壹、內部控制目的：

內部控制之基本目的在於促進金融機構之健全經營，藉以維護金融機構資產之安全，並確保會計資訊之可靠性及完整性，從而促進經營效率，遵行管理政策以達成預期目標。（金融機構建立內部控制制度實施要點）

內部控制係指受查者之組織規劃及其所採用之各種協調方法與措施，以保護資產安全，提高會計資訊之可靠性及完整，增進經營效率，並促使遵行管理政策達成預期目標。（審計準則公報第五號）

內部控制係一種管理過程，用以合理保證達成下列五項目的：

1、 資訊之可靠性與完整性。

2、 政策、計畫、程序、法令及規章之遵循。

3、 資產之保全。

4、 資源之經濟及有效使用。

5、 營運或專案計畫目標之達成。(內部稽核執業準則公報第一號)

貳、內部稽核之目的與職責

內部稽核設置之目的在於協助管理階層調查、評估內部控制制度是否有效運作，並適時提供改進建議，俾使內部控制得以持續實施。（金融機構建立內部控制制度實施要點）

內部稽核之職責如下：

檢查保護資產安全之措施是否適當。

檢查會計及業務資訊是否可靠及完整。

檢查各項資源之運用是否有效率。

檢查各項營運活動是否按照既定計畫執行，並達成預期目標。

調查內部控制是否持續有效運作，並提出改善之建議。（審計準則公報第二十五號）

內部稽核工作包括檢查及評估服務機構內部控制制度之妥當與有效性及營運活動之績效。具體言之，內部稽核之職責在於確認：

資訊之可靠性與完整性。

政策、計畫、程序、法令及規章之遵循。

資產之保全。

資源之經濟及有效使用。

營運或專案計畫目標之達成。

參、內部控制之組成要素

一、內部控制由下列五項要素組成

1、控制環境

2、風險評估

3、控制活動

4、資訊與溝通

5、監控

上列各項要素與內部控制任一目的均為攸關，為達成內部控制之目的，各項要素均須有效運作。

二、控制環境

控制環境塑造一個機構之文化，並影響員工之控制意識，為其他內部控制組成

要素之基礎。控制環境之成因包括：

1.員工之品德與能力

2.管理哲學及經營風格

3.組織結構及權責劃分

4.人力資源運用與發展

5.董事會之關注及指導

◎缺失釋例

² 酬勞依不切實際之目標達成而定。

² 董事會或高階管理階層不積極、無效率，未能獲取適當資訊，對重大事項一無所知，冒然進行高風險之活動。

² 決策由一人或少數人主導，未取得及考慮充分之資訊。

² 無工作說明或說明不清，未定期分析執行工作所需之知識及技能。

² 對財務報告及會計處理採取過度積極干預之態度及行動。

² 組織結構相較企業規模及活動過於複雜。

² 資訊系統不適當、人員知識程度與經驗水準不足以執行。

² 太多階層、經理人員權責劃分不清。

² 工作績效未列入考核及升遷。

² 員工流動率高。

三、風險評估

風險評估在辨識及分析機構經營目的無法達成之風險，據以決定如何對風險加

以管理。風險隨營環境改變而不斷發生，因此風險評估應予制度化，以便適時

因應。

◎缺失釋例

² 未訂定企業整體之目標或目標不明確。

² 目標過多或改變頻繁以致不具意義。

² 策略目標、營運計劃及預算不一致。

² 目標未傳達予負責執行之人。

² 活動層級之目標不明確、或彼此不一致、或與企業整體目標不一致。

² 無辨認風險之機制。

² 未深入瞭解即承受風險。

² 不利事項發生後，才依個案處理風險。

² 無對改變(經營環境、技術等)之管理，無法適時及順利完成改變。

四、控控制活動

控制活動係指確保管理階層之指令已確實執行之政策與程序。控制活動遍及各

階層與各職能，包括授權、核准、驗證、調節、經營績效複核、資產保全及職

務分工等活動。

五、資訊與溝通

機構之資訊系統應足以產生營運、財務及遵循法規等資訊，作為經營、控制及

對外報告之用。攸關之資訊應予辨識、蒐集並適時傳達予員工，俾其有效履行

職責。為達成內部有效之溝通，管理階層應向員工明確表達重視控制之訊息，

提供下情上達之管道，並使員工了解其本身在內部控制中所扮演之角色及與其

他員工在工作上之關聯。機構亦應對外部做好溝通。

◎缺失釋例

² 報告內容過於詳細、冗長、或過於簡要無法分析判斷。

² 資訊過時、不正確或不適當而無用處。

² 管理階層對主要系統不滿意，以其他方式自系統外部取得資訊。

² 資訊系統之發展非依長期性之資訊規劃。

² 管理階層之作為與既定政策不一致。

² 違反既定政策之情況，未予重視及未正式處分。

² 管理階層不能接受改進之建議。

² 員工大多由謠言傳獲取資訊。

² 不經常與客戶、供應商及外界單位溝通。

² 手冊過時、難懂或未被使用。

六、監控

監控係評估內部控制績效之過程，包括持續性之監督及獨立之評估。持續性係在營運過程中執行，包括經常性之管理及督導活動，與個人執行其職務所採取之行動。獨立評估之範圍與頻率，主要視風險評估及持續性監督之有效性而定。內部控制缺失應向上報告；若為嚴重缺失，則應上達最高管理階層、董事會或監察人。

◎缺失釋例

² 政策之遵遁無後續追蹤或很少追蹤。

² 對差異情形無後續追蹤或很少追蹤。

² 回應外界之溝通時，未檢討是否有更廣泛之影響。

² 未建立適當之內部稽核職能。

² 個別評估之範圍、次數或方法不適當。

² 對內部或外部稽核之建議未予重視。

² 無明確之溝通管道以提出建議。

肆、角色與責任

一、員工

機構之每一成員均對內部控制之有效運行負有責任，其執行內部控制之程序及

所負之責任，應予明確規範。遇有營運上之控制問題，或發現有違反法令、機

構政策之情形，應適時向上反應。

二、管理階層

最高管理階層對內部控制制度之建立、維持、調整及遵行負最終責任，因此應

塑造良好內部控制環境，指導、監督各管理階層有效執行內部控制。各階層人

員在其職權範圍內負內部控制之責任；財務、會計部門因其控制活動及於其他

部門，其在內部控制所扮演之角色尤其重要。

三、董事會

董事會應關注機構之控制環境及活動，並對管理階層給予適當督導。最高管理

階層應向董事會負責。

四、內部稽核人員

內部稽核人員在評估內部控制之有效性方面扮演重要角色，其功能之發揮有助

於內部控制之持續有效運行。

五、外部人員

機構外之組織或個人對機構內部控制目的之達成，可能有所貢獻或影響，惟不對機構之內部控制負責。