內部控制概論 (一)

基本概念

一、內部控制目標 (金控銀行內控稽核辦法§4)

內部控制之基本目的在於促進金融控股公司及銀行業健全經營，並應由其董(理)事會、管理階層及所有從業人員共同遵行，以合理確保達成下列目標：

營運具效果及效率

• 所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。

報導具可靠性、及時性、透明性及符合相關規範

• 所稱之報導，包括金融控股公司及銀行業內部與外部財務報導及非財務報導。其中外部財務報導之目標，包括確保對外之財務報表係依照一般公認會計原則編製，交易經適當核准等目標。

符合相關法令規章

二、內部控制效益

■ 降低錯誤及舞弊之可能性。

■ 降低金融機構經營失敗之風險。

■ 減少違法事件之發生。

■ 提高金融機構競爭力。

三、內部控制五大組成要素 (金控銀行內控稽核辦法§7)

(一) 控制環境

係金融控股公司及銀行業設計及執行內部控制制度之基礎。控制環境包括金融控股公司及銀行業之誠信與道德價值、董(理)事會及監察人(監事、監事會)或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董(理)事會與經理人應建立內部行為準則，包括訂定董(理)事行為準則、員工行為準則等事項。

(二) 風險評估

風險評估之先決條件為確立各項目標，並與金融控股公司及銀行業不同層級單位相連結，同時需考慮金融控股公司及銀行業目標之適合性。管理階層應考量金融控股公司及銀行業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助金融控股公司及銀行業及時設計、修正及執行必要之控制作業。控制作業

(三) 控制作業

係指金融控股公司及銀行業依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括金融控股公司及銀行業所有層級、業務流程內之各個階段、所有科技環境等範圍、對子公司之監督與管理、適當之職務分工，且管理階層及員工不應擔任責任相衝突之工作。

(四) 資訊與溝通

係指金融控股公司及銀行業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在金融控股公司及銀行業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制，並保有完整之財務、營運及遵循資訊。有效之內部控制制度應建立有效之溝通管道。

(五) 監督作業

係指金融控股公司及銀行業進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人(監事、監事會)或審計委員會、董(理)事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董(理)事會及監察人(監事、監事會)或審計委員會溝通，並及時改善。

控制環境(Control Environment)

•對誠正與道德價值表明承諾。

•執行監督之責。

•建立結構、職權及責任。

•展現留住適任人才之承諾。

•實施課責。

風險評估(Risk Assessment)

•具體指明適合(攸關)目標。

•辨識及分析風險。

•評估舞弊風險。

•辨識及分析重大改變。

控制作業(Control Activities)

•選擇及建立控制活動。

•選擇並發展科技之一般控制。

•制定相關政策及程序。

資訊與溝通(Information & Communication)

•使用攸關資訊。

•內部溝通。

•外部溝通。

監督活動(Monitoring Activities)

•進行持續性及/或個別評估。 •評估及溝通缺失。

四、內部控制制度之限制條件

設計面	1. 成本效益考量，即內部控制成本，須小於預期利益。 2. 內部控制僅針對一般交易事項，並未針對特殊交易事項。 3. 內部控制程序恐因環境之改變而無法繼續適用。
執行面	1. 內部控制執行者恐因不當的資訊及時間或環境因素，而做出錯誤之判斷。 2. 內部控制程序之執行出現鬆懈之跡象。
管理面	1. 管理階層恐逾越或刻意忽視控制程序。 2. 內部控制無法造就出優秀的管理者。
員工面	1. 因員工誤解指示或資訊本意，或因疏忽懈怠而犯錯。 2. 再嚴謹之內部控制，亦無法完全排除串通舞弊之可能。