金融控股公司及銀行業內部控制及稽核制度實施辦法第 五 節 風險管理機制

1. 金融控股公司及銀行業應訂定適當之風險管理政策與程序，建立獨立有效風險管理機制，以評估及監督整體風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。
2. 前項風險管理政策與程序應經董（理）事會通過並適時檢討修訂。

1. 金融控股公司及銀行業應設置獨立之專責風險控管單位，並定期向董（理）事會提出風險控管報告，若發現重大暴險，危及財務或業務狀況或法令遵循者，應立即採取適當措施並向董（理）事會報告。
2. 前項獨立專責風險控管單位之設置，信用合作社得指定一總社管理單位替代。

金融控股公司之風險控管機制應包括下列事項： 一、依金融控股公司及其子公司業務規模、信用風險、市場風險與作業風險狀況及未來營運趨勢，監控金融控股公司及其子公司資本適足性。 二、訂定適當之長短期資金調度原則及管理規範，建立衡量及監控金融控股公司及其子公司流動性部位之管理機制，以衡量、監督、控管金融控股公司及其子公司之流動性風險。 三、考量金融控股公司整體暴險、自有資本及負債特性進行各項投資配置，建立各項投資風險之管理。 四、建立金融控股公司及其各子公司一致性資產品質及分類之評估方法，計算及控管金融控股公司及其子公司之大額暴險，並定期檢視，覈實提列備抵損失或準備。 五、對金融控股公司與其子公司及各子公司間業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變計畫。

銀行業之風險控管機制應包括下列原則： 一、應依其業務規模、信用風險、市場風險與作業風險狀況及未來營運趨勢，監控資本適足性。 二、應建立衡量及監控流動性部位之管理機制，以衡量、監督、控管流動性風險。 三、應考量整體暴險、自有資本及負債特性進行各項資產配置，建立各項業務風險之管理。 四、應建立資產品質及分類之評估方法，計算及控管大額暴險，並定期檢視，覈實提列備抵損失。 五、應對業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變計畫。

1. 銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務。設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管機關對信用合作社及票券金融公司另有規定者，依其規定。
2. 銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當之人擔任資訊安全專責單位主管。
3. 銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年應將前一年度資訊安全整體執行情形，依第二十七條第一項規定辦理內部控制制度聲明書之出具、揭露及公告申報，並由資訊安全長聯名出具。
4. 銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課程。
5. 中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規範。
6. 適用第二項規定之銀行業，應於符合適用條件起六個月內調整。