重點說明

審計準則公報第75號係由審計準則委員會參考國際審計準則第315號(ISA315)之相關規定，全文計六節共265條及6個附錄，合計171頁，內容相當龐雜，採逐條解析方式並不易掌握該號公報全貌。據此，筆者擬透過主題式引導帶領讀者進入跨時代的審計新面貌。筆者將審計準則公報第75號及相關公報，整合為四個主題，分別為：

• 主題一：查核規劃作業之核心
• 主題二：辨認並評估重大不實表達風險
• 主題三：對受查者取得必要之瞭解
• 主題四：內部控制制度與使用資訊科技之風險、一般控制及對查核工作之影響

一、內部控制制度概論

(一) 設置內部控制制度及其目的(功能)

1、內部控制制度(System of internal control)：由治理單位、管理階層及其他人員所設計、付諸實行及維持之制度，以對企業達成可靠之財務報導、有效率及有效果之營運及相關法令之遵循等目標提供合理確信。

1. 受查者之內部控制制度可能反映於政策及程序手冊、系統及表單與包含於前述項目之資訊中，並藉由人員之執行而落實。
2. 受查者之內部控制制度係依據受查者之組織架構，由管理階層、治理單位與其他人員付諸實行。
3. 受查者之內部控制制度可根據管理階層、治理單位或其他人員之決策或依據相關法令之規定，適用於受查者之「營運模式」、「法律架構」或二者之組合。

2、內部控制制度包括五項相互關聯之組成要素：

1. 控制環境(Control environment)。
2. 受查者之風險評估流程(The entity’s risk assessment process)。
3. 受查者監督內部控制制度之流程(The entity’s process to monitor the system of internal control)。
4. 資訊系統及溝通(The information system and communication)。
5. 控制作業(Control activities)。

3、「控制」：企業為達成管理階層或治理單位之控制目標，所建立之政策或程序。「控制」嵌入於企業內部控制制度之組成要素中。

1. 「政策」(Policies)係企業內部為使控制有效執行，就應作為或不應作為所作之規範。
1. 該等規範可能為書面化，或於溝通中作明確敘述，抑或隱含於行動或決策中。
2. 政策之付諸實行係透過企業內部人員之行動，或禁止人員採取違反該政策之行動。
2. 「程序」(Procedures)係指將政策付諸實行之具體行動。
1. 程序可能透過正式文件或管理階層（或治理單位）之其他溝通而明定，或可能並未明定，但透過企業文化所形塑之行為而產生。
2. 程序可能透過企業使用之應用系統或資訊科技環境之其他層面所允許之行動，予以落實執行。
3. 控制可分為「直接控制」或「間接控制」。
1. 「直接控制」係指能足夠精確預防、偵出或改正個別項目聲明不實表達之控制，亦即足夠精確以因應個別項目聲明之重大不實表達風險之控制。
2. 「間接控制」係指能支持直接控制之控制。間接控制係指某些控制雖未能足夠精確預防、偵出或改正個別項目聲明之不實表達，但能支持其他控制，因而對及時預防或偵出不實表達之可能性有間接影響。
4. 儘管受查者之政策與程序及流程與制度之正式化程度可能不同，查核人員仍應對受查者內部控制制度取得必要之瞭解。

(二) 內部控制目的及限制

1、設計、執行及維持內部控制之目的，係因應對受查者達成下列目標造成威脅之已辨認營業風險：【或稱內部控制目標或內部控制功能】

1. 可靠之財務報導(Regard To Reliability Of Financial Reporting)。【財務報表查核工作最攸關之內部控制目標】
2. 有效率及有效果之營運(Effectiveness And Efficiency Of Operations)。
3. 相關法令之遵循(Compliance With Applicable Laws And Regulations)。

2、就查核目的而言，受查者內部控制制度包括與受查者報導目標（包含其財務報導目標）有關之層面，當與財務報導攸關時，亦可能包括與營運或法令遵循目標有關之層面。

3、內部控制制度之限制(Limitations of Internal Control)

1. 主要係因內部控制存有先天限制，亦即內部控制運作有效性有其極限，不可能完全預防並偵出所有影響目標達成可能性的情況。因此，不論內部控制運作有效程度如何，僅能「合理確信」(Reasonable Assurance)無法絕對保證必能協助受查者財務報導目標之達成。
2. 企業永續經營之關鍵在於獲利，而設計並付諸執行內部控制有其成本，因此，企業不一定要設置及實施內部控制¹，也不一定會建立「最好」的內部控制。
3. 財務報導目標達成之可能性係受內部控制制度先天限制之影響。「內部控制制度先天限制」可能來自於決策制定過程中人為判斷有誤，或因人為錯誤而導致內部控制制度失效。例如：
1. 控制之設計或變動可能發生錯誤。
2. 控制之執行可能並非有效。
3. 控制可能因二人以上共謀或管理階層踰越控制而失效。
4. 管理階層於設計控制及將其付諸實行時，可能對其所選擇之控制與所選擇承擔風險二者之性質及範圍進行判斷。

二、受查者內部控制制度之組成要素

(一) 控制環境

1、「控制環境」(control environment)包括治理與管理功能，以及治理單位與管理階層對於受查者內部控制制度及其重要性之態度、認知及作為。

1. 控制環境塑造組織文化，影響組織成員對控制之重視程度，並對受查者其他內部控制制度組成要素之執行提供整體基礎。【亦即「控制環境」係其他四項組成要素之基礎】
2. 受查者對控制之重視程度受治理單位影響，因其能對管理階層可能因市場需求或薪酬制度而作不實財務報導之壓力，予以制衡。
3. 控制環境中與治理單位參與有關者之設計是否有效受下列事項之影響：
1. 治理單位之「獨立性」及其評估管理階層作為之「能力」。
2. 治理單位是否「瞭解」受查者之主要營業交易。
3. 治理單位對財務報表是否依適用之財務報導架構編製（包括財務報表之揭露是否適當）所作「評估」之程度。

2、控制環境包含下列要素：

1. 管理階層如何履行責任
1. 例如建立及維持受查者之文化與展現管理階層對誠信及道德觀之承諾控制之有效性繫於控制之設計、管理及監督者之誠信與道德觀。
2. 誠信及道德行為係受查者如何溝通所訂道德及行為規範或行為準則，以及落實該準則之結果。
2. 當治理單位與管理階層有所區分時，治理單位如何展現其獨立性並對受查者內部控制制度執行監督受查者對控制之重視程度受治理單位影響，所考量之事項可能包括：
1. 治理單位是否有足夠成員與管理階層保持獨立，並於評估與作決策時保持客觀。
2. 治理單位如何辨認並承擔監督責任。
3. 治理單位是否負有監督管理階層設計、付諸實行及執行內部控制制度之責任。
3. 治理單位責任之重要性可見諸於相關實務準則、法令或指引。治理單位之其他責任包括監督檢舉程序之設計及有效執行。
4. 受查者如何指派職權及責任以達成其目標就本要素所考量之事項可能包括：
1. 職權及責任之主要範圍，以及適當之呈報體系。
2. 與適當營運實務、主要負責人員之知識及經驗、履行職責所需資源等有關之政策。
3. 所執行之政策與溝通俾確保所有員工瞭解受查者之目標、瞭解其個人作為如何與目標產生關聯及對目標之貢獻，以及認知其為何及如何承擔責任。
5. 受查者如何延攬、培養及留用具有能力之人才以符合其目標達成之需求。此包括受查者如何確保員工具有完成個人職務所須具備之知識及技能，例如：
1. 招募最適任員工之標準，包括重視教育背景、工作經驗、過去之成就及誠信與道德行為之證據。
2. 向員工溝通其應扮演角色及所承擔責任之訓練政策。
3. 受查者如以定期績效評估作為晉升之依據，可展現其使適任員工承擔更高層級責任之承諾。
6. 受查者如何要求各級人員為內部控制制度目標之達成承擔責任其可能透過下列方式為之，並因受查者之規模、組織架構之複雜性及營運活動之性質而有不同：
1. 溝通及要求各級人員承擔其執行控制及必要改正措施責任之機制。
2. 對負責受查者內部控制制度之人員建立績效衡量指標、誘因及獎勵措施，包括如何評估該衡量指標並維持其攸關性。
3. 與達成控制目標有關之壓力如何影響各級人員之責任及績效衡量指標。
4. 如何對各級人員進行必要約束。

(二) 受查者之風險評估流程

1、受查者之「風險評估流程」(The Entity’s Risk Assessment Process)係為達成受查者之目標，反覆辨認及分析攸關風險之流程，且係管理階層或治理單位用以決定何種風險應受管理之基礎²。

【作者叮嚀】 審計準則公報所使用「風險評估」一詞對查核人員及受查者而言，代表之意義並不相同：

2、就財務報導之目的而言，受查者風險評估流程包括管理階層如何：

1. 辨認與依適用之財務報導架構編製財務報表攸關之營業風險。
2. 估計該等風險之顯著程度及評估風險發生之可能性。
3. 決定管理該等風險與其結果之措施。

3、與可靠財務報導攸關之風險，包括可能發生某些內部或外部事件、交易或情況而對受查者啟動、記錄、處理及報導財務資訊之能力產生不利影響，此將使實際財務資料與財務報表中之管理階層聲明不一致。

1. 管理階層可擬定計畫、步驟或行動以因應特定風險，亦可因成本或其他考量而決定承擔某項風險。
2. 可能產生或改變風險之情況例舉如下：

(三) 受查者監督內部控制制度之流程

1、受查者「監督」內部控制制度之流程(The Entity’s Process to Monitor the System of Internal Control)係用以評估受查者內部控制制度有效性與及時採取必要改正行動之持續性流程。

1. 受查者監督內部控制制度之流程可能包括「持續性作業」(Ongoing Activities)、「個別評估」(Separate Evaluations )（定期執行）(Conducted Periodically)，或二者之結合。
2. 「持續性監督作業」通常被納入受查者之經常性活動中，其內容包含一般之管理及監督作業。前述流程可能因其對風險之評估，而於範圍及頻率上有所差異。
3. 「個別評估監督作業」，例如設置內部稽核部門（人員）。內部稽核職能之目標及範圍通常包括用以評估或監督受查者內部控制制度有效性之作業。

2、執行監督亦可確保控制之執行持續有效。與受查者監督內部控制制度之流程有關之控制（包括監督自動化控制之控制），可能採用「自動化作業」、「人工作業」或二者之結合。

3、當區分「監督作業」及「與資訊系統有關之控制」時，應考量該作業之細節，特別是當該監督作業涉及某些層級之監督性複核時。

1. 「監督作業」之目的則係評估受查者內部控制制度五大組成要素中之控制是否如預期執行。
2. 「與資訊系統有關之控制」則係為因應特定風險。

4、監督作業可能包括使用來自外部溝通之資訊，該等資訊可能顯示內部控制之問題或須改進之重點。

1. 例如，受查者經由顧客支付帳款或投訴帳單金額而間接驗證其帳單資料。
2. 此外，主管機關可能與受查者溝通影響內部控制制度運作之相關議題（例如有關金融主管機關檢查之溝通）。
3. 管理階層執行監督作業時，亦可能將來自外部查核人員對有關內部控制制度之溝通納入考量。

註釋

1. 另值得注意的是，企業經營之目的在於獲利，不論是尋求極大化股東之利益或亦追求穩定獲利永續經營，所有營運活動進行，均係基於成本效益下之考量，亦即企業投入之成本，應可於短期或可合理預期之未來獲益，創造經濟效益，因此，內部控制既係確保企業目標達成之手段，考慮是否建立、執行及維持有效之內部控制，自然隱含有成本效益之考量。返回內文
2. 例如，受查者之風險評估流程可能敘及如何考量未入帳交易之可能性，或如何辨認及分析財務報表中之重大估計。返回內文

資料來源

• 本文章有關審計準則公報第75號「辨認並評估重大不實表達風險」著作權專屬於財團法人會計研究發展基金會所有，本人基於研究目的自財團法人中華民國會計研究發展基金會網站公報內容閱覽專區取得並摘錄援引。

延伸閱讀

1. 國際審計準則公報ISA_620(審計準則公報第71號「查核人員專家」)解析
2. 國際審計準則公報ISA_501(審計準則公報第70號「查核證據——存貨、訴訟與索賠及營運部門資訊之特別考量」)解析