本一科技內部控制與風險管理辦法

第一條 目的 #

為以公開發行公司內部控制精神建立本一科技早期新創可執行版本，合理確保營運效率、報導可靠、法令遵循、資產安全、醫療 AI 風險可控，特訂定本辦法。

第二條 控制目標 #

1. 營運有效與效率。
2. 財務及非財務報導可靠、即時、透明。
3. 法令、合約、醫療、個資、資安與 AI 規範遵循。
4. 資產、資料、IP、現金與公司聲譽保護。

第三條 內控五構面 #

1. 控制環境：治理、誠信、組織、權責、RACI。
2. 風險評估：辨識、評估、排序、風險胃納與應對。
3. 控制作業：採購、付款、收入、收款、薪資、資產、合約、IT、AI。
4. 資訊與溝通：會議、台帳、報表、事件通報、文件分級。
5. 監督作業：月結檢視、季度治理、內部自評、改善追蹤。

第四條 風險分類 #

公司風險至少分為策略、市場、客戶集中、現金流、合約、財務、法遵、個資、資安、AI、醫療安全、供應商、交付、智財、人資、品牌與 ESG。

第五條 風險登錄表 #

各主管應維護風險登錄表，載明風險描述、原因、影響、可能性、等級、早期訊號、負責人、控制措施、剩餘風險、改善期限與狀態。

第六條 關鍵風險指標 #

KRI 包含但不限於：

1. 現金跑道、應收帳款天數、毛利率、雲端成本占比。
2. 重大合約未審查件數。
3. 資安事件、個資事件、AI 嚴重錯誤。
4. 客戶導入延遲、驗收缺失、客服 S1/S2 件數。
5. RACI 留痕率、月結完成率、權限逾期未回收件數。

第七條 自我檢查 #

各部門至少每季進行一次自我檢查，CFO/CSO 彙整高風險事項提交治理會議。重大缺失應建立改善追蹤單。

第八條 例外通報 #

若發生越權簽署、未核准採購、合約未審、資料外洩、AI 嚴重錯誤、付款異常、關係人未揭露、重大客訴或現金流警戒，應即時通報。

第九條 管理審查 #

CEO Office 每年至少召開一次管理審查，檢視內控有效性、風險趨勢、重大缺失、事件、資源需求與制度修訂。

第十條 文件保存 #

風險登錄表、KRI、內控自評、改善追蹤、會議紀錄與佐證文件保存至少五年。