金融監督管理委員會(下稱金管會)通過對華南商業銀行(下稱華南銀行)違反法令之裁罰處分案。華南銀行於112年6月6日處理財金資訊股份有限公司(下稱財金公司)代發統一發票獎金入帳作業發生異常,相關缺失顯示該行未針對資訊系統轉換作業完善建立客戶權益保護措施、未確實執行資訊系統轉換作業相關規範、未確實執行重大偶發事件通報程序、查核報告未能完整提供事件過程,核有未完善建立及未確實執行內部控制制度之情事,違反銀行法第45條之1第1項及該條授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」(下稱內控內稽辦法)第3條第1項、第8條第1項規定,爰金管會依銀行法第129條第7款規定,核處新臺幣(以下同)400萬元罰鍰。
一、受裁罰之對象:華南銀行
二、裁罰之法令依據:銀行法第129條第7款
三、違反事實理由:
(一)華南銀行執行各款項代收付作業之資訊系統,於112年6月1日變更為新建之「台外幣代收付系統」。於112年6月6日凌晨1點39分執行財金公司代發統一發票獎金入帳作業時,因該系統轉檔時發生金額欄位移位,造成入帳金額多2個零,共計35,952筆異常入帳,誤匯入金額20.25億元(正確撥付金額應為2,025.89萬元)。雖該行於當日凌晨4點28分執行帳務更正作業,惟因部分客戶帳戶已轉出資金或代扣繳公用事業費用,導致帳戶餘額不足無法更正,最終受影響客戶計142戶、未得及時收回金額918萬元。
(二)案關缺失顯示該行有下列未完善建立及未確實執行內部控制制度之情事:
1、資訊系統轉換作業未完善建立客戶權益保護措施:該行「台外幣代收付系統」係執行各項入扣帳款交易服務,其重要性應屬「金融機構資通安全防護基準」規定之第一類電腦系統範疇。惟查該行資訊系統轉換之緊急應變計畫及教育訓練並未規範納入客服部門,以致系統異常事件發生時,該行客服部門接獲客戶投訴未得即時回應,且於事發後逾13小時始發送簡訊通知客戶,亦不利客戶掌握自身權益受影響情形。
2、未確實執行資訊系統轉換作業相關規範:
(1)系統轉換前未落實測試作業:該行於案關系統轉換前之準備工作,發現誤用財金公司之其他來源檔格式後,並未依內規進行平行測試或整體性演練,即逕行上線。
(2)轉換後未監控系統上線情形:系統上線後首次執行統一發票獎金入帳批次作業,該行未依內規配置適當人員持續監控系統上線作業及確保資料正確,而係該行客服部門接獲客戶來電始發現異常並聯繫資訊單位人員到行處理。
3、未確實執行重大偶發事件通報程序:銀行發生重大偶發事件應立即通報。本案資訊系統異常事件發生時間為112年6月6日凌晨1點間,共計35,952筆異常入帳。該行於案發次日依本會銀行局電話通知,始於6月7日晚上9點間通報重大偶發事件,未針對系統異常事件之影響程度落實執行重大偶發事件之通報程序。
4、查核報告未能完整提供事件過程:稽核單位作為內部控制制度的第三道防線,應詳實說明事件過程及檢討問題根因,才能發揮改善之功能。本案該行所報重大偶發事件查核報告,未完整提供事件過程相關重要資訊,影響該行查核報告之正確性及完整性,內部控制制度未有效運作。
四、裁罰結果:違反銀行法第45條之1第1項及內控內稽辦法第3條第1項、第8條第1項規定,爰依銀行法第129條第7款規定核處400萬元罰鍰。
一、受裁罰之對象:華南銀行
二、裁罰之法令依據:銀行法第129條第7款
三、違反事實理由:
(一)華南銀行執行各款項代收付作業之資訊系統,於112年6月1日變更為新建之「台外幣代收付系統」。於112年6月6日凌晨1點39分執行財金公司代發統一發票獎金入帳作業時,因該系統轉檔時發生金額欄位移位,造成入帳金額多2個零,共計35,952筆異常入帳,誤匯入金額20.25億元(正確撥付金額應為2,025.89萬元)。雖該行於當日凌晨4點28分執行帳務更正作業,惟因部分客戶帳戶已轉出資金或代扣繳公用事業費用,導致帳戶餘額不足無法更正,最終受影響客戶計142戶、未得及時收回金額918萬元。
(二)案關缺失顯示該行有下列未完善建立及未確實執行內部控制制度之情事:
1、資訊系統轉換作業未完善建立客戶權益保護措施:該行「台外幣代收付系統」係執行各項入扣帳款交易服務,其重要性應屬「金融機構資通安全防護基準」規定之第一類電腦系統範疇。惟查該行資訊系統轉換之緊急應變計畫及教育訓練並未規範納入客服部門,以致系統異常事件發生時,該行客服部門接獲客戶投訴未得即時回應,且於事發後逾13小時始發送簡訊通知客戶,亦不利客戶掌握自身權益受影響情形。
2、未確實執行資訊系統轉換作業相關規範:
(1)系統轉換前未落實測試作業:該行於案關系統轉換前之準備工作,發現誤用財金公司之其他來源檔格式後,並未依內規進行平行測試或整體性演練,即逕行上線。
(2)轉換後未監控系統上線情形:系統上線後首次執行統一發票獎金入帳批次作業,該行未依內規配置適當人員持續監控系統上線作業及確保資料正確,而係該行客服部門接獲客戶來電始發現異常並聯繫資訊單位人員到行處理。
3、未確實執行重大偶發事件通報程序:銀行發生重大偶發事件應立即通報。本案資訊系統異常事件發生時間為112年6月6日凌晨1點間,共計35,952筆異常入帳。該行於案發次日依本會銀行局電話通知,始於6月7日晚上9點間通報重大偶發事件,未針對系統異常事件之影響程度落實執行重大偶發事件之通報程序。
4、查核報告未能完整提供事件過程:稽核單位作為內部控制制度的第三道防線,應詳實說明事件過程及檢討問題根因,才能發揮改善之功能。本案該行所報重大偶發事件查核報告,未完整提供事件過程相關重要資訊,影響該行查核報告之正確性及完整性,內部控制制度未有效運作。
四、裁罰結果:違反銀行法第45條之1第1項及內控內稽辦法第3條第1項、第8條第1項規定,爰依銀行法第129條第7款規定核處400萬元罰鍰。
聯絡單位:銀行局金融控股公司組
聯絡電話:(02)8968-9836
如有任何疑問,請來信:本會民意信箱