金融监督管理委员会(金管会)近日修正「金融控股公司及银行业内部控制及稽核制度实施办法」,重点如下:
- 强化三大功能主管设置义务:金融控股公司及银行业均须设置法令遵循长(CCO)、风险管理长(CRO)及信息安全长(CISO),并于总经理下设置专责单位。前开主管不得兼办与职务有利益冲突之业务,以确保组织独立性并降低利益冲突风险。
- 提高查核报告层级:内部控制制度查核报告由原「协议程序执行报告」修正为「合理确信报告」,等同提高会计师之查核责任。
- 落实风险导向自行查核:自行查核督导改由第二道防线负责,以落实内部控制三道防线模型之角色分工,并维持第三道防线之独立性。此外,金融机构得依风险评估结果,自定义查核频率、重点及范围,以强化内部控制三道防线之职能分工。
依本次修正规定,各金融机构须于设置法令遵循专责单位起两年内向金管会报请备查。建议各金融机构尽速检视现行内部规章是否符合最新法令要求,并重新检视与会计师之委托查核契约范围是否需要相应调整,以降低法遵及内控风险。
