6
Efforts to Define IC
Before mid-70s, principal definition came from AICPA (SAP 33 and before)
Principal components were to:
Safeguard assets achieve accurate & reliable accounting data promote operational efficiency encourage adherence to prescribed
度 輔以獎懲措施之強化標準及程序之執行 當制度被偵出有重大違失時，給予適當回應
29
內部控制的分類
依照內部控制程序採行的時間點，可以區 分為預防性控制、偵測性控制以及改正性 控制。
就電腦化資訊系統的觀點而言，其內部控 制可以區分為一般控制與應用控制。
若按照資料處理步驟的區分,內部控制可 以區分為輸入控制、處理控制以及輸出控 制。
18
Байду номын сангаас
COSO內部控制模式及其組成要素
COSO於1992年發布一份研究報告，明 確定義內部控制，並提供內部控制評估 方面的指引。該報告已成為最權威的內 部控制文獻，已被實務界廣為採用。
19
COSO內部控制模式及其組成要素
COSO研究報告將內部控制定義為
「公司董事會、管理當局、及其部屬為了合 理保證下列控制目標之達成，而採行的程序： 營運的效果與效率、財務報導的可靠性、以 及相關法令與規章的遵循。」。
8
Most Recent from AICPA
SAS 78 (1995) - adopted COSO definition:
INTERNAL CONTROL is a process-effected by a an entity’s board of directors, management, and other personneldesigned to provide reasonable assurance regarding the achievement of objectives in the following categories:
21
COSO內部控制模式及其組成要素
COSO控制模式是以控制環境為基礎。根據組織的控 制環境及營運目標，管理當局必須辨認、分析及管理 相關的風險，也就是進行風險評估與管理。緊接著， 企業應建立與執行適當的控制政策與程序，以有效的 執行與風險相關的控制作業。至於組織的資訊與溝通 系統的作用，則在於讓組織的成員可以捕捉及分享與 執行、管理及控制其活動有關的資訊。上述的控制過 程必須加以監督，並做必要的修正，以維持內部控制 制度的有效性。換句話說，這五項組成要素之間密切 相關，而形成一個完整的內部控制模式。
managerial policies.
7
Later efforts to define IC
SAS 55 - 1988 INTERNAL CONTROL structure
comprising three elements
Control environment Accounting System Control procedures
22
控制環境
控制環境包括七項組成因素
管理階層的操守與價值觀、 管理哲學與經營風格、 組織架構、 外部監察人的參與、 分派權力與責任的方法、 人力資源政策與實務、以及 外部影響。
23
風險評估
風險評估包括辨認、分析及管理企業有關的風 險。
風險(risk)係指威脅實際發生的可能性，可以0 到1的機率值表示。
內部控制制度的設計應與組織的目標相結 合，並合理保證將企業所面臨的威脅與風 險降到可以接受的水準。
15
內部控制之目的
根據美國及我國內部稽核協會之內部稽核 執業準則公報第一號，內部控制之目的包 括：
資訊的可靠性與完整性 政策、計畫、程序與法令之遵循 資產之保障 資源運用之經濟有效 組織目的與營運或專案計畫目標之達成
Effectiveness & efficiency of operations Reliability of financial reporting Compliance with applicable laws & regulations.
9
內部控制的定義
根據COSO(Committee of Sponsoring Organizations of Treadway Commission)研究報告，內部控制 係指公司董事會、管理當局、及其部屬 為了合理保證下列控制目標之達成，而 採行的程序：
16
具體之內部控制目的
以交易循環為例：
交易業經適當授權 已經發生之交易業已記錄 帳上所記錄之交易真實有效 交易之科目分類適當 交易之評價適當 交易在適當時點記錄 交易之過帳、分類、彙總、調節、及報告之
過程適當
17
內部控制VS.八大交易循環
銷貨及收款循環 採購及付款循環 生產及存貨循環 人事薪資循環 融資循環 投資循環 固定資產管理循環 研究發展循環
若威脅實際發生，企業因而可能產生的損失稱 為暴險度(exposure)。
若我們將風險(機率值)乘以暴險度(金額)，就 能計算出某項威脅帶來的預期損失。內部控制 的主要作用即在於降低或消除各項威脅的預期 損失。
24
風險評估
風險評估與建立企業內部相關內部控制 的步驟：
辨認威脅 估計風險 估計可能損失(暴險度) 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序
（1）營運的效果與效率、 （2）財務報導的可靠性、以及 （3）相關法令與規章的遵循。
10
內部控制的定義
基本觀念：
內部控制是一種過程(process) 內部控制的有效運作，受到人的影響，包
括董事會、管理階層及其他人員 內部控制設計之目的在於達成組織之目標 內部控制只能合理保證目標之達成
此項定義強調：
內部控制是一項過程， 內部控制受人的影響，以及 內部控制對管理當局及董事會而言，僅能提供
合理保證，而非絕對保證。
20
SAS 78 components of IC
Control environment- tone at the top Risk assessment - identification/analysis
of risks Control activities - policies and
procedures Information & communication -
processing of info to enable people to do their jobs Monitoring - process that assess quality of internal control over time
11
Text Definition of IC
…a system of integrated elements people, structure, policies, and procedures - acting together to provide reasonable assurance that an
27
監督
監督係指對於內部控制的實施進行評估 與控管的過程，
例如
有效的督導、 採用責任會計制度、 進行內部稽核等。
28
落實內控的關鍵要素
建立能減少舞弊或犯罪之標準及程序 指定某一特定高級管理階層人員負責監督內部
控制之執行 防止不當授權 將標準及程序有效傳達全體員工 實施對遵循之衡量，諸如監控、稽核及報告制
governance Management’s legal responsibilities Highly publicized management and
employee fraud
2
企業的威脅與控制
威脅係指不利的潛在事情或情況，若實際發生 時，會對於資訊系統或組織造成傷害及損失。
控制則是指對於物件、有機體或系統的活動加 以限制或引導的過程。
在設計內部控制時，必須考量相關控制程 序的成本與效益。若要求絕對保證組織目 標的達成，則會使內部控制成本過高，超 過其所能產生的效益（也就是邊際成本大 於邊際效益）。因此，內部控制的設計通 常以「合理保證」為目標。
14
內部控制的基本觀念
企業在設計內部控制程序之前，應先確認 其相關的控制目標，而控制目標又與營運 目標及其所面臨的潛在威脅有關。
Be built on management’s strong sense of business ethics and personal integrity.
13
內部控制的基本觀念
企業實施內部控制之前，應先建立適當的 內部控制架構。內部控制架構係指組織建 立的政策與程序，以合理保證組織特定目 標的達成。
25
控制作業
一般而言，組織的控制程序可區分為五 類：
交易與作業的適當授權、 職能分工、 設計與使用適當文件與紀錄、 資產與紀錄的保護(接近控制)、以及 獨立的覆核。
26
資訊與溝通
資訊與溝通係指組織成員能夠取得其職 務上所需的各種資訊，且資訊能夠在組 織中傳播與溝通。資訊系統詳細紀錄交 易處裡的過程，這些資料成為交易的稽 核軌跡(audit trail)。組織成員可以利用稽 核軌跡追查交易如何起始、經過何種處 理、以及如何報導，有助於確認內部控 制程序落實的程度與執行的成效。
12
Text Definition of Internal Control (2)
Reflect management’s careful assessment of risks.
Be based on management’s evaluation of costs versus benefits.