很抱歉!您的瀏覽器不支援JavaScript語法,將無法正確使用本系統的功能
跳至主要內容
    :::
  • 現在位置:法規查詢結果
法規名稱: 金融控股公司及銀行業內部控制及稽核制度實施辦法(099.03.29修正)
條 文 內 容
   第 一 章 總則
第    1    條
本辦法依金融控股公司法第五十一條、銀行法第四十五條之一第一項、信
用合作社法第二十一條第一項、票券金融管理法第四十三條及信託業法第
四十二條第三項規定訂定之。
第    2    條
本辦法所稱銀行業,包括銀行、信用合作社、票券商及信託業。
銀行業以外之金融業兼營票券業務及信託業務者,其內部控制及內部稽核
制度,除其他法令另有規定外,應依本辦法辦理。
第    3    條
金融控股公司及銀行業應建立內部控制制度,並確保該制度得以持續有效
執行,以健全金融控股公司(含子公司)與銀行業經營。
金融控股公司(含子公司)與銀行業應規劃整體經營策略、風險管理政策
與指導準則,並擬定經營計畫、風險管理程序及執行準則。
第    4    條
內部控制之基本目的在於促進金融控股公司及銀行業健全經營,並應由其
董(理)事會、管理階層及所有從業人員共同遵行,以合理確保達成下列
目標:
一、營運之效果及效率。
二、財務報導之可靠性。
三、相關法令之遵循。
前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產安全
等目標。
第一項第二款所稱財務報導之可靠性目標,包括確保對外之財務報表係依
照一般公認會計原則編製,交易經適當核准等目標。
第    5    條
金融控股公司及銀行業之內部控制制度,應經董(理)事會通過,如有董
(理)事表示反對意見或保留意見者,應將其意見及理由於董(理)事會
議紀錄載明,連同經董(理)事會通過之內部控制制度送各監察人(監事
、監事會)或審計委員會;修正時,亦同。
   第 二 章 內部控制制度之設計及執行
第    6    條
金融控股公司及銀行業應建立內部稽核制度、自行查核制度、法令遵循主
管制度、以及風險管理機制,以維持有效適當之內部控制制度運作。
第    7    條
金融控股公司(含子公司)與銀行業之內部控制制度應包含下列各項原則
:
一、管理階層之監督及控制文化:董(理)事會應負責核准並定期覆核整
    體經營策略與重大政策,董(理)事會對於確保建立並維持適當有效
    之內部控制制度負有最終之責任;高階管理階層應負責執行董(理)
    事會核定之經營策略與政策,發展足以辨識、衡量、監督及控制風險
    之程序,訂定適當之內部控制政策及監督其有效性與適切性。
二、風險辨識與評估:有效之內部控制制度須可辨識並持續評估整體目標
    之達成可能產生負面影響之重大風險,並決定如何因應相關風險,使
    其能被限制在可承受之範圍內。
三、控制活動與職務分工:控制活動應為每日整體營運之一部分,並設立
    完善之控制架構,及訂定各層級之內控程序;有效之內部控制制度應
    有適當之職務分工,且管理階層及員工不應擔任責任相互衝突之工作
    。
四、資訊與溝通:金融控股公司及其子公司與銀行業應保有完整之財務、
    營運及遵循資訊;資訊應具備可靠性、及時性與容易取得之特性,並
    以一致性之格式提供,有效之內部控制制度應建立有效之溝通管道。
五、監督活動與更正缺失:應持續監督內部控制整體之有效性,管理、營
    業單位、內部稽核或其他內控人員發現之內部控制缺失均應即時向適
    當層級報告,若屬重大之內部控制缺失應向高階管理階層及董(理)
    事會報告,並應立即採取改正措施。
第    8    條
內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業程序
,且應適時檢討修訂:
一、組織規程或管理章則,應包括訂定明確之組織系統、單位職掌、業務
    範圍與明確之授權及分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一)投資準則。
(二)客戶資料保密。
(三)利害關係人交易規範。
(四)股權管理。
(五)會計暨財務報表編製流程、總務、資訊、人事管理(銀行業應含輪
      調及休假規定)。
(六)對外資訊揭露作業管理。
(七)金融檢查報告之管理。
(八)其他業務之規範及作業程序。
金融控股公司業務規範及處理手冊應另包括子公司之管理及共同行銷管理
。
銀行業務規範及處理手冊應另包括出納、存款、匯兌、授信、外匯、新種
金融商品及委外作業管理。
信用合作社業務規範及處理手冊應另包括出納、存款、授信、匯兌及委外
作業管理。
票券商業務規範及處理手冊應另包括票券、債券及新種金融商品等業務。
信託業作業手冊之範本由信託業商業同業公會訂定,其內容應區分業務作
業流程、會計作業流程、電腦作業規範、人事管理制度等項。信託業應參
考範本訂定作業手冊,並配合法規、業務項目、作業流程等之變更,定期
修訂。
金融控股公司及銀行業應於內部控制制度中,訂定對子公司必要之控制作
業,其為國外子公司者,並應考量該子公司所在地政府法令之規定及實際
營運之性質,督促其子公司建立內部控制制度。
前七項各種作業及管理規章之訂定、修訂或廢止,必要時應有法令遵循、
內部稽核及風險管理單位等相關單位之參與。
   第 三 章 內部控制制度之查核
      第 一 節 內部稽核
第    9    條
內部稽核制度之目的,在於協助董(理)事會及管理階層查核及評估內部
控制制度是否有效運作,並適時提供改進建議,以合理確保內部控制制度
得以持續有效實施及作為檢討修正內部控制制度之依據。
第   10    條
金融控股公司及銀行業應設立隸屬董(理)事會之內部稽核單位,以獨立
超然之精神,執行稽核業務,並應至少每半年向董(理)事會及監察人(
監事、監事會) 或審計委員會報告稽核業務。
金融控股公司及銀行業應建立總稽核制,綜理稽核業務。總稽核應具備領
導及有效督導稽核工作之能力,其資格應符合各業別負責人應具備資格條
件規定,職位應等同於副總經理,且不得兼任與稽核工作有相互衝突或牽
制之職務。
總稽核之聘任、解聘或調職,應經董(理)事會全體董(理)事三分之二
以上之同意,並報請主管機關核准後為之。內部稽核單位之人事任用、免
職、升遷、獎懲、輪調及考核等,應由總稽核簽報,報經董(理)事長(
主席)核定後辦理。但涉及其他管理、營業單位人事者,應事先洽商人事
單位轉報總經理同意後,再行簽報董(理)事長(主席)核定。
銀行業以外之金融業兼營信託業務者,不適用本條第一項至第三項之規定
。
金融控股公司總稽核得視業務需要,調動各子公司之內部稽核人員辦理金
融控股公司及其子公司之內部稽核工作,並對確保金融控股公司及其子公
司維持適當有效之內部稽核制度負最終之責任。
第   11    條
總稽核有下列情形之一者,主管機關得視情節之輕重,予以糾正、命其限
期改善或命令金融控股公司或銀行業解除其總稽核職務:
一、有事實證明曾有從事不當授信案件或涉及嚴重違反授信原則或與客戶
    不當資金往來之行為。
二、濫用職權,有事實證明從事不正當之活動,或意圖為自己或第三人不
    法之利益,或圖謀損害所屬金融控股公司(含子公司)或銀行業之利
    益,而為違背其職務之行為,致生損害於所屬金融控股公司及其子公
    司或銀行業或第三人。
三、未經主管機關同意,對執行職務無關之人員洩漏、交付或公開金融檢
    查報告全部或其中任一部分內容。
四、因所屬金融控股公司(含子公司)或銀行業內部管理不善,發生重大
    舞弊案件,未通報主管機關。
五、對所屬金融控股公司(含子公司)或銀行業財務與業務之嚴重缺失,
    未於內部稽核報告揭露。
六、辦理內部稽核工作,出具不實內部稽核報告。
七、因所屬金融控股公司(含子公司)或銀行業配置之內部稽核人員顯有
    不足或不適任,未能發現財務及業務有嚴重缺失。
八、未配合主管機關指示事項辦理查核工作或提供相關資料。
九、其他有損害所屬金融控股公司(含子公司)或銀行業信譽或利益之行
    為者。
第   12    條
金融控股公司及銀行業應依據投資規模、業務情況(分支機構之多寡及其
業務量)、管理需要及其他相關法令之規定,配置適任及適當人數之專任
內部稽核人員,以超然獨立、客觀公正之立場,執行其職務。
金融控股公司及銀行業內部稽核人員應具備下列條件:
一、具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相當於
    高等考試、國際內部稽核師之考試及格並具有二年以上之金融業務經
    驗;或具有五年以上之金融業務經驗。曾任會計師事務所查帳員、電
    腦公司程式設計師或系統分析師等專業人員二年以上,經施以三個月
    以上之金融業務及管理訓練,視同符合規定,惟其員額不得逾稽核人
    員總員額之三分之一。
二、最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所致之
    連帶處分,已功過相抵者,不在此限。
三、內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗,或
    一年以上之稽核經驗及五年以上之金融業務經驗。
金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前二項之規定,
如有違反規定者,應於發現之日起二個月內改善,若逾期未予改善,應立
即調整其職務。
第   13    條
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、明知所屬金融控股公司(含子公司)或銀行業之營運活動、財務報導
    及相關法令遵循情況有直接損害利害關係人之情事,而予以隱飾或作
    不實、不當之揭露。
二、逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得之資
    訊,對外洩漏或為己圖利或侵害所屬金融控股公司(含子公司)或銀
    行業之利益。
三、因職務上之廢弛,致有損及所屬金融控股公司(含子公司)或銀行業
    或利害關係人之權益等情事。
四、對於以前曾服務之部門,於一年內進行稽核作業。
五、對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理該等
    案件或業務之稽核工作。
六、收受所屬金融控股公司(含子公司)或銀行業從業人員或客戶之不當
    招待或餽贈或其他不正當利益。
七、未配合辦理主管機關指示查核事項或提供相關資料。
八、其他違反法令或經主管機關規定不得為之行為。
金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前項之規定,如
有違反規定者,應於發現之日起一個月內調整其職務。
第   14    條
內部稽核單位應辦理下列事項:
一、規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊及工作
    底稿,其內容至少應包括對內部控制制度各項規定與業務流程進行評
    估,以判斷現行規定、程序是否已具有適當之內部控制,管理單位與
    營業單位是否切實執行內部控制及執行內部控制之效益是否合理等,
    並隨時提出改進意見。
二、訂定自行查核內容與程序,並督導各單位自行查核之執行情形。
三、擬訂年度稽核計畫,並依子公司或各單位業務風險特性及其內部稽核
    執行情形,訂定對子公司或各單位之查核計畫。
金融控股公司及銀行業應督促各單位(金融控股公司含子公司)辦理自行
查核,並由內部稽核單位覆核各單位(金融控股公司含子公司)之內部控
制制度自行查核報告,併同內部稽核單位所發現之內部控制缺失及異常事
項改善情形,以作為董(理)事會、總經理、總稽核及法令遵循主管評估
整體內部控制制度有效性及出具內部控制制度聲明書之依據。
第   15    條
銀行業內部稽核單位對國內營業、財務、資產保管及資訊單位每年至少應
辦理一次一般查核及一次專案查核,對其他管理單位每年至少應辦理一次
專案查核;對各種作業中心、國外營業單位及國外子行每年至少辦理一次
一般查核;對國外辦事處之查核方式可以表報稽核替代或彈性調整實地查
核頻率。
銀行業稽核單位應將營業單位辦理信託業務、財富管理及金融商品銷售業
務有無不當行銷、商品內容是否充分揭露、相關風險是否充分告知、契約
是否公平及其他依法令或自律規範應負之義務之執行情形,併入對營業單
位之一般查核或專案查核辦理。
金融控股公司內部稽核單位每年至少應辦理一次一般業務查核;每半年至
少應對金融控股公司之財務、風險管理及法令遵循辦理一次專案業務查核
;另辦理一般業務查核如已涵蓋專案業務查核之項目及範圍,且查核結果
無重大缺失事項並於內部稽核報告敘明者,該半年度得免辦理專案業務查
核。
內部稽核單位應將法令遵循主管制度之執行情形,併入對業務及管理單位
之一般查核或專案查核辦理。
第   16    條
金融控股公司及銀行業應依子公司業務風險特性及其內部稽核執行情形,
於年度稽核計畫中訂定對子公司之查核計畫。
金融控股公司及銀行業除銀行業之國外子行及其他經主管機關核准者外,
其內部稽核單位應每半年對子公司之財務、風險管理及法令遵循辦理一次
專案業務查核,並納入年度稽核計畫。
金融控股公司及銀行業之子公司,應向母公司呈報董(理)事會議紀錄、
會計師查核報告、金融檢查機關檢查報告或其他有關資料,已設置內部稽
核單位之子公司,並應將稽核計畫、內部稽核報告所提重大缺失事項及改
善辦理情形併同陳報,由母公司予以審核,並督導子公司改善辦理。
金融控股公司及銀行業總稽核應定期對子公司內部稽核作業之成效加以考
核,經報告董(理)事會考核結果後,將其結果送子公司董(理)事會作
為人事考評之依據。
第   17    條
內部稽核單位辦理一般查核,其內部稽核報告內容應依受檢單位之性質,
分別應揭露下列項目:
一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質
    、股權管理、董(理)事會議事運作之管理、法令遵循、內部控制、
    利害關係人交易、各項業務作業控制與內部管理、客戶資料保密管理
    、資訊管理、員工保密教育、消費者及投資人權益保護措施及自行查
    核辦理情形,並加以評估。
二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處
    建議。
三、金融檢查機關、會計師、內部稽核單位(含母公司內部稽核單位)、
    自行查核人員所提列檢查意見或查核缺失,及內部控制制度聲明書所
    列應加強辦理改善事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。
第   18    條
金融控股公司及銀行業因內部管理不善、內部控制欠佳、內部稽核制度及
法令遵循主管制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善
辦理情形或內部稽核單位(含母公司內部稽核單位)對查核結果有隱匿未
予揭露,而肇致重大弊端時,相關人員應負失職責任。內部稽核人員發現
重大弊端或疏失,並使所屬金融控股公司(含子公司)或銀行業免於重大
損失,應予獎勵。
金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時,內部
稽核單位應有懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應
負責之失職人員。
第   19    條
金融控股公司及銀行業應將內部稽核報告交付監察人(監事、監事會)或
審計委員會查閱,並於查核結束日起二個月內函送主管機關,設有獨立董
事者,應一併交付。
第   20    條
內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構所舉辦
之下列訓練,並取得結業證書:
一、初任稽核人員應參加稽核人員研習班、電腦稽核研習班或票券稽核研
    習班六十小時以上課程,並經考試及格且取得結業證書。
二、領隊稽核人員應參加領隊稽核研習班十九小時以上課程。
三、總稽核及正副主管應參加稽核主管研習班十二小時以上課程。
內部稽核人員(含正副主管及總稽核)每年應參加主管機關認定機構所舉
辦或稽核人員所屬金融控股公司(含子公司)或銀行業機構(含母公司)
自行舉辦之金融相關業務專業訓練,其最低訓練時數,正副主管及總稽核
應達二十小時以上,其餘內部稽核人員應達三十小時以上。當年度取得國
際內部稽核師證照者,得抵免當年度之訓練時數。
參加主管機關認定機構所舉辦之金融相關業務專業訓練時數不得低於前項
應達訓練時數二分之一。
派駐國外之稽核人員,得以參加符合當地法令規定所設立之金融專業訓練
機構之訓練課程時數進行認定。
金融控股公司及銀行業應每年訂定自行查核訓練計畫,依各單位之業務性
質對於自行查核人員應持續施以適當查核訓練。
金融控股公司及銀行業應確認內部稽核人員之資格條件符合本辦法規定,
該等確認文件及紀錄應建立專卷留存備查。
第   21    條
金融控股公司及銀行業應將內部稽核人員之姓名、年齡、學歷、經歷、服
務年資及所受訓練等資料,於每年一月底前依主管機關規定格式以網際網
路資訊系統申報主管機關備查。
金融控股公司及銀行業依前項規定申報內部稽核人員之基本資料時,應檢
查內部稽核人員是否符合第十二條第二項及第二十條規定,如有違反者,
應於二個月內改善,若逾期未予改善,應立即調整其職務。
第   22    條
金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫及每會
計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依主管機關
規定格式以網際網路資訊系統申報主管機關備查。
金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫以書面
交付監察人(監事、監事會)或審計委員會核議,並作成紀錄,如未設審
計委員會者,並應先送獨立董事表示意見。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點項目、
計畫受檢單位、查核性質(一般檢查或專案檢查)、查核頻次與主管機關
規定是否相符等,如查核性質屬專案檢查者,應註明專案查核範圍。
第   23    條
金融控股公司及銀行業應於每會計年度終了後五個月內將上一年度內部稽
核單位就內部控制制度缺失及異常事項所提之查核意見及改善情形,依主
管機關規定格式以網際網路資訊系統申報主管機關備查。
第   24    條
銀行業具有業務或交易核准權限之各級主管,應於就任前具備下列條件之
一:
一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上者。
二、參加主管機關認定機構所舉辦之稽核人員研習班或電腦稽核研習班,
    經前述訓練機構考試及格且取得結業證書。
三、取得主管機關認定機構舉辦之銀行內部控制與內部稽核測驗考試合格
    證書,測驗內容應比照前款研習與考試內容。
國外營業單位具有業務或交易核准權限之各級主管,得參加國外專業機構
舉辦之稽核專業訓練,或取得國外類似測驗證書,以取代第一項所列條件
。
首次擔任國內營業單位之經理,除應符合第一項之規定外,其中符合第一
項第二款或第三款者,並應於就任前或就任後半年內參與內部稽核單位之
查核實習四次以上,每次查核項目至少乙項,查核實習累計應至少查核四
項以上,並應撰寫實習查核心得報告,呈報總稽核核可後,由總稽核出具
證明書併同留卷備查。
外國銀行在台分行具有業務或交易核准權限之各級主管,業完成外國銀行
對該分行要求之內部稽核所提供之訓練者,如其訓練課程有不低於第一項
之條件,得不適用本條之規定。
      第 二 節 自行查核檢查及內部控制制度聲明書
第   25    條
銀行業應建立自行查核制度。各營業、財務、資產保管、資訊單位及國外
營業單位應每半年至少辦理一次一般自行查核,每月至少辦理一次專案自
行查核。但已辦理一般自行查核、內部稽核單位(含母公司內部稽核單位
)已辦理一般業務查核、金融檢查機關已辦理一般業務檢查或法令遵循事
項自行評估之月份,該月得免辦理專案自行查核。
金融控股公司各單位及子公司每年至少須辦理一次內部控制制度自行查核
,以及每半年至少須辦理一次法令遵循作業自行查核。
各單位辦理前二項之自行查核,應由該單位主管指定非原經辦人員辦理並
事先保密。
第一項及第二項自行查核報告應作成工作底稿,併同自行查核報告及相關
資料至少留存五年備查。
第   26    條
內部稽核單位對金融檢查機關、會計師、內部稽核單位(含母公司內部稽
核單位)與內部單位自行查核所提列檢查意見或查核缺失及內部控制制度
聲明書所列應加強辦理改善事項,應持續追蹤覆查,並將其追蹤考核改善
情形,以書面提報董(理)事會及交付監察人(監事、監事會)或審計委
員會,並列為對各單位獎懲及績效考核之重要項目。
金融控股公司及銀行業稽核工作考核要點,由主管機關定之。
第   27    條
金融控股公司及銀行業總經理應督導各單位(金融控股公司含子公司)審
慎評估及檢討內部控制制度執行情形,由董(理)事長(主席)、總經理
、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書(附表),
並提報董(理)事會通過,於每會計年度終了後四個月內將內部控制制度
聲明書內容揭露於金融控股公司及銀行業網站,並於主管機關指定網站辦
理公告申報。
前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公
開說明書。
第一項規定對於經主管機關依法接管之銀行業,不適用之。
      第 三 節 會計師對銀行業之查核
第   28    條
銀行業年度財務報表由會計師辦理查核簽證時,應委託會計師辦理內部控
制制度之查核,並對銀行業申報主管機關表報資料正確性、內部控制制度
及法令遵循主管制度執行情形、備抵呆帳提列政策之妥適性表示意見。
會計師之查核費用由銀行業與會計師自行議定,並由銀行業負擔會計師之
查核費用。
第一項規定對於經主管機關依法接管之銀行業,不適用之。
第   29    條
主管機關於必要時,得邀集銀行業及其委託之會計師就前條委託辦理查核
相關事宜進行討論,主管機關若發現銀行業委託之會計師有未足以勝任委
託查核工作之情事者,得令銀行業更換委託查核會計師重新辦理查核工作
。
第   30    條
會計師辦理第二十八條規定之查核時,若遇受查銀行業有下列情況應立即
通報主管機關:
一、查核過程中,未提供會計師所需要之報表、憑證、帳冊及會議紀錄或
    對會計師之詢問事項拒絕提出說明,或受其他客觀環境限制,致使會
    計師無法繼續辦理查核工作。
二、在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
三、資產不足以抵償負債或財務狀況顯著惡化。
四、有證據顯示交易對淨資產有重大減損之虞。
受查銀行業有前項第二款至第四款情事者,會計師並應就查核結果先行向
主管機關提出摘要報告。
第   31    條
銀行業委託會計師辦理第二十八條規定之查核,應於每年四月底前出具上
一年度會計師查核報告報主管機關備查,其查核報告至少應說明查核之範
圍、依據、查核程序及查核結果。
信用合作社依前項規定辦理時,應由直轄市政府財政局或縣(市)政府申
報轉呈。
主管機關對於查核報告之內容提出詢問時,會計師應詳實提供相關資料與
說明。
      第 四 節 法令遵循制度
第   32    條
金融控股公司及銀行業為符合法令之遵循,應指定一隸屬於總經理之總行
管理單位,負責法令遵循主管制度之規劃、管理及執行,並指派高階主管
一人擔任總機構法令遵循主管,綜理法令遵循事務,至少每半年向董(理
)事會及監察人(監事、監事會)或審計委員會報告。
金融控股公司及銀行業總機構、國內外營業單位、資訊單位、財務保管單
位及其他管理單位應指派人員擔任法令遵循主管,負責執行法令遵循事宜
。
總稽核、稽核單位主管及內部稽核人員,除負責執行所屬單位之法令遵循
事宜外,不得兼任本條第一項及第二項所定之法令遵循主管。
金融控股公司及銀行業總機構法令遵循主管名單,應以網際網路資訊系統
申報主管機關。
第   33    條
銀行業總、分支機構對法令遵循事宜,應建立諮詢溝通管道,以有效傳達
法令,俾使職員對於法令之疑義得以迅速釐清,並落實法令遵循。
第   34    條
法令遵循單位應辦理下列事項:
一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動
    符合法令規定。
三、訂定法令遵循之評估內容與程序,並督導各單位定期自行評估執行情
    形。
四、對各單位人員施以適當合宜之法規訓練。
銀行業設有國外分支機構者,法令遵循單位應督導國外分支機構遵守其所
在地國家之法令。
法令遵循自行評估作業,每半年至少須辦理一次,其辦理結果應送法令遵
循單位備查。各單位辦理自行評估作業,應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
      第 五 節 風險管理機制
第   35    條
金融控股公司及銀行業應訂定適當之風險管理政策與程序,建立獨立有效
風險管理機制,以評估及監督整體風險承擔能力、已承受風險現況、決定
風險因應策略及風險管理程序遵循情形。
前項風險管理政策與程序應經董(理)事會通過並適時檢討修訂。
第   36    條
金融控股公司及銀行業應設置獨立之專責風險控管單位,並定期向董(理
)事會提出風險控管報告,若發現重大暴險,危及財務或業務狀況或法令
遵循者,應立即採取適當措施並向董(理)事會報告。
前項獨立專責風險控管單位之設置,信用合作社得指定一總社管理單位替
代。
第   37    條
金融控股公司之風險控管機制應包括下列事項:
一、依金融控股公司及其子公司業務規模、信用風險、市場風險與作業風
    險狀況及未來營運趨勢,監控金融控股公司及其子公司資本適足性。
二、訂定適當之長短期資金調度原則及管理規範,建立衡量及監控金融控
    股公司及其子公司流動性部位之管理機制,以衡量、監督、控管金融
    控股公司及其子公司之流動性風險。
三、考量金融控股公司整體暴險、自有資本及負債特性進行各項投資配置
    ,建立各項投資風險之管理。
四、建立金融控股公司及其各子公司一致性資產品質及分類之評估方法,
    計算及控管金融控股公司及其子公司之大額暴險,並定期檢視,覈實
    提列備抵損失或準備。
五、對金融控股公司與其子公司及各子公司間業務或交易、資訊交互運用
    等建立資訊安全防護機制及緊急應變計畫。
第   38    條
銀行業之風險控管機制應包括下列原則:
一、應依其業務規模、信用風險、市場風險與作業風險狀況及未來營運趨
    勢,監控資本適足性。
二、應建立衡量及監控流動性部位之管理機制,以衡量、監督、控管流動
    性風險。
三、應考量整體暴險、自有資本及負債特性進行各項資產配置,建立各項
    業務風險之管理。
四、應建立資產品質及分類之評估方法,計算及控管大額暴險,並定期檢
    視,覈實提列備抵損失。
五、應對業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變
    計畫。
   第 四 章 附則
第   39    條
金融控股公司及銀行業應確保金融檢查報告之機密性,其負責人或職員除
依法令或經主管機關同意者外,不得閱覽或對執行職務無關之人員洩漏、
交付或公開與金融檢查報告全部或部分內容。
金融控股公司及銀行業應依主管機關之規定,制定金融檢查報告之相關內
部管理規範及作業程序,並提報董(理)事會通過。
第   40    條
金融控股公司及銀行業應於內部控制制度中訂定經理人及相關人員違反本
辦法或其所訂內部控制制度規定時之處罰。
第   41    條
本辦法所稱金融控股公司之子公司,應依金融控股公司法第四條規定認定
;銀行業之子公司應依公開發行公司建立內部控制制度處理準則第五條第
三項規定認定。
第   42    條
內部稽核人員及法令遵循主管,對內部控制重大缺失或違法違規情事所提
改進建議不為管理階層採納,將肇致所屬金融控股公司(含子公司)或銀
行業重大損失者,均應立即作成報告陳核,並通知獨立董事及監察人(監
事、監事會)或審計委員會,同時通報主管機關。
第   43    條
本辦法規定格式,由主管機關另定之。
第   44    條
信用合作社依本辦法規定向主管機關申報相關資料時,應另陳報直轄市政
府財政局或縣(市)政府。
第   45    條
外國銀行在台分行應依本辦法之規定辦理。但外國銀行在台分行之內部控
制及稽核制度,如依其總行所訂之相關內部控制及稽核制度規定,有不低
於本辦法之規定者,得由外國銀行在台分行提出總行制度之詳細說明與我
國制度之對照說明,經在台分行負責人簽署後,報經主管機關備查,依該
制度辦理。
外國銀行在台分行之總行對於其內部控制及稽核制度如有任何變更適用於
在台分行者,應於變更後即刻提出對照說明,並經在台分行負責人簽署後
,報經主管機關備查。
外國銀行在台分行違反主管機關依前二項規定認可之內部控制及稽核制度
,視同違反本辦法規定。
第   46    條
金融控股公司及銀行業之法令遵循單位如非隸屬於總經理,以及有總稽核
、稽核主管或內部稽核人員兼任法令遵循主管之情形者,金融控股公司、
銀行、票券商及信託業應自中華民國 99 年 3  月 29 日本辦法發布之日
起六個月內,信用合作社應自本辦法發布之日起一年內,調整至符合第三
十二條規定。
第   47    條
本辦法自發布日施行。