從風險評估到風險為導向的內部稽核

內部稽核的查核重點還停留在傳統的偵錯嗎

當稽核部門在董事會呈報的內部控制查核缺失為某項費用報支其憑證比入帳金額少了數百元或表單缺少主管核准等糾正式的發現事項，而非提出對整體經營控管風險相關的建設性意見時，董事會成員是否也會為內部稽核功能無法有效發揮而感到憂心？

依據2015年哈佛商業評論發布之《與風險和平共處》一文顯示，過去十年造成的重大市值損失中，有86％的損失來自於策略面的風險管理不善，然而稽核人員卻花了6％的心力在策略面的查核，其他絕大部分的資源流入營運、法遵與財務報導的查核。86％的損失風險相較於6％的資源投入，這兩個數據間的落差，顯示出多數企業或稽核人員未辨識出企業風險之所在，導致稽核資源配置失當。

就我國國內公開發行公司的稽核現狀而言，諸多公開發行公司之稽核人員的配置以2-3人為最常見，這起因於高階管理當局常認為稽核無法創造營收，故認為稽核人數只要符合法令最低人數要求即可。受限於稽核人數的困窘，最常見的稽核計畫即為符合《公開發行公司建立內部控制制度處理準則》第十三條所列示之稽核項目，鮮少有稽核人員是從風險評估或是依據高階管理階層評估出來的企業風險去展開稽核計畫，但實際上若要因應產業的快速發展及發揮內部稽核更重要的效果，包括興利、辨識風險及危機管理以提升公司治理之完善程度，我們必須承認，這種從上自下都以｢符合法令最低要求｣的稽核現況與心態，是迫切需要被扭轉的。

內部控制處理準則翻新，風險為導向之內部稽核為國內外最新趨勢

我國金管會受美國COSO委員會於2013年發布「內部控制 - 整體架構」更新報告影響，亦於2014年9月修訂《公開發行公司建立內部控制制度處理準則》，其中針對五大組成要素之一｢風險評估｣清楚點出企業應依照公司之目標為基礎進行風險評估，連結公司不同層級單位，考量目標可行性及外部因素之影響，並依據風險評估之結果，採用適當政策與程序之行動擬訂對應之控制作業，將風險控制在可承受範圍。此段之修正，已很明確的串連起該準則的第十三條｢公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫…｣。

2015年起國際內部稽核協會 (Institute of Internal Auditors)透過更新國際專業實務架構 (IPPF)，亦明確的指引內部稽核之規畫需建立在風險評估之基礎上並與組織目標一致，同時也指出稽核人員需了解高階管理階層及董事會所擬定出來的組織策略、重要企業營運目標、攸關風險及相對應的風險管理程序。

然而，上述準則及實務架構的指引對所有產業的影響力是有限的。金管會在這項議題上亦於近年數次拋出｢建立風險導向內部稽核｣議題，並於2016年修訂《金融控股公司及銀行業內部控制及稽核制度實施辦法》增訂第15-1條，宣布從2017年開始推動國內銀行導入｢風險導向內部稽核制度｣，期望銀行業者建置完整內部控制三道防線機制，於規劃稽核計畫時，能先審視公司之營運目標、辨識及評估風險，再依據評估結果擬定對應之稽核計畫，視風險高低決定查核頻率與範圍，以著重於重點業務之風險控管。於此，風險為導向之內部稽核在國內展開了新的紀元，開始與世界最新趨勢接軌。

缺乏風險地圖，該如何執行風險為導向的內部稽核

目前國內公司除在美國掛牌上市 (發行存託憑證) 受美國沙賓法案規範者外，針對風險評估，就我們的觀察可歸納出兩大常見重大問題，一為缺乏有架構且系統化的風險評估方式，二為風險評估結果缺乏書面化。

所謂缺乏有架構的方式，是指公司缺乏一套完整且為企業本身客製化的風險地圖，風險評估方式係透過召集各重要職能之高階主管就業務範疇口頭討論。在這種缺乏風險地圖導引的討論中，容易陷入風險因子考量不夠周全的風險。如：研發主管，可能會著重評估新產品延遲推出的風險，卻可能會忽略了產品開發技術被外部商業合作夥伴剽竊的風險；人事主管可能會著重於人才招聘的風險，卻忽略了留才政策設計不適當的風險。

就我們的經驗，企業即使執行了風險評估，也常因考慮到參與討論的層級皆為高階經理人，故習慣將風險評估結果視為高度機密，因此鮮少存在風險評估結果書面化的慣例。我們的建議是，稽核人員應屏除埋首苦幹編制查核規劃的舊習，即使有透過書面化結果得知風險評估結果的困擾，仍應透過訪談方式去了解風險評估結果，才能制定出更貼近實務運作之稽核計畫。

風險為導向的外部稽核 - 風險為導向之審計趨勢

除了主管機關對企業內部控制之要求轉變，為降低報表使用者對會計師查核報告之期望與現行標準化查核報告間之落差，我國審計準則委員會參考國際審計準則自2010年起陸續修正審計風險模型，發布審計準則公報第48號至第49號，規範查核人員應瞭解受查者及其環境 (包括內部控制) 以辨認並評估重大不實表達風險，以及對所評估風險之因應，從而作為設計及執行應有查核程序之基礎。更於2016年發布審計準則公報第57號至第62號，大幅調整查核報告揭露內容，推出新式查核報告並增訂關鍵查核事項 (Key Audit Matter, KAM) 段落，以揭露查核團隊於查核過程中依據第48號公報指引所辨認之顯著風險及因應之查核程序。

風險為導向之內部稽核不只是未來趨勢，是現在進行式

產業升級、企業營收擴增進而提升利潤等，它們都是現在進行式。因此，營運流程、內部控制與內部稽核的設計上，也千萬要跟上腳步，隨時把｢風險考量｣帶上，將風險為導向的內部稽核觀念深植到每位稽核人員的基因內。