| 第 2 條 |
本辦法所稱銀行業,包括銀行機構、信用合作社、票券商及信託業。
銀行業以外之金融業兼營票券業務及信託業務者,其內部控制及內部稽核
制度,除其他法令另有規定外,應依本辦法辦理。 |
| 第 6 條 |
金融控股公司及銀行業應建立內部稽核制度、自行查核制度、法令遵循制
度、以及風險管理機制,以維持有效適當之內部控制制度運作。 |
| 第 14 條 |
內部稽核單位應辦理下列事項:
一、規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊及工作
底稿,其內容至少應包括對內部控制制度各項規定與業務流程進行評
估,以判斷現行規定、程序是否已具有適當之內部控制,管理單位與
營業單位是否切實執行內部控制及執行內部控制之效益是否合理等,
並隨時提出改進意見。
二、督導業務管理單位訂定自行查核內容與程序,及各單位自行查核之執
行情形。
三、擬訂年度稽核計畫,並依子公司或各單位業務風險特性及其內部稽核
執行情形,訂定對子公司或各單位之查核計畫。
金融控股公司及銀行業應督促各單位(金融控股公司含子公司)辦理自行
查核,並由內部稽核單位覆核各單位(金融控股公司含子公司)之內部控
制制度自行查核報告,併同內部稽核單位所發現之內部控制缺失及異常事
項改善情形,以作為董(理)事會、總經理、總稽核及法令遵循主管評估
整體內部控制制度有效性及出具內部控制制度聲明書之依據。 |
| 第 15 條 |
銀行業內部稽核單位對國內營業、財務、資產保管及資訊單位每年至少應
辦理一次一般查核及一次專案查核,對其他管理單位每年至少應辦理一次
專案查核;對各種作業中心、國外營業單位及國外子行每年至少辦理一次
一般查核;對國外辦事處之查核方式可以表報稽核替代或彈性調整實地查
核頻率。
銀行業稽核單位應將營業單位辦理信託業務、財富管理及金融商品銷售業
務有無不當行銷、商品內容是否充分揭露、相關風險是否充分告知、契約
是否公平及其他依法令或自律規範應負之義務之執行情形,併入對營業單
位之一般查核或專案查核辦理。
金融控股公司內部稽核單位每年至少應辦理一次一般業務查核;每半年至
少應對金融控股公司之財務、風險管理及法令遵循辦理一次專案業務查核
;另辦理一般業務查核如已涵蓋專案業務查核之項目及範圍,且查核結果
無重大缺失事項並於內部稽核報告敘明者,該半年度得免辦理專案業務查
核。
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單位之一
般查核或專案查核辦理。 |
| 第 18 條 |
金融控股公司及銀行業因內部管理不善、內部控制欠佳、內部稽核制度及
法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理
情形或內部稽核單位(含母公司內部稽核單位)對查核結果有隱匿未予揭
露,而肇致重大弊端時,相關人員應負失職責任。內部稽核人員發現重大
弊端或疏失,並使所屬金融控股公司(含子公司)或銀行業免於重大損失
,應予獎勵。
金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時,內部
稽核單位應有懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應
負責之失職人員。 |
| 第 20 條 |
內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構所舉辦
之下列訓練,並取得結業證書:
一、初任稽核人員應參加稽核人員研習班、電腦稽核研習班或票券稽核研
習班六十小時以上課程,並經考試及格且取得結業證書。
二、領隊稽核人員應參加領隊稽核研習班十九小時以上課程。
三、總稽核及正副主管應參加稽核主管研習班十二小時以上課程。
內部稽核人員(含正副主管及總稽核)每年應參加主管機關認定機構所舉
辦或稽核人員所屬金融控股公司(含子公司)或銀行業(含母公司)自行
舉辦之金融相關業務專業訓練,其最低訓練時數,正副主管及總稽核應達
二十小時以上,其餘內部稽核人員應達三十小時以上。當年度取得國際內
部稽核師證照者,得抵免當年度之訓練時數。
參加主管機關認定機構所舉辦之金融相關業務專業訓練時數不得低於前項
應達訓練時數二分之一。
派駐國外之稽核人員,得以參加符合當地法令規定所設立之金融專業訓練
機構之訓練課程時數進行認定。
金融控股公司及銀行業應每年訂定自行查核訓練計畫,依各單位之業務性
質對於自行查核人員應持續施以適當查核訓練。
金融控股公司及銀行業應確認內部稽核人員之資格條件符合本辦法規定,
該等確認文件及紀錄應留存備查。 |
| 第 22 條 |
金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫及每會
計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依主管機關
規定格式以網際網路資訊系統申報主管機關備查。
金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫以書面
交付監察人(監事、監事會)或審計委員會核議,並作成紀錄,如未設審
計委員會者,並應先送獨立董事表示意見。年度稽核計畫並應經董(理)
事會通過;修正時,亦同。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點項目、
計畫受檢單位、查核性質(一般檢查或專案檢查)、查核頻次與主管機關
規定是否相符等,如查核性質屬專案檢查者,應註明專案查核範圍。 |
| 第 27 條 |
金融控股公司及銀行業總經理應督導各單位(金融控股公司含子公司)審
慎評估及檢討內部控制制度執行情形,由董(理)事長(主席)、總經理
、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書(附表),
並提報董(理)事會通過,於每會計年度終了後三個月內將內部控制制度
聲明書內容揭露於金融控股公司及銀行業網站,並於主管機關指定網站辦
理公告申報。
前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公
開說明書。
第一項規定對於經主管機關依法接管之銀行業,不適用之。 |
| 第 28 條 |
銀行業年度財務報表由會計師辦理查核簽證時,應委託會計師辦理內部控
制制度之查核,並對銀行業申報主管機關表報資料正確性、內部控制制度
及法令遵循制度執行情形、備抵呆帳提列政策之妥適性表示意見。
會計師之查核費用由銀行業與會計師自行議定,並由銀行業負擔會計師之
查核費用。
第一項規定對於經主管機關依法接管之銀行業,不適用之。 |
| 第 32 條 |
金融控股公司及銀行業應設立一隸屬於總經理之法令遵循單位,負責法令
遵循制度之規劃、管理及執行,並指派高階主管一人擔任總機構法令遵循
主管,綜理法令遵循事務,至少每半年向董(理)事會及監察人(監事、
監事會)或審計委員會報告。
金融控股公司及銀行業之總機構法令遵循主管除兼任法務單位主管外,不
得兼任內部其他職務。但主管機關對信用合作社另有規定者,不在此限。
金融控股公司及銀行機構之總機構法令遵循主管其資格應分別符合「金融
控股公司發起人負責人應具備資格條件負責人兼職限制及應遵行事項準則
」第六條及「銀行負責人應具備資格條件兼職限制及應遵行事項準則」第
五條規定,且職位應等同於副總經理。
金融控股公司及銀行業總機構、國內外營業單位、資訊單位、財務保管單
位及其他管理單位應指派人員擔任法令遵循主管,負責執行法令遵循事宜
。
金融控股公司及銀行業總機構法令遵循主管、法令遵循單位所屬人員,每
年應至少參加主管機關認定機構所舉辦或所屬金融控股公司(含子公司)
或銀行業(含母公司)自行舉辦十五小時之教育訓練,訓練內容應至少包
含新修正法令、新種業務或新種金融商品。
金融控股公司及銀行業應以網際網路資訊系統向主管機關申報總機構法令
遵循主管、法令遵循單位所屬人員之名單及受訓資料。 |
| 第 33 條 |
銀行業總、分支機構對法令遵循事宜,應建立諮詢溝通管道,以有效傳達
法令,俾使職員對於法令之疑義得以迅速釐清,並落實法令遵循。
金融控股公司及銀行業法令遵循單位對各單位就法令遵循重大缺失或弊端
,應分析原因及提出改善建議,簽報總經理後,提報董(理)事會。 |
| 第 34 條 |
法令遵循單位應辦理下列事項:
一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動
符合法令規定。
三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前,
法令遵循主管應出具符合法令及內部規範之意見並簽署負責。
四、訂定法令遵循之評估內容與程序,及督導各單位定期自行評估執行情
形,並對各單位法令遵循自行評估作業成效加以考核,經簽報總經理
後,作為單位考評之參考依據。
五、對各單位人員施以適當合宜之法規訓練。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,及自行評
估所屬單位法令遵循執行情形,不適用前項第四款規定。
銀行業設有國外分支機構者,法令遵循單位應督導國外分支機構遵守其所
在地國家之法令。
金融控股公司及銀行業法令遵循自行評估作業,每半年至少須辦理一次,
其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業,應由該單
位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。 |
| 第 37 條 |
金融控股公司之風險控管機制應包括下列事項:
一、依金融控股公司及其子公司業務規模、信用風險、市場風險與作業風
險狀況及未來營運趨勢,監控金融控股公司及其子公司資本適足性。
二、訂定適當之長短期資金調度原則及管理規範,建立衡量及監控金融控
股公司及其子公司流動性部位之管理機制,以衡量、監督、控管金融
控股公司及其子公司之流動性風險。
三、訂定金融控股公司及其子公司整體性之防制洗錢與打擊資助恐怖主義
計畫,包括以防制洗錢與打擊資助恐怖主義為目的之集團內資訊分享
政策與程序。
四、考量金融控股公司整體暴險、自有資本及負債特性進行各項投資配置
,建立各項投資風險之管理。
五、建立金融控股公司及其各子公司一致性資產品質及分類之評估方法,
計算及控管金融控股公司及其子公司之大額暴險,並定期檢視,覈實
提列備抵損失或準備。
六、對金融控股公司與其子公司及各子公司間業務或交易、資訊交互運用
等建立資訊安全防護機制及緊急應變計畫。 |
| 第 38 條 |
銀行業之風險控管機制應包括下列原則:
一、應依其業務規模、信用風險、市場風險與作業風險狀況及未來營運趨
勢,監控資本適足性。
二、應建立衡量及監控流動性部位之管理機制,以衡量、監督、控管流動
性風險。
三、應建立辨識、衡量與監控洗錢及資助恐怖主義風險之管理機制,及遵
循防制洗錢相關法令之標準作業程序,以降低其洗錢及資助恐怖主義
風險。
四、應考量整體暴險、自有資本及負債特性進行各項資產配置,建立各項
業務風險之管理。
五、應建立資產品質及分類之評估方法,計算及控管大額暴險,並定期檢
視,覈實提列備抵損失。
六、應對業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變
計畫。 |
| 第 46 條 |
金融控股公司或銀行業不符本辦法第三十二條、第三十四條第一項第三款
、第四款規定者,應自中華民國一○三年八月八日本辦法修正發布之日起
六個月內,調整至符合規定。 |