| 1 |
一、本注意事項依信用卡業務機構管理辦法第三十三條規定訂定之。 |
| 2 |
二、本注意事項適用對象如下:
(一)專營信用卡業務機構。
(二)兼營信用卡業務之銀行及信用合作社。該類機構內部控制及稽核制
度,除符合該業別之內部控制及稽核制度實施辦法外,信用卡業務
相關事項應依本注意事項第八點第一項第二款、第十一點第二項第
一款、第十八點及第三十四點規定辦理。
(三)兼營信用卡業務之其他機構。但僅辦理信用卡相關顧問諮詢服務等
其他信用卡業務者,得免依本注意事項辦理。 |
| 3 |
三、信用卡業務機構應建立內部控制制度,並確保該制度得以持續有效執
行,以健全信用卡業務機構經營。
信用卡業務機構應規劃整體經營策略、風險管理政策與指導準則,並
擬定經營計畫、風險管理程序及執行準則。 |
| 4 |
四、內部控制之基本目的在於促進信用卡業務機構健全經營,並應由其董
事會、管理階層及所有從業人員共同遵行,以合理確保達成下列目標
:
(一)營運之效果及效率。
(二)財務報導之可靠性。
(三)相關法令之遵循。
前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產
安全等目標。
第一項第二款所稱財務報導之可靠性目標,包括確保對外之財務報表
係依照一般公認會計原則編製,交易經適當核准等目標。 |
| 5 |
五、信用卡業務機構之內部控制制度,應經董事會通過,如有董事表示反
對意見或保留意見者,應將其意見及理由於董事會議紀錄載明,連同
經董事會通過之內部控制制度送各監察人;修正時,亦同。 |
| 6 |
六、信用卡業務機構應建立內部稽核制度、自行查核制度、法令遵循制度
以及風險管理機制,以維持有效適當之內部控制制度運作。 |
| 7 |
七、信用卡業務機構之內部控制制度應包含下列各項原則:
(一)管理階層之監督及控制文化:董事會應負責核准並定期覆核整體經
營策略與重大政策,董事會對於確保建立並維持適當有效之內部控
制制度負有最終之責任;高階管理階層應負責執行董事會核定之經
營策略與政策,發展足以辨識、衡量、監督及控制風險之程序,訂
定適當之內部控制政策及監督其有效性與適切性。
(二)風險辨識與評估:有效之內部控制制度須可辨識並持續評估整體目
標之達成可能產生負面影響之重大風險,並決定如何因應相關風險
,使其能被限制在可承受之範圍內。
(三)控制活動與職務分工:控制活動應為每日整體營運之一部分,並設
立完善之控制架構,及訂定各層級之內控程序;有效之內部控制制
度應有適當之職務分工,且管理階層及員工不應擔任責任相互衝突
之工作。
(四)資訊與溝通:信用卡業務機構應保有完整之財務、營運及遵循資訊
;資訊應具備可靠性、及時性與容易取得之特性,並以一致性之格
式提供,有效之內部控制制度應建立有效之溝通管道。
(五)監督活動與更正缺失:應持續監督內部控制整體之有效性,各單位
、內部稽核或其他內控人員發現之內部控制缺失均應即時向適當層
級報告,若屬重大之內部控制缺失應向高階管理階層及董事會報告
,並應立即採取改正措施。 |
| 8 |
八、內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業
程序,且應適時檢討修訂:
(一)組織規程或管理章則,應包括訂定明確之組織系統、單位職掌、業
務範圍與明確之授權及分層負責辦法。
(二)相關業務規範及處理手冊,包括:
1.客戶資料保密。
2.適用國際會計準則之管理、會計暨財務報表編製流程、總務、資
訊、人事管理。
3.對外資訊揭露作業管理。
4.金融檢查報告之管理。
5.金融消費者保護之管理。
6.委外作業管理。
7.發卡業務、收單業務、授權使用信用卡之商標或服務標章及提供
信用卡交易授權或清算服務之管理。
8.其他業務之規範及作業程序。
前項各種作業及管理章則之訂定、修正或廢止,必要時應有法令遵循
、內部稽核及風險管理單位等相關單位之參與。 |
| 9 |
九、內部稽核制度之目的,在於協助董事會及管理階層查核及評估內部控
制制度是否有效運作,並適時提供改進建議,以合理確保內部控制制
度得以持續有效實施及作為檢討修正內部控制制度之依據。 |
| 10 |
十、信用卡業務機構應設立隸屬董事會之內部稽核單位,以獨立超然之精
神,執行稽核業務,並應至少每年向董事會及監察人報告稽核業務。
信用卡業務機構應視事業規模、業務情況及管理需要,設置適當職級
之稽核主管,綜理稽核業務。稽核主管應具備領導及有效督導稽核工
作之能力,且不得兼任與稽核工作有相互衝突或牽制之職務。
稽核主管之聘任、解聘或調職,應經董事會全體董事三分之二以上之
同意後為之。內部稽核單位之人事任用、免職、升遷、獎懲、輪調及
考核等,應由稽核主管簽報,報經董事長核定後辦理。但涉及其他管
理、業務單位人事者,應事先洽商人事單位轉報總經理同意後,再行
簽報董事長核定。 |
| 11 |
十一、信用卡業務機構應依據發卡量、特約商店家數、業務量、管理需要
及其他相關法令之規定,配置適任及適當人數之專任內部稽核人員
,以超然獨立、客觀公正之立場,執行其職務。
信用卡業務機構內部稽核人員應具備下列條件:
(一)具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相
當於高等考試、國際內部稽核師之考試及格並具有二年以上之金
融業務經驗;或具有五年以上之金融業務經驗。曾任會計師事務
所查帳員、電腦公司程式設計師或系統分析師等專業人員二年以
上,經施以三個月以上之信用卡業務及管理訓練,視同符合規定
,惟其員額不得逾稽核人員總員額之三分之一。
(二)最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所
致之連帶處分,已功過相抵者,不在此限。
(三)內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗
,或一年以上之稽核經驗及五年以上之金融業務經驗。
信用卡業務機構應隨時檢查內部稽核人員有無違反前二項之規定,
如有違反規定者,應於發現之日起二個月內改善,若逾期未予改善
,應立即調整其職務。 |
| 12 |
十二、內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
(一)明知所屬信用卡業務機構之營運活動、財務報導及相關法令遵循
情況有直接損害關係人之情事,而予以隱飾或作不實、不當之揭
露。
(二)逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得
之資訊,對外洩漏或為己圖利或侵害所屬信用卡業務機構之利益
。
(三)因職務上之廢弛,致有損及所屬信用卡業務機構或關係人之權益
等情事。
(四)對於以前曾服務之部門,於一年內進行稽核作業。
(五)對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理
該等案件或業務之稽核工作。
(六)收受所屬信用卡業務機構從業人員或客戶之不當招待或餽贈或其
他不正當利益。
(七)未配合辦理主管機關指示查核事項或提供相關資料。
(八)其他違反法令或經主管機關規定不得為之行為。
信用卡業務機構應隨時檢查內部稽核人員有無違反前項之規定,如
有違反規定者,應於發現之日起一個月內調整其職務。 |
| 13 |
十三、內部稽核單位應辦理下列事項:
(一)規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊及
工作底稿,其內容至少應包括對內部控制制度各項規定與業務流
程進行評估,以判斷現行規定、程序是否已具有適當之內部控制
,各單位是否切實執行內部控制及執行內部控制之效益是否合理
等,並隨時提出改進意見。
(二)督導各單位訂定自行查核內容與程序,及各單位自行查核之執行
情形。
(三)擬訂年度稽核計畫,並依各單位業務風險特性及其內部稽核執行
情形,訂定對各單位之查核計畫。
信用卡業務機構應督促各單位辦理自行查核,並由內部稽核單位覆
核各單位之內部控制自行查核報告,併同內部稽核單位所發現之內
部控制缺失及異常事項改善情形,以作為董事會、總經理、稽核主
管及法令遵循主管評估整體內部控制制度有效性及出具內部控制制
度聲明書之依據。 |
| 14 |
十四、內部稽核單位對業務、財務、資訊及其他管理單位每年至少應辦理
一次一般查核及一次專案查核。
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單
位之一般查核或專案查核辦理。 |
| 15 |
十五、內部稽核單位辦理一般查核,其內部稽核報告內容應依受檢單位之
性質,分別揭露下列項目:
(一)查核範圍、綜合評述、財務狀況、經營績效、資產品質、董事會
議事運作之管理、法令遵循、內部控制、各項業務作業控制與內
部管理、客戶資料保密管理、資訊管理、員工保密教育、消費者
權益保護措施及自行查核辦理情形,並加以評估。
(二)對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之
懲處建議。
(三)金融檢查機關、會計師、內部稽核單位、自行查核人員所提列檢
查意見或查核缺失,及內部控制制度聲明書所列應加強辦理改善
事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。 |
| 16 |
十六、信用卡業務機構因內部管理不善、內部控制欠佳、內部稽核制度及
法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改
善辦理情形或內部稽核單位對查核結果有隱匿未予揭露,而肇致重
大弊端時,相關人員應負失職責任。內部稽核人員發現重大弊端或
疏失,並使所屬信用卡業務機構免於重大損失,應予獎勵。
信用卡業務機構各單位發生重大缺失或弊端時,內部稽核單位應有
懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應負責之
失職人員。 |
| 17 |
十七、信用卡業務機構應將內部稽核報告交付監察人查閱,並於查核結束
日起二個月內函送主管機關。 |
| 18 |
十八、內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構
所舉辦之相關稽核人員研習班一期次以上,並取得結業證書。
內部稽核人員(含稽核主管)每年應參加主管機關認定機構所舉辦
或所屬信用卡業務機構自行舉辦之信用卡相關業務專業訓練,其最
低訓練時數,稽核主管應達十小時以上,其餘內部稽核人員應達十
五小時以上。當年度取得國際內部稽核師證照者,得抵免當年度之
訓練時數。
參加主管機關認定機構所舉辦之信用卡相關業務專業訓練時數不得
低於前項應達訓練時數二分之一。
信用卡業務機構應每年訂定自行查核訓練計畫,依各單位之業務性
質對於自行查核人員應持續施以適當查核訓練。
信用卡業務機構應確認內部稽核人員之資格條件符合本注意事項規
定,該等確認文件及紀錄應留存備查。 |
| 19 |
十九、信用卡業務機構應將內部稽核人員之姓名、年齡、學歷、經歷、服
務年資及所受訓練等資料,於每年一月底前依主管機關規定格式以
網際網路資訊系統申報主管機關備查。
信用卡業務機構依前項規定申報內部稽核人員之基本資料時,應檢
查內部稽核人員是否符合第十一點第二項及前點規定,如有違反者
,應於二個月內改善,若逾期未予改善,應立即調整其職務。 |
| 20 |
二十、信用卡業務機構應於每會計年度終了前將次一年度稽核計畫及每會
計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依主
管機關規定格式以網際網路資訊系統申報主管機關備查。
信用卡業務機構應於每會計年度終了前將次一年度稽核計畫以書面
交付監察人核議,並作成紀錄。年度稽核計畫並應經董事會通過;
修正時,亦同。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點
項目、計畫受檢單位、查核性質(一般檢查或專案檢查)、查核頻
次與主管機關規定是否相符等,如查核性質屬專案檢查者,應註明
專案查核範圍。 |
| 21 |
二十一、信用卡業務機構應於每會計年度終了後五個月內將上一年度內部
稽核單位就內部控制制度缺失及異常事項所提之查核意見及改善
情形,依主管機關規定格式以網際網路資訊系統申報主管機關備
查。 |
| 22 |
二十二、信用卡業務機構應建立自行查核制度。各業務、財務、資產保管
及資訊單位應每半年至少辦理一次一般自行查核及一次專案自行
查核。
各單位辦理前項之自行查核,應由該單位主管指定非原經辦人員
辦理並事先保密。
第一項自行查核報告應作成工作底稿,併同自行查核報告及相關
資料至少留存五年備查。 |
| 23 |
二十三、內部稽核單位對金融檢查機關、會計師、內部稽核單位與內部單
位自行查核所提列檢查意見或查核缺失及內部控制制度聲明書所
列應加強辦理改善事項,應持續追蹤覆查,並將其追蹤考核改善
情形,以書面提報董事會及交付監察人,並列為對各單位獎懲及
績效考核之重要項目。 |
| 24 |
二十四、信用卡業務機構總經理應督導各單位審慎評估及檢討內部控制制
度執行情形,由董事長、總經理、稽核主管及法令遵循主管聯名
出具內部控制制度聲明書(附表),並提報董事會通過,於每會
計年度終了後三個月內將內部控制制度聲明書內容揭露於信用卡
業務機構網站,並於主管機關指定網站辦理公告申報。
外國信用卡公司之聲明書應由經理人、稽核主管及法令遵循主管
等三人出具,且該聲明書無需經董事會通過。 |
| 25 |
二十五、信用卡業務機構年度財務報表由會計師辦理查核簽證時,應委託
會計師辦理內部控制制度之查核,並對信用卡業務機構申報主管
機關表報資料正確性、內部控制制度及法令遵循制度執行情形、
備抵呆帳提列政策之妥適性表示意見。
會計師之查核費用由信用卡業務機構與會計師自行議定,並由信
用卡業務機構負擔會計師之查核費用。 |
| 26 |
二十六、主管機關於必要時,得邀集信用卡業務機構及其委託之會計師就
前條委託辦理查核相關事宜進行討論,主管機關若發現信用卡業
務機構委託之會計師有未足以勝任委託查核工作之情事者,得令
信用卡業務機構更換委託查核會計師重新辦理查核工作。 |
| 27 |
二十七、會計師辦理第二十五點規定之查核時,若遇受查信用卡業務機構
有下列情況應立即通報主管機關:
(一)查核過程中,未提供會計師所需要之報表、憑證、帳冊及會議
紀錄或對會計師之詢問事項拒絕提出說明,或受其他客觀環境
限制,致使會計師無法繼續辦理查核工作。
(二)在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
(三)資產不足以抵償負債或財務狀況顯著惡化。
(四)有證據顯示交易對淨資產有重大減損之虞。
受查信用卡業務機構有前項第二款至第四款情事者,會計師並應
就查核結果先行向主管機關提出摘要報告。 |
| 28 |
二十八、信用卡業務機構委託會計師辦理第二十五點規定之查核,應於每
年四月底前出具上一年度會計師查核報告報主管機關備查,其查
核報告至少應說明查核之範圍、依據、查核程序及查核結果。
主管機關對於查核報告之內容提出詢問時,會計師應詳實提供相
關資料與說明。 |
| 29 |
二十九、信用卡業務機構應設立一隸屬於總經理之法令遵循單位,負責法
令遵循制度之規劃、管理及執行,並指派高階主管一人擔任法令
遵循主管,綜理法令遵循事務,至少每半年向董事會及監察人報
告。
法令遵循主管除得兼任法務單位主管外,不得兼任內部其他職務
。但主管機關另有規定者,不在此限。
法令遵循主管及法令遵循單位所屬人員,每年應至少參加主管機
關認定機構所舉辦或所屬信用卡業務機構自行舉辦十五小時之教
育訓練,訓練內容應至少包含新修正法令、新種業務及新種信用
卡商品。
信用卡業務機構應以網際網路資訊系統向主管機關申報法令遵循
主管及法令遵循單位所屬人員之名單及受訓資料。 |
| 30 |
三十、信用卡業務機構對法令遵循事宜,應建立諮詢溝通管道,以有效傳
達法令,俾使職員對於法令之疑義得以迅速釐清,並落實法令遵循
。
法令遵循單位對各單位就法令遵循重大缺失或弊端,應分析原因及
提出改善建議,簽報總經理後,提報董事會。 |
| 31 |
三十一、法令遵循單位應辦理下列事項:
(一)建立清楚適當之法令傳達、諮詢、協調與溝通系統。
(二)確認各項作業及管理規章均配合相關法規適時更新,使各項營
運活動符合法令規定。
(三)於信用卡業務機構推出各項新商品、服務及向主管機關申請開
辦新種業務前,法令遵循主管應出具符合法令及內部規範之意
見並簽署負責。
(四)訂定法令遵循之評估內容與程序,及督導各單位定期自行評估
執行情形,並對各單位法令遵循自行評估作業成效加以考核,
經簽報總經理後,作為單位考評之參考依據。
(五)對各單位人員施以適當合宜之法規訓練。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,
及自行評估所屬單位法令遵循執行情形,不適用前項第四款規定
。
法令遵循自行評估作業每半年至少須辦理一次,其辦理結果應送
法令遵循單位備查。各單位辦理自行評估作業,應由該單位主管
指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。 |
| 32 |
三十二、信用卡業務機構應訂定適當之風險管理政策與程序,建立獨立有
效風險管理機制,以評估及監督整體風險承擔能力、已承受風險
現況、決定風險因應策略及風險管理程序遵循情形。
前項風險管理政策與程序應經董事會通過並適時檢討修訂。 |
| 33 |
三十三、信用卡業務機構應設置獨立之專責風險控管單位,並定期向董事
會提出風險控管報告,若發現重大暴險,危及財務或業務狀況或
法令遵循者,應立即採取適當措施並向董事會報告。
前項獨立專責風險控管單位之設置,得指定一管理單位替代。 |
| 34 |
三十四、信用卡業務機構之風險控管機制應包括下列原則:
(一)發卡機構應建立審慎之徵信審核機制,並定期檢視,覈實提列
備抵損失。
(二)發卡機構應建立利率定價之風險控管機制,並定期檢視該機制
之有效性與正確性。
(三)收單機構應建立對特約商店之交易監控及風險控管機制,並建
立特約商店之分級管理及查核機制。
(四)信用卡業務機構應建立防範詐欺控管機制,以維護交易安全並
控管詐欺風險。
(五)信用卡業務機構應建立作業程序之檢查及控管機制,並建立資
訊安全防護機制及緊急應變計畫。
(六)信用卡業務機構應建立辨識、衡量與監控洗錢及資助恐怖主義
風險之管理機制,及遵循防制洗錢相關法令之標準作業程序,
以降低其洗錢及資助恐怖主義風險。 |
| 35 |
三十五、信用卡業務機構應確保金融檢查報告之機密性,其負責人或職員
除依法令或經主管機關同意者外,不得閱覽或對執行職務無關之
人員洩漏、交付或公開與金融檢查報告全部或部分內容。
信用卡業務機構應依主管機關之規定,制定金融檢查報告之相關
內部管理規範及作業程序,並提報董事會通過。 |
| 36 |
三十六、信用卡業務機構應於內部控制制度中訂定經理人及相關人員違反
本注意事項或其所訂內部控制制度規定時之處罰。 |
| 37 |
三十七、內部稽核人員及法令遵循主管對內部控制重大缺失或違法違規情
事所提改進建議不為管理階層採納,將肇致所屬信用卡業務機構
重大損失者,應立即作成報告陳核,並通知監察人,同時通報主
管機關。 |
| 38 |
三十八、外國信用卡公司之內部控制及稽核制度,如依其總公司所訂之相
關內部控制及稽核制度規定,有不低於本注意事項之規定者,得
由外國信用卡公司提出總公司制度之詳細說明與我國制度之對照
說明,經經理人簽署後,報經主管機關備查,依該制度辦理。
外國信用卡公司之總公司對於其內部控制及稽核制度如有任何變
更適用於該公司者,應於變更後即刻提出對照說明,並經經理人
簽署後,報經主管機關備查。
外國信用卡公司違反主管機關依前二項規定認可之內部控制及稽
核制度,視同違反本注意事項規定。 |