第 三 章 內部控制制度之評估
|
第 一 節 內部稽核
|
第 10 條 | 公開發行公司應實施內部稽核,其目的在於協助董事會及經理人檢查及覆
核內部控制制度之缺失及衡量營運之效果及效率,並適時提供改進建議,
以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依
據。 |
|
第 11 條 | 公開發行公司應設置隸屬於董事會之內部稽核單位,並依公司規模、業務
情況、管理需要及其他有關法令之規定,配置適任及適當人數之專任內部
稽核人員,並應設置職務代理人,其代理執行稽核業務應依本準則規定辦
理。
公開發行公司內部稽核主管之任免,應經董事會通過,已設置獨立董事者
,獨立董事如有反對意見或保留意見,應於董事會議事錄載明。
公開發行公司設置審計委員會者,內部稽核主管之任免,應經審計委員會
同意,並提董事會決議,並準用第四條第四項規定。
公開發行公司內部稽核主管有異動者,公司應於事實發生日之即日起算二
日內將異動原因及異動內容,以網際網路資訊系統申報本會備查。
前項所稱事實發生日,係指董事會決議日或其他足資確定稽核主管任免之
日等日期孰前者。
第一項所稱適任之專任內部稽核人員應具備條件,由本會另定之。 |
相關資訊 |
第 12 條 | 公開發行公司之內部稽核實施細則至少應包括下列項目:
一、內部稽核單位之目的、職權及責任。
二、對內部控制制度進行評估,以衡量現行政策、程序之有效性及遵循程
度與其對各項營運活動之影響。
三、釐定稽核項目、時間、程序及方法。 |
|
第 13 條 | 公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫,包括每
月應稽核之項目,年度稽核計畫並應確實執行,據以評估公司之內部控制
制度,並檢附工作底稿及相關資料等作成稽核報告。
公開發行公司至少應將下列事項列為每年年度稽核計畫之稽核項目:
一、法令規章遵循事項。
二、取得或處分資產、從事衍生性商品交易、資金貸與他人、為他人背書
或提供保證之管理及關係人交易之管理等重大財務業務行為之控制作
業。
三、對子公司之監督與管理。
四、董事會議事運作之管理。
五、財務報表編製流程之管理,包括適用國際財務報導準則之管理、會計
專業判斷程序、會計政策與估計值變動之流程等。
六、資通安全檢查。
七、銷售及收款循環、採購及付款循環等重要營運循環。
公開發行公司設置審計委員會者,其年度稽核計畫,應包括審計委員會議
事運作之管理。
股票已上市或在證券商營業處所買賣之公司之每年年度稽核計畫,尚應包
括薪資報酬委員會運作之管理。
股票已上市或在證券商營業處所上櫃買賣之公司之每年年度稽核計畫,應
包括永續資訊之管理。
公開發行公司年度稽核計畫應經董事會通過;修正時,亦同。
公開發行公司已設立獨立董事者,依前項規定將年度稽核計畫提報董事會
討論時,應充分考量各獨立董事之意見,並將其意見列入董事會紀錄。
第一項之稽核報告、工作底稿及相關資料應至少保存五年。 |
|
第 14 條 | 公開發行公司內部稽核人員應與受查單位就年度稽核項目查核結果充分溝
通,對於評估所發現之內部控制制度缺失及異常事項,應據實揭露於稽核
報告,並於該報告陳核後加以追蹤,至少按季作成追蹤報告至改善為止,
以確定相關單位業已及時採取適當之改善措施。
公開發行公司應就前項所發現之內部控制制度缺失、異常事項及改善情形
,列為各部門績效考核之重要項目。
第一項內部控制制度缺失及異常事項改善情形,應包括本會檢查所發現、
內部稽核作業所發現、內部控制制度聲明書所列、自行評估及會計師專案
審查所發現之各項缺失。 |
|
第 15 條 | 公開發行公司應於稽核報告及追蹤報告陳核後,於稽核項目完成之次月底
前交付各監察人查閱。
公開發行公司內部稽核人員如發現重大違規情事或公司有受重大損害之虞
時,應立即作成報告陳核,並通知各監察人。
公開發行公司設有獨立董事,於依前二項規定辦理時,應一併交付或通知
獨立董事。 |
|
第 16 條 | 公開發行公司內部稽核人員應秉持超然獨立之精神,以客觀公正之立場,
確實執行其職務,並盡專業上應有之注意,除定期向各監察人報告稽核業
務外,稽核主管並應列席董事會報告。
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、明知公司之營運活動、報導及相關法令規章遵循情況有直接損害利害
關係人之情事,而予以隱飾或作不實、不當之揭露。
二、因職務上之廢弛,致損及公司或利害關係人之權益等情事。
三、逾越稽核職權範圍以外之行為或有其他不正當情事,意圖為自己或第
三人之利益,違背其職務之行為或侵占公司資產。
四、對於以前曾服務之部門,於一年內進行稽核作業。
五、與自身有利害關係或利益衝突案件未予迴避。
六、未配合辦理本會指示查核事項或提供相關資料。
七、直接或間接提供、承諾、要求或收受不合理禮物、款待或其他任何形
式之不正當利益。
八、其他違反法令或經本會規定不得為之行為。 |
相關資訊 |
第 17 條 | 公開發行公司內部稽核人員應持續進修並參加本會認定機構所舉辦之內部
稽核講習,以提昇稽核品質及能力。
前項內部稽核講習之內容,應包括各項專業課程、電腦稽核及法律常識等
。
第一項進修時數之規定,由本會另定之。 |
|
第 18 條 | 公開發行公司應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及
所受訓練等資料依規定格式,於每年一月底前以網際網路資訊系統申報本
會備查。 |
相關資訊 |
第 19 條 | 公開發行公司應於每會計年度終了前將次一年度稽核計畫及每會計年度終
了後二個月內將上一年度之年度稽核計畫執行情形,依規定格式以網際網
路資訊系統申報本會備查。 |
相關資訊 |
第 20 條 | 公開發行公司應於每會計年度終了後五個月內將上一年度內部稽核所見內
部控制制度缺失及異常事項改善情形,依規定格式以網際網路資訊系統申
報本會備查。 |
|
第 二 節 自行評估及內部控制制度聲明書
|
第 21 條 | 公開發行公司自行評估內部控制制度之目的,在落實公司自我監督的機制
、及時因應環境的改變,以調整內部控制制度之設計及執行,並提昇內部
稽核部門的稽核品質及效率;其自行評估之範圍,應涵蓋公司各類內部控
制制度之設計及執行。
公開發行公司執行前項評估,應於內部控制制度訂定自行評估作業之程序
及方法。
公開發行公司應注意相關法令規章遵循事項並依風險評估結果,決定前項
自行評估作業程序及方法,並至少包含下列項目:
一、確定應進行測試之控制作業。
二、確認應納入自行評估之營運單位。
三、評估各項控制作業設計之有效性。
四、評估各項控制作業執行之有效性。 |
|
第 22 條 | 各公開發行公司自行評估內部控制制度,應先督促其內部各單位及子公司
每年至少辦理自行評估一次,再由內部稽核單位覆核各單位及子公司之自
行評估報告,併同稽核單位所發現之內部控制缺失及異常事項改善情形,
以作為董事會及總經理評估整體內部控制制度有效性及出具內部控制制度
聲明書之主要依據。
前項自行評估應作成工作底稿,併同自行評估報告及相關資料至少保存五
年。 |
|
第 23 條 | 公開發行公司自行評估內部控制制度之結果,以公司之內部控制制度是否
能合理確保下列事項,分為有效之內部控制制度或有重大缺失之內部控制
制度:
一、董事會及總經理瞭解營運之效果及效率目標達成程度。
二、報導係屬可靠、及時、透明及符合相關規範。
三、已遵循相關法令規章。 |
|
第 24 條 | 首次辦理股票公開發行及公開發行公司,應每年自行評估內部控制制度設
計及執行的有效性,並依規定格式作成內部控制制度聲明書,除本會另有
規定者外,應於每會計年度終了後三個月內於本會指定網站辦理公告申報
。
公開發行公司設置審計委員會者,前項內部控制制度設計及執行之有效性
,應經審計委員會同意,並準用第四條第四項規定。
第一項內部控制制度聲明書應先經董事會通過;修正時亦同,公司並應將
修正原因及內容,於董事會通過之即日起算二日內於本會指定網站辦理公
告申報。
第一項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及
公開說明書。 |
相關資訊 |
第 三 節 會計師專案審查
|
第 25 條 | 會計師受公開發行公司委託或本會依據本法第三十八條之一指定專案審查
公司內部控制制度,應依本準則及有關法令辦理之,其未規定者,依財團
法人中華民國會計研究發展基金會發布之確信準則(以下簡稱確信準則)
辦理。 |
相關資訊 |
第 26 條 | 會計師專案審查公開發行公司內部控制制度之目的,係使公司之利害關係
人,瞭解該公司之內部控制制度設計及執行是否有效。 |
|
第 27 條 | 會計師受公開發行公司委託專案審查公開發行公司內部控制制度,應由符
合本會所定會計師辦理公開發行公司財務報告查核簽證核准準則之資格條
件之會計師二人以上共同審查簽證。 |
|
第 28 條 | 會計師執行公開發行公司內部控制制度專案審查,除本會另有規定者外,
以受查公司與外部財務報導及保障資產安全有關之內部控制制度為其審查
之範圍。
前項所稱保障資產安全,係指使資產不致在未經授權之情況下取得、使用
及處分。 |
|
第 29 條 | 會計師執行公開發行公司內部控制制度專案審查所應涵蓋之期間,除本會
另有規定外,應與受查公司內部控制制度聲明書所涵蓋之期間一致。 |
|
第 30 條 | 會計師審查受查公開發行公司內部控制之設計與執行及其所出具之內部控
制制度聲明書所聲明之事項,應提供合理確信,並蒐集足夠、適切之證據
,使會計師之簽證風險降至可接受之低水準,並應遵循下列事項:
一、專案審查工作應由受有專業訓練,並具備適當能力者擔任之。
二、會計師對於受查公司出具之內部控制制度聲明書所聲明之事項,應具
備足夠知識。
三、會計師必須能以合理之判斷項目為標準,一致評估受查公司之聲明或
其內部控制制度,方可承接審查案件,上述標準由本會或權威機構訂
定之。
四、在與專案審查有關之事務上,會計師應保持嚴謹公正之態度及超然獨
立之精神。
五、會計師執行專案審查工作,應盡專業上應有之注意。
六、專案審查工作應妥為規畫,其有助理人員者,應善加督導。
七、會計師應就內部控制制度之各個組成要素是否有效,均獲得足夠、適
切之證據,俾對受查公司內部控制制度作成結論時有合理之基礎。
八、專案審查工作底稿之編製及保管,應依確信準則 3000 號規定辦理。
九、內部控制制度審查報告之出具,應依確信準則 3000 號規定辦理。 |
|
第 31 條 | 會計師執行公司內部控制制度專案審查程序應分為下列四個階段:
一、規劃:
(一)取得受查公司董事會及經理人之控制目標、內部控制制度政策與程
序之書面紀錄及其他必要之資訊。
(二)規劃審查計畫。至少應考量下列因素:企業所屬產業特性、承接該
受查公司其他案件時所得之資訊、受查公司之狀況及近來之變動、
會計師可取得之證據、特定內部控制制度程序之性質及該程序對整
體內部控制制度之重要性、對整體內部控制制度有效性之初步判斷
、不同營運場所之差異、集權之程度、執行之交易及控制環境及會
計師可接受與內部控制制度有關之重大性水準與控制風險。
二、取得對內部控制制度之瞭解:會計師得以查詢、檢查及觀察等方法,
取得對受查公司內部控制制度之瞭解,以作為評估內部控制制度是否
有效之基礎。
三、評估內部控制制度設計之有效性:
(一)會計師評估受查公司內部控制制度設計之有效性時,應蒐集設計是
否有效之證據;其蒐集之方法,包括查詢、檢查及觀察。
(二)會計師評估內部控制制度設計之有效性時,應著重於內部控制制度
整體是否能達成某一目標,而不是某一特定內部控制制度作業是否
失當。
(三)會計師如僅受託審查內部控制制度設計之有效性,應視實際情況需
要執行必要之控制測試。
四、測試及評估內部控制制度執行之有效性:
(一)會計師應執行控制測試,以蒐集與內部控制制度執行有關之證據,
據以評估內部控制制度執行之有效性。
(二)會計師執行控制測試之方法,包括查詢、檢查、觀察及重新執行測
試。執行控制測試應至證據足夠、適切為止。受查公司自行評估內
部控制制度時所蒐集之證據,不得直接代替會計師應蒐集之證據。
(三)會計師蒐集之證據是否足夠、適切,受下列因素影響:受查公司控
制程序之性質、該控制程序對達成控制目標之重要性、受查公司不
遵循控制程序之可能性、受查公司已執行控制測試之性質與程度及
會計師對控制程序有效性之初步判斷。會計師並應就審查之期後期
間執行必要之程序,取得對期後事項應有之證據。 |
|
第 32 條 | (刪除) |
|
第 33 條 | (刪除) |
|
第 34 條 | 會計師因本會依據本法第三十八條之一指定,未取得受查公司針對相關內
部控制制度之聲明書者,應對受查公司內部控制設計與執行之有效性提供
合理確信,並依確信準則 3000 號規定出具審查報告。 |
相關資訊 |
第 35 條 | (刪除) |
|
第 36 條 | 會計師專案審查公開發行公司內部控制制度所發現之缺失,應依規定格式
出具內部控制制度建議書,以作為受查公司改進缺失之參考依據。 |
|
第 37 條 | 會計師受託執行首次辦理股票公開發行公司之內部控制制度專案審查應依
第二十五條至前條規定辦理。
會計師執行前項專案審查,應就公司是否已依法令規定執行,其中並應針
對取得或處分資產、從事衍生性商品交易、資金貸與他人之管理、為他人
背書或提供保證之管理、關係人交易之管理、財務報表編製流程之管理及
對子公司之監督與管理訂定相關作業程序表示意見,以單獨一段文字,於
審查報告中作適當之說明。
第一項專案審查所應涵蓋之期間,除本會另有規定者外,應為公司申報辦
理公開發行之最近一會計年度。公司申報辦理股票公開發行日期已逾年度
開始八個月者,所應涵蓋之期間為最近一會計年度之下半年度及本會計年
度之上半年度。 |
相關資訊 |