內部控制
「內部控制是一種管理過程,由企業之董事會、管理階層及其他成員負責設計與執行,合理確保達成營運、報導及遵循等相關目標。」
~ 2013年版COSO內部控制整合架構
管理是達成目標的一套有系統的方法;戴明循環(Plan-Do-Check-Act)是實務上最常用的管理方法,也稱為PDCA管理循環。風險(risk)是指管理過程中所有可能會【影響目標達成之不確定因素】。廣義而言,控制(control)是為了改變風險之不確定性(uncertainty)及影響(effect)而採取的風險處置或回應。換句話說,控制就是確保實際成果與規劃目標相符的措施與過程。內部控制之制度通常由組織內部的管理階層設計,經治理階層核定後由組織全員共同遵循,以達到保護資產安全、提升營運效能、允當揭露財務報告,以及符合法遵與利害關係人要求等目標。
內部稽核
確保內部控制的有效性及符合性,是內部稽核的目的之一。
內部稽核為獨立、客觀之確認性服務及諮詢服務,用以增加價值及改善機構營運。內部稽核協助機構透過有系統及有紀律之方法,評估及改善風險管理、控制及治理過程之效果,以達成機構目標。
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.
~ 中華民國內部稽核協會
公開發行公司應實施內部稽核,其目的在於協助董事會及經理人檢查及覆核內部控制制度之缺失及衡量營運之效果及效率,並適時提供改進建議,以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。
~ 公開發行公司建立內部控制制度處理準則
以風險為基礎之稽核
傳統的稽核主要專注在財務的查核,尤其是影響損益的主要交易。然而,以風險為基礎之稽核的查核重心,則是由交易擴展到可能帶來重大影響的各種風險。例如:2013版的COSO的內部控制範圍即包括財務與非財務,因此相對之稽核亦擴大到以風險為基礎。
COSO是美國的一個內部控制整合架構,其目標是促使組織達到以下目標(也是我國公開發行公司建立內部控制制度處理準則第三條所明訂的目標):
- 有效果和有效率的營運
- 可靠的財務報導
- 遵循相關法令
為有效達成上述目標,COSO亦從風險管理的角度提出五個元件(compoents),大致符合ISO 31000的風險管理觀念。其對應大致如下:
- 控制環境:Scope, Context, Criteria
- 風險評估(鑑):Risk Assessment
- 控制作業:Risk Treatment
- 資訊與溝通:Communication and Consultation
- 監督:Monitoring and Review
