所有文章 / 公司‧企業‧法人 / 公司 內部控制是什麼?小公司也要做內控嗎?(下)──內部控制的評估、限制及違反效果 內部控制 證券交易法 公開發行公司建立內部控制制度處理準則 公司治理 內部稽核 文:蘇璇(認證法律人) 刊登於 2026-04-02 系列文章的(上)篇提到內部控制(以下稱「內控」)是一個由人設計並執行的過程,也提到內控的三個目標。系列文章的(中)篇則是討論如何制定內控。既然內控都制定了,當然也必須落實才知道是否有效果,接著要聊的就是如何評估內控是否有效、內控的限制以及違反效果。 一、如何評估內控? 公開發行公司(以下稱「公發公司」)因股票公開募集,涉及社會大眾利益,公開發行公司建立內部控制制度處理準則(以下稱「處理準則」)第三章即規定公發公司每年應自行評估並公告申報內部控制聲明書,主管機關認為必要時得請會計師進行內控專案審查。 (一)公司自行評估 1. 內部稽核的角色 依處理準則第10條規定[1],內部稽核(以下稱「內稽」)目的在於協助檢查及覆核內控的缺失及營運有效性,適時提供改進建議,以確保內控持續有效,並作為檢討修正內控的依據。 一般對於內稽人員大多有種沒事找事的刻板印象,經常站在營運的對立面挑骨頭。但假如公司沒有內稽人員,單憑公司營運部門進行內控自評,就好像球員兼裁判一樣,形式上不夠客觀,也難以取信他人。 因此,處理準則第16條第1項[2]明定內稽人員執行職務時應保持獨立性,且在組織設計上,處理準則第11條第1項[3]規定公發公司的內部稽核部門應直接隸屬於董事會,讓內稽人員直接向董事會報告,不用透過總經理或營運部門傳遞資訊[4]。 2. 內部控制制度聲明書 公發公司既然設計也執行了內控,還聘請內稽人員來查核自己,總是該產出些什麼來跟投資人、債權人等利害關係人說自己確實做的不錯,這份文件就是內控制度聲明書。依處理準則第24條第1項[5]規定,公發公司每年都要自行評估內控有效性,依格式[6]作成內控制度聲明書,經過董事會通過,原則上要求董事長及總經理簽章,並公告申報。 民眾可以至公開資訊觀測站的公司治理,公司規章/內部控制專區,查詢內控制度聲明書[7]。 (二)會計師專案審查 除了公發公司每年自行規劃、實施的內稽,為了避免公司內部的盲點,偶爾也會需要外部專業人士的參與及意見。依證券交易法(以下稱「證交法」)第38條之1[8]及處理準則第25條[9]規定,公發公司或主管機關認為必要時,得請會計師就內部控制制度進行專案審查。 會計師在經過規劃、取得對公發公司內控制度的瞭解、評估內控制度有效性、測試並評估執行內控有效性等程序後,出具內控制度審查確信報告[10],若發現缺失,則應出具內控制度建議書[11],作為公司改進缺失的參考依據[12]。 會計師的內控制度審查確信報告也可以在公開資訊觀測站查詢到[13]。 二、內控的限制 如果仔細閱讀主管機關發布的公發公司內控制度聲明書範例,及會計師內控制度審查確信報告範例,會發現其中會有一段特別提到:內控有其先天限制[14]。 先別認為這只是公開發行公司或會計師想要卸責而已,回想一下,內控是一個由「人」設計並執行的過程。「人」會有判斷及決策,也偶有錯誤或疏漏、干預內控,或故意與第三人勾結規避內控,從公司角度來說,也可能面臨成本效益考量或人員能力不足等狀況,更何況外在環境也隨時在變化,例如高科技產業突然研發突破、貨幣貶值、法令改變等,這些內、外部的因素都可能會影響內控的設計及執行。 也因此,公司的聲明是:已建立並執行內控,以「合理確保」目標的達成[15],並不是保證目標的達成;會計師對於公司內控的意見是:在所有重大方面可維持有效性、對於公司的內控制度聲明書的意見是:在所有重大方面則屬允當[16],屬於「合理確信」,亦非保證有效。 三、違反內控會怎樣? 從公發公司角度而言,若違反處理準則或未依公司所訂內控制度辦理相關事項者,主管機關得依證交法第178條第1項第2款[17]規定,處公司罰鍰、限期改善;若公發公司出具不實內控制度聲明書或內容有虛偽、隱匿等不法,則涉及刑事責任,主管機關得依證交法第171條第1項第1款[18]、第174條第1項第1款、第4款[19]規定移送檢調機關偵辦[20]。 從員工角度來看,如員工違反公司內控,須視公司內部政策或規範如何處理,若情況嚴重,公司可能依勞動基準法第12條第1項第3款、第4款或第5款[21]主張懲戒型解僱,也就是不經預告與員工終止勞動契約[22]。此外,若員工的行為已觸法,或對公司或第三人造成損害,也可能吃上相應的民、刑事官司。 四、結語 其實內控沒有很難理解,以準備考試作為例子:雖然沒有讀書計畫不見得不能獲得心中的好成績,但若能制定並執行,某程度上會避免一些風險(例如不自覺的在擅長的科目花較多時間)。在這個過程中,有些人制定後就完全不改計畫執行到底;有些人則利用考試的結果來分析並調整計畫內容,以準備下一次的考試。這樣一想,內控是不是變得很貼近生活呢? 內控不是一成不變的「制度」,而是根據公司、組織、個人的目標及各種狀況,需要不斷調整的「過程」;內控也不是保證組織或個人完美不會出錯的萬靈丹,而是「合理」確保組織目標的達成。 希望這系列文章有助於讀者瞭解、設計並執行內控,願讀者們最終都能達成設定的目標。 延伸閱讀 喬正一(2023),《公司企業也需要健檢!財務報表什麼時候需要經過會計師簽證?》。 劉承慶(2023),《公司裡的董事長、董事、監察人、總經理、執行長是誰?他們的任務是什麼呢?》。 于恩庭(2023),《什麼是獨立董事?和外部董事哪裡不一樣?》。 林詩梅(2022),《淺談公司董事之忠實義務與善良管理人注意義務》。 馬秀如、陳百齡(2021),《看新聞學內部控制與風險管理》。