金融控股公司及銀行業內部控制及稽核制度實施辦法

本辦法依金融控股公司法第五十一條、銀行法第四十五條之一第一項、信用合作社法第二十一條第一項、票券金融管理法第四十三條及信託業法第四十二條第三項規定訂定之。

1. 本辦法所稱銀行業，包括銀行、信用合作社、票券商及信託業。
2. 銀行業以外之金融業兼營票券業務及信託業務者，其內部控制及內部稽核制度，除其他法令另有規定外，應依本辦法辦理。

本辦法所稱金融控股公司之子公司，應依金融控股公司法第四條規定認定；銀行業之子公司應依公開發行公司建立內部控制制度處理準則第五條第三項規定認定。

1. 金融控股公司及銀行業應建立內部控制制度，並確保該制度得以持續有效執行，以健全金融控股公司（含子公司）與銀行業經營。
2. 金融控股公司及銀行業應規劃整體經營策略、風險管理政策與指導準則，並擬定經營計畫、風險管理程序及執行準則。
3. 金融控股公司應督導子公司辦理前項所定事項。

1. 內部控制之基本目的在於促進金融控股公司及銀行業健全經營，並應由其董（理）事會、管理階層及所有從業人員共同遵行，以合理確保達成下列目標： 一、營運之效果及效率。 二、報導具可靠性、及時性、透明性及符合相關規範。 三、相關法令規章之遵循。
2. 前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。
3. 第一項第二款所稱之報導，包括金融控股公司及銀行業內部與外部財務報導及非財務報導。其中外部財務報導之目標，包括確保對外之財務報表係依照一般公認會計原則編製，交易經適當核准等目標。

金融控股公司及銀行業之內部控制制度，應經董（理）事會通過，如有董（理）事表示反對意見或保留意見者，應將其意見及理由於董（理）事會議紀錄載明，連同經董（理）事會通過之內部控制制度送各監察人（監事、監事會）或審計委員會；修正時，亦同。

金融控股公司及銀行業董（理）事會應認知營運所面臨之風險，監督其營運結果，並對於確保建立及維持適當有效之內部控制制度負有最終之責任。

1. 金融控股公司及銀行業總經理應督導各單位（金融控股公司含子公司）審慎評估及檢討內部控制制度執行情形，由董（理）事長（主席）、總經理及總稽核聯名出具內部控制制度聲明書（附表），並提報董（理）事會通過，於每會計年度終了後三個月內將內部控制制度聲明書內容揭露於金融控股公司及銀行業網站，並於主管機關指定網站辦理公告申報。
2. 前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。
3. 第一項規定對於經主管機關依法接管之銀行業，不適用之。

1. 金融控股公司及銀行業應建立自行查核制度；法令遵循制度、風險管理制度及資訊安全制度；內部稽核制度等內部控制三道模型。
2. 前項三道模型之架構應使各單位瞭解其各自在機構整體風險及內部控制架構所擔任之職責與功能，三道各司其職，並加強執行內部控制工作之單位與內部稽核單位之溝通協調，以維持有效適當之內部控制制度運作。
3. 銀行內部控制三道模型實務守則之執行程序，由中華民國銀行商業同業公會全國聯合會訂定，並報主管機關備查。

1. 金融控股公司及銀行業之內部控制制度應包含下列組成要素： 一、控制環境：係金融控股公司及銀行業設計及執行內部控制制度之基礎。控制環境包括金融控股公司及銀行業之誠信與道德價值、董（理）事會及監察人（監事、監事會）或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董（理）事會與管理階層應落實公平待客原則，並建立誠信經營守則及內部行為準則，包括訂定董（理）事行為準則、員工行為準則。 二、風險評估：風險評估之先決條件為確立各項目標，並與金融控股公司及銀行業不同層級單位相連結，同時需考慮金融控股公司及銀行業目標之適合性。管理階層應考量金融控股公司及銀行業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助金融控股公司及銀行業及時設計、修正及執行必要之控制作業。 三、控制作業：係指金融控股公司及銀行業依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括金融控股公司及銀行業所有層級、業務流程內之各個階段、所有科技環境等範圍、對子公司之監督與管理、適當之職務分工，且管理階層及員工不應擔任責任相衝突之工作。 四、資訊與溝通：係指金融控股公司及銀行業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在金融控股公司及銀行業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制，並保有完整之財務、營運及遵循資訊。有效之內部控制制度應建立有效之溝通管道。 五、監督作業：係指金融控股公司及銀行業進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人（監事、監事會）或審計委員會、董（理）事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董（理）事會及監察人（監事、監事會）或審計委員會溝通，並及時改善。
2. 金融控股公司應督導子公司之內部控制制度包含前項所定組成要素。

前條第一款之董（理）事行為準則至少應包括董（理）事發現金融控股公司及銀行業有受重大損害之虞時，應儘速妥適處理，立即通知審計委員會或審計委員會之獨立董事成員或監察人（監事、監事會）並提報董（理）事會，且應督導所屬金融控股公司及銀行業通報主管機關。

1. 內部控制制度應涵蓋所有營運活動，並應訂定下列適當之政策及作業程序，且應適時檢討修訂： 一、組織規程或管理章則，應包括訂定明確之組織系統、單位職掌、業務範圍與明確之授權及分層負責辦法。 二、相關規範及處理手冊，包括： （一）投資準則。 （二）客戶資料保密。 （三）利害關係人交易規範。 （四）股權管理。 （五）財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。 （六）總務、資訊、人事管理（銀行業應含輪調及休假規定）。 （七）對外資訊揭露作業管理。 （八）金融檢查報告之管理。 （九）金融消費者保護之管理。 （十）重大偶發事件之處理機制。 （十一）防制洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、衡量、監控洗錢及資恐風險之管理機制。 （十二）永續資訊之管理。 （十三）營運持續管理機制。 （十四）其他業務之規範及作業程序。
2. 金融控股公司業務規範及處理手冊應另包括子公司之管理及共同行銷管理。
3. 銀行業務規範及處理手冊應另包括出納、存款、匯兌、授信、外匯、新種金融商品、委外作業管理、責任地圖制度及銀行法第三條所定業務等。
4. 信用合作社業務規範及處理手冊應另包括出納、存款、授信、匯兌、委外作業管理及信用合作社法第十五條所定業務等。
5. 票券商業務規範及處理手冊應另包括票券、債券、新種金融商品及票券金融管理法第二十一條所定業務等。
6. 信託業作業手冊之範本由信託業商業同業公會訂定，其內容應區分業務作業流程、會計作業流程、電腦作業規範、人事管理制度等項。信託業應參考範本訂定作業手冊，並配合法規、業務項目、作業流程等之變更，定期修訂。
7. 股票已在證券交易所上市或於證券商營業處所買賣之金融控股公司及銀行業，應將薪資報酬委員會運作之管理納入內部控制制度。
8. 金融控股公司及銀行業設置審計委員會者，其內部控制制度，應包括審計委員會議事運作之管理。
9. 金融控股公司及銀行業應於內部控制制度中，訂定對子公司必要之控制作業，其為國外子公司者，並應考量該子公司所在地政府法令之規定及實際營運之性質，督促其子公司建立內部控制制度。
10. 金融控股公司及銀行業應建立集團整體性防制洗錢及打擊資恐計畫，包括在符合國外分公司（或子公司）當地法令下，以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。
11. 前十項各種作業及管理規章之訂定、修訂或廢止，必要時應有法令遵循、風險管理、資訊安全等專責單位及內部稽核單位等相關單位之參與。

1. 金融控股公司及銀行業應建立檢舉制度，並於總機構指定具獨立行使職權之單位負責檢舉案件之受理及調查，以促進健全經營。
2. 金融控股公司及銀行業對檢舉人應為下列之保護： 一、檢舉人之身分資料應予保密，不得洩漏足以識別其身分之資訊。 二、不得因所檢舉案件而對檢舉人予以解僱、解任、降調、減薪、損害其依法令、契約或習慣上所應享有之權益，或其他不利處分。
3. 檢舉案件之受理及調查過程，有利益衝突之人，應予迴避。
4. 第一項檢舉制度，至少應包括下列事項，並提報董（理）事會通過： 一、揭示任何人發現有犯罪、舞弊或違反法令之虞時，均得提出檢舉。 二、受理之檢舉案件類型。 三、設置並公布檢舉之管道。 四、調查與配合調查之流程、迴避規定及後續處理機制之標準作業程序。 五、檢舉人保護措施。 六、檢舉案件受理、調查過程、調查結果與相關文件製作之紀錄及保存。 七、檢舉案件之處理情形，應適度以書面或其他方式通知檢舉人。
5. 被檢舉人為董（理）事、監察人（監事）或職責相當於副總經理以上之管理階層者，調查報告應陳報至監察人（監事、監事會）或審計委員會複審。
6. 金融控股公司及銀行業調查後發現為重大偶發事件或違法案件，應主動向相關機關通報或告發。
7. 金融控股公司及銀行業應定期對所屬人員，辦理檢舉制度之宣導及教育訓練。

1. 金融控股公司及銀行業應建立自行查核制度，並由管理階層指定執行法令遵循制度、風險管理制度、資訊安全制度或具第二道功能之單位，督導訂定自行查核內容與程序及覆核各單位自行查核之執行情形。
2. 銀行業各營業、財務、資產保管、資訊單位及國外營業單位應每半年至少辦理一次一般自行查核，每月至少辦理一次專案自行查核。但已辦理一般自行查核、內部稽核單位（含母公司內部稽核單位）已辦理一般業務查核、金融檢查機關已辦理一般業務檢查或法令遵循事項自行評估之月份，該月得免辦理專案自行查核。另經主管機關核准採行風險導向內部稽核制度之銀行業，得依風險評估結果訂定一般及專案自行查核之頻率、重點及範圍，並報董（理）事會通過後實施。
3. 金融控股公司每年至少須辦理一次內部控制制度自行查核，並督導子公司辦理前段內部控制制度自行查核事項。
4. 各單位辦理前二項之自行查核，應由該單位主管指定非原經辦人員辦理並事先保密。
5. 第二項及第三項自行查核報告應作成工作底稿，併同自行查核報告及相關資料至少留存五年備查。
6. 金融控股公司及銀行業對各單位自行查核之查核缺失，應追蹤改善情形。

金融控股公司及銀行業應每年訂定自行查核訓練計畫，依各單位之業務性質對於自行查核人員持續施以適當查核訓練。

1. 金融控股公司及銀行業應設立隸屬於總經理之法令遵循專責單位，負責法令遵循制度之規劃、管理及執行，並指派副總經理以上或職責相當之人擔任法令遵循長，綜理法令遵循事務，至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報董（理）事及監察人（監事、監事會），並就法令遵循事項，提報董（理）事會。
2. 前項法令遵循專責單位，得兼辦防制洗錢及打擊資恐、防制詐欺相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。法令遵循長得兼任防制洗錢及打擊資恐、防制詐欺專責單位主管。但不得兼任法務單位主管或內部其他職務。
3. 前二項規定，主管機關對信用合作社及票券金融公司另有規定者，依其規定。
4. 金融控股公司及銀行之法令遵循長，資格應分別符合「金融控股公司發起人負責人應具備資格條件負責人兼職限制及應遵行事項準則」及「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。
5. 金融控股公司及銀行業法令遵循專責單位、國內外營業單位、資訊單位、財務保管單位及其他管理單位應指派人員擔任法令遵循主管，負責執行法令遵循事宜。國外營業單位法令遵循主管之設置應符合當地法令規定及當地主管機關之要求，除有下列情事者外，應為專任： 一、兼任防制洗錢及打擊資恐主管。 二、依當地法令明定得兼任無職務衝突之其他職務。 三、當地法令未明確規定，於與當地主管機關溝通並確認後，報經主管機關備查者，得兼任無職務衝突之其他職務。
6. 外國銀行在臺分行如未能依前項於營業單位、資訊單位、財務保管單位及其他管理單位指派人員擔任法令遵循主管，應以適當方式達到前項要求之相同功能。
7. 金融控股公司及銀行業法令遵循專責單位主管及所屬人員、國內外營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管應具下列資格條件之一： 一、曾任金融機構法令遵循人員或主管，合計滿五年者。 二、參加主管機關認定機構所舉辦三十小時以上課程，並經考試及格且取得結業證書。 三、國外營業單位法令遵循主管係自當地聘任者，依董事會通過之評估辦法自行評估，或經當地主管機關審查認可，足證其已具備熟知當地法令規定之相關能力。

1. 金融控股公司及銀行業總、分支機構對法令規章遵循事宜，應建立諮詢溝通管道，以有效傳達法令規章，俾使職員對於法令規章之疑義得以迅速釐清，並落實法令遵循。
2. 法令遵循專責單位應辦理下列事項： 一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。 二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規定。 三、銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前，法令遵循主管應出具符合法令及內部規範之意見並簽署負責。 四、訂定法令遵循之評估內容與程序，及督導各單位定期自行評估執行情形，並對各單位法令遵循自行評估作業成效加以考核，經簽報總經理後，作為單位考評之參考依據。 五、對各單位人員施以適當合宜之法規訓練。 六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。 七、辦理前條第一項提報董事（理）會報告事項內容，至少應包括對各單位就法令遵循重大缺失或弊端分析原因、可能影響及提出改善建議。 八、每年應將前一年度法令遵循整體執行情形，納入第八條第一項內部控制制度執行情形評估。
3. 內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序，及自行評估所屬單位法令遵循執行情形，不適用前項第四款規定。
4. 金融控股公司及銀行業法令遵循自行評估作業，每半年至少須辦理一次。其辦理結果應送法令遵循專責單位備查。各單位辦理自行評估作業，應由該單位主管指定專人辦理。自行評估工作底稿及資料應至少保存五年。
5. 金融控股公司應依子公司業務規模及業務風險特性，督導其子公司辦理前項法令遵循自行評估作業。

1. 銀行業應建立全行之法令遵循風險管理及監督架構，其架構原則及權責規定如下，但主管機關對信用合作社及票券金融公司另有規定者，依其規定： 一、法令遵循專責單位應建立辨識、評估、控制、衡量、監控及獨立陳報法令遵循風險之程序、計畫及機制，以全面控制、監督及支援國內外各部門、分支機構及子公司之個別營業單位、跨部門及跨境之相關法令遵循事項。 二、法令遵循專責單位應依據業務分類或法令遵循重點設置適當數量之專業單位，以負責該項業務或法令相關之國內外營業單位監督、法令遵循執行及支援事項。 三、法令遵循專責單位得依風險基礎方法評估各單位法令遵循主管之設置並強化法令遵循主管之獨立性，屬法令遵循風險較低之單位得不單獨設置法令遵循主管而由法令遵循專責單位負責，不受第十六條第五項前段規定之限制。 四、法令遵循專責單位應建立法令遵循風險警訊之獨立通報、評估及處理因應機制。 五、法令遵循專責單位應定期及不定期評估主要營運活動、商品及服務、授信或業務專案、有違反法令之虞之重大客訴等法令遵循風險管理情形，並建立與風險管理及資訊安全專責單位之橫向溝通聯繫機制。 六、法令遵循專責單位為掌握全行法令遵循風險情形，得向各單位要求提供相關資訊。 七、管理階層及各部門主管之考核，應納入法令遵循部門對其法令遵循執行程度之評估意見。 八、銀行業及法令遵循專責單位應充分掌握國外營業單位應辦理之法令遵循事項及當地主管機關對法令遵循標準之要求，並提供充分資源及支援。 九、法令遵循專責單位依第十六條第一項至少每半年向董（理）事會及監察人或審計委員會報告之法令遵循事項，應針對全行境內外營運情形，提出法令遵循風險管理之弱點事項及督導改善計畫及時程，董（理）事會應提供充分資源及對營業單位建立適當獎懲機制，以循序建立全行法令遵循文化。
2. 銀行業應於設置法令遵循專責單位起二年內將全行之法令遵循風險管理及監督架構報請主管機關備查後，於每年四月底前將前項第五款及第九款評估報告函報主管機關。
3. 銀行業設有國外營業單位者，法令遵循專責單位應督導國外營業單位辦理下列事項： 一、蒐集當地金融法規資料、落實執行法令遵循自行評估作業、確保法令遵循主管適任性及法令遵循資源（含人員、配備及訓練）是否適足等事項，以確保遵守其所在地國家之法令。 二、建立法令遵循風險之自行評估及監控機制，對於其中業務規模大、複雜度或風險程度高者，並應委請當地外部獨立專家驗證其法令遵循風險自行評估及監控機制之有效性。

1. 金融控股公司及銀行業法令遵循長、法令遵循專責單位主管及所屬人員、國內營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管，每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司（含子公司）或銀行業（含母公司或母集團在臺子行）自行舉辦十五小時之在職教育訓練，訓練內容應至少包含新修正法令、新種業務或新種金融商品。
2. 國外營業單位之法令遵循主管，每年應至少參加由主管機關或其認定機構、當地相關單位所舉辦或所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦之法令遵循在職教育訓練課程十五小時。
3. 前二項在職訓練為自行舉辦之訓練方式應提報董事會通過，並留存相關人員上課紀錄備查。
4. 防制洗錢及打擊資恐專責單位設於法令遵循專責單位者，該專責單位人員充任前及每年應受之訓練，依防制洗錢及打擊資恐相關規定辦理，不受第一項及第十六條第七項規定限制。
5. 金融控股公司及銀行業應以網際網路資訊系統向主管機關申報法令遵循長、法令遵循專責單位主管及所屬人員之名單及受訓資料。

1. 金融控股公司及銀行業應訂定適當之風險管理政策與程序，建立獨立有效風險管理架構，包含辨識、評估、衡量及監控風險之程序及機制，以控制並陳報整體風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。
2. 前項風險管理政策與程序，應經董（理）事會通過並適時檢討修訂。

1. 金融控股公司及銀行業應設置隸屬於總經理之風險管理專責單位負責風險管理制度之規劃、管理及執行，不得兼辦其他與職務有利益衝突之業務，並指派副總經理以上或職責相當之人擔任風險管理長，綜理風險管理事務。
2. 風險管理專責單位應定期衡量相關風險，並向董（理）事會提出風險管理報告。若發現重大暴險，危及財務或業務狀況或法令遵循者，應立即採取適當措施並向董（理）事會報告。每年應將前一年度風險管理整體執行情形納入第八條第一項內部控制制度執行情形評估。
3. 風險管理專責單位應建立清楚適當之風險管理傳達、諮詢、協調與溝通機制。
4. 第一項規定，主管機關對於信用合作社及票券金融公司另有規定者，依其規定。風險管理專責單位之設置，信用合作社得指定一總社管理單位替代。

金融控股公司之風險管理機制應至少包括下列事項： 一、依金融控股公司及其子公司業務規模、信用風險、市場風險與作業風險狀況及未來營運趨勢，監控金融控股公司及其子公司資本適足性。 二、訂定適當之長短期資金調度原則及管理規範，建立衡量及監控金融控股公司及其子公司流動性部位之管理機制，以衡量、監督、控管金融控股公司及其子公司之流動性風險。 三、考量金融控股公司整體暴險、自有資本及負債特性進行各項投資配置，建立各項投資風險之管理。 四、建立金融控股公司及其各子公司一致性資產品質及分類之評估方法，計算及控管金融控股公司及其子公司之大額暴險，並定期檢視，覈實提列備抵損失或準備。 五、辨識、評估及衡量潛在新興風險，並採行風險因應策略。

銀行業之風險管理機制應至少包括下列事項： 一、依其業務規模、信用風險、市場風險與作業風險狀況及未來營運趨勢，監控資本適足性。 二、建立衡量及監控流動性部位之管理機制，以衡量、監督、控管流動性風險。 三、考量整體暴險、自有資本及負債特性進行各項資產配置，建立各項業務風險之管理。 四、建立資產品質及分類之評估方法，計算及控管大額暴險，並定期檢視，覈實提列備抵損失。 五、辨識、評估及衡量潛在新興風險，並採行風險因應策略。

1. 金融控股公司及銀行業應設置隸屬於總經理之資訊安全專責單位，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備，並指派副總經理以上或職責相當之人擔任資訊安全長，綜理資訊安全政策推動及資源調度事務。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。
2. 金融控股公司及銀行業資訊安全長每年應向董（理）事會報告前一年度資訊安全整體執行情形，並及時報告重大資安問題。
3. 金融控股公司及銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練；其他資訊從業人員則每年至少應接受六小時之以上資訊安全專業課程訓練或職能訓練。銀行業總機構、國內外營業單位、財務保管單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課程。
4. 中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。

資訊安全專責單位應辦理事項至少包括： 一、負責資訊安全制度之規劃、管理及執行，以控管資訊安全風險。 二、督導各單位落實資訊安全制度，並確保資通系統、服務及資訊之機密性、完整性與可用性。 三、建立資通安全防護、資通安全情資之評估因應與資通安全事件通報及應變相關機制。 四、每年應將前一年度資訊安全整體執行情形納入第八條第一項內部控制制度執行情形評估。

內部稽核制度之目的，在於協助董（理）事會及管理階層查核及評估內部控制制度是否有效運作，並適時提供改進建議，以合理確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。

1. 金融控股公司及銀行業應設立隸屬董（理）事會之內部稽核單位，以超然獨立之精神，執行稽核業務，並應至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告稽核業務。
2. 金融控股公司及銀行業應建立總稽核制，綜理稽核業務。總稽核應具備領導及有效督導稽核工作之能力，其資格應符合各業別負責人應具備資格條件規定，職位應等同於副總經理，且不得兼任與稽核工作有相互衝突或牽制之職務。
3. 總稽核之聘任、解聘或調職，應經審計委員會全體成員二分之一以上同意及提董（理）事會全體董（理）事三分之二以上之同意，並報請主管機關核准後為之。
4. 前項未經審計委員會全體成員二分之一以上同意者，應於董事會議事錄載明審計委員會之決議，未設審計委員會而設有獨立董事者，如有反對意見或保留意見，亦應於董事會議事錄載明。
5. 金融控股公司及銀行業於總稽核異動時，應於事實發生日之即日起算五日內向主管機關函報其異動原因及異動內容，並副知異動之總稽核。
6. 前項所稱事實發生日，係指董（理）事會決議日或其他足資確定總稽核任免之日期孰前者。
7. 內部稽核單位之人事任用、免職、升遷、獎懲、輪調及考核等，應由總稽核簽報，報經董（理）事長（主席）核定後辦理。但涉及其他管理、營業單位人事者，應事先洽商人事單位轉報總經理同意後，再行簽報董（理）事長（主席）核定。
8. 銀行業以外之金融業兼營信託業務者，不適用第一項至第七項之規定。
9. 金融控股公司總稽核得視業務需要，調動各子公司之內部稽核人員辦理金融控股公司及其子公司之內部稽核工作，並對確保金融控股公司及其子公司維持適當有效之內部稽核制度負最終之責任。
10. 金融控股公司及銀行業應建立獨立董事、審計委員會或監察人（監事、監事會）與內部稽核單位間之溝通管道與機制，並由內部稽核單位將溝通情形每年向董（理）事會報告。

總稽核有下列情形之一者，主管機關得視情節之輕重，予以糾正、命其限期改善或命令金融控股公司或銀行業解除其總稽核職務： 一、有事實證明曾有從事不當授信案件或涉及嚴重違反授信原則或與客戶不當資金往來之行為。 二、濫用職權，有事實證明從事不正當之活動，或意圖為自己或第三人不法之利益，或圖謀損害所屬金融控股公司（含子公司）或銀行業之利益，而為違背其職務之行為，致生損害於所屬金融控股公司及其子公司或銀行業或第三人。 三、未經主管機關同意，對執行職務無關之人員洩漏、交付或公開金融檢查報告全部或其中任一部分內容。 四、因所屬金融控股公司（含子公司）或銀行業內部管理不善，發生重大舞弊案件，未通報主管機關。 五、對所屬金融控股公司（含子公司）或銀行業財務與業務之嚴重缺失，未於內部稽核報告揭露。 六、辦理內部稽核工作，出具不實內部稽核報告。 七、因所屬金融控股公司（含子公司）或銀行業配置之內部稽核人員顯有不足或不適任，未能發現財務及業務有嚴重缺失。 八、未配合主管機關指示事項辦理查核工作或提供相關資料。 九、其他有損害所屬金融控股公司（含子公司）或銀行業信譽或利益之行為者。

1. 金融控股公司及銀行業應依據投資規模、業務情況（分支機構之多寡及其業務量）、管理需要及其他相關法令規章之規定，配置適任及適當人數之專任內部稽核人員，以超然獨立、客觀公正之立場，執行其職務，職務代理，應由內部稽核部門人員互為代理。
2. 金融控股公司及銀行業內部稽核人員應具備下列條件： 一、具有二年以上之金融檢查經驗；或大專院校畢業、高等考試或相當於高等考試、國際內部稽核師或國際電腦稽核師之考試及格並具有二年以上之金融業務經驗；或具有五年以上之金融業務經驗。曾任會計師事務所查帳員、電腦程式設計師或系統分析師等專業人員二年以上，經施以三個月以上之金融業務及管理訓練，視同符合規定，惟其員額不得逾稽核人員總員額之二分之一。 二、最近三年內應無記過以上之不良紀錄，但其因他人違規或違法所致之連帶處分，已功過相抵者，不在此限。 三、內部稽核人員充任領隊時，應有三年以上之稽核或金融檢查經驗，或一年以上之稽核經驗及五年以上之金融業務經驗。
3. 銀行業國外營業單位配置之專任內部稽核人員，其資格條件應符合當地法令規定及當地主管機關之要求。但自當地聘任之內部稽核人員，如當地主管機關無規定任用條件者，應依董事會通過之評估遴選辦法自行選任，不適用前項規定。
4. 金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前三項之規定，如有違反規定者，應於發現之日起二個月內改善，若逾期未予改善，應立即調整其職務。

1. 內部稽核人員執行業務應本誠實信用原則，並不得有下列情事： 一、明知所屬金融控股公司（含子公司）或銀行業之營運活動、報導及相關法令規章遵循情況有直接損害利害關係人之情事，而予以隱飾或作不實、不當之揭露。 二、逾越稽核職權範圍以外之行為或有其他不正當情事，對於所取得之資訊，對外洩漏或為己圖利或侵害所屬金融控股公司（含子公司）或銀行業之利益。 三、因職務上之廢弛，致有損及所屬金融控股公司（含子公司）或銀行業或利害關係人之權益等情事。 四、對於以前曾服務之部門，於一年內進行稽核作業。 五、對於以前執行之業務或與自身有利害關係案件未予迴避，而辦理該等案件或業務之稽核工作。 六、直接或間接提供、承諾、要求或收受所屬金融控股公司（含子公司）或銀行業從業人員或客戶不合理禮物、款待或其他任何形式之不正當利益。 七、未配合辦理主管機關指示查核事項或提供相關資料。 八、其他違反法令規章或經主管機關規定不得為之行為。
2. 金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前項之規定，如有違反規定者，應於發現之日起一個月內調整其職務。

1. 內部稽核單位應辦理下列事項： 一、規劃內部稽核之組織、編制與職掌，並編撰內部稽核工作手冊及工作底稿，其內容至少應包括對內部控制制度各項規定與業務流程進行評估，以判斷現行規定、程序是否已具有適當之內部控制，管理單位與營業單位是否切實執行內部控制及執行內部控制之效益是否合理等，並隨時提出改進意見。 二、擬訂年度稽核計畫，並依子公司或各單位業務風險特性及其內部稽核執行情形，訂定對子公司或各單位之查核計畫。
2. 金融控股公司及銀行業應辦理自行查核，並由內部稽核單位查核各單位（金融控股公司含子公司）之內部控制制度自行查核作業辦理情形，併同內部稽核單位所發現之內部控制缺失及異常事項改善情形，以作為出具內部控制制度聲明書之依據。
3. 金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時，內部稽核單位應有懲處建議權，並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。

1. 銀行業內部稽核單位對國內營業、財務、資產保管、資訊及資訊安全專責單位每年至少應辦理一次一般查核及一次專案查核，對其他管理單位每年至少應辦理一次專案查核；對各種作業中心、國外營業單位及國外子行每年至少辦理一次一般查核；對國外辦事處之查核方式可以表報稽核替代或彈性調整實地查核頻率。
2. 銀行業內部稽核單位應將營業單位辦理信託業務、財富管理及金融商品銷售業務有無不當行銷、商品內容是否充分揭露、相關風險是否充分告知、契約是否公平及其他依法令或自律規範應負之義務之執行情形，併入對營業單位之一般查核或專案查核辦理。
3. 金融控股公司內部稽核單位每年至少應辦理一次一般業務查核；每半年至少應對金融控股公司之財務、風險管理及法令遵循辦理一次專案業務查核；另辦理一般業務查核如已涵蓋專案業務查核之項目及範圍，且查核結果無重大缺失事項並於內部稽核報告敘明者，該半年度得免辦理專案業務查核。
4. 內部稽核單位應將法令遵循制度之執行情形，併入對業務及管理單位之一般查核或專案查核辦理。

1. 本國銀行得向主管機關申請核准採行風險導向內部稽核制度，如第三十四條第二項所列子公司經評估有未予納入該制度實施者，應提供評估文件。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。
2. 本國銀行申請採行風險導向內部稽核制度，應符合下列條件： 一、最近一次申報自有資本與風險性資產比率，符合銀行資本適足性及資本等級管理辦法第五條之規定。 二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準，均無備抵呆帳及各項準備提列不足。 三、最近一季逾期放款比率未超逾百分之一。 四、已具備有效之內部控制制度。
3. 本國銀行經採行風險導向內部稽核制度者，不適用前條第一項及第三十四條第二項查核頻率之規定。

1. 金融控股公司及銀行業應依子公司業務風險特性及其內部稽核執行情形，於年度稽核計畫中訂定對子公司之查核計畫。
2. 金融控股公司及銀行業除銀行業之國外子行及其他經主管機關核准者外，其內部稽核單位應每半年對子公司之財務、風險管理及法令遵循辦理一次專案業務查核，並納入年度稽核計畫。
3. 金融控股公司及銀行業應督導子公司向母公司呈報董（理）事會議紀錄、會計師查核報告、金融檢查機關檢查報告或其他有關資料，已設置內部稽核單位之子公司，並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報，由母公司予以審核，並督導子公司改善辦理。
4. 金融控股公司及銀行業總稽核應定期對子公司內部稽核作業之成效加以考核，經報告董（理）事會考核結果後，將其結果送子公司董（理）事會作為人事考評之依據。

1. 內部稽核單位辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別應揭露下列項目： 一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質、股權管理、董（理）事會及審計委員會議事運作之管理、法令遵循、內部控制、利害關係人交易、各項業務作業控制與內部管理、客戶資料保密管理、資訊管理及資訊安全、員工保密教育、消費者及投資人權益保護措施、永續資訊之管理及自行查核辦理情形，並加以評估。 二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。 三、金融檢查機關、會計師、內部稽核單位（含母公司內部稽核單位）、自行查核人員所提列檢查意見或查核缺失，及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。
2. 前項之內部稽核報告、工作底稿及相關資料應至少保存五年。

金融控股公司及銀行業應將內部稽核報告交付監察人（監事、監事會）或審計委員會查閱，除主管機關另有規定外，應於查核結束日起二個月內報主管機關，設有獨立董事者，應一併交付。

1. 內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構所舉辦之下列訓練，並取得結業證書： 一、初任稽核人員應參加稽核人員研習班、電腦稽核研習班或票券稽核研習班六十小時以上課程，並經考試及格且取得結業證書。 二、領隊稽核人員應參加領隊稽核研習班十九小時以上課程。 三、總稽核及正副主管應參加稽核主管研習班十二小時以上課程。
2. 銀行業國外營業單位自當地聘任之內部稽核人員充任前應參加之相關訓練，不適用前項規定。但當地主管機關另有規定者，從其規定。
3. 內部稽核人員（含正副主管及總稽核）每年應參加主管機關認定機構所舉辦或稽核人員所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦之金融相關業務專業訓練，其最低訓練時數，正副主管及總稽核應達二十小時以上，其餘內部稽核人員應達三十小時以上。當年度取得國際內部稽核師證照者，得抵免當年度之訓練時數。
4. 參加主管機關認定機構所舉辦之金融相關業務專業訓練時數不得低於前項應達訓練時數二分之一。
5. 派駐國外或國外營業單位自當地聘任之內部稽核人員，每年在職訓練時數應符合當地法令規定，不適用前二項規定。但當地法令無規定者，應比照本國總行內部稽核單位主管及人員每年在職訓練時數，並得以參加符合當地法令規定所設立之金融專業訓練機構之訓練課程時數進行認定。
6. 金融控股公司及銀行業應確認內部稽核人員之資格條件符合本辦法規定，該等確認文件及紀錄應留存備查。

1. 金融控股公司及銀行業應於每年一月底前將內部稽核人員之姓名及服務年資等資料，依主管機關規定格式以網際網路資訊系統申報主管機關備查。
2. 金融控股公司及銀行業依前項規定申報內部稽核人員之基本資料時，應檢查內部稽核人員是否符合第二十九條第二項、第三項及第三十七條規定，如有違反者，應於二個月內改善，若逾期未予改善，應立即調整其職務。

1. 金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形，依主管機關規定格式以網際網路資訊系統申報主管機關備查。
2. 金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫以書面交付監察人（監事、監事會）或審計委員會核議，並作成紀錄，如未設審計委員會者，並應先送獨立董事表示意見。年度稽核計畫並應經董（理）事會通過；修正時，亦同。
3. 前項提交稽核計畫內容至少應包括：計畫編列說明、年度稽核重點項目、計畫受檢單位、查核性質（一般檢查或專案檢查）、查核頻次與主管機關規定是否相符等，如查核性質屬專案檢查者，應註明專案查核範圍。

金融控股公司及銀行業應於每會計年度終了後五個月內將上一年度內部控制制度缺失與異常事項及其改善情形，依主管機關規定格式以網際網路資訊系統報主管機關備查。

1. 銀行業具有業務或交易核准權限之各級主管，應於就任前具備下列條件之一： 一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上者。 二、參加主管機關認定機構所舉辦之稽核人員研習班或電腦稽核研習班，經前述訓練機構考試及格且取得結業證書。 三、取得主管機關認定機構舉辦之銀行內部控制與內部稽核測驗考試合格證書，測驗內容應比照前款研習與考試內容。
2. 國外營業單位具有業務或交易核准權限之各級主管，得參加國外專業機構舉辦之稽核專業訓練，或取得國外類似測驗證書，以取代第一項所列條件。
3. 首次擔任國內營業單位之經理，除應符合第一項之規定外，其中符合第一項第二款或第三款者，並應於就任前或就任後半年內參與內部稽核單位之查核實習四次以上，每次查核項目至少一項，查核實習累計應至少查核四項以上，並應撰寫實習查核心得報告，呈報總稽核核可後，由總稽核出具證明書併同留卷備查。
4. 外國銀行在臺分行具有業務或交易核准權限之各級主管，業完成外國銀行對該分行要求之內部稽核所提供之訓練者，如其訓練課程有不低於第一項之條件，得不適用本條之規定。其中具有業務或交易核准權限之各級主管，係指直接向在臺負責人負責且具有業務或交易核准權限之主管。

1. 內部稽核單位對金融檢查機關、會計師與內部稽核單位（含母公司內部稽核單位）所提列檢查意見或查核缺失及內部控制制度聲明書所列應加強辦理改善事項，應持續追蹤覆查，並將其追蹤考核改善情形，以書面提報董（理）事會及交付監察人（監事、監事會）或審計委員會，並列為對各單位獎懲及績效考核之重要項目。
2. 金融控股公司及銀行業稽核工作考核要點，由主管機關定之。

1. 銀行業內部稽核單位依第二十七條第一項至少每半年向董（理）事會及監察人或審計委員會報告之稽核業務事項，應包括法令遵循、風險管理及資訊安全等專責單位辦理績效及全行法令遵循、風險管理及資訊安全程度之評估意見。
2. 金融控股公司及銀行業於主管機關或國外分支機構當地主管機關檢查結束或收到檢查報告後，總機構之內部稽核單位應依重大性原則，即時通報董（理）事及監察人（監事、監事會），並提報最近一次董（理）事會報告。報告事項應包括檢查溝通會議內容、主要檢查缺失、遭金融主管機關調降評等、主管機關要求採行之重大缺失改善方案或可能採行之處分措施。

1. 銀行業年度財務報表由會計師辦理查核簽證時，應委託會計師辦理內部控制制度之專案審查，並對銀行業申報主管機關表報資料正確性、內部控制制度及法令遵循制度執行情形、備抵呆帳提列政策之妥適性表示意見，其範圍應包括國外營業單位。
2. 銀行業應委託會計師辦理個人資料保護與防制洗錢及打擊資恐機制專案審查。
3. 會計師辦理前二項查核，應提供合理確信之確信報告。
4. 會計師之專案審查費用由銀行業與會計師自行議定，並由銀行業負擔會計師之專案審查費用。
5. 第一項及第二項規定對於經主管機關依法接管之銀行業，不適用之。

主管機關於必要時，得邀集銀行業及其委託之會計師就前條委託辦理專案審查相關事宜進行討論，主管機關若發現銀行業委託之會計師有未足以勝任委託查核工作之情事者，得令銀行業更換委託查核會計師重新辦理專案審查工作。

1. 會計師辦理第四十四條規定之確信工作時，若遇受查銀行業有下列情況應立即通報主管機關： 一、確信工作過程中，未提供會計師所需要之報表、憑證、帳冊及會議紀錄或對會計師之詢問事項拒絕提出說明，或受其他客觀環境限制，致使會計師無法繼續辦理確信工作。 二、在會計或其他紀錄有虛偽、造假或缺漏，情節重大者。 三、資產不足以抵償負債或財務狀況顯著惡化。 四、有證據顯示交易對淨資產有重大減損之虞。
2. 受查銀行業有前項第二款至第四款情事者，會計師並應就確信執行程序之結果先行向主管機關提出摘要報告。

1. 銀行業委託會計師辦理第四十四條第一項及第二項規定之專案審查，應於每年四月底前出具上一年度會計師確信報告報主管機關備查。
2. 信用合作社依前項規定辦理時，應由直轄市政府或縣（市）政府申報轉呈。
3. 主管機關對於確信報告之內容提出詢問時，會計師應詳實提供相關資料與說明。

1. 金融控股公司及銀行業應確保金融檢查報告之機密性，其負責人或職員除依法令或經主管機關同意者外，不得閱覽或對執行職務無關之人員洩漏、交付或公開與金融檢查報告全部或部分內容。
2. 金融控股公司及銀行業應依主管機關之規定，制定金融檢查報告之相關內部管理規範及作業程序，並提報董（理）事會通過。

金融控股公司及銀行業應於內部控制制度中訂定管理階層及相關人員違反本辦法或其所定內部控制制度規定時之處罰。

金融控股公司及銀行業因內部管理不善、內部控制欠佳、內部稽核制度及法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形或內部稽核單位（含母公司內部稽核單位）對查核結果有隱匿未予揭露，而肇致重大弊端時，相關人員應負失職責任。內部人員發現重大弊端或疏失，並使所屬金融控股公司（含子公司）或銀行業免於重大損失，應予獎勵。

內部稽核人員及法令遵循主管，對內部控制重大缺失或違法違規情事所提改進建議不為管理階層採納，將肇致所屬金融控股公司（含子公司）或銀行業重大損失者，均應立即作成報告陳核，並通知獨立董事及監察人（監事、監事會）或審計委員會，同時通報主管機關。

本辦法規定格式，由主管機關另定之。

1. 外國銀行在臺分行之內部控制及稽核制度，如依其總行所定之相關內部控制及稽核制度規定，不低於本辦法之規定，得依總行制度，並依下列規定辦理： 一、內部控制制度聲明書應由在臺負責人、法令遵循長、負責臺灣區稽核業務主管、負責臺灣區資訊安全主管、負責臺灣區風險管理主管聯名出具，並於每會計年度終了後三個月內將該聲明書揭露於銀行網站，不適用第八條規定。 二、依據在臺業務項目參照第十二條第一項第二款訂定相關規範及處理手冊。 三、依總行制度建立在臺檢舉制度，並指定單位或人員負責檢舉案件之受理，得不適用第十三條第一項關於指定獨立行使職權之單位。但檢舉制度內容至少應包括第十三條第四項各款規定。 四、配合總行採風險導向之自行查核制度者，說明自行查核之辦理方式及對自行查核之評核機制並報經主管機關備查後，得不適用第十四條第一項關於指定單位進行督導及覆核，及十四條第二項規定。 五、遵循總行之法令遵循風險管理及監督架構者，說明架構原則及權責規定報經主管機關備查後，得不適用第十八條規定。 六、配合總行採風險導向之內部稽核制度者，說明運作之機制及辦理方式報經主管機關備查後，得不適用第三十一條、第三十二條第一項、第三十五條第一項及第三十九條規定。 七、依總行制度並配置適當之人力資源及設備，確保聯繫及風險管理妥適者，得不適用第十六條第二項有關法令遵循專責單位不得兼辦法務之業務，及法令遵循長不得兼任法務單位主管之規定，及得不適用第二十一條有關設置風險管理專責單位與指派風險管理長、第二十四條有關設置資訊安全專責單位及指派資訊安全長，以及第二十九條第二項第一款有關內部稽核人員員額比例之規定。 八、內部稽核報告之申報，除主管機關另有規定外，內部稽核由在臺分行之稽核單位辦理者，應於查核結束後二個月內報主管機關；由總行或區域總部辦理者，在臺分行應於收到報告後一個月內報送主管機關。如該報告內容非中文，應檢附中文重點摘述。 九、首次擔任在臺分行營業單位之經理人具備與其職務有關之內部控制經驗與訓練，不適用第四十一條第三項規定。
2. 外國銀行在臺分行之內部控制及稽核制度非屬前項情形，且依總行制度不低於本辦法規定者，得於出具總行規定與本辦法規定之對照適用說明，並經在臺分行負責人簽署後依總行制度辦理。其總行制度如有變更者，應重行出具對照適用說明並經在臺分行負責人簽署。
3. 外國銀行在臺分行之內部控制及稽核制度非屬前二項情形，得依其業務規模或性質，就特定事項敘明理由，報經主管機關核准後，依總行制度辦理。核准事項有變更者，應重行報經主管機關核准。
4. 外國銀行在臺分行違反依本條規定辦理之內部控制制度及稽核制度者，視同違反本辦法規定。

1. 金融控股公司及銀行業不符第九條、第十條、第十二條第一項第二款第十三目、第十四條、第十六條、第十七條第四項及第五項、第二十條、第二十一條、第二十四條、第二十五條及第三十一條第二項，有關內部控制三道模型、誠信經營守則、營運持續管理機制之訂定、自行查核制度、整併法令遵循自行查核與自行評估作業、設置法令遵循長、風險管理長、資訊安全長及隸屬於總經理之法令遵循、風險管理、資訊安全專責單位，與風險管理架構、風險管理及資訊安全專責單位權責等規定者，應於中華民國一百十六年十二月三十一日前，調整至符合規定。
2. 信用合作社不符合第三十五條內部稽核報告內容應揭露項目包含永續資訊之管理之規定者，應於中華民國一百十六年十二月三十一日前，調整至符合規定。

本辦法除第四十四條至第四十七條施行日期由主管機關定之外，自發布日施行。