各服務事業建立內部控制制度，應依本準則以及主管機關所定規定辦理。
但其他法令另有規定者，從其規定。

各服務事業之內部控制制度係由服務事業經理人所設計，董事會通過，並
由董事會、經理人及其他員工執行之管理過程，其目的在於促進服務事業
之健全經營，以合理確保下列目標之達成：
一、營運之效果及效率。
二、報導具可靠性、及時性、透明性及符合相關規範。
三、相關法令規章之遵循。
前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全
等目標。
第一項第二款所稱之報導，包括各服務事業內部與外部財務報導及非財務
報導。其中外部財務報導之目標，包括確保對外之財務報表係依照各服務
事業財務報告編製規範及一般公認會計原則編製，交易經適當核准等目標
。

各服務事業之內部控制制度，應訂定明確之內部組織結構、呈報體系，及
適當權限與責任，並載明經理人之設置、職稱、委任與解任、職權範圍及
薪資報酬政策與制度等事項。
各服務事業應考量本事業及其子公司整體之營運活動，設計並確實執行其
內部控制制度，且應隨時檢討，以因應事業內外在環境的變遷，俾確保該
制度之設計及執行持續有效。
前項所稱子公司，應依各服務事業財務報告編製規範之規定認定之。

各服務事業之內部控制制度應包括下列組成要素：
一、控制環境：係各服務事業設計及執行內部控制制度之基礎。控制環境
    包括事業之誠信與道德價值、董事會及監察人治理監督責任、組織結
    構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人
    應建立內部行為準則，包括訂定董事行為準則、員工行為準則等事項
    。
二、風險評估：風險評估之先決條件為確立各項目標，並與各服務事業不
    同層級單位相連結，同時需考慮事業目標之適合性。管理階層應考量
    事業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其
    評估結果，可協助事業及時設計、修正及執行必要之控制作業。
三、控制作業：係指各服務事業依據風險評估結果，採用適當政策與程序
    之行動，將風險控制在可承受範圍之內。控制作業之執行應包括事業
    所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司
    之監督與管理。
四、資訊與溝通：係指各服務事業蒐集、產生及使用來自內部與外部之攸
    關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確
    保資訊在事業內部，及事業與外部之間皆能進行有效溝通。內部控制
    制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時
    取得資訊之機制。
五、監督作業：係指各服務事業進行持續性評估、個別評估或兩者併行，
    以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性
    評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人
    員、監察人或董事會等其他人員進行評估。對於所發現之內部控制制
    度缺失，應向適當層級之管理階層、董事會及監察人溝通，並及時改
    善。
各服務事業於設計及執行，或自行評估，或會計師受託專案審查公司內部
控制制度時，應綜合考量前項所列各組成要素，其判斷項目除主管機關所
定者外，依實際需要得自行增列必要之項目。

各服務事業之內部控制制度，除視事業之性質訂定各種營運循環類型之控
制作業外，尚應視其需要包括對下列作業之控制：
一、印鑑使用之管理。
二、票據領用之管理。
三、預算之管理。
四、財產之管理。
五、背書保證之管理。
六、負債承諾及或有事項之管理。
七、職務授權及代理人制度之執行。
八、財務及非財務資訊之管理。
九、關係人交易之管理。
十、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計
    專業判斷程序、會計政策與估計變動之流程等。
十一、對子公司之監督與管理。
十二、法令遵循制度。
十三、金融檢查報告之管理。
十四、金融消費者保護之管理。但依金融消費者保護法第三條第二項排除
      適用之事業，不在此限。
十五、個人資料保護之管理。
股票公開發行或主管機關指定之各服務事業，除應包括前項作業之控制外
，尚應包括董事會議事運作之管理及股務作業之管理。
各服務事業已依證券交易法規定設置審計委員會者，其內部控制制度，應
包括審計委員會議事運作之管理。
股票已上市或在證券商營業處所買賣之事業，其內部控制制度，尚應包括
對下列作業之控制：
一、薪資報酬委員會運作之管理。
二、防範內線交易之管理。

各服務事業應設置隸屬於董事會之內部稽核單位，除主管機關另有規定外
，應依其事業規模、業務情況、管理需要及其他有關法令之規定，配置適
任及適當人數之專任內部稽核人員，並應設置職務代理人，其代理執行稽
核業務應依本準則規定辦理。
各服務事業應設有內部稽核主管，綜理稽核業務，其應具備領導及有效督
導稽核工作之能力。內部稽核主管之任免，應經董事會通過，已設置獨立
董事者，獨立董事如有反對意見或保留意見，應於董事會議事錄載明。
各服務事業已依證券交易法規定設置審計委員會者，內部稽核主管之任免
，應經審計委員會全體成員二分之一以上同意，並提董事會決議，並準用
第五條第四項及第五項規定。
除證券商及期貨業另有規定外，各服務事業內部稽核主管之任免，應於董
事會通過之日起五日內填報異動原因併董事會會議紀錄申報主管機關備查
。
內部稽核單位之人事任用、免職、升遷、獎懲、輪調及考核等，應由稽核
主管簽報，報經董事長核定後辦理。但涉及其他管理、營業單位人事者，
應事先洽商人事單位轉報總經理同意後，再行簽報董事長核定。
第一項所稱適任之專任內部稽核人員應具備條件，由主管機關另定之。

各服務事業之內部稽核實施細則至少應包括下列項目：
一、內部稽核單位之目的、職權及責任。
二、對內部控制制度進行評估，以衡量現行政策、程序之有效性及遵循程
    度與其對各項營運活動之影響。
三、釐定稽核項目、時間、程序及方法。

各服務事業內部稽核單位應依風險評估結果擬訂年度稽核計畫，除主管機
關另有規定外，應包括每月應稽核之項目，年度稽核計畫並應確實執行，
據以評估服務事業之內部控制制度，並檢附工作底稿及相關資料等作成稽
核報告。
各服務事業至少應將下列事項列為每年年度稽核計畫之稽核項目：
一、法令規章遵循事項。
二、取得或處分資產、從事衍生性金融商品交易、為他人背書保證之管理
    及關係人交易之管理等重大財務業務行為之控制作業。
三、對子公司之監督與管理。
四、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計
    專業判斷程序、會計政策與估計變動之流程等。
五、資通安全檢查。
依金融消費者保護法所定之金融服務業之每年年度稽核計畫，除應包括前
項之稽核項目外，尚應包括對金融消費者保護之管理。
股票公開發行或主管機關指定之各服務事業之每年年度稽核計畫，除應包
括前二項之稽核項目外，尚應包括董事會議事運作之管理。
股票已上市或在證券商營業處所買賣之各服務事業之每年年度稽核計畫，
除應包括前三項之稽核項目外，尚應包括薪資報酬委員會運作之管理。
各服務事業已依證券交易法規定設置審計委員會者，其年度稽核計畫，尚
應包括審計委員會議事運作之管理。
各服務事業年度稽核計畫應經董事會通過；修正時，亦同。
各服務事業已設立獨立董事者，依前項規定將年度稽核計畫提報董事會討
論時，應充分考量各獨立董事之意見，獨立董事如有反對意見或保留意見
，應於董事會議事錄載明。
第一項之稽核報告、工作底稿及相關資料應至少保存五年。

各服務事業內部稽核人員應與受查單位就年度稽核項目查核結果充分溝通
，對於評估所發現之內部控制制度缺失及異常事項，應據實揭露於稽核報
告，並於該報告陳核後加以追蹤，至少按季作成追蹤報告並提報董事會至
改善為止，以確定相關單位業已及時採取適當之改善措施。
各服務事業應就前項所發現之內部控制制度缺失、異常事項及改善情形，
列為各部門績效考核之重要項目。
第一項內部控制制度缺失及異常事項改善情形，應包括主管機關或自律機
構檢查所發現、內部稽核作業所發現、內部控制制度聲明書所列、自行評
估及會計師專案審查所發現之各項缺失。

各服務事業內部稽核人員應秉持超然獨立之精神，以客觀公正之立場，確
實執行其職務，並盡專業上應有之注意，除定期向各監察人報告稽核業務
外，稽核主管並應列席董事會報告。
內部稽核人員執行業務應本誠實信用原則，並不得有下列情事：
一、明知事業之營運活動、報導及相關法令規章遵循情況有直接損害受益
    人、客戶或利害關係人之情事，而予以隱飾或作不實、不當之揭露。
二、因職務上之廢弛，致損及事業、受益人、客戶或利害關係人之權益等
    情事。
三、逾越稽核職權範圍以外之行為或有其他不正當情事，意圖為自己或第
    三人之利益，違背其職務之行為或侵占公司資產。
四、對於以前曾服務之部門，於一年內進行稽核作業。但主管機關另有規
    定者，不在此限。
五、與自身有利害關係或利益衝突案件未予迴避。
六、未配合辦理主管機關指示查核事項或提供相關資料。
七、直接或間接提供、承諾、要求或收受不合理禮物、款待或其他任何形
    式之不正當利益。
八、其他違反法令或經主管機關規定不得為之行為。

各服務事業自行評估內部控制制度之目的，在落實自我監督之機制、及時
因應環境改變，以調整內部控制制度之設計，並提昇內部稽核部門的稽核
品質及效率；其評估之範圍，應涵蓋服務事業各類內部控制制度之設計及
執行。
各服務事業執行前項評估，應於內部控制制度訂定自行評估作業之程序及
方法。
各服務事業應注意相關法令規章遵循事項並依風險評估結果，決定前項自
行評估作業程序及方法，並至少包含下列項目：
一、確定應進行測試之控制作業。
二、確認應納入自行評估之營運單位。
三、評估各項控制作業設計之有效性。
四、評估各項控制作業執行之有效性。

各服務事業自行評估內部控制制度，除主管機關另有規定外，應先督促其
內部各單位及子公司每年至少辦理自行評估一次，再由內部稽核單位覆核
各單位之自行評估報告，併同稽核單位所發現之內部控制缺失及異常事項
改善情形，以作為董事會及總經理評估事業整體內部控制制度有效性及出
具內部控制制度聲明書之主要依據。
前項自行評估應作成工作底稿，併同自行評估報告及相關資料至少保存五
年。

各服務事業自行評估內部控制制度之結果，以各服務事業之內部控制制度
是否能合理確保下列事項，分為有效之內部控制制度或有重大缺失之內部
控制制度：
一、董事會及總經理瞭解營運之效果及效率目標達成程度。
二、報導係屬可靠、及時、透明及符合相關規範。
三、已遵循相關法令規章。

各服務事業應每年自行評估內部控制制度設計及執行之有效性，並依主管
機關規定格式作成內部控制制度聲明書，除各該事業之相關法令另有規定
外，應於每會計年度終了後三個月內申報主管機關備查。
各服務事業已依證券交易法規定設置審計委員會者，前項內部控制制度設
計及執行之有效性，應經審計委員會全體成員二分之一以上同意並準用第
五條第四項及第五項規定。
第一項內部控制制度聲明書應先經董事會通過；修正時，亦同。
股票公開發行或主管機關指定之各服務事業，第一項內部控制制度聲明書
應於主管機關指定網站辦理公告申報，免再將書面資料申報主管機關備查
。
第一項之內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書
及公開說明書或投資說明書。

各服務事業有下列情事之一者，主管機關得令其限期改善，必要時並得命
令各服務事業委託會計師專案審查各服務事業之內部控制制度，並取具審
查報告報主管機關備查：
一、未訂書面內部控制制度。
二、未配置適任或適當人數之專任內部稽核人員。
三、未依期限申報或未確實執行年度稽核計畫。
四、未依期限申報年度稽核計畫實際執行情形。
五、未依期限申報稽核所見內部控制缺失及異常事項之改善情形。
六、未依規定自行評估內部控制制度，或未作成內部控制制度聲明書。
七、未依會計師出具之內部控制建議書改善內部控制缺失事項而情節重大
    。
八、外部財務報導不實或違反法令規章情節重大。
九、發生重大舞弊或有舞弊之嫌。
十、其他經主管機關認為有應專案審查之必要。

本準則自發布日施行。
中華民國一百年十二月二十一日修正條文，除第八條第一項第十四款及第
十四條第三項修正條文自一百年十二月三十日施行外，自發布日起三個月
後施行。
中華民國一百零三年九月二十二日修正發布條文，自一百零四年一月一日
施行。