創業者的財務必修課：會計學 (7) 為企業打造健康免疫系統：談內部控制 (Accounting (7): Building a Corporate Immune System: Understanding Internal Control)

        Have you ever wondered why a company needs an internal control system (also known as internal audit)? Its purpose goes far beyond regulatory compliance—it functions like a corporate health management system, helping the business operate smoothly, prevent potential risks, and even detect hidden internal issues.

       Within this system, we can think of the company as a living organism. Internal control acts like its daily routine and health checkup—it begins with foundational structures and risk assessment, continues through the design of operational processes and communication channels, and includes ongoing monitoring and feedback. Together, these elements help keep the organization in its best condition. Let’s break down the core principles and practices of this essential system.

        你是否曾經思考過，企業為什麼需要內部控制制度 (或稱內部稽核) ？它的存在，不僅僅是為了法規遵循，更像是一套企業的健康管理系統，幫助公司維持穩定運作、預防潛在風險、甚至發現內部的潛藏病灶。

        在這套系統裡，我們不妨想像公司就像是一個有機體。內部控制就如同每日的作息與檢查流程：它從最基礎的架構、風險評估，到日常流程的設計、訊息的傳遞、以及定期的監督回饋，讓企業隨時保持最佳狀態。讓我們一步步拆解這套制度的核心與實踐。

 

為什麼企業需要內部控制？

        企業的運作從不只是「做對事情」，更是「持續地做對事情」。內部控制制度便是幫助企業預防缺失與舞弊的第一道防線。它不僅防止因疏忽或人為錯誤造成的損失，更能有效降低舞弊的可能性。

從目的上來看，內部控制制度具備三個主要任務：

1. 確保營運效能與效率：讓每個流程都能有章可循，策略才得以如實執行。
2. 強化財務報導的可靠性與透明度：財務數字是企業對外的語言，是否誠實清楚，會直接影響投資人與公眾的信任。
3. 保障法令遵循：從金融法規、環保法令到個資保護，合法經營是企業長青的基礎。

 

五個元素，構成了企業免疫系統的核心結構：

1. 控制環境：就像企業的「體質」，包含組織架構、責任分配與企業文化。好的控制環境會自然導引員工朝正確方向行動。
2. 風險評估：實務上透過年度評估表定期辨識營運中可能出現的風險點。例如法令變動、人為疏失或新技術導入帶來的漏洞。
3. 控制作業：訂定SOP，將風險控制納入日常營運中，例如建立單據制度、核准權限、盤點機制等。
4. 資訊與溝通：良好的制度要靠資訊流動與溝通機制貫通，讓每個人都知道該做什麼、為什麼做。
5. 監督機制：定期回顧、修正制度，像是健康檢查，確保控制制度仍然有效。

 

實務上，我們常遵循六項原則，讓內控制度落地，建立有效的控制制度：

• 責任明確：任務一定要有負責人，避免模糊地帶。
• 職能分工：任務切割，形成互相監督作用，譬如出納與會計分開，互相制衡。
• 憑證存留：留下所有重要憑據，方便事後查核。
• 善用工具：例如監視器、打卡鐘、保險箱等輔助控制。
• 獨立驗證：內部稽核不受制於業務單位，維持獨立性。
• 人資控管：從徵才背景調查到在職輪調，避免權力過度集中。

 

        研究指出，舞弊往往是因為機會、動機與合理化三個條件同時存在。內部控制的設計，就是要減少這些條件出現的可能性。

        重大企業弊案常見於採購（如收取回扣）與業務（如金融業理專為達業績目標）環節。美國的舞弊案件中，最常見的是盜取資產，其次是貪腐，而財報不實雖然發生頻率最低，但一旦發生，其造成的損失金額卻是最大的。財報不實最常發生在收入認列的部分，因為收入是企業最重要的指標，且其認列涉及許多判斷，存在灰色地帶。而「鑑識會計」則是企業的病理學家，善於用財務數據追蹤異常，像是收入認列的異常增幅、現金流不一致、或是合約流程的異動。

        舉例來說，職務輪調制度就能減少「長期持有關鍵權限」所帶來的舞弊機會；憑證制度與獨立查核機制，則是降低動機誘因與事後掩蓋的可能性。而當公司文化重視誠信與透明，就能減少員工自我合理化不當行為的空間。

        但是再健全的制度，也可能被有心人士繞過。因此，許多重大舞弊案件的揭露，往往來自於「吹哨者」的勇敢舉報。這些人不僅幫助企業止血，也反向促進企業制度的改進。

        內部控制並非孤島，它與公司治理形成企業監督的兩根支柱；與外部審計形成信任的內外迴圈。若內控制度健全，審計風險降低，也能減少外部審計師的查核範圍與成本。

         企業的成長路上一定會有風險，但內部控制就像身體的免疫系統——不是讓你永遠不生病，而是讓你生病時有能力即時發現、妥善應對、迅速復原。在這個變化快速、風險多元的商業世界裡，建立有效的內部控制，正是讓企業長治久安、邁向卓越的關鍵。