公開發行公司建立內部控制制度處理準則-簡讀版首頁法規目錄【法規名稱】♪公開發行公司建立內部控制制度處理準則【發布日期】113.04.22【發布機關】金融監督管理委員會【法規內容】第一章　　總　則第1條 ﹝1﹞本準則依證券交易法（以下簡稱本法）第十四條之一第二項規定訂定之。第2條 ﹝1﹞公開發行公司建立內部控制制度，除證券、期貨、金融及保險等事業之相關法令另有規定者外，應依本準則以及本準則所訂定之內部控制制度規定辦理。第3條 ﹝1﹞公開發行公司之內部控制制度係由經理人所設計，董事會通過，並由董事會、經理人及其他員工執行之管理過程，其目的在於促進公司之健全經營，以合理確保下列目標之達成：　　一、營運之效果及效率。　　二、報導具可靠性、及時性、透明性及符合相關規範。　　三、相關法令規章之遵循。 ﹝2﹞前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。 ﹝3﹞第一項第二款所稱之報導，包括公司內部與外部財務報導及非財務報導。其中外部財務報導之目標，包括確保對外之財務報表係依照證券發行人財務報告編製準則及一般公認會計原則編製，交易經適當核准等目標。第4條 ﹝1﹞公開發行公司應以書面訂定內部控制制度，含內部稽核實施細則，並經董事會通過，如有董事表示異議且有紀錄或書面聲明者，公司應將異議意見連同經董事會通過之內部控制制度送各監察人；修正時，亦同。 ﹝2﹞公開發行公司設置獨立董事者，依前項規定將內部控制制度提報董事會討論時，應充分考量各獨立董事之意見，並將其同意或反對之明確意見及反對之理由列入董事會紀錄。 ﹝3﹞公開發行公司設置審計委員會者，訂定或修正內部控制制度，應經審計委員會同意，並提董事會決議。 ﹝4﹞前項如未經審計委員會同意者，得由全體董事三分之二以上同意行之，並應於董事會議事錄載明審計委員會之決議。第二章　　內部控制制度之設計及執行第5條 ﹝1﹞公開發行公司之內部控制制度，應訂定明確之內部組織結構、呈報體系，及適當權限與責任，並載明經理人之設置、職稱、委任與解任、職權範圍及薪資報酬政策與制度等事項。 ﹝2﹞公開發行公司應考量公司及其子公司整體之營運活動，設計並確實執行其內部控制制度，且應隨時檢討，以因應公司內外在環境之變遷，俾確保該制度之設計及執行持續有效。 ﹝3﹞前項所稱子公司，應依證券發行人財務報告編製準則之規定認定之。第6條 ﹝1﹞公開發行公司之內部控制制度應包括下列組成要素：　　一、控制環境：係公司設計及執行內部控制制度之基礎。控制環境包括公司之誠信與道德價值、董事會及監察人治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人應建立內部行為準則，包括訂定董事行為準則、員工行為準則等事項。　　二、風險評估：風險評估之先決條件為確立各項目標，並與公司不同層級單位相連結，同時需考慮公司目標之適合性。管理階層應考量公司外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助公司及時設計、修正及執行必要之控制作業。　　三、控制作業：係指公司依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括公司所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。　　四、資訊與溝通：係指公司蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在公司內部，及公司與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。　　五、監督作業：係指公司進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人或董事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董事會及監察人溝通，並及時改善。 ﹝2﹞公開發行公司於設計及執行，或自行評估，或會計師受託專案審查公司內部控制制度時，應綜合考量前項所列各組成要素，其判斷項目除金融監督管理委員會（以下簡稱本會）所定者外，依實際需要得自行增列必要之項目。第7條 ﹝1﹞公開發行公司之內部控制制度應涵蓋所有營運活動，遵循所屬產業法令，並應依企業所屬產業特性以營運循環類型區分，訂定對下列循環之控制作業：　　一、銷售及收款循環：包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退回、客訴、產品銷毀、執行與記錄票據收受及現金收入等之政策及程序。　　二、採購及付款循環：包括供應商管理、代工廠商管理、請購、比議價、發包、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記錄供應商負債、核准付款、進貨折讓、執行與記錄票據交付及現金付款等之政策及程序。　　三、生產循環：包括環境安全管理、職業安全衛生管理、擬訂生產計畫、開立用料清單、儲存材料、領料、投入生產、製程安全控管、製成品品質管制、下腳及廢棄物管理、產品成分標示、計算存貨生產成本、計算銷貨成本等之政策及程序。　　四、薪工循環：包括僱用、職務輪調、請假、排班、加班、辭退、訓練、退休、決定薪資率、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等之政策及程序。　　五、融資循環：包括借款、保證、承兌、租賃、發行公司債及其他有價證券等資金融通事項之授權、執行與記錄等之政策及程序。　　六、不動產、廠房及設備循環：包括不動產、廠房及設備之取得、處分、維護、保管與記錄等之政策及程序。　　七、投資循環：包括有價證券、投資性不動產、衍生性商品及其他投資之決策、買賣、保管與記錄等之政策及程序。　　八、研發循環：包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權之取得、維護及運用等之政策及程序。 ﹝2﹞公開發行公司得視企業所屬產業特性，依實際營運活動自行調整必要之控制作業。第8條 ﹝1﹞公開發行公司之內部控制制度，除包括前條對各種營運循環類型之控制作業外，尚應包括對下列作業之控制：　　一、印鑑使用之管理。　　二、票據領用之管理。　　三、預算之管理。　　四、財產之管理。　　五、背書保證之管理。　　六、負債承諾及或有事項之管理。　　七、職務授權及代理人制度之執行。　　八、資金貸與他人之管理。　　九、財務及非財務資訊之管理。　　十、關係人交易之管理。　　十一、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計值變動之流程等。　　十二、對子公司之監督與管理。　　十三、董事會議事運作之管理。　　十四、股務作業之管理。　　十五、個人資料保護之管理。 ﹝2﹞公開發行公司設置審計委員會者，其內部控制制度，應包括審計委員會議事運作之管理。 ﹝3﹞股票已上市或在證券商營業處所買賣之公司，其內部控制制度，尚應包括對下列作業之控制：　　一、薪資報酬委員會運作之管理。　　二、防範內線交易之管理。 ﹝4﹞股票已上市或在證券商營業處所上櫃買賣之公司，其內部控制制度，應包括永續資訊之管理。第9條 ﹝1﹞公開發行公司使用電腦化資訊系統處理者，其內部控制制度除資訊部門與使用者部門應明確劃分權責外，至少應包括下列控制作業：　　一、資訊處理部門之功能及職責劃分。　　二、系統開發及程式修改之控制。　　三、編製系統文書之控制。　　四、程式及資料之存取控制。　　五、資料輸出入之控制。　　六、資料處理之控制。　　七、檔案及設備之安全控制。　　八、硬體及系統軟體之購置、使用及維護之控制。　　九、系統復原計畫制度及測試程序之控制。　　十、資通安全檢查之控制。　　十一、向本會指定網站進行公開資訊申報相關作業之控制。第9-1條 ﹝1﹞公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者，本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。 ﹝2﹞前項一定條件，由本會定之。第三章　　內部控制制度之評估　　第一節　　內部稽核第10條 ﹝1﹞公開發行公司應實施內部稽核，其目的在於協助董事會及經理人檢查及覆核內部控制制度之缺失及衡量營運之效果及效率，並適時提供改進建議，以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。第11條 ﹝1﹞公開發行公司應設置隸屬於董事會之內部稽核單位，並依公司規模、業務情況、管理需要及其他有關法令之規定，配置適任及適當人數之專任內部稽核人員，並應設置職務代理人，其代理執行稽核業務應依本準則規定辦理。 ﹝2﹞公開發行公司內部稽核主管之任免，應經董事會通過，已設置獨立董事者，獨立董事如有反對意見或保留意見，應於董事會議事錄載明。 ﹝3﹞公開發行公司設置審計委員會者，內部稽核主管之任免，應經審計委員會同意，並提董事會決議，並準用第四條第四項規定。 ﹝4﹞公開發行公司內部稽核主管有異動者，公司應於事實發生日之即日起算二日內將異動原因及異動內容，以網際網路資訊系統申報本會備查。 ﹝5﹞前項所稱事實發生日，係指董事會決議日或其他足資確定稽核主管任免之日等日期孰前者。 ﹝6﹞第一項所稱適任之專任內部稽核人員應具備條件，由本會另定之。第12條 ﹝1﹞公開發行公司之內部稽核實施細則至少應包括下列項目：　　一、內部稽核單位之目的、職權及責任。　　二、對內部控制制度進行評估，以衡量現行政策、程序之有效性及遵循程度與其對各項營運活動之影響。　　三、釐定稽核項目、時間、程序及方法。第13條 ﹝1﹞公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫，包括每月應稽核之項目，年度稽核計畫並應確實執行，據以評估公司之內部控制制度，並檢附工作底稿及相關資料等作成稽核報告。 ﹝2﹞公開發行公司至少應將下列事項列為每年年度稽核計畫之稽核項目：　　一、法令規章遵循事項。　　二、取得或處分資產、從事衍生性商品交易、資金貸與他人、為他人背書或提供保證之管理及關係人交易之管理等重大財務業務行為之控制作業。　　三、對子公司之監督與管理。　　四、董事會議事運作之管理。　　五、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計值變動之流程等。　　六、資通安全檢查。　　七、銷售及收款循環、採購及付款循環等重要營運循環。 ﹝3﹞公開發行公司設置審計委員會者，其年度稽核計畫，應包括審計委員會議事運作之管理。 ﹝4﹞股票已上市或在證券商營業處所買賣之公司之每年年度稽核計畫，尚應包括薪資報酬委員會運作之管理。 ﹝5﹞股票已上市或在證券商營業處所上櫃買賣之公司之每年年度稽核計畫，應包括永續資訊之管理。 ﹝6﹞公開發行公司年度稽核計畫應經董事會通過；修正時，亦同。 ﹝7﹞公開發行公司已設立獨立董事者，依前項規定將年度稽核計畫提報董事會討論時，應充分考量各獨立董事之意見，並將其意見列入董事會紀錄。 ﹝8﹞第一項之稽核報告、工作底稿及相關資料應至少保存五年。第14條 ﹝1﹞公開發行公司內部稽核人員應與受查單位就年度稽核項目查核結果充分溝通，對於評估所發現之內部控制制度缺失及異常事項，應據實揭露於稽核報告，並於該報告陳核後加以追蹤，至少按季作成追蹤報告至改善為止，以確定相關單位業已及時採取適當之改善措施。 ﹝2﹞公開發行公司應就前項所發現之內部控制制度缺失、異常事項及改善情形，列為各部門績效考核之重要項目。 ﹝3﹞第一項內部控制制度缺失及異常事項改善情形，應包括本會檢查所發現、內部稽核作業所發現、內部控制制度聲明書所列、自行評估及會計師專案審查所發現之各項缺失。第15條 ﹝1﹞公開發行公司應於稽核報告及追蹤報告陳核後，於稽核項目完成之次月底前交付各監察人查閱。 ﹝2﹞公開發行公司內部稽核人員如發現重大違規情事或公司有受重大損害之虞時，應立即作成報告陳核，並通知各監察人。 ﹝3﹞公開發行公司設有獨立董事，於依前二項規定辦理時，應一併交付或通知獨立董事。第16條 ﹝1﹞公開發行公司內部稽核人員應秉持超然獨立之精神，以客觀公正之立場，確實執行其職務，並盡專業上應有之注意，除定期向各監察人報告稽核業務外，稽核主管並應列席董事會報告。 ﹝2﹞內部稽核人員執行業務應本誠實信用原則，並不得有下列情事：　　一、明知公司之營運活動、報導及相關法令規章遵循情況有直接損害利害關係人之情事，而予以隱飾或作不實、不當之揭露。　　二、因職務上之廢弛，致損及公司或利害關係人之權益等情事。　　三、逾越稽核職權範圍以外之行為或有其他不正當情事，意圖為自己或第三人之利益，違背其職務之行為或侵占公司資產。　　四、對於以前曾服務之部門，於一年內進行稽核作業。　　五、與自身有利害關係或利益衝突案件未予迴避。　　六、未配合辦理本會指示查核事項或提供相關資料。　　七、直接或間接提供、承諾、要求或收受不合理禮物、款待或其他任何形式之不正當利益。　　八、其他違反法令或經本會規定不得為之行為。第17條 ﹝1﹞公開發行公司內部稽核人員應持續進修並參加本會認定機構所舉辦之內部稽核講習，以提昇稽核品質及能力。 ﹝2﹞前項內部稽核講習之內容，應包括各項專業課程、電腦稽核及法律常識等。 ﹝3﹞第一項進修時數之規定，由本會另定之。第18條 ﹝1﹞公開發行公司應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及所受訓練等資料依規定格式，於每年一月底前以網際網路資訊系統申報本會備查。第19條 ﹝1﹞公開發行公司應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形，依規定格式以網際網路資訊系統申報本會備查。第20條 ﹝1﹞公開發行公司應於每會計年度終了後五個月內將上一年度內部稽核所見內部控制制度缺失及異常事項改善情形，依規定格式以網際網路資訊系統申報本會備查。第三章　內部控制制度之評估　　第二節　　自行評估及內部控制制度聲明書第21條 ﹝1﹞公開發行公司自行評估內部控制制度之目的，在落實公司自我監督的機制、及時因應環境的改變，以調整內部控制制度之設計及執行，並提昇內部稽核部門的稽核品質及效率；其自行評估之範圍，應涵蓋公司各類內部控制制度之設計及執行。 ﹝2﹞公開發行公司執行前項評估，應於內部控制制度訂定自行評估作業之程序及方法。 ﹝3﹞公開發行公司應注意相關法令規章遵循事項並依風險評估結果，決定前項自行評估作業程序及方法，並至少包含下列項目：　　一、確定應進行測試之控制作業。　　二、確認應納入自行評估之營運單位。　　三、評估各項控制作業設計之有效性。　　四、評估各項控制作業執行之有效性。第22條 ﹝1﹞各公開發行公司自行評估內部控制制度，應先督促其內部各單位及子公司每年至少辦理自行評估一次，再由內部稽核單位覆核各單位及子公司之自行評估報告，併同稽核單位所發現之內部控制缺失及異常事項改善情形，以作為董事會及總經理評估整體內部控制制度有效性及出具內部控制制度聲明書之主要依據。 ﹝2﹞前項自行評估應作成工作底稿，併同自行評估報告及相關資料至少保存五年。第23條 ﹝1﹞公開發行公司自行評估內部控制制度之結果，以公司之內部控制制度是否能合理確保下列事項，分為有效之內部控制制度或有重大缺失之內部控制制度：　　一、董事會及總經理瞭解營運之效果及效率目標達成程度。　　二、報導係屬可靠、及時、透明及符合相關規範。　　三、已遵循相關法令規章。第24條 ﹝1﹞首次辦理股票公開發行及公開發行公司，應每年自行評估內部控制制度設計及執行的有效性，並依規定格式作成內部控制制度聲明書，除本會另有規定者外，應於每會計年度終了後三個月內於本會指定網站辦理公告申報。 ﹝2﹞公開發行公司設置審計委員會者，前項內部控制制度設計及執行之有效性，應經審計委員會同意，並準用第四條第四項規定。 ﹝3﹞第一項內部控制制度聲明書應先經董事會通過；修正時亦同，公司並應將修正原因及內容，於董事會通過之即日起算二日內於本會指定網站辦理公告申報。 ﹝4﹞第一項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。第三章　內部控制制度之評估　　第三節　　會計師專案審查第25條 ﹝1﹞會計師受公開發行公司委託或本會依據本法第三十八條之一指定專案審查公司內部控制制度，應依本準則及有關法令辦理之，其未規定者，依財團法人中華民國會計研究發展基金會發布之確信準則（以下簡稱確信準則）辦理。第26條 ﹝1﹞會計師專案審查公開發行公司內部控制制度之目的，係使公司之利害關係人，瞭解該公司之內部控制制度設計及執行是否有效。第27條 ﹝1﹞會計師受公開發行公司委託專案審查公開發行公司內部控制制度，應由符合本會所定會計師辦理公開發行公司財務報告查核簽證核准準則之資格條件之會計師二人以上共同審查簽證。第28條 ﹝1﹞會計師執行公開發行公司內部控制制度專案審查，除本會另有規定者外，以受查公司與外部財務報導及保障資產安全有關之內部控制制度為其審查之範圍。 ﹝2﹞前項所稱保障資產安全，係指使資產不致在未經授權之情況下取得、使用及處分。第29條 ﹝1﹞會計師執行公開發行公司內部控制制度專案審查所應涵蓋之期間，除本會另有規定外，應與受查公司內部控制制度聲明書所涵蓋之期間一致。第30條 ﹝1﹞會計師審查受查公開發行公司內部控制之設計與執行及其所出具之內部控制制度聲明書所聲明之事項，應提供合理確信，並蒐集足夠、適切之證據，使會計師之簽證風險降至可接受之低水準，並應遵循下列事項：　　一、專案審查工作應由受有專業訓練，並具備適當能力者擔任之。　　二、會計師對於受查公司出具之內部控制制度聲明書所聲明之事項，應具備足夠知識。　　三、會計師必須能以合理之判斷項目為標準，一致評估受查公司之聲明或其內部控制制度，方可承接審查案件，上述標準由本會或權威機構訂定之。　　四、在與專案審查有關之事務上，會計師應保持嚴謹公正之態度及超然獨立之精神。　　五、會計師執行專案審查工作，應盡專業上應有之注意。　　六、專案審查工作應妥為規畫，其有助理人員者，應善加督導。　　七、會計師應就內部控制制度之各個組成要素是否有效，均獲得足夠、適切之證據，俾對受查公司內部控制制度作成結論時有合理之基礎。　　八、專案審查工作底稿之編製及保管，應依確信準則3000號規定辦理。　　九、內部控制制度審查報告之出具，應依確信準則3000號規定辦理。第31條 ﹝1﹞會計師執行公司內部控制制度專案審查程序應分為下列四個階段：　　一、規劃：　　（一）取得受查公司董事會及經理人之控制目標、內部控制制度政策與程序之書面紀錄及其他必要之資訊。　　（二）規劃審查計畫。至少應考量下列因素：企業所屬產業特性、承接該受查公司其他案件時所得之資訊、受查公司之狀況及近來之變動、會計師可取得之證據、特定內部控制制度程序之性質及該程序對整體內部控制制度之重要性、對整體內部控制制度有效性之初步判斷、不同營運場所之差異、集權之程度、執行之交易及控制環境及會計師可接受與內部控制制度有關之重大性水準與控制風險。　　二、取得對內部控制制度之瞭解：會計師得以查詢、檢查及觀察等方法，取得對受查公司內部控制制度之瞭解，以作為評估內部控制制度是否有效之基礎。　　三、評估內部控制制度設計之有效性：　　（一）會計師評估受查公司內部控制制度設計之有效性時，應蒐集設計是否有效之證據；其蒐集之方法，包括查詢、檢查及觀察。　　（二）會計師評估內部控制制度設計之有效性時，應著重於內部控制制度整體是否能達成某一目標，而不是某一特定內部控制制度作業是否失當。　　（三）會計師如僅受託審查內部控制制度設計之有效性，應視實際情況需要執行必要之控制測試。　　四、測試及評估內部控制制度執行之有效性：　　（一）會計師應執行控制測試，以蒐集與內部控制制度執行有關之證據，據以評估內部控制制度執行之有效性。　　（二）會計師執行控制測試之方法，包括查詢、檢查、觀察及重新執行測試。執行控制測試應至證據足夠、適切為止。受查公司自行評估內部控制制度時所蒐集之證據，不得直接代替會計師應蒐集之證據。　　（三）會計師蒐集之證據是否足夠、適切，受下列因素影響：受查公司控制程序之性質、該控制程序對達成控制目標之重要性、受查公司不遵循控制程序之可能性、受查公司已執行控制測試之性質與程度及會計師對控制程序有效性之初步判斷。會計師並應就審查之期後期間執行必要之程序，取得對期後事項應有之證據。第32條（刪除）第33條（刪除）第34條 ﹝1﹞會計師因本會依據本法第三十八條之一指定，未取得受查公司針對相關內部控制制度之聲明書者，應對受查公司內部控制設計與執行之有效性提供合理確信，並依確信準則3000號規定出具審查報告。第35條（刪除）第36條 ﹝1﹞會計師專案審查公開發行公司內部控制制度所發現之缺失，應依規定格式出具內部控制制度建議書，以作為受查公司改進缺失之參考依據。第37條 ﹝1﹞會計師受託執行首次辦理股票公開發行公司之內部控制制度專案審查應依第二十五條至前條規定辦理。 ﹝2﹞會計師執行前項專案審查，應就公司是否已依法令規定執行，其中並應針對取得或處分資產、從事衍生性商品交易、資金貸與他人之管理、為他人背書或提供保證之管理、關係人交易之管理、財務報表編製流程之管理及對子公司之監督與管理訂定相關作業程序表示意見，以單獨一段文字，於審查報告中作適當之說明。 ﹝3﹞第一項專案審查所應涵蓋之期間，除本會另有規定者外，應為公司申報辦理公開發行之最近一會計年度。公司申報辦理股票公開發行日期已逾年度開始八個月者，所應涵蓋之期間為最近一會計年度之下半年度及本會計年度之上半年度。第四章　　對子公司之監督與管理第38條 ﹝1﹞公開發行公司應於內部控制制度中，訂定對子公司必要之控制作業，並考量該子公司所在地政府法令之規定及實際營運之性質，督促其子公司建立內部控制制度。第39條 ﹝1﹞公開發行公司對其子公司經營管理之監督與管理，至少應包括下列控制作業：　　一、公司與各子公司間應建立適當的組織控制架構，包括子公司董事、監察人及重要經理人之選任、指派權責之方式及薪資報酬政策與制度等事項。　　二、公司應規劃其與子公司間整體之經營策略、風險管理政策與指導原則，俾供各子公司據以擬定相關業務之經營計畫、風險管理之政策及程序。　　三、公司應訂定其與各子公司間，包括業務區隔、訂單接洽、備料方式、存貨配置、應收應付帳款之條件、帳務處理等之政策及程序。　　四、公司應訂定其監督與管理各子公司重大財務、業務事項，包括事業計畫及預算、重大設備投資及轉投資、舉借債務、資金貸與他人、背書保證、債務承諾、有價證券及衍生性金融商品之投資、重要契約、重大財產變動及適用國際財務報導準則、專業判斷、重要會計政策與估計值變動之流程管理等之政策及程序。第40條 ﹝1﹞公開發行公司對其子公司財務、業務資訊之監督與管理，至少應包括下列控制作業：　　一、公司應督導各子公司建立獨立的財務及業務資訊系統。　　二、公司與各子公司間應建立有效之財務及業務溝通系統，子公司除前條所列之重大財務、業務事項應於事實發生前陳報公司外，依本法及相關規定應為公告或申報之其他足以影響公司權益及證券價格之重大事項亦應於事實發生時立即向公司報告。　　三、公司應至少按季取得各子公司月結之管理報告，包括營運報告、產銷量月報表、資產負債月報表、損益月報表、現金流量月報表、應收帳款帳齡分析表及逾期帳款明細表、存貨庫齡分析表、資金貸與他人及背書保證月報表等，進行分析檢討。　　四、公司應配合法令規定之應公告或申報事項及其時限，及時安排各子公司提供必要之財務、業務資訊，或委託會計師進行查核或核閱各子公司之財務報告。 ﹝2﹞前項第三款有關公司應取得各子公司月結之管理報告，進行分析檢討；其應遵行事項，由本會定之。第41條 ﹝1﹞公開發行公司對其子公司稽核管理之監督與管理，至少應包括下列控制作業：　　一、公司應視各子公司之業務性質、營運規模及員工人數，指導其設置內部稽核單位及訂定內部控制制度自行評估作業之程序及方法，並監督其執行。　　二、公司內部稽核實施細則應將各子公司納入內部稽核範圍，定期或不定期執行稽核作業；稽核報告之發現及建議於陳核後，應通知各受查之子公司改善，並定期作成追蹤報告，以確定其已及時採取適當之改善措施。　　三、子公司應將專案稽核計畫、年度稽核計畫及實際執行情形，發現之內部控制制度缺失及異常事項改善情形等儘速向公司提出報告。　　四、公司內部稽核單位應覆核各子公司所陳報之稽核報告或自行評估報告，並追蹤其內部控制制度缺失及異常事項改善情形。第五章　　附　則第42條 ﹝1﹞公開發行公司應於內部控制制度中訂定經理人及相關人員違反本準則或公開發行公司所訂內部控制制度規定時之處罰。 ﹝2﹞公開發行公司應隨時檢查內部稽核人員有無違反第十一條第一項有關適任與專任規定及第十六條第二項規定之情事，如有違反者，公司應於發現之日起一個月內調整其職務。 ﹝3﹞公開發行公司於依第十八條規定申報內部稽核人員之基本資料時，應檢查內部稽核人員是否符合第十七條第一項規定，如違反該項規定，應於一個月內改善，若逾期未予改善，公司應立即調整其職務。第43條 ﹝1﹞公開發行公司有下列情事之一者，本會得令其限期改善，必要時並得命令公司委託會計師專案審查公司之內部控制制度，並取具審查報告報本會備查：　　一、未訂書面內部控制制度。　　二、未配置適任或適當人數之專任內部稽核人員。　　三、未依期限申報或未確實執行年度稽核計畫。　　四、未依期限申報年度稽核計畫實際執行情形。　　五、未依期限申報稽核所見內部控制缺失及異常事項之改善情形。　　六、未依規定自行評估內部控制制度，或未作成內部控制制度聲明書。　　七、未依會計師出具之內部控制建議書改善內部控制缺失事項而情節重大。　　八、外部財務報導不實或違反法令規章情節重大。　　九、發生重大舞弊或有舞弊之嫌。　　十、其他經本會認為有應專案審查之必要。第44條 ﹝1﹞公開發行公司宜訂定適當之風險管理政策與程序，建立有效風險管理機制，以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。第45條 ﹝1﹞公開發行公司設置審計委員會者，本準則第四條第一項、第六條第一項第一款、第五款、第十五條第一項、第二項、第十六條第一項及第三十九條第一項第一款對於監察人之規定，於審計委員會準用之。第46條 ﹝1﹞本準則規定格式，由本會另定之。第47條 ﹝1﹞本準則自中華民國一百零四年一月一日施行。 ﹝2﹞本準則修正條文，除中華民國一百十一年十二月十五日修正條文自一百十二年一月一日施行，一百十三年四月二十二日修正之第八條第四項及第十三條第五項自一百十四年一月一日施行外，自發布日施行。【編註】本檔提供學習與參考為原則；如需正式引用請以官方公告版為準。如有發現待更正部份及您所需本站未收編之法規，敬請告知，謝謝!

【法規名稱】♪

公開發行公司建立內部控制制度處理準則

【發布日期】113.04.22【發布機關】金融監督管理委員會

【法規內容】

第一章　　總　則

第1條

﹝1﹞本準則依證券交易法（以下簡稱本法）第十四條之一第二項規定訂定之。

第2條

﹝1﹞公開發行公司建立內部控制制度，除證券、期貨、金融及保險等事業之相關法令另有規定者外，應依本準則以及本準則所訂定之內部控制制度規定辦理。

第3條

﹝1﹞公開發行公司之內部控制制度係由經理人所設計，董事會通過，並由董事會、經理人及其他員工執行之管理過程，其目的在於促進公司之健全經營，以合理確保下列目標之達成：
　　一、營運之效果及效率。
　　二、報導具可靠性、及時性、透明性及符合相關規範。
　　三、相關法令規章之遵循。
﹝2﹞前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。
﹝3﹞第一項第二款所稱之報導，包括公司內部與外部財務報導及非財務報導。其中外部財務報導之目標，包括確保對外之財務報表係依照證券發行人財務報告編製準則及一般公認會計原則編製，交易經適當核准等目標。

第4條

﹝1﹞公開發行公司應以書面訂定內部控制制度，含內部稽核實施細則，並經董事會通過，如有董事表示異議且有紀錄或書面聲明者，公司應將異議意見連同經董事會通過之內部控制制度送各監察人；修正時，亦同。
﹝2﹞公開發行公司設置獨立董事者，依前項規定將內部控制制度提報董事會討論時，應充分考量各獨立董事之意見，並將其同意或反對之明確意見及反對之理由列入董事會紀錄。
﹝3﹞公開發行公司設置審計委員會者，訂定或修正內部控制制度，應經審計委員會同意，並提董事會決議。
﹝4﹞前項如未經審計委員會同意者，得由全體董事三分之二以上同意行之，並應於董事會議事錄載明審計委員會之決議。

第二章　　內部控制制度之設計及執行

第5條

﹝1﹞公開發行公司之內部控制制度，應訂定明確之內部組織結構、呈報體系，及適當權限與責任，並載明經理人之設置、職稱、委任與解任、職權範圍及薪資報酬政策與制度等事項。
﹝2﹞公開發行公司應考量公司及其子公司整體之營運活動，設計並確實執行其內部控制制度，且應隨時檢討，以因應公司內外在環境之變遷，俾確保該制度之設計及執行持續有效。
﹝3﹞前項所稱子公司，應依證券發行人財務報告編製準則之規定認定之。

第6條

﹝1﹞公開發行公司之內部控制制度應包括下列組成要素：
　　一、控制環境：係公司設計及執行內部控制制度之基礎。控制環境包括公司之誠信與道德價值、董事會及監察人治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人應建立內部行為準則，包括訂定董事行為準則、員工行為準則等事項。
　　二、風險評估：風險評估之先決條件為確立各項目標，並與公司不同層級單位相連結，同時需考慮公司目標之適合性。管理階層應考量公司外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助公司及時設計、修正及執行必要之控制作業。
　　三、控制作業：係指公司依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括公司所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。
　　四、資訊與溝通：係指公司蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在公司內部，及公司與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。
　　五、監督作業：係指公司進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人或董事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董事會及監察人溝通，並及時改善。
﹝2﹞公開發行公司於設計及執行，或自行評估，或會計師受託專案審查公司內部控制制度時，應綜合考量前項所列各組成要素，其判斷項目除金融監督管理委員會（以下簡稱本會）所定者外，依實際需要得自行增列必要之項目。

第7條

﹝1﹞公開發行公司之內部控制制度應涵蓋所有營運活動，遵循所屬產業法令，並應依企業所屬產業特性以營運循環類型區分，訂定對下列循環之控制作業：
　　一、銷售及收款循環：包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退回、客訴、產品銷毀、執行與記錄票據收受及現金收入等之政策及程序。
　　二、採購及付款循環：包括供應商管理、代工廠商管理、請購、比議價、發包、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記錄供應商負債、核准付款、進貨折讓、執行與記錄票據交付及現金付款等之政策及程序。
　　三、生產循環：包括環境安全管理、職業安全衛生管理、擬訂生產計畫、開立用料清單、儲存材料、領料、投入生產、製程安全控管、製成品品質管制、下腳及廢棄物管理、產品成分標示、計算存貨生產成本、計算銷貨成本等之政策及程序。
　　四、薪工循環：包括僱用、職務輪調、請假、排班、加班、辭退、訓練、退休、決定薪資率、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等之政策及程序。
　　五、融資循環：包括借款、保證、承兌、租賃、發行公司債及其他有價證券等資金融通事項之授權、執行與記錄等之政策及程序。
　　六、不動產、廠房及設備循環：包括不動產、廠房及設備之取得、處分、維護、保管與記錄等之政策及程序。
　　七、投資循環：包括有價證券、投資性不動產、衍生性商品及其他投資之決策、買賣、保管與記錄等之政策及程序。
　　八、研發循環：包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權之取得、維護及運用等之政策及程序。
﹝2﹞公開發行公司得視企業所屬產業特性，依實際營運活動自行調整必要之控制作業。

第8條

﹝1﹞公開發行公司之內部控制制度，除包括前條對各種營運循環類型之控制作業外，尚應包括對下列作業之控制：
　　一、印鑑使用之管理。
　　二、票據領用之管理。
　　三、預算之管理。
　　四、財產之管理。
　　五、背書保證之管理。
　　六、負債承諾及或有事項之管理。
　　七、職務授權及代理人制度之執行。
　　八、資金貸與他人之管理。
　　九、財務及非財務資訊之管理。
　　十、關係人交易之管理。
　　十一、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計值變動之流程等。
　　十二、對子公司之監督與管理。
　　十三、董事會議事運作之管理。
　　十四、股務作業之管理。
　　十五、個人資料保護之管理。
﹝2﹞公開發行公司設置審計委員會者，其內部控制制度，應包括審計委員會議事運作之管理。
﹝3﹞股票已上市或在證券商營業處所買賣之公司，其內部控制制度，尚應包括對下列作業之控制：
　　一、薪資報酬委員會運作之管理。
　　二、防範內線交易之管理。
﹝4﹞股票已上市或在證券商營業處所上櫃買賣之公司，其內部控制制度，應包括永續資訊之管理。

第9條

﹝1﹞公開發行公司使用電腦化資訊系統處理者，其內部控制制度除資訊部門與使用者部門應明確劃分權責外，至少應包括下列控制作業：
　　一、資訊處理部門之功能及職責劃分。
　　二、系統開發及程式修改之控制。
　　三、編製系統文書之控制。
　　四、程式及資料之存取控制。
　　五、資料輸出入之控制。
　　六、資料處理之控制。
　　七、檔案及設備之安全控制。
　　八、硬體及系統軟體之購置、使用及維護之控制。
　　九、系統復原計畫制度及測試程序之控制。
　　十、資通安全檢查之控制。
　　十一、向本會指定網站進行公開資訊申報相關作業之控制。

第9-1條

﹝1﹞公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者，本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。
﹝2﹞前項一定條件，由本會定之。

第三章　　內部控制制度之評估　　第一節　　內部稽核

第10條

﹝1﹞公開發行公司應實施內部稽核，其目的在於協助董事會及經理人檢查及覆核內部控制制度之缺失及衡量營運之效果及效率，並適時提供改進建議，以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。

第11條

﹝1﹞公開發行公司應設置隸屬於董事會之內部稽核單位，並依公司規模、業務情況、管理需要及其他有關法令之規定，配置適任及適當人數之專任內部稽核人員，並應設置職務代理人，其代理執行稽核業務應依本準則規定辦理。
﹝2﹞公開發行公司內部稽核主管之任免，應經董事會通過，已設置獨立董事者，獨立董事如有反對意見或保留意見，應於董事會議事錄載明。
﹝3﹞公開發行公司設置審計委員會者，內部稽核主管之任免，應經審計委員會同意，並提董事會決議，並準用第四條第四項規定。
﹝4﹞公開發行公司內部稽核主管有異動者，公司應於事實發生日之即日起算二日內將異動原因及異動內容，以網際網路資訊系統申報本會備查。
﹝5﹞前項所稱事實發生日，係指董事會決議日或其他足資確定稽核主管任免之日等日期孰前者。
﹝6﹞第一項所稱適任之專任內部稽核人員應具備條件，由本會另定之。

第12條

﹝1﹞公開發行公司之內部稽核實施細則至少應包括下列項目：
　　一、內部稽核單位之目的、職權及責任。
　　二、對內部控制制度進行評估，以衡量現行政策、程序之有效性及遵循程度與其對各項營運活動之影響。
　　三、釐定稽核項目、時間、程序及方法。

第13條

﹝1﹞公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫，包括每月應稽核之項目，年度稽核計畫並應確實執行，據以評估公司之內部控制制度，並檢附工作底稿及相關資料等作成稽核報告。
﹝2﹞公開發行公司至少應將下列事項列為每年年度稽核計畫之稽核項目：
　　一、法令規章遵循事項。
　　二、取得或處分資產、從事衍生性商品交易、資金貸與他人、為他人背書或提供保證之管理及關係人交易之管理等重大財務業務行為之控制作業。
　　三、對子公司之監督與管理。
　　四、董事會議事運作之管理。
　　五、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計值變動之流程等。
　　六、資通安全檢查。
　　七、銷售及收款循環、採購及付款循環等重要營運循環。
﹝3﹞公開發行公司設置審計委員會者，其年度稽核計畫，應包括審計委員會議事運作之管理。
﹝4﹞股票已上市或在證券商營業處所買賣之公司之每年年度稽核計畫，尚應包括薪資報酬委員會運作之管理。
﹝5﹞股票已上市或在證券商營業處所上櫃買賣之公司之每年年度稽核計畫，應包括永續資訊之管理。
﹝6﹞公開發行公司年度稽核計畫應經董事會通過；修正時，亦同。
﹝7﹞公開發行公司已設立獨立董事者，依前項規定將年度稽核計畫提報董事會討論時，應充分考量各獨立董事之意見，並將其意見列入董事會紀錄。
﹝8﹞第一項之稽核報告、工作底稿及相關資料應至少保存五年。

第14條

﹝1﹞公開發行公司內部稽核人員應與受查單位就年度稽核項目查核結果充分溝通，對於評估所發現之內部控制制度缺失及異常事項，應據實揭露於稽核報告，並於該報告陳核後加以追蹤，至少按季作成追蹤報告至改善為止，以確定相關單位業已及時採取適當之改善措施。
﹝2﹞公開發行公司應就前項所發現之內部控制制度缺失、異常事項及改善情形，列為各部門績效考核之重要項目。
﹝3﹞第一項內部控制制度缺失及異常事項改善情形，應包括本會檢查所發現、內部稽核作業所發現、內部控制制度聲明書所列、自行評估及會計師專案審查所發現之各項缺失。

第15條

﹝1﹞公開發行公司應於稽核報告及追蹤報告陳核後，於稽核項目完成之次月底前交付各監察人查閱。
﹝2﹞公開發行公司內部稽核人員如發現重大違規情事或公司有受重大損害之虞時，應立即作成報告陳核，並通知各監察人。
﹝3﹞公開發行公司設有獨立董事，於依前二項規定辦理時，應一併交付或通知獨立董事。

第16條

﹝1﹞公開發行公司內部稽核人員應秉持超然獨立之精神，以客觀公正之立場，確實執行其職務，並盡專業上應有之注意，除定期向各監察人報告稽核業務外，稽核主管並應列席董事會報告。
﹝2﹞內部稽核人員執行業務應本誠實信用原則，並不得有下列情事：
　　一、明知公司之營運活動、報導及相關法令規章遵循情況有直接損害利害關係人之情事，而予以隱飾或作不實、不當之揭露。
　　二、因職務上之廢弛，致損及公司或利害關係人之權益等情事。
　　三、逾越稽核職權範圍以外之行為或有其他不正當情事，意圖為自己或第三人之利益，違背其職務之行為或侵占公司資產。
　　四、對於以前曾服務之部門，於一年內進行稽核作業。
　　五、與自身有利害關係或利益衝突案件未予迴避。
　　六、未配合辦理本會指示查核事項或提供相關資料。
　　七、直接或間接提供、承諾、要求或收受不合理禮物、款待或其他任何形式之不正當利益。
　　八、其他違反法令或經本會規定不得為之行為。

第17條

﹝1﹞公開發行公司內部稽核人員應持續進修並參加本會認定機構所舉辦之內部稽核講習，以提昇稽核品質及能力。
﹝2﹞前項內部稽核講習之內容，應包括各項專業課程、電腦稽核及法律常識等。
﹝3﹞第一項進修時數之規定，由本會另定之。

第18條

﹝1﹞公開發行公司應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及所受訓練等資料依規定格式，於每年一月底前以網際網路資訊系統申報本會備查。

第19條

﹝1﹞公開發行公司應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形，依規定格式以網際網路資訊系統申報本會備查。

第20條

﹝1﹞公開發行公司應於每會計年度終了後五個月內將上一年度內部稽核所見內部控制制度缺失及異常事項改善情形，依規定格式以網際網路資訊系統申報本會備查。

第三章　內部控制制度之評估　　第二節　　自行評估及內部控制制度聲明書

第21條

﹝1﹞公開發行公司自行評估內部控制制度之目的，在落實公司自我監督的機制、及時因應環境的改變，以調整內部控制制度之設計及執行，並提昇內部稽核部門的稽核品質及效率；其自行評估之範圍，應涵蓋公司各類內部控制制度之設計及執行。
﹝2﹞公開發行公司執行前項評估，應於內部控制制度訂定自行評估作業之程序及方法。
﹝3﹞公開發行公司應注意相關法令規章遵循事項並依風險評估結果，決定前項自行評估作業程序及方法，並至少包含下列項目：
　　一、確定應進行測試之控制作業。
　　二、確認應納入自行評估之營運單位。
　　三、評估各項控制作業設計之有效性。
　　四、評估各項控制作業執行之有效性。

第22條

﹝1﹞各公開發行公司自行評估內部控制制度，應先督促其內部各單位及子公司每年至少辦理自行評估一次，再由內部稽核單位覆核各單位及子公司之自行評估報告，併同稽核單位所發現之內部控制缺失及異常事項改善情形，以作為董事會及總經理評估整體內部控制制度有效性及出具內部控制制度聲明書之主要依據。
﹝2﹞前項自行評估應作成工作底稿，併同自行評估報告及相關資料至少保存五年。

第23條

﹝1﹞公開發行公司自行評估內部控制制度之結果，以公司之內部控制制度是否能合理確保下列事項，分為有效之內部控制制度或有重大缺失之內部控制制度：
　　一、董事會及總經理瞭解營運之效果及效率目標達成程度。
　　二、報導係屬可靠、及時、透明及符合相關規範。
　　三、已遵循相關法令規章。

第24條

﹝1﹞首次辦理股票公開發行及公開發行公司，應每年自行評估內部控制制度設計及執行的有效性，並依規定格式作成內部控制制度聲明書，除本會另有規定者外，應於每會計年度終了後三個月內於本會指定網站辦理公告申報。
﹝2﹞公開發行公司設置審計委員會者，前項內部控制制度設計及執行之有效性，應經審計委員會同意，並準用第四條第四項規定。
﹝3﹞第一項內部控制制度聲明書應先經董事會通過；修正時亦同，公司並應將修正原因及內容，於董事會通過之即日起算二日內於本會指定網站辦理公告申報。
﹝4﹞第一項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。

第三章　內部控制制度之評估　　第三節　　會計師專案審查

第25條

﹝1﹞會計師受公開發行公司委託或本會依據本法第三十八條之一指定專案審查公司內部控制制度，應依本準則及有關法令辦理之，其未規定者，依財團法人中華民國會計研究發展基金會發布之確信準則（以下簡稱確信準則）辦理。

第26條

﹝1﹞會計師專案審查公開發行公司內部控制制度之目的，係使公司之利害關係人，瞭解該公司之內部控制制度設計及執行是否有效。

第27條

﹝1﹞會計師受公開發行公司委託專案審查公開發行公司內部控制制度，應由符合本會所定會計師辦理公開發行公司財務報告查核簽證核准準則之資格條件之會計師二人以上共同審查簽證。

第28條

﹝1﹞會計師執行公開發行公司內部控制制度專案審查，除本會另有規定者外，以受查公司與外部財務報導及保障資產安全有關之內部控制制度為其審查之範圍。
﹝2﹞前項所稱保障資產安全，係指使資產不致在未經授權之情況下取得、使用及處分。

第29條

﹝1﹞會計師執行公開發行公司內部控制制度專案審查所應涵蓋之期間，除本會另有規定外，應與受查公司內部控制制度聲明書所涵蓋之期間一致。

第30條

﹝1﹞會計師審查受查公開發行公司內部控制之設計與執行及其所出具之內部控制制度聲明書所聲明之事項，應提供合理確信，並蒐集足夠、適切之證據，使會計師之簽證風險降至可接受之低水準，並應遵循下列事項：
　　一、專案審查工作應由受有專業訓練，並具備適當能力者擔任之。
　　二、會計師對於受查公司出具之內部控制制度聲明書所聲明之事項，應具備足夠知識。
　　三、會計師必須能以合理之判斷項目為標準，一致評估受查公司之聲明或其內部控制制度，方可承接審查案件，上述標準由本會或權威機構訂定之。
　　四、在與專案審查有關之事務上，會計師應保持嚴謹公正之態度及超然獨立之精神。
　　五、會計師執行專案審查工作，應盡專業上應有之注意。
　　六、專案審查工作應妥為規畫，其有助理人員者，應善加督導。
　　七、會計師應就內部控制制度之各個組成要素是否有效，均獲得足夠、適切之證據，俾對受查公司內部控制制度作成結論時有合理之基礎。
　　八、專案審查工作底稿之編製及保管，應依確信準則3000號規定辦理。
　　九、內部控制制度審查報告之出具，應依確信準則3000號規定辦理。

第31條

﹝1﹞會計師執行公司內部控制制度專案審查程序應分為下列四個階段：
　　一、規劃：
　　（一）取得受查公司董事會及經理人之控制目標、內部控制制度政策與程序之書面紀錄及其他必要之資訊。
　　（二）規劃審查計畫。至少應考量下列因素：企業所屬產業特性、承接該受查公司其他案件時所得之資訊、受查公司之狀況及近來之變動、會計師可取得之證據、特定內部控制制度程序之性質及該程序對整體內部控制制度之重要性、對整體內部控制制度有效性之初步判斷、不同營運場所之差異、集權之程度、執行之交易及控制環境及會計師可接受與內部控制制度有關之重大性水準與控制風險。
　　二、取得對內部控制制度之瞭解：會計師得以查詢、檢查及觀察等方法，取得對受查公司內部控制制度之瞭解，以作為評估內部控制制度是否有效之基礎。
　　三、評估內部控制制度設計之有效性：
　　（一）會計師評估受查公司內部控制制度設計之有效性時，應蒐集設計是否有效之證據；其蒐集之方法，包括查詢、檢查及觀察。
　　（二）會計師評估內部控制制度設計之有效性時，應著重於內部控制制度整體是否能達成某一目標，而不是某一特定內部控制制度作業是否失當。
　　（三）會計師如僅受託審查內部控制制度設計之有效性，應視實際情況需要執行必要之控制測試。
　　四、測試及評估內部控制制度執行之有效性：
　　（一）會計師應執行控制測試，以蒐集與內部控制制度執行有關之證據，據以評估內部控制制度執行之有效性。
　　（二）會計師執行控制測試之方法，包括查詢、檢查、觀察及重新執行測試。執行控制測試應至證據足夠、適切為止。受查公司自行評估內部控制制度時所蒐集之證據，不得直接代替會計師應蒐集之證據。
　　（三）會計師蒐集之證據是否足夠、適切，受下列因素影響：受查公司控制程序之性質、該控制程序對達成控制目標之重要性、受查公司不遵循控制程序之可能性、受查公司已執行控制測試之性質與程度及會計師對控制程序有效性之初步判斷。會計師並應就審查之期後期間執行必要之程序，取得對期後事項應有之證據。

第32條（刪除）

第33條（刪除）

第34條

﹝1﹞會計師因本會依據本法第三十八條之一指定，未取得受查公司針對相關內部控制制度之聲明書者，應對受查公司內部控制設計與執行之有效性提供合理確信，並依確信準則3000號規定出具審查報告。

第35條（刪除）

第36條

﹝1﹞會計師專案審查公開發行公司內部控制制度所發現之缺失，應依規定格式出具內部控制制度建議書，以作為受查公司改進缺失之參考依據。

第37條

﹝1﹞會計師受託執行首次辦理股票公開發行公司之內部控制制度專案審查應依第二十五條至前條規定辦理。
﹝2﹞會計師執行前項專案審查，應就公司是否已依法令規定執行，其中並應針對取得或處分資產、從事衍生性商品交易、資金貸與他人之管理、為他人背書或提供保證之管理、關係人交易之管理、財務報表編製流程之管理及對子公司之監督與管理訂定相關作業程序表示意見，以單獨一段文字，於審查報告中作適當之說明。
﹝3﹞第一項專案審查所應涵蓋之期間，除本會另有規定者外，應為公司申報辦理公開發行之最近一會計年度。公司申報辦理股票公開發行日期已逾年度開始八個月者，所應涵蓋之期間為最近一會計年度之下半年度及本會計年度之上半年度。

第四章　　對子公司之監督與管理

第38條

﹝1﹞公開發行公司應於內部控制制度中，訂定對子公司必要之控制作業，並考量該子公司所在地政府法令之規定及實際營運之性質，督促其子公司建立內部控制制度。

第39條

﹝1﹞公開發行公司對其子公司經營管理之監督與管理，至少應包括下列控制作業：
　　一、公司與各子公司間應建立適當的組織控制架構，包括子公司董事、監察人及重要經理人之選任、指派權責之方式及薪資報酬政策與制度等事項。
　　二、公司應規劃其與子公司間整體之經營策略、風險管理政策與指導原則，俾供各子公司據以擬定相關業務之經營計畫、風險管理之政策及程序。
　　三、公司應訂定其與各子公司間，包括業務區隔、訂單接洽、備料方式、存貨配置、應收應付帳款之條件、帳務處理等之政策及程序。
　　四、公司應訂定其監督與管理各子公司重大財務、業務事項，包括事業計畫及預算、重大設備投資及轉投資、舉借債務、資金貸與他人、背書保證、債務承諾、有價證券及衍生性金融商品之投資、重要契約、重大財產變動及適用國際財務報導準則、專業判斷、重要會計政策與估計值變動之流程管理等之政策及程序。

第40條

﹝1﹞公開發行公司對其子公司財務、業務資訊之監督與管理，至少應包括下列控制作業：
　　一、公司應督導各子公司建立獨立的財務及業務資訊系統。
　　二、公司與各子公司間應建立有效之財務及業務溝通系統，子公司除前條所列之重大財務、業務事項應於事實發生前陳報公司外，依本法及相關規定應為公告或申報之其他足以影響公司權益及證券價格之重大事項亦應於事實發生時立即向公司報告。
　　三、公司應至少按季取得各子公司月結之管理報告，包括營運報告、產銷量月報表、資產負債月報表、損益月報表、現金流量月報表、應收帳款帳齡分析表及逾期帳款明細表、存貨庫齡分析表、資金貸與他人及背書保證月報表等，進行分析檢討。
　　四、公司應配合法令規定之應公告或申報事項及其時限，及時安排各子公司提供必要之財務、業務資訊，或委託會計師進行查核或核閱各子公司之財務報告。
﹝2﹞前項第三款有關公司應取得各子公司月結之管理報告，進行分析檢討；其應遵行事項，由本會定之。

第41條

﹝1﹞公開發行公司對其子公司稽核管理之監督與管理，至少應包括下列控制作業：
　　一、公司應視各子公司之業務性質、營運規模及員工人數，指導其設置內部稽核單位及訂定內部控制制度自行評估作業之程序及方法，並監督其執行。
　　二、公司內部稽核實施細則應將各子公司納入內部稽核範圍，定期或不定期執行稽核作業；稽核報告之發現及建議於陳核後，應通知各受查之子公司改善，並定期作成追蹤報告，以確定其已及時採取適當之改善措施。
　　三、子公司應將專案稽核計畫、年度稽核計畫及實際執行情形，發現之內部控制制度缺失及異常事項改善情形等儘速向公司提出報告。
　　四、公司內部稽核單位應覆核各子公司所陳報之稽核報告或自行評估報告，並追蹤其內部控制制度缺失及異常事項改善情形。

第五章　　附　則

第42條

﹝1﹞公開發行公司應於內部控制制度中訂定經理人及相關人員違反本準則或公開發行公司所訂內部控制制度規定時之處罰。
﹝2﹞公開發行公司應隨時檢查內部稽核人員有無違反第十一條第一項有關適任與專任規定及第十六條第二項規定之情事，如有違反者，公司應於發現之日起一個月內調整其職務。
﹝3﹞公開發行公司於依第十八條規定申報內部稽核人員之基本資料時，應檢查內部稽核人員是否符合第十七條第一項規定，如違反該項規定，應於一個月內改善，若逾期未予改善，公司應立即調整其職務。

第43條

﹝1﹞公開發行公司有下列情事之一者，本會得令其限期改善，必要時並得命令公司委託會計師專案審查公司之內部控制制度，並取具審查報告報本會備查：
　　一、未訂書面內部控制制度。
　　二、未配置適任或適當人數之專任內部稽核人員。
　　三、未依期限申報或未確實執行年度稽核計畫。
　　四、未依期限申報年度稽核計畫實際執行情形。
　　五、未依期限申報稽核所見內部控制缺失及異常事項之改善情形。
　　六、未依規定自行評估內部控制制度，或未作成內部控制制度聲明書。
　　七、未依會計師出具之內部控制建議書改善內部控制缺失事項而情節重大。
　　八、外部財務報導不實或違反法令規章情節重大。
　　九、發生重大舞弊或有舞弊之嫌。
　　十、其他經本會認為有應專案審查之必要。

第44條

﹝1﹞公開發行公司宜訂定適當之風險管理政策與程序，建立有效風險管理機制，以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。

第45條

﹝1﹞公開發行公司設置審計委員會者，本準則第四條第一項、第六條第一項第一款、第五款、第十五條第一項、第二項、第十六條第一項及第三十九條第一項第一款對於監察人之規定，於審計委員會準用之。

第46條

﹝1﹞本準則規定格式，由本會另定之。

第47條

﹝1﹞本準則自中華民國一百零四年一月一日施行。
﹝2﹞本準則修正條文，除中華民國一百十一年十二月十五日修正條文自一百十二年一月一日施行，一百十三年四月二十二日修正之第八條第四項及第十三條第五項自一百十四年一月一日施行外，自發布日施行。

【編註】本檔提供學習與參考為原則；如需正式引用請以官方公告版為準。
如有發現待更正部份及您所需本站未收編之法規，敬請告知，謝謝!