投資早報 盤後分析 專欄文章 大盤財經 報告搜尋
 

就勢論勢-完善法令遵循及內控內稽制度
(2022/06/17)
•作 者:台灣銀行家

整理:陳亞萍

銀行進入全面法令遵循體制

法令遵循會隨時代所需持續演進,不僅是遵守法律及命令,更要合規;為了建立堅實穩健的金融體系,國際監理更發展出內控多重防線的觀念,並期望銀行能更有效地配置內部稽核資源,強化管理,達到永續經營的目標。

現今常可聽到銀行業對KYCKnow Your Customer,認識你的客戶)琅琅上口。而我第一次聽到KYC,是在1981年。當時,我進入美國紐約銀行工作,受訓第一堂課是「認識你的銀行」(Know Your Bank),第二堂課則是Know Your Customer

在美國,所謂KYC,除了認識客戶外,還有另一個層次,即是「了解交易」(Understand the Transaction)。例如一家蘋果進口商突然進口半導體製品,此時就要有警覺性,必須了解此筆交易與其公司業務是否有關。此外,也要掌握市場變化,若企業脫離市場發展,將會產生許多問題。

法遵面向隨時代演進而擴大

20171月,銀行公會第一次率國內12家在美國設有子行、分行的國銀業者,到紐約當地召開法遵人員內稽內控研討會,並拜會美國紐約州金融服務署(NYDFS)、紐約聯邦儲備銀行(FRBNY)。

隔年再率金融業董、總及高層法遵主管赴香港、倫敦、紐約等舉辦海外分行法遵研討會,就法令遵循及內控內稽相關議題進行交流。經過3年努力,重新建立雙方互信,尤其是美國金融監理機關對台灣銀行業的信賴。

法令遵循是歷經時空環境變遷演進的產物,必然會隨時代所需持續演進。法令遵循不只是遵守法律及命令,而是要合規。所謂合規,即是全面遵循(Total Compliance),包括法律、政策、規定、規則、標準、條例、透明度、公司治理等。其中,我認為最重要的是公司治理,一家金融機構能全面遵循法規,來自良好的公司治理制度。

金融機構經營,首重風險管理,即辨識、衡量、監督及風控的持續性過程,涵蓋信用、市場、作業、流動性、法遵與信譽等風險因子。而建構全面遵循法規體制,即為對應並完善機構風險管理架構。

因此,銀行員的天職即是管理風險。面對各種風險,包括信用風險、市場風險、利率風險、法規風險等,透過管理風險,銀行員才有存在價值。完善金融機構風險管理架構,就是全面遵循法規。如此便不會將法遵和業務部門視為兩個平行單位,彼此互不往來。

內控三道防線猶如足球隊

內部控制三道防線猶如足球隊,各司其職。第一道防線為銀行各業務單位,負責辨識、評估及控制其業務所面臨的風險,並執行有效的內部控制程序,如自行查核,猶如前鋒和中鋒,期能於第一線即弭平風險。

第二道防線是風險管理、資訊安全、法令遵循及業務主管部門,訂定整體政策及建立管理制度,協助與監督第一道防線管理風險,猶如後衛,作為後盾協同防守。

第三道防線為內部稽核單位,獨立超然評估前兩道防線的有效性,猶如守門員,緊守最後關口,避免銀行出險蒙受損失,甚至遭受監理機關裁罰、降評等處分。優秀的守門員會不斷移動位置、方位及視角,隨時做好接球準備。董事會及高階管理階層應負責督導,確保三道防線架構的有效運作,並負最終經營責任。

內控三道防線潛在破口

第一道防線為三道防線中最前線角色,惟其責任往往與創造營收的目標相衝突。管理層應轉換思維,以控制導向為目標,而非僅追求財務績效。管理階層及各部門主管的考核,應納入法令遵循部門對其法令遵循執行程度的評估意見。

第一、二道防線交換資訊過程中,其控制功能可能失去獨立性,並採取風險承擔單位而非控制單位提出的意見。即使第二道防線的職能是獨立的,也可能缺乏足夠技能和專業知識,以有效挑戰第一線的執行和控制。實務上,第二道防線最容易被忽略。

紀律,貴在自律。若銀行本身未能守住內控三道防線,動用到扮演第四道防線的金管會裁罰,這種情況當然不樂見。美國NYDFS因人力有限,無法隨時緊盯著銀行,所以採取重罰,迫使銀行強化自律。

建構多重防線管理風險

目前,國際監理發展最新趨勢,已提出內部控制四道防線的觀念。第二道防線除總行業管單位外,新增法令遵循、風險管理,直接向董事會、審計委員會報告。第四道防線為外部稽核與主管機關。本國銀行在美國的分行、子行,都會聘請外部稽核人員,即四大會計師事務所,其所給予的評語和評價,將影響美國金融監理機關的觀點。而所有防線的努力,皆是為了建立堅實穩健的金融體系。

內部稽核、外部稽核、主管機關,可形成監理三角(Regulatory Triangle)。由會計師每年辦理內控制度查核,及個資保護、防制洗錢、打擊資恐機制專案查核。透過外部稽核對前三道防線進行財報、遵循監管要求的評估,對管理高層、主管機關提供額外保證機制。

真正進步的金融機構不只有內控三道防線,在每一道防線內還有許多防護機制。換言之,全面遵循體制,就是建構多重防線(Multi-lines of Defense),需要內部溝通、協調及協作。

推動風險導向內稽制度

鑑於金融環境變化快速,為賦予銀行內稽工作執行彈性,金管會於2016年推動風險導向內部稽核制度,以利銀行有效配置內部稽核資源。銀行得依其內部風險評估結果,擬定對應的稽核計畫,並視風險高低決定查核頻率、人力與範圍。

依據內部稽核協會(IIA)國際內部稽核執業準則(QAIP)、Fed-Supervisory Letter SRI3-I、銀行業建立風險導向內部稽核制度實務守則等規定,銀行業應建立旨揭機制,以確保稽核的效能、品質與一致性。

評核內容應涵蓋策略與目標、制度及程序、組織編制與資源配置、人員專業的適足性與訓練、方法和工具之精進與研發、法令規範遵循情形與前次評核應改善事項等七大面向。評核方式是由內部稽核單位指定人員,每年度至少辦理一次自我評核,並應至少每5年委請外部機構驗證其評核結果。稽核,貴在導正。裁罰並非稽核目的,而是希望銀行全面遵行法遵。

建立由上而下的法遵文化

近年來,國際法令遵循體制有九大新趨勢,包括建立由上而下之法遵文化、法遵人員獨立性與專業性、建立全行法遵風險控管機制、有效防制洗錢及打擊資恐、提升資訊通訊安全、增進個人資料保護、落實消費者權益保障、完善吹哨者制度,以及美國FRBNYNYDFS 對外國銀行之監理。

國際清算銀行(BIS)也提出建立由上而下之法遵文化的重要性,期使法遵成為組織文化的一部分。若能形塑企業法遵文化,循董事會治理機制,由上至下貫穿推動,將遵法意識及行為規範內化成為銀行每一成員的DNA。更重要的是,具有職權及影響力的經營管理階層應以身作則,知法、遵法、守法,以喚起所屬行員的法令遵循風險意識,將「遵法觀念」深植全體行員心中。

為強化差異化的法遵風險管理,金管會於2018年修正相關規定,大型銀行應建立全行的法令遵循風險管理及監督架構,報主管機關備查。大型銀行每年4月底前應函報主管機關法遵風險評估報告,以利了解銀行對法令遵循風險的辨識、評估、監控情形,進而強化管理。

此外,也應賦予法遵人員獨立性與專業性。法令遵循單位的職責,除法規遵循外,應以風險為基礎(Risk-based),有效且嚴密偵測、控管法遵風險,進而建立全行法令遵循、風險管理及監督架構。

有效防制洗錢及打擊資恐

銀行業面對日新月異的洗錢手法、資恐主義的金融犯罪及跨境流竄的不法資金,防制洗錢及打擊資恐已成為超越國界的重點議題。有些金融機構採去風險化(De-risking)方式,限縮業務範圍或拒絕與他銀行或客戶建立業務關係,如此僅能暫時減降風險,卻無法持續有效防範金融犯罪與打擊資恐。

目前,防制洗錢及打擊資恐仍是美國金融監理機關監理重點。其中,交易監控、客戶盡職調查(CDD)、可疑交易申報(SAR)及資料保存為主要關注焦點。美國防制洗錢計畫的五大支柱,包括落實執行防制洗錢計畫、政策、程序及內部控制,以確保持續合規;委聘外部顧問辦理獨立測試,以驗證有效性;指定洗錢防制主管,以辦理日常洗錢防制遵循事宜;辦理員工教育訓練;以及持續辦理客戶盡職調查。

美國金融犯罪執法局(FinCen)發布「金融機構客戶盡職調查要求」(CDD Final Rule),已於2018511日施行,以加強法人客戶之實質受益人的揭露與調查。這是國內金融機構健全洗錢防制及打擊資恐上不可或缺的指導性文件。

提升資訊通訊安全

隨著網路與金融科技進步,對金融機構的跨境網路攻擊等重大資安事件頻頻爆發,控管資安風險已成為主管機關及金融機構關注的重要議題。

根據統計,全球每39秒就有一次網路攻擊行動。2020年,資安市場規模達1,238億美元。顯見,強化網路安全、建構完善的資訊安全防護網,具備資安事件發生後迅速復原以保護重要資訊的能力,已是全球金融業高度重視的經營管理重點。

過去,銀行公會和台灣金融研訓院曾率團前往新加坡、以色列考察,這兩國都是資通訊安全和金融創新能量最蓬勃發展的國家。以色列人曾開玩笑說,要攻擊某國政府或企業的資通訊安全,不一定要駭進電腦系統,只要攻擊供電系統,即可癱瘓對方的資通訊系統。

為提升我國銀行業對資訊安全的重視,金管會於2018年修正相關規定,要求大型銀行應設立獨立的資訊安全專責單位,且該資訊安全專責單位應獨立於資訊單位外。

增進個人資料保護

隨著科技發展,個人資料被蒐集、處理與利用大幅增加,加上民眾對個資自主權、隱私權保護意識升高,如何取得交易對象的信賴,並確保個資被安全、合法蒐集、處理、利用及傳輸,已成為全球金融業共同且重要的課題。

歐盟領先世界,於2018525日施行「個人資料保護規則」(GDPR)。在歐盟境內設有據點的金融機構直接受到GDPR拘束。對歐盟境內的自然人提供商品、服務或進行個人資料的監控者,不論是否在當地設有營業據點,亦有GDPR適用之可能。另也要求設置資訊保護官(Data Protection Officer),確保資料控制者與資料處理者有效遵循法規。

為落實消費者權益保障,並促進金融服務業建立以「公平待客」為核心的企業文化,金管會於2015年訂定「金融服務業公平待客原則」。2019年起,實施「公平待客原則評核機制」,以利金融服務業了解自身執行情形,銀行為第一年的評核對象,除原有公平待客九大原則外,新增「董事會重視程度」占比最高(30分),評比結果將列入金管會新業務開辦、金融檢查頻率等參考。

健全吹哨制度,亦是全面遵循體制的重要一環。企業應貫徹誠信、透明理念,在高階管理層支持下,鼓勵知情員工主動舉發不法案件,在案情擴大前妥速處理,以收防微杜漸之效。

完善法令遵循和內控內稽制度不僅是必要的投資,更是奠定銀行永續經營的基石,進而強化社會大眾對銀行的信賴感。(本文整理自銀行公會理事長呂桔誠於LEAP班演講內容)

本文由台灣銀行家提供