金融控股公司及銀行業應設立隸屬董（理）事會之內部稽核單位，以獨立超然之精神，執行稽核業務，並應至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告稽核業務。

金融控股公司及銀行業應建立總稽核制，綜理稽核業務。總稽核應具備領導及有效督導稽核工作之能力，其資格應符合各業別負責人應具備資格條件規定，職位應等同於副總經理，且不得兼任與稽核工作有相互衝突或牽制之職務。

總稽核之聘任、解聘或調職，應經審計委員會全體成員二分之一以上同意及提董（理）事會全體董（理）事三分之二以上之同意，並報請主管機關核准後為之。

前項未經審計委員會全體成員二分之一以上同意者，應於董事會議事錄載明審計委員會之決議，未設審計委員會而設有獨立董事者，如有反對意見或保留意見，亦應於董事會議事錄載明。

內部稽核單位之人事任用、免職、升遷、獎懲、輪調及考核等，應由總稽核簽報，報經董（理）事長（主席）核定後辦理。但涉及其他管理、營業單位人事者，應事先洽商人事單位轉報總經理同意後，再行簽報董（理）事長（主席）核定。

銀行業以外之金融業兼營信託業務者，不適用本條第一項至第五項之規定。

金融控股公司總稽核得視業務需要，調動各子公司之內部稽核人員辦理金融控股公司及其子公司之內部稽核工作，並對確保金融控股公司及其子公司維持適當有效之內部稽核制度負最終之責任。

金融控股公司及銀行業應依據投資規模、業務情況（分支機構之多寡及其業務量）、管理需要及其他相關法令規章之規定，配置適任及適當人數之專任內部稽核人員，以超然獨立、客觀公正之立場，執行其職務，職務代理，應由內部稽核部門人員互為代理。

金融控股公司及銀行業內部稽核人員應具備下列條件：

銀行業國外營業單位配置之專任內部稽核人員，其資格條件應符合當地法令規定及當地主管機關之要求。但自當地聘任之內部稽核人員，如當地主管機關無規定任用條件者，應依董事會通過之評估遴選辦法自行選任，不適用前項規定。

金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前三項之規定，如有違反規定者，應於發現之日起二個月內改善，若逾期未予改善，應立即調整其職務。

內部稽核人員執行業務應本誠實信用原則，並不得有下列情事：

金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前項之規定，如有違反規定者，應於發現之日起一個月內調整其職務。

內部稽核單位應辦理下列事項：

金融控股公司及銀行業應督促各單位（金融控股公司含子公司）辦理自行查核，並由內部稽核單位覆核各單位（金融控股公司含子公司）之內部控制制度自行查核報告，併同內部稽核單位所發現之內部控制缺失及異常事項改善情形，以作為董（理）事會、總經理、總稽核及法令遵循主管評估整體內部控制制度有效性及出具內部控制制度聲明書之依據。

銀行業內部稽核單位對國內營業、財務、資產保管及資訊單位每年至少應辦理一次一般查核及一次專案查核，對其他管理單位每年至少應辦理一次專案查核；對各種作業中心、國外營業單位及國外子行每年至少辦理一次一般查核；對國外辦事處之查核方式可以表報稽核替代或彈性調整實地查核頻率。

銀行業稽核單位應將營業單位辦理信託業務、財富管理及金融商品銷售業務有無不當行銷、商品內容是否充分揭露、相關風險是否充分告知、契約是否公平及其他依法令或自律規範應負之義務之執行情形，併入對營業單位之一般查核或專案查核辦理。

金融控股公司內部稽核單位每年至少應辦理一次一般業務查核；每半年至少應對金融控股公司之財務、風險管理及法令遵循辦理一次專案業務查核；另辦理一般業務查核如已涵蓋專案業務查核之項目及範圍，且查核結果無重大缺失事項並於內部稽核報告敘明者，該半年度得免辦理專案業務查核。

內部稽核單位應將法令遵循制度之執行情形，併入對業務及管理單位之一般查核或專案查核辦理。

本國銀行得向主管機關申請核准採行風險導向內部稽核制度，如第十六條第二項所列子公司經評估有未予納入該制度實施者，應提供評估文件。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。

本國銀行申請採行風險導向內部稽核制度，應符合下列條件：

本國銀行經採行風險導向內部稽核制度者，不適用前條第一項及第十六條第二項查核頻率之規定。

金融控股公司及銀行業應依子公司業務風險特性及其內部稽核執行情形，於年度稽核計畫中訂定對子公司之查核計畫。

金融控股公司及銀行業除銀行業之國外子行及其他經主管機關核准者外，其內部稽核單位應每半年對子公司之財務、風險管理及法令遵循辦理一次專案業務查核，並納入年度稽核計畫。

金融控股公司及銀行業之子公司，應向母公司呈報董（理）事會議紀錄、會計師查核報告、金融檢查機關檢查報告或其他有關資料，已設置內部稽核單位之子公司，並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報，由母公司予以審核，並督導子公司改善辦理。

金融控股公司及銀行業總稽核應定期對子公司內部稽核作業之成效加以考核，經報告董（理）事會考核結果後，將其結果送子公司董（理）事會作為人事考評之依據。

內部稽核單位辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別應揭露下列項目：

前項之內部稽核報告、工作底稿及相關資料應至少保存五年。

金融控股公司及銀行業因內部管理不善、內部控制欠佳、內部稽核制度及法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形或內部稽核單位（含母公司內部稽核單位）對查核結果有隱匿未予揭露，而肇致重大弊端時，相關人員應負失職責任。內部稽核人員發現重大弊端或疏失，並使所屬金融控股公司（含子公司）或銀行業免於重大損失，應予獎勵。

金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時，內部稽核單位應有懲處建議權，並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。

內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構所舉辦之下列訓練，並取得結業證書：

銀行業國外營業單位自當地聘任之內部稽核人員充任前應參加之相關訓練，不適用前項規定。但當地主管機關另有規定者，從其規定。

內部稽核人員（含正副主管及總稽核）每年應參加主管機關認定機構所舉辦或稽核人員所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦之金融相關業務專業訓練，其最低訓練時數，正副主管及總稽核應達二十小時以上，其餘內部稽核人員應達三十小時以上。當年度取得國際內部稽核師證照者，得抵免當年度之訓練時數。

參加主管機關認定機構所舉辦之金融相關業務專業訓練時數不得低於前項應達訓練時數二分之一。

派駐國外或國外營業單位自當地聘任之內部稽核人員，每年在職訓練時數應符合當地法令規定，不適用前二項規定。但當地法令無規定者，應比照本國總行內部稽核單位主管及人員每年在職訓練時數，並得以參加符合當地法令規定所設立之金融專業訓練機構之訓練課程時數進行認定。

金融控股公司及銀行業應每年訂定自行查核訓練計畫，依各單位之業務性質對於自行查核人員應持續施以適當查核訓練。

金融控股公司及銀行業應確認內部稽核人員之資格條件符合本辦法規定，該等確認文件及紀錄應留存備查。

金融控股公司及銀行業應將內部稽核人員之姓名及服務年資等資料，於每年一月底前依主管機關規定格式以網際網路資訊系統申報主管機關備查。

金融控股公司及銀行業依前項規定申報內部稽核人員之基本資料時，應檢查內部稽核人員是否符合第十二條第二項、第三項及第二十條規定，如有違反者，應於二個月內改善，若逾期未予改善，應立即調整其職務。

金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形，依主管機關規定格式以網際網路資訊系統申報主管機關備查。

金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫以書面交付監察人（監事、監事會）或審計委員會核議，並作成紀錄，如未設審計委員會者，並應先送獨立董事表示意見。年度稽核計畫並應經董（理）事會通過；修正時，亦同。

前項提交稽核計畫內容至少應包括：計畫編列說明、年度稽核重點項目、計畫受檢單位、查核性質（一般檢查或專案檢查）、查核頻次與主管機關規定是否相符等，如查核性質屬專案檢查者，應註明專案查核範圍。

銀行業具有業務或交易核准權限之各級主管，應於就任前具備下列條件之一：

國外營業單位具有業務或交易核准權限之各級主管，得參加國外專業機構舉辦之稽核專業訓練，或取得國外類似測驗證書，以取代第一項所列條件。

首次擔任國內營業單位之經理，除應符合第一項之規定外，其中符合第一項第二款或第三款者，並應於就任前或就任後半年內參與內部稽核單位之查核實習四次以上，每次查核項目至少乙項，查核實習累計應至少查核四項以上，並應撰寫實習查核心得報告，呈報總稽核核可後，由總稽核出具證明書併同留卷備查。

外國銀行在台分行具有業務或交易核准權限之各級主管，業完成外國銀行對該分行要求之內部稽核所提供之訓練者，如其訓練課程有不低於第一項之條件，得不適用本條之規定。

銀行業應建立自行查核制度。各營業、財務、資產保管、資訊單位及國外營業單位應每半年至少辦理一次一般自行查核，每月至少辦理一次專案自行查核。但已辦理一般自行查核、內部稽核單位（含母公司內部稽核單位）已辦理一般業務查核、金融檢查機關已辦理一般業務檢查或法令遵循事項自行評估之月份，該月得免辦理專案自行查核。

金融控股公司各單位及子公司每年至少須辦理一次內部控制制度自行查核，以及每半年至少須辦理一次法令遵循作業自行查核。

各單位辦理前二項之自行查核，應由該單位主管指定非原經辦人員辦理並事先保密。

第一項及第二項自行查核報告應作成工作底稿，併同自行查核報告及相關資料至少留存五年備查。

內部稽核單位對金融檢查機關、會計師、內部稽核單位（含母公司內部稽核單位）與內部單位自行查核所提列檢查意見或查核缺失及內部控制制度聲明書所列應加強辦理改善事項，應持續追蹤覆查，並將其追蹤考核改善情形，以書面提報董（理）事會及交付監察人（監事、監事會）或審計委員會，並列為對各單位獎懲及績效考核之重要項目。

金融控股公司及銀行業稽核工作考核要點，由主管機關定之。

金融控股公司及銀行業總經理應督導各單位（金融控股公司含子公司）審慎評估及檢討內部控制制度執行情形，由董（理）事長（主席）、總經理、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書（附表），並提報董（理）事會通過，於每會計年度終了後三個月內將內部控制制度聲明書內容揭露於金融控股公司及銀行業網站，並於主管機關指定網站辦理公告申報。

前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。

第一項規定對於經主管機關依法接管之銀行業，不適用之。

銀行業年度財務報表由會計師辦理查核簽證時，應委託會計師辦理內部控制制度之查核，並對銀行業申報主管機關表報資料正確性、內部控制制度及法令遵循制度執行情形、備抵呆帳提列政策之妥適性表示意見，其範圍應包括國外營業單位。

主管機關得請銀行業委託會計師依主管機關規定辦理個人資料保護與防制洗錢及打擊資恐機制專案查核。

會計師之查核費用由銀行業與會計師自行議定，並由銀行業負擔會計師之查核費用。

第一項及第二項規定對於經主管機關依法接管之銀行業，不適用之。

會計師辦理第二十八條規定之查核時，若遇受查銀行業有下列情況應立即通報主管機關：

受查銀行業有前項第二款至第四款情事者，會計師並應就查核結果先行向主管機關提出摘要報告。

銀行業委託會計師辦理第二十八條第一項規定之查核，應於每年四月底前出具上一年度會計師查核報告報主管機關備查，其查核報告至少應說明查核之範圍、依據、查核程序及查核結果。

信用合作社依前項規定辦理時，應由直轄市政府財政局或縣（市）政府申報轉呈。

主管機關對於查核報告之內容提出詢問時，會計師應詳實提供相關資料與說明。

金融控股公司及銀行業之總機構應設立一隸屬於總經理之法令遵循單位，負責法令遵循制度之規劃、管理及執行，並指派高階主管一人擔任總機構法令遵循主管，綜理法令遵循事務，至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報董（理）事及監察人（監事、監事會），並就法令遵循事項，提報董（理）事會。

前項法令遵循單位及總機構法令遵循主管之設置，規定如下：

金融控股公司及銀行機構之總機構法令遵循主管，職位應等同於副總經理，資格應分別符合「金融控股公司發起人負責人應具備資格條件負責人兼職限制及應遵行事項準則」及「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。

金融控股公司及銀行業總機構法令遵循單位、國內外營業單位、資訊單位、財務保管單位及其他管理單位應指派人員擔任法令遵循主管，負責執行法令遵循事宜。國外營業單位法令遵循主管之設置應符合當地法令規定及當地主管機關之要求，除有下列情事者外，應為專任：

金融控股公司及銀行業總機構法令遵循單位主管及所屬人員、國內外營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管應具下列資格條件之一：

金融控股公司及銀行業總機構法令遵循主管、法令遵循單位主管及所屬人員、國內營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管，每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦十五小時之在職教育訓練，訓練內容應至少包含新修正法令、新種業務或新種金融商品。

國外營業單位之法令遵循主管，每年應至少參加由當地主管機關或相關單位舉辦之法令遵循在職教育訓練課程十五小時，或參加主管機關或其認定機構所舉辦或所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦之教育訓練課程。

前二項在職訓練為自行舉辦之訓練方式應提報董事會通過，總機構需留存相關人員上課紀錄備查。

防制洗錢及打擊資恐專責單位設於法令遵循單位者，該專責單位人員充任前及每年應受之訓練，依防制洗錢及打擊資恐相關規定辦理，不受第五項及第六項規定限制。

金融控股公司及銀行業應以網際網路資訊系統向主管機關申報總機構法令遵循主管、法令遵循單位主管及所屬人員之名單及受訓資料。

金融控股公司及銀行業總、分支機構對法令規章遵循事宜，應建立諮詢溝通管道，以有效傳達法令規章，俾使職員對於法令規章之疑義得以迅速釐清，並落實法令遵循。

金融控股公司及銀行業法令遵循單位辦理前條第一項提報董事會報告事項內容，至少應包括對各單位就法令遵循重大缺失或弊端分析原因、可能影響及提出改善建議。

法令遵循單位應辦理下列事項：

內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序，及自行評估所屬單位法令遵循執行情形，不適用前項第四款規定。

銀行業設有國外營業單位者，法令遵循單位應督導國外營業單位辦理下列事項：

金融控股公司及銀行業法令遵循自行評估作業，每半年至少須辦理一次，其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業，應由該單位主管指定專人辦理。

前項自行評估工作底稿及資料應至少保存五年。

適用第三十二條第二項第一款之銀行業應建立全行之法令遵循風險管理及監督架構，其架構原則及權責規定如下：

適用前項規定之銀行業，應於符合適用條件起六個月內，依第三十二條第二項第一款規定設置總機構專責之法令遵循單位及法令遵循主管，並調整全行之法令遵循風險管理及監督架構報請主管機關備查後，且於每年四月底前將前項第五款及第九款評估報告函報主管機關。

金融控股公司及銀行業為促進健全經營，應建立檢舉制度，並於總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。

金融控股公司及銀行業對檢舉人應為下列之保護：

檢舉案件之受理及調查過程，有利益衝突之人，應予迴避。

第一項檢舉制度，至少應包括下列事項，並提報董（理）事會通過：

被檢舉人為董（理）事、監察人（監事）或職責相當於副總經理以上之管理階層者，調查報告應陳報至監察人（監事、監事會）或審計委員會複審。

金融控股公司及銀行業調查後發現為重大偶發事件或違法案件，應主動向相關機關通報或告發。

金融控股公司及銀行業應定期對所屬人員，辦理檢舉制度之宣導及教育訓練。

金融控股公司及銀行業應訂定適當之風險管理政策與程序，建立獨立有效風險管理機制，以評估及監督整體風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。

前項風險管理政策與程序應經董（理）事會通過並適時檢討修訂。

金融控股公司及銀行業應設置獨立之專責風險控管單位，並定期向董（理）事會提出風險控管報告，若發現重大暴險，危及財務或業務狀況或法令遵循者，應立即採取適當措施並向董（理）事會報告。

前項獨立專責風險控管單位之設置，信用合作社得指定一總社管理單位替代。

銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務。設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。

銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當之人擔任資訊安全專責單位主管。

銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年應將前一年度資訊安全整體執行情形，依第二十七條第一項規定辦理內部控制制度聲明書之出具、揭露及公告申報，並由資訊安全長聯名出具。

銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課程。

中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。

適用第二項規定之銀行業，應於符合適用條件起六個月內調整。