打造內控DNA 人人都是守門員

隨著金融環境日益複雜化，銀行的三道法遵防線必須落實。臺灣金控暨臺灣銀行董事長呂桔誠於台灣金融研訓院LEAP班擔任講師時表示，應由內部擴增第四道防線，由各單位平日就自發性、有意識的找出內控瑕疵，在第一線即自主把關，升級為「全面遵循」的境界。

隨著全球金融環境快速變遷，為了維護金融市場秩序，保障消費者權益以及防範金融犯罪，世界各國金融法令日趨嚴格，國際金融監理力道漸增。在我國銀行業積極布局海外、增設據點的同時，更應該建構一個全面遵循的體制，包括完善的內控內稽、法令遵循制度，有效的防制洗錢及打擊資恐的策略，堅實的資訊安全以及個人資料保護機制等。

實際上，台灣過去一直都有在做法遵，但可能多數從業人士並沒有意識到；直至許多國際裁罰案件相繼發生以後，才讓法遵觀念在企業文化中從上到下開始普及，方才正式開啟我國銀行內控內稽、法令遵循與國際金融監理接軌的里程碑。

然而，法遵並非一成不變的標準，從過去的金融環境變遷，演化至今，已由大家熟悉的法令遵循（Legal Compliance）延伸擴展為全面遵循（Total Compliance），近來國際間更紛紛加速推動內部稽核品質評核機制（Quality Assurance and Improvement Program, QAIP），整個發展的進程是相當快速的。

延伸法遵核心精神

防微杜漸，打造抗風險體質

QAIP主要依據國際內部稽核協會（IIA）的「國際內部稽核執業準則」、「Fed-Supervisory Letter SR13-1」、「銀行業建立風險導向內部稽核制度實務守則」等規定，銀行業應建立上述這些機制，以確保稽核的效能、品質與一致性。評核的內容應涵蓋策略與目標、制度以及程序、組織編制與資源配置、人員專業的適足性與訓練、方法／工具的精進與研發、法令規範遵循情形，與前次評核應改善事項等7大面向。由內部稽核單位指定人員，每年度至少辦理一次自我評核，並應至少每5年委請外部機構驗證其評核結果。QAIP的目的即反映精益求精的態度，不斷精進，永不止境。

那麼現在的Total Compliance到底跟我們所認識的法遵有何不同？這要從金融機構的特性談起，其實金融機構是相當典型的一種連鎖經營模式，除了像是金融服務與商品都必須標準化以外，各分行有相同的企業標誌、LOGO及制服，各項業務都有一套應遵循的標準作業流程（SOP）。

金融業是一種除了隱含內部各項風險外，也面對潛在系統性風險相當高的特許產業，過去的法遵機制多是基於因應法令規範而建立發展起來，然而除了遵守執業規範以外，如何打造我們本身抵抗風險的體質，讓企業能更永續穩健的發展，才是法遵的核心精神，也就是我們倡導的全面遵循體制。

同業問我，為何只是一個小小的程序沒做到位，甚至也還未造成任何實質上的金融損害，國際裁罰卻是動輒幾十、上百億。這就必須從稽核與管理的本質來探討，我們知道，稽核程序一般是採抽樣檢查的方式進行，因為逐一檢查的管理成本非常龐大，從幾年前美國裁罰國銀的標準來看，當監理機關面對一個正在擴張的產業，他的策略是以較自由的管理方式讓你去發展，但你就必須能自律、自主管理，否則監理機關無法負擔龐大的監理成本。

因此，我們假設抽樣檢查中，只要有一件不符合規定，他可以推斷在你實際作業上，可能有一百件的違規案件，這其中的任何一件都可能造成整體金融系統的崩潰，這背後的社會成本絕非這幾十或上百億能收拾的。在美國的監理原則下，異常交易並非不會存在，只是他們更關心的是，針對這些異常警訊，我們該用什麼規範機制或程序來控管，所有處理過程必須符合應通報的原則，如此他們才能確定我們真的有能力做好風險控管。

內控增設一道新防線

各單位自主查核，主動把關

我們最為熟悉的法遵架構就是內部控制三道防線，但現在逐漸出現第四道防線的概念。我常喜歡用踢足球來形容，你可以想像當球跨越到後衛領域時，最後守門員能守住的機會有多少？僅有一半的機會，因為判斷錯邊就守不住了。事實上，我們會出險的地方基本上在第一道防線，也就是各業務單位執業的時候，出險而流到第二道防線，也就等於到了第三道防線，因此我們不能單倚靠稽核部門找出問題，必須透過自行查核主動發現風險。

從被動守法到前瞻預防

建立「病識感」，非僅「補破網」

綜觀當前的法遵趨勢，已非僅著重在是否符合法律規範，更重要的是，一間金融機構能否有「病識感」，對於業務管理上能否自行發現免疫系統出了狀況。以風險預防的角度來看，監理機關想建構有免疫或抵抗病菌體質的金融體系，就必須養成具有這些抗菌能力的金融機構。過去我們習以為常的準備是，主管機關查什麼就準備什麼，甚至在被重罰之後，就開始採取去風險（De-Risking）的方式因應。然而現在社會期待不同了，既然身為金融機構，就應該建構完整的安全系統，有了第四道防線補強，更可強化主管機關與內部稽核的溝通與信賴機制，向主管機關提供有用、可靠的資訊，使其在風險評估中更具前瞻性，並有助於確保維持市場穩定。

Legal Compliance貴在遵循，從前我們過於被法律的框架給設限住了，你可以觀察，很少人會故意違法，但不照著SOP處理的事件，每天都還是發生著，這是一個長久以來的迷思。以外匯業管單位為例，今天相關作業程序由他擬定，而又同時被賦予業績壓力，某種程度上來說，這其實是相互衝突、矛盾的。因為一旦破例融通作業，使業績較容易達成，但已升高出險的機率，所以更多的責任應該歸屬在第一線的作業單位。

法遵關鍵在人為治理

應重視人員獨立性與專業性

在專業人員方面，應持續強化法遵人員的獨立性與專業性，包括應具備任職的條件，才能擔任法遵主管與法遵人員。

根據相關規定，法遵主管及法遵人員每年至少應參加15小時的在職教育訓練，以持續增加其專業知識，並掌握了解金融環境的變化及因應之道；海外分行法遵主管的設置，則應符合當地法令及主管機關的要求，除有法定情形之外，也應該為專任。

再者，大型銀行亦應設置專責法令遵循單位，總機構法令遵循主管則不得兼任法務單位主管或內部其他職務，更鼓勵銀行業，應積極辦理國際交流研討活動，給予各行的法遵人員教育訓練的協助。

形塑由上而下的法遵文化

打造完全內化的銀行員DNA

鑑於金融環境變化快速，規範上固然務求嚴謹，考量實務可行性，為給予銀行內稽工作執行的彈性，我們主管機關於2016年修正了相關規定，首次推動風險導向內部稽核制度，以利各家銀行有效配置內部稽核資源；也就是你可以依據內部風險評估結果，擬定對應的稽核計畫，並依不同風險高低，自主決定查核的頻率與範圍，以有效配置內部稽核資源。

舉例來說，日前我們為了洗錢防制評鑑做了很多KYC（Know your customer，企業確認客戶身分的程序），大家一窩蜂遇到匯款就跟對方盤查，因此造成不少民怨，後來才由行政院蘇院長宣布：新台幣50萬元以下免嚴查。過猶不及的因應模式，反映出銀行業面對法遵的心態有時會陷入僵化，值得同業思考和警惕。

最後，呼應我在開場所提到的，面對法令遵循的新趨勢、下一哩路，如何建立由上而下的法遵文化將是重要關鍵，透過形塑企業法遵文化，循董事會治理機制，由上至下逐步推動，將行為規範、遵法意識循序漸進，內化成為銀行每一位成員的DNA，不再僅僅是形式上的遵守規範而已。

就銀行經營治理而言，倘具有職權及影響力的經營管理階層，能以身作則，知法、遵法、守法，將有助於喚起所屬行員的法令遵循風險意識，則遵法觀念必深植全體行員心中。我常這樣分享，我們在理性上知道開車看到紅燈要停，可是一旦到了沒有紅綠燈的十字路口，我們還是要有正確行車的本能，先停、聽、看，再判斷前行與否，否則早晚會出事的。

（本文轉載自臺灣金控暨臺灣銀行董事長呂桔誠於台灣金融研訓院LEAP班之講述）