公司治理

良好的公司治理架構,是公司得以永續發展的基礎。中信金控為臺灣首家獨立董事過半的金控公司,除了健全的董事會架構之外,多元化的董事背景,及貫徹經營權與所有權分離的治理理念,可善盡督導之責,同時透過獨立董事的獨立性,落實誠信經營。

健全的董事會架構

中信金控董事會現有7席董事,獨立董事佔4席超過半數。2018年董事會共開會17次,平均出席率達96.43%。中信金控董事平均任期為7.7年,董事年齡有5人超過70歲,其餘為50歲以上,相關經驗豐富;獨立董事中,一名曾經擔任金融監督管理委員會委員,現任大學教授;一名曾擔任多年上市公司董事長;一名為專業律師;另一名則為現任大學教授,具備公司經營所需多元化專業知識。各子公司共有董事30名,其中5人年齡介於30-50歲之間,其餘為50歲以上,其專業性與經歷皆為業界首選。

落實監督的功能性委員會

為健全董事會監督功能,董事會下設有「審計委員會」、「薪資報酬委員會」、「風險管理委員會」、「提名委員會」及「誠信經營委員會」5個功能性委員會,各由董事及獨立董事所組成。

誠信經營

透明誠信不僅可展現企業社會責任的核心價值,亦可降低品牌風險、激勵員工士氣,增強對海內外投資人投資者與國際銀行的吸引力;它不只是風險管理,更能為企業帶來更長遠的實質保障。中信金控向來追求透明誠信的公司治理,在資訊揭露上力求公開詳實,為不同的利害關係人提供順暢的溝通平臺。
本公司企業網站設置利害關係人溝通專區,以了解利害關係人對本公司的期望與需求。同時揭露如發言人、代理發言人、審計委員會召集人、機構投資人關係、股務、客戶服務等溝通管道,另對內設有員工溝通管道,員工可以郵寄、電話或書面方式反映意見。企業網站揭露檢舉方式及管道,包括檢舉專線、電子信箱及紙本收件地址,並提供檢舉表輔助檢舉人提供相關資訊以加速案件調查。

法令遵循

防制洗錢及打擊資恐構面

法規制定

法規制定

為遵循洗錢防制法、資恐防制法及金融機構防制洗錢辦法等規定,中信金控訂有「防制洗錢暨打擊資恐政策(計畫)」、「洗錢暨資恐風險辨識、衡量、控制、抵減、監控與呈報辦法」、「集團防制洗錢及打擊資恐資訊分享及運用辦法」、「非屬『金融機構客戶及交易有關對象』之資恐防制法公告制裁名單檢核辦法」及「防制洗錢及打擊資恐教育訓練辦法」,並由各子公司遵循前揭政策與辦法及各業別主管機關與公會之規範、範本與指引,制定其內部規範;子公司中信銀行、台灣人壽、中信證券、中信投信均已設立防制洗錢及打擊資恐委員會,以確保防制洗錢及打擊資恐等相關風險受到控管。

教育訓練

教育訓練

為有效落實防制洗錢及打擊資恐,中信金控亦積極推動防制洗錢教育訓練,不僅高階主管每年需接受教育訓練,亦要求全體員工定期接受共通性防制洗錢課程,另依同仁職務類別進行客製化的教育訓練,同時積極鼓勵同仁參加防制洗錢相關訓練及報考國際公認反洗錢師(CAMS)防制洗錢相關資格認證等證照,期盼自董事會、高階管理階層到基層同仁都能具備防制洗錢、打擊資恐相關專業能力,讓防制洗錢及打擊資恐文化融入在每位同仁工作之中。2018年「洗錢防制及打擊資恐」教育訓練由顏文隆董事長偕同董事、獨立董事及銀行高階主管與各業務單位等逾300位主管出席,期望從董事會開始積極建立洗錢防制及打擊資恐之企業文化。

內控內稽

內控制度

為確實管理內部控制及作業程序,本公司要求各管理單位檢視內部程序與外部法規是否一致,以避免作業風險或違法缺失,亦要求各單位配合進行自我查核,針對管理階層監督與控制文化、風險辨識、控制活動與職務分工、資訊與溝通、監督活動與導正措施等項目進行評估。

內部控制制度三道防線

單位&角色 功能&權責
第一道 業務單位
支援單位 		確保符合風險管理規範,並落實每日風險控管
  • 辨識/評估/控制/降低營運的風險。
  • 向第二道防線報導曝險狀況。
  • 建立/執行內控、風管程序
  • 流程/控制不足時,提出改善計畫
第二道 風險管理單位
法令遵循單位
其他專職單位 		建立管理制度,並監控第一道防線落實執行情形
  • 訂定整體政策,建立管理制度。
  • 協助/監督第一道管理風險/自我評估執行情形。
  • 風險管理結果定期呈報高階管理層。
第三道 稽核單位 針對內部控制制度運作情形,進行獨立確認及評估
  • 查核評估第一/第二道防線的內控與風管制度有效性,提供改進建議。
  • 向董事會及高階管理階層報告。

內稽制度

中信金控遵循「金融控股公司及銀行業內部控制及稽核制度實施辦法」建立總稽核制度,並設置直隸董事會之內部稽核單位,用客觀公正的角度執行稽核業務,並提供建議以合理確保內部控制制度之執行,以協助董事會及管理階層查核及評估內部控制制度運作的有效性。內部稽核單位每年對本公司辦理一次一般業務查核,每半年對本公司及子公司的財務、風險管理及法令遵循辦理一次專案業務查核。

新興風險鑑別

隨著整體環境變遷,可能導致不同以往或非預期的新興風險產生,本公司已建置新興風險鑑別機制,因應可能面臨之挑戰。新興風險鑑別機制主要進行新興風險辨識、衝擊評估,並擬定風險減緩措施或管理機制等,並提交辨識結果予董事會。

新興風險鑑別流程

2019年新興風險辨識結果

風險因子 風險描述 對營運的衝擊或影響 減緩措施/ 因應策略
新興科技與
資安風險
  • 新興科技技術運用不當導致公有雲資料外洩。
  • 公司遭受分散式網路阻斷服務攻擊(DDoS)癱瘓網路連線,或進階持續性威脅(APT)長期滲透內部網路環境。
  • 駭客入侵並取得含有個資的資料庫權限。
 因個資外洩、詐欺交易或營運中斷,導致重大財務損失、法律訴訟賠償、主管機關裁罰及公司聲譽受損。 主要子公司將透過以下作業,強化管控機制:
  1. 採用新興科技技術前加強資安技術審查與風險評估作業。
  2. 定期辦理資安與個資教育訓練,提升資安意識。
  3. 參與金融資安情報(F-ISAC)分享機制,建立國內資安中心聯防體系。
  4. 進行資安模擬與防禦演練,以強化資安事件應變。
  5. 建構網路防火牆、應用系統防火牆、入侵偵測系統、垃圾郵件過濾系統、惡意程式過濾沙箱、電腦病毒防護系統等安全防護機制,持續監控分析上網行為及網路流量。
  6. 執行網站及APP安全性檢測以強化對外應用系統安全性,定期執行弱點掃描及全面性資安滲透評估,縮短系統弱點曝險時間。
  7. 健全存取軌跡留存,提升資安事件分析及調查能量。
洗錢與
資恐風險 		洗錢或恐怖主義分子利用集團金融機構子公司之產品或服務作為洗錢或資助恐怖主義之工具或媒介,進行不法或不適當交易。 恐面臨裁罰風險,並產生對本公司營運及商譽之負面影響,降低投資者投資意願。
  1. 依相關法令訂定防制洗錢及打擊資恐政策及辦法,並據以訂定相關作業程序遵循。
  2. 定期就機構洗錢/資恐之風險進行評估與分析,調整防制洗錢/打擊資恐機制與計畫,以降低風險。
  3. 成立「防制洗錢及打擊資恐委員會」,定期召開會議討論洗錢及資恐議題,並設置專責單位監督與執行,定期呈報董事會。
  4. 導入優化防制洗錢系統之功能與效率,並強化教育訓練執行。
監管與立法
變化風險 		因主管機關監理趨勢及強度改變,導致須及時因應之挑戰。 恐面臨裁罰風險,並產生對本公司營運及商譽之負面影響,降低投資者投資意願。
  1. 蒐集並分析國際監理趨勢及主管機關之公告、新聞稿與裁罰案件,以掌握監管與立法趨勢
  2. 參與同業公會,並適時與主管機關溝通,即時掌握監管變化。
  3. 即時掌握法令新訊,並追蹤相關單位因應情形及執行進度,確保各項營運活動符合規範。
  4. 導入控管系統,期能透過資訊科技協助提升法令新訊變動之控管效率。

資訊安全

數位金融服務不斷推陳出新,面對網路安全威脅加劇,因應網路風險共存時代,本公司首重事前預防及應變準備,從資安治理、資安防禦、監控與回應、情報與聯防、個資保護等五項策略全方位控管,為確保資訊安全,提供客戶安心的保障,中信金控從「組織及制度建制」、「軟硬體能力提升」、「教育及思維的貫徹」、「落實管理並與國際接軌」等方面做好全方位控管。

組織及制度建制

中信銀行已制定「資訊安全政策」,並且特別設立「企業資訊安全委員會」,為資訊安全作業管理之最高機構;2017年成立直屬總經理管轄的專責單位「全球資訊安全部」,建構完善資安部門組織。企業資訊安全委員會由總經理擔任召集人、由資訊安全最高主管擔任執行秘書,每季於企業資訊安全委員會呈報資安管理業務推動成效與新興資安議題及因應方案,如遇重要議題則另行呈報董事會,同時安排每年於董事會呈報年度資安管理業務成效。