各服務事業之內部控制制度,應訂定明確之內部組織結構、呈報體系,及適當權限與責任,並載明經理人之設置、職稱、委任與解任、職權範圍及薪資報酬政策與制度等事項。
各服務事業應考量本事業及其子公司整體之營運活動,設計並確實執行其內部控制制度,且應隨時檢討,以因應事業內外在環境的變遷,俾確保該制度之設計及執行持續有效。
前項所稱子公司,應依各服務事業財務報告編製規範之規定認定之。
各服務事業之內部控制制度應包括下列組成要素:
一、控制環境:係各服務事業設計及執行內部控制制度之基礎。控制環境包括事業之誠信與道德價值、董事會及監察人治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人應建立內部行為準則,包括訂定董事行為準則、員工行為準則等事項。
二、風險評估:風險評估之先決條件為確立各項目標,並與各服務事業不同層級單位相連結,同時需考慮事業目標之適合性。管理階層應考量事業外部環境與商業模式改變之影響,以及可能發生之舞弊情事。其評估結果,可協助事業及時設計、修正及執行必要之控制作業。
三、控制作業:係指各服務事業依據風險評估結果,採用適當政策與程序之行動,將風險控制在可承受範圍之內。控制作業之執行應包括事業所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。
四、資訊與溝通:係指各服務事業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊,以支持內部控制其他組成要素之持續運作,並確保資訊在事業內部,及事業與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。
五、監督作業:係指各服務事業進行持續性評估、個別評估或兩者併行,以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估;個別評估係由內部稽核人員、監察人或董事會等其他人員進行評估。對於所發現之內部控制制度缺失,應向適當層級之管理階層、董事會及監察人溝通,並及時改善。
各服務事業於設計及執行,或自行評估,或會計師受託專案審查公司內部控制制度時,應綜合考量前項所列各組成要素,其判斷項目除主管機關所定者外,依實際需要得自行增列必要之項目。
第一項第一款之董事行為準則至少應包括董事發現本事業有受重大損害之虞時,應儘速妥適處理,立即通知審計委員會或審計委員會之獨立董事成員或監察人並提報董事會,且應督導所屬服務事業通報主管機關。
各服務事業之內部控制制度,除視事業之性質訂定各種營運循環類型之控制作業外,尚應視其需要包括對下列作業之控制:
一、印鑑使用之管理。
二、票據領用之管理。
三、預算之管理。
四、財產之管理。
五、背書保證之管理。
六、負債承諾及或有事項之管理。
七、職務授權及代理人制度之執行。
八、財務及非財務資訊之管理。
九、關係人交易之管理。
十、財務報表編製流程之管理,包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。
十一、對子公司之監督與管理。
十二、法令遵循制度。
十三、金融檢查報告之管理。
十四、金融消費者保護之管理。但依金融消費者保護法第三條第二項排除適用之事業,不在此限。
十五、客戶資料保密。
十六、重大事件(如:重大違規、遭受重大損失之虞等)處理及通報機制之管理。
十七、檢舉制度。
十八、作業委託他人處理之管理。
十九、其他經主管機關指定之事項。
股票公開發行或主管機關指定之各服務事業,除應包括前項作業之控制外,尚應包括董事會議事運作之管理及股務作業之管理。
各服務事業已依證券交易法規定設置審計委員會者,其內部控制制度,應包括審計委員會議事運作之管理。
股票已上市或在證券商營業處所買賣之事業,其內部控制制度,尚應包括對下列作業之控制:
一、薪資報酬委員會運作之管理。
二、防範內線交易之管理。
各服務事業屬洗錢防制法所稱之金融機構者,其內部控制制度應包含防制洗錢及打擊資恐機制及相關法令之遵循管理,包括辨識、衡量、監控洗錢及資恐風險之管理機制。
前項設有國內外分公司(或子公司)之服務事業應建立集團整體性防制洗錢及打擊資恐計畫,包括在符合國外分公司(或子公司)當地法令下,以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。
(刪除)
各服務事業使用電腦化資訊系統處理者,其內部控制制度除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業:
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。
十、資通安全檢查之控制。
十一、依規定向主管機關指定網站進行公開資訊申報者,其相關作業之控制。