內部控制制度

Internal Control System
Internal Control SystemICS內控制度內部控制

定義

公開發行公司為合理確保營運效果效率、報導可靠性及法令遵循而設計、經董事會通過並由全體員工執行的管理過程,每年作成內部控制制度聲明書公告申報。

詳細說明

內部控制制度是證券交易法明定的法定義務,並非公司自願採行的內部管理選項。法律對公開發行公司、證券交易所、證券商及一定範圍的事業劃出兩條底線:一是必須建立財務、業務的內部控制制度;二是除經主管機關核准者外,每會計年度終了後三個月內要向主管機關申報內部控制聲明書。換句話說,制度要建、聲明書要年年交,兩件事都躲不掉。(法源見 references)

法律只說要建立制度,具體怎麼做則由金管會訂定的「公開發行公司建立內部控制制度處理準則」落成可操作要件。準則把內控定義為一套由經理人設計、董事會通過、再由董事會、經理人及全體員工執行的管理過程,目的在合理確保三項目標:一、營運之效果及效率;二、報導具可靠性、及時性、透明性及符合相關規範;三、相關法令規章之遵循。重點在於它區分了設計者(經理人)、核准者(董事會)與執行者(全體員工),不是寫給主管機關看的一疊文件。

對散戶而言,內控制度的價值在於它留下四道外部可驗證的痕跡。第一道是內部稽核單位:準則要求公開發行公司設置隸屬於董事會的內部稽核單位、配置適任專任人員,稽核主管任免要經董事會通過,使稽核獨立於被查核的經營階層。第二道是自行評估程序:各單位及子公司每年至少辦理自行評估一次,再由內部稽核單位覆核各單位的評估報告。

第三道痕跡是內部控制制度聲明書。公司每年要自行評估內控制度設計及執行的有效性、作成聲明書,並於每會計年度終了後三個月內在金管會指定網站公告申報,內容載明董事會與總經理對內控有效性的具體結論。第四道是會計師專案審查:首次辦理股票公開發行的公司,其內控制度要由會計師依準則程序專案審查,針對取得或處分資產、衍生性商品交易、資金貸與、背書保證、關係人交易、財務報表編製流程及對子公司的監督管理等項目表示意見。

把這四道痕跡讀懂,散戶就能把內控當成公司治理品質的可讀訊號。最直接的兩個切入點:一是看公開資訊觀測站揭露的內部控制制度聲明書,內容是「設計及執行有效」還是載有「重大缺失」;二是首次公開發行階段的會計師專案審查意見,是無保留意見還是針對某些作業程序提出保留。聲明書年年都寫得四平八穩、卻又反覆爆出財報重編或內部人掏空,往往是內控執行與書面制度脫節的線索。

台股相關規定

  • 建立內控制度與每年申報聲明書都是法定義務。公開發行公司、證券交易所、證券商及一定範圍的事業應建立財務、業務之內部控制制度;除經主管機關核准者外,應於每會計年度終了後三個月內向主管機關申報內部控制聲明書;主管機關並獲授權訂定內控準則(證券交易法 §14-1)。
  • 內控制度是由經理人設計、董事會通過,再由董事會、經理人及全體員工執行的管理過程,目的在合理確保三項目標:一、營運之效果及效率;二、報導具可靠性、及時性、透明性及符合相關規範;三、相關法令規章之遵循。設計者、核准者、執行者三方角色由條文明定(「公開發行公司建立內部控制制度處理準則」§3)。
  • 內部稽核單位必須隸屬於董事會,而非總經理或財務長。公開發行公司應實施內部稽核、設置隸屬董事會的內部稽核單位,並依公司規模、業務情況、管理需要等配置適任及適當人數的專任稽核人員;稽核主管之任免應經董事會通過,使稽核獨立於受查核的經營階層(處理準則 §10、§11)。
  • 自行評估是聲明書結論的依據。評估範圍應涵蓋公司各類內部控制制度之設計及執行;各單位及子公司每年至少辦理自行評估一次,再由內部稽核單位覆核各單位的評估報告;評估結果區分為「有效之內部控制制度」或「有重大缺失之內部控制制度」兩類(處理準則 §21、§22、§23)。
  • 公司每年要自行評估內控制度設計及執行之有效性,依規定格式作成內部控制制度聲明書,並於每會計年度終了後三個月內在金管會指定網站公告申報。聲明書載明董事會與總經理對內控有效性之結論,是散戶可在公開資訊觀測站直接查閱的治理訊號(處理準則 §24)。
  • 會計師專案審查分兩種觸發情形:受公開發行公司委託,或經金管會指定。其中首次辦理股票公開發行的公司,其內控制度須由會計師專案審查,並針對取得或處分資產、衍生性商品交易、資金貸與、背書保證、關係人交易、財務報表編製流程及對子公司之監督管理等項目以單獨一段文字表示意見(處理準則 §25、§37;金管會指定之法源為證券交易法 §38-1)。

內部控制制度 vs 內部稽核 vs 內部控制制度聲明書

性質法源散戶可讀的訊號
內部控制制度 經理人設計、董事會通過、全體員工執行的管理過程,合理確保營運、報導、法令遵循三項目標證券交易法 §14-1 第一項;「公開發行公司建立內部控制制度處理準則」§3制度本身不直接揭露,透過下列稽核、自行評估、聲明書、會計師審查留下痕跡
內部稽核 隸屬董事會的獨立查核單位,覆核各單位自行評估、查核內控執行情形處理準則 §10、§11(隸屬董事會、專任人員、主管任免經董事會通過)稽核單位是否獨立、主管異動是否頻繁,是治理穩定度的間接線索
內部控制制度聲明書 董事會與總經理對內控設計及執行有效性的年度書面結論證券交易法 §14-1 第三項;處理準則 §24(年度終了後三個月內公告申報)公開資訊觀測站可直接查閱,看是「有效」還是載有「重大缺失」

常見誤解

✗ 內部控制制度就是公司內部的一疊作業手冊,跟外部投資人沒關係、也查不到。
內控制度雖然由公司內部設計執行,但留下多道外部可驗證痕跡。法律要求公開發行公司每會計年度終了後三個月內向主管機關申報內部控制聲明書,並在金管會指定網站(公開資訊觀測站)公告申報、每年自行評估內控有效性。散戶可直接查閱這份聲明書,看內容是「設計及執行有效」還是載有「重大缺失」,再對照首次公開發行階段的會計師專案審查意見,作為公司治理品質的判讀依據。(法源見 references)
✗ 內部控制制度是董事會自己寫、自己審的,等於球員兼裁判,沒有獨立性可言。
準則把角色分得很清楚:內控制度由經理人設計、董事會通過,再由董事會、經理人及全體員工執行,設計者與核准者分屬不同層級。更關鍵的是要設置隸屬董事會的內部稽核單位、配置專任人員,稽核主管任免要經董事會通過,使稽核獨立於受查核的經營階層;各單位每年還要自行評估、再由內部稽核單位覆核。設計、執行、稽核、覆核分層,正是為了避免經營階層自評自過。(法源見 references)
✗ 只要公司每年聲明書都寫「內部控制有效」,就代表公司財務沒問題、可以放心買。
聲明書是董事會與總經理對內控有效性的自行評估結論,結果區分為「有效之內部控制制度」或「有重大缺失之內部控制制度」兩類,但「自行評估有效」不等於財務絕對乾淨。聲明書年年寫「有效」、卻又反覆出現財報重編、內部人掏空或重大訊息頻繁更正,往往是書面制度與實際執行脫節的線索。比較可靠的讀法是把聲明書結論、會計師專案審查或財報查核意見、以及公司治理評鑑結果交叉對照,而不是只看一句「有效」。

使用情境

在公開資訊觀測站查到某家公司的內部控制制度聲明書,學妹在投資夥伴 LINE 群問
學妹
欸我在公開資訊觀測站看到一份「內部控制制度聲明書」,董事長跟總經理都簽名說「內部控制有效」,這是不是代表這家公司財務很穩呀?
先別這麼快下結論喔~這份聲明書是法律規定每年會計年度結束後三個月內要向主管機關申報的,會在金管會指定網站公告,內容是董事會跟總經理對內控有效性的自評結論啦。它是法定要交的作業,「自評有效」跟「財務絕對乾淨」不能直接畫等號呢。
學妹
那這份聲明書到底要怎麼讀才有用?
看它寫的是「設計及執行有效」還是載有「重大缺失」呀,自行評估結果就分成這兩類。如果年年都寫有效、公司卻三天兩頭爆財報更正或內部人掏空,那就是書面制度跟實際執行脫節的訊號喔。
學妹
可是聲明書是公司自己評自己的,會不會根本不可信?
所以才不能只看這一份啦。內控背後還有隸屬董事會的內部稽核單位每年查核、各單位自行評估再由稽核覆核。首次公開發行時還要會計師做專案審查、針對資金貸與、背書保證、關係人交易這些高風險項目表示意見呢。
學妹
懂了,所以我要把這些一起看?
對呀~聲明書結論、會計師審查或財報查核意見、再加上證交所公司治理評鑑,三個一起交叉對照才準。單看一句「內部控制有效」就進場,跟只看本益比就買股票一樣危險喔~

常見問答

法規依據與來源

相關術語

審計委員會 Audit Committee 董事會職能 Board Functions 公司治理評鑑 Corporate Governance Evaluation 獨立董事 Independent Director 重大訊息 Material Information

同類術語

審計委員會 Audit Committee 董事會職能 Board Functions 減資 Capital Reduction 現金增資 Cash Capital Increase 公司治理評鑑 Corporate Governance Evaluation 下市 Delisting 董監改選 Director Election 董事責任 Director Liability
關於台股交易百科 回報錯誤
更新於 2026-06-25
← 回到台股交易百科