2019年5月

形塑我國金融法遵新文化 台灣銀行業高層赴美交流

採訪、撰文:編輯部、海外中心

國銀過去因洗錢防制法令遵循缺失,遭受美國金融監理機關的裁罰,法遵議題近年來在台灣金融業持續發酵,銀行公會理事長呂桔誠為強化我國金融業整體法遵意識與文化,近3年來,親率各銀行高層赴歐美、亞太地區辦理法遵研討會,並自去年起陸續在東京、紐約、洛杉磯、香港、雪梨等地舉辦台資銀行海外分行集體自律機制會議,讓與會者熟悉海外當地金融法令規範,提升國銀海外分支機構的法遵意識,藉此與當地監理機關雙向交流互動,增進相互了解與深化未來合作默契。

年3月,銀行公會第3度赴紐約舉「海外分區經理人、法遵人員暨內控研討會」,顯見我國銀行業對美國市場的重視。本次共有12家銀行派員參與,更有8家銀行由董事長或總經理親率總行負責法令遵循、部稽核或國際業務之高階主管出席,包括美國講者及各銀行總行及海外分行長官總計125人參訓,充分展現國銀共同宣示提升法遵能力及意識的決心。

美方對於我國年組團赴紐約理法遵研討會表示肯定,相信透過雙方緊密交流,可以持續提升台資銀行的法遵及控效能並與國際接軌,亦有助於重建美方對我國金融業落實法遵的信任,更彰顯我國政府與銀行業並肩努力,勠力強化海外分支機構法遵與稽專業能力,形塑我國金融法遵新文化,提高我國銀行業的國際聲譽。

首先由銀行公會理事長呂桔誠開場致詞,為與美方與會者充分交流,全程以英文表達,以下照原文刊登。

Latest Developments of the U.S. Financial Regulations for Foreign Banking Operations Chairman's Opening Remarks Mr. Joseph Jye-Cherng Lyu, Chairman, Bankers Association of the Republic of China Distinguished guests, Ladies and Gentlemen, Good morning!

On behalf of Taiwan Bankers Association, it is my great honor to welcome you all to the conference on the "Latest Developments of the U.S. Financial Regulations for Foreign Banking Operations". This event sponsored by the Association is arranged by the Taiwan Academy of Banking & Finance under the guidance of Taiwan Financial Supervisory Commission(FSC).

This is the 3rd time that we hold such conference here in New York. Over the past 2 years, we have received positive response from Taiwanese banks with presence in the U. S. , I'd like to thank you, especially for even more active participation this year, 125 managers and compliance officers of the U. S. branches and senior management including 8 chairpersons and CEOs from the headquarters are here today. I am especially thankful to Mr. C*, Ms. W*, and Ms. Chuang of FSC for giving your blessings here in person.

Taiwanese banks have actively expanded their operations globally over the past 20 years. As Taiwan financial sector engages more globally, we bankers ought to ensure sound banking practice and abide by financial disciplines fully, thus contributing to the financial stability of the host countries. Today, the banking sector faces increasing challenges. In addition to the conventional risks, such as credit or market risks, we must deal with the money laundering, terrorist financing, cyber security, data infringement incidents amongst others. Any failure in these areas can damage a bank's reputation heavily, thus undermining the whole industry in general. Bankers today need to be well versed with the host country’s legislation, understand its regulatory philosophy, and keep abreast of the supervisory trends.

Taiwan Bankers Association has developed a Collective Self-Discipline Mechanism amongst our member banks, to substantiate our joint commitment to compliance, internal audit and control systems especially at our overseas operations. The Association has held a series of conferences in New York, Hong Kong, and London since early 2017. These gatherings have improved the competence of compliance, internal audit and control personnel, and further bridged up Taiwanese banks and the supervisory authorities of the host countries.

These dialogues helped Taiwanese bankers understand the U. S. compliance requirements in a profound way, thus behaving themselves as Good Citizens here in the States. Deep in the bottom of my heart is my wish that our peer Taiwanese bankers will internalize the concept of internal audit, internal control and compliance into their soul and mind, like their DNA, thereby behaving themselves instinctively. Being the Chairman of the Association, I would like to speak up for our collective determination to exercise the sound banking practice everywhere, including New York the global money center.


Diversified patterns of money laundering and terrorist financing, along with growing internet coverage and rising cross-border financial crime, are exposing financial institutions to compounded risks. Under the NYDFS Superintendent's Regulations Part 504, banks are required to rigorously implement transaction monitoring and filtering programs, and must strictly conduct gap assessment, draw up corresponding action plan and remediation, and then submit their annual compliance certification accordingly. Taiwan government has actively aligned AML/BSA/CFT legal regime with international standards and strengthened the supervision as well.

Whilst the whole financial world strives to fight money laundering and financing of terrorism, Taiwanese banks have never been absent from the fight. I am very pleased to see how seriously our government has taken these matters and how proactively our banking community has responded over the past years. In addition to applying emerging technologies to better detect, monitor, and deal with the money laundering instances, Taiwanese banks continue to train up their employees, retain professional services of external consultants and auditors with a view to enhancing AML/BSA/CFT system-wide.

The Book of Psalms says: "Those who sow with tears will reap with songs of joy." Just 3 months ago, the Asia Pacific Group on Money Laundering (APG) issued its preliminary opinion following the 3rd Follow-up Mutual Evaluation of Taiwan, which gives high marks to Taiwan for the active AML/CFT measures taken in both public and private sectors. The assessors also give positive affirmation regarding the direction in which Taiwan's AML regime has progressed in recent years, and the effectiveness of its implementation.

Rapid developments in Fintech have brought about information security concerns. Cyber security risks and the associated customer interest protection have emerged into a matter of concern for financial institutions. Thanks to NYDFS for taking the lead to issue Part 500, "Cybersecurity Requirements for Financial Services Companies" in 2017. Taiwan authorities have also called for each single bank to escalate its information security. The bank I work for has set up a department at the head office dedicated to cyber security with a CISO installed in charge of planning, monitoring, and implementing the maintenance of information security. Facing the increasing cyber security threats, all banks must keep pace with technology development.

The protection of personal information is a new aspect to be respected. Since the EU General Data Protection Regulation (GDPR) entering into force in May 2018, countries around the world have taken steps to strengthen their privacy regulations.

The scope of compliance evolves over time. The compliance function has expanded from its original scope to broadly embrace the standards of integrity and ethical conduct, including market conventions, industry practice, and internal codes of conduct. I would rephase the term "Compliance" from the original concept of "Legal Compliance" into "Total Compliance". Today, banks must build up their compliance capacity in all aspects, whilst the priority may be given to the human resources development, organizational optimization, and corporate culture building.

Building a corporate culture of compliance should never just be a slogan. It must be deep rooted broadly from the top down through the corporate governance system. Through ex ante training programs, ex post performance evaluation and interim monitoring, we will motivate all employees not just to abide by the codes, but gradually internalize these concepts into their soul and mind, like an embedded DNA.

Establishing robust total compliance systems may cost capital and human resources. However, if we fail to do so, any adverse consequence will cost us even more, not merely in monetary term but the priceless reputation. I firmly believe that establishing a sound and safe system with robust controls is an essential investment, which lays the cornerstone with lasting social trust and long tern profit potentials.

Before closing, please allow me to reiterate 3 main purposes of our gathering here:

First, we hope it will help further strengthening the collective self-discipline amongst Taiwanese banks thus improving our compliance, internal control and audit systems effectively.

Secondly, we hope this platform will help facilitating the exchange of best practice and experiences amongst Taiwanese banks and with the U. S. regulatory authorities.

And finally, we hope it will further reinforce the joint commitment of the Taiwanese government and banks to the Total Compliance practice, here in the States.

Thank You All,

I look forward to a successful and enjoyable conference.

* Names disquised

金管會重申金融機構

應塑造重視AML/CFT文化

金管會銀行局莊琇媛副局長在演講中,特別強調北美市場的重要性與指標性,國銀在北美地區設置的據點僅次於台灣所在的亞洲地區,現階段國銀面對海外布局的挑戰,主要是全行對於法遵風險的管理與控制需要再加強,而總行也應扮演更重要的角色,像是落實監督機制,並給予相應的資源支持。近年我國在強化整體防制洗錢與打資恐(AML/CFT)機制的健全上做了很多努力,2018年11月APG對我國進行第三輪評鑑,即便評鑑已告一段落,金管會仍持續加強防制洗錢的工作,日前亦發布相關規範的修正重點,更重申金融機構應塑造重視AML/CFT文化,要求金融機構的董事會與高階管理人員應了解洗錢及資恐風險,嚴謹執行AML/CFT計劃,並採取適當措施。

莊琇媛坦言,國銀在逐擴增海外營業據點時,面對不同國家或地區的法規及環境差異,自身對於法遵風險因應或經營管理能力必須隨之提高,金控及銀行除了應重視法遵及控三道防線功能的發揮外,還須強化與外國金融主管機關間的溝通與合作,以確保跨境業務的安全性及健全性。政府一直以來相當重視金融監理政策的推動,未來將鼓勵銀行業建立部檢舉制度,金管會亦著重制定資訊安全及差異化法遵風險管理機制,同時透過指定金融機構進行跨部門資安演習等,創造良好且健全的金融控環境。最後,亦不忘與美國法遵專家分享,我國其他重要金融政策,如純網銀、綠能專案融資及電子支付等發展。

將法遵文化注入金融業之DNA

與會專家交流時提到,曾擔任紐約聯邦儲備銀行的一位法律顧問專家,在公開場合演講分享如何將法遵意識融入公司文化,而金融文化改革向來是紐約聯邦儲備銀行非常重視的事。

在組織,大部分的人常會做出與周遭人們行為相符的動作,久而久之就形成了一種企業文化。多數人可能會猜測經濟罪犯是因為貪心而而走險,然而,就法律顧問的實際觀察,金融從業人員違法的原因很可能與組織文化有關。事實上,設置一位部律師可評估和助改善組織的文化。律師具備一定程度的獨立性和洞察力,不會成為該文化的俘虜,這是理解組織文化所必需的。將法遵意識融入公司文化,有四個大原則要注意。

第一是結構(Structure)。要觀察組織業務運作的方式是否存在不可接受的利益衝突風險?是否明確定義了組織的角色?它們是否過於明確,以至於員工忽視了大局?控制功能是否參與關鍵決策?律師本身是否參與跨部門不同的業務?他們是早期諮詢,還是僅在最後一刻諮詢?

第二是溝通(Communication)。公司訂出的原則和任務是否很明確?從員工到經理,壞消息如何傳遞和接收,反之亦然?請注意,雙向溝通都透過中間層傳遞,中間層可能如何影響通信的容?外,控制區域是否相互通信和協調?律師是否與其他控制區域(如合規部門和風險官員)分享他們所看到的容?

第三是領導力(Leadership)。要關注「高層人物」,他們的話是否符合他們的行為?高層人物是否樹立了鼓勵問問題的榜樣?他們是否尋求反饋和意見?高層領導是否自己提出問題,並展示對其他想法的開放性?他們如何處理大型組織中不可避免的錯誤?

第四則是多樣性(Diversity),公司如何對待有不同意見的員工?企業主是否尋求、蒐集各種觀點?如果沒有,怎麼讓最好的想法獲勝?這並不容易。我認為人類有一種自然的偏見來尋找與我們有相似觀點的人。但這會導致群體思考。因此,組織如何鼓勵創新做法並回應不同意見,讓組織更多樣性相當重要。

從中可以發現,一個具有良好結構、溝通力和領導能力的組織,更重要的是,那些歡迎不同觀點並能接受不同聲音的組織,遭遇的法律問題可能會比較少。

法令遵循風險管理成為主角

在過去,提起金融機構之風險管理,業界最熟知的莫過於市場、信用與作業風險,法遵風險被列為作業風險之一環。近年來,隨著國際法遵文化的推廣,各國政府的重視,加上幾次重大法遵事件,讓法遵風險成為風險管理的焦點。

法遵風險成為金融業焦點

本次研討會壓軸講座,長期擔任聯邦準備銀行檢員之美國銀行家協會Bonita G. Jones女士引用2019年國際稽核師協會(IIA)最新全歐調指出,法令遵循風險已成為僅次於資安風險之第二大機構風險。尤其對金融業海外分支機構而言,聯邦準備銀行在2018年的最新報告指出,超過70%的監督調結果(supervisory findings)與法令遵循有關,包括長久以來對於保密法/反洗錢法(BSA/AML)法遵系統存在缺陷。此外,對疑似洗錢之監控系統程序及申報案件(SARs),對客及交易對手銀行的盡職調(due diligence)不落實,對董事會的報告與覆核不足,以及先前核指出的缺失沒有落實改善,甚至有申報不實或隱匿等行為,依然無法杜,也造成了現今金融機構仍存在法遵風險管理缺口的問題。

法遵風險缺口不能單靠法遵人員

與會專家花旗銀行全球法遵代表Ms. Kim坦言:大家都知道法遵風險管理的重要性,但許多人存有「法遵是法遵人員或風險管理人員的事」的迷思。事實上,過去法遵部門的活動往往是獨立的,卻也是孤立的,與更上層的風險管理架構及治理缺乏明確的連結。近年來,法遵人員的工作重點,是在了解業務和潛在風險缺口後,努力結合其他部門,將監理要求實際轉化為行動。法遵風控部門之上,董事會、監察人、審計委員會及管理階層,更應引領金融機構建立風險管理意識及法令遵循文化,金融機構各單位均應有適當的角色功能、權責分工及分層呈報流程。法遵風險管理單位與董事會的互動方面,法遵單位應隨時向董事會通報機構的風險況與管理做法,使董事會能對管理層的決策提出有力、有據的挑戰。此外,風險管理和部稽核之評估與調應不受限制,並獨立於各單位管理層,必要時也應獨立於執行長之外。

三道防線 缺一不可

Ms. Kim更進一指出,法遵風險之控管並非單一單位的責任,至少應建立三道防線:第一道防線是最直接面對風險的人員,例如業務單位,營運及客服單位,也是三道防線中可防患於未然的守門員,應增加第一線人員對於風險管理的知識與能力,於面臨風險情況時,可迅速做出正確的判斷及回報。

第二道防線,主要是風險管理及法令遵循等單位,即所謂「風險標準的制定者」,負責建立識別、衡量、監控和報告風險的架構與方案,並獨立監督及監控活動。第二道防線應該與第一道防線保持有效的連結合作,深化對業務的了解,以達防微杜漸,盡量避免錯失防範該事件擴大或再發生的契機。

第三道防線為部稽核單位,稽核人員的專業知識須因應業務及科技發展而精進,逐漸由事後偵測錯誤及糾正,進化為事前預防性監理,以發掘及預防各種可能發生的重要風險,目前各國多鼓勵金融業建立風險基礎導向(riskbased)部稽核制度,以提升部稽核執行效益,使金融機構的稽核資源做最有效的配置,專注於重點風險並加強核深度。

三大關鍵 驅動有效法遵風險管理

Bonita G. Jones女士提醒,因應現今金融業務環境與監理環境變化快速,建議金融機構應注意三個關鍵,方能有效監控與評估法遵風險:首先,應隨時關注機構的作法是否符合當前監理要求,例如建立部法遵風險管理系統(Compliance Risk Management System, CRMS),而且此系統能包含所有關鍵風險要素,或者在實務上複雜度較高(例如實益所有權〔beneficial ownership〕規定)的情況下,仍可有效運作。其次,讓相關單位與人員參與,提升知識與理解,並增加法遵投資,以實現金融機構之法遵目標。這方面包含外部(包含機構協力單位)的溝通,教育訓練的理,以及讓相關人員參與法遵缺失的評估與解決。最後一個關鍵是制定並維護一個好的量化或質化的協定(Protocol),讓法遵風險的監控運作更有依據與效果:例如收集基礎資訊用以監測績效,並制定關鍵風險指標(KRI)及關鍵績效指標(KPI)等等。

透過資安控管與AML/KYC來保障安全性

進入了數位時代,雲端與行動科技大行其道,實現了跨越地域、國界與時間疆界的新興金融交易模式,金融犯罪也從線下移轉到線上,駭客、洗錢罪犯隨處潛伏,無時無刻不伺機而動,紐約KPMG主要負責網路安全專家Mr. Shay Zandani(Principal, Cyber Security Services, KPMG NY)提到Cyber security is a real thing,資安風險無法用肉眼評斷,卻真真實實地存在,隨著新興科技的崛起而不斷增長中,越來越難被忽視。根據國際權威研究報告指出,全球各地天發生的網路攻頻率加總起來有130億次之多,數字高得令人咋舌。

此外,據許多研究指出,目前全球已約有三分之一的電腦遭病毒攻占,然而這些潛伏在電腦的病毒從入侵後大約221日才會被偵測到,這些病毒在被發現前,通常有足的時間在系統中四處找尋下手目標,進而取得某種程度的控制權,資安管理猶如一場與時間賽的耐力戰,提高資安事件/漏洞被發現與處理的時效性,才能遏止災害無止境地擴大蔓延,從而將損失降到最低。如Mr. Zandani所言,資安早已不是「If」(若是發生了以後會如何)的問題,而是「When」(何時會發生)的問題,不難理解為何近來資安議題成了各界共同的焦慮,根據KPMG去年所做的CEO Survey,資訊安全儼然已成了企業執行長的頭號公敵。

Mr. Zandani也提到,資安管理並不存在所謂的「最佳實務」(Best Practices),金融機構必須擁有動態評估、控管與因應資安風險的能力,才能在瞬息萬變的市場環境中明哲保身,而明確的風險管理制度、完善的風險監控指標、系統化風險辨識/評估/溝通/應變流程,以及跨功能領域團隊協作等四大支柱,則是建構動態化資安風控能力最關鍵的要素。

在風險管理制度方面,資安風險管理的政策與流程應從業務策略目標、組織總體的風險胃納量,乃至於資安風險胃納量及其所衍生的關鍵風險指標(KRI)來定調。

至於風險監控的範圍,不僅需涵蓋外在客觀環境的趨勢,包括像是科技與營運模式(Operations & Technology)、法律及法令遵循(Legal & Compliance)等面向,也須將部組織運作方式以及管理層或團隊對於風險的覺知與應對方式納入其中,如人為因素(Human Factors)、領導風格及風險治理(Leadership & Governance),此意味著資安風險所反映的不單是環境的變化,也是人和組織及環境互動的結果。

在風險辨識/評估/溝通/應變流程方面,重點則在於如何化繁為簡,將企業的資安風險圖譜以簡潔扼要的方式呈現出來,讓管理者可以快速地掌握最具重大的資安風險、釐清不同行動方案的優先順序,進而能掌握時效正確決策。誠如Mr. Zandani所言,若管理者的職責在於決定前進的方向和節奏,那麼資訊的即時、正確與完整性便是管理決策最重要的基石。資安風險資訊該如何量化與呈現才清楚明確?Mr. Zandani也在研討會中分享了各種用來監測不同資安風險指標的CISO Strategic Dashboard,容除了上述各項監控指標以外,還包括了依據風險的即時動態所設算的固有風險(Inherent Risk)、弱點分析(Vulnerabilities & Asset at Risk)、控制及殘餘風險(Control & Residual Risk)等各種由量化風險資訊轉化而來,具有決策價的商業智慧。

第四大支柱的重要性亦不言可,企業資安防護網的建立和維,需要集結三道防線的力量,才能將資安控管的流程從業務端、風控端到IT端無縫串接,除了得有明確的資安政策方針、系統與流程規劃發揮導引作用以外,跨功能彼此間溝通協作的默契與順暢度也會對資安控管的品質帶來決定性的影響,Mr. Zandani也特別提到,風險認知的差異往往是跨部門溝通的最大阻礙,風險是一個相當抽象的概念,個人對於風險的看法往往會因為衡量的角度不同而有別,把抽象的風險變成一個可以被溝通與正確理解的具象化概念著實不易,是一門需要長時間不斷修練的工夫。

提高金融資安防護得靠政府與業界通力合作,監理規範是促進銀行資安防護走向完善、現代化所不可或缺的重要關鍵,健全的資安風險治理需要有軟硬體整合,更要有來自業界高層的承諾,由上而下把資安文化、流程、系統與團隊建立起來,Mr. Zandani認為,法規環境是驅使金融業資安走向現代化最重要的動力,有法規作為業界資安策略發展的明確指引,業界投入相關資源的意願與動能會更強。除此之外,科技發展一日千里、資安風險的態樣也越來越難以掌握,與網路犯罪爭戰的時代,更需要打破組織疆界、結合業整體生態圈一起集思廣益、通力合作,業界彼此間的資訊分享時效越高、網絡越綿密,越能有助於提高業界對資安事件的敏度、洞察力與因應能力,將資安風險消弭於無形。

總而言之,資安風控不是一個獨立的議題,應該與組織總體的風險管理戰略連結,以組織業務發展及風險胃納目標為依歸,明確定義監控指標與風險限額,再從各種資安風險點逐一發展出相關的控管政策、風險辨識與決策流程,進而透過三道防線相互溝通協調,以及支援與協作,將資安控管制度徹底落實到全行。邁入由新興科技所驅動的超聯網時代,資安控管的任務益形艱鉅,資訊安全所考驗的,不只是金融機構的數位管理能力,更是組織動員、跨功能協作的能力,需要主管機關與業界生態圈共同合作。

讓法遵發揮風險辨識與控管的實質功能

來自紐約梅隆銀行的Mr. Sameer Pandit(COO of Treasury Services)從美國過往重大的裁罰案例中,歸納出銀行反洗錢實務中必須迫切改進的弱點。第一個問題點是風險意識薄弱、相關權責劃分不明確。最常見的情況是第一道防線人員對於業務風險點並不了解,也缺乏了風險當責的概念(Risk Ownership)、對於其本身所應擔負的風控職責沒有清楚認知,反洗錢實務執行效能也因而受到影響,形成了法遵控制環境中的斷鏈。

Mr. Pandit也特別提到風險當責者既是第一道防線所應該擔負的角色,前線人員有義務、也應有能力確實評估業務所及的洗錢風險,然礙於各種主客觀因素,第一道防線功能多未能充分發揮,銀行對於反洗錢法遵風險整體輪廓難有清楚的掌握。第二個得省思的現象為,許多銀行在察知實務缺失後,並未積極應對,追根究柢深入檢討問題發生的真正原因,導致問題一再重複發生,主管機關的不信任感也與日累增,終而成為壓倒駱駝的最後一根稻草。第三個問題點為,銀行用以衡量洗錢風險的方法往往不客觀,不是過於側重量化指標,就是太過倚賴質性觀察,Mr. Pandit提醒業者,量化及質化方法各有利弊,適度綜合兩種觀點,才能提高風險評估的證據力與服力,也更利於和主管機關取得共識。

金融機構因反洗錢實務缺失而遭受裁罰,凸顯出三道防線要對彼此在法遵風險控管上的職責角色有清楚認知,才能打破本位主義,進行對話與合作。層出不窮的法遵事件,同時反映出在市場競爭越來越激烈、法遵要求越來越嚴格的經營環境下,金融業者在遵法與業務發展之間所面臨的困境,增加控制點固然有助於降低風險,然而,也可能帶來其他有形與無形的成本,Mr. Pandit認為金融機構對於風險要有清楚的定義,對於風險來源、屬性與影響也要有透徹的了解,從而才能優化資源投放效率,把寶貴的時間與資源放在最重要的風險點,讓銀行能在業務與風險間做更靈活的調控。

他以FinCEN的實質受益人規範為例,FinCEN規定法人(Legal Entity)只要開立新的帳或是帳金額有異動就必須重新驗證實質受益人,然而就實務而言,在特定情況下,就算帳金額有異動,實質受益人改變的可能性也不大,例如有些銀行為方便管理,會將客的不同帳全部歸到同一個帳號項下,此時就算客取消其中一個帳,導致總帳金額異動,理論上應無須再重新驗證實質受益人,比起因新增或取消帳生的異動,更需要留意的是帳淨額因客向銀行借款的增加而改變的情況,然而Fin CEN並未明訂究竟些情況下,帳異動可不須重新驗證實質受益人,在些情況下,則必須重新驗證。

Mr. Pandit表示,為減輕疑慮、同時合理地減輕法遵成本,梅隆銀行特別針對造成實質受益人改變的主要風險源以及實質受益人必須重新驗證的具體情況做了非常清楚的定義,以便為外部利害關係人(包括:客、主管機關等)提供一致性的參考架構與協調溝通的準據。從紐約梅隆銀行的經驗來看,法遵若要發揮風險控管的實質功能,得要學習跳「Check List」的形式主義思維,真正從法理與業務風險的觀點,了解如何提升遵法資源投入的效益、掌握必要的監控點,而這一切將有賴於銀行將業務風險化為一套可以被傳達、操作與隨著時空環境而不斷調整的論述體系,當風險變得可以被溝通,從而對資源配置的策略帶來影響力時,法遵才能在一個業務與流程的場景中扎根。

追尋商機、承擔與控管風險是金融業發展的基本要件,機會和風險既是金融業務一體的兩面,誠如Mr. Pandit所言,反洗錢風險控管不應獨立於業務決策而存在,不論是風險胃納量的決定,或是風險相關監控措施應如何設計,才能一方面將風險控制在合理範圍,又不至於限縮了業務發展的空間,都需要有明確的業務策略目標做為判斷引據,因此,落實反洗錢風險控管不只要有三道防線的橫向連結與協作,也需要有董總高層由上而下,從總體戰略的宏觀角度,為銀行業務發展、風險胃納目標與資源配置策略描繪清楚的輪廓。展望未來,法遵應化被動為主動,超越合規的格局,不但要成為銀行防禦損失與維護商譽的盾牌,更要助銀行提升對於法遵風險的覺察力,將風險轉化為有利的決策行動,進而創造更強的競爭力!