公司內控做得好不好？先搞懂內部稽核在做什麼

內部稽核常被誤解為事後找麻煩的角色，但其核心價值在於透過協助企業預防風險及提升價值，成為不可或缺的策略夥伴。簡單來說，內部控制是企業建構的自律防線，而內部稽核則是確保防線有效運作的獨立檢查，這兩者共同構成企業確保營運合法與高效治理的兩大支柱。接下來將從內部控制概念著手，深入理解它們如何協同運作、維護企業的穩健。

一、內部控制：打造企業穩固的地基

（Photo Source：Depositphotos）

內部控制（Internal Control）並非單一的制度，而是一套由企業全體人員共同參與的動態流程。美國 COSO（Committee of Sponsoring Organizations of the Treadway Commission）委員會提出的五大要素框架，是全球公認的內部控制標準，它提供了一個全面的視角來檢視內部控制體系。

1. 控制環境：企業文化與治理態度。

內部控制的成敗，首先取決於企業的文化與治理態度。這包括董事會和高階管理層是否展現誠信和道德價值觀，是否重視內控的建立與執行。當企業從上到下都認同內控的重要性，員工自然會更嚴謹地遵守規範。反之，如果高層態度輕忽，再完善的制度也形同虛設。

2. 風險評估：識別可能阻礙目標達成的風險。

企業在追求目標的過程中，隨時面臨各種風險，例如市場波動、法規變動、技術落後或內部舞弊。內部控制的第一步，就是主動識別、分析這些可能阻礙目標達成的風險，並評估其發生的可能性與影響程度。

3. 控制活動：實際執行的政策與程序。

控制活動是內部控制中最具體、最實務的環節，是企業為了降低風險而採取的各種政策和程序。這些活動可以分為幾大類：

• 授權與簽核： 規定交易必須經過特定人員的核准才能執行，例如大額採購需經採購主管和財務主管雙重簽核。
• 職能分工： 將不相容的職務分開，以避免舞弊，例如出納人員不能同時負責記帳。
• 實物控制： 對資產（如現金、存貨）進行實物保護，例如定期盤點、門禁管制。
• 系統控制： 在資訊系統中設定權限、密碼和自動檢核功能，確保資料的正確性與安全性。

4. 資訊與溝通：確保資訊有效傳遞。

有效的內部控制需要透明的資訊傳遞。企業必須建立完善的資訊系統，確保所有員工都能即時、準確地取得所需的資訊，同時也必須建立暢通的溝通管道，讓員工能回饋意見，甚至匿名舉報不法行為。

5. 監督：隨時檢視控制措施是否有效。

內部控制並非一勞永逸，環境會變，風險也會變。因此，企業需要持續監督其內控系統的有效性。監督可以分為日常監督（例如主管日常審核文件）和獨立評估（例如內部稽核）。

二、內部稽核：客觀獨立的守護者

如果內部控制是企業自己蓋的房子，那麼內部稽核就是一位專業的驗屋師。他不會參與房子的設計和建造，但會用獨立、客觀的眼光，對房子進行全面檢查。

1. 內部稽核的核心價值

（Photo Source：Depositphotos）

由於內部稽核的獨立性與客觀性，它不隸屬於任何業務部門，直接向董事會或審計委員會報告，這確保了其立場公正，能無所畏懼地指出問題。內部稽核主要扮演兩個角色：

• 確認者（Assurance）： 內部稽核會系統性地評估內部控制的設計是否完善，以及執行是否確實有效。例如，稽核員會抽查費用報銷單據，確認是否符合公司的內控規定，並檢視流程本身是否有漏洞。
• 諮詢者（Consulting）： 內部稽核不僅是找錯，更會為企業提供增值服務。他們會協助管理階層識別潛在風險，並針對流程或管理弱點提出改善建議，幫助企業提升營運效率和競爭力。

2. 內部稽核如何發現問題與創造價值？

• 從事後查核到事前預防： 傳統的內部稽核可能只著重於事後檢查財務報表，但現代的稽核更具前瞻性。他們會參與企業的重大決策，例如新業務的開發或新系統的導入，從源頭就提供內部控制的建議，將風險降到最低。
• 利用數據分析： 隨著科技發展，內部稽核不再只靠人工抽查。他們會運用數據分析工具，從海量交易資料中快速篩選出異常模式，例如：某個員工的報銷金額總是大於平均值、某個供應商的付款頻率異常高等，大幅提升稽核的效率與精準度。
• 提供營運洞見： 除了內控與法規，內部稽核也會從營運流程的角度出發，評估各部門的效率。例如，他們可能會發現某個部門的採購流程過於冗長，導致成本增加，並提出優化建議。

三、兩者如何協同運作，確保企業成功

內部控制和內部稽核並非相互獨立，而是緊密相連並且互補。我們可以將它們的關係，比喻為企業的「自律」與「他律」。

• 內部控制：是企業為了自我管理，所建立的一套規範和流程，是企業的「自律」防線。
• 內部稽核：是一個獨立的第三方，負責檢視這道防線是否有效，是企業的「他律」檢查。

企業許多日常業務中，都有內部控制和內部稽核協同運作的實例：

1. 費用報銷流程：
   • 內部控制：公司制定了嚴格的費用報銷政策，要求每筆超過特定金額的報銷單據，都必須有主管的簽核，並附上發票證明。
   • 內部稽核：稽核部門會定期或不定期地進行抽查。他們會檢視報銷單據是否都確實被主管核准、金額是否與發票相符，並評估整個流程是否有被員工規避的可能。如果發現有問題（例如：核准人與報銷人是同一人），稽核部門會向管理階層提出改善建議。
2. 存貨管理：
   • 內部控制：公司規定存貨必須定期盤點，並設定最低庫存警示。
   • 內部稽核：稽核部門會親自到倉庫進行存貨盤點的實地觀察，檢查盤點流程是否確實、盤點結果是否與帳面一致，並評估最低庫存警示的設定是否合理。
3. 人資管理：
   • 內部控制：公司制定了嚴格的招募與離職流程，例如錄取者必須提供身分證明、離職員工必須歸還所有公司資產等。
   • 內部稽核：稽核部門會定期抽查人事資料，確保招募流程的合規性，並確認離職手續是否完整，以防止資產外流或資料洩漏的風險。
4. 資訊系統：
   • 內部控制：IT 部門制定了嚴格的系統存取權限管理政策，並定期進行資料備份。
   • 內部稽核：稽核部門會檢查IT部門的權限設定是否合理，並測試資料備份與恢復機制是否有效，以確保公司資訊資產的安全。

透過這類協同運作，內部控制才能真正發揮作用，而內部稽核也能為企業提供客觀的保障。

從法規遵循到企業永續發展

現在法規日益嚴格、市場競爭激烈，內部控制與內部稽核對企業而言，不僅是企業遵循法規、避免罰款的工具，更是企業穩健成長、永續發展的守門員。

一個強健的內部控制體系，能幫助企業有效管理風險，提升營運效率，並為所有利害關係人（股東、客戶、員工）創造信任。而內部稽核的角色，也從單純的「內部警察」轉變為「價值創造者」。他們透過獨立的評估與專業的建議，幫助企業不斷優化自身體質，成為企業管理階層最可靠的策略夥伴。

隨著數位化轉型與 ESG（環境、社會、公司治理）浪潮的來襲，內部控制與內部稽核的角色也將持續進化。企業需要利用大數據、人工智慧等新工具，更精準地識別與預測風險，例如資安風險與數據隱私。同時，內部稽核也將擴大其關注範疇，審視企業在ESG方面的政策是否確實執行，並評估其成效，確保企業在追求獲利的同時，也能善盡社會責任。

因此，想判斷一家公司的體質是否健全，除了看漂亮的財務報表數字，更要看其內部控制是否紮實，以及內部稽核是否能有效發揮作用。因為這兩者，才是企業在變動時代中，得以立於不敗之地的真正保障。

文／Wendy Liu｜COMMEET編輯群