研發內部控制淺談（二）（轉）

主要風險因子 除此之外，內部控制的三專案標與五項要素還有一個關係，那就是決定風險因子。根據過去經驗，內部控制的三專案標，可以用7個一般性風險因子來表達，分別是： * 正確性 * 完整性 * 有效性 * 及時性 * 商譽 * 客戶滿意 * 法令及政策遵循 在設計控制措施之前，必須依據部門/作業活動的五項要素，決定要將哪此主要風險因子納入考慮，然後依據重要性排定每個風險因子的順序。 除了三專案標、五項要素以及風險因子之外，內部控制制度若要發揮效果，必須同時做好制度面及執行面，也就是說，除了追求合理而良好的制度設計外，也要重視實際執行情形，畢竟，再好的制度，如果沒有辦法落實，仍然無法發揮效果，此外通常在設計制度時，難免會出現考慮不夠周詳的地方，這個時候就必須依靠執行結果回饋，進一步分析問題原因並改進內控制度。 內部稽核 內部稽核是內部控制制度的一環，一般是由內部稽核人員負責執行。內部稽核目的在於衡量營運效率與效果，協助董事會及經理人檢覆核內部控制制度的缺失，適時提供改進建議，作為檢討修正內部控制制度的依據，以確保內控制度得了持續有效實施。 臺灣內部控制迷失 雖然台灣有關部門已頒定了《公開發行公司建立內部控制制度處理準則》，然而臺灣企業在建立及執行內部控制制度方面，有很多奇怪現象，原本內部控制制度目的是要協助投資人監督管理層行為，以確保其權益，所以在美非常受到重視。然而在臺灣，股市投資人以散戶為主，又偏好短線操作，投資決策受資訊面影響較大，對企業財務資訊的透明度及防弊要求不高，加上散戶力量微薄，無法對管理者開成壓力，因而一般企業對於設定良好內部控制制度並不重視。 雖然臺灣證券暨期貨易委員會已頒佈內控內稽相關規範，由於臺灣訴訟環境比較環境比較偏重形式主義，導致一般公司普遍存在投機心態，所謂內部控制制度常常只是拿模板來抄一抄，應付主管機關查核，少有落實。 以臺灣，內部控制制度相關服務的主要提供者為會計師事務所，以會計專業背景下比較重視會計作業的正確性以及財務報表表達的允當性，所以在為客戶提供內部控制制度設計服務時，重點放在財務資訊揭露的三大要素（實時性、真實性、完整性）以及人員舞弊上，造成人們獎內部控制誤認為是防弊，管理人員作業或是牽制管理決策的工具，由於這樣的負現印象，導致企業推動內部控制的成效一向不佳。 除此之外，傳統內部控制方法確實有不足的地方，從一個很直覺的角度來看，雖然現行內部控制三專案標中，第一項是營去效率現效果，然而目前內部控制制度設計的方法，很難讓管理階層及員工感受到控制措施對於提升營運效率的貢獻。 另一方面，在全球化發展趨勢下，企業營運活動日趨複雜，面臨著愈來愈多不同性質的風險，因而在設計控制措施時，如果只考慮現有7項主要風險因子，會導致企業無法管理很多營運上的其他風險，也無法有效減累風險暴露的程度。 此外，現有內部控制方法，並未將控制目標或主要風險因子，與公司願景、策略方向及目標聯結，導致控制措施無法支援高層主管理對於策略管理的需求，在價值上打了個很大的折扣，為了滿足企業落實內部控制的需求，作者參考國外知名管理顧問公司的做法，發展了一套風險管理的觀念及方法論。 策略性風險導向內部控制 傳統內部控制制度，是以營運效率與效果，財務報告的可靠性以及相關法令的遵循這三項為控制目標，然後在設計控制措施時，還須考慮7個主要風險因子，然而光是在“營運效率與效果”這一項，企業就面臨著許多風險，以國外知名管理顧問公司發展的風險模型(Risk Model)為例，就有3大類（環境、流程，與決策資訊風險）一共77項風險，這77項風險並不會同時存在，企業在不同的時點會面臨不同挑戰及風險，由於風險不斷變化，內部控制若要發揮更大的效果，就必須從風險角度來設業控制目標。 所謂風險，從作業層級角度來看，指的是由於某項選擇或決策行動所產生的不確定性結果，企業任何一項作業，或多或少都會存在一些不確定的結果，例如將訂購貨品送達客戶手上後，客戶可能賴財，無法收取貨款造成公司財務損失。或是新上線計算機系統當機，導致重要客戶資料毀損，影響公司正常營運，這些都是執行日常工作時，企業面臨到的風險。 從企業整體角度來看，所謂風險是指所有會影響企業達成其營運目標及策略之事件或行動。 隨著全球化及知識經濟的發展，臺灣企業面臨經營環境不斷變化，隨時都會出現新的挑戰，這些挑戰主要來自於市場開放與自由貿易（例如台灣加入WTO）帶來了更多競爭者，科技創新以及電子化，網路化運用除了加快企業營運的速度及降低交易成本外，也引了消費者希望企業提供更好的服務，另一方面，政府機關為了發展經濟、適應環境變化，制定許多新的政策，規劃及管理措施，例如環保部門在2002年推動限用塑膠袋及免洗餐具的政策以及當局要求企業加強資金流通安全的規定。這些變化都會使企業面臨更多的挑戰。 一個挑戰對企業而言，是機會也是風險，如果企業能妥善迎接挑戰並轉化為自己的競爭優勢，挑戰就會是機會，例如內部製造業雖然以低價產品競爭，如果臺灣企業也能運用內地廉價勞動力，再結合原本的營銷及研發能力，並以內地市場為腹地建立品牌，那麼內地經濟發展的挑戰，就會變成是台灣企業邁向國際化的機會。 如果企業無法妥善應付挑戰，反而被競爭對物掌握住，挑戰就會變成風險，企業也會在競爭中居於劣勢，以環保部門推動的限用塑膠製品為例，如果一家塑膠工廠未及時改變產品線，卻期待此項政策只是個品號永遠不會實現，那麼當環保部門推動政策時，這家塑膠工廠就會在營去上面臨極大風險，面臨倒閉危機，如果另一家塑膠工廠減少塑膠製品的產能，同時轉型為生產紙類製品，反而可以政策推行時獲得競爭優勢，確保獲利來源。 從以上與風險有關的描述，我們對“企業整體風險管理(Emterprise Wide Risk Management)”下一個定義： 企業整體風險管理，乃是一種結構性方法，目的在聯結公司策略、流程、人員、技術與知識，找出企業在追求獲得時遇到的不確定性，並設計適當措施、機制予以管理。 所謂“企業整體(Enterprise Wide)”是指企業必須克服功能性，部門性或是文化性障礙，採用全面性，整合性，前瞻性，以及流程導向方法，來應對企業面臨所有重要的機會及風險，而不只是財務風險，如此才能提高公司整體及投資人的利益。 企業整體風險管理是一個彈性很大的解決方案，企業在實行EWRM時，必須考慮自身商業模式(Business Model)、策略，組織結構、文化以及財務操作狀況，做出適當調整。根據過去專案經驗，企業在匯入EWRM時會有幾個基本要素是一體通用的，像是風險與策略聯結、風險相策以及風險管理流程等，此外企業之所以想匯入EWRM，不外乎以下六項動機： * 強化公司治理 * 減少意外損失 * 建立策略管理工具 * 改善經營績效 * 讓資本預算決策更合理 * 強化高層主管、部門主管以及一般員工的溝通 策略性 整個風險管理與內部控制機制，要能協助企業管理策略併發揮具體效益，必須先建立風險專案與企業策略的關聯性，此時必須透過策略選擇方法，描述企業願景與使命，定義策略發展方向以及策略目標，然後針對每一項策略目標，辨視可能導致目標無法達成的風險專案，再將這些風險專案依重要性及發生機率，決定優先順序，作為內部控制目標。 風險應對策略 在管理風險、降低風險時，企業必先衡量風險值大小，或是風險水平高低，然後評估有哪些風險值可透過目前控制措施予以消除，有多少殘餘風險值是企業願意承擔，無須再投入資源控制，扣除這兩個專案之後，、剩餘的風險差距(Risk Gap)就是企業必須改進控制制度，加強控制的部分，企業必須針對此項風險差距，制定風險應對策略，在合理的時間範圍內，將這些風險予以消除，降低意外事件對企業造成的損失。[@more@]