經濟面  >
風險管理與營運持續性
 
 
風險管理與營運持續性
 
本公司依據「金融控股公司及銀行業內部控制及稽核制度實施辦法」建立內部控制制度,涵蓋所有營運活動,並由董事會、管理階層及所有從業人員共同遵行。董事會應認知營運所面臨之風險,監督營運結果,並對確保建立及維持適當有效之內部控制制度負最終之責任。
 
為完善內部控制制度及強健企業體質,特建立內部控制三道模型架構,並釐清三道模型之角色功能及權責範圍,確保組織架構符合三道模型原則及其有效運作。
 
 
 
第一道模型 - 業務單位自行查核
由業務單位就其功能及業務範圍,負責辨識、評估、控制及降低營運活動所產生的風險,建立內部控制程序及執行風險管理程序,確保各項業務執行符合經營政策及目標,且定期辦理自行查核及內部控制自行評估,當流程及控制程序不足時,即提出改善計劃。依2024年6月陳報董事會審議通過之本公司2023年度「法令遵循風險評估報告」,集團國內外全數營運據點執行貪腐風險評估比率為100%,其中防制洗錢及員工個人相關活動經評估為中高度風險,銀行、證券、投信及人壽子公司皆已訂定相關內部規範進行控管,以降低貪腐風險之發生。
 
 
 
第二道模型 - 健全法令遵循及風險管理機制
包含風險管理、法令遵循及其他專職單位(如財務控制、人力資源、法務等)應就各主要風險類別負責整體風險管理政策之訂定、監督整體風險承擔能力及承受風險現況,並向董事會或高階管理階層報告風險控管情形。
 
法令遵循
本公司及銀行、證券、投信、人壽子公司已設置隸屬於總經理之法令遵循專責單位,其餘各子公司亦設總機構法令遵循主管,負責各該公司法令遵循制度之規劃、管理及執行。本公司持續要求各子公司落實並強化法令遵循制度,2024年執行成效如下:
 
 
2024年本公司及各子公司受國內外主管機關裁處罰鍰之案件共4件,總金額約67萬元,另無重大裁罰案件*
 
*:重大裁罰案件揭露標準係處罰結果依「證券交易法」第36條第3項第2款規定其可能對股東權益或證券價格有重大影響,或符合「金管會處理違反金融法令重大裁罰措施之對外公布說明辦法」第2條規定者。
 
風險管理
01. 風險管理架構
第一金控董事會是集團風險管理之最高決策單位,其下設置「風險管理委員會」,由董事長擔任主任委員,總經理、副總經理及子公司董事長、總經理擔任委員,每二個月召開會議監督並檢視集團及子公司各項風險管理之有效性與執行情形,並定期向董事會報告。風險管理處負責執行各項風險管理政策。
 
 
02. 風險管理政策及管理流程
A. 本集團透過董事會核定之「風險管理政策」,據以辨識、衡量、監管及控制各項風險,並訂定定性及定量措施以符合風險胃納。
・風險鑑別:藉由歷史事件、國內外議題趨勢等資料彙整,鑑別出重大危害影響途徑、風險類型及風險描述。
・風險衡量評估:導入風險評估模式進行情境分析,以完成風險對業務的衝擊和潛在機會之量化評估。
・風險策略:依據量化評估結果以及組織現況,採取減緩、轉移、承受或控制之策略,並建立減緩及調適行動計畫。
・目標制定:依據風險策略制定的結果,訂定組織具體的目標和指標,並將目標進一步分配給業管單位。
・目標監控:定期監控組織的風險與機會,並確定是否如期達成階段性目標,並設置獨立之風險管理委員會,以有效整合全集團風險管理事項之審議、監督、報告及協調運作。
 
本公司訂定集團與子公司授信及投資最高風險承擔限額以控管集團大額暴險;依各業別子公司訂定資本適足率警示水準以維持集團資本適足性;定期檢視各子公司信用風險、市場風險、利率風險、流動性風險、保險風險、作業風險及新興風險等主要風險監控指標,確實執行預警及停損機制;落實有效之內部控制制度以減少風險發生可能造成的損失。
 
各子公司皆分別依其業務特性訂定信用風險、市場風險、利率風險、流動性風險、保險風險、作業風險及新興風險等控管作業程序,包括建立及實施授權機制、限額管理、監控指標及報告流程等,藉由指標監控及定期自評,落實風險管理機能之運作,並由稽核單位定期查核風險管理執行情形,以確保風險控管機制有效運作。
 
 
隨全球新興風險項目類別增加與發生機率逐漸攀升,本公司另訂定「新興風險管理要點」,以利本集團強化公司治理及辦理新興風險(如貿易戰、全球傳染性疾病、氣候緊急狀態、資安風險…等)評估作業,建立集團層級之新興風險項目及管理機制。本公司亦依主管機關要求或經濟環境變化,適時增、修訂各項風險管理章則及監控指標,2024年增訂「第一金融集團氣候變遷風險管理注意事項」並修訂「第一金融控股股份有限公司申報金控法第四十六條注意事項」、「第一金融控股股份有限公司與子公司對利害關係人授信及交易規則」及「子公司對同一人、同一關係人、同一集團企業授信及投資之最高風險承擔限額表」等相關章則。
 
B. 風險胃納
考量營運計劃及風險概況,依據風險所願意且能夠的承受程度設定風險胃納,除參考可靠之風險定量數據外,亦結合歷史經驗與決策者之宏觀願景。本集團風險胃納係以二種方式呈現,一為資本適足性比率目標,另一為風險限額(含信用風險、市場風險、作業風險)。
 
C. 敏感性情境分析及壓力測試
・集團敏感性分析包括利率風險、外匯風險及權益證券風險。
・銀行子公司為主管機關指定之系統性重要銀行(D-SIBs),應辦理二年期壓力測試,並依金管會【本國銀行辦理壓力測試作業規劃】方法論,計算嚴重衰退情境下之各類資本適足比率及各項損益情形。
 
D. 獨立外部稽核
第一金控每二年一次接受金管會檢查局一般檢查,並有不定期之專案檢查,其中,因銀行子公司經指定為國內系統性重要銀行(D-SIBs),需定期向主管機關申報資本適足性評估結果,主管機關對該行風險管理流程亦有較嚴格要求。
 
03. 風險管理精進措施
風險管理架構
A.系統提升: 因應銀行子公司「法金各風險等級違約機率」改版完成,增訂「逾期等級(W1及W2)」、衡量方式及風險特性,並配合修正「法金業務信用評等作業要點」、「特殊融資評等作業要點」。
 
B.主要風險: 信用風險、市場風險、利率風險、流動性風險、保險風險、作業風險及新興風險
・修正「國內營業單位績效考核呆帳提存作業要點」暨更新「產品中項提存率」,以掌握業務推展與風險訂價之平衡。
・為貼近最新市場變化,提升衡量衍生性商品交易未來潛在暴險額之有效性,修正風險係數表。
・為避免於辦理授信以外交易時漏未檢視實質利害關係人資料及簡化人工維護作業,已利用串接人力資源管理系統(HRIS)資料,定期自動執行相關發查作業,並自動化產製報表供參。
・函布修正「銀行自有資本與風險性資產計算方法說明及表格」(BASEL III)信用風險標準法下資本計提相關規定,俾利風險管控及遵循。
 
◎ 子公司第一銀行資本適足性單位:仟元
 
04. 企業風險文化之建立
為強化集團風險管理機制運作順暢,並建立以風險為導向的企業文化,除不定期辦理風險管理座談會,邀集集團內各公司討論近期金融時事變化,評估調整各項風險監控指標及頻率,同時輔以線上第e學苑建立系統性的風險意識,從進入第一金的每位「第一人」即開始瞭解第一的風險文化及核心觀念,並對各層級的晉升同仁進行相關風險管理教育訓練。2024年共計1,190人次分別透過實體及線上教育訓練完成32.6小時的風險管理相關課程及測驗,亦針對測驗未通過者,再次進行訓練及測驗,直至通過測驗比率達100%。

另因金融商品及服務型態日趨多元且複雜,致易發生交易糾紛及金融犯罪事件,為充分理解國內外相關規範、避免法制落差,於2024年舉辦「公司治理論壇-新興科技洗錢風險」訓練課程3小時,集團董監事共計49人參訓。
 
 
建立風險文化措施
◎ 風險與績效之連結
・總經理、高階管理階層及員工績效獎金核發標準納入風險性指標(包含當年度資產品質、客戶申訴、法令遵循及重大內控事件),影響年度績效獎金數額。
・風險管理單位績效考核項目包含資本適足率暨槓桿比率、資本報酬率、逾放比控制目標等達成率、人員訓練及創新措施等風險管理指標,考核結果為受考核部門績效獎金之重要參考。
・績效考核:
(1). 績效考核中「管理績效」之內控管理檢查項目「行政效率扣分標準」,若違反法金業務信用評等之調整評等相關規定,考核期間經風險管理處通知缺失達三次以上或經通知未如期改善者,按情節輕重予以扣分。
(2). 績效考核中「財務績效」有關「獲利」及「管理績效」之重要管理指標「不動產授信集中度監控管理措施」亦訂定相關激勵措施。
(3). 績效考核中已將「資本運用效益」及考量資本成本後之「經濟利潤」達成率納入考核項目,並舉辦資本報酬率考核競賽,包含提存前純益資本報酬率、提存前營業毛利資本報酬率增加數及資本抵減增加數等項目,作為營業單位績效考核加分項目;另舉辦激勵活動,評比全年度各單位之風險性資產報酬率及平均風險權數表現,依據成績給予績優單位嘉獎/獎金。
・經由內部稽核單位所提列檢查意見或查核缺失及內部控制制度聲明書所列應加強改善事項持續追蹤覆查,並將其追蹤考核改善情形,以書面提報董事會及審計委員會,列為對相關單位獎懲及績效考核之重要項目。
・各部門及各子公司法令遵循考核結果作為相關人員人事考評之依據。
 
 
◎ 風險通報之措施
・透過法令遵循制度規則、法令遵循案件通報作業要點、內部稽核制度實施規則及第一金融集團偶發事件通報要點、作業風險管理要點及信用風險管理要點等相關規範,建立內部人員風險通報機制。
・各公司內部網站設置「總經理信箱」、「Ideas信箱」、「關懷員工服務專線」、「CEO週報」、「好文分享」或多樣化主題的公共論壇等透明、平等、便利之申訴管道並妥善處理回應。
 
 
◎ 風險文化之精進
・不定期辦理風險管理座談會,邀集各公司討論近期金融時事變化,評估調整各項風險監控指標及頻率。
・訂有員工提案制度,鼓勵員工主動積極識別並報告潛在風險。
・每月發行風險管理電子報,透過「風管快報」、「專題報導」及「風管小辭典」等方式促進全員風險意識,提升專業知能。
・針對新興風險(如資安風險、氣候變遷風險及個資保護風險等)舉辦相關教育訓練,提升風險應變能力。
・依「新種商品標準程序作業要點」,由各業管單位針對新種商品輪廓、作業流程與內控機制等議題進行討論,送經營決策委員會或(常務)董事會審議;新種商品正式上市/上線前,須依「作業風險管理工具實施要點」有關RCSA之程序及方法辦理作業風險辨識及評估。
 
 
05. 新興風險
 
 
本集團新興風險辨識結果為「AI帶來之錯誤和虛假訊息」及「地緣經濟對抗」,面對該等風險可能產生之衝擊及已採行之抵減措施如下表:
 
風險描述 - AI 帶來之錯誤和虛假訊息
 
近年來數位網路及社群媒體充斥大量錯誤、虛假訊息,隨著生成式人工智慧(下稱GenAI)迅速發展,金融機構亦陸續導入使用,雖有助於提升作業效率及提供多元服務,但可能涉及個資洩漏、資安及相關法律風險,且其生成之內容,亦有真偽難辨或不存在資訊之疑慮,甚至有犯罪集團透過GenAI假冒金融機構名義進行詐騙,破壞社會對金融體系的信任,影響金融機構的風險控管及商譽。
 
可能衝擊:
・投資風險:投資者和交易人員因錯誤、造假訊息而過度反應,增加市場波動性,衝擊投資組合與交易績效。
・營運風險:不實的訊息亦有可能使經營團隊在營運決策上形成錯誤的判斷,進而導致失敗的成果、不必要的成本負擔及營業虧損。
・資安風險:資訊安全管控若未臻完善,易有客戶個資、企業營運機密洩漏或錯誤資訊傳播等可能。
・財物損失風險:詐騙集團假冒本公司名義,以「客戶遭冒名申請貸款或開戶」為由聯繫客戶,聲稱為確保客戶財產安全,已協助報警處理,隨後再安排假員警致電,以偵辦案件為由套取民眾個資進行詐騙,造成客戶財物損失。
・法遵風險:各國政府為因應使用GenAI衍生之錯誤和虛假訊息風險,將陸續增修相關法規,集團各公司需因應法規修訂即時調整內部規範,亦需強化同仁辨識GenAI相關風險之能力與應變措施。
 
抵減措施
 
 
短期:
・透過各種管道向投資人與客戶進行宣導,包括透過對帳單、交易APP推播,定期提供防詐騙資訊給客戶,在官網設有反詐騙專區,羅列常見投資詐騙樣態與政府部門資訊,並持續更新,也透過官方社群宣導防範詐騙。
・明確提醒若發現有疑似冒用本公司名義,偽造不實官方網站、行銷廣告及冒名APP進行誘導詐騙時,請撥打「165」反詐騙專線進行查證與通報。
・建置即時順暢的重大訊息發布與客訴溝通管道,適時澄清,防堵並消弭不實訊息及公眾負面情緒不當擴散,影響企業社會觀感。
・透過定期教育訓練及公告提醒,提升同仁對新興科技衍生之詐騙態樣的資安意識。
 
中長期另進行以下抵減措施:
・利用大數據和AI技術,即時監測、識別錯誤及虛假訊息,以利正確決策。
・透過AI技術和數據聯防,建立強大風險管理系統,同時加強與科技業合作,打造更堅固防詐生態圈。
・積極與第三方或政府單位建立虛假訊息監控、即時通報及查證管道,共同維護金融市場的穩定性。
・持續追蹤國內外最新相關法規發展動態或監理趨勢,並據以發布法規報導或教育訓練教材,以供各單位即時掌握相關法規訊息,並相應調整內部規範及配合主管機關要求,進行情境測試,另評估設立偽冒案件緊急應變小組,以處理各類型態偽冒事件的發生。
 
 
風險描述 - 地緣經濟對抗
 
從英國脫歐、中國內需循環強調自給自足,乃至川普關稅貿易戰,皆代表全球保護主義、孤立主義與反全球化的興起,各國將經濟武器化,限制商品、知識、服務或技術等,以獲得地緣政治優勢並鞏固其勢力範圍。企業與政府因而需強化供應鏈韌性、分散市場風險,以因應地緣經濟風險的不確定性。
 
可能衝擊:
・違約風險:地緣經濟競爭可能導致進出口管制與關稅壁壘,影響企業獲利能力,經濟制裁與貿易戰亦可能推高原材料價格,增加資本支出,影響償付能力,增加金融機構貸款違約風險。
・授信風險:授信戶營運恐因地緣經濟對抗,受貿易逆差、弱勢匯率等貿易風險影響,進而提升金融機構授信風險。
・系統性風險:全球能源、原物料、金融市場價格波動加劇,恐使投資獲利減少,市場避險情緒升高並拋售持有之金融商品,促使價格崩跌,從而加劇金融市場波動。
・企業成本增加:關稅提高促增進口商品價格,對進口導向企業衝擊尤甚,勢將增加企業經營成本,影響獲利表現。
・法遵風險:經濟制裁和技術封鎖恐增加金融機構法規遵循與營運風險。
 
抵減措施
 
 
短期:
・關注國際政經訊息、各國經濟指標、國情變動及評等報告,定期監控持有投資部位損益變化、資產品質及信用風險集中情形,並嚴控相關暴險部位,審慎調整投資策略,針對重大事件即時提出警示或因應措施。
・積極拓展新客群,分散業務地區,減少對單一國家或供應商的依賴,並視狀況調整各國家風險限額。
・支持政府推動資訊及數位、資安卓越、台灣精準健康、綠電及再生能源、國防及戰略、民生及戰備等六大核心戰略產業,掌握全球供應鏈重組之商機。
・持續透過貸後覆審及預警作業,瞭解授信戶營運狀況,在信用違約前採取行動計畫或追償方案,以維護授信資產品質。
・蒐集各國最新相關法規,制訂相應內部規範供營業單位遵循。
 
中長期另進行以下抵減措施:
・加強與國際金融機構合作,建立風險分擔機制,降低地緣經濟對抗的影響。
・審慎管理授信曝險,避免授信部位集中於特定地區,以降低不利因素對授信業務之衝擊。
・運用金融科技簡化人工作業降低營運成本,並提升交易監控能力避免被制裁風險。
・持續提醒經理人密切關注國際政經情勢,精進貸放前徵審能力,督促同仁加強風險辨識,關注授信戶營運狀況,注意分散產業集中度及單一客戶集中度。
 
 
 
 
第三道模型-獨立超然之內部稽核制度
本公司及銀行、證券、投信及保險子公司均設置隸屬於董事會之內部稽核單位,並建立總稽核制,以獨立超然之精神執行稽核業務,查核與評估第一道及第二道模型所設計並執行之內控制度與風險管理制度之有效性,並適時提供改進建議,以合理確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據,另經由內部稽核單位對金融檢查機關、會計師、內部稽核單位與業務單位自行查核所提列檢查意見或查核缺失,及內部控制制度聲明書所列應加強改善事項持續追蹤複查,並將其追蹤考核改善情形,以書面提報審計委員會及董事會,並列為對相關單位獎懲及績效考核之重要項目,以維持有效且適當之內部控制制度運作。
 
為強化法令遵循及內稽內控等二、三道模型功能,除就高風險業務檢視內部控制三道模型情形持續於各相關聯繫會議宣導外,亦於本公司「內部控制制度缺失暨法令遵循加強改進措施檢討座談會」就金管會與金控公司內部稽核座談會提示之金檢重點及檢查局函布之年度檢查重點、金融業各業別主要檢查缺失及近期同業裁罰案例缺失態樣提請本公司各部門及各子公司注意,檢視相關內控規範及管控措施的完善及有效性,並請稽核單位納入年度查核重點,落實內部控制三道模型,促進公司健全經營。另為落實績效考核,依循本公司對子公司稽核工作考核辦法每年對各子公司內部稽核組織與制度、內部稽核查核工作及稽核管理等相關稽核作業成效為考核,並將其結果送子公司董事會作為對稽核單位績效考評之重要依據。
 
本公司2024年內部稽核作業之執行及2025年稽核計畫之訂定,除參酌最新法規變動、主管機關更新之檢查重點、各單位(含子公司)內部控制執行之評等及各單位(含子公司)業務特性等,採風險化管理外,並經二道模型督導內部控制制度自行查核結果,再由稽核單位覆核,併同稽核單位所發現之內控缺失及異常事項改善情形,作為評估整體內部控制制度有效性,以使集團辦理內部控制制度自行評估更臻完備。另子公司第一銀行已實施風險導向之內部稽核制度,建立風險導向內部稽核評估之方法與程序,並作為稽核計畫編列之基礎,依風險評估程度訂定內部稽核查核頻率,使內部稽核資源更有效配置,聚焦於重要風險並加強查核深度。
 
◎ 重點稽核項目
・防制洗錢、打擊資恐及反武器擴散落實情形。
・法令遵循制度實施情形。
・轉投資事業之監督管理情形。
・公司治理制度運作落實情形。
・集團風險管控機制。
・資安管理及督導子公司對更新資訊系統相關規劃作業、資安防禦、預警監測及應變演練機制之落實情形。
・個人資料保護。
・檢舉制度含教育訓練之執行情形。
・依金控法申報情形。
・國內股權商品投資利益衝突或不當交易防範之控管程序及抽核機制落實情形。
・內控自行查核辦理及管理情形。
・永續金融ESG推動情形與IFRS永續資訊揭露準則執行情形。
 
 
◎ 2024年內部稽核制度執行成效如下:
 
 
 
2024年內部控制制度聲明書請參考本公司網站
 
 
 
 
持續營運管理機制
為迅速傳遞偶發事件訊息,俾即時掌握處理時效,本公司及各子公司於偶發事件發生時,應依「第一金融集團偶發事件通報要點」將偶發事件分為重大偶發事件及一般偶發事件,並依影響程度分為A、B、C三種等級,切實依「通報偶發事件處理流程」辦理,並循通報、處理、跟催等原則審慎處置,以有效防止災害擴大,降低影響層面。
 
另為即時有效處理本公司及子公司之經營危機(包括發生擠兌、搶劫、被盜、重大弊案、財務危機、重大投資失利、資訊危機(包括:資料外洩、系統中斷等)、火災、爆炸、天災、客戶集體陳情請願等重大事件或災害),期能迅速弭平事件或恢復營運,並降低危害,本公司訂定「本公司及各子公司危機處理實施準則」,危機發生時由業務主管單位迅即處理,就其相關業務採取一般應變措施外,尚應針對各種不同原因所肇致之經營危機,採行不同之應變措施,本公司必要時應成立危機處理小組,並由風險管理處負責個案專卷之建立、會議召集、案件列管追蹤紀錄,並隨時將案情及處理過程陳報本公司各級主管,至事件平息危機解除時止。
 
為確保金融系統營運不中斷,提供民眾安心、便利與多樣化之金融服務,並作為金融科技創新發展之基礎,本公司、銀行、證券及人壽子公司落實執行資訊安全與隱私保護相關規劃及辦理情形請參閱「資訊安全與隱私保護」章節。