金融控股公司及銀行業內部控制及稽核制度實施辦法第 五 節 內部稽核制度

內部稽核制度之目的，在於協助董（理）事會及管理階層查核及評估內部控制制度是否有效運作，並適時提供改進建議，以合理確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。

1. 金融控股公司及銀行業應設立隸屬董（理）事會之內部稽核單位，以超然獨立之精神，執行稽核業務，並應至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告稽核業務。
2. 金融控股公司及銀行業應建立總稽核制，綜理稽核業務。總稽核應具備領導及有效督導稽核工作之能力，其資格應符合各業別負責人應具備資格條件規定，職位應等同於副總經理，且不得兼任與稽核工作有相互衝突或牽制之職務。
3. 總稽核之聘任、解聘或調職，應經審計委員會全體成員二分之一以上同意及提董（理）事會全體董（理）事三分之二以上之同意，並報請主管機關核准後為之。
4. 前項未經審計委員會全體成員二分之一以上同意者，應於董事會議事錄載明審計委員會之決議，未設審計委員會而設有獨立董事者，如有反對意見或保留意見，亦應於董事會議事錄載明。
5. 金融控股公司及銀行業於總稽核異動時，應於事實發生日之即日起算五日內向主管機關函報其異動原因及異動內容，並副知異動之總稽核。
6. 前項所稱事實發生日，係指董（理）事會決議日或其他足資確定總稽核任免之日期孰前者。
7. 內部稽核單位之人事任用、免職、升遷、獎懲、輪調及考核等，應由總稽核簽報，報經董（理）事長（主席）核定後辦理。但涉及其他管理、營業單位人事者，應事先洽商人事單位轉報總經理同意後，再行簽報董（理）事長（主席）核定。
8. 銀行業以外之金融業兼營信託業務者，不適用第一項至第七項之規定。
9. 金融控股公司總稽核得視業務需要，調動各子公司之內部稽核人員辦理金融控股公司及其子公司之內部稽核工作，並對確保金融控股公司及其子公司維持適當有效之內部稽核制度負最終之責任。
10. 金融控股公司及銀行業應建立獨立董事、審計委員會或監察人（監事、監事會）與內部稽核單位間之溝通管道與機制，並由內部稽核單位將溝通情形每年向董（理）事會報告。

總稽核有下列情形之一者，主管機關得視情節之輕重，予以糾正、命其限期改善或命令金融控股公司或銀行業解除其總稽核職務： 一、有事實證明曾有從事不當授信案件或涉及嚴重違反授信原則或與客戶不當資金往來之行為。 二、濫用職權，有事實證明從事不正當之活動，或意圖為自己或第三人不法之利益，或圖謀損害所屬金融控股公司（含子公司）或銀行業之利益，而為違背其職務之行為，致生損害於所屬金融控股公司及其子公司或銀行業或第三人。 三、未經主管機關同意，對執行職務無關之人員洩漏、交付或公開金融檢查報告全部或其中任一部分內容。 四、因所屬金融控股公司（含子公司）或銀行業內部管理不善，發生重大舞弊案件，未通報主管機關。 五、對所屬金融控股公司（含子公司）或銀行業財務與業務之嚴重缺失，未於內部稽核報告揭露。 六、辦理內部稽核工作，出具不實內部稽核報告。 七、因所屬金融控股公司（含子公司）或銀行業配置之內部稽核人員顯有不足或不適任，未能發現財務及業務有嚴重缺失。 八、未配合主管機關指示事項辦理查核工作或提供相關資料。 九、其他有損害所屬金融控股公司（含子公司）或銀行業信譽或利益之行為者。

1. 金融控股公司及銀行業應依據投資規模、業務情況（分支機構之多寡及其業務量）、管理需要及其他相關法令規章之規定，配置適任及適當人數之專任內部稽核人員，以超然獨立、客觀公正之立場，執行其職務，職務代理，應由內部稽核部門人員互為代理。
2. 金融控股公司及銀行業內部稽核人員應具備下列條件： 一、具有二年以上之金融檢查經驗；或大專院校畢業、高等考試或相當於高等考試、國際內部稽核師或國際電腦稽核師之考試及格並具有二年以上之金融業務經驗；或具有五年以上之金融業務經驗。曾任會計師事務所查帳員、電腦程式設計師或系統分析師等專業人員二年以上，經施以三個月以上之金融業務及管理訓練，視同符合規定，惟其員額不得逾稽核人員總員額之二分之一。 二、最近三年內應無記過以上之不良紀錄，但其因他人違規或違法所致之連帶處分，已功過相抵者，不在此限。 三、內部稽核人員充任領隊時，應有三年以上之稽核或金融檢查經驗，或一年以上之稽核經驗及五年以上之金融業務經驗。
3. 銀行業國外營業單位配置之專任內部稽核人員，其資格條件應符合當地法令規定及當地主管機關之要求。但自當地聘任之內部稽核人員，如當地主管機關無規定任用條件者，應依董事會通過之評估遴選辦法自行選任，不適用前項規定。
4. 金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前三項之規定，如有違反規定者，應於發現之日起二個月內改善，若逾期未予改善，應立即調整其職務。

1. 內部稽核人員執行業務應本誠實信用原則，並不得有下列情事： 一、明知所屬金融控股公司（含子公司）或銀行業之營運活動、報導及相關法令規章遵循情況有直接損害利害關係人之情事，而予以隱飾或作不實、不當之揭露。 二、逾越稽核職權範圍以外之行為或有其他不正當情事，對於所取得之資訊，對外洩漏或為己圖利或侵害所屬金融控股公司（含子公司）或銀行業之利益。 三、因職務上之廢弛，致有損及所屬金融控股公司（含子公司）或銀行業或利害關係人之權益等情事。 四、對於以前曾服務之部門，於一年內進行稽核作業。 五、對於以前執行之業務或與自身有利害關係案件未予迴避，而辦理該等案件或業務之稽核工作。 六、直接或間接提供、承諾、要求或收受所屬金融控股公司（含子公司）或銀行業從業人員或客戶不合理禮物、款待或其他任何形式之不正當利益。 七、未配合辦理主管機關指示查核事項或提供相關資料。 八、其他違反法令規章或經主管機關規定不得為之行為。
2. 金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前項之規定，如有違反規定者，應於發現之日起一個月內調整其職務。

1. 內部稽核單位應辦理下列事項： 一、規劃內部稽核之組織、編制與職掌，並編撰內部稽核工作手冊及工作底稿，其內容至少應包括對內部控制制度各項規定與業務流程進行評估，以判斷現行規定、程序是否已具有適當之內部控制，管理單位與營業單位是否切實執行內部控制及執行內部控制之效益是否合理等，並隨時提出改進意見。 二、擬訂年度稽核計畫，並依子公司或各單位業務風險特性及其內部稽核執行情形，訂定對子公司或各單位之查核計畫。
2. 金融控股公司及銀行業應辦理自行查核，並由內部稽核單位查核各單位（金融控股公司含子公司）之內部控制制度自行查核作業辦理情形，併同內部稽核單位所發現之內部控制缺失及異常事項改善情形，以作為出具內部控制制度聲明書之依據。
3. 金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時，內部稽核單位應有懲處建議權，並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。

1. 銀行業內部稽核單位對國內營業、財務、資產保管、資訊及資訊安全專責單位每年至少應辦理一次一般查核及一次專案查核，對其他管理單位每年至少應辦理一次專案查核；對各種作業中心、國外營業單位及國外子行每年至少辦理一次一般查核；對國外辦事處之查核方式可以表報稽核替代或彈性調整實地查核頻率。
2. 銀行業內部稽核單位應將營業單位辦理信託業務、財富管理及金融商品銷售業務有無不當行銷、商品內容是否充分揭露、相關風險是否充分告知、契約是否公平及其他依法令或自律規範應負之義務之執行情形，併入對營業單位之一般查核或專案查核辦理。
3. 金融控股公司內部稽核單位每年至少應辦理一次一般業務查核；每半年至少應對金融控股公司之財務、風險管理及法令遵循辦理一次專案業務查核；另辦理一般業務查核如已涵蓋專案業務查核之項目及範圍，且查核結果無重大缺失事項並於內部稽核報告敘明者，該半年度得免辦理專案業務查核。
4. 內部稽核單位應將法令遵循制度之執行情形，併入對業務及管理單位之一般查核或專案查核辦理。

1. 本國銀行得向主管機關申請核准採行風險導向內部稽核制度，如第三十四條第二項所列子公司經評估有未予納入該制度實施者，應提供評估文件。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。
2. 本國銀行申請採行風險導向內部稽核制度，應符合下列條件： 一、最近一次申報自有資本與風險性資產比率，符合銀行資本適足性及資本等級管理辦法第五條之規定。 二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準，均無備抵呆帳及各項準備提列不足。 三、最近一季逾期放款比率未超逾百分之一。 四、已具備有效之內部控制制度。
3. 本國銀行經採行風險導向內部稽核制度者，不適用前條第一項及第三十四條第二項查核頻率之規定。

1. 金融控股公司及銀行業應依子公司業務風險特性及其內部稽核執行情形，於年度稽核計畫中訂定對子公司之查核計畫。
2. 金融控股公司及銀行業除銀行業之國外子行及其他經主管機關核准者外，其內部稽核單位應每半年對子公司之財務、風險管理及法令遵循辦理一次專案業務查核，並納入年度稽核計畫。
3. 金融控股公司及銀行業應督導子公司向母公司呈報董（理）事會議紀錄、會計師查核報告、金融檢查機關檢查報告或其他有關資料，已設置內部稽核單位之子公司，並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報，由母公司予以審核，並督導子公司改善辦理。
4. 金融控股公司及銀行業總稽核應定期對子公司內部稽核作業之成效加以考核，經報告董（理）事會考核結果後，將其結果送子公司董（理）事會作為人事考評之依據。

1. 內部稽核單位辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別應揭露下列項目： 一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質、股權管理、董（理）事會及審計委員會議事運作之管理、法令遵循、內部控制、利害關係人交易、各項業務作業控制與內部管理、客戶資料保密管理、資訊管理及資訊安全、員工保密教育、消費者及投資人權益保護措施、永續資訊之管理及自行查核辦理情形，並加以評估。 二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。 三、金融檢查機關、會計師、內部稽核單位（含母公司內部稽核單位）、自行查核人員所提列檢查意見或查核缺失，及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。
2. 前項之內部稽核報告、工作底稿及相關資料應至少保存五年。

金融控股公司及銀行業應將內部稽核報告交付監察人（監事、監事會）或審計委員會查閱，除主管機關另有規定外，應於查核結束日起二個月內報主管機關，設有獨立董事者，應一併交付。

1. 內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構所舉辦之下列訓練，並取得結業證書： 一、初任稽核人員應參加稽核人員研習班、電腦稽核研習班或票券稽核研習班六十小時以上課程，並經考試及格且取得結業證書。 二、領隊稽核人員應參加領隊稽核研習班十九小時以上課程。 三、總稽核及正副主管應參加稽核主管研習班十二小時以上課程。
2. 銀行業國外營業單位自當地聘任之內部稽核人員充任前應參加之相關訓練，不適用前項規定。但當地主管機關另有規定者，從其規定。
3. 內部稽核人員（含正副主管及總稽核）每年應參加主管機關認定機構所舉辦或稽核人員所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦之金融相關業務專業訓練，其最低訓練時數，正副主管及總稽核應達二十小時以上，其餘內部稽核人員應達三十小時以上。當年度取得國際內部稽核師證照者，得抵免當年度之訓練時數。
4. 參加主管機關認定機構所舉辦之金融相關業務專業訓練時數不得低於前項應達訓練時數二分之一。
5. 派駐國外或國外營業單位自當地聘任之內部稽核人員，每年在職訓練時數應符合當地法令規定，不適用前二項規定。但當地法令無規定者，應比照本國總行內部稽核單位主管及人員每年在職訓練時數，並得以參加符合當地法令規定所設立之金融專業訓練機構之訓練課程時數進行認定。
6. 金融控股公司及銀行業應確認內部稽核人員之資格條件符合本辦法規定，該等確認文件及紀錄應留存備查。

1. 金融控股公司及銀行業應於每年一月底前將內部稽核人員之姓名及服務年資等資料，依主管機關規定格式以網際網路資訊系統申報主管機關備查。
2. 金融控股公司及銀行業依前項規定申報內部稽核人員之基本資料時，應檢查內部稽核人員是否符合第二十九條第二項、第三項及第三十七條規定，如有違反者，應於二個月內改善，若逾期未予改善，應立即調整其職務。

1. 金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形，依主管機關規定格式以網際網路資訊系統申報主管機關備查。
2. 金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫以書面交付監察人（監事、監事會）或審計委員會核議，並作成紀錄，如未設審計委員會者，並應先送獨立董事表示意見。年度稽核計畫並應經董（理）事會通過；修正時，亦同。
3. 前項提交稽核計畫內容至少應包括：計畫編列說明、年度稽核重點項目、計畫受檢單位、查核性質（一般檢查或專案檢查）、查核頻次與主管機關規定是否相符等，如查核性質屬專案檢查者，應註明專案查核範圍。

金融控股公司及銀行業應於每會計年度終了後五個月內將上一年度內部控制制度缺失與異常事項及其改善情形，依主管機關規定格式以網際網路資訊系統報主管機關備查。

1. 銀行業具有業務或交易核准權限之各級主管，應於就任前具備下列條件之一： 一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上者。 二、參加主管機關認定機構所舉辦之稽核人員研習班或電腦稽核研習班，經前述訓練機構考試及格且取得結業證書。 三、取得主管機關認定機構舉辦之銀行內部控制與內部稽核測驗考試合格證書，測驗內容應比照前款研習與考試內容。
2. 國外營業單位具有業務或交易核准權限之各級主管，得參加國外專業機構舉辦之稽核專業訓練，或取得國外類似測驗證書，以取代第一項所列條件。
3. 首次擔任國內營業單位之經理，除應符合第一項之規定外，其中符合第一項第二款或第三款者，並應於就任前或就任後半年內參與內部稽核單位之查核實習四次以上，每次查核項目至少一項，查核實習累計應至少查核四項以上，並應撰寫實習查核心得報告，呈報總稽核核可後，由總稽核出具證明書併同留卷備查。
4. 外國銀行在臺分行具有業務或交易核准權限之各級主管，業完成外國銀行對該分行要求之內部稽核所提供之訓練者，如其訓練課程有不低於第一項之條件，得不適用本條之規定。其中具有業務或交易核准權限之各級主管，係指直接向在臺負責人負責且具有業務或交易核准權限之主管。

1. 內部稽核單位對金融檢查機關、會計師與內部稽核單位（含母公司內部稽核單位）所提列檢查意見或查核缺失及內部控制制度聲明書所列應加強辦理改善事項，應持續追蹤覆查，並將其追蹤考核改善情形，以書面提報董（理）事會及交付監察人（監事、監事會）或審計委員會，並列為對各單位獎懲及績效考核之重要項目。
2. 金融控股公司及銀行業稽核工作考核要點，由主管機關定之。

1. 銀行業內部稽核單位依第二十七條第一項至少每半年向董（理）事會及監察人或審計委員會報告之稽核業務事項，應包括法令遵循、風險管理及資訊安全等專責單位辦理績效及全行法令遵循、風險管理及資訊安全程度之評估意見。
2. 金融控股公司及銀行業於主管機關或國外分支機構當地主管機關檢查結束或收到檢查報告後，總機構之內部稽核單位應依重大性原則，即時通報董（理）事及監察人（監事、監事會），並提報最近一次董（理）事會報告。報告事項應包括檢查溝通會議內容、主要檢查缺失、遭金融主管機關調降評等、主管機關要求採行之重大缺失改善方案或可能採行之處分措施。