~資 金 活 水 暢 流 通 ~ 流通證券．活絡經濟 104年內控規章、 實務及宣導事項 上櫃監理部 104.10

大綱 內部控制制度有效性判斷參考項目 範例更新 主題式內控查核重點及常見缺失態 樣 近期內控查核重點 案例分享

壹、內部控制制度有效性判斷參考項目範例更新

壹、內控制度有效性判斷參考項目更新 法規依據：公開發行公司建立內部控 制制度處理準則第6條第2項「公開發 行公司於設計及執行，或自行評估， 或會計師受託專案審查公司內部控制 制度時，應綜合考量前項所列各組成 要素，其判斷項目除金融監督管理委 員會所定者外，依實際需要得自行增 列必要之項目。」

2013年COSO內部控制組成要素 COSO委員會提出，內部控制是由企業董事會、管理階層和其他人員負責的，為營運的效率與效果、財務報告的可靠性、相關法令的遵循等目標之達成而提供合理確認的過程。 重視承諾與實踐，強調控制環境的價值觀應為誠信和道德價值。

判斷參考項目更新說明 以主管機關103年10月1日金管證審字第1030039132號令 發布之「內部控制制度有效性判斷項目」為基本架構 ，參考我國相關法令規章與各守則規定、國際內部稽 核協會(IIA) 的國際內部稽核執業準則、以及參照美國 COSO委員會2013年版「內部控制－整合架構」所訂之 「建立內部控制制度核心原則」等相關規範，由專家 研修參考項目範例，俾使公司於設計及執行、自行檢 查或會計師受託專案審查公司內部控制制度時有所遵 循。 104年7月17日以證櫃監字第1040200734號函檢送各上( 興)櫃公司，並廢止前於102年10月14日證櫃監字第 1020025699號函檢送之「內部控制制度有效性判斷參 考項目」。

如何利用 參考本份參考項目依公司實際情況訂定 自己適用的項目 建議每年交由以下2類相關人員填寫： 第1類評估者為管理者，包括：董監事成員 、管理階層、內部稽核主管； 第2類評估者為一般員工。 填寫完成，呈報給高階管理階層與董事 會，作為董事會通過年度内部控制制度 聲明書的主要佐證資料。

主要更新項目-編碼原則 依COSO5個組成要素作序列編碼 CE-Control Environment RA-Risk Assessment CA-Control Activities IC-Information and Communication MA-Monitoring Activities 例如：CE是控制環境之類別，CE1、CE1.1、 CE1.2、CE1.3屬主管機關已公布之「判斷項目 」位階，CE 1.3.1-1、CE 1.3.1-2、CE 1.3.2、CE 1.3.3屬「參考項目」之位階。

編碼原則 判斷項目位階 參考項目位階

主要更新項目-參考法規及資料來源 提供訂定依據 參考法規-標示「＊」為參考法規，係屬法 令規定上市、上櫃、興櫃及公開發行公司 應遵循者。 資料來源-建議上市上櫃公司可主動參採以 提升公司治理之相關章則規定，可由公司 依各自規模大小、產業性質、風險程度及 複雜性等自行判斷及規劃。

主要更新項目-控制環境 塑造企業組織文化及員工內控意識之要 素，強調應重視誠信與道德價值 CE1.1.1-1公司是否建立董事行為準則？ ＊

主要更新項目-控制環境(續) 建立薪資報酬及績效衡量制度 CE4.4.1-2薪資報酬制度是否涵蓋最高管 理階層部分？ ＊ CE4.4.2-1及CE4.4.2-3內部控制制度(含子 公司)是否明訂經理人薪資報酬政策及制 度？ ＊ CE5.4.1-1及CE5.4.1-2是否訂定績效衡量及 獎懲制度？ CE5.4.2-1及CE5.4.2-2上述制度是否配合內 部控制責任履行情況？

主要更新項目-風險評估 確立目標以辨識及評估與相關之風險 RA1.1.1企業整體目標是否與組織內不同層級 單位目標連結？RA1.1.2-1是否考慮整體目標 適合性？ ＊ RA1.4.3及RA1.4.4-1董事會是否覆核所設定 目標可行性？ ＊ RA1.7.1外部財務報導目標是否與企業所適 用之會計原則一致？ RA 1.7.2.管理階層是否考慮財務報表表達之 重大性，並訂定重大性判斷原則？

主要更新項目-風險評估(續) 評估風險時考量舞弊發生原因及可能性 RA 2.1.1企業辨識及評估風險時，範圍是否涵蓋與達成 目標攸關之企業、子公司、部門或其他單位之風險？ RA 2.1.2-1管理階層是否建立有效之風險評估機制？＊ RA 3.1.1管理階層評估風險時，是否考量可能發生之舞 弊情事？ RA 3.2.3-1舞弊辨識是否考量未經授權取得、使用或處 分資產、竄改企業報導紀錄、或從事其他不當行為， 導致不實報導或可能之資產損失等因素？ RA4.1.1-1及RA4.1.2管理階層評估風險時，是否考量公 司外部環境及商業模式改變之影響？ ＊

主要更新項目-控制作業 建立控制作業降低相關風險至可接受水準 CA1.1.3控制作業之執行是否包括企業所有層級、業務 流程內之各個階段、所有科技環境等範圍及對子公司 之監督與管理？ ＊ CA1.2.2-1企業是否依風險評估結果，採用適當控制政策 和程序，以將風險控制在可承受之範圍內？ ＊ CA 1.3.1企業訂定之控制政策和程序是否已予執行？＊ CA1.3.3-4內部稽核單位是否持續追蹤其改善情形？＊ CA 2.1.1-1 管理階層是否整合攸關業務流程，建置自動 化控制及資訊科技控制？ CA3.1.3企業發現內部控制缺失時，是否及時調查及追 蹤改善？ ＊

主要更新項目-控制作業(續) 增列營運循環判斷參考項目 配合公開發行公司內部控制制度處理準則第7條及第8 條所列之控制作業，更新參考項目內容。 就一般企業營運情形，新增參考項目供利用，例如： 是否有機制確認報價及訂單有效性？逾期帳款是否進行催收？ 取得或處分資產或投資是否經適當評估並經權責主管核准？ 各項借款之舉借及償還手續是否經適當授權核准後辦理？ 是否訂定報廢電腦處理程序並確實將硬碟內容銷毀，避免內部資料外洩？ 印鑑是否設置清冊列管？印鑑大、小章是否分開保管？ 需職能分工的工作是否不相互代理？ 配合新修內控準則規定，新增股務管理作業、個人資 料保護管理作業及審計委員會議事運作管理作業之參 考項目供利用。

主要更新項目-資訊與溝通 蒐集資訊以支持內部控制持續運作 IC1.1.1-1企業內部控制制度是否具備產生規 劃、執行、監督等所需資訊之機制？＊ IC 1.1.3-1內部控制是否支持其他組成要素之 持續運作？ ＊ IC1.4.1-1資訊系統是否能擷取內部與外部之 資料來源？ IC 1.7.1-2公司考量成本效益原則所取得的資 訊，是否能用以協助公司目標的達成？

主要更新項目-資訊與溝通(續) 企業與內部及外部之有效溝通 IC3.2.1企業是否有申訴疑似不當行為之溝通管道 ？

主要更新項目-監督 企業應持續評估內部控制制度各組成要素已 經存在且持續運作 MA1.1.1-1企業是否有效運用持續性評估及個別評估？＊

主要更新項目-監督(續) MA1.7.5-1企業是否將法令規章遵循事項、取得或處 分資產、從事衍生性商品交易、資金貸與他人、 為他人背書或提供保證之管理及關係人交易之管 理等重大財務業務行為之控制作業、對子公司之 監督與管理、董事會議事運作之管理、財務報表 編製流程之管理，包括適用國際財務報導準則之 管理、會計專業判斷程序、會計政策與估計變動 之流程等、資通安全檢查、銷售及收款循環、採 購及付款循環等重要營運循環，列為每年年度稽 核計畫之稽核項目？ ＊ MA2.2.1及MA2.2.2-1管理階層、董事會及監察人(或 審計委員會)是否針對內部控制缺失報告分析、處 理及定期進行追蹤及改善措施？ ＊

貳、主題式內控查核重點及常見缺失態樣

貳、主題式內控查核 主題式查核 食安 環安 勞安 資安 產品安全 資產安全 CSR

主題式內控查核-一般項目 取得或處分資產 從事衍生性商品交易 資金貸與他人 為他人背書保證 董事會運作情形 適用國際會計準則之管理 會計專業判斷程序、會計政策與估計變 動之流程

主題式內控查核稽核重點： 法令規章遵循 應全面檢視公司之內控制度是否完整遵循產業相關法令。 環安 廢(污)水處理、空氣污染防治、毒性化學物質及廢棄物處理等是否納入控制作業及符合相關法令規定 勞安 勞工安全組織管理、勞工安全衛生教育訓練、消防設備及教育訓練管理等是否納入控制作業及符合相關法令規定 薪資循環之內控制度

資安 食安 主題式內控查核稽核重點(續)： 資訊設備處分是否確實將硬碟資料銷毀以避免個資外洩 個資安全管理是否符合個人資料保護法規定 產品包裝成份標示是否符合法令規定是否建立消費者申訴管道 產品檢驗、供應商\代工廠商是否建立制度確保產品品質 食安

資產安全 產品安全 主題式內控查核稽核重點(續)： 採購循環中有關供應商\代工廠商是否建立審核及評鑑制度 進貨退回及折讓是否有納入管理控制作業 資產安全 是否建立專責之消費者或利害關係人申訴管道以符合消費者保護法規定 供應商\代工廠商是否建立審核及評鑑制度確保產品品質 產品安全

常見缺失態樣： 並無專人或專責部門檢視最新目的事業主管機關法規。 未制定報廢(或處分)電腦(或儲存媒體等)程序或管理措施或有關儲存資料銷毀過程並未留存軌跡。 符合「勞工安全衛生組織管理及自動檢查辦法」所訂第一類事業，且事業單位勞工人數在一百人以上，未依「勞工安全衛生組織管理及自動檢查辦法」第2-1條及第10條設有勞工安全委員會。 勞工安全衛生教育訓練未依勞工安全衛生教育訓練規則規定辦理。

常見缺失態樣(續)： 並未訂定消費者或利害關係人之申訴管道等程序，以符合相關法令如消費者保護法等規定。 生產循環內部控制中工業衛生之作業程序及控制重點，未依公司實際情形訂定水汙染、空氣汙染或毒性化學物質及廢棄物之書面控制制度。 重要管控循環(如研發、採購及付款、生產、銷貨退回等)之內控制度不完整或年久未修。 未針對供應商或代工廠商訂定首次及定期審核評鑑程序，或未定期評鑑及更新供應商及代工廠商基本資料。

参、近期內控查核重點及案例分享

102.5.29證櫃監字第1020200498號函：公司應訂定相關內部控制制度並視需要列入年度稽核計畫 参、近期內控查核重點 防範內線交易之管理 公司之董事、監察人、經理人及持有股份超過百 分之十股東等內部人及其關係人（包括內部人之 配偶、未成年子女及受內部人利用其名義持有股 票者）異動時，應於事實發生後2日內申報（「內 部人新（解）任即時申報系統」）。 經理人就任起5日內簽署確知內部人相關法令聲明 書，並留存公司備查，董事及監察人聲明書影本 於就任之日起10日內函送本中心備查。 102.5.29證櫃監字第1020200498號函：公司應訂定相關內部控制制度並視需要列入年度稽核計畫

参、近期內控查核重點(續) 庫藏股轉讓員工之管理作業 「臺灣集中保管結算所股份有限公司發行人辦理無實 體發行有價證券登錄暨帳簿劃撥交付作業配合事項」 第21-2條第2項第1款第7目：辦理庫藏股轉讓員工作業， 於撥付股票前3個營業日前應將稽核單位之稽核報告送 交集保結算所（查核項目包含轉讓日期、轉讓價格、 員工資格及低價轉讓庫藏股等事項均符合法令及該公 司轉讓辦法之規定，及公司確已收足股款並經代收股 款銀行出具餘額證明無誤， 並經公司稽核人員、稽核 主管及公司簽章）。 內控查核時將調閱本項作業之相關辦法及稽核報告， 檢視是否依前開規定執行。

参、近期內控查核重點(續) 法令依據：證期局102.11.25證期（發）字第 1020044499號函、「公開發行公司獨立董事 設置及應遵循事項辦法」及本中心102.12.16 證櫃監字1020201161號函。 監理重點：獨立董事任職期間是否持續符合 資格條件及獨立性。 本中心每季進行內控查核時，將對受查公司 獨立董事任職期間是否持續符合資格條件及 獨立性一併查核。

参、近期內控查核重點(續) 是否依內控準則規定將法令規章遵循納 入年度稽核計畫 已設置審計委員會者，是否將審計委員 會議事運作管理納入年度稽核計畫 內控之控制作業是否包含股務作業之管 理、個人資料保護之管理 印鑑管理及票據領用管理是否納入內部 控制制度並落實執行

肆、案例分享

內控顯未落實執行、印鑑攜出及空白支票領取未留存記錄 案例一：盜開銀行支票 印鑑大小章 原放在保險箱，但晚上或假日老闆指示因安全考量，要親自保管大小章 保管員工 退票拒往 保管員工 空白支票 老闆指示出納人員至銀行領取空白支票予老闆 內控顯未落實執行、印鑑攜出及空白支票領取未留存記錄 票信及票據領用查詢

案例二：盜開商業本票 保管員工 印鑑大小章 保管條 盜開商業本票 雖有填寫保管條，惟未確實填寫攜出大、小章原因而數度攜出印鑑，內控顯未落實執行 假扣押動產查封不動產

簡 報 完 畢