1、第一章 內部控制制度,、前言,立法院於民國89年十月十三日三讀通過銀行法第四十五條之第一項規定,銀行應建立內部控制及稽核制度;其辦法,由主管機關定之。財政部金融局也於民國九十年十月三十一日,依據財政部(90)台財融(六)字第0090719948號另訂定發布並實施銀行內部控制及稽核制度實施辦法,以改善層出不窮的金融舞弊案與管理不善之情事。銀行內部控制及稽核制度實施辦法明確指出,銀行應建立內部控制及稽核制度,並確保該制度得以持續有效執行,以促進銀行健全發展,維護金融安定(參照第二條)。而內部控制之基本目的在於促進銀行健全經營,並應由其董(理)事會管理階層及所有從業人員共同遵行,已達成促進銀行營運效
2、率維護銀行資產安全確保財務及管理資訊可靠性與完整性及遵守相關法令規章之目標(參照第三條)。內部控制的範疇包括出納存匯授信外匯信託投資新種金融商品會計總務資訊人事管理及其他業務之政策及作業程序,並應分別依其業務性質及規模有適切之內部控制(參照第四條)。,二、內部控制概論,(一)內部控制之意義:銀行應建立內部控制及稽核制度,並確保該制度得以持續有效進行,以促進銀行健全發展,維護金融安定(參照第二條)。 (二)內部控制定義之演進,三、內部控制之觀念,傳統著重於執行與偵測舞弊。 內部控制之消極觀念:防止舞弊 所謂的舞弊分為: 員工舞弊:侵吞或偷盜資產,如監守自盜盜用公款利用職務之便利圖利第三人或自己等
3、情事。 管理舞弊:指管理階層或董(理)會要求員工或自己使財務報表編製不實。 內部控制之積極觀念:提昇企業之營運成效,有助企業提昇競爭力與獲利能力。,四、內部控制組成成分,控制環境。 會計制度。 控制政策與程序。,五、內部控制之重要性,減少錯誤及舞弊之發生 減少違法之事件 降低企業經營失敗之可能 增加企業之競爭力與獲利力,六、根據某統計結果,每年平均因金融舞弊與作業疏失造成之損失結果,如下所述:,(1)舞弊: 舞弊案所造成之損失高於新台幣500萬,每年平均有50件。 舞弊案所造成之損失低於新台幣500萬,每年平均有100件。 每年因舞弊案所造成之損失總金額大約新台幣 10億元。 (2)作業疏失:
4、 每天作業疏失案例約2000件。 每年因作業疏失導致損失金額高達1億5千萬元。,七、近年之金融弊案發生、處理覽表,八、弊案形成之因素,1.動機。 2.機會。 3.涉案者之人性問題。 當此三項因素,有其中二項同時存在時,則發生舞弊之可能性高達70%。,九、企業成功之三階段,1.第一階段:求生存。 2.第二階段:著重控制與規則。 3.第三階段:永續經營。,十、內部控制之基本目的及目標,1.達成之目標:促進銀行營運效率。 2.維護銀行資產安全。 3.確保財務及管理資訊可靠性及完整性。 4.遵守相關法令規章。(參考銀行內部控制及稽核制度實施辦法第四條),十一、內部控制之範圍,1.銀行之內部控制制度應涵
5、蓋所有營運活動,並應訂定下列適當之政策及作業程序: 組織規程或管理規章,應包括訂定明確之組織系統、部門執掌業務範圍與明確之授權及分層負責辦法。 訂定相關制度規範及業務處理手冊,包括出納、存匯、授信、外匯、信託、投資、新種金融商品、會計、總務、資訊、人事管理及其他業務之政策及作業程序,並應分別依其業務性質及規模有適切之內部控制。 2.前項各種作業及管理規章,銀行應配合法規業務項目作業流程等之變更,定期檢討修訂,並有內部稽核及資訊單位之參與。(參考銀行內部控制及稽核制度實施辦法第五條),十二、我國內部控制之原則,1.管理階層之監督及控制文化:董事會應負責核准並定期覆核整體經營策略與重大政策,董事會
6、對於確保建立並維持適當有效之內部控制制度附有最終之責任;高階管理階層應負責執行董事會核定之經營策略與政策,發展足以辨識衡量監督及控制銀行風險之程序,訂定適當之內部控制政策及監督其有效性與適切性。 2.風險辨識與評估:有效之內部控制制度需可辨識並持續評估所有對銀行目標之達成可能產生負面影響之重大風險。,3.控制活動與職務分工:控制活動應是銀行每日整體營運之部分,應設立完善之控制架構,即訂定各層級之內控程序;有效之內部控制制度應有適當之職務分工,且員工不應擔任責任相互衝突之工作。 4.資訊與溝通:應保有適切完整之財務營運及遵循資訊;資訊應具備可靠性及時性與容易取得之特性,並以致性之格式提供,有效之
7、內部控制制度應建立有效之溝通管道。 5.監督活動與更正缺失:銀行內部控制整體之有效性應予持續監督,營業單位內部稽核或其他內控人員發現之內部控制缺失均應即時向適當層及報告,若屬重大之內部控制缺失應向高階管理階層及董事會報告,並應立即採取改正措施。(參考銀行內部控制及稽核制度實施辦法第四條),十三、COSO的五大要素(亦為內部控制之五大組成要素),1.控制環境(Control Environment):所稱控制環境,謂塑造組織文化、影響員工控制意識之綜合因素。控制環境係其他組成要素之基礎。影響控制環境之因素,包括員工之操守、價值觀及能力;管理階層之管理哲學、經營風格,及聘僱、訓練、組織員工與指派權
8、責之方式;董事會、監察人之關注及指導等。 2.風險評估(Risk Assessment):所稱風險評估,謂公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司設計必要之控制作業。 3.控制活動(Control Activities):所稱控制作業,謂幫助管理階層確保其指令以被執行之政策及程序,包括核准、驗證、複核、定期盤點、紀錄核對、職能分工、保障資產實體安全,及計畫、預算或前期績效之比較等。,4.資訊與溝通(Information and Communication):所稱資訊,謂資訊系統辨認、衡量、處理及報導之標的,包括與營運、財務報導或遵循法令等目
9、標有關之外或非財務資訊。所稱溝通,謂把資訊告知相關人員,包括公司內、外部溝通。內部控制須能產生規劃、監督等所需之資訊,及提供資訊需求者適時取得資訊。 5.監督(Monitoring)所稱監督,謂評估內部控制品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性極個別評估,前者為營業過程中之例行監督,後者係由內部稽核或管理階層在內之其他人員進行評估。,十四、內部控制之架構,十五、影響控制環境之因素,1.誠正及道德價值觀。 2.追求適任。 3.經營者之理念。 4.組織結構。 5.董(監)事會議。 6.權責劃分。 7.人力資源之
10、政策。,十六、金融機構常見之風險,1.信用風險。 2.國家及移轉風險。 3.市場風險。 4.利率風險。 5.流動性風險。 6.作業風險。 7法律風險。 8.商譽風險。,十七、控制過程,交易控管覆核控管自行查核內部及外埠稽核,十八、內部控制之限制,1.因誤會產生之錯誤。 2.因散慢而導致無心之疏失。 3.判斷有誤 4.因舞弊而產生之衝擊。,十九、良好內部控制之助益,1.預防勝於治療。 2.發現、偵測問題。 3.改進問題,避免錯誤。,二十、內部查核與內部稽核之關係,1.內部稽核為內部控制之環,內部稽核制度設置目的在於協助管理階層查核、評估內部控制制度是否有效運作,並適時提供改進建議,俾使內部控制得
11、以持續有效實施。(參考銀行內部控制及稽核制度實施辦法第七條) 2.內部控制為內部稽核之依據。,三、我國內部控制之建立,(一)法令規範: 依銀行法第四十五條之第一項規定,訂定銀行內部控制及稽核制度實施辦法,且明確指出應建立適當之政策及作業程序、內部稽核制度、遵守法規主管制度及自行查核制度。,(二)法規條文,1.銀行法第四十五條之第一項規定,銀行應建內部控制及稽核制度;其辦法,由主管機關訂之。 2. 銀行內部控制及稽核制度實施辦法第二條之規定,銀行應建立內部控制及稽核制度,並確保該制度得以持續有效執行,以促進銀行健全發展,維護金融安定。 3. 銀行內部控制及稽核制度實施辦法第五條之規定: ()銀行
12、之內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業程序: 組織規程或管理章則,應包括訂定明確之組織系統、部門執掌業務範圍與明確之授權及分層負責辦法。 訂定相關制度規範及業務處理手冊,包括出納、存匯、授信、外匯、信託、投資、新種金融商品、會計、總務、資訊、人事管理及其他業務之政策及作業程序,並應分別依其業務性質及規模有適切之內部控制。,()前項各種作業及管理規章,銀行應配合法規、業務項目及作業流程等之變更,定期檢討修訂,並有內部稽核及資訊單位之參與。 4. 銀行內部控制及稽核制度實施辦法第六條之規定: ()銀行應建立內部稽核制度遵守法令主管制度以及自行查核制度,以維持有效適當之內部控
13、制制度運作。 ()內部稽核制度應由銀行稽核單位,負責查核各業務單位及管理單位,並定期評估營業單位辦理自行查核之績效 ()遵守法令主管制度應由銀行業務單位及管理單位之遵守法令主管,依總機構所擬定之遵循計劃及自評事項,適切檢測各業務經辦人員執行業務是否切實遵循法令。 ()自行查核制度應由銀行各營業財務保管及資訊單位成員相互查核業務實際執行情形,並應由各單位指派副主管或相當職級以上人員負責督導執行,以便及早發現經營缺失並適時予以改正。,(三)建立銀行之內部控制之原則,1.管理階層之監督及控制文化:董事會應負責核准並定期覆核整體經營策略與重大政策,董事會對於確保建立並維持適當有效之內部控制制度負有最終
14、之責任;高階管理階層應負責執行董事會核定之經營策略與政策,發展足以辨識、衡量、監督及控制銀行風險之程序,訂定適當之內部控制政策及監督其有效性與適切性。 2.風險辨識與評估:有效之內部控制政策及監督其有效性與適切性。,3.控制活動與職務分工:控制活動應是銀行每日整體營運之部份,應設立完善之控制架構,及訂定各層之內控程序;有效之內部控制制度應有適當之職務分工,且員工不應擔任責任相互衝突之工作。 4.資訊與溝通:應保有適切完整之財務營運及遵循資訊;資訊應具備可靠性及時性與容易取得之特性,並以致性之格式提供,有效之內部控制制度應建立有效之溝通管道。 5.監督活動與更正缺失:銀行內部控制整體之有效性應予
15、持續監督,營業單位,內部稽核或其他內控人員發現之內部控制缺失應向高階管理階層及董事會報告,並應立即採取改正措施。,(四)設立作業程序及管理控制制度,1.銀行之內部控制制度應涵蓋所有營運活動,並應訂定下列式當之政策及作業程序: ()組織規程或管理章則,應包括訂定明確之組織系統、部門執掌業務範圍與明確之授權及分層負責辦法。 ()訂定相關制度規範及業務處理手冊,包括出納、存匯、授信、外匯、信託、投資、新種金融商品、會計、總務、資訊、人事管理及其他業務之政策及作業程序,並應分別依其業務性質及規模有適切之內部控制。(銀行內部控制及稽核制度實施辦法第五條第一項) 2.各種作業及管理規章,銀行應配合法規、業
16、務項目及作業流程等之變更,定期檢討修訂,並有內部稽核及資訊單位之參與(銀行內部控制及稽核制度實施辦法第五條第二項) 3.公開發行公司之內部控制制度,除包括對各種交易循環類型之控制作業外,尚應包括對印鑑使用管理、票據領用管理、預算管理、財產管理、背書保證、負債承諾及或有事項管理、職務授權及代理人制度、資金貸予他人、財務及非財務資訊管理及對公司等之控制作業。(公開發行公司建立內部控制制度處理準則第八點),4.公開發行公司使用電腦化資訊系統處理者,其內部控制制度,除資訊部門與使用者應明確劃分權責外,至少應包括下列控制作業: (1)資訊處理部門之功能及職責劃分。 (2)系統開發及程式修改之控制。 (3
17、)編制系統文書之控制。 (4)程式及資料之存取控制。 (5)資料輸出入之控制。 (6)資料處理之控制 (7)檔案及設備之安全控制。 (8)硬體及系統軟體之購置使用及維護之控制。 (9)系統復原計劃制度及測試程序之控制。(公開發行公司建立內部控制制度處理準則第九點) (10)資通安全檢查控制。 (11)向證明期會指定網站進行公開資訊申報相關作業之控制。,(五)建立內部稽核制度,1.內部稽核制度設置目的在於協助管理階層查核評估內部控制制度是否有效運作,適時提供改進建議,俾使內部控制得以持續有效實施。(銀行內部控制及稽核制度實施辦法第七條) 2.銀行應設隸屬董(理)事會之稽核單位,以超然獨立之精神,
18、執行稽核業務,並應定期向董(理)事會及監察人報告。(銀行內部控制及稽核制度實施辦法第八條第一項) 3.銀行應建立總稽核制,綜理稽核業務。總稽核之資格應符合財政部訂定之銀行負責人應具備資格條件準則規定,其職位應等同於副總經理,且不得兼任與稽核工作有相衝突或牽制之職務。(銀行內部控制及稽核制度實施辦法第五條第二項) 4.總稽核應由董(理)事會聘任,非經董(理)事會全體董(理)事會三分之二以上之同意,並應先報請財政部核准,不得解聘或調職。稽核單位之人事任用免職升遷獎懲輪調及考核等,應由總稽核簽報,報經董事長核定辦理。但涉及其他管理營業單位人事者,應事先洽商人事單位轉報總經理同意後,再行簽報董事長核定
19、。(銀行內部控制及稽核制度實施辦法第五條第三項),5.總稽核督導辦理內部稽核工作有下列情形者,財政部得視情節之輕重,予以糾正命其限期改善或命令解除其總稽核職務: ()有事實證明總稽核曾有從事不當放款案件或涉及嚴重違反授信原則或與客戶不當資金往來之行為。 ()濫用職權,有事實證明從事不正當之活動,或假借權力,以圖謀本身或他人之利益,或利用職務上機會,加損害於銀行或他人。 ()未經主管機關同意,對執行職務無關之人員洩漏交付或公開金融檢查報告全部或其中任一部分內容。 ()銀行因內部管理不善,發生重大舞弊案件,未通報主管機關,而肈致重大損失。 ()對銀行財務及業務有嚴重缺失,將肇致重大損失者,未於內部
20、稽核報告揭露。 ()辦理內部稽核工作,出具不實稽核報告。 ()未配合主管機關指示事項辦理查核工作或提供相關資料。 ()其他有損害銀行信譽或利益之行為者。(銀行內部控制及稽核制度實施辦法第五條第四項) 6.銀行管理單位及營業單位發生重大缺失或弊端時,稽核單位應有懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。(銀行內部控制及稽核制度實施辦法第五條第五項),(六)建立遵守法令主管制度,1.銀行為符合法令之遵循及防杜金融犯罪與詐欺,應建立遵守法令主管制度,並得以其規模業務性質及組織特性,指定一隸屬於董事會或總經理之單位,負責該制度之規劃,管理及執行。(銀行內部控制及稽核制度實施辦
21、法第二十二條第一項) 2.銀行總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位應指派人員擔任遵守法令主管,負責執行法令遵循事宜。(銀行內部控制及稽核制度實施辦法第二十二條第二項) 3.銀行對遵循法令應建立書面之執行計畫,其計畫內容至少應包含下列項目: ()各種良好的遵循程序,俾利各單位遵循法令事務之諮詢協調溝通及有效執行。 ()制訂清楚且適當之諮詢、協調、溝通系統。 ()保持適當之諮詢、協調、溝通紀錄,並對平時應遵循事項辦理自行評估;應遵循事項之內容至少涵蓋相關金融法令規章、洗錢防制法、電腦處理個人資料保護法及道德規範等。 ()規劃遵循法令之訓練課程,蒐集並傳達金融法規,確保職員有
22、適當合宜訓練,各項作業及管理規章均配合金融法規之變更適時更新,俾利其執行業務時對相關法規保持持續之認知與遵循。(銀行內部控制及稽核制度實施辦法第二十三條),(七)建立自行查核制度,1.為加強銀行內部牽制藉以防止弊端之發生,銀行應建立自行查核之制度。各銀行營業、財務保管及資訊單位應每半年至少辦理依次般自行查核,每月至少辦理一次專案自行查核。但已辦理一自行查核或稽核單位已辦理一般業務稽核或遵守法令事項自行評估之月份,該月得免辦理專案自行查核。(銀行內部控制及稽核制度實施辦法第二十五條第一項) 2.各銀行營業、財務保管及資訊單位辦理自行查核,應由該單位主管指定非原經辦人員辦理並事先保密。(銀行內部控
23、制及稽核制度實施辦法第二十五條第二項),四、霸菱銀行倒閉之省思,(一)事件 (1)李森為該霸菱銀行在新加坡的總經理,亦身兼營業員身分,而且他同時兼前台操盤者及後台如交割、會計等作業,他也有命令程式設計人員修改電腦程式的權力。因此,對於未授權交易及損失不會出現於傳給總公司之會計及管理報表上。 (2)原”帳戶是為錯帳交易而設,卻被利用來作為暫記未授權交易,成為創造利潤與隱匿之損失之用。 (3)整個事件會演變成家體質不錯之銀行,最後以元賣給荷商,最主要為內部稽核制度、遵守主管法令制度及自行查核制度之功能無法實際落實及發揮。 (二)缺點 (1)管理階層未善盡責任監督業務員。 (2)各項業務間未明確將權責分區,互相制衡,使得前台作業員身兼後台作業員。 (3)在案發已有警訊,但未積極採取行動。 (4)業務之風險管理、覆核無法發揮功效。 (5)給管理者的報告不正確。,
