明達合署會計師事務所--鄭宏輝會計師的部落格

公開發行公司內部控制制度有效性判斷項目

一、     控制環境

(一)    董事會與高階管理階層應重視誠信與道德價值。

１、      公司是否建立內部行為準則包括董事行為準則、員工行為準則等規範？其內容是否強調對於誠信與道德價值之重要性？是否告知組織所有成員瞭解及落實執行？

２、      組織所有成員在與供應商、投資人、債權人、競爭對手及會計師等往來時，其行為是否符合公司要求之誠信與道德價值標準？

３、      當組織所有成員違反內部行為準則時，是否可及時辨識及補救？是否被記錄及調查？如何處罰？

４、      管理階層期待某些短期目標之達成，以獲取報酬之程度如何？員工是否受到達成某些不切實際短期目標的壓力？他們的報酬繫於這些目標達成之程度如何？

(二)    董事會及監察人（或審計委員會）應善盡治理監督責任，並定期評估內部控制制度設計及執行之成效。

１、      董事會及監察人（或審計委員會）是否瞭解利害關係人，包括客戶、員工、股東及一般社會大眾等之期望，以及主管機關對於法令規範之要求？是否定期評估內部控制制度設計及執行之成效？

２、      董事會之召集、議事內容及作業程序是否符合相關規定？已設置審計委員會者，是否至少有一位成員具有會計或財務專長的背景？

３、      董事會與管理階層間之獨立性如何？權責是否明確劃分？董事會是否有一定席次的獨立董事？監察人與管理階層間之獨立性如何？

４、      董事會及監察人（或審計委員會）各成員的知識、經驗及教育訓練如何？其組合是否適當？

５、      董事會成員與財務主管、會計主管及內、外部稽核聯繫的情況如何？提供指導及監督的程度如何？監察人（或審計委員會）與這些人聯繫的情況如何？提供指導及監督的程度如何？

６、      董事、監察人（或審計委員會）獲悉的資訊是否與企業之目標及策略、財務狀況、及經營成果、現金流量、重大合約條款有關？能否用於監督企業之營運？多快獲悉？如何獲悉？

(三) 管理階層應設定明確目標，建立企業之組織結構、呈報體系，並作適當權責分派。

１、      管理階層是否設定明確的營運目標、報導目標及法令規章遵循目標？是否對內部控制負責，包括建立、實施及維護有效運作的內部控制制度？

２、      管理階層對承受風險之態度如何？

３、      管理階層與各單位主管間之互動情形如何？

４、      在選擇會計政策及形成會計估計時，管理階層的態度如何？揭露重要資訊之意願如何？

５、      組織結構及呈報體系是否配合企業的規模及作業之複雜性而設計？各部門責任分工是否明確？所建立之報告關係，是否有利於管理階層得到適當之資訊？

６、      組織結構及呈報體系因應產業或業務等改變的彈性、意願及速度如何？

７、      企業是否於不同層級進行必要之職能分工？權責如何劃分？劃分是否適切？授給員工的權力與其擔負之責任是否相稱？員工人數是否足夠？負責資訊處理、財務及會計職能的員工，人數及教育訓練是否足夠？

(四)    企業應延攬、培養及留用有能力之人才。

１、      公司是否訂有人力資源政策？如何延攬、培養及留用足夠有能力之人才？是否提供適當之指導與訓練？

２、      員工升遷及薪酬的政策如何？員工的留任及晉升與其績效間的關係如何？如何蒐集用以評估員工績效的資訊？員工的留任及晉升與行為守則間的關係如何？如何蒐集該等資訊？

３、      向董事會、監察人（或審計委員會）負責之員工，其任免及俸給如何決定？

４、      公司的薪酬計畫，包括最高管理階層部分，如何制訂？經理人薪資報酬政策及制度是否於公司內部控制制度及對子公司經營管理之監督管理控制作業中明訂？

(五)    企業應訂定績效衡量及獎懲政策與制度，要求組織成員對內部控制制度負責以達成目標。

１、      是否訂有明確的職務說明書？如無，管理階層如何告訴員工他們須執行的工作有那些？

２、      各層級主管之知識及經驗如何？履行責任之能力如何？是否分析負責某特定工作需具備那些知識及技能？如何分析？是否定期評估及維持擔任各重要職務所需之能力？

３、      公司是否聘任具備內部與外部財務報導及非財務報導能力之人員？

４、      公司是否訂定績效衡量及獎懲政策與制度？績效衡量及獎懲政策與制度是否與組織所有成員內部控制責任之履行密切配合？

二、     風險評估

(一)    企業應確立各項目標，以辨識及評估與目標相關之風險。

１、      企業整體目標是否與組織內不同層級之單位相連結？企業是否考慮目標之適合性？

２、      企業整體目標是否有效地在組織內傳達？

３、      策略如何訂定？策略與整體目標間的關係如何？

４、      企業計畫、預算如何訂定？其與整體目標、策略間的關係如何？在目前情況下，這些目標是否合理？是否可行？

５、      作業層級目標如何訂定？其與企業整體目標及策略間的關係如何？明確程度如何？與營業過程間之攸關程度如何？

６、      管理階層是否對報導目標訂有充分之說明及標準，以促使可靠、及時、透明及符合相關規範的報導風險之辨識？

７、      外部財務報導目標是否與企業所適用之會計原則一致？是否訂定重大性判斷原則？外部財務報導是否可完整反應企業之活動？

(二)    企業應辨識及分析各項風險，以作為執行風險管理之基礎。

１、      企業辨識及評估風險時，是否涵蓋攸關之企業、子公司、部門或其他單位之風險？管理階層是否建立有效之風險評估機制？

２、      引發企業整體風險的企業內、外在因素有那些？如何辨識？如何評估已辨識風險是否具有重大性？每一種因素發生的可能性有多大？發生的後果或影響有多嚴重？

３、      引發作業層級風險的內、外在因素有那些？如何辨識？如何評估已辨識風險是否具有重大性？每一種因素發生的可能性有多大？發生的後果或影響有多嚴重？

(三)    管理階層評估風險時應考量可能發生之舞弊情事。

１、      管理階層評估風險時，是否考量可能發生之舞弊情事？舞弊的類型有哪些？如何評估？

２、      導致舞弊之誘因與壓力有哪些？管理階層及其他人員可能產生舞弊之不當行為有哪些？是否將未經授權取得、使用或處分資產、竄改企業報導紀錄、或從事其他不當行為，導致不實報導或可能之資產損失等納入考量？發生的可能性有多大？發生的後果或影響有多嚴重？

(四)    管理階層應考量公司外部環境、商業模式改變及管理階層異動之影響。

１、      管理階層評估風險時是否考量公司外部環境之改變？商業模式之改變？是否產生重大影響？公司內部控制制度是否須因應調整？

２、      管理階層是否有異動情事？是否產生重大影響？

３、      是否有機制可以辨識其他可能對企業產生重大影響的改變？是否產生重大影響？公司內部控制制度是否須因應調整？

三、     控制作業

(一)    企業應建立控制作業，以降低相關風險至可接受水準。

１、      管理階層建立控制作業，是否考量企業所屬之產業特性，包括經營環境、複雜性、營運性質與範圍等？管理階層是否判斷哪些攸關之業務流程需制訂控制作業？控制作業之執行是否包括公司所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理？是否針對不相容或不適當之職能分工建立替代性控制作業？

２、      企業的重大作業是否符合成本效益原則？是否依據風險評估結果，採用適當控制政策和程序，將風險控制在可承受之範圍之內？是否採用人工化或自動化控制等方法有效降低已辨認出來的風險之發生機率與影響程度？設計是否有效？

３、      控制政策和程序是否已予執行？執行的效果如何？對違反政策或程序的事件，是否採取適當的行動？

(二) 企業運用科技，建置控制作業以支持目標之達成。

１、      企業是否依其業務流程，建置自動化控制及資訊科技控制？相關的控制作業有哪些？電腦及科技之購置、發展及後續維護，是否有足夠之控制作業得以確保科技可持續有效率之運作？

２、      企業建置之控制作業，是否考量使用者之權限及相關安全管理？使用者之權限與工作職責是否相符？

(三)    企業應透過制訂各項政策及程序，建置相關控制作業。

１、      企業是否遵循所屬產業法令，依所屬產業特性訂定控制作業？是否任用適任之人員及時執行控制作業？執行控制作業發現缺失是否及時調查並追蹤改善？管理階層是否定期檢視控制作業並調整更新？每一項控制作業之評估過程是否考量內部控制制度各組成要素？

２、      公司應建置適合所屬產業特性之內部監督機制，依據下列各項控制作業評估結果，彙整評估公司整體內部控制制度，方可確保制度之有效性：

(１)    銷售及收款循環：包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退回、客訴、產品銷毀、執行與記錄票據收受及現金收入等之政策及程序。

(２)    採購及付款循環：包括供應商管理、代工廠商管理、請購、比議價、發包、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記錄供應商負債、核准付款、進貨折讓、執行與記錄票據交付及現金付款等之政策及程序。

(３)    生產循環：包括環境安全管理、職業安全衛生管理、擬訂生產計畫、開立用料清單、儲存材料、領料、投入生產、製程安全控管、製成品品質管制、下腳及廢棄物管理、產品成分標示、計算存貨生產成本、計算銷貨成本等之政策及程序。

(４)    薪工循環：包括僱用、職務輪調、請假、排班、加班、辭退、訓練、退休、決定薪資率、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等之政策及程序。

(５)    融資循環：包括借款、保證、承兌、租賃、發行公司債及其他有價證券等資金融通事項之授權、執行與記錄等之政策及程序。

(６)    不動產、廠房及設備循環：包括不動產、廠房及設備之取得、處分、維護、保管與記錄等之政策及程序。

(７)    投資循環：包括有價證券、投資性不動產、衍生性商品及其他投資之決策、買賣、保管與記錄等之政策及程序。

(８)    研發循環：包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權之取得、維護及運用等之政策及程序。

(９)    使用電腦化資訊處理作業：包括資訊部門與使用者部門權責之劃分、資訊處理部門之功能及職責劃分、系統開發及程式修改之控制、編製系統文書之控制、程式及資料之存取控制、資料輸出入之控制、資料處理之控制、檔案及設備之安全控制、硬體及系統軟體之購置、使用及維護之控制、系統復原計畫及測試程序之控制、資通安全檢查之控制及向本會指定網站進行公開資訊申報相關作業之控制等作業。

(１０) 印鑑使用管理作業。

(１１) 票據領用管理作業。

(１２) 預算管理作業。

(１３) 財產管理作業。

(１４) 背書保證、負債承諾及或有事項管理等作業。

(１５) 職務授權及代理人制度作業。

(１６) 資金貸與他人作業。

(１７) 財務及非財務資訊管理作業。

(１８) 對子公司監督與管理之控制作業。

(１９) 關係人交易管理作業。

(２０) 財務報表編製流程管理作業，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。

(２１) 董事會議事運作管理作業。

(２２) 防範內線交易管理作業。（股票已上市或在證券商營業處所買賣之公司適用）

(２３) 薪資報酬委員會運作之管理。（股票已上市或在證券商營業處所買賣之公司適用）

(２４) 股務作業管理作業。

(２５) 個人資料保護管理作業。

(２６) 審計委員會議事運作管理作業。（公開發行公司設置審計委員會者）

(２７) 其他作業（上述未涵蓋之作業，公司應視需要自行增列）。

四、     資訊與溝通

(一) 企業應蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制制度之持續運作。

１、      公司內部控制制度是否具備產生規劃、執行、監督等所需資訊之機制？是否有適當流程辨識需要之資訊？是否支持內部控制其他組成要素之持續運作？管理階層是否定期從內部與外部收到攸關企業目標達成進度及所面臨風險的可靠資訊以供決策及營運監控之用？

２、      當企業目標及相關風險改變或發現內控缺失時，是否重新評估資訊及相關資訊系統的需求？

３、      管理階層支持設置資訊系統的程度如何？投入的物力若干？

４、  資訊系統是否能擷取内部與外部之資料來源？是否能轉換攸關資料以產生具品質之資訊？

５、      每一控制作業的重要資訊是否被辨識、記錄、使用並以特定方式及於特定時間內傳遞需運用該資訊執行其內控責任之人員？

６、      對屬內部重大資訊，公司是否建立資訊處理之作業程序？

７、      公司取得資訊時是否考量成本效益原則？

(二)    企業內部溝通之資訊應包括內部控制之目標與責任。

１、      溝通機制是否充分使組織上下或跨部門資訊之傳達無礙，且溝通機制涵蓋所有工作人員？是否提供資訊需求者適時取得資訊之機制？

２、      如何告訴員工，歸他們負責的任務有那些？就這些任務，歸他們負責的控制作業有那些？員工瞭解其對達成任務之貢獻度如何？

３、      是否具有報告疑似不當行為的溝通管道？當正常管道無法運作或失效時，是否有不同的溝通管道，如匿名或保密之溝通方式？

４、      管理階層是否願意接納員工的建議？

５、      企業內部各部門間如何溝通？資訊傳遞是否完整並及時便於員工履行其職責？

６、      管理階層與董事會間的溝通是否順暢？上述溝通能否使雙方擁有達到企業目標所需之決策資訊？

(三)    企業與外部人士溝通影響內部控制持續運作之相關事項。

１、      與顧客、消費者、供應商、主管機關、簽證會計師及其他外部利害關係人等之溝通管道是否暢通且有效？外部關係人提出的意見是否適當追蹤並及時處理？

２、      是否有申訴疑似不當行為之溝通管道？當正常管道無法運作或失效時，是否有不同的溝通管道，如匿名或保密之溝通方式？

３、      外界如何知悉本企業的道德標準？知悉程度如何？

４、      公司需對外揭露那些資訊？資訊的完整性、正確性如何？何時揭露？由誰負責控管？是否提供資訊需求者適時取得資訊之機制？

五、     監督作業

(一)    企業應進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。

１、      管理階層建立持續性評估、個別評估或兩者併行，是否考量業務之變動情形？持續性評估是否與業務流程結合及隨環境變化作調整？個別評估是否依據風險高低調整評估之範圍與頻率？

２、      在員工進行營業活動時，各單位主管如何監督？相關控制點是否被有效遵守？

３、      是否藉外界的資訊判斷內部資訊的正確性？如有，如何做？

４、      公司是否定期比對與調節會計紀錄與實際資產？

５、      在各單位進行自行評估時，是否作成書面紀錄？書面紀錄是否完備？主管如何監督？

６、      公司是否指定專人負責內部稽核的工作？內部稽核人員及其職務代理人之能力及經驗如何？應具備條件及進修時數是否符合主管機關之規定？內部稽核人員及其職務代理人執行業務是否秉持超然獨立之精神，以客觀公正之立場，本誠實信用原則，確實執行其職務？人數是否適當？他們對誰負責？內部稽核人員是否未兼任其他非稽核之工作？

７、      負責稽核工作的人如何執行其稽核任務？他們評估的事項有那些？是否包括複核各單位之內部控制自行評估？多久評估一次？評估的對象是什麼？如何評估？方法是否適當？各項評估是否客觀考量整體內部控制能否達成企業目標？

８、      評估的結果是否作成書面紀錄？書面紀錄是否完備？何人使用這些書面紀錄？管理階層是否適時收到內部控制有效性之回饋？

９、      管理階層對內、外部稽核所提建議的態度如何？

(二)    對於所發現之內部控制制度缺失，應向適當層級之管理階層、董事會及監察人（或審計委員會）溝通，並及時改善。

１、      已辨認的內部控制缺失是否向適當層級之管理階層、董事會及監察人（或審計委員會）溝通或報告？須多快？內容多詳細？

２、      管理階層、董事會及監察人（或審計委員會）是否分析處理評估結果？缺失報告之後，有無定期進行追蹤？缺失是否及時改善？是否持續監督至改善為止？

３、      內控聲明書是否據實報導公司內控設計及執行有效性之情況？