一、本注意事項依證券暨期貨市場各服務事業建立內部控制制度處理準則
第八條第一項第十八款訂定之。
〔立法理由〕 鑑於期貨商對於委外事項應注意程度允宜與自行從事該項作業之注意義務
相當,爰依照 IOSCO 「Principles on Outsourcing」,並參酌金融機構
作業委託他人處理內部作業制度及程序辦法(以下簡稱銀行委外辦法),
訂定期貨商作業委託他人處理應注意事項(以下簡稱本注意事項),以作為
期貨商訂定委外內部作業規範及作業程序,建立作業委外風險與效益分析
制度之依據,確保資訊安全無漏洞及保障客戶資料受控管。
|
二、期貨商將作業委託他人處理(以下簡稱為委外),應簽訂書面契約,
並依本注意事項辦理。但涉及外匯作業事項並應依中央銀行有關規定
辦理。
本注意事項適用之期貨商,包括本國期貨商及其國外分支機構及外國
期貨商在臺分支機構。
〔立法理由〕 一、參酌銀行委外辦法第二條訂定。
二、明定期貨商作業委託他人處理之適用機構。
|
三、期貨商對於涉及營業執照所載業務項目或客戶資訊之相關作業委外,
以下列事項範圍為限:
(一)資料處理:包括資訊系統之資料登錄、處理、輸出,資訊系統
之開發、監控、維護,及辦理業務涉及資料處理之後勤作業。
(二)表單、憑證等資料保存之作業。
(三)電子系統客戶服務業務,包括電話自動語音系統服務、客戶電
子郵件之回覆與處理作業、電子系統客戶之相關諮詢與協助,
及電話客戶服務。
(四)內部稽核部分作業項目。但禁止委託其財務簽證會計師辦理。
(五)其他經主管機關核定得委外之作業項目。
期貨商應依主管機關、臺灣期貨交易所股份有限公司(以下簡稱臺灣
期貨交易所)、財團法人中華民國證券櫃檯買賣中心(以下簡稱證券
櫃檯買賣中心)或中華民國期貨業商業同業公會(以下簡稱同業公會
)規定方式,確實申報有關作業委外項目、內容及範圍等資料。
〔立法理由〕 一、參酌銀行委外辦法第三條訂定。
二、明定期貨商作業委託他人處理之適用事項。
三、明定期貨商應確實申報有關作業委外項目、內容及範圍等資料。
|
四、期貨商作業委外應在不影響健全經營、客戶權益及相關法令遵循之原
則下,依董事會核定之委外內部作業規範辦理。但外國期貨商在臺分
支機構之核定,得由經總機構授權之人員為之。
前項所稱委外內部作業規範應載明下列事項:
(一)作業委外之政策及原則,包括委外之決策評估、風險管理機制
、核決層級及治理架構。
(二)專責單位及相關單位對委外事項控管之權責分工。
(三)委外事項範圍及委外程序。
(四)客戶權益保障之內部作業及程序。
(五)風險管理原則及作業程序。
(六)內部控制原則及作業程序。
(七)其他委外作業事項及程序。
期貨商對於作業委外負最終責任,應就委外事項之風險程度、重大性
及對營運與客戶權益影響進行評估,依風險基礎方法採取適當之控管
措施,並依下列規定辦理:
(一)董事會應認知作業委外之風險,定期監督委外事項執行情形。
(二)應確保專責單位及相關單位對於控管委外事項具備充足之資源
、專業及權限。
(三)應辨識、評估及管理具重大性之作業委外,訂定相關程序及政
策,確保委外作業對期貨商正常營運或客戶權益有重大影響者
,訂定強化之控管及緊急應變措施。
(四)應有適當之盡職調查及定期審查程序以確認受委託機構具備執
行受託作業之專業知識與資源、財務健全、內部控制及資安管
理機制及符合法規要求。
(五)應確保期貨商本身、主管機關、中央銀行,或其指定之人、臺
灣期貨交易所、證券櫃檯買賣中心或同業公會能取得受委託機
構就受託事項範圍之相關資料或報告,及進行金融檢查或查核
,或得命令受委託機構於限期內提供相關資料或報告。
前項規定於外國期貨商在臺分支機構之適用,得由總機構或經其授權
之區域總部負責及辦理。但專責單位仍應由外國期貨商在臺分支機構
人員辦理,並充分掌握總機構或經其授權之區域總部對在臺作業委外
事項之控管情形。
本注意事項所稱之重大性,係指下列情形之一:
(一)委外作業無法提供服務或有資訊安全疑慮,對期貨商之業務營
運有重大影響者。
(二)委外作業涉及客戶資料安全事件,對期貨商或客戶權益有重大
影響者。
(三)其他委外作業對期貨商或客戶權益有重大影響者。
〔立法理由〕 一、參酌銀行委外辦法第四條訂定。
二、期貨商應就作業委外建立妥適之政策及原則,並明定管理權責分工及
委外程序,委外內部作業規範應包括期貨商作業委外之決策評估應考
量之事項、期貨商可承擔之委外風險態樣、程度、控管方式等管理機
制、視委外事項之重大性、風險程度等因素訂定核決層級,與委外事
前、事中、事後之治理架構及委外程序等。
|
五、期貨商辦理第三點第一項第五款其他經主管機關核定事項之委外,應
檢具下列書件送臺灣期貨交易所審查後轉報主管機關核准:
(一)依前點第二項訂定之委外內部作業規範。
(二)董事會決議之議事錄。但外國期貨商在臺分支機構得由經總機
構授權人員出具同意書為之。
(三)委外對營運之必要性及適法性分析、委外事項之風險程度、重
大性及對營運與客戶影響之評估情形、對受委託機構盡職調查
情形及委外風險控管措施。
(四)作業流程。
(五)其他經主管機關指定事項。
前項經主管機關核定為得委外之作業項目後,其他期貨商得逕依委外
內部作業規範辦理。
〔立法理由〕 一、參酌銀行委外辦法第五條訂定。
二、明定期貨商申請辦理第三點第一項第五款其他經主管機關核定得委外
之作業項目,應檢送之書件及申請程序。另經主管機關函示核定為得
委外之作業項目後,其他期貨商即免依第一項規定向主管機關申請核
准,逕依委外內部作業規範辦理。
|
六、第四點第二項第二款規定之專責單位應執行之事項如下:
(一)依第四點規定訂定之委外內部作業規範控管委外事項。
(二)就委外事項涉及客戶權益保障、風險管理及內部控制作業之監
督,並定期評估檢討將結果呈報董事會或外國期貨商在臺分支
機構之總機構授權人員,若有重大異常或缺失亦應儘速通報主
管機關、中央銀行、臺灣期貨交易所或同業公會。
(三)督導受委託機構內部控制及內部稽核制度之建立及執行。
(四)訂定並執行遴選受委託機構之作業辦法,且應注意委外事項係
受委託機構合法得辦理之營業項目。
〔立法理由〕 一、參酌銀行委外辦法第六條訂定。
二、明定專責單位應執行之事項。
|
七、第四點第二項第四款規定期貨商訂定之委外內部作業規範有關客戶權
益保障之內部作業及程序,其內容應包括:
(一)如涉及客戶資訊者,應於契約簽訂時訂定告知客戶之條款;其
未定有告知條款者,期貨商應通知客戶委外事項,並應依個人
資料保護法之規定辦理。
(二)客戶資訊提供之條件範圍及其移轉之程序方法。
(三)對受委託機構使用、處理、控管前款客戶資訊之監督方法。
(四)訂定客戶糾紛處理程序及時限,並設置協調處理單位,受理客
戶之申訴。
(五)其他客戶權益保障之必要措施。
期貨商作業委外如因受委託機構或其受僱人員之故意或過失致客戶權
益受損,仍應對客戶依法負同一責任。
〔立法理由〕 一、參酌銀行委外辦法第七條訂定。
二、明定委外內部作業規範有關客戶權益保障之內部作業及程序。
|
八、第四點第二項第五款規定期貨商訂定之委外內部作業規範有關風險管
理原則及作業程序,其內容應包括:
(一)建立作業委外風險與效益分析之制度。
(二)建立足以辨識、衡量、監督及控制委外相關風險之程序或管理
措施:
1.評估委外事項之風險程度、重大性及對業務影響程度。
2.確保期貨商及受委託機構具備足夠之專業知識與資源。
3.考量相關風險因素,進行委外作業風險等級之評估,及降低
風險之適當措施。
4.定期評估風險等級,確保風險等級之更新。
5.辦理具重大性之委外事項依風險情境進行定期或不定期測試
或演練。
(三)訂定緊急應變計畫及終止委託之移轉機制。
〔立法理由〕 一、參酌銀行委外辦法第八條訂定。
二、為落實以風險為基礎之作業委外控管原則,應評估委外風險,確保期
貨商及受委託機構具備足夠之專業知識與資源,並考量風險因素,採
取降低風險之適當措施,並訂定更新風險評估之機制及就具重大性之
委外事項之風險情境進行定期或不定期測試或演練。
|
九、第四點第二項第六款規定期貨商訂定之委外內部作業規範有關內部控
制原則及作業程序,其內容應包括:
(一)訂定並執行委外事項範圍之監督管理作業程序。
(二)前款作業程序應納入期貨商整體內部控制及內部稽核制度內執
行。
(三)監督受委託機構內部控制及內部稽核制度之建立及執行。
〔立法理由〕 一、參酌銀行委外辦法第九條訂定。
二、明定委外內部作業規範有關內部控制原則及作業程序。
|
十、期貨商作業委外契約應載明下列事項:
(一)委外事項範圍及受委託機構之權責。
(二)期貨商應要求受委託機構配合遵守第十五點規定。
(三)消費者權益保障,包括客戶資料保密及安全措施。
(四)受委託機構應依期貨商監督訂定之標準作業程序,執行客戶權
益保障、風險管理、內部控制及內部稽核制度。
(五)消費者爭端解決機制,包括解決時程、程序及補救措施。
(六)受委託機構聘僱人員之管理,包括人員晉用、考核及處分等情
事。
(七)與受委託機構終止委外契約之重大事由,包括主管機關通知依
契約終止或解約之條款。
(八)受委託機構就受託事項範圍,同意主管機關、中央銀行、臺灣
期貨交易所、證券櫃檯買賣中心及同業公會得取得相關資料或
報告,及進行金融檢查或查核,或得命令其於限期內提供相關
資料或報告。
(九)受委託機構對外不得以期貨商名義辦理受託處理事項,亦不得
進行不實廣告或向客戶收取任何費用。
(十)受委託機構對委外事項若有重大異常或缺失應立即通知期貨商
。
(十一)其他約定事項。
期貨商應於契約中要求受委託機構非經期貨商書面同意,不得將作業
複委託。委外契約中應針對複委託情形,訂明複委託之範圍、限制或
條件。複委託契約應準用本點規定訂定之。
委外契約或複委託契約與本注意事項規定不符者,期貨商得按原契約
繼續辦理至契約期限到期為止;惟契約未定有期限者,應於本注意事
項發布施行起一年內補正,否則該契約自動終止。
〔立法理由〕 一、參酌銀行委外辦法第十條訂定。
二、明定委外契約應載明事項。
三、考量本注意事項係首次訂定發布,爰給予一年之契約補正期限。
|
十一、期貨商將作業項目委託至境外處理者,應依下列規定辦理:
(一)應充分瞭解及掌握受委託機構對客戶資訊之使用、處理及控
管情形。
(二)提供予受委託機構之客戶資訊僅限與受託事項直接相關之必
要資訊。
(三)應要求受委託機構確實遵守以下事項:
1.期貨商之客戶資訊僅限由受委託機構之獲授權人員於受託
事項範圍內使用及處理。
2.期貨商之客戶資訊應與受委託機構及其處理他機構之資料
有明確區隔。
3.受委託機構處理之期貨商客戶資訊應能及時提供予主管機
關、臺灣期貨交易所、證券櫃檯買賣中心、同業公會及期
貨商。
(四)應依風險基礎方法定期及不定期就受委託機構對客戶資訊之
使用、處理及控管情形進行查核及監督;相關查核得委由外
部稽核辦理,外國期貨商在臺分支機構得交由總機構或經總
機構授權之區域總部稽核單位辦理,相關單位並應提供相關
查核報告予該外國期貨商在臺分支機構。
(五)受委託機構所在地期貨主管機關請求提供我國客戶資訊時,
期貨商應先將事由通知我國主管機關並取得同意後始得提供
。
外國期貨商在臺分支機構因內部分工將作業交由總機構或國外分支
機構處理者,應依前項規定辦理。
〔立法理由〕 一、參酌銀行委外辦法第十七條訂定。
二、明定將作業項目委託至境外應辦理事項。
|
十二、期貨商辦理作業委外,涉及重大性期貨客戶業務資訊系統委託至境
外處理,應檢具下列書件送臺灣期貨交易所審查後轉報主管機關核
准:
(一)依第四點第二項訂定之委外內部作業規範。
(二)董事會決議之議事錄。但外國期貨商在臺分支機構得由經總
機構授權人員出具同意書為之。
(三)委外對營運之必要性及適法性分析,其中應包含對受委託機
構遵守我國客戶資料保護相關規定之評估。
(四)作業委外計畫書,其內容應包括:
1.風險評估及管理機制:
(1)委外事項之風險程度、重大性及對營運及客戶權益影響
之評估情形。
(2)受委託機構盡職調查情形,確保提供作業之可靠性、遵
法性,其中可靠性應包括對業務持續性、替代性及集中
性之分析。
(3)應具專業技術及資源,監督受委託機構執行受託作業之
說明。
(4)日常監督機制之計畫及執行單位。
2.客戶資訊保護措施及是否已取得客戶同意,以確保委外服
務品質及客戶權益保障之說明。
3.資訊安全及管理:
(1)資料安全管理措施、資料傳輸及區隔,以及資料所有權
說明。
(2)資料儲存地之管理政策,包括資料處理地及儲存地之法
律、政治、經濟安定性評估說明,資料備份及得隨時存
取資料之說明。
4.緊急應變計畫,包括受委託機構發生無法提供服務情事或
服務中斷之營運備援計畫。
(五)受委託機構出具之同意函或委外契約,同意必要時得由期貨
商指定之人,對受託事項進行查核。上開指定之人亦得由我
國主管機關指派之,其費用由期貨商負擔。
(六)受委託機構出具近三年內未發生造成客戶權益受損或影響機
構健全營運之人員舞弊、資通安全及其他事件之聲明書。
期貨商辦理前項委外,除應符合前點規定外,並應依下列規定辦理
:
(一)應就受委託機構對客戶資訊之使用、處理及控管情形確認符
合我國個人資料保護法相關規定,留存完整稽核紀錄,並列
為重點查核項目。
(二)應定期評估成本效益與集團內費用分攤之合理性並報董事會
通過。
(三)對資訊系統之安全檢測應不低於主管機關、臺灣期貨交易所
、證券櫃檯買賣中心或同業公會之規範。
(四)每年至少應辦理一次一般性查核及一次專案查核,並應於每
年年度終了後四個月內將當年度辦理跨境委外查核報告提報
董事會報告。前述查核之執行得委託具資訊專業之獨立第三
人辦理。
(五)應建立受委託機構發生無法提供服務情事或服務中斷之營運
備援計畫。
(六)應於契約中載明於委外作業移轉至其他受委託機構或移回期
貨商之情況,原受委託機構有關系統遷移、資料處理之義務
,及受委託機構服務中斷之賠償責任。
外國期貨商在臺分支機構因內部分工將作業交由總機構或國外分支
機構處理者,應依第一項規定辦理。
〔立法理由〕 一、參酌銀行委外辦法第十八條訂定。
二、期貨商將作業項目委託至境外處理,應依委外內部作業規範經期貨商
內部程序核決後辦理。
三、外國期貨商在臺分支機構如涉及重大性期貨客戶業務資訊系統委託至
境外處理,應依第一項規定提出申請。但考量外國期貨商在臺分支機
構之營運架構及規模與本國期貨商有別,其對相關資訊系統之管理多
由其總機構或國外分支機構處理,故外國期貨商在臺分支機構尚無第
二項之適用。
四、考量委託第三人辦理查核,期貨商可能無法於年底前取得委外查核報
告,爰將當年度辦理跨境委外查核報告提報董事會之期限定為每年年
度終了後四個月內。
五、國際規範對於退場機制之要求,係著重於確保可將委外作業移轉至其
他受委託機構或移回期貨商,爰訂定第二項第六款文字。
|
十三、期貨商將作業委託他人處理涉及使用雲端服務,應依下列規定辦理
:
(一)應訂定使用雲端服務之政策及原則,採取適當風險管控措施
,並應注意作業委託雲端服務業者之適度分散。
(二)期貨商對雲端服務業者負有最終監督義務,並應具有專業技
術及資源,監督雲端服務業者執行受託作業,並得視需要委
託專業第三人以輔助其監督作業。
(三)期貨商得自行委託,或與委託同一雲端服務業者之其他期貨
商聯合委託具資訊專業之獨立第三人查核,並應符合下列規
定:
1.確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重
要系統及控制環節。
2.應評估第三人之適格性,及其所出具查核報告內容之妥適
性並符合相關國際資訊安全及隱私保護標準。
3.應針對期貨商所委託作業範圍進行查核並出具報告。
(四)期貨商傳輸及儲存客戶資料至雲端服務業者,應採行客戶資
料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰
管理機制。
(五)對委託雲端服務業者處理之資料應保有完整所有權,除執行
受託作業外,期貨商應確保雲端服務業者不得有存取客戶資
料之權限,並不得為委託範圍以外之利用。
(六)委託雲端服務業者處理之客戶資料及其儲存地應依下列規定
辦理:
1.期貨商須保有其指定資料處理及儲存地之權利。
2.境外當地資料保護法規不得低於我國要求。
3.涉及重大性期貨客戶業務資訊系統之客戶資料儲存地以位
於我國境內為原則。如位於境外,除經主管機關核准者外
,客戶重要資料應在我國留存備份。
〔立法理由〕 一、參酌銀行委外辦法第十九條訂定。
二、明定將作業委託他人處理涉及使用雲端服務應辦理事項。
|
十四、期貨商辦理下列委外事項,不適用前三點規定:
(一)將其國外分支機構之作業項目委外辦理者。
(二)委託境外機構辦理位於境內資訊系統之開發及維護者。
〔立法理由〕 一、參酌銀行委外辦法第二十條訂定。
二、明定第十一點至第十三點之排外範圍。
|
十五、期貨商作業委外不得違反法令強制或禁止規定、公共秩序及善良風
俗,對經營、管理及客戶權益,不得有不利之影響,並應確保遵循
期貨交易法、洗錢防制法、個人資料保護法、金融消費者保護法及
其他法令之規定。
期貨商辦理作業委外應確實遵守相關法令、臺灣期貨交易所、證券
櫃檯買賣中心及同業公會相關業務規章或自律規範。
〔立法理由〕 一、參酌銀行委外辦法第二十一條訂定。
二、明定作業委外應確實遵守相關法令。
|
十六、期貨商作業委外,主管機關、中央銀行、臺灣期貨交易所、證券櫃
檯買賣中心及同業公會得取得相關資料或報告,並進行金融檢查或
查核。
受委託機構如有違反本注意事項或其他法令之情形時,主管機關得
視情節輕重,通知委託期貨商依契約規定終止委託、要求其限期改
善,或暫停委託直至受委託機構確認改善為止。
〔立法理由〕 一、參酌銀行委外辦法第二十二條訂定。
二、明定主管機關、臺灣期貨交易所股份有限公司、財團法人中華民國證
券櫃檯買賣中心或中華民國期貨業商業同業公會得取得相關資料或報
告,並進行查核。
|
十七、期貨商作業委外,如有未符本注意事項規定事項,除本注意事項另
有規定外,應於本注意事項發布施行起一年內補正。
〔立法理由〕 一、參酌銀行委外辦法第二十三條訂定。
二、為使期貨商有充足時間建立委外管理制度及檢視調整相關契約,將補
正期限訂為一年。
|