聚焦重要風險並加強查核深度 - 談銀行業建立風險導向內部稽核制度

壹、前言

金融機構為因應日趨嚴謹之金融監理法規要求，於風險管理、法律遵循及內部控制需投入之成本及心力日增，惟國內外金融機構因人員舞弊、外部欺詐或內部控制失當等原因而蒙受損失或受主管機關裁罰之事件依然頻仍。為與國際稽核潮流接軌並提升稽核彈性與價值，銀行公會於前(2016)年公布「銀行業建立風險導向內部稽核制度實務守則」，敘明金融機構除應具備明確之內部控制三道防線架構，並應建立內部稽核風險評估之程序與方法，及內部稽核品質評核機制，以期透過風險導向內部稽核制度，將有限之稽核資源配置於較高風險之業務或作業，提升內部稽核執行效益並使銀行業之內部控制更臻完善。

貳、風險導向稽核制度

風險導向稽核制度著重風險之辨識、評估與管理，透過風險評估之方法，審慎評估稽核範圍內各個受查主體之風險，對於各受查主體量身訂做查核作業及查核頻率，與傳統稽核制度著重於現行內部控制制度之運作有效性，對於不同風險項目採取齊頭式之查核頻率及查核深度顯有不同。以存匯業務為例，如存匯業務包括支票存款、活期存款及定期存款，傳統稽核制度對上述存款作業每年均進行例行稽核，縱使活期存款作業之洗錢風險較高，惟因每年之稽核人力有限，故無法就活期存款作業投入更多之稽核資源；而風險導向稽核制度即除了例行稽核外，針對風險較高之作業項目，將再行安排較為深入之稽核計畫，且其稽核頻率亦會較例行稽核為高，同時亦會針對稽核結果提出建議，以逐步降低活期存款作業之洗錢風險。由此可知，導入風險導向稽核制度因不再受限於每年均需對現行內部控制制度之所有項目進行稽核，可針對風險較高的項目投入較多稽核資源，故可增加稽核作業之彈性，並由事後稽核轉為事前防範，除提升稽核價值外，亦可增進公司整體內部控制制度之有效性，並強化企業經營體質及管理能力。

一、風險評估之程序與方法

建立風險導向稽核制度之最大挑戰在於建立內部稽核風險評估之程序與方法，包括確認風險評估範圍、擬訂風險評估因子與風險評估方法。延以存匯業務為例，即首先必須要確認應該要列入稽核之作業有哪些，列入稽核之作業應如何評估其風險，及其判定為異常之標準為何。銀行業為確認風險評估範圍，應就其單位組織所經營業務範圍及主管機關法令規範，辨識應辦理風險評估之受查主體，以確保風險評估範圍能完整涵蓋銀行業整體營運範疇。受查主體可以是單位組織、產品、業務、作業流程或依其他構面訂定受查主體[1]，端視銀行業對於受查主體風險評估之整體性及其與查核頻率連結之相關性，並考量自身對於風險管理之需求及查核計畫安排之可行性，以訂定適當之受查主體。

決定受查主體後，銀行業應就各受查主體進行風險評估，風險評估應包括評估該受查主體所面臨之固有風險及對該風險施行之控制措施有效性，以確認受查主體之剩餘風險，並據以決定年度稽核計畫。固有風險之評估，即是評估尚未採取任何行動來改變風險發生的可能性或其影響之情況下之風險[2]。再以存匯作業為例，固有風險係該作業性質所生之風險，如：現金密集度高，被作為洗錢工具或管道之風險較高。銀行業針對受查主體所面臨之風險特性，應擬訂適合之固有風險評估因子，風險評估因子之訂定可參酌巴賽爾委員會(Basel Committee)所列舉之主要風險類型，並可依自身對於風險評估之需求訂定細部之風險類型。受查主體之固有風險可依據發生可能性及嚴重程度展開為一風險矩陣，並依發生可能性及嚴重程度將固有風險評估結果區分為高、中、低等三個風險等級，銀行業並可依自身需求劃分更多風險等級[3]。

評估受查主體之固有風險後，應繼續評估對受查主體施行之控制措施有效性。以存匯業務為例，如其洗錢風險較高，是否可施以某些措施降低其被用於洗錢之機率，如：調查客戶資金來源及其合理性，控制措施之有效性即是評估該措施對於改變風險發生的可能性或其影響之有效程度。控制措施有效性評估可根據受查主體之內部控制運作情形評量，其評量基礎來源包括但不限於主管機關及會計師等之外部檢查意見及追蹤改善事項、內部稽核、二道防線遵循測試及一道防線之自行查核結果等內部檢查意見及追蹤改善事項，並可依缺失之改善情形及重複發生頻率評估控制措施有效性，利用前述資訊評估控制措施有效性時，並應注意相關資訊與銀行業目前所營業務及風險情況之關聯性與及時性，以避免錯估控制措施有效性之現時情況[4]。

銀行業評估受查主體之固有風險及控制措施有效性後，應確認各受查主體之剩餘風險，並應將評估結果至少區分為高、中、低三個風險等級。內部稽核應訂定受查主體之綜合風險評估結果與查核頻率連結之標準，就風險等級為高者，應至少每年執行一次或一次以上查核；就風險等級為低者，至少每四年執行一次查核[5]。

內部稽核單位應依據受查主體之風險評估結果，並參酌主管機關要求年度辦理之查核範圍，或依公司管理需求需針對特定風險進行加強查核，以彙總訂定年度稽核計畫[6]。以存匯業務為例，即依存匯業務之稽核結果、存匯業務近年常見之缺失項目及內部稽核單位綜合判斷後認為可能發生之缺失項目，規劃適合存匯業務之稽核計畫，以降低發生該缺失項目之風險。內部稽核單位除每年至少一次對於受查主體進行風險評估外[7]，若整體外部環境或內部業務發展發生變化時，如：國內外主管機關監理重點與重要法令及金融環境變化、經營策略目標與重要政策變化、業務營運管理資訊與重要監控指標、主要利益關係人意見，以及重大風險事件發生情形等，亦應檢視其是否會影響風險評估結果，以即時並適切反應受查主體之風險現況，並據以決定是否需修訂年度稽核計畫[8]。

二、內部稽核品質評核機制

內部稽核應訂定品質評核機制，以定期確認內部稽核業務執行是否確實遵循有關內部稽核制度與程序，並符合主管機關法令規範[9]。

內部稽核品質評核內容應涵蓋：稽核策略與目標之訂定與執行、稽核制度及程序之設計與運作、組織編制與稽核資源配置、人員專業之適足性及持續訓練、稽核方法與工具之持續精進與研發、對主管機關法令規範遵循情形，以及前次品質評核應改善事項[10]。

內部稽核辦理品質評核，得採內部自我評核或外部機構評核方式辦理，並依據評核結果，就可能影響內部稽核整體運作事項擬訂改善計畫，總稽核應負責督導改善計畫之確實執行。

內部稽核品質評核結果與改善計畫應以書面交付監察人(監事、監事會)或審計委員會，未設審計委員會者，應送獨立董事。內部稽核品質評核結果與改善計畫並應提報董(理)事會備查[11]。

參、結語

銀行業實施風險導向內部稽核制度可強化其風險辨識、評估及管理能力，不僅是為銀行業施行量身訂做的稽核計畫，並可增加稽核價值及提升稽核效率，亦是健全銀行業之營運體質與經營績效之道。

（本文已刊登於 2018.06 月旦會計實務研究 第六期 p.98-102）

附註：

1. 銀行業建立風險導向內部稽核制度實務守則第5條。
2. 銀行業建立風險導向內部稽核制度實務守則第6條第2項。
3. 銀行業建立風險導向內部稽核制度實務守則第6條第2項。
4. 銀行業建立風險導向內部稽核制度實務守則第6條第3項。
5. 銀行業建立風險導向內部稽核制度實務守則第6條第4項。
6. 銀行業建立風險導向內部稽核制度實務守則第10、11條。
7. 銀行業建立風險導向內部稽核制度實務守則第7條。
8. 銀行業建立風險導向內部稽核制度實務守則第14、15條。
9. 銀行業建立風險導向內部稽核制度實務守則第16條。
10. 銀行業建立風險導向內部稽核制度實務守則第17條。
11. 銀行業建立風險導向內部稽核制度實務守則第18、19條。