內控的性質和層次

早前曾寫過一篇《內控的限制》，今天再寫寫，簡單介紹一下內控的種類。

以性質來分類，內部控制 (Internal Control) 可以分為二大類，第一類是預防性的控制(Preventive control)，第二類是偵測性的控制 (Detective control)。理論上，預防性的控制效果最好，因為它能夠防止問題發生，不過在實際運作上我們又不能完全依賴它，有時還要配以偵測性的控制來監測，檢查預防性的控制是否有效。另外，如果推行預防性控制是不合符成本效益的話，我們會放棄使用它而以偵測性控制來代替。

舉個例子，在一家企業內，所有 petty cash payment 在付款前都必定要經過經理的書面審批，這個審批就是 Preventive control，另外，把 petty cash 鎖在抽屜內也是 Preventive control。不過單單依賴這兩個控制，我們無法肯定 petty cash 是否全數齊全，所以每個月做一次不定期的盤點以確定 petty cash 有沒有多了或少了，這個盤點就是 Detective control了。

另外，以層次來分類的話，內部控制可以分成企業層面的控制 (Entity-Level Control) 及業務層面的控制 (Transaction-level Control) 兩類。完善的內控應包括這兩類控制，以上述 petty cash 為例，經理的書面審批、把 petty cash 鎖上以及不定期盤點都是業務層面的控制，而 Cashier 的招聘程序，職前背景調查，具體工作範圍，商業行為準則，甚至企業的申訴制度等等就是企業層面的控制了。兩種層面的控制是相輔相成的，企業層面控制造就了一個良好的內控環境，業務層面控制則具體將問題解決，兩者缺一的話，很大機會問題都會繼續發生。

&&&&&&&&