壹、保險法、相關子法及行政釋令( 函)    659


               二、 風險評估：風險評估之先決條件為確立各項目標，並與不同層級
                   單位相連結，同時需考慮目標之適合性。管理階層應考量外部環
                   境與商業模式改變之影響，以及可能發生之舞弊情事。其評估結
                   果，可協助及時設計、修正及執行必要之控制作業。
               三、 控制作業：係依據風險評估結果，採用適當政策與程序之行動，
                   將風險控制在可承受範圍之內。控制作業之執行應包括所有層
                   級、業務流程內之各個階段、所有科技環境等範圍及對子公司之
                   監督與管理。
               四、 資訊與溝通：係蒐集、產生及使用來自內部與外部之攸關、具品
                   質之資訊，以支持內部控制其他組成要素之持續運作，並確保資
                   訊在內部與外部之間皆能進行有效溝通。內部控制制度須具備產
                   生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊
                   之機制。
               五、 監督作業：係進行持續性評估、個別評估或兩者併行，以確定內
                   部控制制度之各組成要素是否已經存在及持續運作。持續性評估
                   係不同層級營運過程中之例行評估；個別評估係由稽核人員、監
                   察人 ( 監事會 ) 或審計委員會、董 ( 理 ) 事會等其他人員進行評估。
                   對於所發現之內部控制制度缺失，應向適當層級之管理階層、董
                   ( 理 ) 事會及監察人 ( 監事會 ) 或審計委員會溝通，並及時改善。
             保險代理人公司、保險經紀人公司年度營業收入未達新臺幣五億元者之
             內部控制制度，至少應符合下列各項原則：
               一、 管理階層之監督及控制文化：董 ( 理 ) 事會應負責核准並定期覆核
                   整體經營策略與重大政策，且對於確保建立並維持適當有效之內
                   部控制制度負有最終之責任；管理階層應負責執行董 ( 理 ) 事會核
                   定之經營策略與政策，發展足以辨識、衡量、監督及控制風險之
                   程序，訂定適當之內部控制政策及監督其有效性與適切性。
               二、 風險辨識與評估：有效之內部控制制度須可辨識並持續評估所有
                   對公司目標之達成可能產生負面影響之重大風險。
               三、 控制活動與職務分工：控制活動應是每日整體營運之一部分，應
                   設立完善之控制架構，及訂定各層級之內控程序；有效之內部控
                   制制度應有適當之職務分工，且管理階層及員工不應擔任責任相
                   互衝突之工作。
               四、 資訊與溝通：應保有適切完整之營運、財務報導及法令遵循等目
                   標有關之財務及非財務資訊；資訊應具備可靠性、適時與容易取
                   得之特性，以建立有效之溝通管道。