Microsoft & Uber finally face the facts and change their Strategies

On June 28th, 2008, China released its first fundamental internal controls regulations and held the first internal controls summit. 中華人民共和國於2008年6月28日，由財政部、證券監督管理委員會、審計署、銀行業監督管理委員會以及保險監督管理委員會召開企業內部控制基本規範發布會及第一屆的企業內部控制高層論壇，在會議中發布了「企業內部控制基本規範」，此規範的根據法源是中國的公司法、證券法以及會計法。 「企業內部控制基本規範」的內容與COSO所提出的內部控制研究報告有相當高的一致性，普遍認為此依規範的發布有助於中國與國際接軌，一方面可以為中國的企業築起一道防範企業弊案的防火牆，更有助於中國的企業走出中國，擠身國際企業之林，是中國企業內部控制制度規範的一個重大突破。 「企業內部控制基本規範」預計於2009年7月1日起於中國的上市企業範圍內施行，並且也鼓勵非上市企業的中大型企業執行本規範的規定1。在這個基本規範當中除了提出與COSO報告雷同的內部控制定義、三大目標2與五大要素3之外，比較特殊的地方是這個規範還提出了內部控制的幾個大原則，本書將在接下來的部份簡單介紹一下這些原則。更重要的部份是，我們要把「企業內部控制基本規範」拿來與美國的沙賓法案做個比較，看看中國與美國在內部控制規範的部份是否有相同的規定。 一、「企業內部控制基本規範」第四條提出的內部控制五大原則 （一）全面性原則 全面性原則所要表達的是，內部控制應該貫穿企業內部的所有流程，包括決策、執行監督等各種大小作業程序，而且還必須要涵蓋企業以及其所屬單位的所有業務及事項。 （二）重要性原則 全面性原則告訴我們內部控制必須全面存在於企業內的各種層級、單位、及事物，而重要性原則是在全面建立內部控制制度的基礎之上，去著重關注企業內重要的業務或是容易出差錯的高風險地帶。比如說財務報告的製作流程可能就是一個我們需要徹以執行內控的領域。 （三）制衡性原則 我們在設計企業內部的控制制度的時候，很重要的一個觀念就是要在各個內部單位的治理結構、機構設置、權責分配及作業流程等方面設計出相互制約、牽制的機制，同時並顧及到營運的效率，這就是制衡性原則。 （四）適應性原則 每一個企業的內部控制制度都不該是完全相同的，因為它們必須視每個企業不同的經營規模、風險高低、競爭狀況、業務範圍等來設計出合適的機制，當然也必須隨時因應各種外在、內在條件的改變來調整，適應性原則就是表達了內部控制的此種特徵。 （五）成本效益原則 成本效益原則是告訴我們，不管採取何種內部控制制度，我們都必須審慎評估實施的成本以及實施後能夠獲的效益。俗話說「殺雞焉用牛刀」，是否每一家企業都必須建立龐大的內部稽核單位或是引進動輒數百萬的企業資源管理系統？內部控制的建立必須要能夠用合理的成本支出來達到相當的內控效果，才是一個好的內部控制制度，如果說一個企業的內部控制制度反而會拖累本來的業務成效，那真的就是本末倒置了。 二、內部控制制度自我評估報告 根據「企業內部控制基本規範」第46條規定，企業應該要結合其企業內部監督的情況，定期對於其內部控制制度的有效性進行評估，並且出具報告。此要求與美國沙賓法案第404條有異曲同工之妙，皆要求企業應該要提出內部控制制度的評估報告，促使企業建立適當的內部控制制度。 三、內部控制制度建立及實施過程資料之保存…

The three objectives of internal controls system are the effectiveness and efficiency of operations, ensuring the accuracy of financial reporting, and compliance. 內部控制制度的三大目標分別是營運的效果與效率、確保財務報導的正確性與法令之遵循，不管是美國的COSO報告或是我國現行的「公開發行公司建立內部控制制度處理準則」1都有著墨，本書在第四章也稍微的介紹過。其中「法令之遵循」是企業最容易忽略的一塊，但是其對於企業之營運重要性不亞於另外兩大目標。有鑑於法令遵循之重要性，本書在此便簡單介紹我國之相關規範。 為什麼企業要遵守法令？企業不遵守法令會有什麼後果？原因無他，如果企業的營運活動有牴觸法令之情況，通常企業會受到許多的不利益，輕者可能罰鍰或賠錢了事，重者企業中的董事長、總經理、相關部門主管、承辦人等都可能被抓去坐牢，企業經營者不可不慎。 依現行「公開發行公司建立內部控制制度處理準則」第24條之規定2，公開發行公司每年都必須出具內部控制聲明書，金管會並要求應由董事長、總經理簽名蓋章以示負責，確保公司自行檢查其內部控制制度之設計與執行成效（包括促進營運效果效率之內控制度、確保財務報導正確性之內控制度與確保法令遵循之內控制度。），內部控制制度聲明書除了必須於指定網站3公告申報之外，也要附在公司的年報與公開說明書當中，來對外公開，如果內部控制聲明書的內容有虛偽、隱匿等不法情事，公司的管理階層便會涉及證券交易法第20條、第20-1條、第32條、第171條與第174條的民刑事法律責任4。 另依金管證稽字第09800097671號5所附之內控聲明書格式，公司在聲明其內部控制制度之設計與執行均有效時，關於法令遵循之部分公司可選擇要使用「主要法令列舉聲明」或是「全部法令均聲明」之聲明方式。「主要法令列舉聲明」是指出具此聲明之公司認為其內部控制制度可以確保該公司不會違反其已列舉出來的重要法令，對於其他的法令則不敢這麼肯定。「全部法令均聲明」則是指出具此聲明的公司認為其內部控制制度可以確保該公司不會違反所有台灣現行相關法令。 為什麼本書要特別提及此兩種聲明的方式呢？筆者從公開資訊觀測站上面查詢各上市、上櫃或是公開發行公司的內部控制聲明書，發現幾乎所有的公司都是採取「全部法令均聲明」之聲明方式，這代表的意思就是，這些公司認為他們的內部控制制度可以確保公司不致違反台灣全部的現行法令，換言之，這些企業如果違反了台灣多如牛毛的法令當中的任何一條，用最簡單的邏輯去推演，似乎就可以認定為該公司之內部控制制度在法令遵循上面的有效性在事實上是有瑕疵的，既然有瑕疵，公司的董事長及總經理卻在內部控制制度聲明書上聲明無瑕疵，金管會就可以依聲明不實之相關規定移送檢調單位。 從這個角度看來，法令遵循在內部控制之架構下，是需要所有公開發行公司格外加以重視的，若公司不慎違法，原本就應該要負擔相關之責任，已經是不幸之事，若還要另外承擔內控聲明書不實之法律責任對公司來說無疑是雪上加霜，情何以堪！ 法令遵循屬於內部控制的三大目標之一，而我國關於內部控制的最基本規範是「公開發行公司建立內部控制制度處理準則」，可惜的是，雖然在該處理準則的字裡行間偶有出現「法令遵循」之字眼，對於公司到底要如何建立一套有效的法令遵循計畫，卻缺乏讓企業得以參照之規範6。 迄本書撰成為止，現行有效的法令條文當中，有提到「法令遵循」或「遵循法令」字眼者約有80則，其中內容有關於建立「法令遵循制度」者則僅有16則7，另外的64則對於法令遵循該如何建立並無實質之規定（包括公開發行公司建立內部控制制度處理準則）在這16則「相對來說」比較具體的法令僅僅是為了金控、銀行、信用合作社、票券、信託、保險、證券、期貨等金融相關產業所設計之規範，對於其他產業則隻字未提。 本書在評論的順序上，由於這16則金融業相關規範對於法令遵循計畫之建立有較具體之規範，本書在討論的順序上會先檢討這16則之規範。另外的64則在內容上關於法令遵循計畫之建立基本上乏善可陳，本書將僅針對最具代表性、同時也是關於內部控制的最上位之公開發行公司建立內部控制制度處理準則」提出其問題所在。 參考資料: 1. 參照處理準則第3條：「公開發行公司之內部控制制度係由經理人所設計，董事會通過，並由董事會、經理人及其他員工執行之管理過程，其目的在於促進公司之健全經營，以合理確保下列目標之達成：一、營運之效果及效率。二、財務報導之可靠性。三、相關法令之遵循。前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。第一項第二款所稱財務報導之可靠性目標，包括確保對外之財務報表係依照一般公認會計原則編製，交易經適當核准等目標。」 2. 參照處理準則第24條：「首次辦理股票公開發行及公開發行公司，應每年自行檢查內部控制制度設計及執行的有效性，並依規定格式作成內部控制制度聲明書於每會計年度終了後四個月內於本會指定網站辦理公告申報。前項內部控制制度聲明書應先經董事會通過；修正時，亦同。第一項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。」…

The current controversies  about Open Internet Order revolve around the fact that FCC is fixing things that are not broken. How 關於美國是否通過Open Internet Order（在台灣較常見的用語是Net Neutrality rules – 網路中立性規則），在美國引爆的爭議不止一端。其中最根本性的，是批評他們 “try to fix things that are not broken.”沒壞的東西，費勁修它作啥？ 豈非治絲益棼？但現在看來，Obama和Tom…