文/蔡孟凌

近期證交所與櫃買中心發布「持有加密貨幣內部控制制度指引」及「穩定幣交易會計處理之指引」,對上市櫃公司來說,這不只是多了兩份參考文件,而是代表虛擬資產開始進入更制度化的企業治理階段。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
這次值得注意的,不只是主管機關把企業持有加密貨幣納入更明確的制度討論,而是它把問題從「企業能不能持有」推進到「企業是否管得住」。這個轉變很關鍵,因為加密貨幣一旦進入企業資產負債表,就不再只是投資標的,而會直接考驗公司的內控、資安、會計與董事會治理能力。
私鑰管理是新的資產控制核心
傳統企業的資金控管,主要建立在銀行帳戶、付款流程、印鑑制度、核決權限與會計傳票上。這些制度雖然不一定完美,但企業至少熟悉其中的權責分工,也知道發生異常時該如何追查。
加密貨幣的控制點則不盡相同。資產能否被移轉,往往取決於私鑰、助記詞、多簽權限與錢包地址。一旦私鑰遭竊或遭不當使用,資產可能在短時間內被轉出,而且鏈上交易一旦成立即無法取消。對企業而言,這不是單純的資訊安全事件,而是公司資產控制權被直接動用。
因此,從資安的角度來看,不能只把錢包當成一般系統帳號,也不能只把私鑰當成密碼管理問題。私鑰在企業環境中,更接近銀行憑證、公司印鑑與付款授權的綜合體。誰能保管、誰能存取、誰能簽章、誰能異動權限,都應該進入正式內控制度,而不能只靠少數技術人員或外部服務商的操作經驗。
這也是指引中特別強調虛擬錢包評估、權限分離、多重簽章、白名單地址、冷熱錢包比例及私鑰保存記錄的原因。這些要求看似技術性,實際上都是公司治理問題。因為它們決定的是:公司資產到底由誰控制,以及這個控制過程是否能被查核。

導入虛擬資產,不能只看效率
很多企業在思考加密貨幣或穩定幣應用時,第一個看到的是效率:跨境收款更快、結算成本更低、資金調度更彈性。對電商、跨境貿易、遊戲或大型企業集團而言,穩定幣支付與鏈上結算,確實有機會降低中間成本、縮短收付款時程。
但企業真正要小心的是,效率通常先被看見,治理成本卻常常被低估。
虛擬資產不是接上一個付款工具就結束,它會把財務、資安、會計、法遵與稽核全部拉進同一個流程裡。任何一個環節沒有接好,原本想提升效率的工具,就可能變成新的營運風險。
企業需要的是跨部門管理機制
企業若持有加密貨幣,不能只放在單一部門底下處理。財務要處理交易目的、授權額度與損失上限;會計要處理入帳與財報揭露;資訊要負責錢包系統與平台介接;資安則要負責私鑰保護、權限控管與異常監控;法遵與內部稽核則要確認流程是否落實,並在重大異常時提報董事會。
如果企業只是把加密貨幣當成財務部門的一項投資,或把錢包管理交給資訊部門自行處理,很容易形成治理上的斷點。交易可能有人核准,錢包可能有人維護,帳務也可能有人入帳,但整體風險卻未必有人真正負責。
許多公司內控失靈,問題不一定是完全沒有人管,而是每個部門只管自己看得到的一段。加密貨幣持有的風險,正是容易藏在這些部門交界處。當公司同時使用交易平台、第三方託管、內部錢包與外部 API 時,若沒有清楚的管理單位統籌,最後可能技術上能運作,治理上卻說不清楚。

鏈上記錄不等於完整證據鏈
很多人以為鏈上交易有交易序號,就可以清楚還原交易經過。但從企業內控角度來看,這只是證據鏈的一部分。公司還必須能說明交易為何發生、誰提出申請、誰核准、使用哪個白名單地址、誰完成簽章,以及交易後如何入帳與覆核。
未來企業導入虛擬資產後,資安監控也不能只看系統登入或端點異常,而必須延伸到鏈上交易監控、地址風險評分、KYT 及 AML 檢查、黑白名單比對與異常交易告警。鏈上監控與企業內控若沒有接起來,風險就會停留在技術資料層,無法真正變成管理決策。

董事會要監督的是控制架構
對董事會而言,加密貨幣治理不應只停留在是否投資、投資多少或價格風險多高。更重要的是,公司是否已建立足以承擔鏈上資產風險的內控架構。
這包括公司可以持有哪些幣種、交易授權額度與損失上限如何設定、冷熱錢包或託管機構如何選擇、重大異常如何通報,以及相關交易是否涉及公告申報要求。
這些問題看起來不像傳統董事會熟悉的投資決策,但其實正是董事會應該掌握的風險治理重點。董事會不需要理解每一個錢包技術細節,卻必須確認公司知道自己信任了哪些人、哪些系統與哪些外部機構,也必須確認一旦出現異常,公司有能力即時發現、限制損失並追溯責任。
尤其是第三方託管,企業不能誤以為交給專業機構就等於責任外包。託管可以降低部分操作風險,但不會讓公司免除治理責任。公司仍應評估託管機構的合規狀態、內控報告、資產隔離、保險與損失補償機制,也要確認自身應配合的控制措施是否落實。
人才培訓會決定制度能否落地
制度寫得再完整,如果公司內部沒有人真正理解加密貨幣的操作邏輯,內控仍然很難落地。
財務人員若不了解鏈上交易不可逆,可能低估交易前確認錢包地址的重要性;會計人員若不了解錢包、交易序號與鏈上記錄,可能無法有效核對帳務;資安人員若只熟悉傳統帳號權限,卻不了解私鑰、多重簽章與冷熱錢包,也可能錯估真正的控制點。
[ 閱讀 蔡孟凌 所有專欄文章 ]
董事會若只把加密貨幣看成投資標的,也很難問出正確的治理問題。
因此,企業需要培養的不是單一「懂幣」的人,而是一組能共同理解風險的跨部門團隊。真正困難的不是寫出制度,而是讓制度在財務、資訊、資安、會計與稽核之間實際運作起來。
從帳戶時代走向錢包時代
回頭來看,這次指引最重要的意義,不在於每一項作業細節,而在於它正式提醒我們:當加密貨幣進入企業,內控思維也必須跟著改變。
過去企業熟悉的是帳戶時代,資金流動依賴銀行帳戶、付款流程與內部核准。未來若企業開始持有加密貨幣,就會面對錢包時代的治理挑戰。導入前至少應先回答四個問題:誰有權接觸資產控制點?誰能發起、核准與簽章交易?異常交易如何即時發現與阻斷?所有決策與操作是否都能留下可稽核的證據鏈?
加密貨幣不是只考驗企業對新技術的接受度,而是考驗企業治理是否已經準備好,從帳戶時代走向錢包時代。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















