保險業內部控制及稽核制度實施辦法
民國 113 年 5 月 7 日
手機睡眠
語音選擇
第 一 章 總則
第 1 條
本辦法依保險法(以下簡稱本法)第一百四十八條之三第一項規定訂定之。
第 2 條
本辦法所稱內部控制制度,指管理階層所設計,董(理)事會通過,並由董(理)事會、管理階層及其他員工執行之管理過程,其目的在於促進保險業之健全經營,以合理確保達成下列目標:
一、保險業之營運係以謹慎之態度,依據董(理)事會所制定之政策及策略進行,以達成營運獲利、績效之效果及效率。
二、各項交易均經適當之授權。
三、資產受到安全保障。
四、財務與其他紀錄提供可靠、及時、透明、完整、正確與可供驗證之資訊及符合相關規範。
五、管理階層能辨識、評估、管理,及控制營運之風險,並保有適足之資本以因應風險。
六、相關法令規章之遵循。
第 3 條
保險業內部控制制度,應經董(理)事會通過。如有董(理)事表示保留或反對意見,保險業應將其意見及理由列入董(理)事會紀錄,連同經董(理)事會通過之內部控制制度送各監察人(監事)或審計委員會;修正時,亦同。
保險業已設置獨立董事者,依前項規定將內部控制制度提報董(理)事會討論時,應充分考量各獨立董事之意見,並將其保留或反對意見及理由列入董(理)事會紀錄。
保險業設置審計委員會者,訂定或修正內部控制制度,應經審計委員會全體成員二分之一以上同意,並提董(理)事會決議。
前項如未經審計委員會同意者,得由全體董(理)事三分之二以上同意行之,並應於董(理)事會議事錄載明審計委員會之決議。
保險業董(理)事會應認知營運所面臨之風險,監督其營運結果,並對於確保建立及維持適當有效之內部控制制度負有最終之責任。
第 二 章 內部控制制度之設計及執行
第 4 條
保險業之內部控制制度,至少應包括下列組成要素:
一、控制環境:係保險業設計及執行內部控制制度之基礎。控制環境包括保險業之誠信與道德價值、董(理)事會及監察人(監事)或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董(理)事會與管理階層應建立內部行為準則,包括訂定董(理)事行為準則、員工行為準則等事項。
二、風險評估:風險評估之先決條件為確立各項目標,並與保險業不同層級單位相連結,同時需考慮保險業目標之適合性。管理階層應考量保險業外部環境與商業模式改變之影響,以及可能發生之舞弊情事。其評估結果,可協助保險業及時設計、修正及執行必要之控制作業。
三、控制作業:係指保險業依據風險評估結果,採用適當政策與程序之行動,將風險控制在可承受範圍之內。控制作業之執行應包括保險業所有層級、業務流程內之各個階段、所有科技環境等範圍及對子公司之監督與管理。
四、資訊與溝通:係指保險業蒐集、產生及使用來自內部與外部之攸關、具品質之資訊,以支持內部控制其他組成要素之持續運作,並確保資訊在保險業內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制。
五、監督作業:係指保險業進行持續性評估、個別評估或兩者併行,以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估;個別評估係由內部稽核人員、監察人(監事)或審計委員會、董(理)事會等其他人員進行評估。對於所發現之內部控制制度缺失,應向適當層級之管理階層、董(理)事會及監察人(監事)或審計委員會溝通,並及時改善。
第 4-1 條
前條第一款之董(理)事行為準則至少應包括董(理)事發現保險業有受重大損害之虞時,應儘速妥適處理,立即通知審計委員會或獨立董事或監察人(監事)並提報董(理)事會,且應督導所屬保險業通報主管機關。
第 5 條
保險業應分別業務性質及規模,依內部牽制原理訂定至少應包括下列控制作業之處理程序,且應適時檢討修訂:
一、保險商品開發及管理作業:包括保險商品之風險評估、費率適足性之評估、準備金充分性之評估及商品管理作業。
二、保險商品銷售作業:包括文宣及保單揭露事項、招攬、核保、契約轉換、復效、保全、收費。
三、保險商品理賠作業:包括事故調查、審核、付款作業。
四、各種資金運用作業:包括整體性投資政策、各種投資資產之取得、保管、處分及利害關係人交易規範。
五、清償能力評估作業:包括各種準備金提存之評估、資產品質之評估、資產與負債配合、逾期放款、催收款之清理、投資與資金之流動性管理、財務狀況評估及資本適足之評估、保險業企業風險管理、保險業自我風險及清償能力評估。
六、從事衍生性金融商品作業:包括交易原則與方針、作業程序、公告申報程序、會計處理方式、內部控制與稽核制度。
七、再保險作業:包括再保險方式、各種風險及承受風險之評估,再保險自留限額及再保險人、再保險經紀人之選擇。
八、關於會計、總務、資源、人事管理及其他各種業務之控制作業。
九、金融檢查報告之管理。
十、金融消費者保護之管理。
十一、適用國際財務報導準則之管理。
十二、重大偶發事件之處理機制。
十三、防制洗錢及打擊資恐機制及相關法令之遵循管理,包括辨識、衡量、監控洗錢及資恐風險之管理機制。
十四、永續資訊之管理。
十五、其他經主管機關指定之事項。
另依法應設置薪資報酬委員會之保險業,應設計薪資報酬委員會運作管理之內部控制作業處理程序。
保險業設置審計委員會者,其內部控制制度,應包括審計委員會議事運作之管理。
前三項各種作業及管理規章之訂定、修訂或廢止,必要時應有法令遵循、內部稽核及風險管理單位等相關單位之參與。
第 6 條
保險業使用電腦化資訊系統處理者,其內部控制制度,除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業,並應依所屬商業同業公會訂定之自律規範辦理:
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、電腦機房門禁之控制。
八、系統、檔案及電腦、通訊設備之安全控制。
九、硬體及系統軟體之購置、使用及維護之控制。
十、電腦病毒擴散及網路駭客入侵之防範控制。
十一、系統復原計畫、災變備援計畫及測試程序之控制。
十二、核心業務委外處理之控制。
十三、客戶及公司機密資料之保密及安全防範控制。
十四、電腦犯罪之防範控制。
中華民國人壽保險商業同業公會及中華民國產物保險商業同業公會應訂定並定期檢討資訊安全自律規範。
第 6-1 條
保險業應設置資訊安全專責單位及主管,不得兼辦資訊或其他與職務有利益衝突之業務,並配置適當人力資源及設備。但主管機關對保險合作社另有規定者,依其規定。
保險業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應指派副總經理以上或職責相當之人兼任資訊安全長,綜理資訊安全政策推動及資源調度事務,且應設置具職權行使獨立性之資訊安全專責單位,並指派協理以上或職責相當之人擔任資訊安全專責單位主管。
保險業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業,每年應將前一年度資訊安全整體執行情形,由資訊安全長(無資訊安全長者,由資訊安全專責單位主管)與第二十五條第一項人員聯名出具內部控制制度聲明書,提報董(理)事會通過。
保險業資訊安全專責單位人員,每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位及其他管理單位之人員,每年至少須接受三小時以上資訊安全宣導課程。
適用第二項規定之保險業,應於符合適用條件起六個月內調整。
第 7 條
保險業為維持有效之內部控制制度運作,達成第二條所定內部控制之目標,應建立自行查核制度、法令遵循制度與風險管理機制及內部稽核制度等內部控制三道防線。
為落實前項規範,保險業應配合採行下列措施:
一、內部稽核制度:設置稽核單位,負責查核各單位,並定期評估各單位自行查核辦理績效。
二、法令遵循制度:由法令遵循主管依總機構所定之法令遵循計畫,適切檢測各業務經辦人員執行業務是否確實遵循相關法令規章。
三、自行查核制度:由各業務、財務及資訊單位成員相互查核業務實際執行情形,並由各單位指派主管或相當職級以上人員負責督導執行,以便及早發現經營缺失並適時予以改正。
四、會計師查核制度:由會計師於辦理保險業年度查核簽證時,查核保險業內部控制制度之有效性,並對其申報主管機關報表資料正確性、內部控制制度及法令遵循制度執行情形表示意見。
五、風險控管機制:應建立獨立有效風險管理機制,以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。
保險業內部控制三道防線實務守則之執行程序,由中華民國人壽保險商業同業公會及中華民國產物保險商業同業公會共同訂定,並報主管機關備查。
第 8 條
(刪除)
第 三 章 內部控制制度之檢查
第 一 節 內部稽核
第 9 條
內部稽核制度之目的,在於協助董(理)事會及管理階層查核及評估內部控制制度是否有效運作,並適時提供改進建議,以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。
第 10 條
保險業應規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊,其內容至少應包括下列事項:
一、年度稽核計畫之作業流程。
二、對內部控制制度進行查核、評估,以衡量現行政策、程序之有效性、遵循程度,及其對各項營運活動之影響。
三、釐訂稽核項目、時間、程序及方法。
四、內部稽核報告之格式內容、處理及保存。
保險業應先督促各單位辦理自行查核,再由內部稽核單位覆核各單位之自行查核報告,併同內部稽核單位所發現之內部控制缺失及異常事項改善情形,以作為董(理)事會、總經理、總稽核及法令遵循主管評估整體內部控制制度有效性及出具內部控制制度聲明書之依據。
第 11 條
保險業應設隸屬於董(理)事會之內部稽核單位,以超然獨立之精神,執行稽核業務,總稽核應至少每半年向董(理)事會及監察人(監事)或審計委員會報告稽核業務。
內部稽核單位應置總稽核綜理稽核業務,其資格應符合保險業負責人應具備資格條件準則規定,職位應相當於副總經理,且不得兼任與稽核工作有相互衝突或牽制之職務。
總稽核之聘任、解聘或調職,應經董(理)事會全體董(理)事三分之二以上同意,並報主管機關核准。
保險業設置審計委員會者,前項總稽核之聘任、解聘或調職,應先經審計委員會全體成員二分之一以上同意,未經審計委員會全體成員二分之一以上同意者,應於董(理)事會議事錄載明審計委員會之決議,未設審計委員會而設有獨立董事者,如有反對意見或保留意見,亦應於董(理)事會議事錄載明。
第 12 條
總稽核督導辦理內部稽核作業有下列情事者,主管機關得視情節之輕重,予以糾正、命其限期改善或命令保險業解除其總稽核職務:
一、濫用職權,從事不正當之活動,或假借權力,以圖謀本身或他人之利益,或利用職務上機會,損害保險業或他人。
二、未經主管機關同意,對執行職務無關之人員洩漏、交付或公開保險檢查報告全部或其中任一部分內容。
三、對保險業財務及業務有嚴重缺失,未於內部稽核報告揭露。
四、保險業因內部管理不善,發生重大舞弊案件,未通報主管機關。
五、辦理內部稽核工作,出具不實內部稽核報告。
六、未配合主管機關指示事項辦理查核工作或提供相關資料。
七、有事實證明曾有與客戶或辦理資金運用之交易對手不當資金往來之行為。
八、因保險業配置之內部稽核人員顯有不足或不適任,未能發現財務及業務有嚴重缺失。
九、其他有損害保險業信譽或利益之行為。
第 13 條
保險業應依投資規模、業務情況(分支機構之多寡及其業務量)、管理需要及其他相關法令規章之規定,配置適任及適當人數之專職內部稽核人員,職務代理,應由內部稽核部門人員互為代理。
內部稽核單位人員之任用、免職、升遷、獎懲、輪調及考核等,應由總稽核簽報,經董(理)事長核定後辦理。但涉及其他管理、營業單位人事者,應先洽商人事單位轉報總經理同意。
內部稽核單位於主管機關派員檢查時,應指派內部稽核人員負責聯繫,提供有關資料,並協助檢查工作之進行。
第 14 條
保險業內部稽核人員應具備下列條件:
一、具有二年以上之保險檢查經驗;或大專院校畢業、高等考試或相當於高等考試、國際內部稽核師之考試及格並具有二年以上保險業務經驗;或至少有五年之保險業務經驗;或曾任會計師事務所查帳員、電腦公司系統分析師等專業人員二年以上經驗,經施以三個月以上之保險業務及管理訓練者,視同符合規定,惟其員額不得逾稽核人員總員額之三分之一。
二、最近三年內應無記過以上之不良紀錄,但其因同仁違規或違法所致之連帶處分,已功過相抵者,不在此限。
三、內部稽核人員充任領隊時,應有三年以上之稽核或保險檢查經驗,或一年以上稽核經驗及五年以上之保險業務經驗。
第 15 條
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得之資訊,對外洩漏或為己圖利或侵害保險業之利益。
二、對於以前執行之業務於一年內進行稽核作業或與自身有利害關係或利益衝突案件未予迴避,而辦理該等案件或業務之稽核工作。
三、收受保險業從業人員或客戶之不當招待或餽贈或其他不正當利益。
四、未配合辦理主管機關指示查核事項或提供相關資料。
五、明知公司之營運活動、報導及相關法令規章遵循情況有直接損害受益人、保戶或利害關係人之情事,而予以隱飾或作不實、不當之揭露。
六、因職務之廢弛,致損及公司、受益人、保戶或利害關係人之權益等情事。
七、其他違反法令規章或經主管機關規定不得為之行為。
第 16 條
內部稽核單位之稽核人員應於就任前或就任後半年內分別參加主管機關認定機構所舉辦之下列訓練:
一、初任稽核人員應參加稽核人員研習班或電腦稽核研習班六十小時以上課程,並經考試及格且取得結業證書。
二、領隊稽核人員應參加領隊稽核研習班十九小時以上課程。
三、稽核主管應參加稽核主管研習班十二小時以上課程。
負責稽核業務之稽核人員、領隊稽核人員及稽核主管每年至少應參加前述訓練機構或金融控股公司或稽核人員所屬保險業自行舉辦之保險相關業務專業訓練達三十小時以上。當年度取得國際內部稽核師證照者得抵免當年度之訓練時數。
參加主管機關認定機構所舉辦之保險相關業務專業訓練時數不得低於前項應達訓練時數二分之一。
派駐海外之稽核人員,得以參加符合當地法令規定所設立之保險相關業務訓練機構之訓練課程時數進行認定。
保險業應確認內部稽核人員之資格條件是否符合本辦法規定,該等確認文件及紀錄應留存備查。
第 17 條
保險業之各部室主管或分公司主管或具有相當核決權限者,應於就任前或就任後半年內具備下列條件之一:
一、曾擔任內部稽核單位之稽核人員實際辦理內部稽核工作一年以上。
二、參加主管機關認定機構所舉辦之稽核人員研習班或電腦稽核研習班或一般主管稽核研習班,經前述訓練機構考試及格且取得結業證書。本條人員如為外國人士,得選擇參加所屬保險業自行舉辦內部稽核之訓練課程。
首次擔任保險業國內之各部室主管或分公司主管或具有相當核決權限者,除應符合前項之規定外,其中符合前項第二款者,並應於就任前或就任後半年內參與內部稽核單位之查核實習四次以上,每次查核項目至少一項,查核實習累計應至少查核四項以上,並應撰寫實習查核心得報告,報總稽核核可後,由總稽核出具證明書併同留卷備查。
第 18 條
內部稽核單位對財務、業務、資訊及其他管理單位每年至少應辦理一次一般查核,並依實際需要辦理專案查核;對國外分支機構(含辦事處)之查核方式得以表報稽核替代或彈性調整實地查核頻率。
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單位之一般查核或專案查核辦理。
第 18-1 條
保險業得向主管機關申請核准採行風險導向內部稽核制度,如第三十八條第三項子公司經評估有未予納入該制度實施者,應提供評估文件。主管機關得視保險業之資產規模、業務風險及其他必要情況,請保險業申請採行風險導向內部稽核制度。
保險業申請採行風險導向內部稽核制度,應符合下列條件:
一、最近一次向主管機關申報資本適足率及淨值比率,符合保險業資本適足性管理辦法第五條第一項第一款資本適足之規定。
二、以最近一次精算意見書為基準,各種準備金提列之金額符合相關法定要求且具適足性。
三、已具備有效之內部控制制度。
保險業經採行風險導向內部稽核制度者,不適用前條第一項查核頻率之規定。
外國保險業在台分公司、再保險業及保險合作社不適用本條規定。
第 19 條
保險業辦理一般查核,其內部稽核報告內容應依受檢單位之性質,分別揭露下列項目:
一、查核範圍、綜合評述、財務狀況、資本適足性、經營績效、資產品質、股權管理、董(理)事會及審計委員會議事運作之管理、法令遵循、利害關係人交易、各項業務作業控制與內部管理、客戶資料保密管理、資訊管理、員工保密教育、永續資訊之管理及自行查核辦理情形,並加以評估。
二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。
三、各單位對主管機關、會計師、內部稽核單位(含金融控股公司內部稽核單位)與自行查核人員所提列之檢查意見或查核缺失事項,及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。
保險業應於每年十二月底將次一年度稽核計畫及每年二月底前將上一年度之年度稽核計畫執行情形,依規定格式以網際網路資訊系統申報主管機關備查。
保險業應於每會計年度終了前將次一年度稽核計畫以書面交付監察人(監事)或審計委員會核議,並作成紀錄,如未設審計委員會而有獨立董事者,並應先送獨立董事表示意見。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點項目、計畫受檢單位、查核性質(一般檢查或專案檢查)、查核頻次與主管機關規定是否相符等,如查核性質屬專案檢查者,應註明專案查核範圍。
年度稽核計畫應經董(理)事會通過;修正時,亦同。
第 20 條
內部稽核單位對主管機關、會計師、內部稽核單位(含金融控股公司內部稽核單位)與自行查核所提列之檢查意見或查核缺失事項及內部控制制度聲明書所列應加強改善事項,應持續追蹤覆查,並將其追蹤考核改善辦理情形,以書面提報董(理)事會及交付各監察人(監事)或審計委員會查閱,並應列為對各單位獎懲及績效考核之重要項目。
內部稽核報告應交付各監察人(監事)或審計委員會查閱,除主管機關另有規定外,應於查核結束日起二個月內報主管機關。
保險業設有獨立董事者,於依前二項規定辦理時,應一併交付。
保險業稽核工作考核要點,由主管機關定之。
第 21 條
保險業應將內部稽核人員之姓名及服務年資等資料,於每年一月底前依主管機關規定格式以網際網路資訊系統申報主管機關備查。
第 22 條
保險業應於每年五月底前將上一年度內部控制制度缺失及異常事項及其改善情形,依規定格式以網際網路資訊系統申報主管機關備查。
第 23 條
保險業應隨時檢查內部稽核人員有無違反第十五條之規定,如有違反規定者,應於發現之日起一個月內調整其職務。
保險業依第二十一條規定申報內部稽核人員之基本資料時,應檢查內部稽核人員是否符合第十四條及第十六條規定,如有違反規定者,應於二個月內改善,若逾期未予改善,保險業應立即調整其職務。
第 二 節 自行查核及內部控制制度聲明書
第 24 條
為加強保險業內部牽制藉以防止弊端之發生,保險業應建立自行查核制度。財務、業務及資訊單位每年至少應辦理一次定期自行查核,並依實際需要辦理專案自行查核。
各單位辦理前項之自行查核時,應由該單位主管指派非原經辦人員辦理,並事先保密。
自行查核報告及工作底稿應至少留存五年備查。
保險業應訂定自行查核訓練計畫,依各單位之業務性質對於自行查核人員應持續施以適當查核訓練。
本條文有附件 第 25 條
保險業總經理應督導各單位審慎評估檢討內部控制制度之執行情形,由董(理)事長及總經理、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書(附表),並提報董(理)事會通過,於每年三月底前,依本法第一百四十八條之一規定併年度報表,報主管機關備查。
保險業應將內部控制制度聲明書內容揭露於保險業網站。
第 三 節 會計師查核
第 26 條
保險業年度財務報表由會計師辦理查核簽證時,應委託該會計師辦理內部控制制度之查核,並對其申報主管機關報表資料正確性、內部控制制度及法令遵循制度執行情形表示意見,其範圍應包括國外分公司。
主管機關得請保險業委託會計師依主管機關規定辦理個人資料保護與防制洗錢及打擊資恐機制專案查核。
會計師之查核費用由保險業與會計師自行議定,並由保險業負擔會計師之查核費用。
第一項及第二項規定對於經主管機關依法接管之保險業,不適用之。
第 27 條
主管機關於必要時,得邀集保險業及其委託之會計師就前條委託辦理查核相關事宜進行討論,若發現保險業委託之會計師有未足以勝任委託查核工作之情事者,得令保險業更換委託查核會計師重新辦理查核工作。
第 28 條
會計師辦理第二十六條規定之查核時,若遇下列情況應即通報主管機關:
一、受查保險業於查核過程中,未提供會計師所需要之報表、憑證、帳冊及會議紀錄或對會計師之詢問事項拒絕提出說明,或受其他客觀環境限制,致使會計師無法繼續辦理查核工作。
二、受查保險業在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
三、受查保險業資產不足以清償負債或財務狀況顯著惡化。
四、有證據顯示受查保險業之交易對淨資產有重大減損之虞。
受查保險業有前項第二款至第四款情事者,會計師並應就查核結果先行向主管機關提出摘要報告。
第 29 條
保險業委託會計師辦理第二十六條第一項規定之查核,應於每年三月底前出具上一年度會計師查核報告報主管機關備查。
主管機關對於查核報告之內容提出詢問時,會計師應翔實提供相關資料與說明。
第 四 節 法令遵循制度
第 30 條
保險業之總機構應依其規模、業務性質及組織特性,設立隸屬於總經理之法令遵循單位,負責法令遵循制度之規劃、管理及執行。
法令遵循單位應置總機構法令遵循主管一人,綜理法令遵循業務,至少每半年向董(理)事會及監察人(監事)或審計委員會報告,如發現有重大違反法令時,應即時通報董(理)事及監察人(監事),並就法令遵循事項,提報董(理)事會。
前二項法令遵循單位及總機構法令遵循主管之設置,規定如下:
一、保險業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應設置專責之法令遵循單位,得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。其總機構法令遵循主管,除得兼任防制洗錢及打擊資恐專責單位主管且不具利益衝突之職務外,應為專職,不得兼任其他職務。
二、不適用前款規定之保險業,其總機構法令遵循主管,除得兼任法務單位主管與防制洗錢及打擊資恐專責單位主管且不具利益衝突之職務外,應為專職,不得兼任其他職務。
保險業之總機構法令遵循主管,職位應相當於副總經理,且具備領導及有效督導法令遵循工作之能力,其資格應符合保險業負責人應具備資格條件準則規定。
前項總機構法令遵循主管,於外國保險業在台分公司、再保險業及保險合作社得指派高階主管一人擔任總機構法令遵循主管,其中保險合作社得不受第三項不得兼任內部其他職務規定之限制。
總稽核、稽核單位主管及內部稽核人員,不得兼任第二項所定之總機構法令遵循主管。
保險業任免總機構法令遵循主管應經董(理)事會全體董(理)事二分之一以上同意,並報主管機關備查。
保險業總機構法令遵循主管、法令遵循單位主管及所屬人員,每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司或保險業自行舉辦之在職教育訓練達二十小時以上,訓練內容應至少包括新修訂法令規章及新銷售保險商品。
保險業營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位及其他管理單位之法令遵循主管,每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司或保險業自行舉辦之在職教育訓練達十五小時以上。
國外分公司之法令遵循主管,每年應至少參加由當地主管機關或相關單位舉辦之法令遵循在職教育訓練課程十五小時,或參加主管機關或其認定機構所舉辦或所屬金融控股公司或保險業自行舉辦之教育訓練課程。
前三項在職訓練為自行舉辦之訓練方式應提報董(理)事會通過,總機構需留存相關人員上課紀錄備查。
防制洗錢及打擊資恐專責單位設於法令遵循單位者,該專責單位人員充任前及每年應受之訓練,依防制洗錢及打擊資恐相關規定辦理,不受第八項及第三十三條第二項規定限制。
保險業應以網際網路資訊系統向主管機關申報總機構法令遵循主管、法令遵循單位主管及所屬人員名單、最近三年獎懲紀錄、資歷及受訓資料等。
第 30-1 條
保險業對法令遵循事宜,應建立諮詢溝通管道,以有效傳達法令規章,俾使職員對於法令規章之疑義得以迅速釐清,並落實法令遵循。
保險業法令遵循單位辦理前條第二項提報董(理)事會報告事項內容,至少應包括對各單位法令遵循重大缺失或弊端分析原因、可能影響及提出改善建議。
第 31 條
法令遵循單位應擬訂法令遵循制度,報經董(理)事會通過後施行,並配合保險法令規章修訂等情事,隨時檢討,報經董(理)事會通過後修訂之。
法令遵循制度至少應包括下列項目:
一、董(理)事會決策運作及董(理)事管控之機能。
二、董(理)事會議事錄之保存。
三、監察人(監事)之營運監控機能。
四、董(理)事之法令遵循行為規範。
五、法令遵循評估基準之建立。
六、年度法令遵循計畫之擬訂。
七、法令遵循環境之建立。
八、法令遵循業務之查核與違反法令規章之處理。
九、法令遵循之組織與業務職掌。
十、法令遵循作業手冊之擬訂。
第 32 條
法令遵循單位應擬訂年度法令遵循計畫,報經董(理)事會通過後實施。
年度法令遵循計畫至少應包括:
一、對各單位法令遵循事項之評估計畫。
二、上年度違反法令規章案件處理結果之覆核。
三、保險法令等相關法令規章之變動管理。
四、法令遵循之教育訓練及業務宣導。
五、法令遵循制度之檢討改善。
法令遵循單位應辦理下列事項:
一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動符合法令規章規定。
三、於保險業推出各項服務、新保險商品或經主管機關認定屬重大變更應採核准方式辦理之保險商品,及進行特定或重大資金運用前,應由總機構法令遵循主管出具符合法令規章及內部規範之意見並簽署負責。
四、訂定法令遵循之評估內容與程序,及督導各單位定期自行評估執行情形,並對各單位法令遵循自行評估作業成效加以考核,經簽報總經理後,作為單位考評之參考依據。
五、對各單位人員施以適當合宜之法規訓練。
六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,及自行評估所屬單位法令遵循執行情形,不適用前項第四款規定。
第 32-1 條
適用第三十條第三項第一款之保險業應建立全公司之法令遵循風險管理及監督架構,其架構原則及權責規定如下:
一、法令遵循單位應建立辨識、評估、控制、衡量、監控及獨立陳報法令遵循風險之程序、計畫及機制,以全面控制、監督及支援國內外各部門、分支機構及子公司之個別營業單位、跨部門及跨境之相關法令遵循事項。
二、法令遵循單位應依據業務分類或法令遵循重點設置適當數量之專業單位,以負責該項業務或法令相關之國內外營業單位監督、法令遵循執行及支援事項。
三、法令遵循單位得依風險基礎方法評估各單位法令遵循主管之設置並強化法令遵循主管之獨立性,屬法令遵循風險較低之單位得不單獨設置法令遵循主管而由總機構法令遵循單位負責,不受第三十三條第一項前段規定之限制。
四、法令遵循單位應建立法令遵循風險警訊之獨立通報、評估及處理因應機制。
五、法令遵循單位應定期及不定期評估主要營運活動、商品及服務、資金運用或業務專案、有違反法令之虞之重大客訴等法令遵循風險管理情形,並建立與其他第二道防線之橫向溝通聯繫機制。
六、法令遵循單位為掌握全公司法令遵循風險情形,得向各單位要求提供相關資訊。
七、管理階層及各部門主管之考核,應納入法令遵循部門對其法令遵循執行程度之評估意見。
八、保險業及法令遵循單位應充分掌握國外營業單位應辦理之法令遵循事項及當地主管機關對法令遵循標準之要求,並提供充分資源及支援。
九、法令遵循單位依第三十條第二項至少每半年向董(理)事會及監察人或審計委員會報告之法令遵循事項,應針對全公司境內外營運情形,提出法令遵循風險管理之弱點事項及督導改善計畫及時程,董(理)事會應提供充分資源及對營業單位建立適當獎懲機制,以循序建立全公司法令遵循文化。
十、總稽核依第十一條第一項至少每半年向董(理)事會及監察人或審計委員會報告之稽核業務事項,應包括法令遵循單位辦理績效及全公司法令遵循程度之評估意見。
適用前項規定之保險業,應於符合適用條件起六個月內,依第三十條第三項第一款規定設置總機構專責之法令遵循單位及法令遵循主管,並調整全公司之法令遵循風險管理及監督架構報請主管機關備查後,且於每年四月底前,依本法第一百四十八條之一規定,將前項第五款及第九款評估報告函報主管機關。
第 32-2 條
保險業為促進健全經營,應建立檢舉制度,並於總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。
保險業對檢舉人應為下列之保護:
一、檢舉人之身分資料應予保密,不得洩漏足以識別其身分之資訊。
二、不得因所檢舉案件而對檢舉人予以解僱、解任、降調、減薪、損害其依法令、契約或習慣上所應享有之權益,或其他不利處分。
檢舉案件之受理及調查過程,有利益衝突之人,應予迴避。
第一項檢舉制度,至少應包括下列事項,並提報董(理)事會通過:
一、揭示任何人發現有犯罪、舞弊或違反法令之虞時,均得提出檢舉。
二、受理之檢舉案件類型。
三、設置並公布檢舉之管道。
四、調查與配合調查之流程、迴避規定及後續處理機制之標準作業程序。
五、檢舉人保護措施。
六、檢舉案件受理、調查過程、調查結果與相關文件製作之紀錄及保存。
七、檢舉案件之處理情形,應適度以書面或其他方式通知檢舉人。
被檢舉人為董(理)事、監察人(監事)或職責相當於副總經理以上之管理階層者,調查報告應陳報至監察人(監事、監事會)或審計委員會複審。
保險業調查後發現為重大偶發事件或違法案件,應主動向相關機關通報或告發。
保險業應定期對所屬人員,辦理檢舉制度之宣導及教育訓練。
第 33 條
保險業總機構法令遵循單位、營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位、其他管理單位及國外分公司應指派人員擔任該單位法令遵循主管,負責辦理法令遵循業務。國外分公司法令遵循主管之設置應符合當地法令規定及當地主管機關之要求,除有下列情事者外,應為專任:
一、兼任防制洗錢及打擊資恐主管。
二、依當地法令明定得兼任無職務衝突之其他職務。
三、當地法令未明確規定,於與當地主管機關溝通並確認後,報經主管機關備查者,得兼任無職務衝突之其他職務。
保險業總機構法令遵循單位主管及所屬人員、營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位、其他管理單位及國外分公司之法令遵循主管,應於就任前或就任後半年內具下列資格條件之一:
一、曾任金融機構法令遵循人員或主管,合計滿五年者。
二、參加主管機關認定機構所舉辦三十小時以上課程,並經考試及格且取得結業證書。
三、國外分公司法令遵循主管係自當地聘任者,依董(理)事會通過之評估辦法自行評估,或經當地主管機關審查認可,足證其已具備熟知當地法令規定之相關能力。
四、營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位、其他管理單位之法令遵循主管得依保險業自行擬訂之具體訓練計畫,參加所屬金融控股公司或保險業自行舉辦三十小時以上相關訓練課程及測驗,足證其已具備熟知單位所需法令規定之相關能力。
各單位應擬訂法令遵循手冊,報經總機構法令遵循主管核可後,轉報總經理核定實施。
法令遵循手冊至少應包括:
一、各項業務應採行之法令遵循程序。
二、各項業務應遵循之法令規章。
三、違反法令規章之處理程序。
四、法令遵循業務之自行評估程序。
五、法令遵循主管名冊。
保險業設有國外分公司者,法令遵循單位應督導國外分公司辦理下列事項:
一、蒐集當地保險法規資料、落實執行法令遵循自行評估作業、確保法令遵循主管適任性及法令遵循資源(含人員、配備及訓練)是否適足等事項,以確保遵守其所在地國家之法令。
二、建立法令遵循風險之自行評估及監控機制,對於其中業務規模大、複雜度或風險程度高者,並應委請當地外部獨立專家驗證其法令遵循風險自行評估及監控機制之有效性。
第 34 條
保險業應依據法令遵循計畫,設計相關法令遵循事項自行評估工作底稿據以自行評估,其自行評估頻率每半年至少一次,其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業,應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
第 五 節 風險管理機制
第 34-1 條
保險業應訂定適當之風險管理政策與程序,經董(理)事會通過並定期檢討修訂。
保險業應設置獨立之專責風險控管單位,並定期向董(理)事會報告,若發現重大暴險,危及財務或業務狀況或法令遵循者,應立即採取適當措施並向董(理)事會報告。
第 34-2 條
保險業之風險控管機制應包括下列原則:
一、依據其業務規模、產品特質及整體經濟情勢等因素以辨識及評估可承受之風險範圍。
二、應考慮之風險應包括市場風險(包含利率風險)、信用風險、流動性風險、作業風險、保險風險與資產負債配合風險及其他相關風險,並建立各項風險控管機制。
三、管理階層應依據相關法令、自律規範及實際經濟情況,定期審視風險控制機制及自我風險及清償能力評估(Own Risk and Solvency Assessment;以下簡稱ORSA)機制,並採取適當策略。
保險業應在風險管理架構下,考量本身業務之風險性質、規模及複雜程度,發展適合其組織架構與風險管理系統的ORSA作業流程。
第 34-3 條
保險業所建立之風險管理機制,其內容至少應包括下列事項:
一、風險管理架構包括風險治理、風險管理組織架構與職責、風險辨識、風險衡量、風險回應、風險監控及資訊、溝通與文件化等。
二、應結合保險業之業務經營及企業文化,並依據訂定之風險管理政策,運用各種質化與量化技術,管理保險業可合理預期且具攸關性之重要風險。
三、應訂定風險胃納,具體呈現為達成策略目標及營業計畫,所願意接受之風險程度,並訂定各主要風險限額,定期監控及管理。
第 四 章 附則
第 35 條
保險業應於內部控制制度中訂定管理階層及相關人員違反本辦法或公司所訂內部控制制度規定時之處罰。
保險業因內部管理不善、內部控制欠佳、內部稽核制度及法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形或內部稽核單位(含金融控股公司內部稽核單位)對查核結果有隱匿未予揭露,而肇致重大弊端時,相關人員應負失職責任。
保險業內部稽核人員發現重大弊端或疏失,並使保險業免於重大損失,應予獎勵。
保險業管理單位及營業單位發生重大缺失或弊端時,內部稽核單位應有懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。
第 36 條
保險業內部稽核人員及法令遵循主管,對內部控制重大缺失或違法違規情事所提改進建議不為管理階層採納,將肇致保險業重大損失者,應立即作成報告陳核,並通知監察人(監事)或審計委員會,及通報主管機關,設有獨立董事者,應一併通知。
第 36-1 條
保險業於主管機關或國外分支機構當地主管機關檢查結束或收到檢查報告後,總機構之內部稽核單位應依重大性原則,即時通報董(理)事及監察人(監事),並提報最近一次董(理)事會報告。報告事項應包括檢查溝通會議內容、主要檢查缺失、主管機關要求採行之重大缺失改善方案或可能採行之處分措施。
第 36-2 條
保險業應依公司規模、業務情況及管理需要,配置適任及適當人數之公司治理人員,並指定公司治理主管一名,為負責公司治理相關事務之最高主管。但外國保險業在台分公司及保險合作社不在此限。
前項公司治理相關事務,至少應包括下列內容:
一、依法辦理董事會及股東會之會議相關事宜。
二、製作董事會及股東會議事錄。
三、協助董事、監察人就任及進修。
四、提供董事、監察人執行業務所需之資料。
五、協助董事、監察人遵循法令。
六、其他依公司章程或契約所訂定之事項等。
第一項公司治理主管應為公司經理人。除法令另有規定外,應依下列規定辦理:
一、公司治理主管應取得律師、會計師執業資格或於保險、證券、期貨、金融相關機構或公開發行公司擔任法務、法令遵循、內部稽核、財務、股務或公司治理相關事務單位之主管職務達三年以上。
二、公司治理主管除初任者應自擔任此職務之日起一年內至少進修十八小時外,每年應至少進修十二小時,其進修課程至少應包括公司治理主題相關之商務、法務、財務、會計、企業社會責任、風險管理、內部控制等相關課程,進修機構及辦理方式參照臺灣證券交易所股份有限公司及財團法人中華民國證券櫃檯買賣中心共同訂定之上市上櫃公司董事、監察人進修推行要點有關進修體系之相關規定辦理。
公司治理主管除法令另有規定外,得由公司其他職位人員兼任。公司治理主管由其他職位人員兼任者,應確保其本職及兼任職務之有效執行,且不得涉有利益衝突及違反內部控制制度情事。
公司治理主管辭職或解任者,應自事實發生之日起一個月內補行委任。
第 37 條
外國保險業在台分公司應依本辦法之規定辦理。但外國保險業在台分公司之內部控制及稽核制度,如依其總公司所訂之相關內部控制及稽核制度規定,有不低於本辦法之規定者,得由外國保險業在台分公司提出總公司制度之詳細說明與我國制度之對照說明,經在台分公司負責人簽署後,報經主管機關備查,依該制度辦理。
保險合作社因業務範圍及規模因素,得敘明具體事實、理由及擬採行之制度內容,自中華民國九十九年三月十七日修正發布之日起六個月內,依本辦法規定辦理,或提出前項規定之說明報主管機關備查。
第 38 條
保險業應於內部控制制度中,訂定對子公司必要之控制作業,並考量該子公司所在地政府法令規章之規定及實際營運之性質,督促其子公司建立內部控制制度。
保險業應建立集團整體性防制洗錢及打擊資恐計畫,包括在符合國外分公司(或子公司)當地法令下,以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。
保險業應依子公司業務風險特性及其內部稽核執行情形,於年度稽核計畫中訂定對子公司之查核計畫。
保險業之子公司應向母公司陳報董(理)事會議紀錄、會計師查核報告、金融檢查機關檢查報告或其他有關資料,已設置內部稽核單位之子公司,並應將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報,由母公司予以審核,並督導子公司改善辦理。
總稽核應定期對子公司內部稽核作業之成效加以考核,經報告董(理)事會考核結果後,將其結果送子公司董(理)事會作為人事考評之依據。
第 39 條
保險業應確保金融檢查報告之機密性,其負責人或職員除依法令或經主管機關同意外,不得閱覽或對執行職務無關之人員洩漏、交付或公開與金融檢查報告全部或部分內容。
第 40 條
保險業不符本辦法第三十三條第一項後段有關專任及兼任之規定者,應自中華民國一百零六年十月十九日本辦法修正發布之日起六個月內調整之。
本辦法於中華民國一百零六年十月十九日發布施行前,擔任法令遵循人員或主管未符第三十三條第二項規定者,應於一年內調整至符合規定。
第 41 條
本辦法自發布日施行。
本辦法中華民國一百零一年二月四日修正發布之第五條條文,除金融消費者保護之管理自一百年十二月三十日施行外,自發布後三個月施行。
本辦法中華民國一百零七年五月二十九日修正發布之第三十二條之二修正條文,自發布後六個月施行。
本辦法中華民國一百零九年八月二十日修正發布之條文,自一百零九年十二月三十一日施行。
本辦法中華民國一百十三年五月七日修正發布之條文,自一百十四年一月一日施行。