Should Only Publicly Traded Companies Implement Internal Controls?

The answer is obviously no, every company should implement internal controls. For instance, a company with NTD$ 200 million annual sales is not a big company in Taiwan, but failure in internal controls could cause millions dollars in damage.

這個問題的答案是否定的，也就是說任何一間公司都必須要做內控。舉例來說，一間年營業額五、六億的公司在台灣並不算是一間大公司，但是一旦內控出了問題，損失還是可能高達數百萬元，這樣子的損失也不是公司所樂見的，所以還是要做內控，好的內控不但防弊，還能增進公司的經營效率。內控要是做不好，「錢」途真的不保。

從中國、美國、台灣等地法令規範內容來看，似乎都是針對比較大規模的企業來做規範。中華人民共和國相關單位於2008年根據其公司法、會計法、證券法所發布的「企業內部控制基本規範」裡面規定到，該規範適用於中國境內設立的大中型企業，小企業則不強迫但是可以參照此規範來建立內部控制制度[1]。

我國的內部控制規範則是由金管會根據證券交易法第十四條之一[2]所受權制訂的「公開發行公司建立內部控制制度處理準則」，依證交法以及該處理準則[3]，僅針對公開發行的公司要求建立內部控制制度，而公開發行公司因為是像大眾募資，通常都是比較中大型的企業。

美國的恩龍弊案發生後，於2002年制定沙賓法案（Sarbanes Oxley Act），該法案第404條要求公司於每年提出的年報當中加入公司內部控制制度之報告，該報告當中必須提到管理階層有建立與維持適當內部控制制度之責任，並且必須出具內部控制制度有效性的聲明書，其適用對象僅限於公開公司(public companies)[4]。

從上述各地的法規要求看來，似乎都僅要求具有相當規模之公司需要建立符合標準之內部控制制度，這些規範為甚麼不要求全部的企業不分大小都要符合標準呢？

可能的立法意旨在於，越大的公司發生弊案時影響的範圍越廣，比如說受害股東、員工、債權人的人數以及對於金融市場的影鉅大，所以大公司的內部控制必須要由法律來予以規定，但是我們對於這樣的見解並不認同，因為中小企業也有投資人、員工或債權人這些可能會受公司弊案波及的人，這些人的權益也需要受到相同的保護，不應該受到忽視，中小型企業不是不用作內控，而是要找出一個也適合中小企業的內部控制方式。

另一個可能、我們也比較認同的原因在於我們的法令規範的目的是希望在大公司上市的時候來為這個公司來做一個總體檢，看看他的各方面有沒有甚麼問題需要解決，如果夠健康才能夠上市來讓大家投資，那中小型企業有時候還沒有發展成熟，可能是產品研發並未完成、企業經營的方針尚未擬訂，也沒有需要花大錢請會計師事務所來查核的必要性，如果在公司創立初期就要嚴格的要求公司的內部控制制度，可能反而阻礙了公司的設立進而影響經濟發展。

[1]  參見中華人民共和國「企業內部控制基本規範」第2條。

[2]  我國證券交易法14-1：「公開發行公司、證券交易所、證券商及第十八條所定之事業應建立財務、業務之內部控制制度。主管機關得訂定前項公司或事業內部控制制度之準則。第一項之公司或事業，除經主管機關核准者外，應於每會計年度終了後四個月內，向主管機關申報內部控制聲明書。」

[3]  參見我國「公開發行公司建立內部控制制度處理準則」第2條。

[4]  Sarbanes Oxley Act ，http://www.sarbanes-oxley.com/section.php?level=2&pub_id=Sarbanes-Oxley&chap_id=PCAOB4