这些红线不能踩! 金管会力推问责制度与诈欺风险管理
发表时间:2020-10-14 点阅:2777
文/梁鸿烈, Photo by Cory Woodward on Unsplash
金管会近年针对银行内部诈欺的裁罚件数、金额急速攀升,并责成银行从人事管理、内控及内稽建置与落实防弊控管机制。金融犯罪防制是未来监理焦点,须建立「资深经理人责任地图」,强化风险管理机制,降低相关事件发生。
观察近年金融犯罪防制,包括反洗钱、反资恐、反武扩及反诈欺等领域,已成为银行业法令遵循的重点,且因违反相关义务或内控发生严重缺失而遭金融监督管理委员会(下称金管会)裁罚的案件量及裁罚金额亦逐年攀升。以银行内部诈欺事件为例,在2019年,与行员╱理专挪用客户资金等舞弊行为有关的重大裁罚案件共有8件,裁处金额合计达新台币5,100万元;2020年截至7月底为止,此类重大裁罚案件虽仅有3件,惟裁处金额合计已达新台币3,600万元〔详图1〕。
针对逐年增加的裁罚案件,金管会自2018年即发函要求银行注意各项作业流程是否符合牵制原则(金管检银字第1070604007号),2019年又颁布「银行防范理财专员挪用客户款项相关内控作业原则」(即理专十诫),责成银行从人事管理、内控及内稽三大面向,建置并落实相关防弊控管机制,2020年再借由「银行办理高资产客户适用之金融商品及服务管理办法」(下称「新财管业务」)导入「资深经理人问责制度」(下称「问责制度」),透过与负责相关业务之高阶管理人进行面谈,了解其所扮演的角色与负担的责任内涵,进而以由上而下的方式,间接促进银行强化行员及理专的控管。
借镜英国,追究相关人员责任
观察资深经理人问责制度起源地英国的实践经验,该制度系由负责监管金融机构业务行为的金融行为监理总署(Financial Conduct Authority)所制定,透过资深经理人事先核准机制、明确定义的责任范围、责任地图等完整的立法基础,建构起资深经理人问责制度,并明定责任之法律效果(诸如纪律处分、罚款、解职等)。根据金管会目前态度,新财管业务仅系国内推动试行问责制度的第一阶段,后续将分阶段扩大至银行其他业务,并可能透过修法正式将问责制度纳入金融业内控架构。若延续此发展脉络,未来金管会于银行高阶管理人上任前,除事先审查其资格与责任范畴外,不排除另将要求银行盘点各业务实际负责人与负责的范围定义及公告,并制作责任地图,以利主管机关于银行发生重大违失时,可透过问责制度,追究相关人员的责任。
由此趋势观察,待金管会全面推行问责制度后,将可能改变银行高阶管理人员在法遵管理督导的责任面貌,影响的程度值得持续观察。金管会过往对于违反法令、章程或具有碍健全经营之虞的银行,常依据银行法第61条之1对该行进行处分;如违规情节重大时,金管会亦曾多次依该条解除银行董事或监察人的职务,并命停止其于一定期间内执行职务。过往司法实务上或有肯认在维护银行健全营运、维持金融市场秩序的立法目的下,金管会凭借其专业判断所决定采取的「必要处置」处分内容自应享有判断余地及裁量余地,亦即除非金管会处分内容有明显违误的情况(如裁量恣意、滥用等),否则法院事后审查合法性时,应尊重金管会的专业决定。惟观察近期法院判决实务(台北高等行政法院106年度诉字第1303号判决参照)似要求金管会应清楚说明处分时存在处置之紧急必要性,且处分做成之目的及手段系符合比例原则。因此,于问责制度施行后,如又发生银行违反法令、章程或有碍健全经营等情事时,金管会借由问责制度可更加明确地厘清责任归属,并进一步做出符合法院要求的管制性不利处分。
诈欺与洗钱风险存在三大差异
如前所述,问责制度引进主要目的之一,乃为加强银行防范行员╱理专舞弊事件,银行虽可参照以风险为本的防制洗钱架构建立诈欺风险管理架构,然实务运作上,诈欺风险因与洗钱风险有先天上的差异,故存在诸般挑战,例如:
一、洗钱风险主要来自银行客户、交易对手等外部人,然内部诈欺风险则通常与业务人员有关,相关控管措施与业务发展间存在潜在紧张关系。
二、洗钱防制有国际组织或政府发布许多指导文件,银行可依循该等指导文件建立洗钱可疑交易或行为监控态样,然各银行曾发生的诈欺事件具有私密性,资讯交流机制不足。
三、洗钱风险原则上可透过程序面的流程规范有效防制,然诈欺风险很容易因业务人员熟悉内部程序而规避相关规范。
由上述差异可知,诈欺风险无法仅从程序面进行控管,而必须考量其特性,并侧重「全行层面」的防制措施,例如:零容忍的反诈欺文化、相关人员教育训练,及高度保密且有效的检举与吹哨者保护制度,以弥补程序面控管的极限。此外,有效的诈欺风险评估有助于辨识高风险低控制的业务行为,避免「一竿子打翻一船人」的情况发生,进而有助于凝聚全行共识。
诈欺风险管理框架五大元素
本于目前金融业国际最佳实务〔诸如美国舞弊稽核师协会(Association of Certified Fraud Examiners, ACFE)出版的舞弊稽核师手册及相关实务准则〕,并结合笔者过往参与国内外企业进行诈欺及贪腐风险评估与调查的专案经验,银行业建构的诈欺风险管理框架,我们建议应具备「治理架构」、「诈欺风险评估」、「诈欺风险控管机制」、「教育训练与沟通」及「检举与吹哨者保护制度」五大关键元素。以下分别说明之。
一、治理架构
健全的诈欺风险管理架构,植基于银行高层形塑的诚信经营治理文化及充分资源投入,故良好的治理架构为诈欺风险管理架构的首要关键元素之一。就一般国际实务,建立完整的治理架构应考量以下要素:
1.董事会与高阶管理层的监督机制。
2.组织架构的权责划分及明确定义的角色与职责(Roles and Responsibilities)。
3.正式化的反诈欺政策和程序(Policies and Procedures)(包括资深经理人与员工行为准则)。
4.管理资讯报告。
二、诈欺风险评估
风险评估为银行管理诈欺风险的基础,透过风险评估的结果,银行可了解其诈欺风险轮廓,以利将有限的资源投注到风险评估所辨识出的特定高风险类型。诈欺风险评估方法论一般包含以下元素:
1.辨识既有风险
•蒐集并分析过往案例与潜在风险趋势等内外部资讯,以辨识与银行特性相关的诈欺既有风险因子。
•研究各风险因子的特性与来源,以了解各既有风险因子发生可能性(likelihood)与影响程度(consequences),进而决定诈欺既有风险的暴险程度。
2.评估控制有效性
•依银行既有风险轮廓,辨识现有的诈欺风险控制措施。
•了解现有诈欺风险控制措施内涵及相关业务流程负责人。
•评估现有控制措施的有效性。
3.判断剩余风险
•综合既有风险及控制成效,判断银行诈欺剩余风险评级。
•针对剩余风险,提出后续风险抵减行动计画。
三、诈欺风险控管机制
除风险评估外,日常的控管机制亦为有效管理诈欺风险及预防诈欺事件的重要手段。完整的诈欺风险控管机制应包含事件发生前的预防措施、日常的侦测监控,以及事件发生后的调查及处理程序。谨将实务上常采用的管理方案说明如下:
1.预防控制措施
•人力资源面的控管:如背景调查、教育训练、绩效与奖酬、职务轮调及强制休假机制等。
•权限面的控管:如职能分工、授权权限、资料的保管与存取权限等。
•交易面的控管:如对高风险业务之交易、涉及使用第三方之交易、关系人交易等之审查。
2.侦测控制措施
•吹哨者╱检举制度。
•流程控管:如对帐、实物盘点、独立覆核、查核等。
•主动侦测:运用数据分析等技术工具,辨识可疑行为与异常交易、趋势和风险指标。
3.调查与处理机制
•考量诈欺风险存在程序面控管易被突破的难题,须建立高效能并可有效掌握诈欺事件发生根本原因的调查机制,且将调查成果回馈至前端的预防与侦测措施。
•妥适的调查与回应程序包括举报案件分类、确认举报可信度与重大性、案件呈报、调查和蒐证、调查结果的纪录与资料保存、矫正与改善等。
四、教育训练与沟通
教育训练的目的在建立和强化全行反诈欺基调(Tone at the top),促进组织从上到下,全面提升对诈欺风险的意识。依国际实务作法,教育训练内容应含括诈欺风险管理的相关政策与程序、员工行为准则、认识诈欺和不当行为类型及发现可疑的处理程序、舞弊行为的法律责任等。
五、检举与吹哨者保护制度
依据ACFE2020年发布的统计资料(2020Report to the Nations),企业舞弊被揭发的方式主要是透过「检举」,占比高达43%(其中50%来自员工举发,22%来自客户);另透过「内部稽核」、「主管审查」发现舞弊的比重分别为15%、12%。有鉴于检举制度在诈欺风险侦防发挥的强大功效,因此我们将其列为独立的一项关键元素,以强调其重要性。
检举制度除建立独立的举报机制、设置并公布检举管道、检举案件的受理及后续调查处理等程序,最关键的配套机制是对吹哨者的保护措施。许多国家已有完善的吹哨者保护法与相关机制,行政院亦已于2019年5月通过《揭弊者保护法》草案,目前刻正由立法院审查中,其中重点包括揭弊者适用范围涵盖公私部门、揭弊者资讯保密、强化工作权保障、扩大保护人身安全等。未来该法立法通过后,可在法律层面提供揭弊者更大的保障。
总结来说,金融犯罪防制仍是未来监理的焦点,完整的诈欺风险管理框架非一蹴可几,须投入资源逐步规划与实作,并建立对应权能的「资深经理人责任地图」,强化风险管理机制的完整程度,以降低诈欺风险并预防舞弊或诈欺事件的发生,进而促进银行的诚正经营及良好声誉。(本文作者为普华商务法律事务所合伙人暨金融业法律顾问及法遵顾问服务负责人)
〈更多文章内容请详:台湾银行家 [第130期]〉
探索更多精彩内容,请持续关注《台湾银行家》杂志 (http://service.tabf.org.tw/TTB)