六法全書 | AI搜尋 |
保險業內部控制及稽核制度實施辦法   第 二 章 內部控制制度之設計及執行 ( 111年09月27日)
第 4 條
保險業之內部控制制度,至少應包括下列組成要素:
一、控制環境:係保險業設計及執行內部控制制度之基礎。控制環境包括保險業之誠信與道德價值、董(理)事會及監察人(監事)或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董(理)事會與管理階層應建立內部行為準則,包括訂定董(理)事行為準則、員工行為準則等事項。
二、風險評估:風險評估之先決條件為確立各項目標,並與保險業不同層級單位相連結,同時需考慮保險業目標之適合性。管理階層應考量保險業外部環境與商業模式改變之影響,以及可能發生之舞弊情事。其評估結果,可協助保險業及時設計、修正及執行必要之控制作業。
三、控制作業:係指保險業依據風險評估結果,採用適當政策與程序之行動,將風險控制在可承受範圍之內。控制作業之執行應包括保險業所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。
四、資訊與溝通:係指保險業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊,以支持內部控制其他組成要素之持續運作,並確保資訊在保險業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。
五、監督作業:係指保險業進行持續性評估、個別評估或兩者併行,以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估;個別評估係由內部稽核人員、監察人(監事)或審計委員會、董(理)事會等其他人員進行評估。對於所發現之內部控制制度缺失,應向適當層級之管理階層、董(理)事會及監察人(監事)或審計委員會溝通,並及時改善。

第 4-1 條
前條第一款之董(理)事行為準則至少應包括董(理)事發現保險業有受重大損害之虞時,應儘速妥適處理,立即通知審計委員會或獨立董事或監察人(監事)並提報董(理)事會,且應督導所屬保險業通報主管機關。

第 5 條
保險業應分別業務性質及規模,依內部牽制原理訂定至少應包括下列控制作業之處理程序,且應適時檢討修訂:
一、保險商品開發及管理作業:包括保險商品之風險評估、費率適足性之評估、準備金充分性之評估及商品管理作業。
二、保險商品銷售作業:包括文宣及保單揭露事項、招攬、核保、契約轉換、復效、保全、收費。
三、保險商品理賠作業:包括事故調查、審核、付款作業。
四、各種資金運用作業:包括整體性投資政策、各種投資資產之取得、保管、處分及利害關係人交易規範。
五、清償能力評估作業:包括各種準備金提存之評估、資產品質之評估、資產與負債配合、逾期放款、催收款之清理、投資與資金之流動性管理、財務狀況評估及資本適足之評估、保險業企業風險管理、保險業自我風險及清償能力評估。
六、從事衍生性金融商品作業:包括交易原則與方針、作業程序、公告申報程序、會計處理方式、內部控制與稽核制度。
七、再保險作業:包括再保險方式、各種風險及承受風險之評估,再保險自留限額及再保險人、再保險經紀人之選擇。
八、關於會計、總務、資源、人事管理及其他各種業務之控制作業。
九、金融檢查報告之管理。
十、金融消費者保護之管理。
十一、適用國際財務報導準則之管理。
十二、重大偶發事件之處理機制。
十三、防制洗錢及打擊資恐機制及相關法令之遵循管理,包括辨識、衡量、監控洗錢及資恐風險之管理機制。
十四、其他經主管機關指定之事項。

另依法應設置薪資報酬委員會之保險業,應設計薪資報酬委員會運作管理之內部控制作業處理程序。

保險業設置審計委員會者,其內部控制制度,應包括審計委員會議事運作之管理。

前三項各種作業及管理規章之訂定、修訂或廢止,必要時應有法令遵循、內部稽核及風險管理單位等相關單位之參與。

第 6 條
保險業使用電腦化資訊系統處理者,其內部控制制度,除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業,並應依所屬商業同業公會訂定之自律規範辦理:
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、電腦機房門禁之控制。
八、系統、檔案及電腦、通訊設備之安全控制。
九、硬體及系統軟體之購置、使用及維護之控制。
十、電腦病毒擴散及網路駭客入侵之防範控制。
十一、系統復原計畫、災變備援計畫及測試程序之控制。
十二、核心業務委外處理之控制。
十三、客戶及公司機密資料之保密及安全防範控制。
十四、電腦犯罪之防範控制。

中華民國人壽保險商業同業公會及中華民國產物保險商業同業公會應訂定並定期檢討資訊安全自律規範。

第 6-1 條
保險業應設置資訊安全專責單位及主管,不得兼辦資訊或其他與職務有利益衝突之業務,並配置適當人力資源及設備。但主管機關對保險合作社另有規定者,依其規定。

保險業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應指派副總經理以上或職責相當之人兼任資訊安全長,綜理資訊安全政策推動及資源調度事務,且應設置具職權行使獨立性之資訊安全專責單位,並指派協理以上或職責相當之人擔任資訊安全專責單位主管。

保險業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業,每年應將前一年度資訊安全整體執行情形,由資訊安全長(無資訊安全長者,由資訊安全專責單位主管)與第二十五條第一項人員聯名出具內部控制制度聲明書,提報董(理)事會通過。

保險業資訊安全專責單位人員,每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位及其他管理單位之人員,每年至少須接受三小時以上資訊安全宣導課程。

適用第二項規定之保險業,應於符合適用條件起六個月內調整。

第 7 條
保險業為維持有效之內部控制制度運作,達成第二條所定內部控制之目標,應建立自行查核制度、法令遵循制度與風險管理機制及內部稽核制度等內部控制三道防線。

為落實前項規範,保險業應配合採行下列措施:
一、內部稽核制度:設置稽核單位,負責查核各單位,並定期評估各單位自行查核辦理績效。
二、法令遵循制度:由法令遵循主管依總機構所定之法令遵循計畫,適切檢測各業務經辦人員執行業務是否確實遵循相關法令規章。
三、自行查核制度:由各業務、財務及資訊單位成員相互查核業務實際執行情形,並由各單位指派主管或相當職級以上人員負責督導執行,以便及早發現經營缺失並適時予以改正。
四、會計師查核制度:由會計師於辦理保險業年度查核簽證時,查核保險業內部控制制度之有效性,並對其申報主管機關報表資料正確性、內部控制制度及法令遵循制度執行情形表示意見。
五、風險控管機制:應建立獨立有效風險管理機制,以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。

保險業內部控制三道防線實務守則之執行程序,由中華民國人壽保險商業同業公會及中華民國產物保險商業同業公會共同訂定,並報主管機關備查。

第 8 條
(刪除)