June 2026
金控公司及银行业内控三道模型下的组织架构及职能变动(台湾)
金融监督管理委员会参照国际组织颁布之监理方针,将金控公司及银行业内控三道防线更新为「三道模型」,并于2026年5月6日修订《金融控股公司及银行业内部控制及稽核制度实施办法》(下称「本办法」)。其中,对金控公司及银行业第二道模型的组织架构有特别规定如下:
1. 法令遵循:设置法令遵循专责单位,并指派副总经理以上或职责相当之人担任「法令遵循长」。法令遵循长得兼任「防制诈欺专责单位」主管,以落实常态化打诈职能(第16条)。
2. 风险管理:设置隶属于总经理之风险管理专责单位,不得兼办其他与职务有利益冲突之业务,并指派副总经理以上或职责相当之人担任「风险管理长」(第21条)。
3. 资讯安全:设置隶属于总经理之资讯安全专责单位,并指派副总经理以上或职责相当之人担任「资讯安全长」(第24条)。
因应功能差异,本办法修订后对第二道单位的职能范围有所调整,重点如下:
1. 法令遵循:负责建立辨识、评估、监控及独立陈报法令遵循风险之机制,并须督导各单位法令遵循自行查核之制度设计与执行成效。本办法修订后,不以资产总额达新台币1兆元为限,全面要求银行业设置专责单位,并于设置专责单位起2年内,将全行法遵风险管理及监督架构报请主管机关备查(第17、18条);
2. 风险管理:针对潜在新兴风险,应辨识、衡量、评估,并采应变策略。(第22、23条);
3. 资讯安全:负责资讯安全制度之规划、管理及执行,监督各单位落实资讯安全,并建立资通安全事件通报等相关机制(第25条)。
应注意的是,管理阶层须指定具备第二道功能之单位,督导第一道单位订定自行查核内容及程序,并复核各单位自行查核之执行情形(第14条)。
此外,本办法第27条增订总稽核异动时,金控公司及银行业须于五日内向主管机关函报原因,以确保稽核功能的独立性。
针对前述须设置专责人员及专责单位等要求,本办法虽给予至2027年12月31日止的调整缓冲期,但本所仍建议金融机构应尽速启动组织架构盘点,并重新审视内部自行查核等流程,以确保专责单位之权责符合法令规范。
1. 法令遵循:设置法令遵循专责单位,并指派副总经理以上或职责相当之人担任「法令遵循长」。法令遵循长得兼任「防制诈欺专责单位」主管,以落实常态化打诈职能(第16条)。
2. 风险管理:设置隶属于总经理之风险管理专责单位,不得兼办其他与职务有利益冲突之业务,并指派副总经理以上或职责相当之人担任「风险管理长」(第21条)。
3. 资讯安全:设置隶属于总经理之资讯安全专责单位,并指派副总经理以上或职责相当之人担任「资讯安全长」(第24条)。
因应功能差异,本办法修订后对第二道单位的职能范围有所调整,重点如下:
1. 法令遵循:负责建立辨识、评估、监控及独立陈报法令遵循风险之机制,并须督导各单位法令遵循自行查核之制度设计与执行成效。本办法修订后,不以资产总额达新台币1兆元为限,全面要求银行业设置专责单位,并于设置专责单位起2年内,将全行法遵风险管理及监督架构报请主管机关备查(第17、18条);
2. 风险管理:针对潜在新兴风险,应辨识、衡量、评估,并采应变策略。(第22、23条);
3. 资讯安全:负责资讯安全制度之规划、管理及执行,监督各单位落实资讯安全,并建立资通安全事件通报等相关机制(第25条)。
应注意的是,管理阶层须指定具备第二道功能之单位,督导第一道单位订定自行查核内容及程序,并复核各单位自行查核之执行情形(第14条)。
此外,本办法第27条增订总稽核异动时,金控公司及银行业须于五日内向主管机关函报原因,以确保稽核功能的独立性。
针对前述须设置专责人员及专责单位等要求,本办法虽给予至2027年12月31日止的调整缓冲期,但本所仍建议金融机构应尽速启动组织架构盘点,并重新审视内部自行查核等流程,以确保专责单位之权责符合法令规范。
