修正「保險業內部控制及稽核制度實施辦法」部分條文。

附修正「保險業內部控制及稽核制度實施辦法」部分條文

主任委員　曾銘宗

保險業內部控制及稽核制度實施辦法部分條文修正條文

第　二　條　　本辦法所稱內部控制制度，指管理階層所設計，董（理）事會通過，並由董（理）事會、管理階層及其他員工執行之管理過程，其目的在於促進保險業之健全經營，以合理確保達成下列目標：

一、保險業之營運係以謹慎之態度，依據董（理）事會所制定之政策及策略進行，以達成營運獲利、績效之效果及效率。

二、各項交易均經適當之授權。

三、資產受到安全保障。

四、財務與其他紀錄提供可靠、及時、透明、完整、正確與可供驗證之資訊及符合相關規範。

五、管理階層能辨識、評估、管理，及控制營運之風險，並保有適足之資本以因應風險。

六、相關法令規章之遵循。

第　三　條　　保險業內部控制制度，應經董（理）事會通過。如有董（理）事表示保留或反對意見，保險業應將其意見及理由列入董事會紀錄，連同經董（理）事會通過之內部控制制度送各監察人（監事）或審計委員會；修正時，亦同。

　　保險業已設置獨立董事者，依前項規定將內部控制制度提報董（理）事會討論時，應充分考量各獨立董事之意見，並將其保留或反對意見及理由列入董（理）事會紀錄。

　　保險業設置審計委員會者，訂定或修正內部控制制度，應經審計委員會全體成員二分之一以上同意，並提董事會決議。

　　前項如未經審計委員會同意者，得由全體董事三分之二以上同意行之，並應於董事會議事錄載明審計委員會之決議。

第　四　條　　保險業之內部控制制度，至少應包括下列組成要素：

一、控制環境：係保險業設計及執行內部控制制度之基礎。控制環境包括保險業之誠信與道德價值、董（理）事會及監察人（監事）或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董（理）事會與管理階層應建立內部行為準則，包括訂定董（理）事行為準則、員工行為準則等事項。

二、風險評估：風險評估之先決條件為確立各項目標，並與保險業不同層級單位相連結，同時需考慮保險業目標之適合性。管理階層應考量保險業外部環境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結果，可協助保險業及時設計、修正及執行必要之控制作業。

三、控制作業：係指保險業依據風險評估結果，採用適當政策與程序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括保險業所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。

四、資訊與溝通：係指保險業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並確保資訊在保險業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。

五、監督作業：係指保險業進行持續性評估、個別評估或兩者併行，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核人員、監察人（監事）或審計委員會、董（理）事會等其他人員進行評估。對於所發現之內部控制制度缺失，應向適當層級之管理階層、董（理）事會及監察人（監事）或審計委員會溝通，並及時改善。

第　五　條　　保險業應分別業務性質及規模，依內部牽制原理訂定至少應包括下列控制作業之處理程序，且應適時檢討修訂：

一、保險商品開發作業：包括保險商品之風險評估、費率適足性之評估及準備金充分性之評估。

二、保險商品銷售作業：包括文宣及保單揭露事項、招攬、核保、契約轉換、復效、保全、收費。

三、保險商品理賠作業：包括事故調查、審核、付款作業。

四、各種資金運用作業：包括整體性投資政策、各種投資資產之取得、保管、處分及利害關係人交易規範。

五、清償能力評估作業：包括各種準備金提存之評估、資產品質之評估、資產與負債配合、逾期放款、催收款之清理、投資與資金之流動性管理、財務狀況評估及資本適足之評估。

六、從事衍生性金融商品作業：包括交易原則與方針、作業程序、公告申報程序、會計處理方式、內部控制與稽核制度。

七、再保險作業：包括再保險方式、各種風險及承受風險之評估，再保險自留限額及再保險人、再保險經紀人之選擇。

八、關於會計、總務、資源、人事管理及其他各種業務之控制作業。

九、金融檢查報告之管理。

十、金融消費者保護之管理。

十一、適用國際財務報導準則之管理。

十二、其他經主管機關指定之事項。

　　另依法應設置薪資報酬委員會之保險業，應設計薪資報酬委員會運作管理之內部控制作業處理程序。

　　保險業設置審計委員會者，其內部控制制度，應包括審計委員會議事運作之管理。

　　前三項各種作業及管理規章之訂定、修訂或廢止，必要時應有法令遵循、內部稽核及風險管理單位等相關單位之參與。

第　七　條　　保險業為維持有效之內部控制制度運作，達成第二條所定內部控制之目標，應配合採行下列措施：

一、內部稽核制度：設置稽核單位，負責查核各單位，並定期評估營業單位自行查核辦理績效。

二、法令遵循制度：由法令遵循主管依總機構所定之法令遵循計畫，適切檢測各業務經辦人員執行業務是否確實遵循相關法令規章。

三、自行查核制度：由各業務、財務及資訊單位成員相互查核業務實際執行情形，並由各單位指派主管或相當職級以上人員負責督導執行，以便及早發現經營缺失並適時予以改正。

四、會計師查核制度：由會計師於辦理保險業年度查核簽證時，查核保險業內部控制制度之有效性，並對其申報主管機關報表資料正確性、內部控制制度及法令遵循制度執行情形表示意見。

五、風險控管機制：應建立獨立有效風險管理機制，以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。

第　八　條　　保險業應訂定適當之風險管理政策與程序，並經董（理）事會通過並定期檢討修訂。

　　保險業應設置獨立之專責風險控管單位，並定期向董（理）事會報告。

　　保險業之風險控管機制應包括下列原則：

一、依據其業務規模、產品特質及整體經濟情勢等因素以辨識及評估可承受之風險範圍。

二、應考慮之風險應包括核保風險、評估各項準備金之相關風險、市場風險（包括利率風險）、作業風險及法令風險及其他相關風險。

三、管理階層應依據實際經濟情況，定期審視風險控制機制，並採取適當策略。

四、應建立辨識、衡量與監控洗錢及資助恐怖主義風險之管理機制，及遵循防制洗錢相關法令規章之標準作業程序，以降低其洗錢及資助恐怖主義發生之風險。

第  十一  條　　保險業應設隸屬於董（理）事會之內部稽核單位，以超然獨立之精神，執行稽核業務，總稽核應至少每半年向董（理）事會及監察人（監事）或審計委員會報告稽核業務。

　　內部稽核單位應置總稽核綜理稽核業務，其資格應符合保險業負責人應具備資格條件準則規定，職位應相當於副總經理，且不得兼任與稽核工作有相互衝突或牽制之職務。

　　總稽核之聘任、解聘或調職，應經董（理）事會全體董（理）事三分之二以上同意，並報主管機關核准。

　　保險業設置審計委員會者，前項總稽核之聘任、解聘或調職，應先經審計委員會全體成員二分之一以上同意，未經審計委員會全體成員二分之一以上同意者，應於董事會議事錄載明審計委員會之決議，未設審計委員會而設有獨立董事者，如有反對意見或保留意見，亦應於董事會議事錄載明。

第  十三  條　　保險業應依投資規模、業務情況（分支機構之多寡及其業務量）、管理需要及其他相關法令規章之規定，配置適任及適當人數之專職內部稽核人員，職務代理，應由內部稽核部門人員互為代理。

　　內部稽核單位人員之任用、免職、升遷、獎懲、輪調及考核等，應由總稽核簽報，經董（理）事長核定後辦理。但涉及其他管理、營業單位人事者，應先洽商人事單位轉報總經理同意。

　　內部稽核單位於主管機關派員檢查時，應指派內部稽核人員負責聯繫，提供有關資料，並協助檢查工作之進行。

第  十五  條　　內部稽核人員執行業務應本誠實信用原則，並不得有下列情事：

一、逾越稽核職權範圍以外之行為或有其他不正當情事，對於所取得之資訊，對外洩漏或為己圖利或侵害保險業之利益。

二、對於以前執行之業務於一年內進行稽核作業或與自身有利害關係或利益衝突案件未予迴避，而辦理該等案件或業務之稽核工作。

三、收受保險業從業人員或客戶之不當招待或餽贈或其他不正當利益。

四、未配合辦理主管機關指示查核事項或提供相關資料。

五、明知公司之營運活動、報導及相關法令規章遵循情況有直接損害受益人、保戶或利害關係人之情事，而予以隱飾或作不實、不當之揭露。

六、因職務之廢弛，致損及公司、受益人、保戶或利害關係人之權益等情事。

七、其他違反法令規章或經主管機關規定不得為之行為。

第  十九  條　　保險業辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別揭露下列項目：

一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質、股權管理、董（理）事會及審計委員會議事運作之管理、法令遵循、利害關係人交易、各項業務作業控制與內部管理、客戶資料保密管理、資訊管理、員工保密教育及自行查核辦理情形，並加以評估。

二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。

三、各單位對主管機關、會計師、內部稽核單位（含金融控股公司內部稽核單位）與自行查核人員所提列之檢查意見或查核缺失事項，及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。

　　前項之內部稽核報告、工作底稿及相關資料應至少保存五年。

　　保險業應於每年十二月底將次一年度稽核計畫及每年二月底前將上一年度之年度稽核計畫執行情形，依規定格式以網際網路資訊系統申報主管機關備查。

　　保險業應於每會計年度終了前將次一年度稽核計畫以書面交付監察人（監事）或審計委員會核議，並作成紀錄，如未設審計委員會而有獨立董事者，並應先送獨立董事表示意見。

　　前項提交稽核計畫內容至少應包括：計畫編列說明、年度稽核重點項目、計畫受檢單位、查核性質（一般檢查或專案檢查）、查核頻次與主管機關規定是否相符等，如查核性質屬專案檢查者，應註明專案查核範圍。

　　年度稽核計畫應經董（理）事會通過；修正時，亦同。

第  二十  條　　內部稽核單位對主管機關、會計師、內部稽核單位（含金融控股公司內部稽核單位）與自行查核所提列之檢查意見或查核缺失事項及內部控制制度聲明書所列應加強改善事項，應持續追蹤覆查，並將其追蹤考核改善辦理情形，以書面提報董（理）事會及交付各監察人（監事）或審計委員會查閱，並應列為對各單位獎懲及績效考核之重要項目。

　　內部稽核報告應交付各監察人（監事）或審計委員會查閱，並於查核結束日起二個月內報主管機關。

　　保險業設有獨立董事者，於依前二項規定辦理時，應一併交付。

第二十二條　　保險業應於每年五月底前將上一年度內部控制制度缺失及異常事項及其改善情形，依規定格式以網際網路資訊系統申報主管機關備查。

第  三十  條　　保險業應依其規模、業務性質及組織特性，設立隸屬於總經理之法令遵循單位，負責法令遵循制度之規劃、管理及執行。

　　法令遵循單位應置總機構法令遵循主管一人，綜理法令遵循業務，除兼任法務單位主管外，不得兼任內部其他職務，職位應相當於副總經理，且具備領導及有效督導法令遵循工作之能力，其資格應符合保險業負責人應具備資格條件準則規定，至少每半年向董（理）事會及監察人（監事）或審計委員會報告。

　　前項總機構法令遵循主管，於外國保險業在台分公司、再保險業及保險合作社得指派高階主管一人擔任，其中保險合作社得不受前項不得兼任內部其他職務規定之限制。

　　總稽核、稽核單位主管及內部稽核人員，不得兼任本條第二項所定之總機構法令遵循主管。

　　保險業任免總機構法令遵循主管應經董（理）事會全體董（理）事二分之一以上同意，並報主管機關備查。

　　保險業總機構法令遵循主管及法令遵循單位所屬人員，每年應至少參加主管機關認定機構或金融控股公司或保險業自行舉辦之教育訓練達二十小時以上，訓練內容應至少包含新修訂法令規章及新銷售保險商品。

　　保險業應以網際網路資訊系統向主管機關申報總機構法令遵循主管及法令遵循單位所屬人員名單、最近三年獎懲紀錄、資歷及受訓資料等。

第三十條之一　　保險業對法令遵循事宜，應建立諮詢溝通管道，以有效傳達法令規章，俾使職員對於法令規章之疑義得以迅速釐清，並落實法令遵循。

　　保險業法令遵循單位對各單位法令遵循重大缺失或弊端，應分析原因及提出改善建議，簽報總經理後，提報董（理）事會。

第三十一條　　法令遵循單位應擬訂法令遵循制度，報經董（理）事會通過後施行，並配合保險法令規章修訂等情事，隨時檢討，報經董（理）事會通過後修訂之。

　　法令遵循制度至少應包括下列項目：

一、董（理）事會決策運作及董（理）事管控之機能。

二、董（理）事會議事錄之保存。

三、監察人（監事）之營運監控機能。

四、董（理）事之法令遵循行為規範。

五、法令遵循評估基準之建立。

六、年度法令遵循計畫之擬訂。

七、法令遵循環境之建立。

八、法令遵循業務之查核與違反法令規章之處理。

九、法令遵循之組織與業務職掌。

十、法令遵循作業手冊之擬訂。

第三十二條　　法令遵循單位應擬訂年度法令遵循計畫，報經董（理）事會通過後實施。

　　年度法令遵循計畫至少應包括：

一、對各單位法令遵循事項之評估計畫。

二、上年度違反法令規章案件處理結果之覆核。

三、保險法令等相關法令規章之變動管理。

四、法令遵循之教育訓練及業務宣導。

五、法令遵循制度之檢討改善。

　　法令遵循單位應辦理下列事項：

一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。

二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規章規定。

三、於保險業推出各項服務、新保險商品或經主管機關認定屬重大變更應採核准方式辦理之保險商品，及進行特定或重大資金運用前，應由總機構法令遵循主管出具符合法令規章及內部規範之意見並簽署負責。

四、訂定法令遵循之評估內容與程序，及督導各單位定期自行評估執行情形，並對各單位法令遵循自行評估作業成效加以考核，經簽報總經理後，作為單位考評之參考依據。

五、對各單位人員施以適當合宜之法規訓練。

　　內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序，及自行評估所屬單位法令遵循執行情形，不適用前項第四款規定。

第三十三條　　保險業營業單位、資金運用單位、資訊單位、資產保管單位及其他管理單位應指派人員擔任該單位法令遵循主管，負責辦理法令遵循業務。

　　各單位應擬訂法令遵循手冊，報經總機構法令遵循主管核可後，轉報總經理核定實施。

　　法令遵循手冊至少應包括：

一、各項業務應採行之法令遵循程序。

二、各項業務應遵循之法令規章。

三、違反法令規章之處理程序。

四、法令遵循業務之自行評估程序。

五、法令遵循主管名冊。

　　保險業設有國外分支機構者，法令遵循單位應督導國外分支機構遵守其所在地國家之法令規章。

第三十六條　　保險業內部稽核人員及法令遵循主管，對內部控制重大缺失或違法違規情事所提改進建議不為管理階層採納，將肇致保險業重大損失者，應立即作成報告陳核，並通知監察人（監事）或審計委員會，及通報主管機關，設有獨立董事者，應一併通知。

第三十八條　　保險業應於內部控制制度中，訂定對子公司必要之控制作業，並考量該子公司所在地政府法令規章之規定及實際營運之性質，督促其子公司建立內部控制制度。

　　保險業應依子公司業務風險特性及其內部稽核執行情形，於年度稽核計畫中訂定對子公司之查核計畫。

　　保險業之子公司應向母公司呈報董事會議紀錄、會計師查核報告、金融檢查機關檢查報告或其他有關資料，已設置內部稽核單位之子公司，並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報，由母公司予以審核，並督導子公司改善辦理。

　　總稽核應定期對子公司內部稽核作業之成效加以考核，經報告董（理）事會考核結果後，將其結果送子公司董（理）事會作為人事考評之依據。