裁罰案件
南山人壽保險股份有限公司辦理保險業務,核有違反保險法相關規定,依保險法規定核處罰鍰新臺幣420萬元,並依同法第149條第1項規定予以6項糾正。
2021-04-29
受文者:如正副本
發文日期:
發文字號:
受處分人:南山人壽保險股份有限公司
營利事業統一編號:略
地址:略
代表人或管理人姓名:陳○
地址:略
主旨:查貴公司辦理保險業務,核有違反保險法等相關規定(詳一般業務檢查報告,編號109F106),依保險法第171條之1第4項及第5項規定核處罰鍰新臺幣(以下同)420萬元整,並依同法第149條第1項規定予以6項糾正。
事實:
一、有關貴公司資金運用作業及資產管理、風險管理等相關內控制度,有下述缺失事項(如檢查意見三(四)、三(八)、三(九)、三(十)、三(十一)):
(一)貴公司辦理國內債券ETF投資及交易作業之缺失:
1、所訂「流動性風險管理辦法」第三條第二點「…考量巨額交易部位對市場價格能造成重大影響應謹慎管理」,惟經查僅對台股單一個股於集中交易市場之同日內買入或賣出交易委託總量限制均「不得大於前一交易日之5日或10日成交均量之40%」,對持有國內債券ETF部位,未明訂單日交易量之控管指標,如:107.5.25賣出群益15年IG科技債(00723B)5,000張,占當日市場成交量5,002張(占比99.96%),該標的於107.5.16~107.5.24市場成交僅201張~294張;108.2.26賣出群益15年EM主權債(00756B)25,000張,占當日市場成交量25,262張(占比98.96%),該標的於108.2.11~108.2.25市場成交僅100張~145張;另107.12.12於集中市場賣出元大美債20年債券ETF(00769B)102,391千單位,其中成交時間10:36:00~11:01:37以每單位37.56~37.57元賣予統一避險ETN帳戶1,112千單位、11:04:53~11:25:34以每單位37.57~37.60元賣予****商業銀行受託保管*****證券有限公司投資專戶101,195千單位(前兩個交易日成交張數僅467張及472張)。
2、採次級市場賣出交易,未於分析報告評估採次級市場與初級市場基金贖回作業之成本效益,如:107.12.12自次級市場(未採鉅額交易)賣出元大美債20年債券ETF(00679B) 102,391千單位,並以每單位37.56~37.60成交,其投資決定參考前一日市價收盤價37.66元,以每單位37.3元限價單賣出,惟於前一日(107.12.11)該標的每單位淨值37.7088元,未敍明決策過程評估因素。
(二)貴公司雖定期於風管月報揭露前十大債券ETF持有部位,惟尚未建立集中度及流動性管理之控管機制,如:如基準日(109.1.31)持有復華15年期以上能源業債券ETF基金(00758B)、群益15年期以上新興市場主權債ETF基金(00756B),分別占該檔債券ETF基金規模97.4%(持有股數20,000千股、發行規模20,525千股)、87.5%(持有股數579,000千股、發行規模661,800千股),對集中度及流動性管理(包括初級市場申請贖回受限單一投信每日外幣匯兌額度限制),均未訂有明確規範機制。
(三)貴公司投資部辦理有價證券買賣作業,有關資金運用授權係依據董事會通過之「資金運用授權規則」辦理,分為部門主管、投資長、投審會及董事會等4個授權層級,經查有下列缺失事項:
1、固定收益投資部辦理債券ETF買賣業務,107.3.22~ 108.12.25投審會3次決議通過提高國內發行基金之投資長授權額度至投審會授權額度,期間長達1年9個月,致投資長授權額度等同投審會,不利投審會審議功能發揮,如:107.3.22、107.12.27及108.12.25投審會決議通過提高投資長國內發行基金授權額度至投審會授權額度,授權期限至107年底、108年底、109年底或下次資金運用授權辦法修正前,投審會各次授權前於董事會討論「資金運用授權規則」年度檢討案時,投資長均表達尚無調整需要,未就實際債券ETF交易需求,研議修訂「資金運用授權規則」之投資長授權額度,僅以投審會決議提高投資長授權額度因應。
2、另投資長依前述授權核決屬投審會審議之投資案,尚未建立事後提報投審會核備之機制,如:107.11.9~107.12.14買進群益15年期以上新興市場主權債ETF基金(00756B)合計71.0億元,部位餘額為125.8億元,僅由投資長核准(原個別標的投資金額60億元以上應經投審會核准),且107.12.31持有該檔債券ETF (帳面成本125.8億元)佔該基金規模之99.9%(基準日帳面成本為253.5億元,佔該基金規模達87.5%),未報送投審會核備,不利投審會控管風險。
3、證券投資部辦理國內外股權商品買賣業務,有經投審會提高個股累計投資金額上限(高於投資長授權額度),惟未訂定適用期限亦未定期檢視,不利個股風險額度之控管,如:行為時「資金運用授權規則」規定台幣股權憑證及外幣股權憑證個別標的投資金額之投資長及投審會授權額度分別為60億元(1億美元)及100億元(4.5億美元),103.2.12及106.3.2投審會提高**(13**)及***資源(US26875*****)個股投資限額至100億元及2億美元,未訂定適用期限,且投審會核准迄今已逾3年,亦未辦理定期檢視。
(四)貴公司提案單位未依所訂「投資審議委員會組織規程」規範向投審會提出審核議案或投資策略所需之資訊:
1、對於投資建議案與其他對公司投資績效、資產配置和投資風險有影響之相關議案,未提供該議案可能影響資本適足率及保單利率之分析資料,核與所訂「投資審議委員會組織規程」第3條規範不符,如:
(1)固定收益部於109.2.20投審會所提報提高新臺幣ETF投資額度案。
(2)不動產部於109.2.20投審會所提報臺北市世貿三館基地國有非公用土地設定地上權案初步分析報告案。
(3)證券投資部於108.10.31投審會所提報提高***投資成本限額由200億元至320億元案。
(4)專案投資處於108.4.30投審會所提報Blackstone Strategic Capital Holdings II L.P.私募基金案。
(5)外匯管理部於108.4.15投審會所提報提高一籃子避險策略額度與相關貨幣配置上限等貳案。
2、對於資產配置之重要項目未就未來投資方向提出投資策略,核與所訂「投資審議委員會組織規程」第5條規範不符,如:公司108.11.20以159.81億元標下信義行政中心地上權及109.3.30以312.27億元標下世貿三館地上權,顯示公司已大幅增加不動產相關投資之布局,惟查公司投資前每月向投審會報告投資績效案之會議資料均未檢附有關不動產投資策略之說明資料。
(五)貴公司資產負債管理委員會(總經理擔任主席)運作,經查有下列缺失事項:
1、資產負債管理委員會未確實依內規所訂職責控管資產負債管理作業,如:
(1)對職掌之資產負債配置指導方針及策略未予整合並適時檢討,如:所訂「資產負債管理委員會組織規程」第3條第1款規範委員會之職責為擬定資產負債配置指導方針及策略。依據公司書面說明,前述指導方針及策略係散落於102.12.10資產負債管理委員會會議紀錄所載「在利率恐將上升之際…」之主席致詞、103年第1次資產負債管理委員會會議紀錄所載「於現金流量分析上,除負債面現金流外,亦需呈現資產面現金流」之追蹤事項、105年第1次資產負債管理委員會會議紀錄所載「增加純固定收益的NII與資金成本比較」之追蹤事項、及107年第4次資產負債管理委員會會議紀錄所載「美元商品的投資報酬率,應排除匯率調整…」之追蹤事項等4項,並未整合,不利資產負債管理委員會控管相關部門是否依所訂資產負債配置指導方針及策略辦理,另公司董事會分別於102.12.19與107.12.20通過之103年度與108年度營運計畫及預算案,在營運所需、達成業務及財務目標已有差異,且委員人員異動已達2/3,惟該委員會迄檢查結束仍未就前開以書面說明方式提供之資產負債配置指導方針及策略予以適時檢討。
(2)依據109年第1次資產負債管理委員會會議紀錄,公司以存續期間缺口及DV01之變動說明資產與負債缺口之影響情形,惟查公司未有相關單位提出採用前述方法作為資產負債管理模型,並經該委員會審視其適當性及有效性之正式提案紀錄,應依所訂「資產負債管理委員會組織規程」第3條第2款有關「本委員會之職責如下:…2.審視資產負債管理模型之適當性及有效性」規範辦理。
(3)抽查108年度召開之4次資產負債管理委員會會議紀錄,公司未有相關單位提出長短期資本適足情形及清償能力之議案,應依所訂「資產負債管理委員會組織規程」第3條第4款有關「本委員會之職責如下:…4.審視長短期資本適足情形及清償能力」規範辦理。
2、資產負債管理委員會對於國際板債券可能產生之流動性風險未研擬具體因應措施或向風險管理委員會報告,如:
(1)依據108年第4次資產負債管理委員會會議紀錄,精算部就台幣利變壽險部分,國際板贖回後改配置於流動性高之資產,及台幣利變年金部分,面臨較顯著流動性風險,並視國際板贖回情形,改配置於流動性高之資產等提出「利變商品區隔帳戶管理建議」,惟委員未就前開建議詳細討論,研議具體因應措施。
(2)歷次提報風險管理委員會之資產負債管理委員會會議紀錄摘述未記載區隔資產具流動性風險,如: 經查108年第2、3、4次資產負債管理委員會會議紀錄均載有區隔資產具流動性風險,略以臺幣利變壽險未來 3 年將有大筆滿期金支出,造成持續淨現金流出,面臨較高流動性需求之壓力,建議適時調整資產配置,預做準備或考量利變年金未來並無新契約銷售計畫,且利變年金並無固定續期保費,預期未來負債面將持續產生淨現金流流出,利變年金區隔帳戶資產配置需更強化流動性管理等,惟依後續召開之108年第3、4、5次風險管理委員會會議紀錄,所提報有關資產負債管理委員會會議摘要報告,均未記載前述對流動性風險之討論,不利風險管理委員會瞭解區隔資產可能發生之流動性風險。
二、有關貴公司辦理保全業務及申訴作業之處理,有下述缺失事項(如檢查意見三(一)、三(三)):
(一)貴公司辦理保全業務之缺失:
1、辦理透過「旅行險報備系統」受理旅行平安險業務,對契約變更文件與要保文件之要、被保險人或持卡人簽名字跡疑似重複使用者,未確實審核是否為要、被保險人或持卡人親自簽名,即准予承保,如:保單號碼TN9216****(國外旅遊,生效日108.11.15,保險期間30天),分別於108.12.12、109.1.9及1.19以契約變更申請書延長保險期間,惟卷查該3次契約變更申請書之要保人簽署欄位及信用卡持卡人簽名欄位,與原保單要保人簽署欄位之筆跡幾可完全重疊,有簽名重複使用之疑慮;保單號碼TN9032****(國外旅遊,生效日108.3.5,保險期間14天,以信用卡授權書扣款),分別於108.3.18、3.29、4.14、4.15、及6.5以契約變更申請書延長保險期間,惟卷查108.3.18、3.29及4.15三次契約變更申請書之要保人及被保險人簽署欄位之筆跡幾可完全重疊,另108.3.18、3.29、4.14、4.15信用卡持卡人簽名欄位與原保單信用卡授權書之筆跡亦幾可完全重疊,公司雖曾於108.4.22照會業務員確認要、被保險人及持卡人是否親簽,惟僅經業務員回復親簽無誤後即予承保,未就簽名異常處提出合理查證之說明。
2、所訂作業規範未明訂應留存之檢核紀錄,不利作業遵循,如:所訂「保單借款內部控制作業處理程序」雖已規範須審核保戶簽名,惟未明訂應留存何種檢核紀錄,致公司107.9以前舊系統(CSA系統)受理之案件,於系統僅留存承辦人與覆核人員之代碼,新系統上線(PQM)受理案件雖留存有「完成簽名核對」,惟於CML模組受理之案件,於「保單借款明細表」則僅留存覆核主管之簽名,未留存如「已核對簽名無誤」之檢核紀錄。
(二)貴公司對申訴作業處理之缺失事項:
1、因保全作業疏失,所致申訴案件之改善及加強管控計畫未完備,如:申訴案件編號8002467328800159****(申訴日期108.5.23,還本金額30千元),保戶申訴「還本方式變更改寄支票給付,契變書非本人親簽,變更還本給付方式通知書受益人未簽名,公司未查明,仍將款項匯出,造成保戶權利受損」,嗣後公司將還本金補給付予保戶,並對於保戶所述「變更還本給付方式通知書受益人未簽名」部分,要求相關單位提出改善方案,及對承辦人員辦理評量懲處,另「變更改寄支票給付契變書非本人親簽」部分,雖未造成保戶權益受損,惟該部分疏漏原因,係保戶配偶將契變申請書郵寄業務員,再由業務員轉送公司,該申請方式不利確認是否為保戶所為,惟公司未要求權責單位提出應加強簽名樣式審核或其他強化措施之改善方案,僅以簽名樣式不易辨識真假,已向承辦人員口頭告誡並加強教育訓練,及建議不計入年度評量予以結案辦理。
2、受理申訴單位對業務員自述行為違反公司內部作業規範案件者,未建立通知權責單位程序,如:申訴案件編號800246****(申訴日期108.10.9,年繳保費9.6千元),業務員於申訴案件處理照會單說明「1年前的事我也忘了,以前客戶要繳費都會請我去收費,我都當天到超商幫他繳費。」,所述內容與公司所訂「個案融通收取現金繳費繳款作業要點」內部作業規範「自105年1月1日起,調整新台幣3千元以下之現金繳費可委由業務人員代為收取…」不符,惟受理申訴單位「客戶關係發展部」僅以口頭方式告知業務員應注意遵守規定,未將該情事通知權責單位「收費部」,不利收費部瞭解該員對其他案件之收費作業是否符合規範。
三、貴公司辦理法人投保業務,有下列缺失事項(如檢查意見三(二)):
(一)對於業務員招攬報告書所載內容不一致,未向業務員確認,不利評估保戶投保實際目的,如:保單號碼U00219****(生效日107.12.26)及U00219****(107.12.26)之被保險人係該法人要保人之總經理及副總經理,該2人為配偶關係且為公司之董事(董事會成員計3名,董事長無持股),業務員招攬報告書之投保目的填寫「經理人留才退職規劃」,其他項目係填寫「要保人的資金規劃」,惟核保人員未就不一致情形予以瞭解。
(二)辦理具保單價值準備金商品要保人由法人變更為自然人案件,未留存相關審核佐證資料,以確認變更要保人仍符合原投保之目的,如:保單號碼N35712****(變更申請日107.12.22,保單價值準備金或帳戶價值金額264千元)、V43000****(108.4.1,683千元)、N15573****(108.10.1,108千元)、N13965**** (108.11.8,905千元)及N13965**** (108.11.8,1,011千元)。
四、辦理開放系統(Open System)之系統開發、程式修改作業,未依「系統開發手冊(System Development Manual)Open System」辦理,如:單號(Defect NO)#1000016454係申請「配合不保事項提醒,請協助更新網路投保網頁文字」,經查辦理前述需求時,額外夾帶「eCommerce阻擋外國人網路投保機制」之變更需求,未依內規提出系統需求單(Service Request),且開發人員也未提出「單元測試報告(Unti Test Report)」與「測試應注意事項(Proposed Testing Consideration)」,不利功能面、資訊安全面、個人資料保護面進行評估及測試作業 (如檢查意見四(十))。
五、貴公司不動產部門及執行主管室進用之部門主管及委任經理人(負責人),多來自○○集團關係企業,經查下列人員聘任時之考核紀錄表均認為渠等專長非在壽險業或仍有空間精進,似未具保險專業知識或保險業工作經驗,惟該公司屢以符合行為時「保險業負責人應具備資格條件準則」第5條第1項第4款「有其他事實足資證明其具備保險專業知識或保險業經營經驗」規定,而予進用,對保險業負責人聘任程序未執行審慎評估作業:
(一)108.7.2第四十屆第二次董事會決議通過聘任雷○○為資深副總經理(委任經理人),直屬執行主管室(董事長、副董事長或總經理),該員原任職於利害關係人○○○○股份有限公司(公司副董事長尹○○擔任董事之企業,經營電動機車****業務)營運長,經查其歷年相關資歷並無在保險業工作經驗,另查該員面談考核紀錄表,人事部門主管意見為該員專精於專利相關領域及訴訟,該員之專長非在壽險業,顯示該員未具備保險專業知識及保險業工作經驗。
(二)108.4.1聘任陳○○為不動產部/物業管理及修繕處(物業總管理師),復於108.7.2第四十屆第二次董事會決議通過聘任該員為副總經理(委任經理人),並擔任不動產部主管,該員於進用前係任職於利害關係人○○○○股份有限公司(公司副董事長尹○○擔任董事之企業,經營電動機車****業務)副總裁,該員由進用後至擔任不動產部主管之期間僅有三個月,且進用前之歷年相關資歷並無在保險業工作經驗,另查該員面談考核紀錄表,人事部門主管意見為該員在不動產管理上經驗豐富,在不動產投資業務上仍有空間精進。
六、本會前對貴公司電子商務系統專案檢查,已就辦理防火牆規則維護作業及針對應蒐集、監控之系統稽核軌跡或日誌紀錄有欠完整提列檢查意見,惟本次仍查有下列缺失事項(如檢查意見一(一)、一(二)):
(一)辦理防火牆設定作業,IT Workgroup雖已依據「防火牆規則異動申請單/防火牆規則異動風險評估表」評估開放風險連線,惟查防火牆網路服務設定仍有開放任何型態(any或all),過於寬鬆者,如:*** 防火牆(***)規則編號#***;Client防火牆(Force Point ***)編號#*.**、#*.***、#*.***〜#*.***、#*.***等7條規則;SAP防火牆(***)編號#*、#***、#***、#***、#***、#****、#****〜****、#****〜****等12條規則;Server 防火牆(****)USERIF規則編號#**,作業欠嚴謹。
(二)有開啟遠端桌面連線服務,允許從辦公區連線至正式伺服器區網段,不利系統主機安全,如:Client防火牆(***)編號#*.***、#*.***、#*.****、#*.****、#*.****、#*.****、#*.****、#*.****等8條規則。
(三)雖已辦理防火牆規則定期檢視作業,仍有下列未完備事項:
1、經查108年第一次防火牆檢核作業,有開放任何型態(any或all)之網路服務且檢視結果僅簡略敘明「保留」,惟未對「保留」說明防火牆規則留存之必要性及對系統安全性之影響是否採行相關降低風險措施,不利網路安全,如:***防火牆(***)編號#*、#*、#**、#**、#**等5條規則;*** 防火牆(***)編號#*、#***、#***;Extra防火牆(***)規則編號#**。
2、存在眾多半年以上流量為零之規則,檢視作業欠確實,如:***防火牆(***)編號#***〜***、#***、#***、#***、#***、#***、#***等8條規則;*** 防火牆(***)編號#*、#**、#**、#**、#***、#***、#***、#***、#***、#***、#***等79條規則;Extra防火牆(***)規則編號#*〜*、#*〜*、#*、#**、#**、#**、#**〜**、#**、#**、#**等96條規則;SAP防火牆(***)編號#***〜***、#***、#***、#***、#***、#***、#***等30條規則;Server 防火牆(***)DMZIF編號#**、#***、#***〜***等18條規則、SAPIF規則編號#**、#**、#**。
(四)貴公司雖已修訂管理規範明訂監控範圍,以及就檢查發現案例進行改善,惟未全面檢視並檢討整體制度面改善措施,致仍有重要業務系統之日誌未納入蒐集及監控之情形,如:南山大眾系統(官網)、南山俱樂部、客戶入口網站(CESIDP)、保戶園地(CP)、團險查詢系統(eCompass)、朝陽保戶線上服務等第一類系統主機;銀行入口網站、業務人員入口網站等第二類系統主機,均未納入系統監控。
七、貴公司對原提報董事會討論之不動產投資開發案,嗣後規劃設計有重大變更者,未將相關評估報告及可能影響提報董事會討論(如檢查意見二(一)),查貴公司103.12.18第三十八屆第二十次董事會決議通過購買台南市北區小北段297地號等6筆土地之不動產投資開發案(南山台南廣場),並於104.3.9及3.10取得上述土地,經查提報董事會時之評估報告資料係規劃興建觀光旅館(1、2樓商場,3、4樓辦公室,5~12樓旅館)並出租予六福開發公司,嗣後因六福開發公司於107.3.13解除與貴公司之不動產開發暨預定租賃契約書,貴公司須重新辦理招商並配合可能租戶之業務經營型態變更建築設計,致貴公司未能於取得所有權後5年內興建完工而須向本會專案報核,經依公司不動產部門於109.1.15向本會申請展延即時利用期限之相關資料顯示上述開發案規劃已更改設計為1~~4樓商場,5樓影城及餐飲,6樓及8~10樓旅館,7樓健身中心,11~13樓自用辦公室,與原提報董事會規劃內容不同,建築設計上有重大變更,惟貴公司未將變更後相關評估報告及可能影響提報董事會討論。
八、經查貴公司對於國際板債券可能產生之相關風險與影響未充分向風險管理委員會說明,及風險管理委員會未就再投資風險研擬具體因應措施及控管機制(如檢查意見二(二)):
(一)對國際板債券可能產生之相關風險與影響未充分向風險管理委員會說明,不利風險管理委員會評估國際板債券對公司整體風險之可能影響,如:本會保險局108.11.14請貴公司說明國際板債券對公司可能產生之影響,案經公司投資服務部108.11.18以書面回復本會保險局,說明內容除包括投資部位及預計贖回金額外,尚就贖回金額之再投資規劃,及配合保單面之可能給付情形予以綜合評估,惟查公司投資服務部以電子郵件回復本會保險局前述書面說明時,僅副知投資長及投資部門與資產配置部相關同仁,未將回復本會保險局有關國際板債券對公司可能產生相關風險之內容知會風險管理部,且於108.11.27召開之108年第五次風險管理委員會會議亦僅側重報告國際板債券之投資部位及未來一年之可能贖回情形,未包含公司回復本會保險局有關國際板債券贖回金額之再投資規劃,及配合保單面之預計給付情形等可能產生之相關風險。
(二)風險管理委員會對於國際板債券可能產生之再投資風險未研擬具體因應措施及控管機制,如:108年第四次風險管理委員會(108.9.4召開)及第五次風險管理委員會(108.11.27召開)雖均作出留意國際板債券可能產生再投資風險之結論,惟查委員未於會中作出進一步具體決議,並請相關單位研擬具體因應措施及控管機制。
九、有關貴公司辦理有價證券買賣業務、私募基金投資後管理作業及私募基金出售業務,有下述缺失事項(如檢查意見三(五)、三(六)、三(七)):
(一)貴公司辦理有價證券買賣業務:
1、證券投資部建立個股Pool List,並以其成分股為可投資標的,惟為強化個股篩選機制,投資服務部建置Factset個股篩選系統,實務運作上係以30個投資策略進行選股,證券投資部建立之個股Pool List必須在Factset篩選之標的範圍內,惟經查尚未訂定Factset篩選標準、定期檢討、核決程序及後續追蹤處理程序,不利作業遵循;另有Pool List個股未在Factset篩選範圍,迄未依內部程序處理之情形,如: Pool List中有3檔台股及6檔國外股未在108.12.26投資服務部Factset篩選之國內外投資標的範圍內,109.1.10經投資長同意「僅3檔個股有庫存,…於全數出清後,將呈請投資長核准自Pool List中刪除。」,惟經查無庫存者,如:****(80**)、****(36** HK)、ALC SW Alcon Inc及ALS30 FP Solutions 30等4檔,截至檢查結束日(109.3.26)仍列於證券投資部個股Pool List。
2、辦理國內股票鉅額配對交易,未對買(賣)對象辦理利害關係人查詢作業,無法確認是否落實利害關係人之法律遵循程序,如:108.9.19以16.1元賣出兆豐國泰R2(01007T)1,441張、108.5.21以128.25元買入**(23**)588張及107.7.4以87.8元買入**(13**)1,307張,惟公司未於交易前辦理利害關係人查詢,無法確認交易對象是否為利害關係人,不利所訂「與利害關係人從事放款以外交易作業規則」第4條第1項第2、3款「本作業規則所稱放款以外之交易,指下列交易行為之一者:…二、購買前條各款對象之不動產或其他資產及三、出售有價證券、不動產或其他資產予前條各款對象。」規範之遵循。
(二)貴公司專案投資處辦理私募基金投資後管理作業,未就投資期結束之私募基金,檢視實際績效與預期績效之差異,致有績效嚴重落後預期,未追蹤原因並即時控管之情形,核與所訂「專案投資處作業手冊」第4章、壹、A、四、(八)「投資期結束後,若有績效嚴重落後預期之情形時,須擬定後續行動方案並列管/追蹤該基金表現。」規範不符,如:私募基金CAP IV投資結束日107.11.30,108.9.30內部報酬率(Net IRR)為8.5%,低於預期報酬率(20%);KREP VIII投資結束日108.6.3,109.1.31投資回報倍數(Net MOIC)為1.25%,低於預期報酬率(1.7%)。
(三)貴公司專案投資處辦理私募基金出售業務:
1、所訂「專案投資處作業手冊」,未對出售私募基金業務訂定作業流程及檢核控管措施,致有呈報資料未確實情形,不利投資決策,如:
(1)經檢視內規,僅對案源開發、投資前評估、投資執行及投後管理訂定作業流程及風險控管機制,如:評估作業、詢價作業、交割價格及處分損益確認作業、核決流程、意向書及出售契約簽訂及公告事項會辦相關部門流程、出售進度報告內容及頻率等項目,均未規範,不利遵循。
(2)向投審會呈報私募基金處分損益有錯誤,且未即時呈報之情事,如:108.10.24投審會決議核准出售私募基金CAP IV,處分利益為60.1萬美元,惟實際係為損失91.2萬美元,經查該出售案,包括出售評估、於次級市場進行詢價作業及計算交割金額、處分損益等作業,均由部門主管辦理,未經其他權責主管審閱及簽核,108.10.24向投審會呈報處分利益為60.1萬美元(交割金額4,398.9萬美元-帳列成本4,338.8萬美元),交割金額重複計算資金投入(Contribution) 151.3萬美元,致實際為處分損失91.2萬美元(交割金額4,247.6萬美元-帳列成本4,338.8萬美元),又部門主管於108.11.14提供予法務部門出售契約附件已載明正確交割金額(美金4,247.6萬美元),卻未即時向投審會報告交割金額及處分利益有誤一事,遲至108.12.31始向投審會報告出售進度及實際處分損失,並於109.1.3投審會核准追認出售私募基金CAP IV案。
2、辦理私募基金出售之詢價作業,未留存完整詢價資料,不利稽核軌跡,如:出售私募基金CAP IV案件,部門主管向9家次級市場基金管理機構與2家機構法人徵詢意向,其中7家機構表達購買意願並進行出價,惟僅保留3家機構出價之書面資料。
十、貴公司分層負責表之制定程序有欠周延,不利公司治理之運作(如檢查意見四(四)),查依據公司股東會107.6.21修訂之「公司章程」第12條,各項事務分層負責表之增補修訂,於法令許可範圍內,得由常務董事會於董事會休會期間核定之,但依法令或各項事務分層負責表規定應經董事會決議之事項,不在此限,惟對於「各項事務」之範圍未予以明確定義,致僅有適用於採購業務之「分層授權表準則」及適用於投資業務之「資金運用授權規則」由董事會核定,至於其他事務之分層負責表則無董事會核定之紀錄,不利董事會了解及監督公司整體控制環境之適當及有效。
十一、有關貴公司辦理資訊安全相關作業,有下述缺失事項(如檢查意見四(五)、四(六)、四(七)、四(八)):
(一)貴公司雖已購置網頁應用程式防火牆強化網路系統資安防護,惟未訂定相關之管理規範,不利作業遵循;另經查109年1月網頁應用程式防火牆分析報告,對緩衝區溢位(Buffer Overflow)攻擊事件多未能予以阻擋(攻擊總次數2,009,762次、未阻擋次數2,009,761次),亦無敘明緩衝區溢位攻擊事件之後續處理情形,不利網路安全與攻擊防護。
(二)貴公司雖已建置內網安全防護機制,惟經查對採用虛擬私有網路(Virtual Private Network,VPN)登入公司內部系統之安全管控作業,有下述缺失:
1、對員工使用VPN連線需經由帳號驗證(如:VPN與網域帳號密碼)及一次性驗證碼(OTP)方式進行身分確認,惟對從境外(如:中國或印度)連線至公司內部之外部顧問,未採取OTP方式驗證,驗證機制欠嚴謹,不利防範帳號遭盜用之異常情事。
2、遠端連線監控機制欠完整,不利即時發現連線異常之情形,如:每日僅產製登入失敗紀錄(Multi-failed Login Detail),送由業務相關權責單位授權主管確認,惟對非上班時間登入等異常連線行為未監控。
(三)貴公司雖已依「弱點掃描管理作業程序」辦理弱點掃描作業,經查108年度弱點掃描範圍有欠完整,如:中壢、台中、高雄各分公司之伺服器網段,朝陽保單管理系統網段,難字伺服器網段,舊特權帳號管理系統(TPAM)網段,版本控管(SVN)主機網段等均未納入掃描範圍,不利系統風險管控。
(四)提供對外服務之應用系統,有下述缺失:
1、尚未建立機制監控網頁程式與檔案,包括異常變動之偵測、紀錄及通知處理等,不利系統安全,如:屬第一類系統之南山大眾系統(官網)、南山俱樂部、客戶入口網站(CESIDP)、保戶園地(CP)、團險查詢系統(eCompass)、朝陽保戶線上服務;屬第二類系統之銀行入口網站、業務人員入口網站。
2、對已發現之網頁錯誤訊息未妥善處理,不利系統正常維運,如:108年11、12月及109年1月之網頁應用程式防火牆(WAF)分析報告,連續3個月皆對活動訊息訂閱網頁提出「關於EDM點選取消mail訂閱,網頁會回應『'/nanshan_a' 應用程式中發生伺服器錯誤。』(http://nanshanedm.com.tw/nanshana/mailhunter canceledm .aspx)」問題,遲至109年1月WAF月會始將該議題納入追蹤事項,並預計於109.3.13修復,惟迄檢查日(109.3.19)仍未完成修復。
理由及法令依據:
一、上述事實一,貴公司辦理國內債券ETF投資及交易作業,未明訂單日交易量之控管指標,未建立集中度及流動性管理之控管機制,且未於分析報告評估相關成本效益,亦未敍明決策過程評估因素,另未就實際債券ETF交易需求,研議修訂「資金運用授權規則」之投資長授權額度,且未建立事後提報投審會核備機制;另辦理國內外股權商品買賣業務,未訂定投資金額上限之適用期限亦未定期檢視,又未確實依內規所訂職責控管資產負債管理作業。上述缺失涵蓋投資前、中、後面向之內控機制,貴公司有未建立或未執行內部控制作業之情事,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第5條第1項第4款及第5款規定不符,依保險法第171條之1第4項規定,核處罰鍰180萬元整,並依同法第149條第1項規定,命貴公司於3個月內檢討修正有關債券ETF投資前評估、交易授權及投資後管理相關內部作業規範,建立完整機制並提報董事會通過。
二、上述事實二,貴公司辦理保全業務及申訴作業之處理,未確實審核契約變更文件,所訂作業規範亦未明訂應留存之檢核紀錄,且申訴案件之改善及加強管控計畫未完備,以及受理申訴單位對業務員自述行為違反公司內部作業規範案件者,未建立通知權責單位程序,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第5條第1項第2款及第10款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
三、上述事實三,貴公司辦理法人投保業務,未確實評估保戶投保實際目的,違規事實明確,核與保險法第148條之3第2項授權訂定之保險業招攬及核保理賠辦法第7條第1項第3款及第17條規定不符,依保險法第171條之1第5項規定,核處罰鍰60萬元整。
四、上述事實四,貴公司辦理開放系統之系統開發、程式修改作業,未依「系統開發手冊」辦理,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第6條第1項第2款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
五、上述事實五,貴公司對保險業負責人聘任程序未執行審慎評估作業,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第5條第1項第8款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
六、上述事實六,貴公司辦理防火牆規則維護作業,其防火牆網路服務設定過於寬鬆,以及未全面檢視並檢討整體制度面改善措施,以致仍有重要業務系統之日誌未納入蒐集及監控之情形,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正,並命貴公司於3個月內就查有未納入蒐集及監控之重要業務系統日誌,確實完成系統日誌紀錄蒐集並納入監控,另提報完成全面檢視及檢討整體制度面改善措施之相關時程。
七、上述事實七,貴公司對原提報董事會討論之不動產投資開發案,嗣後規劃設計有重大變更者,未將相關評估報告及可能影響提報董事會討論,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
八、上述事實八,貴公司對於辦理國際板債券業務可能產生之相關風險與影響未充分向風險管理委員會說明,以及風險管理委員會未就再投資風險研擬具體因應措施及控管機制,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
九、上述事實九,貴公司辦理有價證券買賣業務,未訂定個股篩選標準、定期檢討、核決程序及後續追蹤處理程序,及未於交易前辦理利害關係人查詢,又辦理私募基金投資後管理作業及私募基金出售業務,未依所訂之專案投資作業手冊辦理,以及辦理私募基金出售業務,未訂定作業流程及檢核控管措施,且未留存完整詢價資料等,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
十、上述事實十,貴公司分層負責表之制定程序有欠周延,不利公司治理之運作,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
十一、上述事實十一,貴公司辦理資訊安全相關作業,未對防火牆訂定相關之管理規範,外部連線驗證機制、遠端連線監控機制及弱點掃描範圍未完整、未建立機制監控網頁程式與檔案、對已發現之網頁錯誤訊息未妥善處理等,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依本會檢附之繳款單注意事項辦理繳納。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:南山人壽保險股份有限公司(代表人陳○先生)
副本:本會檢查局、保險局
發文日期:
發文字號:
受處分人:南山人壽保險股份有限公司
營利事業統一編號:略
地址:略
代表人或管理人姓名:陳○
地址:略
主旨:查貴公司辦理保險業務,核有違反保險法等相關規定(詳一般業務檢查報告,編號109F106),依保險法第171條之1第4項及第5項規定核處罰鍰新臺幣(以下同)420萬元整,並依同法第149條第1項規定予以6項糾正。
事實:
一、有關貴公司資金運用作業及資產管理、風險管理等相關內控制度,有下述缺失事項(如檢查意見三(四)、三(八)、三(九)、三(十)、三(十一)):
(一)貴公司辦理國內債券ETF投資及交易作業之缺失:
1、所訂「流動性風險管理辦法」第三條第二點「…考量巨額交易部位對市場價格能造成重大影響應謹慎管理」,惟經查僅對台股單一個股於集中交易市場之同日內買入或賣出交易委託總量限制均「不得大於前一交易日之5日或10日成交均量之40%」,對持有國內債券ETF部位,未明訂單日交易量之控管指標,如:107.5.25賣出群益15年IG科技債(00723B)5,000張,占當日市場成交量5,002張(占比99.96%),該標的於107.5.16~107.5.24市場成交僅201張~294張;108.2.26賣出群益15年EM主權債(00756B)25,000張,占當日市場成交量25,262張(占比98.96%),該標的於108.2.11~108.2.25市場成交僅100張~145張;另107.12.12於集中市場賣出元大美債20年債券ETF(00769B)102,391千單位,其中成交時間10:36:00~11:01:37以每單位37.56~37.57元賣予統一避險ETN帳戶1,112千單位、11:04:53~11:25:34以每單位37.57~37.60元賣予****商業銀行受託保管*****證券有限公司投資專戶101,195千單位(前兩個交易日成交張數僅467張及472張)。
2、採次級市場賣出交易,未於分析報告評估採次級市場與初級市場基金贖回作業之成本效益,如:107.12.12自次級市場(未採鉅額交易)賣出元大美債20年債券ETF(00679B) 102,391千單位,並以每單位37.56~37.60成交,其投資決定參考前一日市價收盤價37.66元,以每單位37.3元限價單賣出,惟於前一日(107.12.11)該標的每單位淨值37.7088元,未敍明決策過程評估因素。
(二)貴公司雖定期於風管月報揭露前十大債券ETF持有部位,惟尚未建立集中度及流動性管理之控管機制,如:如基準日(109.1.31)持有復華15年期以上能源業債券ETF基金(00758B)、群益15年期以上新興市場主權債ETF基金(00756B),分別占該檔債券ETF基金規模97.4%(持有股數20,000千股、發行規模20,525千股)、87.5%(持有股數579,000千股、發行規模661,800千股),對集中度及流動性管理(包括初級市場申請贖回受限單一投信每日外幣匯兌額度限制),均未訂有明確規範機制。
(三)貴公司投資部辦理有價證券買賣作業,有關資金運用授權係依據董事會通過之「資金運用授權規則」辦理,分為部門主管、投資長、投審會及董事會等4個授權層級,經查有下列缺失事項:
1、固定收益投資部辦理債券ETF買賣業務,107.3.22~ 108.12.25投審會3次決議通過提高國內發行基金之投資長授權額度至投審會授權額度,期間長達1年9個月,致投資長授權額度等同投審會,不利投審會審議功能發揮,如:107.3.22、107.12.27及108.12.25投審會決議通過提高投資長國內發行基金授權額度至投審會授權額度,授權期限至107年底、108年底、109年底或下次資金運用授權辦法修正前,投審會各次授權前於董事會討論「資金運用授權規則」年度檢討案時,投資長均表達尚無調整需要,未就實際債券ETF交易需求,研議修訂「資金運用授權規則」之投資長授權額度,僅以投審會決議提高投資長授權額度因應。
2、另投資長依前述授權核決屬投審會審議之投資案,尚未建立事後提報投審會核備之機制,如:107.11.9~107.12.14買進群益15年期以上新興市場主權債ETF基金(00756B)合計71.0億元,部位餘額為125.8億元,僅由投資長核准(原個別標的投資金額60億元以上應經投審會核准),且107.12.31持有該檔債券ETF (帳面成本125.8億元)佔該基金規模之99.9%(基準日帳面成本為253.5億元,佔該基金規模達87.5%),未報送投審會核備,不利投審會控管風險。
3、證券投資部辦理國內外股權商品買賣業務,有經投審會提高個股累計投資金額上限(高於投資長授權額度),惟未訂定適用期限亦未定期檢視,不利個股風險額度之控管,如:行為時「資金運用授權規則」規定台幣股權憑證及外幣股權憑證個別標的投資金額之投資長及投審會授權額度分別為60億元(1億美元)及100億元(4.5億美元),103.2.12及106.3.2投審會提高**(13**)及***資源(US26875*****)個股投資限額至100億元及2億美元,未訂定適用期限,且投審會核准迄今已逾3年,亦未辦理定期檢視。
(四)貴公司提案單位未依所訂「投資審議委員會組織規程」規範向投審會提出審核議案或投資策略所需之資訊:
1、對於投資建議案與其他對公司投資績效、資產配置和投資風險有影響之相關議案,未提供該議案可能影響資本適足率及保單利率之分析資料,核與所訂「投資審議委員會組織規程」第3條規範不符,如:
(1)固定收益部於109.2.20投審會所提報提高新臺幣ETF投資額度案。
(2)不動產部於109.2.20投審會所提報臺北市世貿三館基地國有非公用土地設定地上權案初步分析報告案。
(3)證券投資部於108.10.31投審會所提報提高***投資成本限額由200億元至320億元案。
(4)專案投資處於108.4.30投審會所提報Blackstone Strategic Capital Holdings II L.P.私募基金案。
(5)外匯管理部於108.4.15投審會所提報提高一籃子避險策略額度與相關貨幣配置上限等貳案。
2、對於資產配置之重要項目未就未來投資方向提出投資策略,核與所訂「投資審議委員會組織規程」第5條規範不符,如:公司108.11.20以159.81億元標下信義行政中心地上權及109.3.30以312.27億元標下世貿三館地上權,顯示公司已大幅增加不動產相關投資之布局,惟查公司投資前每月向投審會報告投資績效案之會議資料均未檢附有關不動產投資策略之說明資料。
(五)貴公司資產負債管理委員會(總經理擔任主席)運作,經查有下列缺失事項:
1、資產負債管理委員會未確實依內規所訂職責控管資產負債管理作業,如:
(1)對職掌之資產負債配置指導方針及策略未予整合並適時檢討,如:所訂「資產負債管理委員會組織規程」第3條第1款規範委員會之職責為擬定資產負債配置指導方針及策略。依據公司書面說明,前述指導方針及策略係散落於102.12.10資產負債管理委員會會議紀錄所載「在利率恐將上升之際…」之主席致詞、103年第1次資產負債管理委員會會議紀錄所載「於現金流量分析上,除負債面現金流外,亦需呈現資產面現金流」之追蹤事項、105年第1次資產負債管理委員會會議紀錄所載「增加純固定收益的NII與資金成本比較」之追蹤事項、及107年第4次資產負債管理委員會會議紀錄所載「美元商品的投資報酬率,應排除匯率調整…」之追蹤事項等4項,並未整合,不利資產負債管理委員會控管相關部門是否依所訂資產負債配置指導方針及策略辦理,另公司董事會分別於102.12.19與107.12.20通過之103年度與108年度營運計畫及預算案,在營運所需、達成業務及財務目標已有差異,且委員人員異動已達2/3,惟該委員會迄檢查結束仍未就前開以書面說明方式提供之資產負債配置指導方針及策略予以適時檢討。
(2)依據109年第1次資產負債管理委員會會議紀錄,公司以存續期間缺口及DV01之變動說明資產與負債缺口之影響情形,惟查公司未有相關單位提出採用前述方法作為資產負債管理模型,並經該委員會審視其適當性及有效性之正式提案紀錄,應依所訂「資產負債管理委員會組織規程」第3條第2款有關「本委員會之職責如下:…2.審視資產負債管理模型之適當性及有效性」規範辦理。
(3)抽查108年度召開之4次資產負債管理委員會會議紀錄,公司未有相關單位提出長短期資本適足情形及清償能力之議案,應依所訂「資產負債管理委員會組織規程」第3條第4款有關「本委員會之職責如下:…4.審視長短期資本適足情形及清償能力」規範辦理。
2、資產負債管理委員會對於國際板債券可能產生之流動性風險未研擬具體因應措施或向風險管理委員會報告,如:
(1)依據108年第4次資產負債管理委員會會議紀錄,精算部就台幣利變壽險部分,國際板贖回後改配置於流動性高之資產,及台幣利變年金部分,面臨較顯著流動性風險,並視國際板贖回情形,改配置於流動性高之資產等提出「利變商品區隔帳戶管理建議」,惟委員未就前開建議詳細討論,研議具體因應措施。
(2)歷次提報風險管理委員會之資產負債管理委員會會議紀錄摘述未記載區隔資產具流動性風險,如: 經查108年第2、3、4次資產負債管理委員會會議紀錄均載有區隔資產具流動性風險,略以臺幣利變壽險未來 3 年將有大筆滿期金支出,造成持續淨現金流出,面臨較高流動性需求之壓力,建議適時調整資產配置,預做準備或考量利變年金未來並無新契約銷售計畫,且利變年金並無固定續期保費,預期未來負債面將持續產生淨現金流流出,利變年金區隔帳戶資產配置需更強化流動性管理等,惟依後續召開之108年第3、4、5次風險管理委員會會議紀錄,所提報有關資產負債管理委員會會議摘要報告,均未記載前述對流動性風險之討論,不利風險管理委員會瞭解區隔資產可能發生之流動性風險。
二、有關貴公司辦理保全業務及申訴作業之處理,有下述缺失事項(如檢查意見三(一)、三(三)):
(一)貴公司辦理保全業務之缺失:
1、辦理透過「旅行險報備系統」受理旅行平安險業務,對契約變更文件與要保文件之要、被保險人或持卡人簽名字跡疑似重複使用者,未確實審核是否為要、被保險人或持卡人親自簽名,即准予承保,如:保單號碼TN9216****(國外旅遊,生效日108.11.15,保險期間30天),分別於108.12.12、109.1.9及1.19以契約變更申請書延長保險期間,惟卷查該3次契約變更申請書之要保人簽署欄位及信用卡持卡人簽名欄位,與原保單要保人簽署欄位之筆跡幾可完全重疊,有簽名重複使用之疑慮;保單號碼TN9032****(國外旅遊,生效日108.3.5,保險期間14天,以信用卡授權書扣款),分別於108.3.18、3.29、4.14、4.15、及6.5以契約變更申請書延長保險期間,惟卷查108.3.18、3.29及4.15三次契約變更申請書之要保人及被保險人簽署欄位之筆跡幾可完全重疊,另108.3.18、3.29、4.14、4.15信用卡持卡人簽名欄位與原保單信用卡授權書之筆跡亦幾可完全重疊,公司雖曾於108.4.22照會業務員確認要、被保險人及持卡人是否親簽,惟僅經業務員回復親簽無誤後即予承保,未就簽名異常處提出合理查證之說明。
2、所訂作業規範未明訂應留存之檢核紀錄,不利作業遵循,如:所訂「保單借款內部控制作業處理程序」雖已規範須審核保戶簽名,惟未明訂應留存何種檢核紀錄,致公司107.9以前舊系統(CSA系統)受理之案件,於系統僅留存承辦人與覆核人員之代碼,新系統上線(PQM)受理案件雖留存有「完成簽名核對」,惟於CML模組受理之案件,於「保單借款明細表」則僅留存覆核主管之簽名,未留存如「已核對簽名無誤」之檢核紀錄。
(二)貴公司對申訴作業處理之缺失事項:
1、因保全作業疏失,所致申訴案件之改善及加強管控計畫未完備,如:申訴案件編號8002467328800159****(申訴日期108.5.23,還本金額30千元),保戶申訴「還本方式變更改寄支票給付,契變書非本人親簽,變更還本給付方式通知書受益人未簽名,公司未查明,仍將款項匯出,造成保戶權利受損」,嗣後公司將還本金補給付予保戶,並對於保戶所述「變更還本給付方式通知書受益人未簽名」部分,要求相關單位提出改善方案,及對承辦人員辦理評量懲處,另「變更改寄支票給付契變書非本人親簽」部分,雖未造成保戶權益受損,惟該部分疏漏原因,係保戶配偶將契變申請書郵寄業務員,再由業務員轉送公司,該申請方式不利確認是否為保戶所為,惟公司未要求權責單位提出應加強簽名樣式審核或其他強化措施之改善方案,僅以簽名樣式不易辨識真假,已向承辦人員口頭告誡並加強教育訓練,及建議不計入年度評量予以結案辦理。
2、受理申訴單位對業務員自述行為違反公司內部作業規範案件者,未建立通知權責單位程序,如:申訴案件編號800246****(申訴日期108.10.9,年繳保費9.6千元),業務員於申訴案件處理照會單說明「1年前的事我也忘了,以前客戶要繳費都會請我去收費,我都當天到超商幫他繳費。」,所述內容與公司所訂「個案融通收取現金繳費繳款作業要點」內部作業規範「自105年1月1日起,調整新台幣3千元以下之現金繳費可委由業務人員代為收取…」不符,惟受理申訴單位「客戶關係發展部」僅以口頭方式告知業務員應注意遵守規定,未將該情事通知權責單位「收費部」,不利收費部瞭解該員對其他案件之收費作業是否符合規範。
三、貴公司辦理法人投保業務,有下列缺失事項(如檢查意見三(二)):
(一)對於業務員招攬報告書所載內容不一致,未向業務員確認,不利評估保戶投保實際目的,如:保單號碼U00219****(生效日107.12.26)及U00219****(107.12.26)之被保險人係該法人要保人之總經理及副總經理,該2人為配偶關係且為公司之董事(董事會成員計3名,董事長無持股),業務員招攬報告書之投保目的填寫「經理人留才退職規劃」,其他項目係填寫「要保人的資金規劃」,惟核保人員未就不一致情形予以瞭解。
(二)辦理具保單價值準備金商品要保人由法人變更為自然人案件,未留存相關審核佐證資料,以確認變更要保人仍符合原投保之目的,如:保單號碼N35712****(變更申請日107.12.22,保單價值準備金或帳戶價值金額264千元)、V43000****(108.4.1,683千元)、N15573****(108.10.1,108千元)、N13965**** (108.11.8,905千元)及N13965**** (108.11.8,1,011千元)。
四、辦理開放系統(Open System)之系統開發、程式修改作業,未依「系統開發手冊(System Development Manual)Open System」辦理,如:單號(Defect NO)#1000016454係申請「配合不保事項提醒,請協助更新網路投保網頁文字」,經查辦理前述需求時,額外夾帶「eCommerce阻擋外國人網路投保機制」之變更需求,未依內規提出系統需求單(Service Request),且開發人員也未提出「單元測試報告(Unti Test Report)」與「測試應注意事項(Proposed Testing Consideration)」,不利功能面、資訊安全面、個人資料保護面進行評估及測試作業 (如檢查意見四(十))。
五、貴公司不動產部門及執行主管室進用之部門主管及委任經理人(負責人),多來自○○集團關係企業,經查下列人員聘任時之考核紀錄表均認為渠等專長非在壽險業或仍有空間精進,似未具保險專業知識或保險業工作經驗,惟該公司屢以符合行為時「保險業負責人應具備資格條件準則」第5條第1項第4款「有其他事實足資證明其具備保險專業知識或保險業經營經驗」規定,而予進用,對保險業負責人聘任程序未執行審慎評估作業:
(一)108.7.2第四十屆第二次董事會決議通過聘任雷○○為資深副總經理(委任經理人),直屬執行主管室(董事長、副董事長或總經理),該員原任職於利害關係人○○○○股份有限公司(公司副董事長尹○○擔任董事之企業,經營電動機車****業務)營運長,經查其歷年相關資歷並無在保險業工作經驗,另查該員面談考核紀錄表,人事部門主管意見為該員專精於專利相關領域及訴訟,該員之專長非在壽險業,顯示該員未具備保險專業知識及保險業工作經驗。
(二)108.4.1聘任陳○○為不動產部/物業管理及修繕處(物業總管理師),復於108.7.2第四十屆第二次董事會決議通過聘任該員為副總經理(委任經理人),並擔任不動產部主管,該員於進用前係任職於利害關係人○○○○股份有限公司(公司副董事長尹○○擔任董事之企業,經營電動機車****業務)副總裁,該員由進用後至擔任不動產部主管之期間僅有三個月,且進用前之歷年相關資歷並無在保險業工作經驗,另查該員面談考核紀錄表,人事部門主管意見為該員在不動產管理上經驗豐富,在不動產投資業務上仍有空間精進。
六、本會前對貴公司電子商務系統專案檢查,已就辦理防火牆規則維護作業及針對應蒐集、監控之系統稽核軌跡或日誌紀錄有欠完整提列檢查意見,惟本次仍查有下列缺失事項(如檢查意見一(一)、一(二)):
(一)辦理防火牆設定作業,IT Workgroup雖已依據「防火牆規則異動申請單/防火牆規則異動風險評估表」評估開放風險連線,惟查防火牆網路服務設定仍有開放任何型態(any或all),過於寬鬆者,如:*** 防火牆(***)規則編號#***;Client防火牆(Force Point ***)編號#*.**、#*.***、#*.***〜#*.***、#*.***等7條規則;SAP防火牆(***)編號#*、#***、#***、#***、#***、#****、#****〜****、#****〜****等12條規則;Server 防火牆(****)USERIF規則編號#**,作業欠嚴謹。
(二)有開啟遠端桌面連線服務,允許從辦公區連線至正式伺服器區網段,不利系統主機安全,如:Client防火牆(***)編號#*.***、#*.***、#*.****、#*.****、#*.****、#*.****、#*.****、#*.****等8條規則。
(三)雖已辦理防火牆規則定期檢視作業,仍有下列未完備事項:
1、經查108年第一次防火牆檢核作業,有開放任何型態(any或all)之網路服務且檢視結果僅簡略敘明「保留」,惟未對「保留」說明防火牆規則留存之必要性及對系統安全性之影響是否採行相關降低風險措施,不利網路安全,如:***防火牆(***)編號#*、#*、#**、#**、#**等5條規則;*** 防火牆(***)編號#*、#***、#***;Extra防火牆(***)規則編號#**。
2、存在眾多半年以上流量為零之規則,檢視作業欠確實,如:***防火牆(***)編號#***〜***、#***、#***、#***、#***、#***、#***等8條規則;*** 防火牆(***)編號#*、#**、#**、#**、#***、#***、#***、#***、#***、#***、#***等79條規則;Extra防火牆(***)規則編號#*〜*、#*〜*、#*、#**、#**、#**、#**〜**、#**、#**、#**等96條規則;SAP防火牆(***)編號#***〜***、#***、#***、#***、#***、#***、#***等30條規則;Server 防火牆(***)DMZIF編號#**、#***、#***〜***等18條規則、SAPIF規則編號#**、#**、#**。
(四)貴公司雖已修訂管理規範明訂監控範圍,以及就檢查發現案例進行改善,惟未全面檢視並檢討整體制度面改善措施,致仍有重要業務系統之日誌未納入蒐集及監控之情形,如:南山大眾系統(官網)、南山俱樂部、客戶入口網站(CESIDP)、保戶園地(CP)、團險查詢系統(eCompass)、朝陽保戶線上服務等第一類系統主機;銀行入口網站、業務人員入口網站等第二類系統主機,均未納入系統監控。
七、貴公司對原提報董事會討論之不動產投資開發案,嗣後規劃設計有重大變更者,未將相關評估報告及可能影響提報董事會討論(如檢查意見二(一)),查貴公司103.12.18第三十八屆第二十次董事會決議通過購買台南市北區小北段297地號等6筆土地之不動產投資開發案(南山台南廣場),並於104.3.9及3.10取得上述土地,經查提報董事會時之評估報告資料係規劃興建觀光旅館(1、2樓商場,3、4樓辦公室,5~12樓旅館)並出租予六福開發公司,嗣後因六福開發公司於107.3.13解除與貴公司之不動產開發暨預定租賃契約書,貴公司須重新辦理招商並配合可能租戶之業務經營型態變更建築設計,致貴公司未能於取得所有權後5年內興建完工而須向本會專案報核,經依公司不動產部門於109.1.15向本會申請展延即時利用期限之相關資料顯示上述開發案規劃已更改設計為1~~4樓商場,5樓影城及餐飲,6樓及8~10樓旅館,7樓健身中心,11~13樓自用辦公室,與原提報董事會規劃內容不同,建築設計上有重大變更,惟貴公司未將變更後相關評估報告及可能影響提報董事會討論。
八、經查貴公司對於國際板債券可能產生之相關風險與影響未充分向風險管理委員會說明,及風險管理委員會未就再投資風險研擬具體因應措施及控管機制(如檢查意見二(二)):
(一)對國際板債券可能產生之相關風險與影響未充分向風險管理委員會說明,不利風險管理委員會評估國際板債券對公司整體風險之可能影響,如:本會保險局108.11.14請貴公司說明國際板債券對公司可能產生之影響,案經公司投資服務部108.11.18以書面回復本會保險局,說明內容除包括投資部位及預計贖回金額外,尚就贖回金額之再投資規劃,及配合保單面之可能給付情形予以綜合評估,惟查公司投資服務部以電子郵件回復本會保險局前述書面說明時,僅副知投資長及投資部門與資產配置部相關同仁,未將回復本會保險局有關國際板債券對公司可能產生相關風險之內容知會風險管理部,且於108.11.27召開之108年第五次風險管理委員會會議亦僅側重報告國際板債券之投資部位及未來一年之可能贖回情形,未包含公司回復本會保險局有關國際板債券贖回金額之再投資規劃,及配合保單面之預計給付情形等可能產生之相關風險。
(二)風險管理委員會對於國際板債券可能產生之再投資風險未研擬具體因應措施及控管機制,如:108年第四次風險管理委員會(108.9.4召開)及第五次風險管理委員會(108.11.27召開)雖均作出留意國際板債券可能產生再投資風險之結論,惟查委員未於會中作出進一步具體決議,並請相關單位研擬具體因應措施及控管機制。
九、有關貴公司辦理有價證券買賣業務、私募基金投資後管理作業及私募基金出售業務,有下述缺失事項(如檢查意見三(五)、三(六)、三(七)):
(一)貴公司辦理有價證券買賣業務:
1、證券投資部建立個股Pool List,並以其成分股為可投資標的,惟為強化個股篩選機制,投資服務部建置Factset個股篩選系統,實務運作上係以30個投資策略進行選股,證券投資部建立之個股Pool List必須在Factset篩選之標的範圍內,惟經查尚未訂定Factset篩選標準、定期檢討、核決程序及後續追蹤處理程序,不利作業遵循;另有Pool List個股未在Factset篩選範圍,迄未依內部程序處理之情形,如: Pool List中有3檔台股及6檔國外股未在108.12.26投資服務部Factset篩選之國內外投資標的範圍內,109.1.10經投資長同意「僅3檔個股有庫存,…於全數出清後,將呈請投資長核准自Pool List中刪除。」,惟經查無庫存者,如:****(80**)、****(36** HK)、ALC SW Alcon Inc及ALS30 FP Solutions 30等4檔,截至檢查結束日(109.3.26)仍列於證券投資部個股Pool List。
2、辦理國內股票鉅額配對交易,未對買(賣)對象辦理利害關係人查詢作業,無法確認是否落實利害關係人之法律遵循程序,如:108.9.19以16.1元賣出兆豐國泰R2(01007T)1,441張、108.5.21以128.25元買入**(23**)588張及107.7.4以87.8元買入**(13**)1,307張,惟公司未於交易前辦理利害關係人查詢,無法確認交易對象是否為利害關係人,不利所訂「與利害關係人從事放款以外交易作業規則」第4條第1項第2、3款「本作業規則所稱放款以外之交易,指下列交易行為之一者:…二、購買前條各款對象之不動產或其他資產及三、出售有價證券、不動產或其他資產予前條各款對象。」規範之遵循。
(二)貴公司專案投資處辦理私募基金投資後管理作業,未就投資期結束之私募基金,檢視實際績效與預期績效之差異,致有績效嚴重落後預期,未追蹤原因並即時控管之情形,核與所訂「專案投資處作業手冊」第4章、壹、A、四、(八)「投資期結束後,若有績效嚴重落後預期之情形時,須擬定後續行動方案並列管/追蹤該基金表現。」規範不符,如:私募基金CAP IV投資結束日107.11.30,108.9.30內部報酬率(Net IRR)為8.5%,低於預期報酬率(20%);KREP VIII投資結束日108.6.3,109.1.31投資回報倍數(Net MOIC)為1.25%,低於預期報酬率(1.7%)。
(三)貴公司專案投資處辦理私募基金出售業務:
1、所訂「專案投資處作業手冊」,未對出售私募基金業務訂定作業流程及檢核控管措施,致有呈報資料未確實情形,不利投資決策,如:
(1)經檢視內規,僅對案源開發、投資前評估、投資執行及投後管理訂定作業流程及風險控管機制,如:評估作業、詢價作業、交割價格及處分損益確認作業、核決流程、意向書及出售契約簽訂及公告事項會辦相關部門流程、出售進度報告內容及頻率等項目,均未規範,不利遵循。
(2)向投審會呈報私募基金處分損益有錯誤,且未即時呈報之情事,如:108.10.24投審會決議核准出售私募基金CAP IV,處分利益為60.1萬美元,惟實際係為損失91.2萬美元,經查該出售案,包括出售評估、於次級市場進行詢價作業及計算交割金額、處分損益等作業,均由部門主管辦理,未經其他權責主管審閱及簽核,108.10.24向投審會呈報處分利益為60.1萬美元(交割金額4,398.9萬美元-帳列成本4,338.8萬美元),交割金額重複計算資金投入(Contribution) 151.3萬美元,致實際為處分損失91.2萬美元(交割金額4,247.6萬美元-帳列成本4,338.8萬美元),又部門主管於108.11.14提供予法務部門出售契約附件已載明正確交割金額(美金4,247.6萬美元),卻未即時向投審會報告交割金額及處分利益有誤一事,遲至108.12.31始向投審會報告出售進度及實際處分損失,並於109.1.3投審會核准追認出售私募基金CAP IV案。
2、辦理私募基金出售之詢價作業,未留存完整詢價資料,不利稽核軌跡,如:出售私募基金CAP IV案件,部門主管向9家次級市場基金管理機構與2家機構法人徵詢意向,其中7家機構表達購買意願並進行出價,惟僅保留3家機構出價之書面資料。
十、貴公司分層負責表之制定程序有欠周延,不利公司治理之運作(如檢查意見四(四)),查依據公司股東會107.6.21修訂之「公司章程」第12條,各項事務分層負責表之增補修訂,於法令許可範圍內,得由常務董事會於董事會休會期間核定之,但依法令或各項事務分層負責表規定應經董事會決議之事項,不在此限,惟對於「各項事務」之範圍未予以明確定義,致僅有適用於採購業務之「分層授權表準則」及適用於投資業務之「資金運用授權規則」由董事會核定,至於其他事務之分層負責表則無董事會核定之紀錄,不利董事會了解及監督公司整體控制環境之適當及有效。
十一、有關貴公司辦理資訊安全相關作業,有下述缺失事項(如檢查意見四(五)、四(六)、四(七)、四(八)):
(一)貴公司雖已購置網頁應用程式防火牆強化網路系統資安防護,惟未訂定相關之管理規範,不利作業遵循;另經查109年1月網頁應用程式防火牆分析報告,對緩衝區溢位(Buffer Overflow)攻擊事件多未能予以阻擋(攻擊總次數2,009,762次、未阻擋次數2,009,761次),亦無敘明緩衝區溢位攻擊事件之後續處理情形,不利網路安全與攻擊防護。
(二)貴公司雖已建置內網安全防護機制,惟經查對採用虛擬私有網路(Virtual Private Network,VPN)登入公司內部系統之安全管控作業,有下述缺失:
1、對員工使用VPN連線需經由帳號驗證(如:VPN與網域帳號密碼)及一次性驗證碼(OTP)方式進行身分確認,惟對從境外(如:中國或印度)連線至公司內部之外部顧問,未採取OTP方式驗證,驗證機制欠嚴謹,不利防範帳號遭盜用之異常情事。
2、遠端連線監控機制欠完整,不利即時發現連線異常之情形,如:每日僅產製登入失敗紀錄(Multi-failed Login Detail),送由業務相關權責單位授權主管確認,惟對非上班時間登入等異常連線行為未監控。
(三)貴公司雖已依「弱點掃描管理作業程序」辦理弱點掃描作業,經查108年度弱點掃描範圍有欠完整,如:中壢、台中、高雄各分公司之伺服器網段,朝陽保單管理系統網段,難字伺服器網段,舊特權帳號管理系統(TPAM)網段,版本控管(SVN)主機網段等均未納入掃描範圍,不利系統風險管控。
(四)提供對外服務之應用系統,有下述缺失:
1、尚未建立機制監控網頁程式與檔案,包括異常變動之偵測、紀錄及通知處理等,不利系統安全,如:屬第一類系統之南山大眾系統(官網)、南山俱樂部、客戶入口網站(CESIDP)、保戶園地(CP)、團險查詢系統(eCompass)、朝陽保戶線上服務;屬第二類系統之銀行入口網站、業務人員入口網站。
2、對已發現之網頁錯誤訊息未妥善處理,不利系統正常維運,如:108年11、12月及109年1月之網頁應用程式防火牆(WAF)分析報告,連續3個月皆對活動訊息訂閱網頁提出「關於EDM點選取消mail訂閱,網頁會回應『'/nanshan_a' 應用程式中發生伺服器錯誤。』(http://nanshanedm.com.tw/nanshana/mailhunter canceledm .aspx)」問題,遲至109年1月WAF月會始將該議題納入追蹤事項,並預計於109.3.13修復,惟迄檢查日(109.3.19)仍未完成修復。
理由及法令依據:
一、上述事實一,貴公司辦理國內債券ETF投資及交易作業,未明訂單日交易量之控管指標,未建立集中度及流動性管理之控管機制,且未於分析報告評估相關成本效益,亦未敍明決策過程評估因素,另未就實際債券ETF交易需求,研議修訂「資金運用授權規則」之投資長授權額度,且未建立事後提報投審會核備機制;另辦理國內外股權商品買賣業務,未訂定投資金額上限之適用期限亦未定期檢視,又未確實依內規所訂職責控管資產負債管理作業。上述缺失涵蓋投資前、中、後面向之內控機制,貴公司有未建立或未執行內部控制作業之情事,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第5條第1項第4款及第5款規定不符,依保險法第171條之1第4項規定,核處罰鍰180萬元整,並依同法第149條第1項規定,命貴公司於3個月內檢討修正有關債券ETF投資前評估、交易授權及投資後管理相關內部作業規範,建立完整機制並提報董事會通過。
二、上述事實二,貴公司辦理保全業務及申訴作業之處理,未確實審核契約變更文件,所訂作業規範亦未明訂應留存之檢核紀錄,且申訴案件之改善及加強管控計畫未完備,以及受理申訴單位對業務員自述行為違反公司內部作業規範案件者,未建立通知權責單位程序,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第5條第1項第2款及第10款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
三、上述事實三,貴公司辦理法人投保業務,未確實評估保戶投保實際目的,違規事實明確,核與保險法第148條之3第2項授權訂定之保險業招攬及核保理賠辦法第7條第1項第3款及第17條規定不符,依保險法第171條之1第5項規定,核處罰鍰60萬元整。
四、上述事實四,貴公司辦理開放系統之系統開發、程式修改作業,未依「系統開發手冊」辦理,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第6條第1項第2款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
五、上述事實五,貴公司對保險業負責人聘任程序未執行審慎評估作業,違規事實明確,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第5條第1項第8款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
六、上述事實六,貴公司辦理防火牆規則維護作業,其防火牆網路服務設定過於寬鬆,以及未全面檢視並檢討整體制度面改善措施,以致仍有重要業務系統之日誌未納入蒐集及監控之情形,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正,並命貴公司於3個月內就查有未納入蒐集及監控之重要業務系統日誌,確實完成系統日誌紀錄蒐集並納入監控,另提報完成全面檢視及檢討整體制度面改善措施之相關時程。
七、上述事實七,貴公司對原提報董事會討論之不動產投資開發案,嗣後規劃設計有重大變更者,未將相關評估報告及可能影響提報董事會討論,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
八、上述事實八,貴公司對於辦理國際板債券業務可能產生之相關風險與影響未充分向風險管理委員會說明,以及風險管理委員會未就再投資風險研擬具體因應措施及控管機制,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
九、上述事實九,貴公司辦理有價證券買賣業務,未訂定個股篩選標準、定期檢討、核決程序及後續追蹤處理程序,及未於交易前辦理利害關係人查詢,又辦理私募基金投資後管理作業及私募基金出售業務,未依所訂之專案投資作業手冊辦理,以及辦理私募基金出售業務,未訂定作業流程及檢核控管措施,且未留存完整詢價資料等,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
十、上述事實十,貴公司分層負責表之制定程序有欠周延,不利公司治理之運作,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
十一、上述事實十一,貴公司辦理資訊安全相關作業,未對防火牆訂定相關之管理規範,外部連線驗證機制、遠端連線監控機制及弱點掃描範圍未完整、未建立機制監控網頁程式與檔案、對已發現之網頁錯誤訊息未妥善處理等,違失事實明確,核有有礙健全經營之虞,依保險法第149條第1項規定,予以糾正。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依本會檢附之繳款單注意事項辦理繳納。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:南山人壽保險股份有限公司(代表人陳○先生)
副本:本會檢查局、保險局
- 瀏覽人次: 15193
- 更新日期: 2022-12-01
金管會電子地圖
