【文章內(nèi)容簡介】 COSO內(nèi)部 控制模式及其組成要素(一 ) ?COSO於 1992年發(fā)布一份研究報告，明確定義內(nèi)部控制，並提供內(nèi)部控制評估方面的指引。該報告已成為最權(quán)威的內(nèi)部控制文獻，已被實務(wù)界廣為採用。 COSO內(nèi)部控制模式及其組成要素(二 ) ?COSO研究報告將內(nèi)部控制定義為 ?公司 董事會、管理當局、及其部屬 為了 合理保證 下列控制目標之達成，而採行的程序： 營運的效果與效率、財務(wù)報導的可靠性、以及相關(guān)法令與規(guī)章的遵循 。」 。 ?此項定義強調(diào)： ?內(nèi)部控制是一項過程 ?內(nèi)部控制受人的影響 ?內(nèi)部控制對管理當局及董事會而言，僅能提供合理保證，而非絕對保證。 COSO內(nèi)部控制模式及其組成要素(三 ) ? COSO控制模式是以 控制環(huán)境 為基礎(chǔ)。根據(jù)組織的控制環(huán)境及營運目標，管理當局必頇辨認、分析及管理相關(guān)的風險，也就是進行 風險評估 與管理。緊接著，企業(yè)應(yīng)建立與執(zhí)行適當?shù)目刂普吲c程序，以有效的執(zhí)行與風險相關(guān)的 控制作業(yè) 。至於組織的 資訊與溝通系統(tǒng)的作用，則在於讓組織的成員可以捕捉及分享與執(zhí)行、管理及控制其活動有關(guān)的資訊。上述的控制過程必頇加以 監(jiān)督 ，並做必要的修正，以維持內(nèi)部控制制度的有效性。換句話說，這五項組成要素之間密切相關(guān)，而形成一個完整的內(nèi)部控制模式。 COSO內(nèi)部控制模式及其組成要素(四 ) ?控制環(huán)境 (Control environment) ?風險評估 (Risk assessment) ?控制作業(yè) (Control activities) ?資訊與溝通 (Information and munication) ?監(jiān)督 (Monitoring) 控制環(huán)境 ?控制環(huán)境包括七項組成因素 ? 管理階層的操守與價值觀 ? 管理哲學與經(jīng)營風格 ? 組織架構(gòu) ? 外部監(jiān)察人的參與 ? 分派權(quán)力與責任的方法 ? 人力資源政策與實務(wù) ? 外部影響 控制環(huán)境 ▲ 常見機制 落實管理當局之責任 啟動董事會與審計委員會之監(jiān)督功能 明確詳細的員工守則 適當?shù)膯T工任免政策 實行獨立於一般管理階層之外的 道德諮詢系統(tǒng) (制訂檢舉制度 ) 一套完整的舞弊調(diào)查及矯正措施 風險評估 ? 風險評估包括辨認、分析及管理企業(yè)有關(guān)的風險 ? 風險 (risk)係指威脅實際發(fā)生的可能性，可以 0到 1的機率值表示 ? 若威脅實際發(fā)生，企業(yè)因而可能產(chǎn)生的損失稱為暴險度 (exposure) ? 若我們將風險 (機率值 )乘以暴險度 (金額 )， 就能計算出某項威脅帶來的預期損失 。 內(nèi)部控制的主要作用即在於降低或消除各項威脅的預期損失 風險評估 ?風險評估與建立企業(yè)內(nèi)部相關(guān)內(nèi)部控制的步驟： ?辨認威脅 ?估計風險 ?估計可能損失 (暴險度 ) ?找出相關(guān)的控制程序 ?估計控制程序的成本與效益 ?選定控制程序 風險評估 ▲ 常見機制 建立舞弊風險評估程序 評估舞弊之可能性及重大性 辨識舞弊發(fā)生之組織層級 遏阻管理階層之逾越 控制作業(yè) ?一般而言，組織的控制程序可區(qū)分為五類 ： ? 交易與作業(yè)的適當授權(quán) ? 職能分工 ? 設(shè)計與使用適當文件與紀錄 (ex: 憑證、簽章、預先編號 ) ? 資產(chǎn)與紀錄的保護 (接近控制 ) ? 獨立的覆核 資訊與溝通 ?資訊與溝通係指組織成員能夠取得其職務(wù)上所需的 各種資訊 ，且資訊能夠在組織中 傳播與溝通 。資訊系統(tǒng)詳細紀錄交易處裡的過程，這些資料成為交易的稽核軌跡 (audit trail)。 組織成員可以利用稽核軌跡追查交易如何起始、經(jīng)過何種處理、以及如何報導，有助於確認內(nèi)部控制程序落實的程度與執(zhí)行的成效。 資訊與溝通 ▲ 常見機制 教育訓練 知識管理 資訊系統(tǒng)及技術(shù) 監(jiān)督 ?監(jiān)督係指對於內(nèi)部控制的實施進行 評估與控管 的過程 ▲ 常見機制 管理當局的督導 採用責任會計制度 進行內(nèi)部稽核 內(nèi)部稽核之於舞弊 建立健全 內(nèi)控環(huán)境 執(zhí)行舞弊 風險評估 設(shè)計與執(zhí)行舞弊防制之控制活動 充分的溝通資訊 持續(xù)管理監(jiān)控 管理當局之責任 董事會 /審計委員會 指揮 內(nèi)部稽核 (1)瞭解管理當局的 舞弊防範措施 (2)評估管理當局對 於舞弊風險之評估 (3)對於舞弊防範措 施之有效性進行 查核 (4)接受董事會 /審計 委員會之指揮 , 針對高舞弊風險 作業(yè)進行調(diào)查 評估與調(diào)查 落實內(nèi)控的關(guān)鍵要素 ? 建立能減少舞弊或犯罪之標準及程序 ? 指定某一特定高級管理階層人員負責監(jiān)督內(nèi)部控制之執(zhí)行 ? 防止不當授權(quán) ? 將標準及程序有效傳達全體員工 ? 實施對遵循之衡量，諸如監(jiān)控、稽核及報告制度 ? 輔以獎懲措施之強化標準及程序之執(zhí)行 ? 當制度被偵出有重大違失時，給予適當回應(yīng) 從富邦錯帳事件看內(nèi)部控制 ■ 事由 ~ 2020/06/27, 富邦證仁愛分公司一交易員按錯指令 (輸入錯誤的數(shù)量 ), 造成 $77億元錯帳事件 。 ■ 後續(xù)發(fā)展 ~ 2020/06/30, 金管會依證交法處富邦警告一次 , 將影響其未來三個月新辦業(yè)務(wù)或新設(shè)據(jù)點；並要求頇在一個月內(nèi)報告其內(nèi)部控制改善計畫及執(zhí)行情況 。 2020/07/19, 證交所處違約金額 $30萬。 富邦證之危機管理 向證交所申報錯帳 發(fā)出聲名稿，承認錯誤 調(diào)現(xiàn)金 命自營部買入經(jīng)紀部要賣的股票 檢討下單流程、電腦程式、風險管理及 查核程序 懲處交易員 修改電腦程式 富邦證之內(nèi)部控制 ?控制環(huán)境 董事長兼總經(jīng)理 (葉公亮 )與國際部顧問(周資青 )權(quán)責分配失衡 ?風險評估 透過加強員工風險意識、資訊控制、交易分層授權(quán)以降低錯帳金額 富邦證之內(nèi)部控制 ?控制活動 系統(tǒng)設(shè)計者設(shè)計不良 、 系統(tǒng)使用者未能與系統(tǒng)設(shè)計者充分溝通，使系統(tǒng)設(shè)計者不瞭解控制是必要的、系統(tǒng)測詴與教育訓練不足 ?資訊與溝通 以開放的態(tài)度對外溝通達到效果 ?監(jiān)督 事後由董事長領(lǐng)軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴格規(guī)範各單位自行查核人員及內(nèi)部稽核人員之查核方式 建立資訊系統(tǒng)內(nèi)部控制之重要性 (一 ) ★ 經(jīng)營環(huán)境複雜化 ★ 資訊需求多樣化 資訊系統(tǒng)複雜化與風險性 良好之內(nèi)部控制 降低風險之影響或損失 確保組織正常運作 建立資訊系統(tǒng)內(nèi)部控制之重要性 (二 ) ★ 資訊系統(tǒng)稽核與控制基金會 (Information Systems Audit and Control Foundation, 簡稱 ISACF)發(fā)佈「 資訊及相關(guān)技術(shù)控制目的 (Control objectives for information and related technology,簡稱 COBIT)」，可以作為企業(yè)建立資訊系統(tǒng)與資訊科技安全控制政策與程序之架構(gòu) COBIT基本觀念架構(gòu) (一 ) ? 用途： 在於提供與資訊科技應(yīng)用、控制與稽核有關(guān)之指引 ? COBIT由 COBIT指導委員會 與 ISACF共同發(fā)佈 ? 使命： 研究、發(fā)展、發(fā)佈與推廣一供套權(quán)威、最新、國際公認之資訊科技控管目的，供企業(yè)經(jīng)理人與稽核人員日常使用 ? 基本理念： 企業(yè)頇透過管理 IT流程，將 IT資源整合運用，進而滿足組織之業(yè)務(wù)需求 COBIT基本觀念架構(gòu) (二 ) ? COBIT兼顧 品質(zhì) (quality)、監(jiān)管 (fiduciary)、安全 (security)三方面之需求，彙整成七項資訊標準： 效果、效率、保密、真實、可用性、遵循性、可靠性 ? 為確保資訊符合上述標準，組織必頇適當?shù)乜刂萍氨O(jiān)督 IT資源之使用 ? COBIT將 IT資源之管理分為 範疇 (domains)、流程 (processes)、活動 (activities)三個層次 內(nèi)部控制的分類 ?依照內(nèi)部控制程序採行的 時間點 ，可以區(qū)分為 預防性控制、偵測性控制以及改正性控制 (補充：指示性控制、補償性控制 ) ?就 電腦化 資訊系統(tǒng)的觀點而言，其內(nèi)部控制可以區(qū)分為 一般控制與應(yīng)用控制 ?若按照 資料處理步驟 的區(qū)分 ,內(nèi)部控制可以區(qū)分為 輸入控制、處理控制以及輸出控制 預防性、偵測性與改正性控制 (一 ) ?依照內(nèi)部控制程序採行的時間點，可以區(qū)分為預防性控制、偵測性控制以及改正性控制 。 預防性控制 可以用來防止問題的發(fā)生，是一種 事前 的觀念。不過，基於 成本效益的考量 以及 實務(wù)上的限制 ，預防性控制很難完全防止所有的問題。 ?企業(yè)在設(shè)計控制程序時，必頇加入適當?shù)?偵測性控制 ，以便在問題發(fā)生時，能夠迅速的察覺 ，並立即通知相關(guān)的人員採取補救或改正的行動。偵測性控制是一種 事中 的觀念。 預防性、偵測性與改正性控制 (二 ) ?改正性控制 的作用在於補救或改正被偵測到的問題，以確保組織順利的運作，達成既定的目標。改正性控制包括三個程序： ?(1)找出造成問題的原因 (可能由偵測性控制 提供相關(guān)訊息 ) ?(2)改正已發(fā)生的錯誤或障礙 ?(3)修改現(xiàn)有的控制制度或程序，以消除或降 低未來發(fā)生類似問題的可能性 預防性、偵測性與改正性控制 (三 ) ?一般而言，錯誤與問題若能於事前予以預防，較能保障組織的順利運作與目標的達成。因此，在合乎成本效益的前提下，企業(yè)應(yīng) 優(yōu)先採行預防性控制 。不過 ，預防性控制很難達到絕對的控制，所以有效的 偵測性控制可發(fā)揮補償 的作用 ，避免問題久