标题: 金管会: 台新银 帐单错置,裁罚600万元整
来源: 金管会
网址: https://bit.ly/wrong_bill
内文:
金融监督管理委员会(下称金管会)通过对台新国际商业银行(下称台新银行)违反法令之
裁罚处分案。该行催收信函寄送地址异常及信用卡帐单资料错置所涉相关缺失,显示该行
未完善建立资讯系统异动之测试及检覈机制,暨催收信函档案寄送及退邮后之控管机制,
对内未确实执行测试及验收之作业规范,对外亦未有效督导受委托机构建立完善之内部控
制制度,核有未完善建立及未确实执行内部控制及作业制度之情事,违反银行法第45条之
1第1项、第3项及其分别授权订定之“金融控股公司及银行业内部控制及稽核制度实施办
法”(下称内控内稽办法)第3条第1项、第8条第1项及“金融机构作业委托他人处理内部作
业制度及程序办法”(下称委外办法)第6条第1项规定,爰金管会依银行法第129条第7款规
定,核处新台币(下同)600万元罚锾。
一、受裁罚之对象:台新银行
二、裁罚之法令依据:银行法第129条第7款
三、违反事实理由:
(一) 台新银行于109年5月1日及113年5月9日调整信用卡系统地址字段时未同步调整催
收系统,及111年8月调整行动银行地址变更功能时写入台币核心系统之规则设计错误,分
别导致催收系统产出之签帐金融卡、信用卡及消金产品催收信函地址异常,可能误寄而产
生个资外泄,受影响客户数共1,089人。另该行委托〇〇资讯股份有限公司(下称委外厂商
)办理信用卡帐单打印及封装,因委外厂商打印机于113年11月22日凌晨时发生传感器
(sensor)与对位代码(code)间读取异常,导致打印帐单正面姓名与背面交易明细/缴款联
分属不同客户,受影响客户数共358人。
(二) 案关缺失显示该行有下列未完善建立及未确实执行内部控制及作业制度之情事:
1、未完善建立内部控制制度:
(1)未完善建立资讯系统异动之测试及检覈机制:该行针对与客户个资相关之系统参数调
整及程式变更,未订定完整之测试、开发单位与使用单位验证、周边及上下游系统之影响
分析等业务控制程序,故该行111年8月调整行动银行通讯资料变更功能,及113年5月调整
信用卡系统地址字段长度时,未能发现跨系统间资料传递异常。
(2)未完善建立催收信函档案寄送及退邮后之控管机制:该行原仅针对委外催收信函建立
交寄前之抽验机制,针对自行催收之信函档案仅核对与传输到厂商之总件数,113年7月后
始将抽验范围纳入全部催收信函;另遭退邮案件(除退邮理由为迁移不明者外)仅于系统登
录后销毁,未完善建立追踪控管措施以检视是否有地址异常问题,故自109年5月至113年8
月间,均未发现系统产出地址异常。
2、未确实执行内部控制及作业制度:
(1)对内未确实执行测试及验收之作业规范:该行内部规范已规定系统上线前测试作业应
核对资料输出结果之正确性,惟该行于109年5月信用卡系统上线前执行整合测试时,资讯
单位未确实检视输出结果,致未能发现地址输出异常情事。
(2)对外未有效督导受委托机构建立完善之内部控制制度:该行内部规范已规定专责单位
督导受委托机构建立内部控制及稽核制度,惟本案中受委托机构未确实依作业程序查证列
印资料正确性,且其作业程序缺乏寄发前之有效错误核验机制,致使打印错误之帐单仍被
寄出,显见该行未有效督导受委托机构建立完善之内部控制制度。
四、裁罚结果:违反银行法第45条之1第1项、第3项及其分别授权订定之内控内稽办法第3
条第1项、第8条第1项及委外办法第6条第1项规定,爰依银行法第129条第7款规定,核处
600万元罚锾。
五、其他监理要求事项:
(一) 请该行全面检视资讯系统进行调整/变更时跨系统间资讯传输之正确性,并建立事前
、事中、事后检核机制,且本案相关改善措施应经外部独立第三人查核并提报董事会报告
。另由稽核单位列管追踪及纳入内部查核重点。
(二) 请该行应加强资讯系统建置及资讯人员执行相关业务规范之督导,并充实稽核人员
资讯系统稽核能力。
(三) 请该行强化对委外厂商之管理机制,将改善措施提报董事会,并评估依委外契约向
委外厂商求偿。
联络单位:银行局金融控股公司组
联络电话:(02)8968-9836
如有任何疑问,请来信:本会民意信箱