規格不一，維修費用較高 金額大 誘使盜用侵占舞弊 承受預算 執行壓力

內部控制五大要素—控制作業 確保機關各項業務及法令規定，能被落實執行之政策及作業流程(含SOP)。 包括： 按機關業務、行政管考、人事、政風、採購、事務管理及會統計等職能別，訂定相關政策及作業流程。 例如採購作業，其中規範未經核准不得採購、承辦採購人員不得為驗收人等授權核准或職能分工機制。 在初步建置內部控制制度階段，得衡酌時間、成本及人力等因素，訂定重要的作業程序與關鍵控制重點；並配合業務調整及作業變動，適時檢討修訂。 每一個作業的控制政策和程序如何？是否能有效降低已辨認出來的風險？設計是否有效？控制政策和程序是否已予執行？執行的效果如何？ 以下所列係以製造業為例，各服務事業應依其內部控制制度(包含已書面化及未書面化)各項控制作業逐項評估之，每一項控制作業其評估過程必須考量內部控制制度各組成要素。服務事業應依據各項控制作業評估結果，再彙整評估服務事業整體內部控制制度，方可確保制度之週延。

將資訊以適時有效方式，蒐集、傳達予相關人員，使其有效履行責任。 資訊：與內部控制目標有關之財務及非財務資訊，可由內部產生或自外部取得。 內部控制五大要素—資訊與溝通(1/2) 將資訊以適時有效方式，蒐集、傳達予相關人員，使其有效履行責任。 資訊：與內部控制目標有關之財務及非財務資訊，可由內部產生或自外部取得。 溝通： 內部溝通：告知機關人員其在內部控制所扮演之角色及責任。 外部溝通：向外部人士(如社會大眾、立法及監察部門)溝通影響目標達成之事項。

內部控制五大要素—資訊與溝通(2/2) 內部控制制度的文件化品質，為其能否落實的基礎？ 將內部控制設計及執行相關資訊，透過紙本、電子或其他方式儲存管理，以文件化方式確保資訊之有效溝通、傳達。 宣達管理階層的指令，以營造機關控制環境。 文件化的品質，可納為風險評估的受評事項之一。 整合各項業務之控制作業，使其可瞭解與易遵循，並供掌握控制重點。 監督時，依此檢視內部控制制度是否落實執行，而相關建議及後續改善報告，可供回饋或追蹤辦理情形。

內部控制五大要素—監督(1/2) 機關評估內部控制制度執行成效之過程。 監督方式包括: 持續性監督 個別評估 例行管理：由各項業務承辦人及其主管，經常執行的一般控管及督導作業。 自行檢查：由機關內部各單位，就其內部控制制度設計及執行之有效性加以評估，並及時補救或改正。 個別評估 運用現行相關稽核機制，評估內部控制制度是否有效運作，就稽核發現之缺失及改善建議，提報內部控制專案小組，並追蹤其改善情形。

監督 內部控制五大要素—監督(2/2) 整合內部控制動態流程的觀點： 首要設定目標→ 據以評估風險→ 形塑控制環境、採行控制作業、充分溝通資訊→ 監督追蹤改善： 環繞於四項要素外圍，經常性的例行管理及自行檢查 針對整體內部控制流程的專案性評估與稽核→ 控制環境 合理確保達成目標 風險評估 控制 作業 確認機關目標 達成 目標 監督 資訊與溝通