附件

內部控制制度有效性判斷項目

壹、控制環境

一、操守及價值觀

1.公司是否訂有員工行為守則或類似規範？如有，該規範是否完備、及告知每位員工瞭解及落實執行？如無，企業文化是否強調操守的重要性？

2.經理人在與員工、供應商、投資人、債權人、競爭對手及會計師等往來時，其行為是否基於公司要求之道德標準？

3.當員工違反既定政策及程序時，如何補救？如何處罰？

4.經理人踰越既定控制程序時，是否被記錄及調查？

5.管理階層期待某些短期目標之達成，以獲取報酬之程度如何？員工是否受到達成某些不切實際短期目標的壓力？他們的報酬繫於這些目標達成之程度如何？

二、執行之能力

1.是否訂有明確的職務說明書？如無，經理人如何告訴員工他們須執行的工作有那些？

2.各重要主管之知識及經驗如何？履行責任之能力如何？是否分析負責某特定工作需具備那些知識及技能？如何分析？是否定期評估及維持擔任各重要職務所需之能力？

3.公司是否聘任具備財務報導能力之人員？

三、董事會及監察人或審計委員會

1.董事會之召集，議事內容及作業程序是否符合相關規定？

2.已設置審計委員會者，是否至少有一位成員具有會計或財務專長的背景？

3.董事會與經理人間獨立性如何？權責是否明確劃分？董事會是否有一定席次的獨立董事？監察人與經理人間獨立性如何？

4.董事會及監察人（或審計委員會）各成員的知識、經驗及教育訓練如何？其組合是否適當？

5.董事會成員與財務主管、會計主管及內、外部稽核聯繫的情況如何？提供指導及監督的程度如何？監察人（或審計委員會）與這些人聯繫的情況如何？提供指導及監督的程度如何？

6.董事、監察人（或審計委員會）獲悉的資訊是否與企業之目標及策略、財務狀況、及經營成果、現金流量、重大合約條款有關？能否用於監督企業之營運？多快獲悉？如何獲悉？

四、管理哲學及經營型態

1. 管理階層對承受風險之態度如何？

2. 管理階層與各單位主管間之互動情形如何？

3. 在選擇會計政策及形成會計估計時，管理階層的態度如何？揭露重要資訊之意願如何？

4.管理階層是否設定明確的營運目標、財務報導目標及法令遵循目標?

五、組織結構

1.組織結構是否配合企業的規模及作業之複雜性而設計？各部門責任分工是否明確？所建立之報告關係，是否有利於管理階層得到適當之資訊？

2. 組織結構因應產業或業務等改變的彈性、意願及速度如何？

六、權責之分派

1.權責如何劃分？劃分是否適切？授給員工的權力與其擔負之責任是否相稱？員工人數是否足夠？

2.管理階層是否對內部控制負責，包括建立、實施及維護有效運作的內部控制制度?

3.負責資訊處理、財務及會計職能的員工，人數及教育訓練是否足夠？

七、人力資源之政策與實行

1.如何聘僱員工？如何調查員工之背景？如何訓練員工？

2.員工升遷及薪酬的政策如何？員工的留任及晉升與其績效間的關係如何？如何蒐集用以評估員工績效的資訊？員工的留任及晉升與行為守則間的關係如何？如何蒐集該等資訊？

3.向董事會、監察人負責之員工，其任免及俸給如何決定？

4. 公司的薪酬計畫，包括最高管理階層部分，如何制訂?

貳、風險評估及回應

一、企業整體目標之制訂

1.企業所訂定之整體目標是否充分顯示企業想要達到的目標？

2.企業整體目標是否有效地在組織內傳達？

3.策略如何訂定？策略與整體目標間的關係如何？

4.企業計畫、預算如何訂定？其與整體目標、策略間的關係如何？在目前情況下，這些目標是否合理？是否可行？

二、作業層級目標之制訂

1.作業層級目標如何訂定？其與企業整體目標及策略間的關係如何？明確程度如何？與營業過程間之攸關程度如何？

2.管理階層是否對財務報導目標訂有充分之說明及標準，以促使可靠財務報導風險之辨識？

三、風險之分析

1.引發企業整體風險（包括舞弊風險）的企業內、外在因素有那些？如何辨識？每一種因素發生的可能性有多大？發生的後果或影響有多嚴重？

2.引發作業層級風險（包括舞弊風險）的內、外在因素有那些？如何辨識？每一種因素發生的可能性有多大？發生的後果或影響有多嚴重？

3.是否有機制可以辨識及回應那些可能對企業產生重大影響的改變？

四、風險回應

1.公司是否訂定風險承受度？在整體層級及作業層面風險承受能力各如何？

2.公司是否根據風險評估結果決定風險回應方式，如採規避、降低、分擔或接受等方式進行？

參、控制作業

1.企業的重大作業是否在成本效益原則下，設有相關的控制政策和程序？是否能有效降低已辨認出來的風險的發生機率與影響程度？設計是否有效？控制政策和程序是否已予執行？執行的效果如何？對違反政策或程序的事件，是否採取適當的行動？

2.以下所列係以製造業為例，各公司應依其內部控制制度(包含已書面化及未書面化)各項控制作業逐項評估之，每一項控制作業其評估過程必須考量內部控制制度各組成要素。公司應依據各項控制作業評估結果，再彙整評估公司整體內部控制制度，方可確保制度之有效性。

﹙一﹚銷售及收款循環：包括訂單處理、授信管理、發貨運送、開立銷貨發票、開出帳單、應收帳款及記錄、收款、應收客票、客訴處理等作業。

﹙二﹚採購及付款循環：包括請購、採購、驗收、退貨處理、應付供應商負債及記錄、付款、零用金等作業。

﹙三﹚生產循環：包括擬訂生產計畫、開立用料清單、儲存材料、領料、生產、品管、存貨出入庫、存貨管理及記錄、計算存貨生產成本、計算銷貨成本等作業。

﹙四﹚薪工循環：包括人事資料、人力資源規劃、招募、訓練、考勤、考核、升遷、薪資表編製、薪資發放等作業。

﹙五﹚融資循環：包括借款額度審核、借款合約訂定、發行公司債及其他有價證券、還本付息及記錄、抵(質)押及記錄、以及股務處理(例如，股票之發行、過戶、掛失及註銷等作業之授權、執行、記錄暨空白股票之保管)等作業。

﹙六﹚固定資產循環：包括固定資產之取得、增添、處置、報廢、保管及記錄等作業。

﹙七﹚投資循環：包括有價證券、不動產、衍生性商品及其他投資之決策、買賣、保管、記錄等作業。

﹙八﹚研發循環：包括基礎研究、產品設計、技術研發、產品試作與測試、研發資訊及文件之記錄與保管等作業。

﹙九﹚使用電腦化資訊處理作業：包括資訊部門與使用者部門權責之劃分、資訊處理部門之功能及職責劃分、系統開發及程式修改之控制、編製系統文書之控制、程式及資料之存取控制、資料輸出入之控制、資料處理之控制、檔案及設備之安全控制、硬體及系統軟體之購置、使用及維護之控制、系統復原計畫及測試程序之控制、資通安全檢查之控制及向本會指定網站進行公開資訊申報相關作業之控制等作業。

﹙十﹚印鑑使用管理作業。

﹙十一﹚票據領用管理作業。

﹙十二﹚預算管理作業。

﹙十三﹚財產管理作業。

﹙十四﹚背書保證、負債承諾及或有事項管理等作業。

﹙十五﹚職務授權及代理人制度作業。

﹙十六﹚資金貸與他人作業。

﹙十七﹚財務及非財務資訊管理作業。

﹙十八﹚對子公司監督與管理之控制作業。

（十九）關係人交易管理作業。

（二十）財務報表編製流程管理作業。

（二十一）董事會議事運作管理作業。

（二十二）防範內線交易管理作業。

﹙二十三﹚其他作業(上述未涵蓋之作業，公司應視需要自行增列)。

3. 公司是否設計與建置適用的資訊科技控制，以支持財務報導目標之達成？

肆、資訊和溝通

一、資訊

1. 管理階層是否定期從內外部收到攸關企業目標達成進度及所面臨風險的可靠資訊以供決策及營運監控之用？

2. 當企業目標及相關風險改變或發現內控缺失時，是否重新評估資訊及相關資訊系統的需求？

3. 經理人支持設置資訊系統的程度如何？投入的物力若干？

4. 資訊系統是否產生及時、最新及可靠的資訊？

5. 每一控制作業的重要資訊是否被辨識、記錄、使用並以特定方式及於特定時間內傳遞需運用該資訊執行其內控責任之人員？

6. 對屬內部重大資訊，公司是否建立資訊處理之作業程序？

二、溝通

1. 溝通機制是否充分使組織上下或跨部門資訊之傳達無礙，且溝通機制涵蓋所有工作人員？

2. 如何告訴員工，歸他們負責的任務有那些？就這些任務，歸他們負責的控制作業有那些？員工瞭解其對達成任務之貢獻度如何？

3. 是否具有報告疑似不當行為的溝通管道？當正常管道無法運作或失效時，是否有不同的溝通管道？

4. 經理人是否願意接納員工的建議？

5. 企業內部各部門間如何溝通？資訊傳遞是否完整並及時便於員工履行其職責？

6. 與顧客、供應商及其他外部利害關係人之溝通管道是否暢通且有效？外部關係人提出的申訴是否適當追蹤並及時處理

7. 外界如何知悉本企業的道德標準？知悉程度如何？

8. 經理人與董事會間的溝通是否順暢？上述溝通能否使雙方擁有達到企業目標所需之決策資訊？

9. 公司需對外揭露那些資訊？資訊的完整性、正確性如何？何時揭露？由誰負責控管？

伍、監督

一、持續性的監督

1.在員工進行營業活動時，各單位主管如何監督？相關控制點是否被有效遵守？

2.是否藉外界的資訊判斷內部資訊的正確性？如有，如何做？

3. 公司是否定期比對與調節會計紀錄與實際資產？

4. 在各單位進行自行檢查時，是否作成書面紀錄？書面紀錄是否完備？主管如何監督？

二、個別評估

1.公司是否指定專人負責內部稽核的工作？其能力及經驗如何？其資格是否符合主管機關之規定？人數是否適當？他們對誰負責？負責內部稽核工作的人，是否未兼任其他非稽核之工作？

2.負責稽核工作的人如何執行其稽核任務？他們評估的事項有那些？是否包括複核各單位的內部控制自行檢查？多久評估一次？評估的對象是什麼？如何評估？方法是否適當？各項評估是否客觀考量整體內部控制能否達成企業目標？

3.評估的結果是否作成書面紀錄？書面紀錄是否完備？何人使用這些書面紀錄？管理階層是否適時收到內部控制有效性之回饋？

4.管理階層對內、外部稽核所提建議的態度如何？

三、缺失的報導

1.已辨認的內部控制缺失如何報導？報告對象是否適當？須多快？內容多詳細？

2.缺失報告之後，有無定期進行追蹤？追蹤的有效性如何？

3.內控聲明書是否據實報導公司內控設計及執行有效性之情況？