預告「金融控股公司及銀行業內部控制及稽核制度實施辦法」修正草案
金融控股公司及銀行業內部控制及稽核制度實施辦法(下稱本辦法)自99年3月29日訂定發布以來,期間為強化金融消費者保護、提高金融機構對法令遵循之重視、配合美國Committee of Sponsoring Organizations (COSO委員會)於西元2013年所提《內部控制-整體架構》更新報告、強化防制洗錢及打擊資恐機制、建立金融機構內部檢舉制度及建置資安專責制度等需要,歷經七次修正,最近一次修正係110年9月23日。
金融監督管理委員會(下稱金管會)表示,本辦法持續依重要議題滾動式修正,本次修正除納入內部控制三道防線模型精神,並考量國際監理趨勢、國內外銀行實務,暨金管會監理重點以外,亦就本辦法架構及條文編排一併盤整檢討,修正後全文共計五十五條,架構上仍維持四章。第二章及第三章章名配合所屬條文酌修為[內部控制制度之設計]及[內部控制制度之管理、監督及查核],第三章節次則依內部控制第一、二及三道防線依序列示,共分為六節,其中第四節[資訊安全制度]為本次增訂,相關條文亦配合章節架構調整有所調動。修正前後章節對照表如附件。
本次修正重點如下:
一、內部控制三道防線相互協作:
參考國際內部稽核協會2020年發布《國際內部稽核協會三道防線模型:三道防線的更新版》強調三道防線同步運作及相互協作之精神意涵,修正三道防線為三道防線模型,以強化三道防線間之協調與合作。(修正條文第9條)
二、強化營運韌性及風險管理制度:
(一) 為因應嚴重特殊傳染性肺炎、氣候變遷、新型態資安攻擊所帶來經濟環境變化、威脅與風險。巴塞爾銀行監理委員會於2021年3月發布《營運韌性原則》、2024年4月發布新版《有效銀行監理核心原則》及美、英及新加坡等國外金融監理機關亦定有相關營運持續管理指南,均顯示因應環境變化,金融機構營運韌性及新興風險控管之重要性。爰增訂內部控制相關規範及處理手冊應包含營運持續管理機制,以及風險管理機制應包含對新興風險控管,俾利採行因應策略。(修正條文第12條、第22條及第23條)
(二) 參考前開國外金融監理機關風險管理架構規範與巴塞爾銀行監理委員會《有效銀行監理核心原則》,明定金融控股公司及銀行業風險管理架構內涵、風險管理專責單位權責及增訂銀行業資產總額新臺幣一兆元以上應設置風險管理長,以綜理風險管理事務。(修正條文第20條及第21條)
三、自行查核制度之精進與簡化:
(一) 為落實三道防線之角色職能及維持第三道防線之獨立性,刪除內部稽核單位督導業務管理單位訂定自行查核內容與程序,改由第二道單位督導前開事項。(修正條文第14條第1項及第31條)
(二) 考量銀行業採行風險導向內部稽核制度已行之多年,為透過風險評估方法,聚焦重要風險,並加強查核深度,以利資源有效配置。爰增訂採行風險導向稽核制度之銀行業得訂定專案自行查核頻率、重點及範圍。(修正條文第14條第2項)
(三) 為減少法令遵循自行查核與自行評估作業重複,倘法令遵循自評項目已包含法規完整性之檢視與執行面上之確認,則可將二者作業予以整併。(修正條文第14條及第18條第5項)
四、強化對永續資訊之管理及提升揭露品質:
(一) 內部控制制度相關規範及處理手冊應包括永續資訊之管理。(修正條文第12條第1項第2款第12目)
(二) 增訂內部稽核單位辦理一般查核之內部稽核報告揭露項目包含永續資訊之管理。(修正條文第35條第1項第1款)
五、精實資安防護:
(一) 有鑑於資安防護機制之重要性,考量金融控股公司實務運作情形,增訂金融控股公司亦須設置資訊安全專責單位及資訊安全長。另參考美國紐約州金融服務署(NYDFS)於2023年修正發布之資安規範,增訂資訊安全長權責。(修正條文第24條)
(二) 明定資訊安全專責單位權責。(修正條文第25條)
六、確保總稽核之獨立性及提升對內部稽核單位之重視(修正條文第27條):
(一) 總稽核異動時,應於事實發生日五日內向主管機關函報異動原因及內容,並副知當事人。
(二) 應建立獨立董事與內部稽核單位間之溝通管道與機制。
七、將金管會既有監理重點,納入內部控制制度控制環境或相關規範及處理手冊(修正條文第10條、第12條第1項第2款、第3項~第5項):
(一) 誠信經營守則、公平待客原則、永續資訊之管理及責任地圖制度。
(二) 銀行、信用合作社及票券商業務規範及處理手冊應包括各業法所定業務。
金管會表示,考量金融機構導入內部控制三道防線模型,訂定誠信經營守則、營運持續管理機制,及調整自行查核制度、風險管理架構、風險管理專責單位權責並設置風險管理專責單位主管(風險管理長),或金融控股公司設置資訊安全專責單位及資訊安全長等,均需要時間配合調整組織架構、職權、人力配置及訂定相關作業規章,將給予六個月緩衝期,俾利業者調整辦理。下列修正條文亦另定施行日:
一、第12條第1項第2款第12目金融控股公司及銀行業之內部規範應納入永續資訊之管理及第35條第1項第1款內部稽核報告應揭露永續資訊之管理,信用合作社自115年1月1日施行。
二、第44條會計師確信報告之出具,自115年1 月1 日施行。
此次修正草案除將刊登於行政院公報外,亦將於金管會網站刊登修正草案總說明及條文對照表,各界如有任何意見,請於公告翌日起60日內,至金管會「主管法規查詢系統」網站之「草案預告」網頁內提供意見。
聯絡單位:銀行局本國銀行組
聯絡電話:(02)8968-9681
如有任何疑問,請來信: 本會民意信箱
金融監督管理委員會(下稱金管會)表示,本辦法持續依重要議題滾動式修正,本次修正除納入內部控制三道防線模型精神,並考量國際監理趨勢、國內外銀行實務,暨金管會監理重點以外,亦就本辦法架構及條文編排一併盤整檢討,修正後全文共計五十五條,架構上仍維持四章。第二章及第三章章名配合所屬條文酌修為[內部控制制度之設計]及[內部控制制度之管理、監督及查核],第三章節次則依內部控制第一、二及三道防線依序列示,共分為六節,其中第四節[資訊安全制度]為本次增訂,相關條文亦配合章節架構調整有所調動。修正前後章節對照表如附件。
本次修正重點如下:
一、內部控制三道防線相互協作:
參考國際內部稽核協會2020年發布《國際內部稽核協會三道防線模型:三道防線的更新版》強調三道防線同步運作及相互協作之精神意涵,修正三道防線為三道防線模型,以強化三道防線間之協調與合作。(修正條文第9條)
二、強化營運韌性及風險管理制度:
(一) 為因應嚴重特殊傳染性肺炎、氣候變遷、新型態資安攻擊所帶來經濟環境變化、威脅與風險。巴塞爾銀行監理委員會於2021年3月發布《營運韌性原則》、2024年4月發布新版《有效銀行監理核心原則》及美、英及新加坡等國外金融監理機關亦定有相關營運持續管理指南,均顯示因應環境變化,金融機構營運韌性及新興風險控管之重要性。爰增訂內部控制相關規範及處理手冊應包含營運持續管理機制,以及風險管理機制應包含對新興風險控管,俾利採行因應策略。(修正條文第12條、第22條及第23條)
(二) 參考前開國外金融監理機關風險管理架構規範與巴塞爾銀行監理委員會《有效銀行監理核心原則》,明定金融控股公司及銀行業風險管理架構內涵、風險管理專責單位權責及增訂銀行業資產總額新臺幣一兆元以上應設置風險管理長,以綜理風險管理事務。(修正條文第20條及第21條)
三、自行查核制度之精進與簡化:
(一) 為落實三道防線之角色職能及維持第三道防線之獨立性,刪除內部稽核單位督導業務管理單位訂定自行查核內容與程序,改由第二道單位督導前開事項。(修正條文第14條第1項及第31條)
(二) 考量銀行業採行風險導向內部稽核制度已行之多年,為透過風險評估方法,聚焦重要風險,並加強查核深度,以利資源有效配置。爰增訂採行風險導向稽核制度之銀行業得訂定專案自行查核頻率、重點及範圍。(修正條文第14條第2項)
(三) 為減少法令遵循自行查核與自行評估作業重複,倘法令遵循自評項目已包含法規完整性之檢視與執行面上之確認,則可將二者作業予以整併。(修正條文第14條及第18條第5項)
四、強化對永續資訊之管理及提升揭露品質:
(一) 內部控制制度相關規範及處理手冊應包括永續資訊之管理。(修正條文第12條第1項第2款第12目)
(二) 增訂內部稽核單位辦理一般查核之內部稽核報告揭露項目包含永續資訊之管理。(修正條文第35條第1項第1款)
五、精實資安防護:
(一) 有鑑於資安防護機制之重要性,考量金融控股公司實務運作情形,增訂金融控股公司亦須設置資訊安全專責單位及資訊安全長。另參考美國紐約州金融服務署(NYDFS)於2023年修正發布之資安規範,增訂資訊安全長權責。(修正條文第24條)
(二) 明定資訊安全專責單位權責。(修正條文第25條)
六、確保總稽核之獨立性及提升對內部稽核單位之重視(修正條文第27條):
(一) 總稽核異動時,應於事實發生日五日內向主管機關函報異動原因及內容,並副知當事人。
(二) 應建立獨立董事與內部稽核單位間之溝通管道與機制。
七、將金管會既有監理重點,納入內部控制制度控制環境或相關規範及處理手冊(修正條文第10條、第12條第1項第2款、第3項~第5項):
(一) 誠信經營守則、公平待客原則、永續資訊之管理及責任地圖制度。
(二) 銀行、信用合作社及票券商業務規範及處理手冊應包括各業法所定業務。
金管會表示,考量金融機構導入內部控制三道防線模型,訂定誠信經營守則、營運持續管理機制,及調整自行查核制度、風險管理架構、風險管理專責單位權責並設置風險管理專責單位主管(風險管理長),或金融控股公司設置資訊安全專責單位及資訊安全長等,均需要時間配合調整組織架構、職權、人力配置及訂定相關作業規章,將給予六個月緩衝期,俾利業者調整辦理。下列修正條文亦另定施行日:
一、第12條第1項第2款第12目金融控股公司及銀行業之內部規範應納入永續資訊之管理及第35條第1項第1款內部稽核報告應揭露永續資訊之管理,信用合作社自115年1月1日施行。
二、第44條會計師確信報告之出具,自115年1 月1 日施行。
此次修正草案除將刊登於行政院公報外,亦將於金管會網站刊登修正草案總說明及條文對照表,各界如有任何意見,請於公告翌日起60日內,至金管會「主管法規查詢系統」網站之「草案預告」網頁內提供意見。
聯絡單位:銀行局本國銀行組
聯絡電話:(02)8968-9681
如有任何疑問,請來信: 本會民意信箱
0 结果