本辦法依保險法 (以下簡稱本法) 第一百四十八條之三第一項規定訂定之
。

本辦法所稱內部控制制度，指管理階層所設計，董 (理) 事會通過，並由
董 (理) 事會、管理階層及其他員工執行之管理過程，其目的在於促進保
險業之健全經營，以合理確保達成下列目標：
一、保險業之營運係以謹慎之態度，依據董 (理) 事會所制定之政策及策
略進行。
二、各項交易均經適當之授權。
三、資產受到安全保障。
四、財務與其他紀錄提供完整、正確、可供驗證，暨及時之資訊。
五、管理階層能辨識、評估、管理，及控制營運之風險，並保有適足之資
本以因應風險。
六、相關法令之遵循。

保險業內部控制制度，應經董﹙理﹚事會通過。董﹙理﹚事表示異議且有
紀錄或書面聲明者，保險業應將異議意見連同經董﹙理﹚事會通過之內部
控制制度送各監察人；修正時，亦同。並應配合經濟環境發展、法規及財
務業務作業流程之變更，定期檢討修正之。
保險業已設置獨立董事者，依前項規定將內部控制制度提報董 (理) 事會
討論時，應充分考量各獨立董事之意見，並將其同意或反對之明確意見及
反對之理由列入董 (理) 事會紀錄。

保險業之內部控制制度，至少應包括下列各項原則：
一、管理階層之監督及控制文化：董 (理) 事會應負責核准並定期覆核整
體經營策略與重大政策，董 (理) 事會對於確保建立並維持適當有效
之內部控制制度負有最終之責任；管理階層應負責執行董事會核定之
經營策略與政策，發展足以辨識、衡量、監督及控制保險業風險之程
序，訂定適當之內部控制政策及監督其有效性與適切性。
二、風險辨識與評估：有效之內部控制制度須可辨識並持續評估所有對保
險業目標之達成可能產生負面影響之重大風險。
三、控制活動與職務分工：控制活動應是保險業每日整體營運之一部分，
應設立完善之控制架構，及訂定各層級之內控程序；有效之內部控制
制度應有適當之職務分工，且管理階層及員工不應擔任責任相互衝突
之工作。
四、資訊與溝通：應保有適切完整之財務、營運及遵循資訊；資訊應具備
可靠性、及時性與容易取得之特性，並以一致性之格式提供，有效之
內部控制制度應建立有效之溝通管道。
五、監督活動與更正缺失：保險業內部控制整體之有效性應予持續監督，
營業單位、內部稽核或其他內控人員發現之內部控制缺失均應即時向
適當層級報告，若屬重大之內部控制缺失應向管理階層及董 (理) 事
會報告，並應立即採取改正措施。

保險業應分別業務性質及規模，依內部牽制原理訂定至少應包括下列控制
作業之處理程序，且應適時檢討修訂：
一、保險商品開發作業：包括保險商品之風險評估、費率適足性之評估及
準備金充分性之評估。
二、保險商品銷售作業：包括文宣及保單揭露事項、招攬、核保、契約轉
換、復效、保全、收費。
三、保險商品理賠作業：包括事故調查、審核、付款作業。
四、各種資金運用作業：包括整體性投資政策、各種投資資產之取得、保
管、處分。
五、清償能力評估作業：包括各種準備金提存之評估、資產品質之評估、
資產與負債配合、逾期放款、催收款之清理、投資與資金之流動性管
理、財務狀況評估及資本適足之評估。
六、從事衍生性金融商品作業：包括交易原則與方針、作業程序、公告申
報程序、會計處理方式、內部控制與稽核制度。
七、再保險作業：包括再保險方式、各種風險及承受風險之評估，再保險
自留限額及再保險人、再保險經紀人之選擇。
八、關於會計、總務、資源、人事管理及其他各種業務之控制作業。
九、其他經主管機關指定之事項。

保險業使用電腦化資訊系統處理者，其內部控制制度，除資訊部門與使用
者部門應明確劃分權責外，至少應包括下列控制作業：
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、電腦機房門禁之控制。
八、系統、檔案及電腦、通訊設備之安全控制。
九、硬體及系統軟體之購置、使用及維護之控制。
十、電腦病毒擴散及網路駭客入侵之防範控制。
十一、系統復原計畫、災變備援計畫及測試程序之控制。
十二、核心業務委外處理之控制。
十三、客戶及公司機密資料之保密及安全防範控制。
十四、電腦犯罪之防範控制。

保險業為維持有效之內部控制制度運作，達成第二條所定內部控制之目標
，應配合採行下列措施：
一、內部稽核制度：設置稽核單位，負責查核各單位，並定期評估營業單
位自行查核辦理績效。
二、法令遵循制度：由法令遵循主管依總機構所定之法令遵循計畫，適切
檢測各業務經辦人員執行業務是否確實遵循相關法令。
三、自行查核制度：由各業務、財務、資產保管及資訊單位成員相互查核
業務實際執行情形，並由各單位指派主管或相當職級以上人員負責督
導執行，以便及早發現經營缺失並適時予以改正。
四、會計師查核制度：由會計師於辦理保險業年度查核簽證時，查核保險
業內部控制制度之有效性，並對其申報主管機關報表資料正確性、內
部控制制度及法令遵循制度執行情形表示意見。
五、風險控管機制：應建立獨立有效風險管理機制，以評估及監督其風險
承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循
情形。

保險業之風險控管機制應包括下列原則：
一、依據其業務規模、產品特質及整體經濟情勢等因素以辨識及評估可承
受之風險範圍。
二、應考慮之風險應包括核保風險、評估各項準備金之相關風險、市場風
險 (包括利率風險) 、作業風險及法令風險及其他相關風險。
三、管理階層應依據實際經濟情況，定期審視風險控制機制，並採取適當
策略。

內部稽核制度之目的，在於協助董 (理) 事會及管理階層查核及評估內部
控制制度是否有效運作，並適時提供改進建議，以確保內部控制制度得以
持續有效實施及作為檢討修正內部控制制度之依據。

保險業應規劃內部稽核之組織、編制與職掌，並編撰內部稽核工作手冊，
其內容至少應包括下列事項：
一、年度稽核計畫之作業流程。
二、對內部控制制度進行查核、評估，以衡量現行政策、程序之有效性、
遵循程度，及其對各項營運活動之影響。
三、釐訂稽核項目、時間、程序及方法。
四、內部稽核報告之格式內容、處理及保存。

保險業應設隸屬於董﹙理﹚事會之內部稽核單位，以超然獨立之精神，執
行稽核業務，除定期向各監察人報告稽核業務外，總稽核並應列席董 (理
) 事會報告。
內部稽核單位應置總稽核綜理稽核業務，其資格應符合保險業負責人應具
備資格條件準則規定，職位應相當於副總經理，且不得兼任與稽核工作有
相互衝突或牽制之職務。
總稽核之聘任、解聘或調職，應經董 (理) 事會全體董 (理) 事三分之二
以上同意，並於次月十日前填報異動原因，併董 (理) 事會會議紀錄，報
主管機關核准。

總稽核督導辦理內部稽核作業有下列情事者，主管機關得視情節之輕重，
予以糾正、命其限期改善或命令保險業解除其總稽核職務：
一、濫用職權，從事不正當之活動，或假借權力，以圖謀本身或他人之利
益，或利用職務上機會，損害保險業或他人。
二、未經主管機關同意，對執行職務無關之人員洩漏、交付或公開保險檢
查報告全部或其中任一部分內容。
三、對保險業財務及業務有嚴重缺失，未於內部稽核報告揭露。
四、保險業因內部管理不善，發生重大舞弊案件，未通報主管機關。
五、辦理內部稽核工作，出具不實內部稽核報告。
六、未配合主管機關指示事項辦理查核工作或提供相關資料。
七、其他有損害保險業信譽或利益之行為。

保險業應依總分支機構之多寡與其業務範圍及業務量，規劃其內部稽核單
位之組織並配置適任及適當人數之專職內部稽核人員。
內部稽核單位人員之任用、免職、升遷、獎懲、輪調及考核等，應由總稽
核簽報，經董 (理) 事長核定後辦理。但涉及其他管理、營業單位人事者
，應先洽商人事單位轉報總經理同意。
內部稽核單位於主管機關派員檢查時，應指派內部稽核人員負責聯繫，提
供有關資料，並協助檢查工作之進行。

保險業內部稽核人員應具備下列條件：
一、具有二年以上之保險檢查經驗；或大專院校畢業並具有二年以上保險
業務經驗；或至少有五年之保險業務經驗；或曾任會計師事務所查帳
員、電腦公司系統分析師等專業人員二年以上經驗，經施以三個月以
上之保險業務及管理訓練者，視同符合規定。
二、最近三年內應無記過以上之不良紀錄，但其因同仁違規或違法所致之
連帶處分，已功過相抵者，不在此限。
三、內部稽核人員充任領隊時，應有三年以上之稽核或保險檢查經驗，或
一年以上稽核經驗及五年以上之保險業務經驗。

內部稽核人員執行業務應本誠實信用原則，並不得有下列情事：
一、逾越稽核職權範圍以外之行為或有其他不正當情事，對於所取得之資
訊，對外洩漏或為己圖利或侵害保險業之利益。
二、對於以前執行之業務或與自身有利害關係案件未予迴避，而辦理該等
案件或業務之稽核工作。
三、收受保險業從業人員或客戶之不當招待或餽贈或其他不正當利益。
四、未配合辦理主管機關指示查核事項或提供相關資料。
五、其他違反法令或經主管機關規定不得為之行為。

負責稽核業務之稽核人員、領隊稽核人員及稽核主管均應分別參加主管機
關認定訓練機構舉辦之稽核人員研習班或電腦稽核研習班、領隊稽核研習
班及稽核主管研習班一期次以上，其中新任稽核人員並應經前述訓練機構
考試及格且取得結業證書。
負責稽核業務之稽核人員、領隊稽核人員及稽核主管每年至少應參加前述
訓練機構或金融控股公司或稽核人員所屬保險業自行舉辦之保險相關業務
專業訓練達三十小時以上。
參加主管機關認定機關所舉辦之保險相關業務專業訓練時數不得低於前項
應達訓練時數二分之一。
保險業應訂定自行查核訓練計畫，依各單位之業務性質對於自行查核人員
應持續施以適當查核訓練。

保險業之各部室主管或分公司主管或具有相當核決權限者，應於就任前或
就任後一年內具備下列條件之一：
一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上者。
二、參加主管機關指定機構所舉辦之稽核人員研習班或電腦稽核研習班或
一般主管稽核研習班，經前述訓練機構考試及格且取得結業證書。
外國保險業在台分公司之各部室主管或分公司主管或具有相當核決權限者
，業完成外國保險業對該分公司要求之內部稽核所提供之訓練者，如其訓
練課程有不低於第一項之條件，得不適用本條之規定。

內部稽核單位對財務、資產保管、資訊及其他管理單位每年至少應辦理一
次一般查核，並依實際需要辦理專案查核。

保險業辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別揭
露下列項目：
一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質
、法令遵循、各項業務作業控制與內部管理、客戶資料保密管理、資
訊管理及自行查核辦理情形，並加以評估。
二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處
意見。
三、各單位對主管機關、會計師、內部稽核單位 (含金融控股公司內部稽
核單位) 與自行查核人員所提列之檢查意見或查核缺失事項，及內部
控制制度聲明書所列應加強辦理改善事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。
保險業應於每年十二月底將次一年度稽核計畫及每年二月底前將上一年度
之年度稽核計畫執行情形，依規定格式以網際網路資訊系統申報主管機關
備查。

內部稽核單位對主管機關、會計師、內部稽核單位 (含金融控股公司內部
稽核單位) 與自行查核所提列之檢查意見或查核缺失事項及內部控制制度
聲明書所列應加強改善事項，應持續追蹤覆查，並將其追蹤考核改善辦理
情形，以書面提報董 (理) 事會及交付各監察人查閱，並應列為對各單位
獎懲及績效考核制度之重要項目。
年度稽核計畫應經董 (理) 事會通過；修正時，亦同。
內部稽核報告應交付各監察人查閱，並於查核結束日起二個月內函送主管
機關。
保險業設有獨立董事或審計委員會者，於依前三項規定辦理時，應一併交
付。

保險業應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及所受訓
練等資料，於每年一月底前依規定格式以網際網路資訊系統申報主管機關
備查。

保險業應於每年五月底前將上一年度內部稽核所見內部控制制度缺失及異
常事項改善情形，依規定格式以網際網路資訊系統申報主管機關備查。

保險業應於內部控制制度中訂定管理階層及相關人員違反本辦法或公司所
訂內部控制制度規定時之處罰。
保險業應隨時檢查內部稽核人員有無違反第十三之一條之規定，如有違反
規定者，應於發現之日起一個月內調整其職務。
保險業依第十八條之一規定申報內部稽核人員之基本資料時，應檢查內部
稽核人員是否符合第十三條及第十四條規定，如有違反規定者，應於二個
月內改善，若逾期未予改善，保險業應立即調整其職務。

保險業應依其規模、業務性質及組織特性，指定隸屬於董 (理) 事會或總
經理之單位，負責法令遵循制度之規劃、管理及執行。
法令遵循單位應置法令遵循主管一人，綜理法令遵循業務，其職位應相當
於協理或經理。
保險業任免法令遵循主管應經董 (理) 事會全體董 (理) 事過半數以上之
出席，及出席董 (理) 事過半數之同意，並於次月十日前填報異動原因，
併董 (理) 事會議紀錄，依保險業負責人應具備資格條件準則之相關規定
，報主管機關備查。

法令遵循主管應依據法令遵循方針，擬訂法令遵循制度，報經董 (理) 事
會通過後施行，並配合保險法令修訂等情事，隨時檢討，報經董 (理) 事
會通過後修訂之。
法令遵循制度至少應包括下列項目：
一、董 (理) 事會決策運作及董 (理) 事管控之機能。
二、董 (理) 事會議事錄之保存。
三、監察人之營運監控機能。
四、董 (理) 事之法令遵循行為規範。
五、法令遵循評估基準之建立。
六、年度法令遵循計畫之擬訂。
七、法令遵循環境之建立。
八、法令遵循業務之查核與違反法令規章之處理。
九、法令遵循之組織與業務職掌。
十、法令遵循作業手冊之擬訂。

法令遵循主管應擬訂年度法令遵循計畫，報經董 (理) 事會通過後實施。
年度法令遵循計畫至少應包括：
一、對各單位法令遵循事項之評估計畫。
二、上年度違反法令規章案件處理結果之覆核。
三、保險法令等相關法令規章之變動管理。
四、法令遵循之教育訓練及業務宣導。
五、法令遵循制度之檢討改善。

保險業總機構、營業單位、資金運用單位、資訊單位、資產保管單位及其
他管理單位應指派人員擔任法令遵循人員，負責辦理法令遵循業務。
各單位應擬訂法令遵循手冊，報經法令遵循主管核可後，轉報總經理核定實施。
法令遵循手冊至少應包括：
一、各項業務應採行之法令遵循程序。
二、各項業務應遵循之法令規章。
三、違反法令規章之處理程序。
四、法令遵循業務之自行評估程序。
五、法令遵循人員名冊。

保險業應依據法令遵循計畫，設計相關法令遵循事項自行評估工作底稿據
以自行評估，其自行評估頻率每年至少一次。
前項自行評估工作底稿及資料應至少保存五年。

保險業總經理應督導各單位審慎評估檢討內部控制制度之執行情形，由董
(理) 事長及總經理、總稽核及法令遵循主管聯名出具內部控制制度聲明
書 (附表) ，並提報董 (理) 事會通過，於每年四月底前，依本法第一百
四十八條之一規定併年度報表，報主管機關備查。
保險業應將內部控制制度聲明書內容揭露於保險業網站，並於主管機關指
定網站辦理公告申報。

保險業因內部管理不善、內部控制欠佳、內部稽核制度及法令遵循制度未
落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形或內部稽核
單位 (含金融控股公司內部稽核單位) 對查核結果有隱匿未予揭露，而肇
致重大弊端時，相關人員應負失職責任。
保險業內部稽核人員發現重大弊端或疏失，並使保險業免於重大損失，應
予獎勵。

保險業內部稽核人員及法令遵循主管，對內部控制重大缺失或違法違規情
事所提改進建議不為管理階層採納時，應立即作成報告陳核，並通知各監
察人及通報主管機關。

為加強保險業內部牽制藉以防止弊端之發生，保險業應建立自行查核制度
。財務、業務及資訊單位每年至少應辦理一次定期自行查核，並依實際需
要辦理專案自行查核。
各財務、業務及資訊單位辦理自行查核時，應由單位主管指派非原經辦人
員依指定查核內容，辦理定期或專案自行查核並事先保密。
自行查核之查核報告及工作底稿應至少留存三年備查。

保險業年度財務報表由會計師辦理查核簽證時，應委託該會計師辦理內部
控制制度之查核，並對其申報主管機關報表資料正確性、內部控制制度及
法令遵循制度執行情形表示意見。

主管機關於必要時，得邀集保險業及其委託之會計師就前條委託辦理查核
相關事宜進行討論，若發現保險業委託之會計師有未足以勝任委託查核工
作之情事者，得令保險業更換委託查核會計師重新辦理查核工作。

會計師辦理第二十九條規定之查核時，若遇下列情況應即通報主管機關：
一、受查保險業於查核過程中，未提供會計師所需要之報表、憑證、帳冊
及會議紀錄或對會計師之詢問事項拒絕提出說明，或受其他客觀環境
限制，致使會計師無法繼續辦理查核工作。
二、受查保險業在會計或其他紀錄有虛偽、造假或缺漏，情節重大者。
三、受查保險業資產不足以清償負債或財務狀況顯著惡化。
四、有證據顯示受查保險業之交易對淨資產有重大減損之虞。
受查保險業有前項第二款至第四款情事者，會計師並應就查核結果先行向
主管機關提出摘要報告。

保險業委託會計師辦理第二十九條規定之查核，應於每年四月底前出具上
一年度會計師查核報告報主管機關備查。
主管機關對於查核報告之內容提出詢問時，會計師應翔實提供相關資料與
說明。

保險業之內部控制及稽核制度不符本辦法規定者，應於本辦法施行後一年
內調整之。
外國保險業在台分公司應依本辦法之規定辦理。但外國保險業在台分公司
之內部控制及稽核制度，如依其總公司所訂之相關內部控制及稽核制度規
定，有不低於本辦法之規定者，得由外國保險業在台分公司提出總公司制
度之詳細說明與我國制度之對照說明，經在台分公司負責人簽署後，報經
主管機關備查，依該制度辦理。
外國保險業於本辦法中華民國九十五年一月四日修正發布時，已設立在台
分公司者，應自修正發布之日起六個月內，依本辦法規定辦理，或提出前
項規定之說明報主管機關備查。

本辦法自發布日施行。