1 / 81

內部控制理論 - 內控、監督 & 內稽

內部控制理論 - 內控、監督 & 內稽. 國立臺北大學會計學系教授兼副校長 中華民國內部稽核協會副理事長. 王怡心 博士 100.3.10 98.7. 6. 內部控制理論基本功考驗 - 正確數. 報告大綱. 一、 COSO財務報導的內部控制     較小型公開發行公司指引。 二、COSO內部控制監督指引 。 三、 IIA 準則 –IPPF 。 四、政府稽核服務之類型 。. 一、COSO財務報導的內部控制 較小型公開發行公司指引.

gannon
Download Presentation

內部控制理論 - 內控、監督 & 內稽

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 內部控制理論- 內控、監督 & 內稽 國立臺北大學會計學系教授兼副校長 中華民國內部稽核協會副理事長 王怡心 博士 100.3.10 98.7. 6

  2. 內部控制理論基本功考驗-正確數

  3. 報告大綱 一、COSO財務報導的內部控制     較小型公開發行公司指引。 二、COSO內部控制監督指引。 三、 IIA準則–IPPF 。 四、政府稽核服務之類型 。

  4. 一、COSO財務報導的內部控制 較小型公開發行公司指引 第1 冊︰高階主管摘要 ; 第 2 冊︰指引 ; 第 3冊 ︰評估工具 年 6 月 原著 美國 C O S O 委員會 譯者 王怡心. 陳錦烽 中華民國內部稽核協會 2008 年3 月

  5. COSO財務報導的內部控制 較小型公開發行公司指引 • 第 1 冊 ︰ 高階主管摘要 • 崔德威(Treadway)委員會所屬的COSO委員會,在1992年發布內部控制整合架構,幫助企業和其他組織評估和加強內部控制系統。 • 財務報導、相關的法律和法規管理環境發生了改變。尤其是2002年沙賓法案(Sarbanes-Oxley)在美國被立法成為法律。在其條款中,第404條款要求公開發行公司的管理階層,必須每年評估和報告,關於財務報導的內部控制有效性。

  6. COSO財務報導的內部控制 較小型公開發行公司指引 • 第 2 冊 ︰指引 • 第2冊提供較小型企業財務報導內部控制的概要說明,包括公司特徵的描述,和他們如何影響內部控制,以及對較小型公司的挑戰,和企業如何使用此架構。 • 本報告引用整合架構的二十個基本原則,並列出相關屬性、方法和範例等,說明較小型公司如何以符合成本-效益的模式來應用這些原則。

  7. COSO財務報導的內部控制 較小型公開發行公司指引 • 第 3 冊 ︰評估工具 • 第3冊包含評估工具,以協助管理階層評估內部控制。經理人員也可使用這些工具,以確認該公司是否有效地應用這些原則。

  8. 較小型公司的特徵 • 第 1 冊 ︰ 高階主管摘要 • 生產線較少和每條生產線的產品類別較少。 • 行銷焦點集中,以通路或地理區域。 • 由具有較大經營權者領導公司。 • 管理層級較少,與更寬的控制範圍。 • 較不複雜交易處理系統和協議。 • 較少人員,有些人負擔較大範圍責任。 • 維護直線資源及幕僚人員 (例如法律、人力資源、會計和內部稽核)的 能力有限。

  9. 達到更好的效率的內部控制 • 第 1 冊 ︰ 高階主管摘要 • 一、以風險為焦點 • 二、正確程度的文件化 • 三、將內部控制視為一個整合過程

  10. COSO財務報導的內部控制 較小型公開發行公司指引 • 第 1 冊 ︰ 高階主管摘要

  11. 第 1 冊 ︰ 高階主管摘要 • 達到財務報導有效內部控制的應用原則 • 本指引提供一套二十項的基本原則,其代表與直接從整合架構摘錄之五個要素有關的基本概念。 • 一、控制環境 • 二、風險評估 • 三、控制活動 • 四、資訊與溝通 • 五、監督

  12. 第 1 冊 ︰ 高階主管摘要 • 一、控制環境 • 1. 誠正與道德價值─建立及了解健全的誠正與道德價值,尤其是 • 針對高階管理階層,並建立財務報導之行為標準。 • 2. 董事會─董事會了解並行使與財務報導及內部控制有關之監督 • 責任。 • 3. 管理哲學與經營風格─管理哲學與經營風格支持有效的財務 • 報導內部控制之達成。 • 4. 組織架構─公司之組織架構支持有效的財務報導內部控制。 • 5. 財務報導能力─公司留任具備財務報導及相關監督角色能力之 • 人員。 • 6. 權限與責任─管理階層及員工獲得適當層級之權限與責任, • 以促進有效的財務報導內部控制。 • 7. 人力資源─人力資源政策與實務之設計與執行,有助於 • 有效的財務報導內部控制。

  13. 第 1 冊 ︰ 高階主管摘要 • 二、風險評估 • 8. 財務報導目標─管理階層所指定之財務報導目標具有充分的說明及標準,以促使可靠財務報導風險之辨識。 • 9. 財務報導風險─公司辨識及分析達成財務報導目標之風險,以作為決定該風險管理之基礎。 • 10. 舞弊風險─評估財務報導目標達成之風險時,明確考量因為舞弊而發生重大錯誤之可能性。

  14. 第 1 冊 ︰ 高階主管摘要 • 三、控制活動 • 11.與風險評估之整合─採取一些行動,以因應達成財務報導目標 • 之風險。 • 12. 控制活動之選擇及建置─控制活動之選擇及建置,系考量其 • 成本,以及其減輕財務報導目標達成風險之潛在效益。 • 13. 政策與程序─在公司內部建立及溝通與可靠財務報導有關之 • 政策,並經由相關程序促成管理階層指示之執行。 • 14. 資訊科技─設計與建置適用的資訊科技控制,以支持 • 財務報導目標之達成。

  15. 第 1 冊 ︰ 高階主管摘要 • 四、資訊與溝通 • 15. 財務報導資訊─公司各階層辨識、搜集及使用有關之資訊, • 並透過一定的模式及時點傳送,以支持財務報導目標之達成。 • 16. 內部控制資訊─辨識及搜集用以執行其他控制要素之資訊, • 並透過一定的模式與時點傳送,以促使機構成員 • 履行其內部控制責任。 • 17. 內部溝通─各項溝通促使及支持機構內各個階層 • 了解與執行內部控制目標、流程和個人責任。 • 18. 外部溝通─向外部人士溝通影響財務報導目標 • 達成之事項。

  16. 第 1 冊 ︰ 高階主管摘要 • 五、監督 • 19.持續性及個別評估─持續性及個別評估,可促使管理階層確認 財務報導內部控制是否存在並發揮功能。 • 20. 缺失之報導─適時辨識內部控制缺失, • 並向負責採取改正行動之人員溝通。 • 必要時,向管理階層及董事會報告。

  17. COSO財務報導的內部控制 較小型公開發行公司指引 • 第 2 冊 ︰指引 • 概要 • 第2冊提供較小型企業財務報導內部控制的概要說明,包括公司特徵的描述,和他們怎么影響內部控制,以及對較小型公司的挑戰,和企業如何使用此架構。本報告引用整合架構的二十個基本原則,並列出相關屬性、方法和範例等,說明較小型公司 如何以符合成本-效益的模式來應用這些原則。

  18. COSO財務報導的內部控制 較小型公開發行公司指引 • 第 2 冊 ︰指引 • 屬性 • 支持各項原則的是屬性,代表與該原則有關的特性。 • 方法 • 各項方法描述較小型公司如何應用一項原則。 • 範例 • 範例說明如何用來應用某項原則、屬性與方法。

  19. Ⅲ.控制活動( 4 項原則 ) • 公司不同層級執行控制活動,以降低達成財務報導目標之風險。 • 在企業整體層級,高階管理者比較實際數與預算數、覆核財務報告,並考量營運及財務績效指標。範圍廣泛的控制,讓管理階層有效使用這些型式報告,藉以管理企業,並偵測出流程層級控制活動運作的缺失,以及值得注意的營運變動。

  20. 原則11︰與風險評估之整合 • 採取一些行動,以因應達成財務報導目標之風險。

  21. 原則的屬性(與風險評估之整合) • 轉移風險 • 考量公司總分類帳的所有重要切入點 • 考量資訊科技

  22. 應用原則範例(與風險評估之整合) • 1.使用共同控制活動模板 • 一家醫療保健產品和服務提供者具有七億美元的資本,使用與人力資源活動相關之共同風險和控制活動模板。管理階層覆核共同控制活動清單,並與其風險評估所辨識之風險連結,以建立適當企業政策及程序。

  23. Ⅳ.資訊與溝通( 4 項原則 ) • 資訊系統辨識、記錄、處理,並發布支援達成財務報導目標之資訊。 • 許多公司仰賴人工或獨立的資訊科技應用程序,可以促進其最高管理階層及員工間有效的內部溝通。

  24. 原則15︰財務報導資訊 • 公司各階層辨識、搜集及使用有關之資訊,並透過一定的模式即時點傳送,以支持財務報導目標之達成。

  25. 應用原則的3方法(財務報導資訊) • 一、利用矩陣詳細描述資訊流 • 二、從外部來源獲取資訊 • 三、與其他企業領域人士開會

  26. 應用原則範例(財務報導資訊) • 1.使用矩陣紀錄資訊流 • 資訊科技之會計長主導於記錄資訊以支援財務報導之流程中,使用矩陣記錄資訊流之服務。此矩陣包含個人或部門負責創造、修正、核准,使用與監控每一流程及子流程之資訊,例如「應付帳款的資訊地圖」。

  27. 應用原則範例(財務報導資訊) • 2.使用管理階層會議,將關鍵假設予以證實及文件化 • 生鮮食品採買與行銷公司之執行長於每季會見財務長,且部門將去證明促使公司提列準備金及遞延款項之關鍵假設文件化。

  28. 應用原則範例(財務報導資訊) • 3.應用營運資訊到財務報導 • 電器設備及零件製造商,也是負責環保及其他法規遵循事項的會員,定期與財務主管會面,討論遵循及相關補償成本,以使財務報導作業較適切。

  29. 原則16︰內部控制資訊 • 辨識及搜集用以執行其他控制要素之資訊,並透過一定的模式與時點傳送,以促使機構成員履行其內部控制責任。

  30. 應用原則的2方法(內部控制資訊) • 一、建立與維護資訊地圖 • 二、透過討論辨識資訊

  31. 應用原則範例(內部控制資訊) • 1.於應付帳款中使用資訊地圖 • 一家年收入達二億五千萬元之汽車零件製造商,利用資訊地圖記錄其應付帳款流程資訊。權限由會計長新增,經由財務長權限,並由會計與應付帳款、資訊科技、材料採購與驗收使用。 • 資訊地圖描述資訊之使用屬於內部控制之ㄧ部分,且為監控與測試控制操作之基礎。

  32. 應用原則範例(內部控制資訊) • 2.使用軟體整合流程、控制及系統文件化 • 一家年收入5億元外部服務業之遵循經理(財務長指定之工作,並非全職角色),使用文件軟體工具,此工具促進流程之了解及評估更清楚與文件化更有效率。

  33. 應用原則範例(內部控制資訊) • 3.風險評估考量資訊系統之改變 • 在九個國家營業之一家特殊樹酯公司之執行長覆核公司之風險。在每月主管會議中,執行長要求資深經理對於新風險之辨識提出建議,包含與那些系統改變、人事流程或作業相關之風險。

  34. COSO 2009二、內部控制監督指引

  35. Internal Audit 內部稽核 • 內部稽核為獨立、客觀之確認性服務及諮詢服務,用以增加價值及改善機構營運。內部稽核協助機構透過有系統及有紀律之方法,評估及改善風險管理、控制及治理過程之效果,以達成機構目標。 • Internal Audit helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

  36. COSO委員會重要報告一覽表

  37. COSO 2006 版 內部稽核與外部審計策略性整合來降低風險 善用COSO來作好內部控制與內部稽核 才能強化公司治理 37

  38. 內部控制監督指引架設簡介 • 一、概論 • 二、第1冊:指引 • 三、第2冊:應用 • 四、第3冊:範例

  39. 一、概論 • 監督:內部控制組成要素之一

  40. 一、概論(續) • 監督在治理過程之效益為何? • 及時地辨識及改正內部控制問題 • 產生更正確及更可靠資訊提供決策運用 • 編製正確且及時之財務報表 • 關於內部控制之有效性,提供定期證明或聲明。 • 有效監督之基本原則 • 為監督建構一個基礎 • 設計及執行監督程序 • 評估及報告監督成果

  41. 一、概論(續) • 監督程序之範疇—惟可行監督範疇不限於下面所列 • 內部稽核單位定期評估及測試內部控制 • 將各個持續監督計畫嵌入資訊系統中 • 分析及適當追蹤各種營運報告或矩陣資訊,俾辨識控制失敗之異常跡象 • 控制之監管覆核,例如調節覆核可以視為監管覆核流程之正常部分 • 董事會及管理階層就其「內部控制之基調」,以及監督功能之效果等,進行自行評核。 • 審計委員會詢問內部稽核人員及外部審計人員 • 內部稽核單位之品質評核(QA – Quality Assessment)

  42. 一、概論(續) • 運用本指引促使監督更趨於成熟- (一)在詳細閱讀監督指引後,管理階層能處理下列問題 • 是否已辨識出攸關組織目標之有意義風險,例如編製正確、及時及完整財務報表之相關風險? • 哪些關鍵控制是最有效支持與有意義風險領域相關內部控制效果的結論? • 哪些資訊在判定控制是否持續有效執行時,是最具說服力的資訊? • 是否刻正執行有效監督,該等監督因未能於內部控制評估充分運用,導致需執行不必要且高成本之額外測試? (二)其他重要概念 • 與評估者客觀性相關的特質。 • 組織能信賴適當設計的間接資訊之期間及情況,當與持續或定期具說服力之直接資訊合併運用時,就能評論內部控制仍是有效的。 • 決定監督所運用資訊之充分及適切,確保監督結果能適當地支持內部控制之結論。 • 組織可以更有效率執行監督之方式,卻不會降低監督之效果。

  43. 二、第1冊指引 • 指引之目的 • 協助組織改善其內部控制制度之效率及效果 • 提供實務指引以闡明監督作業如何併入組織內部控制過程—本指引第2冊有關「應用觀念」提供簡易之參考重點;第3冊進一步提供專案進行期間,訪談相關組織所獲得之各種監督範例。

  44. 二、第1冊指引(續) • 監督之性質及目的-監督指引係依據2006年較小型公開發行公司指引 之2個基本原則加以發展 • 持續性監督及個別評估,有助管理階層判定內部控制其他組成要素是否持續發揮其功用; • 內部控制缺失應及時加以辨識,及向負責執行改正行動相關人員作溝通;必要時,得向管理階層及董事會報告。

  45. 二、第1冊指引(續) • 監督的模式

  46. 二、第1冊指引(續) • (一)建立基礎 • 1.高層之基調-和每一個內部控制組成要素一樣,管理階層及董事會成員表達他們對監督重要性信念之方式,對內部控制之有效性有直接影響,管理階層的基調影響員工的行為方式及對監督之反應。同樣地,董事會的基調影響管理階層的行為方式及對監督之反應。 • 2.組織結構-管理階層應就組織內部控制制度有效性負起主要的責任 , 董事會的角色是治理、指導及監督之一環。當高階主管成員無法客觀地監督,董事會可能決定應由其他具客觀性之適當層級人員執行監督程序。

  47. 二、第1冊指引(續) • (一)建立基礎 • 3.內部控制有效性之基本瞭解

  48. 二、第1冊指引(續) • (二)設計與執行監督程序 • 1.排定風險優先順序 • 2.辨識關鍵控制 • 3.辨識具說服力資訊 • 4.執行監督程序

  49. 二、第1冊指引(續) • (三)評估及報告結果 • 1.排定監督結果之先後順序 • 2.向組織適當層級報告監督結果 • 3.追蹤改正行動

  50. 二、第1冊指引(續) • 其他考量 • 委外工作之監督 • 運用科技監督 • 文件化之格式與水準 • 監督之規模

More Related