有關法令比較

我國早在民國87年即已參考COSO委員會所公佈之「內部控制整體架構」精神，制訂有關法令【註3】，透過法令之規定，要求所有公開發行公司建置內部控制及稽核制度，並確保持續有效地執行；在金融業方面，基於國內外發生之金融弊案層出不窮，且多為屬於風險管理重要項目的內部控制缺失所引起，如：霸菱銀行李森案及國票楊瑞仁案，損失金額動輒數百億或甚而導致公司倒閉。因此自民國89年起，參考公開發行公司內部控制法令制定之精神及內容，主管機關陸續公布各行業之內部控制及稽核制度實施辦法【註4】，不論是公開發行公司，或金融業所遵循之內部控制法令，其法令內容及精神皆與404條款有所雷同；再加上我國已實施多年，因此，此法案雖對全世界企業產生重大之影響，對於我國企業應該影響不大。

然分析沙氏法案404條款重要規定與我國金融業內部控制有關法令之差異及執行情形，仍有多項差異，因是，企業即使已在國內公開發行且上市櫃多年，若在美國亦公開上市或發行存託憑證，仍於準備遵循404條款之過程中投入許多之人力及成本。

為瞭解其差異，本文將以銀行業內部控制與稽核制度實施辦法，與404條款中之重要規定進行比較，其差異分析彙總如(表一)。

由上述之差異比較可發現：兩者法令之最終目標相近，且大部份要求很相似，但因在法令之制定上多採原則性規範，所以在實務執行面有較大之彈性，郤也導致執行之嚴謹程度出現差異。例如：

1. 以往，企業較重視作業流程之遵循，在沙氏法案404條款公佈後，則重新距焦於內部控制之建置及維護，因而促使企業重新思考內部控制設計、執行及評估。
2. 書面化之要求部份，404條款中要求將作業程序及內部控制制度均予以書面化，但在我國法令規定中，雖要求各業務作業程序及內部控制之建立，但在書面化之要求並不明確。所以多數銀行已訂有詳盡之作業手冊，但在內部控制描述之書面化且與前述作業流程之搭配控制文件則較為少見。
3. 就內部控制之評估而言，我國金融業之自行評估早已執行多年，主要以作業程序之遵循檢查為主。每年依法令規定所應執行之一般或專案自行評估頻率頗高，另要求對法令遵循情形之自行評估。惟實務上較缺乏對企業整體層級控制之評估。相對於404條款，現行實務係以控制為出發點，不論企業整體層級或作業層級皆進行評估。評估過程包含對控制設計及執行有效性之評估，評估之頻率每年執行約一至二次。
   
   這項實務之差異現在較難斷定其優缺點，在美國第一年之執行後，現正陸續進行檢討並發佈解釋【註5】。由於自行評估之效果及效益非短期可顯現，惟一可知的是美國SEC及PCAOB皆對其抱持正面之態度，除了確保財務報表之有效性外，也肯定對於營運效率及效果之提昇。
   再者，由於自行評估亦屬管理階層之管理策略之一，所以管理階層可視其風險評估及其所願意投入之資源，來決定自行評估之範圍及深度，所以法令無法訂定明確之執行程序來要求特定之執行過程。雖然如此，企業若有良好的自行評估計劃、有效的評估過程，並落實評估結果的追蹤改善才能真正達到自行評估之目的。
4. 有關會計師之查核部份，兩項法令皆要求會計師進行有關內部控制之查核，但在我國法令未規定會計師須對管理階層評估內部控制過程之有效性進行評估並表示意見；另外，我國實務會計師並未出具查核意見，取而代之的是協議程序的遵循情形。會計師之查核係落實自行評估制度的方式之一，所以此點之差異可供我國法令修訂之參考。

綜合上述有關404條款之介紹可知，為何現行美國企業須投入許多之人力及成本，來達到該條款之遵循，並造成許多企業之抱怨與懷疑自行評估制度之有效性。由於我國法令之訂定及實施較早，自行評估之類似概念存在較久，所以早已為國內金融業所接受，但在執行實務上之差異，應是我國金融業及主管機關可留意之處。

我國金融整併風潮與業務多元化趨勢興起，在金融服務與金融商品漸與國際接軌，業務發展快速起飛。雖然由於新巴賽爾資本協定的導入，使風險評量與內部控制的效益逐漸受到重視。但是未來國際間對於風險管理與內部控制的思潮已逐漸走向風險導向的內部控制，控制活動在金融機構內一體行之。我國金融機構皆有必要正面面對這樣的潮流，從幾個思維開始做起 :

1. 1.內部控制的活動將不能只視為是稽核與控管活動的一部份，而是金融業全體單位日常作業活動中，降低、免於或監督風險的一項作業項目。
2. 金融機構的風險管理與內部控制的落實與深化，有其必要與雙重效益 (符合作業風險管理的質化的指標)。
3. 經營階層的道德責任與公司治理的落實, 是內部控制與風險管理有效的主要憑藉。
4. 控制自我評估(Control Self Assessment)與完善的風險管理架構(COSO架構)所述及的五大要素 ：控制環境、風險評估、資訊與溝通、控制活動 、監督，將是金融機構經營者在這樣的主流思潮下，所需主要著力的起點。
   目前多數銀行皆著手於巴塞爾資本協定之遵循，建議參酌美國上市之金融業如何有效整合巴塞爾資本協定及沙賓法案之經驗，整合風險管理及內部控制制度，以達到強化公司治理及提升公司競爭力之終極目標。

【註1】原規定之適用為：

1. 1.對於美國本地大型上市公司(Accelerated Filers)適用期間為會計年度結束日原規定在2004年6月15之後者。
2. 對於美國本地小型企業以及外國人私人企業(Foreign Private Issuer, FPI)，原適用日期為會計年度結束日在2005年4月15日者，但續後又進行二次之調整，第一次為2005年7月15日，第二次為2006年7月15日。

【註2】企業整體層級及作業層級係依COSO委員會公佈之”內部控制整體架構”所區分，依該架構之定義，有效之內部控制由五大要素組成，其中一般將控制環境、風險評估、資訊與溝通及監督等四要素定義為企業整體層級之控制，而作業層級則為五大要素中之控制活動，有關定義及說明請參閱COSO委員會所公佈之”內部控制整體架構”報告。

【註3】原民國87年所制訂之法令名稱為「公開發行公司建立內部控制制度實施要點」，經修訂後現為「公開發行公司建立內部控制制度處理準則」。

【註4】現已公佈之行業包括：信託業、金融控股公司、銀行、信用合作社、票券商、保險業、郵政儲金匯兌業務及農會漁會信用部等。

【註5】U.S. SEC 與PCAOB於2005年5月16日同時發佈下列文件，為企業及會計師遵循404條款及審計準則公報第二號提供更詳盡之解釋：

1. Staff Statement on Management's Report on Internal Control Over Financial Reporting(Released by U.S.SEC)
2. .Questions and Answers-Auditing Internal Control Over Financial Reporting(Released by PCAOB)
3. Policy Statement Regarding Implementation of Auditing Standard No.2, An Audit of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements ( Released by PCAOB)

TOP
上一頁 1│2│3   【回本期首頁】