law-compliance-risk-assessment law-compliance-risk-assessment

作者：孫欣，章友馨

自2009年開始，全球金融規管強度提高，伴隨而來之違規裁罰金額不斷攀升，金融機構營運的成長速度追不上金融裁罰的成長 。據英國金融行為監理總署(FCA)的統計，2013-2017年全球計有13家重要銀行，先後遭主管機關罰1億美元以上的鉅額罰鍰 ，動輒上億美元的天價處罰使金融機構再也不敢小覷法遵業務的重要。此一國際金融的嚴格監理規管趨勢也直接衝擊我國金融機構，例如2016年8月間國內銀行因未遵循美國反洗錢相關規定，被重罰美金1.8億元，創下台灣金融史上的罰款新高，台資銀行在此一逐漸增高增強的國際金融監理遵循趨勢中感受到前所未有的壓力。

在此嚴格的金融監理趨勢下，金融機構的法令遵循部門(簡稱「法遵部門」)被賦予更為積極的責任。國際上金融機構的法遵業務逐漸由傳統法規諮詢的被動諮詢者角色，轉變為在法令遵循法遵(簡稱「法遵風險」)管理及監控上發揮作用的主動挑戰者角色 ，法遵部門與金融機構內部的風險管理部門須共同負責風險控制架構的獨立監管(co-owner of risks)，法遵部門不僅需要做好法令遵循，更要能夠建立法遵風險評估的標準並有能力執行之。而此一趨勢在國際機構所頒布的重要準則中可窺端倪，早在2005年巴塞爾銀行監理委員會(BCBS)即發布「銀行的法遵和法遵功能」(Compliance and the compliance function in banks)指導文件，提出銀行法令遵循之十點原則，重點包括銀行董事會應至少每年檢討一次法令遵循執行及風險管理情形、銀行管理層應向董事會陳報法規遵循議題及其管理計畫，且銀行的法遵功能應獨立並防範利益衝突且可取得充分資訊及獨立陳報，法遵部門應有能力進行辨識、評估、監控、測試及報告法遵風險等「法遵功能」(compliance function)，以及母行應與海外營業單位共同合作符合當地法遵要求等，法遵業務應當被視為銀行中的核心風險管理活動之一。2008年美國聯邦準備委員會(Fed)亦對銀行發出「大型銀行的複雜法遵風險管理架構及監控 」之監理指導函，重點包括定義總資產規模在500億美元(相當新臺幣1.5兆元)以上之銀行應建構符合函中所揭示之複雜法遵風險管理及監控架構。

2016-2017年間，在國內銀行接連遭到海外金融監理機關的裁罰或注意後，國內主管機關的管理壓力日益增高。為強化第二道防線之法遵部門功能，銀行局於2017年3月修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」(簡稱「實施辦法」)，其中特別明訂金融控股公司及銀行業之總機構法令遵循主管除兼任法務單位主管與防制洗錢及打擊資恐專責單位主管外，不得兼任內部其他職務，並且對於銀行設有國外營業單位者，要求法遵單位應督導國外營業單位蒐集當地金融法規資料，並建立法令遵循風險之自行評估及監控機制。此一修法內容首度提到「法令遵循風險監控機制」的概念，但實務上對如何建立此一機制仍甚有疑義。2017年12月，銀行局再度修正實施辦法，在提交公聽會的草案中規定，對於前一年度資產規模在一兆元以上的大型金融控股公司及銀行，法遵主管不得兼任法務長，以求建立法遵部門的獨立性與專業性。而更讓銀行法遵部門難以迴避的是，在實施辦法草案中，「法遵風險評估」的角色更為突顯，在新增的第34條之1中銀行業被要求建立全行之法令遵循風險管理架構，顯示主管機關已正式要求銀行必須以清楚明確的方法建立法令遵循風險管理架構，並開始法令遵循風險評估的相關作業。

本文的重點，在於援引國際最佳實務及KPMG國際金融遵循服務的實作經驗，設法補足法條中提及但未賦予明確定義的「法遵風險評估」之內涵與實務操作應用，讓金融機構法遵主管更為深入的瞭解法遵風險評估應當如何推動及規劃，方能符合主管機關的要求。

在進入方法論的介紹前，先回顧我國法遵風險評估的發展與現況。

(一) 從法遵自評結果予以考核難以主動偵測風險

依照實施辦法第34條 的規定，銀行的法遵部門應督導各單位進行定期法遵自行評估(簡稱「法遵自評」)並對作業成效加以考核， 實際評估法律遵循結果的主體並非法遵部門，而是各單位填寫自評報告之人員，實務上法遵部門進行事後書面考核時，因欠缺與作業控制面的連結資訊，故較難就第二道防線角度，主動發現並掌握業務單位的法遵風險所在，若業務單位隱匿實情，法遵部門並無從得知，使得第二道防線的風險監控及防禦功能受到限制。

(二) 實施法令遵循風險評估方可有效偵測風險

2017年3月前述實施辦法進行大幅修正，主管機關在第34條中要求凡設有國外營業單位的銀行，法遵部門必須督導國外營業單位建立法令遵循風險之自行評估及監控機制，而在2017年12月實施辦法的修正草案第34條之1，主管機關方進一步對法令遵循風險管理及監督架構，進行闡釋，規範重點如下：

1. 法遵部門應建立辨識、評估、控制、衡量、監控及獨立陳報法令遵行風險之程序，以全面控制監督及支援國內外各部門、分支機構及子公司之個別營業單位之相關跨境法令遵循事項。
2. 法遵部門應依據銀行業務分類或法令遵循重點設置適當數量之專業分層單位，以負責該項業務或法令相關之國內外營業單位監督、法令遵循執行及支援事項。
3. 銀行得依風險基礎方法評估各單位法令遵循主管之設置，屬法令遵循風險較低之單位得不單獨設置法令遵循主管而由總機構法令遵循單位負責。
4. 銀行應建立法令遵循風險警訊之獨立通報、評估及處理因應機制。
5. 法遵部門應定期及不定期評估銀行主要營運活動、商品及服務、授信或業務專案、有違反法令之虞之重大客訴等潛在法律遵循風險。
6. 高階管理階層及各部門主管之考核，應納入法令遵循部門對其法令遵循執行程度之評估意見。
7. 銀行業及法令遵循單位應充分掌握國外營業單位應辦理之法令遵循事項及當地主管機關對法令遵循標準之要求，並提供充分資源及支援。
8. 至少每半年向董(理)事會及監察人或審計委員會報告法令遵循事項，法遵部門應對全行境內外營運情形，提出法遵風險管理之弱點事項及督導改善計畫，董事會應提供充分資源及對營業單位之建立適當獎懲機制，以循序建立全行法遵風險文化。

上開規定明確指出，法遵部門必須確實建立完善的法遵風險評估機制，以主動發現法遵風險並發揮監控功能。為達成此目的，僅利用過去業務單位的法遵自評結果顯然不能有效幫助法遵部門進行法遵風險評估，如何發展一套能夠涵蓋風險辨識、評估、控制、衡量及監控等元素的主動式風險管理及監督架構，已為所有銀行法遵部門的當務之急。

面對法遵風險評估的高規格法遵要求，銀行業者究竟應當如何遵循？實施辦法草案第34條之1第1項第1款中所提及的六大程序(辨識、評估、控制、衡量、監控及獨立陳報)，主管機關並未對之有任何具體的闡述，雖然在修法說明中銀行局指出條文的制定係參考巴塞爾銀行監理委員會發布之「銀行的法遵和法遵功能」所指引的各項原則而訂，但若參考上開文件，也只能看出一套完整的法遵計畫(compliance program) 須包括特定政策和程序的檢視、法遵風險評估(compliance risk assessment)及法遵測試(compliance testing) 程序，對於實質內容並無著墨。

KPMG綜合KPMG國際法遵風險評估的方法論及國際最佳實務範例，可歸納出法遵風險評估的具體內容如下：

(一) 風險辨識(risk identification)
透過自行或委外建置的法規資料庫或法規盤點之彙總結果，法遵人員可綜覽所欲評估的銀行業務相關法規，並可清楚辨識各外部法規所相應的內規及內部控制流程，以利法遵人員進行風險辨識，辨識的重點在於違反外部規定的風險樣態為何。

(二) 風險評估(risk assessment)
在辨識法遵風險後，透過法遵風險評估量表的設計，就風險發生的頻率、嚴重度、可能性等進行低、中、高的評估，依據此一風險評估量表所用的參數和維度，將風險所對應的控制之設計與落實度考量進來，法遵人員可對各項風險進行評估，最後在風險地圖上可找出風險屬性不同的各塊業務領域。

(三) 風險控制(risk control)
在上述風險評估的過程中，法遵人員須找出對應各種先天風險的控制措施，並衡量在所有現行控制措施是否可有效降低風險，再依最後風險曝險之程度進行下階段的法遵測試。

(四) 法遵測試(compliance testing)
法遵測試之目的在於確保所監控的法遵高曝險項目確實得到有效的控制，並且該控制是以持續有效的型態所存在的 。法遵測試的方法和內部稽核測試的方法相似，但範圍和目的有本質上的不同 。透過法遵測試的驗證，可以達到風險監控的目的，並確定控制措施的有效性。

(五) 風險因應措施及報告(reporting)
在風險評估及法遵測試後，可篩選出需要進一步採取行動方案的項目，法遵人員可建議業務部門加強控制措施的規劃使控制更為有效，以作為風險的因應之道，並將此結果向管理階層陳報。
 

關於風險的辨識和評估，KPMG可協助銀行依據業務屬性及銀行需求建立多重維度的法遵評估量表，將每項業務的風險屬性利用該量表進行定位，最後協助客戶在風險地圖上辨識出高風險的業務項目或單位。其後可進一步就高風險的業務項目觀察其控制措施是否完備，並就部分有必要進行法遵測試的項目，為客戶量身設計法遵測試問題，協助客戶進行測試及對測試結果進行分析判斷與建議。

值得注意的是，實施辦法的修正草案並未廢除法遵自評報告的要求 ，為使自評報告的結果於法令遵循風險評估過程中更具有參考價值，法遵部門可設計含有控制措施的自評報告問卷，使各業務單位之填寫人在填寫時能詳細寫出該項業務對照法規要求所設的控制措施，並陳述控制措施的執行情形，以作為確實遵循相關法規的佐證。法遵人員可有效運用此一報告所蒐集的資訊，完成法令遵循風險評估作業及準備相關報告。

巴塞爾銀行監理委員會在「銀行的法遵和法遵功能」中，提出銀行法遵部門必須要有「足夠的資源」 以執行其責任。所謂的資源，包括人力和資訊，除聘雇具有專業經驗的法遵人員外，銀行必須提供充分的資訊讓新進的法遵人員能快速了解所必須遵循的法規及銀行相應的內部政策，並瞭解遵循該等法規對於銀行實際營運的具體影響。

如何讓法遵人員有足夠的資源進行法遵風險的評估？法規資料庫的產生，可說是呼應了以上的需要，透過資料庫的建置，可讓法遵人員在最短時間內快速取得各法遵議題的相關法規及銀行內部政策，可有效降低搜尋法規及對應內部政策的成本，法遵部門可藉此有效地管理法遵風險。

規盤點的作業需求，但法規及內部政策的繁複，及相應控制措施的規劃，必須透過相當龐大的文件整理，才能將法規盤點的作業內容紀錄下來，如能以系統建置的法規資料庫協助法遵人員盤點及更新法規，更能有效率的達成遵循目標。

法規資料庫雖然理論上可由銀行自行建置，但實務上國際金融機構多仰賴外部顧問的協助，原因不難理解，蓋因將銀行各面向業務所涉及之法規進行盤點，以及是否有合適的系統可進行法規和內部政策的串連等，這些工作集合起來，對於通常人力配置有限的法遵部門而言，往往難以負荷龐大的工作量。

目前市面上有些法規資料庫僅聯結外部規定和銀行內部規範，但法規資料庫最重要的功能並非法規的整理，而在於如何將法規和銀行的實務作業進行結合，KPMG所建置的法規資料庫，能夠符合法遵人員滿足監管要求的期待，是實施法遵風險評估的關鍵利器。法遵主管可從法規資料庫產製的報表中，輕鬆瞭解銀行在各重要法規下之相關業務，以及該業務所對應的內規、風險控制措施，進而就各業務法遵風險的高低進行評估。年底時法遵部門可利用法遵資料庫自動產製的各單位法遵風險評估報告，陳交董事會，管理階層亦可利用此資料庫所產製的法遵報告結果進行各部門主管的考核，法規資料庫的存在可使法遵部門及銀行管理層輕鬆達成實施辦法草案第34條之1的各項要求。

法遵風險評估的概念雖然可溯源至2005年4月巴塞爾銀行監理委員會的指導文件，但法遵風險評估的具體方法論，卻未見於該指導文件，主管機關僅取「法遵風險評估」的概念，未要求業者採取既定的法遵風險評估方式，給予業者空間選擇適合的方法論。本文介紹KPMG所採用符合國際最佳實務的法遵風險評估方法論，並介紹法規資料庫在法遵風險評估作業中所扮演的重要角色，金融業者可就其法遵部門的成熟度(例如規模、經驗、人才)高低，選擇一套適合的法遵風險評估方法，並評估是否具備自行開發建置法規資料庫的能力抑或透過外部顧問的專業協助，可有效將法遵風險評估作業推升至法遵部門的核心地位，落實第二道防線的法遵風險防禦功能。