內部控制與稽核概論

專案失敗的類別:
1.資源: 人員不足
2.需求: 規格不充足
3.目標: 陳述不適當
4.技術: 未使用有效的軟體開發方法
5.接觸使用者: 未能和系統使用者溝通
6.組織: 拙劣的組織結構
7.科技: 軟硬體不符需求規格
8.專案規模: 專案太大
9.人員管理: 人員缺乏努力或有敵對態度
10.方法: 未執行必要作業
11.規劃與控制: 工作指派不明確, 專案管理不適當
12.人員個性: 人員衝突

內部控制組成:
1.會計控制: 保護資產安全, 提高會計資訊之可靠性及完整性
2.管理控制: 增進經營效率, 促使遵行管理政策, 達成預期目標
3.作業控制

內部控制功用:
1.降低錯誤及舞弊之可能性
2.減少違法事件之發生
3.減低企業失敗之機率
4.提高企業之競爭力

內部控制之目的:
1.確保公司的政策及規定被確實遵行
2.避免資產之浪費、失竊與使用上之無效率
3.確保會計與營業資料的正確性
4.評估各部門之績效, 作為獎懲之依據

內部控制之範疇: 涵蓋整個公司的一切作業

內部控制之良莠為會計師決定查核程序與抽查範圍的依據.

內部控制至少應包括下列八大交易循環之控制作業:
1.銷貨及收款
2.採購及付款循環
3.生產循環
4.薪工循環
5.融資循環
6.固定資產循環
7.投資循環
8.研發循環

內部控制制度設計之原則:
1.依各項業務實際需要規劃作業流程, 採分段作業
2.各項作業應視其性質分出不同單位或職掌分別處理
3.應與內部稽核作業配合

COSO(Committee of Sponsoring Organizations of the Treadway Commission): 美國杜德威委員會贊助單位所組成之研究小組

COSO指出: 內部控制是一種過程(process), 受到董事會、管理階層及其他人員的影響, 用以合理保證達成下列目的:
1.營運活動之效果及效率
2.財務報導之可靠性
3.遵循相關之法令

COSO對內部控制定義所包含之基本觀念:
1.內部控制是一種過程
2.內部控制的有效運作, 受人的影響
3.內部控制所能期望的只是合理的保障
4.內部控制設計之目的在於達成組織目標

COSO report(1992)提出內部控制結構包含5要素:
1.控制環境(control environment): 用以規範企業之紀律及內部控制之架構
2.管理階層的風險評估(management's risk assessment): 需有辨認風險並分析其影響程度及可能性之機制
3.控制作業(control activities): 確保營運作業之執行能達成既定目標
4.資訊及溝通(information and communication): 對有關資訊以適時有效之方式予以辨識、蒐集並傳遞予相關人士, 使其有效履行其責任
5.監督(monitoring): 需有自行檢查內部控制品質之機制

COBIT(Control Objectives for Information and Related Technology): 由國際電腦稽核協會(Information System Audit and Control Association, ISACA)完成之資訊系統稽核與控制標準

COBIT訂定在資訊環境下, 內部控制的三個要素為:
1.企業需求(business requirements)
2.資訊技術資(IT resources)
3.資訊技術流程(IT process)

企業需求之三大目標:
1.品質需求(quality requirements)
2.信用需求(fiduciary requirements)
3.安全需求(security requirements)

為達成企業需求目標, 資訊技術品質應達到7項準則:
1.效能性(effectiveness)
2.效率性(efficiency)
3.機密性(confidentiality)
4.完整性(integrity)
5.可用性(availability)
6.遵行性(compliance)
7.可靠性(reliability of information)

COBIT定義資訊資源有5項:
1.資料(data)
2.應用系統(application system)
3.科技(technology)
4.設施(facilities)
5.人員(people)

COBIT資訊技術控管架構:
1.規劃與組織(planning & organization)
2.取得及建置(acquisition & implementation)
3.交付及支援(delivery & support)
4.監督(monitoring)

內部稽核之目的: 防弊、興利、風險管理、公司治理

內部稽核的範圍:
1.檢查財務及營運資訊的可靠性與忠實性
2.檢查現有制度
3.檢查保障資產之方法
4.評估資源之使用是否經濟有效
5.檢查營運或專案計畫

內部稽核可簡單分為兩類:
1.財務稽核
2.非財務稽核

內部稽核運作方式:
1.自行檢查作業
2.例行性內部稽核
3.不定期內部稽核
4.專案內部稽核

確保內部稽核功能有效發揮之必備條件:
1.超然獨立
2.專業技能
3.人際關係及溝通
4.管理階層之重視與支持

內部稽核與外部稽核之主要差異:外部稽核人員主要對財務報表使用者負責, 內部稽核人員則對組織內部之管理階層負責

電腦系統之管控:
1.職責分工(segregation of duties)
2.一般控制(general controls)
3.應用控制(application controls)
4.使用者控制(user controls)

一般控制:
1.邏輯性安全(logical security)
2.實體性安全(physical security)
3.變動管理(change management)
4.配置管理(configuration management)
5.作業及問題管理(operations and problem management)
6.帳務處理(accounting)
7.緊急應變計畫(contingency planning)

應用控制:
1.擷取控制(access controls)
2.資料驗證(validation checks)
3.資料輸入點應予以列管
4.被系統拒絕之資料的後續處理及記錄
等18項