從審計準則公報第72號看企業在法令遵循的成熟度（上）

審計準則公報第72號(下稱72號公報)係規範查核人員查核財務報表時對法令遵循的考量，並自2020年1月1日起施行，雖非直接針對企業進行規範，但依該號公報意旨，企業如有對財務報表有重大影響之法令未遵循事項時，將有可能導致會計師查核時出具保意見或無法表示意見，縱然法令未遵循事項對財務報表影響並不重大，但如因此可能質疑經營階層之誠信時，會計師仍應考慮是否終止委任。換言之，企業有未遵循或疑似未遵循的事項，其影響可能不容小覷，且相較前身審計準則公報第29號，本次修正變動幅度極大，亦可能進一步檢驗企業在法令遵循上的成熟度。

72號公報有六章五十七條的條文內容，其規範內容頗多，本文認為72號公報有三大面向可以進一步加以剖析：一、管理階層 / 治理單位之責任，二、對法令之辨識，三、未遵循事項及疑似未遵循事項之對應。

關於管理階層 / 治理單位之責任部分，管理階層應確保企業之業務經營符合法令，治理單位則應監督之。管理階層應確保企業符合之法令可區分為三類，企業應辨識出應用於財務報導架構或應於財報做特定揭露之法令(如：證交法)、法令規定的權利義務可能將認列於財務報表(如：土地法或專利法)、企業未遵循而可能導致裁罰之法令(如：環保法令)。而企業為防止及偵出未遵循法令事項，應訂定之政策及程序至少包括：1.應追蹤法令變化；2.應保存被投訴紀錄。以此觀之，辨識法令及追蹤法令更新變化似乎係管理階層 / 治理單位在法令遵循的一項最基本職責，因為企業如果連所屬產業別所應遵循的法令都未有充分認識時，實難期待企業可相對應制定適當且有效的法令遵循機制，特別是對於法令變更時，可能與企業原本執行的控制措施產生相當的落差，例如2010年5月立法院三讀通過的個人資料保護法，即與原本的電腦處理個人資料保護法有相當程度的差異，以致行政院遲至2012年10月始正式公告施行，實務上亦有包括金融業在內的諸多企業在個資法施行之初就去取得國際個資保護認證，以避免在個資法上發生未遵循或疑似未遵循的狀態。

另一個值得注意的是，企業應訂定之政策及程序包括管理階層 / 治理單位應保存被投訴紀錄，亦與「上市上櫃公司誠信經營守則」要求完備具體檢舉制度之規範相呼應，但僅備置投訴紀錄並不足以防止及偵出未遵循法令事項，企業似乎宜有完整的法遵計畫，亦即規範面的設計與實際執行成效的控管，茲就過往財報不實的案例來進一步分析：B公司負責人A為解決B公司財務問題，透過名下D、E、F股份有限公司以收購股權之方式，取得C公司經營權，進而以下列方法掏空C公司：1.於C公司董事會，決議通過高價投資購買B公司；2.以C公司得標之工程案轉包給B公司並先支付工程預付款；3.將C公司資金貸與B公司。以各項交易觀之，似乎都有會計憑證或法律契約，但其實質上是否遵循法令，宜另外有監控程序及檢核表，例如併購、工程或借貸他人等交易的法遵控管流程，避免無實質經濟目的之交易或關係人交易等，或交易本身並不符合商業判斷法則，甚或違反相關證券交易法或公司法等規範，而成為舞弊交易的一環。

（待續）