内部控制-为何需要控制-确保目标之达成(-116)课件.ppt

1、內部控制內部控制 Internal Controlling 為何需要控制？為何需要控制？確保目標之達成確保目標之達成降低意外之風險降低意外之風險提昇對醜聞之察覺提昇對醜聞之察覺股東著重公司治理股東著重公司治理管理當局之法律責任管理當局之法律責任高度的管理與員工舞弊事件高度的管理與員工舞弊事件企業之威脅與控制企業之威脅與控制+威脅威脅指不利之潛在事情或情況，若實際發生時，指不利之潛在事情或情況，若實際發生時，將對企業造成傷害及損失將對企業造成傷害及損失+控制控制指對於物件、有機體或系統之活動加以限制指對於物件、有機體或系統之活動加以限制 或引導之過程或引導之過程+風險風險指威脅實際發生之可能性，

2、可以指威脅實際發生之可能性，可以0101之機率值之機率值 來表示來表示+暴險度暴險度指威脅實際發生時，所造成之企業損失指威脅實際發生時，所造成之企業損失企業在規劃與設計相關控制前，應先了解其所面臨之威企業在規劃與設計相關控制前，應先了解其所面臨之威脅，才能制定出一套有效之控制制度脅，才能制定出一套有效之控制制度資訊系統面臨之威脅資訊系統面臨之威脅(一一)+企業在規劃與設計資訊系統相關控制企業在規劃與設計資訊系統相關控制 前，應先了解其所面臨之前，應先了解其所面臨之威脅威脅，才能，才能 制定出一套制定出一套有效之控制制度有效之控制制度+資訊系統面臨之主要威脅為資訊系統面臨之主要威脅為：天然及政治

3、災害天然及政治災害軟體錯誤與設備失靈軟體錯誤與設備失靈無心之錯誤無心之錯誤有意之舞弊或犯罪有意之舞弊或犯罪資訊系統面臨之威脅資訊系統面臨之威脅(二二)+根據調查與統計，資訊系統最大之風險與損失根據調查與統計，資訊系統最大之風險與損失來自於來自於員工無心之錯誤員工無心之錯誤(約佔約佔65%)，其次為，其次為天天然災害之威脅然災害之威脅，再其次為，再其次為舞弊與犯罪舞弊與犯罪+資訊系統面臨之潛在威脅，近年有增無減，主資訊系統面臨之潛在威脅，近年有增無減，主要原因之為要原因之為主從式區域網路主從式區域網路(企業內網路企業內網路)與與廣域網路廣域網路(企業間網路企業間網路)之普及化，因而很多企之普及化

4、，因而很多企業更重視資訊系統之安全控管業更重視資訊系統之安全控管一般之企業曝險一般之企業曝險*錯誤之簿記錯誤之簿記*錯誤之會計處理錯誤之會計處理*企業停業企業停業*錯誤之管理決策錯誤之管理決策*舞弊與侵占、盜用舞弊與侵占、盜用*法令之處罰法令之處罰*超額成本超額成本*資源之損失與破壞資源之損失與破壞*不利之競爭力不利之競爭力舞弊與控制舞弊與控制N舞弊舞弊：蓄意之行為，或不忠實之意蓄意之行為，或不忠實之意 圖去獲取不合理或違法之利益圖去獲取不合理或違法之利益N管理當局有責任去預防與揭露舞弊行為管理當局有責任去預防與揭露舞弊行為N控制系統控制系統：協助管理當局達成上述協助管理當局達成上述 任務任務

5、控制下之人性面與反作用控制下之人性面與反作用主管承受預算之壓力主管承受預算之壓力控制造成短視控制造成短視過分強調短期因素過分強調短期因素過分注重容易衡量之因素過分注重容易衡量之因素有些控制造成權術運用有些控制造成權術運用控制可能引起內部衝突控制可能引起內部衝突內部控制的定義內部控制的定義(一一)u根據我國審計準則公報根據我國審計準則公報#5#5，內部控制係，內部控制係指受查者之組織規劃及其所採用之各種指受查者之組織規劃及其所採用之各種協調方法與措施，以協調方法與措施，以保護資產安全保護資產安全、提提高會計資訊之可靠性及完整性高會計資訊之可靠性及完整性、增進經增進經營效率營效率、並、並促使遵行管

6、理政策促使遵行管理政策，所採行所採行的任何行動的任何行動內部控制的定義內部控制的定義(二二)u根據根據COSO(Committee of Sponsoring Organizations of Treadway Commission)研究報告，研究報告，內部控制係指公司董事會、管理當局、內部控制係指公司董事會、管理當局、及其部屬為了合理保證下列控制目標之及其部屬為了合理保證下列控制目標之達成，而採行的程序：達成，而採行的程序：（1）營運的效果與效率）營運的效果與效率（2）財務報導的可靠性）財務報導的可靠性（3）相關法令與規章的遵循）相關法令與規章的遵循內部控制的定義內部控制的定義(三三)u基本

7、觀念基本觀念：內部控制是一種內部控制是一種過程過程內部控制的有效運作內部控制的有效運作，受到人的影響受到人的影響，包括，包括董事會、管理階層及其他人員董事會、管理階層及其他人員內部控制設計之目的在於內部控制設計之目的在於達成組織之目標達成組織之目標內部控制只能內部控制只能合理保證合理保證目標之達成目標之達成內部控制的基本觀念內部控制的基本觀念(四四)p企業實施內部控制之前，應先建立適當的企業實施內部控制之前，應先建立適當的內部內部控制架構控制架構。內部控制架構係指組織建立的政策。內部控制架構係指組織建立的政策與程序，以與程序，以合理保證合理保證組織特定組織特定目標的達成目標的達成。p在設計內部

8、控制時，必須考量相關控制程序的在設計內部控制時，必須考量相關控制程序的成本與效益成本與效益。若要求絕對保證組織目標的達成。若要求絕對保證組織目標的達成，則會使內部控制成本過高，超過其所能產生，則會使內部控制成本過高，超過其所能產生的效益（也就是邊際成本大於邊際效益）。因的效益（也就是邊際成本大於邊際效益）。因此，內部控制的設計通常以此，內部控制的設計通常以合理保證合理保證為目為目標。標。內部控制的基本觀念內部控制的基本觀念(五五)p企業在設計內部控制程序之前，應先確企業在設計內部控制程序之前，應先確認其相關的控制目標，而認其相關的控制目標，而控制目標控制目標又與又與營運目標營運目標及其所面臨的

9、及其所面臨的潛在威脅潛在威脅有關。有關。p內部控制制度的設計應與組織的內部控制制度的設計應與組織的目標相目標相結合結合，並合理保證將企業所面臨的，並合理保證將企業所面臨的威脅威脅與風險與風險降到可以接受的水準。降到可以接受的水準。內部控制之重要性內部控制之重要性降低錯誤及舞弊之可能性降低錯誤及舞弊之可能性減少違法事件之發生減少違法事件之發生減低企業失敗之機率減低企業失敗之機率提高企業之競爭力提高企業之競爭力 監視組織控制系統之運作監視組織控制系統之運作內稽主要功能電腦化資訊系統內部控制的電腦化資訊系統內部控制的基本觀念基本觀念(一一)u電腦化資料處理之主要特點：電腦化資料處理之主要特點：利用電

10、腦產生多樣化資訊利用電腦產生多樣化資訊u電腦化資訊系統電腦化資訊系統與與人工資訊系統人工資訊系統之差別：之差別：(1)交易交易(稽核稽核)軌跡僅軌跡僅短暫保存短暫保存或以電腦可以或以電腦可以讀取之形式讀取之形式 保存保存(2)交易處理過程由電腦程式控制，具有交易處理過程由電腦程式控制，具有一致性一致性，可避免，可避免 人為錯誤人為錯誤(但程式錯誤將產生交易處理錯誤但程式錯誤將產生交易處理錯誤)(3)原人工分工改為原人工分工改為電腦集中處理電腦集中處理，故原分工達成之控制，故原分工達成之控制 目標須以其他目標須以其他控制措施控制措施取代取代電腦化資訊系統內部控制的電腦化資訊系統內部控制的基本觀念

11、基本觀念(二二)(4)資料處理過程中人工的介入大幅減少，電腦發生錯資料處理過程中人工的介入大幅減少，電腦發生錯 誤及利用電腦進行的誤及利用電腦進行的舞弊被發現的可能性降低舞弊被發現的可能性降低。另。另 外，外，應用程式應用程式於設計及修正過程所產生的於設計及修正過程所產生的錯誤錯誤，也，也 可能長久存在而未被發覺可能長久存在而未被發覺 (5)電腦系統提供許多電腦系統提供許多資料分析工具資料分析工具，可協助管理者覆，可協助管理者覆 核及監督系統運作，進而加強內部控制核及監督系統運作，進而加強內部控制 (6)有些交易可能由有些交易可能由電腦自動啟始或執行電腦自動啟始或執行，這些交易的，這些交易的

12、授權可能因而缺乏書面的證據或在管理者接受系統授權可能因而缺乏書面的證據或在管理者接受系統 設計時就已確認設計時就已確認 (7)電腦處理可能產生一些人工處理所需要的報表和其電腦處理可能產生一些人工處理所需要的報表和其 他輸出，因此，他輸出，因此，其他控制的效果有賴於電腦處理控其他控制的效果有賴於電腦處理控 制的完整性與正確性制的完整性與正確性。例如：電腦產生的例外報告。例如：電腦產生的例外報告 是否正確，將影響人工覆核例外情況的有效性是否正確，將影響人工覆核例外情況的有效性 電腦化資訊系統內部控制的電腦化資訊系統內部控制的基本觀念基本觀念(三三)u為了確保電腦化資訊系統具備良好的控制環境為了確保

13、電腦化資訊系統具備良好的控制環境，組織應該：組織應該：確實控管資訊系統確實控管資訊系統開發專案開發專案 適當分配電腦適當分配電腦資源的所有權資源的所有權 落實電腦軟體、硬體及資料庫的落實電腦軟體、硬體及資料庫的保管與維護保管與維護 訂定與實施有效的訂定與實施有效的電腦安全與災害復原計劃電腦安全與災害復原計劃內部控制之目的內部控制之目的根據美國及我國內部稽核協會之內部稽根據美國及我國內部稽核協會之內部稽核執業準則公報第一號，內部控制之目核執業準則公報第一號，內部控制之目的包括：的包括：F資訊的可靠性與完整性資訊的可靠性與完整性F政策、計畫、程序與法令之遵循政策、計畫、程序與法令之遵循F資產之保障

14、資產之保障F資源運用之經濟有效資源運用之經濟有效F組織目的與營運或專案計畫目標之達成組織目的與營運或專案計畫目標之達成具體之內部控制目的具體之內部控制目的以交易循環為例：以交易循環為例：B交易業經適當授權交易業經適當授權B已經發生之交易業已記錄已經發生之交易業已記錄B帳上所記錄之交易真實有效帳上所記錄之交易真實有效B交易之科目分類適當交易之科目分類適當B交易之評價適當交易之評價適當B交易在適當時點記錄交易在適當時點記錄B交易之過帳、分類、彙總、調節、及報告之過程適當交易之過帳、分類、彙總、調節、及報告之過程適當內部控制內部控制VS.八大交易循環八大交易循環Q銷貨及收款循環銷貨及收款循環Q採購及

15、付款循環採購及付款循環Q生產及存貨循環生產及存貨循環Q人事薪資循環人事薪資循環Q融資循環融資循環Q投資循環投資循環Q固定資產管理循環固定資產管理循環Q研究發展循環研究發展循環銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(一一)威脅威脅暴險暴險控制程序控制程序1)銷售給信用不銷售給信用不 良之客戶良之客戶u收不到貨款收不到貨款u壞帳增加壞帳增加由授信部門核准由授信部門核准 賒銷賒銷正確記錄客戶帳正確記錄客戶帳 款餘額款餘額2)出貨錯誤出貨錯誤(含送含送 錯商品錯商品、數量或、數量或 地點地點)u客戶抱怨客戶抱怨u不滿意銷貨服務不滿意銷貨服務u增加商品輸送成增加商品輸送成本本調節銷貨

16、單與出貨單調節銷貨單與出貨單應用條碼掃瞄器應用條碼掃瞄器資料輸入之應用控制資料輸入之應用控制銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(二二)威脅威脅暴險暴險控制程序控制程序3)在途存貨失竊在途存貨失竊 u存貨資產損失存貨資產損失u存貨高估存貨高估限制實體接取限制實體接取內部移轉文件化內部移轉文件化定期盤點存貨並調節定期盤點存貨並調節帳載記錄與實體庫存帳載記錄與實體庫存之差異之差異4)出貨時未開列出貨時未開列 帳單帳單u應收帳款低估應收帳款低估u收不到貨款收不到貨款u資金週轉不靈資金週轉不靈送貨及帳單一起處理送貨及帳單一起處理，送貨單預先編號，送貨單預先編號出貨時與對方收貨單出

17、貨時與對方收貨單位確認位確認，到貨須回電，到貨須回電或回執或回執漏記時立即補寄帳單漏記時立即補寄帳單銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(三三)威脅威脅暴險暴險控制程序控制程序5)開單錯誤開單錯誤u記錄不正確記錄不正確u短、漏開發票，短、漏開發票，被罰款被罰款u增加訂單處理成增加訂單處理成本本揀貨單與銷貨單揀貨單與銷貨單(金額金額,數量數量)互相驗證互相驗證銷貨價格可先在電腦銷貨價格可先在電腦輸入輸入，避免人工輸入，避免人工輸入錯誤錯誤6)現金失竊現金失竊u資產損失資產損失u資金週轉不靈資金週轉不靈責任分工責任分工，財務主管，財務主管不定期抽點不定期抽點工作輪調工作輪調使

18、用保險設備使用保險設備定期調節銀行對帳單定期調節銀行對帳單銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(四四)威脅威脅暴險暴險控制程序控制程序7)更新應收帳款更新應收帳款 時時，過帳錯誤，過帳錯誤u公司報表記錄錯公司報表記錄錯誤誤u影響短期償債能影響短期償債能力力按時將總帳與明細帳按時將總帳與明細帳調節調節每月寄對帳單給客戶每月寄對帳單給客戶，作雙向確認作雙向確認8)資料毀損資料毀損u客戶資料外洩客戶資料外洩u復原成本增加復原成本增加定期建立備份資料定期建立備份資料，採異地備援採異地備援存取控制存取控制(對使用者設對使用者設密碼與權限密碼與權限)建立災難防護系統建立災難防護系統銷

19、售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(五五)威脅威脅暴險暴險控制程序控制程序9)績效不佳績效不佳u營運狀況出問營運狀況出問題題u部門間缺乏溝部門間缺乏溝通通、士氣低落、士氣低落u流動性較差流動性較差，出現現金短缺出現現金短缺，導致週轉不，導致週轉不靈靈定期與不定期編製定期與不定期編製分析報告分析報告發放客戶意見回覆發放客戶意見回覆函函，了解客戶滿意，了解客戶滿意度度採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(一一)威脅威脅暴險暴險控制程序控制程序1)缺貨缺貨u生產延滯喪失生產延滯喪失銷售機會銷售機會u生產設備閒置生產設備閒置u訂購成本增加訂購成本增加存貨控制

20、系統存貨控制系統採永續盤存制採永續盤存制建立供應商供貨與績建立供應商供貨與績效報告分析效報告分析重估安全存量重估安全存量2)採購不需要之採購不需要之 貨品或採購過貨品或採購過 多多u存貨成本增加存貨成本增加u積壓現金積壓現金，無，無法有效利用法有效利用u存貨淨變現價存貨淨變現價值降低值降低評估實際存貨評估實際存貨核准購買需求且設置核准購買需求且設置預先編號請購單預先編號請購單分析購貨內容及銷貨分析購貨內容及銷貨成本組合成本組合採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(二二)威脅威脅暴險暴險控制程序控制程序3)以過高價格購以過高價格購 進貨品進貨品u成本過高成本過高預算控制預算

21、控制訂立諮詢機制及進貨訂立諮詢機制及進貨合約合約利用商品期貨避險利用商品期貨避險4)進貨品質不良進貨品質不良u造成生產延誤造成生產延誤u成本超支或滯成本超支或滯銷銷u較難生產高附較難生產高附加價值之產品加價值之產品檢視購貨單據檢視購貨單據對廠商作績效分析對廠商作績效分析加強對貨品之檢驗加強對貨品之檢驗採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(三三)威脅威脅暴險暴險控制程序控制程序5)向不合格供應向不合格供應 商訂購商訂購u品質與價格之品質與價格之 不確定性不確定性u退貨與售後服退貨與售後服務之不確定性務之不確定性u無法建立長久無法建立長久合作關係合作關係訂購單先經批准訂購單先

22、經批准限制供應商名單須有限制供應商名單須有經正式授權，若有變經正式授權，若有變動須經批准動須經批准加強採購部門內控加強採購部門內控6)收取回扣收取回扣u可能買到次級可能買到次級品品u高價買入商品高價買入商品u影響公司權益影響公司權益訂購人員輪調、定期訂購人員輪調、定期休假休假請購、訂購、出納人請購、訂購、出納人員充分分工員充分分工明文禁止收取回扣明文禁止收取回扣採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(四四)威脅威脅暴險暴險控制程序控制程序7)收到未訂購之收到未訂購之 貨品貨品u增加存貨成本增加存貨成本驗收部門在接收產品驗收部門在接收產品時，要親自點算檢查時，要親自點算檢查數

23、量數量訂購部門以訂單副本訂購部門以訂單副本知會驗收部門知會驗收部門8)清點進貨時發清點進貨時發生錯誤生錯誤u存貨記錄不正存貨記錄不正確確u所收貨品與訂所收貨品與訂購量不符購量不符u缺貨成本或持缺貨成本或持有成本增加有成本增加訂購單副本訂購單副本(訂購量欄訂購量欄空白空白)交給驗收部門交給驗收部門加強對貨品驗收之控加強對貨品驗收之控制制倉儲部門之再覆核與倉儲部門之再覆核與盤點盤點採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(五五)威脅威脅暴險暴險控制程序控制程序9)存貨失竊存貨失竊u存貨財產損失存貨財產損失u記錄錯誤記錄錯誤u無法如期出貨無法如期出貨定期盤點存貨定期盤點存貨加強保全

24、、投保產物加強保全、投保產物險險做好內部控制、職能做好內部控制、職能分工分工10)進貨發票錯誤進貨發票錯誤 u記錄不正確記錄不正確u付款金額不正付款金額不正確確u帳務處理成本帳務處理成本增加增加付款時，要與訂購單付款時，要與訂購單 及驗收單做確認及驗收單做確認EDI處理處理採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(六六)威脅威脅暴險暴險控制程序控制程序11)對未收到之貨對未收到之貨 品支付貨款品支付貨款u現金損失現金損失核對發票及驗收單內核對發票及驗收單內之數量之數量確定貨物收到再付款確定貨物收到再付款12)未及時取得進未及時取得進 貨折扣貨折扣u造成多付款造成多付款，銷貨成

25、本增加銷貨成本增加u喪失高報酬率喪失高報酬率之利息之利息編製付款期限分析表編製付款期限分析表付款方式採淨額法付款方式採淨額法作現金流量預算作現金流量預算採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(七七)威脅威脅暴險暴險控制程序控制程序13)重複付款重複付款u造成現金損失造成現金損失u錯誤之帳載高錯誤之帳載高估採購成本估採購成本做好審核與審查之工做好審核與審查之工作作定期核對發票金額和定期核對發票金額和訂單與驗收單，並做訂單與驗收單，並做付款註記付款註記14)採購及付款記採購及付款記 錄與過帳發生錄與過帳發生 錯誤錯誤u財務報表不正財務報表不正 確確u存貨成本計算存貨成本計算 錯

26、誤錯誤u錯誤之決策錯誤之決策適當之分錄資料與程適當之分錄資料與程 序控制序控制定期調節總帳與應付定期調節總帳與應付帳款明細帳帳款明細帳採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(八八)威脅威脅暴險暴險控制程序控制程序15)付款給虛設供付款給虛設供 應商及票據被應商及票據被 竄改竄改u資產損失資產損失u現金減少現金減少u信用不佳信用不佳所有購貨以支票給付所有購貨以支票給付 、支票編號、存取控、支票編號、存取控制制設零用金制度設零用金制度獨立之銀行調節表獨立之銀行調節表定期盤點資產定期盤點資產16)電子轉帳現金電子轉帳現金 遭竊遭竊u資金被盜資金被盜u機密外洩機密外洩嚴格之登錄控制

27、嚴格之登錄控制 (經常變更使用者帳號經常變更使用者帳號與密碼與密碼)加強內控加強內控資料傳輸加密資料傳輸加密採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(九九)威脅威脅暴險暴險控制程序控制程序17)資料毀損資料毀損u影響決策影響決策u損失機密資訊損失機密資訊u資料之不可靠資料之不可靠性性資料備份與保密措施資料備份與保密措施災難回復過程災難回復過程時常更新檔案時常更新檔案由線上資料庫協助保由線上資料庫協助保 管管18)績效不佳績效不佳u無效率與無效無效率與無效能能u管理與生產成管理與生產成本過高本過高u信譽不好信譽不好企業活動事先規劃企業活動事先規劃對績效做事後檢討報對績效做事後檢

28、討報導導建立獎酬制度建立獎酬制度生產循環之威脅生產循環之威脅&暴險與控制程序暴險與控制程序(一一)威脅威脅暴險暴險控制程序控制程序1)生產未經授權生產未經授權u生產過剩和過生產過剩和過多存貨多存貨u生產不足生產不足、原、原料短缺、喪失料短缺、喪失交易機會交易機會正確之銷售預測正確之銷售預測正確之存貨記錄正確之存貨記錄生產之授權生產之授權編製預算編製預算2)存貨失竊或毀存貨失竊或毀 損損u資產損失資產損失u高估存貨記錄高估存貨記錄u未及出貨未及出貨u高估淨利高估淨利投保產物險投保產物險職能分工職能分工存貨定期盤點並與記存貨定期盤點並與記錄相調節錄相調節設立監視系統設立監視系統生產循環之威脅生產循

29、環之威脅&暴險與控制程序暴險與控制程序(二二)威脅威脅暴險暴險控制程序控制程序3)無效率及品質無效率及品質 控制問題控制問題u產生不良品產生不良品u成本錯估、影成本錯估、影響定價及利潤響定價及利潤u增加存貨損失增加存貨損失之風險之風險編製及覆核績效報告編製及覆核績效報告衡量生產效能衡量生產效能衡量品質控制之成本衡量品質控制之成本例外報告例外報告4)記錄及過帳錯記錄及過帳錯 誤誤u影響定價與銷影響定價與銷 售利潤售利潤資料處理自動化資料處理自動化接取控制接取控制定期實施實地盤點並定期實施實地盤點並與相關記錄調節與相關記錄調節生產循環之威脅生產循環之威脅&暴險與控制程序暴險與控制程序(三三)威脅威

30、脅暴險暴險控制程序控制程序5)資料毀損資料毀損u支出增加與內支出增加與內 控不健全控不健全u喪失對客戶之喪失對客戶之信譽與未來之信譽與未來之銷售額銷售額u產生法律責任產生法律責任資料備份資料備份災害復原計畫災害復原計畫存取控制存取控制薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(一一)威脅威脅暴險暴險控制程序控制程序1)雇用不合格或雇用不合格或 品德不佳之員品德不佳之員 工工u生產效率低並生產效率低並影響士氣影響士氣u資產被竊資產被竊u機密外洩而影機密外洩而影響公司競爭力響公司競爭力u增加舞弊機會增加舞弊機會嚴格把關人事嚴格把關人事適當之新進人員訓練適當之新進人員訓練試用期間之考

31、評觀察試用期間之考評觀察注重員工先前之工作注重員工先前之工作經驗經驗杜絕高階主管聘私人杜絕高階主管聘私人2)觸犯勞工相關觸犯勞工相關 法案法案u罰金或訴訟罰金或訴訟u影響公司聲譽影響公司聲譽訂定明確之書面僱用訂定明確之書面僱用契約契約確定勞資之權利義務確定勞資之權利義務設立法律諮詢服務設立法律諮詢服務薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(二二)威脅威脅暴險暴險控制程序控制程序3)錯誤之工時資錯誤之工時資 料料u費用增加費用增加u不正確之報告不正確之報告u資產損失資產損失u增加不必要之增加不必要之 人工成本人工成本自動化資料收集自動化資料收集職能分工職能分工比較預算之薪資費

32、用比較預算之薪資費用與實際發放額與實際發放額檔案須經特定人處理檔案須經特定人處理與驗證與驗證4)錯誤之薪工處錯誤之薪工處 理理u不符收入配合不符收入配合 原則原則u費用之內部報費用之內部報 導不正確導不正確u給薪不正確給薪不正確批次控制及其他應用批次控制及其他應用控制控制調節計工單調節計工單、計時卡、計時卡不定期抽查不定期抽查薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(三三)威脅威脅暴險暴險控制程序控制程序5)薪工主檔遭未薪工主檔遭未 經授權之更動經授權之更動u資料混亂或遭資料混亂或遭 竄改竄改定期審核定期審核薪資者與發薪者進行薪資者與發薪者進行雙重確認雙重確認薪資費用每月結帳

33、薪資費用每月結帳6)薪資支票失竊薪資支票失竊 或舞弊或舞弊u現金損失現金損失u薪資及處理費薪資及處理費 用增加用增加銀行轉帳銀行轉帳控管公司之空白支票控管公司之空白支票出納付款前要先得到出納付款前要先得到主管授權且要確認金主管授權且要確認金額無誤及員工是否尚額無誤及員工是否尚在職在職薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(四四)威脅威脅暴險暴險控制程序控制程序7)薪工資料毀損薪工資料毀損 或洩密或洩密u員工之個人資員工之個人資 料與隱私被公料與隱私被公 開開u員工流失員工流失u影響員工士氣影響員工士氣u增加公司之訴增加公司之訴 訟支出訟支出接取控制接取控制資料備份資料備份資

34、料加密資料加密固定資產循環之威脅固定資產循環之威脅&暴險與控制暴險與控制程序程序(一一)威脅威脅暴險暴險控制程序控制程序1)交易未經授權交易未經授權 或核准或核准u過度投資在固過度投資在固定資產定資產u陳廢之資產過陳廢之資產過多多採購之授權採購之授權資本支出之授權及覆資本支出之授權及覆核核編製預算編製預算2)固定資產失竊固定資產失竊 或毀損或毀損u資產損失資產損失u高估淨利高估淨利保險保險定期盤點數量定期盤點數量職能分工職能分工設立監視系統設立監視系統固定資產循環之威脅固定資產循環之威脅&暴險與控制暴險與控制程序程序(二二)威脅威脅暴險暴險控制程序控制程序3)無效率及品質無效率及品質 控制問題

35、控制問題u財務報表不正財務報表不正 確確u增加固定資產增加固定資產 損失之風險損失之風險資料處理自動化資料處理自動化資料變更需經授權資料變更需經授權定期核對定期核對4)記錄及過帳錯記錄及過帳錯 誤誤u扭曲績效分析扭曲績效分析u扭曲未來投資扭曲未來投資 之期望之期望資料處理自動化資料處理自動化存取控制存取控制資料備份資料備份建立災害復原計畫建立災害復原計畫固定資產循環之威脅固定資產循環之威脅&暴險與控制暴險與控制程序程序(三三)威脅威脅暴險暴險控制程序控制程序5)資料毀損資料毀損u支出增加與內支出增加與內 控不健全控不健全u喪失對客戶之喪失對客戶之信譽與未來之信譽與未來之銷售額銷售額u產生法律責

36、任產生法律責任定期編製財務報表定期編製財務報表差異分析差異分析抽檢工作抽檢工作COSO內部內部控制模式及其組成要素控制模式及其組成要素(一一)COSO於於1992年發布一份研究報告，明年發布一份研究報告，明確定義內部控制，並提供內部控制評估確定義內部控制，並提供內部控制評估方面的指引。該報告已成為最權威的內方面的指引。該報告已成為最權威的內部控制文獻，已被實務界廣為採用。部控制文獻，已被實務界廣為採用。COSO內部控制模式及其組成要素內部控制模式及其組成要素(二二)COSO研究報告將內部控制定義為研究報告將內部控制定義為p公司公司董事會、管理當局、及其部屬董事會、管理當局、及其部屬為了為了合理

37、保證合理保證下下列控制目標之達成，而採行的程序：列控制目標之達成，而採行的程序：營運的效果與營運的效果與效率、財務報導的可靠性、以及相關法令與規章的效率、財務報導的可靠性、以及相關法令與規章的遵循遵循。p此項定義強調：此項定義強調：內部控制是一項過程內部控制是一項過程內部控制受人的影響內部控制受人的影響內部控制對管理當局及董事會而言，僅能提供合理保證，內部控制對管理當局及董事會而言，僅能提供合理保證，而非絕對保證。而非絕對保證。COSO內部控制模式及其組成要素內部控制模式及其組成要素(三三)COSO控制模式是以控制模式是以控制環境控制環境為基礎。根據組織的控為基礎。根據組織的控制環境及營運目標

38、，管理當局必須辨認、分析及管理制環境及營運目標，管理當局必須辨認、分析及管理相關的風險，也就是進行相關的風險，也就是進行風險評估風險評估與管理。緊接著，與管理。緊接著，企業應建立與執行適當的控制政策與程序，以有效的企業應建立與執行適當的控制政策與程序，以有效的執行與風險相關的執行與風險相關的控制作業控制作業。至於組織的。至於組織的資訊與溝通資訊與溝通系統的作用，則在於讓組織的成員可以捕捉及分享與系統的作用，則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過執行、管理及控制其活動有關的資訊。上述的控制過程必須加以程必須加以監督監督，並做必要的修正，以維持內部控制，並

39、做必要的修正，以維持內部控制制度的有效性。換句話說，這五項組成要素之間密切制度的有效性。換句話說，這五項組成要素之間密切相關，而形成一個完整的內部控制模式。相關，而形成一個完整的內部控制模式。COSO內部控制模式及其組成要素內部控制模式及其組成要素(四四)控制環境控制環境(Control environment)風險評估風險評估(Risk assessment)控制作業控制作業(Control activities)資訊與溝通資訊與溝通(Information and communication)監督監督(Monitoring)控制環境控制環境u控制環境包括七項組成因素控制環境包括七項組成因素

40、H管理階層的操守與價值觀管理階層的操守與價值觀H管理哲學與經營風格管理哲學與經營風格H組織架構組織架構H外部監察人的參與外部監察人的參與H分派權力與責任的方法分派權力與責任的方法H人力資源政策與實務人力資源政策與實務H外部影響外部影響控制環境控制環境常見機制常見機制 落實管理當局之責任落實管理當局之責任 啟動董事會與審計委員會之監督功能啟動董事會與審計委員會之監督功能 明確詳細的員工守則明確詳細的員工守則 適當的員工任免政策適當的員工任免政策 實行獨立於一般管理階層之外的實行獨立於一般管理階層之外的 道德諮詢系統道德諮詢系統(制訂檢舉制度制訂檢舉制度)一套完整的舞弊調查及矯正措施一套完整的舞弊

41、調查及矯正措施風險評估風險評估風險評估包括辨認、分析及管理企業有關的風風險評估包括辨認、分析及管理企業有關的風險險風險風險(risk)係指威脅實際發生的可能性，可以係指威脅實際發生的可能性，可以0到到1的機率值表示的機率值表示若威脅實際發生，企業因而可能產生的損失稱若威脅實際發生，企業因而可能產生的損失稱為暴險度為暴險度(exposure)若我們將風險若我們將風險(機率值機率值)乘以暴險度乘以暴險度(金額金額)，就，就能計算出某項威脅帶來的預期損失。內部控制能計算出某項威脅帶來的預期損失。內部控制的主要作用即在於降低或消除各項威脅的預期的主要作用即在於降低或消除各項威脅的預期損失損失風險評估風

42、險評估風險評估與建立企業內部相關內部控制風險評估與建立企業內部相關內部控制的步驟：的步驟：辨認威脅辨認威脅估計風險估計風險估計可能損失估計可能損失(暴險度暴險度)找出相關的控制程序找出相關的控制程序估計控制程序的成本與效益估計控制程序的成本與效益選定控制程序選定控制程序風險評估風險評估常見機制常見機制 建立舞弊風險評估程序建立舞弊風險評估程序 評估舞弊之可能性及重大性評估舞弊之可能性及重大性 辨識舞弊發生之組織層級辨識舞弊發生之組織層級 遏阻管理階層之逾越遏阻管理階層之逾越 控制作業控制作業一般而言，組織的控制程序可區分為五一般而言，組織的控制程序可區分為五類類：p交易與作業的適當授權交易與作

43、業的適當授權p職能分工職能分工p設計與使用適當文件與紀錄設計與使用適當文件與紀錄 (ex:(ex:憑證、簽章、預先編號憑證、簽章、預先編號)p資產與紀錄的保護資產與紀錄的保護(接近控制接近控制)p獨立的覆核獨立的覆核資訊與溝通資訊與溝通資訊與溝通係指組織成員能夠取得其職資訊與溝通係指組織成員能夠取得其職務上所需的務上所需的各種資訊各種資訊，且資訊能夠在組，且資訊能夠在組織中織中傳播與溝通傳播與溝通。資訊系統詳細紀錄交。資訊系統詳細紀錄交易處裡的過程，這些資料成為交易的稽易處裡的過程，這些資料成為交易的稽核軌跡核軌跡(audit trail)。組織成員可以利用組織成員可以利用稽核軌跡追查交易如何

44、起始、經過何種稽核軌跡追查交易如何起始、經過何種處理、以及如何報導，有助於確認內部處理、以及如何報導，有助於確認內部控制程序落實的程度與執行的成效。控制程序落實的程度與執行的成效。資訊與溝通資訊與溝通常見機制常見機制 教育訓練教育訓練 知識管理知識管理 資訊系統及技術資訊系統及技術監督監督監督係指對於內部控制的實施進行監督係指對於內部控制的實施進行評估評估與控管與控管的過程的過程常見機制常見機制 管理當局的督導管理當局的督導 採用責任會計制度採用責任會計制度 進行內部稽核進行內部稽核內部稽核之於舞弊內部稽核之於舞弊建立健全建立健全內控環境內控環境執行舞弊執行舞弊風險評估風險評估設計與執行舞弊防

45、制之控制活動設計與執行舞弊防制之控制活動充分的溝通資訊充分的溝通資訊持續管理監控持續管理監控管理當局之責任管理當局之責任董事會董事會/審計委員會審計委員會指揮指揮內部稽核內部稽核(1)瞭解管理當局的瞭解管理當局的舞弊防範措施舞弊防範措施(2)評估管理當局對評估管理當局對 於舞弊風險之評估於舞弊風險之評估(3)對於舞弊防範措對於舞弊防範措 施之有效性進行施之有效性進行查核查核(4)接受董事會接受董事會/審計審計 委員會之指揮委員會之指揮,針對高舞弊風險針對高舞弊風險作業進行調查作業進行調查評估與調查評估與調查落實內控的關鍵要素落實內控的關鍵要素C 建立能減少舞弊或犯罪之標準及程序建立能減少舞弊或

46、犯罪之標準及程序C 指定某一特定高級管理階層人員負責監督內部指定某一特定高級管理階層人員負責監督內部控制之執行控制之執行C 防止不當授權防止不當授權C 將標準及程序有效傳達全體員工將標準及程序有效傳達全體員工C 實施對遵循之衡量，諸如監控、稽核及報告制實施對遵循之衡量，諸如監控、稽核及報告制度度C 輔以獎懲措施之強化標準及程序之執行輔以獎懲措施之強化標準及程序之執行C 當制度被偵出有重大違失時，給予適當回應當制度被偵出有重大違失時，給予適當回應從富邦錯帳事件看內部控制從富邦錯帳事件看內部控制事由事由 2005/06/27,富邦證仁愛分公司一交易員按錯指富邦證仁愛分公司一交易員按錯指令令(輸入錯

47、誤的數量輸入錯誤的數量),造成造成$77億元錯帳事件億元錯帳事件。後續發展後續發展2005/06/30,金管會依證交法處富邦警告一次金管會依證交法處富邦警告一次,將影響其未來三個月新辦業務或新設據點；並將影響其未來三個月新辦業務或新設據點；並要求須在一個月內報告其內部控制改善計畫及要求須在一個月內報告其內部控制改善計畫及執行情況執行情況。2005/07/19,證交所處違約金額證交所處違約金額$30萬。萬。富邦證之危機管理富邦證之危機管理向證交所申報錯帳向證交所申報錯帳發出聲名稿，承認錯誤發出聲名稿，承認錯誤調現金調現金命自營部買入經紀部要賣的股票命自營部買入經紀部要賣的股票檢討下單流程檢討下單

48、流程、電腦程式、風險管理及、電腦程式、風險管理及查核程序查核程序懲處交易員懲處交易員修改電腦程式修改電腦程式富邦證之內部控制富邦證之內部控制控制環境控制環境董事長兼總經理(葉公亮)與國際部顧問(周資青)權責分配失衡風險評估透過加強員工風險意識、資訊控制、交易分層授權以降低錯帳金額富邦證之內部控制富邦證之內部控制控制活動控制活動系統設計者設計不良系統設計者設計不良、系統使用者未能與系統系統使用者未能與系統設計者充分溝通，使系統設計者不瞭解控制是設計者充分溝通，使系統設計者不瞭解控制是必要的、系統測試與教育訓練不足必要的、系統測試與教育訓練不足資訊與溝通資訊與溝通以開放的態度對外溝通達到效果以開放

49、的態度對外溝通達到效果監督監督事後由董事長領軍，成立風險改進委員會，重事後由董事長領軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴新檢視風險控管機制並提出改進方式，同時嚴格規範各單位自行查核人員及內部稽核人員之格規範各單位自行查核人員及內部稽核人員之查核方式查核方式建立資訊系統內部控制之重要性建立資訊系統內部控制之重要性(一一)經營環境複雜化經營環境複雜化資訊需求多樣化資訊需求多樣化資訊系統複雜化與風險性資訊系統複雜化與風險性良好之內部控制良好之內部控制 降低風險之影響或損失降低風險之影響或損失 確保組織正常運作確保組織正常運作建立資訊系統內部控制之重要性建立資訊系統內部控

50、制之重要性(二二)資訊系統稽核與控制基金會資訊系統稽核與控制基金會(Information Systems Audit and Control Foundation,簡稱簡稱ISACF)發佈發佈資訊及相關技術控制資訊及相關技術控制目的目的(Control objectives for information and related technology,簡稱簡稱COBIT)，可以作為企業建立資訊系統與資訊科技可以作為企業建立資訊系統與資訊科技安全控制政策與程序之架構安全控制政策與程序之架構COBIT基本觀念架構基本觀念架構(一一)用途：用途：在於提供與資訊科技應用、控制與稽核在於提供與資訊科技