經濟面 >
風險管理與營運持續性
風險管理與營運持續性
本公司依據「金融控股公司及銀行業內部控制及稽核制度實施辦法」建立內部控制制度,涵蓋所有營運活動,並由董事會、管理階層及所有從業人員共同遵行。董事會應認知營運所面臨之風險,監督營運結果,並對確保建立及維持適當有效之內部控制制度負最終之責任。
為完善內部控制制度及強健企業體質,特建立內部控制三道模型架構,並釐清三道模型之角色功能及權責範圍,確保組織架構符合三道模型原則及其有效運作。
第一道模型 - 業務單位自行查核
第二道模型-健全法令遵循及風險管理機制
1、法令遵循
・本公司及銀行、證券、投信、保險子公司已設置隸屬於總經理之法令遵循專責單位,其餘各子公司亦設總機構法令遵循主管,負責各該公司法令遵循制度之規劃、管理及執行。本公司持續要求各子公司落實並強化法令遵循制度,2023年執行成效如下:
・2023年本公司及各子公司受主管機關裁罰及改善措施
本公司及各子公司2023年度無重大裁罰案件*
本公司及各子公司2023年度無重大裁罰案件*
*:重大裁罰案件揭露標準係處罰結果依「證券交易法」第36條第3項第2款規定其可能對股東權益或證券價格有重大影響,或符合「金管會處理違反金融法令重大裁罰措施之對外公布說明辦法」第2條規定者。
2. 風險管理
風險管理架構
第一金控董事會是集團風險管理之最高決策單位,其下設置「風險管理委員會」,由董事長擔任主任委員,總經理、副總經理及子公司董事長、總經理擔任委員,每二個月召開會議監督並檢視集團及子公司各項風險管理之有效性與執行情形,並定期向董事會報告。風險管理處負責執行各項風險管理政策。
風險管理政策及管理流程
A. 本集團透過董事會核定之「風險管理政策」,據以辨識、衡量、監管及控制各項風險,並訂定定性及定量措施以符合風險胃納。
・風險鑑別:藉由歷史事件、國內外議題趨勢等資料彙整,鑑別出重大危害影響途徑、風險類型及風險描述。
・風險衡量評估:導入風險評估模式進行情境分析,以完成風險對業務的衝擊和潛在機會之量化評估。
・風險策略:依據量化評估結果以及組織現況,採取減緩、轉移、承受或控制之策略,並建立減緩及調適行動計畫。
・目標制定:依據風險策略制定的結果,訂定組織具體的目標和指標,並將目標進一步分配給業管單位。
・目標監控:定期監控組織的風險與機會,並確定是否如期達成階段性目標,並設置獨立之風險管理委員會,以有效整合全集團風險管理事項之審議、監督、報告及協調運作。
本公司訂定集團與子公司授信及投資最高風險承擔限額以控管集團大額暴險;依各業別子公司訂定資本適足率警示水準以維持集團資本適足性;定期檢視各子公司信用風險、市場風險、利率風險、流動性風險、保險風險、作業風險及新興風險等主要風險監控指標,確實執行預警及停損機制;落實有效之內部控制制度以減少風險發生可能造成的損失。
隨全球新興風險項目類別增加與發生機率逐漸攀升,本公司另訂定「新興風險管理要點」,以利本集團強化公司治理及辦理新興風險(如貿易戰、全球傳染性疾病、氣候緊急狀態、資安風險…等)評估作業,建立集團層級之新興風險項目及管理機制。本公司亦依主管機關要求或經濟環境變化,適時增、修訂各項風險管理章則及監控指標,2023年訂定「第一金融集團資產評估分類管理要點」並修訂「第一金融集團偶發事件通報要點」及「子公司對同一人、同一關係人、同一集團企業授信及投資之最高風險承擔限額表」等相關章則。
B. 風險胃納
考量營運計劃及風險概況,依據風險所願意且能夠的承受程度設定風險胃納,除參考可靠之風險定量數據外,亦結合歷史經驗與決策者之宏觀願景。本集團風險胃納係以二種方式呈現,一為資本適足性比率目標,另一為風險限額(含信用風險、市場風險、作業風險)。
C. 敏感性情境分析及壓力測試
・集團敏感性分析包括利率風險、外匯風險及權益證券風險。
・銀行子公司為主管機關指定之系統性重要銀行(D-SIBs),應辦理二年期壓力測試,並依金管會【本國銀行辦理壓力測試作業規劃】方法論,計算嚴重衰退情境下之各類資本適足比率及各項損益情形。
D. 獨立外部稽核
第一金控每二年一次接受金管會檢查局一般檢查,並有不定期之專案檢查,其中,因銀行子公司經指定為國內系統性重要銀行(D-SIBs),需定期向主管機關申報資本適足性評估結果,主管機關對該行風險管理流程亦有較嚴格要求。
3. 風險管理精進措施
風險管理架構
A.系統提升:
因應銀行子公司「法金各風險等級違約機率」改版完成,增訂「逾期等級(W1及W2)」、衡量方式及風險特性,並配合修正「法金業務信用評等作業要點」、「特殊融資評等作業要點」。
B.主要風險:
信用風險、市場風險、利率風險、流動性風險、保險風險、作業風險及新興風險
・為貼近最新市場變化,提升衡量衍生性商品交易未來潛在暴險額之有效性,修正風險係數表。
・為利營業單位及時掌握授信資產風險情形,於「新制授信資產風險評估作業-營業單位手工調整明細表」新增「逾期天數」欄位,協助營業單位及時掌握該類授信最新逾期狀態,倘發生授信戶之債信或債權擔保情形有惡化或轉好情事,營業單位應即時重新辦理評估及調整分類。
・為利正確申報LCR與NSFR比率,營業單位應於客戶基本資料建檔或變更時,針對行業別、企業型態及總機構統編等欄位落實建檔正確性。
・據規範之標準作業流程(SOP)與行銷措施,執行各項業務推展方案,不得銷售非本集團體系推出與未經主管機關核准(備)之商品,或私自引導客戶與基金公司等外部合作機構或其他任何機構從事仲介業務或交易。
■ 子公司第一銀行資本適足性單位:仟元
4. 企業風險文化之建立
為強化集團風險管理機制運作順暢,並建立以風險為導向的企業文化,除不定期辦理風險管理座談會,邀集集團內各公司討論近期金融時事變化,評估調整各項風險監控指標及頻率,同時輔以線上第e學苑建立系統性的風險意識,從進入第一金的每位「第一人」即開始瞭解第一的風險文化及核心觀念,並對各層級的晉升同仁進行相關風險管理教育訓練。2023年共計749人次分別透過實體及線上教育訓練完成47小時的風險管理相關課程及測驗,亦針對測驗未通過者,再次進行訓練及測驗,直至通過測驗比率達100%。
另因金融商品及服務型態日趨多元且複雜,致易發生交易糾紛及金融犯罪事件,為充分理解國內外相關規範、避免法制落差,於2023年舉辦「公司治理論壇-新興科技洗錢風險」訓練課程3小時,集團董監事共計54人參訓。另因氣候變遷已為全球共識及關注之議題,舉辦「氣候變遷與淨零排放對企業經營的風險與機會」3小時,集團相關人員共計51人次參訓。
建立風險文化措施
風險與績效之連結
・總經理、高階管理階層及員工績效獎金核發標準納入風險性指標(包含當年度資產品質、客戶申訴、法令遵循及重大內控事件),影響年度績效獎金數額。
・風險管理單位績效考核項目包含資本適足率暨槓桿比率、資本報酬率、逾放比控制目標等達成率、人員訓練及創新措施等風險管理指標,考核結果為受考核部門績效獎金之重要參考。
・績效考核:
(1)績效考核中「管理績效」之內控管理檢查項目「行政效率扣分標準」,若違反法金業務信用評等之調整評等相關規定,考核期間經風險管理處通知缺失達三次以上或經通知未如期改善者,按情節輕重予以扣分。
(2)績效考核中「財務績效」有關「獲利」及「管理績效」之重要管理指標「不動產授信集中度監控管理措施」亦訂定相關激勵措施。
(3)績效考核中已將「資本運用效益」及考量資本成本後之「經濟利潤」達成率納入考核項目,並舉辦資本報酬率考核競賽,包含提存前純益資本報酬率、提存前營業毛利資本報酬率增加數及資本抵減增加數等項目,作為營業單位績效考核加分項目;另舉辦激勵活動,評比全年度各單位之風險性資產報酬率及平均風險權數表現,依據成績給予績優單位嘉獎/獎金。
・經由內部稽核單位所提列檢查意見或查核缺失及內部控制制度聲明書所列應加強改善事項持續追蹤覆查,並將其追蹤考核改善情形,以書面提報董事會及審計委員會,列為對相關單位獎懲及績效考核之重要項目。
・各部門及各子公司法令遵循考核結果作為相關人員人事考評之依據。
風險與績效之連結
・透過法令遵循制度規則、法令遵循案件通報作業要點、內部稽核制度實施規則及第一金融集團偶發事件通報要點、作業風險管理要點及信用風險管理要點等相關規範,建立內部人員風險通報機制。
・各公司內部網站設置「總經理信箱」、「Ideas信箱」、「關懷員工服務專線」、「CEO週報」、「好文分享」或多樣化主題的公共論壇等透明、平等、便利之申訴管道並妥善處理回應。
風險文化之精進
・不定期辦理風險管理座談會,邀集各公司討論近期金融時事變化,評估調整各項風險監控指標及頻率。
・訂有員工提案制度,鼓勵員工主動積極識別並報告潛在風險。
・每月發行風險管理電子報,透過「風管快報」、「專題報導」及「風管小辭典」等方式促進全員風險意識,提升專業知能。
・針對新興風險(如資安風險、氣候變遷風險及個資保護風險等)舉辦相關教育訓練,提升風險應變能力。
・依「新種商品標準程序作業要點」,由各業管單位針對新種商品輪廓、作業流程與內控機制等議題進行討論,送經營決策委員會或(常務)董事會審議;新種商品正式上市/上線前,須依「作業風險管理工具實施要點」有關RCSA之程序及方法辦理作業風險辨識及評估。
5. 新興風險
本集團新興風險辨識結果為「網路不安全」、「國家間武裝衝突」及「錯誤和虛假訊息」,面對該等風險可能產生之衝擊及已採行之抵減措施如下表:
風險描述 - 網路不安全
隨著網路資訊發展,人類對於網路之依賴日益增加,各種網路科技應用也不斷推陳出新,卻也衍生許多網路犯罪,且犯罪手法層出不窮,不僅個人資料外洩而被詐騙、或企業機密被竊取,甚至無法持續營運,這些網路安全威脅在全球各地不斷地發生,對金融業亦構成巨大之挑戰。
可能衝擊:
・大型網路犯罪及威脅可能造成中心網路、系統及設備異常,衝擊資訊安全;盜刷卡手法日新月異、個資外洩事件、系統資安防護強度不足進而損及客戶權益與本集團商譽。
・重大資訊系統安全漏洞層出不窮,可能有資安威脅情資及弱點無法即時掌握之風險。同仁資安意識不足,可能有點選社交工程郵件或者瀏覽不安全之網站被騙取帳號密碼之風險。
・詐騙集團透過社群網站、LINE群組或發送簡訊徵才,以高薪為噱頭,誘騙民眾上鉤,再趁面試時扣押存摺及證件,並要求被害人臨櫃申請網路銀行作為詐騙人頭戶;以高報酬率或保證獲利等誘因吸引民眾加入投資,並請被害人將款項匯入指定帳戶中,被害人常於獲利要贖回時,發現無法取回款項,民眾財產安全飽受威脅。
・為因應網路安全威脅事件層出不窮,各子公司法遵部門需高頻率因應法規修訂而增修相關內部規範以符合主管機關要求,可能需要更多人力培訓及增購資訊系統、更新設備等造成本集團營運成本增加。
・發生撞庫攻擊,致網路下單服務緩慢、網路下單系統客戶遭偽冒下單,易引發客戶非主動交易投資損失之客訴事件。
抵減措施
短期:
・遵循數位安全相關規範及流程(SOP),並即時掌握最新資訊安全情資,針對重大資訊系統漏洞進行修補及強化措施。
・建立電話、網路異常通報流程及有效應變措施。
・確實安裝並更新電腦防毒及惡意偵測軟體,且確實辦理網路防火牆隔離。
・定期辦理異地備援演練,以確保風險事件發生時,公司營運不中斷。
・按月函布警示帳戶統計資料,重申營業單位應落實辦理開戶審核作業,另針對臨櫃開戶、換摺時向客戶宣導如提供個人帳戶供非法使用,可能負擔刑事責任,並於存摺內頁印製提醒字句,勿隨意將存摺、金融卡提供他人使用及針對有異常交易發生時,應進行查證,俾有效降低警示戶案件持續發生。
・每年對全體同仁實施資訊安全教育訓練,加強宣導避免隨意點擊可疑的電子郵件、外部網站及下載來路不明的檔案。倘非公務需要,應避免留存本公司配發之電子郵件帳號。
・因應國內外法規之修訂,各業管單位及國外分支機構依規於時限內修訂相關內部業務規範,俾利遵循。
・針對勒索軟體應使用最新有效的防毒軟體加以防堵,不定期進行系統修補管理以即時修復遭攻擊之弱點,辨識與驗證使用者權限,測試資料備份且在適當時間目標內復原之成效,以及模擬各種勒索軟體攻擊情境之訓練。
・網路下單系統憑證下載與登入採雙因子認證,可強化身分驗證之安全防護,以提升防禦撞庫攻擊之能量,降低系統相關帳號密碼遭假冒或竊用之風險。
中長期另進行以下風險抵減措施:
・持續注意辦理資訊需求之風險評估、提升資訊及資安設備,加強人員之資安及個資防護訓練。
・定期更新防毒軟體,防護惡意軟體攻擊。
・導入新世代網路防火牆設備,以強化新興科技防禦功能。
・定期舉辦社交工程防護及資訊安全相關教育訓練課程及演練測試,以建立風險意識並提升警覺程度。
・不定期提供內政部警政署彙整民眾常見受騙情境徵候,函請各營業單位宣導及加強教育訓練,以落實執行臨櫃關懷提問。
・持續追蹤國內外最新金融科技應用趨勢,並研究借鏡同業實務作為及主管機關檢討裁罰案件等,精進落實日常教育訓練,提升員工遵法意識及素質。
風險描述 - 國家間武裝衝突
近期受到國際間衝突影響,烏俄戰火尚未平息,以巴衝突為全球經濟增添不確定性,地緣政治風險大幅加劇,金融產業必須以敏銳的眼光洞悉全球經濟和地緣政治因素的影響。
可能衝擊:
・受發生武裝衝突影響之企業違約風險上升,可能增加本集團信用風險暴險,若在戰爭當地或鄰近受影響區域設有本集團營業單位,亦可能增加營運風險。此外原物料價格攀升或供應鏈斷鏈等亦將促增本集團市場風險暴險。
・國際間戰事造成全球金融市場波動加劇,可能進而引發系統性風險,使得全球金融體系出現危機,投資人避險情緒升高並拋售持有之金融商品,促其價格崩跌,恐面臨客戶流失、本集團財富管理資產規模減降及整體業務之推展產生困難。
・不論是國家或地區間的經貿衝突或武裝戰爭,都可能引起相關的制裁措施,其中貿易制裁及金融制裁可能導致客戶營運停擺或資金遭凍結,進而影響金融機構在貿易融資及國際匯兌之業務推展。
・全球不安全氣氛恐造成經濟受挫,股債市下跌,個別標的避險難度加深且造成損失。
抵減措施
短期:
・關注國際政經、社會安全、評等展望等訊息及全球國力局勢變化,提升地緣風險意識,分散並嚴控相關暴險部位。制定緊急應變措施,並與政府及監管機關保持合作,以降低相關影響。
・定期監控本集團授信資產品質及各項信用風險集中情形,及時提出警示或因應措施。
・定期執行壓力測試,以衡量對本集團財務衝擊,另視重大事件及未來環境變化增加執行頻率,並依據測試結果及時採取因應措施。
・發生重大不利時,即時揭露營運暴險、受影響程度,以及擬採取之因應做法,通知營業單位關於信託商品因地緣經濟衝突而產生之變更,及需營業單位協助通知投資人之事項,包括基金商品流動資產之轉移、基金分割事宜等。
・減降國家風險,定期舉辦教育訓練,提升員工對國家間武裝衝突之風險意識,並持續關注國際金融情勢,適時評估及調整外匯業務管控及應對措施。
・持續開發招攬新客戶,擴大業務客群並分散大戶的集中度,以避免單一客戶或相似產業因營運量急速衰減,造成對本集團業務衝擊。
・提升股債部位調節效率因應戰爭突發時之變動,現金水位提高或將投資組合轉到低波動度之大型傳產或公用事業類股,另嚴格控管可轉換公司債資產交換(CBAS)信用風險,一旦標的營運不如預期,立即停止承作。
除上述外,中長期另進行以下抵減措施:
・強化金融機構資本結構,以承受在危機期間所面臨之各種風險,保持充裕流動性並建立多元化收入來源,以降低對單一市場的依賴與衝擊。
・持續監控授信戶授信金額之變化,並關注其所屬集團之經營動態與產業現況,掌握整體授信金額使用情形。
・持續關注全球地緣政經對抗相關時事脈動,觀察世界主要經濟體政經情勢變化,定期監控商品對於國家或集團之風險餘額。
・受理各項外匯案件時,將視客戶往來及債權確保情形審慎辦理,亦持續關注國際金融情勢,適時採取對應的防護措施。
風險描述 - 錯誤和虛假訊息
近來虛假、冒名頂替、操縱和捏造的內容等持續存在的假訊息透過媒體網路廣泛傳播,造成公眾輿論對事實和權威的不信任,進一步擴大社會和政治分歧,甚至引發武裝衝突,導致全球經濟面臨更高的風險。
可能衝擊:
・冒名金融業者或假冒本集團成員吸收客戶成立群組,鼓吹投資特定商品造成客戶損失,或利用假消息捏造內容惡意中傷集團形象。
・錯誤與虛假等不實訊息的散播,易導致公眾對特定事務之偏見,進而客訴案件驟增,增加營運處理成本,且形成公眾負面印象,不利集團企業形象的建立與經營。
・不實的訊息亦有可能使經營團隊在營運決策上形成錯誤的判斷,進而導致失敗的成果、不必要的成本負擔及營業虧損。
・虛假訊息可能讓訊息的合法性受到質疑、破壞社會穩定,新的犯罪類別也將激增並威脅社會凝聚力。
抵減措施
短期:
・透過各種管道向投資人與客戶進行宣導,包括透過對帳單、交易APP推播,定期提供防詐騙資訊給客戶,在官網設有反詐騙專區,羅列常見投資詐騙樣態與政府部門資訊,並持續更新,也透過官方社群宣導防範詐騙。
・明確提醒若發現有疑似冒用本公司名義,偽造不實官方網站、行銷廣告及冒名APP進行誘導詐騙時,請撥打「165」反詐騙專線進行查證與通報。
・建置即時順暢的重大訊息發布與客訴溝通管道,適時澄清,防堵並消弭不實訊息及公眾負面情緒不當擴散,影響企業社會觀感。
・透過定期教育訓練及公告提醒,提升同仁對新興科技衍生之詐騙態樣的資安意識。
中長期另進行以下風險抵減措施:
・利用系統及AI在網路上搜尋相關訊息,詳細整理詐騙集團慣用手法、話術,並加以分析後,辨別是否為錯誤和虛假訊息,並不定期更新常見的投資詐騙樣態,提醒投資人慎防詐騙,降低財務損失。
・評估設立偽冒案件緊急應變小組,以應對各型態偽冒事件的發生。
・建置投資業務之內部再評價機制,透過集體二度審議,除錯篩漏,降低錯誤決策之機率。
・於官網設立金融安全專區,整合提供各項防詐資訊,提升客戶識詐觀念。
第三道模型-獨立超然之內部稽核制度
為強化法令遵循及內稽內控等二、三道模型功能,除就高風險業務檢視內部控制三道模型情形持續於各相關聯繫會議宣導外,亦於本公司「內部控制制度缺失暨法令遵循加強改進措施檢討座談會」就金管會與金控公司內部稽核座談會提示之金檢重點及檢查局函布之年度檢查重點、金融業各業別主要檢查缺失及裁罰案例缺失態樣提請本公司各部門及各子公司注意,檢視相關內控規範及管控措施的完善及有效性,並請稽核單位納入年度查核重點,落實內部控制三道模型,促進公司健全經營。另為落實績效考核,依循本公司對子公司稽核工作考核辦法定期對各子公司內部稽核組織與制度、內部稽核查核工作及稽核管理等相關稽核作業成效為考核,並將其結果送子公司董事會作為對稽核單位績效考評之重要依據。
本公司2023年內部稽核作業之執行及2024年稽核計畫之訂定,除參酌最新法規變動、主管機關更新之檢查重點、各單位(含子公司)內部控制執行之評等及各單位(含子公司)業務特性等,採風險化管理外,並經二道模型督導內部控制制度自行查核結果,再由稽核單位覆核,併同稽核單位所發現之內控缺失及異常事項改善情形,作為評估整體內部控制制度有效性,以使集團辦理內部控制制度自行評估更臻完備。另子公司第一銀行已實施風險導向之內部稽核制度,建立風險導向內部稽核評估之方法與程序,並作為稽核計畫編列之基礎,依風險評估程度訂定內部稽核查核頻率,使內部稽核資源更有效配置,聚焦於重要風險並加強查核深度。
重點稽核項目
■ 2023年內部稽核制度執行成效如下:
持續營運管理機制
另為即時有效處理本公司及子公司之經營危機(包括發生擠兌、搶劫、被盜、重大弊案、財務危機、重大投資失利、資訊危機(包括:資料外洩、系統中斷等)、火災、爆炸、天災、客戶集體陳情請願等重大事件或災害),期能迅速弭平事件或恢復營運,並降低危害,本公司訂定「本公司及各子公司危機處理實施準則」,危機發生時由業務主管單位迅即處理,就其相關業務採取一般應變措施外,尚應針對各種不同原因所肇致之經營危機,採行不同之應變措施,本公司必要時應成立危機處理小組,並由風險管理處負責個案專卷之建立、會議召集、案件列管追蹤紀錄,並隨時將案情及處理過程陳報本公司各級主管,至事件平息危機解除時止。
鑒於高爾夫球製造商明揚國際科技(股)公司屏東廠房於2023/9/22發生爆炸造成重大傷亡,本公司亦於風險管理委員會請各子公司檢視消防設施是否能正常使用及定期舉辦消防演練。
為確保金融系統營運不中斷,提供民眾安心、便利與多樣化之金融服務,並作為金融科技創新發展之基礎,本公司、銀行、證券及人壽子公司落實執行資訊安全與隱私保護相關規劃及辦理情形請參閱「資訊安全與隱私保護」章節。