Key to Internal Controls - Information and Communication

Control Environment mainly consists of corporate culture which includes the integrity, values, and professional ability of the staff, styles of the management, duty delegation and organization and the cultivation of the organization and the staff.

（一）資訊與溝通跟控制環境的關係

控制環境主要是由公司的企業文化所構成，包括企業人員的操守、價值觀與專業能力，管理階層的管理哲學、經營風格與分派權責、組織及培養員工之方式。

企業內的溝通管道之暢通無阻，構成控制環境當中非常重要的一部份。如果再公司內部調閱文件是一件很麻煩的事情，任何文件資料都丟的亂七八糟、每個員工都自掃門前雪完全沒有團隊合作的精神，那我們可以斷言這樣子的控制環境是無助於內部控制制度的。

（二）資訊與溝通跟風險評估的關係

內部控制的三大目標是營運的效果與效率、財務報導的正確性以及法令的遵循，當然企業在達成這三大目標的過程當中一定會存在失敗的風險，企業必須先認清其面臨了哪些風險，然後尋求控制風險方法。

企業要有效的評估各種風險因素並且降低其發生之機率，必須要蒐集許多相關資訊並且加以分析，然後作出相關決策。例如經由財務報表的銷售數字得知A產品的銷售情況不理想，經營者就必須想辦法改善其產品或是加強促銷、透過產製部門提供的產品成分表得知不符合食品安全相關法規時則必須改變生產流程。

溝通在風險評估上扮演重要角色，從各部門發現風險所在而向管理階層報告到管理階層作出決定下達各部門執行風險控制之活動，都需要充分、適當的溝通。

（三）資訊與溝通跟控制活動之關係

風險評估使管理階層作出決策，接下來就是由各單位執行風險控制的活動，通常包括管理階層的複合、直接作業管理、對資訊處理的控制、實體控制、績效指標之使用及分工1。

以車商B賣車為例，車商B因為經濟不景氣而推出促銷方案(從付現變成分期付款零利率)，銷售模式與授信條件皆有所改變，所以內部稽核人員也必須針對授信條件的控制活動作出改變，好比說到聯合徵信中心調查每一個顧客是否有退票或是破產的不良紀錄，這就是控制活動的一種。但是如果沒有聯合徵信中心的顧客信用資訊，根本無從執行控制活動。另外像是經理人將業務實際執行成果與預算及事前預測做績效比較、定期做設備盤點等控制活動也都需要相關資訊的比對。

而控制活動中如果發現任何缺失或是為了因應環境條件的改變而必須調整控制作業的流程，此時就需要由「溝通」來發揮其功能。

（四）資訊與溝通跟監督之關係

內部控制必須隨著環境的變化而做調整，所以內部控制制度除了一開始的設計之外，在日後的維持、調整上也必須下一番功夫，而要維持與調整內部控制制度，就必須持續的監督內部控制制度日常的運作方能達到此目標。

同樣以車商B推出優惠專案為例，內部稽核人員為了要評估業務部門是否有遵照標準作業流程來活動，必須調查業務部門每賣掉一台八十萬的車是否有收到客戶的三萬元現金、金額七十七萬元的本票、也無從監督；內部稽核人員也必須將這些工作底稿與其稽核報告一以及每個月一萬元額度的信用卡扣款授權書等，要是沒有這些資訊根本不能監督一同建檔，董事會才有辦法藉此評估內部稽核人員的工作內容及成效。

溝通的功能則表現在稽核單位與各其他單位間、稽核單位與董事會間、管理階層及各單位間，如果在這些資訊傳遞上不充分(不確實)或不適當(不即時)，內部控制的缺失就容易被忽略而造成弊端或損失。例如車商B的業務單位少收了七十七萬的本票卻未告知稽核單位，就會造成貨款損失的危險。

1. 參COSO委員會著，馬秀如譯，內部控制－整體架構，60-61頁。