1、第一章 内部控制制度、前言、前言l 立法院于民国89年十月十三日三读通过银行法第四十五条之第一项规定,银行应建立内部控制及稽核制度;其办法,由主管机关定之。财政部金融局也于民国九十年十月三十一日,依据财政部(90)台财融(六)字第0090719948号另订定发布并实施银行内部控制及稽核制度实施办法,以改善层出不穷的金融舞弊案与管理不善之情事。l 银行内部控制及稽核制度实施办法明确指出,银行应建立内部控制及稽核制度,并确保该制度得以持续有效执行,以促进银行健全发展,维护金融安定(参照第二条)。而内部控制之基本目的在于促进银行健全经营,并应由其董(理)事会管理阶层及所有从业人员共同遵行,已达成促进
2、银行营运效率维护银行资产安全确保财务及管理信息可靠性与完整性及遵守相关法令规章之目标(参照第三条)。内部控制的范畴包括出纳存汇授信外汇信托投资新种金融商品会计总务信息人事管理及其他业务之政策及作业程序,并应分别依其业务性质及规模有适切之内部控制(参照第四条)。二、内部控制概论二、内部控制概论l(一)内部控制之意义:银行应建立内部控制及稽核制度,并确保该制度得以持续有效进行,以促进银行健全发展,维护金融安定(参照第二条)。l(二)内部控制定义之演进三、内部控制之观念l 传统着重于执行与侦测舞弊。l 内部控制之消极观念:防止舞弊所谓的舞弊分为:l 员工舞弊:侵吞或偷盗资产,如监守自盗盗用公款利用职
3、务之便利图利第三人或自己等情事。l 管理舞弊:指管理阶层或董(理)会要求员工或自己使财务报表编制不实。l 内部控制之积极观念:提升企业之营运成效,有助企业提升竞争力与获利能力。四、内部控制组成成分l控制环境。l会计制度。l控制政策与程序。五、内部控制之重要性l减少错误及舞弊之发生l减少违法之事件l降低企业经营失败之可能l增加企业之竞争力与获利力六、根据某统计结果,每年平均因金融舞弊与作业疏失造成之损失结果,如下所述:(1)舞弊:l 舞弊案所造成之损失高于新台币500万,每年平均有50件。l 舞弊案所造成之损失低于新台币500万,每年平均有100件。l 每年因舞弊案所造成之损失总金额大约新台币
4、10亿元。(2)作业疏失:l 每天作业疏失案例约2000件。l 每年因作业疏失导致损失金额高达1亿5千万元。七、近年之金融弊案发生、处理览表八、弊案形成之因素1.动机。2.机会。3.涉案者之人性问题。l当此三项因素,有其中二项同时存在时,则发生舞弊之可能性高达70%。九、企业成功之三阶段l1.第一阶段:求生存。l2.第二阶段:着重控制与规则。l3.第三阶段:永续经营。十、内部控制之基本目的及目标l1.达成之目标:促进银行营运效率。l2.维护银行资产安全。l3.确保财务及管理信息可靠性及完整性。l4.遵守相关法令规章。(参考银行内部控制及稽核制度实施办法第四条)十一、内部控制之范围1.银行之内部
5、控制制度应涵盖所有营运活动,并应订定下列适当之政策及作业程序:l 组织规程或管理规章,应包括订定明确之组织系统、部门执掌业务范围与明确之授权及分层负责办法。l 订定相关制度规范及业务处理手册,包括出纳、存汇、授信、外汇、信托、投资、新种金融商品、会计、总务、信息、人事管理及其他业务之政策及作业程序,并应分别依其业务性质及规模有适切之内部控制。2.前项各种作业及管理规章,银行应配合法规业务项目作业流程等之变更,定期检讨修订,并有内部稽核及信息单位之参与。(参考银行内部控制及稽核制度实施办法第五条)十二、我国内部控制之原则l 1.管理阶层之监督及控制文化:董事会应负责核准并定期复核整体经营策略与重
6、大政策,董事会对于确保建立并维持适当有效之内部控制制度附有最终之责任;高阶管理阶层应负责执行董事会核定之经营策略与政策,发展足以辨识衡量监督及控制银行风险之程序,订定适当之内部控制政策及监督其有效性与适切性。l 2.风险辨识与评估:有效之内部控制制度需可辨识并持续评估所有对银行目标之达成可能产生负面影响之重大风险。l 3.控制活动与职务分工:控制活动应是银行每日整体营运之部分,应设立完善之控制架构,即订定各层级之内控程序;有效之内部控制制度应有适当之职务分工,且员工不应担任责任相互冲突之工作。l 4.信息与沟通:应保有适切完整之财务营运及遵循信息;信息应具备可靠性及时性与容易取得之特性,并以致
7、性之格式提供,有效之内部控制制度应建立有效之沟通管道。l 5.监督活动与更正缺失:银行内部控制整体之有效性应予持续监督,营业单位内部稽核或其他内控人员发现之内部控制缺失均应实时向适当层及报告,若属重大之内部控制缺失应向高阶管理阶层及董事会报告,并应立即采取改正措施。(参考银行内部控制及稽核制度实施办法第四条)十三、COSO的五大要素(亦为内部控制之五大组成要素)l 1.控制环境(Control Environment):所称控制环境,谓塑造组织文化、影响员工控制意识之综合因素。控制环境系其他组成要素之基础。影响控制环境之因素,包括员工之操守、价值观及能力;管理阶层之管理哲学、经营风格,及聘雇、
8、训练、组织员工与指派权责之方式;董事会、监察人之关注及指导等。l 2.风险评估(Risk Assessment):所称风险评估,谓公司辨认其目标不能达成之内、外在因素,并评估其影响程度及可能性之过程。其评估结果,可协助公司设计必要之控制作业。l 3.控制活动(Control Activities):所称控制作业,谓帮助管理阶层确保其指令以被执行之政策及程序,包括核准、验证、复核、定期盘点、纪录核对、职能分工、保障资产实体安全,及计划、预算或前期绩效之比较等。l 4.信息与沟通(Information and Communication):所称信息,谓信息系统辨认、衡量、处理及报导之目标,包括与
9、营运、财务报导或遵循法令等目标有关之外或非财务信息。所称沟通,谓把信息告知相关人员,包括公司内、外部沟通。内部控制须能产生规划、监督等所需之信息,及提供信息需求者适时取得信息。l 5.监督(Monitoring)所称监督,谓评估内部控制质量之过程,包括评估控制环境是否良好,风险评估是否及时、确实,控制作业是否适当、确实,信息及沟通系统是否良好等。监督可分持续性极个别评估,前者为营业过程中之例行监督,后者系由内部稽核或管理阶层在内之其他人员进行评估。十四、内部控制之架构十五、影响控制环境之因素l1.诚正及道德价值观。l2.追求适任。l3.经营者之理念。l4.组织结构。l5.董(监)事会议。l6.
10、权责划分。l7.人力资源之政策。十六、金融机构常见之风险l 1.信用风险。l 2.国家及移转风险。l 3.市场风险。l 4.利率风险。l 5.流动性风险。l 6.作业风险。l 7法律风险。l 8.商誉风险。十七、控制过程l交易控管复核控管自行查核内部及外埠稽核十八、内部控制之限制l1.因误会产生之错误。l2.因散慢而导致无心之疏失。l3.判断有误l4.因舞弊而产生之冲击。十九、良好内部控制之帮助l1.预防胜于治疗。l2.发现、侦测问题。l3.改进问题,避免错误。二十、内部查核与内部稽核之关系l1.内部稽核为内部控制之环,内部稽核制度设置目的在于协助管理阶层查核、评估内部控制制度是否有效运作,并
11、适时提供改进建议,俾使内部控制得以持续有效实施。(参考银行内部控制及稽核制度实施办法第七条)l2.内部控制为内部稽核之依据。三、我国内部控制之建立三、我国内部控制之建立(一)法令规范:l依银行法第四十五条之第一项规定,订定银行内部控制及稽核制度实施办法,且明确指出应建立适当之政策及作业程序、内部稽核制度、遵守法规主管制度及自行查核制度。(二)法规条文1.银行法第四十五条之第一项规定,银行应建内部控制及稽核制度;其办法,由主管机关订之。2.银行内部控制及稽核制度实施办法第二条之规定,银行应建立内部控制及稽核制度,并确保该制度得以持续有效执行,以促进银行健全发展,维护金融安定。3.银行内部控制及稽
12、核制度实施办法第五条之规定:()银行之内部控制制度应涵盖所有营运活动,并应订定下列适当之政策及作业程序:组织规程或管理章则,应包括订定明确之组织系统、部门执掌业务范围与明确之授权及分层负责办法。订定相关制度规范及业务处理手册,包括出纳、存汇、授信、外汇、信托、投资、新种金融商品、会计、总务、信息、人事管理及其他业务之政策及作业程序,并应分别依其业务性质及规模有适切之内部控制。()前项各种作业及管理规章,银行应配合法规、业务项目及作业流程等之变更,定期检讨修订,并有内部稽核及信息单位之参与。l 4.银行内部控制及稽核制度实施办法第六条之规定:()银行应建立内部稽核制度遵守法令主管制度以及自行查核
13、制度,以维持有效适当之内部控制制度运作。()内部稽核制度应由银行稽核单位,负责查核各业务单位及管理单位,并定期评估营业单位办理自行查核之绩效()遵守法令主管制度应由银行业务单位及管理单位之遵守法令主管,依总机构所拟定之遵循计划及自评事项,适切检测各业务经办人员执行业务是否切实遵循法令。()自行查核制度应由银行各营业财务保管及信息单位成员相互查核业务实际执行情形,并应由各单位指派副主管或相当职级以上人员负责督导执行,以便及早发现经营缺失并适时予以改正。(三)建立银行之内部控制之原则l 1.管理阶层之监督及控制文化:董事会应负责核准并定期复核整体经营策略与重大政策,董事会对于确保建立并维持适当有效
14、之内部控制制度负有最终之责任;高阶管理阶层应负责执行董事会核定之经营策略与政策,发展足以辨识、衡量、监督及控制银行风险之程序,订定适当之内部控制政策及监督其有效性与适切性。l 2.风险辨识与评估:有效之内部控制政策及监督其有效性与适切性。l 3.控制活动与职务分工:控制活动应是银行每日整体营运之部份,应设立完善之控制架构,及订定各层之内控程序;有效之内部控制制度应有适当之职务分工,且员工不应担任责任相互冲突之工作。l 4.信息与沟通:应保有适切完整之财务营运及遵循信息;信息应具备可靠性及时性与容易取得之特性,并以致性之格式提供,有效之内部控制制度应建立有效之沟通管道。l 5.监督活动与更正缺失
15、:银行内部控制整体之有效性应予持续监督,营业单位,内部稽核或其他内控人员发现之内部控制缺失应向高阶管理阶层及董事会报告,并应立即采取改正措施。(四)设立作业程序及管理控制制度l1.银行之内部控制制度应涵盖所有营运活动,并应订定下列式当之政策及作业程序:l()组织规程或管理章则,应包括订定明确之组织系统、部门执掌业务范围与明确之授权及分层负责办法。l()订定相关制度规范及业务处理手册,包括出纳、存汇、授信、外汇、信托、投资、新种金融商品、会计、总务、信息、人事管理及其他业务之政策及作业程序,并应分别依其业务性质及规模有适切之内部控制。(银行内部控制及稽核制度实施办法第五条第一项)l2.各种作业及
16、管理规章,银行应配合法规、业务项目及作业流程等之变更,定期检讨修订,并有内部稽核及信息单位之参与(银行内部控制及稽核制度实施办法第五条第二项)l3.公开发行公司之内部控制制度,除包括对各种交易循环类型之控制作业外,尚应包括对印鉴使用管理、票据领用管理、预算管理、财产管理、背书保证、负债承诺及或有事项管理、职务授权及代理人制度、资金贷予他人、财务及非财务信息管理及对公司等之控制作业。(公开发行公司建立内部控制制度处理准则第八点)l 4.公开发行公司使用计算机化信息系统处理者,其内部控制制度,除信息部门与用户应明确划分权责外,至少应包括下列控制作业:(1)信息处理部门之功能及职责划分。(2)系统开
17、发及程序修改之控制。(3)编制系统文书之控制。(4)程序及数据之访问控制。(5)数据输出入之控制。(6)数据处理之控制(7)档案及设备之安全控制。(8)硬件及系统软件之购置使用及维护之控制。(9)系统复原计划制度及测试程序之控制。(公开发行公司建立内部控制制度处理准则第九点)(10)资通安全检查控制。(11)向证明期会指定网站进行公开信息申报相关作业之控制。(五)建立内部稽核制度l 1.内部稽核制度设置目的在于协助管理阶层查核评估内部控制制度是否有效运作,适时提供改进建议,俾使内部控制得以持续有效实施。(银行内部控制及稽核制度实施办法第七条)l 2.银行应设隶属董(理)事会之稽核单位,以超然独
18、立之精神,执行稽核业务,并应定期向董(理)事会及监察人报告。(银行内部控制及稽核制度实施办法第八条第一项)l 3.银行应建立总稽核制,综理稽核业务。总稽核之资格应符合财政部订定之银行负责人应具备资格条件准则规定,其职位应等同于副总经理,且不得兼任与稽核工作有相冲突或牵制之职务。(银行内部控制及稽核制度实施办法第五条第二项)l 4.总稽核应由董(理)事会聘任,非经董(理)事会全体董(理)事会三分之二以上之同意,并应先报请财政部核准,不得解聘或调职。稽核单位之人事任用免职升迁奖惩轮调及考核等,应由总稽核签报,报经董事长核定办理。但涉及其他管理营业单位人事者,应事先洽商人事单位转报总经理同意后,再行
19、签报董事长核定。(银行内部控制及稽核制度实施办法第五条第三项)l 5.总稽核督导办理内部稽核工作有下列情形者,财政部得视情节之轻重,予以纠正命其限期改善或命令解除其总稽核职务:()有事实证明总稽核曾有从事不当放款案件或涉及严重违反授信原则或与客户不当资金往来之行为。()滥用职权,有事实证明从事不正当之活动,或假借权力,以图谋本身或他人之利益,或利用职务上机会,加损害于银行或他人。()未经主管机关同意,对执行职务无关之人员泄漏交付或公开金融检查报告全部或其中任一部分内容。()银行因内部管理不善,发生重大舞弊案件,未通报主管机关,而肈致重大损失。()对银行财务及业务有严重缺失,将肇致重大损失者,未
20、于内部稽核报告揭露。()办理内部稽核工作,出具不实稽核报告。()未配合主管机关指示事项办理查核工作或提供相关数据。()其他有损害银行信誉或利益之行为者。(银行内部控制及稽核制度实施办法第五条第四项)l 6.银行管理单位及营业单位发生重大缺失或弊端时,稽核单位应有惩处建议权,并应于内部稽核报告中充分揭露对重大缺失应负责之失职人员。(银行内部控制及稽核制度实施办法第五条第五项)(六)建立遵守法令主管制度l 1.银行为符合法令之遵循及防杜金融犯罪与诈欺,应建立遵守法令主管制度,并得以其规模业务性质及组织特性,指定一隶属于董事会或总经理之单位,负责该制度之规划,管理及执行。(银行内部控制及稽核制度实施
21、办法第二十二条第一项)l 2.银行总机构、国内外营业单位、信息单位、财务保管单位及其他管理单位应指派人员担任遵守法令主管,负责执行法令遵循事宜。(银行内部控制及稽核制度实施办法第二十二条第二项)l 3.银行对遵循法令应建立书面之执行计划,其计划内容至少应包含下列项目:()各种良好的遵循程序,俾利各单位遵循法令事务之咨询协调沟通及有效执行。()制订清楚且适当之咨询、协调、沟通系统。()保持适当之咨询、协调、沟通纪录,并对平时应遵循事项办理自行评估;应遵循事项之内容至少涵盖相关金融法令规章、洗钱防制法、计算机处理个人资料保护法及道德规范等。l()规划遵循法令之训练课程,搜集并传达金融法规,确保职员
22、有适当合宜训练,各项作业及管理规章均配合金融法规之变更适时更新,俾利其执行业务时对相关法规保持持续之认知与遵循。(银行内部控制及稽核制度实施办法第二十三条)(七)建立自行查核制度l 1.为加强银行内部牵制藉以防止弊端之发生,银行应建立自行查核之制度。各银行营业、财务保管及信息单位应每半年至少办理依次般自行查核,每月至少办理一次项目自行查核。但已办理一自行查核或稽核单位已办理一般业务稽核或遵守法令事项自行评估之月份,该月得免办理项目自行查核。(银行内部控制及稽核制度实施办法第二十五条第一项)l 2.各银行营业、财务保管及信息单位办理自行查核,应由该单位主管指定非原经办人员办理并事先保密。(银行内
23、部控制及稽核制度实施办法第二十五条第二项)四、霸菱银行倒闭之省思四、霸菱银行倒闭之省思(一)事件l(1)李森为该霸菱银行在新加坡的总经理,亦身兼营业员身分,而且他同时兼前台操盘者及后台如交割、会计等作业,他也有命令程序设计人员修改计算机程序的权力。因此,对于未授权交易及损失不会出现于传给总公司之会计及管理报表上。l(2)原”帐户是为错帐交易而设,却被利用来作为暂记未授权交易,成为创造利润与隐匿之损失之用。l(3)整个事件会演变成家体质不错之银行,最后以元卖给荷商,最主要为内部稽核制度、遵守主管法令制度及自行查核制度之功能无法实际落实及发挥。(二)缺点l(1)管理阶层未善尽责任监督业务员。l(2)各项业务间未明确将权责分区,互相制衡,使得前台作业员身兼后台作业员。l(3)在案发已有警讯,但未积极采取行动。l(4)业务之风险管理、复核无法发挥功效。l(5)给管理者的报告不正确。