國際審計準則公報ISA_265(我國審計準則公報第68號「內部控制缺失之溝通」)解析

文章發表： 2018/08/21

雜誌訂閱優惠

賴柏錚

國立臺北大學會計學系博士研究
國立中興大學法律學系碩士
文字工作者

推動期程：本公報於中華民國(下同)107年7月3日發布，並自108年1月1日起實施，亦得提前適用。

重點說明

一、查核人員於瞭解內部控制及測試內部控制之主要目標

(一)查核人員須依專業判斷，就查核過程中所辨認之內部控制缺失中決定何者須與治理單位及管理階層溝通，以提醒治理單位及管理階層注意。

(二)查核人員於辨認並評估重大不實表達風險時，應對與查核攸關之內部控制取得瞭解，其目的係為設計於當時情況下適當之查核程序，而非對內部控制之有效性表示意見。不論於執行風險評估或其他查核階段中，查核人員皆可能辨認出內部控制缺失。

解析

設計、執行及維護有效內部控制係屬管理階層之責任。然查核人員為對財務報表提供合理確信，規劃查核工作時，必須對受查者內部控制進行初步瞭解，並執行初步控制測試，以決定擬信賴受查者內部控制程度，再根據所評估之控制風險水準，執行對應控制測試，這一連串過程，主要目的都是為了對財務報表有效蒐集足夠及適切查核程序之過程。
不可否認這些程序，都與受查者內部控制有效性有關，因此，查核人員可將查核過程中發現之內部控制缺失與治理單位溝通，且不必特地為了尋找是否有應行溝通之內部控制缺失事項，而設計、執行相關查核程序，內部控制缺失的溝通是查核工作的副產品（有很好，可以增加查核工作價值，沒有也沒關係），查核人員主要目的還是對財務報表出具查核意見，而不是對內部控制出具意見。
依「公開發行公司建立內部控制制度處理準則」第36條規定，會計師專案審查公開發行公司內部控制制度所發現之缺失，應依規定格式出具「內部控制制度建議書」，以作為受查公司改進缺失之參考依據。據此，對公開發行公司而言，會計師所出具之「內部控制建議書」，功能上，與本公報「內部控制顯著缺失書面溝通」極為類似，影響層面不大，但受查者如為非公開發行公司，在本公報適用後則應依規定以書面方式溝通內部控制顯著缺失，除非有無須溝通之情形。

二、內部控制缺失之判斷

(一)內部控制缺失、顯著缺失及內部控制其他缺失定義。

(二)查核人員應依據所執行之查核工作，辨認是否存在一項或多項內部控制缺失

1、查核人員如已辨認出一項或多項內部控制缺失，應進一步依據所執行之查核工作，判斷該等內部控制缺失（個別或與其他之缺失合併考量）是否構成顯著缺失。查核人員亦應就查核過程中所辨認之內部控制顯著缺失，以書面及時與治理單位溝通。亦即查核人員在內部控制缺失溝通上，應依據所執行之查核工作負以下四個責任（其中一個非強制）：

判斷是否已辨認出一項或多項內部控制缺失。
判斷該等內部控制缺失是否構成顯著缺失。
就所辨認之內部控制顯著缺失，以書面及時與治理單位溝通。
與適當層級管理階層討論所發現攸關之事實及情況。【未強制】。

解析

與管理階層之討論可使查核人員及時提醒其先前可能未知悉之缺失。適當層級之管理階層係指熟悉相關內部控制，並有權對所辨認之內部控制缺失採行改正行動者。某些情況下，查核人員與管理階層逕行討論其發現可能非屬適當，例如查核人員發現管理階層逾越控制舞弊、故意未遵循法令或未有效監督財務報表之編製，可能使查核人員質疑管理階層之誠信或專業能力，此時不宜與管理階層討論該等內部控制缺失。

(三)小規模受查者可能因管理階層已執行某些控制作業，而使其他相關控制作業得以減少或免除。例如，管理階層逕行核准顧客之信用額度或重大採購，已可對相關重要科目餘額及交易提供有效之控制，因此可減少或免除對細部控制作業之需求。而小規模受查者之員工人數通常較少，職能分工之程度可能受限。在所有者兼管理者之小規模受查者中，所有者兼管理者之監督可能較大型企業有效。惟查核人員應認知管理階層較高程度之監督亦可能增加其踰越控制之風險。

解析

執行小規模受查者之查核工作時，查核人員常跳過控制測試，逕行依賴證實測試之結果，蒐集足夠及適切之查核證據，主要係因小規模企業所有與經營未分離，很多傳統內部控制點都無法發揮其功能（如交易授權、職能分工等），為有效執行查核工作多採主要證實法查核策略，即便如此，查核人員仍應瞭解受查者是否有建立內部控制，以對財務報表可查性保持警覺。

三、內部控制顯著缺失（Significant deficiency in internal control）

(一)內部控制缺失是否顯著不僅取決於不實表達是否已實際發生，亦取決於不實表達發生之可能性及其潛在影響。即使查核人員未於查核過程中辨認出不實表達，顯著缺失仍可能存在。

解析

當查核人員偵出財務報表不實表達時，內部控制一定有顯著缺失；惟若查核人員未發現財務報表有不實表達，不代表內部控制沒有顯著缺失。
會計師查核財務報表時，只瞭解及測試與財務報導有關之內部控制，並非全部之內部控制，因此，未偵查部分（如與營運效率效果有關，或相關法令遵循有關之內部控制）仍可能存有顯著缺失。

(二)控制可能被設計為單獨運作或與其他控制共同運作，以有效預防或偵出並改正不實表達。例如，對應收帳款之控制可能包括自動化控制及人工控制，該二種控制係設計為共同運作以預防或偵出並改正科目餘額之不實表達。

解析

內部控制之某一項缺失本身可能不足以構成顯著缺失。惟影響相同科目餘額、揭露、攸關聲明或內部控制組成要素之多項缺失，可能增加不實表達之風險而構成顯著缺失。換句話說，某個控制點失效，並不當然為顯著缺失，若多項控制點均失效，導致其他內部控制要素（例如監督）或科目餘額（揭露事項）均受影響，則可能增加財務報表不實表達風險，而被查核人員判定為顯著缺失。

四、內部控制缺失之溝通（Communication of Deficiencies in Internal Control）

(一)與治理單位溝通內部控制顯著缺失（Communication of Significant Deficiencies in Internal Control to Those Charged with Governance）

1、以書面與治理單位溝通內部控制顯著缺失可彰顯其重要性，並協助治理單位履行其監督責任。當治理單位之所有人員皆負有管理責任時，查核人員無須先踐行與管理階層溝通，再與治理單位溝通之程序。

2、於判斷何時出具內部控制顯著缺失之書面溝通時，查核人員宜考量該等溝通是否係治理單位履行其監督責任之重要因素。不論何時出具內部控制顯著缺失之書面溝通，查核人員宜儘早以口頭與管理階層（如適當時，亦包括治理單位）溝通該等缺失，俾協助其及時採行改正行動以降低重大不實表達風險。惟此作法並無法解除查核人員以書面溝通該等缺失之責任。【查核人員不得以業已口頭與管理階層溝通內部控制顯著缺失作為不出具書面溝通予治理單位之抗辯】

解析

某些已辨認之內部控制顯著缺失可能使查核人員質疑管理階層之誠信或專業能力。例如，管理階層可能涉及舞弊、故意未遵循法令或未有效監督財務報表之編製。於此情況下，查核人員與管理階層溝通內部控制顯著缺失可能非屬適當。

3、書面溝通係查核工作底稿之一部分，因此應於查核工作底稿之檔案彙整及歸檔前完成¹。內部控制顯著缺失溝通之詳細程度取決於查核人員之專業判斷。查核人員作此判斷時可能考量之因素，例舉如下：

受查者之性質。
受查者之規模與複雜程度。
查核人員所辨認顯著缺失之性質。
受查者治理單位之組成。

4、管理階層及治理單位可能已知悉查核人員於查核過程中所辨認之內部控制顯著缺失，惟可能因成本或其他考量而未予以改正。對採行改正行動之成本與效益之評估係屬管理階層及治理單位之責任。不論管理階層及治理單位是否採行改正行動，查核人員仍應履行及時就查核過程中所辨認之內部控制顯著缺失，以書面及時與治理單位溝通之責任。

5、如查核人員於以往查核曾與治理單位及管理階層溝通內部控制顯著缺失，惟該等缺失未經改正，則查核人員應就仍然存在之顯著缺失持續溝通。查核人員宜詢問管理階層（如適當時，亦包括治理單位）缺失尚未改正之原因。如缺乏合理之解釋，未採行改正行動即構成另一項顯著缺失。

(二) 與管理階層溝通之內部控制缺失（Communication of Deficiencies in Internal Control to Management）

1、查核人員應及時與適當層級之管理階層溝通下列事項：

查核過程中所辨認且依查核人員之專業判斷，認為須提醒管理階層注意之內部控制其他缺失，惟已由其他方溝通者不在此限。

決定何者為須提醒管理階層注意之其他缺失時，查核人員應考量該等缺失導致財務報表不實表達之可能性及其潛在影響。
查核人員與管理階層溝通內部控制其他缺失時，得以書面或口頭為之。如查核人員已就其發現與管理階層討論攸關事實與情況，即可視為已與管理階層口頭溝通該等缺失。

查核人員業已或擬與治理單位溝通之內部控制顯著缺失書面溝通內容，除非與管理階層逕行溝通非屬適當。【內部控制顯著缺失溝通對象主要係治理單位，而非管理階層】

2、適當層級之管理階層係指對評估內部控制缺失及採行必要改正行動負有權責者。

對內部控制顯著缺失而言，適當層級之管理階層可能為總經理或會計主管（或相當職級），因該等缺失亦須與治理單位溝通。
對內部控制其他缺失而言，適當層級之管理階層可能為更直接參與該等控制及對採行適當改正行動負有權責者。

3、查核人員如於前期曾與管理階層溝通內部控制其他缺失，而管理階層因成本或其他考量未予以改正，則查核人員無須於當期重複溝通。

如其他方（例如內部稽核人員或主管機關）曾與管理階層溝通該等缺失，查核人員無須重複溝通。
管理階層有所異動，或有新資訊出現致查核人員與管理階層先前對該等缺失之瞭解有所改變時，查核人員與管理階層重新溝通該等缺失可能係屬適當。
管理階層未能改正先前已溝通之其他缺失，可能構成一項顯著缺失而須與治理單位溝通。

4、治理單位可能認為獲悉查核人員已與管理階層溝通之內部控制其他缺失之細節或性質係屬必要。查核人員亦可能認為將已與管理階層溝通之其他缺失告知治理單位係屬適當。查核人員於前述情況與治理單位溝通時，可選擇以口頭或書面為之。

五、內部控制顯著缺失書面溝通之內容

(一)查核人員以書面溝通內部控制顯著缺失時，應包括：

對該等缺失及其潛在影響之說明。查核人員於解釋內部控制顯著缺失之潛在影響時無須予以量化。
為使治理單位及管理階層瞭解溝通緣由之充分資訊。查核人員應敘明下列事項：
1. 查核之目的係對財務報表表示意見。
2. 於查核過程中考量與編製財務報表有關之內部控制，係為設計於當時情況下適當之查核程序，而非對內部控制之有效性表示意見。
3. 所溝通事項僅限於查核過程中所辨認且查核人員認為須提醒治理單位注意之缺失。

(二)此外，查核人員可能認為於書面溝通中敘明下列事項係屬適當：

查核人員如對內部控制執行較廣泛之查核程序，則可能辨認出較多顯著缺失。
此溝通係供管理階層及治理單位使用，可能不適用於其他目的。

(三)於適當時，書面溝通得包括下列事項：

查核人員對缺失改正行動之建議。
管理階層實際或擬採行之回應。
就管理階層之回應有無付諸實行，查核人員是否予以驗證之說明。

解析

內部控制顯著缺失之書面溝通例示

……本會計師依一般公認審計準則規劃及執行查核工作時，考量與編製財務報表有關之內部控制，以設計於當時情況下適當之查核程序，其目的係對上開財務報表表示意見，而非對內部控制之有效性表示意見。因此，本會計師不對內部控制之有效性表示意見。

本會計師對內部控制之考量係基於前段所述之目的，且非用以辨認出所有內部控制顯著缺失。本會計師如對內部控制執行較廣泛之查核程序，則可能辨認出顯著缺失。

內部控制缺失係指控制之設計、付諸實行或運作無法及時預防或偵出並改正財務報表之不實表達，或缺乏用以及時預防或偵出並改正財務報表不實表達之必要控制。內部控制顯著缺失係指依本會計師之專業判斷，認為須提醒治理單位注意之一項內部控制缺失或經合併考量之多項內部控制缺失。本會計師於查核過程中辨認出下列內部控制顯著缺失：

[所辨認出之顯著缺失及其潛在影響]

此溝通係供管理階層及治理單位使用，可能不適用於其他目的。

(四)核人員如未辨認出內部控制顯著缺失，管理階層或治理單位可能要求查核人員出具敘明其於查核過程中未辨認出內部控制顯著缺失之書面溝通。該書面溝通應包括敘述如下：【敘明必要事項後可出具未辨認出內部控制顯著缺失之書面溝通】

查核之目的係對財務報表表示意見。
於查核過程中考量與編製財務報表有關之內部控制，係為設計於當時情況下適當之查核程序，而非對內部控制之有效性表示意見。
所溝通事項僅限於查核過程中所辨認且查核人員認為須提醒治理單位注意之缺失。
內部控制顯著缺失定義。

解析

無內部控制顯著缺失之書面溝通例示

本會計師對內部控制之考量係基於前段所述之目的，且非用以辨認出所有內部控制顯著缺失。基於此目的，本會計師於查核過程中並未辨認出內部控制顯著缺失。惟貴公司仍可能存有未被辨認之顯著缺失。本會計師如對內部控制執行較廣泛之查核程序，則可能辨認出顯著缺失。

內部控制缺失係指控制之設計、付諸實行或運作無法及時預防或偵出並改正財務報表之不實表達，或缺乏用以及時預防或偵出並改正財務報表不實表達之必要控制。內部控制顯著缺失係指依本會計師之專業判斷，認為須提醒治理單位注意之一項內部控制缺失或經合併考量之多項內部控制缺失。

此溝通係供管理階層及治理單位使用，可能不適用於其他目的。

(五)查核人員不得出具敘明其於查核過程中未辨認出內部控制其他缺失之書面溝通，以避免造成誤解或誤用。

註釋

ISA 230 states that an appropriate time limit within which to complete the assembly of the final audit file is ordinarily not more than 60 days after the date of the auditor’s report.返回內文

知識達購課館：審計學熱門公報專題