內部控制與稽核制度-1

總則

一、銀行業(金控銀行內控稽核辦法§2)

(一)本辦法所稱銀行業，包括銀行機構、信用合作社、票券商及信託業。
(二)銀行業以外之金融業兼營票券業務及信託業務者，其內部控制及內部稽核制度，除其他法令另有規定外，應依本辦法辦理。

二、建立內控制度(金控銀行內控稽核辦法§3)

(一)金融控股公司及銀行業應建立內部控制制度，並確保該制度得以持續有效執行，以健全金融控股公司(含子公司)與銀行業經營。
(二)金融控股公司(含子公司)與銀行業應規劃整體經營策略、風險管理政策與指導準則，並擬定經營計畫、風險管理程序及執行準則。

三、內部控制目標(金控銀行內控稽核辦法§4)

(一)內部控制之基本目的在於促進金融控股公司及銀行業健全經營，並應由其董(理)事會、管理階層及所有從業人員共同遵行，以合理確保達成下列目標：
1.營運之效果及效率。
2.報導具可靠性、及時性、透明性及符合相關規範。
3.相關法令規章之遵循。
(二)前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。
(三)第一項第二款所稱之報導，包括金融控股公司及銀行業內部與外部財務報導及非財務報導。其中外部財務報導之目標，包括確保對外之財務報表係依照一般公認會計原則編製，交易經適當核准等目標。

四、內控制度產生(金控銀行內控稽核辦法§5)

金融控股公司及銀行業之內部控制制度，應經董(理)事會通過，如有董(理)事表示反對意見或保留意見者，應將其意見及理由於董(理)事會議紀錄載明，連同經董(理)事會通過之內部控制制度送各監察人(監事、監事會)或審計委員會；修正時，亦同。

內控制度之設計及執行

一、內控制度運作之維持(金控銀行內控稽核辦法§6)

金融控股公司及銀行業應建立內部稽核制度、自行查核制度、法令遵循制度、以及風險管理機制，以維持有效適當之內部控制制度運作。

二、建立內控制度(金控銀行內控稽核辦法§7)

金融控股公司(含子公司)與銀行業之內部控制制度應包含下列組成要素：
(一)控制環境
係金融控股公司及銀行業設計及執行內部控制制度之基礎。控制環境包括金融控股公司及銀行業之誠信與道德價值、董(理)事會及監察人(監事、監事會)或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人應建立內部行為準則，包括訂定董事行為準則、員工行為準則等事項。
(二)風險評估
風險評估之先決條件為確立各項目標，並與金融控股公司及銀行業不同層級單位相連結，同時需考慮金融控股公司及銀行業目標之適合性。管理階層應考量金融控股公司及銀行業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助金融控股公司及銀行業及時設計、修正及執行必要之控制作業。
(三)控制作業
係指金融控股公司及銀行業依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括金融控股公司及銀行業所有層級、業務流程內之各個階段、所有科技環境等範圍、對子公司之監督與管理、適當之職務分工，且管理階層及員工不應擔任責任相衝突之工作。
(四)資訊與溝通
係指金融控股公司及銀行業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在金融控股公司及銀行業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制，並保有完整之財務、營運及遵循資訊。有效之內部控制制度應建立有效之溝通管道。
(五)監督作業
係指金融控股公司及銀行業進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人(監事、監事會)或審計委員會、董事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董事會及監察人(監事、監事會)或審計委員會溝通，並及時改善。

三、內控制度規範(金控銀行內控稽核辦法§8)

(一)內部控制制度應涵蓋所有營運活動，並應訂定下列適當之政策及作業程序，且應適時檢討修訂：
1.組織規程或管理章則，應包括訂定明確之組織系統、單位職掌、業務範圍與明確之授權及分層負責辦法。
2.相關業務規範及處理手冊，包括：
投資準則。
客戶資料保密。
利害關係人交易規範。
股權管理。
財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。
總務、資訊、人事管理(銀行業應含輪調及休假規定)。
對外資訊揭露作業管理。
金融檢查報告之管理。
金融消費者保護之管理。
其他業務之規範及作業程序。
 
(二)金融控股公司業務規範及處理手冊應另包括子公司之管理及共同行銷管理。
(三)銀行業務規範及處理手冊應另包括出納、存款、匯兌、授信、外匯、新種金融商品及委外作業管理。
(四)信用合作社業務規範及處理手冊應另包括出納、存款、授信、匯兌及委外作業管理。
(五)票券商業務規範及處理手冊應另包括票券、債券及新種金融商品等業務。
(六)信託業作業手冊之範本由信託業商業同業公會訂定，其內容應區分業務作業流程、會計作業流程、電腦作業規範、人事管理制度等項。信託業應參考範本訂定作業手冊，並配合法規、業務項目、作業流程等之變更，定期修訂。
(七)股票已在證券交易所上市或於證券商營業處所買賣之金融控股公司及銀行業，應將薪資報酬委員會運作之管理納入內部控制制度。
(八)金融控股公司及銀行業設置審計委員會者，其內部控制制度，應包括審計委員會議事運作之管理。
(九)金融控股公司及銀行業應於內部控制制度中，訂定對子公司必要之控制作業，其為國外子公司者，並應考量該子公司所在地政府法令之規定及實際營運之性質，督促其子公司建立內部控制制度。
(十)前九項各種作業及管理規章之訂定、修訂或廢止，必要時應有法令遵循、內部稽核及風險管理單位等相關單位之參與。

查核計畫(金控銀行內控稽核辦法§16)

(一)金融控股公司及銀行業應依子公司業務風險特性及其內部稽核執行情形，於年度稽核計畫中訂定對子公司之查核計畫。
(二)金融控股公司及銀行業除銀行業之國外子行及其他經主管機關核准者外，其內部稽核單位應每半年對子公司之財務、風險管理及法令遵循辦理一次專案業務查核，並納入年度稽核計畫。
(三)金融控股公司及銀行業之子公司，應向母公司呈報董(理)事會議紀錄、會計師查核報告、金融檢查機關檢查報告或其他有關資料，已設置內部稽核單位之子公司，並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報，由母公司予以審核，並督導子公司改善辦理。
(四)金融控股公司及銀行業總稽核應定期對子公司內部稽核作業之成效加以考核，經報告董(理)事會考核結果後，將其結果送子公司董(理)事會作為人事考評之依據。

一般查核(金控銀行內控稽核辦法§17)

(一)內部稽核單位辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別應揭露下列項目：
1.查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質、股權管理、董(理)事會及審計委員會議事運作之管理、法令遵循、內部控制、利害關係人交易、各項業務作業控制與內部管理、客戶資料保密管理、資訊管理、員工保密教育、消費者及投資人權益保護措施及自行查核辦理情形，並加以評估。
2.對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。
3.金融檢查機關、會計師、內部稽核單位(含母公司內部稽核單位)、自行查核人員所提列檢查意見或查核缺失，及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。
(二)前項之內部稽核報告、工作底稿及相關資料應至少保存五年。

內控缺失責任歸屬(金控銀行內控稽核辦法§18)

(一)金融控股公司及銀行業因內部管理不善、內部控制欠佳、內部稽核制度及法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形或內部稽核單位(含母公司內部稽核單位)對查核結果有隱匿未予揭露，而肇致重大弊端時，相關人員應負失職責任。內部稽核人員發現重大弊端或疏失，並使所屬金融控股公司(含子公司)或銀行業免於重大損失，應予獎勵。
(二)金融控股公司及銀行業管理單位及營業單位發生重大缺失或弊端時，內部稽核單位應有懲處建議權，並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。

內部稽核報告交付查閱(金控銀行內控稽核辦法§19)

金融控股公司及銀行業應將內部稽核報告交付監察人(監事、監事會)或審計委員會查閱，除主管機關另有規定外，應於查核結束日起二個月內報主管機關，設有獨立董事者，應一併交付。