強化台美金融交流 深化監理合作

邁大步！銀行公會前進紐約法遵論壇

如電子簽名技術的突破，以及若干國際卡組織推出跨境資金匯兌平台。然而，作為監管機構，在此提醒大家，在面對競爭激烈的市場並追求利潤時，仔細而正確地評估風險偏好與業務模型之間的關係非常重要。為了達到監管機構的期望，我們鼓勵負責任的創新，以穩健的治理來充分利用新技術的優勢，同時確保收入與風險間之衡平得到控制。

隨著國際駭客攻擊的影響不斷擴大，金融機構亦須強化在數位治理之意識與能力。除了網路犯罪，金融犯罪也涉及新技術。鑑於加密資產市場的不斷增長，跨境交易的複雜性，以及與洗錢和恐怖主義資助有關的新型活動，我們要提醒銀行建立一個有效率的風險識別、風險評估和風險抵減機制，以達到當地和台灣主管機關的法遵要求。這包括但不限於實施「了解您的客戶」流程，在高風險客戶上進行強化盡職調查，建立適當的紅旗指標，並確保在風險基礎上內部控制措施的有效性。

2015年，聯合國訂定了「2030可持續發展目標」(SDGs)。隨著ESG的重要性不斷增加，金融機構需要將ESG融入文化和行為、企業哲學和策略，從上到下，例如擴大其資產負債表中與可持續發展相關的部分，並確保財務和產品揭露與國際標準一致。對於銀行來說，評估實體風險和轉型風險至關重要。對海外機構的監管重點，首先是風險管理。根據巴塞爾綜合監管框架，海外分行應遵循本國監管機構的原則，強化總部專責部門的責任是重要的，監督及改善海外業務的風險管理。總部的專責部門應該能夠從整體銀行的角度識別每個國家和行業的特定風險，並確保其風險承受能力和風險控管措施與每個市場的政治、經濟和社會變化，同時掌握海外業務的整體情況，並確保所有資源得到良好配置。

信用評估＋風險控制 三防線升級為三模型

另一方面，海外人員也應具備信用評估和風險控制的專業能力。內部稽核協會已將三道防線升級為三道模型。因此，銀行公會提出了一份報告，以修訂相關法規。三道模型不僅強調三道之間的協調，還確保第二道和第三道的獨立性；以第二道為例，風險管理主管應能夠直接向董事會報告；第三道防線，內部稽核，應獨立於管理職責之外。法律明確規定，海外分行的嚴重錯誤或損失事件應納入重大應變機制的報告範圍，第二道和第三道的主管應立即向董事會和稽核委員會報告重大缺失，並針對這些缺失採取改善措施，制定對潛在應負責之人的檢討計畫。

第二點是加強網路安全韌性。在2022年12月，金管會發布了金融資安行動方案2.0，以確保金融系統的互通性。新版本著重擴大現有措施的應用，並鼓勵前瞻性措施。此外，還新增了12項網路安全措施。

童副局長政彰強調以下措施。首先，要求一定規模以上的銀行和金融機構指定一位資安長（CISO）。對於電子化轉型占總交易比例一定百分比的機構，要求他們任命一名CISO負責監督網路安全政策並分配資源；應定期舉行CISO聯繫會議。第二，在應對重大網路安全事件、自然災害和其他風險方面，金管會鼓勵具有系統性重要銀行（D-SIBs）強化核心資料保全機制，包括核心文件和數據庫的加密、離線備份、資料備援、雲端備份等。金管會還鼓勵金融機構指定遠程恢復演練，檢查外部服務的管理及驗證有效性。第三，金融機構應進行網路安全演練，以確保業務營運的穩健性，及建立全面的備份計畫，以維持關鍵業務營運不中斷。此外，最重要部分是加強法遵之治理框架。在法遵方面，我想強調總行法遵單位的責任，總行的法遵單位不僅應提供足夠的資源和支持給其海外機構，還應充分了解來自本國和主管機關的監管要求。

關注法遵三項重要措施

所以，以下的三項措施非常重要。首先，建立法遵文化。法遵不僅僅是僵化的遵循法規。實際上，我們發現過度強調業務導向的金融機構，可能會選擇「法令規避」而不是「法令遵循」。

第二，建立經董事會當責的有效法遵機制。根據規定，總部法遵部門的負責人應該至少每6個月向董事會或審計委員會報告。董事會應確保海外分行遵守相關規定。一旦發現重大缺失或當地監管機構有降級警告，董事會應敦促管理團隊採取有效措施，包括與當地監管機構進行充分溝通及強化相關改善，並納入補救措施中，以改善這些缺失。最後，總行法遵部門應評估海外分行法遵負責人的適格性，確保足夠的法遵資源得以配置。相關人員應具備理解當地法規並執行遵法營運的能力。對於業務規模較大、業務模式更加複雜或風險操作較多的海外分行，應由獨立的第三方機構辦理遵法自我評估，以驗證機制的有效性。

在2021年我國發布的最新國家反洗錢和打擊恐怖金融風險評估報告中，定義了新的洗錢威脅和易受風險的行業，例如，非法博弈及侵犯智財權被列為極高的洗錢風險。虛擬資產企業被認定為極高的風險，線上遊戲企業被視為高風險，海外分行可以關注這些相關風險。由於烏俄戰爭，許多國家對俄羅斯實施了制裁，台灣金融機構根據金管會的要求，須要持續更新相關的制裁名單和訊息，以警覺交易中的相關風險並採取抵減措施。由於《反洗錢防制洗錢條例》規定，虛擬資產服務提供者被納入AML-CFT範疇。因此，金管會在2021年頒布了針對虛擬資產服務提供者的AML-CFT法規。虛擬資產服務提供者需要自行進行AML合規聲明並實施AML-CFT措施。

此外，在接受虛擬資產服務提供者（VASP）部分，金管會已要求銀行公會向VASP發布一份最佳執行原則的銀行客戶接受政策，並將繼續與台灣和國際上的公私部門密切合作，尤其是涉及跨境監督的問題。

AIBACP主席Michele M. Fleming 銀行高層態度對法遵文化影響大

而國際銀行審計和法遵專業協會（AIBACP）主席Michele M. Fleming則提到，AIBACP是由銀行和法遵專業人士、審計師和風險管理者組成。這次她想要來探討強化銀行的法遵文化。因銀行雇用法遵人員，並不代表就完成了法遵任務，一個強大的法遵文化最重要成分是來自高層的態度。

董事會是否已經清晰地確立並闡述了該組織打算擁有的文化類型？如果董事會沒有明確界定的文化，這將是災難的開始，因為文化將會自行發展，取得它想要的形狀，而在你意識到之前，它已經失控。

而董事長必須重新審視這家公司的核心價值觀，以及公司想要以什麼而聞名的共同感，在共同的價值觀上按下重新整理按鈕。接著，要將這樣的理念教導給每一個員工。Michele分享對某公司進行公司文化評估，不僅針對員工進行了調查，還與董事會成員進行面談，從與不同領域的特定個人進行面談，透過交叉比對，來了解員工是否與他們的思維一致，這是一筆龐大的資訊，非常需要處理。

而這樣的工作就是首席法遵長必須完成的，首席法遵長的角色是一個具有框架的個人，這個框架將在整個組織中使用，但首席法遵長不能成為運作系統的個人，他必須隨時監控著組織運作上的環節有沒有失控。

花旗銀行Ann Barron-DiCamillo 開放銀行便利 卻仍存在部分威脅

花旗銀行全球網路安全營運主管Ann Barron-DiCamillo則表示，最近流行的開放銀行，雖更加便利，卻可能擴大了金融機構及其客戶的攻擊面，因為與開放銀行框架相關的供應鏈非常龐大。開放銀行是什麼？美國國家標準與技術研究院（NIST）將其描述為一個由多個銀行實體構成的雲端集合體，以雲端形式提供服務，並使用軟件即服務（SaaS）平台、API以及其他種類的金融微服務，用於從提款到支付、債務到信用等各種金融交易，並且這些交易都與貸款的發起、償還、抵押等相關。

從威脅的角度來看，開放銀行存在哪些問題呢？目前在美國，這是一個未受監管的市場，我知道台灣正計畫進入國家的第三階段監管，是比美國更進一步的監管。但當考慮到開放銀行，也就是指花旗銀行正在與其他金融機構和金融科技夥伴合作時，從威脅的角度來看，這代表著什麼呢？

我們必須找出如何解決額外的威脅情境，這涉及到與其他可能超出我們可控制的範圍或環境以進行合作和整合。因此，從威脅情境的角度來看，當你考慮開放銀行時，由於它尚未受到監管，所以沒有監管機構告訴我們如何確保安全。你需要與合作夥伴打交道，需要對這些關係充滿信任，以確保你正在合作的夥伴在開放銀行的整合中也具有安全環境。此外，威脅行為者利用這個作為進入主要目標的途徑，也許他們無法對花旗銀行採取行動，但他們可能會襲擊第三方合作夥伴，並將其作為進入開放銀行合作的入口。

S&P全球永續總經理Sonia Kim ESG和永續性影響信用評等

S&P全球永續總經理Sonia Kim提到，在2017年就開始大規模投資ESG和永續能力，當時我們開始將不同業務部門的成員聚集在一起，思考如何幫助市場應對這個新挑戰，即如何將氣候和永續性納入金融決策過程中。

首先是永續性和影響。查看公司、投資組合、基金、工具等永續性特徵以及它們的表現。第二是環境和氣候，這涉及到環境方面的深入研究。第三是有關法規和報告的事項，因為金融機構和非金融企業都面臨著相同的挑戰，即有待制定的法規，在某些市場已經出台，我們都將不得不開始進行披露，並真正檢視這些報告框架。

全球不少監管機構正在推進、發展並實施新的永續性揭露實踐。這將對銀行業產生影響，我們看到法規正在推動應對壓力測試或與氣候相關的揭露，因此，這種進展正在發生，就ESG和永續性如何影響信用來說，它正在影響信用評等。

而銀行在這方面扮演著非常重要的角色，為了將資本引導向更可持續的商業模式和執行、公司和行業，需要有相應的激勵措施。激勵措施可以以各種形式出現，比如對良好行為的企業存款人提供更高的利率，或者為永續工具或貸款提供更好的融資利率。

所以銀行在重新引導這些資本方面發揮著非常重要的作用，不僅是關於貸款業務，需要獲得真正了解永續性並知道如何將這些數據融入決策過程，也因為我們都認識到供應鏈已經受到嚴重的干擾，這將影響到你的客戶以及他們償還貸款的能力。

銀行在ESG方面關注的重點有3個。首先是幫助他們的客戶，了解他們在永續融資方面的選擇是什麼；了解氣候和永續性如何影響IPO和M&A估值過程；然後還能夠教育客戶，因為銀行也擔任顧問的角色。

銀行永續策略：您的環境足跡是什麼？這實際上是第一步。它是評估並能夠傳達您的能源轉型策略，和減碳目標是什麼，然後充分利用該計畫。第三是關於承保和風險管理，這是業務的核心，真正了解物理風險和轉型風險如何影響您的借款人，從而影響您的貸款業務，並能夠測量和評估它如何增加或減少您的風險敞口。

透過分析工具上傳資產組合，基於這些資產的位置和價值，能夠模擬到2090年，這些資產的模擬平均年度損失將會是什麼樣子。可以深入了解影響這些資產的風險因素是什麼？是洪水嗎？乾旱嗎？這些資產在世界上哪些地方風險最大？然後是時間。

以聯準會壓力測試為例，將關注過渡風險，以及實際如何整合過渡風險？所以問題是，被問到的問題通常是您將不得不問自己的問題，問題是，假設銀行的當前規模和風險特徵不變，NGFS的當前政策在10年違約機率和違約損失的情況下，對您的2022年東北部商業不動產和企業貸款組合的影響是什麼？

銀行要真正開始朝向氣候調整的機率違約率（PD）和違約損失率（LGD）的方式，因為現金流將在不同的情景下受到壓力，或在多個情景下運用它，不會只運用一次。

富國銀行William Reger 聯繫政府、執法機構和銀行 全力防堵詐騙

富國銀行企業及投資銀行部門業務執行高級經理William Reger說，法遵的議題涉及很廣，其中可能牽涉到很多反洗錢與反詐騙的問題，客戶經常想知道他們如何保護系統，如何能夠支付工資，如何能夠支付供應商？所以，作為事件應對計畫和操作手冊的一部分，我們將提供給客戶這個機會，進行情境模擬演練，網路威脅情報團隊和對應客戶之間可以共同參與，走過不同的情景，如果遭受攻擊需要怎麼做？如何確保客戶的營運得以維護？這樣相當有效。

同時，金融機構也要合作，共享有關最新詐騙、趨勢和他們所見情況的資訊。我曾與一家銀行客戶會面，在新加坡時，他們告訴我政府已經成立了一個整合中心，將政府、執法機構和所有銀行聯繫在一起，以在發現詐騙行為時迅速做出反應。因此，當他們在一家機構看到詐騙活動時，他們會迅速通知這個整合中心，整合中心可以迅速採取行動，關閉詐騙者，無論是通過封鎖他們的電話號碼還是凍結所使用的銀行帳戶，非常有效。

另外，銀行要查看哪些部分更容易受到潛在制裁的影響，甚至找到誰在逃避制裁。現在其中一個熱門領域是電子產品，因為俄羅斯政府正在積極尋求購買電子產品，以幫助他們建造武器。美國商務部最近即發布了一份奢侈品清單，這是金融機構需要注意的事項，因此，我們一直在查看這份清單，例如，可能會涉及到的一個範例是，二手汽車零件，然後發往哈薩克。我們會問，為什麼會這樣？所以，真正關鍵是要仔細查看您的客戶群體，不僅僅是查看制裁名單，還要查看更深一層的訊息，例如您的客戶往哪裡送出交易？您的客戶在做什麼？可能指示潛在制裁或逃避制裁的貨物和服務。

曾有案例，可能與石油、燃料等客戶有關，在船舶間進行轉移的概念通常會在海上發生，經常情況下，具有非法船舶的一方會關閉其網路，然後會在海上看到轉移。最近美國司法部有一個關於某伊朗組織的案件，他們使用這種方法來規避制裁，以獲得石油的能源價格。由於司法部的調查和定罪，他們沒收了該公司大量的石油，並對公司的所有者進行了罰款。