内部控制讲义(编辑修改稿)

内部控制讲义(编辑修改稿)内容摘要：

COSO內部 控制模式及其組成要素(一 ) COSO於 1992年發布一份研究報告，明確定義內部控制，並提供內部控制評估方面的指引。 該報告已成為最權威的內部控制文獻，已被實務界廣為採用。 COSO內部控制模式及其組成要素(二 ) COSO研究報告將內部控制定義為 公司 董事會、管理當局、及其部屬 為了 合理保證 下列控制目標之達成，而採行的程序： 營運的效果與效率、財務報導的可靠性、以及相關法令與規章的遵循。 」。 此項定義強調： 內部控制是一項過程 內部控制受人的影響 內部控制對管理當局及董事會而言，僅能提供合理保證，而非絕對保證。 COSO內部控制模式及其組成要素(三 )  COSO控制模式是以 控制環境 為基礎。 根據組織的控制環境及營運目標，管理當局必頇辨認、分析及管理相關的風險，也就是進行 風險評估 與管理。 緊接著，企業應建立與執行適當的控制政策與程序，以有效的執行與風險相關的 控制作業。 至於組織的 資訊與溝通系統的作用，則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。 上述的控制過程必頇加以 監督 ，並做必要的修正，以維持內部控制制度的有效性。 換句話說，這五項組成要素之間密切相關，而形成一個完整的內部控制模式。 COSO內部控制模式及其組成要素(四 ) 控制環境 (Control environment) 風險評估 (Risk assessment) 控制作業 (Control activities) 資訊與溝通 (Information and munication) 監督 (Monitoring) 控制環境 控制環境包括七項組成因素  管理階層的操守與價值觀  管理哲學與經營風格  組織架構  外部監察人的參與  分派權力與責任的方法  人力資源政策與實務  外部影響 控制環境 ▲ 常見機制 落實管理當局之責任 啟動董事會與審計委員會之監督功能 明確詳細的員工守則 適當的員工任免政策 實行獨立於一般管理階層之外的 道德諮詢系統 (制訂檢舉制度 ) 一套完整的舞弊調查及矯正措施 風險評估  風險評估包括辨認、分析及管理企業有關的風險  風險 (risk)係指威脅實際發生的可能性，可以 0到 1的機率值表示  若威脅實際發生，企業因而可能產生的損失稱為暴險度 (exposure)  若我們將風險 (機率值 )乘以暴險度 (金額 )， 就能計算出某項威脅帶來的預期損失。 內部控制的主要作用即在於降低或消除各項威脅的預期損失 風險評估 風險評估與建立企業內部相關內部控制的步驟： 辨認威脅 估計風險 估計可能損失 (暴險度 ) 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序 風險評估 ▲ 常見機制 建立舞弊風險評估程序 評估舞弊之可能性及重大性 辨識舞弊發生之組織層級 遏阻管理階層之逾越 控制作業 一般而言，組織的控制程序可區分為五類 ：  交易與作業的適當授權  職能分工  設計與使用適當文件與紀錄 (ex: 憑證、簽章、預先編號 )  資產與紀錄的保護 (接近控制 )  獨立的覆核 資訊與溝通 資訊與溝通係指組織成員能夠取得其職務上所需的 各種資訊 ，且資訊能夠在組織中 傳播與溝通。 資訊系統詳細紀錄交易處裡的過程，這些資料成為交易的稽核軌跡 (audit trail)。 組織成員可以利用稽核軌跡追查交易如何起始、經過何種處理、以及如何報導，有助於確認內部控制程序落實的程度與執行的成效。 資訊與溝通 ▲ 常見機制 教育訓練 知識管理 資訊系統及技術 監督 監督係指對於內部控制的實施進行 評估與控管 的過程 ▲ 常見機制 管理當局的督導 採用責任會計制度 進行內部稽核 內部稽核之於舞弊 建立健全 內控環境 執行舞弊 風險評估 設計與執行舞弊防制之控制活動 充分的溝通資訊 持續管理監控 管理當局之責任 董事會 /審計委員會 指揮 內部稽核 (1)瞭解管理當局的 舞弊防範措施 (2)評估管理當局對 於舞弊風險之評估 (3)對於舞弊防範措 施之有效性進行 查核 (4)接受董事會 /審計 委員會之指揮 , 針對高舞弊風險 作業進行調查 評估與調查 落實內控的關鍵要素  建立能減少舞弊或犯罪之標準及程序  指定某一特定高級管理階層人員負責監督內部控制之執行  防止不當授權  將標準及程序有效傳達全體員工  實施對遵循之衡量，諸如監控、稽核及報告制度  輔以獎懲措施之強化標準及程序之執行  當制度被偵出有重大違失時，給予適當回應 從富邦錯帳事件看內部控制 ■ 事由 ~ 2020/06/27, 富邦證仁愛分公司一交易員按錯指令 (輸入錯誤的數量 ), 造成 $77億元錯帳事件。 ■ 後續發展 ~ 2020/06/30, 金管會依證交法處富邦警告一次 , 將影響其未來三個月新辦業務或新設據點；並要求頇在一個月內報告其內部控制改善計畫及執行情況。 2020/07/19, 證交所處違約金額 $30萬。 富邦證之危機管理 向證交所申報錯帳 發出聲名稿，承認錯誤 調現金 命自營部買入經紀部要賣的股票 檢討下單流程、電腦程式、風險管理及 查核程序 懲處交易員 修改電腦程式 富邦證之內部控制 控制環境 董事長兼總經理 (葉公亮 )與國際部顧問(周資青 )權責分配失衡 風險評估 透過加強員工風險意識、資訊控制、交易分層授權以降低錯帳金額 富邦證之內部控制 控制活動 系統設計者設計不良 、 系統使用者未能與系統設計者充分溝通，使系統設計者不瞭解控制是必要的、系統測詴與教育訓練不足 資訊與溝通 以開放的態度對外溝通達到效果 監督 事後由董事長領軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴格規範各單位自行查核人員及內部稽核人員之查核方式 建立資訊系統內部控制之重要性 (一 ) ★ 經營環境複雜化 ★ 資訊需求多樣化 資訊系統複雜化與風險性 良好之內部控制 降低風險之影響或損失 確保組織正常運作 建立資訊系統內部控制之重要性 (二 ) ★ 資訊系統稽核與控制基金會 (Information Systems Audit and Control Foundation, 簡稱 ISACF)發佈「 資訊及相關技術控制目的 (Control objectives for information and related technology,簡稱 COBIT)」，可以作為企業建立資訊系統與資訊科技安全控制政策與程序之架構 COBIT基本觀念架構 (一 ) ♠ 用途： 在於提供與資訊科技應用、控制與稽核有關之指引 ♠ COBIT由 COBIT指導委員會 與 ISACF共同發佈 ♠ 使命： 研究、發展、發佈與推廣一供套權威、最新、國際公認之資訊科技控管目的，供企業經理人與稽核人員日常使用 ♠ 基本理念： 企業頇透過管理 IT流程，將 IT資源整合運用，進而滿足組織之業務需求 COBIT基本觀念架構 (二 ) ♠ COBIT兼顧 品質 (quality)、監管 (fiduciary)、安全 (security)三方面之需求，彙整成七項資訊標準： 效果、效率、保密、真實、可用性、遵循性、可靠性 ♠ 為確保資訊符合上述標準，組織必頇適當地控制及監督 IT資源之使用 ♠ COBIT將 IT資源之管理分為 範疇 (domains)、流程 (processes)、活動 (activities)三個層次 內部控制的分類 依照內部控制程序採行的 時間點 ，可以區分為 預防性控制、偵測性控制以及改正性控制 (補充：指示性控制、補償性控制 ) 就 電腦化 資訊系統的觀點而言，其內部控制可以區分為 一般控制與應用控制 若按照 資料處理步驟 的區分 ,內部控制可以區分為 輸入控制、處理控制以及輸出控制 預防性、偵測性與改正性控制 (一 ) 依照內部控制程序採行的時間點，可以區分為預防性控制、偵測性控制以及改正性控制。 預防性控制 可以用來防止問題的發生，是一種 事前 的觀念。 不過，基於 成本效益的考量 以及 實務上的限制 ，預防性控制很難完全防止所有的問題。 企業在設計控制程序時，必頇加入適當的 偵測性控制 ，以便在問題發生時，能夠迅速的察覺 ，並立即通知相關的人員採取補救或改正的行動。 偵測性控制是一種 事中 的觀念。 預防性、偵測性與改正性控制 (二 ) 改正性控制 的作用在於補救或改正被偵測到的問題，以確保組織順利的運作，達成既定的目標。 改正性控制包括三個程序： (1)找出造成問題的原因 (可能由偵測性控制 提供相關訊息 ) (2)改正已發生的錯誤或障礙 (3)修改現有的控制制度或程序，以消除或降 低未來發生類似問題的可能性 預防性、偵測性與改正性控制 (三 ) 一般而言，錯誤與問題若能於事前予以預防，較能保障組織的順利運作與目標的達成。 因此，在合乎成本效益的前提下，企業應 優先採行預防性控制。 不過 ，預防性控制很難達到絕對的控制，所以有效的 偵測性控制可發揮補償 的作用 ，避免問題久。