COSO报告－评估工具.doc

内部控制整体架构（INTERNA CONTROL INTEGRATED FRAMEWORK）经营负责人要览架构不含经营负责人要览对外界之报告评估工具评估工具目 录前言162评估工具空白164控制环境166风险评估177控制活动185信息与沟通186监督190风险评估及控制活动底稿194内部控制制度整体评估表196参考手册199评估工具填表释列260控制环境261风险评估278控制活动294信息与沟通296监督302风险评估及控制活动底稿308内部控制制度整体评估表324前 言本册包含企业评估其内部控制制度时可能有用的一套工具。使用本工具可采用下列任何一种方式： 个别使用，或并使用。如评估某特定组成要素，则使用个别所评估表，如评估所有组成要素，则一并使用， 评估某一类控制(如：财务报告的可靠性)，或评估若干类控制， 针对某些特定作业(如：采购或销售)；或针对全部作业。本评估工具之排列顺序如下； 一套空白评估工具：本套空白评估工具是安组成要素的次序排列，其后是一张可用来协助评估人汇总结果，进行总体评估时所使用的表格。 参考手册，该手册是用来协助评估者完成“风险评估及控制活动底稿”。该手册是以企业的一般运作模式来表达，上述模式是参考手册组织结构的基础。 评估工具填表释例。此工具是用来陈述一个假设的公司如何填评估表。这些评估工具，使用本研究报告架构册所述，是用来判断内部控制是否有效的标准，以提供评估内部控制制度的指导与协助。所以，使用本评估工具的人员须熟悉架构册的内容。本工具之所以提出，其目的，纯在释例说明。本册不是架构册不可或缺的一部分。其提出，绝无建议企业在评估其内部控制制度时必须参考本册所谈论事项之意，亦无建议在所有这些事项均得出现之后，企业方可称其制度为有效之意，甚至连这些工具是进行评估、记录评估较好的方法，也都不主张。由于各企业及各产业的事实及环境各异，故其评估方法及记录之技巧也不同。所以，企业可使用不同的评估工具，或其他评估技巧的方法。对那些准备以某种方式使用这些工具的企业而言，本研究报告的著者建议他们把本工具当作一个起点，使用时，应按与其环境有关的特定事实、情况及风险，加以修改。本评估工具，任何规模的企业均可使用，只是中小企业在使用本工具时，须加以修裁。修裁的过程中，应知较小规模企业的内部控制，相对于大企业，是较不正式、较不结构化、组织层级的数目较少，从而使经营者(含主要经营者和其他关健经理人)与较低层管理层及员工间之沟通较直接及持续。这些因素会影响企业履行其控制的方式。本册所包含的评估工具填表释例所使用的假设公司，是一个中型公司。这种公司可使用本评估工具作为填表评估的指引。评估工具空白组成要素工具本部分提出五个评估工具，每个内部控制组成要素各有一个评估工具。各组成要素的每一个因素（factor）或重要的成分，都用标题及简单的介绍加以标明。本工具中所讨沦的实体问题，是在“注意焦点”栏。注意焦点皆以符号“”标明，这些“”代表与该组成要素相关之较重要问题。在所有的注意焦点中，并非每个注意焦点与每一个企业都相关；另一方面，对某些企业而言，还有其他焦点并未提出：本研究小组建议评估人应增添、删除或以其他的方式修改本工具所提出之注意焦点，以适合其企业的实际与环境。在每个注意焦点之下的，是在计论该注意焦点时可能会参考的子问题释例，读者应知道，本评估工具所提供子问题释例的数目很少，另外还有很多子问题。虽未提出，但通常也可能是很重要的。本评估工具提出这些释例，其目的，是在说明哪些类型的项目可加参考。评估人在评估时，可针对各注意焦点，参考那些已列示的子问题释例，也参考那些并未列示的子问题。虽然评估人可以针对每个子问题释例记录其回答，但本研究小组建议评估人只针对注意焦点作成记录。“说明评注”栏在提供用以记录该企业是如何对待注意焦点所谈到的问题的空位，回答通常不仅是“是/否”的答案，而是该企业如何处理该事项的信息。在每一段落结束的地方，本评估工具均留有空位，该空位是用来记录相关控制是否有效的结论，以及可能采取或须参考的行动。在每一个评估工具结束的地方，本评估工具亦留有空位，该空位则是用以记录对整个组成要素的相类似信息。风险评估及控制活动底稿如评估工具中风险评估及控制活动部份所谈及，管理层进行下列过程：针对每一个重要的作业，制订其目标；分析其达不成的风险；制订处理风险的计划、程序和其他的行动，以及纳入控制活动，以保证上述行动定会履行。本风险评估及控制活动工具并未包含评估此一过程在作业层级的情况，另有单独一份工作底稿提供这方面的协助。管理层可能已记录上述的评估过程，也可能尚未。如果管理层尚末记录的话，则自第230页至第231页的工作底稿可提供一个用来协助管理层执行评估过程，并作成记录的工具。评估者可在管现阶层完成其记录之后，复核其已完成的工作底稿；如果管理层没有作成记录的话，则评估者可能须在管理层的协助之下，自己评估这个过程及其间的连结，并做成工作底稿。参考手册自第235页开始。该手册是用来协助评估者辩认作业层级的目标、分析风险、决定可能采取的活动，及已设置的控制作业。内部控制制度整体评估表本评估工具中，有一部分是用来汇总各组成要素的发现及结论，以便较资深主管来复核初步的结果，及加入更进一步的资料。本评估工具中留有空位，以记录对内部控制制度的整体结论。要素一：控制环境注意焦点说明/评注操守及价值观管理层须将操守及价值观不得妥协的讯息传达给员工，而员工须能收到此一讯息，并了解该项讯息。管理层应通过文字及行动持续显示其做到高道德标准的决心。是否有员工行为守则存在，是否有其他可接受的经营业务的方式、遇到利益冲突时的处理方式及期待行为的准则存在，并予执行。例如：行为守则的范围是否完备，是否规范在遇到利益冲突、不法或不当支出、内线交易等情况时，应如何处理的方式。是否定期让员工知道有行为守则这回事。是否让员工了解何种行为是被允许的，何种行为是不被允许的；员工在遇到不当行为时，是否知道应如何处理。若无书面的行为守则，则管理层的文化是否强调操守及价值观的重要。道德及价值观为重要的强调，得通过部属会议或一对一面谈中的口头沟通，或者是借管理层在日常活动中的行为来传达。树立“高层的腔调（包括明示道德指引，指出何者为是，何者为非）”，及其在组织中传达到之范围。例如：管理层对操守及道德的承诺，是否以言语及行动告知企业内的每位员工。同事的压力是使员工做正当的事，还是使员工偷工减料，赚容易钱。管理层是否适当处理问题出现的征兆，尤其是当确认问题及处理争端的成本相当高时，例如：产品可能有瑕疵，或废料、废弃物有毒时，其征兆是否仍适当处理。注意焦点说明/评注管理层与员工、供应商、顾客、投资人、债权人、保险公司、竞争对手及会计师等的交往行为。例如；管理层在做生意时，其行为是显示高尚道德标准，并坚持对方亦应维持相同水准，还是对道德问题极少注意。例如：每天与顾客、供应商、员工及其他团体的例行交往，是否基于诚信与公平的原则，例如，当公司向顾客收取之金额超过顾客所欠货款时，或支付给供应商之金额低于积欠供应商之货款时，管理层是否未忽略；当员工要求合理权益时管理层是否未横加阻挠；管理层给予债权人之报表。是否完善、正确，且不致误会。当员工违反既定政策和程序或行为守则时，其惩罚措施适当的程度；把惩罚措施告诉所有员工的程度，或所有员工以其他方式知晓这些惩罚措施程度。例如：管理层是否对于违反行为守则的情况作出回应。整个企业的员工是否都知道因违反守则而遭受之处分；员工是否相信，他们如果违反行为守则，一旦遭举报，定自食其果。管理层对介入或逾越既定控制程序之态度。例如：管理层是否对须介入的情况及次数已提出指引。管理层之介人是否已作成书面记录，并予适当解释。管理层之逾越是否已明文禁止。管理层违背既定政策之行为是否已予调查，并加记录。注意焦点说明/评注达成某些不切实际目标（特别是某些短期结果）之压力，及奖酬是依据目标达成的程度而给付。例如：是否有非常优厚的诱因或诱惑存在，这些诱因或诱惑已达到不必要或不公平地测试员工是否坚守其道德观的程度。员工之报酬或职位之晋升，是否完全是于短期绩效目标是否达成。是否有可以减少诱惑之控制措施存在，若这种措施不存在，诱惑则可能出观。结论/所须之措施胜任之承诺管理层须为每一项特定的工作（Job），分别明确规定其所须之能力水准并把这个能力水准转换为员工所须的知识及技能。订有正式或非正式的职务说明书，或其他能确定某特定工作量由哪些职务（Tasks）所组成的方法。例如：管理层是否曾正式或非正式地分析某特定工作所须执行之职务，参考员工须做的判断及其须被监督的程度等因素。分析能胜任某特定工作所须具备之知识及技能。例如：对执行某特定工作所具备之知识及技能，管理层是否已作成决定。 是否已能指出员工己具备该种必要知识及技能的证据。结论/所须之措施注意焦点说明/评注董事会及监督委员会一个主动且有效的董事会，或董事会之下的委员会，可提供重要的监督功能。因为管理层有逾越控制制度的能力，因此，在确保内部控制制度为时，董事会扮演重要角色。董事会或监督委员会乃独立于管理层之外；董事会或其下的监督委员会会提出必要的质疑，即使当质疑是困难的或试探的，亦会提出。例如：董事会是否会对管理层准备要去做的决策（例如，准备要进行的策略或重大交易）提出积极的建议或对过去的营业结果(如预算差异）要求管理层提出解释。在小规模公司，董事会成员虽全为公司的干部及员工，但董事会是否仍质疑及评查已进行之交易、提出不同的观点，并在必要时，采取适当的行动。针对须深入了解或须直接注意的某些特殊事项，组成子委员会。例如：是否设有子委员会：为使子委员会能适当处重要争议，其对问题的了解是否充分，成员的人数是否足够。董事的知识及经验。例如：董事是否具备担任董事的足够知识，企业经验及时间。董事会、监督委员会与财务主管、主办会计、内部稽核与外部会计师会面之次数及时效。例如：监督委员会是否与主办会计、内部稽核及外部会计师私下会晤，讨论与财务报告程序、内部控制制度、评论及建议，以及管理层之绩效有关的事项。监督委员会是否每年复核内部稽核及外部会计师工作的范围。注意焦点说明/评注提供给董事会及监督委员会成员的信息，能充分及时监督管理层之目标及策略、企业之财务状况、经营成果，及重大合约条款的程度。例如：董事会是否定期收到重要的信息，如，财务报表、主要行销策略、重大的契约或协议。董事们是否相信他们所收到之信息为适当。董事会及监督委员会评估敏感信息、调查结果及不当活动（例如，高层主管的差旅费，重大讼案、政府机关的调查、公司资产的侵吞、挪移或滥用、违反相关交易的规定、政治献金、不法支付等)的充分性及适时性。例如；是否订有将重大争议告诉董事会的一定程序。信息是否及时沟通。监督付给高层主管、内部稽核主管报酬的决定，及员工指派、免职之决定。例如：凡按绩效计算之管理层激励办法，是否均须经薪资委员会核准。内部稽核部门负责人之薪俸及去留，是否经薪资委员会及监督委员会共同决定。董事会在树立适当“高层的腔调”时所扮演之角色。例如：在评估”高层的腔调”之有效性时，董事会及监督委员会是否充分参与。董事会是否采取某些措施，确保“高层的腔调”为适当。董事会是否明确要求管理层坚守行为守则之规定。董事会及其委员会因其发现而采取之行动，必要时，包括进行特殊调查。例如：董事会是否曾给管理层指示，要他(她)照办某些详细的行为。董事会是否监督，必要时，是否追踪.结论/所须之措施：注意焦点说明/评注管理哲学和经营风格一般而言，管理层之经营风格及管理哲学对企业之影响甚巨。虽然它并无形体，但评估者可寻找正面或负面之征兆。企业所接受风险之性质，例如，管理层是否常进行高风险之交易，或对承接风险采取极端保守的态度。例如：主管人员是否谨慎行事，只有在详细分析方案的风险及潜在利益之后，才会采取行动。关键职能（如：营运、会计、资料处理 内部稽核等)员工之流动。例如：管理层或负监督责任的员工，其流动率是否过高。关键职位的员工是否意外辞职，或一旦告知辞职之意愿后，在很短的期间内即辞职。员工流动之情形是否出现某种模式（例如：无法留住财务部门主管、内部稽核主管）。若有此种现象，可能提出管理层须特别注意的控制。管理层对资料处理、会计功能之态度，及其关切财务报告可靠性资产安全保障之程度。例如：考虑：会计功能是否被视为非有不可的“数数”员工或是被视为控制整个企业各种不同活动的枢纽；会计原则的选择，是否总是选出的那些让财务报表列报收益金额最高的原则。 若会计功能已告分权，营运主管是否有权决定营业报告上列示之金额而不再变动。每个作业单位的会计人员，是否亦有责任向总管理处主管财务的人报告。是否能防止未经授权的人接近或使用有价值的资产，包括无形资产或信息。注意焦点说明/评注资深主管与业务主管之间互动之次数。当营业地点与总公司的地理位置相隔甚远时，这种互动尤为重要。例如，考虑：资深主管是否常赴子公司或分支机构视察其工作。是否经常召开小组会议或部门经营会议。管理层对于财务报告之态度及所采取之行动，包括对适用会计处理的争议。例如，研究选用较稳健或较不稳健之会计政策，肯不肯揭露重要财务信息，是否误用会计原则，或会不会玩弄、变造或伪造会计记录。例如，考虑；管理层是否不会过于注重列报之短期营运结果，员工是否不会为达成目标而提出不当之报告，例如，销货员是否不会为达成销货目标，而交出一张明知下一期会被退货的订货单。经理人是否不会忽视不当业务的警讯。所做会计估计是否不会己达到，甚至超过，合理范围的极限。结论/所须之措施注意焦点说明/评注组织结构组织结构不应太过简单，亦不应太过复杂。太过简单可能使监督企业的活动无法进行；太过复杂则可能使必要信息的流通受限制。高价管理层应充分了解其控制责任，并应拥有与其职位相称的知识及经验。组织结构之合适性，及其提供管理企业作业所须信息流之能力。例如，考虑：是否依企业营运之性质，把组织之结构设计为集权或分权。组织结构之设计，是否便于信息在该结构中由上而下，由下而上或横向的流通。各重要主管所负责任的规定，其适当性；各重要主管了解其责任之程度。例如，考虑：企业业务活动负责人所负的责任，以及企业对该活动的期望，是否已清楚告诉他(她）们。按关键主管所担负之责任，判断其知识及经验之适当性。例如，考虑：负责的主管员工是否具备执行任务所须的知识及经验；并经适当训练。报告关系（Reporting Relationships)的适当性。例如，考虑：组织内已建立的报告关系是否有效？这个报告关系可以为正式的或非正式的，可以为直接的或矩阵式的；管理层是否可依其权责从巳建立的报告关系得到适当之信息。负责执行营业活动之主管，能否透过沟通渠道接触资深营运主管。 当环境改变时，企业配合改变其组织结构的程度。例如，考虑：管理层是否定期随企业的业务或产业之改变而评估其组织结构。注意焦点说明/评注员工，尤其是负管理及监督职能之员工，人数充足的程度。例如，考虑：管理层及负监督任务的员工是否有足够的时间完成其任务。管理层及负监督任务的员工是否加班过度，其承担的责任是否超过一位员工应承担的责任。结论/所须之措施“权”、“责”之分派责任之指派、权限之授与及相关政策之制订，提供某员须对他人负责(accountability)及对其加以控制的基础，也描绘出每位员工所扮演的角色。按组织的目的（Goals）及目标（Objectives)、营运的功能及政府机关之规定，指派责任、授予权力，包括对信息系统之责任及改变之授权。例如：考虑：权力及责任是否已指派给整个企业中的员工。每位员工之责任是否与指派予该员工之权力及责任有关联。在决定授予某位员工权力的层级及责任的范围时，是否考虑适当之信息。与控制有关之准则及程序之适当性。前述准则及程序包括员工的职务说明书。例如，考虑： 是否备有各级员工职务说明书，最起码，是否备有管理层及监督人员的职务说明书。职务说明书是否明确提及与控制有关之责任。注意焦点说明/评注拥有技术的员工，尤其是负责资料处理及会计处理的员工，其人数的适当性。员工人数是否适当，于企业之规模、业务及信息系统之性质及复杂程度。例如，考虑：企业所雇用之劳动力是否足以完成其被托付之任务。至于是否足够之判断，须考虑数量及经验。授与员工之权力与其担负责任相当的程度。例如：考虑：在完成交付任务所须权威，与须资深员工指导涉入两者间，是否平衡。有权更正错误、推行改正行为的员工，其职层是否适当；被授予该等权力的员工，其能力是否适当；授与某员工之权力，是否订有明确的范围；结论/所须之措施人力资源政策及实务对招募并留住能干的员工而言，企业的人力资源政策扮演重要的角色。这些员工让企业的计划能够推行，并达成企业的目标。目前已订有聘雇、训练、升迁及俸给的政策及程序之程度。例如，考虑：现行的人力资源政策及程序是否能够招募到能力强、可依赖，且能支持有效内部控制制度的员工，或可培养出这种员工。对招募、训练适当员工一事关心的程度是否适当。若公司没有正式的书面人力资源政策，则管理层是否把他所希望雇用的员工类型告诉别人，或自己是否直接参与雇用甄选的过程。注意焦点说明/评注让员工了解他们所负的责任；及公司对他们的期望之程度。例如，考虑：是否让新进入人员了解他们所担负的责任及管理层对他们的期望。负监督责任的员工是否定期与员工碰面，一起复核其工作绩效及对其之建议。当员工违反既定政策及程序时，补救措施的适当性。例如，考虑：当下属未能履行其应负的责任时，管理层的反应是否适当。当员工违背既定政策时，管理层所作的纠正处分是否适当。员工是否了解若工作无效果则将被处分。人事政策中，强调员工须保持适当伦理、道德准则的程度。例如，考虑：在评估绩效时，员工的操守及价值观是否被纳入评估标准中。员工背景的调查是否适度，尤其是针对那些以前曾从事对公司而言不能接受行为的员工所做之调查。例如；考虑：对时常更换工作，或其就业汜录中有未能交代期间之应征者，是否进行详细的调查。聘雇政策是否包括调查应征者过去之犯罪记录。员工留任与晋升标准、信息搜集技术（例如；绩效评估）的适当性，及其与行为规范或其他行为指引间的关系。例如，考虑： 升迁及加薪之标准是否都够情楚、详细，虽工是否在升迁之前，就知道管理层期望他们如何做。员工升迁及留用之标准能否反映行为准则的要求。结论/所须之措施：本要素之汇整结论/所须之措施要素二：风险评估控制点说明/评注企业层级目标企业欲控制有效，须先建立目标。企业层级的目标，包含企业想达成目标的概括性陈述，这些概括性陈述由相关的策略计划予以支持。请列示本企业已设定之企业层目标及重要策略于右。企业层级目标能说明本企业欲达成的概括性目标及指引本企业，并仍具特定性，可与本企业直接相关联之程度。例如，考虑：管理层是否已订出本企业之企业层级目标。本企业之企业层级目标是否与适用于任何企业之般目标有所区别。这些一般目标，如：产生足够偿债之现金注入，赚取合理之投资报酬率。把企业层级目标告诉员工及董事会的程度。例如，考虑：与企业层级目标有关的信息是否已传达给员工及董事会。管理层是否已从重要干部、员工及董事会收到反馈，并指出其沟通是否有效。策略与企业层级目标之关系及其间的一致性。例如，考虑：策略计划是否支持企业层级目标。策略计划是否在谈高层次的资源配置及其优先顺序的问题。业务计划及预算与企业整体目标、策略计划及目前情况间之一致性。例如：考虑：进行计划及编制预算时所采用的假设，是否反映企业过去的经验及目前的情况。对每一个管理层级而言，计划及预算是否都有适合其使用的详细资料。结论/所须之措施： 控制点说明/评注作业层级目标之制订作业层级目标由企业层级目标及策略发展而来，且与其相连结。作业层级目标通常是以明确之特定目标及其完成期限来陈述。每一个重要的作业活动均应订定其目标，各个作业层级目标间不得相互冲突。作业层级目标与企业层级目标及策略间的连结。例如，考虑：所有重大作业之间是否有适当关联。是否定期或不定期复核作业层级目标与企业整体目标之相关性。各作业层级目标间之一致性。例如：考虑：每一个作业的诸作业层级目标间能否互补、加强；不同作业的作业层级目标间能否互补，加强。作业层级目标与所有重大业务过程间之相关性。例如，考虑：与商品、服务流动有关的各个关键作业及其支援作业是否均订有目标。各作业层级的目标是否与过去的作法相一致，是否与同业或其他类似功能相一致；着与其不同，是否已考虑发生差异的原因。 每个重大作业是否均已订立目标。这些作业可能包括下列作业。下列作业是由本研究报告第238页至第241页一般化营运模式衍生而得；这些作业的释例目标列示于参考手册第243页至第295页； 进货 营运 出货行销及销售 顾客服务采购 科技发展人力资源企业活动管理外部关系管理提供行政菅理服务信息科技管理控制点说明/评注风险管理法律事务管理企划应付账款之处理应收账款之处理资金之处理固定资产之处理分析与调节处理退休金给付及退休人员之信息处理薪资处理税务事项生产成本处理提出财务报告及管理报告作业层级目标之明确性。例如，考虑：作业目标中是否包括衡量该目标达成与否之标准。达成目标所须资源之适当性。例如，考虑：达成上述目标所须资源，管理层是否已辩认出来。取得所须资源之计划是否已经订定。辩认哪些目标是在达成企业层级目标时为重要之标（关键成功因素）。例如：考虑：管理层是否已经辨识出，哪些必须做对，哪些失败非避免不可，企业层级之总体目标才可能达成。编制资本支出预算及费用预算是否基于管理层所分析之支出相对重要性。对身为关踺成功因素的目标，管理层是否特别注意。在设定目标时，所有管理层之参与，以及其承诺致力达成目标之程度。例如，考虑：在订作业目标时，其负责之经理人是否参与。是否订有解决不同意见之程序。目标负责之经理人是否支持该项目标。是否没有隐而未宣之计划。结论/所须之措施：控制点说明/评注风险风险评估的过程，不论是在企业整体层圾，抑或在作业层级，均应辨识相关风险，并考虑风险发生的后果。风险评估的过程，应包括考虑影响目标达不成之内部或外部因素、分析目标不能达成之风险，以作为风险管理之基础。因外在因素而引发的风险，其辨识机制之适当性。例如，考虑管理层是否考虑与下列因素有关之风险；进货的来源 科技的改变债权人的要求竞争对手之行动经济环境政治环境法令之规定大自然引发之事件因内在因素而引发的风险，其辨识机制之适当性。例如，考虑管理层是否已考虑与下列因素有关的风险：人力资源，例如，重要主管人员之留任，或可能会影响公司有效运作之功能，其负责员工责任之变动。理财活动例如，新计划或主要日计划的延续，其财源之筹措是否无虞。员工关系，例如，工资及退休抚恤计划，是否使本公司在同业中具有竞争力。信息系统，信息系统一旦失效，可能严重影响营运，如，备份系统的适当性。为每一项重要的作业层级目标，辨识其重大风险(考虑保留每一个作业所辨识出来的风险，这些风险列示在“作业层级目标”栏之下。与一般作业目标有关的风险释例，列示于参考手册第243页至第295页)。 控制点说明/评注风险分析程序之周延性及相关，风险分析程序包括：估计重大风险、评估其发生之可能性，以及决定所须之行动。例如，考虑：风险分析是经正式的风险分析程序，还是经非正式的平时菅理活动。辨识出来之风险是否即为相对应作业目标达不成的相关风险。负责评估风险的管理层，其阶层是否适当。结论/所须之措施：对变化的管理经济、产业及法令环境都可能改变，企业的作业也会改变。因此，企业须设置辨识改变，以及对改变做出回应之机制。设置能预期、辩认企业例行事件或作业，并做出回应之机制。上述事件或作业影响企业之整体目标或作业目标能否达成。通常由最受外界环境改变所影响作业之经理人来负责设置该机制。例如，考虑：在辨识与分析风险的正常过程中讨论例行的改变。属这个正常过程的一部分还是须透过另一个独立的机制来讨论例行的改变。这位讨论因改变而产生风险及机会的人，其层级在企业中是否够高，高到足以辨识改变的全部影响及可以拟定适当的行动汁划。凡固改变而受到重大影响之所有作业，是否皆已纳入上述过程。设置能够辨识会对企业造成重大影响，可能须最高管理层注意的重大改变之机制。例如，就以下可能发生改变之项目，考虑：改变的营运环境： 是否有可以辨识顾客特性、偏好及消费形态等发生重大改变的市场研究或其他计划：企业是否知道有可能会影响内部或外部劳动力技术水准之改变。法律顾问是否定期把薪颁布法令之影响告诉管理层。 控制点说明/评注新进的员工：是否采取确保新进员工了解本公司文化，并予遵循的活动。是否考虑被裁减员工负责执行的重要控制活动。新设计出来的信息系统，或改变设计的信息系统：是否设置机制，来评估新系统效果。当新信息系统已经发展出来，并正式开始运作时，有无重新考虑现行控制作业是否仍然适当之程序。在简化作业的压力之下，管理层是否知道系统发展及执行的政策有无被遵守。是否注意新信息系统对信息的流通、相关控制及人员培训之影响，包括注意员工对改变的抗拒。快速的成长：当信息的数量快速增加时，信息系统的能力是否升级。当信息的数量增加时，营业、会计及资料处理的人力是否随之增加：是否订有修正预算或预测之程序。是否订有一部门在修正其目标及计划时，须考虑其他相关部门之作业目标及计划之程序。新的技术：是否透过媒体、顾问、研讨会，或与在研发方面较本企业为先进之其他企业合资等方式，取得新技术的信息。是否监视竞争对手所研发出来的新技术及其应用。在新科技发展出来时，本公司是否设有运用、控制该新技术，将新技术纳入生产流程或信息系统之机制。控制点说明/评注新增的生产线、新生产的产品、新设置的作业及新买入的资产：是否有合理预测未来营运结果、财务状况的能力。在有新生产线、新产品及新作业出现时，是否评估现行信息系统及控制活动仍属适当。在生产新产品或从事新作业时，是否订有招募或训练具备此方面专长员工的计划。是否订有记录早先的营运结果、并视情况修正产销的程序。是否订有辨识须进行的财务报告、应遵循法令规定的程序。 是否监视对其他公司产品及获利能力之影响。为精确反映产品之贡献，是否修正制造费用的分摊方式。改变公司组织：在裁员或员工职务重新分派时，是否分析其对相关作业之潜在影响，将员工转派至他处任职或将其解雇时，是否重新指派别人负责其担负之控制责任。在企业大量裁员之后，是否考虑裁员对留任员工士气之影响。是否有防止因离职员工之不满而生损害之措施。海外分支机构：有海外分支机构时，管理层是否对当地之政治、法令、业务及社会文化之现况有充分之了解。是否有让员工知道当地习俗及规矩的安排。是否订有当海外营运作业或通讯一旦中断时的替代方案。结论/所须之措施本要素之汇整结论/所须之措施要素三：控制活动注意焦点说明/评注控制活动涵盖范围相当广泛的政策和其执行程序。这些政策及程序是在帮助管理层确保其指示会生效，亦即，它们在帮助保证，为了达成企业之目标，那些被辨识出来以因应风险之必要行动,系被确实执行。对企业的每一个作业，皆设有与其相关的必要政策和程序。在进行风险之评估时，应辨识每个重大作业所有的目标及其相关风险；请参阅参考手册(第243页至第295页）该手册以常见的作业释例说明目标、风险及“作业/控制活动的注意焦点”。上述诸项中的最后一项，可用来辨识管理层针对该项风险而须采取的作业，亦可用来考虑企业为看看前述行动是否执行，而采行的控制活动是否适当，在此须提及者，为一般控制（一般电脑控制）之注意焦点，列示在参考手册中“信息科技管理”作业之下。被辨识出已设置的控制活动，均经适当执行。例如，考虑下列项目：内部控制政策手册中所陈述的内部控制，是否真的在做，并且。是否按其应做的方式去做。对违反内部控制的例外事件，是否已及时采取适当的行动；对须进一步追查之信息，亦同。负监督责任的员工是否复核控制功能发挥之情形，本要素之汇整结论/所须之措施要素四：信息与沟通注意焦点说明/评注信息由信息系统予以辨识、捕捉、处理和报告。相关的信息包括来自外部的信息及内部产生的信息。外部信息包括产业、经济和法令规定等信息。取得内、外部之信息，并把与企业既定目标有关绩效之信息提供给管理层。例如，考虑：是否没有取得相关外部信息的机制。外部信息，如市场状况，竞争对手的计划、新颁的法令，以及经济状况的改变。为达成企业目标而须拥有之关键内部信息，是否己定期报告。是否已予辨识，这些信息包括与关健成功因素有关之信息。管理层为执行其所担负任务而须知道之信息，是否已报告予其知悉。及时把够详细的信息提供给适当的员工，使他们能有效率及有效果地执行任务。例如，考虑：经理人员是否收到能助其辨识须采取哪些行动的分析性信息；对不同的管理层而言，所提供信息的详细程度是否均适合。信息汇总的程度是否适当，在须详细检视时，这些信息是否适当，而不是如海一般的大量信息。信息的提供是否及时，是否能使内部及外部活动及时获得有效的监督，并且对经济、业务因素及相关之控制作出立即的回应。制订或修正信息系统，是基于信息系统的策略规划，亦即，与企业的整体策略相连结，并在达成企业层级的整体目标及作业层级目标。例如，考虑：是否设有当新信息需求出现时，可加辨识的机制，例如，信息科技指导委员会。是否由负重大责任的高价管理层来决定信息需求和优先顺序。是否订有长期信息科技计划；这个计划是否和策略相连结。注意焦点说明/评注管理层对设置必要信息系统的支持。管理层的支持，由其适当资源的承诺（人力和财力）而显示。例如，考虑：在发展新的信息系统或强化现有的信息系统时。所投入的资源（如：具备必要技术能力的经理人、分析师及程式撰写员）是否足够。结论/所须之措施沟通隐含在信息处理的过程之中。沟通亦可涵盖相当广的范围，涉及个人与团体的期望和责任。沟通须与组织之内的单位作下行、上行与横向沟通、及与组织之外的其他单位作沟通，才可能有效。把员工的任务和控制责任告诉他（她）们，其有效性。例如，考虑：沟通的工具是否充分到使沟通生效的地步。沟通的工具，包括正式与非正式的训练课程、会议及工作中的监督等。员工是否知道他们自己负责作业的目标，及其工作对达成该目标之贡献。员工是否了解其责任如何影响别人的责任，和其责任如何受其他员工责任的影响。建立可用来报告疑似不当行为的沟通渠道。例如，考虑：是否有可绕过直属上司而迳向上级呈报的沟通管道，例如，处理员工陈情或控诉案的职位或申诉委员会。是否允许匿名沟通。员工是否实际使用沟通管道。对报告疑似不当行为的人，是否提供回馈；这位提供信息的员工是否不会遭受报复。注意焦点说明/评注员工所提出提高生产力、品质和其他改善的建议，管理层接纳的能力。例如，考虑：为鼓励员工提出改善的建议，是否订有实际可行的制度。对员工提出的好建议，管理层是否给予金钱上的奖励，或其他有意义的肯定。组织内跨部门间（例如，采购作业及制造作业间）沟通的适当性，以及信息能使员工有效履行其责任的完性、及时性和充分性。例如、考虑：销售人员是否把顾客的需求通知工程部门、生产部门和行销部门。收账人员是否把付款延迟的顾客通知授信部门。竞手对手之新产品、履行改变，责任等信息，是否已让工程部门、行销部门和销售人员知道。为得知顾客的需求是否己与顾客、供应商及其他外部人士间沟通渠道的开放性与有效性。例如，考虑；是否设有回馈所有相关团体的机制。是否搜集他人之建议、抱怨和其它信息，是否把这些信息传递给相关的内部人员。必要时，信息是否会由下往上呈报；高层是否采取追查之行动。外界团体已知悉本企业道德标准的程度。例如，考虑：与外界沟通的工作，是否由一位与该被沟通的信息有关，及重要程度相当的管理层负责。例如；资深高层主管以书面向外界解释本企业的道德标准；供应商、顾客和其他人土是否知道本企业的道德标准，以及他们在与本企业交易时，本企业对他们行为的期望。本企业在与外界团体进行例行交易时，能否强化上述道德标准。非本企业员工的不当行为，是否向本企业的适当人员报告；注意焦点说明/评注当管理层在接获顾客、供应商和其他外界人士的信息后，其追查行动的及时性和适当性。例如：考虑：对于外界所报告有关产品、服务和其他方面的问题，本公司员工是否接受；收到这些报告之后，是否调查，是否采取其他行动；开给顾账单中的错误，是否更正；是否调查错误发生的原因，原因是否更正；处理抱怨事项的员工是否适当，例如，不是那位处理原始交易员工；当采取适当的追查行动时、是否把进一步发展的情况告诉信息的原始来源。高层主管是否知道顾客抱怨的性质和次数：结论/所须之措施本要素之汇整结论/所须之措施要素五：监督注意焦点说明/评注持续监督持续的监督在正常的营业活动过程中出现，它包括正规的管理和监督活动，以及员工在履行其职责时，所采取评估内部控制执行情况的行动。员工在进行其正规营业活动时，取得证据证明相关的内部控制制度系持续发挥其功能的程度。例如，考虑：负责营运的管理层是否将其由日常营运活动而得悉的信息，与信息系统所产生的信息相比较。这些日常营运活动之信息，可与生产、存货、销售或其他活动有关。是否将用来管理营业活动的营运信息，与由财务报告系统所产生的财务资料相整合，或相调节。营业单位的员工是否须在其单位的财务报表上签名。表示该报表为精确，并在发现错误时，对之负贵；借与外界的沟通而确认内部产生的信息为正确之程度，或，指出可能发生问题之程度。例如，考虑；是否借顾客按账单所列金额付款而间接确认账单为正确，或借顾客对账单抱怨而指出处理销售交易的程序有缺陷。当顾客抱怨时，是否调查顾客抱怨的原因。是否把来自供应商的信息，以及寄给供应商的对账单，用作监督的工具。凡供应商声称本企业进货的作法有欠公平的抱怨，是否全加调查。 政府机关是否把本企业遵循法令之情况或其他事项告知本企业。这些信息反映本企业是否已发挥内部控制之功能。应可防止问题或侦测出问题的内部控制，是否重新评估。注意焦点说明/评注定期拿会计记录的金额与实际资产相比效。例如，考虑：当存货自仓库中领出来准备装运时，是否检查存货水准记录之数量和实际数量间的差异，是否更正。寄存在信托人处的证券是否定期盘点，并与记录相比效，对内部稽核和外部审计人员所提加强内部控制的建议，做出回应的程度。例如，考虑：是否有一位层级适当的管理层，决定稽核人员所提的建议中哪些应予执行。欲执行的行动是否追踪，验证其执行情形。管理层透过训练课程、规划会议和其他会议、而获知控制是否有效的程度。例如考虑：在训练课程中所提出的相关争议及问题，能否掌握。员工的建议是否由下住上传递；如呆适当，是否已采取行动。是否定期询问员工，他(她)是否了解公司的行为守则，是否遵循，以及是否每次都执行重要的控制活例如，考虑：是否要求员工定期说明他（她）们知道须遵循行为守则之规定。是否要求员工在执行重要控制功能（例如，调节特定账户的金额)之后签名，留下已执行证据。内部稽核作业的有效性。例如，考虑：执行内部稽核功能的员工，其能力及经验水准是否适当。内部稽核人员在组织中的地位是否适当。 内部稽核人员是否能够直接向董事会或监督委员会报告。对企业的需要而言，内部稽核人员的稽核范围、责稽核计划，是否适当。结论/所须之措施：注意焦点说明/评注评估隔一段时间，从全新的观点来观察内部控制，直接注意其有效性，是有用的。个别评估的范围和次数，主要在于所评估的风险和持续的监督程序。个别评估内部控制的范围和次数。例如，考虑：内部控制制度中，被评估的部分是否为应该评估的适当部分。进行评估的人员是否具备必要的技术；评估范围的广度、深度及评估次数，是否适当。评估程序的适当性。例如，考虑：评估人员是否充分了解企业的活动。评估人员是否了解系统应如何运作，以及实际是如何运作。评估人员是否使用评估出来的结果，与既定标准进行分析。用以评估内部控制制度的方法是否合乎逻辑，是否适当例如，考虑：评估的方法是否包括使用检查表、问卷或其他评估工具。评估的团队是否聚在一起，规划评估的程序，并保证其工作的协调；负责管理评估工作的管理层，是否够权威。 书面记录水准之适当性；例如，考虑：是否备置政策手册、组织系统图、操作指令等类似的书面文件。是否考虑记录评估之过程 。结论/所须之措施注意焦点说明/评注缺陷的报告内部控制应由下往上报告，某些缺陷应报告给高层管理层及董事会知道。凡已辩认的内部控制缺陷均加搜集，并加报告的机制，是否已设置。例如，考虑是否存有可取得缺陷报告的方法存在：自内部或外部来源（例如：顾客、供应商、查核人员及政府机关)而来。因持续监督或因个别评估而来。报告调查结果的适当性。例如，考虑：是否把缺陷直接告诉负责该项活动的员工、及该员工的上一层主管。某些特定种类的缺陷，是否向较高层的主管和董事会报告。追查行动的适当性。例如，考虑：被辨识出来的交易或事件是否已予更正。是否已调查使问题发生的背后原因。是否已进行追查，以确保必须的更正行动确已采行。结论/所须之措施本要素之汇整结论/所须之措施189风险评估及控制活动底稿作业： 风险分析 目标 营，财，遵 风险因素 可能性 作业/控制活动/评注 其他受影响之目标 评估及结论 内部控制制度整体评估表内部控制组成要素初步的结论/所须之措施（参阅个别评估表）其他考虑控制环境不能妥协的讯息，管理层是否适传递？控制环境是否为正面？（例如，全公司上下是否都有控制意识？高层的“氛围”是否为正面？）员工的能力是否与其责任相当？管理层的经营风格、指派权责的方式、组织及发展员工的方式是否适当？董事会注意的程度是否适当？风险评估企业层级的目标及作业层级的目标，是否均已制定？二者是否相互连结？影响这些目标成败的内、外风险，是否已加辨识？是否已加评估？以于影响企业目标能否达成之改变，是否设有辨识的机制？必要时，公司的政策及程序是否予以修正？内部控制组成要素初步的结论/所须之措施（参阅个别评估表）其他考虑控制活动是否已制订能保证既定之政策全被遵循，及该行动之履行是针对相关风险的控制活动？企业的每一项活动，是否都存有适当的控制？信息与沟通设置之信息系统能否辨识和衡量适当信息，包括内、外部事项之信息、财务和非财务之信息？信息系统能否把这些信息以能够帮助员工履行其任务的形式传递给他（她）们？是否沟通相关的信息？本公司对个人和团队的期望是否明确？其责任是否明确？结果的报告是否清楚？企业之内是否有