內部控制原理及架構 國立政治大學講座教授 鄭 丁 旺
一 、內部控制的觀念架構 1 . 確保組織效率與效果 2 遵循法令規定 3 保障資產安全 4 提供可靠資訊 監督 控 制 環 境 資訊與溝通 風險評估 控制 作業 風險辨識 風險分析 風險評量 風險處理或回應 自行檢查之表件格式 塑造組織文化及影響其人員對內部控制認知的綜合因素 四 大 目 標 五 大 要 素 及 實 施 步 驟 一 、內部控制的觀念架構
二.內部控制定義 整合組織內部各種控管及評核措施之管理過程, 並由組織內全體成員共同參與,以避免錯誤或非 常態性事件,辨認問題所在,並確保改善活動的 落實執行。
Compliance-對政策、計畫、程序、法令、規章及契約約 Accomplishment-成功達致整體目標(達成組織目標) 三.內部控制之目標:CARES Compliance-對政策、計畫、程序、法令、規章及契約約 定事項之遵循(遵循法令規定) Accomplishment-成功達致整體目標(達成組織目標) Relevance & Reliability-資訊的可靠性、正確性與及時性 (提供可靠資訊) Efficiency and Effectiveness-最經濟且有效率的資源使用 (確保效率及效果) Safeguard-資產(包括人力資產)的保障(保障資產安全)
四.內部控制之基本精神 管理階層必須建構 及 維持組織的控制環境 內控架構應能提供 財務報導正確性的 合理保證 內控應該內化於組織 運作、文件紀錄及 管理系統中 內控不單單是官樣文 章或繁瑣程序的制定 沒有任何系統是 完全有效的
協助所有人員清楚瞭解相關資訊,以完成工作任務並達成組織目標 五.內部控制之組成要素 辨識、分析顯著 相關的風險, 以順利達成目標 風險評估 控制作業 為內部控制所有 組成要素的基礎 控制環境 合理確保組織目標得以達成,所需採取的機制 資訊與溝通 監督 協助所有人員清楚瞭解相關資訊,以完成工作任務並達成組織目標 評估內控品質並促進持續改善
五.內部控制之組成要素(控制環境內涵) 塑造組織文化及影響其組織成員對內部控制認知之綜合因素。包括: 控制環境 風險評估 控制作業 內部人員職務操守與倫理價值觀念之建立與維持 首長及高階主管對推動及落實內部控制制度之重 視與支持 組織架構及授權之適當明確 組織人力資源之妥適管理 專業能力之提升 風險評估 控制作業 資訊與溝通 監督 控制環境為內控組成要素的基礎
五.內部控制之組成要素(風險評估內涵) 辨認攸關之策略風險,分析該風險之影響程度與發生可能性,評量對風險容忍度之過程。包括: 控制環境 風險辨識-辨識影響目標達成之風險因素,考量可能引 發組織整體層級目標、作業層級目標無法達 成之風險因素,必要配套措施及可辨認之替 代方案。 風險分析-分析風險因素發生之機率,及其對組織之影 響程度,綜合兩者據以評估風險等級。 風險評量-風險之可容忍度,考量風險等級及內控成本 以決定優先處理之風險因素或加強控制之程 序。 風險評估 控制作業 資訊與溝通 監督 可協助及時修正及執行必要之控制作業
1 2 3 4 五.內部控制之組成要素(風險評估內涵) 高 控制環境 風 險等級 風險評估 風險評估 控制作業 內控成本 高 高風險、低內控成本 高風險、高內控成本 低風險、低內控成本 低風險、高內控成本 資訊與溝通 監督
五.內部控制之組成要素(控制作業內涵) 為確保達成組織目標、降低風險、落實策略方案,所設立之完善控制架構及各層級之作業程序。包括: 控制環境 整體層級控制-對各單位多項業務有較廣泛影響 之控管措施或控制規範。 作業層級控制-各單位依個別業務職掌所確立之 作業層級目標,選定業務項目, 設計控制重點;並配合業務調整及 作業變動,適時檢討修訂。 風險評估 控制作業 資訊與溝通 監督 控制作業內化於所有作業之SOP
五.內部控制之組成要素(資訊與溝通內涵) 適時搜集並傳遞資訊給相關人員,使其履行其職責或瞭解責任履行情況。包括: 控制環境 風險評估 資訊-與組織有關之財務或非財務資訊,以供決策及監督 之用,可由內部產生或自外部取得。 溝通 內部溝通-告知組織全體人員在內部控制所扮演之角色與 責任,並建立資訊交流之管道,以使組織內 部資訊能充分傳達。 外部溝通-依法對外部機關(主管機關及社會大眾)公開或 提供資訊,並於外界提出意見時及時處理與 追蹤。 控制作業 資訊與溝通 監督 可以紙本、電子或其他方式對內部控制制度進行有效管理與傳達,以支援其他構成要素
五.內部控制之組成要素(監督內涵) 評估內控制度品質及執行成效之過程,藉以瞭解控制環境是否良好,風險評估是否及時,控制作業是否適當,資訊及溝通是否確實。包括: 控制環境 風險評估 例行監督-由各項業務承辦單位主管人員 執行督導作業。 自我評估-由內部各單位自行檢視,就其內部控制 制度之設計與執行之有效性加以評估, 並作成紀錄。 稽核評估-由稽核人員提出有效性及健全性之評估。 控制作業 資訊與溝通 監督 可適時修正、改善內部控制制度
六、內部控制之運作機制 組織目標 績效衡量 策略 行動方案 執行 使命與願景 組織治理 含組織文化及風氣 風險管理 回饋 內部控制
六、內部控制之運作機制 根據使命與願景擬定組織目標: 組織目標是組織的自我定位,以符合利害關係人的期望。 擬訂策略以達成組織目標: 目標能否達成決定於所選擇的策略(決定執行的效果)。 根據策略擬定行動方案: 行動方案決定策略是否能有效率的達成。 根據組織目標及策略衡量相關風險: 根據風險衡量結果,決定因應對策,建立相關內控機制。 以內部控制確保行動方案之執行成效,達成組織之使命與願景。
七、內部控制制度之內涵 內部控制存在於各項作業之SOP中,並非獨立存在於作業之外的機制。 常用的內部控制設計: 性質不能相容的職能應由不同的人員擔任 職能分工 一筆交易應由不同的人員完成 交易分割 工作輪調 授權與核准 定期休假代理 覆核與驗證
八、內部稽核的功能 檢查及覆核內部控制制度之缺失及衡量績效,俾適時提供改進建議。 檢查財務活動的正確性及忠實性,包括舞弊及不法行為的揭發。 透過系統化的方法,對風險管理、控制及治理加以評估並建議改善,以增加價值並改善經營。
1.國際最高審計組織(INTOSAI)發布之政府審計準則ISSAI 1265號:「向治理單位及管理階層溝通內部控制缺失」列舉重大缺失指標為: 九.內部控制缺失檢討及改進 1.國際最高審計組織(INTOSAI)發布之政府審計準則ISSAI 1265號:「向治理單位及管理階層溝通內部控制缺失」列舉重大缺失指標為: (1).無效的控制環境; (2).機關未進行風險評估; (3).機關風險評估過程是無效的; (4).對已辨識之重大風險所採取的風險回應是無效的; (5).重大缺失無法由機關透過內部控制加以預防、偵測 及改正。
2.內控重大缺失之認定 (1).以內控組成要素為基礎 (2).以結果論為基礎: a.有礙組織目標達成; 九.內部控制缺失檢討及改進 b.營運效能不彰; c.損害組織聲譽及形象; d.損及公眾(病患)權益; e.明顯違反法律規定; f.貪瀆公款及侵占財物; g.濫用職權等。
3.內控失敗與改進案例 案例:大學教授涉嫌以人頭購買發票或索取空 白收據及虛報差旅費等虛報研究經費案 件 九.內部控制缺失檢討及改進 3.內控失敗與改進案例 案例:大學教授涉嫌以人頭購買發票或索取空 白收據及虛報差旅費等虛報研究經費案 件
違失案情分析: (1)外國語文學系○○○教授案: 九.內部控制缺失檢討及改進 涉嫌制作內容不實臨時人員兼職酬勞、津貼、各 項補助及其他印領清冊、出勤紀錄表,申請核撥 薪資。並指示計畫專任助理、兼任助理等將匯入 之薪資交出或充當保姆費及家教費,詐得新台幣 108萬212元,經檢察官以觸犯刑法第399條第1項 詐欺取財罪、第216條及第215條行使業務登載不 實文書罪起訴。
九.內部控制缺失檢討及改進 (2)政治學系○○○副教授案: a.涉嫌請助理索取空白收據,虛報業務費 b.涉嫌以赴外地蒐集或磋商研究計畫資料 為由申請出差,虛報差旅費。 c.詐得新台幣39萬元,經檢察官以緩起訴 處分。
九.內部控制缺失檢討及改進 檢討改進措施 為期減少大學教授未覈實辦理經費核銷之環境誘 因或機會,預防以人頭詐領研究經費,或以購買 發票及空白收據等不實憑證虛報業務費,及以收 集研究計畫資料為由虛報差旅費等情形,茲就內 部控制五項要素檢討改進措施:
(1)訂定「內部控制專案小組設置要點」,組成 九.內部控制缺失檢討及改進 1.控制環境: (1)訂定「內部控制專案小組設置要點」,組成 內部控制專案小組,推動內部控制相關事宜。 (2)加強法治教育之認識與宣導: a.邀請法務部廉政署、調查局及各級法院檢察 署等相關單位進行專題演講,以加強對「刑 法」之法治認知。 b.校長於主管會報中,要求各主管針對該單位發生之 異常情形進行了解與監督。
1.控制環境: 九.內部控制缺失檢討及改進 (3)考慮現有政策的適切性,經費可採研究成果獎勵與 研究工作補助兩種方式併行,而且要有合理獎勵額 度。
2. 風險評估: (1)以人頭虛報臨時人員人事費。 九.內部控制缺失檢討及改進 (2)以不實憑證虛報業務費或設備費。 (3)以出差為由虛報差旅費。
(1)檢討修訂臨時人員管理流程、加強差勤管理機制等,如 九.內部控制缺失檢討及改進 3.控制作業 (1)檢討修訂臨時人員管理流程、加強差勤管理機制等,如 a.建置「聘僱人員人事資訊管理系統」資料庫,控 管其聘期及稽核薪資是否有重複請領、溢領之情形 (控制重點:印領清冊等是否經權責單位核章)。 b.建立不同類型助理之出勤管理方式 (控制重點:差勤管理單位應確認相關人員有出勤之 事實)
(2)對於單位內辦理小額採購案件(10萬元以下),應落 九.內部控制缺失檢討及改進 3.控制作業 (2)對於單位內辦理小額採購案件(10萬元以下),應落 實經手人與驗收人職能分工,並課以各該應負職責 (控制重點:付款審核時應確認經手人與驗收人不可 為同一人) (3)加強教師出差申請之控管作業 (4)對於涉案教師採取適當處置措施
(1)內部控制專案小組對於學校辦理之相關事務,如有進 九.內部控制缺失檢討及改進 4.資訊和溝通: (1)內部控制專案小組對於學校辦理之相關事務,如有進 行檢討或缺失改善作業,應將相關檢討改善資料或案例 適時提供校內有關單位,並公布於網站供參。 (2)辦理之教育訓練或專題演講內容,透過校內網路資訊 傳達予教職員工。
5.監督 (1)例行監督: 九.內部控制缺失檢討及改進 a.請計畫主持人依「執行計畫重要規定自我檢核確認表」 ,自我檢核與自我監督。 b.責成各系所單位主管落實監督責任:各系所計畫如有不符 規定或不實支出時,將不予列支,學校或補助單位並酌 予刪減、停撥單位經費補助。
5.監督 (1)稽核機制: 九.內部控制缺失檢討及改進 a.責成相關單位對出差或出差旅費之申請有疑義時,主動 加以查核。 b.以電話抽訪方式,查核委辦或補助計畫進用之臨時人員 薪資報領情形,並作成紀錄,以加強計畫人事薪資費用 之稽核。
4.其他內控缺失案例 (1)愛滋病人器官移植案 九.內部控制缺失檢討及改進 (2)基隆海關及高雄海關集體貪瀆案 (3)某醫院急診部不救護鄰近傷患案 (4)多家診所A健保費案 (5)某證券公司總經理指示營業員低賣高買案 (6)某基金會秘書偷取公款一千多萬元案
1.人治 VS 法治 (1)以人治改善內控環境。 2.拒絕誘惑 VS 阻絕誘惑 (1)以強化倫理觀念拒絕誘惑。 十.公司治理與內部控制 (2)以法治執行內控活動。 2.拒絕誘惑 VS 阻絕誘惑 (1)以強化倫理觀念拒絕誘惑。 (2)以內控機制阻絕誘惑。
Thank you for your attention!