金融控股公司及銀行業應建立自行查核制度、法令遵循制度與風險管理機制及內部稽核制度等內部控制三道防線，以維持有效適當之內部控制制度運作。銀行內部控制三道防線實務守則之執行程序，由中華民國銀行商業同業公會全國聯合會訂定，並報主管機關備查。

金融控股公司（含子公司）與銀行業之內部控制制度應包含下列組成要素：

一、控制環境：係金融控股公司及銀行業設計及執行內部控制制度之基礎。控制環境包括金融控股公司及銀行業之誠信與道德價值、董（理）事會及監察人（監事、監事會）或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董（理）事會與經理人應建立內部行為準則，包括訂定董（理）事行為準則、員工行為準則等事項。

二、風險評估：風險評估之先決條件為確立各項目標，並與金融控股公司及銀行業不同層級單位相連結，同時需考慮金融控股公司及銀行業目標之適合性。管理階層應考量金融控股公司及銀行業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助金融控股公司及銀行業及時設計、修正及執行必要之控制作業。

三、控制作業：係指金融控股公司及銀行業依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括金融控股公司及銀行業所有層級、業務流程內之各個階段、所有科技環境等範圍、對子公司之監督與管理、適當之職務分工，且管理階層及員工不應擔任責任相衝突之工作。

四、資訊與溝通：係指金融控股公司及銀行業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在金融控股公司及銀行業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制，並保有完整之財務、營運及遵循資訊。有效之內部控制制度應建立有效之溝通管道。

五、監督作業：係指金融控股公司及銀行業進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人（監事、監事會）或審計委員會、董（理）事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董（理）事會及監察人（監事、監事會）或審計委員會溝通，並及時改善。

前條第一款之董（理）事行為準則至少應包括董（理）事發現金融控股公司及銀行業有受重大損害之虞時，應儘速妥適處理，立即通知審計委員會或審計委員會之獨立董事成員或監察人（監事、監事會）並提報董（理）事會，且應督導所屬金融控股公司及銀行業通報主管機關。

一、組織規程或管理章則，應包括訂定明確之組織系統、單位職掌、業務範圍與明確之授權及分層負責辦法。

二、相關業務規範及處理手冊，包括：

（一）投資準則。

（二）客戶資料保密。

（三）利害關係人交易規範。

（四）股權管理。

（五）財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。

（六）總務、資訊、人事管理（銀行業應含輪調及休假規定）。

（七）對外資訊揭露作業管理。

（八）金融檢查報告之管理。

（九）金融消費者保護之管理。

（十）重大偶發事件之處理機制。

（十一）防制洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、衡量、監控洗錢及資恐風險之管理機制。

（十二）其他業務之規範及作業程序。