加重高階管理層治理責任 增強法遵執行力度

由中華民國銀行公會委託台灣金融研訓院辦理，第三場「海外分區經理人、法遵人員暨內稽內控人員研討會」，本文摘錄報導歐盟與英國的防制洗錢與打擊資恐相關經驗。

為因應防制洗錢與打擊資恐，國際間掀起一場金融監理的海嘯，更可預見的是，未來法令遵循將是金融發展的重中之重。金融業作為不當交易的前線守門員，如何建立與維護強大的防禦機制，避免各項重大風險的發生，以歐盟與英國為例，皆加強對金融機構的行為規範，提升管理階層善盡法遵責任，從而增進整體法遵執行力度。

歐盟：監管政策3大支柱

綜觀歐洲各國日益重視銀行的監管政策，歐盟推動銀行聯盟（Banking Union）3大支柱，即分別為由歐洲央行實施銀行監管準則、處理問題銀行的中央機制，以及共同存款保證制度（詳見圖1），盼達到兼顧歐元區金融自由化與穩定安全的雙重目標，實施過程面對重重挑戰仍有待整合。

針對全球反洗錢議題，歐盟於2015年5月所批准發布的第4版反洗錢指令（Fourth Anti-Money Laundering Directive）已於今年6月底正式上路，成為各成員國國內立法的重要指南。指令內容特別加強客戶盡職調查（CDD），擴大對政治敏感人物（PEP）的定義（包括國內外或國際組織內部的PEP，且適用於國家元首、政府官員或國有企業董事等親屬），一方面也降低現金支付門檻，規範範圍更擴大到博弈場域，並且加強以法遵管理風險的方法，採取相關循證措施。

除此之外，亦提高要求金融機構高階管理層對反洗錢政策、內稽內控等程序進行批准。換言之，不僅高階管理層應對反洗錢風險有充分了解，且應被充分賦予反洗錢政策制訂或處理風險問題的決策權。這也意味著，如果該公司的反洗錢機制出現了重大問題，這些高階管理層必須要承擔直接法律責任。

明年實施更嚴格的個資保護規則

歐盟收緊金融監管，加大非法資金進入合法金融系統的難度，而金融機構必須肩負交易監測的職責，透過內部管理與系統規劃降低了任何交易的不透明。藉此，提升不同國家的金融情報機構識別和追查可疑交易轉移的成功率，促進跨國金融資訊交流，讓資金轉移不管在歐盟內部或外部皆可被追溯。

再者，面對網路科技的蓬勃發展，新的網路攻擊手法層出不窮，歐盟將自明年5月起將實施更嚴格的個資保護規則（European Union General Data Protection Regulation, GDPR），由於此法強調人權保護的重要性，國銀若在歐盟區設有據點，應盡速檢視公司內部個資處理流程，完善相應的技術與人員建置，降低因個資處理不當所引發的鉅額損失風險，而這樣的罰款額度甚至可能高達年營業額的4％，顯見歐盟對此的執法力度已大幅提升。

英國：採行雙軌模式監理

作為全球金融中心的英國，為穩定金融環境與發展，自2013年4月1日啟動新的金融監理制度，由英格蘭銀行作為監理架構的中心，並於其理事會下新設金融策委員會（Financial Policy Committee, FPC）專責總體審慎監理，負責確保英國金融體系的穩定性，以及評估系統風險。同時，新成立審慎監管局（Prudential Regulation Authority, PRA）及金融行為監理局（Financial Conduct Authority, FCA），採行雙軌模式，由審慎監管局主導個體審慎監理，金融行為監理局則負責金融市場行為規範（詳見圖2）。

PRA負責確保存款接受者、保險公司與少數重要投資公司的有效審慎監管，以促進金融機構的安全與健全，避免任何對金融穩定的不利影響，並盡量減少由於金融機構經營業務所導致的金融服務缺失，進而達到有效競爭為主要目標。另一方面，FCA則確保相關市場運作良好的戰略目標，適當保護消費者權益，增強對英國金融體系的信心與完整性。然而，為使法令遵循與業務推展取得平衡，2015年FCA制訂「5 Conduct Questions」檢視方法（詳見表），提供金融機構執行監督的一致性的框架與方向，促使金融機構提高內部行為風險意識，進而建構有效改善戰略，此外亦能夠藉此蒐集各金融機構的反饋意見，一併將有效的解決方法提供給相關同業參考。

將更重視員工適切性及責任感

英國在金融監理上，未將更進一步導入SM & CR原則（Senior Managers' and Certification Regime），鼓勵金融機構定期評估對公司或客戶可能造成重大損害的員工的適切性，增進個人對組織內部工作的責任感文化，並適時提供內部相關教育訓練，提高整個行業的行為標準，目的並非要求僵化的公司治理結構或商業模式；相反的，此舉是為了確保高級管理人員善盡職責解決責任範圍內的任何不當行為。

對於國外金融機構的監管政策，英國相當重視總公司必須具有足夠的治理水平，且能夠對金融犯罪進行強而有力的監控，檢視曾發生的金融犯罪案例中，往往在進一步調查後，發現總部新聘人員對英國的法律與監管要求並不熟稔，並且對金融風險意識也不足等問題，建議總公司應了解內部風險管理制度是否與反洗錢反資恐框架存有差距，包括各項流程的負責人員是否也缺乏經驗，以致交易監控機制薄弱或客戶風險評估無效。

無論在何地，嚴峻的法遵環境已勢在必行，也將帶來更複雜的客戶風險評估（CRA）模型，允許更加集中的客戶端風險管理，提供全面的反洗錢相關風險檢視，透過科技建構更具彈性與前瞻性的分析。更重要的是，銀行該如何將法遵在組織內部落實管理，制訂一個具體的目標政策，以及針對大方向政策擬具達成目標與後續監測績效的手段，一言以蔽之，明確的組織結構，透明且一致的權責分配，才是發揮法遵成效的至要關鍵。