各服務事業自行評估內部控制制度之目的，在落實自我監督之機制、及時
因應環境改變，以調整內部控制制度之設計，並提昇內部稽核部門的稽核
品質及效率；其評估之範圍，應涵蓋服務事業各類內部控制制度之設計及
執行。
各服務事業執行前項評估，應於內部控制制度訂定自行評估作業之程序及
方法。
各服務事業應注意相關法令規章遵循事項並依風險評估結果，決定前項自
行評估作業程序及方法，並至少包含下列項目：
一、確定應進行測試之控制作業。
二、確認應納入自行評估之營運單位。
三、評估各項控制作業設計之有效性。
四、評估各項控制作業執行之有效性。

各服務事業自行評估內部控制制度，除主管機關另有規定外，應先督促其
內部各單位及子公司每年至少辦理自行評估一次，再由內部稽核單位覆核
各單位之自行評估報告，併同稽核單位所發現之內部控制缺失及異常事項
改善情形，以作為董事會及總經理評估事業整體內部控制制度有效性及出
具內部控制制度聲明書之主要依據。
前項自行評估應作成工作底稿，併同自行評估報告及相關資料至少保存五
年。

各服務事業自行評估內部控制制度之結果，以各服務事業之內部控制制度
是否能合理確保下列事項，分為有效之內部控制制度或有重大缺失之內部
控制制度：
一、董事會及總經理瞭解營運之效果及效率目標達成程度。
二、報導係屬可靠、及時、透明及符合相關規範。
三、已遵循相關法令規章。

各服務事業應每年自行評估內部控制制度設計及執行之有效性，並依主管
機關規定格式作成內部控制制度聲明書，除各該事業之相關法令另有規定
外，應於每會計年度終了後三個月內申報主管機關備查。
各服務事業已依證券交易法規定設置審計委員會者，前項內部控制制度設
計及執行之有效性，應經審計委員會全體成員二分之一以上同意並準用第
五條第四項及第五項規定。
第一項內部控制制度聲明書應先經董事會通過；修正時，亦同。
股票公開發行或主管機關指定之各服務事業，第一項內部控制制度聲明書
應於主管機關指定網站辦理公告申報，免再將書面資料申報主管機關備查
。
第一項之內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書
及公開說明書或投資說明書。

各服務事業符合一定條件者，應指派副總經理以上或職責相當之人兼任資
訊安全長，綜理資訊安全政策推動及資源調度事務；其一定條件，由主管
機關定之。
各服務事業應配置適當人力資源及設備，進行資訊安全制度之規劃、監控
及執行資訊安全管理作業。主管機關得視服務事業規模、業務性質及組織
特性，命令設置資訊安全專責單位、主管及人員。
各服務事業每年應將前一年度資訊安全整體執行情形，由資訊安全長或負
責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具第二十四條
規定之內部控制制度聲明書，於會計年度終了後三個月內提報董事會通過
。
各服務事業負責資訊安全之主管及人員，每年應至少接受十五小時以上資
訊安全專業課程訓練或職能訓練。其他使用資訊系統之從業人員，每年應
至少接受三小時以上資訊安全宣導課程。
證券商業同業公會、期貨業商業同業公會及中華民國證券投資信託暨顧問
商業同業公會應訂定並定期檢討資訊安全自律規範。