金融機構作業委外應在不影響健全經營、客戶權益及相關法令遵循之原則下,依董(理)事會核定之委外內部作業規範辦理。但外國金融機構在臺分支機構(包括外國銀行在臺分行及外國信用卡公司)之核定,得由經總機構授權之人員為之。
前項所稱委外內部作業規範應載明下列事項:
一、作業委外之政策及原則,包括委外之決策評估、風險管理機制、核決層級及治理架構。
二、專責單位及相關單位對委外事項控管之權責分工。
三、委外事項範圍及委外程序。
四、客戶權益保障之內部作業及程序。
五、風險管理原則及作業程序。
六、內部控制原則及作業程序。
七、其他委外作業事項及程序。
金融機構對於作業委外負最終責任,應就委外事項之風險程度、重大性及對營運及客戶權益影響進行評估,依風險基礎方法採取適當之控管措施,並依下列規定辦理:
一、董(理)事會應認知作業委外之風險,定期監督委外事項執行情形。
二、應確保專責單位及相關單位對於控管委外事項具備充足之資源、專業及權限。
三、應辨識、評估及管理具重大性之作業委外,訂定相關程序及政策,確保委外作業對金融機構正常營運或客戶權益有重大影響者,訂定強化之控管及緊急應變措施。
四、應有適當之盡職調查及定期審查程序以確認受委託機構具備執行受託作業之專業知識與資源、財務健全、內部控制及資安管理機制及符合法規要求。
五、應確保金融機構本身、主管機關及中央銀行,或其指定之人能取得受委託機構就受託事項範圍之相關資料或報告,及進行金融檢查或查核,或得命令受委託機構於限期內提供相關資料或報告。
前項規定於外國金融機構在臺分支機構之適用,得由總機構或經其授權之區域總部負責及辦理。但專責單位仍應由外國金融機構在臺分支機構人員辦理,並充分掌握總機構或經其授權之區域總部對在臺作業委外事項之控管情形。
本辦法所稱之重大性,係指下列情形之一:
一、委外作業無法提供服務或有資訊安全疑慮,對金融機構之業務營運有重大影響者。
二、委外作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響者。
三、其他委外作業對金融機構或客戶權益有重大影響者。