June 2026
金控公司及銀行業內控三道模型下的組織架構及職能變動(臺灣)
金融監督管理委員會參照國際組織頒布之監理方針,將金控公司及銀行業內控三道防線更新為「三道模型」,並於2026年5月6日修訂《金融控股公司及銀行業內部控制及稽核制度實施辦法》(下稱「本辦法」)。其中,對金控公司及銀行業第二道模型的組織架構有特別規定如下:
1. 法令遵循:設置法令遵循專責單位,並指派副總經理以上或職責相當之人擔任「法令遵循長」。法令遵循長得兼任「防制詐欺專責單位」主管,以落實常態化打詐職能(第16條)。
2. 風險管理:設置隸屬於總經理之風險管理專責單位,不得兼辦其他與職務有利益衝突之業務,並指派副總經理以上或職責相當之人擔任「風險管理長」(第21條)。
3. 資訊安全:設置隸屬於總經理之資訊安全專責單位,並指派副總經理以上或職責相當之人擔任「資訊安全長」(第24條)。
因應功能差異,本辦法修訂後對第二道單位的職能範圍有所調整,重點如下:
1. 法令遵循:負責建立辨識、評估、監控及獨立陳報法令遵循風險之機制,並須督導各單位法令遵循自行查核之制度設計與執行成效。本辦法修訂後,不以資產總額達新台幣1兆元為限,全面要求銀行業設置專責單位,並於設置專責單位起2年內,將全行法遵風險管理及監督架構報請主管機關備查(第17、18條);
2. 風險管理:針對潛在新興風險,應辨識、衡量、評估,並採應變策略。(第22、23條);
3. 資訊安全:負責資訊安全制度之規劃、管理及執行,監督各單位落實資訊安全,並建立資通安全事件通報等相關機制(第25條)。
應注意的是,管理階層須指定具備第二道功能之單位,督導第一道單位訂定自行查核內容及程序,並覆核各單位自行查核之執行情形(第14條)。
此外,本辦法第27條增訂總稽核異動時,金控公司及銀行業須於五日內向主管機關函報原因,以確保稽核功能的獨立性。
針對前述須設置專責人員及專責單位等要求,本辦法雖給予至2027年12月31日止的調整緩衝期,但本所仍建議金融機構應儘速啟動組織架構盤點,並重新審視內部自行查核等流程,以確保專責單位之權責符合法令規範。
1. 法令遵循:設置法令遵循專責單位,並指派副總經理以上或職責相當之人擔任「法令遵循長」。法令遵循長得兼任「防制詐欺專責單位」主管,以落實常態化打詐職能(第16條)。
2. 風險管理:設置隸屬於總經理之風險管理專責單位,不得兼辦其他與職務有利益衝突之業務,並指派副總經理以上或職責相當之人擔任「風險管理長」(第21條)。
3. 資訊安全:設置隸屬於總經理之資訊安全專責單位,並指派副總經理以上或職責相當之人擔任「資訊安全長」(第24條)。
因應功能差異,本辦法修訂後對第二道單位的職能範圍有所調整,重點如下:
1. 法令遵循:負責建立辨識、評估、監控及獨立陳報法令遵循風險之機制,並須督導各單位法令遵循自行查核之制度設計與執行成效。本辦法修訂後,不以資產總額達新台幣1兆元為限,全面要求銀行業設置專責單位,並於設置專責單位起2年內,將全行法遵風險管理及監督架構報請主管機關備查(第17、18條);
2. 風險管理:針對潛在新興風險,應辨識、衡量、評估,並採應變策略。(第22、23條);
3. 資訊安全:負責資訊安全制度之規劃、管理及執行,監督各單位落實資訊安全,並建立資通安全事件通報等相關機制(第25條)。
應注意的是,管理階層須指定具備第二道功能之單位,督導第一道單位訂定自行查核內容及程序,並覆核各單位自行查核之執行情形(第14條)。
此外,本辦法第27條增訂總稽核異動時,金控公司及銀行業須於五日內向主管機關函報原因,以確保稽核功能的獨立性。
針對前述須設置專責人員及專責單位等要求,本辦法雖給予至2027年12月31日止的調整緩衝期,但本所仍建議金融機構應儘速啟動組織架構盤點,並重新審視內部自行查核等流程,以確保專責單位之權責符合法令規範。
