內部控制制度之探討

內部控制制度是企業公司治理的基礎，也是永續經營的一種概念，目前台灣的法令僅要求公開發行公司、上市櫃公司等需建立內部控制制度。若公司首次辦理股票公開發行或依主管機關規定須委託會計師執行內部控制制度專案審查時，須於聲明書說明會計師查核結果。對於初次申請公開發行之公司，須提供會計事內部控制制度審查報告。公開發行公司應每年依規定將內部控制制度聲明書於指定網站辦理公告申報。

內部控制之三個目標如下：

營運目標：營運之效果及效率，包括達成營運與財務績效目標及維護資產安全。
報導目標：企業內部與外部財務報導及非財務報導具可靠性、及時性、透明性或符合相關規範。
遵循目標：相關法令規章之遵循。

很多人，包含經營者對內部控制的概念停留在報導及遵循目標，因為內部控制制度的建立是相當繁鎖而複雜的，更不論因而衍生的作業手冊及標準作業程序（SOP）需要投注許多心力建製，而執行時更不能便宜行事，反而讓人覺得其對營運效率是無益的。其實，內控制度本來目標之一是為了控管風險，例如舞弊計及錯誤，控管風險需要成本與時間，其與效率是互相衝突的，所以內部控制的存在並非追求最大的效率與利潤，其目標是避免風險導致更大的損失，其營運目標之效果及效率是在適度的風險控管下，最佳的經營效率及效果。很可惜，這也是很多企業忽略良好內部控制制度不只可帶來經營的效率，甚至帶來更大的效率利益。

內部控制制度之制定係來自美國COSO委員會，廣為各國所採用。美國 COSO 委員會 2013 年之更新報告「內部控制 - 整體架構」，除強化原始架構，並要求企業應具有效內部控制監督系統之運作，更廣泛運用內部控制以協助企業合理確信可有效率達到目標，並增加公司治理觀念，包括審計、薪酬等委員會之治理，且更加強反舞弊之重要性。考量 COSO 委員會本次發布之「內部控制 - 整體架構」報告較 1992 年版有諸多更新內容，金管會亦已參酌該報告作為所轄之內部控制制度相關法規修法之參考，於 103年 9 月 22 日發布修正「內部控制制度處理準則」，俾與國際接軌。

新COSO之5大組成要素及17項行動原則(2013年更新報告)，簡述如下（翻譯有差）：

控制環境

1.展現誠信與道德價值之承諾2.行使獨立之監督權3.建立結構、呈報體系及適當權限與責任4.延攬、培養及留用有能力之人才5.要求個人對內部控制負責以達成目標

風險評估

6.明確界定目標7.辨識並分析各項風險8.考量可能發生之舞弊9.辨識及評估對內控產生重大影響之各項改變

控制作業

10.選擇及建立控制作業11.運用科技選擇及建立科技之一般控制

12.透過所建立之政策及程序，建置其控制作業

資訊與溝通

13.蒐集、產生及使用攸關且具品質之資訊14.內部溝通15與外部人士溝通

監督作業

16.選擇、建立及執行持續性或個別評估17.妥善分析處理持續性及個別評估之結果

台灣法令規定內部控制制度組成要素如下(『公開發行公司建立內部控制制度處理準則』第 6條)：

一、控制環境：係公司設計及執行內部控制制度之基礎。控制環境包括公司之誠信與道德價值、董事會及監察人治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人應建立內部行為準則，包括訂定董事行為準則、員工行為準則等事項。

二、風險評估：風險評估之先決條件為確立各項目標，並與公司不同層級單位相連結，同時需考慮公司目標之適合性。管理階層應考量公司外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助公司及時設計、修正及執行必要之控制作業。

三、控制作業：係指公司依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括公司所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。

四、資訊與溝通：係指公司蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在公司內部，及公司與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。

五、監督作業：係指公司進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人或董事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董事會及監察人溝通，並及時改善。

兩相比較下，台灣之內容與COSO相符，其中所提運用科技選擇及建立科技一般控制即所謂電腦化的資訊控管，這正是企業效率化的最大工程，並強化內部控制提升經營效率的目標，然而其帶來的風險控管必要性更高，也凸顯內部控制的重要性日漸重要，尤其伴隨工業4.0來臨，人工智慧的控管更加專業及必要，也是企業在轉形時比須先建立良好的內部控制制度，當ERP系統建立時，其內控制度必需重建，因為與人工作業控制有很大差異，同樣的，當某些作業以機器人取代時，必須有不同的內控制度相應，也凸顯利良好管理的重要性，良好管理需依賴內控制度，尤其工業4.0來臨，內控制度將成為企業必需建立的制度，包含中小企業。

內部控制的建立，其優點如下：

增加財務報導的可靠性：大幅減少人為的舞弊及錯誤，並可因職能分工及授權建立公更可靠的帳務系統。
法律的遵循：建立制度時著重控制點、架構及報表，這些皆需將法律之規定設計於內,避免違法之風險。
提升企業的經營效率：完整的內部控制制度，大幅降低人力的舞弊及錯誤，亦降低人員變動的交接成本及作業錯誤成本，同時提升工作效率及價值，這是另類的減低人力成本方式，減低成本等於增加利潤。
促進企業的永續發展：健全的內部控制制度，是公司治理的基礎，透過監督與改善，讓內控制度與企業成長同步前進，讓企業保持穩定的競爭力，從而邁向永續經營的目標

然而內部控制制度仍有其執行的限度，其侷限及改善方式如下：

制度設計本質是受限的：制度是由人設計的，設計者並非神，其能考慮的控制點無法涵蓋所有作業；再者，考量成本與效益原則，設計只能追求風險之降低，無法避免風險不會發生。所以，為避免制度設計不足或過度設計既浪費成本又無效控制，才會有資訊與溝通、監督之要素加入，降低制度與生俱來之缺陷。
改善方式：後續的監督與自行評估，不斷的改善與修正；制定作業手冊及標準SOP，以實際作業細節回顧控制制度之不足

高階管理階層的正直左右內部控制制度執行深度：內部控制制度是針對公司的管理及相關作業訂定的制度，決定是否執行的權利在經營高層，即使有良好內部控制制度，若高階管理者不執行，此制度是無效的
改善方式：公司治理的建立，例如獨立的稽核設計、獨立董事、審計委員會等；外部的監督，例如會計師的專案審查報告、政府單位的監督管理

控制作業不斷變動：隨著工業4.0等科技時代來臨，企業的控制作業及流程隨著的電腦資訊軟體的應用及建立不斷變動中，其風險控制點亦大不同，例如ERP系統的使用、電腦軟體程式、人工智慧及機器人之使用，內控制度的流程設計及控制點亦需大幅改變，若不即時更新，內控制度的功能大幅降低
改善方式：制定作業手冊及標準SOP,隨著實務作業不斷休正；建立TQM等績效評估制度，鼓勵人員提出流程改善之獎勵制度