名稱:公開發行公司建立內部控制制度處理準則(民國96年07月17日修正)第一章總則第1條本準則依證券交易法(以下簡稱本法)第十四條之一第二項規定訂定之。第2條公開發行公司建立內部控制制度,除證券、期貨、金融及保險等事業之相關法律另有規定者外,應依本準則以及本準則所訂定之內部控制制度規定辦理。第3條公開發行公司之內部控制制度係由經理人所設計,董事會通過,並由董事會、經理人及其他員工執行之管理過程,其目的在於促進公司之健全經營,以合理確保下列目標之達成:一、營運之效果及效率。二、財務報導之可靠性。三、相關法令之遵循。前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產安全等目標。第一項第二款所稱財務報導之可靠性目標,包括確保對外之財務報表係依照一般公認會計原則編製,交易經適當核准等目標。第4條公開發行公司應以書面訂定內部控制制度,含內部稽核實施細則,並經董事會通過,如有董事表示異議且有紀錄或書面聲明者,公司應將異議意見連同經董事會通過之內部控制制度送各監察人;修正時,亦同。公開發行公司已設置獨立董事者,依前項規定將內部控制制度提報董事會討論時,應充分考量各獨立董事之意見,並將其同意或反對之明確意見及反對之理由列入董事會紀錄。第二章內部控制制度之設計及執行第5條公開發行公司之內部控制制度,應訂定明確之內部組織架構,並載明經理人之設置、職稱、委任與解任及職權範圍等事項。公開發行公司應考量公司及其子公司整體之營運活動,設計並確實執行其內部控制制度,且應隨時檢討,以因應公司內外在環境之變遷,俾確保該制度之設計及執行持續有效。前項所稱子公司,應依財團法人中華民國會計研究發展基金會(以下簡稱會計研究發展基金會)發布之財務會計準則公報第五號及第七號之規定認定之。第6條公開發行公司之內部控制制度應包括下列組成要素:一、控制環境:係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素,包括員工之操守、價值觀及能力;董事會及經理人之管理哲學、經營風格;聘僱、訓練、組織員工與指派權責之方式;董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。二、風險評估:係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業。三、控制作業:係指設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及經理人確保其指令已被執行,包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。四、資訊及溝通:所稱資訊,係指資訊系統所辨認、衡量、處理及報導之標的,包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通,係指把資訊告知相關人員,包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。五、監督:係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。公開發行公司於設計及執行,或自行檢查,或會計師受託專案審查公司內部控制制度時,應綜合考量前項所列各組成要素,其判斷項目除行政院金融監督管理委員會(以下簡稱本會)所定者外,依實際需要得自行增列必要之項目。第7條公開發行公司之內部控制制度應涵蓋所有營運活動,並應依企業所屬產業特性以交易循環類型區分,訂定對下列循環之控制作業:一、銷售及收款循環:包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退回、執行與記錄現金收入等之政策及程序。二、採購及付款循環:包括請購、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記錄供應商負債、核准付款、進貨折讓、執行與記錄現金付款等之政策及程序。三、生產循環:包括擬訂生產計畫、開立用料清單、儲存材料、領料、投入生產、計算存貨生產成本、計算銷貨成本等之政策及程序。四、薪工循環:包括僱用、請假、加班、辭退、訓練、退休、決定薪資率、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等之政策及程序。五、融資循環:包括借款、保證、承兌、租賃、發行公司債及其他有價證券等資金融通事項之授權、執行與記錄等之政策及程序。六、固定資產循環:包括固定資產之取得、處分、維護、保管與記錄等之政策及程序。七、投資循環:包括有價證券、不動產、衍生性商品及其他投資之決策、買賣、保管與記錄等之政策及程序。八、研發循環:包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄及文件保管等之政策及程序。公開發行公司得視企業所屬產業特性,依實際營運活動自行調整必要之控制作業。第8條公開發行公司之內部控制制度,除包括前條對各種交易循環類型之控制作業外,尚應包括對下列作業之控制:一、印鑑使用之管理。二、票據領用之管理。三、預算之管理。四、財產之管理。五、背書保證之管理。六、負債承諾及或有事項之管理。七、職務授權及代理人制度之執行。八、資金貸與他人之管理。九、財務及非財務資訊之管理。十、關係人交易之管理。十一、財務報表編製流程之管理。十二、對子公司之監督與管理。十三、董事會議事運作之管理。第9條公開發行公司使用電腦化資訊系統處理者,其內部控制制度除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業:一、資訊處理部門之功能及職責劃分。二、系統開發及程式修改之控制。三、編製系統文書之控制。四、程式及資料之存取控制。五、資料輸出入之控制。六、資料處理之控制。七、檔案及設備之安全控制。八、硬體及系統軟體之購置、使用及維護之控制。九、系統復原計畫制度及測試程序之控制。一○、資通安全檢查之控制。一一、向本會指定網站進行公開資訊申報相關作業之控制。第三章內部控制制度之檢查第一節內部稽核第10條公開發行公司應實施內部稽核,其目的在於協助董事會及經理人檢查及覆核內部控制制度之缺失及衡量營運之效果及效率,並適時提供改進建議,以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。第11條公開發行公司應設置隸屬於董事會之內部稽核單位,並依公司規模、業務情況、管理需要及其他有關法令之規定,配置適任及適當人數之專任內部稽核人員。公開發行公司內部稽核主管之任免,應經董事會通過,並應於董事會通過之次月十日前以網際網路資訊系統申報本會備查。第一項所稱適任之專任內部稽核人員應具備條件,由本會另定之。第12條公開發行公司之內部稽核實施細則至少應包括下列項目:一、對內部控制制度進行檢查,以衡量現行政策、程序之有效性及遵循程度與其對各項營運活動之影響。二、釐定稽核項目、時間、程序及方法。第13條公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫,包括每月應稽核之項目,年度稽核計畫並應確實執行,據以檢查公司之內部控制制度,並檢附工作底稿及相關資料等作成稽核報告。公開發行公司至少應將取得或處分資產、從事衍生性商品交易、資金貸與他人、為他人背書或提供保證之管理及關係人交易之管理等重大財務業務行為之控制作業、對子公司之監督與管理、董事會議事運作之管理、資通安全檢查及第七條規定之銷售及收款循環、採購及付款循環等重要交易循環,列為每年年度稽核計畫之稽核項目。公開發行公司年度稽核計畫應經董事會通過;修正時,亦同。公開發行公司已設立獨立董事者,依前項規定將年度稽核計畫提報董事會討論時,應充分考量各獨立董事之意見,並將其意見列入董事會紀錄。第一項之稽核報告、工作底稿及相關資料應至少保存五年。第14條公開發行公司內部稽核人員對於檢查所發現之內部控制制度缺失及異常事項,應據實揭露於稽核報告,並於該報告陳核後加以追蹤,定期作成追蹤報告,以確定相關單位業已及時採取適當之改善措施。公開發行公司應就前項所發現之內部控制制度缺失、異常事項及改善情形,列為各部門績效考核之重要項目。第一項內部控制制度缺失及異常事項改善情形,應包括本會檢查所發現、內部稽核作業所發現、內部控制制度聲明書所列、自行檢查及會計師專案審查所發現之各項缺失。第15條公開發行公司應於稽核報告及追蹤報告陳核後,於稽核項目完成之次月底前交付各監察人查閱。公開發行公司內部稽核人員如發現重大違規情事或公司有受重大損害之虞時,應立即作成報告陳核,並通知各監察人。公開發行公司設有獨立董事或審計委員會者,於依前二項規定辦理時,應一併交付或通知獨立董事或審計委員會。第16條公開發行公司內部稽核人員應秉持超然獨立之精神,以客觀公正之立場,確實執行其職務,除定期向各監察人報告稽核業務外,稽核主管並應列席董事會報告。內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:一、明知公司之營運活動、財務報導及相關法令遵循情況有直接損害利害關係人之情事,而予以隱飾或作不實、不當之揭露。二、因不當意圖或職務上之廢弛,致損及公司或利害關係人之權益等情事。三、未配合辦理本會指示查核事項或提供相關資料。四、其他違反法令或經本會規定不得為之行為。第17條公開發行公司內部稽核人員應持續進修並參加本會認定機構所舉辦之內部稽核講習,以提昇稽核品質及能力。前項內部稽核講習之內容,應包括各項專業課程、電腦稽核及法律常識等。第一項進修時數之規定,由本會另定之。第18條公開發行公司應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及所受訓練等資料依規定格式,於每年一月底前以網際網路資訊系統申報本會備查。第19條公開發行公司應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依規定格式以網際網路資訊系統申報本會備查。第20條公開發行公司應於每會計年度終了後五個月內將上一年度內部稽核所見內部控制制度缺失及異常事項改善情形,依規定格式以網際網路資訊系統申報本會備查。第二節自行檢查及內部控制制度聲明書第21條公開發行公司自行檢查內部控制制度之目的,在落實公司自我監督的機制、及時因應環境的改變,以調整內部控制制度之設計及執行,並提昇內部稽核部門的檢查品質及效率;其檢查之範圍,應涵蓋公司各類內部控制制度之設計及執行。公開發行公司執行前項檢查,應於內部控制制度訂定自行檢查作業之程序及方法。公開發行公司應依風險評估結果,決定前項自行檢查作業程序及方法,並至少包含下列項目:一、確定應進行測試之控制作業。二、確認應納入自行檢查之營運單位。三、評估各項控制作業設計之有效性。四、評估各項控制作業執行之有效性。第22條公開發行公司自行檢查內部控制制度,應先督促其內部各單位及子公司每年至少辦理自行檢查一次,再由內部稽核單位覆核各單位及子公司之自行檢查報告,併同稽核單位所發現之內部控制缺失及異常事項改善情形,以作為董事會及總經理評估整體內部控制制度有效性及出具內部控制制度聲明書之主要依據。前項自行檢查應作成工作底稿,併同自行檢查報告及相關資料至少保存五年。第23條公開發行公司自行檢查內部控制制度之結果,以公司之內部控制制度是否能合理確保下列事項,分為有效之內部控制制度或有重大缺失之內部控制制度:(一)董事會及總經理知悉營運之效果及效率目標達成程度。(二)財務報導係屬可靠。(三)已遵循相關法令。第24條首次辦理股票公開發行及公開發行公司,應每年自行檢查內部控制制度設計及執行的有效性,並依規定格式作成內部控制制度聲明書於每會計年度終了後四個月內於本會指定網站辦理公告申報。前項內部控制制度聲明書應先經董事會通過;修正時,亦同。第一項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。第三節會計師專案審查第25條會計師受公開發行公司委託或本會依據本法第三十八條之一指定專案審查公司內部控制制度,應依本準則及有關法令辦理之,其未規定者,依會計研究發展基金會發布之一般公認審計準則辦理。第26條會計師專案審查公開發行公司內部控制制度之目的,係使公司之利害關係人,瞭解該公司之