內部控制制度有效性判斷參考項目
本份內部控制制度有效性判斷參考項目,係以金管會現行判斷項目為基本架構,參考我國相關法令規定、美國沙賓法案第302、404條款、新版COSO內部控制整合架構、國際內部稽核協會(IIA)內部稽核執業準則及國際財務報導準則(IFRS)等均納入考量。每一個判斷參考項目的問題以「是/否/不適用」讓評估者填寫,並要求要註明評估者身份(姓名),還要標明工作底稿索引,甚至於需要提供佐證資料,以便有利於單位主管、內部稽核、管理階層、會計師等的內部控制有效性審查工作。
上市櫃公司可依此份文件,將適當題目給董事會成員、經理人、一般員工來分別填寫,每人每年至少填寫一份適當題目的問卷(可採用電子問卷),並經內部稽核人員查核資料屬實後,整理出全公司的年度整體問卷結果與相關報告,再呈報給高階主管和董事會參考。本份內部控制制度有效性判斷參考項目,可作為董事會通過年度内部控制聲明書的主要佐證參考文件,以示負責建立和維護可靠財務報導的有效內部控制制度。各公司可參考本範例,再依公司實際情況訂定自己適用的內部控制判斷參考項目,可分為公司整體層級版本和適當於各個單位的作業層級版本。(說明:藍字部分代表新增的判斷參考項目,除了標示*者為法令明文規定須遵守之項目外,其餘可由公司依據各自規模大小、產業性質、風險程度及複雜性等自行判斷及規劃。)
現行判斷項目 | 參考項目(法令、規定、範例) | 評估結果 | ||
是/否/不適用 | 評估者 | 佐證資料 | ||
壹、控制環境 | 壹、控制環境 | |||
一、操守及價值觀 1.公司是否訂有員工行為守則或類似規範?如有,該規範是否完備、及告知每位員工瞭解及落實執行?如無,企業文化是否強調操守的重要性? | 一、操守及價值觀 1.1.1公司是否訂定員工的行為守則或類似規範? 1.1.2公司是否訂定誠信經營守則或類似規範?(參考法規:誠信經營守則第1條、公開發行公司年報應行記載事項準則第10條、公司法第23條)* 1.1.3公司是否訂定企業社會責任實務守則或類似規範?(參考法規:企業社會責任實務守則第1條、公開發行公司年報應行記載事項準則第10 條)* 1.1.4公司針對個人資料之蒐集、處理及利用是否訂有書面化之規範?(參考法規:個人資料保護法第1條)* 1.2.1公司所訂定之員工行為守則或類似規範是否完備?所謂完備係指需列明利益衝突、保密責任、誠信原則、遵循法令、保護並適當地使用公司資產等條款。 1.2.2個人資料之蒐集、處理或利用,是否尊重當事人之權益,並促進個人資料之合理利用,以避免人格權受侵害?(參考法規:個人資料保護法第1條)* 1.3 公司之員工行為守則或類似規範制定及修正時,是否經過董事會通過及提報股東會後施行,並公布在適當地方,以便讓組織成員獲悉? 1.4 公司是否定期針對員工行為守則的內容與相關人員作有效溝通?溝通方法包括透過員工手冊、政策手冊、內部網路或其他方法等。 1.5 公司若未訂定員工行為守則或類似規範,是否經常向組織成員宣導企業文化並且強調操守的重要性? 1.6 前開員工行為守則或類似規範,是否在年報、公開說明書及公開資訊觀測站揭露? | |||
2.董事、監察人(或獨立董事)及經理人在與員工、供應商、投資人、債權人、競爭對手及委任律師和會計師等往來時,其行為是否基於公司要求之道德標準? | 2.1 公司是否訂定董事、監察人(或獨立董事)、經理人,以及其他有為公司管理事務及有權簽名之人等管理階層之道德行為準則或類似規範? 2.2.1董事、監察人(或獨立董事)及經理人之道德行為準則制定及修正時,是否經過董事會通過及提報股東會後施行,並公布在適當地方,以便讓組織成員獲悉?(參考法規:上市上櫃公司訂定道德行為準則參考範例)* 2.2.2前開道德行為準則或類似規範,是否在年報、公開說明書及公開資訊觀測站揭露? 2.3 董事、監察人(或獨立董事)及經理人之道德行為準則是否符合「上市上櫃公司訂定道德行為準則參考範例」之內容? 2.4 公司所訂定之道德行為準則是否有明文規定可豁免董事、監察人(或獨立董事)、經理人遵循公司之道德行為準則?(參考法規:上市上櫃公司訂定道德行為準則參考範例)* 2.5 此準則豁免適用程序制定及修正時,是否經由董事會決議通過?(參考法規:上市上櫃公司訂定道德行為準則參考範例)* 2.6 公司於公開資訊觀站是否揭露依「上市上櫃公司訂定道德行為準則參考範例」所規定豁免適用程序之揭露內容?(參考法規:上市上櫃公司訂定道德行為準則參考範例)* 2.7 董事、監察人(或獨立董事)及經理人或組織內具有重大影響力的人員,在與供應商、顧客、投資人、債權人、競爭對手、主要往來銀行、委任律師及會計師等重要利害關係人往來時,是否有監督機制來控管其行為,以確認其符合公司之道德行為準則?(參考法規:上市上櫃公司治理實務守則第16條) | |||
3.當員工違反既定政策及程序時,如何補救?如何處罰? | 3.1 公司是否訂有員工違反既定政策及程序之處罰條款? 3.2員工違反既定政策及程序時,公司是否採行補救措施? 3.3 員工違反既定政策及程序時,公司是否執行處罰條款? 3.4 公司對既定政策及程序的監督,是否有權責單位來執行? 3.5 公司是否訂定鼓勵員工呈報違反法令規章或道德行為準則等情事之流程或機制? 3.6 該流程機制是否訂有適當保護呈報者安全的措施,使其免於遭受報復? | |||
4.董事、監察人(或獨立董事)及經理人踰越既定控制程序時,是否被記錄及調查? | 4.1.1公司是否訂有明確之核決權限表,可明確地判斷是否有踰越職權之情事? 4.1.2核決權限表制定與修正時,是否經董事會或其他授權單位核准通過? 4.2 公司是否有將管理階層發生踰越既定控制程序,予以記錄及調查? 4.3.1公司是否建立舉報管道專線處理程序及報導系統之相關規定,可明確地判斷是否有越級報導之情事?(參考來源:新COSO原則17) 4.3.2公司的舉報管道專線處理程序及報導系統之相關規定,是否由董事會監督及適當的授權以達成目標?(參考來源:新COSO原則2) 4.3.3公司的舉報管道專線處理程序及報導系統之相關規定於制定與修正時,是否經董事會或其他授權單位核准通過?(參考來源:新COSO原則3) | |||
5.管理階層期待某些短期目標之達成,以獲取報酬之程度如何?員工是否受到達成某些不切實際短期目標的壓力?他們的報酬繫於這些目標達成之程度如何? | 5.1 公司於一年內是否發生管理階層因達成短期目標而獲得獎酬? 5.2 公司於一年內是否發生員工因達成短期目標而獲得獎酬? 5.3 公司是否訂有管理階層和員工短期目標達成之配套補助及獎酬辦法? 5.4 管理階層或員工是否有面臨短期目標的壓力? 5.5 管理階層和員工的績效考核是否與所列之短期目標達成程度相關? | |||
二、執行之能力 1.是否訂有明確的職務說明書?如無,經理人如何告訴員工他們須執行的工作有那些? | 二、執行之能力 1.1 公司每一職務是否訂有職務說明書? 1.2 公司每一職務說明書是否詳列職位資格要求、職務內容及核決權限等項目? 1.3 職務說明書是否定期更新,以確定與實際工作內容相符? 1.4 公司如未訂有職務說明書,經理人是否已定期告知員工所須執行的工作項目? 1.5 公司對每一職務資格條件是否每年檢查有無發生公司法第30條所列「經理人消極資格」各款情事等事項?(參考法規:上市上櫃公司治理實務守則第42條、公司法第30條)* | |||
2.各重要主管之知識及經驗如何?履行責任之能力如何?是否分析負責某特定工作需具備那些知識及技能?如何分析?是否定期評估及維持擔任各重要職務所需之能力? | 2.1 各個單位管理階層工作所需知識及技能,是否符合職務說明書需求或公司其他規定? 2.2 公司是否定期檢視各個特定工作所需具備知識及技能的適用性? 2.3 公司是否定期評估各重要職務所需能力要求的適用性? 2.4 公司是否定期安排相關內部或外部持續進修的訓練課程,以維持擔任各重要職務(如董事、監察人、獨立董事、經理人等)所需之能力?(參考法規:上市上櫃公司治理實務守則第40、50條,發行人證券商證券交易所會計主管資格條件及專業進修辦法第10條)* | |||
3.公司是否聘任具備財務報導能力之人員? | 3.1 會計部門是否聘任具備編製財務報表能力之人員? 3.2 財務部門和會計部門的主要主管之任用資格,是否明訂在該職位的職務說明書中? 3.3 財務部門和會計部門是否每年定期檢討該部門各個職務所需具備的專業知識和能力? 3.4.1財務主管的任免是否要經公司董事會決議通過,以及要求公司按程序檢核財務主管之資歷? 3.4.2公司是否要求財務主管於年度內須進修一定時數之專業課程? 3.4.3會計主管的任用資格是否符合相關法令要求? 3.4.4會計主管年度進修最低時數,是否符合相關法令要求?(參考法規:發行人證券商證券交易所會計主管資格條件及專業進修辦法第3條、第4條、第6條)* | |||
三、股東會、董事會、監察人(或獨立董事)及審計委員會 1.董事會之召集,議事內容及作業程序是否符合相關規定? | 三、股東會、董事會、監察人(或獨立董事)及審計委員會 1.1 董事會執行業務是否依照法令章程及股東會之決議,明訂董事會被授權行使董事會職權之授權層級、內容或事項,以及不得概括授權的項目?(參考法規:公司法第193條第1項)* 1.2 公司是否已依「公開發行公司董事會議事辦法」訂定董事會議事規範?(參考法規:公開發行公司董事會議事辦法第2條)* 1.3 董事對於董事會所列議案如涉有董事本身利害關係致損及公司利益之虞時,是否自行迴避? 1.4 公司是否至少每季召開一次董事會?(參考法規:公開發行公司董事會議事辦法第3條第1項)* 1.5 公司每位獨立董事對於證券交易法第14條之3應經董事會決議事項,是否親自出席或委由其他獨立董事代理出席? 1.6 公司董事會之召集通知書是否載明召集事由,於會議7日(從通知之翌日起算至開會前1日滿7日)前通知各董事及監察人(或獨立董事),並提供足夠之會議資料,與召集通知書一併寄送?(參考法規:公司法第204條)* 1.7 獨立董事如有反對意見或保留意見,是否已於董事會議事錄載明?(參考法規:證券交易法第14-3條)* 1.8.1公司是否依規定召集股東會,並制定完備之議事規則?(參考法規:上市上櫃公司治理實務守則第5條、公司法第182-1條)* 1.8.2股東會議事錄是否記載依公司法及相關法令規定所應載明之事項?(參考法規:上市上櫃公司治理實務守則第8條、公司法第183條)* 1.8.3股東會議事錄在公司存續期間是否永久妥善保存?(參考法規:上市上櫃公司治理實務守則第8條、公司法第183條)* 1.8.4公司是否設有網站充分揭露股東會議事錄?(參考法規:上市上櫃公司治理實務守則第8條、公司法第183條)* 1.8.5取得或處分資產,資金貸與及背書保證等重大財務業務行為,公司是否依法令規定辦理,訂定相關作業程序提報股東會通過?(參考法規:上市上櫃公司治理實務守則第12條、公司法第185條)* 1.9.1董事會的會議決議事項經獨立董事反對或保留意見且有紀錄或書面聲明者(設置獨立董事者始適用);或未經審計委員會通過,而經全體董事三分之二以上同意者(設置審計委員會者始適用),是否在董事會開會日起2日內,於主管機關指定之資訊申報網站辦理公告申報? 1.9.2董事會之開會過程是否全程錄音或錄影,其保存得以電子方式為之,並至少保存5年?(參考法規:公開發行公司董事會議事辦法第18條第1項)* 1.9.3以視訊會議召開董事會者,其會議錄音、錄影資料是否為議事錄之一部分,並於公司存續期間妥善保存?(參考法規:公開發行公司董事會議事辦法第18條第3項)* 1.10公司董事會是否指定辦理議事事務單位,負責相關董事會會議事務? (參考法規:誠信經營守則第14條、公開發行公司董事會議事辦法第2條、公司法第183條、公司法第207條)* 1.11公司董事會是否有盡善良管理人之注意義務,督促公司防止不誠信行為,並隨時檢討其實施成效及持續改進,確保誠信經營政策之落實? (參考法規:誠信經營守則第14條) | |||
2.已設置審計委員會者,是否至少有一位成員具有會計或財務專長的背景? | 2.1 公司是否已設置審計委員會?(參考法規:證券交易法第14-4條第1項)* 2.2 審計委員會成員是否由全體獨立董事組成,其人數不得少於三人,且其中一人為召集人?(參考法規:證券交易法第14-4條第2項)* 2.3 審計委員會成員是否至少一人具備會計或財務專長?(參考法規:證券交易法第14-4條第2項)* 2.4 公司是否依相關法令訂定審計委員會組織章程? 2.5 審計委員會是否依證券交易法第14條之5第1項規定辦理相關職權事項(如訂定或修正內部控制制度、重大之資產或衍生性商品交易、年度財務報告及半年度財務報告等),以及與會計師溝通其於查核過程中發現之異常或缺失事項與所提具體改善或防弊意見?(參考法規:證券交易法第14-5條第1項)* 2.6 審計委員會是否與內部稽核和外部審計工作人員定期會面,並且討論與內部稽核和外部審計相關的查核工作事宜? | |||
3.董事會與經理人間獨立性如何?權責是否明確劃分?董事會是否有一定席次的獨立董事?監察人(或獨立董事)與經理人間獨立性如何? | 3.1.1公司是否設置至少5人以上之適當董事席次?(參考法規:證券交易法第26-3條第1項)* 3.1.2若董事會因故解任而不足5人者,有無於最近一次股東會補選之計畫,但董事缺額達章程定席次三分之一者,有無自事實發生之日起60日內,召開股東臨時會補選之? 3.1.3全體董事、監察人(或獨立董事)合計持股比例是否符合法令規定?(參考法規:上市上櫃公司治理實務守則第21條及41條、公司法197及216條)* 3.1.4各董事、監察人(或獨立董事)股份轉讓之限制、質權之設定或解除及變動情形是否依規定辦理,並充分揭露?(參考法規:上市上櫃公司治理實務守則第21條及41條、公司法197)* | |||
3.1.5公司是否於章程中載明採候選人提名制度選舉董事、監察人(或獨立董事),並就候選人資格條件等進行事先審查?(參考法規:上市上櫃公司治理實務守則第22條及42條、公司法192-1)* 3.2 公司董事間超過半數之席次,是否不具有配偶或二親等以內之親屬關係?(參考法規:證券交易法第26-3條第3項)* 3.3 公司董事長及總經理是否由同一人擔任? 3.4 如董事長及總經理由同一人或互為配偶或一親等親屬擔任,是否增加獨立董事席次? 3.5.1董事會是否訂定相關權責劃分或分層負責作業標準? 3.5.2經理人之職權,是否依照公司章程或契約內容規定?(參考法規:公司法第31條)* | ||||
3.6 董事會是否定期要求經理人提出經營報告,並要求其善盡監督責任和提出建設性建議? 3.7.1公司是否視公司規模、股東結構、業務性質等,依法令規定設置獨立董事席次? 3.7.2獨立董事選舉是否依公司法第192-1條及第198條之規定辦理?(參考法規:上市上櫃公司治理實務守則第24條、公司法192-1、公司法198)* 3.7.3獨立董事因故解任,導致人數不足規定時,是否於最近一次股東會補選之。獨立董事均解任時,是否自事實發生之日起六十日內,召開股東臨時會補選之?(參考法規:上市上櫃公司治理實務守則第24條、公司法203)* 3.8 監察人(或獨立董事)是否未兼任公司董事、經理人或其他職務?(參考法規:公司法第222條)* | ||||
3.9 監察人(或獨立董事)間或監察人(或獨立董事)與董事間是否有至少1席不得具有配偶、二親等以內之親屬關係? 3.10 政府或法人為公開發行公司之股東時,除經主管機關核准者外,是否未由該股東或與其有控制或從屬關係者之代表人同時當選或擔任公司之董事及監察人(或獨立董事)? | ||||
4.董事會、監察人(或獨立董事)、薪資報酬委員會、審計委員會各成員的知識、經驗及教育訓練如何?其組合是否適當? | 4.1 公司董事會的董事、監察人(或獨立董事)、薪資報酬委員會、審計委員會之提名辦法,是否有明文規定該等人員應具備之知識和經驗?(參考法規:上市上櫃公司治理實務守則第40條) 4.2.1公司董事會的董事、監察人(或獨立董事)、薪資報酬委員會、審計委員會成員,於新任時或任期中,是否持續參加進修課程,包括職業道德、行為規範、證券法令、會計、財務、公司治理、風險管理、內部控制、內部稽核等課程?(參考法規:上市上櫃公司治理實務守則第50條) | |||
4.2.2公司董事會是否定期檢視董事、監察人(或獨立董事)、薪資報酬委員會、審計委員會成員的進修情形資訊之有效性? 4.2.3公司是否於年報、公開說明書及公開資訊觀測站揭露董事、監察人(或獨立董事)之進修情形資訊? 4.3 公司董事會的董事、監察人(或獨立董事)、薪資報酬委員會、審計委員會成員的背景與專業能力,是否與公司發展目標相關,並且其組合有助於公司達成發展目標?(參考法規:上市上櫃公司治理實務守則第28-1條) 4.4 對獨立董事成員是否被限制其所能擔任該類職務之公司家數,且兼任其他公開發行公司獨立董事不超過3家?(參考法規:公開發行公司獨立董事設置及應遵循事項辦法第4條)* | ||||
5.董事會成員與財務主管、會計主管及內、外部稽核聯繫的情況如何?提供指導及監督的程度如何?監察人(或獨立董事)、審計委員會與這些人聯繫的情況如何?提供指導及監督的程度如何? | 5.1.1董事會、監察人(或獨立董事)、審計委員會是否定期與財務主管、會計主管、稽核主管、外部審計人員等舉行會議? 5.1.2針對重要議題之會議討論和決議是否作成紀錄? 5.2.1董事會、監察人(或獨立董事)、審計委員會是否定期或不定期,與財務主管、會計主管、稽核主管舉行會議,討論重大財務報導目標、風險及因應之控制程序,覆核財務報導之內容與品質? 5.2.2針對重要議題之會議討論和決議是否作成紀錄? 5.3.1董事會、監察人(或獨立董事)、審計委員會是否與稽核主管舉行會議,討論年度內部稽核計畫、內部稽核報告、內部控制重大缺失? | |||
5.3.2針對重要議題之會議討論和決議是否作成紀錄? 5.4.1董事會、監察人(或獨立董事)、審計委員會是否定期與外部審計人員舉行會議,討論年度查核計畫、查核範圍,以確認涵蓋公司所面臨之重大財務報導風險、財務報導內部控制缺失,並評估外部審計人員之獨立性? 5.4.2會議討論和決議是否作成紀錄? 5.5.1董事會是否定期督導管理階層對重大內部控制缺失進行改善及追蹤? 5.5.2董事會議事錄是否記載下列事項:會議屆次(或年次)及時間地點、主席之姓名、董事出席狀況、列席者之姓名及職稱、紀錄之姓名、報告事項、討論事項、臨時動議及其他應記載事項? | ||||
6.董事、監察人(或獨立董事)、審計委員會獲悉的資訊是否與公司之目標及策略、財務狀況、及經營成果、現金流量、重大合約條款有關?能否用於監督公司之營運?多快獲悉?如何獲悉? | 6.1.1公司是否定期提供董事會、監察人(或獨立董事)、審計委員會與公司之目標及策略、財務狀況、經營成果、現金流量、重大合約條款有關的營運和財務資訊? 6.1.2公司是否依「○○股份有限公司內部重大資訊處理作業程序」參考範例訂定內部重大資訊處理及揭露機制作業程序? 6.1.3前述相關資訊是否有適當控管並依規定限期提供? 6.2董事會、監察人(或獨立董事)、審計委員會的成員,是否至少有三分之ㄧ者具有適當學經歷或與公司營運相關的專業證照,足以行使其專業判斷能力,發揮對公司營運與財務報導之監督功能?(參考法規:公開發行公司獨立董事設置及應遵循事項辦法第2條) | |||
四、管理哲學及經營型態 1.管理階層對承受風險之態度如何? | 四、管理哲學及經營型態 1.1.1公司是否訂定禁止任用管理階層之消極條件,並在管理階層選任條件中,明文規定不得有背信、詐欺、內線交易或不合常規的利益輸送等損害股東權益之行為前科? | |||
1.1.2公司是否建立管理階層繼任計畫,並由董事會定期評估該計畫之發展與執行,以確保永續經營? 1.2 管理階層是否設定並定期檢討風險衡量指標,以明確顯示管理階層對風險之承受程度? 1.3 管理階層對超過風險承受程度的投資計畫,是否採取審慎保守的態度? 1.4 管理階層是否建立和執行有關風險管理的內部控制制度? | ||||
2.管理階層與各單位主管間之互動情形如何? | 2.1 管理階層是否定期與各單位主管討論公司業務進度,並與年度預算做比較? 2.2 管理階層是否訂定子公司或分支機構監督管理辦法?(參考法規:公開發行公司建立內部控制制度處理準則第8條第1項)* 2.3 管理階層是否不定期赴子公司或分支機構,實地監督其作業? | |||
3.在選擇會計政策及形成會計估計時,管理階層的態度如何?揭露重要資訊之意願如何? | 3.1 管理階層在選擇會計準則和形成會計估計時,是否選擇最能反應經濟實質,和最能適當表達及揭露交易之方式,並以不高估資產及收入,或不低估負債及費用為主要考量? 3.2 公司是否指定專人負責重要資訊之蒐集,並依照相關法令辦理資訊揭露工作? | |||
4.管理階層是否設定明確的營運目標、財務報導目標及法令遵循目標? | 4.1 管理階層是否每年進行經營策略分析,分別訂出公司營運、財務報導、法令遵循等三類目標,以提供各單位據以訂立相對應之作業層級目標? 4.2 管理階層是否依據此公司整體層級目標,規劃作業層級內部控制制度,以確保作業層級內部控制制度已涵蓋重大的公司營運、財務報導及法令遵循目標? | |||
五、組織結構 1.組織結構是否配合公司的規模及作業之複雜性而設計?各部門責任分工是否明確?所建立之報告關係,是否有利於管理階層得到適當之資訊? | 五、組織結構 1.1 公司是否明定組織架構圖(組織圖)? 1.2 公司組織圖是否係依公司營運性質、規模、投資架構、各單位權責劃分、報告關係等而設立? 1.3.1公司是否依據組織圖,以明文訂定各單位執掌範圍,以及訂有職務說明書及核決權限表,藉此明確區分各單位、各職務之分工及責任? 1.3.2公開發行公司之內部控制制度,是否明確訂定內部組織架構,並載明經理人之設置、職稱、委任與解任及職權範圍等事項?(參考法規:公開發行公司建立內部控制制度處理準則第5條)* 1.3.3公開發行公司資訊部門與使用者部門是否明確劃分權責,且是否包括下列控制作業: 一、資訊處理部門之功能及職責劃分。 二、系統開發及程式修改之控制。 三、編製系統文書之控制。 四、程式及資料之存取控制。 五、資料輸出入之控制。 六、資料處理之控制。 七、檔案及設備之安全控制。 八、硬體及系統軟體之購置、使用及維護之控制。 九、系統復原計畫制度及測試程序之控制。 一O、資通安全檢查之控制。 一一、向金管會指定網站進行公開資訊申報相關作業之控制。 (參考法規:公開發行公司建立內部控制制度處理準則第9條)* 1.4 公司是否依據組織圖明確列示出各單位與管理階層的呈報管道,以有利於管理階層能即時地得到適當之資訊? 1.5 管理階層對於做決策所須的資訊是否可以及時地取得,且資訊在提供給管理階層前,經過覆核程序以確認其正確性? | |||
2.組織結構因應產業或業務等改變的彈性、意願及速度如何? | 2.1 公司組織架構圖是否具備因應內外在因素改變(如法令規定、經營環境、公司策略、人力資源、生產技術、地理環境、科技發展等)而作調整機制? 2.2 公司是否明文訂定組織架構圖的調整機制及程序? | |||
六、權責之分派 1.權責如何劃分?劃分是否適切?授給員工的權力與其擔負之責任是否相稱?員工人數是否足夠? | 六.權責之分派 1.1 組織是否訂有各單位分層負責表和核決權限表? 1.2 授給員工的權力與其擔負之責任,是否配合分層負責表和核決權限表? 1.3 資訊系統權限是否定期覆核,以確認所開放之權限與該員工之職務相關? 1.4 任何一項交易之處理流程,從提出申請、核決、執行、紀錄、到保管的程序,是否非全部由同一員工負責? | |||
1.6 每個職務是否備有書面職務代理辦法,且職能上應分工者,不得互為代理人? 1.7 各單位主管是否視所屬員工之工作負荷分配工作;必要時,增加人力以維持工作品質? 1.8 員工工作是否無閒置時間過長的現象? 1.9 員工是否無過度加班的現象? | ||||
2.管理階層是否對內部控制負責,包括建立、實施及維護有效運作的內部控制制度? | 2.1.1管理階層是否以書面建立可達成營運效率效果、財務報導可靠性、法令遵循等目標之內部控制制度(含內部稽核實施細則),並呈報董事會核准後實施? (參考法規:公開發行公司建立內部控制制度處理準則第3條、第4條)* 2.1.2內部稽核實施細則是否包括下列項目: 一、對內部控制制度進行檢查,以衡量現行政策、程序之有效性及遵循程度與其對各項營運活動之影響。 二、釐定稽核項目、時間、程序及方法。 (參考法規:公開發行公司建立內部控制制度處理準則第12條)* 2.2 管理階層對內部控制的重大改變或其他影響(如法令變更、增加新業務、面臨新風險等),是否提出重大缺失及改正建議,並呈報董事會核准後實施? 2.3 公司是否訂有對子公司的內部控制制度?(參考法規:公開發行公司建立內部控制制度處理準則第38條)* 2.4.1公司於財務報告發布前,是否評估過內部控制的有效性? 2.4.2公司於年度財務報表發佈日的120天前,是否評估過內部控制的有效性? 2.5 公司是否將內部控制公告,讓所有員工知悉,並傳達落實內部控制制度之態度? 2.6 各階層主管是否負責監督其管轄的所有員工,以確認員工瞭解達到營運效率效果、財務報導可靠性、法令遵循等目標的責任,並且遵循內部控制政策和程序? | |||
3.負責資訊處理、財務、會計及稽核職能的員工,人數及教育訓練是否足夠? | 3.1 針對負責資訊處理、財務、會計及稽核職能的人員,公司是否建立教育訓練計畫,包括職前訓練、在職訓練等計畫,並且指派適當的員工參加工作所須知識技能的課程? 3.2 針對負責資訊處理、財務、會計及稽核職能的人員,公司是否訂有每位人員年度教育訓練最低時數要求? 3.3 公司教育訓練計畫是否每年定期舉辦? 3.4 公司是否訂有員工教育訓練課程意見調查表? | |||
七、人力資源之政策與實行 1.如何聘僱員工?如何調查員工之背景?如何訓練員工? | 七.人力資源之政策與實行 1.1 公司是否設有人事單位或人力資源部門? 1.2 公司是否訂有員工招募及任用之辦法,以具體書面規範各職務所應具備之知識及技能,確保所招募人員皆能符合公司需求? 1.3 公司新進或晉升員工時,甄試人員是否對候選人進行背景調查,其項目包括學歷、工作經驗、過去專業上之成就及具備誠信與道德觀等? 1.4 背景調查資料是否由人事單位或人力資源部門歸檔並妥善保存? 1.5 公司是否定期舉辦教育訓練計畫,包括職前訓練、在職訓練,並且指派適當的員工參加工作所須知識技能的課程?(參考法規:證券商負責人與業務人員管理規則第15條)* 1.6 新進人員和現有人員是否參加教育訓練? 1.7 公司是否訂有每位員工年度教育訓練最低時數要求? 1.8 公司是否訂有鼓勵員工參與教育訓練之獎勵措施? 1.9 主要財務報導職位人員的招募及留任,是否受誠信原則及與職務專業能力要求所規範? | |||
2.員工升遷及薪酬的政策如何?員工的留任及晉升與其績效間的關係如何?如何蒐集用以評估員工績效的資訊?員工的留任及晉升與行為守則間的關係如何?如何蒐集該等資訊? | 2.1 公司是否具有策略或措施用以吸引和留住適任的人才,以助於達成其營運目標?(參考來源:新COSO原則4) 2.2公司是否明文訂定員工升遷及薪酬政策,並公告員工周知? 2.3公司是否明文訂定員工績效考核標準,並公告員工周知? 2.4員工升遷及薪酬政策是否有排除可能違反員工行為守則之誘因(例如過度強調業務績效)? 2.5公司是否每年執行員工績效考核? 2.6員工績效考核之結果是否納入升遷之評核標準? 2.7員工績效考核資料是否存於個人檔案中,並妥善保存? 2.8績效考核主管是否定期與員工面談,檢討其工作績效,及將考核結果回饋予員工? | |||
3.向董事會、監察人(或獨立董事)、薪資報酬委員會、審計委員會負責之員工,其任免及俸給如何決定? | 3.1 公司負責董事會、監察人(或獨立董事)、薪資報酬委員會、審計委員會的工作之各個單位員工,是否訂有不同的任免及俸給制度? 3.2 公司負責董事會、監察人(或獨立董事)、薪資報酬委員會、審計委員會的工作之各個單位員工的任免及俸給,是否依上開制度執行? 3.3 公司負責董事會、監察人(或獨立董事)、薪資報酬委員會、審計委員會的工作之各個單位員工,在執行任免及俸給時,相關文件資料是否妥善保存? | |||
4.公司的薪酬計畫,包括最高管理階層部分,如何制訂? | 4.1 公司薪酬制度所考量項目是否與公司之經營績效、經營風險及股東價值相關? 4.2 公司薪酬制度所考量項目,如有違反員工行為守則時,是否作適當調整? 4.3.1公司對於管理階層之薪酬計畫,是否依據公司薪酬制度,而有明確的薪酬標準? 4.3.2董事、監察人(或獨立董事)、經理人之酬金是否依據公開發行公司年報應行記載事項準則揭露相關訊息? 4.4 董事、監察人(或獨立董事)、經理人、會計主管及稽核主管之薪酬計畫,是否經薪資報酬委員會與董事會討論? 4.5 公司員工的薪酬計畫是否依據公司薪酬制度,而明確訂定於人事規章中? 4.6 公司是否確實依規執行員工薪酬計畫? | |||
貳、風險評估 一、公司整體目標之制訂 1.公司所訂定之整體目標是否充分顯示公司想要達到的目標? | 貳、風險評估 一、公司整體目標之制訂 1.1 公司所訂定之整體目標是否充分顯示董事會想要達到的目標,亦即可成為公司策略目標、營運計畫及年度預算的編製基礎? 1.2 公司所訂定之整體目標是否以風險為基礎,並充分考量公司整體所能承受之風險程度,以決定符合機構目標之計畫項目執行優先順序?(參考來源:新COSO原則6及7) | |||
2.公司整體目標是否有效地在組織內傳達? | 2.1 公司整體目標是否清楚地傳達給管理階層及員工,並確認整體目標已被遵循? | |||
3.公司策略如何訂定?公司策略與整體目標間的關係如何? | 3.1 公司對新策略目標之設定,是否要經過一定流程,以確保與現行公司整體目標一致? 3.2 公司對既有策略目標是否定期檢視,以確保既有策略目標與現行公司整體目標一致? | |||
4.公司計畫、預算如何訂定?其與整體目標、策略間的關係如何?在目前情況下,這些目標是否合理?是否可行? | 4.1 公司是否訂有年度營運計畫和年度預算? 4.2 董事會是否覆核管理階層提出之年度營運計畫與年度預算,並且確認其與整體目標相連結? 4.3 如營運計畫無法達成或有重大差異時,管理階層是否執行分析檢討,並根據新資訊,以及時更新營運計畫和年度預算? 4.4 如營運計畫無法達成或有重大差異時,董事會是否覆核管理階層更新後的營運計畫和年度預算? | |||
二、作業層級目標之制訂 1.作業層級目標如何訂定?其與公司整體目標及策略間的關係如何?明確程度如何?與營業過程間之攸關程度如何? | 二、作業層級目標之制訂 1.1 各個單位是否依據公司整體目標而訂定作業層級目標? 1.2 作業層級目標是否與公司整體目標相連結,並促使公司整體目標之達成,且各作業層級目標之間,應彼此攸關且不相衝突? 1.3 單位主管是否辨識影響作業層級目標達成的關鍵因素,並定期評估各單位主要作業目標之達成情形? 1.4 單位主管是否定期將各單位主要作業目標之達成評估報告呈報管理階層? 1.5 管理階層是否定期追蹤並考核各作業層級目標的達成情形?(參考法規:上市上櫃公司治理實務守則第36條、公開發行公司建立內部控制制度處理準則10條)* 1.6 各個作業層級目標的達成情形與原定目標有重大差異時,是否要求管理階層嚴格檢討? | |||
2.管理階層是否對財務報導目標訂有充分之說明及標準,以促使可靠財務報導風險之辨識? | 2.1 管理階層是否明確定義各項財務報導聲明,聲明項目包括完整性(Completeness)、存在性(Existence)、正確性(Accuracy)、評價(Valuation)、權利與義務(Obligation and rights)、表達與揭露(Presentation and disclosure)等項目,及符合財務報導準則與主管機關有關財務報導規定之目標? 2.2 管理階層所定義的各項財務報導聲明,是否足以辨識與財務報導有關的風險? | |||
三、風險之管理 1.引發公司整體風險(包括舞弊風險)的公司內外部因素有那些?如何辨識?每一種因素發生的可能性有多大?發生的後果或影響有多嚴重? | 三、風險之管理 1.1 針對公司層級及主要營運作業,公司是否建立機制以評估內外部因素所引起的風險? 1.2 公司層級的風險辨識是否將內、外部事件可能引發之風險,包括影響目標無法達成之風險、財務報導風險、法令遵循風險、舞弊風險、非例行交易可能引發之風險等,皆納入考量,並將已辨識的風險會適當地傳達給相關人員? 1.3 針對既定易生舞弊情事之作業活動,該作業活動是否有充分之職能分工,以降低舞弊之風險? 1.4 公司是否有文件化之風險評估彙總表,列示每項風險之潛在影響程度與發生之可能性,包括估計其可改善之成本與績效評量? 1.5 針對公司整體層級及主要營運作業,風險評估流程是否為持續進行的作業,而非僅為一次的作業? | |||
2.引發作業層級風險(包括舞弊風險)的內外部因素有那些?如何辨識?每一種因素發生的可能性有多大?發生的後果或影響有多嚴重? | 2.1 針對作業層級及其營運作業,作業層級是否具有機制,以評估內外部因素所引起的風險? 2.2 作業層級的風險辨識是否將內外部事件可能引發之風險,包括影響作業層級目標無法達成之風險、財務報導風險、法令遵循風險、舞弊風險、非例行交易可能引發之風險等,皆納入考量,並將已辨識的風險適當地傳達給相關人員? 2.3 針對既定易生舞弊情事之作業活動,該作業活動是否有充分之職能分工,以降低舞弊之風險? 2.4 作業層級是否有文件化之風險評估彙總表,列示每項風險之潛在影響程度與發生之可能性,包括估計其可改善之成本與績效評量? 2.5 針對作業層級及其營運作業,風險評估流程是否為持續進行的作業,而非僅為一次的作業? 2.6.1內部稽核單位是否評估風險管理過程之有效性,並對其改善提出建議?(參考來源:IPPF 2120–風險管理) 2.6.2內部稽核單位是否評估舞弊發生之可能性,以及機構管理舞弊風險能力?(參考來源:IPPF 2120.A2 ) 2.6.3內部稽核人員協助管理階層建立或改善風險管理過程時,內部稽核人員是否避免實際管理風險,而承擔管理階層之責任?(參考來源:IPPF 2120.C3 ) | |||
3.是否有機制可以辨識那些可能對公司產生重大影響的改變? | 3.1 公司是否有機制,可以及時地辨識可能產生風險之內外在改變?這些改變可能是營運單位所在之國家發布新會計準則或報告要求、非例行性交易和IT環境改變等直接影響,及營運快速成長、新產品、新供應來源、競爭、擴張海外營運、組織重整等間接影響。 3.2 公司是否有機制,可以及時地依其所辨識議題之重大性,向適當的管理階層和董事會報告,並由公司適當的層級(通常為董事會)負責回應改變所產生的風險與機會? | |||
參、控制作業 1.公司的重大作業是否在成本效益原則下,設有相關的控制政策和程序?是否能有效降低已辨認出來的風險的發生機率與影響程度?設計是否有效?控制政策和程序是否已予執行?執行的效果如何?對違反政策或程序的事件,是否採取適當的行動? | 參、控制作業 1.1 針對公司重要作業,在成本效益考量原則下,管理階層是否針對影響內部控制目標達成所辨識出之風險,與所選擇的風險回應方式,來設計相關控制作業? 1.2.1控制作業的設計是否能確保風險不致超出公司所設定的風險承受度? 1.2.2控制作業的設計與執行若涉及個人資料之蒐集、處理或利用,其範圍或程序及其他應遵行事項是否無違背相關法令?(參考法規:個人資料保護法第6條)* 1.3 作業層級是否定期執行內部控制自行評估,檢查項目包括內部控制設計之有效性(含已辨識出之重大風險是否已建立相關控制程序,建立之控制程序是否可有效降低風險),及內部控制執行之有效性(即設計有效之內部控制程序是否落實)? 1.4作業層級對於自行評估發現之內部控制缺失,是否提出改善方案及期限,並且內部稽核單位應追蹤其改善情形? 1.5對於違反既定之內部控制程序時,公司是否有適當單位進行記錄、調查並懲處的工作? 1.6.1內部稽核單位是否評估各項控制之效果及效率,並促進控制之持續改善,以協助機構維持有效之控制?(參考來源:IPPF 2130–控制) 1.6.2內部稽核主管是否建立並維持監控制度,以追蹤管理階層收受專案報告後之處理情形?(參考來源:IPPF 2500 –進度之監控) | |||
2.以下所列係以製造業為例,各公司應依其內部控制制度(包含已書面化及未書面化)各項控制作業逐項評估之,每一項控制作業其評估過程必須考量內部控制制度各組成要素。公司應依據各項控制作業評估結果,再彙整評估公司整體內部控制制度,方可確保制度之有效性。 (一)銷售及收款循環:包括訂單處理、授信管理、發貨運送、開立銷貨發票、開出帳單、應收帳款及記錄、收款、應收客票、客訴處理等作業。 | 2.1 公司是否依據所屬產業特性和實際營運活動,訂定必要之控制作業? 2.2 每項控制作業的評估過程,是否綜合考量主管機關所訂內部控制制度各組成要素之判斷項目,並且公司得依實際需要增列必要之項目? 2.3 公司評估內部控制制度設計之有效性時,是否著重於內部控制制度整體目標的達成程度? 2.4 此部分係以製造業為例來設計判斷項目。各公司應依其內部控制制度(包含已文件化及未文件化),針對各項控制作業逐項評估之,每一項控制作業評估必須考量內部控制制度各個組成要素。公司可依據下列各項控制作業評估結果,再彙整評估公司整體內部控制制度的有效性。 (一)銷售及收款循環是否包括訂單處理、授信管理、發貨運送、開立銷貨發票、開出帳單和應收帳款記錄、收款或應收客票和兌現、客訴處理等作業? | |||
(二)採購及付款循環:包括請購、採購、驗收、退貨處理、應付供應商負債及記錄、付款、零用金等作業。 | (二)採購及付款循環是否包括請購、採購、驗收、退貨處理、應付供應商負債及記錄、付款、零用金支付等作業? | |||
(三)生產循環:包括擬訂生產計畫、開立用料清單、儲存材料、領料、生產、品管、存貨出入庫、存貨管理及記錄、計算存貨生產成本、計算銷貨成本等作業。 | (三)生產循環是否包括生產計畫、開立用料清單、材料進貨與入庫、領料、生產、品管、成品出入庫、存貨管理及記錄、計算產品生產成本、計算存貨成本、計算銷貨成本等作業? | |||
(四)薪工循環:包括人事資料、人力資源規劃、招募、訓練、考勤、考核、升遷、薪資表編製、薪資發放等作業。 | (四)薪工循環是否包括人事資料建檔和檔案管理、人力資源規劃、招募、訓練、考勤、考核、升遷、薪資計算、薪資發放等作業? | |||
(五)融資循環:包括借款額度審核、借款合約訂定、發行公司債及其他有價證券、還本付息及記錄、抵(質)押及記錄、以及股務處理(例如,股票之發行、過戶、掛失及註銷等作業之授權、執行、記錄暨空白股票之保管)等作業。 | (五)融資循環是否包括借款額度審核、借款合約訂定、發行公司債及其他有價證券、還本付息及記錄、抵(質)押及記錄、以及股務處理(例如,股票之發行、過戶、掛失及註銷等作業之授權、執行、記錄暨空白股票之保管)等作業? | |||
(六)固定資產循環:包括固定資產之取得、增添、處置、報廢、保管及記錄等作業。 | (六)固定資產循環是否包括固定資產之取得、增添、修繕、處置、報廢、保管及記錄等作業? | |||
(七)投資循環:包括有價證券、不動產、衍生性商品及其他投資之決策、買賣、保管、記錄等作業。 | (七)投資循環是否包括有價證券、不動產、衍生性商品及其他投資標的之決策、買賣決策、保管及記錄等作業? | |||
(八)研發循環:包括基礎研究、產品設計、技術研發、產品試作與測試、研發資訊及文件之記錄與保管等作業。 | (八)研發循環是否包括基礎研究、產品設計、技術研發、產品試作與測試、研發資訊相關文件之記錄與保管等作業? | |||
(九)使用電腦化資訊處理作業:包括資訊部門與使用者部門權責之劃分、資訊處理部門之功能及職責劃分、系統開發及程式修改之控制、編製系統文書之控制、程式及資料之存取控制、資料輸出入之控制、資料處理之控制、檔案及設備之安全控制、硬體及系統軟體之購置、使用及維護之控制、系統復原計畫及測試程序之控制、資通安全檢查之控制及向本會指定網站進行公開資訊申報相關作業之控制等作業。 | (九)-1使用電腦化資訊處理作業是否包括資訊部門與使用者部門權責之劃分、資訊處理部門之功能及職責劃分、系統開發及程式修改之控制、編製系統文件之控制、程式及資料之存取控制、資料輸出入之控制、資料處理之控制、檔案及設備之安全控制、硬體及系統軟體之購置、使用及維護之控制、系統復原計畫及測試程序之控制、資通安全檢查之控制及向金管會指定網站進行公開資訊申報相關作業之控制等作業? (九)-2是否確實執行公司訂定之電腦化資訊處理作業? (九)-3保有個人資料檔案者,是否指定專人依公司規定及相關法令規定辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 (九)-4是否制定報廢電腦程序,並確實將硬碟資料銷毁,以避免內部資料外洩。 | |||
(十)印鑑使用管理作業。 | (十)公司是否已制定印鑑使用管理作業規範並落實? | |||
(十一)票據領用管理作業。 | (十一)公司是否已制定票據領用管理作業規範並落實? | |||
(十二)預算管理作業。 | (十二)公司是否已制定預算管理作業規範並落實? | |||
(十三)財產管理作業。 | (十三)公司是否已制定財產管理作業規範並落實? | |||
(十四)背書保證、負債承諾及或有事項管理等作業。 | (十四)公司是否已制定背書保證、負債承諾及或有事項管理等作業規範並落實? | |||
(十五)職務授權及代理人制度作業。 | (十五)公司是否已建立職務授權及代理人制度規範並落實? | |||
(十六)資金貸與他人作業。 | (十六)公司是否已制定資金貸與他人作業規範並落實? | |||
(十七)財務及非財務資訊管理作業。 | (十七)公司是否已制定財務及非財務資訊管理作業規範並落實? | |||
(十八)對子公司監督與管理之控制作業。 | (十八)公司是否定期對子公司進行監督與管理之控制作業規範並落實? | |||
(十九)關係人交易管理作業。 | (十九)公司是否已制定關係人交易管理作業規範並落實? | |||
(二十)財務報表編製流程管理作業。 | (二十)公司是否已制定財務報表編製流程作業規範並落實? | |||
(二十一)董事會議事運作管理作業。 | (二十一)公司是否已制定董事會議事運作管理作業規範並落實? | |||
(二十二)防範內線交易管理作業。(股票已上市或在證券商營業處所買賣之公司適用) | (二十二)公司是否已制定防範內線交易管理相關作業規範並落實? | |||
(二十三)薪資報酬委員會運作之管理。(股票已上市或在證券商營業處所買賣之公司適用) | (二十三)-1是否依規設置薪資報酬委員會,並訂定薪資報酬委員會組織規程? (二十三)-2是否確實執行公司訂定之薪資報酬委員會組織規程? | |||
(二十四)適用國際財務報導準則之管理。 | (二十四)-1適用國際財務報導準則之管理是否訂有包括首次導入及未來採用IFRSs後相關公報變動管理之內部控制及內部稽核制度? (二十四)-2有關首次導入IFRSs的管理部分,是否擬定專案計畫,就影響層面進行評估、導入時程及預計進度的控制點以及法規的依循等相關導入事項進行管理? (二十四)-3有關採用IFRSs後的管理,是否包括因應IFRSs公報變動,在遵循IFRSs規範下,相關控制點及內部控制流程的評估及調整等相關事項? | |||
(二十五)會計專業判斷程序、會計政策與估計變動之流程等。 | (二十五)-1有關「會計專業判斷程序」之內容,是否包括建置專業判斷的內部控制程序,如依公司經營特性對交易事項的本質進行分析與辨認、複核判斷的依據、核准的層級等? (二十五)-2有關「會計政策與估計變動之流程」管理內容,是否包括變更前的分析、影響的評估、流程的控制及決定的層級等相關控制作業項目,以及證券發行人財務報告編製準則第6條所規定之相關書件、流程及方式等? (二十五)-3「會計專業判斷程序、會計政策與估計變動之流程等」管理,是否訂定相對應的稽核作業,評估判斷程序及變動的流程管理是否適當、所包含的範圍與導入時程的控制點是否合理及流程的調整是否適當等? | |||
(二十六)其他作業(上述未涵蓋之作業,公司應視需要自行增列)。 | (二十六)公司是否已制定其他作業規範並落實(上述未涵蓋之作業,公司應視需要自行增列)? | |||
3.公司是否設計與建置適用的資訊科技控制,以支持財務報導目標之達成? | 3.1 公司資訊科技建立程序是否考量與財務報導有關的資訊科技(Information Technology)控制之風險,所需考慮下列屬性無法達成的風險分別列示如下:
| |||
3.2 資訊系統中之存取權限、核決權限是否依職能分工原則設定,以確保財務報導程序無職能衝突,且財務會計記錄是經授權的? 3.3 資訊系統中的自動控制,例如特定檢覈及邏輯運算功能等,是否被運用以有效降低財務報導誤述風險? 3.4內部稽核單位是否評估機構之資訊科技治理能支持機構之策略及目標?(參考來源:IPPF 2110.A2) | ||||
肆、資訊與溝通 一、資訊 1.管理階層是否定期從內、外部收到攸關公司目標達成進度及所面臨風險的可靠資訊以供決策及營運監控之用? | 肆、資訊與溝通 一、資訊 1.1 公司是否具有取得和市場情況、競爭對手走向、法律及規範發展、經濟變化有關的外部訊息之機制,並適時提供給管理階層以供決策之需? 1.2 個別資訊管理人員所收到的管理資訊內容,是否與其職責及權限所規定的內容一致,亦即收到的資訊充分且足夠以作為決策之參考? 1.3 管理資訊可能來自不同系統,其中是否有系統可與財務會計系統的資訊相調節? 1.4 管理階層是否收到經分析整理後的報告資訊? 1.5 上述資訊是否有助於管理階層辨認應採行之行動? | |||
2.當公司目標及相關風險改變或發現內控缺失時,是否重新評估資訊及相關資訊系統的需求? | 2.1 當公司目標及相關風險改變或發現內部控制缺失時,管理階層是否重新評估資訊內容及相關資訊系統的需求? | |||
3.經理人支持設置資訊系統的程度如何?投入的物力若干? | 3.1 管理階層是否參與資訊系統建置和購置決策? 3.2 資訊系統是否設有專人負責維護? 3.3 資訊系統是否定期更換或更新(維護)? 3.4 公司是否訂定資料備份的作業程序及時程? | |||
4.資訊系統是否產生及時、最新及可靠的資訊? | 4.1 針對公司營運和財務相關的重要資訊之提供時間,是否依照管理階層所需資訊之時間來設定合理的提供期限,讓管理階層有充分的時間加以覆核和及時提出問題? 4.2 資訊系統是否產生及時、最新及可靠的資訊,以強化監督之效果? | |||
5.每一控制作業的重要資訊是否被辨識、記錄、使用並以特定方式及於特定時間內傳遞需運用該資訊執行其內控責任之人員? | 5.1 執行每一控制作業或活動之資料是否被完整地、正確地與及時地記錄,並且遵循法令相關規定? 5.2 資訊部門主管是否建立並維護資訊系統權限清單,包括新增、修改、核准、使用及監督等權限,來記錄資訊傳遞流程? 5.3 資訊系統是否可以產生例外性報告,有助於例外狀況之因素分析、解決方案及內部控制更新建議? 5.4 資訊系統之品質是否被定期覆核,評估其可靠性與及時性,以符合公司目標? | |||
6.對屬內部重大資訊,公司是否建立資訊處理之作業程序? | 6.1.1公司對內部重大資訊之處理及揭露,是否已依據有關法令訂定作業程序,以避免資訊不當洩露,並確保對外發表資訊之一致性與正確性? 6.1.2若單位未能遵循有關法令訂定作業程序,而影響機構之整體範圍或作業運作時,內部稽核主管是否適時向高階主管及董事會揭露未遵循之事項及其影響?(參考來源:IPPF1322 –未遵循之揭露) 6.2 公司是否設有管理內部重大資訊之權責單位? 6.3 針對內部重大資訊對外公開作業,公司是否設有能單獨代表公司對外發言者之公司發言人及代理發言人的職務? 6.4 稽核人員是否稽核內部重大資訊處理作業程序遵行情形,並作成稽核報告,且向適當的層級報告? 6.5 公司內部重大資訊,若有達應公告之條件時,是否適時地將訊息內容於公開資訊觀測站揭露? 6.6 以電子郵件或其他電子方式傳送重大資訊之檔案文件時,是否適當的加密或以電子簽章等安全技術處理? 6.7 公司內部重大資訊之檔案文件,是否備份並保存於安全之處所? | |||
二、溝通 1.溝通機制是否充分使組織上下或跨部門資訊之傳達無礙,且溝通機制涵蓋所有工作人員? | 二、溝通 1.1 管理階層是否已建立跨組織的溝通機制,包括各種會議、訓練及工作上的督導等方式? 1.2 管理階層是否定期評估溝通機制的效能及效率,並視需要調整溝通機制? 1.3 溝通機制是否妥適使跨組織之資訊傳達無礙,且溝通機制涵蓋所有工作人員? 1.4 擔負重要營運或財務管理責任的人員,是否均能直接收到由管理階層所發出的清楚訊息? 1.5 內部稽核主管是否能與稽核業務之其他內部及外部服務提供者來分享資訊及協調作業,以確保工作範圍之適當及減少工作之重複?(參考來源:IPPF 2050 –協調) | |||
2.如何告訴員工,歸他們負責的任務有那些?就這些任務,歸他們負責的控制作業有那些?員工瞭解其對達成任務之貢獻度如何? | 2.1 新進員工是否須參加公司舉行之訓練課程,課程應傳達公司目標及員工所負責任務的預期工作目標? 2.2 公司是否告訴所有員工,每一個職務所負責的任務及控制作業? 2.3 員工是否瞭解其任務之預期工作目標? 2.4 公司是否告訴員工有關公司無法接受的個人不當行為? | |||
3.是否具有報告疑似不當行為的溝通管道?當正常管道無法運作或失效時,是否有不同的溝通管道? | 3.1 公司是否具有報告疑似舞弊或不當行為的舉報管道? 3.2 當正常舉報管道無法運作或失效時,公司是否有不同的管道作替代? 3.3 當正常舉報管道無法運作或失效時,公司是否告訴員工可以直接向高階主管反應舞弊或不正當行為,並且員工姓名確定會被保密,以防止報復情事之發生? 3.4 針對員工及外部利害關係人之舉報,公司是否有權責單位彙總及執行後續調查,將其結果以書面紀錄,並根據舉報問題之嚴重性做適當處理? | |||
4.經理人是否願意接納員工的建議? | 4.1 公司的企業文化是否建立鼓勵員工提出改善建議之機制? 4.2 公司對於提出改善建議的員工,是否給予肯定,甚至獎勵? 4.3 管理階層是否願意接納員工的建議? | |||
5.公司內部各部門間如何溝通?資訊傳遞是否完整並及時便於員工履行其職責? | 5.1 公司各部門間是否有既定的溝通機制,以傳達影響公司目標達成的各項資訊? 5.2 各部門主管是否定期舉行會議,並根據收到的資訊來討論影響該事業單位營運之相關議題,並發展相關行動計畫? 5.3 資訊溝通是否正確、客觀、明確、簡潔、具建設性、完整與及時,以便於相關人員履行其職責?(參考來源:IPPF 2420 –溝通之品質) | |||
6.公司是否遵循個人資料保護法之規定,進行規範個人資料之蒐集、處理及利用? | 6.1對於向當事人蒐集的個人資料,是否做到法定應告知當事人的事項?(參考法規:個人資料保護法第8條)* 6.2對於蒐集非由當事人提供之個人資料,是否於處理或利用前,做到法定應告知當事人的事項?(參考法規:個人資料保護法第9條)* 6.3違反個人資料保護法規定,致個人資料被竊取、洩漏、竄改或其它侵害者,是否經查明後以適當方式通知當事人?(參考法規:個人資料保護法第12條)* | |||
7.與顧客、供應商及其他外部利害關係人之溝通管道是否暢通且有效?外部關係人提出的申訴是否適當追蹤並及時處理? | 7.1管理階層是否定期且公開地與顧客、供應商及外部利害關係人溝通,表達公司重視健全內部控制的態度? 7.2針對重要的外部利害關係人,是否有權責人員負責與其關係之維繫及問題之處理? 7.3對外部利害關係人提出的申訴案件,公司是否訂有於一定期限內追蹤處理申訴案件的辦法或程序? 7.4公司是否設有權責處理客戶抱怨的單位,統計客戶抱怨重大事件的趨勢及分析原因,並立即或定期向董事會、監察人(或獨立董事)、審計委員會報告? | |||
8.外界如何知悉本公司的道德標準?知悉程度如何? | 8.1公司是否已建立員工與顧客、供應商及外部利害關係人往來的道德規範,並正式或非正式地傳達予員工與外部利害關係人? 8.2 管理階層於公司對外公布的財務報告或年報上,是否清楚揭示對高道德標準的承諾,包括揭露公司治理規範、企業社會責任聲明等? 8.3管理階層於公司對外公布的財務報告或年報上,是否清楚揭示管理階層的獎酬係與透明的績效指標相連結? | |||
9.經理人與董事會間的溝通是否順暢?上述溝通能否使雙方擁有達到公司目標所需之決策資訊? | 9.1董事會是否將已擬定之公司目標與管理階層溝通,以使其編製之工作計畫和預算與公司目標相連結? 9.2管理階層是否列席董事會,報告工作計畫及預算執行狀況? 9.3管理階層與董事會之間的溝通是否順暢? 9.4上述溝通是否使雙方擁有達到公司目標所需之決策資訊? | |||
10.公司需對外揭露那些資訊?資訊的完整性、正確性如何?何時揭露?由誰負責控管? | 10.1公司是否確實依照相關法令規定,於主管機關指定之資訊申報網站辦理公告申報,對外揭露必須公開的資訊? 10.2對外公開資訊是否能夠適時和允當揭露? 10.3對外公開資訊系統是否由專人負責控管? | |||
伍、監督 一、持續性的監督 | 伍、監督 一、持續性的監督 | |||
1.在員工進行營業活動時,各單位主管如何監督?相關控制點是否被有效遵守? | 1.1 內部控制制度的設計與執行是否留有記錄,例如主管覆核之證據、留有交易處理的確認記錄、留有與客戶溝通之記錄等? 1.2 員工進行營業活動時,各單位主管是否執行監督工作,以確認相關控制點已被有效地遵循? 1.3 各單位主管是否於單位的作業監督文件上覆核,以示負責? 1.4 若有作業差異或錯誤,相關文件是否會退回負責之各單位主管進行解釋或更正? 1.5 對提供不正確資訊而導致財務報導錯誤者,甚至於可能影響公司聲譽,公司是否會予以懲處? 1.6 財務會計部門是否建立詳細的會計科目與權責人員對照表,包括覆核及確認各科目餘額之權責人員及其責任? 1.7 公司是否有設置薪資報酬、或其他各類功能性委員會? (參考法規:上市上櫃公司治理實務守則第27條、證交法14-4)* | |||
1.8.1稽核單位是否於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依規定格式以網際網路資訊系統申報金管會備查?(參考法規:公開發行公司建立內部控制制度處理準則第19條)* 1.8.2稽核單位是否於每會計年度終了後五個月內將上一年度內部稽核所見內部控制制度缺失及異常事項改善情形,依規定格式以網際網路資訊系統申報金管會備查?(參考法規:公開發行公司建立內部控制制度處理準則第20條)* | ||||
2.是否藉外界的資訊判斷內部資訊的正確性?如有,如何做? | 2.1 財務會計部門是否定期取得外部證據,確認總帳科目之正確性,例如銀行對帳單、交易憑單、應收和應付帳款之函證? 2.2 從外界資訊內容分析,發現公司之內部資訊為不正確時,管理階層是否重新地評估原本應防止或偵測出該問題的內部控制? | |||
3.公司是否定期比對與調節會計紀錄與實際資產? | 3.1 公司是否定期盤點重要資產,例如存貨、現金、有價證券、固定資產等資產,並與其記錄相比較和調節? | |||
4.在各單位進行自行檢查時,是否作成書面紀錄?書面紀錄是否完備?主管如何監督? | 4.1 公司內部控制自行評估每年是否至少一次?(參考法規:公開發行公司建立內部控制制度處理準則第22條第1項)* 4.2 公司內部控制自行評估之範圍,是否涵蓋公司各類內部控制制度之設計及執行? 4.3 公司是否依風險評估結果,決定內部控制自行評估作業程序及方法? 4.4 內部控制自行評估作業程序及方法是否至少包含(1)確定應進行抽查之控制作業;(2)確認應納入內部控制自行評估之營運單位;(3)評估各項控制作業設計之有效性;(4)評估各項控制作業執行之有效性? 4.5 在各單位進行內部控制自行評估時,結果是否作成書面紀錄,供單位主管、稽核單位、管理階層等進行覆核? 4.6 各個單位主管是否覆核該單位人員進行內部控制自行評估的結果? 4.7 如有缺失,各單位主管是否檢討缺失原因,並擬訂改善對策? 4.8 稽核單位是否對各單位內部控制自行評估程序及結果進行獨立驗證,並向董事會、監察人(或獨立董事)、審計委員會報告結果? 4.9 自行評估是否做成工作底稿,併同自行評估報告及相關資料是否至少保存五年?(參考法規:公開發行公司建立內部控制制度處理準則第22條)* | |||
二、個別評估 1.公司是否指定專人負責內部稽核的工作?其能力及經驗如何?其資格是否符合主管機關之規定?人數是否適當?他們對誰負責?負責內部稽核工作的人,是否未兼任其他非稽核之工作? | 二、個別評估 1.1 公司是否指定專人負責內部稽核的工作? 1.2.1內部稽核人員的能力、經驗、及資格是否符合主管機關之規定?(參考法規:101年7月25日金管證審字第1010033235號)* 1.2.2內部稽核主管之任免,是否經董事會通過,並於通過之次月十日前以網際網路資訊系統向主管機關申報備查?(參考法規:公開發行公司建立內部控制制度處理準則第11條)* 1.2.3公司是否將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及所受訓練等資料依規定格式,於每年一月底前以網際網路資訊系統向主管機關申報備查?(參考法規:公開發行公司建立內部控制制度處理準則第18條)* 1.2.4內部稽核主管除定期向監察人(或獨立董事)、審計委員會報告稽核業務外,是否列席董事會報告?(參考法規:公開發行公司建立內部控制制度處理準則第16條)* 1.3 內部稽核人員的最低進修時數是否符合主管機關之規定?(參考法規:公開發行公司建立內部控制制度處理準則第17條、101年7月25日金管證審字第1010033235號)* 1.4 依公司規模、營運複雜度等考量,公司內部稽核人員之員額配置是否足夠? 1.5 內部稽核人員在組織中是否隸屬於董事會,對董事會負責?(參考法規:公開發行公司建立內部控制制度處理準則第11條第1項;101年7月25日金管證審字第1010033235號)* 1.6 負責內部稽核工作的人員,是否兼任公司其他非稽核之工作? 1.7 公司是否設置內部稽核人員之職務代理人?(參考法規:上市上櫃公司治理實務守則第3條、99年7月6日臺證治字第0990018418號、99年7月8日證櫃監字第0990015955號、99年7月14日證櫃審字第0990101069號)* | |||
2.負責稽核工作的人如何執行其稽核任務?他們評估的事項有那些?是否包括複核各單位的內部控制自行檢查?多久評估一次?評估的對象是什麼?如何評估?方法是否適當?各項評估是否客觀考量整體內部控制能否達成公司目標? | 2.1 公司是否訂有內部稽核作業規範,建立一致的稽核作業程序,以指導稽核人員執行稽核工作? 2.2.1公司內部稽核單位是否依風險評估結果擬訂年度稽核計畫? 2.2.2內部稽核單位年度稽核計畫是否包括評估舞弊發生之可能性?(參考來源:IPPF 2120.A2) 2.2.3內部稽核單位年度稽核計畫是否包括評估機構管理舞弊風險能力?(參考來源:IPPF 2120.A2) 2.2.4年度稽核計畫是否經董事會通過;修正時,亦同?(參考法規:公開發行公司建立內部控制制度處理準則第13條)* 2.3 稽核單位是否配合風險分析所辨識之公司整體層級目標及作業層級目標風險,對重大風險項目擬訂年度稽核計畫,並經董事會核准後實施? 2.4 公司是否將取得或處分資產、從事衍生性商品交易、資金貸與他人、為他人背書或提供保證之管理及關係人交易之管理等重大財務業務行為之控制作業、對子公司之監督與管理、董事會議事運作之管理、資通安全檢查及「公開發行公司建立內部控制制度處理準則」第七條規定之銷售及收款循環、採購及付款循環等重要交易循環,列為每年年度稽核計畫之稽核項目?(參考法規:公開發行公司建立內部控制制度處理準則第8條第1項)* 2.5 年度稽核計畫是否包括所有應稽核之項目? 2.6 除法令規定之稽核頻率外,稽核單位是否依不同風險程度訂定各項作業的稽核週期? 2.7 稽核單位除依年度稽核計畫執行工作外,是否覆核各單位內部控制自行評估結果? 2.8.1稽核報告是否檢附工作底稿及相關資料? 2.8.2稽核報告、工作底稿及相關資料是否至少保存五年?(參考法規:公開發行公司建立內部控制制度處理準則第13條)* 2.9 各項內部稽核評估是否客觀考量整體內部控制能否達成公司目標? | |||
3.評估的結果是否作成書面紀錄?書面紀錄是否完備?何人使用這些書面紀錄?管理階層是否適時收到內部控制有效性之回饋? | 3.1 內部稽核所採用的內部控制評估流程,包括風險評估到內部控制評估結果報告以及缺失改善追蹤,是否全部作成書面紀錄? 3.2 前述書面紀錄是否提供予董事會、監察人(或獨立董事)、審計委員會等管理階層及會計師使用? 3.3 其他單位如欲使用前述書面紀錄,是否須徵得適當層級主管的同意後才可使用? 3.4 管理階層是否適時收到稽核單位對內部控制有效性之回饋意見? | |||
4.管理階層對內、外部稽核所提建議的態度如何? | 4.1 內部稽核發現之缺失及外部會計師所提出之內部控制建議事項,是否均呈報至董事會、監察人(或獨立董事)、審計委員會? 4.2 管理階層對內部稽核、外部會計師所提出之內部控制建議事項與會計調整分錄,是否於次期追蹤改善情形? | |||
三、缺失的報導 1.已辨認的內部控制缺失如何報導?報告對象是否適當?須多快?內容多詳細? | 三、缺失的報導 1.1 持續監督內部控制的有效性,稽核主管是否定期向董事會、監察人(或獨立董事)、審計委員會報告? 1.2 各個單位內部控制缺失的報告對象,是否為缺失所發生的作業單位之直接主管及至少高一階之主管? 1.3.1對於內部控制缺失檢討之座談會議記錄,是否提董事會、監察人(或獨立董事)、審計委員會報告?(參考法規:上市上櫃公司治理實務守則第35條)* 1.3.2內部稽核人員如發現重大違規情事或公司有受重大損害之虞時,是否立即作成報告陳核,並通知董事會、監察人(或獨立董事)、審計委員會等單位?(參考法規:公開發行公司建立內部控制制度處理準則第15條)* 1.4 公司是否建立文件化的內部稽核作業程序,規定稽核工作執行方式、報告撰寫方式等,供內部稽核人員遵循? | |||
2.缺失報告之後,有無定期進行追蹤?追蹤的有效性如何? | 2.1 內部稽核人員於發現內部控制缺失時,是否會與權責單位溝通,並註明預定改善日期,利於日後執行後續追蹤?(參考法規:證券暨期貨市場各服務事業建立內部控制制度處理準則第14條第1項)* 2.2.1公司是否就所發現之內部控制缺失、異常事項及改善情形,列為各部門績效考核之重要項目?(參考法規:公開發行公司建立內部控制制度處理準則第14條)* 2.2.2內部控制缺失未確實改善者,管理階層是否會對相關主管及人員依公司規定進行懲處? | |||
3.內控聲明書是否據實報導公司內控設計及執行有效性之情況? | 3.1.1內部稽核主管是否建立並維持監控制度,以追蹤管理階層針對內部控制自行評估所發現之缺失改善情形? 3.1.2 內部稽核主管是否建立一套追蹤程序,以監控及確保管理階層業已採取有效之行動或高階管理階層業已接受不採取行動之風險?(參考來源:IPPF 2500.A1) 3.1.3 內部稽核主管若認定高階管理階層決定承擔之風險水準超過機構可承受之水準,是否就此事項與高階管理階層討論?(參考來源:IPPF 2600 –承受風險之溝通) 3.2董事會、監察人(或獨立董事)、審計委員會是否定期覆核內部稽核報告,並視情況需要指示稽核人員執行額外之稽核作業? 3.3董事長及總經理於簽署內部控制制度聲明書前,是否會確認重大風險對應之內部控制制度設計與執行的缺失,已於年度終了前改善完畢,或說明無法改善的理由? 3.4董事長及總經理是否依據內部稽核報告、內部控制自行評估結果及內部控制缺失改善狀況,簽署適當之內部控制制度聲明書? 3.5內部控制制度聲明書是否據實報導公司內部控制設計及執行有效性之情況? 3.6內部控制制度聲明書是否須先經董事會通過後公布? 3.7內部控制制度聲明書是否依規定刊登於年報、股票公開發行說明書及公開資訊觀測站揭露? | |||
自行評估結果若有發現重大缺失者,應請另行填具「內部控制制度應加強事項及改進計畫」(格式詳如附錄)。
○○ 內部控制制度應加強事項及改善計畫
(基準日: 年 月 日)
應加強事項 | 改善措施計畫 | 預定完成改善時間 |