說到「內部控制」，不少人第一反應是：「內控不就是稽核部門的事？只要按照主管機關規定走，不出問題就好了，有需要特別表態或留意什麼嗎？」

先說個結論，希望能馬上感受到事情的嚴重性：違反內部控制，可能直接踩上背信罪的紅線！

來看一個假設案例：甲上市公司急需一批特殊原料，採購部門火速與乙供應商簽約，金額超過新台幣一億元。依內控程序，付款必須完成「三單核對」（訂單、驗收單、發票）後才能執行。但在高層（A董事長）施壓下，財會部門未驗收就付款。供應商收了錢後，只出部分貨，剩餘貨品以各種理由推託，最終失聯。事後查明，供應商與A董事長有私下利益往來。這樣的案例，背信問題呼之欲出。

就算真的有事，也跟作為董事或獨立董事，沒關係吧？

是這樣嗎？從幾個法規，包含《公開發行公司建立內部控制制度處理準則》、《證券交易法》、《上市上櫃公司治理實務守則》等當大的相關規定，就可以看出一個脈絡：內部控制跟財務報表的可靠性有關；內部控制制度的訂定、修正以及有效性與否都要經過審計委員會評估；獨立董事有意見還要列入董事會議事錄；最終的內部控制制度聲明書也需要由董事會通過。

所以，簡單來說，從設計、執行、監督到聲明，董事與獨董都是責任連署人之一。

既然（獨立）董事責任不低，有哪些營運循環或專案控制是風險比較高？應該多多留意？

依據經驗值，以下領域要特別留意：1.資金循環：財務主管未核准私自調度資金，導致呆帳；2.採購循環：如浮報金額；3.固定資產循環：如大額購置、估價不正確；4.投資循環：如對外投資缺乏盡職調查、併購失控，而此等領域如果又涉及利害關係人，風險愈高。

那麼，（獨立）董事應該如何因應以自保，同時又能盡責？

要確保正在討論交易之程序不能少，同時，要敢問：遇到不合理交易（什麼叫非常規交易？）懷疑有利害關係人牽涉其中（犯罪者如何規避利害關係人的放大鏡）、資金貸與、背書保證等高風險議題（哪些議題屬於重大、高風險議題），別只是聽簡報，要問：有無流程證據？有無第三方意見？如果沒有，該補就補，並確實記錄在議事錄上。

要留下記錄

為何在問了之後，要能留下記錄，因為，若是出事而拿不出任何證據證明自己有盡責，基本上，很難沒事。

內控，是公司營運的安全帶，也是董事們的防火牆。每一次的舉手表決、每一次的簽名，不只是形式，而是法律責任的具體化。彼得‧杜拉克提醒我們：「最危險的事情，就是自以為沒有風險。」這句話，在董事會裡尤其真實。別以為走過場就能免責；真正能保護自己的，是在風險來臨前，多問一句、多看一眼、多留一份記錄。

‍

本文發表於工商時報_名家評論專欄：https://www.ctee.com.tw/news/20250603700129-431303

‍