Transcript 內部控制向前走
新竹縣政府 內部控制向前走 報告人:張信一 中華民國101年12月25日 1 報告大綱 前言 序曲 疑問「劇」Camera! 提供「劇」評的指標 前菜─國際內部控制之演進 主菜 我國內部控制之想法與做法 內部控制制度之目的、限制及組成要素 內部控制設計與執行之評估焦點 辦理健全內部控制實施方案101年度工作重點 立法委員主張簽署內控聲明書 甜點 審計部所提制度規章缺失或設施不良之改進建議 採購控制實務 終曲─推動內部控制之當責與賦權 結語 參考文獻 2 前言 C.H 傑爾,2006,《西點菁英給青年人的7堂課》 現代大多數企業並不缺乏深謀遠慮的戰略,也不缺乏高深莫測 的理論;而是缺乏精益求精的執行者,也缺乏細緻入微的量化 標準、規章制度和作業程序。 盧希鵬,2011,《為什麼無法控制我的狗─跳脫YES or NO突 破思考框架的14堂管理課》 天底下有三種人: 第一種人Make things happen(促使事情發生); 第二種人Watch things happen(看著事情發生); 第三種人等事情發生後「Say “What happened?”」問說:發生了 麼事? 洪蘭,〈表達的藝術〉,聯合報101.12.12A15民意論壇名人 諾貝爾經濟學獎得主康納曼的《快思慢想》一書中說,人的決 策有兩個系統,系統一是直覺的作判斷,想到就做,很衝動; 系統二是理智的思考,它不衝動,但是它懶,懶得去比較文字 背後的真意。 3 序曲 疑問「劇」Camera! 內部控制是什麼碗糕? 內部控制對個人及所在組織有何好處? 是什麼機關或人在推動內部控制,其理由為何? 內部控制應如何設計與執行,才能發揮效果? 面對外界的壓力應如何自處? 建議認知與發展之步驟如下: Learn學習→Look觀察→Ask詢問→Try嘗試 4 序曲 提供「劇」評的指標 內部控制是管理的一環 管理就這麼「簡單」 一個人的思維方式會影響他處理問題的方式和態度 簡單的特徵就在於它是一種思考方式,而不是理論或工具 不再按照繁複的組織邏輯運行,而是把人性做為最根本的出發點 人性告訴我們:沒有任何人能夠被管理,人只能自己管理自己 熊秉元教授:「經濟出自佛法式微之處」,人是「自利」與「理性」的 把問題說明白,不要讓解釋的難度超過了需要的程度 簡單之所以有效,就是因為它是基於人性和常識 認清事實,有所行動,就是管理的精髓 管理是專門賦予資源生產力的社會機制,問題的關鍵在於如何管理,而 不是要不要管理 5 序曲 提供「劇」評的指標 彼得‧杜拉克(Peter F. Drucker) 對管理的五大貢獻: 強調企業管理的重心在人;企業除了經濟性目的外,還有社會 性功能 主張賦權,減少決策層級,透過授權將決策權交給員工以提升 生產力 發明目標管理MBO,強調目標的重要性,鼓勵員工參與上司共 同制定具體又可衡量的目標,也將目標轉化為長期策略與短期 標的 管理思潮:分層「當責accountability」,充分「賦權 empowerment」 提倡知識工作者取代過去產業中的專業階級,在1959年即預告 知識經濟時代的來臨,管理型態也將隨之改變 鼓吹民營化,認為政府應儘量減少對經濟活動的干預 6 序曲 提供「劇」評的指標 如何簡單做事: 只做需要做的事 好的不一定需要(如廣告) 危機就是轉機,只有正在生存上掙扎的公司才容易說「不」 不值得做,千萬別做 因為會誤以為自己完成了某些事情 因為會消耗時間與精力(有限資源的機會成本) 因為會產生慣性(如社會學家韋伯說:一項活動的單純規律性 會逐漸演變為必然性) 因為會生生不息(反而會增加監督、訓練等,使那件事做得更 好) 7 序曲 提供「劇」評的指標 簡單就是減輕工作(少做次要事情)的力量 簡單就是加強工作(多做重要事情)的力量 在管理工作中,最具威脅性的莫過於「先做緊迫的事, 後做不緊迫的事」 有時重要的事也是緊迫的事,但在很多情況下,愈是重要的 事愈不緊迫(常因此而被無限期地延遲進行) 今天「必須」做的事(如不速之客、外來電話) 今天「應該」做的事 今天「可以」做的事 採行「減法法則」:我們不能做什麼 專注(如太陽→遮陽帽;鐳射→切割鑽石或切除腫瘤) 8 序曲 提供「劇」評的指標 簡單管理十戒: 不要自我迷戀 不要只說不做 不要只做不想 不要忘記速戰速決 不要做好好先生 不要小看廣闊的眼界 不要追求完美 不要等到壞了才修 不要試圖找1+1=2之外的答案 9 序曲 提供「劇」評的指標 追究問題不如想辦法解決困境, 要問「做對什麼」,而非「做錯什麼」 善用SIMPLE原則,用簡單方法解決複雜問題! Solution─尋解導向而非問題導向 著眼點在如何解決問題,以及改善後的理想藍圖。 Inbetween─關鍵在互動 人與人的互動是問題的根源也是答案,絕非單方面使然。 Make use─善用既有資源 善用科學方法尋找有用的資源,不要徒然抱怨「應該」存在的資源。 Possibilities─發揮過去、現在與未來的各種可能性 從過去的經驗、現況的解釋及未來的願景,尋找解決問題的機會點。 Language─用語簡潔 艱深的語言只會讓事情更複雜,簡化問題最好使用簡單的語言。 Every case is different─個案處理 解決問題是在尋求變革的原則,而非預先設計放諸四海皆準的標準公式。 10 前菜 國際內部控制之演進 人類自從有了群體活動,即有了一定意義之內部控制 Internal Control 18世紀末已有內部稽核Internal Auditing制度 20世紀初已有內部牽制Inter-Diversionary Check制度 20世紀40年代初期成立內部稽核協會Institute of Internal Auditors促進了內部控制理論的發展 「內部控制」最早見於1949年AICPA所提,係企業為達成下列目標 所採取的方法與措施: 保障資產安全 確保會計資訊的正確性及可靠性 促進營運效率 確保員工遵循既定的管理政策 11 前菜 國際內部控制之演進 1950年首次將內部控制之要求載入美國預算及會計程序法案中 1958年AICPA第29號審計程序公報把企業內部控制分為會計控 制及管理控制兩類: 會計控制 授權制度 記錄、營運及資產保管之分工 對資產的實體控制 內部稽核等 管理控制 著重於促進營運效率及遵循管理政策之控制 1972年AICPA第54號審計程序公報,更進一步闡明: 外部審計人員執行財務報表審計,其主要重點為會計控制;內部稽 核人員則對會計控制及管理控制均應同等重視 12 前菜 內部控制之演進 1981年美國財務經理人協會從企業觀點提出內部控制之定 義,仍區分為會計控制和管理控制,並認為後者應具備下列 三項基本特性: 是管理階層的責任 較會計控制之範圍為廣,包括用以降低錯誤與舞弊的方法,以 及導引達成組織目標的所有積極活動 其目的在促進組織員工在組織政策及約束下達成組織目標 1988年AICPA第55號審計準則公報從財務報表審計考慮, 認為內部控制結構包括下列三項組成要素: 控制環境 會計制度 控制程序 13 前菜 國際內部控制之演進 1992年美國COSO委員會(The Committee of Sponsoring Organizations of the Treadway Commission)提出「內部控制─整合性架構」報告, 並於1994年提出補充報告(合稱COSO報告),認為: 內部控制係為合理確保達成企業下列目標之一種管理過程: 營運的效果及效率 可靠的財務報導 遵循相關法令 同時也定義了內部控制的組成要素: 控制環境 風險評估 控制活動 資訊與溝通 監督 14 前菜 內部控制之演進 內部控制組成要素係用來判斷內部控制是否有效的重點: 控制環境control environment 謂塑造組織文化、影響員工控制意識之綜合因素,至影響控制環境之因 素則包括: 員工的操守integrity、價值觀ethical value及能力competence 管理階層之管理哲學management philosophy及經營風格 operation style 管理階層聘僱、訓練develop、組織organize員工及指派其權責之方 式way 董事會所給予之關注attention及指導direction 風險評估risk assessment 謂辨認組織目標因內部或外部因素不能達成之風險(可能性),並予評 估的過程,通常包括: 估計其影響程度significance 發生之可能性或頻率 評估須採取之行動(如何管理風險之步驟等,即協助建立必要之控 制活動) 15 前菜 內部控制之演進 控制活動control activities,亦稱控制作業 謂設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及 經理確保其指令directives已被執行,包括政策policies(即目標) 及程序procedures(即實行政策之方法),其控制活動通常包括: 核准approval或授權authorization、驗證verification、調節 reconciliation、主管複核員工執行營業成果reviews of operation performance、採用績效指標與計畫、預算或前期績效比較、保障資產之 實體安全security of assets、定期盤點加上與紀錄相核對,以及職能分 工segregation等一連串的控制行動 資訊與溝通information and communications 此項要素並非水平層次,而是垂直地跨越所有其他組成要素,隱含 於企業內部控制中,類似人體之血液循環系統 資訊謂資訊系統辨認、衡量、處理及報導之標的 溝通謂把資訊告知相關人員(含內外部) 16 前菜 國際內部控制之演進 內部控制中須具備產生規劃、監督等所需資訊及提供資訊需求者適 時取得資訊之機制 監督monitoring,亦稱監控 謂自行檢查內部控制制度品質之過程,包括: 內部控制環境是否良好 風險評估是否及時、確實 控制作業是否適當、確實 資訊及溝通系統是否良好等 又可細分為兩種: 持續性監督:謂營運過程中之例行監督 個別評估,又稱間歇性評估:係由內部稽核人員、監察人或獨立董 事等非負責受查營運或控制活動執行之其他人員進行評估 持續性評估做得愈多且愈有效時,個別評估之需要性就愈 少 17 前菜 國際內部控制之演進 2004年COSO提出「企業風險管理ERM─整合性架構」報告,除目標增加 「策略」成為四項外,係將原控制環境名稱改為更一般性措詞之「內部環境」, 並強調風險胃納;將原風險評估擴增為四項,包括獨立出「事項辨認」,並 新增「目標設定」及「風險回應」,並強調將控管之時間提前;惟並未試圖 取代上述COSO報告 其關注焦點更為廣泛和深入,認為內部控制之組成要素,包括: 內部環境 目標設定 事項辨認 風險評估 風險回應 控制活動 資訊與溝通 監督 18 前菜 國際內部控制之演進 COSO─2004年企業風險管理從「控制導向稽核」轉為「風險導向稽核」 傳統稽核重視內控之查核,而輕忽機關目標之達成;風險導向稽核則是先確 認機關之可稽核目標,然後經由風險評估,提出是否達成有效管理組織風險 之結論 策略性目標: 與高層次之目的有關,其追隨企業之使命,並支援其達成 內部環境internal environment: 為形塑組織之基調,並建立企業之人員如何看待與如何處理風險之 基礎,包括風險管理哲學與風險胃納、操守與倫理價值觀、以及營 運所處之環境 目標設定objective setting: 係要求管理階層在辨認影響其目標能否達成之潛在事項前,目標必 須已經擇定;即保證管理階層訂有制定目標之過程,以及所選中之 目標能支持企業之使命、追隨該使命,並與企業之風險胃納一致 19 前菜 國際內部控制之演進 事項辨認event identification: 係企業辨認會影響目標能否達成之內部及外部事項,該等事項又可 區分為風險與機會,管理階層應把機會導入設定策略或目標之流程 風險評估risk assessment: 係企業分析固有風險與剩餘風險、考量其發生之可能性及後果,並 藉以決定風險應如何加以管理 風險回應risk response: 係管理階層選擇規避、承受、抑制、及分擔等風險回應方式,並進 行一串行動使風險能與企業之風險容忍度及風險胃納配合 控制活動control activities: 係用來協助保證風險回應能有效執行之政策與程序 資訊與溝通information and communication: 20 前菜 國際內部控制之演進 係辨認、擷取及溝通攸關資訊,其形式與時限,應讓相關人員能夠履行其 責任,達成有效之溝通 監督monitoring: 係就企業風險之整體與予監督,並於必要時發揮修正之效果 2006年COSO提出「財務報導的內部控制─較小型公開發行公司指引」, 針對內部控制五大要素,提供20個內部控制評估原則,協助較小型公司 應用,以達成其財務報導目標之各種符合成本效益之方法 2009年COSO提出「內部控制監督指引」,協助各組織監督內部控制制 度之效果,並可適時採取改正行動 美國聯邦審計總署(2004年起從General auditing office改組為責任總 署General accountability office),於1983年依據「1982聯邦管理者 財政正直法案」訂頒「內部控制準則(簡稱綠皮書)」,並於1999年參 考COSO內部控制整合架構,修正該準則內容,2001年則訂頒「內不控 制管理及評估工具」,協助聯邦政府各機關維持及執行有效的內部控制 21 前菜 國際內部控制之演進 COSO1992、2006版 COSO2012版 控制環境 1.誠正與道德價值─ 建立及瞭解健全的誠正與道德價值,尤其是針對高階管理階層,並建 立財務報導之行為標準 1.Demonstrates commitment to integrity and ethical values組織對誠正與道得價值表明承諾 2.董事會─ 董事會瞭解並行使與財務報導及內部控制有關之監督責任 3.管理哲學與經營風格─ 管理哲學與經營風格支持有效的財務報導內部控制之達成 4.組織架構─ 公司之組織架構支持有效的財務報導內部控制 5.財務報導能力─ 公司留任具備財務報導及相關監督角色能力之人員 6.權限與責任─ 管理階層及員工獲得適當層級之權限及責任,以促進有效的財務報導 內部控制 2.Exercises oversight responsibility董事會展現管理 的獨立性,並且對內部控制的發展和表現執行監督 3.Establishes structure, authority and responsibility 管理階層建立組織的結構及報導規範,並由董事 會監督及適當的授權以達成目標 4.Demonstrates commitment to competence組織要 展現承諾以吸引、發展和保留適任的人才以結合 目標 5.Enforces accountability一個組織在追求目標時需 要維持個體對於內部控制都應該負有責任 7.人力資源─ 人力資源政策與實務之設計與執行,有助於有效的財務報導內部控制 22 前菜 國際內部控制之演進 COSO1992、2006版 COSO2012版 風險評估 8.財務報導目標─ 管理階層所指定之財務報導目標具有充分的說明及標準,以促使可靠 財務報導風險之辨識 9.財務報導風險─ 公司辨識及分析達成財務報導目標之風險,以作為決定該風險管理之 基礎 10.舞弊風險─ 評估財務報導目標達成之風險時,明確考量因舞弊而發生重大錯誤敘 述之可能性 6.Specifies relevant objectives企業組織指定充分明 確的特定目標,以辨認及評估與目標相關的風險 7.Identifies and analyzes risk組織辨認企業為達成目 標應承擔的風險,並分析如何管理該風險 8.Assesses fraud risk組織為達成目標考量其評估風 險要素之潛在舞弊因子 9.Identifies and analyzes significant change公司組織 辨認及分析會嚴重影響公司內部控制的風險 控制活動 11.與風險評估之整合─ 採取一些行動,以因應達成財務報導目標之風險 12.控制活動之選擇及建置─ 控制活動之選擇與建置,係考量其成本,以及其減輕財務報導目標達 成風險之潛在效益 10.Selects and develops control activities企業選擇並 建立控制活動以降低達成企業目標之風險至可接 受程度 23 前菜 國際內部控制之演進 COSO1992、2006版 13.政策與程序─ 在公司內部建立及溝通與可靠財務報導有關之政策,並經由相關程序 促成管理階層指示之執行 14.資訊科技─ 設計與建置適用的資訊科技控制,以支持財務報導目標之達成 COSO2012版 11.Selects and develops general controls over technology企業組織為了支持目標達成,選擇並 發展資訊科技的一般控制 12.Deploys through policies and procedures組織展現 政策下的控制活動,並建立預期的攸關程序以實 現政策 資訊與溝通 15.財務報導資訊─ 公司各階層辨識、蒐集及使用有關之資訊,並透過一定的方式及時點 傳送,以支持財務報導目標之達成 13.Uses relevant information該組織取得、產生或使 用相關、適切的資訊,以支持其他組成內部控制部 分的功能運作 16.內部控制資訊─ 辨識及蒐集以執行其他控制要素之資訊,並透過一定的方式與時點傳 送,以促使機構成員履行其內部控制責任 17.內部溝通─ 各項溝通促使及支持機構內各個階層瞭解與執行內部控制目標、流程 和個人責任 14.Communicates internally內部控制要素的運作需 要企業內部的溝通(包含內部控制的目標與責任) 24 前菜 國際內部控制之演進 COSO1992、2006版 18.外部溝通─ 向外部人士溝通影響財務報導目標達成之事項 COSO2012版 15.Comunicates externally組織向外外部人士溝通有 關影響內部控制組成運作之事項 監督 19.持續性及個別評估─ 持續性及個別評估,可促使管理階層確認財務報導內部控制是否存在 並發揮功能 16.Conducts ongoing and/or separate evaluations組 織選擇、發展並執行持續性及個別評估,以確 定內部控制的組成是否存在並發揮功能 17.Evaluates and communicates deficiencies組織的評 估和溝通內部控制有缺失時,由即時負責的部門 適時辨識內部控制缺失,並向負責採取改正行動之人員溝通,必要時, 採取糾正措施,包括高階主管和董事會 向管理階層及董事會報告 20.缺失之報導─ 25 前菜 國際內部控制之演進 美國聯邦政府管理預算局OMB在2002年沙賓法案之激勵下,於2004 年修訂1995年訂頒之「A-123公告」(最早訂於1981年),在其附錄 A中規定屬於「財務長法」規範之聯邦機關,強化財務報導內部控制 效果之評估過程,包括就其內部控制環境執行綜合的覆核,用以驗證 是否確實遵循附錄A的規定(特別提出有關財務報導內部控制有效性 之評估、文件化─確認聲明書及報導,以向國會及公眾確保聯邦政府 保護資產及提供可靠財務資訊之承諾),辨識控制差距或缺失,並依 據覆核發現定義及執行改正活動 其他與內部控制相關之法規包括: 1978年稽核長法IGO、1982年聯邦管理者財政正直法、1990年財務長法、 1991年聯邦存款保險公司改進法、1996年聯邦財政管理改進法、2002年 聯邦資訊安全管理法 26 前菜 國際內部控制之演進 國際最高審計機關組織(1953年成立,International Organization of Supreme Audit Institutions,INTOSAI)於1992年提出「公部門 內部控制準則指引GOV9100」,並於2001年及2004年兩次修訂,主 要係將COSO內部控制整體架構之觀念納入,其後並陸續頒布相關指 引如次: 1997年「有效內部控制報告指引:審計機關執行與評估內部控制之經驗 GOV9110」 2001年「內部控制:政府課責之基礎GOV9120」 2007年「機關風險管理GOV9130」 2010年「公部門內部稽核之獨立性GOV9140」 2010年「公部門內部稽核人員與審計機關之合作與協調GOV9150」 27 前菜 國際內部控制之演進 1992年英國公司治理原則委員會為改善企業內部控制環境,提出第一 個公司治理原則 2001年英國財政部依據國家審計署2000年查核報告建議意見,綜合 COSO、AS/NZS(澳洲及紐西蘭標準組織)、INTOSAI等內容,訂 頒「風險管理─策略觀點(簡稱橘皮書)」,並於2004年修正為「風 險管理─原則與觀念」,主要提供政府各部會有關風險管理廣泛性之 基本及一般指引 澳洲及紐西蘭標準組織於1995年訂頒「風險管理4360」,並分別於1999 年及2004年修正,最新版則為2009年,主要係參考國際標準組織ISO (International Organization for Standardization,成立於1947年2月 23日,為一非政府組織)訂頒之「風險管理31000」而修訂,其內容包括: 管理風險的11個原則、管理風險的架構,以及管理風險的一個過程等三大 部分 28 前菜 國際內部控制之演進 2001年加拿大財政部訂頒「整合性風險管理架構」,2004年訂頒 「整合性風險架構執行指引」,並於2008年新訂「風險管理架構」 取代前兩者,其特色內容包括:採原則導向的風險管理,提供各部會 管理上的更高彈性,增加策略性及風險知識監督而減少人為干預 2007年澳洲參考2004年AS/NZS4360規範,訂定「維多利亞政府風 險管理架構」,復依據2009年AS/NZS4360修訂規範進行修訂,新架 構的內容包括:治理、課責等觀念及政策,並提供風險管理資源來源 29 前菜 國際內部控制之演進 英國國家審計署認為內部控制聲明書Statements on Internal Control(簡稱 SICs)是一個重要的公開課責文件,且是各機關日常風險管理工作的副產品 (2011年11月已開始研議改以「治理聲明書Governance Statement」整併 及取代) 英國財政部2011/2012年報及決算之內容包括「年報」及「資源帳戶」兩篇,其中 資源帳戶篇內列有以會計長簽名之內部控制聲明書,其架構略以: 內部控制聲明書 本聲明書 (a)責任範圍 身為財政部長Principal Accounting Officer,同時為財政部常務次官Permanent Secretary,我有責任維持良好內部控制制度, 以協助達成財政部及其所屬之政策、目標及目的,以及遵循法律賦予我保護財政部公共資金與資產安全之個人責任。 本報告涵蓋期間,有關英國債務管理局及資產保護署內部控制制度之當前責任,應向兼任助理會計長additional accounting officer之執行長Chief Executives提出說明,會計主管任務之定義係依據管理公共財產規範,財政部與其他機關會計主管之責任 分工係以個別備望錄另訂定。依據會計主管的專業能力,債務管理局及資產保護署執行長已提供各該機關內部控制制度有效性 確認書給本人,本人在簽署本聲明書時並已參採信賴該等確認書。 30 前菜 國際內部控制之演進 (續) 政府貿易局OGC於2010年因受政府組織變革之影響而改納入內閣新成立「效率與改革集團Efficiency and Reform Group」 的一部分,本人很滿意政府貿易局是在具有良好內部控制與適當流程情況下,移出財政部之管轄。 在2010/2011年間成立預算責任局及稅務簡化局。 (b)內部控制之目的 設計內部控制制度之目的,在管理未能達成政策、目標及目的相關風險至合理程度,而不是消除所有風險,因此,它僅能 提供有效性之合理確認而非絕對確認。內部控制制度是根基於事先設計之持續流程,用來辨識達成機關政策、目標、目的之相 關風險及排定其優先順序、評估該等風險發生之機率及其影響、以及效率、效果及經濟方式管理該等風險。 截至2011年3月31日止財政部及其所屬機關之內部控制制度是適當的,並更新至年報與決算之核准日,並與財政部作業指 引相一致。 2010年財政部營運所面臨之持續重大挑戰,包括: 全球經濟不確定性:… 國內挑戰:… 政治事件:… 風險與控制架構:… (a)財政部控制架構 31 前菜 國際內部控制之演進 (續) 身為財政部會計長,本人應對財政部及其所屬機關之控制架構負起責任,本人關於集團管理及其所面臨各種風險獲得支持 與確認,並透過下列一系列授權與課責機制,管理各該風險至適當程度之原則,形成一個控制架構。 財政理事會及委員會Treasury Board and Committees:… 公務代行機構Arms Length Bodies:… 事業單位Business Unit:… 關鍵共同職能Key corporate function:… 績效報告Performance Reporting:… 風險認知嵌入財政部相關訓練課程中,包括風險管理、投資評價、評估資本專案之經濟與財政評價技術,另提供員工有關 法律認知專題討論會。 (b)2010/2011年之重要變革 財政部在2010/2011年覆核其治理架構,並進行下列一些改革,目的在確保治理架構持續有效果,並使其適合於各部門管 理變動外在環境與監督責任需求之目的: 策略覆核Strategic Review:… 新領導非執行董事及更新治理協定New lead Non-Executive Director and refreshed governance arrangements:… 更新策略重點strategic priorities refreshed:… 32 前菜 國際內部控制之演進 (續) 強化風險管理架構Risk Framework strengthened:… 事業單位Business units :… 2010/11年已辨識控制議題: (a)重大內部控制缺失 2010/11年財政部集團並未辨識出重大內部控制缺失。 (b)依據覆核所發現內部控制議題: 2010/11年間,財政部辨識一些在覆核期間已被遵守之控制議題,該等議題可能需要修正目前控制架構以反映變革環境: 聯合的線上資訊系統:… 公務代行機構Arms Length Bodies:… 財政風險:… 內線交易風險:… 管理資源:… 作成本項聲明判斷之確認依據: 身為會計長,本人覆核2010/11年內部控制制度有效性係依據財政部集團各執行主管之確認及回饋資訊,透過內部課責制度 及逐步擴大範圍以支持授權方案。另透過非執行董事努力、內部稽核與外部審計、及諸如文官委員局等其他組織,獲得獨立確 認;此外,一些國會特別及其他委員會已交叉查核財政部集團內相關證人。下列各單位業已提供本人之特別確認: ◎債務管理局、資產保護署、預算責任局之執行長,以及稅務簡化局之會計長 33 前菜 國際內部控制之演進 (續) ◎財政部執行管理理事會 ◎財政部財務經理 ◎財政部法律顧問長 ◎內部稽核長 除上述各項確認依據,本人已適當信任內部稽核長之覆核,該等確認可視為各決算帳戶已遵循風險管理、控制及治理之規 身為會計長,本人已採行所有我應該採行的步驟,讓本人可以知道任何攸關稽核資訊,以及確立財政部稽核人員已知悉之 資訊,截至目前本人所知悉,沒有攸關稽核資訊是稽核人員所不知的。 本人已考量支持本聲明書之相關證據,並確定財政部之內部控制制度是良好的,可以協助財政部達成其政策、目標及目的 常務次官 8 July 2011 34 前菜 國際內部控制之演進 美國農業部2010年度的績效與課責報告之內容包括「管理階層討論與分析」、 「年度績效報告」、「財務報表、附註、補充說明、其他附件資訊」等四大篇, 其中管理階層討論與分析篇內列有以部長簽名之確認聲明書Statement Of Assurance,其架構略以: 制度、控制及法令遵循 管理階層確認聲明書 美國農業部管理階層出具保留意見確認聲明書Qualified Statement of Assurance,儲2項財務報導內部控制重大缺失及1項 財務制度未遵循者外,本部管理階層已建立及維持有效之財務報導內部控制,及符合聯邦管理者財務正直法FMFIA各項目的之 財務管理制度,而且管理階層就營運內部控制有效性提供合理確認。以上例外情況,已詳述於本報告FMFIA及聯邦財務管理改 善法FFMIA段落中。 美國農業部已評估截至2010年9月30日之財務管理制度、營運效果與效率之內部控制、遵循法令規定,以及截至2010年6 月30日之財務報導─包含資產安全、遵循法令規定、遵循管理預算局A-123號公告之「管理階層之內部控制責任」。 除了上述之例外附註,美國農業部財務管理制度大體上已遵循FMFIA的各項目的、內部控制是有效執行的、下列各種內部 控制之設計或執行並未發現重大缺失:(1)截至2k010年9月30日之營運效果與效率及遵循法令規定,(2)截至2010年6月30日財 務報導。本部已辨識違反反超支法Anti-deficiency Act ,即未被視為長期的或重要的,農村發展貸款支出已超過農村共用事業局 寬頻計畫之法定時間限制,農貸公司Commodity Credit Corporation與農場服務局Farm Service3 Agency簽訂由農場服務局負責 管理之各種合約,俾與管理預算局已核准延長「生質作物補助計畫Biomass Crop Assistance Program」執行期間之協定相一致。 本確認聲明書所報導之相關違反事項,刻正等候農業部相關官員決定如何解決。 農業部部長 2010年11月15日 35 主菜 我國內部控制之想法與做法 迷思─錯誤的觀念與認知 本公司員工操守佳,所以內部控制無問題 本公司正派經營,所以內部控制佳 本公司無兩套帳,所以內部控制無問題 本公司定存單(或其他實體資產)由總經理親自保管,所以內部控制好 本公司支票上需要蓋的印鑑計有四個,所以內部控制嚴密;只要是控制嚴密,控制就好,因此,本 公司的內部控制好 本公司訂定的辦法、規章有一大堆,厚厚一疊,所以內部控制好 本公司內部控制表單上,該簽名的地方,都有人簽名,所以,內部控制好 本公司已請會計師查帳多年,所以內部控制無問題 查完財務報表,又查內部控制,真是畫蛇添足,獨厚會計師 自從本公司設置內部控制之後,就有一堆規章要遵守,一堆表格要填、章要蓋,綁手綁腳,官僚作 風,欠缺人性 本公司內部控制佳,何勞本經理人費神評估 評估內部控制時,為何要評估「操守」?操守看不見,與內部控制何干 本公司已付錢請會計師查內部控制,何勞我管理階層再費心評估內部控制 為了防止舞弊,本公司才設內部控制,所以只要有內部控制,舞弊即不可能再發生 內部控制我不愛,對我沒好處,只是多花錢而已,若不是證期會,我才不要設 甲公司內部控制嚴格,可見甲公司必採集權制管理;乙公司採分權制管理,因此,其內部控制一定 不佳 有了內部控制,萬事不愁,管理階層不必再操心,凡事都由內部控制自己運作即可 36 主菜 我國內部控制之想法與做法 歷年來行政院已推動之相關措施: 行政院89年2月訂頒「健全財務秩序與強化內控實施方案」 行政院94年8月訂頒「行政機關風險管理推動方案」 97年4月訂頒「行政院所屬各機關風險管理作業基準」,並於同年12月修正 更名為「行政院所屬各機關風險管理及危機處理作業基準」 行政院97年9月訂頒「加強財務控管及落實會計審核方案」 行政院於98年7月訂頒「國家廉政建設行動方案」 行政院於99年7月訂頒「整合服務效能躍升方案」 政府部門內部控制存在的缺失 強調防弊,忽略興利,導致政府競爭力未能有效提升 如強調預算執行率,卻忽略執行成果 為方便衡量,相關績效指標常以投入面考量而非成果面 過多與過時之控制,導致行政效率低落 37 主菜 我國內部控制之想法與做法 如新增控制程序時,未能適時檢討舊有的控制程序,造成重複監督或漏未監 督之情形 使得溝通變得更困難,無法使相關資訊作為輔助政府決策之有效工具 內部控制觀念認知不清,難以揮揮應有之功能 將內部控制範圍侷限於會計或財務之控制面向 內部控制之設計,常為達目的而不考慮成本效益 誤認為內部控制建立後,弊端絕對不會再發生;或內部控制措施完備嚴密, 不會產生弊端;以及過分自信機關員工之操守,絕不會產生內部控制問題 誤以為內部控制是技術層面之問題,與首長關係不深 忽略風險管理觀念,使面對瞬息萬變之情勢,透過內部控制改善施政之成效 不大 政府已設有主計單位與審計單位 ,不勞費神辦理內部控制 誤將「手段」當成「目標」,只重視內部控制之建置與考核,忽略現有內部 控制組成要素之檢討與改進 38 主菜 我國內部控制之想法與做法 內部之監督系統未能整合,難以有效發揮監督功能 會計人員執行內部審核─由行政院主計總處督導各主計單位進行主計業務督 導考核,包括財務(計畫、預算之執行與控制)審核、財物(現金及其他財 物之處理程序)審核及工作(計算工作負荷或工作成果每單位所費成本)審 核 政風人員防杜貪瀆不法─由法務部督導各政風單位進行政風業務督導考核, 包括員工貪瀆不法之預防發掘與處理、資訊機密維護及稽核使用管理 採購人員執行財物稽核─由行政院工程會督導各採購稽核小組進行採購稽核, 包括工程定作、財物買受、定製、承租及勞務委任或僱傭等 研考人員評估施政績效─由行政院研考會督導各研考企劃單位進行施政計畫 之管制及評核 事務主管辦理工作檢核─由財政部(國庫署、國有財產局)、內政部(營建 署、消防署)、交通部、人事總處署及主計總處署督導各總務單位進行8項 檢核,包括出納、財產、物品、車輛、辦公處所、安全、宿舍及工友管理等 人事考核─由行政院人事總處督導各人事單位進行人事機構業務績效考核與 員額評鑑 部分控制,違反職能分工員原則,難以防杜弊端發生 如員工薪俸表及國庫存款差額解釋表等習慣由出納代編 對內控自行評估報告尚未於決算表達,有違治理透明化原則 39 主菜 我國內部控制之想法與做法 迷失 真相 控制政策及程序重要 控制環境重要 法規要求才需要稽核人員 內部控制係管理階層職掌工作 主要對財務事項之控管 內部控制係組織營運活動之一 內部控制係負面的戒律 內部控制係正面地去做正確的事 內部控制為必要之惡,屬外加程序 內部控制應整合入營運活動中 因組織精簡,故需不同類別之控制 組織精簡且可刪除部分控制 確保正確且不會舞弊 提供合理而非絕對保證 內部控制是會計人員之責 內部控制是人人有責 40 主菜 我國內部控制之想法與做法 41 主菜 我國內部控制之想法與做法 內部牽制(Internal Check),又稱內部制衡,為內部控制活動設計原則之一 內部審核(Internal Audit),為內部之及時線上查核工作,有助於內部控制功能 之發揮,當內部審核著重現行會計法下之財務審核與財物審核時,其性質傾向 於內部控制組成要素之控制活動;當著重工作審核時,則傾向於資訊與溝通要 素中之資訊。又考量監督要素,則指持續性監督(或營運過程中之例行監督), 可以由營運人員自己、他的長官或更上級長官等負責,也可部分交由會計人員 執行,而由會計人員執行部分,即屬會計法第95條及第96條所稱之內部審核; 至非例行監督(個別評估),則應由內部稽核執行 事前審核,著重收支之控制;事後複核,著重憑證、帳表之複核及工作績效之 查核 內部稽核(Internal Auditing)為獨立、客觀之確認性服務及諮詢服務,用以增加 加價值及改善機構營運。內部稽核協助機構透過有系統及有紀律之方法,評估 及改善風險管理、控制及治理過程之效果,以達成機構目標 42 主菜 我國內部控制之想法與做法 內部稽核工作類,型包括:財務績效(資產負債表及損益表之查核)、營運績 核(資源運用及營運目標之達成);遵循稽核(政策、法令舉程序之遵循)、 資訊科技稽核(資訊系統之正確性及安全性)、績效稽核(資源使用之效果、 效率及經濟性)、專案稽核(專案目標之達成) 公司治理 (Governance)係企業之股東與利害關係人等透過企業內部控制關於上 上層統理結構的公司統理機制(以董事會為核心),以及外部之公司監理機制 制(來自政府、社會、非政府組織等之法制強制性或非法制強制性的各種法律 律規章與組織制度,促使企業得以在市場環境中公平競爭)的安排,來共同治 治理公司;其目標不僅要追求股東利益最大化,也要顧及其他利害關係人利益 益之均衡 風險管理 (Risk Management)係為企業真正落實美國沙賓法案之要求,於20世 紀90年代採取之新的管理方法,其功能在於(1)應用於策略之制定、(2)辨識可 能會影響企業之潛在事件及管理風險、(3)合理確保企業目標之達成,而依據 COSO ERM報告,明確指出風險管理之五個基本程序:(1)資訊蒐集(使命與 目標)、(2)風險評估(SOWT分析)、(3)風險回應(風險決策─目標、策略、 計畫之調整及修正)、(4)風險控制及其相關控制活動(風險控制之施行)、(5) (5)監督與回饋,並將包括內部控制,將其作為一個子系統 43 主菜 我國內部控制之想法與做法 政府治理聚焦於政府利害關係人(保障利害關係人權益)、各種施政 目標、管理者達成該等施政目標之責任,故應包括四大要素: 管理:指導各機關施政目標之實現,透過組織結構設計及擬訂各種政策執 行過程 控制:各機關完成管理第一要素後,必須執行及維持有關衡量方法與程序 之制度,使管理者可以確保機關運作維持在達成施政目標的正軌上 監督:各機關施政目標之實現,可以被確定是基於利害關係人的利益 當責:各機關應提供所有被指派任務、被授權權力及其執行成效等資訊 (即就上述要素執行結果向民意機構負責) 回應台灣公共治理之指標與具體做法: 44 主菜 我國內部控制之想法與做法 法治化程度 司法院於100年1月邀集各界代表成立「全民司法改革策進會」,健全我 國司法政策諮詢平台,以提供改革之具體建言 99年5月修訂「個人資料保護法」,落實個人資料管理及隱私保護,推 動法制現代化 政府效能 行政院於98年4月訂頒「行政院所屬各機關施政績效管理要點」,期使 施政績效管理制度更臻完備 行政院於99年7月訂頒「整合服務效能躍升方案」,以精進擴大政府整 體服務效能 行政院於100年2月訂頒「健全內部控制實施方案」,透過政府積極自我 評估檢查與推動內部稽核制度,提升施政效能 政府回應力 行政院於97年12月修訂「行政院所屬各機關風險管理及危機處理作業基 準」,各部會在建置整合性風險管理機制過程中,更能強化危機事件之 預警指標及標準作業程序之檢討 45 主菜 我國內部控制之想法與做法 人事行政局99年7月將「99年度公務人員政策溝通與宣導能力、執行力、 應變力訓練」納入績效考核,要求各行政機關執行訓練計畫,提升公務 人員服務品質,強化公務員即時回應人民需求之能力 政府透明度 94年12月總統令公布「政府資訊公開法」,增進民眾對公共事務之瞭解、 信賴及監督之效 99年1月總統令公布修訂「政治獻金法」,合理規範政治獻金,並於各 地選委會及地方政府機關網站設立「政治獻金法第7條查詢專區」,強 化公開透明機制 防治貪腐 法務部97年8月訂頒「公務員廉政倫理規範」,對公務員執行職務,提 升政府清廉形象,予以規範 98年6月總統令公布「行政中立法」,規範公務人員依法行政,政治中 立 46 主菜 我國內部控制之想法與做法 100年7月成立法務部廉政署,增強肅貪、防貪及反貪能量,專責打擊貪 腐 課責程度 我國建國之初即有審計制度,審計權由審計機關依法獨立行使,監督政 府預算執行及決算審定事宜 行政院公共工程委員會於94年7月成立,並依「政府採購法」進行工程 查核及採購稽核 公共參與程度 88年2月總統令公布「行政程序法」,並自90年度起實施,規範行政行 為應遵循公正、公開與民主之程序,俾確保依法行政之原則,以保障人 民權益,提高行政效能,期能增進人民對行政之信賴 98年9月26日澎湖縣辦理博弈公投,讓澎湖縣民以投票方式表達個人意 願 100年4月21日原子能委員會辦理「核能安全公聽會」,邀集專家學者、 環保人士及政府部門等進行意見交流 47 內審、內控及其他關聯 對受查單位之內部控 制制度進行瞭解與評 估,並對其有效性提 供專業建議 內控制度 是否有效 會計師查核 組織首腦與管理階 層及所有員工所共 同執行之管理過程 內部控制制度 內部控制制度之建立 係管理者之責任 內部稽核 查核組織人員對現存 內控制度是否確實遵 行 是否遵行 內控制度 48 內審、內控及其他關聯 內部控制制度與會計制度之關係: 會計制度,係用來產生財務資訊,並保證其所產生資訊為正確之一套 程序 就整體目標而言,內部控制制度之範圍大於會計制度 就財務報導目標而言,內部控制制度之範圍未必大於會計制度 內部控制與內部審核之關係: 內部審核可能包括內部控制中的下列三種性質,並須視特定機構賦予 執行者之角色而定: 控制活動,如對財務、財物及績效之審核 資訊,如對單位成本之計算及核對帳冊之記錄 持續性監督,即例行性監督,由負責日常營運活動的人來進行,如複 核原始憑證是否合法 49 主菜 我國內部控制之想法與做法 審計機關之看法: 依據審計法第41條規定:審計機關派員赴各機關就地辦理審計事 務,得審度其內部控制實施之有效程度,決定其審核之詳簡範圍 審計風險 = 固有風險 x 控制風險 x 偵察風險 AR = IR x CR x DR DR = AR / ( IR x CR ) 風險類別 評估風險高低 所需查核證據 固有風險 高 多 控制風險 高 多 可接受之偵察風險 高 少 50 主菜 我國內部控制之想法與做法 審計部連續於97及98年度中央政府總決算審核報告指出,部分機 關因內部控制機制未臻健全,間有施政效能不彰,投入鉅資興建設 施卻閒置浪費及未依法執行預算等,致發生重大弊案,建請行政 院應參考國內外公私部門普遍公認之1992年全美反舞弊性財務報 告委員會COSO報告,以利各機關遵循有效實施;另應參考先進 國家做法,整合現行稽核評估職能,以發揮監督綜效 經奉行政院吳前院長核定,由秘書長於99年度籌組成立跨部會之 「行政院內部控制推動及督導小組」,並由行政院主計總處擔任幕 僚作業,藉以整合規劃強化內部控制機制相關事宜,並在兼顧與 國際接軌及符合我國實務運作需求下,提出下列具體策略與作為: 逐級分工:分四個層級之推動單位 行政院內控小組、各權責機關(主政共通性業務機關)、各主管機 關、各機關 51 主菜 我國內部控制之想法與做法 會議時間 行政院內控小組會議之重要決議 第1次99.12.30 通過「行政院內部控制推動及督導小組設置要點」 第2次100.3.30 通過「內部控制制度共通性作業範例製作原則」及「一百年度擇定主管機關提報內部 控制作業落實執行情形原則」(各主管機關提報議題,應將外界關注、已建立防範機 制(如公安、工安事件等重大施政項目)或已建立完善之內部控制制度,值得提供參 考之案件列為優先項目提報。) 第3次100.4.29 衛生署提報「所屬醫院醫療採購弊案檢討與策進作為」 第4次100.6.3 通過「內部控制制度設計範例」及「內部控制制度設計原則」 農委會提報「斃死豬非法流用管控與防範作為」 第5次100.7.13 外交部提報「駐外館處公務車換購之檢討與策進作為」 第6次100.8.23 農委會提報「土石流防災整備與應變作為」 教育部提報「國立成功大學研究費詐領案之檢討與策進作為」 第7次100.11.4 內政部提報「社會福利服務補助作業之現況檢討與策進作為」 國防部提報「國軍採購作業檢討及策進作為」 通過「政風業務」共通性作業範例,並於100.12.13分行 第8次100.12.20 衛生署提報「全民健保節流措施」 故宮博物院提報「故宮線上遊戲採購案檢討與策進作為」 通過「出納業務」共通性作業範例,並於101.1.17分行 通過「財產管理業務」共通性作業範例,並於101.2.1分行 52 主菜 我國內部控制之想法與做法 會議時間 行政院內控小組會議之重要決議 第8次100.12.20(續) 通過「主計業務」共通性作業範例,並於101.1.20分行 通過「人事業務」共通性作業範例,並於101.1.30分行 通過「公共建設計畫之編審」共通性作業範例,並於101.1.13分行 通過「行政管考業務」及「社會發展計畫之編審」共通性作業範例,並於101.1.18分行 通過「科技發展計畫之編審」共通性作業範例,並於101.1.17分行 通過「採購業務」共通性作業範例,並於101.2.4分行 第9次101.3.21 經濟部提報「漢翔航空工業公司承攬業務肇致損失案之檢討及策進作為」 通過「資訊安全業務」,並於101.4.30分行 通過「採購業務─採購規劃」共通性作業範例,並於101.4.23分行 通過「辦理健全內部控制實施方案101年度重點工作」,並於101.5.1分行 第10次101.4.27 財政部提報「被占用國有非公用不動產加強處理作業內部控制作業」 通過「政風業務─採購監辦」共通性作業範例,並於101.5.30分行 各機關設計內部控制制度之作業流程: 準備→由主政單位簽請由機關首長或副首長召集內部各單位主管組成內部控制專案小組→由各單位及主政單 位確認並彙整整體及作業層級目標→由各單位進行風險辨識、分析及評量→由各單位找出存在高風險作業項 目→由各單位設計高風險作業項目之作業流程(以下皆含控制作業)→由主政單位彙整各單位作業流程→由 主政單位簽請召開內部控制作專案小組→由主政單位通知各單位依內部控制專案小組審查結果修改作業流程 →由主政單位彙整修改後之作業流程簽報機關首長核定→由主政單位函報主管機關備查→由主政單位及各單 位建立檢查機制,透過例行監督、自行檢查及稽核評估過程以審視內部控制制度設計及執行之有效性→結束 53 健全內部控制實施方案 為行政院推動內部控制之上位原則性規範 強化內部控制機制為行政院當前重要政策,行政院經參考COSO委員會所 提「內部控制-整體架構」及國際最高審計機關組織(INTOSAI)對於內部 控制的定義等,並兼顧政府機關特性,於100年2月1日訂頒「健全內部控 制實施方案」研訂內部控制制度共通性作業範例之權責機關,並提出政 府內部控制之4項目標: 提升施政效能; 遵循法令規定; 保障資產安全; 提供可靠資訊 該方案同時要求各機關組成內部控制推動單位,辦理內部控制宣導訓練, 檢討現有內部控制作業,設計有效內部控制制度等多項具體作法,並採 逐級分工方式,推動政府內部控制各項工作。 54 附件 一 行政院內控小組之組織圖 召集人 行政院秘書長兼任 副召集人 行政院主計長兼任 委 員 委 員 委 員 委 員 委 員 委 員 委 員 委 員 委 員 財政部 法務部 行政院 經建會 研考會 國科會 工程會 金管會 法規會 主委 部長 部長 人事長 主委 主委 主委 主委 主委 由行政院秘書長召集相關機關(單位)首長組成。 55 附件 一 行政院內控小組工作職責 負責整體性統合、協調、規劃及推動內部控制相關事 宜,主要職責有: 諮詢審議「健全內部控制實施方案 」。 諮詢審議「內部控制制度設計原則」。 諮詢審議「內部稽核作業應行注意事項」。 諮詢審議內部控制及內部稽核作業落實執行情形。 備查內部控制制度共通性作業範例。 諮詢審議或備查內部控制其他相關事項。 56 附件 一 共通性作業範例分工表 作業流程及控制之重點權責機關 出納、財產管理業務 財政部 政風業務 法務部 主計業務 行政院主計總處 人事業務 行政院人事行政總處 公共建設計畫之編審 行政院經濟建設委員會 行政管考業務 行政院研究發展考核委員會 社會發展計畫之編審 行政院研究發展考核委員會 科技發展計畫之編審 行政院國家科學委員會 採購業務 行政院公共工程委員會 57 政府內部控制的定義及觀念 何謂內部控制: 係由機關全體人員參與 共同設計、執行及維持的管理過程 藉以合理促使達成其目標 →人人有責 →五項要素 →四項目標 高 階 主 管 (尤 其 是 首 長 )對 內 部 控 制 制度的有效設計、 執行及維持,負主 要責任 透過五項互有關聯的組 成要素,整合內部各種 控管及評核措施 按五項要素逐一檢視 、評估內部控制制度的 有效性 內部控制制度有其先 天限制 不論設計及執行如何 有效,僅能合理促使 而非絕對保證目標的 達成 58 政府內部控制整體架構圖 可 四項目標: 五項要素: 控制環境認知 風險評估評量風險 控制作業 資訊與溝通 監督 提升施政效能 遵循法令規定 保障資產安全 提供可靠資訊 靠 資 產 法 令 施 政 監 資 訊 資 訊 安 遵 效 全 循 能 督 與 溝 通 控 制 活 動 風 險 評 估 控 制 環 境 內部控制每一項要素適用於所有的目標類別 內部控制每一項目標皆與五項要素有關 與內部 控制有 關的單 位或業 務 ~政府內部控制整體架構~ 機關各單位及業務,經整合五項組成要素,合理促使達成四項目標 59 主菜 內部控制制度對組織之必要性 管理循環Management Cycle(或品質管控理論之戴明循環PDCA) 規劃→組織→領導→命令→協調→控制→規劃 管理過程=規劃+執行+控制 內部控制 外部監理 安全控管之起司理論 起司的空隙是自然發酵形成,就像沒有一個單位或人是完美無缺的,把 這幾片起司立起來,只要漏洞沒有剛好湊成一條線,光線就不會穿透, 因此各個環節中,只要有一個把關者發揮功能,就不會出紕漏 個案實例 醫療部分(藥物注射機制、器官移植機制) 金融部分(金庫安全機制、匯率兌換機制) 司法部分(案件稽催機制) 航空部分(人身安檢機制、飛航安全機制) 公安部分(核能電廠安檢機制) 60 內部控制為管理過程的一部分 管理,涵蓋三構面 管理 = 規劃 +執行 +控制 目標 設定 控制 環境 (屬純規 劃) (屬內 部控制) 風險 評估 風險 回應 風險 回應 (含事 項 辨認) │ 業務 活動 │ 控制 作業 (屬內部 控制) (屬純 執行) (屬內 部控制) 資訊 與溝 通 (屬內 部控制) 內部控制,包括對規劃的控制及對執行的控制 風險 回應 風險 回應 │ │ 監督 (屬內 部控制) 改正 活動 (屬純 執行) 資料來源: 馬秀如教授講義 內部控制 = 管理 - 純規劃 - 純執行 61 內部控制與風險管理之關係 ─2004年COSO「企業風險管理─整合架構」 內部控制包含在風險管理之內,係風險管理不可或缺 的一部分。 風險管理自內部控制延伸,其涵蓋的範圍比內部控制 廣泛,且著重風險觀念。 資料來源:馬秀如教授講義 62 看診 打疫苗,要「五對」 病人對、藥品對、時間對、 劑量對、方法對 注射 63 器官移植正常流程 醫師宣判腦死 捐贈者或家屬表達意願 血液篩檢 包括愛滋病毒、B肝、C肝、梅毒等傳染性疾病 及進行器官功能評估 檢驗合格者 醫院將檢驗結果上傳器官捐贈移植登錄中心,進行配 對,尋找合適的受贈者 醫院將以電話及正式報告通知受贈醫院 若有意願,移植團隊將前往摘取器官 1.器官移植流程都由協調師一手包辦, 必須24小時隨時待命,爭取器官捐 贈時效,同時對受贈者與家屬在術 前、術後進行術教,了解病人術後 的器官功能、排斥與感染問題,及 協助病人出院後的心理及社會行為 適應,多由護理師或社工師擔任, 扮演衛教、傾聽、諮詢、協助與支 持的角色 2.最嚴重的疏失環節:溝通上的錯誤 (陽性reactive、positive聽成陰 性negative) 3.器官捐贈檢驗結果應以書面為主、 口頭為輔,但台大移植案欠缺檢查 電腦的書面報告 檢驗師檢驗無誤 協調師書面確認無誤 進行移植手術 移植器官是和時間賽跑,須在8至24小時內植入 衛生署一年只補助5千萬且大多捐贈家屬(器捐中心只做分配而無勸募) 移植前醫師看到書面報 告 64 銀行櫃臺現金存入金庫流程 行員收到現江達到一定金額 各銀行金額不同 行員把現金交給出納人員 出納須會同持金庫鑰匙主管(不只一人) 打開第一道往金庫的第一道鋼門 出納須會同有金庫密碼主管(不只一人) 打開金庫大門(第二道門) 存入現金 註: 1.銀行開金庫有一定的程序,過程至少 須三到四名銀行資深主管互相牽制 2.銀行櫃台行員手邊不能保有太多的現 金,達到某一個金額時,就要交給出 納,由後者選擇在營業時間內或下班 時把現金送進金庫。反之若櫃臺行員 現金不夠用時,也會請出納會同銀行 相關主管如襄理或資深行員開金庫拿 錢 3.銀行金庫一天至少會打開兩次〈一到 早開門前及下班時〉 4.通常盤點金庫現金的工作是銀行襄理 級的資深主管 5.金庫耀匙及密碼須不同的人 出納會同主管互點金庫裡的現金 (通常是銀行打烊後) 65 銀行交易室之惡棍交易員 公司 交易員 UBS瑞士銀行 阿多博利 MF Global 虧損金額(億 美元) 敗績 時間 20.0 違規交易(調查中) 2011年(日期未明) 杜里 1.4 違規操作小麥期貨 2009年12月 PVM石油期貨公司 柏金斯 0.1 越權操作原油期貨 2009年7月 美銀美林銀行 史坦佛斯 4.6 蓄意高估交易部位 2009年2月 摩根史丹利 派柏 1.2 衍生性金融商品報價錯誤 2008年2月 法國興業銀行 柯維耶(31歲) 72.0 越權賭錯股市指數期貨 2008年1月 阿瑪蘭斯避險基金 杭特 66.0 賭錯天然氣期貨 2006年3至4月 中航油 陳久霖 燃由期貨操作失利 2004年10月 住友商事 濱中泰男 26.0 越權賭錯銅期貨 1996年6月 英國霸菱銀行 李森(28歲) 14.0 賭錯日經指數期貨與放空日本債券 (欺瞞上司竄改交易紀錄) 1995年1月 台灣國際票券公司 楊瑞仁 台幣102.0 偷切竊空白商業本票、盜蓋公司章 及偽刻多家公司負責人印章,並假 造商業本票交易電腦成交單成,再 賣給台灣銀行 1995年 5.5 惡棍交易員都是賺錢的專家(只要股價有些微的變化,就能賺取暴利,但開始小虧損時,沒人注意,最後捅出大問題) 66 惡棍交易員發生之原因 英國霸菱銀行 李森因頂頭上司僅有一、兩位而能為所欲為 法國興業銀行 因為柯維耶在風險控管部門、內勤支援作業部門都待過,熟知所有控管、文 書、記帳、查帳作業,才能一手遮天,任何風險管理措施都奈他莫何 瑞士銀行 阿多博利是瑞銀倫敦分行歐洲證券部門ETF(指數股票型基金)部門主管,與大 多數少年得志的基金經理人一樣,過著奢華生活,曾在倫敦東區瑞銀附近租 一間每周一千英鎊(約新台幣4.7萬元)租金的公寓(月租新台幣19萬元),穿著講 究,喜歡上高級酒吧(本次案件據聞係與瑞士法郎交易有關) 以上犯案手法類似:一開始交易員進行假交易時,銀行都沒有在第一時 間察覺,使其食髓知味,交易部位也越玩越大,使問題一發不可收拾 交易室永遠是績效掛帥,年薪遠比不上紅利及獎金,如果交易量少或交 易部位賠錢,可能會沒有紅利可拿,故比較容易讓交易員出現舞弊作假 的行為 67 惡棍交易員發生之原因 外銀主管承認,貪念是人性最大的弱點,不管再多加設幾道稽核關 卡,人謀不臧是金融業從古至今,始終無法防堵的風險 這些出狀況交易員多半已在一家公司待一段時間,除熟悉交易流程 及內部電腦作業外,還懂得躲過內部稽查,才能一再得逞 倫敦卡斯商學院訪問教授羅伊巴克認為,這將再度引起有關「賭場銀行casino banking)的辯論 賭場銀行指的是過度投機或高風險的金融活動,以追求高獲利為目標 投資銀行不像一般民間銀行是正派經營的銀行,而是賭場銀行 要阻止這類案件發生,不只靠控管系統,銀行高層要訂定道德規範,教 育員工是非觀念,確保不會發生惡棍行為,而不只是靠控管系統抓出惡 棍,這必須改變投資銀行的文化,由高層以身作則 68 主菜 內部控制制度之目的、限制及組成要素 內部控制係一種過程,受企業董事會、管理階層及其他員工影響, 旨在合理確保企業下列目標之達成: 營運效果及效率(含保障資產安全子目標) 財務報導之可靠性 相關法令之遵循 受…影響 隱喻內部控制之外觀不僅有可能是一種有形的成文規範(硬性控制), 也有可能是語言或行為表示,或根本是一種無形的企業文化與控制意識 (軟性控制) 合理確保 因內部控制制度有先天限制及成本效益考量,故只能合理而非絕對確保 人為疏失(莫非定律:會犯錯的一定會犯錯) 在決策過程中,判斷可能發生錯誤 對風險的警覺性不足 對指示的誤解 管理階層疏於管理 69 主菜 內部控制制度之目的、限制及組成要素 串同舞弊 兩人或兩人以上共謀規避內部控制 管理階層逾越內部控制 軟性控制如果強到使控制環境發生缺口,就會造成硬性控制失效之情況 (即逾越制度) 明文規定一般認為比較有助於制度之運作與傳承,但其缺點是缺乏彈性、 可能不符合實際需要,故企業必須針對明文規定有一些及時因應措施,並 留下書面紀錄,再儘速增、修訂書面規定 目標 企業在其既定使命下,管理階層將制定企業願景此一長期策略目標,同時設定相 應的短期策略目標及選擇策略,而將企業目標做分類將可使我們關注企業內部控 制及風險管理的不同層面,並區分每一類目標中能夠期望什麼? 願景Vision:燈塔,是組織最遠程的目標 使命Mission:望遠鏡,是眺望現在與未來間所繪成的任務導航圖 價值觀Value:羅盤,是組織人不論身處何處、何時,作人、處事的共有基本 原則 內部控制如果沒有目標,控制是無意義的 70 內部控制與內部控制制度之關係 內部控制:為了達成目標、降低風險,透過 內部控制 內部控制 制度 柔性(約定成俗)或剛性(內部控制能形諸文 字,並作成文件的部分)措施,加以引導及 約束 內部控制制度:為系統化、具體化的引導及 約束措施,採文件形式設計,俾供核定且有 助遵循執行 例如:要讓學生乖乖上課 培養其尊重學習環境的態度,即是內部控制 上課前喊「起立」、「敬禮」、「老師好」,屬內部控制之柔 性措施 明定在上課公約,屬內部控制之剛性措施,亦是內部控 制制度需含括之文件 71 主菜 內部控制制度之目的、限制及組成要素 營運的效果及效率是實踐企業使命、達成企業目標及企業永續經營 的基礎,故如果無法達成該目標,光談可靠財務報導及遵循法令就 比較不具意義 企業為達成營運的效果及效率目標,於策略形成之後必須建置一套 內部控制系統,使得策略得以朝目標的方向付之執行,這一套控制 系統,即所稱營運之內部控制,幾乎涵蓋了企業所有的核心交易活 動 以製造業為例,包括銷貨及收款循環、採購及付款循環、生產循環、薪 工循環、融資循環、固定資產循環、投資循環、研發循環等 除了以交易循環區分之控制作業外,企業營運之內部控制尚應包括對印 鑑使用管理、票據領用管理、預算管理、財產管理、背書保證、負債承 諾及或有事項管理、職務授權及代理人制度、資金貸與他人、財務及非 財務資訊管理、…偵防舞弊及對子公司等之控制作業、電腦化資訊管理 等 72 內部控制之要素 係指評估內部控制執行成效之過 程 將有關之資訊以適時有效之方式,予 以辨識、蒐集、傳遞予相關人士,使 其有效履行責任 監督 資訊及溝通 風險係指組織目標不能達成之可能 性。風險評估即指組織辨認及分析 風險之過程,以作為風險應如何管 理之依據 控制活動 用以確保組織成員確實 執行管理階層指令之政 策及程序 風險評估 控制環境 用以塑造組織之紀律及內部控制之架構,係其四項組成要素之基礎,可 影響組織文化及組織成員對內部控制之認知 73 政府內部控制觀念架構之運用 1、運用觀念架構五項要素檢討內部控制缺失 •運用內部控制五項要素觀念,分析內部控制缺失,並以 五項要素架構為基礎檢討改進缺失。 2、運用整體觀念架構設計內部控制制度 •參考觀念架構,由機關內部各單位設計涵蓋內部控制五 項要素之內部控制制度,以合理達成四項內部控制目標, 已發生內部控制缺失部分,經檢討完成改善後,應納入 內部控制制度。 74 政府內部控制五項要素—控制環境 塑造機關文化及影響其人員對內部控制認知之綜合因素,為 其他四項組成要素之基礎。包括: 公務職業操守與倫理價值觀念之建立及維持; 首長與高階主管對內部控制制度之重視及支持,確認目標 且避免過量風險; 組織架構及授權之適當明確; 人力資源管理(含進用、考核與獎懲); 專業能力提升(含宣導訓練)。 控制環境 風險評估 資訊與溝通 控制作業 監督 75 政府內部控制五項要素—風險評估 辨識攸關之施政風險、分析風險之影響程度與發生可能性, 及評量對風險容忍度之過程,據以決定採取控制作業或監督 等方式,處理或回應相關風險。包括: 風險辨識:辨識影響目標達成之風險因素; 風險分析:分析風險因素之影響程度及發生可能性,綜合 估計風險等級; 風險評量:評量對風險之容忍度並依據風險等級,決定需 優先處理之風險因素。 76 風險圖像 影響程度 風險分布 非常 嚴重(3) 控制 監視 嚴重(2) 輕微(1) 接受 幾乎不可能(1) 可能(2) 發生機率 77 政府內部控制五項要素—控制作業 為了合理促使機關達成目標、降低風險,且有助於落實機關決策, 所訂定之控制規範及程序。包括: 整體層級控制:對機關各單位多項業務有廣泛影響之控管措施或 控制規範。 作業層級控制:機關各單位經依個別業務之作業層級目標,所評 估風險之結果,秉持化繁為簡原則,設計控制重點;配合業務調 整及作業變動,適時檢討修訂。 整體層級 作業層級 78 常見控制作業種類 •比較實際績效與預算及 前期績效。 •比較財務與非財務資訊。 •考核職能或作業績效。 •維護資產實體安全。 •授權存取資料檔案。 •定期盤點並與紀錄比 較。 •交易之授權核准、記錄 及資產保管,分由不同 人員負責。 績效 考核 職能 分工 實體 控制 驗證 核對 •一般控制,如控管資訊 系統修改權限、網路安 全。 •應用控制,如驗證、調 節、覆核及核對。 79 設計步驟 控制類型 以控制的作用區分 以控制的時點區分 以控制的方式區分 預防性控制 偵測(查)性控制 改(矯)正性控制 預防性控制 人工控制 即時性控制 資訊系統控制 回饋性控制 •一般控制 •應用控制 指示性控制 補償性控制 80 控制方式說明 預防性控制(前) 藉由「事前」的控制,形成一道屏障來防止特別交易的不當進行或阻止錯誤的發 生。例如:承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單 偵查性控制(中) 安裝防毒軟體 定期掃毒 利用某些程序來偵測已發生之錯誤或不當交易。例如:編製銀行調節表、存貨盤 點、與銷貨客戶之定期對帳 矯正性控制(後) 隔離或刪病毒 用來矯正偵查性控制所發現之問題或矯正交易之控制。例如:透過電腦對採購單 之檢核可以偵測到未經核准之供應商號碼,進而追蹤其原因及時修正交易資料或 防止向不適當供應商之採購 採用線上掃毒(VirusTotal) 補償性控制 用來補償其他控制之不足,使得某些控制弱點不成為問題。例如:未有足夠之人 力執行職能分工時,可透過由客戶或管理階層親自監督來彌補此一控制弱點 指示性控制 http://www.virustotal.com 由管理階層指示一些行動,以便達成某種結果,產生正面性之結果,相對於預防 性、偵查性及矯正性控制重在防止、偵測及更正負面結果 81 政府內部控制五項要素—資訊與溝通 適時有效編製或蒐集資訊,並傳達予相關人員,使其有效履行 職責或瞭解責任履行情形。包括: 資訊:含財務及非財務資訊,可由內部產生或自外部取得, 供決策及監督之用。 溝通: 內部溝通:告知機關人員在內部控制所扮演之角色及責任,並建立 通報異常情事之管道,促使機關上下或跨單位資訊充分傳達。 外部溝通:依法對外部人士公開或提供資訊,對外界意見及時處理 及追蹤。 政府內部控制五項要素—監督 機關評估內部控制制度設計及執行成效之過程,藉以適時修正 改善內部控制制度。包括: 例行監督:由各項業務承辦單位主管人員,經常執行之督導作業。 自行檢查(評估):由機關內部各單位評估內部控制制度設計及執行 之有效性,並及時補救或改正,且作成紀錄備供主管機關訪查及督導。 稽核評估:統合或運用相關稽核評估職能,客觀檢視內部控制制度設 計及執行是否有效,並就發現之缺失及相關建議,及時改善與追蹤, 必要時檢討修正內部控制制度。 自我評估的方式與方法 因為內部控制實務具備下列涵義,所以能提供經營管理成功的合理保 證: 經營管理範圍就是內部控制範圍 PDCA法則適用於內部控制實務SOP 風險管理是內部控制、經營管理及公司治理的基礎 內部控制涵蓋機構組織內部的所有「標準作業程序SOP」(這是廣義的內部 控制制度,包含各種認證制度) 內部控制的最終責任者是機構組織的經營者,其成敗繫於各級經理人 是否確實執行各種SOP;而內部控制自我評估或自行檢查的成敗,也 繫於各級經理人是否確實執行「找重大缺失,做持續改善」 84 自我評估的方式與方法 自我評估方法 特性 觀察法 觀察對象(人員行為及實體物品等) 較易執行 依據經驗法則 眼見為限 風險已造成損失 書面證據待補齊 檢查表法 評估對象(任何風險因素) 配合法規規範(1997年內控自評) 應補足書面證據 可隨意填寫 查檢項目最好每次變更 應迴避封閉式問題 問卷法 評估對象(任何風險因素) 配合評估目的,容易設計問卷內容 使用開放式問題 問卷統計結論可以找出重大缺失項目 可避免主觀結論 必要時,補足書面證據 85 自我評估的方式與方法 自我評估方法 特性 研討會法CSA(Control Self-Assessment) 評估對象(任何風險因素) 易達成「集思廣益」目標 找出各種重大缺失,再逐一缺失研討其處理對策 時間成本較高 可定量分析及評估 較易形成實務貢識 軟體評估法 評估對象(各項輸入之風險因素) 專業之風險管理系統化技術 不易受人的因素左右 可量化分析 成本較高(可研議「租用」方式) 各級經理人一定要確定下列實務問題,才能確實執行自我評估的實務方法: 1.認清內部控制自我評估的對象 2.確定內部控制自我評估的範圍 3.確定內部控制自我評估的主辦者及執行者(內稽人員不適合) 4.確定內部控制自我評估的方式 5.確定內部控制自我評估的工作底稿(證據) 6.確定內部控制自我評估的表格格式(含內部控制制度聲明書) 86 主菜 內部控制設計與執行之評估焦點 內部控制評估表 目標 風險 現行控 制活動 評估 設計 執行 稻盛和夫:真正的內部控制就是要Double Check 如何揭露作業流程,並在其中找到必要之控制重點,經由兩次以上的覆核作業,方可能能儘量避免錯 誤發生 控制點係指在流程過程中很可能發生錯誤或不當情形,所產生對控制需求的關鍵點,且必須設置在能 使組織結構扁平,以及降低內部控制成本的過程中,其設置要點必須注意下列幾點: 1.實施有選擇性的控制(設計時要採成本效益原則,以提高企業經營效率為目標) 2.內控控制點的增加將呈現邊際效益遞減(應注意邊際成本等於邊際效益,以免失去靈活性) 3.改進控制的方法降低內部控制的不當耗費(不應過度專注於強調控制的嚴密性和完整性,應儘量精簡機 構和人員,改進控制方法和手段,減少過繁的手續和程式,避免重複的作業與勞動) 87 主菜 內部控制設計與執行之評估焦點 評估原則: 設計部分,係以現行設計與應有設計進行比較,前者係考量過去 之目標及當時之內外在環境因素而設計出來之控制措施,後者則考 量是現在之相關目標與因素 執行部分,係以現行設計與執行情形進行比較 評估焦點參考範例: 控制環境 操守及價值觀 目標:由管理階層將不可妥協之訊息與決心傳遞給全部員工 焦點:是否訂定行為守則或替代方式?有無確實遵循?如有違反,處 置方式是否合宜? 88 主菜 內部控制設計與執行之評估焦點 勝任之承諾 目標:管理階層應訂明各項工作所需能力之水準,並轉換為需具備之 知識及技能 焦點:是否訂定職務說明書或有其他替代方式可以確認某特定工作係 由那些職務所組成? 各種主管業務會議及委員會 目標:運作應適任、積極、主動、且有效 焦點:會議成員之代表性、操守、知識、經驗及時間等是否充分?其 他單位能否充分提供有關資訊?監督與執行之劃分是否明確? 管理哲學和經營風格 目標:將管理階層具正面意義之管理哲學及經營風格(無形體)散播 於組織內 焦點:管理階層之態度?包括對風險之偏好程度,對財務資訊與資產 安全之關心程度 89 主菜 內部控制設計與執行之評估焦點 組織結構 目標:組織結構應能配合其目標、業務及既有人力 焦點:在該組織結構下是否可及時提供必要之資訊?及進行必要之監 督活動?並具備必要之彈性調整機能?(太過簡單可能使監督活動無 法進行;太過複雜則可能使必要資訊的流通受到限制) 權責之分派 目標:透過責任之指派、權限之授與及制訂相關政策,俾協助組織達 成其目標,也是控制各員工執行職務之基礎。 焦點:與控制有關之準則及程序是適當?授與員工之權力與其擔負之 責任是否相當? ARCI:Accountable當責者、Responsible負責者、Consulted諮詢者、 Informed告知者 90 主菜 內部控制設計與執行之評估焦點 人力資源政策及實務 目標:招募能力強、操守好的教職員工,並留住他們 焦點:是否明訂適當之聘用、訓練、升遷及俸給辦法?如有違反,其 補救或懲處措施是否適當? 案情摘要: 某國立大學人事單位專門負責辦理退休、撫卹、資遣等相關業務之 某一職員,已於96年9月底退休,惟98年3月間又主動回到學校人事 單位幫忙處理公文,校方後來發現該員以不實公文及人頭製作假資 料,企圖詐領163萬餘元離退款,由政風室將全案移送法辦。經清查 發現,該員勾結某一工友涉嫌從87年至95年間,利用辦理退職補償 金業務之機會,以自己親友和該公友等人的名義,蒐集數十名人頭, 冒充學校退職駐衛警,向學校支領近百筆駐衛警退職補償金。但無 權決定核發款項的該員,卻私蓋「授權章」執行,以致後端作業的 出納人員不知情,多次撥款,總金額高達2,200萬餘元 91 主菜 內部控制設計與執行之評估焦點 控制環境要素的7項原則 1.誠正和道德價值:各機關發展職 業道德和行為規範的條文內容, 並且被主管和員工了解,特別是 高階主管,並且設定正確財務報 導的內部控制行為標準 現況及建議 現況: 國立大學教職員是受有俸給的文職公務員,其道德及行為規範主要係 依據公務員服務法,惟目前並無相關法令規定強制大學應落實推動全 機關人員瞭解及重視公務員服務法。現行各大學除新進職員報到時, 必須簽署一份確實遵守公務員服務法的承諾書外,但未有效地要求詳 細閱讀,也未舉辦測驗以新進人員正確了解內容,更未要求現有的單 位主管或員工每年再閱讀、簽署或測驗公務員服務法承諾書。以本案 為例,人事單位負責核定學校人事經費支出事宜,人事承辦人員的行 為規範與出納人員一般,需以高標準自持。當人事單位之自律機制不 足時,則需強化他律機制 建議: 政府機關應重視提升公務員職業道德及行為規範之重要性,包括檢討 修正公務員服務法現行規定的合宜性,及另訂相關配套措施以提供全 國所有公務員遵循參考 各機關首長應重視並主動積極採取適當作為,如要求每位職員每年再 閱讀、或測驗或簽署遵守公務員服務法及其他職業道德規範等之承諾 書,可透過強制規範方式讓每位職員瞭解並遵守之 各機關一旦發生違反道德行為時,除應及時依法採取適當懲處,以確 實遏阻機關的道德危機風氣外,並應針對弊端根源擬訂完善的補救措 施 92 主菜 內部控制設計與執行之評估焦點 控制環境要素的7項原則 現況及建議 2.決策者:決策者需瞭解核執行與 財務報導內部控制相關的監督責 任 現況: 目前各大學決策者普遍對內部控制制度不甚瞭解或不是很重視,至未 能有效發揮其評估與監督功能。以本案為例,依分層負責權限規定該 退休職員不應保有授權章,其直屬主管或上級主管即應對「授權章」 使用及管理進行高度監督,以濟授權執行之可能弊端 建議: 重行檢討分層負責權限之妥適性,以及直屬主管及上級主管之監督機 制 各級主管應瞭解及有效執行其監督責任,特別是各種授權章之使用及 管理 3.管理階層的哲學和領導風格:管 理的哲學和領導風格,可支持達 到可靠財務報導的有效內部控制 之目標 現況: 各大學管理階層較重視者為依法行政,但不是非常強調或重視內部控 制制度,更遑論行為規範。以本案為例,該職員直屬主管或單位主管 對於人事支出作業流程的重視及監督恐有不足或未落實執行,使得舞 弊犯行持續近10年而渾然不知。復於該員退休後,還容許其返回人事 單位幫忙處理公文,顯示存有鬆散及警覺性不足之實,無異是舞弊案 件之幫兇 建議: 人事主管機關及機關首長應確實督導及敦促推動人事管理階層負起監 管理之責 93 主菜 內部控制設計與執行之評估焦點 控制環境要素的7項原則 現況及建議 人事管理階層應針對重要職位人事人員,特別是關於經費核定、審核 者,確實落實職務輪調或其他監督功能 4.組織結構:組織的組織結構,支 持可靠財務報導的有效內部控制 現況: 各大學組織結構中,係由校長負起學校經營成敗的責任,關於校務基 金之管理及監督,則分別由管理委員會負責管理及由校務會議下設置 之經費稽核委員會負責監督。以本案為例,人事相關經費支出係屬校 務基金之經常性大額支出,屬於高風險性的交易事項,其管理及監督 強度應高於其他非涉及經費支出事項 建議: 各學校首長應重視經費稽核委員會之稽核報告,並確實針對缺失事項 責成相關單位研提改進措施或辦法,及事後追蹤考核 強化經費稽核委員會各成員有關內部控制與內部審核專業知能,俾有 效執行其任務並發揮其功能 5.財務報導能力:組織擁有財務報 導和相關監督能力的人員 本案為人事室案例,所以不適用 6.權限和責任:管理階層和員工被 分配到適當層級的權限和責任, 以促進財務報導的有效內部控制 現況: 無權決定核發款項的退休職員,卻私蓋授權章執行,以致後端作業的 出納人員不知情,多次撥款,總金額高達2,200萬餘元 建議: 94 主菜 內部控制設計與執行之評估焦點 控制環境要素的7項原則 現況及建議 各單位的職務授權章應依照分層負責表的權限和責任,正式交由專人 負責授權章和妥善保管 各單位的職務授權章如被發現有被他人不當使用,要有懲罰機制處理 特別是單位主管的「授權章」副章保管人應依據組織分層負責表來授 與,不得由他人任意代理用印 7.人力資源:人力資源政策和程序 的設計與執行,可促進財務報導 的有效內部控制 現況: 各學校因公務員服務法未規範要求學校教職員證明其誠正、道德行為 及適任能力的承諾,且人力資源政策及程序亦未有此規範。以本案為 例,退休職員本身為人事人員,對於職業道得及行為規範等法令規定 與作業,較其他單位人員嫻熟,卻仍知法犯法 建議: 公務員服務法及各學校人力資源政策及程序中,應增修納入要求教職 員證明其誠正、道德行為及適任能力之規範,並確實執行之 各學校應善加運用資訊系統對人事支出程序進行控管,例如任何支出 清冊之製作,皆應由有效人事資料庫產生,產出資料檔並應自動轉送 給承辦人員直屬主管及出納、會計等其他覆核單位進行覆核比對,杜 絕承辦人員竄改資料的可能性,任何例外情況或資料修補刮擦,皆應 特別注意確認查對 95 主菜 內部控制設計與執行之評估焦點 風險評估 整體目標 目標:辨別可能使目標不達成之內外部原因及其發生之可能性與嚴重 程度 焦點:策略計畫與整體目標是否一致?計畫與預算是否與整體目標、 策略計畫及目前情況一致? 作業目標 目標:為每一重要作業活動訂定明確目標及辨別其目標無法達成之內 外部原因及其發生之可能性與嚴重程度 焦點:作業目標是否明確?所需資源配置是否適當?各作業目標間是 否一致? 風險 目標:辨認使目標不達成之風險,並考量風險發生之後果,俾作為風 險管理之基礎 96 主菜 內部控制設計與執行之評估焦點 焦點:是否設有辨認風險之機制?風險分析之程序是否周延?且所分 析之風險是否攸關目標之達成? 對改變的管理 目標:設置辨認改變及對改變做出回應之機制 焦點:對涉及外界環境與內部有關事項如員工、資訊系統、規模、組 織、科技、法規等改變是否對組織之目標產生影響並予以妥適因應? 案情摘要: 某國立大學一位教授於96年至98年間主持國科會計畫、教育部研究 計畫,涉嫌找學生當人頭,詐領酬勞及津貼,並且連孩子的褓母費、 家教費也拿來報帳,共詐領約108萬元,被依詐欺、偽造文書罪起訴 97 主菜 內部控制設計與執行之評估焦點 風險評估要素的3項原則 現況及建議 1.財務報導目標:管理階層所指 定之財務報導目標,具有充分 清楚說明和標準,可辨識與財 務報導可靠性有關的風險 不適用 2.財務報導風險:公司組織辨識 和分析達成財務報導目標之風 險,作為決定風險管理的基礎 不適用 3.舞弊風險:評估財務報導目前 達成之風險時,明確地考量因 舞弊發生而造成重大誤述之可 能性 現況: 各政府機關及國立大學管理者,對舞弊風險評估方面,普遍缺乏相關觀念或 未能依據相關機制有效落實,尤其是不了解對於影響人員舞弊的各種誘因、 壓力、態度與合理性及機會等。以本案為例,教授以人頭、不實發票詐領研 究費情事,是一種普遍存在的高風險事項;然而,學校管理者卻未能辨識、 評估及建立各種舞弊預防、偵測政策及程序,造成舞弊情事發生來傷害校譽, 也因未適時警示該教授更是陷教授於不易之間接幫兇 建議: 各大學應強化各單位管理者關於舞弊風險的認知及專業知識,應針對舞弊情 事,建立及執行各種偵測程序及政策之責任及權責 現行有關教授研究費之核銷作業流程,如有因制度設計而導致舞弊風險提高 者,應與主管機關或監督機關等協議,在兼具對大學教授尊重與學校自主、 提升公共資源運用效能等目的下,研議妥適核銷作業流程,使其可更偵測舞 弊且作法合法又有彈性 98 主菜 內部控制設計與執行之評估焦點 控制活動 為達組織目標必須先辨認風險,評估風險,再據以進行風險管理,設計必 要之控制活動 目標:所設置之控制活動均為攸關並已執行,而未設置之控制活動則 不予執行 焦點:各種營運活動是否設有必要且相關之控制政策及程序?並確實 執行? 案情摘要: 某國立大學一位教授於96年至98年間主持國科會計畫、教育部研究 計畫,涉嫌找學生當人頭,詐領酬勞及津貼,並且連孩子的褓母費、 家教費也拿來報帳,共詐領約108萬元,被依詐欺、偽造文書罪起訴 99 主菜 內部控制設計與執行之評估焦點 控制活動要素的4項原則 現況及建議 1.風險評估整合:採取行動以 降低達成財務報導目標之風險 現況: 目前各大學行政及學術單位之各種控制活動設計及執行,仍較偏重各種作 業規定。該等作業規定大都是日常營運作業活動,部分嵌入幾個重要控制 點。如於資訊系統中設計各種費用列支標準,超過列支標準者將不被接受; 嚴格來說,針對整體風險評估結果而設計個別活動者,應屬少數。以本案 為例,研究費實支數低於主管機關核定數時,以不實單據報銷的風險就相 對提高,為降低該等舞弊風險,應針對該種事項之核銷,另設計控制活動 防範之 建議: 控制活動設計時應針對現行規定可能產生經費核銷風險,如學生或親友做 人頭,可以要求事前嚴格資格審核,事後檢附出勤紀錄等重點控制;不實 單據部分,可針對較難取得憑證或沒有單據者,適當由教授出具支出證明 方式處理,當可避免教授蒐集各類發票和收據而觸法,又達到尊重教授的 用意 相關控制活動設計與執行,應包括資訊科技舞弊風險在內 2.控制作業的選擇和發展:控 制作業的選擇和建置,應考量 其投入成本,以及降低達成財 務報導目標的風險之潛在效益 現況: 主管機關教育部於本案發生後,為協助各大學校院及教師落實各類經費支 用及核銷作業規定,製作「大學校院及教師辦理計畫經費核銷重要規定事 項及作業釋疑」及「大學校院教師執行計畫重要規定自我檢核表範例」供 各大學及教授參考使用 100 主菜 內部控制設計與執行之評估焦點 控制活動要素的4項原則 現況及建議 建議: 教育部製作「大學校院及教師辦理計畫經費核銷重要規定事項及作業釋 疑」,主要還是以現行各種規定或實務作業為主,並未考量各種規定之投 入成本及其效益。其中,是否有過度控制或控制不足者,仍宜依據風險評 估結果,適時作檢討修正 「大學校院教師執行計畫重要規定自我檢核表範例」應納入各大學之控制 活動中,並藉由經費稽核委員會之稽核作業,確認其被落實程度 教育部對於各大學管理者採取較符合成本效益之替代控制方案時,應研酌 修正現行規定,俾利各大學在合法情況下執行該等控制方案 3.政策和程序:公司組織內要 建立和溝通與可靠財務報導有 關的政策,並有相關程序促使 管理階層能依政策執行 現況: 目前各大學控制活動,仍以遵循各種作業規定為主,該等作業規定都是日 常營運作業活動,相關控制政策及程序的權責,並依據分層負責規定辦理 建議: 各大學行政單位及學術單位在設計控制政策及程序時,應考量學校整體控 制政策及程序的一致性 各大學應針對整體及單位控制政策及程序之執行施以定期或不定期複核, 以確保學校及單位控制政策及程序之有效執行 針對控制程序未符合者,應進一步採取例外調查管理,並擬具改進辦法或 措施 101 主菜 內部控制設計與執行之評估焦點 控制活動要素的4項原則 現況及建議 4.資訊技術:設計和建置適用 的資訊技術控制,以支持達成 財務報導目標 說明: 目前各大學財務報導相關會計資訊系統係統一由行政院主計處設計開發, 再提供各大學運用。各大學業務面之應用控制,尚難完全嵌入主計處之資 訊系統中,所以需由各大學視其需要各自設計發展或由主計處統籌辦理 建議: 各大學行政及學術單位之作業流程相似度甚高,且各大學幾乎都設有資訊 學系及資訊室。建議教育部或主計處編列預算,針對重要控制政策及程序 的設計開發一套專屬應用控制資訊系統,提供各大學運用,既能減少各大 學各自開發的成本支出,並可整合各大學控制活動重點而提升資訊系統功 能 102 主菜 內部控制設計與執行之評估焦點 資訊與溝通 資訊 目標:取得及產生可靠之資訊,俾傳遞供資訊者決策使用 焦點:是否設置必要及適用之資訊系統以取得內外部之資訊?是否設 置可用來報導疑似不當行為之溝通管道? 溝通 目標:傳達資訊之速度快、未失真,俾使決策不致延遲偏誤 焦點:是否把必要資訊如員工所擔負之任務及控制責任提供給必要人 員?是否有接納不同意見之雅量?及外界對組織道德標準之瞭解程度 如何? 監督 持續監督 103 主菜 內部控制設計與執行之評估焦點 目標:持續日常管理和監督活動,俾使內部控制持續有效 焦點:定期比對帳載與實際資產?是否藉外界溝通而確認內部產生資 訊之正確?內、外部審核是否有效並作出適當回應? 個別評估 目標:依據評估活動之風險及持續監督之有效程度,俾於一段時間後 由不同人以全新觀點來判斷內部控制之有效性 焦點:進行個別評估之範圍和次數是否適當?評估方法是否合乎邏輯? 且評估記錄完善? 錯失報導 目標:將內部控制之缺失陳報與適當管理階層知悉 焦點:是否已設置辨認內部控制缺失均須報導之機制?更正與追查行 動是否適當並確實執行? 104 主菜 辦理健全內部控制實施方案101年度工作重點 辦理內部控制宣導訓練: 各機關應依「辦理內部控制宣導及教育訓練應行注意事項」持續對全體人 員辦理教育訓練 檢討強化內部控制作業: 各機關應賡續就監察院糾正(舉)、彈劾案件、審計部中央政府總決算審核報 告建議改善事項、上級與權責機關督導、機關實施檢查評估及近期外界關注事 項等,涉及內部控制缺失部分,適時檢討,並應將99年度上述監察院及審計部 部分優先納入101年度檢討 主管機關應督導所屬檢討強化現有內部控制作業,並依附表格式於101年7月底 前彙送本機關及所屬101年度辦理檢討作業情形 98及99年度經監察院或審計部重複提出之事項,主管機關得向行政院內部控制 推動及督導小組提報該項內控缺失之檢討及策進作為,或由行政院主計總處指 定並通知主管機關提報 105 主菜 辦理健全內部控制實施方案101年度工作重點 各機關應賡續就監察院糾正(舉)、彈劾案件、審計部中央政府總決算審核報 告建議改善事項、上級與權責機關督導、機關實施檢查評估及近期外界關注事 項等,涉及內部控制缺失部分,適時檢討,並應將99年度上述監察院及審計部 部分優先納入101年度檢討 主管機關應督導所屬檢討強化現有內部控制作業,並依附表格式於101年7月底 前彙送本機關及所屬101年度辦理檢討作業情形 98及99年度經監察院或審計部重複提出之事項,主管機關得向行政院內部控制 推動及督導小組提報該項內控缺失之檢討及策進作為,或由行政院主計總處指 定並通知主管機關提報 各機關配合行政院組織調整,若所轄功能業務有重大調整者,業務移出機關仍 應賡續檢討,以利業務承接機關辦理 設計有效內部控制制度 各機關應依「內部供制制度設計應行注意事項」設計合宜有效之內部控制制度 各機關應於101年底前完成第一版內部控制制度,但配合行政院組織調整者,得 延至組織調整生效後1年內完成 主管機關應確實督導所屬設計內部控制制度 106 主菜 辦理健全內部控制實施方案101年度工作重點 逐級督導落實制度執行 各機關應落實執行內部控制制度,以維持其有效運作,其中各項控制重點之執 行情形,應保留軌跡或紀錄並妥善保存 主管機關應督導所屬落實執行內部控制制度,得定期或不定期進行訪查,針對 所發現內部控制缺失已檢討完成但尚未完成全面改善及未完成檢討部分,得指 定所屬限期改善或至其內部控制專案小組報告 已檢討完成改善或已檢討完成但尚未全面改善(未完成檢討)之案件彙整表格 監察院糾正(舉) 、彈劾案件及審計 部建議改善事項 缺失原因 執行面─改善情形 原有內部控制制度未落 實執行之改善作為 設計面─改善情形 已納入內部控制制 度設計 未能完成檢討之原因 預計完成改善期限 註:缺失原因,請按5項要素逐項分析(無該項缺失者免填) 執行面之改善情形,請敘明加強落實執行之作為,至尚未完成改善者,請敘明改善計畫及期限 設計面之直停情形,請敘明怕入內部控制制度設計之情況,至尚未完成改善者,請敘明預計納入內部控制制度設計期限 107 主菜 辦理健全內部控制實施方案101年度工作重點 內部控制制度設計應行注意事項 各機關應依「內部控制制度設計原則」所定之內容及步驟,並參考「內部控制制 度設計範例」架構,依序先確認整體及作業層級目標,進而評估無法達成目標 之風險因素,再就不可容忍之風險找出業布項目,設計其控制作業,據以設計 合宜有效之內部控制制度 各機關依風險評估結果,選定業務項目並據以設計控制作業時,應注意下列事 項: 共通性業務:範例所列作業項目 以往曾發生缺失者,應將該作業項目納入內部控制制度,惟在有效性前提考量下, 得視各機關業務性質,合宜彈性調整 以往並未發生缺失者,經風險評估後,屬不可容忍風險範圍者,得依前目規定辦理; 屬可容忍風險之範圍者,得暫不納入內部控制制度,惟仍應監督並定期檢討,一旦 超出可容忍風險範圍,即應依前目規定辦理 個別性業務:已前年度已發生內部控制缺失並檢討完成改善之作業項目,除執行 面之缺失,應落實執行外,應即時納入內部控制制度。其餘作業項目,依業務重 要性及風險性,並考量成本效益,逐步納入內部控制制度 各機關應力求內部控制制度之有效運作,並適時檢討強化其內容,倘控制作業、 作業流程過於繁多或已不適用者,宜適度精簡、修正或刪除,使其更臻具體、 明確及可用… 108 主菜 立法委員主張簽署內控聲明書 立法院財政委員會之費鴻泰立法委員 建議推動模式: 在101年第一階段試辦為象為預算規模較小或業務性質較單純之三級機關(基 金),二級主管機關及內行政院內控專案小組協助指導及隨時檢討改進 在102年第二階段試辦對象擴大至二級主管機關,內行政院內控專案小組協助指 導及隨時檢討改進 在103年第三階段正式推動 將內部控制聲明書定調為對外報告決算書之必要文件,故機關首長、主辦會計 人員兩人應為簽署;另依「健全內部控制實施方案」規範機關副首長以上人員擔 任內部控制專案小組召集人,負責:(1)辦理內部控制及內部稽核作業教育訓練 ;(2)檢討強化現有內部控制作業;(3)整合檢討個別性業務內部控制作業;(4)參 採各權責機關所訂內部控制制度共通性作業範例,並審視個別性業務之重要性 及風險性,訂定合宜之內部控制制度及內部稽核作業規定,其中三級以下機關 (構)及學校應報送上級機關備查;(5)規劃及執行年度稽核計畫,必要時辦理 專案稽核,並作成稽核報告;(6)就內部稽核發現之缺失及改善建議,適時簽報 機關首長核定,並追蹤其改善情形,故副首長或主任秘書應共同簽署 109 主菜 立法委員主張簽署內控聲明書 公開發行公司建立內部控制制處處理準則第23條規定之各式內部控制制度聲 明書(含設計與執行均有效、或設計與執行有重大缺失): OO股份有限公司 內部控制制度聲明書 本公司民國XX年XX月XX日至XX年XX月XX日之內部控制制度,依據自行檢查的結果,謹聲明如下: 一、本公司確知建立、實施和維護內部控制制度係本公司董事會及經理人之責任,公司業已建立此一制度。其目的係在對營營 之效果及效率(含獲利、績效及保障資產安全等)、財務報導之可靠性及相關法令之遵循等目標的達成,提供合理的確保。 二、內部控制制度有其先天限制,不論設計如何完善,有效之內部控制制度亦僅能對上述三項目標之達成提供合理的確保;而 且,由於環境、情況之改變,內部控制制度之有效性可能隨之改變。惟本公司之內部控制制度設有自我監督之機制,缺失 一經辨認,本公司即採取更正之行動。 三、本公司係依據「證券暨期貨市場各服務事業建立內部控制制度處理準則」(以下簡稱「處理準則」)規定之內部控制制度 有效性之判斷項目,判斷內部控制制度之設計及執行過是否有效。該「處理準則」所採用之內部控制制度判斷項目,係為 依管理控制之過程,將內部控制制度劃分為五個組成要素:1.控制環境,2.風險評估,3.控制作業,4.資訊及溝通,及5.監 督。每個組成要素又包括若干項目。前述項目請參見「處理準則」之規定。 四、本公司業已採用上述內部控制制度判斷項目,檢查內部控制制度之設計及執行之有效性。 五、本公司之檢查發現下列重大缺失:(列舉各項重大缺失及其對達成上述目標之影響) 五、本公司基於前項檢查結,認為本公司上開期間的內部控制制度(含對子公司監理),包括知悉營運之效果及效率目標達成 之程度、財務報導之可靠性及相關法令之遵循有關的內部控制制度等之設計及執行係屬有效,其能合理確保上述目標之達 成。 110 主菜 立法委員主張簽署內控聲明書 內部控制制度聲明書(續) 六、本聲明書將成為本公司年報之主要內容,並對外公開。上述公開之內容如有虛偽、隱匿等不法情事,將涉及證券交易法第 二十條、第三十二條、第一百七十一條及第一百七十四條等之法律責任。 七、本聲明書業經本公司民國XX年XX月XX日董事會通過,出席董事O人中,有O人持反對意見,餘均同意本聲明書之內容,併 此聲明。 董事長 總經理 除國營事業應依上開處理準則格式辦理外,費鴻泰委員試擬各機關之內部 控制聲明書: 內部控制聲明書 XX部管理階層出具(無保留、保留、否定、無法表示)意見內部控制聲明書,除XXX等事項外,本部管理階層已(未能) 立及維持有效之財務報導內部控制,及遵循(未遵循)預算法、會計法、決算法、採購法、「健全內部控制實施方案」…等相 關法令規定,管理階層就營運內部控制有效性是提供(無法提供)合理確認。上述例外情況,另詳述於本聲明書之附錄段落。 XX部已評估截至民國XX年12月31日之財務管理制度、營運效果與效率之內部控制、遵循法令規定,以及財務報導─包含資 產安全、遵循法令規定。 人事、研考、採購、政風、總務等單位已提供XX部特別確認,XX部並已考量支持本聲明書之相關證據,並確定XX部之內 部控制制度是良好(不良的),可以(無法)協助XX部達成其政策、目標及目的。 111 主菜 立法委員主張簽署內控聲明書 內部控制聲明書(續) 除了上述之例外附註外,XX部財務管理制度大體上已遵循(未遵循)各項法令規定之目的、內部控制是有效(無效)執行 的、下列各種內部控制之設計或執行並未發現(已發現)重大缺失:1.截至XX年12月31日之營運效果與效率及遵循法令規定; 2.截至民國XX年12月31日財務報導。XX部已辨識(未辨識)…等情事。本控制聲明書所報導之相關違反事項,刻正由XX部相 關人員決定如何解決處理。 機關首長 機關副首長或主任秘書 主辦會計 112 甜點 審計部所提財務收支之審核 新竹縣政府99年度財務收支修正歲出決算剔除事項計5,200萬元,除1件列支 費用與有關規定不合(未滿百萬元)外,其餘5,100萬元均屬保留款與預算項 目不合或毋需保留者。 新竹縣(含鄉鎮)99年度計有52(47+5)項審核意見,另98年度審核意見計 29(24+5)項之覆核情形,包括已改善辦理32(27+5)項及仍待繼續改善13 項,其重要項目如下(13類中僅有9類): 未積極催繳罰款清理舊積欠。 稅籍管理存有缺失:稅籍未釐正、異動通報未落實、適用稅率不當、欠稅清理未盡確 實 部分計畫規劃欠周延,間有執行未落實、未達成預期目標、或變更計畫致進度延當。 部分保留經費或比率偏高,影響施政效能,預算執行能力尚待提升。 部分施政計畫評核作業未落實、未及時檢討考核獎懲、績效目標未盡明確、或未臻覈 實嚴謹。 採購進度延宕、或未積極研訂監視系統相關規定、或未定期檢視其運作情形、或未妥 善維護、或未落實考核。 應收未收行政罰鍰及欠稅尚待催繳取證或移送強制執行之比率偏高。 內部控制及審核作業未臻嚴謹,未覈實辦理歲入保留。 未覈實編列預算,或經費保留之審查未臻嚴謹。 資本門執行率偏低影響施政效能(關西鎮等8鄉鎮);公立托兒所經營管理未盡周妥(竹北市等 11鄉鎮) 113 甜點 審計部所提未盡職責或效能過低情事之查核意見 新竹縣五峰鄉公所興建供行政辦公及公眾使用之公有建築物,於73年10月15 日新竹縣非都市土地使用編定公告日後興建完工者計13件,價值約5,771萬餘 元,其中未取得建築執照者12件,價值約5,189萬餘元;另於公告日後修建完 成者計3件,經費約1,893萬餘元,公所未積極辦理補照,其中部分館舍經監 察院提案糾正或新竹審計室通知而查處失職人員後多年,仍屬違章建築,且處 於閒置狀態;上開公有建築物之基地土地「使用分區類別」不符規定。該公 所逕自於原住民保留地區興建公有建築物;公用財產迄未列帳且疏於維護管理, 致使用現況悖離原興建用途、未有效使用或遭民眾占用等;其上級機關新竹 縣政府亦未善盡建築主管機關監督職責,且經糾正後仍未健積極監督作為。 新竹縣辦理該縣地方產業交流中心推動計畫,工程預算1億1千萬元,其修 (改)建完工驗收迄今已歷5年餘,尚未取得變更使用執照;建築物施工品質 不良,至今仍有滲漏水情形;成立地方產業公司經營該中心,迄今仍未依法定 程序完成公共設施用地項目變更;地方產業公司未積極推動相關營業計畫,致 耗費鉅資辦理之營運輔導未見成效;為寬列用人費用預算,未切實考量營運 目標及過去實績,虛編營業收入預算,實際營收不足以支應人事費,肇致嚴 重虧損。 114 甜點 審計部所提制度規張缺失或設施不良之改進建議 辦理補捐助團體私人作業等規範未盡完善 未訂定回饋金管理相關規範 應收未收行政罰鍰規範闕如 未研訂閒置校舍利用管理要點及相關清查計畫(截至98年底全縣共有國民中 小學2,088班、4,442間教室),致閒置校舍再利用情形欠佳 115 甜點 審計部所提增進財務效能之建議 檢討開源措施並落實辦理,強化成效評核與課責機制,確依地方稅法通則賦 予之財政自主權限開拓自有財源 強化地價評議機制,合理課徵土地稅捐,通盤檢討現行各項收費項目及標準, 落實使用者及受益者付費原則,加強清理欠稅、欠費及行政罰鍰 衡酌可用財源及施政計畫優先順序,覈實籌編預算,落實計畫及預算執行管 考制度 因事前規劃及前置作業未臻周延,績效評估指標未明確,致計畫執行進度落 後,影響政府施政效能,允宜落實可行性評估,加強成本效益分析及研擬完 整財務計畫,覈實編列預算,積極列管考核及建立績效評估制度,以提升預 算執行效率 預算執行未臻嚴謹,經費鉅額保留,應收未收行政罰鍰管制清理效能欠佳, 社會福利措施控管機制未盡周延,補助經費結報制度有欠完備,部分公款未 透列會計帳表,允應落實執行「加強財務控管及落實會計審核方案」,並參 照「行政院所屬各機關風險管理及危機處理作業基準」等規定,規劃建立財 務風險管理機制,以提升政府施政品質 瓦斯管理處理資本投資計畫未具顯著成效,肉品、酒品市場營運量衰退,及 大眾運輸、能源事業等營運發生連連虧損,允宜本企業化經營原則,提升營 運效能 116 甜點 採購控制實務 舞弊警訊 供應商資料庫警訊─從供應商資格查核 前來投標的廠家不在合格供應商資料庫裡,確仍准其參加投標 廠家在定期認證時被判定為不合格,資料沒被系統鎖住 廠家被標明為合格,但無任何佐證 廠家證明文件、工程文件造假 廠家地址以郵政信箱標示 廠家負責人、地址、電話、傳真號碼、聯絡人、或匯款銀行帳號有和其 他廠家相同 廠家非原廠供應商或代理商或經銷商,卻是仲介性質的公司 採購人員管理警訊─從採購人員查核 採購人員從不休假,也不願他人代行職權,或拒絕輪調 採購人員自己在外設立公司,也同時供貨給任職的公司,造成利益衝突 剛開始對某廠商極盡挑剔,經過逼些時日之後,卻由該廠家得到標案 採購人員有不尋常的、大額的金錢供其生活上花用 117 甜點 採購控制實務 請購警訊─從需求單位查核 公司缺乏簽核程序(或簽核權限)管理的規定 不是在必要的時點採購(如存貨安全庫存仍足購時,設備還不需汰換時, 或沒有擴廠計畫時等下單) 將請購金額由一大筆金額化整為零轉變成幾筆較小的金額請購案,以規 避簽核權限 通常在超過某一定金額的請購案,規定需要不只一家廠家前來投標,卻 被請購單位以某些理由(如廠家配合度、交期、品質)加以忽略或有意 的規避 年度例行採購合約到期,當請購單位提出需求時,採購單位法法提出已 經嚴謹複核可以續約的證據,仍然與原廠家繼續簽訂年度例行採購合約 詢價警訊─從想找尋的廠家查核 個人喜歡的廠家 對採購人員本身有財務上利益的廠家 合格供應商資料庫裡沒有的廠家 118 甜點 採購控制實務 比價警訊─採購人員在拆封廠家的比價單,登記價格之後,應注意 比價單是否有重新彌封並在封口簽名,以防止比價單被更換 議價警訊─採購人員從比價的幾家廠商裏找來再次議價時 應注意如果是採合理標(即價格非唯一決定得標因素),一般市場上這 類標案的價格大約在哪種價位,採購人員必須有一個概數,有時必須捨 棄離合理價格差距過大的最高標(陪標)和最低標(搶標),以免不當 情事產生 採購人員不在上班時間打電話給廠家,談話暗示對方價格不具競爭力 規和價格被灌水,資料數據未被採購方的工程人員精確確認 議價記錄內容有明顯不合理的記載(如同意廠家依物價波動調整合約價 格、沒有要求驗收後才支付尾款、沒有規範罰則等) 下標警訊─ 以打電話的方式下標,造成無法確定是否為他人假冒或無法留下下標證 據 在很短的時間內即截止下標 使用冷門的刊物或在假日刊登工程招標事宜,只讓少數人前來投標 119 甜點 採購控制實務 對於投標地點、時間、規格含糊不清 和廠家在不適當的時間和地點會面 向廠家探詢有無任職機會 幫廠家填寫標單 要廠家參考所推薦的下包商、顧問公司、或供貨來源 答應事後可以修改或補送標單 廠家之間私下互相協議 借他人牌照前來投標 開標警訊─ 開標之後,仍然接受補標單 允許廠家抽換標單 某廠家總是最後交標單,但也總是得標 得標之後退出,卻又成為遞補得標者的下包商 廠商之間交頭接耳,或有異常談話內容 裝標單的信封沒有彌封 120 甜點 採購控制實務 下單採購警訊 採購單並沒有下給平常往來的廠家 採購價格不合理超過預算或參考價格 類似的棌購案,規格要求卻差異很大 採購單所定內容、規格、和原先規劃的內容、規格有差異 驗收時警訊─驗收功能薄弱或權責劃分不清時 不由請購單位或使用單位驗收,卻由採購單位出面驗收 驗收單位遲遲不予驗收或驗退 規格有差異,卻常被施壓要求以特採方式驗收 應付帳款的警訊─從應付帳款查核 公司所買的原物料單價,比同業所購買的價格還高(可在投標過程的文 件上看到,也可以在和同樣相同原物立採購價或行情價比較得知) 工程內容或設備規格,變更次數過於頻繁,導致常有支付額外帳款發生 121 甜點 採購控制實務 一般企業的控制方法 對於員工執業道德政策或工作準則,應該明確禁止利益衝突的情 事、禁止收受現金或一定金額以上的禮物、甚至要求將不法所得 繳回公司,並確認所有員工都已認知並已閱讀該政策或準則 建立預防性控制機制:如三方確認機制three-way match(採購單、 發票和入庫文件內容一致)、運作良好的詢比議功能、適當的權責 劃分、採購人員定期輪調、有效的內部稽核功能 採購合約條款明文要求供應廠家不得支付非合約所訂定任何款項 相給本公司員工或本公司代理商,甚至本公司可派員稽查人員前 去查核廠家帳務紀錄,以確認是否支付不當佣金 由董事長具名,定期寫信給供應商,闡述本公司對採購人員誠信 的要求和行為規範,若有索賄情事可直接連絡董事長、法務主管、 內部稽核主管 採購人員以指定專用電話和廠家洽談採購事宜,該電話連接錄音 設備全程錄音,該錄音內容保存一定期限 在美國也有企業會要求採購人員(通常是負責重大採購或被傳言 有收取回扣者)同意在公司一求下參加測謊(其結果並非被用來 證明有罪) 122 終曲 推動內部控制之當責與賦權 當責Accountability SOS+D See it正視問題 面對冷酷事實,察納他人批評,誠懇公開溝通 Own it擁有問題 積極介入,承諾目標,與組織校準目標 Solve it解決問題 面對難題,專注最後成果,不斷思考:為了成果,我還可以 多做什麼?What else can I do? Do it著手完成 確實執行,主動報告進度,不斷有後續追蹤 123 反授權 Reverse delegation A當責者 里程碑milestone C顧問 微管理 micromanagement R1負責者 A1 R2負責 者 A2 I被通告 者 溝通界面 運作實體 支系系統 124 終曲 推動內部控制之當責與賦權 阿喜法則的角色扮演 意義 A Accountable當責者 負起最終責任者The Buck Stops Here(杜魯門總統名言, 意指:推諉卸責到此為止) 是經理人。有說「是/否」權柄authority與否決權veto power;每一個活動只能有一個「A」 R Responsible負責者 實際完成任務者The Doer 是專業人Specialist,是執行者Doer。負責行動與執行,可有 很多人分工,其程度由「A」決定 C Consulted事先諮詢者 在「最終決定」或「行動」前必須諮詢者Prior to making a decision 可能是上司或外人。為雙向溝通之模式,需提供「A」充分 與必要資訊。(此種人員包括授權者、其他部門高階主管及 外面請來的管理或技術顧問,其運用的是影響力而非權柄) I Informed事後告知者 在「決策」之後或「行動」完成後必須告知者After a decision is made 是利害關係有關人員,在各層級、各部門,為單向溝通之模 式,是執行的一部分。(此種人員包括後續計畫主持人、客 戶以及各部門的老闆,想要知道重要進度及工作實況) 125 當責的整體架構 受害者循環的人生數學算式 (趨近於零=0.9n) 社會當責/企業當責 3.加值社會 AS8000、AA1000、公司治理 當責者的人生數學算式 (趨近於∞=1.01n) 組織當責 企業文化、當責領導人 團隊當責 2.領導組織 ARCI、QQT/R 在所有之資源下Resources,被要求於一定時間 期限內Time完成一定品質Quality及一定數量 Quantity的任務 個體當責 1.經營自己 個人當責 觀察重點: 1.要「交出成果」,重 點不只是在過程上。 2.要超越目前處境,不 是怨天尤人、掉入「受 害者循環victim cycle」 的陷阱。 3.要能「多做些什麼one more ounce多加一盎 司」,即為了交出成果, 我願意多做一些。 QBQ我還能多做什麼? The question behind the question 要注意問問題及問更好呃問題 126 規劃 執行 最後成果 Product 執行能力 Functioning Capability 計劃目的 Purpose 行動方案 Activities 127 終曲 推動內部控制之當責與賦權 賦權Empowerment:一個自立立人、自達達人的流程 Em -power -ment 1.Em是put onto或provide with,是外加或賦予之意, 指需由外加予更多權限。 ‧外加權限給弱勢團體,如黑人、女人、殘障、落後社區 等。 ‧外加權限給原本不具有者,如Empower America運動 中要求減稅、解除管制等。 ‧外加權限後還給原有者,如美國印地安人、澳大利亞原 住民、台灣原住民。 ‧外加權限給較低一階的人,如給權柄、資源等。 ‧外加後可形成ARIA的賦權大環境。 ‧倡導人士:坎特及許多優秀企業界領導人。 1.權力是指說服/影 響/脅迫別人行動 的能力,是一種影 響力,包括:獎賞 權、強迫權、法制 權、專家權及參照 權。 2.權柄指法定或官位 上的法制權,是權 力的一部分,是賦 權的必要條件,但 不構成充分條件。 1.指賦權管理。 ‧核心是當責。 ‧本質是一個機制、一種流程、一套系統。 ‧不是:一道命令、一個動作或一次啟發。 ‧有工具與條件/環境:如ARCI、ARIA、 MICS。 ‧目標是創新、成事、成長、達人。 ‧陷阱是:未賦權unempowerment、失賦 權disempowerment、授權不足與假賦 權pseude-empowerment(指不給真權 力,只要求員工改變態度、亙努力工作) 。 2.賦權管理包括:自己被賦權與賦權別人 。 3.賦權是比授權更高一層的有效管理。 2.Em是within,是內含之意,指己內含能力。 ‧天生我才必有用,但每人腦力只用了10%。 ,日本譯為啟發,法文autonomisation皆偏向此意。 ‧上層啟動MICS後,形塑了賦權的內在軟性環境。 ‧自我啟動MICS後,形成自我賦權的力量與熱情。 ‧倡導人士:查蘭布‧柯維及許多領導學專家。 128 終曲 推動內部控制之當責與賦權 依ARCI法則原理來劃分授權與賦權: 授權(是管理導向、老闆導向) 代為分身分勞,上司把一部分工作分派給部屬 被授權者依狀況不同而具有不同等級的決策權限 被授權者不必負當責,故常需揣摩上意或依照規定行事,缺乏獨立判斷 與思考,有時因依賴上司,喜愛/懼怕上司而出現更強的依從性 上司是A(不折不扣的當責者),被授權者做事時常介於A與R兩角色 之間(有時是虛擬的或虛張聲勢的A,有時是R中的最大R,或是眾R中 的協調者) 授權作業在虛實之間充滿變數和藝術,有時讓權責區分更加混淆 賦權(是顧客導向) 屬下屬全權處理,上司把重要任務授給具有能力的部屬去處理 被賦權者一併承擔成敗責任(是負有當責的,要交出成果) 被賦權者的能力已被核實(但仍需要充分的訓練、資訊與資源) 被賦權者擁有說是與否的否決權(他有決策的權力) 賦權者已退而為C(依照法則係輔佐被賦權者),以成功執行任務,包 括A個人成長 129 終曲 推動內部控制之當責與賦權 充分授權後的賦權,是ARIA的函數:當責、資源、資訊及權柄(如 果缺少,賦權就不完全,甚至失敗歸零) 充分授權還要有一些軟體待辦: A一定需要訓練(技術專家不一定是管理專家,通常溝通能力很差、 也不會訂定目標,不是工程師心態,就是技術官僚作風) 培育A(幫助他成功,即做中學、學中做是硬道理,做事、訓練及 培育是一體的) 放手與管控、創新與紀律,如陰陽之兩面,可以兼顧 應注意三個F:適時回饋Feedback、預想未來Feed forward、追蹤現場 Follow through 四點心理層面的要項也要加碼給A:信任、尊重、肯定與獎勵(是C擴大影響 力的方法之一)、容錯空間 130 終曲 推動內部控制之當責與賦權 ARCI法則是方法論、是大架構;ARIA是硬體成分,充實了它的架構; MICS是軟體,豐富了它的整個內涵 工作的意義Meaning:一個人在工作上對角色的希求,及該角色與在信 念、價值觀、行為之間的契合度。「工作的有意義性M」 工作的能耐Competence:即工作上能有所成就的能力或一種信心,相 信自己已擁有技能,有完成工作所需的能耐。「工作時需具有的能耐C」 工作的自決Self-determination:一種能啟動與調整自己行動與工作流 程的自主感,如能決定工作方法、工作步調與介入程度等。「自我抉擇 的權力S」 工作的影響Impact:指可以影響到公司決策、工作流程,或作業成果 的程度。「工作所造成的衝擊I」 以上四者依照邏輯演化的順序重組之後成為MICS(內在條件)與 ARIA(外在條件)有別 131 終曲 推動內部控制之當責與賦權 Please Work SMART-ER: S:Specific要具體,目標必須夠清晰具體。(確定是應用在工作的某一特定區域, 讓工作者能清楚掌握執行內容與目的) M:Measureable目標一定要能定量,讓員工知道有無達成?是否成功?(專家 認為90%以上的目標都可以數值化─如果你對該專題有夠深入的認識與掌握) A:Agreed是與員工協商、議定,並獲得承諾的。(讓員工擁有這個目標是很重 要的,沒有共議目標是眾多公司的一大挑戰)或亦可指Achievable & Aggressive可達成也具挑戰性。 R:Relevant適切重要的,或Realistic務實、不好高騖遠的,或Result-oriented 與最後成果有關聯,而不是為活動而活動的。 T:Time-bound是完成時間表,甚至是deadline般的壓力。(不宜亂設緩衝時間) E:Extending是延伸,也是常說的Stretch。(員工與目標兩者都需要進一步激 勵與挑戰,惟沒達成不罰、達成者給大獎) R:Recorded;要寫下議定後的原始目標,以供不時審查。(不寫下來常不算數) 132 結語 檢討內部控制,是一周而復始,永無止境的過程 每一個個案的檢討過程,建議能以書面紀錄如病歷 表般,以利追蹤查考 生病可能被完全治癒 生病狀態可能被壓抑而成帶原,遇有狀況再病發 以上狀況就如同進行內部控制檢討一般,每一個被 檢討的就像是一個病癥 謝謝聆聽! 歡迎提問! 133 參考文獻 馬秀如譯,87.6,《內部控制─整體架構》,財團法人中華民國會計研究發展基金 會出版 馬秀如等譯,94.7,《企業風險管理─整合架構》,財團法人中華民國會計研究發 展基金會出版 馬秀如等譯,95.12,《企業風險管理─整合架構 應用技術》,財團法人中華民國 會計研究發展基金會及社團法人中華民國內部稽核協會出版 林柄滄,86.9,《內部稽核理論與實務》,自行出版 陳文彬,96.8四版,《企業內部控制評估》,中華民國證券暨期貨市場發展基金會 出版 馬秀如、彭火樹、俞洪昭、蔡博賢,88.6,〈研訂實施校務基金之學校內部控制制 度〉,教育部委託研究 彭火樹、馬秀如,90.8〈政府各機關實施內部控制及內部審核之探討〉,行政院主 計處 周幸靜、王怡心,100.7,〈公部門內部控制與風險管理〉,內部稽核季刊第75期, 社團法人中華民國內部稽核協會 134 參考文獻 陳禮炫,98.9,〈展開內部控制自我評估的方式方法〉,內部稽核季刊第68期,社團法人 中華民國內部稽核協會 王怡心、周幸靜,100.7,〈公部門治理與內部控制〉,內部稽核季刊第75期,社團法人 中華民國內部稽核協會 江瑞祥、洪永泰、陳俊明、楊可欣,101.1,〈台灣公共治理發展現況〉,政府審計季刊 第126期,政府審計雜誌社 黃淑娟,101.4,〈政府內部控制發展策略與作法〉,政府審計季刊第127期,政府審計 雜誌社 張信一,100.3,〈強化政府內部控制作法之我見〉,主計月報第663期,財團法人中國主 計協進社 張信一,100.5〈以預算作業為例談政府內部控制之檢討評估作業〉,主計月報第665期, 財團法人中國主計協進社 麥克爾‧B‧波特原著,陳桂玲編譯,93.10《 Simple Business Administration管理就這麼 簡單》,靈活文化事業有限公司 保羅‧傑克森、馬克‧麥克高原著,張美惠、蔡宏明譯100.09《跳過問題,直接做對─成功 者想的跟你不一樣,聚焦篇The Solutions Focus》, 城邦商業周刊 張文隆,95.12,《當責》,中國生產力中心 135 參考文獻 張文龍,99.4,《賦權》,商周出版社 黃瑞昌,100.7,〈內控流程的建置與管理實務─以內部稽核的觀點進行討論〉,內部稽 核季刊第75期,社團法人中華民國內部稽核協會 行政院主計總處內部控制教材網站:強化政府內控之設計篇、實作篇及宣導篇簡報 費鴻泰,101.4〈公部門財務報導課責文件〉,內部稽核季刊第78期,社團法人中華民國 內部稽核協會 陳錦烽、蘇淑美編著,94.8《內部稽核新紀元─風險管理、控制及治理〉 林柄滄、陳錦烽譯,100.10《國際專業實務架構》,社團法人中華民國內部稽核協會 審計部編印,101.3,《100年政府審計年報》 賴森本,94.3〈內控知多少?〉,行政院退除役官兵輔導委員會訓練課程講義 張正雄,101.4〈採購舞弊警訊與控制實務〉,內部稽核季刊第78期,社團法人中華民國 內部稽核協會 136