第 一 章 總則
第 1 條
本準則依證券交易法第十四條之一第二項及期貨交易法第九十七條之一第
二項規定訂定之。
第 2 條
各服務事業建立內部控制制度,應依本準則以及本準則所訂定之內部控制
制度規定辦理。但其他法律另有規定者,從其規定。
第 3 條
本準則所稱各服務事業,包括證券交易所、證券櫃檯買賣中心、期貨交易
所、證券集中保管事業、證券商、期貨業、證券金融事業、信用評等事業
及其他經主管機關指定之證券或期貨市場服務事業。
第 4 條
各服務事業之內部控制制度係由服務事業經理人所設計,董事會通過,並
由董事會、經理人及其他員工執行之管理過程,其目的在於促進服務事業
之健全經營,以合理確保下列目標之達成:
一、營運之效果及效率。
二、財務報導之可靠性。
三、相關法令之遵循。
前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產安全
等目標。
第一項第二款所稱財務報導之可靠性目標,包括確保對外之財務報表係依
照一般公認會計原則編製,交易經適當核准等目標。
第 5 條
各服務事業應以書面訂定內部控制制度,含內部稽核實施細則,並經董事
會通過,如有董事表示異議且有紀錄或書面聲明者,服務事業應將異議意
見連同經董事會通過之內部控制制度送各監察人;修正時,亦同。
各服務事業已設置獨立董事者,依前項規定將內部控制制度提報董事會討
論時,應充分考量各獨立董事之意見,獨立董事如有反對意見或保留意見
,應於董事會議事錄載明。
各服務事業已依證券交易法規定設置審計委員會者,訂定或修正內部控制
制度,應經審計委員會全體成員二分之一以上同意,並提董事會決議。
前項如未經審計委員會全體成員二分之一以上同意者,得由全體董事三分
之二以上同意行之,並應於董事會議事錄載明審計委員會之決議。
第三項所稱審計委員會全體成員及前項所稱全體董事,以實際在任者計算
之。
第 二 章 內部控制制度之設計及執行
第 6 條
各服務事業之內部控制制度,應訂定明確之內部組織架構,並載明經理人
之設置、職稱、委任與解任及職權範圍等事項。
各服務事業應考量本事業及其子公司整體之營運活動,設計並確實執行其
內部控制制度,且應隨時檢討,以因應公司內外在環境的變遷,俾確保該
制度之設計及執行持續有效。
前項所稱子公司,應依財團法人中華民國會計研究發展基金會發布之財務
會計準則公報第五號及第七號之規定認定之。
第 7 條
各服務事業之內部控制制度應包括下列組成要素:
一、控制環境:係指塑造組織文化、影響員工控制意識之綜合因素。影響
控制環境之因素,包括員工之操守、價值觀及能力;董事會及經理人
之管理哲學、經營風格;聘僱、訓練、組織員工與指派權責之方式;
董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。
二、風險評估:係指各服務事業辨認其目標不能達成之內、外在因素,並
評估其影響程度及可能性之過程。其評估結果,可協助事業及時設計
、修正及執行必要之控制作業。
三、控制作業:係指設立完善之控制架構及訂定各層級之控制程序,以幫
助董事會及經理人確保其指令已被執行之政策及程序,包括核准、授
權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產
實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理
等之政策及程序。
四、資訊及溝通:所稱資訊,係指資訊系統所辨認、衡量、處理及報導之
標的,包括與營運、財務報導或遵循法令等目標有關之財務或非財務
資訊。所稱溝通,係指把資訊告知相關人員,包括公司內、外部溝通
。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者
適時取得資訊之機制。
五、監督:係指自行檢查內部控制品質之過程,包括評估控制環境是否良
好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝
通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過
程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人
員進行評估。
各服務事業於設計及執行,或自行檢查,或會計師受託專案審查服務事業
內部控制制度時,應綜合考量前項所列各組成要素,其判斷項目除主管機
關所定者外,依實際需要得自行增列必要之項目。
第 8 條
各服務事業之內部控制制度,除視事業之性質訂定各種交易循環類型之控
制作業外,尚應視其需要包括對下列作業之控制:
一、印鑑使用之管理。
二、票據領用之管理。
三、預算之管理。
四、財產之管理。
五、背書保證之管理。
六、負債承諾及或有事項之管理。
七、職務授權及代理人制度之執行。
八、財務及非財務資訊之管理。
九、關係人交易之管理。
十、財務報表編製流程之管理。
十一、對子公司之監督與管理。
十二、法令遵循制度。
股票公開發行之各服務事業之內部控制制度,除應包括前項作業之控制外
,尚應包括董事會議事運作之管理。
第 9 條
各服務事業使用電腦化資訊系統處理者,其內部控制制度除資訊部門與使
用者部門應明確劃分權責外,至少應包括下列控制作業:
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。
十、資通安全檢查之控制。
十一、依規定向主管機關指定網站進行公開資訊申報者,其相關作業之控
制。
第 三 章 內部控制制度之檢查
第 一 節 內部稽核
第 10 條
各服務事業應實施內部稽核,其目的在於協助董事會及經理人檢查及覆核
內部控制制度之缺失及衡量營運之效果及效率,並適時提供改進建議,以
確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據
。
第 11 條
各服務事業應設置隸屬於董事會之內部稽核單位,除主管機關另有規定外
,應依其事業規模、業務情況、管理需要及其他有關法令之規定,配置適
任及適當人數之專任內部稽核人員。
各服務事業內部稽核主管之任免,應經董事會通過,已設置獨立董事者,
獨立董事如有反對意見或保留意見,應於董事會議事錄載明。
各服務事業已依證券交易法規定設置審計委員會者,內部稽核主管之任免
,應經審計委員會全體成員二分之一以上同意,並提董事會決議,並準用
第五條第四項及第五項規定。
除證券商及期貨業另有規定外,各服務事業內部稽核主管之任免,應於董
事會通過之日起五日內填報異動原因併董事會會議紀錄申報主管機關備查
。
第一項所稱適任之專任內部稽核人員應具備條件,由主管機關另定之。
第 12 條
各服務事業之內部稽核實施細則至少應包括下列項目:
一、對內部控制制度進行檢查,以衡量現行政策、程序之有效性及遵循程
度與其對各項營運活動之影響。
二、釐定稽核項目、時間、程序及方法。
第 13 條
各服務事業內部稽核單位應依風險評估結果擬訂年度稽核計畫,除主管機
關另有規定外,應包括每月應稽核之項目,年度稽核計畫並應確實執行,
據以檢查服務事業之內部控制制度,並檢附工作底稿及相關資料等作成稽
核報告。
各服務事業至少應將取得或處分資產、從事衍生性商品交易、為他人背書
保證之管理及關係人交易之管理等重大財務業務行為之控制作業、對子公
司之監督與管理、資通安全檢查等列為每年年度稽核計畫之稽核項目。
股票公開發行之各服務事業之每年年度稽核計畫,除應包括前項之稽核項
目外,尚應包括董事會議事運作之管理。
各服務事業年度稽核計畫應經董事會通過;修正時,亦同。
各服務事業已設立獨立董事者,依前項規定將年度稽核計畫提報董事會討
論時,應充分考量各獨立董事之意見,獨立董事如有反對意見或保留意見
,應於董事會議事錄載明。
第一項之稽核報告、工作底稿及相關資料應至少保存五年。
第 14 條
各服務事業內部稽核人員對於檢查所發現之內部控制制度缺失及異常事項
,應據實揭露於稽核報告,並於該報告陳核後加以追蹤,定期作成追蹤報
告,以確定相關單位業已及時採取適當之改善措施。
各服務事業應就前項所發現之內部控制制度缺失、異常事項及改善情形,
列為各部門績效考核之重要項目。
第一項內部控制制度缺失及異常事項改善情形,應包括主管機關或自律機
構檢查所發現、內部稽核作業所發現、內部控制制度聲明書所列、自行檢
查及會計師專案審查所發現之各項缺失。
第 15 條
各服務事業應於稽核報告及追蹤報告陳核後,於稽核項目完成之次月底前
交付各監察人查閱。
各服務事業內部稽核人員如發現重大違規情事或服務事業有受重大損失之
虞時,應立即作成報告陳核,並通知各監察人。
各服務事業設有獨立董事者,於依前二項規定辦理時,應一併交付或通知
獨立董事。
第 16 條
各服務事業內部稽核人員應秉持超然獨立之精神,以客觀公正之立場,確
實執行其職務,除定期向各監察人報告稽核業務外,稽核主管並應列席董
事會報告。
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、明知事業之營運活動、財務報導及相關法令遵循情況有直接損害利害
關係人之情事,而予以隱飾或作不實、不當之揭露。
二、因不當意圖或職務上之廢弛,致損及事業或利害關係人之權益等情事
。
三、未配合辦理主管機關指示查核事項或提供相關資料。
四、其他違反法令或經主管機關規定不得為之行為。
第 17 條
各服務事業內部稽核人員應持續進修並參加主管機關認定機構所舉辦之內
部稽核講習,以提昇稽核品質及能力。
前項內部稽核講習之內容,應包括各項專業課程、電腦稽核及法律常識等
。
第一項進修時數之規定,由主管機關另定之。
第 18 條
各服務事業除證券商及期貨業另有規定外,應將內部稽核人員之姓名、年
齡、學歷、經歷、服務年資及所受訓練等資料依主管機關規定格式及方式
於每年一月底前申報主管機關備查。
第 19 條
證券商及期貨業之年度稽核計畫及其執行情形、所見異常事項改善情形等
均應分別送證券交易所、證券櫃檯買賣中心、證券集中保管事業、期貨交
易所、證券商同業公會或期貨業商業同業公會備查;其格式內容、方式及
申報時間,分別由證券交易所、證券櫃檯買賣中心、證券集中保管事業、
期貨交易所、證券商同業公會或期貨業商業同業公會訂之。
證券金融事業、信用評等事業及其他主管機關指定之證券或期貨市場服務
事業應於每會計年度終了前將次一年度之年度稽核計畫及每會計年度終了
後二個月內將上一年度之年度稽核計畫執行情形依主管機關規定格式及方
式申報主管機關備查;並應於每會計年度終了後五個月內,將上一年度內
部稽核所見異常事項改善情形申報主管機關備查。
證券交易所、證券櫃檯買賣中心、證券集中保管事業及期貨交易所於每會
計年度終了前將次一年度之年度稽核計畫及每季終了後二個月內將上一季
內部稽核實際執行情形、所見異常事項及異常事項改善情形申報主管機關
備查。
第 二 節 自行檢查及內部控制制度聲明書
第 20 條
各服務事業自行檢查內部控制制度之目的,在落實自我監督之機制、及時
因應環境改變,以調整內部控制制度之設計,並提昇內部稽核部門的檢查
品質及效率;其檢查之範圍,應涵蓋服務事業各類內部控制制度之設計及
執行。
各服務事業執行前項檢查,應於內部控制制度訂定自行檢查作業之程序及
方法。
各服務事業應依風險評估結果,決定前項自行檢查作業程序及方法,並至
少包含下列項目:
一、確定應進行測試之控制作業。
二、確認應納入自行檢查之營運單位。
三、評估各項控制作業設計之有效性。
四、評估各項控制作業執行之有效性。
第 21 條
各服務事業自行檢查內部控制制度,除主管機關另有規定外,應先督促其
內部各單位及子公司每年至少辦理自行檢查一次,再由內部稽核單位覆核
各單位之自行檢查報告,併同稽核單位所發現之內部控制缺失及異常事項
改善情形,以作為董事會及總經理評估事業整體內部控制制度有效性及出
具內部控制制度聲明書之主要依據。
前項自行檢查應作成工作底稿,併同自行檢查報告及相關資料至少保存五
年。
第 22 條
各服務事業自行檢查內部控制制度之結果,以各服務事業之內部控制制度
是否能合理確保下列事項,分為有效之內部控制制度或有重大缺失之內部
控制制度:
一、董事會及總經理知悉營運之效果及效率目標達成程度。
二、財務報導係屬可靠。
三、已遵循相關法令。
第 23 條
各服務事業應每年自行檢查內部控制制度設計及執行之有效性,並依主管
機關規定格式作成內部控制制度聲明書於每會計年度終了後四個月內申報
主管機關備查。
各服務事業已依證券交易法規定設置審計委員會者,前項內部控制制度設
計及執行之有效性,應經審計委員會全體成員二分之一以上同意,並準用
第五條第四項及第五項規定。
第一項內部控制制度聲明書應先經董事會通過;修正時,亦同。
股票公開發行之各服務事業,第一項內部控制制度聲明書應於主管機關指
定網站辦理公告申報,免再將書面資料申報主管機關備查。
第一項之內部控制制度聲明書應依規定刊登於年報及公開說明書。
第 三 節 專案審查
第 24 條
為加強電腦資訊系統之控制,證券交易所、證券櫃檯買賣中心、期貨交易
所及證券集中保管事業應定期委託具公信力及查核能力之專業人員執行有
關使用電腦資訊系統處理各項作業之專案稽核,並將稽核結果報主管機關
備查。
第 25 條
會計師受各服務事業委託專案審查內部控制制度,準用公開發行公司建立
內部控制制度處理準則第二十五條至第三十六條之規定辦理。
第 四 節 法令遵循制度
第 26 條
主管機關得視證券商、期貨業、證券金融事業、信用評等事業及其他經主
管機關指定之證券或期貨市場服務事業規模、業務性質及組織特性,命令
設置隸屬於董事會或總經理之單位,負責法令遵循制度之規劃、管理及執
行。
董事會應指派高階主管一人擔任公司法令遵循主管,綜理法令遵循事務,
至少每半年向董事會及各監察人報告。
前項法令遵循主管名單,除證券商及期貨業另有規定外,應於董事會通過
之日起五日內填報異動原因併董事會會議紀錄申報主管機關備查。
第 27 條
負責法令遵循之單位應辦理下列事項:
一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動
符合法令規定。
三、訂定法令遵循之評估內容與程序,並督導各單位定期自行評估執行情
形。
四、對各單位人員施以適當合宜之法規訓練。
五、督導海外分支機構遵循其所在地國家之法令。
六、其他經主管機關規定應辦理之事項。
法令遵循自行評估作業,每年至少須辦理一次,其辦理結果應送法令遵循
單位備查。各單位辦理自行評估作業,應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
第 28 條
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單位之查
核辦理。
第 四 章 附則
第 29 條
各服務事業對子公司之監督與管理準用公開發行公司建立內部控制制度處
理準則第三十八條至第四十一條之規定辦理。
各服務事業之子公司如為本準則第三條所稱之服務事業,各服務事業對該
子公司之監督與管理得不適用前項規定辦理。
第 30 條
各服務事業應於內部控制制度中訂定經理人及相關人員違反本準則或各服
務事業所訂內部控制制度規定時之處罰。
各服務事業應隨時檢查內部稽核人員有無違反第十一條第一項有關適任與
專任規定及第十六條第二項規定之情事,如有違反規定者,除法令另有規
定外,各服務事業應於發現之日起一個月內調整其職務。
各服務事業於依第十八條規定申報內部稽核人員之基本資料時,應檢查內
部稽核人員是否符合第十七條第一項規定,如違反該項規定,應於一個月
內改善,若逾期未予改善,除法令另有規定外,各服務事業應立即調整其
職務。
第 31 條
各服務事業有下列情事之一者,主管機關得令其限期改善,必要時並得命
令各服務事業委託會計師專案審查各服務事業之內部控制制度,並取具審
查報告報主管機關備查:
一、未訂書面內部控制制度者。
二、未配置適任或適當人數之專任內部稽核人員者。
三、未依期限申報或未確實執行年度稽核計畫者。
四、未依期限申報年度稽核計畫實際執行情形者。
五、未依期限申報稽核所見內部控制缺失及異常事項之改善情形者。
六、未依規定自行檢查內部控制制度,或未作成內部控制制度聲明書。
七、未依會計師出具之內部控制建議書改善內部控制缺失事項而情節重大
者。
八、財務報導不實或違反法令情節重大者。
九、發生重大舞弊或有舞弊之嫌者。
十、其他經主管機關認為有應專案審查之必要者。
第 32 條
各服務事業已依證券交易法規定設置審計委員會者,本準則第五條第一項
、第七條第一項第一款、第五款、第十五條第一項、第二項、第十六條第
一項及第二十六條第二項對於監察人之規定,於審計委員會準用之。
第 34 條
各服務事業如屬外國事業在中華民國境內分支機構者,本準則規定應由董
事會或監察人處理之事項,得由該外國事業董事會授權之在中華民國境內
分支機構負責人處理。