內部控制之延伸－風險管理 釐清觀念架構 創造企業價值

doi:10.6650/ARM.2005.238.30
會計研究月刊, (238), 2005

作者/Author： 馬秀如

頁數/Page： 30-47
出版日期/Publication Date：2005/09
引用本篇文獻時，請提供DOI資訊，並透過DOI永久網址取得最正確的書目資訊。
To cite this Article, please include the DOI name in your reference data.

請使用本篇文獻DOI永久網址進行連結:
To link to this Article:

http://dx.doi.org/10.6650/ARM.2005.238.30

DOI是數位物件識別碼（Digital Object Identifier, DOI）的簡稱，

是這篇文章在網路上的唯一識別碼，
用於永久連結及引用該篇文章。

若想得知更多DOI使用資訊，
請參考 http://doi.airiti.com

For more information,

Please see: http://doi.airiti.com
 內部控制之延伸—

風險管理
釐清觀念架構 創造企業價值
從人類發展的歷史來看，人類存活在不確性之中，不可能避免風險，故風險管理相當
重要。將企業的內部控制延伸至更為全面的風險管理，一個結構清晰完整的觀念性架
構，有助於企業推行風險管理，適當配置及使用資源，以創造企業價值。

■ 馬秀如．政治大學會計學系教授． sma@nccu.edu.tw

企
業（entity）之成立，在 企業或個人所追求的價值， 超過其使用的資源時，價值被創
為其利害關係人（stake- 可被創造、予以保持或被侵蝕。 造，否則，價值很可能減損。
holders）提供價值。企業 不論法人或自然人，其成長或衰 民國七十五年五月中旬，我
的利害關係人，有：出資者（股 敗的過程，均處環境之中，受環 國當時的證券管理委員會（後改
東）、債權人、員工、顧客、供應 境所影響。所謂環境，大體而 名為證券及期貨管理委員會，現
商、社區等。當一家企業成立之 言，指凡自身不可控制的項目。 則為金融監督管理委員會下的證
目的，主要是在替股東爭取其財 因環境超出自己可控制的範圍， 券及期貨管理局，以下簡稱證期
富之增加時，該企業為營利事 故每一個人均面對不確定性。這 局）發布「上市公司建立內部控
業。這些利害關係人中，有很大 些不確定性有的變成風險，有的 制實施要點」，首先規範企業的內
的一個部分是自然人。不論是法 轉為機會；如遇機會，價值可增 部控制，六年後（八十一年三月
人或自然人，都會經過出生、成 加；如遇風險，則價值減少。企 底）再發布「公開發行公司建立
長、衰敗與死亡的過程，並在這 業的管理階層為創造價值，須管 內部控制及內部稽核制度實施要
個過程中追求自已存在的價值。 理風險，掌握機會，進行內部控 點」，把先前實施要點適用的範圍
在法人，這個過程可以很長，長 制，不論企業是政府機關、營利 擴大到所有的公開發行公司，不
到可以假設自己能永續，但在自 事業或非營利機構，均應如此。 再以上市公司為限。不過，三年
然人，則很難長生不死。 當企業進行活動所產生的效益， 之後（八十四年），國際票券公

no.238 030
司、彰化第四信用合作社等弊案 建立內部控制系統處理準則」。同 在這一連串的發展中，美國
仍相繼爆發，顯示雖有實施要點 年四月，會計研究發展基金會又 COSO 委員會於 1992 年發布的
的頒布，但仍無法讓這些公司的 膺與內部控制相關之責任，接受 「內部控制－整體架構」扮演關鍵
內部控制改善，證期局乃於次 當時六大會計師事務所的委託， 角色，我國於民國八十六年三月
（八十五）年八月中旬要求會計師 研究「保險業內部控制制度聲明 所頒布的作業要點及其後的準
須於特定時點介入，查核某些公 書暨會計師內部控制制度查核報 則，均不離該架構的精神。這個
司的內部控制，並出具專案審查 告範例」。 架構定義內部控制，提出一個內
報告。 自八十七年證期局公布內部 部控制是由五個要素所組成的觀
在證期局公布該規定後，會 控制實施要點至今（九十四年中 念性架構，這個架構也是用來評
計師感到執行上的困難，乃透過 旬）已逾七年，其名稱業已變更 估內部控制良窳的工具。發出這
證期局力促台灣證券交易所及櫃 （成為處理準則），其內容也經數 個觀念性架構的美國 COSO 委員
檯買賣中心委託會計研究發展基 次修正，下一次的修正也箭在弦 會，於發出第一本架構後的十二
金會進行研究，並很快於次（八 上，惟該準則依 COSO 內部控制 年 （ 2 0 0 4 年 ）， 再 度 發 出 名 為
十六）年三月依 COSO 委員會 報告之精神而訂定一直未曾改 「企業風險管理－整合架構
「內部控制－整體架構（Internal 變，企業須注意內部控制的趨勢 （Enterprise Risk Management －
Control- Integrated Framework）」 也一直保持。例如，前（九十二） Integrated Framework）」的第二本
的精神發布「申請上市（櫃）公 年十二月，台灣證券交易所及櫃 觀念性架構。這份新報告分為二
司自行評估及會計師審查內部控 檯買賣中心頒布「上市（櫃）公 冊，第一冊為高階主管要覽及架
制制度作業要點」，讓申請上市 司治理實務守則」，其中第三條即 構，第二冊為應用技巧。（註 1）
（櫃）的公司成為首批測試這個作 明定上市（櫃）公司為因應內外 本文以下包括四個部分，首
業要點的企業。再一年（八十七 在環境之變遷，須確保自己的內 先介紹 COSO 委員會，再分別說
年四月中旬），證期局擴大該要點 部控制制度（含設計及執行）持 明內部控制與風險管理的觀念，
的適用範圍，頒布「公開發行公 續有效，應依「公開發行公司建
司建立內部控制制度實施要點」， 立內部控制制度處理準則」之規
要求所有的公開發行公司均須遵 定，考量自己的營運活動，建立
循。後來，上述實施要點的精神 有效之內部控制制度，並應隨時
從一般行業延伸到某些特定行 檢討，強調公司治理之落實要靠
業，如證期局於九十二年一月再 內部控制。
頒「證券及期貨市場各服務事業

註 1 COSO 第一份觀念性架構的中文版係由會計研究發展基金會出版，距今已八年，當其得知 COSO 發布第

二個架構後，謝雅仁前組長、審計部賴森本審計官、富邦葉秀惠資深副總、李美雀老師、阮中祺經理與筆者
等即因體認風險管理對企業追求價值的重要、認同擴充管控之範圍、提前管控時間之作法，乃自告奮勇，組
成團隊，擔任核心成員，齊力將這個觀念性架構譯成中文，並再度委由同一個機構出版。這次的發行除由會
計研究發展基金會負全責外，內部稽核協會（Institute of Internal Auditors, IIA）台灣分會亦有出力之議。

no.238 031
 （1973 年），司法部部長指派特別 Accountants ， IMA）、美國會計學
檢查官 Cox 深入調查， Cox 因而 會 （ American Accounting
掌握 Nixon 涉入水門案的證據， Association ， AAA）、美國會計師
但 Ni x o n 卻 命 司 法 部 部 長 解 除 公 會 （ American Institute of

最後才比較這二個觀念性架構的 Cox 的職務，惟司法部部長和次 Certified Public Accountants ，

異同。本文在說明內部控制時， 長不從，雙雙於當年 10 月 20 日 AICPA）及 IIA ，有感於水門案中

也闡述它在 COSO 提出其報告後 （週六）晚間辭職，表示抗議。不 的不實報導及當時又發生的企業

的新近發展。 過 ， Ni x o n 後 來 還 是 成 功 地 讓 財務報表不實案，乃成立詐欺性
C ox 離 開 檢 察 官 的 職 務 。 1 9 7 6 財務報導全國委員會（National
COSO 委員會 年，總統大選， Nixon 雖醜聞纏 Commission on Fraudulent Financial

COSO 委員會之成立，間接 身，說謊連連，卻仍當選，連任 Reporting ，又以其主席之名而稱

導因於水門案，因此以下先說明 成功，惟國會在次（1977）年因 為 Treadway Commission）

。委員會

水門案及其對 COSO 委員會成立 掌握白宮 Oval 辦公室留有 Nixon 成立後二年，提出 Treadway 報

之影響。 監聽 Cox 通話的錄音帶，而向 告，建議會計教育如何改變、會

Nixon 索取， Nixon 知道國會一旦 計師、行政機關及立法機關應如
水門案 促思內控重要性 取得該錄音帶，一定會彈劾自 何作為，以及，由該委員會的贊

美國的水門大樓（Watergate 已；一旦彈劾，一定通過，乃於 助機構再成立一個委員會，專門

Complex）是一幢位於美國首府華 同年 8 月 9 日用辭職交換不被彈 來研究內部控制之定義及判斷內

盛頓特區的大型住商綜合性大 劾。至於 Cox，於離開公職後， 部控制良窳的標準。該委員會即

樓，民主黨總部即座落於內。 轉任教職，於 Boston College 與 COSO 委員會（the Committee of

1972 年 6 月，水門大樓遭人入 Harvard University 任教，於 2004 Sponsoring Organizations of the

侵，水門案爆發。這個總統濫權 年 5 月過世，享年 92 歲；至於深 Treadway Commission），其性質，

的案件在開始時看似一件單純的 喉嚨究竟是誰，到最近（2005 年 屬衍生，是第一個委員會的贊助

財物竊案，惟入侵者的身份（中 6 月初）才曝光，他是當時聯邦 機構再成立的第二個委員會。

央情報局的特勤人員及古巴人） 調查局（FBI）的副局長費爾特。
從 1973 年到 1976 年，水門 再延伸 企業風險管理
引起華盛頓郵報（Washington Post）
二位記者 Wood 及 Bernstern 的好 案專案檢察官辦公室及證管會於 五年後（1992 年）， COSO

奇，在這二位記者、該報總編輯 調查過程中，注意到企業內部控 委員會出版其第一本報告「內部

布萊德利及發行人葛蘭姆女士的 制的缺失所能引發的嚴重後果， 控制－整體架構」，再二年（1994

堅持、一位當時未曝光人士「深 乃有防止外部腐敗業務法 年），發行補篇，該架構方為大家

喉嚨」的引導，以及國會及司法 （Foreign Corrupt Practice Act of 所接受。 2004 年， COSO 委員會

部的調查下，終於發現入侵之目 1977）的頒布；到 1985 年，五個 又發行第二本觀念性架構－企業

的實在是為竊取對手政黨的資 民間機構，包括財務主持人協會 風險管理（以下簡稱 ERM），已

訊，調查機構也知道共和黨籍總 （Financial Executive Institute ， 如前述。 COSO 委員會成立至

統 Nixon 多次做出不實陳述 F E I ）、 管 理 會 計 人 員 協 會 今，近二十年，其關注的焦點，

（ fraudulent reporting）。 當 時 （ Institute of Management 已由單純的內部控制延伸到企業

no.238 032
註 2 COSO 對內部控制之定義，為“Inter-
nal control is broadly defined as a process,
effected by an entity's board of directors,
management and other personnel, designed
to provide reasonable assurance regarding
the achievement of objectives in the following
categories: effectiveness and efficiency of
operations, reliability of financial reporting,
and compliance with applicable laws and
regulations.”
註 3 AS2 對內部控制之定義，為“A company's internal control over financial reporting is a process designed to provide
reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external
purposes in accordance with generally accepted accounting principles. A company's internal control over financial reporting
includes those policies and procedures that（i）pertain to the maintenance of records that, in reasonable detail, accurately
and fairly reflect the transactions and dispositions of the assets of the company;（ii）provide reasonable assurance that
transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted
accounting principles, and that receipts and expenditures of the company are being made only in accordance with autho-
rizations of management and directors of the company; and （iii）provide reasonable assurance regarding prevention or
timely detection of unauthorized acquisition, use, or disposition of the company's assets that could have a material effect on
the financial statements.

倫理、公司治理及風險管理等，
目前正在研究者，還有把 COSO 控制之查核－與財務報表之查核 討論者的一部分。與 COSO 之定
的內部控制架構應用於中小企 同 時 進 行 者 （ Audit of Internal 義相較， AS2 之定義還增加「對
業。 Control over Financial Reporting 外報導而編製財務報表」之字
Performed in Conjunction with an 眼，強調其非常重視財務報導之
內部控制 Audit of Financial Statements）」。在 過程及其成品－財務報表，而且
COSO「內部控制－整體架 AS2 ，內部控制的定義及內部控 指明它所重視的財務報導，不是
構」（1992 及 1994 年）先對內部 制不佳的分類標準稍有改變，惟 全部的財務報導，只是其中的一
控制作出規範，該報告提出後十 其組成要素並未更動。以下先說 部分，已排除對內報導，只留對
年（2001 、 2002 年）， Enron 、 明 COSO 報告與 AS2 二個文件下 外報導而已，而且，對外報導是
WorldCom 等案接續發生，美國 內部控制的意義，再說明判斷內 依一般公認會計原則為之（註
政府終於在 2002 年 7 月頒布沙氏 部控制缺失嚴重的程度在今昔之 3）。換言之，如在我國，須依商
法案（Sarbanes － Oxley Act of 差異。 業會計法、公司法、證券交易
2002 ，以下簡稱 SOX），成立公 法、商業會計處理準則、公開發
開公司會計監督委員會（Pubic 範圍與意義 行公司財務報告編製準則、年報
Company Accounting Oversight COSO「內部控制－整體架 編製準則等法令，以及財務會計
Board ，以下簡稱 PCAOB），其 構」所討論的內部控制，是內部 準則公報的規定而進行資訊的對
404 條便要求企業的管理階層須 控制的整體，涵蓋三種目標，但 外公開。
提出對與財務報導有關的內部控 AS2 所談論的內部控制，只是三 AS2 定義的特色，除明指財
制係有效的聲明，亦要求會計師 類中的一類。 COSO 故意把內部 務報表外，還明指三類控制活
須驗證上述聲明是否可靠。 控制定義得相當廣泛，為「用以 動。控制活動及控制環境二者均
AICPA 乃於 2003 年 3 月中旬訂出 合理擔保達成營運（有效果及有 為內部控制的組成要素，但前者
草案送 PCAOB ， PCAOB 則於五 效率）、財務報導（可靠）及遵循
個月後（2003 年 8 月）制訂準則 法令三類目標之過程」，至於此過
送證券交易委員會；該委員會再 程是否有效，則繫於人，包含企
於次（2004）年 6 月中旬容許 業的董事會、管理階層及其他人
PCAOB 發布第 2 號審計準則 士（註 2）；相對地， AS2 所關
（Auditing Standards No.2 ，以下簡 心的內部控制，只與財務報導之
稱 AS2）「對與財務報導有關內部 可靠性有關，僅屬 COSO 所全面

no.238 033
 消極的層面，則是：一旦有在未 生的所有交易，若要求萬無一
經授權的情況下買入、使用或處 失，甚至超過六個標準差的水
分重大資產之情事，則均可及時 準，可能失之過嚴，故 AS2 容許
偵知。 少數偏差，只追求合理擔保。
此外， AS2 在指明三類控制 組成要素
活動時，所採用之陳述方式不 不論在 COSO 及 AS2 ，均談
同，對其中二類，它指明須提供 內部控制之目標、如何執行，以
合理擔保，但對第三類，則未見 及靠誰動手來執行。這些項目列
「合理擔保」的字眼。未見「合理 示如圖一。內部控制所追求的目
擔保」字樣的這一類，是對與帳 標有三類，內部控制因而畫分為
冊的設置與記錄有關的控制。 三類；達成各類目標的手段，亦
較為明確。 AS2 明指前者，當非
合理擔保係與絕對擔保 即，組成要素，有五個，至於各
後者不受重視，而顯示其要求更
（absolute assurance）相對。筆者以 目標是否達成、各組成要素是否
明確、更易衡量之意。 AS2 所提
為，在對帳冊的設置與記錄的內 有效，都靠人；而人又散在各
到的三類控制活動，有：
部控制， AS2 未出現「提供合理 處，其所在的單位、層級可以不
1. 設置帳冊，並予記錄；
擔保」之字樣，是因管理階層須 同，因此所探討的內部控制，可
2. 交易均入帳、收付均先經管理
對這類控制提供絕對擔保，不容 以大到企業整體的內部控制，可
階層及董監事授權；
許有任何偏差，非做不可之故。 小到某一子公司、某一部門或某
3. 與保障資產安全有關的控制活
其他二類內部控制係針對每日發 一事業單位之內部控制。在圖一
動。
AS2 明示要求公司所設置的
帳冊記錄（第一類控制活動）須
合理詳盡、正確，到能允當反映
企業之交易與資產的處分之地 圖一：內部控制的目標、組成要素及相關人員
步。第二類控制活動分為二部
分，第一部分為：凡有須要，交
易均已紀錄，第二部分則為收付
之進行，均須依循公司管理階層
及董監事的授權。如果交易均已
紀錄，才有辦法讓財務表按一般
公認會計原則編製。第三類控制
活動則把第二類活動所控制的標
的擴大，不再以金融資產的收付
為限。它有積極及消極二個層
面，在積極的層面，是：凡公司
重大資產，均不會在未經授權的
情況下，買入、使用或處分；在

no.238 034
註 4 AU325 對應報告情況之定義，為“matters in
the design or operation of internal control that could
adversely affect the entity's ability to initiate, record,
process, and report financial statements.”
註 5 AS2 稱顯著缺失為“A significant deficiency is a control deficiency, or combination of control deficiencies,
that”adversely affects the company's ability to initiate, authorize, record, process, or report external financial data
reliably in accordance with generally accepted accounting principles such that there is more than a remote likeli-
hood that a misstatement of the company's annual or interim financial statements that is more than inconsequential
will not be prevented or detected.”（§ 9）

這個立方體中，上層顯示內部控 weakness），美國會計師公會所發 均屬控制缺失（第八段），換言

制的目標，正面顯示組成要素， 布的簽證準則公報（Statement of 之，只要誤述出現，就屬缺失，
側面顯示負責動手執行的相關人 Standard on Attestation 至於誤述是否在報表上出現，則
士。 Engagements ， SSAE ）第 10 號 在所不問。
內部控制的後果 （即 AT501）也依循此命名，但 顯著缺失 vs. 應報告情況

執行內部控制的後果，可以 AS2 將前二種名稱分別改為控制 中級的缺失，比前面嚴重，

大分為有效及無效二類。當內部 缺失（control deficiency）、顯著缺 分別稱為「顯著缺失」及「應報
控制無效時，一定有缺失（或譯 失（significant deficiency）。把名 告情況」。在 COSO 報告及同一
為內部控制的弱點），但即便內部 字由「不重大的缺失」改為「控 系列的審計準則 AU 325 ，「內部
控制整體有效，亦可能仍有缺 制缺失」、「應報告的情況」改為 控制相關事項之溝通－查核時注
失，只不過，該等缺失較不嚴重 「顯著缺失」，語意清晰甚多，混 意 所 及 者 （ Communication of
而已。因此，按嚴重程度來區 水摸魚的模糊空間即減少。 Internal Control Related Matters
分，缺失可有大、中、小三個等 Noted in an Audit）」第三十六
級。在大缺失，企業一定不能容 不重大的缺失 vs. 控制缺失 節，將其定義為「內部控制（設
忍；在小缺失，沒有企業不發 缺失何時屬最不嚴重的那一 計或執行）的一些事項，對啟
生。但是什麼時候叫做大，什麼 級，亦即， COSO 的「不重大缺 動、紀錄、處理或報導財務報表
時候可叫做小？企業所能容忍的 失」或 AS2 的「控制缺失」，一直 的 能 力 造 成 不 利 影 響 者 」（ 註
程度如何？常見仁見智，因人而 是令人困惑的問題。例如，有人 4），而 AS2 則將其定義為「一個
異。還有，大的時候，如何稱 可以問：當缺失大到使誤述 或若干個控制缺失（集合），對公
呼，小的時候，又如何名之，才 （misstatements）出現在報表上之 司依一般公認會計原則啟動、授
不致令人誤會，亦有學問。 AS2 程度，是否仍可稱這種缺失不重 權、紀錄、處理或報導外部財務
即對缺失的名稱與程度作出與 大？針對這個問題， COSO 報告
COSO 不同的規定。 未予討論，但 AS2 則明白定義不
在 COSO 報告，內部控制的 可以。 AS2 藉對控制缺失的定義
缺失，從小到大，分別稱為：不 指出，無論是內部控制的設計或
重 大 的 缺 失 （ immaterial weak- 執行，只要是無法讓管理階層或
ness）、應報告的情況（reportable 員工在其正常執行被指派功能的
condition）及重大缺失（material 情況下，及時預防或偵測誤述，

no.238 035
 受企業經理人指揮監督的事實， 6）； AS2 則認為它是一個或多個
釐清過去若干會計資訊不實案例 顯著缺失（集合），使報表發生重
的原因。綜上可知， AS2 的規範 大誤述（無法預防或偵測者）的
較過去務實，也比過去嚴格。 可能性超過極少可能者（註 7）。
重大缺失 相形之下，二者都指明錯誤
在最嚴重一級的缺失， 已達出現在財務報表之程度，且
COSO 及 AS2 二者雖均名其為 該錯誤為重大，惟二者尚有差
「 重 大 缺 失 」， 但 定 義 不 同 。 異。例如， AS2 不問過程，只問
COSO 報告認為它是內部控制 結果； COSO 則既問過程（在員
（設計或執行）的組成要素（一個 工正常執行其功能），又問結果。
資料的能力，造成不利影響，使 或若干個）無法讓員工在正常執 因 COSO 強調過程（員工在正常
其年度報表（或期中報表）的誤 行其功能的情況下，把及時預防 執行其功能）的情況，則可能被
述無法被預防或偵測的可能性大 （或偵測）「重大錯誤或舞弊」的 別有居心的管理階層利用，這個
於極少可能。」（註 5） 可能性降到相對低的情況（註 管理階層可藉加設條件而「規避」
由上可知，就錯誤的嚴重程 重大的缺失，例如，得宣稱當時
度而言， COSO 報告及 AS2 二者
都已指出，在中級的缺失，已達
出現於財務報表的程度，但
COSO 報告的規定僅及於此，而
AS2 則還繼續指明誤述的嚴重程 表一： COSO 與 AS2 之比較－內部控制之缺失
度不須來得相當大，只須比明顯 嚴重 名 稱 定 義
程度 COSO AS2 COSO AS2
無影響大（more than inconsequen-
小 控制缺失 不重大的缺失 無。 無法讓員工在正常的情
tial），就已列入中級缺失。至於 下執行其功能，及時預
出錯的可能性， COSO 報告略而 防或偵測誤述。

未提，但 AS2 則指明其可能性也 中 顯著缺失 應報導情況 內部控制的一些事項，對 一個或若干個缺失的集

不須大，只要比很不可能稍大一 啟動、紀錄、處理或報導 合，該等缺失會對公司
財務報表的能力，造成不 依一般公認會計原則啟
點點（more than a remote likeli- 利影響者。 動、授權、紀錄、處理
或報導外部財務資料的
，就已歸入本類。
hood）
能力造成不利影響，使
此外， AS2 所指明的財務報 其年度報表（或期中報
表）的誤述無法被預防
導過程，除 COSO 已指明的啟
或偵測的可能性超過極
動、紀錄、處理及報導四者外， 少可能。

還特別增授權一項。啟動、紀 大 重大缺失 重大缺失 內部控制的組成要素（一 一 個 或 多 個 顯 著 缺 失

錄、處理及報導可歸責於會計人 個或若干個）無法讓員工 （集合），使報表發生重
在正常執行其功能的情況 大誤述（無法預防或偵
員，但授權之權則不可能落在會 下，及時把預防或偵測重 測者）的可能性，超過
計人員的身上。這種規定反映我 大錯誤或舞弊的可能性， 極少可能。
降到相對低的情況。
國商業會計法第 5 條會計人員係

no.238 036
註 6 COSO 把重大缺失定義成：“A condition in which the design or operation of one or more of
the internal control components does not reduce to a relatively low level the risk that misstatements
caused by error or fraud in amounts that would be material in relation to the financial statements may
occur and not be detected within a timely period by employees in the normal course of performing
their assigned functions.”（§ 37）
註 7 AS2 稱重大缺失為：“A material weakness is a significant
deficiency, or combination of significant deficiencies, that results in
more than a remote likelihood that a material misstatement of the
annual or interim financial statements will not be prevented or
detected.（§ 10）

因情況特殊，非屬常態，致管理 節提供重大缺失之釋例。這些釋 境對控制是否有效舉足輕重；第

階層不得不加介入（intervention） 例，有： 4 與第 5 兩項都屬間斷性評估，
， 並 非 管 理 階 層 的 踰 越 （ ov e r - 1. 重編前期財務報表，以更正其 亦可見其對財務報導內控之特殊
，故得不歸屬重大缺失。
ride） 上之誤述； 重要性。此外， AS2 還指出，它
發生重大誤述的可能性，在 2. 當期財務報表有重大誤述，但 所關切的控制環境，只與財務報
二者，亦有不同。在 AS2 ，只要 內部控制卻未予辨認； 導有關，例如，第 4 項即指出，
比 極 不 可 能 稍 高 （ more than a 3. 控制環境無效； 其關切審計委員會監督的對象，
remote likelihood），就算重大缺失 4. 審計委員會（監察人）的監督 是財務報導及與財務有關之內部
；在 COSO ，則是相對低（rela- 機制無效，或雖已向管理階層 控制。
tively low），範圍較小；還有，判 及審計委員會報告顯著缺失， 另一方面，出現在財務報表
斷缺失的嚴重程度亦有不同，在 但在合理期間內尚未更正； 上的誤述，可有其他的分類方
COSO ，是達讓一整個組成要素 5. 內部稽核的職能（含風險評估） 式，例如，依會計師出具意見的
都失效的地步才算重大缺失，但 無效； 不同，可以分為：非重大的誤
AS2 則不再強調需達這種程度。 6. 在受到高度管制之產業中，企 述、重大誤述，以及極為重大的
拿大、中、小三個等級缺失 業之組織結構複雜，未遵循法 誤述，也是三級。當財務報表有
間的差異來比較， AS2 可清楚看 令； 誤述，但不重大時，會計師可出
出三者間的差異，而 COSO 則不 7. 管理階層進行舞弊。 無保留意見的查核報告；當誤述
明顯。 AS2 的第一級缺失，是有 上述七個項目中，第 1 、 達重大時，會計師須出保留意
誤述發生，但誤述尚未達出現在 2 、第 6 項後半及第 7 項，都是內 見；當誤述達極為重大時，則須
財務報表的地步；在第二級缺 部控制不良的後果，其他則屬嚴 表達相反意見。由上可知，按嚴
失，這個誤述已會在報表出現， 重程度的判斷指標，如第 2 項指 重程度來區分，誤述與內部控制
但不一定重大；在第三級缺失， 出，若未能在財務報表發生重大 缺失均可分為三級，數目恰相
這個誤述不但會在財務報表出 誤述時即時予以辨認，即使後來 同，但二者並非一對一的對應，
現，而且還是其上的重大誤述。 更正，即屬重大；第 7 項則指
相對地，這些程度間的差異是無 出，只要有管理階層進行舞弊，
法在 COSO 報告明顯看得出來 不論程度大小，都屬重大缺失。
的。上述說明，得彙總如表一。 第 3 項逕指控制環境，其後三項
另外， AS2 為幫助他人作成 （第 4 、第 5 及第 6 項）都是與控
缺失是否重大的判斷，其第 140 制環境有關的項目，可見控制環

no.238 037
 註 8 陳彩稚，“保險學”
， 1996 ，三民書局。

註 9 邱潤容，“保險學理論與實務”
， 2002 ，三民書局。

註 10 William ＆ Heins,“Risk Management and Insurance”,6th ed., 1989, McGraw-Hill.

換言之，在財務報表上尚無誤述 用十分頻繁的觀念，已頻繁到意 損失結果之不確定現象（註

時，內部控制已有缺失，誤述尚 義分歧的地步，連翻譯也不只一 8）；但邱潤容（2002）則認為風
未達極為重大的地步時，內部控 種。 險不再以損失為限，而指出風險
制的缺失已達最嚴重的那一級。 risk 的起源，是希臘字 risa ， 是指任何可能發生意外的不確定
還有，另外值得注意的一 有峭壁懸崖之意。 性 （ 註 9 ）， W i l l i a m 及 H e i n s
點，是 AS2 之發布雖然在 這個名詞的 （1989）也認為風險是「在某一時
COSO 發布其 ERM 架構的 意義，早期 點，某一狀況下，事件發生結果
草案之後，但其使用的詞 多著重在危 之變動性」（註 10）。
彙仍來自 COSO 的內部 險、傷害、 risk 得譯為風險（如鄧家駒）
控制架構，而非 ERM 損毀、損失 或危險（如陳彩稚）。當譯為危險
架構，例如，其稱 （ p e r i l 、 時，常指純粹風險（pure risk）；
控制環境，而非 hazard 、 jeopardy 當譯為風險時，則常指投機風險
內部環境。 及 danger）等，例 （speculative risk）。所謂純粹風
如，陳彩稚（1996） 險，係指未來的結果有未定性
風險管理 指出，「危險」是指 （indeterminacy），其可能結果不只
一種不確定之現象，指 一種，而且其可能的諸結果中，
風險
預測之誤差，它 有者為保持現況，有者為遭受損
風險（risk）
不是損失結 失，但無獲利的可能；相對地，
一詞，是一個
果 的 本 所謂投機風險，亦指未來結果的
使
身，而 不確定性，惟其亦有獲利的可
是 能，其內涵較傾向於機會
（chance）、賭（gamble）及冒險
（venture）等。
由上可知，風險的範圍，可
廣可狹，在廣義的風險，包括可
能有利之後果，亦即機會，在狹
義的風險，則後果全都不利，只
↑ 企業或個人在追求價值的過程中，均會因環境的不確定性而有風險存在的可能。 是各後果之潛在損失（potential

no.238 038
loss）大小不同而已。在風險一詞 財產及責任風險都是保險學上所 理。惟「衡量」並不等於「量
的前面加上形容詞，即形成某一 作之區分。所謂動態風險，係由 化」，非量化的衡量，如劃分高、
類的風險，而構成一種風險的分 人為或全面的不確定性所造成 中、低，亦可適用於風險之管
類。例如前述的純粹風險與投機 的，無法則可循，不可投保；所 理。風險的特徵，包括其發生之
風險，是一種分類，除此之外， 謂靜態風險，則與其相反，由自 可能性及其一旦發生後之嚴重程
尚有其他分類，常見者，如：固 然界及特定的不確定性所造成， 度。
有風險與剩餘（residual）風險； 有法則可循，或是在一個很短的 價值是個體（entity ，包括自
信用（credit）風險、作業（oper- 時間內所觀察到的風險，是可投 然人、法人）所追求的目標，而
ation）風險與市價（market）風 保的風險；財務風險，顧名思 價值與風險之關係密切。在管理
險；固有（inherent）風險、控制 義，必與錢財有關，非財務風險 風險的過程中，須配置及使用資
（control）風險及偵知（detection） 則可能與人身健康有關。 源。當企業使用資源後的淨效益
風險；靜態（static）及動態 為正，換言之，使用資源而產生
（dynamic）風險；財務（financial） 風險管理 的效益大於所使用的資源（成本）
及非財務（nonfinancial）風險； 所謂風險管理，簡單地說， 時，價值被創造；若使用資源後
人身（personal）、財產（property） 就是有人去管理風險；在企業風 的淨效益不變，則價值被維持；
及責任（liability）風險等。 險 管 理 （ Enterprise Risk 如果淨效益為負，則價值被侵
固有風險與剩餘風險是 Management ， ERM），則指明進 蝕。
COSO ERM 架構的分類方式，可 行這項行動的人，是企業（法 風險的範圍既可廣可狹，風
在任何企業進行風險管理時使 人），不是個人自然人。 險管理的範圍亦同樣可廣可狹，
用；信用、作業與市場風險是 風險管理是一個目前當紅的 它可狹到只涵蓋企業的投資決
Basel 協定（2004 版， Basel II）的 名詞，不過，它不是一個近代才 策，如 Doherty（1985）之主張
區分方式，美國金融局則再加上 出現的新觀念。這個古老觀念之 （註 11），只是企業一般財務規劃
流動性（liquidity）風險與法律 發韌，與人類追求價值的歷史有 及控制活動中的一部分，如
（legal）風險；固有、控制與偵察 密切關係。風險可以被創造、管 Ritchie 及 Marshall（1993）所明指
風險，是會計師為便利其查核財 理及交換，就像價值可以被創 者（註 12），或放大範圍而涵蓋
務報表而作的區分；靜態及動 造、保持或侵蝕一般。當風險的 所有可能的管理活動，不過，僅
態、財務與非財務，以及人身、 特徵可衡量時，風險即可被管 針對純粹風險，而排除投機風
險，如 Vaughan（1997）（註 13）
及陳彩稚（1996）（註 14）之主
註 11 Doherty（1985）主張 Risk management 是：“those investment decisions taken by an organization in 張。此時的「風險管理」得以
anticipation of, or as a consequence to, foreseen losses and the selection of appropriate financing strategies”
註 12 Bob Ritchie 及 David Marshall（1993）主張： Risk management may be seen as a part of the organiza-
tion's general financial planning and control activity in that losses may flow from the processes undertaken by the
organization.
註 13 Emmett J. Vaughan（1997）主張： Risk management is a scientific approach to dealing with pure risks by
anticipating possible accidental losses and designing and implementing procedures that minimize the occurrence
of loss or the financial impact the losses that do occur.（ p.10）
註 14 陳彩稚（1996）所定義的危險管理，是「一套有系統之規劃、執行與控制之程序，用以處理個人或組
織所面臨之潛在危險損失。」

no.238 039
 註 16 COSO 對 ERM 的定義，為
“a process, effected by an entity's
board of directors, management
and other personnel, applied in the
strategy setting and across the
enterprise, designed to identify
potential events that may affect the
entity, and manage risk to be within
its risk appetite, to provide reason-
able assurance regarding the
achievement of entity objectives.”
註 17 ERM 架構自許的優點，至 註 18 陳彩稚於保險學辨認危險管理的優點，基本
少有： 1. 因策略係根據風險胃納 上為降低危險之不確定程度與損失，故其優點有：
而訂定，故策略得以追隨風險胃 1.降低憂慮的程度，把注意力集中於事業之開發；
納，並與其一致； 2. 風險回應之 2.提高危險處理成本之效率； 3.避免損失過鉅到無
決策得以強化； 3. 企業營運的非 法承受的地步； 4.穩定個人或組織之收入； 5.持續
預期風險及損失得以降低； 4.遍 企業或組織之經營； 6.善盡社會責任； 7.符合法令
及企業各層面之風險，得以確認 之要求（p.10 ∼ 12）；邱潤容則於保險學理論與實
與管理； 5. 機會得以掌握，以及 務指出，風險管理的功能，在維持一種合理的代價
6. 資金之配置得以改善。 之下的風險水準，也就是在不確定的「結果」與
「代價」之間，取得平衡的一種狀況。（p.3）

「危險管理」為名；或者，範圍再 appetite），該過程的目標，與內 主宰生物，是因人進行風險管理

擴張到將投機風險亦納入，如鄧 部控制一樣，都在幫助企業達成 的緣故，因此若有人說，人類的
家駒（2004）、邱潤容（2002） 其目標（註 16）。 歷史，或者人的求生史，就是人
（註 15）之主張。 由上可知，企業進行的風險 類進行風險管理的經過，並不為
由上可知，有關風險與風險 管理與 ERM 二者十分相近，均是 過。以下即由人類的歷史說明風
管理的觀念，在學者間即意見不 企業在選擇、承接風險，選擇策 險管理。
一致，到了業界，再加上各產業 略、採取行動，以降低風險，其 人類之所以須進行風險管
的差異、各人的經驗與主觀認知 目的，均在創造企業的價值。不 理，是因為人類暴露在不幸與逆
的不同，解釋起來，更可能南轅 過，其範圍大小可能不同，當上 境中。不幸與逆境就是風險，而
北轍，造成溝通上的困難，於是 述定義的範圍愈大時，二者愈相 人類又不想被不幸與逆境所打
COSO 提出 ERM 的目的之一，與 近。除範圍之可能差異外， 倒，換言之，人類想支配風險，
其提出內部控制架構一樣，都在 COSO 所發表的 ERM 架構較為結 故不斷尋求方法來研究、分析以
謀用語之一致。 構化（structured）、完整，用語亦 及量化風險，也創造出各種工具
當風險管理適用於法人（企 經統一。 來管理風險。例如，人類為得到
業）
，而非自然人時，即為「企業」 保護與進行社會互動，會聚集在
的「風險管理」。「企業」的「風 風險管理之重要性 一起與增加數目，共享資源與成
險管理」，從字面上來看，即指 風險管理，與個體和面臨的 功，或者共同承受逆境與風險。
ERM（企業風險管理）。 COSO 不確定性、所追求的價值有關， 人類群居與繁衍的行為，與其他
將 ERM 定義為企業管理過程 其重要性故必高。 物種相同，不過人類還做一些其
（process）中的一部分，而這個部 由 COSO 的 ERM 自許的優 他物種不會做或做得不如人類好
分專門是指與風險打交道的部 點（註 17）或保險學教科書的說 的事，如：創造工具，用以防禦
分，包括企業辨認潛在事項、衡 明（註 18），固可看出風險管理 或生產，學習節約、蓄養動物、
量風險、決定管理風險的方式 的重要性，但由人類的發展歷史 種植作物。創造工具，發展農、
（接受、規避、分攤或抑減），予 來看則更為生動。 牧、礦業，可對未來的消費或逆
以執行、評估及回饋，讓企業的 在各物種的演化中，人類這 境預作準備，提高生存的機率。
風險不要超出風險胃納（risk 個物種能脫穎而出，成為地球的 人類先出現儲蓄的行為，待財富

no.238 040
 ERM 之架構指出其八個組成
圖二： ERM 的目標、組成要素及相關人員
要素分別為：內部環境（internal
environment）、目標設定（objec-
tive setting）、事項辨認（event
identification）、風險評估（risk
a s s e s s m e n t ）、 風 險 回 應 （ r i s k
response）、控制活動（control
activities）、資訊與溝通（informa-
tion and communication），以及監
督（monitoring）。所謂內部環
境，係指形塑（encompasses）組
織之基調（tone of an organiza-
tion），並建立企業之人員如何看
待與如何處理風險之基礎，包括
風險管理哲學與風險胃納、操守
與倫理價值觀，以及營運所處之
環境；目標設定，則在談管理階
層於辨認影響其目標能否達成之
潛在事項前，擇定其目標。企業
穩定成長後，又產生財產權（如 風險管理之組成要素 風險管理保證管理階層訂有制訂
物權、債權）的觀念，於是，為 COSO 指出， ERM 得如圖 目標之過程，以及所選中之目標
保護財產權，又制定法律、設計 二。圖一與圖二兩個圖的主體不 能支持企業之使命、追隨該使
制度，規範人跟人之間的關係、 同，圖一所描述者是內部控制， 命，並與企業之風險胃納一致。
定義個人的責任與權利，並予落 圖二則是風險管理；至於圖二這 事項辨認是企業辨認會影響目標
實執行。 個立方體的三個構面，則與圖一 能否達成之事項，這些事項可區
拿現代人類所能處理（規 相同。圖二之正上方所列示者， 分內部及外部二類，亦可區分為
避、抑減或分攤）之風險，與過 為風險管理欲達成的目標，正前 風險與機會二類。管理階層應把
去比較，不但種類增加，範圍比 方為風險管理的組成要素，左側 機會導回（channel back）設定策
過去廣，效果也比以前好。例 則為執行風險管理的人或應用風 略或目標之流程中。
如，過去的人只想到現貨，現在 險管理的組織單位。
的人還想到期貨，甚至還有選擇 由圖二可知， ERM 的組成要
權。當衍生性金融商品這個避險 素有八個，以下簡單說明這些組
工具出現後，有人用以避險，有 成要素，至於 COSO 內部控制與
人藉以投機，各取所需，人類管 風險管理二個架構異同之比較，
理風險的能力又比以前改善。 容下段再述。

no.238 041
 二本 COSO 架構之比較 針對第一個問題，其答案，
是風險管理重要，而且目前內部
COSO 二本架構所討論的對
控制架構的作法有缺失，這些缺
象，從字面上來看，在第一本是
失，有內部控制架構：
內部控制，在第二本則是風險管
1. 係待目標業已設定之後，才介
理，四個字中無一重複，似應很
入控制，時間太晚；
不相同，但事實上是二者大同小
2. 忽略管理階層設定風險胃納的
異：二份報告都針對管理階層之
所謂風險評估，是企業分析 責任；
責任、二者的目標都在幫助企業
風險、考量其發生之可能性 3. 管理階層管理風險之方式可能
達成企業的目標、達成目標的關
（likelihood）及後果（impact），並 欠當，例如，各項剩餘風險係
鍵者是人、人都分屬不同單位、
藉以決定風險應如何加以管理的 單獨處理、單獨考量，各功能
達成目標的方法都可分成若干個
過程。所評估之風險，有固有風 別的各項剩餘風險（residual
組成要素，其中，又有許多相
險及剩餘風險。所謂風險回應， risks）並未予以綜合。
同；而且，連其定義的措詞都儘
係指管理階層自風險規避、承 針對第二個問題，其答案是
量接近。當其定義內部控制時，
受、抑減及分擔等方式中選擇其 「內部控制－整體架構」未被廢
稱其為一個受到企業人員影響的
一，並進行一連串的行動。所謂 止。 ERM 架構明白指出，在只看
過程，當其定義 ERM 時，使用完
控制活動，係指用來協助管理階 內部控制的本身時，「內部控制
全相同的字眼。既然相同的項目
層保證其選中的風險回應方式能 －整體架構」仍然有效。
這樣多，很可能會有人質疑：
有效執行之行為。所謂資訊與溝 至於第三個問題（二者之不
1. 為何 COSO 委員會在發布內部
通，係指管理階層及員工辨認與 同），有者可明顯得知，例如： 1.
控制的架構之後，又發布 ERM
擷取攸關資訊並予溝通的過程。 風險管理的範圍比內部控制廣，
的架構？
溝通之範圍不以企業內部為限， 涵蓋內部控制； 2.組成要素的個
2. 新 ERM 架構發布後，舊的內
可以廣泛到對外的溝通；對內的 數不同，由五個增至八個； 3.管
部控制架構是否被廢止？
溝通則包括企業由上而下、由下 控的時間也不同，比以前提前。
3. 二本架構有何不同？
而上，以及相互之間橫向的溝 原屬內部控制的五個要素，基本
通。資訊的項目、形式，以及辨 上，全部保留，也有新增。新增
認、擷取與溝通資訊的時限 的要素多與風險有關。與風險有
（time frame），都影響到相關人員 關的組成要素，原來只有一個
是否能履行其責任。所謂監督， （「風險評估」），現則增至四個，
則指監督企業風險管理之整體， 除「風險評估」外，事項辨認自
此外，亦包括必要時的修正；監 其中獨立出來，此外新增「目標
督之進行，可藉持續進行之管理 設定」及「風險回應」二個要
作業、間斷性評估（separate eval- 素。
uation），或二者兼採。

no.238 042
 ERM 報告的附錄 C 概略說明 內部控制架構所考量的三類目 介入之時點
二本架構間之關係，附錄 C 所提 標，是較低層次的目標，在 ERM 企業在制訂策略性目標時，
出的差異，除二者的範圍、介入 全予保留，惟將「財務報導」中 即須採用 ERM 的作法，在訂定其
的時點、要素的個數外，還有所 的財務二字刪除，成為「報導」， 他三類目標時，亦同，不過，在
考量的目標、風險的觀念、組成 而變成營運、報導及法令遵循三 內部控制的架構，則把企業之目
要素的內容及名稱等。不過，附 類。 標視為既定，換言之，內部控制
錄 C 並未完整列示差異，有些差 內部控制架構將「報導」目 之目標是在達成企業之既定目
異僅在報告本文或其他附錄中加 標限定為與對外公開的財務資訊 標，即使所訂定的營運目標超出
以描述，而未於該附錄重述，例 有關，至財務報表的品質，則僅 風險胃納，不是好目標，在內部
如，監督與控制活動之不同、內 與其可靠性（reliability）有關， 控制的架構仍謂管理階層須努力
部控制（或風險管理）與管理過 排除攸關性（relevance），換言 去達成，而且，還規定：一旦管
程的關係、改正活動之歸屬等。 之，內部控制報告不是不追求對 理階層知道這些目標的達成程
茲說明其大者如下。 內的財務報導係可靠及財務報導 度，即使該程度偏低，也可堂而
須攸關二項目標，而是將其併入 皇之地出具內部控制聲明書，並
所涵括的範圍 營運目標之內。 ERM 架構之「報 在其上宣稱自己與營運有關的內
ERM 所涵括的範圍，比內部 導」目標，則明顯將報導之對象 部控制為有效。這種規定，與真
控制為廣。換言之，內部控制係 擴大，也有對外公布的報告，如 正能對企業提供協助，尚有一段
包含在 ERM 之內，成為 ERM 不 向主管機關申報及給其他利害關 距離。
可或缺的一部份。 ERM 的觀念性 係人之報告。而且，報表的範圍
架構，係自內部控制延伸，涵蓋 尚包括不用金額（財務數字）表
內部控制，比它更強韌、完整， 達的非財務資訊。
且更著重風險。 不過，針對資訊的品質，
ERM 仍只追求可靠，而不問攸
所考量之目標 關。其實， ERM 並不是不想追求
內部控制架構辨認出三類目 資訊的攸關，而是在設計 ERM 制
標：營運、財務報導及法令遵 度時，須回答的問題尚未浮現，
循，而 ERM 再提出一類層次更高 資訊是否攸關，尚無法判斷，不
的目標：策略性目標。策略性目 得不予排除之故。
標係由企業的使命或願景而衍
生，層次比營運、報導及法令遵
循的目標高，後面三類目標須追
隨前者，並與其一致。換言之，

no.238 043
 目標的指引。管理階層在設定次
一層級的相關目標時，應考量相
關目標的重要性，並讓相關目追
隨策略，也讓風險容度追隨風險
胃納，如此一來，企業的實際風
則把風險分為固有及剩餘二類，
險大概不會超出風險胃納，管理
還考慮衡量風險的單位、期間之
階層可較為安心。
長短與可觀察的程度，以及風險
如何量化，在在均比內部控制架
風險觀念的強化 二、與風險有關的組成要素：
構深入且銳利。 ERM 建議管理階
風險的觀念，在內部控制架 內部控制架構已注意到風
層主要考量剩餘風險，以及剩餘
構不是沒有考量，但與 ERM 架構 險，認為： 1.企業的各個層級都
風險所影響的企業目標，此外還
相較，不如 ERM 。這些在 ERM 存有風險； 2.風險係肇因於多種
主張衡量風險的單位最好一致，
強化的風險觀念，計有： 1.引進 內部及外界因素或事件； 3.辨認
期間應與企業策略及目標之期間
風險胃納與風險容忍度之觀念； 風險，需從這些事件影響目標能
相同，而且，如有可能，盡量可
2.與風險有關的組成要素個數增 不能達成而下手； 4.風險可以衡
觀察。風險如何量化之說明，在
加，討論也更深入； 3.從組合的 量，衡量時，得量化及非量化；
ERM 所使用的篇幅，比內部控制
觀點來看風險，而非個別處理。 5.企業須評估風險，評估時，應
架構多得多，例如， ERM 第二冊
茲分述如下。 分別考量某特定風險發生的可能
「應用技術」即介紹多種風險值
性及其一旦發生的潛在後果，並
（value-at-risk ， VAR）之衡量。
一、風險胃納與風險容忍度： 在五個組成要素中的「風險評估」
對風險之回應，內部控制架
COSO 的內部控制架構固然 明顯標示風險。 ERM 不但同意內
構談得不多， ERM 則辨認出四類
提及風險，但只強調實際發生的 部控制架構的上述看法，而且還
回應的方式：規避、抑減、分擔
風險，沒有提到可容忍的風險， 把談風險的組成要素從一個擴充
及承受。管理階層考量先上述四
ERM 則引進風險胃納（appetite） 成四個，己如前述。
類回應方式，再從其中選取與企
與風險容忍度（tolerance）之觀 ERM 把「事項辨認」這個要
業風險容忍度（剩餘風險）相一
念。胃納與容忍度二者均屬事前 素獨立出來，不再將其隱身於
致者，作為企業風險管理的一部
的觀念，但層級不同。所謂風險 「評估風險」之內， ERM 明白討
份。管理階層先從個人或小組的
胃納，係指一個企業在追求其整 論辨認潛在事項之觀念，把「事
基礎來考量這些風險回應，然
體使命或願景時，所願意接受的 項」定義成源自企業內部或外界
後，再考量其對遍及企業各層面
變動程度（variation）；而風險容 環境而發生的一件事或一個現
的累積影響。這些原未納入內部
忍度則僅針對某個特定目標，指 象，可以是機會或風險。不論是
控制架構之項目，已納入 ERM 的
管理階層願意接受該目標無法達 機會或風險，均影響企業策略是
架構之中。
成之變動程度。風險胃納為一個 否做得到或目標能否落實執行。

廣義的觀念，範圍較大，而風險 此外， ERM 還利用若干種技術來

容忍度的範圍則較小，前者是訂 辨認機會或風險，以及觸發機會

定總體策略及選擇次一層級相關 或風險的原因；在評估風險時，

no.238 044
 要，故 ERM 對關鍵外部獨立董事
之要求，比「內部控制-整體架構」
更多，內部控制-整體架構只求其
達 關 鍵 群 （ critical mass） 的 地
步，換言之，只要有二位以上，
但 ERM 架構則明示要超過半數，
方能使企業風險管理制度有效。
針對資訊與溝通組成要素，
↑ COSO 近二十年，已由單純的內部控制延伸到企業倫理、公司治理及風險管理等， ERM 特別提出需考量從過去、目
目前正在研究者，還有把 COSO 的內部控制架構應用於中小企業。
前及未來事項而來之資料。資訊
旨在幫助管理階層辨認事項、評
三、組合的觀點： 組成要素的內涵 估風險，以及對風險做出回應，

企業面臨風險，而其面臨的 並使企業的風險不超出其風險胃
內部控制各組成要素的內
風險不只一種，是綜合風險 納之範圍，故須尋找在某一段時
含，到了 ERM ，多予保留，惟亦
（composite risks）。一件事項之發 間範圍內，依企業所需詳細程度
可能延伸。例如，內部控制架構
生或不發生，其引發的風險可能 之資料。從過去事項而來的歷史
在談控制環境組成要素時，多談
不只一種，不同風險間可能有關 資料，使企業能追蹤實際績效，
控制意識，而少談風險意識，但
連，二個風險也可能相互抵銷， 與目標、計畫及預期結果比較，
ERM 在談內部環境時，除談到控
或者，相反地，原本看似各自獨 得以洞悉及判斷企業在過去、在
制意識外，也論及企業風險管理
立的若干個小風險，一旦同時發 不同的情況下表現得如何；目前
的哲學與風險意識，對可容忍的
生，可能釀成巨災。內部控制架 及現實之資料是重要補充資訊；
風險著墨甚多。所謂風險管理的
構於思考企業目標之達成時，雖 對未來事項及潛在因素的資料，
哲學，係指一套顯示一家企業如
已慮及多種風險，但尚未從整體 則可用來進行分析，並決定未來
何考量風險的信念和態度，它反
的組合觀點來考量，而 ERM 則改 的方向。
映該企業所追求之價值，影響該
採綜合風險的觀點，要管理階層 企業的文化與經營風格。前已述
依企業整體層級的組合觀點來看 及， ERM 之架構包括企業風險胃
事情，所以其要求負責各企業單 納之觀念，而其係由風險容忍度
位、職能、程序或其他活動的經 來支持。風險容忍度針對某一個
理人先針對自己負責的單位評估 目標，比風險胃納更明確。又
自己的風險，高階管理階層然後 如，因為董事會及其組成對一家
再從「組合」的觀點來看風險。 企業的控制（內部）環境十分重

no.238 045
 （action）。所謂程序，是執行政策
的行為，比以前更受重視。此外
ERM 還明確指出，某些控制活動
本身就是對風險之回應。
至於溝通的管道，企業必有 所謂持續性監督（ongoing
一條正常的報告管道。內部控制 monitoring），係與間斷性評估
架構認為企業應在該管道之外再 （separate evaluation）相對，二者
增設一條管道， ERM 則明述有效 均屬監督的組成要素，後者係由
的企業風險管理，即需如此一條 非例行負責之員工進行，前者則
管道，比內部控制架構更強調該 由平常負責員工之長官來掌理， 3. 以 適 當 的 組 織 結 構 及 監 督 活
管道。 內部控制架構舉出七個例子來說 動，來監督控制的功能，並辨
明持續性監督，但 ERM 則僅保留 識缺失；
組成要素的名稱 其中部分，另增新的項目，並把 4. 以資訊系統所記錄的資料和實
一個組成要素的名稱在 ERM 原來的部分項目移至控制活動。 體資產比對，並列報其間之差
改變：「控制環境」，它改為「內 此外，在內部控制，更正活動被 異；
部環境」。「控制環境」一詞係在 視為是一個獨立的管理過程，未 5. 內、外部稽核人員定期對用以
內部控制架構使用，「內部環境」 被納入在監督之中，但 ERM 則將 強化內部控制的方法提出建
一詞則較一般化，不只著重「控 其納入監督之內。 議；
制」的層面而已，把控制活動所 舊有的內部控制架構所舉管 6. 藉員工訓練課程、規劃會議和
控制的營業活動也包括在內。 理階層之持續性監督活動，計有 其他會議，而把控制是否有效
ERM 明白指出，風險回應的行 七項，分別為： 的資訊回饋給管理階層；
為，可能是營運活動，也可能是 1. 負責營運的管理階層在履行其 7. 定期要求員工陳述他們是否瞭
控制活動，把「控制環境」改為 日常之管理活動時，可取得內 解企業之行為守則，並加遵
「內部環境」，暗示影響風險管理 部控制制度是否持續發揮功能 守。
的軟性因素固均與人有關，但其 之證據。例如，製造部經理一 ERM 所保留的部分，大體上
著眼的範圍擴大，不是只有控制 旦看到公司內部的產銷報告， 有上述的第 1 、第 2 、第 5 及第 6
一端而已。 若與其瞭解有所偏離時，或顯 等項，至於第 3 項中的適當的組
示偏離預期結果，即可提出質 織結構，包括職務分工，以及以
控制活動與持續性監督 疑； 紀錄和實體資產相比對（第 4
所謂控制活動， ERM 認為係 2. 用來自外界團體的資訊，驗證 項），則已移至控制活動。相對
指幫助管理階層保證其風險回應 內部資訊係正確，或相反地， 地， ERM 也新增一些持續性監督
之指令會被落實執行的設計。這 顯示有問題出現；政府主管機 之項目，如用風險值模型所列報
種看法，二本架構基本上一致， 關亦可就遵循法令或其他事項 資訊的變動，來評估市場的潛在
都指出控制活動包括政策（policy） 與企業的管理階層溝通，以反 變動對某家企業財務狀況之影響
與程序（procedures），不過 ERM 映企業內部控制制度的功能是 （新的第 2 項），以及經理人在經
更著重員工落實執行政策的行為 否發揮； 營業務的日常活動中，與員工談

no.238 046
 新增的職位
每個組織結構中，都有若干
個組織單位，不同職位的人士是
分屬不同的組織單位。控制環境 分別於 1992（1994）及 2004 年
（或內部環境）屬內部控制（或 發布二個觀念性架構，探討內部
ERM）的一環，均為其他組成要 控制及風險管理之目標、達成目
素的基礎。這二個架構均明示內 標的手段及人選。本文先介紹
部控制（或 ERM）是否有效，係 COSO 委員會及促其產生的水門
話（新的第 7 項）。 VAR 變動的 繫於人，每個人各用不同的方 案，再分別說明內部控制與風險
資訊，可用來聯想財務交易會產 式，協助內部控制（或 ERM）之 管理的觀念，最後才比較這二個
生那些之影響；經理人與員工談 進行。 觀念性架構的異同。本文在說明
的話題，則有：他（她）們對公 組織單位之設計，相當重 內部控制時，除描述 COSO 所做
司行為規範之瞭解有多少、他 要，內部控制與 ERM 二個架構都 的定義，也闡述它在 COSO 提出
（她）們如何辨認風險，以及在進 注意到企業所設置的多種職位與 其報告後的新近發展，並指出
行控制程序的過程中所浮現的議 其擔負之責任。 ERM 新設一個內 AS2 對內部控制之要求比 COSO
題。此種討論的結果，可能是證 部控制架構所未談到的角色：風 高、所能容忍的缺失比 COSO
實企業風險管理之各組成要素係 控主管，也說明風控主管這個角 少。
適當運作，或者，需進一步注意 色與其責任。此外 ERM 還擴大董 本文也指出，從人類發展的
的事項因此而浮現。 事會所扮演之角色，對某些人選 歷史來看，風險管理與價值有
此外，內部控制有設計與執 （如獨立董事）的身分及其人數而 關，人類存活在不確性之中，不
行二個層面。當員工的能力及操 做出要求，此舉可見二個架構對 可能避免風（危）險，故風險管
守均相當傑出，知道控制有設計 人的一貫重視。 理相當重要。有一個結構清晰完
上的缺失，而缺失的方向是設計 整的觀念性架構，辨認出八個組
得太鬆時，得違背當初設計的控 結語 成要素，對企業推行風險管理，
制制度，而自動增加執行控制活 內部控制是管理過程的一部 有其助益；企業若主張因可從這
動，出現執行的缺失；或者，另 分，風險管理也是管理過程的一 個觀念性架構蒙利而自願推行風
一方面，當缺失的方向是設計得 部分，二者都很重要，有很多相 險管理，當屬明智。
太嚴時，得違背當初設計的控制 同的地方，不過也有不同之處。
制度而自動把某些控制活動略而 風險管理是內部控制之延伸，範
不執行。在內部控制架構，容忍 圍比內部控制大。 COSO 委員會
這種以執行的缺失來更正設計的
缺失之作法，而可稱自己的內部
控制在整體上為有效，不過，在
ERM ，則未再鼓勵這種說法。

no.238 047