不論做內審,外審還是會計,我們整天都強調內部控制很重要。遇過一位管理人,他是我曾任職公司的某 Business Unit 的 Director,每次他見到我都說內控只是用來規管「聽話的人」,對那些「不守規則的人」是沒有用的。雖然他的評論有些偏頗,但也有合理地方,因為內控是有限制(Limitation) 的,限制主要有三種。
1. 管理者越權 (Management override)
若果管理者莫視內控甚至利用本身對企業的影響力來推翻內控,就算企業有一個很好的內控系統也等於沒有。
2. 互相勾結 (Collusion)
很多內控都是依靠互相制衡的,例如職責分工 (Segregation of duties),一個負責審批,另一個負責執行,但如果兩個人互相勾結,職責分工的控制便失效。
3. 人為錯誤 (Human Error)
大多數的內控需要由人來執行,但人不是電腦也不是機器,隨著心情生理變化等等因素會影響決定,小小的差錯更是在所難免。
前兩個限制就是關係到那位 Business Unit Director 所講的「不守規則的人」了。在設計內控時,如果內控是可以由電腦系統或者人來執行的話,我會儘量選擇前者,除了效率較高外,這樣可以減低人為錯誤及管理者越權的機會。至於互相勾結的問題,這就必須依靠偵測性控制 (detective control) 來監察,例如由管理層或者第三方(例如內審)進行不定期的檢查。但有一點需要注意,控制需要成本,利用一個控制來監察另一個控制需要的成本更大,所以使用與否就全看其成本效益(Cost effectiveness) 了。
還有一點,內控不是百分百能夠解決問題和風險的,所以我們只會追求 reasonable assurance (合理確信) 而不是 absolute assurance (絕對確信)。何謂 reasonable assurance?簡單來說,如果一個內控能避免大部份問題的發生,而那些小部份的問題不會對整體構成重大影響,這個內控就能夠做到 reasonable assurance 了。例如現在有一千件衣服,每一百件分別放在十個箱子內,因時間有限,我們只數過了箱子的數量並抽查了其中幾箱都發覺沒有錯誤,那麼我們可以合理地相信這一千件衣服確實存在。
在設計內控時,我們應要認清它的限制,不要盲目追求完美的控制之餘,也不要抱著得過且過的心態。
&&&&&&&&
1 則留言:
對,Internal Control 只針對 Control Risk,確有其限制。
發佈留言