金融監督管理委員會(金管會)近日修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」,重點如下:
- 強化三大功能主管設置義務:金融控股公司及銀行業均須設置法令遵循長(CCO)、風險管理長(CRO)及資訊安全長(CISO),並於總經理下設置專責單位。前開主管不得兼辦與職務有利益衝突之業務,以確保組織獨立性並降低利益衝突風險。
- 提高查核報告層級:內部控制制度查核報告由原「協議程序執行報告」修正為「合理確信報告」,等同提高會計師之查核責任。
- 落實風險導向自行查核:自行查核督導改由第二道防線負責,以落實內部控制三道防線模型之角色分工,並維持第三道防線之獨立性。此外,金融機構得依風險評估結果,自訂查核頻率、重點及範圍,以強化內部控制三道防線之職能分工。
依本次修正規定,各金融機構須於設置法令遵循專責單位起兩年內向金管會報請備查。建議各金融機構儘速檢視現行內部規章是否符合最新法令要求,並重新檢視與會計師之委託查核契約範圍是否需要相應調整,以降低法遵及內控風險。
