從阿帕契事件看企業內控之重要性資誠聯合會計師事務所會計師 許文冠 / 資誠企業管理顧問(股)公司執行董事 張晉瑞
阿帕契貴婦團打卡事件至今餘波不斷,軍方控管疏失非但造成國防機密有外洩之虞,亦傷害了國軍整體士氣及形象。民間企業輕忽內部控制之後果何嘗不是如此?近年來食安、舞弊事件造成企業財務、商譽重大損失,起因往往皆為內控不佳造成。筆者從國際標準內部控制架構(COSO)中的五大要素進行分析,探討事件發生原因,並提出對企業內部控制之省思。
1.控制環境:控制環境是內控的基礎,如何建置完善的內控制度,需由下而上,由小到大,進行全面的規劃,並落實於文字等正式文件,分層負責與管理。做好內部溝通,確保企業員工都能知道在內控制度中扮演的角色。
事件發生後牽連層級甚廣,冰凍三尺非一日之寒,顯見長期內控制度的健全性與執行力不足。反思企業在建立內控制度時,需全盤考量確實執行,特別是高階管理者要以身作則,上行下效,才能形塑良好的內控環境。
2.風險評估:當風險發生時,面對風險的認知與反應甚為重要。前提是需先依據不同事件,評估風險層級,擬定相關因應策略。同時找出最容易發生風險的事件,加強防範。
本次阿帕契事件中,最引發社會關注的是「洩漏軍事機密」,一張手機打卡上傳照,讓阿帕契直升機全貌完整曝露,並經由網路迅速傳播。
按軍方規定智慧型手機不可攜帶至營區內,但似乎未嚴格落實到參訪人員,導致此一事件的發生。
3.控制活動:管理階層經由標準的內控流程與處理程序,適當授權,層層負責是控制活動的關鍵。不諱言人工控制可能因人為疏失而失效,故有效之控制活動須輔以監控系統等自動控制措施,經由系統妥善記錄處理軌跡。
惟自動控制並非一勞永逸,此次事發營區雖已安裝監視器,但紀錄疑似不完整而受質疑。應用在企業,除應定期檢視自動控制有效性外,為避免重要稽核軌跡遭惡意刪除或修改,亦可考慮建立單獨控管之紀錄伺服器(Log Server),以妥善保存數位證據。
4.資訊與溝通:良好與透明的資訊溝通,是內控制度落實的關鍵。本事件肇因於未透過標準程序申請參觀,且違紀軍官當時並未制止「營區打卡」,自身亦攜帶精密頭盔設備離營參加私人聚會,種種跡象皆顯示對內控知識的不足與輕忽。企業除應思考如何經常教育與測試員工對內控措施的認知與落實外,亦可藉由外部力量共同監督,例如將反舞弊等政策告知供應商、顧客等利害關係人,設置保密檢舉專線等,以價值鍊之思維共同維護內控有效性。
5.監督活動:監督之目的在偵知缺失、持續修正,以確保內控制度有效運行。阿帕契事件之初,航特指揮部未即時通報國防部,導致風波愈演愈烈,顯示出通報的缺失與監督失靈。
企業應警覺對於意外事件生時,是否能確實執行即時通報程序,避免因基層同仁的鴕鳥心態,而阻塞內控流程,確保企業在缺失發生時能立即有效應對。
內部控制環環相扣,制度建立與員工落實缺一不可,著名的瑞士乳酪理論指出,唯有所有控管同時失效,如多片乳酪上之空洞排成一線時,風險方有可能穿過控制造成實際損害。
(本文作者許文冠為資誠聯合會計師事務所會計師、張晉瑞為資誠企業管理顧問(股)公司執行董事;本文原刊登於2015.4.23工商時報)