大綱
一、引言:一份 X 光片的誕生
如果把金管會的裁罰紀錄比喻為台灣金融業的健檢報告,那麼我們手上這份報告的樣本量,應該足以做出一些有意義的診斷。
筆者整理了金管會自 2012 年至 2025 年公告的全部 488 筆重大裁罰案件,逐筆解析出受罰機構、所屬金控集團、違規態樣、罰鍰金額與處分對象,並將每一筆案件對應到金融業「三道防線」(Three Lines of Defense)的架構進行分析。
先預覽幾個關鍵數字:
- 488 筆重大裁罰,罰鍰合計 16.3 億元
- 同一金控集團最高被裁罰 28 次
- 台灣罰款佔銀行業獲利的 0.024%,美國是 1.5% — 差距 63 倍
- 裁罰力度的法律天花板(銀行法第 129 條),17 年沒有修過
這不是一篇談制度理論的文章。三道防線的教科書定義,業界已經聽得夠多了。這篇文章要做的,是讓數據自己說話 — 看看那些被設計來「防住風險」的機制,在實務上到底擋住了什麼,又漏掉了什麼。
二、全景掃描:488 筆金管會裁罰案件的輪廓
時間分布
488 筆裁罰橫跨 14 個年度(2012-2025),年均約 35 筆。其中 2020-2021 年是裁罰高峰(各 51 筆和 53 筆),2017 年也有 50 筆。2022 年之後裁罰數量明顯下降,2024 年僅 14 筆、2025 年截至資料擷取日為 12 筆。
裁罰數量的下降有幾種可能解讀:監理重心可能從事後裁罰轉向事前預防;也可能是金融業內控確實有所改善;又或者只是案件處理時程的自然波動。但從後續的分析會看到,某些違規態樣(如理專挪用客戶資金)幾乎年年出現,很難單純歸因於「改善了」。
局處分布
| 裁罰來源 | 案件數 | 佔比 |
|---|---|---|
| 銀行局 | 223 筆 | 45.7% |
| 保險局 | 212 筆 | 43.4% |
| 證期局 | 48 筆 | 9.8% |
| 金管會(本會) | 5 筆 | 1.0% |
銀行局和保險局合計佔了近 9 成,但兩者的裁罰「體質」截然不同 — 這一點在第三章會進一步展開。
處分對象
| 處分對象 | 案件數 | 佔比 |
|---|---|---|
| 機構 | 375 筆 | 76.8% |
| 機構+個人 | 58 筆 | 11.9% |
| 個人 | 55 筆 | 11.3% |
超過四分之三的裁罰只處罰機構,未同時追究個人。這個數字本身就值得深思:當出了事只有公司被罰、決策者不用負個人責任時,內控制度的執行動力從何而來?
罰鍰金額級距
| 金額級距 | 案件數 | 佔比 |
|---|---|---|
| 無罰金(限制業務/停職等) | 122 筆 | 25.0% |
| 100 萬以下 | 52 筆 | 10.7% |
| 100~500 萬 | 211 筆 | 43.2% |
| 500~1,000 萬 | 76 筆 | 15.6% |
| 1,000~2,000 萬 | 21 筆 | 4.3% |
| 2,000 萬以上 | 6 筆 | 1.2% |
488 筆裁罰中,有四分之一連罰金都沒有,而有罰金的案件中有超過四成(211 筆)落在 100 至 500 萬的區間。超過 2,000 萬元的案件僅 6 筆,佔 1.2%。整體的罰款力度,我們留到第五章與國際數據對比時再做評價。
三、三道防線的體檢報告
三道防線(Three Lines of Defense)是國際金融業普遍採用的內控架構:第一道防線是業務單位自身的風險管理、第二道防線是獨立的風控與法遵部門、第三道防線是內部稽核。
筆者將 488 筆裁罰的 12 種違規分類,對應到三道防線:
| 防線 | 對應的違規分類 |
|---|---|
| 第一道(業務單位) | A2 員工舞弊/挪用、A5 授信/徵信違規、A6 消費者保護違規、A8 業務經營違規 |
| 第二道(風控/法遵) | A3 洗錢防制/KYC 缺失、A4 資訊安全/個資保護、A7 資本適足/財務健全、A9 資訊揭露/申報違規、A10 關係人交易違規、A11 市場秩序違規 |
| 第三道(內部稽核) | A1 內控內稽缺失 |
整體分布
| 防線 | 案件數 | 佔比 | 罰鍰合計 |
|---|---|---|---|
| 第一道防線(業務單位) | 162 筆 | 33.2% | 6.62 億元 |
| 第二道防線(風控/法遵) | 57 筆 | 11.7% | 1.48 億元 |
| 第三道防線(內部稽核) | 260 筆 | 53.3% | 8.13 億元 |
| 跨防線/無法歸類 | 9 筆 | 1.8% | 576 萬元 |
第三道防線的弔詭:53% 不代表稽核最差
第三道防線佔了超過一半的裁罰,看起來像是內部稽核問題最嚴重。但真相更為複雜。
銀行法第 45 條之 1 規定銀行應建立內部控制與稽核制度並確實執行,違反者依第 129 條第 7 款處罰。這是一個「概括條款」— 不論違規的根源是業務端、風控端還是稽核端,只要最終被認定為「內控制度未確實執行」,就會掛在這條法規下裁罰。
深入拆解 A1(內控內稽缺失)的 260 筆案件內容:
| A1 的子態樣 | 案件數 | 佔 A1 比例 |
|---|---|---|
| 公司治理問題 | 86 筆 | 33.1% |
| 資訊系統/作業疏失 | 54 筆 | 20.8% |
| 業務檢查缺失 | 20 筆 | 7.7% |
| 員工行為管理 | 15 筆 | 5.8% |
| 委外管理 | 4 筆 | 1.5% |
公司治理問題佔了三分之一,資訊系統疏失佔兩成 — 這些問題的根源並不在稽核部門,而是在董事會的治理決策、在 IT 部門的系統管理、在業務單位的日常作業。第三道防線被大量裁罰,本質上反映的是:當第一、二道防線失守時,所有的問題都會在第三道防線被「收網」。
第一道防線的現實:員工舞弊是最痛的一刀
第一道防線的 162 筆裁罰中,結構如下:
| 違規分類 | 案件數 | 罰鍰合計 |
|---|---|---|
| A8 業務經營違規 | 70 筆 | 1.55 億元 |
| A2 員工舞弊/挪用 | 50 筆 | 3.26 億元 |
| A5 授信/徵信違規 | 23 筆 | 1.07 億元 |
| A6 消費者保護違規 | 19 筆 | 7,470 萬元 |
員工舞弊/挪用只有 50 筆,卻貢獻了第一道防線近一半的罰鍰金額(3.26 億元)。這些案件幾乎清一色是理專挪用客戶資金的劇情:國泰世華 5 筆、永豐 3 筆、華南 2 筆、玉山 2 筆 — 幾乎年年有銀行的理財專員被查出挪用客戶款項,年年被罰,然後下一年換一個分行繼續發生。
授信/徵信違規的 23 筆也值得注意。授信是銀行最核心的業務,授信流程的紀律直接決定放貸資產的品質。這 23 筆案件意味著在風險的源頭 — 貸款決策的那一刻 — 第一道防線就已經出了問題。
第二道防線的薄弱:11.7% 不是做得好
第二道防線只佔 57 筆(11.7%),表面上看起來是三道防線中表現最好的。但這個數字有誤導性。
如前所述,大量本質上屬於風控或法遵問題的案件,在裁罰邏輯上被歸入了 A1(內控內稽缺失)。例如,一家銀行的洗錢防制系統形同虛設,但裁罰時的法條依據是銀行法§45-1「未確實執行內部控制制度」,而不是洗錢防制法。這使得第二道防線的數字被「低估」了。
即便如此,AML/KYC 缺失仍有 25 筆,且在 2019 年達到 11 筆的高峰,反映了國際反洗錢壓力(FATF 評鑑、美國監理機關的跨境執法)對台灣金融業的傳導效應。
各局處的「體質差異」
三道防線的分布在不同局處之間呈現明顯差異:
| 局處 | 第一道防線 | 第二道防線 | 第三道防線 |
|---|---|---|---|
| 銀行局(223 筆) | 33.6% | 13.9% | 52.5% |
| 保險局(212 筆) | 25.5% | 11.8% | 62.7% |
| 證期局(48 筆) | 66.7% | 2.1% | 16.7% |
銀行局的裁罰以員工舞弊+授信違規為主,第一道防線問題突出;保險局的裁罰更集中在第三道防線(62.7%),反映保險業的業務檢查缺失和資本適足問題;證期局則有高達 67% 的裁罰集中在第一道防線,顯示證券業的問題更直接地發生在業務端。
四、累犯地圖:誰在反覆上榜?
機構排名:台新 13 次居首
依個別機構統計,裁罰次數前十名如下:
| 排名 | 機構名稱 | 所屬集團 | 有罰金 | 無罰金 | 總次數 | 罰鍰合計 |
|---|---|---|---|---|---|---|
| 1 | 台新國際商業銀行 | 台新金控 | 13 | 0 | 13 | 9,900 萬 |
| 2 | 國泰世華商業銀行 | 國泰金控 | 12 | 0 | 12 | 7,600 萬 |
| 3 | 中國信託商業銀行 | 中信金控 | 10 | 2 | 12 | 7,500 萬 |
| 4 | 永豐商業銀行 | 永豐金控 | 8 | 3 | 11 | 5,380 萬 |
| 5 | 南山人壽保險 | 南山人壽 | 10 | 0 | 10 | 5,600 萬 |
| 6 | 新光人壽保險 | 新光金控 | 7 | 2 | 9 | 5,075 萬 |
| 7 | 兆豐國際商業銀行 | 兆豐金控 | 9 | 0 | 9 | 4,380 萬 |
| 8 | 台北富邦商業銀行 | 富邦金控 | 9 | 0 | 9 | 3,500 萬 |
| 9 | 遠雄人壽保險 | 遠雄人壽 | 6 | 2 | 8 | 3,470 萬 |
| 10 | 第一商業銀行 | 第一金控 | 8 | 0 | 8 | 3,020 萬 |
集團排名:歸戶後的真相
如果只看個別機構,台新排第一。但金控集團底下往往有多家子公司分別受罰 — 銀行被罰一次、金控被罰一次、壽險子公司再被罰一次,在機構排名中被分散計算了。
將同一集團旗下的所有子公司歸戶後,排名出現顯著變化:
| 排名 | 集團 | 有罰金 | 無罰金 | 總次數 | 罰鍰合計 |
|---|---|---|---|---|---|
| 1 | 中信金控 | 21 | 7 | 28 | 1.55 億 |
| 2 | 新光金控 | 20 | 6 | 26 | 9,065 萬 |
| 3 | 國泰金控 | 17 | 3 | 20 | 9,360 萬 |
| 4 | 永豐金控 | 10 | 8 | 18 | 6,392 萬 |
| 5 | 富邦金控 | 16 | 1 | 17 | 7,100 萬 |
| 6 | 國寶人壽 | 7 | 7 | 14 | 1,670 萬 |
| 7 | 台新金控 | 13 | 0 | 13 | 9,900 萬 |
| 8 | 第一金控 | 11 | 1 | 12 | 3,970 萬 |
| 9 | 兆豐金控 | 9 | 2 | 11 | 4,380 萬 |
| 10 | 南山人壽 | 11 | 0 | 11 | 6,200 萬 |
中信金控以 28 筆裁罰躍居集團排名第一,是機構排名中「中國信託商業銀行」12 筆的 2.3 倍。這 28 筆分散在中信銀行(12 筆)、中信金控本身(7 筆)、中信人壽、中信證券等子公司。
這個落差說明了一件事:內控問題不是某一家子公司的偶發事件,而是集團層級的治理文化問題。
另一個值得注意的訊號是「無罰金」的案件數。中信金控 28 筆中有 7 筆是無罰金處分(停止董事職務、限制業務等),永豐金控 18 筆中有 8 筆無罰金。這類處分看似比罰款「輕」,實際上往往代表更嚴重的治理問題 — 停職和限制業務是監理機關認為「光罰錢已經不夠」時才會動用的手段。
五、仁慈的天花板:台灣裁罰力度的國際比較
第一層:法律框架的天花板
台灣銀行業最常被援引的裁罰法規是銀行法第 129 條第 7 款:「未依第四十五條之一規定建立內部控制與稽核制度或未確實執行」,罰鍰上限為 新臺幣 5,000 萬元。
這個上限是 2019 年立法院三讀修正時,從原本的 1,000 萬元提高 5 倍而來。修法當時的立法說明寫得很明確:「為發揮金融監理效能,達到嚇阻違法目的,就罰鍰上限進行調整。」
然而,修法距今已逾 6 年。這 6 年間,台灣銀行業的年度稅前獲利從約 3,000 多億元一路攀升到 2024 年的 5,300 億元以上。即便上限翻了 5 倍,5,000 萬元佔銀行業年獲利的比例仍不到萬分之一。
第二層:實務裁罰的保守
即使在 5,000 萬元的天花板之下,實際裁罰金額也很少碰到上限。488 筆裁罰中:
- 43.2%(211 筆)的罰鍰落在 100 至 500 萬元的區間
- 超過 2,000 萬元的僅 6 筆(1.2%)
- 單筆最高為 3,000 萬元
監理機關在法定空間內的裁量,同樣偏向保守。
第三層:國際比較的衝擊
將台灣的數據與美國並列,落差一目了然:
| 比較指標 | 台灣 | 美國 | 資料來源 |
|---|---|---|---|
| 銀行業年度獲利(2024) | 5,312 億台幣(前 11 月) | 8.6 兆台幣(2,682 億美元) | 金管會統計 / FDIC |
| 年度罰款總額 | ~1.25 億台幣 | ~1,306 億台幣(40.8 億美元) | 本文資料庫 / Finbold |
| 罰款佔獲利比例 | 0.024% | ~1.5% | — |
| 單筆最高罰款 | 3,000 萬台幣 | ~960 億台幣(30 億美元) | 本文資料庫 / DOJ+FinCEN |
(匯率以 1 美元 = 32 新臺幣換算;台灣年度罰款為 2012-2025 年均值)
美國銀行業的獲利規模是台灣的約 16 倍,但罰款金額是台灣的 1,000 倍以上。即便按獲利規模等比例調整,台灣的裁罰強度仍低了約 63 倍。
這不是單純的「市場大小不同」可以解釋的差距,而是監理哲學和法律框架的根本差異。
美國單筆最高的 TD Bank 案需要特別說明:該銀行因長期洗錢防制缺失,2024 年遭美國司法部(DOJ)刑事罰金 17 億美元、金融犯罪執法局(FinCEN)罰款 13 億美元,合計約 30 億美元(約 960 億台幣),屬極端個案。但即使排除此案,美國 2024 年其餘 18 件銀行裁罰仍合計約 10 億美元(約 320 億台幣),依然是台灣年度罰款的 250 倍以上。
最具畫面感的對比或許是這個:2016 年兆豐國際商業銀行紐約分行因洗錢防制缺失,被美國 FinCEN 單筆裁罰 1.8 億美元(約 57 億台幣),是台灣銀行法第 129 條上限 5,000 萬元的 114 倍。同一家銀行、同樣的洗錢防制問題,在台灣境內與在美國受到的處罰完全不在同一個量級。
再看個別案例:台新國際商業銀行 13 年間被裁罰 13 次,累計罰鍰 9,900 萬元。而台新金控 2024 年單年稅前獲利超過 300 億元。換算下來,13 年的累計罰款大約等於台新金控 3 小時的獲利。
當罰款的金額不及一個下午的營收,我們很難期待這樣的裁罰能夠產生真正的嚇阻效果。
六、治理文化:三道防線的地基
前面五章揭示的是「症狀」— 哪裡漏了、漏了多少、漏了多久。這一章要談的是「病因」— 為什麼漏。
處分對象的失衡
488 筆裁罰中 76.8% 只處罰機構,僅 11.3% 追究個人責任。
對比英國金融行為監理總署(FCA)自 2016 年實施的「高階管理人員制度」(Senior Managers and Certification Regime, SM&CR),要求金融機構的高階管理人員對其職責範圍內的合規與風險管理負個人責任,違規時可直接對個人進行制裁。
台灣的制度設計讓決策者可以躲在「公司」後面。當出了事只有公司被罰幾百萬、管理層不用承擔任何個人後果時,「建立健全的內控制度」就注定只是一句寫在年報裡的承諾。
經濟誘因的扭曲
一個簡單的經濟學問題:當合規的成本(建置完善的內控系統、增聘風控法遵人力、落實員工行為監控)遠高於違規的成本(年均被罰 1.25 億元,分攤到全體銀行業每家不到幾百萬元),理性的機構會選擇什麼?
答案寫在數據裡:同樣的違規態樣年年出現,同樣的機構反覆上榜。三道防線的制度框架再精密,缺乏經濟誘因來驅動執行,就只是紙上的架構。
IRB 的啟示
在集團排名前十中,中信金控、國泰金控、富邦金控、台新金控、第一金控、兆豐金控、合庫金控等,多家正積極申請或準備申請 IRB(信用風險內部評等法)。
IRB 的本質是監理機關將風險計量的權力下放給銀行 — 讓銀行用自己的模型來估算違約機率(PD)、違約損失率(LGD)等風險參數,進而決定需要計提多少資本。這個制度的前提是:銀行有健全的治理文化、可靠的資料品質、成熟的模型管理能力。
但數據告訴我們的現實是:這些銀行連基本的員工行為管理(理專年年挪用客戶資金)、授信紀律(徵信不實反覆發生)、內控執行(同類缺失重複出現)都還在反覆出問題。
公司治理文化是三道防線能否真正發揮作用的地基。地基不穩,防線就只是擺設。同樣地,治理文化也是 IRB 能否被信任的前提 — 一家連內控都管不好的銀行,你怎麼相信它的模型參數不會被「優化」?
七、結語:不只是三堵牆
三道防線不是三堵獨立的牆,而是一個需要共同運作的生態系統。從 488 筆裁罰的數據來看,要讓這個系統真正發揮作用,至少需要三個條件同時成立:
一、足夠的嚇阻力度。 17 年未修的罰鍰上限需要與時俱進,讓違規成本對銀行而言真正「有感」。當罰款佔獲利不到萬分之二,三道防線的設計再完美,也缺乏被認真對待的經濟基礎。
二、個人問責機制。 從「只罰公司」走向「人也要負責」。當管理層知道自己可能因為內控失敗而被停職、被解任、甚至被追究法律責任時,他們對三道防線的態度會截然不同。
三、治理文化的真正內化。 不是為了應付金檢而設防線,而是從董事會到基層都真正尊重風險紀律。這不是靠修法就能解決的,但修法可以創造讓文化轉變的壓力和誘因。
這三個條件,也恰好是台灣金融業在邁向 IRB、接軌國際監理標準之前,必須先誠實面對的基本功。
488 筆裁罰案件不只是一本罰款流水帳。它是一面鏡子,映照出台灣金融業在治理、內控與監理之間,那些被習慣性忽略的結構性困境。
附錄
附錄一:資料來源與方法論
資料來源: 金管會「裁罰案件」公告頁面(https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2),涵蓋 2012 年至 2025 年之重大裁罰案件,依「金融監督管理委員會處理違反金融法令重大裁罰措施之對外公布說明辦法」第 2 條規定公告。
資料擷取方式: 透過自行開發之 Python 程式(fsc_parser_v2.py),從金管會網站的 HTML 頁面中自動擷取裁罰案件列表,包含發文日期、裁罰來源(局處)、裁罰標題全文及詳細頁面連結。
結構化解析: 針對每筆裁罰標題,以正則表達式(Regular Expression)萃取以下欄位:
- 受罰機構名稱:辨識率 98.0%(478/488)
- 所屬金控集團:依預建之集團對照表自動歸屬
- 罰鍰金額:擷取率 75.0%(366/488),未擷取者主要為無罰金之限制業務/停職處分
- 違反法條:擷取率 61.3%(299/488)
- 違規分類:依 12 類違規態樣(A1-A12)自動分類,成功率 98.2%(479/488)
- 處分對象:區分「機構」「機構+個人」「個人」三類
資料限制:
- 本資料庫僅包含金管會公告之「重大裁罰」案件,未達重大裁罰標準之一般行政處分不在統計範圍內
- 違規分類係根據裁罰標題文字以規則比對方式自動判定,部分案件可能因標題描述簡略而無法精確分類
- 集團歸屬係依機構名稱關鍵字比對,部分非金控體系之機構(如保險經紀人公司)未納入集團統計
附錄二:違規分類對照表
| 分類代碼 | 分類名稱 | 對應防線 | 說明 |
|---|---|---|---|
| A1 | 內控內稽缺失 | 第三道 | 內部控制制度不健全、稽核未落實 |
| A2 | 員工舞弊/挪用 | 第一道 | 行員挪用公款、盜刷信用卡、偽造文書 |
| A3 | 洗錢防制/KYC 缺失 | 第二道 | 客戶身分審查不確實、可疑交易未申報 |
| A4 | 資訊安全/個資保護 | 第二道 | 個資外洩、資安事件、違反個資法 |
| A5 | 授信/徵信違規 | 第一道 | 授信審核不實、超額放貸、擔保品管理缺失 |
| A6 | 消費者保護違規 | 第一道 | 不當銷售、廣告不實、客訴處理不當、催收違規 |
| A7 | 資本適足/財務健全 | 第二道 | RBC 不足、淨值比率不達標、增資計畫未落實 |
| A8 | 業務經營違規 | 第一道 | 超範圍經營、未經核准業務、違反特許條件 |
| A9 | 資訊揭露/申報違規 | 第二道 | 財報不實、重大訊息未揭露、申報資料錯誤 |
| A10 | 關係人交易違規 | 第二道 | 利害關係人交易未合規、利益衝突 |
| A11 | 市場秩序違規 | 第二道 | 操縱市場、內線交易、短線交易 |
| A12 | 其他 | — | 無法歸入上述類別 |
附錄三:三道防線分類映射邏輯
本文將 12 種違規分類對應到三道防線的映射邏輯如下:
第一道防線(業務單位) 涵蓋直接發生在業務執行層面的違規行為,包括員工個人行為失當(A2)、授信決策失誤(A5)、面對客戶的不當行為(A6),以及業務經營範圍的違規(A8)。
第二道防線(風控/法遵) 涵蓋獨立於業務單位之外的風險管理與法令遵循功能所應防範的問題,包括洗錢防制與客戶盡職調查(A3)、資訊安全與個資保護(A4)、資本適足性管理(A7)、資訊揭露義務(A9)、關係人交易控管(A10),以及市場秩序維護(A11)。
第三道防線(內部稽核) 對應 A1(內控內稽缺失),涵蓋金管會依銀行法第 45 條之 1 及保險法相關規定裁罰的內部控制與稽核制度缺失案件。如本文第三章所述,此分類的高比例(53.3%)部分源於法規的概括條款特性,不宜直接解讀為「稽核部門問題最大」。
本文數據截至 2025 年資料擷取日。
