《精编》内部控制为何需要控制确保目标之达成

《《精编》内部控制为何需要控制确保目标之达成》由会员分享，可在线阅读，更多相关《《精编》内部控制为何需要控制确保目标之达成（116页珍藏版）》请在金锄头文库上搜索。

1、內部控制InternalControlling 為何需要控制 確保目標之達成降低意外之風險提昇對醜聞之察覺股東著重公司治理管理當局之法律責任高度的管理與員工舞弊事件 企業之威脅與控制 威脅 指不利之潛在事情或情況 若實際發生時 將對企業造成傷害及損失 控制 指對於物件 有機體或系統之活動加以限制或引導之過程 風險 指威脅實際發生之可能性 可以0 1之機率值來表示 暴險度 指威脅實際發生時 所造成之企業損失企業在規劃與設計相關控制前 應先了解其所面臨之威脅 才能制定出一套有效之控制制度 資訊系統面臨之威脅 一 企業在規劃與設計資訊系統相關控制前 應先了解其所面臨之威脅 才能制定出一套有效之控制制

2、度資訊系統面臨之主要威脅為 天然及政治災害軟體錯誤與設備失靈無心之錯誤有意之舞弊或犯罪 資訊系統面臨之威脅 二 根據調查與統計 資訊系統最大之風險與損失來自於員工無心之錯誤 約佔65 其次為天然災害之威脅 再其次為舞弊與犯罪資訊系統面臨之潛在威脅 近年有增無減 主要原因之 為主從式區域網路 企業內網路 與廣域網路 企業間網路 之普及化 因而很多企業更重視資訊系統之安全控管 一般之企業曝險 錯誤之簿記錯誤之會計處理企業停業錯誤之管理決策舞弊與侵占 盜用法令之處罰超額成本資源之損失與破壞不利之競爭力 舞弊與控制 舞弊 蓄意之行為 或不忠實之意圖去獲取不合理或違法之利益管理當局有責任去預防與揭露舞弊

3、行為 控制系統 協助管理當局達成上述任務 控制下之人性面與反作用 主管承受預算之壓力控制造成短視過分強調短期因素過分注重容易衡量之因素有些控制造成權術運用控制可能引起內部衝突 內部控制的定義 一 根據我國審計準則公報 5 內部控制係指受查者之組織規劃及其所採用之各種協調方法與措施 以保護資產安全 提高會計資訊之可靠性及完整性 增進經營效率 並促使遵行管理政策 所採行的任何行動 內部控制的定義 二 根據COSO CommitteeofSponsoringOrganizationsofTreadwayCommission 研究報告 內部控制係指公司董事會 管理當局 及其部屬為了合理保證下列控制目標

4、之達成 而採行的程序 1 營運的效果與效率 2 財務報導的可靠性 3 相關法令與規章的遵循 內部控制的定義 三 基本觀念 內部控制是一種過程內部控制的有效運作 受到人的影響 包括董事會 管理階層及其他人員內部控制設計之目的在於達成組織之目標內部控制只能合理保證目標之達成 內部控制的基本觀念 四 企業實施內部控制之前 應先建立適當的內部控制架構 內部控制架構係指組織建立的政策與程序 以合理保證組織特定目標的達成 在設計內部控制時 必須考量相關控制程序的成本與效益 若要求絕對保證組織目標的達成 則會使內部控制成本過高 超過其所能產生的效益 也就是邊際成本大於邊際效益 因此 內部控制的設計通常以 合

5、理保證 為目標 內部控制的基本觀念 五 企業在設計內部控制程序之前 應先確認其相關的控制目標 而控制目標又與營運目標及其所面臨的潛在威脅有關 內部控制制度的設計應與組織的目標相結合 並合理保證將企業所面臨的威脅與風險降到可以接受的水準 內部控制之重要性 降低錯誤及舞弊之可能性減少違法事件之發生減低企業失敗之機率提高企業之競爭力監視組織控制系統之運作 內稽主要功能 電腦化資訊系統內部控制的基本觀念 一 電腦化資料處理之主要特點 利用電腦產生多樣化資訊電腦化資訊系統與人工資訊系統之差別 1 交易 稽核 軌跡僅短暫保存或以電腦可以讀取之形式保存 2 交易處理過程由電腦程式控制 具有一致性 可避免人為

6、錯誤 但程式錯誤將產生交易處理錯誤 3 原人工分工改為電腦集中處理 故原分工達成之控制目標須以其他控制措施取代 電腦化資訊系統內部控制的基本觀念 二 4 資料處理過程中人工的介入大幅減少 電腦發生錯誤及利用電腦進行的舞弊被發現的可能性降低 另外 應用程式於設計及修正過程所產生的錯誤 也可能長久存在而未被發覺 5 電腦系統提供許多資料分析工具 可協助管理者覆核及監督系統運作 進而加強內部控制 6 有些交易可能由電腦自動啟始或執行 這些交易的授權可能因而缺乏書面的證據或在管理者接受系統設計時就已確認 7 電腦處理可能產生一些人工處理所需要的報表和其他輸出 因此 其他控制的效果有賴於電腦處理控制的完

7、整性與正確性 例如 電腦產生的例外報告是否正確 將影響人工覆核例外情況的有效性 電腦化資訊系統內部控制的基本觀念 三 為了確保電腦化資訊系統具備良好的控制環境 組織應該 確實控管資訊系統開發專案適當分配電腦資源的所有權落實電腦軟體 硬體及資料庫的保管與維護訂定與實施有效的電腦安全與災害復原計劃 內部控制之目的 根據美國及我國內部稽核協會之內部稽核執業準則公報第一號 內部控制之目的包括 資訊的可靠性與完整性政策 計畫 程序與法令之遵循資產之保障資源運用之經濟有效組織目的與營運或專案計畫目標之達成 具體之內部控制目的 以交易循環為例 交易業經適當授權已經發生之交易業已記錄帳上所記錄之交易真實有效交

8、易之科目分類適當交易之評價適當交易在適當時點記錄交易之過帳 分類 彙總 調節 及報告之過程適當 內部控制VS 八大交易循環 銷貨及收款循環採購及付款循環生產及存貨循環人事薪資循環融資循環投資循環固定資產管理循環研究發展循環 銷售循環之威脅 暴險與控制程序 一 銷售循環之威脅 暴險與控制程序 二 銷售循環之威脅 暴險與控制程序 三 銷售循環之威脅 暴險與控制程序 四 銷售循環之威脅 暴險與控制程序 五 採購循環之威脅 暴險與控制程序 一 採購循環之威脅 暴險與控制程序 二 採購循環之威脅 暴險與控制程序 三 採購循環之威脅 暴險與控制程序 四 採購循環之威脅 暴險與控制程序 五 採購循環之威脅

9、暴險與控制程序 六 採購循環之威脅 暴險與控制程序 七 採購循環之威脅 暴險與控制程序 八 採購循環之威脅 暴險與控制程序 九 生產循環之威脅 暴險與控制程序 一 生產循環之威脅 暴險與控制程序 二 生產循環之威脅 暴險與控制程序 三 薪工循環之威脅 暴險與控制程序 一 薪工循環之威脅 暴險與控制程序 二 薪工循環之威脅 暴險與控制程序 三 薪工循環之威脅 暴險與控制程序 四 固定資產循環之威脅 暴險與控制程序 一 固定資產循環之威脅 暴險與控制程序 二 固定資產循環之威脅 暴險與控制程序 三 COSO內部控制模式及其組成要素 一 COSO於1992年發布一份研究報告 明確定義內部控制 並提供

10、內部控制評估方面的指引 該報告已成為最權威的內部控制文獻 已被實務界廣為採用 COSO內部控制模式及其組成要素 二 COSO研究報告將內部控制定義為公司董事會 管理當局 及其部屬為了合理保證下列控制目標之達成 而採行的程序 營運的效果與效率 財務報導的可靠性 以及相關法令與規章的遵循 此項定義強調 內部控制是一項過程內部控制受人的影響內部控制對管理當局及董事會而言 僅能提供合理保證 而非絕對保證 COSO內部控制模式及其組成要素 三 COSO控制模式是以控制環境為基礎 根據組織的控制環境及營運目標 管理當局必須辨認 分析及管理相關的風險 也就是進行風險評估與管理 緊接著 企業應建立與執行適當的

11、控制政策與程序 以有效的執行與風險相關的控制作業 至於組織的資訊與溝通系統的作用 則在於讓組織的成員可以捕捉及分享與執行 管理及控制其活動有關的資訊 上述的控制過程必須加以監督 並做必要的修正 以維持內部控制制度的有效性 換句話說 這五項組成要素之間密切相關 而形成一個完整的內部控制模式 COSO內部控制模式及其組成要素 四 控制環境 Controlenvironment 風險評估 Riskassessment 控制作業 Controlactivities 資訊與溝通 Informationandcommunication 監督 Monitoring 控制環境 控制環境包括七項組成因素管理階層

12、的操守與價值觀管理哲學與經營風格組織架構外部監察人的參與分派權力與責任的方法人力資源政策與實務外部影響 控制環境 常見機制落實管理當局之責任啟動董事會與審計委員會之監督功能明確詳細的員工守則適當的員工任免政策實行獨立於一般管理階層之外的道德諮詢系統 制訂檢舉制度 一套完整的舞弊調查及矯正措施 風險評估 風險評估包括辨認 分析及管理企業有關的風險風險 risk 係指威脅實際發生的可能性 可以0到1的機率值表示若威脅實際發生 企業因而可能產生的損失稱為暴險度 exposure 若我們將風險 機率值 乘以暴險度 金額 就能計算出某項威脅帶來的預期損失 內部控制的主要作用即在於降低或消除各項威脅的預期

13、損失 風險評估 風險評估與建立企業內部相關內部控制的步驟 辨認威脅估計風險估計可能損失 暴險度 找出相關的控制程序估計控制程序的成本與效益選定控制程序 風險評估 常見機制建立舞弊風險評估程序評估舞弊之可能性及重大性辨識舞弊發生之組織層級遏阻管理階層之逾越 控制作業 一般而言 組織的控制程序可區分為五類 交易與作業的適當授權職能分工設計與使用適當文件與紀錄 ex 憑證 簽章 預先編號 資產與紀錄的保護 接近控制 獨立的覆核 資訊與溝通 資訊與溝通係指組織成員能夠取得其職務上所需的各種資訊 且資訊能夠在組織中傳播與溝通 資訊系統詳細紀錄交易處裡的過程 這些資料成為交易的稽核軌跡 audittrai

14、l 組織成員可以利用稽核軌跡追查交易如何起始 經過何種處理 以及如何報導 有助於確認內部控制程序落實的程度與執行的成效 資訊與溝通 常見機制教育訓練知識管理資訊系統及技術 監督 監督係指對於內部控制的實施進行評估與控管的過程 常見機制管理當局的督導採用責任會計制度進行內部稽核 內部稽核之於舞弊 建立健全內控環境 執行舞弊風險評估 設計與執行舞弊防制之控制活動 充分的溝通資訊 持續管理監控 管理當局之責任 董事會 審計委員會 指揮 內部稽核 1 瞭解管理當局的舞弊防範措施 2 評估管理當局對於舞弊風險之評估 3 對於舞弊防範措施之有效性進行查核 4 接受董事會 審計委員會之指揮 針對高舞弊風險作

15、業進行調查 評估與調查 落實內控的關鍵要素 建立能減少舞弊或犯罪之標準及程序指定某一特定高級管理階層人員負責監督內部控制之執行防止不當授權將標準及程序有效傳達全體員工實施對遵循之衡量 諸如監控 稽核及報告制度輔以獎懲措施之強化標準及程序之執行當制度被偵出有重大違失時 給予適當回應 從富邦錯帳事件看內部控制 事由 2005 06 27 富邦證仁愛分公司一交易員按錯指令 輸入錯誤的數量 造成 77億元錯帳事件 後續發展 2005 06 30 金管會依證交法處富邦警告一次 將影響其未來三個月新辦業務或新設據點 並要求須在一個月內報告其內部控制改善計畫及執行情況 2005 07 19 證交所處違約金額

16、 30萬 富邦證之危機管理 向證交所申報錯帳發出聲名稿 承認錯誤調現金命自營部買入經紀部要賣的股票檢討下單流程 電腦程式 風險管理及查核程序懲處交易員修改電腦程式 富邦證之內部控制 控制環境董事長兼總經理 葉公亮 與國際部顧問 周資青 權責分配失衡風險評估透過加強員工風險意識 資訊控制 交易分層授權以降低錯帳金額 富邦證之內部控制 控制活動系統設計者設計不良 系統使用者未能與系統設計者充分溝通 使系統設計者不瞭解控制是必要的 系統測試與教育訓練不足資訊與溝通以開放的態度對外溝通達到效果監督事後由董事長領軍 成立風險改進委員會 重新檢視風險控管機制並提出改進方式 同時嚴格規範各單位自行查核人員及內部稽核人員之查核方式 建立資訊系統內部控制之重要性 一 經營環境複雜化資訊需求多樣化資訊系統複雜化與風險性良好之內部控制降低風險之影響或損失確保組織正常運作 建立資訊系統內部控制之重要性 二 資訊系統稽核與控制基金會 InformationSystemsAuditandControlFoundation 簡稱ISACF 發佈 資訊及相關技術控制目的 Controlobjectivesforinf