200610111635如何依風險評估結果擬定年度稽核計畫

討論主題:請問要如何依風險評估結果擬定年度稽核計畫?

若有機會去聽聽專業人士的實務課程則更佳,用實例講解會更容易吸收。

 

1、查核週期可改為『依年度稽核計劃』,如此會較具彈性。

2、各循環之細項作業項目不一定要全部都做,依風險評估結果來擬定年度稽核計畫。

您可以先參考:

『公開發行公司建立內部控制制度處理準則問答集』第15題至第19題之內容。『公開發行公司建立內部控制制度處理準則』第13條、第21條。

 

以下個人見解,供參考參考唄~~~

 

為什麼要進行風險評估,主要也是希望『錢要花在刀口上』,將現有資源(成本)發揮最大的效益。尤其對大公司而言,應該可透過風險管理更有效率地簡化業務。

 

這個說起來較複雜,簡單來說就是:

1、內部稽核計劃

2、自行評估作業

需導入風險評估模式。亦即,

1、內部稽核單位應依風險評估結果年度稽核計畫(包括每月應稽核之項目)。釋例:
風險因子(例如找了3)都找出後,與各循環細項作業項目(例如有100)二維交叉,就可開始套入風險評估模式,建立如『稽核計劃風險評估表』的表格,每個作業項目皆有評分,並依評分高低篩選應該導入年度稽核計劃之稽核作業項目(例如篩選出30)。其目的是要達到稽核資源之有效配置及擬定年度稽核計劃。(亦即,不是全部的循環作業、項目、單位都要稽核,以風險評估結果之高低來考量,提升稽核之品質及效率。)

* 詳細之『風險因子』說明可參考另外一篇文章:[ 風險評估與稽核規劃 ]

 

2、自行檢查之範圍,應涵蓋公司各類內部控制制度之設計及執行。但公開發行公司應依風險評估結果,決定前項自行檢查作業程序及方法。
釋例:
A
、內控環境面:
參與評估之主管人數:例如25人。
評估項目(置於各列):例如有50項。
執行情形之評估(置於各欄):例如有5(完全同意ßà不同意,各為5ßà1),第6欄統計評分。
B
、內控作業面:
由各部門主管負責彙總該部門評估細項之執行情形。
該部門評估項目(置於各列):各細項作業項目之控制重點,例如有30項。
執行情形之評估(置於各欄):例如有5(完全符合ßà不符合,各為5ßà1)
統計『內控自行檢查評估表』之評分:如平均分數4.6分。
該部門主管出具『內控檢討報告』。
該部門主管出具『內控聲明書』。

 

稽核室出具『內控自行檢查彙總報告』。

因此,您的疑問:

(1)內控準則的意思是可以選擇性的進行自行檢查嗎?不用全公司都納入嗎?

>>>>>>自行檢查之範圍,應涵蓋公司各類內部控制制度之設計及執行。但公開發行公司應依風險評估結果,決定前項自行檢查作業程序及方法。不是全部的循環作業、項目、單位都要自行檢查,以風險評估結果之高低來考量,提升自行檢查之品質及效率。

 

-----------------------------------------------

內控準則第二十一條

公開發行公司自行檢查內部控制制度之目的,在落實公司自我監督的機制、及時因應環境的改變,以調整內部控制制度之設計及執行,並提昇內部稽核部門的檢查品質及效率;其檢查之範圍,應涵蓋公司各類內部控制制度之設計及執行。

公開發行公司執行前項檢查,應於內部控制制度訂定自行檢查作業之程序及方法。

公開發行公司應依風險評估結果,決定前項自行檢查作業程序及方法,並至少包含下列項目:

一、確定應進行測試之控制作業。

二、確認應納入自行檢查之營運單位。

三、評估各項控制作業設計之有效性。

四、評估各項控制作業執行之有效性。

-----------------------------------------------------

 

(2)目前的程序只有各部門的分工及如何進行自行檢查,並沒有強調要1-4的字眼,是否一定要把這幾個字加在制度裏?

>>>>>>內部控制制度自行檢查方式(範例)

 

自行檢查之期間:

每年均實施內控自檢,並隨時檢討。

 

自行檢查之評核目標:

1、公司營運之效果及效率

2、財務報導之可靠性

3、相關法令之遵循

前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產安全等目標。

第一項第二款所稱財務報導之可靠性目標,包括確保對外之財務報表係依照一般公認會計原則編製,交易經適當核准等目標。

 

 

自行檢查之評估範圍:

1、控制環境
係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素,包括員工之操守、價值觀及能力;董事會及經理人之管理哲學、經營風格;聘僱、訓練、組織員工與指派權責之方式;董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。

 

2、風險評估
係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業。

 

3、控制作業
係指設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及經理人確保其指令已被執行,包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。

 

4、資訊與溝通
所稱資訊,係指資訊系統所辨認、衡量、處理及報導之標的,包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通,係指把資訊告知相關人員,包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。

 

5、監督
係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。

 

內控自檢之責任單位及作業方式:

1、公司管理階層及各作業單位應自行檢查內控設計及執行之有效性

A、組成要素自行檢查
高階管理階層依據內控五大『組成要素』(控制環境、風險評估、控制作業、資訊與溝通、監督),並檢查現有內控設計可否有效控制風險、及實際執行情形是否依該設計辦理。

B、 控制作業自行檢查
各營運作業單位配合稽核單位執行年度內控循環稽核時,評估各部門之目標及風險,並檢查現有之內控設計可否效控制風險、及實際執行情形是否依該設計辦理。

2、內部稽核單位覆核
稽核單位覆核自行檢查報告後。併同稽核發現之內部控制缺失及異常事項改善情形,作為評估整體內部控制制度有效性之依據。

3、整體評估
總經理評估整體內部控制制度之有效性,向董事會報告。

 

內控自檢結果之報導:

1、內部控制制度自行檢查結果,分為有效之內部控制制度或有重大缺失之內部控制制度。

2、自行檢查所發現之缺失及異常事項,稽核單位與各內控執行單位應加以追蹤,以確保相關單位已及時採取適當改善措施。

3、自行檢查結果由公司代表人出具〔內部控制制度聲明書〕,刊載於本公司年報及公開說明書內,以聲明內部控制之有效性。

 

-------------------------------------------

內控準則第六條

公開發行公司之內部控制制度應包括下列組成要素:

 

一、控制環境:係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素,包括員工之操守、價值觀及能力;董事會及經理人之管理哲學、經營風格;聘僱、訓練、組織員工與指派權責之方式;董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。

 

二、風險評估:係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業。

 

三、控制作業:係指設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及經理人確保其指令已被執行,包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。

 

四、資訊及溝通:所稱資訊,係指資訊系統所辨認、衡量、處理及報導之標的,包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通,係指把資訊告知相關人員,包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。

 

五、監督:係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。

 

公開發行公司於設計及執行,或自行檢查,或會計師受託專案審查公司內部控制制度時,應綜合考量前項所列各組成要素,其判斷項目除行政院金融監督管理委員會(以下簡稱本會)所定者外,依實際需要得自行增列必要之項目。

---------------------------------------------------

 

 

有關子公司內控自評,想請教:

1、『子公司(在海外)』的內控自評是否也與母公司內容一樣,要包含組成要素、作業層級、風險評估....等,也要出具『內控聲明書』嗎?

2、各位前輩是否將此次新增之關係人交易之管理、財務報表編製之管理等加入94年之內控自評?

 

子公司的評估項目原則上也是包括組成要素...,不過要不要出具聲明書倒是沒有法令的規定,不過據我了解,有些公司也會要求子公司出具聲明書,目的是為了把權責區分清楚。

 

回應

  Hansen 內部稽核 (許瀚升)  

~ 平安快樂便是福 ~

手捏青苗種福田,低頭便見水中天

六根清靜方成稻,退後原來是向前

關鍵字
    沒有新回應!