內部控制是什麼？小公司也要做內控嗎？（中）──內部控制的制定與考量

系列文章的（上）篇提到內部控制（以下稱「內控」）是一個由人設計並執行的過程，也提到內控的目標是合理確保組織營運、報導及遵循目標達成。接著來討論如何量身打造適合各該公司的內控環境。

一、內控要怎麼制定？要制定哪些項目？

（一）以書面規定，由董事會通過

依公開發行公司建立內部控制制度處理準則（以下稱「處理準則」）第4條^[1]第1項規定，公開發行公司（以下稱「公發公司」）的內控須用書面規定，包含內部稽核實施細則^[2]，應由董事會通過，董事若覺得其中某項目有所不妥，可以表示異議並要求列入會議紀錄或提出書面聲明。因此，若有董事以沒看過內控等來主張自己沒有違反監督義務，而無須負損害賠償^[3]責任，怕是說不過去了。

（二）要有明確的組織體系、權限及責任

依處理準則第5條第1項^[4]規定，內控應該制定明確的組織結構、呈報體系、適當的權限及責任，還有經理人^[5]職位的設置、職稱、委任與解任、職權範圍及薪資報酬政策與制度等事項，也必須明確訂定。

尤其公發公司通常部門及／或分、子公司^[6]眾多，事務繁雜，若每件事情都須董事會決議，將緩不濟急。為讓公司各部門協力完成工作，達成董事會設定的目標，透過內控劃分部門業務及分工、各類事務的核決權限等，同時也確認了各個層級員工的職掌及責任。

二、制定時須考量哪些因素？──內控的五大要素

依處理準則第6條第1項規定^[7]，內控應考慮以下五大組成要素，分別是控制環境、風險評估、控制作業、資訊與溝通、監督作業。

白話來說，公司先設定目標，評估可能的風險後，規劃具體措施來因應風險，並由公司全體執行，在事前及過程中會有來自內、外部狀況及變化，需蒐集資訊並與相關部門或外部人、股東等溝通，公司也要監督以確保具體措施有在運作且有助目標的達成。

1. 控制環境

控制環境著重於形塑公司的誠信文化，主要是「人」的因素，可以體現在公司的人力資源政策、績效衡量與獎懲，以及行為準則等^[8]。尤其公司董監事及經理人等關鍵人物，更是直接影響內控的設計及執行。畢竟管理階層對公司有多重要，從公司法相關^[9]規定可得知：若曾犯組織犯罪、詐欺、背信、侵占、貪污等罪確定者，一定期間內不能擔任公司的董監事及經理人；而公發公司的獨立董事，除了專業資格，對於獨立性的要求更加嚴格^[10]。

2. 資訊與溝通

除了人以外，資訊與溝通也同樣貫穿在整個內控過程中。例如評估風險時需要留意內、外部資訊^[11]，但也要留意資訊的品質，例如董事長相信小道消息超前部署，若獲利則皆大歡喜，倘造成公司損失，則容易引起經營糾紛。在取得可靠資訊後，還要可以及時傳遞，因此建立有效暢通的溝通管道相當重要，以便將資訊傳遞給相關的內部部門或外部人士，進而執行決策。

3. 風險評估

風險是評估若想達成設定目標會有哪些不確定性，發生的機率及影響程度，包含公司內部風險及外部因素，例如公司的資產特性是否容易發生員工舞弊，或外部政策或法規的變更等。這些風險恐使組織目標無法達成，所以管理階層要能辨識和分析可能的風險 。

4. 控制作業

在辨識出可能的風險後，希望將風險「控制」在可接受的範圍內，接著開始思考有什麼具體的行動可以控制風險，就是控制作業。對於風險的接受程度不同，可能就會設計出不同的控制作業。

5. 監督作業

經過上述各種考量所設計的內控，還須透過持續性的「監督」與個別評估執行的成效，了解原有內控的缺失，不斷進行改正。

三、案例解析

回到文章一開始的例子，前段是甲公司評估風險（客戶多是個人零售商、倒帳風險高）以建立控制作業（賒銷條件）；後段則是控制環境（經營者A性格）對內控調整及執行的影響（賒銷期間縮短、執行時間配合原本的賒銷期間），且對於當初沒有預期的風險（戰爭）導致的後果（供應商調高售價及付款條件），採取應對措施（找新的供應商、供應商管理），持續將風險控制在可接受的範圍。

四、一般公司的控制作業把握「分工」原則

處理準則第7條到第9條^[12]，列出銷售及收款循環、採購及付款循環、印鑑使用或票據領用管理等許多項目，要求公發公司必須依照其產業特性來訂定公司的控制作業。

小公司的大老闆們也別擔心，非公發公司並不是法規要求必須建立內控的組織，況且一般公司規模本來就不比公發公司，若全部項目都要設計並執行，未免太不切實際、也不符成本效益。建議可以利用處理準則所列的項目，依照自己的產業特性、員工數量、工作內容等實際需求，評估哪幾個項目最容易有風險、結果影響較大，就針對那幾個項目好好處理即可^[13]。

若想再簡化一點，首先把握「分工」的原則，俗話說的好，管帳不管錢、管錢不管帳。適當的分工與輪調，雖可能增加營運成本，但除降低舞弊風險外，也能避免將工作集中在特定員工身上，增加經營應變的彈性。