一、本注意事項依信用卡業務機構管理辦法第三十三條規定訂定之。
二、本注意事項適用對象如下:
(一)專營信用卡業務機構。
(二)兼營信用卡業務之銀行及信用合作社。該類機構內部控制及稽核制
度,除符合該業別之內部控制及稽核制度實施辦法外,信用卡業務
相關事項應依本注意事項第八點第一項第二款、第十一點第二項第
一款、第十八點及第三十四點規定辦理。
(三)兼營信用卡業務之其他機構。但僅辦理信用卡相關顧問諮詢服務等
其他信用卡業務者,得免依本注意事項辦理。
三、信用卡業務機構應建立內部控制制度,並確保該制度得以持續有效執
行,以健全信用卡業務機構經營。
信用卡業務機構應規劃整體經營策略、風險管理政策與指導準則,並
擬定經營計畫、風險管理程序及執行準則。
四、內部控制之基本目的在於促進信用卡業務機構健全經營,並應由其董
事會、管理階層及所有從業人員共同遵行,以合理確保達成下列目標
:
(一)營運之效果及效率。
(二)財務報導之可靠性。
(三)相關法令之遵循。
前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產
安全等目標。
第一項第二款所稱財務報導之可靠性目標,包括確保對外之財務報表
係依照一般公認會計原則編製,交易經適當核准等目標。
五、信用卡業務機構之內部控制制度,應經董事會通過,如有董事表示反
對意見或保留意見者,應將其意見及理由於董事會議紀錄載明,連同
經董事會通過之內部控制制度送各監察人;修正時,亦同。
六、信用卡業務機構應建立內部稽核制度、自行查核制度、法令遵循制度
以及風險管理機制,以維持有效適當之內部控制制度運作。
七、信用卡業務機構之內部控制制度應包含下列各項原則:
(一)管理階層之監督及控制文化:董事會應負責核准並定期覆核整體經
營策略與重大政策,董事會對於確保建立並維持適當有效之內部控
制制度負有最終之責任;高階管理階層應負責執行董事會核定之經
營策略與政策,發展足以辨識、衡量、監督及控制風險之程序,訂
定適當之內部控制政策及監督其有效性與適切性。
(二)風險辨識與評估:有效之內部控制制度須可辨識並持續評估整體目
標之達成可能產生負面影響之重大風險,並決定如何因應相關風險
,使其能被限制在可承受之範圍內。
(三)控制活動與職務分工:控制活動應為每日整體營運之一部分,並設
立完善之控制架構,及訂定各層級之內控程序;有效之內部控制制
度應有適當之職務分工,且管理階層及員工不應擔任責任相互衝突
之工作。
(四)資訊與溝通:信用卡業務機構應保有完整之財務、營運及遵循資訊
;資訊應具備可靠性、及時性與容易取得之特性,並以一致性之格
式提供,有效之內部控制制度應建立有效之溝通管道。
(五)監督活動與更正缺失:應持續監督內部控制整體之有效性,各單位
、內部稽核或其他內控人員發現之內部控制缺失均應即時向適當層
級報告,若屬重大之內部控制缺失應向高階管理階層及董事會報告
,並應立即採取改正措施。
八、內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業
程序,且應適時檢討修訂:
(一)組織規程或管理章則,應包括訂定明確之組織系統、單位職掌、業
務範圍與明確之授權及分層負責辦法。
(二)相關業務規範及處理手冊,包括:
1.客戶資料保密。
2.適用國際會計準則之管理、會計暨財務報表編製流程、總務、資
訊、人事管理。
3.對外資訊揭露作業管理。
4.金融檢查報告之管理。
5.金融消費者保護之管理。
6.委外作業管理。
7.發卡業務、收單業務、授權使用信用卡之商標或服務標章及提供
信用卡交易授權或清算服務之管理。
8.其他業務之規範及作業程序。
前項各種作業及管理章則之訂定、修正或廢止,必要時應有法令遵循
、內部稽核及風險管理單位等相關單位之參與。
九、內部稽核制度之目的,在於協助董事會及管理階層查核及評估內部控
制制度是否有效運作,並適時提供改進建議,以合理確保內部控制制
度得以持續有效實施及作為檢討修正內部控制制度之依據。
十、信用卡業務機構應設立隸屬董事會之內部稽核單位,以獨立超然之精
神,執行稽核業務,並應至少每年向董事會及監察人報告稽核業務。
信用卡業務機構應視事業規模、業務情況及管理需要,設置適當職級
之稽核主管,綜理稽核業務。稽核主管應具備領導及有效督導稽核工
作之能力,且不得兼任與稽核工作有相互衝突或牽制之職務。
稽核主管之聘任、解聘或調職,應經董事會全體董事三分之二以上之
同意後為之。內部稽核單位之人事任用、免職、升遷、獎懲、輪調及
考核等,應由稽核主管簽報,報經董事長核定後辦理。但涉及其他管
理、業務單位人事者,應事先洽商人事單位轉報總經理同意後,再行
簽報董事長核定。
十一、信用卡業務機構應依據發卡量、特約商店家數、業務量、管理需要
及其他相關法令之規定,配置適任及適當人數之專任內部稽核人員
,以超然獨立、客觀公正之立場,執行其職務。
信用卡業務機構內部稽核人員應具備下列條件:
(一)具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相
當於高等考試、國際內部稽核師之考試及格並具有二年以上之金
融業務經驗;或具有五年以上之金融業務經驗。曾任會計師事務
所查帳員、電腦公司程式設計師或系統分析師等專業人員二年以
上,經施以三個月以上之信用卡業務及管理訓練,視同符合規定
,惟其員額不得逾稽核人員總員額之三分之一。
(二)最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所
致之連帶處分,已功過相抵者,不在此限。
(三)內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗
,或一年以上之稽核經驗及五年以上之金融業務經驗。
信用卡業務機構應隨時檢查內部稽核人員有無違反前二項之規定,
如有違反規定者,應於發現之日起二個月內改善,若逾期未予改善
,應立即調整其職務。
十二、內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
(一)明知所屬信用卡業務機構之營運活動、財務報導及相關法令遵循
情況有直接損害關係人之情事,而予以隱飾或作不實、不當之揭
露。
(二)逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得
之資訊,對外洩漏或為己圖利或侵害所屬信用卡業務機構之利益
。
(三)因職務上之廢弛,致有損及所屬信用卡業務機構或關係人之權益
等情事。
(四)對於以前曾服務之部門,於一年內進行稽核作業。
(五)對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理
該等案件或業務之稽核工作。
(六)收受所屬信用卡業務機構從業人員或客戶之不當招待或餽贈或其
他不正當利益。
(七)未配合辦理主管機關指示查核事項或提供相關資料。
(八)其他違反法令或經主管機關規定不得為之行為。
信用卡業務機構應隨時檢查內部稽核人員有無違反前項之規定,如
有違反規定者,應於發現之日起一個月內調整其職務。
十三、內部稽核單位應辦理下列事項:
(一)規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊及
工作底稿,其內容至少應包括對內部控制制度各項規定與業務流
程進行評估,以判斷現行規定、程序是否已具有適當之內部控制
,各單位是否切實執行內部控制及執行內部控制之效益是否合理
等,並隨時提出改進意見。
(二)督導各單位訂定自行查核內容與程序,及各單位自行查核之執行
情形。
(三)擬訂年度稽核計畫,並依各單位業務風險特性及其內部稽核執行
情形,訂定對各單位之查核計畫。
信用卡業務機構應督促各單位辦理自行查核,並由內部稽核單位覆
核各單位之內部控制自行查核報告,併同內部稽核單位所發現之內
部控制缺失及異常事項改善情形,以作為董事會、總經理、稽核主
管及法令遵循主管評估整體內部控制制度有效性及出具內部控制制
度聲明書之依據。
十四、內部稽核單位對業務、財務、資訊及其他管理單位每年至少應辦理
一次一般查核及一次專案查核。
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單
位之一般查核或專案查核辦理。
十五、內部稽核單位辦理一般查核,其內部稽核報告內容應依受檢單位之
性質,分別揭露下列項目:
(一)查核範圍、綜合評述、財務狀況、經營績效、資產品質、董事會
議事運作之管理、法令遵循、內部控制、各項業務作業控制與內
部管理、客戶資料保密管理、資訊管理、員工保密教育、消費者
權益保護措施及自行查核辦理情形,並加以評估。
(二)對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之
懲處建議。
(三)金融檢查機關、會計師、內部稽核單位、自行查核人員所提列檢
查意見或查核缺失,及內部控制制度聲明書所列應加強辦理改善
事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。
十六、信用卡業務機構因內部管理不善、內部控制欠佳、內部稽核制度及
法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改
善辦理情形或內部稽核單位對查核結果有隱匿未予揭露,而肇致重
大弊端時,相關人員應負失職責任。內部稽核人員發現重大弊端或
疏失,並使所屬信用卡業務機構免於重大損失,應予獎勵。
信用卡業務機構各單位發生重大缺失或弊端時,內部稽核單位應有
懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應負責之
失職人員。
十七、信用卡業務機構應將內部稽核報告交付監察人查閱,並於查核結束
日起二個月內函送主管機關。
十八、內部稽核單位之稽核人員於充任前均應分別參加主管機關認定機構
所舉辦之相關稽核人員研習班一期次以上,並取得結業證書。
內部稽核人員(含稽核主管)每年應參加主管機關認定機構所舉辦
或所屬信用卡業務機構自行舉辦之信用卡相關業務專業訓練,其最
低訓練時數,稽核主管應達十小時以上,其餘內部稽核人員應達十
五小時以上。當年度取得國際內部稽核師證照者,得抵免當年度之
訓練時數。
參加主管機關認定機構所舉辦之信用卡相關業務專業訓練時數不得
低於前項應達訓練時數二分之一。
信用卡業務機構應每年訂定自行查核訓練計畫,依各單位之業務性
質對於自行查核人員應持續施以適當查核訓練。
信用卡業務機構應確認內部稽核人員之資格條件符合本注意事項規
定,該等確認文件及紀錄應留存備查。
十九、信用卡業務機構應將內部稽核人員之姓名、年齡、學歷、經歷、服
務年資及所受訓練等資料,於每年一月底前依主管機關規定格式以
網際網路資訊系統申報主管機關備查。
信用卡業務機構依前項規定申報內部稽核人員之基本資料時,應檢
查內部稽核人員是否符合第十一點第二項及前點規定,如有違反者
,應於二個月內改善,若逾期未予改善,應立即調整其職務。
二十、信用卡業務機構應於每會計年度終了前將次一年度稽核計畫及每會
計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依主
管機關規定格式以網際網路資訊系統申報主管機關備查。
信用卡業務機構應於每會計年度終了前將次一年度稽核計畫以書面
交付監察人核議,並作成紀錄。年度稽核計畫並應經董事會通過;
修正時,亦同。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點
項目、計畫受檢單位、查核性質(一般檢查或專案檢查)、查核頻
次與主管機關規定是否相符等,如查核性質屬專案檢查者,應註明
專案查核範圍。
二十一、信用卡業務機構應於每會計年度終了後五個月內將上一年度內部
稽核單位就內部控制制度缺失及異常事項所提之查核意見及改善
情形,依主管機關規定格式以網際網路資訊系統申報主管機關備
查。
二十二、信用卡業務機構應建立自行查核制度。各業務、財務、資產保管
及資訊單位應每半年至少辦理一次一般自行查核及一次專案自行
查核。
各單位辦理前項之自行查核,應由該單位主管指定非原經辦人員
辦理並事先保密。
第一項自行查核報告應作成工作底稿,併同自行查核報告及相關
資料至少留存五年備查。
二十三、內部稽核單位對金融檢查機關、會計師、內部稽核單位與內部單
位自行查核所提列檢查意見或查核缺失及內部控制制度聲明書所
列應加強辦理改善事項,應持續追蹤覆查,並將其追蹤考核改善
情形,以書面提報董事會及交付監察人,並列為對各單位獎懲及
績效考核之重要項目。
二十四、信用卡業務機構總經理應督導各單位審慎評估及檢討內部控制制
度執行情形,由董事長、總經理、稽核主管及法令遵循主管聯名
出具內部控制制度聲明書(附表),並提報董事會通過,於每會
計年度終了後三個月內將內部控制制度聲明書內容揭露於信用卡
業務機構網站,並於主管機關指定網站辦理公告申報。
外國信用卡公司之聲明書應由經理人、稽核主管及法令遵循主管
等三人出具,且該聲明書無需經董事會通過。
二十五、信用卡業務機構年度財務報表由會計師辦理查核簽證時,應委託
會計師辦理內部控制制度之查核,並對信用卡業務機構申報主管
機關表報資料正確性、內部控制制度及法令遵循制度執行情形、
備抵呆帳提列政策之妥適性表示意見。
會計師之查核費用由信用卡業務機構與會計師自行議定,並由信
用卡業務機構負擔會計師之查核費用。
二十六、主管機關於必要時,得邀集信用卡業務機構及其委託之會計師就
前條委託辦理查核相關事宜進行討論,主管機關若發現信用卡業
務機構委託之會計師有未足以勝任委託查核工作之情事者,得令
信用卡業務機構更換委託查核會計師重新辦理查核工作。
二十七、會計師辦理第二十五點規定之查核時,若遇受查信用卡業務機構
有下列情況應立即通報主管機關:
(一)查核過程中,未提供會計師所需要之報表、憑證、帳冊及會議
紀錄或對會計師之詢問事項拒絕提出說明,或受其他客觀環境
限制,致使會計師無法繼續辦理查核工作。
(二)在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
(三)資產不足以抵償負債或財務狀況顯著惡化。
(四)有證據顯示交易對淨資產有重大減損之虞。
受查信用卡業務機構有前項第二款至第四款情事者,會計師並應
就查核結果先行向主管機關提出摘要報告。
二十八、信用卡業務機構委託會計師辦理第二十五點規定之查核,應於每
年四月底前出具上一年度會計師查核報告報主管機關備查,其查
核報告至少應說明查核之範圍、依據、查核程序及查核結果。
主管機關對於查核報告之內容提出詢問時,會計師應詳實提供相
關資料與說明。
二十九、信用卡業務機構應設立一隸屬於總經理之法令遵循單位,負責法
令遵循制度之規劃、管理及執行,並指派高階主管一人擔任法令
遵循主管,綜理法令遵循事務,至少每半年向董事會及監察人報
告。
法令遵循主管除得兼任法務單位主管外,不得兼任內部其他職務
。但主管機關另有規定者,不在此限。
法令遵循主管及法令遵循單位所屬人員,每年應至少參加主管機
關認定機構所舉辦或所屬信用卡業務機構自行舉辦十五小時之教
育訓練,訓練內容應至少包含新修正法令、新種業務及新種信用
卡商品。
信用卡業務機構應以網際網路資訊系統向主管機關申報法令遵循
主管及法令遵循單位所屬人員之名單及受訓資料。
三十、信用卡業務機構對法令遵循事宜,應建立諮詢溝通管道,以有效傳
達法令,俾使職員對於法令之疑義得以迅速釐清,並落實法令遵循
。
法令遵循單位對各單位就法令遵循重大缺失或弊端,應分析原因及
提出改善建議,簽報總經理後,提報董事會。
三十一、法令遵循單位應辦理下列事項:
(一)建立清楚適當之法令傳達、諮詢、協調與溝通系統。
(二)確認各項作業及管理規章均配合相關法規適時更新,使各項營
運活動符合法令規定。
(三)於信用卡業務機構推出各項新商品、服務及向主管機關申請開
辦新種業務前,法令遵循主管應出具符合法令及內部規範之意
見並簽署負責。
(四)訂定法令遵循之評估內容與程序,及督導各單位定期自行評估
執行情形,並對各單位法令遵循自行評估作業成效加以考核,
經簽報總經理後,作為單位考評之參考依據。
(五)對各單位人員施以適當合宜之法規訓練。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,
及自行評估所屬單位法令遵循執行情形,不適用前項第四款規定
。
法令遵循自行評估作業每半年至少須辦理一次,其辦理結果應送
法令遵循單位備查。各單位辦理自行評估作業,應由該單位主管
指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
三十二、信用卡業務機構應訂定適當之風險管理政策與程序,建立獨立有
效風險管理機制,以評估及監督整體風險承擔能力、已承受風險
現況、決定風險因應策略及風險管理程序遵循情形。
前項風險管理政策與程序應經董事會通過並適時檢討修訂。
三十三、信用卡業務機構應設置獨立之專責風險控管單位,並定期向董事
會提出風險控管報告,若發現重大暴險,危及財務或業務狀況或
法令遵循者,應立即採取適當措施並向董事會報告。
前項獨立專責風險控管單位之設置,得指定一管理單位替代。
三十四、信用卡業務機構之風險控管機制應包括下列原則:
(一)發卡機構應建立審慎之徵信審核機制,並定期檢視,覈實提列
備抵損失。
(二)發卡機構應建立利率定價之風險控管機制,並定期檢視該機制
之有效性與正確性。
(三)收單機構應建立對特約商店之交易監控及風險控管機制,並建
立特約商店之分級管理及查核機制。
(四)信用卡業務機構應建立防範詐欺控管機制,以維護交易安全並
控管詐欺風險。
(五)信用卡業務機構應建立作業程序之檢查及控管機制,並建立資
訊安全防護機制及緊急應變計畫。
(六)信用卡業務機構應建立辨識、衡量與監控洗錢及資助恐怖主義
風險之管理機制,及遵循防制洗錢相關法令之標準作業程序,
以降低其洗錢及資助恐怖主義風險。
三十五、信用卡業務機構應確保金融檢查報告之機密性,其負責人或職員
除依法令或經主管機關同意者外,不得閱覽或對執行職務無關之
人員洩漏、交付或公開與金融檢查報告全部或部分內容。
信用卡業務機構應依主管機關之規定,制定金融檢查報告之相關
內部管理規範及作業程序,並提報董事會通過。
三十六、信用卡業務機構應於內部控制制度中訂定經理人及相關人員違反
本注意事項或其所訂內部控制制度規定時之處罰。
三十七、內部稽核人員及法令遵循主管對內部控制重大缺失或違法違規情
事所提改進建議不為管理階層採納,將肇致所屬信用卡業務機構
重大損失者,應立即作成報告陳核,並通知監察人,同時通報主
管機關。
三十八、外國信用卡公司之內部控制及稽核制度,如依其總公司所訂之相
關內部控制及稽核制度規定,有不低於本注意事項之規定者,得
由外國信用卡公司提出總公司制度之詳細說明與我國制度之對照
說明,經經理人簽署後,報經主管機關備查,依該制度辦理。
外國信用卡公司之總公司對於其內部控制及稽核制度如有任何變
更適用於該公司者,應於變更後即刻提出對照說明,並經經理人
簽署後,報經主管機關備查。
外國信用卡公司違反主管機關依前二項規定認可之內部控制及稽
核制度,視同違反本注意事項規定。