一、本實務守則係依據金融監督管理委員會105年7月8日金管檢制字第105
    01502370號令辦理。

二、銀行業實施風險導向內部稽核制度，係透過風險評估之方法，審慎評
    估稽核範疇內各個受查主體之風險，並依據評估結果決定稽核任務之
    查核重點、範圍、方法、稽核程序及查核頻率，將稽核資源做最有效
    的配置，聚焦於重要風險並加強查核深度，提升內部稽核執行效益，
    以有效協助銀行業完善內部控制制度及強健企業體質。

三、為確保內部稽核之品質與有效性，銀行業實施風險導向內部稽核制度
    ，應具備明確之內部控制三道防線架構，並建立以下機制：
  （一）內部稽核風險評估之程序與方法。
  （二）內部稽核品質評核機制。

四、內部稽核應建立風險評估之程序與方法，以辨識並評估各受查主體所
    面臨之風險。

五、確認風險評估範圍：
    內部稽核應依據銀行業所經營業務範圍及單位組織，以及主管機關法
    令規範，辨識應辦理風險評估之受查主體，以確保風險評估範圍能完
    整涵蓋銀行業整體營運範疇。
    內部稽核得以單位組織、產品、業務、作業流程或其他構面訂定受查
    主體。

六、風險評估因子與方法：
  （一）內部稽核應就各受查主體所面臨之固有風險、控制措施有效性進
        行評估後，確認受查主體之風險評估結果（即剩餘風險），並據
        以決定年度稽核計畫。
        所稱固有風險、控制措施與剩餘風險定義如下：
        1.固有風險：在管理階層尚未採取任何行動來改變風險發生的可
          能性或其影響之情況下，達成目標之風險。
        2.控制措施：管理階層為管理風險及增加達成既定目標之可能性
          ，而採取之任何行動。管理階層負責規劃、組織及指揮執行足
          夠之行動，以合理保證目的及目標之達成。
        3.剩餘風險：管理階層在設計及執行控制措施後，仍留下來無法
          達成組織目標之風險。
  （二）固有風險之評量：
        1.內部稽核應依據所屬銀行業之經營形態與發展策略目標，擬訂
          適合之固有風險評估因子。
          風險評估因子之訂定可參酌 Basel Committee所列舉之主要風
          險類型，並應描述評估各風險類型時應考量之因素（所述因素
          應能顯著代表各風險之表徵）。
        2.依前項有關之固有風險因子，就受查主體發生風險事項之可能
          性與嚴重程度評估其固有風險：
         (1)發生可能性：評估風險事件在可預期的未來中發生之可能性
            。
         (2)嚴重程度：評估風險事件發生對財務、商譽及營運。
         (3)依據前二項構面評估固有風險，評估結果至少應區分為高、
            中、低等三個風險等級。
  （三）控制措施有效性之評量：
        1.以持續或個別評估的方式確認各受查主體之控制措施是否存在
          且發揮功效，並就控制措施設計及執行之有效性至少區分為高
          、中、低三個等級。
        2.控制措施有效性評估至少應包含下列資訊：
         (1)主要業務之內部控制運作情形。
         (2)外部檢查意見，包含主管機關、會計師、母公司稽核單位及
            其他外部檢查。
         (3)內部檢查意見，包含內部稽核、二道防線遵循測試、自行查
            核及內部控制制度聲明書所列應加強辦理改善事項。
         (4)主管機關裁罰及重大風險事件之發生及處理。
         (5)缺失追蹤改善及重覆發生情形。
        3.運用前項評估資訊時，應考量相關資料之時效性。
  （四）風險評估結果（剩餘風險）：
        1.內部稽核單位依據固有風險及控制措施有效性之評估結果（即
          固有風險經執行控制措施後之剩餘風險），確認各受查主體之
          綜合風險評估最終結果，並至少區分為高、中、低三個等級。
        2.內部稽核應訂定受查主體之綜合風險評估結果與查核頻率連結
          之標準，就風險等級為高者，應至少每年執行一次或一次以上
          查核；就風險等級為低者，至少每四年執行一次查核。
  （五）內部稽核辦理風險評估，應考量主要利益關係人（Stake holder
        ）對銀行業可能面臨之重大及潛在風險之意見，包含主管機關、
        董（理）事會及審計委員會、高階管理階層、風險管理與法令遵
        循單位等。

七、內部稽核應依據其所訂定之評估方法，每年至少執行一次風險評估。
    執行風險評估時應指定合適之稽核人員辦理，並指派資深稽核人員覆
    核其評估結果後，呈總稽核核准。

八、內部稽核所訂定之風險評估程序與方法，以書面交付監察人（監事、
    監事會）或審計委員會核議，並作成紀錄，未設審計委員會者，應先
    送獨立董事表示意見。風險評估程序與方法並應經董（理）事會通過
    ；修正時，亦同。

九、內部稽核辦理風險評估應留存記錄並至少保存五年，包含確認風險評
    估範圍與受查主體、辨識與評量風險、訂定稽核計畫等過程，以及有
    關核准記錄。

十、內部稽核應依據風險評估結果進行年度稽核計畫之規劃，包含受查主
    體、頻率、範圍及查核方式，並另依據主管機關其他個別指定事項，
    彙總訂定年度稽核計畫。

十一、受查主體若有主管機關要求年度辦理之查核範圍，則無論風險評估
      結果所對應之查核頻率為何，均應依主管機關要求納入年度稽核計
      畫。

十二、內部稽核應於年度稽核計畫擬訂完成後，檢附年度稽核計畫及風險
      評估結果，呈總稽核就主管機關監理重點及銀行業經營策略目標，
      審閱整體年度稽核計畫與風險評估結果之妥適性，並做必要之調整
      。

十三、年度稽核計畫應併同內部稽核單位風險評估結果以書面交付監察人
      （監事、監事會）或審計委員會核議，並作成紀錄，未設審計委員
      會者，應先送獨立董事表示意見。年度稽核計畫並應經董（理）事
      會通過；修正時，亦同。

十四、內部稽核應定期就整體外部環境或內部業務發展變化檢視風險評估
      結果，以即時反應受查主體之風險，並據以決定是否修訂年度稽核
      計畫。

十五、內部稽核應依據其所制定之風險評估方法，持續蒐集內、外部監控
      資訊，如：國內、外主管機關監理重點與重要法令及金融環境變化
      、經營策略目標與重要政策變化、業務營運管理資訊與重要監控指
      標、主要利益關係人意見，以及重大風險事件發生情形等，俾確保
      風險評估過程能充分考量內、外部環境風險變化。

十六、內部稽核應訂定品質評核機制，以定期確認內部稽核業務執行是否
      確實遵循有關內部稽核制度與程序，並符合主管機關法令規範。

十七、內部稽核品質評核內容應涵蓋下列項目：
    （一）稽核策略與目標之訂定與執行。
    （二）稽核制度及程序之設計與運作。
    （三）組織編制與稽核資源配置。
    （四）人員專業之適足性及持續訓練。
    （五）稽核方法與工具之持續精進與研發。
    （六）對主管機關法令規範遵循情形。
    （七）前次品質評核應改善事項。

十八、內部稽核辦理品質評核，得採內部自我評核或外部機構評核方式辦
      理：
    （一）評核方式：
          1.內部自我評核：由內部稽核單位指定人員，每年度至少辦理
            一次自我評核，負責辦理評核人員應不得檢查自身經辦之業
            務，內部稽核單位並應至少每五年委請外部機構驗證其評核
            結果。
          2.外部機構評核：由內部稽核單位委請外部機構辦理評核，應
            至少每五年辦理一次。
    （二）內部稽核單位委請負責辦理驗證或評核之外部機構，不得為其
          財務簽證會計師。
    （三）內部稽核應就所採行之評核方式，及外部機構之資格與獨立性
          ，以書面交付監察人（監事、監事會）或審計委員會核議，未
          設審計委員會者，應送獨立董事。評核方式及選定之外部機構
          應經董（理）事會通過。
      前項各款所稱之外部機構，由中華民國銀行商業同業公會全國聯合
      會認定之。

十九、內部稽核應依據評核結果，就可能影響內部稽核整體運作事項擬訂
      改善計畫，總稽核應負責督導改善計畫之確實執行。
      內部稽核品質評核結果與改善計畫應以書面交付監察人（監事、監
      事會）或審計委員會，未設審計委員會者，應送獨立董事。內部稽
      核品質評核結果與改善計畫並應提報董（理）事會備查。

二十、本實務守則經本會理事會通過，並報金融監督管理委員會備查後施
      行；修正時，亦同。