第 二 章 內部控制制度
第 一 節 原則與範圍
銀行之內部控制制度應包含下列各項原則:
一、管理階層之監督及控制文化:董 (理) 事會應負責核准並定期覆核整
體經營策略與重大政策,董 (理) 事會對於確保建立並維持適當有效
之內部控制制度負有最終之責任;高階管理階層應負責執行董 (理)
事會核定之經營策略與政策,發展足以辨識、衡量、監督及控制銀行
風險之程序,訂定適當之內部控制政策及監督其有效性與適切性。
二、風險辨識與評估:有效之內部控制制度須可辨識並持續評估所有對銀
行目標之達成可能產生負面影響之重大風險,並決定如何因應相關風
險,使其能被限制在可承受之範圍內。
三、控制活動與職務分工:控制活動應是銀行每日整體營運之一部分,應
設立完善之控制架構,及訂定各層級之內控程序;有效之內部控制制
度應有適當之職務分工,且管理階層及員工不應擔任責任相互衝突之
工作。
四、資訊與溝通:應保有適切完整之財務、營運及遵循資訊;資訊應具備
可靠性、及時性與容易取得之特性,並以一致性之格式提供,有效之
內部控制制度應建立有效之溝通管道。
五、監督活動與更正缺失:銀行內部控制整體之有效性應予持續監督,營
業單位、內部稽核或其他內控人員發現之內部控制缺失均應即時向適
當層級報告,若屬重大之內部控制缺失應向高階管理階層及董 (理)
事會報告,並應立即採取改正措施。
銀行之內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作
業程序,且應適時檢討修訂:
一、組織規程或管理章則,應包括訂定明確之組織系統、部門職掌業務範
圍與明確之授權及分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一) 出納、存匯、授信、外匯、信託、新種金融商品。
(二) 投資準則及股權管理。
(三) 客戶資料保密。
(四) 利害關係人交易規範。
(五) 會計及財務報表編製流程、總務、資訊、人事管理 (含輪調及休假
規定) 。
(六) 對外資訊揭露作業管理。
(七) 委外作業管理。
(八) 其他業務之規範及作業程序。
前項各種作業及管理規章之訂定、修訂或廢止,必要時應有遵守法令單位
、內部稽核單位等相關單位之參與。
銀行應建立遵守法令主管制度、風險管理機制、內部稽核制度、以及自行
查核制度,以維持有效適當之內部控制制度運作。
銀行內部控制制度,應經董 (理) 事會通過,如有董 (理) 事表示異議且
有紀錄或書面聲明者,銀行應將異議意見連同經董 (理) 事會通過之內部
控制制度送各監察人 (監事) ;修正時,亦同。
銀行已設置獨立董事者,依前項規定將內部控制制度提報董事會討論時,
應充分考量各獨立董事之意見,並將其同意或反對之明確意見及反對之理
由列入董事會紀錄。
第 二 節 遵守法令主管制度
銀行為符合法令之遵循,應指定一隸屬於董 (理) 事會或總經理之總行管
理單位,負責遵守法令主管制度之規劃、管理及執行,並指派高階主管一
人擔任總機構遵守法令主管,綜理法令遵循事務,至少每半年向董 (理)
事會及監察人 (監事) 報告。
銀行總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位
應指派人員擔任遵守法令主管,負責執行法令遵循事宜。
前項總機構遵守法令主管名單應以網際網路資訊系統申報主管機關備查。
銀行總、分支機構對法令遵循事宜,應建立諮詢溝通管道,以有效傳達法
令,俾使行員對於法令之疑義得以迅速釐清,並落實法令遵循。
遵守法令單位應辦理下列事項:
一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動
符合法令規定。
三、訂定法令遵循之評估內容與程序,並督導各單位定期自行評估執行情
形。
四、對各單位人員施以適當合宜之法規訓練。
五、督導海外分支機構遵守其所在地國家之法令。
法令遵循自行評估作業,每半年至少須辦理一次,其辦理結果應送遵守法
令單位備查。各單位辦理自行評估作業,應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
第 三 節 風險管理機制
銀行應訂定適當之風險管理政策與程序,建立獨立有效風險管理機制,以
評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險
管理程序遵循情形。
前項風險管理政策與程序應經董 (理) 事會通過並適時檢討修訂。
銀行應設置獨立之專責風險控管單位,並定期向董 (理) 事會提出風險控
管報告,若發現重大暴險,危及財務或業務狀況或法令遵循者,應立即採
取適當措施並向董 (理) 事會報告。
銀行之風險控管機制應包括下列原則:
一、應依其業務規模、信用風險、市場風險與作業風險狀況及未來營運趨
勢,監控資本適足性。
二、應建立衡量及監控流動性部位之管理機制,以衡量、監督、控管流動
性風險。
三、應考量整體暴險、自有資本及負債特性進行各項資產配置,建立各項
業務風險之管理。
四、應建立銀行資產品質及分類之評估方法,計算及控管大額暴險,並定
期檢視,覈實提列備抵損失。
五、應對銀行業務或交易、資訊交互運用等建立資訊安全防護機制及緊急
應變計畫。
第 四 節 內部稽核制度及查核
內部稽核制度之目的,在查核及評估內部控制制度是否有效運作,並適時
提供改進建議,以確保內部控制制度得以持續有效實施,協助董 (理) 事
會及管理階層確實履行其責任。
銀行應設立隸屬董 (理) 事會之內部稽核單位,以獨立超然之精神,執行
稽核業務,並應至少每半年向董 (理) 事會及監察人 (監事) 報告。
銀行應建立總稽核制,綜理稽核業務。總稽核應具備領導及有效督導稽核
工作之能力,其資格應符合銀行負責人應具備資格條件準則規定,職位應
等同於副總經理,且不得兼任與稽核工作有相互衝突或牽制之職務。
總稽核之聘任、解聘或調職,應經董 (理) 事會全體董 (理) 事三分之二
以上之同意,並報請主管機關核准後為之。內部稽核單位之人事任用、免
職、升遷、獎懲、輪調及考核等,應由總稽核簽報,報經董 (理) 事長核
定後辦理。但涉及其他管理、營業單位人事者,應事先洽商人事單位轉報
總經理同意後,再行簽報董 (理) 事長核定。
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、明知銀行之營運活動、財務報導及相關法令遵循情況有直接損害利害
關係人之情事,而予以隱飾或作不實、不當之揭露。
二、逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得之資
訊,對外洩漏或為己圖利或侵害銀行之利益。
三、對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理該等
案件或業務之稽核工作。
四、收受行員或客戶之不當招待或餽贈或其他不正當利益。
五、未配合辦理主管機關指示查核事項或提供相關資料。
六、其他違反法令或經主管機關規定不得為之行為。
內部稽核單位應辦理下列事項:
一、銀行應規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊
及工作底稿,其內容至少應包括對內部控制制度各項規定與業務流程
進行評估,以判斷現行規定、程序是否已具有適當之內部控制,管理
單位與營業單位是否切實執行內部控制及執行內部控制之效益是否合
理等,隨時提出改進意見。
二、訂定自行查核內容與程序,並督導各單位自行查核之執行情形。
三、擬定年度稽核計畫,並依各單位業務風險特性及其內部稽核執行情形
,訂定對各單位之查核計畫。
銀行應先督促各單位辦理自行查核,再由內部稽核單位覆核各單位之自行
查核報告,併同內部稽核單位所發現之內部控制缺失及異常事項改善情形
,以作為董 (理) 事會、總經理、總稽核及遵守法令主管評估整體內部控
制制度有效性及出具內部控制制度聲明書之依據。
銀行辦理一般查核,其內部稽核報告內容應依受檢單位之性質,分別應揭
露下列項目:
一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質
、法令遵循、內部控制、利害關係人交易、各項業務作業控制與內部
管理、客戶資料保密管理、資訊管理、員工保密教育及自行查核辦理
情形,並加以評估。
二、營業單位對金融檢查機關、會計師、內部稽核單位 (含金融控股公司
內部稽核單位) 、自行查核人員所提列檢查意見或查核缺失,及內部
控制制度聲明書所列應加強辦理改善事項之未改善情形。
內部稽核單位對國內營業、財務保管及資訊單位每年至少應辦理一次一般
查核及一次專案查核,對其他管理單位每年至少應辦理一次專案查核;對
各種作業中心及國外營業單位每年至少辦理一次一般查核,對國外辦事處
之查核方式可以表報稽核替代或彈性調整實地查核頻率。
銀行內部稽核單位應將遵守法令主管制度之執行情形,併入對業務及管理
單位之一般查核或專案查核辦理。
第一項之內部稽核報告、工作底稿及相關資料應至少保存五年。
銀行應依據營業單位之多寡及其業務量,配置適任及適當人數之專任內部
稽核人員,並應包括電腦稽核人員,以超然獨立、客觀公正之立場,執行
其職務。
銀行內部稽核人員應具備下列條件:
一、具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相當於
高等考試之考試及格並具有二年以上之金融業務經驗;或具有五年以
上之金融業務經驗。曾任會計師事務所查帳員、電腦公司程式設計師
或系統分析師等專業人員二年以上經驗,經施以三個月以上之金融業
務及管理訓練,視同符合規定。
二、最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所致之
連帶處分,已功過相抵者,不在此限。
三、內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗,或
一年以上之稽核經驗及五年以上之金融業務經驗。
內部稽核單位之稽核人員、領隊稽核人員及正副主管均應分別參加主管機
關指定機構所舉辦之稽核人員研習班或電腦稽核研習班、領隊稽核研習班
及稽核主管研習班一期次以上,其中新任稽核人員並應經前述訓練機構考
試及格且取得結業證書。
內部稽核人員每年應參加主管機關指定機構所舉辦或金融控股公司或稽核
人員所屬銀行自行舉辦之金融相關業務專業訓練達三十小時以上。
參加主管機關指定機構所舉辦之金融相關業務專業訓練時數不得低於前項
應達訓練時數二分之一。
銀行應訂定自行查核訓練計畫,對於自行查核人員應持續施以適當查核訓
練。
銀行應確認內部稽核人員之資格條件符合本辦法規定,該等確認文件及紀
錄應建立專卷留存備查。
為加強銀行內部牽制藉以防止弊端之發生,銀行應建立自行查核制度。各
銀行營業、財務保管及資訊單位應每半年至少辦理一次一般自行查核,每
月至少辦理一次專案自行查核。但已辦理一般自行查核、內部稽核單位或
金融控股公司內部稽核單位已辦理一般業務查核、金融檢查機關已辦理一
般業務檢查或遵守法令事項自行評估之月份,該月得免辦理專案自行查核
。
各銀行營業、財務保管及資訊單位辦理自行查核,應由該單位主管指定非
原經辦人員辦理並事先保密。
前項自行查核報告應作成工作底稿,併同自行查核報告及相關資料至少留
存五年。
銀行具有業務或交易核准權限之各級主管,應於就任前具備下列條件之一
:
一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上者。
二、參加主管機關指定機構所舉辦之稽核人員研習班或電腦稽核研習班,
經前述訓練機構考試及格且取得結業證書。
三、取得主管機關指定機構舉辦之銀行內部控制與內部稽核測驗考試合格
證書,測驗內容應比照前款研習與考試內容。
國外營業單位具有業務或交易核准權限之各級主管,得參加國外專業機構
舉辦之稽核專業訓練,或取得國外類似測驗證書,以取代第一項所列條件
。
首次擔任銀行國內營業單位之經理,除應符合第一項之規定外,其中符合
第一項第二款或第三款者,並應於半年內參與內部稽核單位之查核實習四
次以上,每次查核項目至少乙項,查核實習累計應至少查核四項以上,並
應撰寫實習查核心得報告,呈報總稽核核可後,由總稽核出具證明書併同
留卷備查。
外國銀行在台分行具有業務或交易核准權限之各級主管,業完成外國銀行
對該分行要求之內部稽核所提供之訓練者,如其訓練課程有不低於第一項
之條件,得不適用本條之規定。
外國銀行於本辦法中華民國 94 年 6 月 14 日修正發布時已設立在台分
行具有業務或交易核准權限之各級主管,應自中華民國 94 年 6 月 14
日修正發布之日起一年內具備第一項之資格或完成前項之訓練。
第 五 節 會計師之查核
銀行年度財務報表由會計師辦理查核簽證時,應委託會計師辦理銀行內部
控制制度之查核,並對銀行申報主管機關表報資料正確性、內部控制制度
及遵守法令主管制度執行情形、備抵呆帳提列政策之妥適性表示意見。
會計師之查核費用由銀行與會計師自行議定,並由銀行負擔會計師之查核
費用。
第一項規定對於經主管機關依法接管之銀行,不適用之。
主管機關於必要時,得邀集銀行及其委託之會計師就前條委託辦理查核相
關事宜進行討論,主管機關若發現銀行委託之會計師有未足以勝任委託查
核工作之情事者,得令銀行更換委託查核會計師重新辦理查核工作。
會計師辦理第二十五條規定之查核時,若遇下列情況應立即通報主管機關
:
一、受查銀行於查核過程中,未提供會計師所需要之報表、憑證、帳冊及
會議紀錄或對會計師之詢問事項拒絕提出說明,或受其他客觀環境限
制,致使會計師無法繼續辦理查核工作。
二、受查銀行在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
三、受查銀行資產不足以抵償負債或財務狀況顯著惡化。
四、有證據顯示銀行之交易對淨資產有重大減損之虞。
銀行有前項第二款至第四款情事者,會計師並應就查核結果先行向主管機
關提出摘要報告。
銀行委託會計師辦理第二十五條規定之查核,應於每年四月底前出具上一
年度會計師查核報告報主管機關備查,其查核報告至少應說明查核之範圍
、依據、查核程序及查核結果。
主管機關對於查核報告之內容提出詢問時,會計師應翔實提供相關資料與
說明。