法規名稱:
金融控股公司及銀行業內部控制及稽核制度實施辦法(110.09.23金管銀國字第11002730311號令修正)
   第 三 章 內部控制制度之查核
      第 一 節 內部稽核
第    9    條
內部稽核制度之目的,在於協助董(理)事會及管理階層查核及評估內部
控制制度是否有效運作,並適時提供改進建議,以合理確保內部控制制度
得以持續有效實施及作為檢討修正內部控制制度之依據。
第   10    條
金融控股公司及銀行業應設立隸屬董(理)事會之內部稽核單位,以獨立
超然之精神,執行稽核業務,並應至少每半年向董(理)事會及監察人(
監事、監事會)或審計委員會報告稽核業務。
金融控股公司及銀行業應建立總稽核制,綜理稽核業務。總稽核應具備領
導及有效督導稽核工作之能力,其資格應符合各業別負責人應具備資格條
件規定,職位應等同於副總經理,且不得兼任與稽核工作有相互衝突或牽
制之職務。
總稽核之聘任、解聘或調職,應經審計委員會全體成員二分之一以上同意
及提董(理)事會全體董(理)事三分之二以上之同意,並報請主管機關
核准後為之。
前項未經審計委員會全體成員二分之一以上同意者,應於董事會議事錄載
明審計委員會之決議,未設審計委員會而設有獨立董事者,如有反對意見
或保留意見,亦應於董事會議事錄載明。
內部稽核單位之人事任用、免職、升遷、獎懲、輪調及考核等,應由總稽
核簽報,報經董(理)事長(主席)核定後辦理。但涉及其他管理、營業
單位人事者,應事先洽商人事單位轉報總經理同意後,再行簽報董(理)
事長(主席)核定。
銀行業以外之金融業兼營信託業務者,不適用本條第一項至第五項之規定
。
金融控股公司總稽核得視業務需要,調動各子公司之內部稽核人員辦理金
融控股公司及其子公司之內部稽核工作,並對確保金融控股公司及其子公
司維持適當有效之內部稽核制度負最終之責任。
第   11    條
總稽核有下列情形之一者,主管機關得視情節之輕重,予以糾正、命其限
期改善或命令金融控股公司或銀行業解除其總稽核職務:
一、有事實證明曾有從事不當授信案件或涉及嚴重違反授信原則或與客戶
    不當資金往來之行為。
二、濫用職權,有事實證明從事不正當之活動,或意圖為自己或第三人不
    法之利益,或圖謀損害所屬金融控股公司(含子公司)或銀行業之利
    益,而為違背其職務之行為,致生損害於所屬金融控股公司及其子公
    司或銀行業或第三人。
三、未經主管機關同意,對執行職務無關之人員洩漏、交付或公開金融檢
    查報告全部或其中任一部分內容。
四、因所屬金融控股公司(含子公司)或銀行業內部管理不善,發生重大
    舞弊案件,未通報主管機關。
五、對所屬金融控股公司(含子公司)或銀行業財務與業務之嚴重缺失,
    未於內部稽核報告揭露。
六、辦理內部稽核工作,出具不實內部稽核報告。
七、因所屬金融控股公司(含子公司)或銀行業配置之內部稽核人員顯有
    不足或不適任,未能發現財務及業務有嚴重缺失。
八、未配合主管機關指示事項辦理查核工作或提供相關資料。
九、其他有損害所屬金融控股公司(含子公司)或銀行業信譽或利益之行
    為者。
第   12    條
金融控股公司及銀行業應依據投資規模、業務情況(分支機構之多寡及其
業務量)、管理需要及其他相關法令規章之規定,配置適任及適當人數之
專任內部稽核人員,以超然獨立、客觀公正之立場,執行其職務,職務代
理,應由內部稽核部門人員互為代理。
金融控股公司及銀行業內部稽核人員應具備下列條件:
一、具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相當於
    高等考試、國際內部稽核師之考試及格並具有二年以上之金融業務經
    驗;或具有五年以上之金融業務經驗。曾任會計師事務所查帳員、電
    腦程式設計師或系統分析師等專業人員二年以上,經施以三個月以上
    之金融業務及管理訓練,視同符合規定,惟其員額不得逾稽核人員總
    員額之三分之一。
二、最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所致之
    連帶處分,已功過相抵者,不在此限。
三、內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗,或
    一年以上之稽核經驗及五年以上之金融業務經驗。
銀行業國外營業單位配置之專任內部稽核人員,其資格條件應符合當地法
令規定及當地主管機關之要求。但自當地聘任之內部稽核人員,如當地主
管機關無規定任用條件者,應依董事會通過之評估遴選辦法自行選任,不
適用前項規定。
金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前三項之規定,
如有違反規定者,應於發現之日起二個月內改善,若逾期未予改善,應立
即調整其職務。
第   13    條
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、明知所屬金融控股公司(含子公司)或銀行業之營運活動、報導及相
    關法令規章遵循情況有直接損害利害關係人之情事,而予以隱飾或作
    不實、不當之揭露。
二、逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得之資
    訊,對外洩漏或為己圖利或侵害所屬金融控股公司(含子公司)或銀
    行業之利益。
三、因職務上之廢弛,致有損及所屬金融控股公司(含子公司)或銀行業
    或利害關係人之權益等情事。
四、對於以前曾服務之部門,於一年內進行稽核作業。
五、對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理該等
    案件或業務之稽核工作。
六、直接或間接提供、承諾、要求或收受所屬金融控股公司(含子公司)
    或銀行業從業人員或客戶不合理禮物、款待或其他任何形式之不正當
    利益。
七、未配合辦理主管機關指示查核事項或提供相關資料。
八、其他違反法令規章或經主管機關規定不得為之行為。
金融控股公司及銀行業應隨時檢查內部稽核人員有無違反前項之規定,如
有違反規定者,應於發現之日起一個月內調整其職務。
第   14    條
內部稽核單位應辦理下列事項:
一、規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊及工作
    底稿,其內容至少應包括對內部控制制度各項規定與業務流程進行評
    估,以判斷現行規定、程序是否已具有適當之內部控制,管理單位與
    營業單位是否切實執行內部控制及執行內部控制之效益是否合理等,
    並隨時提出改進意見。
二、督導業務管理單位訂定自行查核內容與程序,及各單位自行查核之執
    行情形。
三、擬訂年度稽核計畫,並依子公司或各單位業務風險特性及其內部稽核
    執行情形,訂定對子公司或各單位之查核計畫。
金融控股公司及銀行業應督促各單位(金融控股公司含子公司)辦理自行
查核,並由內部稽核單位覆核各單位(金融控股公司含子公司)之內部控
制制度自行查核報告,併同內部稽核單位所發現之內部控制缺失及異常事
項改善情形,以作為董(理)事會、總經理、總稽核及法令遵循主管評估
整體內部控制制度有效性及出具內部控制制度聲明書之依據。
第   15    條
銀行業內部稽核單位對國內營業、財務、資產保管及資訊單位每年至少應
辦理一次一般查核及一次專案查核,對其他管理單位每年至少應辦理一次
專案查核;對各種作業中心、國外營業單位及國外子行每年至少辦理一次
一般查核;對國外辦事處之查核方式可以表報稽核替代或彈性調整實地查
核頻率。
銀行業稽核單位應將營業單位辦理信託業務、財富管理及金融商品銷售業
務有無不當行銷、商品內容是否充分揭露、相關風險是否充分告知、契約
是否公平及其他依法令或自律規範應負之義務之執行情形,併入對營業單
位之一般查核或專案查核辦理。
金融控股公司內部稽核單位每年至少應辦理一次一般業務查核;每半年至
少應對金融控股公司之財務、風險管理及法令遵循辦理一次專案業務查核
;另辦理一般業務查核如已涵蓋專案業務查核之項目及範圍,且查核結果
無重大缺失事項並於內部稽核報告敘明者,該半年度得免辦理專案業務查
核。
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單位之一
般查核或專案查核辦理。
第   15- 1 條
本國銀行得向主管機關申請核准採行風險導向內部稽核制度,如第十六條
第二項所列子公司經評估有未予納入該制度實施者,應提供評估文件。主
管機關得視銀行之資產規模、業務風險及其他必要情況,請本國銀行申請
採行風險導向內部稽核制度。
本國銀行申請採行風險導向內部稽核制度,應符合下列條件:
一、最近一次申報自有資本與風險性資產比率,符合銀行資本適足性及資
    本等級管理辦法第五條之規定。
二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準
    ,均無備抵呆帳及各項準備提列不足。
三、最近一季逾期放款比率未超逾百分之一。
四、已具備有效之內部控制制度。
本國銀行經採行風險導向內部稽核制度者,不適用前條第一項及第十六條
第二項查核頻率之規定。
第   16    條
金融控股公司及銀行業應依子公司業務風險特性及其內部稽核執行情形,
於年度稽核計畫中訂定對子公司之查核計畫。
金融控股公司及銀行業除銀行業之國外子行及其他經主管機關核准者外,
其內部稽核單位應每半年對子公司之財務、風險管理及法令遵循辦理一次
專案業務查核,並納入年度稽核計畫。
金融控股公司及銀行業之子公司,應向母公司呈報董(理)事會議紀錄、
會計師查核報告、金融檢查機關檢查報告或其他有關資料,已設置內部稽
核單位之子公司,並應將稽核計畫、內部稽核報告所提重大缺失事項及改
善辦理情形併同陳報,由母公司予以審核,並督導子公司改善辦理。
金融控股公司及銀行業總稽核應定期對子公司內部稽核作業之成效加以考
核,經報告董(理)事會考核結果後,將其結果送子公司董(理)事會作
為人事考評之依據。
第   17    條
內部稽核單位辦理一般查核,其內部稽核報告內容應依受檢單位之性質,
分別應揭露下列項目:
一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質
    、股權管理、董(理)事會及審計委員會議事運作之管理、法令遵循
    、內部控制、利害關係人交易、各項業務作業控制與內部管理、客戶
    資料保密管理、資訊管理、員工保密教育、消費者及投資人權益保護
    措施及自行查核辦理情形,並加以評估。
二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處
    建議。
三、金融檢查機關、會計師、內部稽核單位(含母公司內部稽核單位)、
    自行查核人員所提列檢查意見或查核缺失,及內部控制制度聲明書所
    列應加強辦理改善事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。
第   18    條
金融控股公司及銀行業因內部管理不善、內部控制欠佳、內部稽核制度及
法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理
情形或內部稽核單位(含母公司內部稽核單位)對查核結果有隱匿未予揭
露,而肇致重大弊端時,相關人員應負失職責任。內部稽核人員發現重大
弊端或疏失,並使所屬金融控股公司(含子公司)或銀行業免於重大損失
,應予獎勵。
金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時,內部
稽核單位應有懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應
負責之失職人員。
第   19    條
金融控股公司及銀行業應將內部稽核報告交付監察人(監事、監事會)或
審計委員會查閱,除主管機關另有規定外,應於查核結束日起二個月內報
主管機關,設有獨立董事者,應一併交付。
第   20    條
內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構所舉辦
之下列訓練,並取得結業證書:
一、初任稽核人員應參加稽核人員研習班、電腦稽核研習班或票券稽核研
    習班六十小時以上課程,並經考試及格且取得結業證書。
二、領隊稽核人員應參加領隊稽核研習班十九小時以上課程。
三、總稽核及正副主管應參加稽核主管研習班十二小時以上課程。
銀行業國外營業單位自當地聘任之內部稽核人員充任前應參加之相關訓練
,不適用前項規定。但當地主管機關另有規定者,從其規定。
內部稽核人員(含正副主管及總稽核)每年應參加主管機關認定機構所舉
辦或稽核人員所屬金融控股公司(含子公司)或銀行業(含母公司)自行
舉辦之金融相關業務專業訓練,其最低訓練時數,正副主管及總稽核應達
二十小時以上,其餘內部稽核人員應達三十小時以上。當年度取得國際內
部稽核師證照者,得抵免當年度之訓練時數。
參加主管機關認定機構所舉辦之金融相關業務專業訓練時數不得低於前項
應達訓練時數二分之一。
派駐國外或國外營業單位自當地聘任之內部稽核人員,每年在職訓練時數
應符合當地法令規定,不適用前二項規定。但當地法令無規定者,應比照
本國總行內部稽核單位主管及人員每年在職訓練時數,並得以參加符合當
地法令規定所設立之金融專業訓練機構之訓練課程時數進行認定。
金融控股公司及銀行業應每年訂定自行查核訓練計畫,依各單位之業務性
質對於自行查核人員應持續施以適當查核訓練。
金融控股公司及銀行業應確認內部稽核人員之資格條件符合本辦法規定,
該等確認文件及紀錄應留存備查。
第   21    條
金融控股公司及銀行業應將內部稽核人員之姓名及服務年資等資料,於每
年一月底前依主管機關規定格式以網際網路資訊系統申報主管機關備查。
金融控股公司及銀行業依前項規定申報內部稽核人員之基本資料時,應檢
查內部稽核人員是否符合第十二條第二項、第三項及第二十條規定,如有
違反者,應於二個月內改善,若逾期未予改善,應立即調整其職務。
第   22    條
金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫及每會
計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依主管機關
規定格式以網際網路資訊系統申報主管機關備查。
金融控股公司及銀行業應於每會計年度終了前將次一年度稽核計畫以書面
交付監察人(監事、監事會)或審計委員會核議,並作成紀錄,如未設審
計委員會者,並應先送獨立董事表示意見。年度稽核計畫並應經董(理)
事會通過;修正時,亦同。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點項目、
計畫受檢單位、查核性質(一般檢查或專案檢查)、查核頻次與主管機關
規定是否相符等,如查核性質屬專案檢查者,應註明專案查核範圍。
第   23    條
金融控股公司及銀行業應於每會計年度終了後五個月內將上一年度內部控
制制度缺失與異常事項及其改善情形,依主管機關規定格式以網際網路資
訊系統報主管機關備查。
第   24    條
銀行業具有業務或交易核准權限之各級主管,應於就任前具備下列條件之
一:
一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上者。
二、參加主管機關認定機構所舉辦之稽核人員研習班或電腦稽核研習班,
    經前述訓練機構考試及格且取得結業證書。
三、取得主管機關認定機構舉辦之銀行內部控制與內部稽核測驗考試合格
    證書,測驗內容應比照前款研習與考試內容。
國外營業單位具有業務或交易核准權限之各級主管,得參加國外專業機構
舉辦之稽核專業訓練,或取得國外類似測驗證書,以取代第一項所列條件
。
首次擔任國內營業單位之經理,除應符合第一項之規定外,其中符合第一
項第二款或第三款者,並應於就任前或就任後半年內參與內部稽核單位之
查核實習四次以上,每次查核項目至少乙項,查核實習累計應至少查核四
項以上,並應撰寫實習查核心得報告,呈報總稽核核可後,由總稽核出具
證明書併同留卷備查。
外國銀行在台分行具有業務或交易核准權限之各級主管,業完成外國銀行
對該分行要求之內部稽核所提供之訓練者,如其訓練課程有不低於第一項
之條件,得不適用本條之規定。
      第 二 節 自行查核檢查及內部控制制度聲明書
第   25    條
銀行業應建立自行查核制度。各營業、財務、資產保管、資訊單位及國外
營業單位應每半年至少辦理一次一般自行查核,每月至少辦理一次專案自
行查核。但已辦理一般自行查核、內部稽核單位(含母公司內部稽核單位
)已辦理一般業務查核、金融檢查機關已辦理一般業務檢查或法令遵循事
項自行評估之月份,該月得免辦理專案自行查核。
金融控股公司各單位及子公司每年至少須辦理一次內部控制制度自行查核
,以及每半年至少須辦理一次法令遵循作業自行查核。
各單位辦理前二項之自行查核,應由該單位主管指定非原經辦人員辦理並
事先保密。
第一項及第二項自行查核報告應作成工作底稿,併同自行查核報告及相關
資料至少留存五年備查。
第   26    條
內部稽核單位對金融檢查機關、會計師、內部稽核單位(含母公司內部稽
核單位)與內部單位自行查核所提列檢查意見或查核缺失及內部控制制度
聲明書所列應加強辦理改善事項,應持續追蹤覆查,並將其追蹤考核改善
情形,以書面提報董(理)事會及交付監察人(監事、監事會)或審計委
員會,並列為對各單位獎懲及績效考核之重要項目。
金融控股公司及銀行業稽核工作考核要點,由主管機關定之。
第   27    條
金融控股公司及銀行業總經理應督導各單位(金融控股公司含子公司)審
慎評估及檢討內部控制制度執行情形,由董(理)事長(主席)、總經理
、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書(附表),
並提報董(理)事會通過,於每會計年度終了後三個月內將內部控制制度
聲明書內容揭露於金融控股公司及銀行業網站,並於主管機關指定網站辦
理公告申報。
前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公
開說明書。
第一項規定對於經主管機關依法接管之銀行業,不適用之。
      第 三 節 會計師對銀行業之查核
第   28    條
銀行業年度財務報表由會計師辦理查核簽證時,應委託會計師辦理內部控
制制度之查核,並對銀行業申報主管機關表報資料正確性、內部控制制度
及法令遵循制度執行情形、備抵呆帳提列政策之妥適性表示意見,其範圍
應包括國外營業單位。
主管機關得請銀行業委託會計師依主管機關規定辦理個人資料保護與防制
洗錢及打擊資恐機制專案查核。
會計師之查核費用由銀行業與會計師自行議定,並由銀行業負擔會計師之
查核費用。
第一項及第二項規定對於經主管機關依法接管之銀行業,不適用之。
第   29    條
主管機關於必要時,得邀集銀行業及其委託之會計師就前條委託辦理查核
相關事宜進行討論,主管機關若發現銀行業委託之會計師有未足以勝任委
託查核工作之情事者,得令銀行業更換委託查核會計師重新辦理查核工作
。
第   30    條
會計師辦理第二十八條規定之查核時,若遇受查銀行業有下列情況應立即
通報主管機關:
一、查核過程中,未提供會計師所需要之報表、憑證、帳冊及會議紀錄或
    對會計師之詢問事項拒絕提出說明,或受其他客觀環境限制,致使會
    計師無法繼續辦理查核工作。
二、在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
三、資產不足以抵償負債或財務狀況顯著惡化。
四、有證據顯示交易對淨資產有重大減損之虞。
受查銀行業有前項第二款至第四款情事者,會計師並應就查核結果先行向
主管機關提出摘要報告。
第   31    條
銀行業委託會計師辦理第二十八條第一項規定之查核,應於每年四月底前
出具上一年度會計師查核報告報主管機關備查,其查核報告至少應說明查
核之範圍、依據、查核程序及查核結果。
信用合作社依前項規定辦理時,應由直轄市政府財政局或縣(市)政府申
報轉呈。
主管機關對於查核報告之內容提出詢問時,會計師應詳實提供相關資料與
說明。
      第 四 節 法令遵循制度
第   32    條
金融控股公司及銀行業之總機構應設立一隸屬於總經理之法令遵循單位,
負責法令遵循制度之規劃、管理及執行,並指派高階主管一人擔任總機構
法令遵循主管,綜理法令遵循事務,至少每半年向董(理)事會及監察人
(監事、監事會)或審計委員會報告,如發現有重大違反法令或遭金融主
管機關調降評等時,應即時通報董(理)事及監察人(監事、監事會),
並就法令遵循事項,提報董(理)事會。
前項法令遵循單位及總機構法令遵循主管之設置,規定如下:
一、銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者
    ,應設置專責之法令遵循單位,得兼辦防制洗錢及打擊資恐相關事項
    。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他
    與職務有利益衝突之業務。其總機構法令遵循主管,得兼任防制洗錢
    及打擊資恐專責單位主管。但不得兼任法務單位主管或內部其他職務
    。
二、金融控股公司及不適用前款規定之銀行業,其總機構法令遵循主管除
    兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外,不得兼任
    內部其他職務。但主管機關對信用合作社及票券金融公司另有規定者
    ,依其規定。
金融控股公司及銀行機構之總機構法令遵循主管,職位應等同於副總經理
,資格應分別符合「金融控股公司發起人負責人應具備資格條件負責人兼
職限制及應遵行事項準則」及「銀行負責人應具備資格條件兼職限制及應
遵行事項準則」規定。
金融控股公司及銀行業總機構法令遵循單位、國內外營業單位、資訊單位
、財務保管單位及其他管理單位應指派人員擔任法令遵循主管,負責執行
法令遵循事宜。國外營業單位法令遵循主管之設置應符合當地法令規定及
當地主管機關之要求,除有下列情事者外,應為專任:
一、兼任防制洗錢及打擊資恐主管。
二、依當地法令明定得兼任無職務衝突之其他職務。
三、當地法令未明確規定,於與當地主管機關溝通並確認後,報經主管機
    關備查者,得兼任無職務衝突之其他職務。
金融控股公司及銀行業總機構法令遵循單位主管及所屬人員、國內外營業
單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管應具下列
資格條件之一:
一、曾任金融機構法令遵循人員或主管,合計滿五年者。
二、參加主管機關認定機構所舉辦三十小時以上課程,並經考試及格且取
    得結業證書。
三、國外營業單位法令遵循主管係自當地聘任者,依董事會通過之評估辦
    法自行評估,或經當地主管機關審查認可,足證其已具備熟知當地法
    令規定之相關能力。
金融控股公司及銀行業總機構法令遵循主管、法令遵循單位主管及所屬人
員、國內營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循
主管,每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司
(含子公司)或銀行業(含母公司)自行舉辦十五小時之在職教育訓練,
訓練內容應至少包含新修正法令、新種業務或新種金融商品。
國外營業單位之法令遵循主管,每年應至少參加由當地主管機關或相關單
位舉辦之法令遵循在職教育訓練課程十五小時,或參加主管機關或其認定
機構所舉辦或所屬金融控股公司(含子公司)或銀行業(含母公司)自行
舉辦之教育訓練課程。
前二項在職訓練為自行舉辦之訓練方式應提報董事會通過,總機構需留存
相關人員上課紀錄備查。
防制洗錢及打擊資恐專責單位設於法令遵循單位者,該專責單位人員充任
前及每年應受之訓練,依防制洗錢及打擊資恐相關規定辦理,不受第五項
及第六項規定限制。
金融控股公司及銀行業應以網際網路資訊系統向主管機關申報總機構法令
遵循主管、法令遵循單位主管及所屬人員之名單及受訓資料。
第   33    條
金融控股公司及銀行業總、分支機構對法令規章遵循事宜,應建立諮詢溝
通管道,以有效傳達法令規章,俾使職員對於法令規章之疑義得以迅速釐
清,並落實法令遵循。
金融控股公司及銀行業法令遵循單位辦理前條第一項提報董事會報告事項
內容,至少應包括對各單位就法令遵循重大缺失或弊端分析原因、可能影
響及提出改善建議。
第   34    條
法令遵循單位應辦理下列事項:
一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動
    符合法令規定。
三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前,
    法令遵循主管應出具符合法令及內部規範之意見並簽署負責。
四、訂定法令遵循之評估內容與程序,及督導各單位定期自行評估執行情
    形,並對各單位法令遵循自行評估作業成效加以考核,經簽報總經理
    後,作為單位考評之參考依據。
五、對各單位人員施以適當合宜之法規訓練。
六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實
    施。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,及自行評
估所屬單位法令遵循執行情形,不適用前項第四款規定。
銀行業設有國外營業單位者,法令遵循單位應督導國外營業單位辦理下列
事項:
一、蒐集當地金融法規資料、落實執行法令遵循自行評估作業、確保法令
    遵循主管適任性及法令遵循資源(含人員、配備及訓練)是否適足等
    事項,以確保遵守其所在地國家之法令。
二、建立法令遵循風險之自行評估及監控機制,對於其中業務規模大、複
    雜度或風險程度高者,並應委請當地外部獨立專家驗證其法令遵循風
    險自行評估及監控機制之有效性。
金融控股公司及銀行業法令遵循自行評估作業,每半年至少須辦理一次,
其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業,應由該單
位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
第   34- 1 條
適用第三十二條第二項第一款之銀行業應建立全行之法令遵循風險管理及
監督架構,其架構原則及權責規定如下:
一、法令遵循單位應建立辨識、評估、控制、衡量、監控及獨立陳報法令
    遵循風險之程序、計畫及機制,以全面控制、監督及支援國內外各部
    門、分支機構及子公司之個別營業單位、跨部門及跨境之相關法令遵
    循事項。
二、法令遵循單位應依據業務分類或法令遵循重點設置適當數量之專業單
    位,以負責該項業務或法令相關之國內外營業單位監督、法令遵循執
    行及支援事項。
三、法令遵循單位得依風險基礎方法評估各單位法令遵循主管之設置並強
    化法令遵循主管之獨立性,屬法令遵循風險較低之單位得不單獨設置
    法令遵循主管而由總機構法令遵循單位負責,不受第三十二條第四項
    前段規定之限制。
四、法令遵循單位應建立法令遵循風險警訊之獨立通報、評估及處理因應
    機制。
五、法令遵循單位應定期及不定期評估主要營運活動、商品及服務、授信
    或業務專案、有違反法令之虞之重大客訴等法令遵循風險管理情形,
    並建立與其他第二道防線之橫向溝通聯繫機制。
六、法令遵循單位為掌握全行法令遵循風險情形,得向各單位要求提供相
    關資訊。
七、管理階層及各部門主管之考核,應納入法令遵循部門對其法令遵循執
    行程度之評估意見。
八、銀行業及法令遵循單位應充分掌握國外營業單位應辦理之法令遵循事
    項及當地主管機關對法令遵循標準之要求,並提供充分資源及支援。
九、法令遵循單位依第三十二條第一項至少每半年向董(理)事會及監察
    人或審計委員會報告之法令遵循事項,應針對全行境內外營運情形,
    提出法令遵循風險管理之弱點事項及督導改善計畫及時程,董(理)
    事會應提供充分資源及對營業單位建立適當獎懲機制,以循序建立全
    行法令遵循文化。
十、內部稽核單位依第十條第一項至少每半年向董(理)事會及監察人或
    審計委員會報告之稽核業務事項,應包括法令遵循單位辦理績效及全
    行法令遵循程度之評估意見。
適用前項規定之銀行業,應於符合適用條件起六個月內,依第三十二條第
二項第一款規定設置總機構專責之法令遵循單位及法令遵循主管,並調整
全行之法令遵循風險管理及監督架構報請主管機關備查後,且於每年四月
底前將前項第五款及第九款評估報告函報主管機關。
第   34- 2 條
金融控股公司及銀行業為促進健全經營,應建立檢舉制度,並於總機構指
定具職權行使獨立性之單位負責檢舉案件之受理及調查。
金融控股公司及銀行業對檢舉人應為下列之保護:
一、檢舉人之身分資料應予保密,不得洩漏足以識別其身分之資訊。
二、不得因所檢舉案件而對檢舉人予以解僱、解任、降調、減薪、損害其
    依法令、契約或習慣上所應享有之權益,或其他不利處分。
檢舉案件之受理及調查過程,有利益衝突之人,應予迴避。
第一項檢舉制度,至少應包括下列事項,並提報董(理)事會通過:
一、揭示任何人發現有犯罪、舞弊或違反法令之虞時,均得提出檢舉。
二、受理之檢舉案件類型。
三、設置並公布檢舉之管道。
四、調查與配合調查之流程、迴避規定及後續處理機制之標準作業程序。
五、檢舉人保護措施。
六、檢舉案件受理、調查過程、調查結果與相關文件製作之紀錄及保存。
七、檢舉案件之處理情形,應適度以書面或其他方式通知檢舉人。
被檢舉人為董(理)事、監察人(監事)或職責相當於副總經理以上之管
理階層者,調查報告應陳報至監察人(監事、監事會)或審計委員會複審
。
金融控股公司及銀行業調查後發現為重大偶發事件或違法案件,應主動向
相關機關通報或告發。
金融控股公司及銀行業應定期對所屬人員,辦理檢舉制度之宣導及教育訓
練。
      第 五 節 風險管理機制
第   35    條
金融控股公司及銀行業應訂定適當之風險管理政策與程序,建立獨立有效
風險管理機制,以評估及監督整體風險承擔能力、已承受風險現況、決定
風險因應策略及風險管理程序遵循情形。
前項風險管理政策與程序應經董(理)事會通過並適時檢討修訂。
第   36    條
金融控股公司及銀行業應設置獨立之專責風險控管單位,並定期向董(理
)事會提出風險控管報告,若發現重大暴險,危及財務或業務狀況或法令
遵循者,應立即採取適當措施並向董(理)事會報告。
前項獨立專責風險控管單位之設置,信用合作社得指定一總社管理單位替
代。
第   37    條
金融控股公司之風險控管機制應包括下列事項:
一、依金融控股公司及其子公司業務規模、信用風險、市場風險與作業風
    險狀況及未來營運趨勢,監控金融控股公司及其子公司資本適足性。
二、訂定適當之長短期資金調度原則及管理規範,建立衡量及監控金融控
    股公司及其子公司流動性部位之管理機制,以衡量、監督、控管金融
    控股公司及其子公司之流動性風險。
三、考量金融控股公司整體暴險、自有資本及負債特性進行各項投資配置
    ,建立各項投資風險之管理。
四、建立金融控股公司及其各子公司一致性資產品質及分類之評估方法,
    計算及控管金融控股公司及其子公司之大額暴險,並定期檢視,覈實
    提列備抵損失或準備。
五、對金融控股公司與其子公司及各子公司間業務或交易、資訊交互運用
    等建立資訊安全防護機制及緊急應變計畫。
第   38    條
銀行業之風險控管機制應包括下列原則:
一、應依其業務規模、信用風險、市場風險與作業風險狀況及未來營運趨
    勢,監控資本適足性。
二、應建立衡量及監控流動性部位之管理機制,以衡量、監督、控管流動
    性風險。
三、應考量整體暴險、自有資本及負債特性進行各項資產配置,建立各項
    業務風險之管理。
四、應建立資產品質及分類之評估方法,計算及控管大額暴險,並定期檢
    視,覈實提列備抵損失。
五、應對業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變
    計畫。
第   38- 1 條
銀行業應指派副總經理以上或職責相當之人兼任資訊安全長,綜理資訊安
全政策推動及資源調度事務。設置資訊安全專責單位及主管,不得兼辦資
訊或其他與職務有利益衝突之業務,並配置適當人力資源及設備。但主管
機關對信用合作社及票券金融公司另有規定者,依其規定。
銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應
設置具職權行使獨立性之資訊安全專責單位,並指派協理以上或職責相當
之人擔任資訊安全專責單位主管。
銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業,每年
應將前一年度資訊安全整體執行情形,依第二十七條第一項規定辦理內部
控制制度聲明書之出具、揭露及公告申報,並由資訊安全長聯名出具。
銀行業資訊安全專責單位人員,每年至少應接受十五小時以上資訊安全專
業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管
單位及其他管理單位之人員,每年至少須接受三小時以上資訊安全宣導課
程。
中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯
合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規
範。
適用第二項規定之銀行業,應於符合適用條件起六個月內調整。
資料來源:銀行局金融法規全文檢索查詢系統