多數人知道「內部控制」這四個字(以下稱「內控」),可能是看到新聞播報某公司發生員工掏空公司或財務報導不實的消息,如果剛好又是上市上櫃公司,接著就開始檢討公司內控不好才會發生這等舞弊事件等。
較廣為業界所知的內控規範,應該是源自證券交易法(以下稱「證交法」)第14條之1第2項[1]授權金融監督管理委員會訂定的「公開發行公司建立內部控制制度處理準則」[2](以下稱「處理準則」)。雖然只有公開發行公司(以下稱「公發公司」)要遵守處理準則[3],但其實內控的議題不限於公發公司,各級政府單位已推行內控多年。而一般公司行號等儘管不是法規要求必須建立內控制度的組織,實際上也有內控的議題,差別在於組織(產業)目標、管理者、風險及風險忍受度等均有不同,也因此各組織的內控自然也不會相同。
以下將從處理準則這個法規出發,一起來瞭解內控的基本概念吧。
依處理準則第3條第1項規定,內部控制制度是由經理人所設計,董事會通過,並由董事會、經理人及其他員工執行之管理過程[4]。更簡化就是,為了合理確保目標的達成,要先設計內控,再由人執行內控,這個管理過程都是內控。
下次再聽到內控不好,可以試著從二個角度切入:是設計的不好?還是人執行的不好?若是設計不良,就調整;若是人執行有失,則可以分析是人無法勝任、不小心疏忽或故意不為,以進行相應的對策。
根據處理準則第3條第1項規定,公發公司內控的目的為:促進公司健全經營,合理確保達成以下三大目標[5]:
公司(組織)的營運有效果及效率。效果是公司是否有達成當初設定的目標;效率則可以理解為公司的資源(時間、金錢、人力、設備等)是否被有效利用,最好的狀況是用最少的投入,得到最大的產出。
例如:A、B兩公司當年度設定的淨利目標均為2億元新台幣(下同),到了年底都有達成目標,所以兩家公司的營運都有「效果」。而就營運的「效率」,我們可以觀察A、B公司的資源如員工、資本額等來比較:A有員工20人,資本額2千萬;B則有員工500人,資本額5億。A公司用比較少的員工及資本額創造同樣的淨利,因此比B公司更有「效率」。
公司(組織)內部[6]及外部財務報導[7]及非財務[8]的報導,具備可靠性、及時性、透明性及符合相關規範。
內控除了關心企業是否能有效率的營利,以及提出可靠、及時、透明的財務報表之外,公司(組織)也要遵循相關法令規章,避免公司有違法情事。
另外一項值得特別注意的是,條文在描述報導目標時,並不是用「正確」來形容財務報表,而是用了可靠、及時、透明等形容詞。最直觀的想法可能是:東西買進賣出不是都有個價格,把這個價格照實記帳不就正確了嗎?但如果假設:公司花費9千萬買一塊政府尚未公告但據說是未來市政特區的土地,且賣方是公司董事長本人。作為小股東是不是會想問:欸這是關係人交易[9]吧?這價格有沒有買貴了?這其實就是在問價格合理性。
公司入帳時要確認收入或支出的金額數字與發票或合約上記載的數字相同,這樣的「正確」只是基本,而在看公司財務報表的時候,更重要的是數字是否合理,否則拿到數字正確但不合理的報表,真的能幫助利害關係人(如潛在投資人或借款人等)作出決策嗎?用上述舉例,公司提出二份估價報告,A不動產估價師估價8,800萬、B不動產估價師估價9,100萬,主張這價格是合理的。但甲股東自行聘請的C不動產估價師估價為8千萬。公司以9千萬「正確」入帳,這個數字正確了,但合理嗎?
財務報表是由公司眾多交易數字彙整而成的結果,除了上述舉例的估價判斷外,還有很多是人為的評估,例如應收帳款的價值,欠1年與欠10年、欠款對象等,都可能影響清償可能性,也跟著影響應收帳款價值的評估。這些交易、評估後加總而出的數字,除了要確保入帳正確,資訊沒有重大錯誤以外,更應該追求財務報表整體的合理性,有忠實表達交易事實及企業的財務狀況。
前面提到,內控是一個過程,下一篇會進一步討論,處理準則提供了哪些考量因素,幫助公發公司設計內控以合理確保達成目標。一般公司行號或個人也能透過設計並執行內控的過程,增加目標達成的可能性,不過制定內控時,不用像公發公司必須符合金融監督管理委員會的要求。
註腳
喬正一(2023),《公司企業也需要健檢!財務報表什麼時候需要經過會計師簽證?》。
劉承慶(2023),《公司裡的董事長、董事、監察人、總經理、執行長是誰?他們的任務是什麼呢?》。
于恩庭(2023),《什麼是獨立董事?和外部董事哪裡不一樣?》。
林詩梅(2022),《淺談公司董事之忠實義務與善良管理人注意義務》。
劉承愚(2022),《家人呷好逗相報不行嗎?如何處理「關係人交易」?》。
馬秀如、陳百齡(2021),《看新聞學內控與風管》。