金融監督管理委員會公告：預告「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文修正草案-眾開講-公共政策網路參與平臺

金融監督管理委員會公告：預告「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文修正草案

FINANCIAL SUPERVISORY COMMISSION Notice is hereby given, to commence a period of public comments for the draft amendment on partial articles of "Implementation Rules of Internal Audit and Internal Control System of Financial Holding Companies and Banking Industries"

發布於 2021-06-10 截止於 2021-08-09

討論(尚餘0天)

金融監督管理委員會公告	中華民國110年6月7日金管銀國字第11002718071號
主　　旨：預告修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文草案。依　　據：行政程序法第一百五十一條第二項準用第一百五十四條第一項。公告事項：一、修正機關：金融監督管理委員會。二、修正依據：金融控股公司法第五十一條、銀行法第四十五條之一第一項、信用合作社法第二十一條第一項、票券金融管理法第四十三條及信託業法第四十二條第三項。三、旨揭法規修正草案總說明及修正草案條文對照表詳如附件，本案另載於本會「主管法規查詢系統」網站之「草案預告」網頁（網址：http://law.fsc.gov.tw/law/DraftForum.aspx）。四、對於本公告內容有任何意見或修正建議者，請於本公告刊登公報翌日起60日內於前開「草案預告」網頁陳述意見或洽詢： (一) 承辦單位：本會銀行局 (二) 地址：新北市板橋區縣民大道2段7號7樓 (三) 電話：(02)89689675、89689676 (四) 傳真：(02)89691354 (五) 電子郵件：ihchang@banking.gov.tw 主任委員　黃天牧金融控股公司及銀行業內部控制及稽核制度實施辦法部分條文修正草案總說明及對照表（請參見PDF）

金融監督管理委員會公告

中華民國110年6月7日
金管銀國字第11002718071號

主　　旨：預告修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文草案。

依　　據：行政程序法第一百五十一條第二項準用第一百五十四條第一項。

公告事項：

一、修正機關：金融監督管理委員會。

二、修正依據：金融控股公司法第五十一條、銀行法第四十五條之一第一項、信用合作社法第二十一條第一項、票券金融管理法第四十三條及信託業法第四十二條第三項。

三、旨揭法規修正草案總說明及修正草案條文對照表詳如附件，本案另載於本會「主管法規查詢系統」網站之「草案預告」網頁（網址：http://law.fsc.gov.tw/law/DraftForum.aspx）。

四、對於本公告內容有任何意見或修正建議者，請於本公告刊登公報翌日起60日內於前開「草案預告」網頁陳述意見或洽詢：

(一) 承辦單位：本會銀行局

(二) 地址：新北市板橋區縣民大道2段7號7樓

(三) 電話：(02)89689675、89689676

(四) 傳真：(02)89691354

(五) 電子郵件：ihchang@banking.gov.tw

主任委員　黃天牧

金融控股公司及銀行業內部控制及稽核制度實施辦法部分條文修正草案總說明及對照表（請參見PDF）

Top

本則草案預告，金管會已於110年9月23日公告，相關資訊與連結如下

金管會中華民國110年9月23日金管銀國字第11002730311號

金融監督管理委員會令：修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文

FINANCIAL SUPERVISORY COMMISSION Order is hereby given, for the amendment on partial articles of "Implementation Rules of Internal Audit and Internal Control System of Financial Holding Companies and Banking Industries"

機關綜整回應

金融監督管理委員會 2021-09-17

綜整回應:

「金融控股公司及銀行業內部控制及稽核制度實施辦法」部分條文修正草案外界意見綜整回應表

條文規定	外界意見	處理意見
一、適用金融機構之建議
	民眾：請將中華郵政股份有限公司有關郵政儲金匯兌業務部分，納入金融控股公司及銀行業內部控制及稽核制度實施辦法適用範圍。現行中華郵政股份有限公司有關郵政儲金匯兌業務部份是採用郵政儲金匯兌業務內部控制及稽核制度實施辦法去做監督，但中華郵政儲匯業務廣遍全台，存款量全台第一，其資安等級也早已被列為國家關鍵基礎設施最高級，建議中華郵政股份有限公司有關郵政儲金匯兌業務部份納入本辦法適用範圍內，以維護國家關鍵基礎設施。	不予參採，說明如下： 1.依郵政儲金匯兌法第2條及第10條之規定，中華郵政公司之郵政儲金匯兌事務，屬交通部主管，業務並受本會監督；該公司辦理郵政儲金匯兌業務，應建立內部控制及稽核制度，其辦法由交通部會同本會定之。 2.按交通部已依上開規定，與本會會銜訂定「郵政儲金匯兌業務內部控制及稽核制度實施辦法」，規範中華郵政公司之內部控制及稽核制度，並適時依中華郵政公司之業務特性，參考本辦法相關規定研議修正前揭辦法。
二、條文之建議
第十五條之一本國銀行得向主管機關申請核准採行風險導向內部稽核制度。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。本國銀行申請採行風險導向內部稽核制度，應符合下列條件：一、最近一次申報自有資本與風險性資產比率，符合銀行資本適足性及資本等級管理辦法第五條之規定。二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準，均無備抵呆帳及各項準備提列不足。三、最近一季逾期放款比率未超逾百分之一。四、已具備有效之內部控制制度。本國銀行經採行風險導向內部稽核制度者，不適用前條第一項及第十六條第二項查核頻率之規定。	民眾：修正條文第15條之1所規範採行風險導向內部稽核制度之本國銀行若亦同時為金控公司之子公司，則該金控公司第16條第2項子公司查核頻率是否可比照排除適用，因實務上金控公司對銀行子公司下之孫公司（即銀行之子公司）在第16條第2項可能分工由銀行子公司辦理。	不予參採，說明如下： 1.依本辦法第15條之1第1項規定，係僅放寬本國銀行得向本會申請核准採行風險導向內部稽核制度，至金控公司對子公司辦理內部稽核之查核頻率，則應依本辦法第16條第2項規定辦理。 2.另依據「金融控股公司稽核工作考核要點」規定，已將金控與子公司稽核查核分工之適當性納入考核項目，且依本辦法第10條第7項規定，金控公司得調動子公司內稽人員辦理稽核工作，故如金控集團之稽核業務分工，係由銀行子公司負責對其轉投資之子公司(即金控之孫公司)辦理查核，且金控公司未再對該孫公司辦理內稽查核，若該銀行子公司向本會申請將其轉投資之子公司納入採行上該風險導向內部稽核制度，經本會核准後，該銀行子公司得排除適用第16條第2項查核頻率之規定，至金控公司對子公司之查核頻率，則依循該集團稽核業務分工方式，遵循相關規定辦理。 3.綜上，金控公司依循集團稽核業務分工辦理查核，應無排除適用本辦法第16條第2項之問題。
第三十八條之一銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務。設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當之人擔任資訊安全專責單位主管。銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年應將前一年度資訊安全整體執行情形，依第二十七條第一項規定辦理內部控制制度聲明書之出具、揭露及公告申報，並由資訊安全長聯名出具。銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課程。中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。適用第二項規定之銀行業，應於符合適用條件起六個月內調整。	民眾： 1.實務上對於資安人員不得兼辦資訊或其他與職務有利益衝突之業務未明確定義,導致銀行資安人員角色與職務無所遵循,不能善盡資安管理之責。總資產未達新臺幣(下同)一兆元銀行資安人員隸屬資訊部門管理,資安人員考績考核、人員設備配置及獎金都取決於資訊部門主管,資安人員如何能善盡資安管理之責。 2.第38條之1第3項(資訊安全整體執行情形納入內部控制制度聲明書出具，並由資訊安全長聯名出具)，是否明訂內部控制制度聲明書要由資安部門負責辦理出具？ 3.第38條之1第1項(銀行業應指派副總經理以上或職責相當之人兼任資訊安全長)，外國銀行在台分行是否適用? 建請比照及維持現行外國銀行及大陸地區銀行在臺分行適用「金融控股公司及銀行業內部控制及稽核制度實施辦法（本辦法）」說明對照表，考量外銀在臺分行係由總行或區域總部執行資安作業，爰於分行層級得不設置資訊安全長、資安專責單位及主管，指定人員負責處理資安作業之聯繫事宜即可。	不予參採，說明如下： 1.有關銀行業設置「資訊安全專責單位」及「具職權行使獨立性之資訊安全專責單位」之資安人員角色與職務無所遵循一節 (1)為提升銀行業對資訊安全之重視，本辦法第38條之1第1項規定，銀行業應設置「資安專責單位及主管」，不得兼辦公司內部資訊或其他與職務有利益衝突之業務。至於資訊單位其他人員亦有可能執行與資訊職務本身有關之資安工作(屬第一線道防線資安)，與本條所規範之資安專責單位(屬第二道防線資安)有別。 (2)基於業務推動與資訊安全控管衡平性，考量資安單位若隸屬資訊單位管轄，將不利專責處理資訊安全業務，以及銀行業應依規模大小進行差異化管理之目的，爰本辦法第38條之1第2項規定，資產規模超過1兆元以上之大型銀行業，應設置「具職權行使獨立性之資訊安全專責單位」，獨立於資訊單位外且組織地位相當。至於較小型銀行業，因人力及資源有限，爰無強制要求設置上開獨立於資訊部門之資安專責單位，惟若其遵循辦理之，亦未違該項之立法目的。 (3)另為保留銀行業務自主權，爰本辦法未明定資安專責單位之細部具體工作項目，而由銀行業依據內部最適人力資源配置及組織架構，調度資訊與資安單位之相關工作，並透過內控三道防線運作善盡資安管理工作之責。 2.有關第38條之1第3項規定資訊資訊安全整體執行情形納入內部控制制度聲明書出具，並由資訊安全長聯名出具一節，依該條規定係指由董（理）事長（主席）、總經理、總稽核、總機構法令遵循主管及資訊安全長聯名出具，尚非指定由資安部門負責出具事宜，所提意見似有誤解。 3.有關外國銀行及大陸地區銀行在臺分行適用本辦法一節，考量外國銀行及大陸地區銀行在臺分行之業務型態及組織架構，與本國銀行有所不同，爰本會已另訂有「外國銀行及大陸地區銀行在臺分行適用本辦法說明對照表」(附件7)，非完全適用本辦法規定。爰本辦法修正發布後，將另案研議外銀及陸銀在臺分行適用本辦法之規定。
第十四條(第1項第2款) 內部稽核單位應辦理下列事項：二、督導業務管理單位訂定自行查核內容與程序，及各單位自行查核之執行情形。第二十五條銀行業應建立自行查核制度。各營業、財務、資產保管、資訊單位及國外營業單位應每半年至少辦理一次一般自行查核，每月至少辦理一次專案自行查核。但已辦理一般自行查核、內部稽核單位（含母公司內部稽核單位）已辦理一般業務查核、金融檢查機關已辦理一般業務檢查或法令遵循事項自行評估之月份，該月得免辦理專案自行查核。金融控股公司各單位及子公司每年至少須辦理一次內部控制制度自行查核，以及每半年至少須辦理一次法令遵循作業自行查核。各單位辦理前二項之自行查核，應由該單位主管指定非原經辦人員辦理並事先保密。第一項及第二項自行查核報告應作成工作底稿，併同自行查核報告及相關資料至少留存五年備查。	銀行公會： 1.內部稽核係第三道防線，應維持組織中最高之獨立性，透過查核業務管理單位訂定自行查核內容與程序，及各單位自行查核之執行情形，發揮監督功能。鑒於原條文造成自行評估與自行查核督導單位不同，有礙整併之推動並影響內部稽核單位之獨立性，建議將第14條第1項第2款之「督導」修改為「查核」以釐清內部稽核單位之權責且更符合國際潮流。 2.鑒於我國各金融控股公司及銀行業之業務範圍廣泛、複雜度高且作法各異，為強化銀行自行查核之執行，不再區分一般自行查核及專案自行查核。 3.第25條第3項規定自行查核由該單位主管指定非原經辦人員辦理，實際執行時各銀行業作法不一，恐難發揮實質效益。另世界各國較少採用自行查核機制，常見之作法為自行評估，參考主流之自行評估作法，放寬執行之要求，由單位自行指派適當人員執行即可爰刪除第3項應由該單位主管指定非原經辦人員辦理並事先保密，改為得由該單位主管指定非原經辦人員辦理並事先保密。 4.為增加金融控股公司各單位、子公司及銀行業辦理各項自行查核及自行評估之彈性，並參考澳洲法規不重複辦理性質相同評估之精神，建議增訂第4項，使金融控股公司各單位、子公司及銀行業辦理各項自行查核或自行評估時，如性質與內容有重複者，得參照運用，不重複辦理相同之查核或評估作業。	納入下次修法議題，說明如下：銀行公會所提修正本辦法第14條及第25條之意見，涉及銀行既有實務作業及組織人力配置，影響層面較廣，宜先予釐清內部控制三道防線之權責，並充分評估法規架構及實務執行之可行性，將納入下次修法議題。
第三十二條(第1項及第2項) 金融控股公司及銀行業之總機構應設立一隸屬於總經理之法令遵循單位，負責法令遵循制度之規劃、管理及執行，並指派高階主管一人擔任總機構法令遵循主管，綜理法令遵循事務，至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報董（理）事及監察人（監事、監事會），並就法令遵循事項，提報董（理）事會。前項法令遵循單位及總機構法令遵循主管之設置，規定如下：一、銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置專責之法令遵循單位，得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。其總機構法令遵循主管，得兼任防制洗錢及打擊資恐專責單位主管。但不得兼任法務單位主管或內部其他職務。二、金融控股公司及不適用前款規定之銀行業，其總機構法令遵循主管除兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外，不得兼任內部其他職務。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。第三十四條(第1項) 法令遵循單位應辦理下列事項：一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規定。三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前，法令遵循主管應出具符合法令及內部規範之意見並簽署負責。四、訂定法令遵循之評估內容與程序，及督導各單位定期自行評估執行情形，並對各單位法令遵循自行評估作業成效加以考核，經簽報總經理後，作為單位考評之參考依據。五、對各單位人員施以適當合宜之法規訓練。六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。第三十四條之二(第1項) 金融控股公司及銀行業為促進健全經營，應建立檢舉制度，並於總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。	民眾： 1.法遵單位之執掌與業務權責不明，實務運作上各金融機構的法遵部門與稽核、風管、法務單位權責劃分均有不同，造成法遵人員欠缺專業性與獨立性。各金融機構對法遵業務定義不同，也不利國內相關立法討論的聚焦與發展。應比照法遵長明文列舉法遵單位之執掌且不得兼辦其他業務。 2.法遵單位與稽核單位提報董事會之相關事項重複，造成董事會議案疊床架屋、流程繁瑣，甚至有稽核單位以檢查意見需保密或稽核獨立性為由，拒絕提供法遵單位檢查或查核所發現重大違反法令資訊，實務運作上窒礙難行且毫無必要。 3.第34條之2體系錯誤，目前金融機構職權獨立行使的就只有稽核單位，法規根本沒有保障法遵單位的獨立性，何以要把檢舉制度訂在法令遵循制度內？由法遵單位執行檢舉制度，就是在幫總經理或副總吃案。	不予參採，說明如下： 1.有關法令遵循單位欠缺獨立性及業務權責不明一節，為強調我國大型銀行業法令遵循單位之獨立性及專責性，本辦法第32條第1項及第2項規定，法令遵循單位得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。另第34條已明定法令遵循單位應辦理事項。綜上，尚無所稱法令遵循單位欠缺獨立性及權責業務不明之情形。 2.有關稽核單位與法遵單位提報董事會之事項有所重複一節，依本辦法第14條及第22條規定，「內部稽核單位」應擬訂年度稽核計畫，並應經董（理）事會通過；第32條規定「總機構法令遵循單位」負責法令遵循制度之規劃、管理及執行，應定期(至少每半年)向董（理）事會及監察人（監事、監事會）或審計委員會報告。爰上開二單位，係分別就其職掌事項向決策單位報告，尚無重複之情形。 3.有關於法令遵循制度章節(第34條之2)規範檢舉制度，體系錯誤一節，按檢舉制度乃係協助企業即早發現不法案件，以利及早發現不法、不當情事，俾利導正及落實遵循法令規定，爰性質上仍屬建立及落實法令遵循制度事宜，於第34條之2規範，體系尚屬妥適。

條文規定

外界意見

處理意見

一、適用金融機構之建議

民眾：

請將中華郵政股份有限公司有關郵政儲金匯兌業務部分，納入金融控股公司及銀行業內部控制及稽核制度實施辦法適用範圍。現行中華郵政股份有限公司有關郵政儲金匯兌業務部份是採用郵政儲金匯兌業務內部控制及稽核制度實施辦法去做監督，但中華郵政儲匯業務廣遍全台，存款量全台第一，其資安等級也早已被列為國家關鍵基礎設施最高級，建議中華郵政股份有限公司有關郵政儲金匯兌業務部份納入本辦法適用範圍內，以維護國家關鍵基礎設施。

不予參採，說明如下：

1.依郵政儲金匯兌法第2條及第10條之規定，中華郵政公司之郵政儲金匯兌事務，屬交通部主管，業務並受本會監督；該公司辦理郵政儲金匯兌業務，應建立內部控制及稽核制度，其辦法由交通部會同本會定之。

2.按交通部已依上開規定，與本會會銜訂定「郵政儲金匯兌業務內部控制及稽核制度實施辦法」，規範中華郵政公司之內部控制及稽核制度，並適時依中華郵政公司之業務特性，參考本辦法相關規定研議修正前揭辦法。

二、條文之建議

第十五條之一本國銀行得向主管機關申請核准採行風險導向內部稽核制度。主管機關得視銀行之資產規模、業務風險及其他必要情況，請本國銀行申請採行風險導向內部稽核制度。

本國銀行申請採行風險導向內部稽核制度，應符合下列條件：

一、最近一次申報自有資本與風險性資產比率，符合銀行資本適足性及資本等級管理辦法第五條之規定。

二、以最近一次金融檢查及最近一期經會計師查核簽證之財務報表為基準，均無備抵呆帳及各項準備提列不足。

三、最近一季逾期放款比率未超逾百分之一。

四、已具備有效之內部控制制度。

本國銀行經採行風險導向內部稽核制度者，不適用前條第一項及第十六條第二項查核頻率之規定。

民眾：

修正條文第15條之1所規範採行風險導向內部稽核制度之本國銀行若亦同時為金控公司之子公司，則該金控公司第16條第2項子公司查核頻率是否可比照排除適用，因實務上金控公司對銀行子公司下之孫公司（即銀行之子公司）在第16條第2項可能分工由銀行子公司辦理。

不予參採，說明如下：

1.依本辦法第15條之1第1項規定，係僅放寬本國銀行得向本會申請核准採行風險導向內部稽核制度，至金控公司對子公司辦理內部稽核之查核頻率，則應依本辦法第16條第2項規定辦理。

2.另依據「金融控股公司稽核工作考核要點」規定，已將金控與子公司稽核查核分工之適當性納入考核項目，且依本辦法第10條第7項規定，金控公司得調動子公司內稽人員辦理稽核工作，故如金控集團之稽核業務分工，係由銀行子公司負責對其轉投資之子公司(即金控之孫公司)辦理查核，且金控公司未再對該孫公司辦理內稽查核，若該銀行子公司向本會申請將其轉投資之子公司納入採行上該風險導向內部稽核制度，經本會核准後，該銀行子公司得排除適用第16條第2項查核頻率之規定，至金控公司對子公司之查核頻率，則依循該集團稽核業務分工方式，遵循相關規定辦理。

3.綜上，金控公司依循集團稽核業務分工辦理查核，應無排除適用本辦法第16條第2項之問題。

第三十八條之一銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務。設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。

銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當之人擔任資訊安全專責單位主管。

銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年應將前一年度資訊安全整體執行情形，依第二十七條第一項規定辦理內部控制制度聲明書之出具、揭露及公告申報，並由資訊安全長聯名出具。

銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課程。

中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。

適用第二項規定之銀行業，應於符合適用條件起六個月內調整。

民眾：

1.實務上對於資安人員不得兼辦資訊或其他與職務有利益衝突之業務未明確定義,導致銀行資安人員角色與職務無所遵循,不能善盡資安管理之責。總資產未達新臺幣(下同)一兆元銀行資安人員隸屬資訊部門管理,資安人員考績考核、人員設備配置及獎金都取決於資訊部門主管,資安人員如何能善盡資安管理之責。

2.第38條之1第3項(資訊安全整體執行情形納入內部控制制度聲明書出具，並由資訊安全長聯名出具)，是否明訂內部控制制度聲明書要由資安部門負責辦理出具？

3.第38條之1第1項(銀行業應指派副總經理以上或職責相當之人兼任資訊安全長)，外國銀行在台分行是否適用? 建請比照及維持現行外國銀行及大陸地區銀行在臺分行適用「金融控股公司及銀行業內部控制及稽核制度實施辦法（本辦法）」說明對照表，考量外銀在臺分行係由總行或區域總部執行資安作業，爰於分行層級得不設置資訊安全長、資安專責單位及主管，指定人員負責處理資安作業之聯繫事宜即可。

不予參採，說明如下：

1.有關銀行業設置「資訊安全專責單位」及「具職權行使獨立性之資訊安全專責單位」之資安人員角色與職務無所遵循一節

(1)為提升銀行業對資訊安全之重視，本辦法第38條之1第1項規定，銀行業應設置「資安專責單位及主管」，不得兼辦公司內部資訊或其他與職務有利益衝突之業務。至於資訊單位其他人員亦有可能執行與資訊職務本身有關之資安工作(屬第一線道防線資安)，與本條所規範之資安專責單位(屬第二道防線資安)有別。

(2)基於業務推動與資訊安全控管衡平性，考量資安單位若隸屬資訊單位管轄，將不利專責處理資訊安全業務，以及銀行業應依規模大小進行差異化管理之目的，爰本辦法第38條之1第2項規定，資產規模超過1兆元以上之大型銀行業，應設置「具職權行使獨立性之資訊安全專責單位」，獨立於資訊單位外且組織地位相當。至於較小型銀行業，因人力及資源有限，爰無強制要求設置上開獨立於資訊部門之資安專責單位，惟若其遵循辦理之，亦未違該項之立法目的。

(3)另為保留銀行業務自主權，爰本辦法未明定資安專責單位之細部具體工作項目，而由銀行業依據內部最適人力資源配置及組織架構，調度資訊與資安單位之相關工作，並透過內控三道防線運作善盡資安管理工作之責。

2.有關第38條之1第3項規定資訊資訊安全整體執行情形納入內部控制制度聲明書出具，並由資訊安全長聯名出具一節，依該條規定係指由董（理）事長（主席）、總經理、總稽核、總機構法令遵循主管及資訊安全長聯名出具，尚非指定由資安部門負責出具事宜，所提意見似有誤解。

3.有關外國銀行及大陸地區銀行在臺分行適用本辦法一節，考量外國銀行及大陸地區銀行在臺分行之業務型態及組織架構，與本國銀行有所不同，爰本會已另訂有「外國銀行及大陸地區銀行在臺分行適用本辦法說明對照表」(附件7)，非完全適用本辦法規定。爰本辦法修正發布後，將另案研議外銀及陸銀在臺分行適用本辦法之規定。

第十四條(第1項第2款)

內部稽核單位應辦理下列事項：

二、督導業務管理單位訂定自行查核內容與程序，及各單位自行查核之執行情形。

第二十五條銀行業應建立自行查核制度。各營業、財務、資產保管、資訊單位及國外營業單位應每半年至少辦理一次一般自行查核，每月至少辦理一次專案自行查核。但已辦理一般自行查核、內部稽核單位（含母公司內部稽核單位）已辦理一般業務查核、金融檢查機關已辦理一般業務檢查或法令遵循事項自行評估之月份，該月得免辦理專案自行查核。

金融控股公司各單位及子公司每年至少須辦理一次內部控制制度自行查核，以及每半年至少須辦理一次法令遵循作業自行查核。

各單位辦理前二項之自行查核，應由該單位主管指定非原經辦人員辦理並事先保密。

第一項及第二項自行查核報告應作成工作底稿，併同自行查核報告及相關資料至少留存五年備查。

銀行公會：

1.內部稽核係第三道防線，應維持組織中最高之獨立性，透過查核業務管理單位訂定自行查核內容與程序，及各單位自行查核之執行情形，發揮監督功能。鑒於原條文造成自行評估與自行查核督導單位不同，有礙整併之推動並影響內部稽核單位之獨立性，建議將第14條第1項第2款之「督導」修改為「查核」以釐清內部稽核單位之權責且更符合國際潮流。

2.鑒於我國各金融控股公司及銀行業之業務範圍廣泛、複雜度高且作法各異，為強化銀行自行查核之執行，不再區分一般自行查核及專案自行查核。

3.第25條第3項規定自行查核由該單位主管指定非原經辦人員辦理，實際執行時各銀行業作法不一，恐難發揮實質效益。另世界各國較少採用自行查核機制，常見之作法為自行評估，參考主流之自行評估作法，放寬執行之要求，由單位自行指派適當人員執行即可爰刪除第3項應由該單位主管指定非原經辦人員辦理並事先保密，改為得由該單位主管指定非原經辦人員辦理並事先保密。

4.為增加金融控股公司各單位、子公司及銀行業辦理各項自行查核及自行評估之彈性，並參考澳洲法規不重複辦理性質相同評估之精神，建議增訂第4項，使金融控股公司各單位、子公司及銀行業辦理各項自行查核或自行評估時，如性質與內容有重複者，得參照運用，不重複辦理相同之查核或評估作業。

納入下次修法議題，說明如下：

銀行公會所提修正本辦法第14條及第25條之意見，涉及銀行既有實務作業及組織人力配置，影響層面較廣，宜先予釐清內部控制三道防線之權責，並充分評估法規架構及實務執行之可行性，將納入下次修法議題。

第三十二條(第1項及第2項)

金融控股公司及銀行業之總機構應設立一隸屬於總經理之法令遵循單位，負責法令遵循制度之規劃、管理及執行，並指派高階主管一人擔任總機構法令遵循主管，綜理法令遵循事務，至少每半年向董（理）事會及監察人（監事、監事會）或審計委員會報告，如發現有重大違反法令或遭金融主管機關調降評等時，應即時通報董（理）事及監察人（監事、監事會），並就法令遵循事項，提報董（理）事會。

前項法令遵循單位及總機構法令遵循主管之設置，規定如下：

一、銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置專責之法令遵循單位，得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。其總機構法令遵循主管，得兼任防制洗錢及打擊資恐專責單位主管。但不得兼任法務單位主管或內部其他職務。

二、金融控股公司及不適用前款規定之銀行業，其總機構法令遵循主管除兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外，不得兼任內部其他職務。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。

第三十四條(第1項)

法令遵循單位應辦理下列事項：

一、建立清楚適當之法令規章傳達、諮詢、協調與溝通系統。

二、確認各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規定。

三、於銀行業推出各項新商品、服務及向主管機關申請開辦新種業務前，法令遵循主管應出具符合法令及內部規範之意見並簽署負責。

四、訂定法令遵循之評估內容與程序，及督導各單位定期自行評估執行情形，並對各單位法令遵循自行評估作業成效加以考核，經簽報總經理後，作為單位考評之參考依據。

五、對各單位人員施以適當合宜之法規訓練。

六、應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施。

第三十四條之二(第1項)

金融控股公司及銀行業為促進健全經營，應建立檢舉制度，並於總機構指定具職權行使獨立性之單位負責檢舉案件之受理及調查。

民眾：

1.法遵單位之執掌與業務權責不明，實務運作上各金融機構的法遵部門與稽核、風管、法務單位權責劃分均有不同，造成法遵人員欠缺專業性與獨立性。各金融機構對法遵業務定義不同，也不利國內相關立法討論的聚焦與發展。應比照法遵長明文列舉法遵單位之執掌且不得兼辦其他業務。

2.法遵單位與稽核單位提報董事會之相關事項重複，造成董事會議案疊床架屋、流程繁瑣，甚至有稽核單位以檢查意見需保密或稽核獨立性為由，拒絕提供法遵單位檢查或查核所發現重大違反法令資訊，實務運作上窒礙難行且毫無必要。

3.第34條之2體系錯誤，目前金融機構職權獨立行使的就只有稽核單位，法規根本沒有保障法遵單位的獨立性，何以要把檢舉制度訂在法令遵循制度內？由法遵單位執行檢舉制度，就是在幫總經理或副總吃案。

不予參採，說明如下：

1.有關法令遵循單位欠缺獨立性及業務權責不明一節，為強調我國大型銀行業法令遵循單位之獨立性及專責性，本辦法第32條第1項及第2項規定，法令遵循單位得兼辦防制洗錢及打擊資恐相關事項。但不得兼辦與法令遵循制度之規劃、管理及執行無關之法務或其他與職務有利益衝突之業務。另第34條已明定法令遵循單位應辦理事項。綜上，尚無所稱法令遵循單位欠缺獨立性及權責業務不明之情形。

2.有關稽核單位與法遵單位提報董事會之事項有所重複一節，依本辦法第14條及第22條規定，「內部稽核單位」應擬訂年度稽核計畫，並應經董（理）事會通過；第32條規定「總機構法令遵循單位」負責法令遵循制度之規劃、管理及執行，應定期(至少每半年)向董（理）事會及監察人（監事、監事會）或審計委員會報告。爰上開二單位，係分別就其職掌事項向決策單位報告，尚無重複之情形。

3.有關於法令遵循制度章節(第34條之2)規範檢舉制度，體系錯誤一節，按檢舉制度乃係協助企業即早發現不法案件，以利及早發現不法、不當情事，俾利導正及落實遵循法令規定，爰性質上仍屬建立及落實法令遵循制度事宜，於第34條之2規範，體系尚屬妥適。