Hansen 內部稽核 (許瀚升)

討論主題：請問要如何依風險評估結果擬定年度稽核計畫?

若有機會去聽聽專業人士的實務課程則更佳，用實例講解會更容易吸收。

 

1、查核週期可改為『依年度稽核計劃』，如此會較具彈性。

2、各循環之細項作業項目不一定要全部都做，依風險評估結果來擬定年度稽核計畫。

您可以先參考：

『公開發行公司建立內部控制制度處理準則問答集』第15題至第19題之內容。『公開發行公司建立內部控制制度處理準則』第13條、第21條。

 

以下個人見解，供參考參考唄~~~

 

為什麼要進行風險評估，主要也是希望『錢要花在刀口上』，將現有資源(成本)發揮最大的效益。尤其對大公司而言，應該可透過風險管理更有效率地簡化業務。

 

這個說起來較複雜，簡單來說就是：

1、內部稽核計劃

2、自行評估作業

均需導入風險評估模式。亦即，

1、內部稽核單位應依風險評估結果擬訂年度稽核計畫(包括每月應稽核之項目)。釋例：
當風險因子(例如找了3個)都找出後，與各循環細項作業項目(例如有100個)二維交叉，就可開始套入風險評估模式，建立如『稽核計劃風險評估表』的表格，每個作業項目皆有評分，並依評分高低篩選應該導入年度稽核計劃之稽核作業項目(例如篩選出30個)。其目的是要達到稽核資源之有效配置及擬定年度稽核計劃。(亦即，不是全部的循環作業、項目、單位都要稽核，以風險評估結果之高低來考量，提升稽核之品質及效率。)

* 詳細之『風險因子』說明可參考另外一篇文章：[ 風險評估與稽核規劃 ]

 

2、自行檢查之範圍，應涵蓋公司各類內部控制制度之設計及執行。但公開發行公司應依風險評估結果，決定前項自行檢查作業程序及方法。
釋例：
A、內控環境面：
參與評估之主管人數：例如25人。
評估項目(置於各列)：例如有50項。
執行情形之評估(置於各欄)：例如有5欄(完全同意ßà不同意，各為5分ßà1分)，第6欄統計評分。
B、內控作業面：
由各部門主管負責彙總該部門評估細項之執行情形。
該部門評估項目(置於各列)：各細項作業項目之控制重點，例如有30項。
執行情形之評估(置於各欄)：例如有5欄(完全符合ßà不符合，各為5分ßà1分)
統計『內控自行檢查評估表』之評分：如平均分數4.6分。
該部門主管出具『內控檢討報告』。
該部門主管出具『內控聲明書』。

 

稽核室出具『內控自行檢查彙總報告』。

因此，您的疑問：

(1)內控準則的意思是可以選擇性的進行自行檢查嗎?不用全公司都納入嗎?

>>>>>>自行檢查之範圍，應涵蓋公司各類內部控制制度之設計及執行。但公開發行公司應依風險評估結果，決定前項自行檢查作業程序及方法。不是全部的循環作業、項目、單位都要自行檢查，以風險評估結果之高低來考量，提升自行檢查之品質及效率。

 

-----------------------------------------------

內控準則第二十一條

公開發行公司自行檢查內部控制制度之目的，在落實公司自我監督的機制、及時因應環境的改變，以調整內部控制制度之設計及執行，並提昇內部稽核部門的檢查品質及效率；其檢查之範圍，應涵蓋公司各類內部控制制度之設計及執行。

公開發行公司執行前項檢查，應於內部控制制度訂定自行檢查作業之程序及方法。

公開發行公司應依風險評估結果，決定前項自行檢查作業程序及方法，並至少包含下列項目：

一、確定應進行測試之控制作業。

二、確認應納入自行檢查之營運單位。

三、評估各項控制作業設計之有效性。

四、評估各項控制作業執行之有效性。

-----------------------------------------------------

 

(2)目前的程序只有各部門的分工及如何進行自行檢查，並沒有強調要1-4的字眼，是否一定要把這幾個字加在制度裏?

>>>>>>內部控制制度自行檢查方式(範例)

 

自行檢查之期間：

每年均實施內控自檢，並隨時檢討。

 

自行檢查之評核目標：

1、公司營運之效果及效率

2、財務報導之可靠性

3、相關法令之遵循

前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。

第一項第二款所稱財務報導之可靠性目標，包括確保對外之財務報表係依照一般公認會計原則編製，交易經適當核准等目標。

 

 

自行檢查之評估範圍：

1、控制環境
係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素，包括員工之操守、價值觀及能力；董事會及經理人之管理哲學、經營風格；聘僱、訓練、組織員工與指派權責之方式；董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。

 

2、風險評估
係指公司辨認其目標不能達成之內、外在因素，並評估其影響程度及可能性之過程。其評估結果，可協助公司及時設計、修正及執行必要之控制作業。

 

3、控制作業
係指設立完善之控制架構及訂定各層級之控制程序，以幫助董事會及經理人確保其指令已被執行，包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。

 

4、資訊與溝通
所稱資訊，係指資訊系統所辨認、衡量、處理及報導之標的，包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通，係指把資訊告知相關人員，包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。

 

5、監督
係指自行檢查內部控制制度品質之過程，包括評估控制環境是否良好，風險評估是否及時、確實，控制作業是否適當、確實，資訊及溝通系統是否良好等。監督可分持續性監督及個別評估，前者謂營運過程中之例行監督，後者係由內部稽核人員、監察人或董事會等其他人員進行評估。

 

內控自檢之責任單位及作業方式：

1、公司管理階層及各作業單位應自行檢查內控設計及執行之有效性

A、組成要素自行檢查
高階管理階層依據內控五大『組成要素』（控制環境、風險評估、控制作業、資訊與溝通、監督），並檢查現有內控設計可否有效控制風險、及實際執行情形是否依該設計辦理。

B、 控制作業自行檢查
各營運作業單位配合稽核單位執行年度內控循環稽核時，評估各部門之目標及風險，並檢查現有之內控設計可否效控制風險、及實際執行情形是否依該設計辦理。

2、內部稽核單位覆核
稽核單位覆核自行檢查報告後。併同稽核發現之內部控制缺失及異常事項改善情形，作為評估整體內部控制制度有效性之依據。

3、整體評估
總經理評估整體內部控制制度之有效性，向董事會報告。

 

內控自檢結果之報導：

1、內部控制制度自行檢查結果，分為有效之內部控制制度或有重大缺失之內部控制制度。

2、自行檢查所發現之缺失及異常事項，稽核單位與各內控執行單位應加以追蹤，以確保相關單位已及時採取適當改善措施。

3、自行檢查結果由公司代表人出具〔內部控制制度聲明書〕，刊載於本公司年報及公開說明書內，以聲明內部控制之有效性。

 

-------------------------------------------

內控準則第六條

公開發行公司之內部控制制度應包括下列組成要素：

 

一、控制環境：係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素，包括員工之操守、價值觀及能力；董事會及經理人之管理哲學、經營風格；聘僱、訓練、組織員工與指派權責之方式；董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。

 

二、風險評估：係指公司辨認其目標不能達成之內、外在因素，並評估其影響程度及可能性之過程。其評估結果，可協助公司及時設計、修正及執行必要之控制作業。

 

三、控制作業：係指設立完善之控制架構及訂定各層級之控制程序，以幫助董事會及經理人確保其指令已被執行，包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。

 

四、資訊及溝通：所稱資訊，係指資訊系統所辨認、衡量、處理及報導之標的，包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通，係指把資訊告知相關人員，包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。

 

五、監督：係指自行檢查內部控制制度品質之過程，包括評估控制環境是否良好，風險評估是否及時、確實，控制作業是否適當、確實，資訊及溝通系統是否良好等。監督可分持續性監督及個別評估，前者謂營運過程中之例行監督，後者係由內部稽核人員、監察人或董事會等其他人員進行評估。

 

公開發行公司於設計及執行，或自行檢查，或會計師受託專案審查公司內部控制制度時，應綜合考量前項所列各組成要素，其判斷項目除行政院金融監督管理委員會（以下簡稱本會）所定者外，依實際需要得自行增列必要之項目。

---------------------------------------------------

 

 

有關子公司內控自評，想請教：

1、『子公司(在海外)』的內控自評是否也與母公司內容一樣，要包含組成要素、作業層級、風險評估....等，也要出具『內控聲明書』嗎?

2、各位前輩是否將此次新增之關係人交易之管理、財務報表編製之管理等加入94年之內控自評?

 

子公司的評估項目原則上也是包括組成要素...，不過要不要出具聲明書倒是沒有法令的規定，不過據我了解，有些公司也會要求子公司出具聲明書，目的是為了把權責區分清楚。