落實資安及洗錢防制 應形成全行共識

金管會銀行局副局長呂蕙容專題演講

採訪、撰文：林淑玲

落實資安及洗錢防制 應形成全行共識

國銀如何因應國際洗錢防制及打擊資恐趨勢？金管會銀行局副局長呂蕙容認為，有效的法令遵循係建立在銀行的法遵文化及高度標準的內部行為規則，不管資安或洗錢防制都是全行的責任，金管會將積極要求銀行有此共識。

洗錢防制及打擊資恐議題是目前台灣銀行業在拓展海外業務時面臨的挑戰，金管會銀行局副局長呂蕙容指出，提升風險管理，以及讓金融制度更具彈性，是銀行因應各項風險及有效度過經濟危機之關鍵。有效的法令遵循係建立在銀行的法遵文化及高度標準的內部行為準則，主管機關之法規僅為最低標準。銀行董事會對於法遵之盡責是主要關鍵，總行對於海外法遵人員及資源的支持才能確保銀行有效法令遵循之建立與落實。

由中華民國銀行公會主辦、台灣金融研訓院承辦之「海外分區經理人、法遵人員暨內稽內控研討會」，1月10日於美國紐約隆重舉行，邀請呂蕙容以「台灣銀行業全球擴展之挑戰」為題發表專題演講。

呂蕙容指出，目前防制洗錢及打擊資恐已成為各國監理機關的監理重點，因此各國也持續依據FATF標準，強化其防制洗錢及打擊資恐規定，例如：美國財政部金融犯罪執行網（Financial Crime Enforcement Network〔FinCEN〕）在2016年5月，發布金融機構客戶審查規定，美國紐約州金融服務署（DFS）也在2016年6月底，發布有關「防制洗錢交易監控與篩選程序最終規範」（Final Rule on Banking Division Transaction Monitoring and Filtering Program Requirements and Certification）（Part 504）之規定。此外，歐盟在2015年6月也發布其第四版的防制洗錢規定。

各國金融監理機關監理趨勢

由各項法規修正、近期裁罰案例及研究報告，她認為可觀察到下列監理趨勢：

1、要求董事會應塑造重視防制洗錢及打擊資恐的法遵文化。

2、加重從業人員的責任，尤其是高階管理階層及防制洗錢人員，另裁罰對象亦由過去以金融機構為主，擴及至個人。

3、要求金融機構應配置足夠人力及資源。

4、強化違反防制洗錢及打擊資恐之執法要求，並加重罰度。

5、加強風險基礎方法之執行，包括要求進行風險評估，及採取相關降低風險措施等。

呂蕙容特別強調國銀須注意DFS發布的「防制洗錢交易監控與篩選程序最終規範」（Part504）及「金融服務業網路安全要求規範草案」等2項重要規定。

在「防制洗錢交易監控與篩選程序最終規範」（Part 504）方面，她表示，該規範已於今年度1月1日生效，要求金融機構建置一個監控與篩選交易可能會違反《反洗錢法》（BSA╱AML）之程序，同時要避免與受美國制裁對象（如北韓）進行交易，並確保其符合風險基礎之設計。另外，明年4月15日起，受監理機構每年須提交董事會決議通過或高階主管核准之聲明，確保其交易監控程序符合法令要求。為徹底落實執行，DFS已增加監理人員，並舉行實戰營，針對實地檢查人員，在原防制洗錢之金檢外，進一步增強教育訓練。

在「金融服務業網路安全要求規範草案」部分，呂蕙容指出，該草案係保護紐約州防範網路攻擊之首例，於去年9月28日起45日內公開徵詢外界意見。該草案重點在於要求受監理機構：

1、建置網路安全計畫。

2、採行書面之網路安全政策。

3、指定資訊安全長負責執行、監督、強化新採行之計畫及政策。

4、訂定政策及程序以確保資訊系統以及與第三人間非公開資訊往來之安全性。

她表示，DFS署長Maria Vullo已明確指出資安是未來監理重點，因為發生危機之跡象持續出現，金融服務業已是網路威脅之重要目標。因此，金融業管理階層必須正視此項議題，並為金融機構之網路安全計畫負責，每年提交聲明確保營運流程符合該等規範。該等網路安全計畫，應能確保公司之健全經營，並能保障消費者。目前該法案預計2017年生效，將有過渡期讓金融機構進行調整。

DFS對資訊發展與網路安全看法

呂蕙容並提醒，Maria Vullo在資訊科技發展與網路安全方面的4項重點看法，頗值得國銀注意：

1、DFS希望每個個案達成的目標，不是只有罰款及起訴，而是希望金融機構從中學習，充分利用該等經驗打造法遵體系，避免相關事件再次發生。落實執行相關規範相當重要，DFS也會繼續推動。金融機構對於個人資訊之保護，當然不可能避免所有缺失，但金融機構須有足夠資本與資源去保護其資訊系統及客戶資訊。

2、金融機構應維持先進的系統，去面對非比尋常的風險。資訊系統應持續更新，並與風險態樣同步。金融機構不能等問題發生後，才用金錢支付罰款，而是要確保管理階層平日即避免可能發生之風暴。

3、防制洗錢與網路安全，不能用成本效益作分析，因為面臨資助恐怖主義、網路攻擊之風險太大。網路安全是整個國家都必須面對的議題，更何況金融機構是首要攻擊目標。有人表示符合網路安全成本過高，但有什麼風險會高過外國政府企圖干預美國總統大選？因此，防制洗錢與網路安全不適用成本效益分析，任何國家都禁不起駭客入侵，試圖影響該國總統大選結果。

4、外界評論執行網路安全之法遵成本過高，也有評論銀行對於網路安全需要更強勁之改革，DFS認為其規範要求尚屬適當。網路安全不能處於討論階段，需要具體方案來達成。

美國對國銀在美分支機構關切重點

綜合上述監管法規發展與趨勢，呂蕙容指出，美國金融主管機關對國銀在美分支機構關切重點包含：

1、銀行秘密法╱洗錢防制之執行。

2、法規遵循。

3、資訊及網路安全控管。

4、放款作業風險控制。

5、風險管理：如流動性風險，利率風險及信用風險之控管。

6、總行對分行之監督與管理。

7、員工教育訓練。

8、內部控制及內部稽核。

因而，國銀海外分行管理面臨5大項挑戰：管理成本增加、人才招聘與培訓不易、亟須建置有效資訊系統，俾發揮交易監控功能、當地業務拓展受限、跨國語言差異。此外，海外分行之經營也面臨除遵守母國法令規範，亦須遵守地主國法令規範的困難。不過呂蕙容強調，法遵是全球重要趨勢，我國政府相關部會與銀行業均積極因應。

近期我國法務相關部會已因應FATF標準及指引文件，並參考國際立法例，增修防制洗錢及打擊資恐之相關規定。而金管會亦透過發布函令方式，要求金融機構執行風險評估相關事宜。例如，為確保各銀行依規定落實執行風險評估及訂定、執行AML╱CFT計畫，金管會已函請12家銀行，應洽獨立第三人進行查核，於2017年4月底前將經提報董事會通過之查核報告函報金管會，其他銀行，亦請其內部稽核單位辦理相關查核，及於2017年3月底前將經提報董事會通過之查核報告函報金管會（如未能於以上期限內完成，得向金管會申請展延到7月底）。

國銀海外分行應強化之監理方向

為強化海外分支機構監理，金管會亦函請各銀行應強化海外分支機構防制洗錢法令遵循及風險控管，相關措施包括：

1、強化稽核制度：總行稽核單位應加強查核海外分支機構之洗錢防制是否符合當地規定，必要時應委由外部獨立專家進行查核，如委由外部專家進行查核，總行應善盡督導之責。

2、落實法規遵循：法令遵循主管應確實熟悉當地國金融法令，並應向總行專責單位定期彙報，以利總行採取適當督導措施；海外分支機構對地主國監理機關之檢查、函件及溝通情形，應詳實記載並即時回報總行。

3、與當地主管機關保持聯繫：總行應與當地主管機關保持聯繫溝通，以有效督導海外分支機構之缺失改善符合當地主管機關之期待。

4、加強人員訓練：總行派駐海外分支機構之負責人應具備適足之經驗及訓練，對於派駐海外分支機構之高階經理人，應有完整之訓練計畫，避免人才斷層。

呂蕙容的專題演講引起熱烈迴響，出席者提問踴躍，多數問題關切如何拉近總行與海外分行對於落實與執行法遵的認知，她強調，不管資安或洗錢防制都是全行的責任，不是海外分行的權責而已，金管會注意也重視此議題，會更積極要求銀行高階主管必須有此共識。此外，金管會也會持續透過台灣金融研訓院舉辦董事會成員受訓課程、研討會，多了解國外法令。

在資訊安全方面，有出席者關切DFS指定資訊安全長負責執行、監督、強化新採行的計畫及政策，台灣是否會有相同規範？呂蕙容表示，國際重要議題台灣也相同重視，對於金融資安弱點除了要求獨立專家進行檢視外，檢查局也會對資安進行查核，有關資訊安全長負責執行、監督、強化新採行的計畫及政策，台灣將採漸進式做法符合國際規範。

對於海外分行代表建議將董監事等主管受訓課程、時數等提供英文文件，讓海外分行轉呈當地主管機關備查，以示台灣銀行董事會遵守與落實法遵的決心，呂蕙容認為此建議很好，鼓勵銀行能將相關訓練做成英文書面紀錄，提供作為美國金融主管機關檢查之參考。由台灣金融研訓院辦理之課程亦比照辦理。