第 1 條
本辦法依金融控股公司法 (以下簡稱本法) 第五十一條規定訂定之。
第 2 條
金融控股公司內部控制制度及內部稽核制度,依本辦法之規定;本辦法未
規定者,依其他相關法令之規定。
第 3 條
金融控股公司應建立內部控制制度及內部稽核制度,並確保持續有效執行
,以健全金融控股公司及其子公司經營,並保障投資,維護金融安定。
第 4 條
內部控制之基本目的在於促進金融控股公司健全經營,並應由其董事會、
管理階層及所有從業人員共同遵行,以合理確保達成下列目標:
一、營運之效果及效率。
二、財務報導之可靠性。
三、相關法令之遵循。
前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產安全
等目標。
第 5 條
金融控股公司應規劃金融控股公司及其子公司整體經營策略、風險管理政
策與指導準則,由金融控股公司及其子公司分別據以擬定經營計畫、風險
管理程序及執行準則。
第 6 條
金融控股公司內部控制制度應包括下列原則:
一、管理階層之監督與控制文化:董事會應負責核准並定期覆核整體經營
策略與重大政策,並對確保建立維持適當有效之內部控制制度負有最
終之責任;高階管理階層應負責執行董事會核定之經營策略與政策,
發展足以辨識、衡量、監督及控制金融控股公司及其子公司風險之程
序,訂定適當之內部控制政策及監督其有效性與適切性。
二、風險辨識與評估:有效之內部控制制度需可辨識,並持續評估對金融
控股公司及其子公司整體目標之達成可能產生負面影響之重大風險,
並決定如何因應相關風險,使其能被限制在可承受之範圍內。
三、控制活動與職務分工:控制活動應是金融控股公司每日整體營運之一
部分,應設立完善之控制架構,及訂定各層級之內控程序;有效之內
部控制應有適當之職務分工,管理階層及員工應避免擔任責任相互衝
突之工作。
四、資訊與溝通:金融控股公司應保有完整之財務、營運及遵循法令資訊
;資訊應具備可靠性、及時性與容易取得之特性,並應建立有效之溝
通管道。
五、監督活動與導正措施:金融控股公司應持續監督內部控制之有效性;
其發現之內部控制缺失應即時向適當層級報告;若屬金融控股公司及
其子公司發生之重大內部控制缺失應立即向高階管理階層及董事會報
告,並應迅速採取改正措施。
第 7 條
金融控股公司之內部控制制度應涵蓋金融控股公司之營運活動,並應訂定
下列適當之政策及作業程序,且應適時檢討修訂:
一、組織規程或公司章則,包括明確之組織系統、單位職掌、業務範圍、
授權及分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一) 投資準則。
(二) 子公司管理。
(三) 共同行銷管理。
(四) 客戶資料保密。
(五) 利害關係人交易規範。
(六) 股權管理。
(七) 會計暨財務報表編製流程、總務、資訊、人事管理。
(八) 對外資訊揭露作業管理。
(九) 其他業務之規範及作業程序。
前項各種作業及管理規章之修訂,必要時應有遵守法令單位、內部稽核單
位等相關單位之參與。
第 8 條
金融控股公司內部控制制度,應經董事會通過,如有董事表示異議且有紀
錄或書面聲明者,公司應將異議意見連同經董事會通過之內部控制制度送
各監察人;修正時,亦同。
金融控股公司已設置獨立董事者,依前項規定將內部控制制度提報董事會
討論時,應充分考量各獨立董事之意見,並將其同意或反對之明確意見及
反對之理由列入董事會紀錄。
第 9 條
金融控股公司為符合法令之遵循,應建立遵守法令主管制度,指定一隸屬
於董事會或總經理之單位,負責制度之規劃、管理及執行,並指派高階主
管一人擔任遵守法令主管,綜理法令遵循事務,至少每半年向董事會及監
察人報告。
前項遵守法令主管名單應以網際網路資訊系統申報主管機關備查。
第 10 條
遵守法令單位應辦理下列事項:
一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動
符合法令規定。
三、訂定法令遵循之自行查核及評估內容與程序,並督導各單位定期自行
查核執行情形。
四、對各單位人員施以適當合宜之法規訓練。
金融控股公司自行查核法令遵循作業,每半年至少須辦理一次,其辦理結
果應送遵守法令單位備查。各單位辦理自行查核作業,應由該單位主管指
定專人辦理。
第 11 條
金融控股公司應訂定適當之風險管理政策與程序,建立獨立有效風險管理
機制,以評估及監督金融控股公司及其子公司之風險承擔能力、已承受風
險現況、決定風險因應策略及風險管理程序遵循情形。
前項風險管理政策與程序應經董事會通過並適時檢討修訂。
第 12 條
金融控股公司應設置獨立之專責風險控管單位,並定期向董事會提出風險
控管報告,若發現重大暴險,危及財務或業務狀況或法令遵循者,應立即
採取適當措施並向董事會報告。
第 13 條
金融控股公司之風險控管機制應包括下列事項:
一、依金融控股公司及其子公司業務規模、信用風險、市場風險與作業風
險狀況及未來營運趨勢,監控金融控股公司及其子公司資本適足性。
二、訂定適當之長短期資金調度原則及管理規範,建立衡量及監控金融控
股公司及其子公司流動性部位之管理機制,以衡量、監督、控管金融
控股公司及其子公司之流動性風險。
三、考量金融控股公司整體暴險、自有資本及負債特性進行各項投資配置
,建立各項投資風險之管理。
四、建立金融控股公司及其各子公司一致性資產品質及分類之評估方法,
計算及控管金融控股公司及其子公司之大額暴險,並定期檢視,覈實
提列備抵損失或準備。
五、對金融控股公司與其子公司及各子公司間業務或交易、資訊交互運用
等建立資訊安全防護機制及緊急應變計畫。
第 14 條
內部稽核制度之目的,在查核及評估內部控制制度是否有效運作及衡量營
運之效率,並適時提供改進建議,以確保內部控制制度得以持續有效實施
,協助董事會及管理階層確實履行其責任。
第 15 條
金融控股公司應設置隸屬董事會之內部稽核單位,並訂定內部稽核之組織
、編制與職掌,建立總稽核制,以獨立超然之精神,綜理稽核業務,至少
每半年向董事會及監察人報告。
第 16 條
內部稽核單位應辦理下列事項:
一、編撰內部稽核工作手冊及工作底稿,其內容至少應包括對內部控制制
度各項規定與業務流程進行評估,以判斷現行規定、程序是否已具有
適當之內部控制,各單位是否切實執行內部控制及執行內部控制之效
益是否合理等,隨時提出改進意見。
二、訂定內部控制制度之自行查核及評估內容與程序,並督導各單位定期
自行查核執行情形。
三、擬定年度稽核計畫,並依子公司業務風險特性及其內部稽核執行情形
,訂定對子公司之查核計畫。
金融控股公司自行查核內部控制制度,應先督促其內部各單位及子公司每
年至少須辦理一次自行查核,再由內部稽核單位覆核各單位及子公司之自
行查核報告,併同內部稽核單位所發現之內部控制缺失及異常事項改善情
形,以作為董事會、總經理、總稽核及遵守法令主管評估整體內部控制制
度有效性及出具內部控制制度聲明書之依據。
第 17 條
總稽核應具備領導及有效督導內部稽核工作之能力,其資格應符合本法第
十七條第一項所稱金融控股公司之發起人、負責人範圍及其應具備之資格
條件準則之授權規定,職位應等同於副總經理,且不得兼任與稽核工作有
相互衝突或牽制之職務。
總稽核之聘任、解聘或調職,應經董事會全體董事三分之二以上之同意,
並應報經主管機關核准後為之。內部稽核單位之人事任用、免職、升遷、
獎懲、輪調及考核等,應由總稽核簽報,報經董事長核定後辦理。但涉及
其他管理單位人事者,應事先洽商人事單位轉報總經理同意後,再行簽報
董事長核定。
金融控股公司總稽核得視業務需要,調動各子公司之內部稽核人員辦理金
融控股公司及其子公司之內部稽核工作,並對確保金融控股公司及其子公
司維持適當有效之內部稽核制度負最終之責任。
第 18 條
金融控股公司應依投資規模、業務情況、管理需要及其他相關法令之規定
,配置適任及適當人數之專任內部稽核人員,以超然獨立、客觀公正之立
場,執行其職務。
第 19 條
金融控股公司內部稽核人員應具備下列條件:
一、具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相當於
高等考試之考試及格並具有二年以上之金融業務經驗;或具有五年以
上之金融業務經驗。曾任會計師事務所查帳員、電腦公司程式設計師
或系統分析師等專業人員二年以上經驗,經施以三個月以上之金融業
務及管理訓練,視同符合規定。
二、最近三年內無記過以上之不良紀錄,但其因他人違規或違法所致之連
帶處分,已功過相抵者,不在此限。
三、內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗,或
一年以上之稽核經驗及五年以上之金融業務經驗。
第 20 條
金融控股公司內部稽核人員每年應參加主管機關指定機構所舉辦或所屬公
司或其子公司自行舉辦之金融相關業務專業訓練達三十小時以上,以提昇
稽核品質及能力。
參加主管機關指定機構所舉辦之金融相關業務專業訓練時數不得低於前項
應達訓練時數二分之一。
第 21 條
金融控股公司內部稽核人員執行業務應本誠實信用原則,並不得有下列情
事:
一、明知公司之營運活動、財務報導及相關法令遵循情況有直接損害利害
關係人之情事,而予以隱飾或作不實、不當之揭露。
二、逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得之資
訊,對外洩漏或為己圖利或侵害公司之利益。
三、對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理該等
案件或業務之稽核工作。
四、收受不當招待或餽贈或其他不正當利益。
五、未配合辦理主管機關指示查核事項或提供相關資料。
六、其他違反法令或經本會規定不得為之行為。
第 22 條
金融控股公司應確認內部稽核人員之資格條件符合本辦法規定,該等確認
文件及紀錄應建立專卷留存備查。
第 23 條
金融控股公司每年至少應辦理一次一般業務查核,每半年至少應對金融控
股公司及其所有子公司之財務、風險管理及法令遵循辦理一次專案業務查
核,並作成內部稽核報告。
金融控股公司辦理前項一般業務查核,如已涵蓋金融控股公司及其所有子
公司之財務、風險管理及法令遵循等專案業務查核之項目及範圍,且查核
結果無重大缺失事項並於內部稽核報告敘明者,該半年度得免辦理專案業
務查核。
金融控股公司內部稽核報告應交付監察人查閱,並於查核結束日起二個月
內函送主管機關。
第 24 條
金融控股公司辦理一般業務查核,其內部稽核報告內容至少應揭露下列項
目:
一、查核範圍、綜合評述、投資業務、股權管理、財務狀況、資本適足性
、資產品質、重要法令規章之遵循、內部控制、利害關係人交易、金
融控股公司所有子公司對同一人或同一關係人或同一關係企業授信、
背書或其他交易風險之控管、共同行銷與客戶資料保密管理、資訊管
理等。
二、金融檢查機關及內部稽核單位所提列之檢查意見或查核缺失,及內部
控制制度聲明書所列應加強辦理改善事項之未改善事項辦理情形。
第 25 條
金融控股公司之子公司,應向金融控股公司呈報董事會議紀錄、會計師查
核報告、金融檢查機關檢查報告或其他有關資料,已設置內部稽核單位之
子公司,並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情
形併同陳報,由金融控股公司予以審核,並督導子公司改善辦理。
金融控股公司之總稽核應定期對前項子公司內部稽核作業之成效加以考核
,經報告董事會考核結果後,將其結果送子公司董事會作為人事考評之依
據。
第 26 條
金融控股公司內部稽核單位對金融檢查機關、會計師、內部稽核單位所提
列檢查意見或查核缺失,及內部控制制度聲明書所列應加強辦理改善事項
,應持續追蹤覆查,並將其缺失改善辦理情形,以書面提報董事會及交付
監察人,並列為對相關單位績效考核之重要項目。
第 27 條
金融控股公司因內部管理不善、內部控制欠佳、內部稽核制度及遵守法令
主管制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形
或內部稽核單位對查核結果有隱匿未予揭露,而肇致重大弊端時,相關人
員應負失職責任,並作為主管機關審核金融控股公司及其子公司申請案件
之參考。
金融控股公司內部稽核人員發現重大弊端或疏失,並使金融控股公司免於
重大損失者,金融控股公司應予獎勵。
金融控股公司發生重大缺失或弊端時,內部稽核單位應有懲處建議權,並
應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。
第 28 條
金融控股公司依第十條第二項辦理自行查核法令遵循作業、第十六條第二
項辦理自行查核內部控制制度及第二十三條第一項辦理一般業務及專案業
務查核,均應作成工作底稿,併同自行查核報告或內部稽核報告及相關資
料應至少保存五年。
第 29 條
金融控股公司應審慎評估、檢討內部控制制度設計及執行之有效性,依自
行查核結果及內部稽核報告,由董事長、總經理、總稽核及遵守法令主管
聯名出具內部控制制度聲明書 (附表) ,提報董事會通過,於每會計年度
終了後四個月內將內部控制制度聲明書內容揭露於金融控股公司網站並於
主管機關指定網站辦理公告申報。
前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公
開說明書。
第 30 條
金融控股公司內部稽核人員及遵守法令主管,對內部控制重大缺失或違法
違規情事所提改進建議不為管理階層採納,將肇致金融控股公司重大損失
者,均應立即作成報告陳核,並通知監察人及通報主管機關。
第 31 條
第二十三條第三項及第三十條規定,於金融控股公司設有獨立董事或審計
委員會者,準用之。
第 32 條
金融控股公司應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及
所受訓練等資料,於每年一月底前依規定格式以網際網路資訊系統申報主
管機關備查。
第 33 條
金融控股公司應於每會計年度終了前將次一年度稽核計畫及每會計年度終
了後二個月內將上一年度之年度稽核計畫執行情形,依規定格式以網際網
路資訊系統申報主管機關備查。
第 34 條
金融控股公司應於每會計年度終了後五個月內將上一年度內部稽核發現之
內部控制制度缺失及異常事項改善情形,依規定格式以網際網路資訊系統
申報主管機關備查。
第 35 條
總稽核督導辦理內部稽核工作有下列情形之一者,主管機關得視情節之輕
重,予以糾正、命其限期改善或命令金融控股公司解除其總稽核職務:
一、有事實證明曾從事不當放款案件或涉及嚴重違反授信原則或與客戶不
當資金往來之行為。
二、濫用職權,有事實證明從事不正當之活動,或假借權力,以圖謀本身
或他人之利益。
三、未經主管機關同意,對執行職務無關之人員洩漏、交付或公開金融檢
查報告全部或其中任一部分內容。
四、金融控股公司因內部管理不善,發生重大舞弊案件,未通報主管機關
。
五、對金融控股公司財務及業務有嚴重缺失,未於內部稽核報告揭露。
六、辦理內部稽核工作,出具不實內部稽核報告。
七、金融控股公司因配置之內部稽核人員顯有不足或不適任,未能發現財
務及業務有嚴重缺失。
八、未配合主管機關指示事項辦理查核工作或提供相關資料。
九、其他有損害金融控股公司信譽或利益之行為。
第 36 條
金融控股公司應於內部控制制度中訂定經理人及相關人員違反本辦法或公
司所訂內部控制制度規定時之處罰。
金融控股公司應隨時檢查內部稽核人員有無違反第二十一條之規定,如有
違反規定者,應於發現之日起一個月內調整其職務。
金融控股公司依第三十二條規定申報內部稽核人員之基本資料時,應檢查
內部稽核人員是否符合第十九條及第二十條規定,如有違反規定者,應於
二個月內改善,若逾期未予改善,金融控股公司應立即調整其職務。