法規資訊

1. 第8條

1. 各服務事業之內部控制制度，除視事業之性質訂定各種營運循環類型之控制作業外，尚應視其需要包括對下列作業之控制：

   1. 一、印鑑使用之管理。
   2. 二、票據領用之管理。
   3. 三、預算之管理。
   4. 四、財產之管理。
   5. 五、背書保證之管理。
   6. 六、負債承諾及或有事項之管理。
   7. 七、職務授權及代理人制度之執行。
   8. 八、財務及非財務資訊之管理。
   9. 九、關係人交易之管理。
   10. 十、財務報表編製流程之管理，包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。
   11. 十一、對子公司之監督與管理。
   12. 十二、法令遵循制度。
   13. 十三、金融檢查報告之管理。
   14. 十四、金融消費者保護之管理。但依金融消費者保護法第三條第二項排除適用之事業，不在此限。
   15. 十五、個人資料保護之管理。
   16. 十六、重大事件(如：重大違規、遭受重大損失之虞等)處理及通報機制之管理。
   17. 十七、檢舉制度。
2. 股票公開發行或主管機關指定之各服務事業，除應包括前項作業之控制外，尚應包括董事會議事運作之管理及股務作業之管理。
3. 各服務事業已依證券交易法規定設置審計委員會者，其內部控制制度，應包括審計委員會議事運作之管理。
4. 股票已上市或在證券商營業處所買賣之事業，其內部控制制度，尚應包括對下列作業之控制：

   1. 一、薪資報酬委員會運作之管理。
   2. 二、防範內線交易之管理。
5. 各服務事業屬洗錢防制法所稱之金融機構者，其內部控制制度應包含防制洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、衡量、監控洗錢及資恐風險之管理機制。
6. 前項設有國內外分公司(或子公司)之服務事業應建立集團整體性防制洗錢及打擊資恐計畫，包括在符合國外分公司(或子公司)當地法令下，以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。

1. 第19條

1. 各服務事業除證券商及期貨業另有規定外，應將內部稽核人員之姓名、年齡、學歷、經歷、服務年資及所受訓練等資料依主管機關規定格式及方式於每年一月底前申報主管機關或其指定機構備查。

1. 第20條

1. 證券商、期貨業、證券投資信託事業及證券投資顧問事業之年度稽核計畫及其執行情形、所見異常事項改善情形等均應分別送證券交易所、證券櫃檯買賣中心、證券集中保管事業、期貨交易所、證券商同業公會、期貨業商業同業公會或中華民國證券投資信託暨顧問商業同業公會備查；其格式內容、方式及申報時間，分別由證券交易所、證券櫃檯買賣中心、證券集中保管事業、期貨交易所、證券商同業公會、期貨業商業同業公會或中華民國證券投資信託暨顧問商業同業公會訂之。
2. 證券金融事業、信用評等事業及其他主管機關指定之證券或期貨市場服務事業應於每會計年度終了前將次一年度之年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形依主管機關規定格式及方式申報主管機關備查；並應於每會計年度終了後五個月內，將上一年度內部稽核所見異常事項改善情形申報主管機關備查。
3. 證券交易所、證券櫃檯買賣中心、證券集中保管事業及期貨交易所於每會計年度終了前將次一年度之年度稽核計畫及每季終了後二個月內將上一季內部稽核實際執行情形、所見異常事項及異常事項改善情形申報主管機關備查。

1. 第24條

1. 各服務事業應每年自行評估內部控制制度設計及執行之有效性，並依主管機關規定格式作成內部控制制度聲明書，除各該事業之相關法令另有規定外，應於每會計年度終了後三個月內申報主管機關備查。
2. 各服務事業已依證券交易法規定設置審計委員會者，前項內部控制制度設計及執行之有效性，應經審計委員會全體成員二分之一以上同意並準用第五條第四項及第五項規定。
3. 第一項內部控制制度聲明書應先經董事會通過；修正時，亦同。
4. 股票公開發行或主管機關指定之各服務事業，第一項內部控制制度聲明書應於主管機關指定網站辦理公告申報，免再將書面資料申報主管機關備查。
5. 第一項之內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書或投資說明書。

1. 第26條

1. 會計師受各服務事業委託專案審查內部控制制度，準用公開發行公司建立內部控制制度處理準則第二十五條至第三十六條之規定辦理。
2. 各服務事業屬洗錢防制法所稱之金融機構者，主管機關得請證券交易所、證券櫃檯買賣中心、期貨交易所或中華民國證券投資信託暨顧問商業同業公會等證券期貨相關機構辦理個人資料保護、防制洗錢及打擊資恐機制之專案查核，必要時得命令該事業委託會計師辦理之。

1. 第28條

1. 負責法令遵循之單位應辦理下列事項：

   1. 一、建立清楚適當之法令傳達、諮詢、協調與溝通系統。
   2. 二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規定。
   3. 三、訂定法令遵循之評估內容與程序，並督導各單位定期自行評估執行情形。
   4. 四、對各單位人員施以適當合宜之法規訓練。
   5. 五、督導國內外分公司遵循其所在地國家之法令。
   6. 六、其他經主管機關規定應辦理之事項。
2. 各服務事業設有國外分公司者，負責法令遵循之單位應督導國外分公司辦理下列事項：

   1. 一、蒐集當地金融法規資料、落實執行法令遵循自行評估作業、確保法令遵循主管適任性及法令遵循資源(含人員、配備及訓練)是否適足等事項，以確保遵守其所在地國家之法令。
   2. 二、建立法令遵循風險之自行評估及監控機制，對於其中業務規模大、複雜度或風險程度高者，並應委請當地外部獨立專家驗證其法令遵循風險自行評估及監控機制之有效性。
3. 法令遵循自行評估作業，每年至少須辦理一次，其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業，應由該單位主管指定專人辦理。
4. 前項自行評估工作底稿及資料應至少保存五年。

1. 第28-1條

1. 各服務事業為促進健全經營，應建立檢舉制度，並指定具職權行使獨立性之單位負責檢舉案件之受理及調查。
2. 各服務事業對檢舉人應為下列之保護：

   1. 一、檢舉人之身分資料應予保密，不得洩漏足以識別其身分之資訊。
   2. 二、不得因所檢舉案件而對檢舉人予以解僱、解任、降調、減薪、損害其依法令、契約或習慣上所應享有之權益，或其他不利處分。
3. 檢舉案件之受理及調查過程，有利益衝突之人，應予迴避。
4. 第一項檢舉制度，至少應包括下列事項，並報經董事會通過：

   1. 一、揭示任何人發現有犯罪、舞弊或違反法令之虞時，均得提出檢舉。
   2. 二、受理之檢舉案件類型。
   3. 三、設置並公布檢舉之管道。
   4. 四、調查與配合調查之流程、迴避規定及後續處理機制之標準作業程序。
   5. 五、檢舉人保護措施。
   6. 六、檢舉案件受理、調查過程、調查結果與相關文件製作之紀錄及保存。
   7. 七、檢舉案件之處理情形，應適度以書面或其他方式通知檢舉人。
5. 被檢舉人為董事、監察人或職責相當於副總經理以上之管理階層者，調查報告應陳報至監察人或審計委員會複審。
6. 各服務事業調查後發現為重大偶發事件或違法案件，應主動向相關機關通報或告發。
7. 各服務事業應定期對所屬人員，辦理檢舉制度之宣導及教育訓練。

1. 第36-2條

1. 各服務事業應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。主管機關得視服務事業規模、業務性質及組織特性，命令設置資訊安全專責單位、主管及人員。
2. 各服務事業每年應將前一年度資訊安全整體執行情形，由負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行情形聲明書，於會計年度終了後三個月內提報董事會。
3. 各服務事業負責資訊安全之主管及人員，每年應至少接受十五小時以上資訊安全專業課程訓練或職能訓練。其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安全宣導課程。
4. 證券商業同業公會、期貨業商業同業公會及中華民國證券投資信託暨顧問商業同業公會應訂定並定期檢討資訊安全自律規範。

1. 第39條

1. 本準則自發布日施行。
2. 中華民國一百年十二月二十一日修正條文，除第八條第一項第十四款及第十四條第三項修正條文自一百年十二月三十日施行外，自發布日起三個月後施行。
3. 中華民國一百零三年九月二十二日修正發布條文，自一百零四年一月一日施行。
4. 中華民國一百零七年五月三十日修正之第二十八條之一，自發布後六個月施行。