各服務事業應以書面訂定內部控制制度，含內部稽核實施細則，並經董事
會通過，如有董事表示異議且有紀錄或書面聲明者，服務事業應將異議意
見連同經董事會通過之內部控制制度送各監察人；修正時，亦同。
各服務事業已設置獨立董事者，依前項規定將內部控制制度提報董事會討
論時，應充分考量各獨立董事之意見，獨立董事如有反對意見或保留意見
，應於董事會議事錄載明。
各服務事業已依證券交易法規定設置審計委員會者，訂定或修正內部控制
制度，應經審計委員會全體成員二分之一以上同意，並提董事會決議。
前項如未經審計委員會全體成員二分之一以上同意者，得由全體董事三分
之二以上同意行之，並應於董事會議事錄載明審計委員會之決議。
第三項所稱審計委員會全體成員及前項所稱全體董事，以實際在任者計算
之。
各服務事業董事會應認知營運所面臨之風險，監督其營運結果，並對於確
保建立及維持適當有效之內部控制制度負有最終之責任。

各服務事業之內部控制制度應包括下列組成要素：
一、控制環境：係各服務事業設計及執行內部控制制度之基礎。控制環境
    包括事業之誠信與道德價值、董事會及監察人治理監督責任、組織結
    構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人
    應建立內部行為準則，包括訂定董事行為準則、員工行為準則等事項
    。
二、風險評估：風險評估之先決條件為確立各項目標，並與各服務事業不
    同層級單位相連結，同時需考慮事業目標之適合性。管理階層應考量
    事業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其
    評估結果，可協助事業及時設計、修正及執行必要之控制作業。
三、控制作業：係指各服務事業依據風險評估結果，採用適當政策與程序
    之行動，將風險控制在可承受範圍之內。控制作業之執行應包括事業
    所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司
    之監督與管理。
四、資訊與溝通：係指各服務事業蒐集、產生及使用來自內部與外部之攸
    關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確
    保資訊在事業內部，及事業與外部之間皆能進行有效溝通。內部控制
    制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時
    取得資訊之機制。
五、監督作業：係指各服務事業進行持續性評估、個別評估或兩者併行，
    以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性
    評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人
    員、監察人或董事會等其他人員進行評估。對於所發現之內部控制制
    度缺失，應向適當層級之管理階層、董事會及監察人溝通，並及時改
    善。
各服務事業於設計及執行，或自行評估，或會計師受託專案審查公司內部
控制制度時，應綜合考量前項所列各組成要素，其判斷項目除主管機關所
定者外，依實際需要得自行增列必要之項目。
第一項第一款之董事行為準則至少應包括董事發現本事業有受重大損害之
虞時，應儘速妥適處理，立即通知審計委員會或審計委員會之獨立董事成
員或監察人並提報董事會，且應督導所屬服務事業通報主管機關。

各服務事業之內部控制制度，除視事業之性質訂定各種營運循環類型之控
制作業外，尚應視其需要包括對下列作業之控制：
一、印鑑使用之管理。
二、票據領用之管理。
三、預算之管理。
四、財產之管理。
五、背書保證之管理。
六、負債承諾及或有事項之管理。
七、職務授權及代理人制度之執行。
八、財務及非財務資訊之管理。
九、關係人交易之管理。
十、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計
    專業判斷程序、會計政策與估計變動之流程等。
十一、對子公司之監督與管理。
十二、法令遵循制度。
十三、金融檢查報告之管理。
十四、金融消費者保護之管理。但依金融消費者保護法第三條第二項排除
      適用之事業，不在此限。
十五、個人資料保護之管理。
十六、重大事件（如：重大違規、遭受重大損失之虞等）處理及通報機制
      之管理。
股票公開發行或主管機關指定之各服務事業，除應包括前項作業之控制外
，尚應包括董事會議事運作之管理及股務作業之管理。
各服務事業已依證券交易法規定設置審計委員會者，其內部控制制度，應
包括審計委員會議事運作之管理。
股票已上市或在證券商營業處所買賣之事業，其內部控制制度，尚應包括
對下列作業之控制：
一、薪資報酬委員會運作之管理。
二、防範內線交易之管理。
各服務事業屬洗錢防制法所稱之金融機構者，其內部控制制度應包含防制
洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、衡量、監控洗錢
及資恐風險之管理機制。
前項服務事業設有國外分公司（或子公司）者，應建立集團整體性防制洗
錢及打擊資恐計畫，包括在符合國外分公司（或子公司）當地法令下，以
防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。

各服務事業內部稽核單位應依風險評估結果擬訂年度稽核計畫，除主管機
關另有規定外，應包括每月應稽核之項目，年度稽核計畫並應確實執行，
據以評估服務事業之內部控制制度，並檢附工作底稿及相關資料等作成稽
核報告。
各服務事業至少應將下列事項列為每年年度稽核計畫之稽核項目：
一、法令規章遵循事項。
二、取得或處分資產、從事衍生性金融商品交易、為他人背書保證之管理
    及關係人交易之管理等重大財務業務行為之控制作業。
三、對子公司之監督與管理。
四、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計
    專業判斷程序、會計政策與估計變動之流程等。
五、資通安全檢查。
依金融消費者保護法所定之金融服務業之每年年度稽核計畫，除應包括前
項之稽核項目外，尚應包括對金融消費者保護之管理。
股票公開發行或主管機關指定之各服務事業之每年年度稽核計畫，除應包
括前二項之稽核項目外，尚應包括董事會議事運作之管理。
股票已上市或在證券商營業處所買賣之各服務事業之每年年度稽核計畫，
除應包括前三項之稽核項目外，尚應包括薪資報酬委員會運作之管理。
各服務事業已依證券交易法規定設置審計委員會者，其年度稽核計畫，尚
應包括審計委員會議事運作之管理。
各服務事業屬洗錢防制法所稱之金融機構者，其年度稽核計畫應包括防制
洗錢及打擊資恐及其相關法令遵循之管理。
各服務事業年度稽核計畫應經董事會通過；修正時，亦同。
各服務事業已設立獨立董事者，依前項規定將年度稽核計畫提報董事會討
論時，應充分考量各獨立董事之意見，獨立董事如有反對意見或保留意見
，應於董事會議事錄載明。
第一項之稽核報告、工作底稿及相關資料應至少保存五年。

各服務事業應於稽核報告及追蹤報告陳核後，於稽核項目完成之次月底前
交付各監察人查閱。
各服務事業內部稽核人員如發現重大違規情事或服務事業有受重大損失之
虞等重大事件時，應立即作成報告陳核，並通知各監察人。如對前揭缺失
事項所提改進建議不為管理階層採納，將肇致服務事業重大損失者，亦應
作成報告陳核及通知各監察人，並通報主管機關。
各服務事業設有獨立董事者，於依前二項規定辦理時，應一併交付或通知
獨立董事。
各服務事業於主管機關或國外分公司（或子公司）當地主管機關檢查結束
或收到檢查報告後，總（母）公司之內部稽核單位應依重大性原則，即時
通報董事及監察人，並提報最近一次董事會報告。報告事項應包括檢查溝
通會議內容、主要檢查缺失、遭主管機關調降評等、主管機關要求採行之
重大缺失改善方案或可能採行之處分措施。

會計師受各服務事業委託專案審查內部控制制度，準用公開發行公司建立
內部控制制度處理準則第二十五條至第三十六條之規定辦理。
各服務事業屬洗錢防制法所稱之金融機構者，主管機關得請證券交易所、
證券櫃檯買賣中心、期貨交易所或中華民國證券投資信託暨顧問商業同業
公會等證券期貨相關機構辦理個人資料保護、防制洗錢及打擊資恐機制之
專案查核，必要時得命令該事業委託會計師辦理之。

主管機關得視證券商、期貨業、證券金融事業、證券投資信託事業、證券
投資顧問事業、信用評等事業及其他經主管機關指定之證券或期貨市場服
務事業規模、業務性質及組織特性，命令設置隸屬於總經理之單位，負責
法令遵循制度之規劃、管理及執行。
董事會應指派高階主管一人擔任公司法令遵循主管，綜理法令遵循事務，
至少每半年向董事會及各監察人報告，如發現有重大違反法令或遭主管機
關調降評等時，應即時通報董事及監察人，並就法令遵循事項，提報董事
會，其報告內容至少應包括上述事件原因分析、可能影響及改善建議。
前項法令遵循主管名單，除證券商及期貨業另有規定外，應於董事會通過
之日起五日內填報異動原因併董事會會議紀錄報主管機關備查。

負責法令遵循之單位應辦理下列事項：
一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動
    符合法令規定。
三、訂定法令遵循之評估內容與程序，並督導各單位定期自行評估執行情
    形。
四、對各單位人員施以適當合宜之法規訓練。
五、督導國外分公司遵循其所在地國家之法令。
六、其他經主管機關規定應辦理之事項。
各服務事業設有國外分公司者，負責法令遵循之單位應督導國外分公司辦
理下列事項：
一、蒐集當地金融法規資料，建置當地法規資料庫、落實執行法令遵循自
    行評估作業、確保法令遵循主管適任性及法令遵循資源（含人員、配
    備及訓練）是否適足等事項，以確保遵守其所在地國家之法令。
二、建立法令遵循風險之自行評估及監控機制，對於其中業務規模大、複
    雜度或風險程度高者，並應委請當地外部獨立專家驗證其法令遵循風
    險自行評估及監控機制之有效性。
法令遵循自行評估作業，每年至少須辦理一次，其辦理結果應送法令遵循
單位備查。各單位辦理自行評估作業，應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。