淺述內部控制制度之自行查核制度及其在支付結算業務的運用

巫燕華

【摘要】內部控制在目前的金融競爭環境下，已是不可或缺的重要管理工具。金融機構有良好的內部控制制度為基礎，才能在交易機會蜂擁而至時，持續有效管理其風險。因此，設計科學完善的內部控制框架，防范金融會計風險成為金融機構經營發展不可回避的問題。本文列舉了臺灣金融機構的稽核體系建構，重點闡述自行查核制度的執行流程和注意問題，并以自行查核制度在支付結算業務的應用為例，說明自行查核制度是金融機構內部控制系統中的重要組成環節。“他山之石，可以攻玉”，通過了解更多的內控控制管理方法，能協助金融機構穩健成長和永續經營。

【關鍵詞】內部控制 自行查核制度 支付結算 查核方法

臺資銀行去年作為分行機構首次進駐廣州地區，除了執行國內的銀行法規外，在金融安全管理上同時按臺灣的金融稽核體系建構，基本分為外部稽核及內部稽核兩個層次（如圖1）。外部稽核（External Audit）是金融機構以外的單位，如金融檢查機關、稅務機關、審計機關及會計師等。內部稽核（Internal Audit）是由金融機構內部稽核單位及監察人對其機構本身的各部門及分支單位進行的稽核，或由金融機構各營業單位內部自行就其各項業務辦理的查核。

金融機構的內、外部稽核，其查核目的、頻率及技術層次，各有其職責及功能，交互構成緊密的風險監控機制（如圖2）。金融機構因承做業務可能發生的固有風險（Inherent Risk，如誤解相關規定、業務缺失、人為舞弊及判斷錯誤等風險），于有效執行“法令”遵循及內部自行查核制度后，將可大部分阻絕。而內部稽核功能的發揮，將進一步阻絕非預期及例外事件風險，至于金融機構內部控制未能阻絕的缺失或弊端（控制風險Control Risk），則有賴會計師查核簽證、主管機關金融檢查及監督予以阻絕，以確保金融機構于最低風險的內控環境中經營。

廣義的內部控制制度包含自律及內部控制兩個方面，自律方面主要為公司治理，內部控制則包含管理控制、會計控制及稽核制度。其中管理控制是執行業務的重心所在，其內容至少包含業務操作管理、風險控管機制、法令遵循制度等項目。具體地說，金融機構內部防護網中屬于以查核方式執行者，由內部稽核、自行查核及法令遵循主管等三個制度所構成。自行查核制度是彌補內部稽核制度查核頻率及次數不足而設的，查核范圍與內部稽核雷同。而法令遵循主管制度辦理“法令遵循自行評估”，則針對法令遵循的范圍查核。

與國內銀行相比，臺資銀行在自行查核制度方面形成了一套完整成熟的體系，其在多年的實踐經驗中，能使管理層得以早日發現業務經營缺失，實時予以導正，并藉以加強內部牽制，對從業人員產生嚇阻舞弊的作用。對稽核單位而言，自行查核可輔助稽核頻率的不足，其查核結果亦為稽核單位了解各單位平時運作狀況，作為擬訂稽核計劃的重要參考依據，因此自行查核是金融機構內部控制系統中的重要環節。現就自行查核制度簡介如下：

一、自行查核的法源依據

為加強銀行內部牽制，藉以防止弊端的發生，臺灣《金融控股公司及銀行業內部控制及稽核制度實施辦法》對自行查核有以下規定：

1.第十四條：內部稽核單位應辦理下列事項：督導業務管理單位訂定自行查核內容與程序，及各單位自行查核之執行情形。

這條規定的立法說明是：按各業務單位進行的自行查核是第一道防線、內部稽核是第三道防線，考量業務管理單位對其業務之風險特性及控制點較為了解，如由其訂定自行查核內容與程序，并由內部稽核負督導之責，較符合內部控制三道防線之精神。

2.第二十條：金融控股公司及銀行業應每年訂定自行查核訓練計劃，依各單位之業務性質對于自行查核人員應持續施以適當查核訓練。

3.第二十五條：銀行業應建立自行查核制度。各營業、財務、資產保管、資訊單位及國外營業單位應每半年至少辦理一次一般自行查核，每月至少辦理一次專案自行查核。……各單位辦理自行查核，應由該單位主管指定非原經辦人員辦理并事先保密。……自行查核報告應作成工作底稿，并同自行查核報告及相關資料至少留存五年備查。

二、自行查核的三道防線架構和作用

在相關法令的指導下，銀行建構自行查核的三道防線（如圖3）。

通過三個環節的緊密結合，環環相扣，達到自行查核的下列目的：

1.自行查核單位應就其本身經營的業務范圍，自行指派查核人員就非原經辦業務的操作及經營管理是否遵循金融機構的政策程序及相關法令規章進行查核。

2.藉由對內部業務進行定期性的偵測與檢視，驗證內部控制制度是否持續且有效的運作。

3.及早發現內部業務控制的缺失、降低作業風險及防杜弊端，并對從業人員產生嚇阻舞弊的作用。

4.內部稽核查核頻率有限，自行查核結果將可供辦理單位及其業管單位做內控管理的參考。

三、自行查核的計劃、執行與追蹤考核

（一）年度查核計劃的擬訂

營業單位在年度開始前，自行查核督導主管（即自行查核負責人）應斟酌其單位的內部控制狀況、業務量大小、業務性質及人員配置情形，妥為規劃下一年度全年自行查核計劃，做成“自行查核計劃表”，密陳該營業單位負責人核定后，函報稽核單位備查，并應按計劃切實執行。

由于營業單位的經營環境及業務類別不同，營業單位可視個別情況擬定查核內容，但其內容至少應包括查核年度月份、查核日期、查核種類（一般或項目）、查核項目、查核內容、查核人員等。

（二）自行查核的執行程序

實際執行自行查核工作時，自行查核負責人應于查核前，選定各項查核業務的查核人員，并編制“自行查核工作分配表”，于查核當日，通知各查核人員，依照指定查核項目辦理。查核人員應選派熟悉查核項目業務且非原經辦人員擔任，曾受過稽核或自行查核專業訓練，并以不連續查核同一業務為原則。為促進查核功效，查核方式最好采取突擊及機動方式辦理。至于查核范圍，以上次檢查基準日開始至本次檢查基準日止為原則。

參與自行查核人員，應將查核結果詳實記錄于工作底稿，并于查核完竣后依據工作底稿的記載，將查核結果及所發現缺失事項，歸納匯總編制“自行查核報告”，并將工作底稿連同查核報告于規定期間內送交自行查核負責人審核。

（三）自行查核負責人及自行查核人員的職責

1.自行查核負責人的職責。

（1）年度開始前擬訂“自行查核計劃”。

（2）選定自行查核日期。

（3）選定查核項目及范圍。

（4）指定查核人員（非原業務經辦的適任人員）。

（5）分配查核工作。

（6）監督自行查核的執行。

（7）審核各查核人員的工作底稿與查核報告，并將“自行查核報告”呈報營業單位負責人核閱后，陳報稽核單位審核。

2.自行查核人員的職責。

（1）應本著獨立認真的態度，就指定查核項目，依據有關規定確實查核。

（2）應將查核事項明確記載于工作底稿，對業務缺失事項尤應確切指明。

（3）查核工作完竣后，應依據工作底稿做成自行查核報告，送呈自行查核負責人審核。

（4）對所提出的“工作底稿”及“自行查核報告”內容真實性應予負責。

（5）查核時，如發現業務經辦人員有違規事實、徇私舞弊或失職情事，應即密報自行查核負責人或經理處理。

（四）自行查核的追蹤與考核

各營業單位應于自行查核工作完竣后撰成“自行查核報告”，報由總行稽核單位處理。而稽核單位于審核營業單位“自行查核報告”時，如發現有缺失，應即發函該營業單位，限其于規定時間內改善函復；對于情節嚴重或稽核單位認為必要時，得辦理項目復查；對于營業單位函復缺失改善情形，如發現仍未確實改善或內容無法了解是否改善者，應再督促改善，直至確實改善為止。

各營業單位自行查核的執行情形，由稽核單位制訂標準，作為年終考核之參考，對于辦理自行查核績效良好者，稽核單位宜檢陳具體事實，項目報請獎勵；對于辦理自行查核績效欠佳者，亦宜檢陳具體事實，項目報請懲處，力求公允。

（五）辦理自行查核應注意事項

1.自行查核日期，應講求機動性，避免固定于特定日期或月底辦理，且事先應注意保密，以達到臨時突擊檢查的效果。

2.擬定自行查核的范圍項目，將自行查核人員作適當分配，必要時得洽聯行派員協助辦理，并應注意內部牽制原則，避免查核人員查核本身經辦的業務或由同一人連續多次查核同一項目。

3.自行查核內容應包括靜態的賬務憑證核對，并顧及交易程序的動態查核，確保符合金融機構相關規定。

4.自行查核人員應遵照工作底稿及其填表說明，將查核事實及缺失，詳載于工作底稿內，并于查核完竣時匯總成冊，留存備供金融檢查機關及稽核單位查核。

5.自行查核所發現的缺失，自行查核負責人應促請該單位人員注意改善。

6.自行查核負責人負有督導責任，對新進或不熟練的員工，應盡量提供指導與協助。稽核單位應訂定自行查核訓練計劃，對于自行查核人員持續施以適當的查核訓練。

支付結算作為銀行的重要風險管控部分，各家行都高度重視這方面業務的自查，運用自行查核的執行程序，以支付結算業務為例相關的操作應包括：

一是年底預擬查核計劃。

第一，年底運營作業單位應就結算類業務查核所規定的頻率預擬定明年的計劃，并于稽核系統完成建置；再由自行查核業務主管進行復核。

第二，擬定計劃時，應同時注意自行查核科目的配置，如：一般查核的查核內容應涵蓋全部相關業務，有應予列入但尚未列入者，應主動提出辦理查核，并增修至自行查核題庫。

第三，預排年度計劃的核準文件應專卷歸檔備查。

二是執行、修改查核計劃。

第一，確定查核頻率及所屬業務辦理，并可就原訂查核計劃進行適當調整，如：年度新開辦業務或認為有風險操作的項目，可調整加入查核計劃內，呈核方式同前項年底預擬查核計劃。

第二，修改年度計劃的核準文件應專卷歸檔備查。

三是設定基準日及檢查日期。

第一，檢查人、檢查科目及檢查日期應講求機動性，事前應嚴予保密。

第二，檢查日期勿固定在某一特定日期或期間實施。

第三，查核工作應于查核當月結束前完成，不得有跨月、延至次月辦理的情形。

四是查核工具的準備。

第一，列印檢查底稿、輔助報表及內部稽核、自行查核未補正事項明細表供檢查人查核及追蹤未補正缺失。

第二，于選定辦理查核當日，始通知各項查核人員，并依所排定計劃執行查核。

五是采取以下的自行查核方法。

第一，評估內部控制：了解存款業務的作業流程，評估其內部控制上可能的缺失。

第二，盤點及檢視：盤點空白支票、存折與存單是否與賬載相符，并檢視其領用、保管、作廢等作業是否嚴謹。

第三，觀察及詢問：至營業廳現場觀察存款業務操作情形，并詢問相關作業人員，對同一問題可私下分別詢問不同人員，再就其答復內容予以分析比較，是否有不一致的情況。

第四，詢證函：抽樣寄發對賬單，其回函并以查核人員（單位）為收信人。對于退件應追蹤了解其原因。

第五，復核：可抽樣對存款利息、各科目傳票張數、金額等重新計算是否相符。

第六，檢查憑證：查驗存款相關傳票與原始憑證，并注意憑證要件及各級人員核章是否齊全。

第七，分析及比較：分析不同期間各項（或各帳戶）存款的增減情形，對有大幅增減情形者應查證其原因，如有異常狀況應注意是否有弊端存在。

第八，調閱資料：確認調閱的各項數據如賬冊、報表、傳票及各項書面資料是否齊全，有無經過刻意修飾或隱藏。

舉例部分支付結算業務的重點查核題目：

1.支付憑證印鑒是否雙人核印相符。

2.業務操作是否按金額權限分級授權處理。

3.大額匯款是否已照會單位大額聯系人。

4.對于無法解付的匯入匯款，是否主動查詢，及時清理。

5.辦理匯出匯入款項是否查詢黑名單，確保收付款人不在此類名單之列。

六是自行查核檢查報告。

自行查核主管需匯整查核結果、檢查人員意見、不符事項及未補正缺失事項等進行復核，并送單位主管核定。

第一，檢查人檢查結果及不符事項，無論補正與否，均應確實揭露。

第二，盤點類項目填載的合理性。

第三，當月查核計劃所訂定的科目，應逐科目于自行查核檢查報告中揭露其查核結果。

第四，如不符事項為其他單位的缺失，應于處理情形注明應負責單位，并以追蹤表影本移請該負責單位協助補正。

第五，應有單位主管及自行查核主管核章。

第六，自行查核、內部稽核（含外部機關檢查）的缺失意見，應列為每月追蹤查核項目持續追蹤改善，改善情形并應揭露于“自行查核檢查報告”；若無待補正事項者，請于“自行查核檢查報告”表內注明“無待補正事項”。

內控管理本是一個動態的、連續的過程，對原有的規章制度要不斷的修改和完善。如新的業務系統投入使用后，一些以前是業務風險點的環節，就有可能不成為風險環節，而以前不是風險點的環節，新系統上機后，就有可能成為新的風險環節，這需要在實際工作中不斷總結并逐步建立新的查核題目，才真正發揮自行查核的作用。

目前臺資銀行剛剛進入國內市場，正處于自己的創業期和成長期，面對市場機遇應該從現實的基礎條件出發，學習他行的先進經驗，始終堅持“穩健為本”的經營原則，經過自身不懈努力，健全和完善風險和內控體制機制，形成具有自身特點的風險管理與內控文化，這樣才能在市場競爭日趨激烈、金融風險日益加大的環境中立于不敗之地。

參考文獻

[1]臺灣金融研訓院編.銀行內部控制與內部稽核[M].中國金融出版社，2013.