|
修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文。
附修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文
主任委員 顧立雄
金融控股公司及銀行業內部控制及稽核制度實施辦法部分條文修正條文
第 八 條 內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業程序,且應適時檢討修訂:
一、組織規程或管理章則,應包括訂定明確之組織系統、單位職掌、業務範圍與明確之授權及分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一)
投資準則。
(二)
客戶資料保密。
(三)
利害關係人交易規範。
(四)
股權管理。
(五)
財務報表編製流程之管理,包括適用國際財務報導準則之管理、會計專業判斷程序、會計政策與估計變動之流程等。
(六)
總務、資訊、人事管理(銀行業應含輪調及休假規定)。
(七)
對外資訊揭露作業管理。
(八)
金融檢查報告之管理。
(九)
金融消費者保護之管理。
(十)
重大偶發事件之處理機制。
(十一)
防制洗錢及打擊資恐機制及相關法令之遵循管理,包括辨識、衡量、監控洗錢及資恐風險之管理機制。
(十二)
其他業務之規範及作業程序。
金融控股公司業務規範及處理手冊應另包括子公司之管理及共同行銷管理。
銀行業務規範及處理手冊應另包括出納、存款、匯兌、授信、外匯、新種金融商品及委外作業管理。
信用合作社業務規範及處理手冊應另包括出納、存款、授信、匯兌及委外作業管理。
票券商業務規範及處理手冊應另包括票券、債券及新種金融商品等業務。
信託業作業手冊之範本由信託業商業同業公會訂定,其內容應區分業務作業流程、會計作業流程、電腦作業規範、人事管理制度等項。信託業應參考範本訂定作業手冊,並配合法規、業務項目、作業流程等之變更,定期修訂。
股票已在證券交易所上市或於證券商營業處所買賣之金融控股公司及銀行業,應將薪資報酬委員會運作之管理納入內部控制制度。
金融控股公司及銀行業設置審計委員會者,其內部控制制度,應包括審計委員會議事運作之管理。
金融控股公司及銀行業應於內部控制制度中,訂定對子公司必要之控制作業,其為國外子公司者,並應考量該子公司所在地政府法令之規定及實際營運之性質,督促其子公司建立內部控制制度。
金融控股公司及銀行業應建立集團整體性防制洗錢及打擊資恐計畫,包括在符合國外分公司(或子公司)當地法令下,以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。
前十項各種作業及管理規章之訂定、修訂或廢止,必要時應有法令遵循、內部稽核及風險管理單位等相關單位之參與。
第十五條之一 本國銀行得向主管機關申請核准採行風險導向內部稽核制度。主管機關得視銀行之資產規模、業務風險及其他必要情況,請本國銀行申請採行風險導向內部稽核制度。
本國銀行申請採行風險導向內部稽核制度,應符合下列條件:
一、最近一次申報自有資本與風險性資產比率,符合銀行資本適足性及資本等級管理辦法第五條之規定。
二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準,均無備抵呆帳及各項準備提列不足。
三、最近一季逾期放款比率未超逾百分之一。
四、已具備有效之內部控制制度。
本國銀行經採行風險導向內部稽核制度者,不適用前條第一項查核頻率之規定。
第二十七條 金融控股公司及銀行業總經理應督導各單位(金融控股公司含子公司)審慎評估及檢討內部控制制度執行情形,由董(理)事長(主席)、總經理、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書(附表一),並提報董(理)事會通過,於每會計年度終了後三個月內將內部控制制度聲明書內容揭露於金融控股公司及銀行業網站,並於主管機關指定網站辦理公告申報。
前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。
第一項規定對於經主管機關依法接管之銀行業,不適用之。
第三十二條 金融控股公司及銀行業之總機構應設立一隸屬於總經理之法令遵循單位,負責法令遵循制度之規劃、管理及執行,並指派高階主管一人擔任總機構法令遵循主管,綜理法令遵循事務,至少每半年向董(理)事會及監察人(監事、監事會)或審計委員會報告,如發現有重大違反法令或遭金融主管機關調降評等時,應即時通報董(理)事及監察人(監事、監事會),並就法令遵循事項,提報董(理)事會。
前項法令遵循單位及總機構法令遵循主管之設置,規定如下:
一、銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應設置專責之法令遵循單位,得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。其總機構法令遵循主管,得兼任防制洗錢及打擊資恐專責單位主管。但不得兼任法務單位主管或內部其他職務。
二、金融控股公司及不適用前款規定之銀行業,其總機構法令遵循主管除兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外,不得兼任內部其他職務。但主管機關對信用合作社及票券金融公司另有規定者,依其規定。
金融控股公司及銀行機構之總機構法令遵循主管,職位應等同於副總經理,資格應分別符合「金融控股公司發起人負責人應具備資格條件負責人兼職限制及應遵行事項準則」及「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。
金融控股公司及銀行業總機構法令遵循單位、國內外營業單位、資訊單位、財務保管單位及其他管理單位應指派人員擔任法令遵循主管,負責執行法令遵循事宜。國外營業單位法令遵循主管之設置應符合當地法令規定及當地主管機關之要求,除有下列情事者外,應為專任:
一、兼任防制洗錢及打擊資恐主管。
二、依當地法令明定得兼任無職務衝突之其他職務。
三、當地法令未明確規定,於與當地主管機關溝通並確認後,報經主管機關備查者,得兼任無職務衝突之其他職務。
金融控股公司及銀行業總機構法令遵循單位主管及所屬人員、國內外營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管應具下列資格條件之一:
一、曾任金融機構法令遵循人員或主管,合計滿五年者。
二、參加主管機關認定機構所舉辦三十小時以上課程,並經考試及格且取得結業證書。
三、國外營業單位法令遵循主管係自當地聘任者,依董事會通過之評估辦法自行評估,或經當地主管機關審查認可,足證其已具備熟知當地法令規定之相關能力。
金融控股公司及銀行業總機構法令遵循主管、法令遵循單位主管及所屬人員、國內營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管,每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司(含子公司)或銀行業(含母公司)自行舉辦十五小時之在職教育訓練,訓練內容應至少包含新修正法令、新種業務或新種金融商品。
國外營業單位之法令遵循主管,每年應至少參加由當地主管機關或相關單位舉辦之法令遵循在職教育訓練課程十五小時,或參加主管機關或其認定機構所舉辦或所屬金融控股公司(含子公司)或銀行業(含母公司)自行舉辦之教育訓練課程。
前二項在職訓練為自行舉辦之訓練方式應提報董事會通過,總機構需留存相關人員上課紀錄備查。
防制洗錢及打擊資恐專責單位設於法令遵循單位者,該專責單位人員充任前及每年應受之訓練,依防制洗錢及打擊資恐相關規定辦理,不受第五項及第六項規定限制。
金融控股公司及銀行業應以網際網路資訊系統向主管機關申報總機構法令遵循主管、法令遵循單位主管及所屬人員之名單及受訓資料。
第三十四條 法令遵循單位應辦理下列事項:
一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動符合法令規定。
三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前,法令遵循主管應出具符合法令及內部規範之意見並簽署負責。
四、訂定法令遵循之評估內容與程序,及督導各單位定期自行評估執行情形,並對各單位法令遵循自行評估作業成效加以考核,經簽報總經理後,作為單位考評之參考依據。
五、對各單位人員施以適當合宜之法規訓練。
六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,及自行評估所屬單位法令遵循執行情形,不適用前項第四款規定。
銀行業設有國外營業單位者,法令遵循單位應督導國外營業單位辦理下列事項:
一、蒐集當地金融法規資料、落實執行法令遵循自行評估作業、確保法令遵循主管適任性及法令遵循資源(含人員、配備及訓練)是否適足等事項,以確保遵守其所在地國家之法令。
二、建立法令遵循風險之自行評估及監控機制,對於其中業務規模大、複雜度或風險程度高者,並應委請當地外部獨立專家驗證其法令遵循風險自行評估及監控機制之有效性。
金融控股公司及銀行業法令遵循自行評估作業,每半年至少須辦理一次,其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業,應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
第三十四條之一 適用第三十二條第二項第一款之銀行業應建立全行之法令遵循風險管理及監督架構,其架構原則及權責規定如下:
一、法令遵循單位應建立辨識、評估、控制、衡量、監控及獨立陳報法令遵循風險之程序、計畫及機制,以全面控制、監督及支援國內外各部門、分支機構及子公司之個別營業單位、跨部門及跨境之相關法令遵循事項。
二、法令遵循單位應依據業務分類或法令遵循重點設置適當數量之專業單位,以負責該項業務或法令相關之國內外營業單位監督、法令遵循執行及支援事項。
三、法令遵循單位得依風險基礎方法評估各單位法令遵循主管之設置並強化法令遵循主管之獨立性,屬法令遵循風險較低之單位得不單獨設置法令遵循主管而由總機構法令遵循單位負責,不受第三十二條第四項前段規定之限制。
四、法令遵循單位應建立法令遵循風險警訊之獨立通報、評估及處理因應機制。
五、法令遵循單位應定期及不定期評估主要營運活動、商品及服務、授信或業務專案、有違反法令之虞之重大客訴等法令遵循風險管理情形,並建立與其他第二道防線之橫向溝通聯繫機制。
六、法令遵循單位為掌握全行法令遵循風險情形,得向各單位要求提供相關資訊。
七、管理階層及各部門主管之考核,應納入法令遵循部門對其法令遵循執行程度之評估意見。
八、銀行業及法令遵循單位應充分掌握國外營業單位應辦理之法令遵循事項及當地主管機關對法令遵循標準之要求,並提供充分資源及支援。
九、法令遵循單位依第三十二條第一項至少每半年向董(理)事會及監察人或審計委員會報告之法令遵循事項,應針對全行境內外營運情形,提出法令遵循風險管理之弱點事項及督導改善計畫及時程,董(理)事會應提供充分資源及對營業單位建立適當獎懲機制,以循序建立全行法令遵循文化。
十、內部稽核單位依第十條第一項至少每半年向董(理)事會及監察人或審計委員會報告之稽核業務事項,應包括法令遵循單位辦理績效及全行法令遵循程度之評估意見。
適用前項規定之銀行業,應於符合適用條件起六個月內,依第三十二條第二項第一款規定設置總機構專責之法令遵循單位及法令遵循主管,並調整全行之法令遵循風險管理及監督架構報請主管機關備查後,且於每年四月底前將前項第五款及第九款評估報告函報主管機關。
第三十四條之二
金融控股公司及銀行業為促進健全經營,應建立檢舉制度,並於總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。
金融控股公司及銀行業對檢舉人應為下列之保護:
一、檢舉人之身分資料應予保密,不得洩漏足以識別其身分之資訊。
二、不得因所檢舉案件而對檢舉人予以解僱、解任、降調、減薪、損害其依法令、契約或習慣上所應享有之權益,或其他不利處分。
檢舉案件之受理及調查過程,有利益衝突之人,應予迴避。
第一項檢舉制度,至少應包括下列事項,並提報董(理)事會通過:
一、揭示任何人發現有犯罪、舞弊或違反法令之虞時,均得提出檢舉。
二、受理之檢舉案件類型。
三、設置並公布檢舉之管道。
四、調查與配合調查之流程、迴避規定及後續處理機制之標準作業程序。
五、檢舉人保護措施。
六、檢舉案件受理、調查過程、調查結果與相關文件製作之紀錄及保存。
七、檢舉案件之處理情形,應適度以書面或其他方式通知檢舉人。
被檢舉人為董(理)事、監察人(監事)或職責相當於副總經理以上之管理階層者,調查報告應陳報至監察人(監事、監事會)或審計委員會複審。
金融控股公司及銀行業調查後發現為重大偶發事件或違法案件,應主動向相關機關通報或告發。
金融控股公司及銀行業應定期對所屬人員,辦理檢舉制度之宣導及教育訓練。
第三十八條之一 銀行業應設置資訊安全專責單位及主管,不得兼辦資訊或其他與職務有利益衝突之業務,並配置適當人力資源及設備。但主管機關對信用合作社及票券金融公司另有規定者,依其規定。
銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應設置具職權行使獨立性之資訊安全專責單位,並指派協理以上或職責相當之人擔任資訊安全專責單位主管。
銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業,每年應將前一年度資訊安全整體執行情形,由資訊安全專責單位主管與董(理)事長(主席)、總經理、總稽核聯名出具資訊安全整體執行情形聲明書(附表二),並於會計年度終了後三個月內提報董(理)事會。
銀行業資訊安全專責單位人員,每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員,每年至少須接受三小時以上資訊安全宣導課程。
中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。
適用第二項規定之銀行業,應於符合適用條件起六個月內調整。
第四十七條 本辦法自發布日施行。
中華民國一百零一年三月二日修正條文,除第八條第一項第二款第五目修正條文,信用合作社自一百零三年一月一日施行,及第八條第一項第二款第八目修正條文自一百年十二月三十日施行外,自發布後三個月施行。
中華民國一百零七年三月三十一日修正之第三十四條之二修正條文,自發布後六個月施行。
附表(請參見PDF)
金融控股公司及銀行業內部控制及稽核制度實施辦法部分條文總說明及對照表(請參見PDF)
|