一、本公司確知建立、實施和維護內部控制制度係本公司董事會及經理人之責任，本公司業已建立此一制度。其目的係在對營運之效果及效率(含獲利、績效及保障資產安全等)、報導具可靠性、及時性、透明性及符合相關規範暨相關法令規章之遵循等目標的達成，提供合理的確保。

二、內部控制制度有其先天限制，不論設計如何完善，有效之內部控制制度亦僅能對上述三項目標之達成提供合理的確保；而且，由於環境、情況之改變，內部控制制度之有效性可能隨之改變。惟本公司之內部控制制度設有自我監督之機制，缺失一經辨認，本公司即採取更正之行動。

三、本公司係依據「證券暨期貨市場各服務事業建立內部控制制度處理準則」(以下簡稱「處理準則」)規定之內部控制制度有效性之判斷項目，判斷內部控制制度之設計及執行是否有效。該「處理準則」所採用之內部控制制度判斷項目，係為依管理控制之過程，將內部控制制度劃分為五個組成要素：1.控制環境，2.風險評估，3.控制作業，4.資訊與溝通，及5.監督作業。每個組成要素又包括若干項目。前述項目請參見「處理準則」之規定。

四、本公司業已採用上述內部控制制度判斷項目，評估內部控制制度之設計及執行的有效性。

五、本公司基於前項評估結果，認為本公司於民國110年12月31日^註2的內部控制制度(含對子公司之監督與管理、資訊安全整體執行情形)，包括瞭解營運之效果及效率目標達成之程度、報導係屬可靠、及時、透明及符合相關規範暨相關法令規章之遵循有關的內部控制制度等之設計及執行，除附件所列事項外，係屬有效，其能合理確保上述目標之達成。

六、本聲明書將成為本公司年報及公開說明書之主要內容，並對外公開。上述公開之內容如有虛偽、隱匿等不法情事，將涉及證券交易法第二十條、第三十二條、第一百七十一條及第一百七十四條等之法律責任。

七、本聲明書業經本公司民國111年1月24日第5屆第6次臨時董事會通過，出席董事9人中，有0人持反對意見，餘均同意本聲明書之內容，併此聲明。​

臺銀綜合證券股份有限公司

一、導入流量清洗服務並辦理資安攻擊演練，以降低網路攻擊時對客戶下單之衝擊。

1.已完成與往來固網業者網路下單線路導入DDoS防禦清洗流量或流量分流服務，之後未再發生遭受攻擊影響系統運作情形。

2.已定期委外第三方辦理包括DDoS攻防等異常情況之資安攻擊演練，並持續蒐集資安異常事件之情境納入演練計畫。

已完成改善。

二、加強應​用系統維護完成後，更新相關文件及手冊之及時性，以確保下單系統正確運作。

1.業已更新市場會測處理程序，及完成前端FIX閘道主機自動執行排程設定，並規範假日市場會測之覆核程序。

2.已將應用系統上線之應辦事項納入評核表，並逐項檢核。

3.將依內規再修正控管表單，規範應用系統換版需更新相關文件(含手冊)，並作通知或教育訓練。

除第3項預計111年3月底前完成外，餘均已完成改善。

三、加強委外廠商管理，確實將委外廠商提供服務之管理事項訂入契約文件。

1.已與導致資安事件之委外廠商完成增補契約。

2.已每年最少抽選兩家委外廠商實地查核。

3.已於資訊服務採購合約文件，訂定委外資訊廠商服務水準及罰則。

已完成改善。

四、強化應用系統變更或資料轉換作業後之驗證作業，以確保系統正常運作。

1.已修訂相關規定，增訂「應用系統程式測試評核表」及核心系統新上線、重大改版前，使用單位、廠商及資訊單位應召開三方審查會議。

2.已發函業務單位，於系統上線或資料轉換完成後，要求委外廠商須提供相關完成紀錄供本公司確認。

已完成改善。

五、確實掌握資安事件通報時效，於規定時間內向主管機關完成通報。

已修正相關規定，要求客服中心接獲(發現)問題，需同時反應至經紀部及資訊單位窗口，經資訊單位判斷為資安事件後，由資安專職人員控制在規定時間內進行通報。

已完成改善。