透明治理

採行適當的風險管理程序,透過跨單位之充分協調,形成風險三道防線機制。

設有「企業資訊安全委員會」,管理資安業務推動成效與新興資安議題及因應方案。2022年中信銀行資安及個資教育完訓率100%,未發生重大資訊外洩事件。

設有「防制洗錢及打擊資恐委員會」,定期召開會議討論重要議題,並訂有相關辦法。2022年中信銀行參與相關教育訓練的完訓人次為2萬7,772人次。

強化公司治理 健全董事會管理

中信銀行訂有「公司治理實務守則」、「防範內線交易管理政策」、「道德行為準則」、
「誠信經營守則」、「誠信經營作業程序及行為指南」、「董事會績效評估辦法」等,
配合外規修正及實務運作情形,不定期審視修訂相關守則,以強化落實公司治理。

落實ESG管理

中信銀行將企業永續視為公司核心價值之一,呼應全球低碳轉型及永續變革趨勢,在兼顧業務成長、利害關係人權益以及環境、社會的永續發展之下,管理其對經濟、環境及社會風險與影響。

落實風險控制 深植風險文化
風險管理三道防線

中信銀行深刻體會風險管理的重要性,呼應國際PRI、PRB、TCFD等多項倡議,並已設置健全之風險管理組織架構以及完備的管理策略;日常運作除確實遵循主管機關相關規範外,採行適當的風險管理程序,輔以質化或量化之評估與監控,透過跨單位之充分協調,形成風險三道防線機制以利落實執行控管,以達成永續穩健經營目標。

風險管理係公司內各相關單位之共同職責,透過跨單位之充分協調,形成風險三道防線機制:

形塑員工風險管理意識

中信銀行鼓勵員工主動發現潛在風險,風險管控成果也是員工績效考核的要素之一。透過風險教育訓練,我們協助同仁將風險管控觀念落實於日常決策中,一旦發現風險,將依辨識、評估、衡量、監控等程序,結合管理工具如風險與控制評估 (RCA)、關鍵風險指標(KRI)等,逐級呈報至權限主管,並定期呈報高階管理階層與董事會。各體系作業風險管理單位亦彙總各類事件,編製警示教材,藉內部會議提供各單位引以為戒,避免重覆發生。

為加強風險意識,針對不同階層同仁設計所屬之風險相關課程,如新進同仁可藉由新人通識線上課程(包括:銀行風險管理概論、作業風險管理概論)建立風險觀念;針對新任初級、中級主管,則設計風險管理相關學程,加強其風險管理職能。2022年各項訓練如下表所示:

調訓人次 完訓人次 涵蓋率(%) 總時數(小時) 說明
新進人員 2,699 2,654 98 2,677.5 33人未完訓前即離職,無法完訓
新任主管 194 194 100 108.5
註:涵蓋率=完訓總人次÷調訓總人次
法令遵循

中信銀行長期積極關切海內外金融和法令環境的變更,每半年須辦理法令遵循自行評估作業,確保各項業務皆符合法令要求,每年持續優化法令遵循制度政策與相關辦法,法令遵循主管、法令遵循單位所屬人員及各單位法令遵循主管於就任時符合應具備之法定資格條件,完成30小時之訓練課程及通過測驗外,後續並需每年參加15小時以上在職教育訓練,並依規定向主管機關呈報每年法令遵循風險評估報告,各單位辦理業務時須確實遵循外部法令規範,必要時訂定各項內部作業規章。若有發生違反法令之情形,為使缺失獲得有效改善,法令遵循單位亦督促各單位對於法令遵循缺失或弊端進行原因分析、可能影響評估,並提出改善建議。如相關缺失或弊端係屬重大缺失,並即時提報董事會,以使董事能即時掌握相關資訊並據以作成決策。


防制洗錢及打擊資恐

中信銀行為遵循洗錢防制法、資恐防制法及金融機構防制洗錢辦法等規定,訂有「全球防制洗錢及打擊資恐政策」、「全球制裁政策」、「全球防制洗錢及打擊資恐客戶審查辦法」、「全球防制洗錢及打擊資恐教育訓練辦法」等,並已設立「防制洗錢及打擊資恐委員會」。

為落實防制洗錢及打擊資恐,董事、高階主管、法令遵循與防制洗錢及打擊資恐專責單位所屬主管人員等,於2022年均完成內、外規範對於訓練時數之要求,新進員工亦應於到職後三個月內完成教育訓練;全體員工每年需接受洗錢防制及打擊資恐宣導,內容包含相關法令規範與裁罰案例分享、可疑交易識別與通報及人員遵循職責等,另依同仁職務類別進行客製化的教育訓練,同時積極鼓勵同仁參加防制洗錢相關訓練及取得證照。2022年中信銀行參與相關教育訓練的完訓人次為2萬7,772人次。

防制洗錢相關教育訓練 2022 2021 2020
完訓人次 27,772 26,998 27,376
訓練時數(小時) 77,620 75,634 63,638


依據母公司中信金控「洗錢、資恐及資武擴風險管理辦法」明定應綜合考量客戶背景、職業與社會經濟活動特性、地域以及非自然人客戶之組織型態與架構等,以識別客戶洗錢及資恐風險,並明訂客戶或其實質受益人如為現任外國政府之重要政治性職務人士,應視為高風險客戶,採取強化確認客戶身分或持續審查措施,包含在建立或新增業務往來關係前取得高階管理人員同意;而客戶如係資恐防制法指定制裁之個人、法人或團體者,應婉拒建立業務關係。

中信銀行「全球防制洗錢/打擊資助恐怖主義政策聲明」,敘明相關客戶盡職調查(Customer Due Diligence,簡稱CDD)程序,以確保有效的風險控管。

嚴密的資安防護與管理
資安管理體系與個資保護

為確保銀行資訊安全管理能持續有效運作,並妥善保護營運機密與客戶個人資訊,避免其保密性、完整性、正確性及可用性遭受內、外部人員蓄意或疏忽所造成之破壞,中信銀行自2013年起設立「企業資訊安全委員會」為本行資訊安全治理之最高機構,並下設資訊安全推動小組及資訊安全工作小組,以即時溝通並協調跨組織資訊安全管理及個人資料保護作業任務。

中信銀行「企業資訊安全委員會」每季均召開會議,由銀行總經理擔任召集人,資訊安全長擔任執行秘書,除由法令遵循單位、法律事務單位、財務單位、風險管理單位、法人金融業、資本市場單位、個人金融單位及資訊管理等各業務單位最高主管出任委員外,每季會議均邀請內部稽核最高主管列席,負責銀行資訊安全政策之審核與相關資訊安全管理及個人資料保護作業之督導。

鑑別資安風險途徑與管理機制

中信銀行每年蒐集分析近年國內外重大資安事件之根因、威脅情資,並評估發生機率及事故發生後之衝擊,建置重大風險控管及監控機制,相關評估結果經資安長核定;成立資訊安全監控中心(Security Operation Center,簡稱SOC)24小時監控內部資安環境變化,主動且即時發現資安問題並採取因應措施。SOC與資安事故應變程序亦定期執行資安事件模擬演練,以強化偵測資安事故並提升應變能力;此外,我們積極培育資安專業人員,鼓勵資安人員定期接受資安專業教育訓練,以保持對資安風險辨識的敏銳度。

除由資訊安全部門制定資訊安全風險指標外,亦透過建置資訊安全管理指標儀表板(Security Operation Center Dashboard)即時掌握電腦病毒防護、駭客入侵防護、資料外洩風險及法規遵循等4大構面、29項指標在海內外據點之變化,並每日針對未達標項目寄發告警通知單位主管,防範於未然;另建置員工個人資安儀表板(Security Operation Center Dashboard for Personal),以利同仁掌握個人資安曝險程度及資安衛生習慣,單位主管亦能透過儀表板察覺資安曝險程度較高或資安衛生習慣較差同仁,並進行加強宣導。

情報與聯防

中信銀行訂有「個人資料檔案安全維護辦法」及「個人資料保護與資訊安全管理辦法」每年度均確實據以執行相關個人資料安全維護作業,並定期地評估控管機制的有效性,以確保客戶及員工個人資料的合法蒐集及運用。另外,每半年要求各單位檢視電腦軟體使用情況,確保均已獲得合法授權,避免侵害智慧財產權。同仁如發現或經通報疑似資安(含個資)事件,會於第一時間通知相關單位並研判事件嚴重等級,必要時於60分鐘內由事件應變指揮官成立緊急應變中心進行因應,並通知高階主管及記錄事故因應經過;應變中心指揮官由事故權責單位部級主管以上擔任,並由企業資訊安全委員會工作小組成員擔任事故管理、溝通協調、調查評估及公關媒體等任務編組成員。事故權責單位會於事故應變中心解除後一週提交詳細事件報告,並進行根因分析以降低未來事故重複發生之機率。