202412版
內部控制制度有效性判斷參考項目
本份「內部控制制度有效性判斷參考項目」(下稱參考項目),係以主管機關公布「內部控制制度有效性判斷項目」(下稱判斷項目)為基本架構,參考我國「建立內部控制制度核心原則」、相關法令規章與各守則規定、美國COSO委員會2013年版「內部控制-整合架構」,以及實現對永續報導之有效內部控制(ICSR):透過COSO《內部控制-整合架構》建立信任與信心(下稱COSO ICSR),與國際內部稽核協會(IIA)的國際內部稽核執業準則等相關規範而設計。每個參考項目(白色底的題目)的評估結果,由評估者填寫「是/否/不適用」,並對執行情況說明之,俾利內部控制制度有效性評估工作。
公司可衡酌本份參考項目(註1),依公司實際情況訂定自己適用的項目,建議每年交由以下2類相關人員填寫,第1類評估者為管理者,包括:董監事成員、高階管理階層、永續主管、財務主管、內部稽核主管;第2類評估者為一般員工。填寫方式可採用書面或電子問卷,並經內部稽核人員查核後,整理出全公司的年度整體評估結果與相關報告,再呈報給高階管理階層與董事會,作為董事會通過年度内部控制制度聲明書的主要佐證資料。
本次編碼原則,依COSO五個組成要素作序列分類編碼,CE、RA、CA、IC、MA分別為Control Environment、Risk Assessment、Control Activities、Information and Communication、Monitoring Activities之簡稱。例如:CE是控制環境(Control Environment)之類別,CE1、CE1.1、CE1.2、CE1.3屬主管機關已公布之「判斷項目」位階,CE 1.3.1-1、CE 1.3.1-2、CE 1.3.2、CE 1.3.3屬「參考項目」之位階。
為強化公司對永續資訊(含永續報導) (註2)之揭露品質,本次修訂進一步參考COSO ICSR,從COSO五個組成要素及其列示之17個原則,將其應用於對永續管理(註3)之內部控制,並整合公司既有的控制制度,以提供公司設計及執行其永續資訊揭露之有效內部控制制度參考。
(註1:本份增修部分,已加註底線,另標示「*」為參考法規,係屬法令規定上市、上櫃、興櫃及公開發行公司應遵循者,其餘參考項目可由公司依各自規模大小、產業性質、風險程度及複雜性等自行判斷及規劃。)
(註2:永續資訊(含永續報導):反映組織永續活動和交易的資料或資訊,通常可分為環境、社會和治理等3類,其包括年報中永續相關揭露及永續報告書之資訊。另亦宜涵蓋公司於網頁揭露之永續相關資訊。)
(註3:永續管理係指組織指導與監督其永續活動和報導的方式。)
判斷項目/參考項目 | 評估結果 | ||
是/否/不適用 | 評估者 | 執行情況說明 (含參考文件) | |
CE、控制環境 | |||
CE 1董事會與高階管理階層應重視誠信與道德價值。 | |||
CE 1.1公司是否建立內部行為準則包括董事行為準則、員工行為準則等規範?其內容是否強調對於誠信與道德價值之重要性?是否告知組織所有成員瞭解及落實執行? | |||
CE 1.1.1-1公司是否建立董事行為準則? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CE 1.1.1-2公司是否建立員工行為準則? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者、員工 | ||
CE 1.1.1-3公司是否透過使命聲明或行為準則,將誠信與道德價值觀之重要性與企業永續經營政策對組織內所有成員(如員工、子公司、合資等)及價值鏈重要成員(如外包服務提供者、商業合作夥伴、供應商、客戶等)溝通? (資料來源:建立內部控制制度核心原則2.1.2) | 管理者 | ||
CE 1.1.1-4公司是否告知組織內所有成員與價值鏈重要成員落實執行誠信與道德價值觀與企業永續經營政策等使命聲明或行為準則? (資料來源:建立內部控制制度核心原則2.1.2) | 管理者 | ||
CE 1.1.2-1行為準則內容是否強調對於誠信與道德價值之重要性? (資料來源:上市上櫃公司誠信經營守則第17條、建立內部控制制度核心原則2.1、2.1.1) | 管理者 | ||
CE 1.1.2-2公司是否訂定誠信經營守則或類似規範? (資料來源:上市上櫃公司誠信經營守則第1條) | 管理者 | ||
CE 1.1.2-3公司是否訂定永續發展實務守則或類似規範? (資料來源:上市上櫃公司永續發展實務守則第1條) | 管理者 | ||
CE 1.1.2-4公司所訂定之行為準則是否依個別狀況與需要,考量利益衝突、避免圖私利、公平交易、保密責任、誠信原則、遵循法令、保護並適當使用公司資產、防止漂綠、鼓勵呈報任何非法或違反道德行為準則之行為、懲戒措施等條款? (資料來源:上市上櫃公司訂定道德行為準則參考範例第2條) | 管理者 | ||
CE 1.1.2-5董事會與高階管理階層是否透過其指令、行動及行為,展現誠信與道德價值,以表示支持內部控制制度運作之重要性?(例如:高階管理階層及董事會採取特定的措施,設定有關道德、社會、環保或其他形式的負責任行為之基調,例如溫室氣體排放報導、永續性的生產流程或天然災害後的社區救助。) (資料來源:建立內部控制制度核心原則2.1.1) | 管理者 | ||
CE 1.1.3-1公司是否公告行為準則,並與相關人員作有效溝通?溝通方法包括透過員工手冊、政策手冊、內部網路或其他方法等。 (資料來源:上市上櫃公司誠信經營守則第6條) | 管理者、員工 | ||
CE 1.1.3-2公司是否監督其行為準則之落實情形? (資料來源:上市上櫃公司誠信經營守則第17條) | 管理者 | ||
CE 1.2組織所有成員在與供應商、投資人、債權人、競爭對手及會計師等往來時,其行為是否符合公司要求之誠信與道德價值標準? | |||
CE 1.2.1-1公司與合作夥伴(供應商、投資人、債權人、競爭對手及會計師…等)往來,是否建立誠信與道德價值之標準? (資料來源:建立內部控制制度核心原則2.1.2) | 管理者 | ||
CE 1.2.1-2公司訂定之行為準則,是否在年報、公開說明書及公開資訊觀測站揭露? (資料來源:上市上櫃公司訂定道德行為準則參考範例第4條) | 管理者 | ||
CE 1.2.1-3誠信與道德價值標準是否告知公司所有合作夥伴? (資料來源:建立內部控制制度核心原則2.1.2) | 管理者 | ||
CE 1.2.1-4公司成員與供應商、投資人、債權人、競爭對手及會計師等往來時,是否建立誠信與道德價值標準落實之監督機制? (資料來源:上市上櫃公司治理實務守則第16條) | 管理者 | ||
CE 1.3當組織所有成員違反內部行為準則時,是否可及時辨識及補救?是否被記錄及調查?如何處罰? | |||
CE 1.3.1-1企業是否能及時辨識員工所違反的內部行為準則? (資料來源:建立內部控制制度核心原則2.1.4) | 管理者 | ||
CE 1.3.1-2員工違反內部行為準則時,企業是否採行補救措施? *(參考法規:公開發行公司建立內部控制制度處理準則第42條) | 管理者 | ||
CE 1.3.2企業是否有流程或機制,來記錄及調查組織內所有成員與價值鏈重要成員違反內部行為準則? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則2.1.3) | 管理者、員工 | ||
CE 1.3.3組織內所有成員與價值鏈重要成員違反內部行為準則時,企業是否對其處罰? (資料來源:上市上櫃公司誠信經營守則第24條、建立內部控制制度核心原則2.5.5) | 管理者、員工 | ||
CE 1.4管理階層期待某些短期目標之達成,以獲取報酬之程度如何?員工是否受到達成某些不切實際短期目標的壓力?他們的報酬繫於這些目標達成之程度如何? | |||
CE 1.4.1企業於1年內是否發生管理階層因達成短期目標而獲得不合理的獎酬? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者 | ||
CE 1.4.2員工是否有面臨某些不切實際短期目標的壓力? (資料來源:建立內部控制制度核心原則2.5.4) | 管理者、員工 | ||
CE 1.4.3-1企業是否訂有管理階層和員工達成短期目標之配套補助及獎酬辦法? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者、員工 | ||
CE 1.4.3-2管理階層和員工的績效考核獎酬是否與企業所列之短期目標達成程度相關? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者、員工 | ||
CE 2董事會及監察人(或審計委員會)應善盡治理監督責任,並定期評估內部控制制度設計及執行之成效。 | |||
CE 2.1董事會及監察人(或審計委員會)是否瞭解利害關係人,包括客戶、員工、股東及一般社會大眾等之期望,以及主管機關對於法令規範之要求?是否定期評估內部控制制度設計及執行之成效? | |||
CE 2.1.1-1董事會及監察人(或審計委員會)是否瞭解利害關係人(包括客戶、員工、股東及一般社會大眾等)之期望? (資料來源:建立內部控制制度核心原則2.2.1) | 管理者 | ||
CE 2.1.1-2董事會及監察人(或審計委員會)是否瞭解主管機關對於法令規範之要求? (資料來源:上市上櫃公司治理實務守則第20條) | 管理者 | ||
CE 2.1.2董事會及監察人(或審計委員會)是否定期評估內部控制制度設計及執行之成效? *(參考法規:公開發行公司建立內部控制制度處理準則第5條、第24條) | 管理者 | ||
CE 2.1.3-1董事會及監察人(或審計委員會)是否核定永續發展政策或相關管理方針、具體推動計畫、永續資訊相關內部控制制度? (資料來源:上市上櫃公司永續發展實務守則第5條) | 管理者 | ||
CE 2.1.3-2董事會及監察人(或審計委員會)是否監督管理階層分配與指派充足且適當之資源,使永續資訊相關內部控制制度能有效運作? (資料來源:建立內部控制制度核心原則2.2) | 管理者 | ||
CE 2.1.3-3董事會及監察人(或審計委員會)是否定期監督與評估永續資訊相關內部控制制度設計及執行之成效? *(參考法規:公開發行公司建立內部控制制度處理準則第5條、第24條) | 管理者 | ||
CE 2.1.3-4董事會及監察人(或審計委員會)是否核定永續資訊確信或查證等作業之政策? (資料來源:上市上櫃永續發展實務守則第29條) | 管理者 | ||
CE 2.1.3-5董事會及監察人(或審計委員會)是否確認內部稽核或執行獨立確信、查證之第三方機構之成員的適任性? (資料來源:建立內部控制制度核心原則1.5) | 管理者 | ||
CE 2.2董事會之召集、議事內容及作業程序是否符合相關規定?已設置審計委員會者,是否至少有1位成員具有會計或財務專長的背景? | |||
CE 2.2.1-1 企業是否已依「公開發行公司董事會議事辦法」訂定董事會議事規範? *(參考法規:公開發行公司董事會議事辦法第2條) | 管理者 | ||
CE 2.2.1-2 董事會之召集、議事內容及作業程序是否依法令章程及議事規範辦理? *(參考法規:公開發行公司董事會議事辦法第2條、第3條及第6條) | 管理者 | ||
CE 2.2.1-3董事會之召集通知書上,企業是否載明召集事由,於會議7日(從通知之翌日起算至開會前1日滿7日)前通知各董事及監察人(或獨立董事),並提供足夠之會議資料,與召集通知書一併寄送? *(參考法規:公司法第204條) | 管理者 | ||
CE
2.2.1-4 企業是否至少每季召開1次董事會? | 管理者 | ||
CE 2.2.1-5對於證券交易法第14-3條應經董事會決議事項,是否要求每位獨立董事親自出席或委由其他獨立董事代理出席? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
CE 2.2.1-6 企業是否明訂董事會被授權行使董事會職權之授權層級、內容或事項,以及不得概括授權的項目? *(參考法規:公司法第193條) | 管理者 | ||
CE 2.2.1-7 董事對於董事會所列議案,如涉有董事本身利害關係致損及企業利益之虞時,企業是否要求其自行迴避? *(參考法規:公開發行公司董事會議事辦法第16條) | 管理者 | ||
CE 2.2.1-8董事會的會議決議事項經獨立董事反對或保留意見且有紀錄或書面聲明者(設置獨立董事者始適用);或未經審計委員會通過,而經全體董事三分之二以上同意者(設置審計委員會者始適用),企業是否在董事會開會日起2日內,於主管機關指定之資訊申報網站辦理公告申報? *(參考法規:公開發行公司董事會議事辦法第17條) | 管理者 | ||
CE 2.2.1-9 獨立董事如有反對意見或保留意見,企業是否已於董事會議事錄載明? *(參考法規:證券交易法第14-3條) | 管理者 | ||
CE 2.2.1-10董事會之開會過程是否全程錄音或錄影,其保存以電子方式為之,並至少保存5年? *(參考法規:公開發行公司董事會議事辦法第18條) | 管理者 | ||
CE 2.2.1-11企業以視訊會議召開董事會時,其會議錄音、錄影資料是否為議事錄之一部分,並於企業存續期間妥善保存? *(參考法規:公開發行公司董事會議事辦法第18條) | 管理者 | ||
CE 2.2.1-12企業董事會是否指定議事事務單位,負責辦理董事會會議相關事務? *(參考法規:公開發行公司董事會議事辦法第5條) | 管理者 | ||
CE 2.2.1-13企業之董事、監察人、經理人、受僱人、受任人及實質控制者是否有盡善良管理人之注意義務,督促企業防止不誠信行為,並隨時檢討其實施成效及持續改進,確保誠信經營政策之落實? (資料來源:上市上櫃公司誠信經營守則第17條) | 管理者、員工 | ||
CE 2.2.2-1 企業是否已設置審計委員會? *(參考法規:證券交易法第14-4條、金管證發字第10703452331號令) | 管理者 | ||
CE 2.2.2-2 審計委員會成員是否由全體獨立董事組成,其人數不得少於3人,且其中1人為召集人? *(參考法規:證券交易法第14-4條) | 管理者 | ||
CE 2.2.2-3 審計委員會成員是否至少1人具備會計或財務專長? *(參考法規:證券交易法第14-4條) | 管理者 | ||
CE 2.2.2-4 企業是否依相關法令訂定審計委員會組織章程? *(參考法規:公開發行公司審計委員會行使職權辦法第3條) | 管理者 | ||
CE 2.2.2-5 審計委員會是否依證券交易法第14-5條第1項規定辦理相關職權事項(如訂定或修正內部控制制度、重大之資產或衍生性商品交易、年度財務報告及半年度財務報告等),以及與會計師溝通其於查核過程中發現之異常或缺失事項與所提具體改善或防弊意見? *(參考法規:證券交易法第14-5條) | 管理者 | ||
CE 2.2.2-6 審計委員會是否與內部稽核和外部審計工作人員定期會面,並且討論與內部稽核和外部審計相關的查核工作事宜? *(參考法規:公開發行公司審計委員會行使職權辦法第7條) | 管理者 | ||
CE 2.3董事會與管理階層間之獨立性如何?權責是否明確劃分?董事會是否有一定席次的獨立董事?監察人與管理階層間之獨立性如何? | |||
CE 2.3.1-1 董事會是否擁有足夠及多元化之成員,其獨立於管理階層,並可客觀進行評估與制定決策? (資料來源:上市上櫃公司治理實務守則第20條、建立內部控制制度核心原則2.2.3) | 管理者 | ||
CE 2.3.1-2 企業董事間是否超過半數之席次,不具有配偶或二親等以內之親屬關係? *(參考法規:證券交易法第26-3條) | 管理者 | ||
CE 2.3.1-3 企業董事長及總經理或相當職務者是否非為同1人或互為配偶或一親等親屬擔任? *(參考法規:上市公司董事會設置及行使職權應遵循事項要點第4條、上櫃公司董事會設置及行使職權應遵循事項要點第4條) | 管理者 | ||
CE 2.3.1-4董事長及總經理或相當職務者如由同1人或互為配偶或一親等親屬擔任,是否增加獨立董事席次? *(參考法規:上市公司董事會設置及行使職權應遵循事項要點第4條、上櫃公司董事會設置及行使職權應遵循事項要點第4條) | 管理者 | ||
CE 2.3.2-1董事會是否明確劃分功能性委員會、董事長及總經理之授權及職責? (資料來源:上市上櫃公司治理實務守則第23條) | 管理者 | ||
CE 2.3.2-2經理人之職權,是否依公司章程或契約內容之規定辦理? *(參考法規:公司法第31條) | 管理者 | ||
CE 2.3.2-3 董事會是否定期要求經理人提出經營報告,並要求其善盡監督責任和提出建設性建議? *(參考法規:公開發行公司董事會議事辦法第6條) | 管理者 | ||
CE 2.3.3-1企業是否視企業規模、股東結構、業務性質等,依法令規章之規定設置獨立董事席次? (資料來源:上市上櫃公司治理實務守則第24條) | 管理者 | ||
CE 2.3.3-2獨立董事選舉是否依公司法第192-1條及第198條之規定辦理? *(參考法規:公司法第192-1條、公司法第198條、公開發行公司獨立董事設置及應遵循事項辦法第5條) | 管理者 | ||
CE 2.3.3-3獨立董事因故解任,導致人數不足規定時,是否於最近1次股東會補選之? *(參考法規:證券交易法第14-2條) | 管理者 | ||
CE 2.3.3-4獨立董事均解任時,是否自事實發生之日起60日內,召開股東臨時會補選之? *(參考法規:證券交易法第14-2條) | 管理者 | ||
CE 2.3.3-5 監察人是否未兼任公司董事、經理人或其他職務? *(參考法規:公司法第222條) | 管理者 | ||
CE 2.3.4-1 監察人間或監察人與董事間是否有至少1席不得具有配偶、二親等以內之親屬關係? (資料來源:上市上櫃公司治理實務守則第43條) | 管理者 | ||
CE 2.3.4-2 政府或法人為公開發行公司之股東時,除經主管機關核准者外,是否未由該股東或與其有控制或從屬關係者之代表人同時當選或擔任公司之董事及監察人? *(參考法規:證券交易法第26-3條) | 管理者 | ||
CE 2.4董事會及監察人(或審計委員會)各成員的知識、經驗及教育訓練如何?其組合是否適當? | |||
CE 2.4.1-1 企業董事會的董事、監察人(或審計委員會)之提名辦法,是否有明文規定該等人員應具備之知識和經驗? (資料來源:上市上櫃公司治理實務守則第22條、第24條及第28條) | 管理者 | ||
CE 2.4.1-2企業董事會的董事、監察人(或審計委員會)是否依規定持續進修,於新任時或任期中,持續參加進修課程(包括公司治理主題相關之財務、風險管理、業務、商務、法務、會計、企業永續發展等課程,或內部控制制度、財務報告、永續資訊責任相關課程)? (資料來源:上市上櫃公司董事進修推行要點第5點、上市上櫃公司治理實務守則第40條、第50條、建立內部控制制度核心原則2.2.2) | 管理者 | ||
CE 2.4.1-3企業是否於年報、公開說明書及公開資訊觀測站揭露董事、監察人(或獨立董事)之進修情形資訊? (資料來源:上市上櫃公司董事進修推行要點第7點) | 管理者 | ||
CE 2.4.2-1 企業董事會的董事、監察人(或審計委員會)成員的背景與專業能力,是否與企業發展目標相關,並且其組合有助於企業達成發展目標? (資料來源:上市上櫃公司治理實務守則第20條、第28條) | 管理者 | ||
CE 2.4.2-2 企業是否明文限制獨立董事成員擔任該類職務之企業家數,且兼任其他公開發行公司獨立董事不超過3家? *(參考法規:公開發行公司獨立董事設置及應遵循事項辦法第4條) | 管理者 | ||
CE 2.4.2-3董事會、監察人(或審計委員會)的成員,是否至少有三分之ㄧ者具有適當學經歷或與企業營運相關的專業證照,足以行使其專業判斷能力,發揮對企業營運與財務報導之監督功能? *(參考法規:公開發行公司獨立董事設置及應遵循事項辦法第2條) | 管理者 | ||
CE 2.4.2-4董事會負責監督永續發展與永續資訊管理之成員,是否具備足夠的知識與能力,使其有效履行職責? (資料來源:建立內部控制制度核心原則2.2.2) | 管理者 | ||
CE 2.5董事會成員與財務主管、會計主管及內、外部稽核聯繫的情況如何?提供指導及監督的程度如何?監察人(或審計委員會)與這些人聯繫的情況如何?提供指導及監督的程度如何? | |||
CE 2.5.1-1董事會成員是否定期與財務主管、會計主管、稽核主管、及外部審計人員等舉行會議? *(參考法規:公開發行公司董事會議事辦法第11條) | 管理者 | ||
CE 2.5.1-2企業針對董事會重要議題之會議討論和決議是否作成紀錄? *(參考法規:公開發行公司董事會議事辦法第17條) | 管理者 | ||
CE 2.5.2-1董事會成員是否對財務主管、會計主管、稽核主管提供指導及監督? *(參考法規:公開發行公司董事會議事辦法第11條) | 管理者 | ||
CE 2.5.2-2董事會成員是否定期督導管理階層對重大內部控制缺失進行改善及追蹤? (資料來源:上市上櫃公司治理實務守則第3條) | 管理者 | ||
CE 2.5.2-3董事會成員及管理階層是否至少每年檢討各部門自行評估結果及按季檢核稽核單位之稽核報告? (資料來源:上市上櫃公司治理實務守則第3條) | 管理者 | ||
CE 2.5.3-1監察人(或審計委員會)是否與財務主管、會計主管、稽核主管舉行會議? (資料來源:上市上櫃公司治理實務守則第3條) | 管理者 | ||
CE 2.5.3-2企業針對監察人(或審計委員會)重要議題之會議討論和決議是否作成紀錄? *(參考法規:公開發行公司審計委員會行使職權辦法第8條) | 管理者 | ||
CE 2.5.4-1監察人(或審計委員會)是否對財務主管、會計主管、稽核主管提供指導與監督? *(參考法規:公司法第218條) | 管理者 | ||
CE 2.5.4-2監察人(或審計委員會)是否定期督導管理階層對重大內部控制缺失進行改善及追蹤? (資料來源:上市上櫃公司治理實務守則第3條) | 管理者 | ||
CE 2.5.5 董事會成員與負責推動永續發展專(兼)職單位、內部稽核或外部稽核聯繫的情況如何?提供指導及監督的程度如何? (資料來源:上市上櫃公司永續發展實務守則第7條、第9條) | 管理者 | ||
CE 2.6董事、監察人(或審計委員會)獲悉的資訊是否與企業之目標及策略、財務狀況、及經營成果、現金流量、重大合約條款有關?能否用於監督企業之營運?多快獲悉?如何獲悉? | |||
CE 2.6.1-1企業是否定期提供董事會、監察人(或審計委員會)充分相關資訊,包括企業之目標及策略、財務狀況、經營成果、現金流量、重大合約條款等,有關營運和財務的資訊? *(參考法規:公開發行公司董事會議事辦法第5條、第6條及第7條) | 管理者 | ||
CE 2.6.1-2企業是否定期提供董事會、監察人(或審計委員會)永續資訊? (資料來源:上市上櫃公司永續發展實務守則第9條) | 管理者 | ||
CE 2.6.1-3前述相關資訊能否用於監督企業永續經營績效? (資料來源:建立內部控制制度核心原則2.2.4) | 管理者 | ||
CE 2.6.2企業提供給董事、監察人(或審計委員會)的資訊是否能用於監督企業之營運? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
CE 2.6.3企業是否訂定內部重大資訊處理及揭露機制作業程序? (資料來源:「○○股份有限公司內部重大資訊處理作業程序」參考範例第2條) | 管理者 | ||
CE 2.6.4前述相關資訊是否有適當控管並依規定限期提供? (資料來源:「○○股份有限公司內部重大資訊處理作業程序」參考範例第5條、第12條及第14條) | 管理者 | ||
CE 3管理階層應設定明確目標,建立企業之組織結構、呈報體系,並作適當權責分派。 | |||
CE 3.1管理階層是否設定明確的營運目標、報導目標及法令規章遵循目標?是否對內部控制負責,包括建立、實施及維護有效運作的內部控制制度? | |||
CE 3.1.1-1 管理階層是否每年進行經營策略分析,分別訂出企業營運、報導、法令規章遵循等三類目標,以提供各單位據以訂立相關之作業層級目標? *(參考法規:公開發行公司建立內部控制制度處理準則第3條) | 管理者 | ||
CE 3.1.1-2 管理階層是否依企業整體層級目標,規劃或調整作業層級內部控制制度,以確保作業層級內部控制制度已涵蓋主要的企業營運、報導及法令規章遵循目標? *(參考法規:公開發行公司建立內部控制制度處理準則第3條) | 管理者 | ||
CE 3.1.2-1管理階層是否以書面建立可達成營運之效率及效果,報導具可靠性、及時性、透明性及符合相關規範,相關法令規章之遵循等目標之內部控制制度(含內部稽核實施細則),並呈報董事會核准後實施? *(參考法規:公開發行公司建立內部控制制度處理準則第3條、第4條) | 管理者 | ||
CE 3.1.2-2內部稽核實施細則是否包括下列項目: 1.內部稽核單位之目的、職權及責任。 2.對內部控制制度進行評估,以衡量現行政策、程序之有效性及遵循程度與其對各項營運活動之影響。 3.釐定稽核項目、時間、程序及方法。 *(參考法規:公開發行公司建立內部控制制度處理準則第12條) | 管理者 | ||
CE 3.1.2-3 企業是否將內部控制制度公告,讓所有員工知悉,並傳達落實內部控制制度之態度? (資料來源:建立內部控制制度核心原則5.2.1) | 管理者、員工 | ||
CE 3.1.2-4各階層主管是否負責監督其管轄的所屬員工,以確認員工瞭解達到營運效率效果、報導可靠性、法令遵循等目標的責任,並且遵循內部控制政策和程序? *(參考法規:公開發行公司建立內部控制制度處理準則第5條) | 管理者 | ||
CE 3.2管理階層對承受風險之態度如何? | |||
CE 3.2.1-1企業是否訂定禁止任用管理階層之消極條件,並在管理階層選任條件中,明文規定不得有背信、詐欺、內線交易或不合常規的利益輸送等損害股東權益之行為前科? *(參考法規:公司法第30條) | 管理者 | ||
CE 3.2.1-2企業是否建立管理階層接班計畫,並由董事會定期評估該計畫之發展與執行,以確保企業永續經營? (資料來源:建立內部控制制度核心原則2.4.4) | 管理者 | ||
CE 3.2.1-3管理階層是否設定並定期檢討風險衡量指標,以明確顯示管理階層對風險之承受程度? *(參考法規:公開發行公司建立內部控制制度處理準則第44條) | 管理者 | ||
CE 3.2.1-4管理階層對超過風險承受程度的投資計畫,是否採取審慎保守的態度? *(參考法規:公開發行公司建立內部控制制度處理準則第44條) | 管理者 | ||
CE 3.2.1-5管理階層是否建立和執行有關風險管理的內部控制制度? *(參考法規:公開發行公司建立內部控制制度處理準則第44條) | 管理者 | ||
CE 3.3管理階層與各單位主管間之互動情形如何? | |||
CE 3.3.1-1管理階層是否定期與各單位主管討論企業業務執行情形,並與年度預算做比較? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CE 3.3.1-2對於永續經營活動與攸關永續資訊之管理作業,管理階層與各結構之成員(包含子公司、關聯企業、合資、價值鏈重要成員等)間之互動情形是否有包含與相關權責主管討論永續經營活動與攸關永續資訊之管理作業? (資料來源:上市上櫃公司永續發展實務守則第7條) | 管理者 | ||
CE 3.3.1-3前述管理作業是否有建立適當之呈報體系?該呈報體系是否考量法令或永續議題複雜性與改變的彈性、意願及速度設置,並定期予以調整? (資料來源:建立內部控制制度核心原則2.3.2) | 管理者 | ||
CE 3.3.1-4管理階層是否訂定子公司或分支機構監督管理辦法? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CE 3.3.1-5管理階層是否不定期赴子公司或分支機構,實地監督其作業? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CE 3.4在選擇會計政策及形成會計估計時,管理階層的態度如何?揭露重要資訊之意願如何? | |||
CE 3.4.1 管理階層在選擇會計準則和形成會計估計時,是否選擇最能反應經濟實質,和最能適當表達及揭露交易之方式,並依商業會計法及證券發行人財務報告編製準則之規定辦理? *(參考法規:商業會計法第12條、證券發行人財務報告編製準則第2條) | 管理者 | ||
CE 3.4.2 企業是否指定專人負責重要資訊之蒐集,並依證券發行人財務報告編製準則之規定辦理會計政策資訊揭露? *(參考法規:證券發行人財務報告編製準則第15條) | 管理者 | ||
CE 3.5組織結構及呈報體系是否配合企業的規模及作業之複雜性而設計?各部門責任分工是否明確?所建立之報告關係,是否有利於管理階層得到適當之資訊? | |||
CE 3.5.1-1企業是否有明確的組織結構? *(參考法規:公開發行公司建立內部控制制度處理準則第5條) | 管理者 | ||
CE 3.5.1-2企業是否依營運性質、規模、作業複雜性而設計適當之組織結構及呈報體系? *(參考法規:公開發行公司建立內部控制制度處理準則第5條) | 管理者 | ||
CE 3.5.1-3企業是否指定或設置推動永續發展之專(兼)職單位,並定期向董事會(或審計委員會、功能性委員會)報告? (資料來源:上市上櫃公司永續發展實務守則第9條第1項、建立內部控制制度核心原則2.3.2) | 管理者 | ||
CE 3.5.2-1企業是否依組織結構及呈報體系,以明文訂定各單位執掌範圍,以及訂有職務說明書及核決權限表,藉此明確區分各單位、各職務之分工及責任? *(參考法規:公開發行公司建立內部控制制度處理準則第5條) | 管理者 | ||
CE 3.5.2-2企業之內部控制制度,是否明確訂定內部組織結構、呈報體系,及適當權限與責任,並載明經理人之設置、職稱、委任與解任、職權範圍及薪資報酬政策與制度等事項? *(參考法規:公開發行公司建立內部控制制度處理準則第5條) | 管理者 | ||
CE 3.5.3-1企業是否依組織結構,明確列示出各單位與管理階層的呈報體系,以利管理階層能即時地得到適當之資訊? (資料來源:建立內部控制制度核心原則2.5.1) | 管理者 | ||
CE 3.5.3-2管理階層對於作決策所需的資訊,是否可以及時地取得;且資訊在提供給管理階層前,經過複核程序以確認其正確性? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
CE 3.6組織結構及呈報體系因應產業或業務等改變的彈性、意願及速度如何? | |||
CE 3.6.1-1企業的組織結構及呈報體系是否因應產業或業務等改變的彈性、意願及速度而適時作調整? (資料來源:建立內部控制制度核心原則2.3) | 管理者 | ||
CE 3.6.1-2管理階層對內部控制的重大改變或其他影響(如法令變更、增加新業務、面臨新風險等),是否提出重大變革及因應措施建議,並呈報董事會核准後實施? (資料來源:建立內部控制制度核心原則5.2.2) | 管理者 | ||
CE 3.7企業是否於不同層級進行必要之職能分工?權責如何劃分?劃分是否適切?授給員工的權力與其擔負之責任是否相稱?員工人數是否足夠?負責資訊處理、財務及會計職能的員工,人數及教育訓練是否足夠? | |||
CE 3.7.1-1企業是否於不同層級進行必要之職能分工? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
CE 3.7.1-2企業是否對於負責管理永續資訊之不同層級進行必要之職能分工?如:權責如何劃分?劃分是否適切?授給的權力與其擔負之責任是否相稱? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
CE 3.7.2-1企業是否訂定各單位分層負責表和核決權限表? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
CE 3.7.2-2企業是否建立對於負責管理企業永續資訊之各單位分層負責和核決權限等制度? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
CE 3.7.3每個職務是否備有書面職務代理辦法;但職能上應分工者,不得互為代理人? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CE 3.7.4授給員工的權力與其擔負之責任,是否配合分層負責表和核決權限表? (資料來源:建立內部控制制度核心原則2.5.1) | 管理者 | ||
CE 3.7.5各單位主管是否視所屬員工之工作負荷分配工作;必要時,增加人力以維持工作品質? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
CE 3.7.6針對負責資訊處理、永續資訊、財務、會計職能的人員,企業是否建立教育訓練計畫,包括職前訓練、在職訓練等計畫?(例如指派適當的員工參加工作所需知識技能的課程?人數與教育訓練是否足夠?) (資料來源:上市上櫃公司永續發展實務守則第8條、建立內部控制制度核心原則2.4.3) | 管理者 | ||
CE 4企業應延攬、培養及留用有能力之人才。 | |||
CE 4.1公司是否訂有人力資源政策?如何延攬、培養及留用足夠有能力之人才?是否提供適當之指導與訓練? | |||
CE 4.1.1企業是否設有人力資源部門及人力資源政策? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CE 4.1.2-1企業是否訂有員工招募及任用之辦法,以具體書面規範各職務所應具備之知識及技能,確保所招募人員皆能符合企業需求? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 4.1.2-2企業新進或晉升員工時,甄試人員是否對候選人進行背景調查,其項目包括學歷、工作經驗、過去專業上之成就及具備誠信與道德觀等? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 4.1.2-3員工背景調查資料是否由人事單位或人力資源部門歸檔並妥善保存? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CE 4.1.2-4企業是否評估本身及外包服務提供者執行既定政策與實務運作之能力;如有缺點,是否提出? (資料來源:建立內部控制制度核心原則2.4.2) | 管理者 | ||
CE 4.1.3-1企業是否定期舉辦教育訓練計畫,包括職前訓練、在職訓練,並且指派適當的員工參加工作所需知識技能的課程? (資料來源:建立內部控制制度核心原則2.4.3) | 管理者 | ||
CE 4.1.3-2新進人員和現職人員是否參加教育訓練? (資料來源:建立內部控制制度核心原則2.4.3) | 管理者 | ||
CE 4.1.3-3企業是否訂有每位員工年度教育訓練最低時數要求? (資料來源:建立內部控制制度核心原則2.4.3) | 管理者、員工 | ||
CE 4.1.3-4企業是否訂有員工參與教育訓練之獎勵措施? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者、員工 | ||
CE 4.2員工升遷及薪酬的政策如何?員工的留任及晉升與其績效間的關係如何?如何蒐集用以評估員工績效的資訊?員工的留任及晉升與行為守則間的關係如何?如何蒐集該等資訊? | |||
CE 4.2.1-1企業是否具有策略或措施用以吸引和留住適任的人才,以助於達成其營運目標? (資料來源:建立內部控制制度核心原則2.4.3) | 管理者 | ||
CE 4.2.1-2企業是否明文訂定員工升遷及薪資報酬政策,並公告員工周知? (資料來源:上市上櫃公司企業社會責任實務守則第9條) | 管理者、員工 | ||
CE 4.2.2員工績效考核之結果是否納入升遷之評核標準? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者、員工 | ||
CE 4.2.3-1企業是否明文訂定員工績效考核標準,並公告員工周知? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者、員工 | ||
CE 4.2.3-2績效考核主管是否與員工溝通其工作內容及績效指標? (資料來源:建立內部控制制度核心原則2.5.1) | 管理者、員工 | ||
CE 4.2.4-1企業是否將企業經營績效或成果,適當反映在員工薪資報酬政策中,以確保人力資源之招募、留任和鼓勵,達成永續經營之目標? (資料來源:上市上櫃公司永續發展實務守則第21條) | 管理者、員工 | ||
CE 4.2.4-2員工升遷及薪資報酬政策是否已排除可能違反內部行為準則之誘因(例如過度強調業務績效)? (資料來源:上市上櫃公司永續發展實務守則第9條) | 管理者、員工 | ||
CE 4.2.5-1企業是否每年執行員工績效考核? (資料來源:建立內部控制制度核心原則2.5.5) | 管理者、員工 | ||
CE 4.2.5-2員工績效考核資料是否存於個人檔案中,並妥善保存? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
CE 4.3向董事會、監察人(或審計委員會)負責之員工,其任免及俸給如何決定? | |||
CE 4.3.1-1企業負責董事會、監察人(或審計委員會)之單位員工,是否訂有適當的任免及俸給辦法? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 4.3.1-2企業負責董事會、監察人(或審計委員會)之單位員工的任免及俸給,是否依上開辦法執行? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 4.3.1-3企業負責董事會、監察人(或審計委員會)之單位員工,在執行任免及俸給時,相關文件資料是否妥善保存? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
CE 4.4公司的薪酬計畫,包括最高管理階層部分,如何制訂?經理人薪資報酬政策及制度是否於公司內部控制制度及對子公司經營管理之監督管理控制作業中明訂? | |||
CE 4.4.1-1企業對於管理階層之薪資報酬計畫,是否依公司薪資報酬標準制度制訂? *(參考法規:股票上市或於證券商營業處所買賣公司薪資報酬委員會設置及行使職權辦法第7條) | 管理者 | ||
CE 4.4.1-2企業的薪資報酬計畫,是否涵蓋最高管理階層部分? *(參考法規:股票上市或於證券商營業處所買賣公司薪資報酬委員會設置及行使職權辦法第7條) | 管理者 | ||
CE 4.4.1-3企業薪資報酬制度所考量項目是否與企業之經營績效、經營風險及股東價值相關? *(參考法規:股票上市或於證券商營業處所買賣公司薪資報酬委員會設置及行使職權辦法第7條) | 管理者 | ||
CE 4.4.1-4企業的薪酬政策是否考量永續經營目標?相關績效指標是否與薪酬政策連結,及其如何連結? (資料來源:上市上櫃公司永續發展實務守則第9條、建立內部控制制度核心原則2.5.2) | 管理者 | ||
CE 4.4.2-1企業內部控制制度是否明訂經理人薪資報酬政策及制度? *(參考法規:公開發行公司建立內部控制制度處理準則第5條) | 管理者 | ||
CE 4.4.2-2子公司經營管理之監督管理控制作業是否明訂經理人薪資報酬政策及制度? *(參考法規:公開發行公司建立內部控制制度處理準則第39條) | 管理者 | ||
CE 4.4.2-3董事、監察人(或審計委員會)、經理人之酬金是否依公開發行公司年報應行記載事項準則揭露相關訊息? *(參考法規:公開發行公司年報應行記載事項準則第10條) | 管理者 | ||
CE 4.4.2-4 董事、監察人(或審計委員會)、經理人、會計主管及稽核主管之薪資報酬計畫,是否經薪資報酬委員會與董事會討論通過? *(參考法規:股票上市或於證券商營業處所買賣公司薪資報酬委員會設置及行使職權辦法第7條) | 管理者 | ||
CE 5企業應訂定績效衡量及獎懲政策與制度,要求組織成員對內部控制制度負責以達成目標。 | |||
CE 5.1是否訂有明確的職務說明書?如無,管理階層如何告訴員工他們須執行的工作有那些? | |||
CE 5.1.1-1企業每一職務是否訂有職務說明書? (資料來源:建立內部控制制度核心原則4.3) | 管理者 | ||
CE 5.1.1-2企業每一職務說明書是否詳列職位資格要求、職務內容及核決權限等項目? (資料來源:建立內部控制制度核心原則4.3) | 管理者 | ||
CE 5.1.1-3職務說明書是否定期更新,以確定與實際工作內容相符? (資料來源:建立內部控制制度核心原則4.3.6) | 管理者 | ||
CE 5.1.1-4企業對每一職務資格條件,是否每年檢查有無發生公司法第30條所列「經理人消極資格」各款情事等事項? *(參考法規:公司法第30條) | 管理者 | ||
CE 5.1.2企業如未訂有職務說明書,經理人是否定期告知員工所需執行的工作項目? (資料來源:建立內部控制制度核心原則5.2.1) | 管理者、員工 | ||
CE 5.2各層級主管之知識及經驗如何?履行責任之能力如何?是否分析負責某特定工作需具備那些知識及技能?如何分析?是否定期評估及維持擔任各重要職務所需之能力? | |||
CE 5.2.1 各個單位管理階層工作所需知識及經驗,是否符合職務說明書需求或企業其他規定? *(參考法規:發行人證券商證券交易所會計主管資格條件及專業進修辦法第3條、金管證審字第10300391322號令) | 管理者 | ||
CE 5.2.2 企業是否定期檢視各個特定工作所需具備知識及技能的適用性? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 5.2.3 企業是否定期評估各重要職務所需知識及技能要求的適用性? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 5.2.4 企業是否定期安排相關內部或外部持續進修的訓練課程,以維持擔任各重要職務(如董事、監察人、獨立董事、經理人等)所需之能力? *(參考法規:發行人證券商證券交易所會計主管資格條件及專業進修辦法第10條) (資料來源:上市上櫃公司董事進修推行要點第5點) | 管理者 | ||
CE 5.3公司是否聘任具備內部與外部財務報導及非財務報導能力之人員? | |||
CE 5.3.1-1會計部門是否聘任具備編製財務報導能力之人員? (資料來源:建立內部控制制度核心原則4.3.5) | 管理者 | ||
CE 5.3.1-2會計主管的任用資格是否符合相關法令要求? *(參考法規:發行人證券商證券交易所會計主管資格條件及專業進修辦法第3條、第4條) | 管理者 | ||
CE 5.3.1-3財務主管與會計主管的任免是否經公司董事會決議通過? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
CE 5.3.1-4財會部門是否每年定期檢討該部門各個職務所需具備的專業知識與技能? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 5.3.1-5會計主管年度進修最低時數,是否符合相關法令要求? *(參考法規:發行人證券商證券交易所會計主管資格條件及專業進修辦法第3條、第6條) | 管理者 | ||
CE 5.3.1-6企業是否選派適當人員,擔任公司發言人及代理發言人? (資料來源:公司治理實務守則第56條) | 管理者 | ||
CE 5.3.1-7企業是否聘任具備編製永續資訊能力之人員? (資料來源:建立內部控制制度核心原則4.3.5) | 管理者 | ||
CE 5.3.1-8企業是否每年定期檢討編製永續資訊能力之人員職務所需具備的專業知識與技能? (資料來源:建立內部控制制度核心原則2.4) | 管理者 | ||
CE 5.4公司是否訂定績效衡量及獎懲政策與制度?績效衡量及獎懲政策與制度是否與組織所有成員內部控制責任之履行密切配合? | |||
CE 5.4.1-1企業是否訂定績效衡量制度? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者 | ||
CE 5.4.1-2企業是否訂定獎懲制度? (資料來源:建立內部控制制度核心原則2.5.5) | 管理者 | ||
CE 5.4.2-1績效衡量是否配合內部控制責任履行情況? (資料來源:建立內部控制制度核心原則2.5.3) | 管理者 | ||
CE 5.4.2-2獎懲制度是否配合內部控制責任履行情況? (資料來源:建立內部控制制度核心原則2.5.3) | 管理者 | ||
CE 5.4.2-3企業是否訂定並揭露董事會績效評估辦法及程序? (資料來源:上市上櫃公司治理實務守則第37條) | 管理者 | ||
CE 5.4.2-4 於建立及評估與永續經營績效指標連結之績效衡量制度時,管理階層是否將相關之績效衡量及獎懲設計可能造成結構各成員過度壓力之狀況列入考量,以避免舞弊風險? (資料來源:上市上櫃公司永續發展實務守則第9條、建立內部控制制度核心原則2.5.4) | 管理者 | ||
RA、風險評估 | |||
RA 1企業應確立各項目標,以辨識及評估與目標相關之風險。 | |||
RA 1.1企業整體目標是否與組織內不同層級之單位相連結?企業是否考慮目標之適合性? | |||
RA 1.1.1企業整體目標是否與組織內不同層級之單位目標連結? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 1.1.2-1企業是否考慮整體目標之適合性? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 1.1.2-2企業所訂定之整體目標是否充分顯示董事會期望的目標,亦即可成為企業策略目標、營運計畫及年度預算的編製基礎? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 1.1.2-3企業所訂定之整體目標是否以風險為基礎,並充分考量企業整體所能承受之風險程度,以決定符合企業目標之計畫項目執行優先順序? (資料來源:建立內部控制制度核心原則3.2) | 管理者 | ||
RA 1.2.企業整體目標是否有效地在組織內傳達? | |||
RA 1.2.1企業整體目標是否清楚地傳達給管理階層及員工,並確認管理階層及員工知悉? (資料來源:建立內部控制制度核心原則5.2.1) | 管理者、員工 | ||
RA 1.2.2企業整體目標是否有效地在組織內及貫穿其價值鏈之利害關係人間傳達? (資料來源:上市上櫃公司永續發展實務守則第8條) | 管理者、員工 | ||
RA 1.3策略如何訂定?策略與整體目標間的關係如何? | |||
RA 1.3.1企業對策略目標之設定,是否要經過一定流程,以確保與現行企業整體目標一致? (資料來源:建立內部控制制度核心原則5.1.1) | 管理者 | ||
RA 1.3.2-1企業對既有策略目標是否定期檢視,以確保既有策略目標與現行企業整體目標一致? (資料來源:建立內部控制制度核心原則1.6) | 管理者 | ||
RA 1.3.2-2企業是否規劃其與子公司間經營策略、風險管理政策與指導原則,以供各子公司據以擬定相關業務之經營計畫、風險管理之政策及程序,以確保與現行企業整體目標一致? (資料來源:建立內部控制制度核心原則3.2.1) | 管理者 | ||
RA 1.3.3企業整體目標是否遵循其永續經營的誠信道德價值承諾? (資料來源:上市上櫃公司永續發展實務守則第6條、第7條) | 管理者 | ||
RA 1.3.4企業整體目標是否有與其永續經營目標相連結,包含參考並選擇適用之架構、通用準則、行業準則及利害關係人關注之重大永續議題,以確保相關資訊揭露反映企業的永續經營活動? *(參考法規:上市公司編製與申報永續報告書作業辦法第3條、上櫃公司編製與申報永續報告書作業辦法第3條) | 管理者 | ||
RA 1.4.企業計畫、預算如何訂定?其與整體目標、策略間的關係如何?在目前情況下,這些目標是否合理?是否可行? | |||
RA 1.4.1企業是否訂有年度營運計畫和年度預算? *(參考法規:商業會計法第66條) | 管理者 | ||
RA 1.4.2董事會是否覆核管理階層提出之年度營運計畫與年度預算,並且確認其與整體目標相連結? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
RA 1.4.3 董事會是否覆核所設定目標之合理性? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
RA 1.4.4-1董事會是否覆核所設定目標之可行性? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
RA 1.4.4-2企業營運計畫如無法達成或有重大差異時,管理階層是否執行分析檢討,並根據新資訊,以及時更新營運計畫和年度預算? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
RA 1.4.4-3企業營運計畫如無法達成或有重大差異時,董事會是否覆核管理階層更新後的營運計畫和年度預算? *(參考法規:公開發行公司董事會議事辦法第7條) | 管理者 | ||
RA 1.5.作業層級目標如何訂定?其與企業整體目標及策略間的關係如何?明確程度如何?與營業過程間之攸關程度如何? | |||
RA 1.5.1各個單位是否依企業整體目標而訂定作業層級目標? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 1.5.2作業層級目標是否與企業整體目標相連結,並促使企業整體目標之達成,且各作業層級目標之間,應彼此攸關且不相衝突? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 1.5.3-1單位主管是否定期將各單位主要作業目標之達成評估報告呈報管理階層? (資料來源:建立內部控制制度核心原則2.3) | 管理者 | ||
RA 1.5.3-2管理階層是否定期追蹤並考核各作業層級目標的達成情形,並要求依計畫時程及目標執行,同時列入追蹤管理,確實考核其執行情形? (資料來源:上市上櫃公司治理實務守則第36條) | 管理者 | ||
RA 1.5.4 各個作業層級目標的達成情形與原定目標有重大差異時,管理階層是否要求單位主管嚴格檢討? (資料來源:建立內部控制制度核心原則6.2.3) | 管理者 | ||
RA 1.6管理階層是否對報導目標訂有充分之說明及標準,以促使可靠、及時、透明及符合相關規範的報導風險之辨識? | |||
RA 1.6.1-1管理階層是否對報導目標訂有充分之說明及標準(完整性、存在性、正確性、評價、權利與義務、表達與揭露等項目),有助於辨識可靠、及時、透明及符合相關規範的報導風險? (資料來源:建立內部控制制度核心原則3.1) | 管理者 | ||
RA 1.6.1-2 管理階層所定義的各項報導聲明,是否足以辨識與報導目標有關的風險? (資料來源:建立內部控制制度核心原則3.2.2) | 管理者 | ||
RA 1.7外部財務報導目標是否與企業所適用之會計原則一致?是否訂定重大性判斷原則?外部財務報導是否可完整反應企業之活動? | |||
RA 1.7.1外部財務報導目標是否與企業所適用之會計原則一致? (資料來源:建立內部控制制度核心原則3.1.1) | 管理者 | ||
RA 1.7.2.管理階層是否考慮財務報表表達之重大性,並訂定重大性判斷原則? (資料來源:建立內部控制制度核心原則3.1.2) | 管理者 | ||
RA 1.7.3.外部財務報導是否可完整反應出交易與事件之特性及聲明? (資料來源:建立內部控制制度核心原則3.1.3) | 管理者 | ||
RA 1.7.4永續資訊之編製是否符合適用之法令、準則與架構? *(參考法規:公開發行公司年報應行記載事項準則第10條第2項、上市公司編製與申報永續報告書作業辦法第3條、上櫃公司編製與申報永續報告書作業辦法第3條) | 管理者 | ||
RA 1.7.5永續資訊之編製是否訂定重大性判斷原則? *(參考法規:公開發行公司年報應行記載事項準則第10條第2項、上市公司編製與申報永續報告書作業辦法第3條、上櫃公司編製與申報永續報告書作業辦法第3條) | 管理者 | ||
RA 1.7.6永續資訊之編製是否考量估計、假設、判斷對資訊精確度的影響? *(參考法規:公開發行公司年報應行記載事項準則第10條第2項、上市公司編製與申報永續報告書作業辦法第3條、上櫃公司編製與申報永續報告書作業辦法第3條) | 管理者 | ||
RA 1.7.7永續資訊之編製是否可完整反應企業之永續經營活動? *(參考法規:公開發行公司年報應行記載事項準則第10條第2項、上市公司編製與申報永續報告書作業辦法第3條、上櫃公司編製與申報永續報告書作業辦法第3條) | 管理者 | ||
RA 2企業應辨識及分析各項風險,以作為執行風險管理之基礎。 | |||
RA 2.1企業辨識及評估風險時,是否涵蓋攸關之企業、子公司、部門或其他單位之風險?管理階層是否建立有效之風險評估機制? | |||
RA 2.1.1企業辨識及評估風險時,範圍是否涵蓋與達成目標攸關之企業、子公司、部門或其他單位之風險? (資料來源:建立內部控制制度核心原則3.2.1) | 管理者 | ||
RA 2.1.2-1管理階層是否建立有效之風險評估機制? *(參考法規:公開發行公司建立內部控制制度處理準則第6條、第44條) | 管理者 | ||
RA 2.1.2-2企業是否評估並管理可能造成營運中斷之各種風險,降低其對於消費者與社會造成之衝擊? (資料來源:上市上櫃公司永續發展實務守則第25條) | 管理者 | ||
RA 2.1.2-3公司與關係企業間之人員、資產及財務之管理目標與權責是否明確化,並確實執行風險評估及建立適當之防火牆? (資料來源:上市上櫃公司治理實務守則第14條) | 管理者 | ||
RA 2.1.3企業辨識及評估永續經營目標的風險時,是否涵蓋永續業務範疇、永續議題之複雜性、涉及之情境與假設及第三方資料之使用? (資料來源:建立內部控制制度核心原則3.2) | 管理者 | ||
RA 2.1.4管理階層是否對永續經營目標的風險建立有效之風險評估與回應機制? (資料來源:建立內部控制制度核心原則3.2.5) | 管理者 | ||
RA 2.2引發企業整體風險的企業內、外在因素有那些?如何辨識?如何評估已辨識風險是否具有重大性?每一種因素發生的可能性有多大?發生的後果或影響有多嚴重? | |||
RA 2.2.1針對企業層級及主要營運作業,企業是否建立機制以評估內、外部因素所引起的風險? (資料來源:建立內部控制制度核心原則3.2.2) | 管理者 | ||
RA 2.2.2企業層級的風險辨識是否將內、外部事件可能引發之風險,包括影響目標無法達成之風險、報導風險、法令遵循風險、舞弊風險、非例行交易可能引發之風險等,皆納入考量,並將已辨識的風險適當地傳達給相關人員? (資料來源:建立內部控制制度核心原則3.2.2) | 管理者、員工 | ||
RA 2.2.3透過風險分析,針對已辨識之企業整體風險,是否評估其潛在重大性? (資料來源:建立內部控制制度核心原則3.2.4) | 管理者 | ||
RA 2.2.4企業是否有書面之風險評估彙總表,列示每項風險之潛在影響程度與發生之可能性,包括估計其可改善之成本與績效評量? (資料來源:建立內部控制制度核心原則3.2.4) | 管理者 | ||
RA 2.2.5 針對企業整體層級及主要營運作業,風險評估作業是否為持續進行的作業,並考量其對達成目標之影響或嚴重性? (資料來源:建立內部控制制度核心原則3.2) | 管理者 | ||
RA 2.2.6企業是否辦理資安風險評估,就核心業務及核心資通系統鑑別其可能遭遇之資安風險,分析其喪失機密性、完整性及可用性之衝擊,並執行對應之資通安全管理面或技術面控制措施等? (資料來源:上市上櫃公司資通安全管控指引第12條) | 管理者 | ||
RA 2.3.引發作業層級風險的內、外在因素有那些?如何辨識?如何評估已辨識風險是否具有重大性?每一種因素發生的可能性有多大?發生的後果或影響有多嚴重? | |||
RA 2.3.1針對作業層級及其營運作業,企業是否建立機制以評估內、外部因素所引起的風險? (資料來源:建立內部控制制度核心原則3.2.2) | 管理者 | ||
RA 2.3.2作業層級的風險辨識是否將內、外部事件可能引發之風險,包括影響作業層級目標無法達成之風險、報導風險、法令遵循風險、舞弊風險、非例行交易可能引發之風險等,皆納入考量,並將已辨識的風險適當地傳達給相關人員? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 2.3.3-1透過風險分析,針對已辨識之作業層級風險,是否評估其潛在重大性? (資料來源:建立內部控制制度核心原則3.2.4) | 管理者 | ||
RA 2.3.3-2針對既定易生舞弊情事之作業活動,該作業活動是否有充分之職能分工,以降低舞弊之風險? (資料來源:建立內部控制制度核心原則4.1.6) | 管理者、員工 | ||
RA 2.3.3-3內部稽核單位是否評估舞弊發生之可能性,以及企業管理舞弊風險能力? (資料來源:國際內部稽核執業準則2120.A2) | 管理者 | ||
RA 2.3.4 作業層級是否有書面之風險評估彙總表,列示每項風險之潛在影響程度與發生之可能性,包括估計其可改善之成本與績效評量? (資料來源:建立內部控制制度核心原則3.2.4) | 管理者 | ||
RA 2.3.5-1針對作業層級及其營運作業,風險評估作業是否為持續進行的作業,並考量其對達成目標之影響或嚴重性? (資料來源:建立內部控制制度核心原則3.2、4.3.6) | 管理者 | ||
RA 2.3.5-2內部稽核單位是否評估風險管理過程之有效性,並對其改善提出建議? (資料來源:國際內部稽核執業準則2120-風險管理) | 管理者 | ||
RA 2.3.5-3 內部稽核人員協助管理階層建立或改善風險管理過程時,內部稽核人員是否避免實際管理風險,而承擔管理階層之責任? (資料來源:國際內部稽核執業準則2120.C3) | 管理者 | ||
RA 3管理階層評估風險時應考量可能發生之舞弊情事。 | |||
RA 3.1管理階層評估風險時,是否考量可能發生之舞弊情事?舞弊的類型有哪些?如何評估? | |||
RA 3.1.1管理階層評估風險時,是否考量可能發生之舞弊情事? (資料來源:建立內部控制制度核心原則3.3) | 管理者 | ||
RA 3.1.2管理階層是否辨識舞弊的類型? (資料來源:建立內部控制制度核心原則3.3.1) | 管理者 | ||
RA 3.1.3評估舞弊是否考量不實報導、可能之資產損失,及從舞弊與不當行為所導致之貪腐? (資料來源:建立內部控制制度核心原則3.3.1) | 管理者 | ||
RA 3.2導致舞弊之誘因與壓力有哪些?管理階層及其他人員可能產生舞弊之不當行為有哪些?是否將未經授權取得、使用或處分資產、竄改企業報導紀錄、或從事其他不當行為,導致不實報導或可能之資產損失等納入考量?發生的可能性有多大?發生的後果或影響有多嚴重? | |||
RA 3.2.1-1企業是否辨識導致舞弊之誘因? (資料來源:建立內部控制制度核心原則3.3.2) | 管理者 | ||
RA 3.2.1-2企業是否辨識導致舞弊之壓力? (資料來源:建立內部控制制度核心原則3.3.2) | 管理者 | ||
RA 3.2.2企業是否列舉管理階層及其他人員可能產生舞弊之不當行為? (資料來源:建立內部控制制度核心原則3.3.4) | 管理者 | ||
RA 3.2.3-1舞弊辨識是否考量未經授權取得、使用或處分資產、竄改企業報導紀錄、或從事其他不當行為,導致不實報導或可能之資產損失等因素? (資料來源:建立內部控制制度核心原則3.3.3) | 管理者 | ||
RA 3.2.3-2 舞弊風險之評估是否考量管理階層及其他人員從事或合理化其不當行為? (資料來源:建立內部控制制度核心原則3.3.4) | 管理者 | ||
RA 3.2.4企業是否評估舞弊發生的可能性? (資料來源:建立內部控制制度核心原則3.3) | 管理者 | ||
RA 3.2.5 企業是否評估舞弊發生的後果或負面影響? (資料來源:建立內部控制制度核心原則3.3.1) | 管理者 | ||
RA 3.2.6企業是否辨識導致管理階層、員工及其他貫穿價值鏈之人員就永續資訊從事不實報導等舞弊行為之誘因及壓力? (資料來源:建立內部控制制度核心原則3.3.2) | 管理者 | ||
RA 3.2.7企業是否將導致永續資訊不實報導或可能之企業價值損失等納入考量(包含發生的可能性有多大、發生的後果或影響有多嚴重)? (資料來源:建立內部控制制度核心原則3.3.1) | 管理者 | ||
RA 4管理階層應考量公司外部環境、商業模式改變及管理階層異動之影響。 | |||
RA 4.1管理階層評估風險時是否考量公司外部環境之改變?商業模式之改變?是否產生重大影響?公司內部控制制度是否須因應調整? | |||
RA 4.1.1-1管理階層評估風險時,是否考量公司外部環境之改變? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 4.1.1-2風險辨識是否考量法令、經濟及當地實質環境之改變? (資料來源:建立內部控制制度核心原則3.4.1) | 管理者 | ||
RA 4.1.2管理階層是否考量商業模式之改變? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
RA 4.1.3-1管理階層是否評估各項改變可能產生之重大影響? (資料來源:建立內部控制制度核心原則3.4) | 管理者 | ||
RA 4.1.3-2管理階層是否考量其新業務、現行業務之重大改變、取得或分割之業務、對外國地區之依賴程度及新科技之潛在影響? (資料來源:建立內部控制制度核心原則3.4.2) | 管理者 | ||
RA 4.1.4公司內部控制制度是否因應商業模式之改變,調整其內部控制制度? (資料來源:建立內部控制制度核心原則3.4.2) | 管理者 | ||
RA 4.2管理階層是否有異動情事?是否產生重大影響? | |||
RA 4.2.1管理階層是否未有經常異動情事? (資料來源:建立內部控制制度核心原則3.4.3) | 管理者 | ||
RA 4.2.2管理階層異動對公司是否產生重大影響? (資料來源:建立內部控制制度核心原則3.4.3) | 管理者 | ||
RA 4.2.3公司是否為其全體董事及監察人投保董監責任保險? (資料來源:上市上櫃公司治理實務守則第39條) | 管理者 | ||
RA 4.3是否有機制可以辨識其他可能對企業產生重大影響的改變?是否產生重大影響?公司內部控制制度是否須因應調整? | |||
RA 4.3.1企業是否有機制可以辨識其他可能對公司產生重大影響的改變? (資料來源:建立內部控制制度核心原則3.4) | 管理者 | ||
RA 4.3.2-1企業是否評估該等改變對公司所產生的重大影響? (資料來源:建立內部控制制度核心原則3.4) | 管理者 | ||
RA 4.3.2-2企業是否建立機制,可以及時地辨識可能產生風險之內外在改變?這些改變可能是營運單位所在之國家發布新會計準則或報告要求、非例行性交易和IT環境改變等直接影響,及營運快速成長、新產品、新供應來源、競爭、擴張海外營運、組織重整等間接影響。 (資料來源:建立內部控制制度核心原則3.4.2) | 管理者 | ||
RA 4.3.3-1企業內部控制制度是否隨著對公司的重大影響而因應調整? (資料來源:建立內部控制制度核心原則3.4) | 管理者 | ||
RA 4.3.3-2企業是否建立機制,可以及時地依其所辨識議題之重大性,向適當的管理階層和董事會報告,並由公司適當的層級(通常為董事會)負責回應改變所產生的風險與機會? (資料來源:建立內部控制制度核心原則3.2) | 管理者 | ||
RA 4.3.4 管理階層評估永續經營目標的風險時,是否考量國內外永續新興趨勢,包含法令、政策目標與永續準則發展趨勢與變動影響? (資料來源:上市上櫃公司永續發展實務守則第5條、第30條、建立內部控制制度核心原則3.4) | 管理者 | ||
CA、控制作業 | |||
CA 1企業應建立控制作業,以降低相關風險至可接受水準。 | |||
CA 1.1管理階層建立控制作業,是否考量企業所屬之產業特性,包括經營環境、複雜性、營運性質與範圍等?管理階層是否判斷哪些攸關之業務流程需制訂控制作業?控制作業之執行是否包括公司所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理?是否針對不相容或不適當之職能分工建立替代性控制作業? | |||
CA 1.1.1 管理階層建立控制作業,是否考量企業所屬之產業特性,包括經營環境、複雜性、營運性質與範圍等? (資料來源:建立內部控制制度核心原則4.1.2) | 管理者 | ||
CA 1.1.2 管理階層是否判斷哪些攸關之業務流程需制訂控制作業? (資料來源:建立內部控制制度核心原則4.1.3) | 管理者 | ||
CA 1.1.3 控制作業之執行是否包括企業所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CA 1.1.4 管理階層針對不相容或不適當之職能分工,是否建立替代性之控制作業? (資料來源:建立內部控制制度核心原則4.1.6) | 管理者 | ||
CA 1.2企業的重大作業是否符合成本效益原則?是否依據風險評估結果,採用適當控制政策和程序,將風險控制在可承受之範圍之內?是否採用人工化或自動化控制等方法有效降低已辨認出來的風險之發生機率與影響程度?設計是否有效? | |||
CA 1.2.1 企業所執行的重要控制作業是否符合成本效益原則? (資料來源:建立內部控制制度核心原則1.6) | 管理者 | ||
CA 1.2.2-1 企業是否依風險評估結果,採用適當控制政策和程序,以將風險控制在可承受之範圍內? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CA 1.2.2-2 針對企業重要控制作業,在成本效益考量原則下,管理階層是否針對影響內部控制目標達成所辨識出之風險,與所選擇的風險回應方式,來設計相關控制作業? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CA 1.2.2-3 重要控制作業的設計是否能確保風險不致超出企業所設定的風險承受度? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CA 1.2.3 為有效降低已辨認出來的風險之發生機率與影響程度,企業是否設計並執行有效的人工化或自動化控制等方法? (資料來源:建立內部控制制度核心原則4.1.4) | 管理者 | ||
CA 1.2.4 作業層級是否定期執行內部控制自行評估,評估項目包括內部控制設計之有效性(含已辨識出之重大風險是否已建立相關控制程序,建立之控制程序是否可有效降低風險),及內部控制執行之有效性(即設計有效之內部控制程序是否落實)? *(參考法規:公開發行公司建立內部控制制度處理準則第21條、第22條) | 管理者 | ||
CA 1.2.5 管理階層建立之永續資訊相關內部控制作業,是否考量永續經營活動、範圍與相關風險評估之結果? (資料來源:建立內部控制制度核心原則4.1.1) | 管理者 | ||
CA 1.2.6 前述控制作業之執行是否包括企業所有層級、結構、業務流程內之各個階段、所有科技環境等範圍及對子公司、價值鏈重要成員之監督與管理?如不相容或不適當之職能分工,是否建立替代性控制作業? (資料來源:建立內部控制制度核心原則4.1.5、4.1.6) | 管理者 | ||
CA 1.2.7 企業是否依據風險評估結果,制定各項政策和程序,並部署監督之行動,以持續檢視永續發展目標之執行情形?(例如是否建立書面化之永續資訊編製政策與程序,內容涵蓋永續績效指標的定義、衡量與計算方式、適用之準則與架構及邊界等,以支持員工例行永續資訊編製管理作業之執行及管理階層部署相關的監督,並建立責任及課責性。) (資料來源:建立內部控制制度核心原則4.3.1、4.3.2) | 管理者 | ||
CA 1.3 控制政策和程序是否已予執行?執行的效果如何?對違反政策或程序的事件,是否採取適當的行動? | |||
CA 1.3.1企業訂定之控制政策和程序是否已予執行? *(參考法規:公開發行公司建立內部控制制度處理準則第6條、第10條) | 管理者 | ||
CA 1.3.2-1內部稽核單位是否評估各項控制之效果及效率,並促進控制之持續改善,以協助企業維持有效之控制? (資料來源:國際內部稽核執業準則2130-控制) | 管理者 | ||
CA 1.3.2-2內部稽核主管是否建立並維持監控制度,以追蹤管理階層收受稽核報告後之處理情形? (資料來源:國際內部稽核執業準則2500-進度之監控) | 管理者 | ||
CA 1.3.3-1 對於違反既定之內部控制程序時,企業是否有適當單位進行記錄、調查並懲處的工作? *(參考法規:公開發行公司建立內部控制制度處理準則第42條) | 管理者 | ||
CA 1.3.3-2 作業層級對於自行評估發現之內部控制缺失,是否提出改善方案及完成期限? (資料來源:建立內部控制制度核心原則6.2) | 管理者 | ||
CA 1.3.3-3 作業層級權責人員因執行控制作業發現缺失,是否立即調查並追蹤改善? (資料來源:建立內部控制制度核心原則4.3.4) | 管理者 | ||
CA 1.3.3-4內部稽核單位是否持續追蹤其改善情形? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
CA 2 企業運用科技,建置控制作業以支持目標之達成。 | |||
CA 2.1 企業是否依其業務流程,建置自動化控制及資訊科技控制?相關的控制作業有哪些?電腦及科技之購置、發展及後續維護,是否有足夠之控制作業得以確保科技可持續有效率之運作? | |||
CA 2.1.1-1 管理階層是否整合攸關業務流程,建置自動化控制及資訊科技控制? (資料來源:建立內部控制制度核心原則4.1.3、4.1.4) | 管理者 | ||
CA 2.1.1-2 管理階層是否瞭解並判斷業務流程、自動化控制作業、科技一般控制三者間之依賴性及關聯性? (資料來源:建立內部控制制度核心原則4.2.1) | 管理者 | ||
CA 2.1.2-1 管理階層是否選擇、建立及執行科技基礎架構之控制作業,以確保科技處理之完整性、正確性與可用性? (資料來源:建立內部控制制度核心原則4.2.2) | 管理者 | ||
CA 2.1.2-2 使用電腦化資訊處理作業,是否至少包括下列11項控制作業? 1.資訊處理部門之功能及職責劃分。 2.系統開發及程式修改之控制。 3.編製系統文書之控制。 4.程式及資料之存取控制。 5.資料輸出入之控制。 6.資料處理之控制。 7.檔案及設備之安全控制。 8.硬體及系統軟體之購置、使用及維護之控制。 9.系統復原計畫制度及測試程序之控制。 10.資通安全檢查之控制。 11.向主管機關指定網站進行公開資訊申報相關作業之控制。 *(參考法規:內部控制制度處理準則第9條) | 管理者 | ||
CA 2.1.3 資訊及科技設備之購置、發展及後續維護,企業是否有足夠的控制作業得以合理確認可持續有效率之運作? (資料來源:建立內部控制制度核心原則4.2.4) | 管理者 | ||
CA 2.1.4 企業是否建置安全性管理控制,以確保永續資訊從來源到最終使用者的輸入、處理、輸出之完整性、準確性及可靠性? (資料來源:建立內部控制制度核心原則4.2.2) | 管理者 | ||
CA 2.1.5與永續資訊編製作業有關之電腦及科技的購置、發展及後續維護,是否有足夠之管理作業得以確保科技可持續且有效率之運作? (資料來源:建立內部控制制度核心原則4.1.4、4.2.4) | 管理者 | ||
CA 2.2 企業建置之控制作業,是否考量使用者之權限及相關安全管理?使用者之權限與工作職責是否相符? | |||
CA 2.2.1-1企業建置之控制作業,是否考量使用者之權限及相關安全管理? (資料來源:建立內部控制制度核心原則4.2.3) | 管理者、員工 | ||
CA 2.2.1-2內部稽核單位是否評估企業之資訊科技治理能支持企業策略之運用及目標之達成? (資料來源:國際內部稽核執業準則2110.A2) | 管理者 | ||
CA 2.2.2-1使用者之權限與工作職責是否相符,以保護企業資產免受外部威脅? (資料來源:建立內部控制制度核心原則4.2.3) | 管理者、員工 | ||
CA 2.2.2-2資訊系統中之存取權限、核決權限是否依職能分工原則設定,以確保財務報導程序無職能衝突,且財務會計記錄是經授權的? (資料來源:建立內部控制制度核心原則4.2.3) | 管理者、員工 | ||
CA 3 企業應透過制訂各項政策及程序,建置相關控制作業。 | |||
CA 3.1企業是否遵循所屬產業法令,依所屬產業特性訂定控制作業?是否任用適任之人員及時執行控制作業?執行控制作業發現缺失是否及時調查並追蹤改善?管理階層是否定期檢視控制作業並調整更新?每一項控制作業之評估過程是否考量內部控制制度各組成要素? | |||
CA 3.1.1-1企業是否遵循所屬產業法令並考量企業之經營環境、複雜性、營運性質與範圍,及企業之特性來訂定控制作業? (資料來源:建立內部控制制度核心原則4.1.2) | 管理者 | ||
CA 3.1.1-2每項控制作業的評估過程,是否綜合考量主管機關所訂內部控制制度各組成要素之判斷項目,並且企業得依實際需要增列必要之項目? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
CA 3.1.2-1企業是否任用適任之人員及時執行控制作業? (資料來源:建立內部控制制度核心原則4.3.5) | 管理者 | ||
CA 3.1.2-2管理階層對於風險所在之業務單位管理者(或其他指定人員)之控制作業,是否確立其責任及課責性? (資料來源:建立內部控制制度核心原則4.3.2) | 管理者 | ||
CA 3.1.2-3企業是否充分授權適任人員持續專注並盡責執行控制作業? (資料來源:建立內部控制制度核心原則4.3.5) | 管理者 | ||
CA 3.1.3企業發現內部控制缺失時,是否及時調查並追蹤改善? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
CA 3.1.4管理階層是否複核控制作業,以確認其持續攸關,並於必要時更新? (資料來源:建立內部控制制度核心原則4.3.6) | 管理者 | ||
CA 3.1.5每項控制作業的評估過程,是否考量內部控制制度的組成要素? (資料來源:建立內部控制制度核心原則1.4、6.1) | 管理者 | ||
CA 3.2 公司應建置適合所屬產業特性之內部監督機制,依據下列各項控制作業評估結果,彙整評估公司整體內部控制制度,方可確保制度之有效性: | |||
CA 3.2(1)銷售及收款循環:包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退回、客訴、產品銷毀、執行與記錄票據收受及現金收入等之政策及程序。 | |||
CA 3.2(1).1銷售及收款循環是否包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退回、客訴、產品銷毀、執行與記錄票據收受及現金收入等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CA 3.2(1).1-1 針對報價及訂單處理,是否有機制確認客戶下單之有效性? | 管理者、員工 | ||
CA 3.2(1).1-2 產品之訂價是否有合理之依據,並定期複核,因應外部市場行情進行調整? | 管理者、員工 | ||
CA 3.2(1).1-3 客戶之信用額度及付款條件,是否經適當調查、分析及權責主管核准?另是否定期評核客戶信用額度使用狀況及付款記錄,以供增加或緊縮授信之參考? | 管理者、員工 | ||
CA 3.2(1).1-4發貨人員是否依照業務訂單需求安排出貨事宜? | 管理者、員工 | ||
CA 3.2(1).1-5帳款記錄是否完整、正確?收款後是否即時並正確沖銷帳款? | 管理者、員工 | ||
CA 3.2(1).1-6 逾期帳款是否進行催收? | 管理者、員工 | ||
CA 3.2(1).1-7若發現已出售之產品發生問題,是否立即通知客戶做適當之處理及追蹤? | 管理者、員工 | ||
CA 3.2(1).1-8 對於客戶之銷退、理賠或換貨案件,是否確認原因及評估合理性,並詳加檢討,採取適當之改進措施? | 管理者、員工 | ||
CA 3.2(1).1-9客服人員與技術服務人員是否能夠迅速有效的解決客戶的問題? | 管理者、員工 | ||
CA 3.2(2)採購及付款循環:包括供應商管理、代工廠商管理、請購、比議價、發包、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記錄供應商負債、核准付款、進貨折讓、執行與記錄票據交付及現金付款等之政策及程序。 | |||
CA 3.2(2).1 採購及付款循環是否包括供應商管理、代工廠商管理、請購、比議價、發包、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記錄供應商負債、核准付款、進貨折讓、執行與記錄票據交付及現金付款等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CA 3.2(2).1-1供應商或代工廠商之選定是否經過嚴謹之審核程序? | 管理者、員工 | ||
CA 3.2(2).1-2 對現有供應商或代工廠商是否定期進行評鑑,如經判定為不合格者是否停止採購? | 管理者、員工 | ||
CA 3.2(2).1-3所有請購是否經權責主管核准後始為有效? | 管理者、員工 | ||
CA 3.2(2).1-4採購是否有進行詢價、比價及議價程序? | 管理者、員工 | ||
CA 3.2(2).1-5採購單是否經權責主管簽核確認? | 管理者、員工 | ||
CA 3.2(2).1-6 各項採購是否進行檢驗,檢驗不合格者是否依相關規定辦理? | 管理者、員工 | ||
CA 3.2(2).1-7所有付款是否檢附相關憑證進行申請,並取得權責主管核准? | 管理者、員工 | ||
CA 3.2(2).1-8付款程序有無適當職能分工? | 管理者 | ||
CA 3.2(2).1-9是否定期檢視未結之委外工單及訂單,以確實掌握供應商回貨進度,若有需向供應商求償者,是否經權責主管核准,且金額與折讓單憑證是否相符? | 管理者、員工 | ||
CA 3.2(3) 生產循環:包括環境安全管理、職業安全衛生管理、擬訂生產計畫、開立用料清單、儲存材料、領料、投入生產、製程安全控管、製成品品質管制、下腳及廢棄物管理、產品成分標示、計算存貨生產成本、計算銷貨成本等之政策及程序。 | |||
CA 3.2(3).1生產循環是否包括環境安全管理、職業安全衛生管理、擬訂生產計畫、開立用料清單、儲存材料、領料、投入生產、製程安全控管、製成品品質管制、下腳及廢棄物管理、產品成分標示、計算存貨生產成本、計算銷貨成本等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CA 3.2(3).1-1生產計劃是否考慮產能、庫存狀況、人員配置及季節性因素等項目?如有意外事故致原訂生產計劃無法實施時,是否立即報請修正,並與相關部門密切聯繫,配合修正生產計劃? | 管理者、員工 | ||
CA 3.2(3).1-2 下腳及廢棄物是否分別存放並定期檢討處理? | 管理者、員工 | ||
CA 3.2(3).1-3 發料時,請領料人是否核對領料單及所領原物料之名稱、規格及數量,並驗收確認? | 管理者、員工 | ||
CA 3.2(3).1-4 生產過程發現品質異常時,是否提出矯正及改善措施? | 管理者、員工 | ||
CA 3.2(3).1-5 成品入庫前是否通過最終檢驗作業程序後入庫,並填具入庫紀錄單? | 管理者、員工 | ||
CA 3.2(3).1-6 工廠各項作業是否符合勞工安全衛生法及環境安全等相關法令之要求? | 管理者 | ||
CA 3.2(3).1-7 委外加工原料之移轉,是否有適當控管與紀錄,並與加工廠定期對帳? | 管理者、員工 | ||
CA 3.2(3).1-8 成本計算是否符合會計規定,並定期進行成本分析? | 管理者、員工 | ||
CA 3.2(4) 薪工循環:包括僱用、職務輪調、請假、排班、加班、辭退、訓練、退休、決定薪資率、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等之政策及程序。 | |||
CA 3.2(4).1薪工循環是否包括僱用、職務輪調、請假、排班、加班、辭退、訓練、退休、決定薪資率、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等作業? *(參考法規:勞動基準法第70條、勞動基準法施行細則第7條、公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CA 3.2(4).1-1人力資源規劃是否全面性的考慮人員晉升、薪資、激勵、福利保障等? | 管理者 | ||
CA 3.2(4).1-2員工是否經試用期滿後正式錄用,並建立人事基本資料? | 管理者、員工 | ||
CA 3.2(4).1-3 是否依員工實際出勤記錄計算薪資總額並按期發放? | 管理者、員工 | ||
CA 3.2(4).1-4 員工薪資所得稅、勞保費、健保費及各項代扣款是否依規定扣繳申報? | 管理者、員工 | ||
CA 3.2(4).1-5升遷人員是否符合規定晉升應具備條件,是否按規定程序報請核定,並依權責發布? | 管理者、員工 | ||
CA 3.2(4).1-6離職人員提出申請日期是否符合人事規定,離職之前是否均辦妥移交作業,且結清積欠公司之資產或款項? | 管理者、員工 | ||
CA 3.2(5) 融資循環:包括借款、保證、承兌、租賃、發行公司債及其他有價證券等資金融通事項之授權、執行與記錄等之政策及程序。 | |||
CA 3.2(5).1融資循環是否包括借款、保證、承兌、租賃、發行公司債及其他有價證券、還本付息及記錄、抵(質)押及記錄、以及股務處理(例如,股票之發行、過戶、掛失及註銷等作業之授權、執行、記錄暨空白股票之保管)等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CA 3.2(5).1-1各項借款之舉借及償還手續是否經適當授權核准後辦理? | 管理者、員工 | ||
CA 3.2(5).1-2帳列記錄是否與借款合約相符,利率及利息之計算是否確實? | 管理者、員工 | ||
CA 3.2(5).1-3股本之增減是否依規定程序辦理並經主管機關核准後,做完整之記錄? | 管理者、員工 | ||
CA 3.2(6)不動產、廠房及設備循環:包括不動產、廠房及設備之取得、處分、維護、保管與記錄等之政策及程序。 | |||
CA 3.2(6).1不動產、廠房及設備循環是否包括不動產、廠房及設備之取得、處分、維護、保管與記錄等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條、公開發行公司取得或處分資產處理準則第6條、第7條) | 管理者 | ||
CA 3.2(6).1-1資產的取得或處分是否適當評估並經權責主管核准? | 管理者、員工 | ||
CA 3.2(6).1-2取得或處分不動產、廠房及設備價款,若達《取得或處分資產作業處理程序》規範標準者,是否依其規定辦理? | 管理者、員工 | ||
CA 3.2(6).1-3各項資產是否定期盤點並投保適當保險? | 管理者、員工 | ||
CA 3.2(7)投資循環:包括有價證券、投資性不動產、衍生性商品及其他投資之決策、買賣、保管與記錄等之政策及程序。 | |||
CA 3.2(7).1投資循環是否包括有價證券、投資性不動產、衍生性商品及其他投資標的之決策、買賣、保管與記錄等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條、公開發行公司取得或處分資產處理準則第6條、第7條) | 管理者 | ||
CA 3.2(7).1-1投資之取得或處分是否適當評估並經權責主管核准? | 管理者、員工 | ||
CA 3.2(7).1-2 取得或處分投資之帳務處理、損益計算是否正確合理? | 管理者、員工 | ||
CA 3.2(7).1-3是否有定期進行績效評估及檢討? | 管理者、員工 | ||
CA 3.2(8)研發循環:包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權之取得、維護及運用等之政策及程序。 | |||
CA 3.2(8).1研發循環是否包括對基礎研究、產品設計、技術研發、產品試作與測試、研發資訊相關文件之記錄與文件保管、智慧財產權之取得、維護及運用等作業? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
CA 3.2(8).1-1開發新案(如產品設計、技術研發及製程改良等)是否適當評估及規劃,並經權責主管核准後依進度執行? | 管理者、員工 | ||
CA 3.2(8).1-2 是否依規定程序辦理新產品試作與測試,並記錄及呈核測試內容與結果? | 管理者、員工 | ||
CA 3.2(8).1-3 研發相關文件是否適當記錄及保管? | 管理者、員工 | ||
CA 3.2(8).1-4公司是否訂定智慧財產權取得各階段(如:智慧財產權合法取得規劃、智慧財產權產出過程紀錄、成果公開審查、智慧財產權提案審查與權利取得流程)之政策及程序? | 管理者 | ||
CA 3.2(8).1-5 公司是否訂定智慧財產權維護與運用(如:建立智慧財產權清單/資料庫、維護效益評估機制)之政策及程序? | 管理者 | ||
CA 3.2(8).1-6公司是否訂定智慧財產權保護(如:委外作業之保密與智慧財產權歸屬約定、降低採購產品侵權風險之措施、員工進用/在職/離職智慧財產權約定、機密管制、合約智慧財產權條款審閱)之政策及程序? | 管理者 | ||
CA 3.2(8).1-7是否訂定侵權糾紛處理程序? | 管理者 | ||
CA 3.2(9)使用電腦化資訊處理作業:包括資訊部門與使用者部門權責之劃分、資訊處理部門之功能及職責劃分、系統開發及程式修改之控制、編製系統文書之控制、程式及資料之存取控制、資料輸出入之控制、資料處理之控制、檔案及設備之安全控制、硬體及系統軟體之購置、使用及維護之控制、系統復原計畫及測試程序之控制、資通安全檢查之控制及向主管機關指定網站進行公開資訊申報相關作業之控制等作業。 | |||
CA 3.2(9).1使用電腦化資訊處理作業是否包括資訊部門與使用者部門權責之劃分,以及公開發行公司內部控制制度處理準則第9條第1項所訂之11項控制作業? *(參考法規:個人資料保護法第27條、公開發行公司建立內部控制制度處理準則第9條) | 管理者 | ||
CA 3.2(9).1-1系統及程式文件之記錄是否完整詳細並妥善保存,是否依其業務職責以及職能分工原則設定使用者權限,避免未授權之存取? | 管理者、員工 | ||
CA 3.2(9).1-2電腦主機之作業系統、應用系統及資料庫管理系統中應設置稽核日誌,以記錄任何可能危害系統安全事件? | 管理者、員工 | ||
CA 3.2(9).1-3 備份資料是否進行異地存放,存放處所環境是否合於電腦機房安全標準? | 管理者、員工 | ||
CA 3.2(9).1-4是否制定報廢電腦程序,並確實將硬碟資料銷毁,以避免內部資料外洩? | 管理者、員工 | ||
CA 3.2(9).2是否訂定資通安全作業程序,包含核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等? (資料來源:上市上櫃公司資通安全管控指引第5條) | 管理者 | ||
CA 3.2(9).2-1是否成立資通安全推動組織,組織配置適當之人力、物力與財力資源,並指派適當人員擔任資安專責主管及資安專責人員,以負責推動、協調監督及審查資通安全管理事項,並定期向董事會或管理階層報告資通安全執行情形? (資料來源:上市上櫃公司資通安全管控指引第3條、第37條) | 管理者 | ||
CA 3.2(9).2-2是否安排所有使用資訊系統之人員,每年接受資訊安全宣導課程,另負責資訊安全之主管及人員,每年接受資訊安全專業課程訓練? (資料來源:上市上櫃公司資通安全管控指引第6條) | 管理者 | ||
CA 3.2(9).2-3是否鑑別並定期檢視公司之核心業務及應保護之機敏性資料,並制定核心業務持續運作計畫,定期辦理核心業務持續運作演練? (資料來源:上市上櫃公司資通安全管控指引第7條、第10條) | 管理者、員工 | ||
CA 3.2(9).2-4是否定期盤點資通系統、執行資通系統安全性要求測試,並對核心資通系統辦理資安檢測作業,完成系統弱點修補? (資料來源:上市上櫃公司資通安全管控指引第11條、第14條、第16條) | 管理者、員工 | ||
CA 3.2(9).2-5是否針對機敏性資料之處理及儲存建立適當之防護措施,如:實體隔離、專用電腦作業環境、存取權限、資料加密、傳輸加密、資料遮蔽、人員管理及處理規範等? (資料來源:上市上櫃公司資通安全管控指引第19條) | 管理者、員工 | ||
CA 3.2(9).2-6是否建立使用者通行碼管理之作業規定及資通系統與相關設備適當之監控措施? (資料來源:上市上櫃公司資通安全管控指引第21條、第23條) | 管理者、員工 | ||
CA 3.2(9).2-7是否針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等項目建立適當之管理措施? (資料來源:上市上櫃公司資通安全管控指引第26條) | 管理者、員工 | ||
CA 3.2(9).2-8是否定期辦理電子郵件社交工程演練,並加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊? (資料來源:上市上櫃公司資通安全管控指引第30條、第35條) | 管理者、員工 | ||
CA 3.2(9).2-9是否訂定資安事件應變處置及通報作業程序,包含判定事件影響及損害評估、內外部通報流程、通知其他受影響機關之方式、通報窗口及聯繫方式等? (資料來源:上市上櫃公司資通安全管控指引第34條) | 管理者、員工 | ||
CA 3.2(10)印鑑使用管理作業。 | |||
CA 3.2(10).1公司是否已制定印鑑使用管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司資金貸與及背書保證處理準則第12條) | 管理者 | ||
CA 3.2(10).1-1印鑑之用印是否經適當授權核准?如有印鑑攜出情事,是否留存出借紀錄? | 管理者、員工 | ||
CA 3.2(10).1-2 印鑑增添及變更是否經核准,並依規驗收、登記及保管? | 管理者、員工 | ||
CA 3.2(10).1-3 印鑑是否妥為保管並設置清冊列管? | 管理者、員工 | ||
CA 3.2(10).1-4 印鑑的大小章是否由不同人員分開保管? | 管理者、員工 | ||
CA 3.2(11)票據領用管理作業。 | |||
CA 3.2(11).1公司是否已制定票據領用管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(11).1-1開立支票用之印鑑保管人、支票保管人及會計人員是否由不同人員擔任? | 管理者、員工 | ||
CA 3.2(11).1-2 開立票據如需作廢,是否保留票據存根聯供備查? | 管理者、員工 | ||
CA 3.2(12)預算管理作業。 | |||
CA 3.2(12).1 公司是否已制定預算管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(12).1-1預算之編製應考量整體策略並具合理性? | 管理者 | ||
CA 3.2(12).1-2財務單位是否定期比較執行成果與預算目標,並交付各責任中心主管分析差異原因? | 管理者、員工 | ||
CA 3.2(13)財產管理作業。 | |||
CA 3.2(13).1 公司是否已制定財產管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司取得或處分資產處理準則第6條、第7條) | 管理者 | ||
CA 3.2(13).1-1 財產之取得或處分是否經過適當核准程序辦理? | 管理者、員工 | ||
CA 3.2(13).1-2 公司財產是否列具清冊並定期維護盤點? | 管理者、員工 | ||
CA 3.2(14)背書保證、負債承諾及或有事項管理等作業。 | |||
CA 3.2(14).1 公司是否已制定背書保證、負債承諾及或有事項管理等作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司資金貸與及背書保證處理準則第11條) | 管理者 | ||
CA 3.2(14).2是否定期或不定期檢視公司涉及之或有負債及承諾事項,以防患未然? | 管理者、員工 | ||
CA 3.2(15) 職務授權及代理人制度作業。 | |||
CA 3.2(15).1 公司是否已建立職務授權及代理人制度規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者、員工 | ||
CA 3.2(15).1-1職務授權是否明確,被授權者之層級是否適當? | 管理者 | ||
CA 3.2(15).1-2需職能分工的工作是否不相互代理? | 管理者 | ||
CA 3.2(16)資金貸與他人作業。 | |||
CA 3.2(16).1 公司是否已制定資金貸與他人作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司資金貸與及背書保證處理準則第8條) | 管理者 | ||
CA 3.2(16).2是否有長期未結的應收帳款或預付購料款,需認列為資金貸與? | 管理者、員工 | ||
CA 3.2(17)財務及非財務資訊管理作業。 | |||
CA 3.2(17).1 公司是否已制定財務及非財務資訊管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(18)對子公司監督與管理之控制作業。 | |||
CA 3.2(18).1 公司是否定期對子公司進行監督與管理之控制作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、第38條至第41條) | 管理者 | ||
CA 3.2(18).1-1子公司是否依據母公司之經營策略及風險管理等程序,制訂及執行相關程序? | 管理者 | ||
CA 3.2(18).1-2子公司是否定期向母公司報告經營狀況,並按每月或每季提供上月月結之管理報表及財務報告供母公司核閱? | 管理者 | ||
CA 3.2(19)關係人交易管理作業。 | |||
CA 3.2(19).1 公司是否已制定關係人交易管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司取得或處分資產處理準則第6條、第7條) | 管理者 | ||
CA 3.2(19).1-1是否定期執行關係人帳戶對帳、調節作業,並分析、確認及調查不平衡之項目及其他重要之項目內容? | 管理者、員工 | ||
CA 3.2(20)財務報表編製流程管理作業,包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計值變動之流程等。 | |||
CA 3.2(20).1 公司是否已制定財務報表編製流程管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(20).1-1會計專業判斷、會計政策及估計值變動之評估及決策是否經權責主管核准? | 管理者、員工 | ||
CA 3.2(21) 永續資訊之管理作業。(股票已上市或在證券商營業處所上櫃買賣之公司適用) | |||
CA 3.2(21).1公司是否已制定永續資訊之管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(21).1-1 永續資訊判斷、估計之評估及決策是否經權責主管核准?(例如永續資訊編製之基準、重大性、測量、量化、計算方法、報導原則及邊界是否經權責主管核准?) | 管理者 | ||
CA 3.2(21).1-2 與永續資訊編製攸關之組織架構變更、估計與假設方法之變更及科技系統之變更等,是否經相關之評估及內部權責主管核准? | 管理者 | ||
CA 3.2(21).2 對永續資訊編製涉及之各項永續議題交易資料及質性或量化指標,公司是否已制定蒐集、紀錄、處理、編製、調節、核准及發布等相關作業規範並落實? | 管理者 | ||
CA 3.2(21).2-1公司是否建立管理作業以確保永續資訊來源與蒐集的完整性、準確性及可靠性?(例如是否考量永續資訊於蒐集時所使用之測量工具與設施,如記錄溫室氣體排放或水資源耗用之設施等?是否編製設施清冊、記錄其數量、性質、地理分布及所有權特性?是否定期盤點並與其記錄相比較和調節?若資料由第三方代為蒐集或編製,如何確保永續資訊的完整性、準確性及可靠性?) | 管理者、員工 | ||
CA 3.2(21).2-2 公司是否建立管理作業以確保永續資訊於紀錄的完整性、準確性及可靠性?(例如是否定期執行核對?是否定期對量測工具執行校準,並保存相關之校準紀錄?是否定期更新排放係數?是否定期檢視連續性監控設備?所紀錄之永續資訊是否保留?如何保留?是否可核對至原始憑證或與財務紀錄調節?例如電費是否與帳載一致) | 管理者、員工 | ||
CA 3.2(21).2-3 公司是否建立管理作業以確保永續資訊於處理的完整性、準確性及可靠性?(例如是否考量永續資訊於彙總與處理使用的工具自動化的程度,並建立對應之管理作業?處理流程中若牽涉調整、衡量單位轉換、估計與假設之使用、彙總或合併等處理,是否有對應之審核紀錄?涉及特殊測量或量化技術等複雜計算與模型(如財務量化模型)之使用,是否經權責主管核准,並定期評估以確保合理性及適當性?) | 管理者、員工 | ||
CA 3.2(21).2-4 公司是否建立管理作業以確保永續資訊於編製的完整性、準確性及可靠性?(例如永續資訊編製程序有無適當職能分工?是否定期執行敏感性分析,以決定假設變動對估計之影響?是否執行分析性程序與調節作業,以確保永續經營績效指標之合理性?是否追蹤前期估計之最終結果,並就該結果採取適當因應措施?是否定期檢視國內外重大永續新興趨勢、經濟及永續法令規範變動對永續資訊編製的影響?) | 管理者、員工 | ||
CA 3.2(21).2-5 公司是否建立管理作業以確保永續資訊之核准及發布的完整性、準確性及可靠性?(例如永續資訊之核准及發布是否依循公司訂定之各單位分層負責表和核決權限表執行?永續資訊之編製、內部審核、外部確信或查證與發布等事項,是否訂定時程規劃?是否提供永續資訊需求者可適時取得資訊之機制?) | 管理者、員工 | ||
CA 3.2(22)董事會議事運作管理作業。 | |||
CA 3.2(22).1 公司是否已制定董事會議事運作管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司董事會議事辦法第2條) | 管理者 | ||
CA 3.2(22).2董事會議事規範內容是否完整並符合法令規章之規範? | 管理者 | ||
CA 3.2(23)防範內線交易管理作業。(股票已上市或在證券商營業處所買賣之公司適用) | |||
CA 3.2(23).1 公司是否已制定防範內線交易管理作業規範並落實? *(參考法規:證券交易法第157-1條、公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(23).1-1有異常或違規情形時,是否依相關法令規章及程序調查及處理? | 管理者、員工 | ||
CA 3.2(24)薪資報酬委員會運作之管理。(股票已上市或在證券商營業處所買賣之公司適用) | |||
CA 3.2(24).1 公司是否已制定薪資報酬委員會運作管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、股票上市或於證券商營業處所買賣公司薪資報酬委員會設置及行使職權辦法第3條) | 管理者 | ||
CA 3.2(24).2 薪資報酬委員會組織規章內容是否完整並符合法令規章之規範? | 管理者 | ||
CA 3.2(25)股務作業管理作業。 | |||
CA 3.2(25).1 公司是否已制定股務作業管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行股票公司股務處理準則第6條) | 管理者 | ||
CA 3.2(26)個人資料保護管理作業。 | |||
CA 3.2(26).1公司是否已制定個人資料保護管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
CA 3.2(26).2各項個人資料是否有明確的對應負責單位及適當的管理人員,且未將個人資料使用於蒐集目的以外之用途。如委由外部機構進行,是否亦依公司規定及相關法令規章之規定辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏? | 管理者、員工 | ||
CA 3.2(27)審計委員會議事運作管理作業。(公開發行公司設置審計委員會者) | |||
CA 3.2(27).1 公司是否已制定審計委員會議事運作管理作業規範並落實? *(參考法規:公開發行公司建立內部控制制度處理準則第8條、公開發行公司審計委員會行使職權辦法第3條、第7條) | 管理者 | ||
CA 3.2(27).2審計委員會組織規程是否完整記載法令規章所要求之項目? | 管理者 | ||
CA 3.2(28)其他作業(上述未涵蓋之作業,公司應視需要自行增列)。 | |||
CA 3.2(28).1 公司是否已制定其他作業規範並落實(上述未涵蓋之作業,公司應視需要自行增列)? | 管理者 | ||
IC、資訊與溝通 | |||
IC 1企業應蒐集、產生及使用來自內部與外部之攸關、具品質之資訊,以支持內部控制制度之持續運作。 | |||
IC 1.1公司內部控制制度是否具備產生規劃、執行、監督等所需資訊之機制?是否有適當流程辨識需要之資訊?是否支持內部控制其他組成要素之持續運作?管理階層是否定期從內部與外部收到攸關企業目標達成進度及所面臨風險的可靠資訊以供決策及營運監控之用? | |||
IC 1.1.1-1企業內部控制制度是否具備產生規劃、執行、監督等所需資訊之機制? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
IC 1.1.2-1企業是否有適當流程辨識所需要之資訊? (資料來源:建立內部控制制度核心原則5.1.1) | 管理者 | ||
IC 1.1.2-2個別資訊管理人員所收到的管理資訊內容,是否與其職責及權限所規定的內容一致,亦即收到的資訊充分且足夠以作為決策之參考? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
IC 1.1.2-3資訊系統是否能處理及轉換攸關資料成為資訊? (資料來源:建立內部控制制度核心原則5.1.3) | 管理者 | ||
IC 1.1.3-1內部控制是否支持其他組成要素之持續運作? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
IC 1.1.3-2管理資訊可能來自不同系統,其中是否有系統可與財務會計系統的資訊相調節? (資料來源:建立內部控制制度核心原則5.1.2) | 管理者 | ||
IC 1.1.4-1管理階層是否定期從內部與外部收到攸關企業目標達成進度及所面臨風險的可靠資訊,以供決策及營運監控之用? (資料來源:建立內部控制制度核心原則5.1.2) | 管理者 | ||
IC 1.1.4-2 企業是否具有取得和市場情況、競爭對手走向、法律及規範發展、經濟變化有關的外部訊息之機制,並適時提供給管理階層以供決策之需? (資料來源:建立內部控制制度核心原則5.3.2) | 管理者 | ||
IC 1.1.4-3管理階層是否收到經分析整理後的報告資訊? (資料來源:建立內部控制制度核心原則5.1.3) | 管理者 | ||
IC 1.1.4-4 上述資訊是否有助於管理階層辨認應採行之行動? (資料來源:建立內部控制制度核心原則5.1.1) | 管理者 | ||
IC 1.1.4-5 來自外部人士之具重大性評估意見,是否有提報董事會報告之機制? (資料來源:建立內部控制制度核心原則5.3.3) | 管理者 | ||
IC 1.2當企業目標及相關風險改變或發現內控缺失時,是否重新評估資訊及相關資訊系統的需求? | |||
IC 1.2.1 當企業目標及相關風險改變或發現內部控制缺失時,管理階層是否重新評估資訊內容及相關資訊系統的需求? (資料來源:建立內部控制制度核心原則4.3.6) | 管理者 | ||
IC 1.3管理階層支持設置資訊系統的程度如何?投入的物力若干? | |||
IC 1.3.1 管理階層是否參與資訊系統建置和購置決策? (資料來源:建立內部控制制度核心原則4.2.4) | 管理者 | ||
IC 1.3.2-1 資訊系統是否設有專人負責維護? (資料來源:建立內部控制制度核心原則4.3.5) | 管理者、員工 | ||
IC 1.3.2-2資訊系統是否定期更換或更新(維護)? *(參考法規:公開發行公司建立內部控制制度處理準則第9條) | 管理者、員工 | ||
IC 1.3.2-3 企業是否訂定系統復原或資料備份的作業程序及時程? *(參考法規:公開發行公司建立內部控制制度處理準則第9條) | 管理者 | ||
IC 1.4資訊系統是否能擷取内部與外部之資料來源?是否能轉換攸關資料以產生具品質之資訊? | |||
IC 1.4.1-1資訊系統是否能擷取內部與外部之資料來源? (資料來源:建立內部控制制度核心原則5.1.2) | 管理者 | ||
IC 1.4.1-2針對企業營運、財務和非財務(如永續資訊與永續經營績效指標)相關的重要資訊之提供時間,是否依管理階層所需資訊之時間來設定合理的提供期限,讓管理階層有充分的時間加以複核和及時提出問題? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
IC 1.4.2-1資訊系統是否能轉換攸關資料以產生具品質之資訊,有助於決策使用? (資料來源:建立內部控制制度核心原則5.1.3) | 管理者 | ||
IC 1.4.2-2資訊系統是否產生及時、最新、正確、完整、可取得、受保護,及可證實與保存之資訊,以強化監督之效果? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
IC 1.4.3企業如何確保永續資訊自源頭至最終決策者傳遞的過程中,維持完整、準確與可靠之資訊品質及可供稽核之紀錄與軌跡? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
IC 1.5每一控制作業的重要資訊是否被辨識、記錄、使用並以特定方式及於特定時間內傳遞需運用該資訊執行其內控責任之人員? | |||
IC 1.5.1-1 執行每一控制作業或活動之資料是否被完整地、正確地與及時地記錄,並且遵循法令相關規定? (資料來源:建立內部控制制度核心原則4.3.1、5.1.4) | 管理者 | ||
IC 1.5.1-2 資訊部門主管是否建立並維護資訊系統權限清單,包括新增、修改、核准、使用及監督等權限,來記錄資訊傳遞流程? *(參考法規:公開發行公司建立內部控制制度處理準則第9條) | 管理者 | ||
IC 1.5.1-3資訊系統是否可以產生例外性報告,有助於例外狀況之因素分析、解決方案及內部控制更新建議? (資料來源:建立內部控制制度核心原則5.1.3) | 管理者 | ||
IC 1.5.1-4資訊系統之品質是否被定期複核,評估其可靠性與及時性,以符合企業目標? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
IC 1.6對屬內部重大資訊,公司是否建立資訊處理之作業程序? | |||
IC 1.6.1-1企業對內部重大資訊之處理及揭露,是否已依有關法令訂定作業程序,以避免資訊不當洩露,並確保對外發表資訊之一致性與正確性? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
IC 1.6.1-2 企業是否設有管理內部重大資訊之權責單位? (資料來源:「○○股份有限公司內部重大資訊處理作業程序」參考範例第5條) | 管理者 | ||
IC 1.6.1-3針對內部重大資訊對外公開作業,企業是否設有能單獨代表企業對外發言者之企業發言人及代理發言人的職務? (資料來源:上市上櫃公司治理實務守則第56條) | 管理者 | ||
IC 1.6.1-4企業內部重大資訊,若有達應公告之條件時,是否適時地將訊息內容於公開資訊觀測站揭露? *(參考法規:臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序第4條、第6條、財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序第4條、第6條) | 管理者 | ||
IC 1.6.1-5企業是否重視股東知的權利,確實遵守資訊公開之相關規定,將公司財務、業務、內部人持股、風險管理及公司治理情形,經常且即時利用公開資訊觀測站或公司設置之網站提供訊息予股東,並且同步以英文揭露之? (資料來源:上市上櫃公司治理實務守則第10條、第57條、上市上櫃公司風險管理實務守則第28條) | 管理者 | ||
IC 1.7公司取得資訊時是否考量成本效益原則? | |||
IC 1.7.1-1公司取得資訊時是否考量成本效益原則? (資料來源:建立內部控制制度核心原則5.1.5) | 管理者 | ||
IC 1.7.1-2公司考量成本效益原則所取得的資訊,是否能用以協助公司目標的達成? (資料來源:建立內部控制制度核心原則5.1.5) | 管理者 | ||
IC 2企業內部溝通之資訊應包括內部控制之目標與責任。 | |||
IC 2.1溝通機制是否充分使組織上下或跨部門資訊之傳達無礙,且溝通機制涵蓋所有工作人員?是否提供資訊需求者適時取得資訊之機制? | |||
IC 2.1.1-1管理階層是否已建立跨部門的溝通機制,並使所有人員瞭解並履行其內部控制責任? (資料來源:上市上櫃公司永續發展實務守則第22條、建立內部控制制度核心原則5.2.1) | 管理者 | ||
IC 2.1.1-2 管理階層是否定期評估溝通機制的效果及效率,並視需要調整溝通機制? (資料來源:建立內部控制制度核心原則6.2.1) | 管理者 | ||
IC 2.1.1-3內部稽核主管是否能與稽核業務相關之其他內部及外部服務提供者來分享資訊及協調作業,以確保工作範圍之適當及減少工作之重複? (資料來源:國際內部稽核執業準則2050–協調) | 管理者 | ||
IC 2.1.2-1企業內部溝通機制是否能提供資訊需求者適時取得資訊? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者、員工 | ||
IC 2.1.2-2 擔負重要營運或財務管理責任的人員,是否均能直接收到由管理階層所發出的清楚訊息? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者、員工 | ||
IC 2.2如何告訴員工,歸他們負責的任務有那些?就這些任務,歸他們負責的控制作業有那些?員工瞭解其對達成任務之貢獻度如何? | |||
IC 2.2.1-1 新進員工是否參加企業舉行之訓練課程? (資料來源:建立內部控制制度核心原則2.4.3) | 管理者、員工 | ||
IC 2.2.1-2新進員工的訓練課程,課程設計是否傳達企業目標及員工所負責任務的預期工作目標? (資料來源:建立內部控制制度核心原則2.4.3) | 管理者、員工 | ||
IC 2.2.2-1企業是否告訴所有員工,每一個職務所負責的任務、控制作業? (資料來源:建立內部控制制度核心原則5.2.1) | 管理者、員工 | ||
IC 2.2.3-1員工是否瞭解其任務之預期工作目標? (資料來源:建立內部控制制度核心原則2.5) | 員工 | ||
IC 2.2.3-2員工是否瞭解其對達成企業任務之貢獻度? (資料來源:建立內部控制制度核心原則2.5.1) | 員工 | ||
IC 2.3是否具有報告疑似不當行為的溝通管道?當正常管道無法運作或失效時,是否有不同的溝通管道?如匿名或保密之溝通方式? | |||
IC 2.3.1-1 企業是否有報告疑似舞弊或不當行為的舉報管道? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.3.1-2企業是否訂定員工對於不合法(包括貪汙)與不道德行為的申訴程序? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.3.1-3企業是否訂定獎勵員工呈報違反法令規章或道德行為準則等情事之流程或機制? (資料來源:上市上櫃公司誠信經營守則第23條) | 管理者、員工 | ||
IC 2.3.1-4該流程機制是否訂有適當保護呈報者安全的措施,使員工免於遭受報復? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.3.2-1當正常舉報管道無法運作或失效時,企業是否有不同的溝通管道? (資料來源:建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.3.2-2當正常舉報管道失效或無效時,企業是否可啟用匿名或保密之溝通方式? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.3.2-3當正常舉報管道無法運作或失效時,企業是否告知員工可以直接向高階管理階層反應舞弊或不正當行為,並且員工姓名確定會被保密,以防止報復情事之發生? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.3.2-4針對員工及外部利害關係人之舉報,企業是否有權責單位彙總及執行後續調查,將其結果以書面紀錄,並根據舉報問題之嚴重性做適當處理? (資料來源:上市上櫃公司治理實務守則第51條) | 管理者 | ||
IC 2.4 管理階層是否願意接納員工的建議? | |||
IC 2.4.1-1企業是否建立鼓勵員工提出改善建議之企業文化? (資料來源:建立內部控制制度核心原則5.2.3) | 管理者、員工 | ||
IC 2.4.1-2管理階層是否願意接納員工的建議,甚至給予獎勵? (資料來源:建立內部控制制度核心原則2.5.2) | 管理者、員工 | ||
IC 2.5企業內部各部門間如何溝通?資訊傳遞是否完整並及時便於員工履行其職責? | |||
IC 2.5.1-1 管理階層是否已建立跨部門之溝通機制,包括透過各種會議、訓練及工作上的督導等方式,以傳達影響企業目標達成的各項資訊? (資料來源:建立內部控制制度核心原則5.2.1) | 管理者 | ||
IC 2.5.1-2各部門主管是否定期舉行會議,討論該事業單位營運活動之相關議題? (資料來源:建立內部控制制度核心原則5.2) | 管理者 | ||
IC 2.5.2-1資訊溝通是否正確、客觀、明確、簡潔、具建設性、完整與及時,以便於相關人員履行其職責? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
IC 2.6管理階層與董事會間的溝通是否順暢?上述溝通能否使雙方擁有達到企業目標所需之決策資訊? | |||
IC 2.6.1-1管理階層與董事會間的溝通是否順暢? (資料來源:建立內部控制制度核心原則5.2.2) | 管理者 | ||
IC 2.6.2-1管理階層與董事會間的溝通,是否能使雙方取得所需資訊,以履行其對於企業目標之責任? (資料來源:建立內部控制制度核心原則5.2.2) | 管理者 | ||
IC 3企業與外部人士溝通影響內部控制持續運作之相關事項。 | |||
IC 3.1與顧客、消費者、供應商、主管機關、簽證會計師及其他外部利害關係人等之溝通管道是否暢通且有效?外部關係人提出的意見是否適當追蹤並及時處理? | |||
IC 3.1.1企業與顧客、消費者、供應商、主管機關、簽證會計師及其他外部利害關係人等之溝通管道是否暢通且有效? (資料來源:建立內部控制制度核心原則5.3.2) | 管理者 | ||
IC 3.1.2-1企業是否制定與外部人士溝通攸關且及時資訊之程序,對象包括股東、合作夥伴、業主、主管機關、客戶、金融分析師及其他外部人士。 (資料來源:建立內部控制制度核心原則5.3.1) | 管理者 | ||
IC 3.1.2-2針對重要的外部利害關係人,是否有權責人員負責與其關係之維繫及問題之處理? (資料來源:上市上櫃公司治理實務守則第51條、建立內部控制制度核心原則5.3.2) | 管理者 | ||
IC 3.1.2-3對外部利害關係人提出的申訴案件,企業是否訂有於一定期限內追蹤處理申訴案件的辦法或程序? (資料來源:建立內部控制制度核心原則6.2.3) | 管理者 | ||
IC 3.2是否有申訴疑似不當行為之溝通管道?當正常管道無法運作或失效時,是否有不同的溝通管道,如匿名或保密之溝通方式? | |||
IC 3.2.1 企業是否有申訴疑似不當行為之溝通管道? (資料來源:上市上櫃公司誠信經營守則第23條、建立內部控制制度核心原則5.3.4) | 管理者 | ||
IC 3.2.2-1企業是否於公司網頁上或年報中提供聯絡資料,以作為利害關係人(如顧客、供應商、一般大眾等)於權利受侵害時之申訴管道? (資料來源:上市上櫃公司治理實務守則第51條、上市上櫃公司永續發展實務守則第10條) | 管理者 | ||
IC 3.2.2-2企業是否有對其產品與服務提供透明且有效之消費者申訴程序,公平、即時處理消費者之申訴,並應遵守個人資料保護法等相關法規,確實尊重消費者之隱私權,保護消費者提供之個人資料? (資料來源:上市上櫃公司誠信經營守則第23條) | 管理者 | ||
IC 3.2.2-3企業是否設置個別之溝通管道(如舉報熱線),當正常管道失效或無效時,可啟用匿名或保密之溝通方式? (資料來源:建立內部控制制度核心原則5.3.4) | 管理者 | ||
IC 3.2.2-4企業是否已建有吹哨者保護制度,且受理單位具有獨立性,能對吹哨者提供之檔案予以加密保護,妥適限制存取權限? (資料來源:上市上櫃公司治理實務守則第28-3條) | 管理者 | ||
IC 3.3外界如何知悉本企業的道德標準?知悉程度如何? | |||
IC 3.3.1-1企業是否已建立員工與顧客、供應商及外部利害關係人往來的道德規範,並正式或非正式地傳達予員工與外部利害關係人? (資料來源:上市上櫃公司訂定道德行為準則參考範例第1條) | 管理者 | ||
IC 3.3.1-2管理階層於企業對外公布的財務報告或年報上,是否清楚揭示對遵循道德標準的承諾,包括揭露公司治理規範、公司治理運作情形聲明等? *(參考法規:公開發行公司年報應行記載事項準則第10條) | 管理者 | ||
IC 3.3.2企業是否將推動誠信經營與永續發展之量化數據,持續分析評估誠信政策與永續發展推動成效,於公司網站、年報及公開說明書揭露其誠信經營與永續發展採行措施、履行情形及前揭量化數據與推動成效,並於公開資訊觀測站揭露? *(參考法規:公開發行公司年報應行記載事項準則第10條) | 管理者 | ||
IC 3.4公司需對外揭露那些資訊?資訊的完整性、正確性如何?何時揭露?由誰負責控管?是否提供資訊需求者適時取得資訊之機制? | |||
IC 3.4.1-1企業是否確實依相關法令規章之規定,於公司網站、年報及公開說明書揭露辦理公告申報,對外揭露必須公開的資訊? *(參考法規:公開發行公司年報應行記載事項準則第23條、公司募集發行有價證券公開說明書應行記載事項準則第37條) | 管理者 | ||
IC 3.4.1-2企業是否確實依「公開發行公司網路申報公開資訊應注意事項」辦理網路申報作業系統設備之建置、連線方式、網路認證程序、系統維護及管理? *(參考法規:公開發行公司網路申報公開資訊應注意事項第6條) | 管理者 | ||
IC 3.4.2內部稽核人員是否定期瞭解網路申報公開資訊內部控制之允當性,並定期查核申報部門對網路申報公開資訊應注意事項之遵循情形? *(參考法規:公開發行公司網路申報公開資訊應注意事項第8條) | 管理者 | ||
IC 3.4.3-1對外公開資訊是否能夠適時和允當揭露? *(參考法規:公開發行公司網路申報公開資訊應注意事項第5條) | 管理者 | ||
IC 3.4.3-2企業是否於公司網站設置利害關係人專區,以瞭解並回應利害關係人所關切之重要企業永續發展議題? (資料來源:上市上櫃公司治理實務守則第51條、上市上櫃公司永續發展實務守則第10條) | 管理者 | ||
IC 3.4.3-3企業對重大資訊之處理及揭露,是否已依相關法令訂定作業程序,確保資訊之一致性與正確性? *(參考法規:公開發行公司建立內部控制制度處理準則第8條) | 管理者 | ||
IC-3.4.4 對外公開資訊系統是否由專人負責控管? (資料來源:建立內部控制制度核心原則4.3.5) | 管理者 | ||
IC-3.4.5 企業是否提供資訊需求者適時取得資訊之機制? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
MA、監督作業 | |||
MA 1企業應進行持續性評估、個別評估或兩者併行,以確定內部控制制度之各組成要素是否已經存在及持續運作。 | |||
MA 1.1管理階層建立持續性評估、個別評估或兩者併行,是否考量業務之變動情形?持續性評估是否與業務流程結合及隨環境變化作調整?個別評估是否依據風險高低調整評估之範圍與頻率? | |||
MA 1.1.1-1企業是否有效運用持續性評估及個別評估? *(參考法規:公開發行公司建立內部控制制度處理準則第6條) | 管理者 | ||
MA 1.1.1-2企業選擇及建立持續性及個別評估,是否考量業務及業務流程之變動情形? (資料來源:建立內部控制制度核心原則6.1.2) | 管理者 | ||
MA 1.1.1-3企業是否以內部控制制度之設計及執行現況,作為建立持續性及個別評估之基準? (資料來源:建立內部控制制度核心原則6.1.3) | 管理者 | ||
MA 1.1.2-1持續性評估是否與業務流程結合? (資料來源:建立內部控制制度核心原則6.1.5) | 管理者 | ||
MA 1.1.2-2持續性評估是否隨環境變化作調整? (資料來源:建立內部控制制度核心原則6.1.5) | 管理者 | ||
MA 1.1.3-1企業是否依風險高低調整個別評估的範圍與頻率? (資料來源:建立內部控制制度核心原則6.1.6) | 管理者 | ||
MA 1.1.3-2企業是否定期執行個別評估,以提供客觀之回饋? (資料來源:建立內部控制制度核心原則6.1.7) | 管理者 | ||
MA 1.1.4管理階層對永續資訊相關內部控制所建立之持續評估、個別評估或兩者併行,是否考量到需求和變化驅動因素出現的速度,並據此重新評估現有流程的有效性,且相關評估是否依情況適當調整範圍與頻率? (資料來源:建立內部控制制度核心原則6.1) | 管理者 | ||
MA1.2在員工進行營業活動時,各單位主管如何監督?相關控制點是否被有效遵守? | |||
MA 1.2.1-1各單位主管是否於單位的作業監督文件上複核,以示負責? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
MA 1.2.1-2內部控制制度的設計與執行是否留有紀錄,例如主管複核之證據、留有交易處理的確認紀錄、留有與客戶溝通之紀錄等? (資料來源:建立內部控制制度核心原則5.1.4) | 管理者 | ||
MA-1.2.1-3對提供不正確資訊而導致財務報導錯誤者,甚至於可能影響企業聲譽,企業是否會予以懲處? *(參考法規:公開發行公司建立內部控制制度處理準則第42條) | 管理者 | ||
MA 1.2.2-1員工進行營業活動時,各單位主管是否執行監督工作,以確認相關控制點已被有效地遵循? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者、員工 | ||
MA 1.2.2-2若有作業差異或錯誤,相關文件是否會退回負責之各單位主管進行解釋或更正? (資料來源:建立內部控制制度核心原則6.2.2) | 管理者 | ||
MA 1.2.2-3財務會計部門是否建立詳細的會計科目與權責人員對照表,包括複核及確認各科目餘額之權責人員及其責任? (資料來源:建立內部控制制度核心原則2.3.3) | 管理者 | ||
MA 1.2.2-4稽核單位是否於每會計年度終了前將次一年度稽核計畫及每會計年度終了後2個月內將上一年度之年度稽核計畫執行情形,依規定格式以網際網路資訊系統向主管機關申報備查? *(參考法規:公開發行公司建立內部控制制度處理準則第19條、金管證審字第11103854404號令) | 管理者 | ||
MA 1.2.2-5稽核單位是否於每會計年度終了後5個月內將上一年度內部稽核所見內部控制制度缺失及異常事項改善情形,依規定格式以網際網路資訊系統向主管機關申報備查? *(參考法規:公開發行公司建立內部控制制度處理準則第20條、金管證審字第11103854404號令) | 管理者 | ||
MA 1.3是否藉外界的資訊判斷內部資訊的正確性?如有,如何做? | |||
MA 1.3.1-1 企業是否藉由外界的資訊判斷內部資訊的正確性? (資料來源:建立內部控制制度核心原則5.3.2) | 管理者 | ||
MA 1.3.1-2財務會計部門是否定期取得外部證據,確認總帳科目之正確性,例如銀行對帳單、交易憑單、應收和應付帳款之函證? (資料來源:建立內部控制制度核心原則5.3.2) | 管理者 | ||
MA 1.3.2 從外界資訊內容分析,發現企業之內部資訊為不正確時,管理階層是否重新地評估原本應防止或偵測出該問題的內部控制? (資料來源:建立內部控制制度核心原則6.2) | 管理者 | ||
MA 1.4公司是否定期比對與調節會計紀錄與實際資產? | |||
MA 1.4.1企業是否定期盤點重要資產,例如存貨、現金、有價證券、不動產、廠房及設備等資產,並與其記錄相比較和調節? *(參考法規:公開發行公司建立內部控制制度處理準則第7條) | 管理者 | ||
MA 1.5在各單位進行自行評估時,是否作成書面紀錄?書面紀錄是否完備?主管如何監督? | |||
MA 1.5.1各單位進行內部控制自行評估時,是否作成書面紀錄? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.5.2-1各單位內部控制自行評估的書面紀錄是否完備? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.5.2-2自行評估是否做成工作底稿,併同自行評估報告及相關資料是否至少保存5年? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.5.3-1企業內部控制自行評估每年是否至少1次? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.5.3-2 企業內部控制自行評估之範圍,是否涵蓋公司各類內部控制制度之設計及執行? *(參考法規:公開發行公司建立內部控制制度處理準則第21條) | 管理者 | ||
MA 1.5.3-3 企業是否依風險評估結果,決定內部控制自行評估作業程序及方法? *(參考法規:公開發行公司建立內部控制制度處理準則第21條) | 管理者 | ||
MA 1.5.3-4 內部控制自行評估作業程序及方法是否至少包含(1)確定應進行抽查之控制作業;(2)確認應納入內部控制自行評估之營運單位;(3)評估各項控制作業設計之有效性;(4)評估各項控制作業執行之有效性? *(參考法規:公開發行公司建立內部控制制度處理準則第21條) | 管理者 | ||
MA 1.5.3-5各個單位主管是否覆核該單位人員進行內部控制自行評估的結果? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.5.3-6如有缺失,各單位主管是否檢討缺失原因,並擬訂改善對策? (資料來源:建立內部控制制度核心原則6.2.3) | 管理者 | ||
MA 1.5.3-7 稽核單位是否對各單位內部控制自行評估程序及結果進行獨立驗證,並向董事會、監察人、審計委員會報告結果? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.6公司是否指定專人負責內部稽核的工作?內部稽核人員及其職務代理人之能力及經驗如何?應具備條件及進修時數是否符合主管機關之規定?內部稽核人員及其職務代理人執行業務是否秉持超然獨立之精神,以客觀公正之立場,本誠實信用原則,確實執行其職務?人數是否適當?他們對誰負責?內部稽核人員是否未兼任其他非稽核之工作? | |||
MA 1.6.1-1企業是否指定專人負責內部稽核的工作? *(參考法規:公開發行公司建立內部控制制度處理準則第11條) | 管理者 | ||
MA 1.6.1-2企業是否設置內部稽核人員之職務代理人? *(參考法規:公開發行公司建立內部控制制度處理準則第11條) | 管理者 | ||
MA 1.6.2-1內部稽核人員及其職務代理人的能力、經驗、資格是否符合主管機關之規定? *(參考法規:公開發行公司建立內部控制制度處理準則第11條、金管證審字第10300391322號令) | 管理者 | ||
MA 1.6.2-2內部稽核主管之任免,是否經董事會通過,並於事實發生日之即日起算2日內將異動原因及異動內容,以網際網路資訊系統向主管機關申報備查? *(參考法規:公開發行公司建立內部控制制度處理準則第11條) | 管理者 | ||
MA 1.6.3-1企業是否明訂內部稽核人員及其職務代理人之適任條件? *(參考法規:公開發行公司建立內部控制制度處理準則第11條、金管證審字第10300391322號令) | 管理者 | ||
MA 1.6.3-2內部稽核人員及其職務代理人是否符合主管機關規定持續進修? *(參考法規:公開發行公司建立內部控制制度處理準則第17條、金管證審字第10300391322號令) | 管理者 | ||
MA 1.6.3-3企業是否將內部稽核人員及其職務代理人之姓名、年齡、學歷、經歷、服務年資及所受訓練等資料依規定格式,於每年1月底前以網際網路資訊系統向主管機關申報備查? *(參考法規:公開發行公司建立內部控制制度處理準則第18條、金管證審字第11103854404號令) | 管理者 | ||
MA 1.6.4內部稽核人員及其職務代理人執行業務是否秉持超然獨立之精神,以客觀公正之立場與誠信原則,確實執行其職務? *(參考法規:公開發行公司建立內部控制制度處理準則第16條) | 管理者 | ||
MA 1.6.5依公司規模、營運複雜度等考量,企業內部稽核人員之員額配置是否足夠? *(參考法規:公開發行公司建立內部控制制度處理準則第11條) | 管理者 | ||
MA 1.6.6-1內部稽核單位在組織中是否隸屬於董事會,對董事會負責? *(參考法規:公開發行公司建立內部控制制度處理準則第11條) | 管理者 | ||
MA 1.6.6-2內部稽核主管除定期向監察人、審計委員會報告稽核業務外,是否列席董事會報告? *(參考法規:公開發行公司建立內部控制制度處理準則第16條) | 管理者 | ||
MA 1.6.7負責內部稽核工作的人員,是否未兼任企業其他非稽核之工作? *(參考法規:公開發行公司建立內部控制制度處理準則第11條) | 管理者 | ||
MA 1.7負責稽核工作的人如何執行其稽核任務?他們評估的事項有那些?是否包括複核各單位之內部控制自行評估?多久評估一次?評估的對象是什麼?如何評估?方法是否適當?各項評估是否客觀考量整體內部控制能否達成企業目標? | |||
MA 1.7.1-1 企業是否訂有內部稽核作業規範,建立一致的稽核作業程序,以指導稽核人員執行稽核工作? *(參考法規:公開發行公司建立內部控制制度處理準則第4條) | 管理者 | ||
MA 1.7.1-2年度稽核計畫是否經董事會通過;修正時,亦同? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.2-1內部稽核單位是否評估與企業之治理、營運及資訊系統有關之暴險,包括:
(資料來源:國際內部稽核執業準則2120.A1) | 管理者 | ||
MA 1.7.2-2內部稽核單位年度稽核計畫是否包括評估舞弊發生之可能性? (資料來源:國際內部稽核執業準則2120.A2) | 管理者 | ||
MA 1.7.2-3內部稽核單位年度稽核計畫是否包括評估企業管理舞弊風險能力? (資料來源:國際內部稽核執業準則2120.A2) | 管理者 | ||
MA 1.7.3 稽核單位除依年度稽核計畫執行工作外,是否覆核各單位內部控制自行評估結果? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.7.4除法令規章所規定之稽核頻率外,稽核單位是否依不同風險程度訂定各項作業的稽核週期? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.5-1企業是否將法令規章遵循事項、取得或處分資產、從事衍生性商品交易、資金貸與他人、為他人背書或提供保證之管理及關係人交易之管理等重大財務業務行為之控制作業、對子公司之監督與管理、董事會議事運作之管理、財務報表編製流程之管理,包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計值變動之流程等、資通安全檢查、永續資訊之管理、銷售及收款循環、採購及付款循環等重要營運循環,列為每年年度稽核計畫之稽核項目? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.5-2企業若設有審計委員會及薪資報酬委員會者是否有將其議事運作之管理列入稽核項目? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.6-1企業內部稽核單位是否依風險評估結果擬訂年度稽核計畫? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.6-2稽核單位是否配合風險分析所辨識之企業整體層級目標及作業層級目標風險,對重大風險項目擬訂年度稽核計畫,並經董事會核准後實施? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.7-1企業是否建立文件化的內部稽核作業程序,規定稽核工作執行方式、報告撰寫方式等,供內部稽核人員遵循? *(參考法規:公開發行公司建立內部控制制度處理準則第4條) | 管理者 | ||
MA 1.7.7-2稽核報告是否檢附工作底稿及相關資料? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.7-3稽核報告、工作底稿及相關資料是否至少保存5年? *(參考法規:公開發行公司建立內部控制制度處理準則第13條) | 管理者 | ||
MA 1.7.8各項內部稽核評估是否客觀考量整體內部控制能否達成企業目標? *(參考法規:公開發行公司建立內部控制制度處理準則第10條) | 管理者 | ||
MA 1.7.9企業是否評估執行獨立確信或查證之第三方機構成員的適任性? *(參考法規:上市公司編製與申報永續報告書作業辦法第5條、上櫃公司編製與申報永續報告書作業辦法第5條、上市上櫃公司永續報告書確信機構管理要點) | 管理者 | ||
MA 1.8評估的結果是否作成書面紀錄?書面紀錄是否完備?何人使用這些書面紀錄?管理階層是否適時收到內部控制有效性之回饋? | |||
MA 1.8.1 內部稽核所採用的內部控制評估流程,包括風險評估到內部控制評估結果報告以及缺失改善追蹤,是否全部作成書面紀錄? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 1.8.2內部控制評估結果報告的書面紀錄是否完備? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 1.8.3-1 前述書面紀錄是否提供予董事會、監察人(或獨立董事)、審計委員會等管理階層及會計師使用? *(參考法規:公開發行公司建立內部控制制度處理準則第15條) | 管理者 | ||
MA 1.8.3-2 其他單位如欲使用前述書面紀錄,是否須徵得適當層級主管的同意後才可使用? (資料來源:建立內部控制制度核心原則5.2.2) | 管理者 | ||
MA 1.8.4 管理階層是否適時收到稽核單位對內部控制有效性之回饋意見? (資料來源:建立內部控制制度核心原則6.1.7) | 管理者 | ||
MA 1.9管理階層對內、外部稽核所提建議的態度如何? | |||
MA 1.9.1-1 管理階層對內部稽核、外部會計師所提出之內部控制建議事項,是否於次期追蹤改善情形? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 1.9.1-2 內部稽核主管是否建立一套追蹤程序,以監控及確保管理階層業已採取有效之行動或高階管理階層業已接受不採取行動之風險? (資料來源:國際內部稽核執業準則2500.A1) | 管理者 | ||
MA 2對於所發現之內部控制制度缺失,應向適當層級之管理階層、董事會及監察人(或審計委員會)溝通,並及時改善。 | |||
MA 2.1已辨認的內部控制缺失是否向適當層級之管理階層、董事會及監察人(或審計委員會)溝通或報告?須多快?內容多詳細? | |||
MA 2.1.1-1已辨認的內部控制缺失是否向適當層級之管理階層、董事會及監察人(或審計委員會)溝通或報告? (資料來源:建立內部控制制度核心原則6.2) | 管理者 | ||
MA 2.1.1-2各個單位內部控制缺失的報告對象,是否為缺失所發生的作業單位之直接主管及至少高一階之主管? (資料來源:建立內部控制制度核心原則6.2.2) | 管理者 | ||
MA 2.1.1-3對於內部控制缺失檢討之座談會議記錄,是否提董事會、監察人、審計委員會報告? (資料來源:上市上櫃公司治理實務守則第3條) | 管理者 | ||
MA 2.1.2-1當內部控制出現缺失時,企業是否規定需在一定時間內提出內部控制缺失報告? *(參考法規:公開發行公司建立內部控制制度處理準則第15條) | 管理者 | ||
MA 2.1.2-2內部稽核人員如發現重大違規情事或企業有受重大損害之虞時,是否立即作成報告陳核,並通知董事會、監察人、審計委員會等單位? *(參考法規:公開發行公司建立內部控制制度處理準則第14條、第15條) | 管理者 | ||
MA 2.1.3企業是否規定內部控制缺失報告之內容項目? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 2.1.4已辨認之永續資訊相關內部控制缺失是否及時向適當層級之管理階層、董事會及監察人(或審計委員會)溝通或報告? *(參考法規:公開發行公司建立內部控制制度處理準則第14條、第15條) | 管理者 | ||
MA 2.2管理階層、董事會及監察人(或審計委員會)是否分析處理評估結果?缺失報告之後,有無定期進行追蹤?缺失是否及時改善?是否持續監督至改善為止? | |||
MA 2.2.1管理階層、董事會及監察人(或審計委員會)是否分析及處理內部控制缺失報告? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 2.2.2-1管理階層、董事會及監察人(或審計委員會)針對內部控制缺失報告,是否定期進行追蹤改善行動? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 2.2.2-2企業是否就所發現之內部控制缺失、異常事項及改善情形,列為各部門績效考核之重要項目? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 2.2.3-1企業針對內部控制缺失報告所提之內部控制缺失,是否有及時改善行動? (資料來源:建立內部控制制度核心原則6.2.3) | 管理者 | ||
MA 2.2.3-2內部控制缺失未確實改善者,管理階層是否會對相關主管及人員依企業規定進行懲處? *(參考法規:公開發行公司建立內部控制制度處理準則第42條) | 管理者 | ||
MA 2.2.4-1內部稽核主管是否建立並維持監控制度,以追蹤管理階層針對內部控制自行評估所發現之缺失改善情形? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 2.2.4-2內部稽核人員於發現內部控制缺失時,是否會與權責單位溝通,並註明預定改善日期,利於日後執行後續追蹤? *(參考法規:公開發行公司建立內部控制制度處理準則第14條) | 管理者 | ||
MA 2.2.5企業是否評估及處理永續資訊相關內部控制缺失? (資料來源:建立內部控制制度核心原則6.2.1) | 管理者 | ||
MA 2.2.6企業是否就前述缺失建立監督改善行動?(例如:向管理階層、董事會及監察人(或審計委員會)報告缺失之後,缺失是否於時效內改善?管理階層有無定期進行追蹤?管理階層、董事會及監察人(或審計委員會)是否持續監督至缺失改善為止?) (資料來源:建立內部控制制度核心原則6.2.3) | 管理者 | ||
MA 2.3內控聲明書是否據實報導公司內控設計及執行有效性之情況? | |||
MA 2.3.1-1董事會、監察人、審計委員會是否定期覆核內部稽核報告,並視情況需要指示稽核人員執行額外之稽核作業? *(參考法規:公開發行公司建立內部控制制度處理準則第15條) | 管理者 | ||
MA 2.3.1-2董事長及總經理於簽署內部控制制度聲明書前,是否會確認重大風險對應之內部控制制度設計與執行的缺失,已於年度終了前改善完畢,或說明無法改善的理由? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 2.3.1-3董事長及總經理是否依內部稽核報告、內部控制自行評估結果及內部控制缺失改善狀況,簽署適當之內部控制制度聲明書? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 2.3.1-4內部控制制度聲明書是否據實報導公司內部控制設計及執行有效性之情況? *(參考法規:公開發行公司建立內部控制制度處理準則第22條) | 管理者 | ||
MA 2.3.1-5內部控制制度聲明書是否須先經董事會通過後公布? *(參考法規:公開發行公司建立內部控制制度處理準則第24條) | 管理者 | ||
MA 2.3.1-6內部控制制度聲明書是否依規定刊登於年報、公開說明書及公開資訊觀測站揭露? *(參考法規:公開發行公司建立內部控制制度處理準則第24條) | 管理者 | ||
MA 2.3.1-7公開發行公司是否依規定格式作成內部控制制度聲明書,除主管機關另有規定者外,應於每年度終了後3個月內於指定網站辦理公告申報? *(參考法規:證券交易法第14-1條、公開發行公司建立內部控制制度處理準則第24條、金管證審字第1020021398號令) | 管理者 | ||