The Evolution of Internal Control

Information and communication is the core among 5 factors of internal controls, and document management is the most important practice of information and communication. 「文件管理」是內部控制制度的核心觀念 資訊與溝通是內部控制五大要素中的核心要素，而「文件管理」則是資訊與溝通中最為重要之實踐。 人類的知識、常識或是各種人類所思、所知的內容都必須藉由特定的媒介才能將其呈現出來而讓他人得以感知、聽聞進而達到溝通之功能，而這些承載人類所思、所知內容的媒介形式，我們即稱之為資訊。 在企業當中的資訊會有哪些媒介形式？傳統紙本資料如契約、訂單、對帳單、往來書信、財務報表….等；數位資料如電子郵件、電子檔案等，這些媒介都是企業所擁有的資訊。 而不論是傳統紙本或是數位檔案，都是本書所謂的「文件管理」所欲涵蓋的「文件」範疇，換句話說，我們可以認為，不管大小、內外、重要與否的所有資訊都是以「文件」的形式存在於企業內部。掌握文件，就掌握了企業內部的所有資訊。 此外，除非有人會「心電感應」或是「讀心術」之類的技巧，否則企業當中仍需藉由「溝通」的過程來達成各種營運目標，而「溝通」主要就是以「文件」的傳遞為主，例如管理階層已發電子郵件之方式下達公司新政策、業務部門接到訂單後傳真給工廠生產線、內部稽核人員撰寫稽核報告呈交董事會等。 經由這個溝通的過程，資訊本身才能發揮其功能，這正是之所以資訊與溝通這麼密不可分的緣故。缺乏資訊，溝通猶如失根蘭花；缺乏溝通，資訊毫無用武之地！ 經由上述說法，本書提出前所未有的創新觀點：既然資訊與溝通是貫穿內部控制的要素，資訊與溝通的良窳對企業內控制度影響深遠，而資訊與溝通在企業中的實踐則是以企業內的「文件」為主，所以，「文件管理」的成功與否便成為企業內部控制制度決定性的因素、核心中的核心！

The three objectives of internal controls system are the effectiveness and efficiency of operations, ensuring the accuracy of financial reporting, and compliance. 內部控制制度的三大目標分別是營運的效果與效率、確保財務報導的正確性與法令之遵循，不管是美國的COSO報告或是我國現行的「公開發行公司建立內部控制制度處理準則」1都有著墨，本書在第四章也稍微的介紹過。其中「法令之遵循」是企業最容易忽略的一塊，但是其對於企業之營運重要性不亞於另外兩大目標。有鑑於法令遵循之重要性，本書在此便簡單介紹我國之相關規範。 為什麼企業要遵守法令？企業不遵守法令會有什麼後果？原因無他，如果企業的營運活動有牴觸法令之情況，通常企業會受到許多的不利益，輕者可能罰鍰或賠錢了事，重者企業中的董事長、總經理、相關部門主管、承辦人等都可能被抓去坐牢，企業經營者不可不慎。 依現行「公開發行公司建立內部控制制度處理準則」第24條之規定2，公開發行公司每年都必須出具內部控制聲明書，金管會並要求應由董事長、總經理簽名蓋章以示負責，確保公司自行檢查其內部控制制度之設計與執行成效（包括促進營運效果效率之內控制度、確保財務報導正確性之內控制度與確保法令遵循之內控制度。），內部控制制度聲明書除了必須於指定網站3公告申報之外，也要附在公司的年報與公開說明書當中，來對外公開，如果內部控制聲明書的內容有虛偽、隱匿等不法情事，公司的管理階層便會涉及證券交易法第20條、第20-1條、第32條、第171條與第174條的民刑事法律責任4。 另依金管證稽字第09800097671號5所附之內控聲明書格式，公司在聲明其內部控制制度之設計與執行均有效時，關於法令遵循之部分公司可選擇要使用「主要法令列舉聲明」或是「全部法令均聲明」之聲明方式。「主要法令列舉聲明」是指出具此聲明之公司認為其內部控制制度可以確保該公司不會違反其已列舉出來的重要法令，對於其他的法令則不敢這麼肯定。「全部法令均聲明」則是指出具此聲明的公司認為其內部控制制度可以確保該公司不會違反所有台灣現行相關法令。 為什麼本書要特別提及此兩種聲明的方式呢？筆者從公開資訊觀測站上面查詢各上市、上櫃或是公開發行公司的內部控制聲明書，發現幾乎所有的公司都是採取「全部法令均聲明」之聲明方式，這代表的意思就是，這些公司認為他們的內部控制制度可以確保公司不致違反台灣全部的現行法令，換言之，這些企業如果違反了台灣多如牛毛的法令當中的任何一條，用最簡單的邏輯去推演，似乎就可以認定為該公司之內部控制制度在法令遵循上面的有效性在事實上是有瑕疵的，既然有瑕疵，公司的董事長及總經理卻在內部控制制度聲明書上聲明無瑕疵，金管會就可以依聲明不實之相關規定移送檢調單位。 從這個角度看來，法令遵循在內部控制之架構下，是需要所有公開發行公司格外加以重視的，若公司不慎違法，原本就應該要負擔相關之責任，已經是不幸之事，若還要另外承擔內控聲明書不實之法律責任對公司來說無疑是雪上加霜，情何以堪！ 法令遵循屬於內部控制的三大目標之一，而我國關於內部控制的最基本規範是「公開發行公司建立內部控制制度處理準則」，可惜的是，雖然在該處理準則的字裡行間偶有出現「法令遵循」之字眼，對於公司到底要如何建立一套有效的法令遵循計畫，卻缺乏讓企業得以參照之規範6。 迄本書撰成為止，現行有效的法令條文當中，有提到「法令遵循」或「遵循法令」字眼者約有80則，其中內容有關於建立「法令遵循制度」者則僅有16則7，另外的64則對於法令遵循該如何建立並無實質之規定（包括公開發行公司建立內部控制制度處理準則）在這16則「相對來說」比較具體的法令僅僅是為了金控、銀行、信用合作社、票券、信託、保險、證券、期貨等金融相關產業所設計之規範，對於其他產業則隻字未提。 本書在評論的順序上，由於這16則金融業相關規範對於法令遵循計畫之建立有較具體之規範，本書在討論的順序上會先檢討這16則之規範。另外的64則在內容上關於法令遵循計畫之建立基本上乏善可陳，本書將僅針對最具代表性、同時也是關於內部控制的最上位之公開發行公司建立內部控制制度處理準則」提出其問題所在。 參考資料: 1. 參照處理準則第3條：「公開發行公司之內部控制制度係由經理人所設計，董事會通過，並由董事會、經理人及其他員工執行之管理過程，其目的在於促進公司之健全經營，以合理確保下列目標之達成：一、營運之效果及效率。二、財務報導之可靠性。三、相關法令之遵循。前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。第一項第二款所稱財務報導之可靠性目標，包括確保對外之財務報表係依照一般公認會計原則編製，交易經適當核准等目標。」 2. 參照處理準則第24條：「首次辦理股票公開發行及公開發行公司，應每年自行檢查內部控制制度設計及執行的有效性，並依規定格式作成內部控制制度聲明書於每會計年度終了後四個月內於本會指定網站辦理公告申報。前項內部控制制度聲明書應先經董事會通過；修正時，亦同。第一項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。」…

Issuing bond or applying loans from bank are common ways of financing. But the former is a direct loan from investors, how investors view the default risk will reflect on the interest rates. Continue reading