本次共修正六條，增訂三條，要點臚列如下：

(1)

金融控股公司及銀行業內部控制及稽核制度實施辦法部分條文修正總說明

金融控股公司及銀行業內部控制及稽核制度實施辦法（以下簡稱本辦法）自九十九年三月二十九日訂定發布以來，歷經五次修正。茲為周延集團層次防制洗錢及打擊資恐計畫之對象、增進評估銀行採行風險導向內部稽核制度之有效性、強化一定資產規模以上銀行為差異化之法遵風險管理機制、建立金融機構內部檢舉制度，並提高銀行業對資訊安全之重視等，爰修正本辦法部分條文。

本次共修正六條，增訂三條，要點臚列如下：

一、將設有國內子公司之銀行業納入應建立集團層次防制洗錢及打擊資恐計畫之對象。（修正條文第八條）

二、為更全面綜合評估銀行整體內部控制制度之有效性，刪除本國銀行申請採行風險導向內部稽核制度應符合資格條件中之「且最近一年內部控制執行無重大缺失，或缺失已具體改善」文字。（修正條文第十五條之一）

三、為強化我國大型銀行業之法令遵循效能，訂定前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上之銀行業之總機構，應設置專責之法令遵循單位，得兼辦防制洗錢及打擊資恐相關事項，但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。其總機構法令遵循主管，得兼任防制洗錢及打擊資恐專責單位主管。但不得兼任法務單位主管或內部其他職務。另為使制度更具彈性，調整國外營業單位法令遵循主管應具備之資格條件及在職訓練規範。（修正條文第三十二條）

四、考量國外營業單位規模、業務不一，為兼顧實務之執行情形，刪除國外營業單位應建置當地法規資料庫規定。（修正條文第三十四條）

五、強化大型銀行業應建立全行之法令遵循風險管理及監督架構，並明

定其架構原則及權責規定，包括建立全行法遵風險管理架構、獨立

法令遵循組織及權責，以及落實法令遵循效能報告及監督。(修正

條文第三十四條之一)

(2)

六、為協助金融控股公司及銀行業建立誠信、透明的企業文化及促進健全經營，訂定金融控股公司及銀行業應建立內部檢舉制度，並於總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。另考量建置舉發機制需有一定期間配合調整，並明定施行日期，俾利業者遵循。(修正條文第三十四條之二、第四十七條)

七、為提升銀行業對資訊安全之重視，明定銀行業應設置資訊安全專責單位及主管，負責資安相關工作，並依規模大小進行差異化管理。

（修正條文第三十八條之一）

(3)

金融控股公司及銀行業內部控制及稽核制度實施辦法部分條文修正條文對照表

修正條文現行條文說明

第八條內部控制制度應涵蓋所有營運活動，並應訂定下列適當之政策及作業程序，且應適時檢討修訂：

一、組織規程或管理章則，應包括訂定明確之組織系統、單位職掌、業務範圍與明確之授權及分層負責辦法。

二、相關業務規範及處理手冊，包括：

（一）投資準則。

（二）客戶資料保密。

（三）利害關係人交易規範。

（四）股權管理。

（五）財務報表編製流程之管理，包括適用國際財務報導準則之管理、

會計專業判斷程序、會計政策與估計變動之流程等。

（六）總務、資訊、人事管理（銀行業應含輪調及休假規定）。

（七）對外資訊揭露作業管理。

（八）金融檢查報告之

第八條內部控制制度應涵蓋所有營運活動，並應訂定下列適當之政策及作業程序，且應適時檢討修訂：

一、組織規程或管理章則，應包括訂定明確之組織系統、單位職掌、業務範圍與明確之授權及分層負責辦法。

二、相關業務規範及處理手冊，包括：

（一）投資準則。

（二）客戶資料保密。

（三）利害關係人交易規範。

（四）股權管理。

（五）財務報表編製流程之管理，包括適用國際財務報導準則之管理、

會計專業判斷程序、會計政策與估計變動之流程等。

（六）總務、資訊、人事管理（銀行業應含輪調及休假規定）。

（七）對外資訊揭露作業管理。

（八）金融檢查報告之

鑒於銀行業子公司如包括洗錢防制法第五條所稱之金融機構或辦理融資性租賃業務之事業，亦屬防制洗錢金融行動工作小組 (FATF)所稱金融集團，爰將設有國內子公司之銀行業納入應建立集團層次防制洗錢及打擊資恐計畫之對象，刪除第十項部分文字。

(4)

管理。

（九）金融消費者保護之管理。

（十）重大偶發事件之處理機制。

（十一）防制洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、

衡量、監控洗錢及資恐風險之管理機制。

（十二）其他業務之規範及作業程序。

金融控股公司業務規範及處理手冊應另包括子公司之管理及共同行銷管理。

銀行業務規範及處理手冊應另包括出納、

存款、匯兌、授信、外匯、新種金融商品及委外作業管理。

信用合作社業務規範及處理手冊應另包括出納、存款、授信、匯兌及委外作業管理。

票券商業務規範及處理手冊應另包括票券、債券及新種金融商品等業務。

信託業作業手冊之範本由信託業商業同業公會訂定，其內容應區分業務作業流程、會計作業流程、電腦作業規範、人事管理制度等項。信託業應參考範本

管理。

（九）金融消費者保護之管理。

（十）重大偶發事件之處理機制。

（十一）防制洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、

衡量、監控洗錢及資恐風險之管理機制。

（十二）其他業務之規範及作業程序。

金融控股公司業務規範及處理手冊應另包括子公司之管理及共同行銷管理。

銀行業務規範及處理手冊應另包括出納、

存款、匯兌、授信、外匯、新種金融商品及委外作業管理。

信用合作社業務規範及處理手冊應另包括出納、存款、授信、匯兌及委外作業管理。

票券商業務規範及處理手冊應另包括票券、債券及新種金融商品等業務。

信託業作業手冊之範本由信託業商業同業公會訂定，其內容應區分業務作業流程、會計作業流程、電腦作業規範、人事管理制度等項。信託業應參考範本

(5)

訂定作業手冊，並配合法規、業務項目、作業流程等之變更，定期修訂。

股票已在證券交易所上市或於證券商營業處所買賣之金融控股公司及銀行業，應將薪資報酬委員會運作之管理納入內部控制制度。

金融控股公司及銀行業設置審計委員會者，其內部控制制度，

應包括審計委員會議事運作之管理。

金融控股公司及銀行業應於內部控制制度中，訂定對子公司必要之控制作業，其為國外子公司者，並應考量該子公司所在地政府法令之規定及實際營運之性質，督促其子公司建立內部控制制度。

金融控股公司及銀行業應建立集團整體性防制洗錢及打擊資恐計畫，包括在符合國外分公司（或子公司）當地法令下，以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。

前十項各種作業及管理規章之訂定、修訂或廢止，必要時應有法令遵循、內部稽核及風險管理單位等相關單位

訂定作業手冊，並配合法規、業務項目、作業流程等之變更，定期修訂。

股票已在證券交易所上市或於證券商營業處所買賣之金融控股公司及銀行業，應將薪資報酬委員會運作之管理納入內部控制制度。

金融控股公司及銀行業設置審計委員會者，其內部控制制度，

應包括審計委員會議事運作之管理。

金融控股公司及銀行業應於內部控制制度中，訂定對子公司必要之控制作業，其為國外子公司者，並應考量該子公司所在地政府法令之規定及實際營運之性質，督促其子公司建立內部控制制度。

金融控股公司及設有國外分公司（或子公司）之銀行業應另建立集團整體性防制洗錢及打擊資恐計畫，包括在符合國外分公司（或子公司）當地法令下，以防制洗錢及打擊資恐為目的之集團內資訊分享政策及程序。

前十項各種作業及管理規章之訂定、修訂或廢止，必要時應有法令遵循、內部稽核及風

(6)

之參與。險管理單位等相關單位之參與。

第十五條之一本國銀行得向主管機關申請核准採行風險導向內部稽核制度。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。

本國銀行申請採行風險導向內部稽核制度，應符合下列條件：

一、最近一次申報自有資本與風險性資產比率，符合銀行資本適足性及資本等級管理辦法第五條之規定。

二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準，均無備抵呆帳及各項準備提列不足。

三、最近一季逾期放款比率未超逾百分之一。

四、已具備有效之內部控制制度。

本國銀行經採行風險導向內部稽核制度者，不適用前條第一項查核頻率之規定。

第十五條之一本國銀行得向主管機關申請核准採行風險導向內部稽核制度。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。

本國銀行申請採行風險導向內部稽核制度，應符合下列條件：

一、最近一次申報自有資本與風險性資產比率，符合銀行資本適足性及資本等級管理辦法第五條之規定。

二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準，均無備抵呆帳及各項準備提列不足。

三、最近一季逾期放款比率未超逾百分之一。

四、已具備有效之內部控制制度，且最近一年內部控制執行無重大缺失，或缺失已具體改善。

本國銀行經採行風險導向內部稽核制度者，不適用前條第一項查核頻率之規定。

考量銀行採行風險導向內部稽核制度，應以具備有效之內部控制制度為前提，本會審查申請案時，

相關評估應非僅限於評估申請者最近一年內部控制之執行情形，故為更全面綜合評估銀行整體內部控制制度之有效性，爰修正第二項第四款，刪除「且最近一年內部控制執行無重大缺失，或缺失已具體改善」等文字，以達本會推動風險導向內部稽核制度，強化業者公司治理之政策目標。

第二十七條金融控股公第二十七條金融控股公配合新增條文第三十八條

(7)

司及銀行業總經理應督導各單位（金融控股公司含子公司）審慎評估及檢討內部控制制度執行情形，由董（理）事長（主席）、總經理、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書（附表一），並提報董（理）事會通過，於每會計年度終了後三個月內將內部控制制度聲明書內容揭露於金融控股公司及銀行業網站，並於主管機關指定網站辦理公告申報。

前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。

第一項規定對於經主管機關依法接管之銀行業，不適用之。

司及銀行業總經理應督導各單位（金融控股公司含子公司）審慎評估及檢討內部控制制度執行情形，由董（理）事長（主席）、總經理、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書（附表），並提報董（理）事會通過，

於每會計年度終了後三個月內將內部控制制度聲明書內容揭露於金融控股公司及銀行業網站，並於主管機關指定網站辦理公告申報。

前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公開說明書。

第一項規定對於經主管機關依法接管之銀行業，不適用之。

之一修正附表名稱。

第三十二條金融控股公司及銀行業之總機構應設立一隸屬於總經理之法令遵循單位，負責法令遵循制度之規劃、管理及執行，並指派高階主管一人擔任總機構法令遵循主管，綜理法令遵循事務，至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報董（理）

第三十二條金融控股公司及銀行業應設立一隸屬於總經理之法令遵循單位，負責法令遵循制度之規劃、管理及執行，並指派高階主管一人擔任總機構法令遵循主管，綜理法令遵循事務，至少每半年向董

（理）事會及監察人（監事、監事會）或審計委員會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報董（理）事及

一、依巴塞爾銀行監理委員會所發布『銀行法規遵循及其功能』

（Compliance and the compliance function in banks）指引原則五，

銀行法令遵循功能應具獨立性一節，為使法遵功能充分發揮，

法遵部門之設置應具備在組織內有正式地位、有集團層級或總機構層級之法遵人員，負責統整銀行法遵風險之管理，法遵

(8)

事及監察人（監事、監事會），並就法令遵循事項，提報董(理)事會。

前項法令遵循單位及總機構法令遵循主管之設置，規定如下：

一、銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置專責之法令遵循單位，得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。其總機構法令遵循主管，得兼任防制洗錢及打擊資恐專責單位主管。但不得兼任法務單位主管或內部其他職務。

二、金融控股公司及不適用前款規定之銀行業，其總機構法令遵循主管除兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外，

不得兼任內部其他職務。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。

金融控股公司及銀

監察人（監事、監事會），並就法令遵循事項，提報董(理)事會。

金融控股公司及銀行業之總機構法令遵循主管除兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外，不得兼任內部其他職務。

但主管機關對信用合作社及票券金融公司另有規定者，不在此限。

金融控股公司及銀行機構之總機構法令遵循主管，職位應等同於副總經理，資格應分別符合「金融控股公司發起人負責人應具備資格條件負責人兼職限制及應遵行事項準則」及「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。

金融控股公司及銀行業總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位應指派人員擔任法令遵循主管，負責執行法令遵循事宜。國外營業單位法令遵循主管之設置應符合當地法令規定及當地主管機關之要求，除有下列情事者外，應為專任：

一、兼任防制洗錢及打擊資恐主管。

二、依當地法令明定得

人員之職務不應與其他職能存在實質或潛在利益衝突而受到損害等要素。金融控股公司及銀行業所設立隸屬總經理之法令遵循單位應依上開原則辦理，法遵單位應著重其獨立性及定期向決策單位報告之管理機制。至於對個別法令之遵循與監督，得透過內部政策及作業準則，訂定遵循法律、法規及準則的書面指導原則或法規遵循手冊等，以確認各層單位在法令遵循事項上之權責。

二、另美國聯邦準備委員會發布「Compliance Risk Management Programs and Oversight at Large Banking Organizations with Complex Compliance Profiles」(SR 08-08/CA 08-11)，對於大型銀行組織要求總資產達一定規模以上 ( 五百億美元)之銀行，因其具有複雜及跨境之營運性質，應建立一個全行的法遵風險管理及監督之架構並獨立行使職權。

三、參考上開國際規範，

為強化我國大型銀行業之法令遵循效能及

(9)

行機構之總機構法令遵循主管，職位應等同於副總經理，資格應分別符合「金融控股公司發起人負責人應具備資格條件負責人兼職限制及應遵行事項準則」及「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。

金融控股公司及銀行業總機構法令遵循單位、國內外營業單位、

資訊單位、財務保管單位及其他管理單位應指派人員擔任法令遵循主管，負責執行法令遵循事宜。國外營業單位法令遵循主管之設置應符合當地法令規定及當地主管機關之要求，除有下列情事者外，應為專任：

一、兼任防制洗錢及打擊資恐主管。

二、依當地法令明定得兼任無職務衝突之其他職務。

三、當地法令未明確規定，於與當地主管機關溝通並確認後，報經主管機關備查者，得兼任無職務衝突之其他職務。

金融控股公司及銀行業總機構法令遵循單位主管及所屬人員、國

兼任無職務衝突之其他職務。

三、當地法令未明確規定，於與當地主管機關溝通並確認後，報經主管機關備查者，得兼任無職務衝突之其他職務。

金融控股公司及銀行業總機構法令遵循主管、法令遵循單位所屬人員、國內外營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管應具下列資格條件之一：

一、本辦法於中華民國一百零六年三月二十二日修正發布前，現任已任職專責法令遵循人員或主管滿五年者。

二、參加主管機關認定機構所舉辦三十小時以上課程，並經考試及格且取得結業證書。

三、國外營業單位法令遵循主管係自當地聘任者，得依金融控股公司及銀行業自行擬訂之具體訓練計畫，參加三十小時以上相關訓練課程及測驗，足證其已具備熟知當地法令規定之相關能

強調法令遵循單位之專責性，爰修正第二項，採取較嚴格標準，規定前一年度資產規模達新臺幣一兆元以上之銀行業，應依第三十四條之一第二項規定，於符合上開條件起六個月內設置專責之法令遵循單位及總機構法令遵循主管。專責之法令遵循單位得兼辦防制洗錢及打擊資恐相關事項，但不得兼辦與法令遵循制度之規劃、

管理及執行無關之法務或其他與職務有利益衝突之業務。另參酌國際大型銀行多採總機構法令遵循主管與總機構法務單位主管分立之架構，爰規定總機構法令遵循主管不得兼任法務單位主管。復依『銀行業及電子支付機構電子票證發行機構防制洗錢及打擊資恐內部控制要點』第八點第一項規定，本國銀行得於總機構法令遵循單位下設置獨立之防制洗錢及打擊資恐專責單位，且依規定不得兼辦防制洗錢及打擊資恐以外之其他業務。

(10)

內外營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管應具下列資格條件之一：

一、曾任金融機構法令遵循人員或主管，合計滿五年者。

二、參加主管機關認定機構所舉辦三十小時以上課程，並經考試及格且取得結業證書。

三、國外營業單位法令遵循主管係自當地聘任者，依董事會通過之評估辦法自行評估，或經當地主管機關審查認可，足證其已具備熟知當地法令規定之相關能力。

金融控股公司及銀行業總機構法令遵循主管、法令遵循單位主管及所屬人員、國內營業單位、資訊單位、財務保管單位及其他管理單位之法令遵循主管，每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司（含子公司）或銀行業（含母公司）自行舉辦十五小時之在職教育訓練，

訓練內容應至少包含新

力。

金融控股公司及銀行業總機構法令遵循主管、法令遵循單位所屬人員、國內營業單位、

資訊單位、財務保管單位及其他管理單位之法令遵循主管，每年應至少參加主管機關或其認定機構所舉辦或所屬金融控股公司（含子公司）

或銀行業（含母公司）

自行舉辦十五小時之在職教育訓練，訓練內容應至少包含新修正法令、新種業務或新種金融商品。

國外營業單位之法令遵循主管，每年應至少參加由當地主管機關或相關單位舉辦之法令遵循在職教育訓練課程十五小時，如當地主管機關或相關單位未舉辦法令遵循教育訓練課程，得參加主管機關認定機構所舉辦或所屬金融控股公司(含子公司) 或銀行業(含母公司)自行舉辦之教育訓練課程。

防制洗錢及打擊資恐專責單位設於法令遵循單位者，該專責單位人員充任前及每年應受之訓練，依防制洗錢及打擊資恐相關規定辦理，不受第五項及第六

四、為使制度更具彈性並符實際，除調整第一項、第四項、第五項、

第六項及第九項序文文字，以利文意更明確外，基於下列考量，並酌修第五項第一款及第三款有關法令遵循單位主管等應具備資格條件：

(一) 考量法令遵循單位主管及人員之功能非僅執行法令傳達、協調與溝通，尚包括訂定所屬金融機構法令遵循評估與程序，確保其金融機構各項營業活動符合法令規定，

對於曾任法令遵循人員或主管人員，已具有執行法令遵循機制之經驗，且有關法令規定或法令遵循之風險部分，尚可藉由現行規定要求法遵主管及人員每年有十五小時之在職訓練強化，

爰修正第五項第一款放寬為「曾任金融機構法令遵循人員或主管，合計滿五年者」，不以現職專任為限，

且「金融機構」包含銀行業、證券及期貨業、保險業及金融控股公司之任職資歷。

(二) 考量國外營業單位法令遵循主管之聘任，

(11)

修正法令、新種業務或新種金融商品。

國外營業單位之法令遵循主管，每年應至少參加由當地主管機關或相關單位舉辦之法令遵循在職教育訓練課程十五小時，或參加主管機關或其認定機構所舉辦或所屬金融控股公司 ( 含子公司 ) 或銀行業 (含母公司)自行舉辦之教育訓練課程。

前二項在職訓練為自行舉辦之訓練方式應提報董事會通過，總機構需留存相關人員上課紀錄備查。

防制洗錢及打擊資恐專責單位設於法令遵循單位者，該專責單位人員充任前及每年應受之訓練，依防制洗錢及打擊資恐相關規定辦理，不受第五項及第六項規定限制。

金融控股公司及銀行業應以網際網路資訊系統向主管機關申報總機構法令遵循主管、法令遵循單位主管及所屬人員之名單及受訓資料。

項規定限制。

金融控股公司及銀行業應以網際網路資訊系統向主管機關申報總機構法令遵循主管、法令遵循單位所屬人員之名單及受訓資料。

如自當地聘任者，應以具備熟知當地法令規定之能力為首要，

宜由金融控股公司及銀行業自行制定評估辦法進行評估，將其適任性及是否參加相關課程訓練及測驗，

均列為其評估之重要事項，並經董事會通過，或經當地主管機關審查認可，以足證已具備熟知當地法令規定之相關能力者，

爰修正第五項第三款規定。

五、為使制度更具彈性，

國外營業單位之法令遵循主管亦得參加所屬金融控股公司 ( 含子公司)或銀行業(含母公司 ) 自行舉辦之教育訓練課程，亦可達成在職訓練功能，

爰修正第七項規定。

六、新增第八項規定，對第六項及第七項在職訓練為自行舉辦之訓練方式應提報董事會通過，總機構需留存相關人員上課紀錄備查。

第三十四條法令遵循單位應辦理下列事項：

一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系

第三十四條法令遵循單位應辦理下列事項：

一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系

考量國外營業單位規模、

業務不一，實務上當地之法規資料有存放至國內母行系統管理者，或得逕上國外法規資料庫查詢當地

(12)

統。

二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規定。

三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前，法令遵循主管應出具符合法令及內部規範之意見並簽署負責。

四、訂定法令遵循之評估內容與程序，及督導各單位定期自行評估執行情形，並對各單位法令遵循自行評估作業成效加以考核，

經簽報總經理後，作為單位考評之參考依據。

五、對各單位人員施以適當合宜之法規訓練。

六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。

內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序，

及自行評估所屬單位法令遵循執行情形，不適用前項第四款規定。

統。

二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規定。

三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前，法令遵循主管應出具符合法令及內部規範之意見並簽署負責。

四、訂定法令遵循之評估內容與程序，及督導各單位定期自行評估執行情形，並對各單位法令遵循自行評估作業成效加以考核，

經簽報總經理後，作為單位考評之參考依據。

五、對各單位人員施以適當合宜之法規訓練。

六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。

內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序，

及自行評估所屬單位法令遵循執行情形，不適用前項第四款規定。

法規，為兼顧實務之執行情形，刪除第三項第一款之「建置當地法規資料庫」

等文字。

(13)

銀行業設有國外營業單位者，法令遵循單位應督導國外營業單位辦理下列事項：

一、蒐集當地金融法規資料、落實執行法令遵循自行評估作業、確保法令遵循主管適任性及法令遵循資源（含人員、配備及訓練）

是否適足等事項，

以確保遵守其所在地國家之法令。

二、建立法令遵循風險之自行評估及監控機制，對於其中業務規模大、複雜度或風險程度高者，

並應委請當地外部獨立專家驗證其法令遵循風險自行評估及監控機制之有效性。

金融控股公司及銀行業法令遵循自行評估作業，每半年至少須辦理一次，其辦理結果應送法令遵循單位備查。

各單位辦理自行評估作業，應由該單位主管指定專人辦理。

前項自行評估工作底稿及資料應至少保存五年。

銀行業設有國外營業單位者，法令遵循單位應督導國外營業單位辦理下列事項：

一、蒐集當地金融法規資料，建置當地法規資料庫、落實執行法令遵循自行評估作業、確保法令遵循主管適任性及法令遵循資源（含人員、配備及訓練）

是否適足等事項，

以確保遵守其所在地國家之法令。

二、建立法令遵循風險之自行評估及監控機制，對於其中業務規模大、複雜度或風險程度高者，

並應委請當地外部獨立專家驗證其法令遵循風險自行評估及監控機制之有效性。

金融控股公司及銀行業法令遵循自行評估作業，每半年至少須辦理一次，其辦理結果應送法令遵循單位備查。

各單位辦理自行評估作業，應由該單位主管指定專人辦理。

前項自行評估工作底稿及資料應至少保存五年。

第三十四條之一適用第三十二條第二項第一款

一、本條新增。

二、參考巴塞爾銀行監理

(14)

之銀行業應建立全行之法令遵循風險管理及監督架構，其架構原則及權責規定如下：

一、法令遵循單位應建立辨識、評估、控制、衡量、監控及獨立陳報法令遵循風險之程序、計畫及機制，以全面控制、監督及支援國內外各部門、分支機構及子公司之個別營業單位、跨部門及跨境之相關法令遵循事項。

二、法令遵循單位應依據業務分類或法令遵循重點設置適當數量之專業單位，

以負責該項業務或法令相關之國內外營業單位監督、法令遵循執行及支援事項。

三、法令遵循單位得依風險基礎方法評估各單位法令遵循主管之設置並強化法令遵循主管之獨立性，屬法令遵循風險較低之單位得不單獨設置法令遵循主管而由總機構法令遵循單位負責，

不受第三十二條第四項前段規定之限制。

委員會所發布「銀行法規遵循及其功能」

(Compliance and the compliance function in banks) 指引之各項原則，於第一項明定適用一定資產規模以上之銀行業，應建立全行之法令遵循風險管理及監督架構，並明定其架構原則及權責規定，主要包括：

(一)建立全行法遵風險管理架構。

(二)獨立法令遵循組織及權責。

(三)落實法令遵循效能報告及監督。

三、為落實法令遵循效能報告及監督方面，考量法令遵循單位及內部稽核單位依據本辦法第三十二條第一項及第十條第一項規定，原已對董(理)事會及監察人(監事、監事會) 或審計委員會負有定期報告之責，

為強化該等報告之效能，特於第一項第九款及第十款明定報告內容應包含之事項。

四、另為使主管機關掌握該等大型銀行對法令遵循風險管理架構之規劃及執行情形，爰於第二項明定符合適用條件之銀行業，應

(15)

四、法令遵循單位應建立法令遵循風險警訊之獨立通報、評估及處理因應機制。

五、法令遵循單位應定期及不定期評估主要營運活動、商品及服務、授信或業務專案、有違反法令之虞之重大客訴等法令遵循風險管理情形，並建立與其他第二道防線之橫向溝通聯繫機制。

六、法令遵循單位為掌握全行法令遵循風險情形，得向各單位要求提供相關資訊。

七、管理階層及各部門主管之考核，應納入法令遵循部門對其法令遵循執行程度之評估意見。

八、銀行業及法令遵循單位應充分掌握國外營業單位應辦理之法令遵循事項及當地主管機關對法令遵循標準之要求，並提供充分資源及支援。

九、法令遵循單位依第三十二條第一項至少每半年向董(理) 事會及監察人或審

於條件成立起六個月內設置總機構專責法令遵循單位及法令遵循主管，及完成調整全行之法令遵循風險管理及監督架構，並將調整後架構報請主管機關備查後，得於次年四月底前辦理首次第五款及第九款相關之法令遵循執行情形函報主管機關，之後定期於每年四月底前函報評估報告，以利主管機關瞭解銀行業對法令遵循風險之辨識、評估、控制、

衡量、監控情形，就銀行業所辨識之法令遵循風險管理之弱點事項予以進一步強化監理。

(16)

計委員會報告之法令遵循事項，應針對全行境內外營運情形，提出法令遵循風險管理之弱點事項及督導改善計畫及時程，董(理) 事會應提供充分資源及對營業單位建立適當獎懲機制，

以循序建立全行法令遵循文化。

十、內部稽核單位依第十條第一項至少每半年向董(理)事會及監察人或審計委員會報告之稽核業務事項，應包括法令遵循單位辦理績效及全行法令遵循程度之評估意見。

適用前項規定之銀行業，應於符合適用條件起六個月內，依第三十二條第二項第一款規定設置總機構專責之法令遵循單位及法令遵循主管，並調整全行之法令遵循風險管理及監督架構報請主管機關備查後，且於每年四月底前將前項第五款及第九款評估報告函報主管機關。

第三十四條之二金融控股公司及銀行業為促進健全經營，應建立檢舉制度，並於總機構指定

二、為協助金融控股公司及銀行業建立誠信、

透明的企業文化及促

(17)

具職權行使獨立性之單位負責檢舉案件之受理及調查。

金融控股公司及銀行業對檢舉人應為下列之保護：

一、檢舉人之身分資料應予保密，不得洩漏足以識別其身分之資訊。

二、不得因所檢舉案件而對檢舉人予以解僱、解任、降調、

減薪、損害其依法令、契約或習慣上所應享有之權益，

或其他不利處分。

檢舉案件之受理及調查過程，有利益衝突之人，應予迴避。

第一項檢舉制度，

至少應包括下列事項，

並提報董 ( 理 ) 事會通過：

一、揭示任何人發現有犯罪、舞弊或違反法令之虞時，均得提出檢舉。

二、受理之檢舉案件類型。

三、設置並公布檢舉之管道。

四、調查與配合調查之流程、迴避規定及後續處理機制之標準作業程序。

五、檢舉人保護措施。

六、檢舉案件受理、調

進健全經營，應鼓勵知情員工主動舉發不法案件，在案件程度擴大前即速予妥為處理，達到防微杜漸之效並避免損及商譽，

以達保障公共利益之目的。參考英國行為監理總署(FCA)監理手冊第十八章關於金融機構應建立吹哨者保護機制之適用範圍及規範內容，於第一項明定金融控股公司及銀行業應建立檢舉制度，由總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。受理單位及調查單位因非專責單位，總機構可分別指定適合單位辦理，惟應明確揭示受理檢舉管道。

三、為使檢舉制度得以發揮功能，鼓勵檢舉人勇於揭發不法案件，

參酌勞動基準法第七十四條明定第二項規範檢舉制度中對檢舉人之保護應包含身分保密及工作權保障。

四、為保護檢舉人權益及強化對檢舉制度之信賴，並落實檢舉制度之公正性，避免檢舉案件在受理、調查及複審過程，有利

(18)

查過程、調查結果與相關文件製作之紀錄及保存。

七、檢舉案件之處理情形，應適度以書面或其他方式通知檢舉人。

被檢舉人為董(理) 事、監察人(監事)或職責相當於副總經理以上之管理階層者，調查報告應陳報至監察人 (監事、監事會)或審計委員會複審。

金融控股公司及銀行業調查後發現為重大偶發事件或違法案件，

應主動向相關機關通報或告發。

金融控股公司及銀行業應定期對所屬人員，辦理檢舉制度之宣導及教育訓練。

益衝突者介入導致無法發揮效果，爰於第三項規定應予迴避之原則。

五、為使金融控股公司及銀行業之檢舉制度能順暢運作，業者應視其規模大小，研訂適合之檢舉制度，並提報董(理)事會通過。

為完善檢舉制度內容，於第四項明定至少應包括下列事項：

(一) 金融控股公司及銀行業應宣示任何人發現有不法事項皆可提出檢舉。

(二) 為避免資源濫用，業者可規定受理檢舉案件類型，例如檢舉內容非屬違反法令、惡意攻訐、虛偽不實或無具體內容，得不受理。

(三) 設置並公布檢舉之管道，包括書面、電話、

電子郵件等。

(四) 受理後之調查作業標準流程，應包括立案原則、約談人員應遵守原則、迴避規定、

其他單位應配合調查、辦理時程、外部人檢舉案件之處理方式，調查完成後之後續處理機制，包括調查報告應分送單位、

相關人員之懲處等。

(19)

(五) 為保障檢舉人之權益，有關檢舉案件之保密機制、檢舉人身分及工作權之保障，

應依第二項規定一併納入規範。

(六) 檢舉案件相關資料之保存。

(七) 檢舉案件之處理情形應適度讓檢舉人瞭解。

六、被檢舉對象為董事、

監事或職責相當於副總經理以上之管理階層，則應有相當層級人員對於檢查報告進行複審，確認其內容並進行後續處理，爰於第五項明定調查報告應送監察人或審計委員會複審。

七、檢舉案件經調查後發現為重大偶發事件或違法案件，應由金融控股公司及銀行業主動通知相關主管機關依法啟動後續調查程序，爰於第六項明定向相關機關通報或告發。

八、為使金融控股公司及銀行業能建立良好的道德企業文化，應透過教育訓練讓全體員工瞭解檢舉機制，強化員工之道德認知，

使其明瞭通報管道及所受保護，以利制度

(20)

之順暢運作，於第七項明定應定期辦理宣導及教育訓練。

第三十八條之一銀行業應設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。

銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當之人擔任資訊安全專責單位主管。

銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年應將前一年度資訊安全整體執行情形，由資訊安全專責單位主管與董 ( 理 ) 事長 (主席)、總經理、總稽核聯名出具資訊安全整體執行情形聲明書（附表二），並於會計年度終了後三個月內提報董 (理)事會。

銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專業課程訓練或

二、為提升銀行業對資訊安全之重視，參考本會一百零六年三月十五日金管銀國字第一

 六二  七八

號函規定，增訂本條文第一項，要求銀行業應設置資訊安全專責單位及主管，專門負責資訊安全相關工作或職務，不得兼辦資訊或其他與職務有利益衝突之業務。

另考量信用合作社及票券金融公司之規模大小不一，對於規模較小者如要求設置資訊安全專責單位可能有其困難度，爰另行規定俾其彈性調整。

三、基於業務推動與資訊安全控管衡平性，考量資安單位若隸屬資訊單位管轄，將不利專責處理資訊安全業務，以及銀行業應依規模大小進行差異化管理之目的，增訂本條文第二項，規定前一年度資產規模達新臺幣一兆元以上之銀行業，應設置具職權行使獨立性之資訊安全專責單位，獨立於

(21)

職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課程。

中華民國銀行商業同業公會全國聯合會、

有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。

適用第二項規定之銀行業，應於符合適用條件起六個月內調整。

資訊單位外且組織地位相當。另有關指派協理以上或職責相當之人擔任資訊安全專責單位主管部分，其資格條件應符合「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。

四、為明確資訊安全專責單位及主管之權責，

參考本會一百零六年四月五日銀局(國)字第一 六二  一一九一號函規定，以及美國紐約州金融署 (NYDFS)發布之「金融服務業網路安全規範」(Part 500)相關規定，增訂第三項要求銀行業資訊安全專責單位應將資訊安全整體執行情形提報董 (理)事會，並由資訊安全專責單位主管與董(理)事長(主席)、

總經理、總稽核聯名出具資訊安全聲明書。前揭資訊安全整體執行情形之內容，

至少應包括依據本辦法第三十八條第五款所訂資訊安全防護機制與緊急應變計畫等執行情形，以及相關同業公會所訂資訊安全規範之遵循情形。

五、為提升資訊安全人力

(22)

資源素質，參考本會一百零五年十一月四日金管銀國字第一

五二 四一九  號函，以及本辦法第三十二條第六項法遵人員在職訓練規定，

增訂本條第四項銀行業應強化資訊安全教育訓練之規定。

六、為提升銀行業資訊安全之防護能力，增訂第五項規定，要求銀行公會等相關公會訂定資訊安全自律規範，並應配合資訊安全現況定期檢討修正。

七、考量要求資產規模達新臺幣一兆元以上之銀行業調整資訊安全專責單位及主管之架構與層級，需有一定期間配合調整，爰於第六項給予六個月調整期間。

第四十七條本辦法自發布日施行。

中華民國一百零一年三月二日修正條文，

除第八條第一項第二款第五目修正條文，信用合作社自一百零三年一月一日施行，及第八條第一項第二款第八目修正條文自一百年十二月三十日施行外，自發布後三個月施行。

第四十七條本辦法自發布日施行。

中華民國一百零一年三月二日修正條文，除第八條第一項第二款第五目修正條文，信用合作社自一百零三年一月一日施行，及第八條第一項第二款第八目修正條文自一百年十二月三十日施行外，自發布後三個月施行。

考量本次修正第三十四條之二要求金融控股公司及銀行業應建置舉發通報制度，需有一定期間配合調整，爰於第三項明定自發布日後六個月施行。

(23)

中華民國一百零七年三月三十一日修正之第三十四條之二修正條文，自發布後六個月施行。

本次共修正六條，增訂三條，要點臚列如下：

金融控股公司及銀行業內部控制及稽核制度實施 辦法部分條文修正總說明